Op 28 oktober 2016 heeft de EBA een concept voor de nieuwe richtlijnen voor interne governance bij banken en beleggingsondernemingen ter consultatie voorgelegd. De consultatieperiode sluit op 28 januari. Deze nieuwe richtlijnen zullen de huidige richtlijnen uit 2011 gaan vervangen. EBA brengt deze en andere richtlijnen uit met als doel om Europese toezichthouders op een meer gelijke wijze toezicht te laten houden op banken. Deze richtlijnen zijn van toepassing op DNB en op banken en beleggingsondernemingen. Banken en beleggingsondernemingen doen er wat ons betreft verstandig aan om kennis te nemen van deze richtlijnen en op basis van deze richtlijnen te evalueren of er interne aanpassingen noodzakelijk zullen zijn.
In dit korte artikel gaan we in op de inhoud en opbouw van de richtlijnen. We belichten wat er wat ons betreft nieuw is en plaatsen kanttekeningen bij de nieuwe richtlijnen. We sluiten af met een advies aan de compliance officers.
Veel verplichtingen uit de nieuwe richtlijnen zijn eerder al verwerkt in de Nederlandse regelgeving en zullen daardoor zeer waarschijnlijk geen effect hebben op de Nederlandse banken en beleggingsondernemingen. Een aantal verplichtingen vallen op, omdat ze tot nu toe nog niet geëxpliciteerd zijn in Nederlandse wetgeving of nog niet gangbaar zijn in het dagelijkse nationale dan wel Europese toezicht. We lichten een aantal wijzigingen toe.
- De raad van bestuur is verantwoordelijk voor de organisatiecultuur en waarden die ervoor zorgen dat verantwoordelijk en ethisch gedrag mogelijk is. Een gedragscode of een vergelijkbaar instrument maakt hier onderdeel vanuit (artikel 19j). Hoewel DNB en AFM al een aantal jaar toezicht houden op de organisatiecultuur van financiële ondernemingen, is het wat ons betreft nieuw dat op Europees niveau wordt gesproken over organisatiecultuur en waarden die gericht zijn ethisch gedrag. In de richtlijnen van 2011 wordt organisatiecultuur alleen in verband gebracht met ´risk culture´. Daarnaast wordt in de richtlijnen uit 2011 ook gesproken over ethische standaarden; deze werden echter nog niet in verband gebracht met de impact die organisatiecultuur kan hebben op gedrag van mensen. Met de komst van het SSM hadden we voorzien dat het toezicht op gedrag en cultuur uitgeoefend door DNB aan belang zou inboeten, maar deze nieuwe richtlijnen wijzen erop dat Europa dat belang toch ook onderkent. We kunnen dat alleen maar toejuichen.
- De raad van bestuur moet het overzicht hebben van het proces van meldingen en communicatie (artikel 20). Dit artikel wordt niet nader toegelicht. Waarschijnlijk wordt hier gedoeld op de communicatie- en meldlijnen naar toezichthouders toe.
- Significante instellingen mogen, naast de klassieke commissies in de RvC, zoals de remuneratiecommissie en de risico- & auditcommissie, ook andere commissies benoemen, zoals bijvoorbeeld een commissie ethiek, gedrag en compliance. Er wordt benoemd dat andere instellingen dit ook mogen doen (artikel 36). Omdat wordt aangegeven dat het mag, is hier geen sprake van een verplichting. Het is dus niet goed in te schatten of dit nu ook werkelijk verwacht wordt. Wij schatten zelf in dat van significante instellingen verwacht zal worden om deze gespecialiseerde commissies in te stellen en dat zij zich zullen moeten verantwoorden wanneer zij niet overgaan tot dergelijke commissies. Voor andere instellingen zal dit waarschijnlijk (vooralsnog) niet aan de orde zijn.
