Compliance in verwarring: Hete of linke soep?

Je zal maar compliance officer zijn tegenwoordig. Of nog erger: compliance officer in de financiële sector! Misschien verwacht je in een behoorlijk gereguleerde sector als deze wel dat je juist goed gefaciliteerd wordt door een set passende wetten en regels, op zowel Europees als nationaal niveau. In allerlei documenten staat toch vrij uitgebreid beschreven wat van de compliance officer verwacht mag en moet worden? Hierbij kun je niet alleen terecht bij nationale wet- en regelgeving, maar ook bij richtlijnen en aanbevelingen van Europese toezichthouders, waarop door DNB toezicht wordt gehouden. 

Regelmatig brengen deze regels de compliance officer echter eerder in verwarring: meer dan eens sluiten deze wetten, regels, richtsnoeren en aanbevelingen helemaal niet goed op elkaar aan. Is dat niet bijzonder? En misschien nog wel belangrijker: Hoe kunnen we hier nu het beste mee omgaan? 

Verwarring 

Met het doel een korte analyse op te stellen heb ik recent eens een aantal bepalingen ten aanzien van de positie en taken van de compliancefunctie op een rijtje gezet. En misschien valt het je nu ook op: in deze alinea heb ik het over de ‘compliancefunctie’, terwijl ik het hiervoor nog had over de ‘compliance officer’. Is dat verdacht? Terechte vragen zouden kunnen zijn: “Bedoelt hij hier nu dezelfde functionaris mee? Of ziet hij verschil aangezien hij ook twee verschillende termen gebruikt?” 

Om duidelijkheid te scheppen: In dit geval bedoel ik dezelfde functionaris. De functie die vanuit de tweede lijn intern toezicht houdt op de kernactiviteiten in de eerste lijn (monitort) en zowel gevraagd als ongevraagd de eerste lijn van advies voorziet ten aanzien van het versterken van compliance en integriteit in de organisatie. 

Ter illustratie beschrijf ik hieronder een drietal voorbeelden waarin verschillende relevante Europese en nationale stukken elkaar op punten lijken tegen te spreken. ‘See for yourself’! 

Voorbeeld 1: Schrijft de compliance officer nu wel of geen beleid en procedures? 

NEE, GEEN BELEID SCHRIJVEN 

• Artikel 10 Bpr Wft: 
  • De financiële onderneming, (…), draagt zorg voor onafhankelijk toezicht op de uitvoering van het beleid en de procedures en maatregelen met betrekking tot de integere uitoefening van het bedrijf en beschikt over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken worden gerapporteerd aan de personen belast met de taak, bedoeld in artikel 21 (red. de compliance functie). 

• Artikel 21 Bpr Wft: Het organisatieonderdeel heeft voorts als taak het toezien op de deugdelijkheid en effectiviteit van de interne regels en procedures; 

• EBA Guidelines on internal governance:  
  • Within all three lines of defence, appropriate internal control procedures, mechanisms and processes should be designed, developed, maintained and evaluated under the ultimate responsibility of the management body. 
  • The management body in its management function should engage actively in the business of an institution and should take decisions on a sound and well-informed basis. 

• ESMA Guidelines on certain aspects of the MiFID II compliance function requirements:  
  • Compliance staff should generally not be involved in the activities they monitor. However, a combination of the compliance function with other control units at the same level (such as money laundering prevention) may be acceptable if this does not generate conflicts of interests or compromise the effectiveness of the compliance function. 

• EBA Guidelines On policies and procedures in relation to compliance management and the role and responsibilities of the AML/CFT Compliance Officer: 
  • (…) a credit or financial institution’s management body in its management function should ensure implementation of internal AML/CFT policies and procedures; 

• DNB Consultatie SIRA Good Practices 
  • Een instelling behandelt de resultaten van de recente SIRA met regelmaat in vergaderingen van haar Raad van Bestuur (RvB). De RvB neemt vervolgens de leiding in het aanscherpen van de mitigerende maatregelen om de geïdentificeerde risico’s effectief aan te pakken. 

JA, WEL BELEID SCHRIJVEN 

• EU 2024/1624 Anti Money Laundering Regulation: Tasks pertaining to the day-to-day implementation of the obliged entity’s AML/CFT internal policies, procedures and controls should be entrusted to the compliance officer. 

• EBA Guidelines on internal governance:  
  • The compliance function monitors compliance with legal requirements and internal policies, provides advice on compliance to the management body and other relevant staff, and establishes policies and processes to manage compliance risks and to ensure compliance. 

