Definitieve versie van richtlijnen interne governance bij banken en beleggingsondernemingen gepubliceerd

Afbeelding Definitieve versie van richtlijnen interne governance bij banken en beleggingsondernemingen gepubliceerd

De EBA heeft eind september de definitieve versie van de herziene richtlijnen interne governance gepubliceerd. De herziene richtlijnen treden, een jaar later dan gepland, op 30 juni 2018 in werking. De richtlijnen zijn van toepassing op nationale toezichthouders, op banken en beleggingsondernemingen. Dat betekent dat DNB, banken en beleggingsondernemingen tot en met 30 juni 2018 de tijd hebben om de regels te implementeren.

Het doel van deze richtlijnen is het harmoniseren van de interne governanceregels binnen Europa. Deze richtlijnen zijn een nadere uitwerking van CRD IV.

Wat valt er op in deze nieuwe richtlijnen?

Veel verplichtingen uit de nieuwe richtlijnen zijn eerder al verwerkt in de Nederlandse regelgeving en zullen daardoor zeer waarschijnlijk geen effect hebben op de Nederlandse banken en beleggingsondernemingen. Een aantal verplichtingen vallen op, omdat ze tot nu toe nog niet geëxpliciteerd zijn in Nederlandse wetgeving of nog niet gangbaar zijn in het dagelijkse nationale dan wel Europese toezicht. We lichten een aantal wijzigingen toe.

  1. De raad van bestuur is verantwoordelijk voor de organisatiecultuur en waarden die ervoor zorgen dat verantwoordelijk en ethisch gedrag mogelijk is. Een gedragscode of een vergelijkbaar instrument maakt hier onderdeel vanuit (artikel 23k). Hoewel DNB en de AFM al een aantal jaar toezicht houden op de organisatiecultuur van financiële ondernemingen, is het relatief nieuw dat op Europees niveau wordt gesproken over organisatiecultuur en waarden die gericht zijn ethisch gedrag. In de richtlijnen van 2011 wordt organisatiecultuur alleen in verband gebracht met ´risk culture´. Daarnaast wordt in de richtlijnen uit 2011 ook gesproken over ethische standaarden; deze werden echter nog niet in verband gebracht met de impact die organisatiecultuur kan hebben op gedrag van mensen. Met de komst van het SSM hadden we voorzien dat het toezicht op gedrag en cultuur, uitgeoefend door DNB, aan belang zou inboeten, maar deze nieuwe richtlijnen wijzen erop dat Europa dat belang toch ook onderkent. We kunnen dat alleen maar toejuichen.
  2. Instellingen mogen, naast de klassieke commissies in de RvC, zoals de remuneratiecommissie en de risico- & auditcommissie, ook andere commissies benoemen, zoals bijvoorbeeld een commissie ethiek, gedrag en compliance (artikel 41). Omdat wordt aangegeven dat het mag, is hier geen sprake van een verplichting. Het is dus niet goed in te schatten of dit nu ook werkelijk verwacht wordt. Wij schatten zelf in dat van significante instellingen verwacht zal worden om deze gespecialiseerde commissies in te stellen en dat zij zich zullen moeten verantwoorden wanneer zij niet overgaan tot dergelijke commissies. Voor andere instellingen zal dit waarschijnlijk (vooralsnog) niet aan de orde zijn.
  3. Er wordt meer nadruk gelegd op een beheerste en consistente risicocultuur (artikel 94 e.v.). In deze versie van de richtlijnen wordt nader geduid wat onder een risicocultuur wordt verstaan. Hierbij wordt expliciet ingegaan op de waarden van de organisatie, het gedrag van het bestuur, bespreekbaarheid, tegenspraak en verantwoording afleggen. We zien hier veel elementen uit het cultuurhuis van DNB in terug.
  4. Er zijn meer regels opgenomen ten aanzien van de organisatiewaarden en de gedragscode (artikel 99 e.v.).
  5. Organisaties in Nederland met meer dan 50 medewerkers hebben een verplichting tot het inrichten van een klokkenluidersregeling sinds 1 juli 2016. Door deze richtlijnen zullen banken en beleggingsondernemingen met minder dan 50 werknemers ook een klokkenluidersregeling moeten implementeren.
  6. Banken en beleggingsondernemingen zijn verplicht om een onafhankelijk meldpunt in te richten waar medewerkers, buiten de standaardrapportagelijnen om, een vermoeden van een overtreding kunnen melden (artikel 117 e.v.). In de richtlijnen wordt vermeld dat dit de compliance officer, audit of een meldpunt uit de klokkenluidersregeling kan zijn. Het is wat ons betreft niet de bedoeling dat de derde lijn als meldpunt wordt benoemd. De derde lijn zou daarmee onderdeel worden van het meldproces dat zij vervolgens onafhankelijk moet auditen. De compliance officer kan als meldpunt benoemd worden op grond van de incidentenregeling, maar niet voor de klokkenluidersregeling. Meldingen in het kader van de klokkenluidersregeling zouden met behulp van de vertrouwenspersoon afgehandeld kunnen worden. In Nederland wijken we met onze systematiek van klokkenluidersmeldingen af van andere Europese landen, mede doordat wij het Huis voor klokkenluiders hebben ingericht.
  7. In de concept richtlijnen werd de suggestie gegeven om een RvC-lid verantwoordelijk te maken om toe te zien op de meldingsregelingen zoals de klokkenluidersregeling. Deze suggestie is niet meer overgenomen in de definitieve versie.
  8. Externe nationale toezichthouders worden verplicht om een meldpunt voor klokkenluidersmeldingen in te richten. DNB heeft die meldpunt 12 februari 2016 al ingericht.
  9. Voor het hoofd audit, hoofd risk en het hoofd compliance geldt dat zij, indien noodzakelijk, een directe rapportagelijn moeten hebben naar de RvC (artikel 156). Deze bepaling is in de definitieve versie van de richtlijnen genuanceerd. In het concept van de richtlijnen was nog opgenomen dat deze rapportagelijn er altijd zou moeten zijn. In de nieuwe richtlijnen is ‘indien noodzakelijk’ toegevoegd. Het is onze ervaring dat deze functionarissen doorgaans al een directe rapportagelijn hebben naar de RvC. In de richtlijnen wordt overigens niet gesproken over een periodieke rapportagelijn. Dat is wat ons betreft wel een voorwaarde, want als slechts een escalatielijn wordt ingericht, wordt deze niet altijd gebruikt wanneer dat wel nodig zou moeten zijn. De drempel wordt doorgaans te hoog ervaren wanneer er geen reguliere rapportage aan de RvC is ingericht. Zie ook het artikel in ons magazine de Compliance Officer de Compliance Officer over het onderzoek dat wij hebben verricht naar governance van compliancefunctie.
  10. Op grond van de nieuwe richtlijnen mag het hoofd audit, hoofd risk en het hoofd compliance niet overgeplaatst of ontslagen worden zonder voorafgaande instemming van de RvC. Bij significante instellingen moeten de nationale externe toezichthouders onverwijld geïnformeerd worden over een benoeming, overplaatsing dan wel vertrek van een hoofd audit, hoofd risk en het hoofd compliance (artikel 157). In de oude richtlijnen was het alleen verplicht om de RvC te informeren over de aanstelling dan wel overplaatsing dan wel ontslag van een CRO.
  11. De combinatie van tweedelijnsfuncties is geëxpliciteerd. Het is voor sommige organisaties toegestaan om de risico- en compliancefunctie te combineren. Uitgangspunt is proportionaliteit. Voor meer complexe instellingen is dit niet langer toegestaan. De interne auditfunctie mag ongeacht de complexiteit van de organisaties nooit gecombineerd worden met een andere risico beheersende functie (artikel 159).
  12. Operationele taken van de compliance-, risico- en auditfunctie mogen uitbesteed worden. Ook hier is het uitgangspunt proportionaliteit (artikel 154).