- Er wordt meer nadruk gelegd op het beleid over interne governance (artikel 70 e.v.). Daarbij wordt aangegeven dat compliance en de andere risicobeheersende functies daarvoor input moeten leveren. En daarnaast moet compliance beoordelen in hoeverre de ‘internal governance policy’ in lijn is met interne en externe wet- en regelgeving.
- Er wordt meer nadruk gelegd op een beheerste en consistente risicocultuur (artikel 80 e.v.). In deze versie van de richtlijnen wordt nader geduid wat onder een risicocultuur wordt verstaan. Hierbij wordt expliciet ingegaan op de waarden van de organisatie, het gedrag van het bestuur, bespreekbaarheid, tegenspraak en verantwoording afleggen. We zien hier veel elementen uit het cultuurhuis van DNB in terug.
- Er zijn meer regels opgenomen ten aanzien van de organisatiewaarden en de gedragscode (artikel 85 e.v.). Er wordt daarbij ook expliciet gemaakt dat de ethische standaarden ook op uitbestedingspartijen van toepassing moeten zijn.
- Banken en beleggingsondernemingen zijn verplicht om een onafhankelijk meldpunt in te richten waar medewerkers, buiten de standaardrapportagelijnen om, een vermoeden van een overtreding kunnen melden. In de richtlijnen wordt vermeld dat dit de compliance officer, audit of een meldpunt uit de klokkenluidersregeling kan zijn. We adviseren om niet één van de drie functionarissen te kiezen, maar in ieder geval de compliance officer uit hoofde van de regeling incidenten aan te wijzen en een vertrouwenspersoon uit hoofde van een klokkenluidersregeling te benoemen. We adviseren deze splitsing omdat vertrouwenspersonen in principe geheimhouding zouden moeten kunnen toezeggen. Wanneer de rol van de vertrouwenspersoon belegd is bij de compliance officer kan dat op gespannen voet komen te staan met de meldplicht aan de externe toezichthouder die compliance officers uitvoeren op grond van de regeling incidenten. Een compliance officer in de rol van vertrouwenspersoon zou in geval van een melding op grond van de klokkenluidersregeling in een onwenselijke situatie terecht kunnen komen. Organisaties in Nederland met meer dan 50 medewerkers hebben overigens al een verplichting tot het inrichten van klokkenluidersregeling sinds 1 juli 2016. Door deze richtlijnen zullen banken en beleggingsondernemingen met minder dan 50 werknemers ook een klokkenluidersregeling moeten implementeren.
- In de richtlijnen wordt overigens ook de suggestie gegeven om een RvC-lid verantwoordelijk te maken om toe te zien op de meldingsregelingen zoals de klokkenluidersregeling.
- Daarnaast worden externe nationale toezichthouders verplicht om een meldpunt voor klokkenluidersmeldingen in te richten. DNB heeft dit meldpunt 12 februari 2016 al ingericht.
- Voor het hoofd audit, hoofd risk en het hoofd compliance geldt dat zij een directe rapportagelijn moeten hebben naar de RvC (artikel 123). Het is onze ervaring dat deze functionarissen doorgaans al een directe rapportagelijn hebben naar de RvC. Deze verplichting kan de functionarissen helpen die nog geen directe rapportagelijn hebben. In de richtlijnen wordt overigens niet gesproken over een periodieke rapportagelijn. Dat is wat ons betreft wel een voorwaarde, want als slechts een escalatielijn wordt ingericht, wordt deze niet altijd gebruikt wanneer dat wel nodig zou moeten zijn. De drempel wordt doorgaans te hoog ervaren wanneer er geen reguliere rapportage aan de RvC is ingericht.
- Op grond van de nieuwe richtlijnen mag het hoofd audit, hoofd risk en het hoofd compliance niet overgeplaatst of ontslagen worden zonder voorafgaande instemming van de RvC. Bij significante instellingen moeten de nationale externe toezichthouders onverwijld geïnformeerd worden over een benoeming, overplaatsing dan wel vertrek van een hoofd audit, hoofd risk en het hoofd compliance (artikel 124). In de oude richtlijnen was het alleen verplicht om de RvC te informeren over de aanstelling dan wel overplaatsing dan wel ontslag van een CRO.