• EBA Guidelines On policies and procedures in relation to compliance management and the role and responsibilities of the AML/CFT Compliance Officer: 
  • The AML/CFT compliance officer should ensure that adequate policies and procedures are put in place, kept up to date and implemented effectively on an ongoing basis. 
  • The AML/CFT compliance officer should ensure that AML/CFT policies and procedures are reviewed regularly and amended or updated where necessary;  

Voorbeeld 2: Wie verzorgt nu eigenlijk de risicoanalyse (SIRA)? 

NIET DE COMPLIANCE OFFICER 

• Artikel 10 Bpr Wft: 
  • De financiële onderneming, (…), beschikt over procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken met betrekking tot de integere uitoefening van het bedrijf onder toezicht van de personen belast met de taak, bedoeld in artikel 21, (red. de compliancefunctie) tot een gepaste bijstelling leiden. 

• Artikel 21 Bpr Wft: Het organisatieonderdeel heeft voorts als taak het toezien op de deugdelijkheid en effectiviteit van de interne regels en procedures; 

• DNB Q&As and Good Practices Wwft: 
  • Hierbij is duidelijk beschreven dat de eerste lijn primair verantwoordelijk is voor het identificeren, beoordelen en beheersen van risico’s met betrekking tot witwassen en financieren van terrorisme binnen hun dagelijkse werkzaamheden.  

• BIS Compliance and the compliance function in banks 
  • The bank’s senior management is responsible for the effective management of the bank’s compliance risk.  
  • Senior management should, with the assistance of the compliance function, at least once a year, identify and assess the main compliance risk issues facing the bank and the plans to manage them. 

WEL DE COMPLIANCE OFFICER 

• EU 2024/1624 Anti Money Laundering Regulation: The business-wide risk assessment shall be drawn up by the compliance officer and approved by the management body in its management function 

• ESMA Guidelines on certain aspects of the MiFID II compliance function requirements: The compliance function shall, as part of its tasks, conduct a risk assessment to ensure that compliance risks are comprehensively monitored 

• EBA Guidelines On policies and procedures in relation to compliance management and the role and responsibilities of the AML/CFT Compliance Officer: 
  • (…) the AML/CFT compliance officer should develop and maintain an ML/TF risk assessment framework for business-wide and individual ML/TF risk assessments in line with the EBA guidelines on ML/TF risk factors.  
  • The AML/CFT compliance officer should ensure that the AML/CFT framework is updated where necessary, and in any case when deficiencies are detected, new risks emerge or the legal or regulatory framework has changed.   
  • The AML/CFT compliance officer should at least propose how to address any changes in legal or regulatory requirements or in ML/TF risks as well as how to best address deficiencies or shortcomings identified through monitoring or supervisory activities. 
  • The AML/CFT compliance officer should report the results of the business-wide and individual ML/TF risk assessment to the management body, via the member of the management body, or to the senior manager responsible for AML/CFT, or directly, if he/she deems it necessary. The AML/CFT compliance officer should propose to the management body the measures to take to mitigate those risks. 

Voorbeeld 3: Zit de compliance officer nu in de eerste of tweede lijn? 

IN DE TWEEDE LIJN 

• Artikel 21 Bpr Wft: Het organisatieonderdeel heeft voorts als taak het toezien op de deugdelijkheid en effectiviteit van de interne regels en procedures; 

• EBA Guidelines on internal governance:  
  • The management body should ensure that the internal control functions are independent of the business lines they control, including that there is an adequate segregation of duties, and that they have the appropriate financial and human resources as well as powers to effectively perform their role. 

• EBA Guidelines On policies and procedures in relation to compliance management and the role and responsibilities of the AML/CFT Compliance Officer: 
  • The AML/CFT compliance officer should be part of the second line of defence and, as such, part of an independent function 
  • Both the compliance function and the independent AML/CFT compliance function should be located in the second line of defence of the credit and financial institutions. 

• ESMA Guidelines on certain aspects of the MiFID II compliance function requirements: 
  • Subject to the proportionality principle, firms should favour an organisation where the compliance function and the complaints management function are properly separated. 
  • While senior management is responsible for establishing an appropriate compliance organisation and for monitoring the effectiveness of the organisation that has been implemented, the tasks performed by the compliance function should be carried out independently from senior management and other units of the firm. In particular, the firm’s organisation should ensure that other business units may not issue instructions or otherwise influence compliance staff and their activities and an appropriate escalation process by the compliance function to senior management should be implemented.  

