在根据《投资服务和活动及受监管市场法》第17(2)条规定所列企业内部合规部门相关要求对受监管实体进行审查后,塞浦路斯证券交易委员会(CySEC)发现了部分实体存在的一些常见问题。该监管机构希望通过向所有受监管实体强调这些问题的存在,来帮助他们改善内部合规部门的相关工作。
CySEC 希望所有受监管实体都能参考此次的审查结果自省自查,看是否有遵守《投资服务和活动及受监管市场法》第17(2)条规定,并酌情采取纠正措施。
受监管实体应确保内部合规部门严格运用相关风险管理办法,监测内部政策和流程。合规监测工作和咨询的重点和范围应在风险评估报告中明确说明。在此过程中,内部合规部门应确定企业的合规风险范围。
但 CySEC 在审查中发现,部分受监管实体存在以下常见问题:
·未具体说明或明确财务、声誉、监管风险等潜在问题,甚至在某些情况下,未具体说明风险等级和/或未准确识别相关风险。
·未基于风险分析结果制定年度合规监测方案。
·未在风险评估分析中说明,风险评估时会考虑所提供和销售的金融工具的类型。
·风险定义、内部合规部门监测工作优先事宜含糊不清,未明确每种合规风险的监测方法/工具,目标评估和监测活动频率设置不合理。
·未确保合理设置时间间隔,定期编写季度报告等书面合规报告送交管理委员会。
·合规工作人员仅编写年度合规报告,任何其他合规事项都只通过电子邮件传达给高级管理层,未具体说明这些事项是否已记录在日志中,未考虑是否需要向高级管理层提交额外的书面报告。
·虽然风险评估时也应考虑内部合规部门以往的监测结果,以及所有的内部或外部审计结果,但这些并不应成为合规部门制定监测计划目标和优先事项的基础。
CySEC 还向受监管实体指出了合规工作人员的报告义务,以及内部合规部门的咨询义务。
合规工作人员每年至少应向管理层做一次报告。这类报告应说明常规监测措施的执行情况和效果,概述已查明的风险和已采取或打算采取的必要措施(即关于必要补救措施的建议及执行时间表)。
受监管实体应确保内部合规部门履行其咨询职责,包括:为员工培训提供支持,为员工提供日常协助,参与制定公司内部的新政策和流程。