Van consultatie naar inwerking treding

Eind oktober van het vorig jaar heeft de EBA een concept voor de nieuwe richtlijnen voor interne governance bij banken en beleggingsondernemingen ter consultatie voorgelegd. De consultatieperiode sloot op 28 januari dit jaar. In de richtlijnen zijn de hoofdpunten uit de reactie op de consultatieversie opgenomen. De nieuwe richtlijnen die op 30 juni 2018 zullen ingaan, zullen op diezelfde datum de governance richtlijnen uit 2011 gaan vervangen.

Juridische grondslag

Op grond van artikel 74 van de CRD IV (richtlijn 2013/36/EU) mag de EBA richtlijnen uitwerken op het gebied van governance. Op grond van CRD mogen richtlijnen gesteld worden ten aanzien van governance, betrokkenheid van het management, verplichting van het opzetten van een benoemingscommittee. De verplichtingen zijn van toepassing op de hele groep. Ook al is de CRD niet van toepassing op dochterondernemingen. Deze richtlijn moet in samenhang gelezen worden met de richtlijn geschiktheid die de EBA in samenwerking met de ESMA eind september heeft gepubliceerd.

Moet u aan de slag?

Wanneer u als compliance officer werkzaam bent bij een bank of beleggingsonderneming kan het raadzaam zijn om te beoordelen in hoeverre uw organisatie al voldoet aan de eisen uit de herziene richtlijnen. U heeft tot en met 30 juni 2018 de gelegenheid om hieraan te voldoen.
Wij zien deze richtlijnen als een mooi kader voor de interne governance van banken en beleggingsondernemingen. Andere typen financiële ondernemingen kunnen deze richtlijnen ook als uitgangspunt gebruiken. Het is een prima document om het gesprek over interne governance aan te gaan. Ook het gesprek over de borging van ethische waarden in de organisatiecultuur kan met deze richtlijnen (verder) gevoerd worden.