• BIS Compliance and the compliance function in banks 
  • Regardless of how the compliance function is organised within a bank, it should be independent and sufficiently resourced, its responsibilities should be clearly specified, and its activities should be subject to periodic and independent review by the internal audit function. 
  • The bank’s senior management is responsible for establishing a written compliance policy that contains the basic principles to be followed by management and staff, and explains the main processes by which compliance risks are to be identified and managed through all levels of the organisation. 

TWIJFEL / OP HET RANDJE 

• EBA Guidelines on internal governance:  
  • Without prejudice to national law implementing Directive 2015/849/EU,  institutions should assign the responsibility for ensuring the institution’s compliance with the requirements of that directive and the institution’s policies and procedures to a staff member (e.g. head of compliance). 

• EBA Guidelines On policies and procedures in relation to compliance management and the role and responsibilities of the AML/CFT Compliance Officer: 
  • (…) the AML/CFT compliance officer should duly inform staff about the ML/TF risks to which the credit or financial institution is exposed including ML/TF methods, trends and typologies, as well as of the risk-based approach implemented by the credit or financial institution to mitigate these risks 

• DNB Q&As and Good Practices Wwft: 
  • In overleg met het management wordt er een bijeenkomst belegd waarin de compliancefunctie de bevindingen terugkoppelt aan de medewerkers en waarin het management het belang van de afgesproken acties onderstreept (…). 

Hete soep 

Een bekend spreekwoord is: “De soep wordt niet zo heet gegeten als deze wordt opgediend.” Als we dit van toepassing verklaren op de positie van de compliance officer, dan zou dat kunnen betekenen, dat we weliswaar de positie, taken en verantwoordelijkheden van deze functionaris op papier hebben vastgelegd, maar dat de hazen in de praktijk net even anders lopen. Het beeld van Nederland als polderland pur sang doemt op: “We komen er wel uit met elkaar!” Al polderend komen we in de praktijk tot een compromis waarin zowel de eerste als de tweede lijn zich min of meer kunnen vinden. Wat op papier staat is weliswaar heel wat anders als wat we laten zien, maar als we gezamenlijk besluiten, expliciet dan wel impliciet, dat we dat geen probleem vinden, wie kraait er dan naar? 

Linke soep 

Tot het moment dat internal audit, de accountant of de toezichthouder langs komt. Zoals bijvoorbeeld staat beschreven in de ‘ESMA Guidelines on certain aspects of the MiFID II compliance function requirements’: Competent authorities should review how firms plan to meet, implement and maintain the applicable compliance function requirements. 

Op basis van onderzoek zou naar voren kunnen komen dat de organisatie de basisvoorwaarden op het gebied van good governance niet op orde heeft. Bijvoorbeeld vanwege het feit dat de uitvoering niet overeen komt met wat op papier staat, of dat de inrichting van de organisatie niet aan de wettelijke vereisten voldoet. Welke impact zou een dergelijke conclusie kunnen hebben op de organisatie en de individuele actoren in de organisatie? Dat zou zo maar eens linke soep kunnen worden. Hoe zou dat voelen? Ik zou zeggen: op zijn minst soep met een bijsmaakje, aangezien de (wettelijke) vereisten helemaal niet zo eenduidig zijn opgeschreven. Maar wat moet je dan? 

Een mogelijke oplossing 

In het geval van linke of hete soep zou je zeggen: niet aanraken of op zijn minst goed stoom afblazen. Maar die keuze is er niet als het gaat om het bepalen wat de juiste positie, taken en verantwoordelijkheden van de compliance officer in de organisatie zijn. Gegeven dat je het goed wilt vastleggen en conform wilt inrichten en uitvoeren, wat zou dan wel kunnen helpen? 

Analoog aan de beweging die DNB laat zien in de aankomende Good Practices met betrekking tot de SIRA: “Zweef even boven de materie, denk zelf goed na en leg je standpunten en keuzes vast. Sta voor je eigen zaak en neem zelf verantwoordelijkheid.” Dat lijkt mij een goede richting om ook op dit vraagstuk toe te passen: 

• Zweef even boven de materie 

Bij het analyseren van grote hoeveelheden informatie is het niet heel ongewoon dat het gevaar bestaat van ‘door de bomen het bos niet meer zien’. Daarom de eerste tip: probeer eens even boven de materie te hangen. Vraag je af waar het hier nu in essentie over gaat. 

• Denk zelf goed na 

In een analyse als deze is het goed je daarna af te vragen wat nu de leidende principes zijn, die toegevoegde waarde bieden. Los van wat in allerlei stukken staat beschreven: wat willen we hier nu bereiken? En hoe zou dit dan moeten werken? Ik vul het even vanuit de losse pols in voor de rol van de compliance officer: “Je wilt als management je eigen beslissingen kunnen nemen, jij bent immers verantwoordelijk. Tegelijk wil je het jezelf gunnen om vanuit expertise een onafhankelijke spiegel voorgehouden te krijgen, zodat je je op basis van dat beeld steeds weer kunt verbeteren. Met andere woorden: het moet af en toe schuren op basis van interne tegenspraak, daar word je alleen maar beter van!” 

• Leg je standpunten en keuzes vast 

‘Niet vastgelegd is niet gedaan!” is inmiddels een gevleugeld begrip geworden. Zeker met betrekking tot beleidskeuzes is het belangrijk je overwegingen en het uiteindelijke besluit vast te leggen. Op die manier is het voor iedere betrokkene, intern of extern, duidelijk wat het beleid is en welke overwegingen daar aan te grondslag liggen.  

• Sta voor je eigen zaak en neem zelf verantwoordelijkheid 

De ervaring leert dat een toezichthouder niets liever ziet dan een organisatie die ‘in de driver’s seat’ zit. Daarmee bedoel ik een onderneming die voor de gemaakte keuzes staat en deze desgewenst ook beargumenteren en kan verdedigen. De financiële onderneming moet een adequaat beleid voeren dat een integere uitoefening van het bedrijf waarborgt. De bedrijfsvoering moet zodanig ingericht zijn dat deze een beheerste en integere uitoefening van het bedrijf waarborgt. Dat zijn wettelijk vastgelegde kernverantwoordelijkheden van de leiding van de organisatie, daar kun je op aangesproken worden. 

Ten slotte 

Deze wat langere blog is erop gericht te laten zien dat niet alle bepalingen ten aanzien van de positie, taken en verantwoordelijkheden van de compliance officer in de financiële sector goed op elkaar aansluiten. Om te bepalen wat nu de oorzaken zijn van deze schijnbare tegenstellingen is meer onderzoek nodig. Zou de matige effectiviteit van de Europese witwasbestrijding mogelijk een rol kunnen spelen? Of misschien wel een sterker geloof in de Angelsaksische versus de Rijnlandse aanpak bij Europese toezichthouders? Hebben we de oorzaken helder, dan kunnen we misschien ook denken aan het beter in lijn brengen van de vereisten. 

Wellicht worstel je in jouw organisatie ook wel met de positionering, inrichting en organisatie van de compliancefunctie. En wellicht kun je wel wat hulp gebruiken. Twijfel dan niet en neem gewoon eens contact op met de experts van het Nederlands Compliance Instituut. Wij staan je graag met raad en daad terzijde. 

Meer lezen 

Zelf onderzoek doen naar wat er over de positie, taken en verantwoordelijkheden van de compliance officer is vastgelegd in Europese en nationale wet- en regelgeving? Kijk dan eens wat in de volgende stukken hierover staat: 

• Artikel 3:10 Wft 

• Artikel 3:17 Wft 

• Artikel 10 Besluit prudentiële regels Wft 

• Artikel 21 Besluit prudentiële regels Wft 

• Beleidsregel toepassing Europese toezichthoudende autoriteiten Wft 2019 

• EU 2024/1624 Anti Money Laundering Regulation 

• EBA Guidelines on internal governance under CRD 

• EBA Final report on Guidelines on the role, tasks and responsibilities AML/CFT compliance officers 

• ESMA Guidance on the compliance function under MiFID II 

• BIS Compliance and the compliance function in banks 

• BIS Corporate Governance Principles for Banks 

• IIA Three Lines Model 

• AFM Handvatten voor het verbeteren van de compliancefunctie 

• DNB Q&As and Good practices Wwft 

• DNB Consultatie SIRA Good Practices 

• ECB Draft guide on governance and risk culture 

• Blogs Nederlands Compliance Instituut 
  • ICE: In case of emergency 

• • Wie houdt wet- en regelgeving bij? 

• • Hoe onafhankelijk ben jij? 

• • Moeilijk 

• • Checks and Balances