- De combinatie van tweedelijnsfuncties is geëxpliciteerd. Het is voor sommige organisaties toegestaan om de risico- en compliancefunctie te combineren. Uitgangspunt is proportionaliteit. Voor meer complexe instellingen is dit niet langer toegestaan. De interne auditfunctie mag ongeacht de complexiteit van de organisaties nooit gecombineerd worden met een andere risicobeheersende functie (artikel 126).
- Operationele taken van de compliance-, risico- en auditfunctie mogen uitbesteed worden. Ook hier is het uitgangspunt proportionaliteit (artikel 128).
- De verplichting tot het hebben van een PARP is in de nieuwe richtlijnen nu uitgebreid naar een verplichting tot het hebben van veranderprocedures wanneer er materiële wijzigingen zijn aan processen en systemen. De compliance- en risicofunctie moeten monitoren of in lijn met de PARP en de veranderprocedures wordt gehandeld (artikel 143 e.v.)
In de richtlijnen wordt stil gestaan bij de rationale en het doel van de richtlijnen. Deze zijn als volgt verwoord:
• De richtlijnen zijn van toepassing op one tier boards en two tier boards.
• In de richtlijnen wordt uitgegaan van ‘three lines of defence’.
• Richtlijnen zijn ook van toepassing op het inrichten van nieuwe structuren, zoals in de offshore financiële centra.
• Het doel is om een sterke risicomanagementcultuur te bewerkstelligen.
• Organisaties worden verplicht tot het opstellen van een beleid ten aanzien van belangenverstrengeling en een klokkenluidersregeling.
De richtlijnen kennen een klassieke indeling van governancerichtlijnen. De richtlijnen bevatten regels ten aanzien van:
• raad van bestuur;
• raad van commissarissen;
• ‘internal governance’ beleid, risicocultuur en gedrag;
• proportionaliteit;
• interne controle raamwerk;
• transparantie.
Bij de nieuwe richtlijnen willen we graag een paar kanttekeningen maken.
In deze richtlijnen wordt net als in de oude richtlijnen gesproken over ‘risk culture’. Wellicht zou het mooier zijn om dit te duiden als ‘sound risk culture’ om zodoende meer te benadrukken dat het erom gaat om zorgvuldig de risico’s af te wegen.
In de regeling wordt gesproken over de ‘hoofden interne control’. In de definitie staat dat hiermee het hoofd risicomanagement, hoofd compliance en het hoofd van audit wordt bedoeld. In de richtlijnen worden deze functies vaak als 1 functiegroep geduid, terwijl er toch verschillen zijn die expliciet gemaakt mogen worden. Het zou aan te bevelen zijn om het te hebben over de tweede en de derde lijns hoofden, dan wel de functies bij naam te noemen. Het is immers wenselijk om de controlerende taken uit de tweede lijn niet te vermengen met de taken uit de derde lijn.
Hoewel we positief zijn over de verwijzing naar het belang van organisatiecultuur, wordt er in de richtlijnen vooral verwezen naar een vrij ouderwetse aanpak van ethische standaarden. Er wordt namelijk aangegeven dat het goed is om ethische standaarden te realiseren in de organisatie om zodoende risico’s te beheersen, zoals operationeel, juridisch en reputatierisico. Het is jammer dat ethische standaarden nog niet als business case worden ‘verkocht’.
Op grond van artikel 74 van de CRD IV (richtlijn 2013/32/EU) mag de EBA richtlijnen uitwerken op het gebied van governance. Op grond van CRD mogen richtlijnen gesteld worden ten aanzien van governance, betrokkenheid van het management, verplichting van het opzetten van een benoemingscommittee.
De verplichtingen zijn van toepassing op de hele groep. Ook al is de CRD niet van toepassing op dochterondernemingen.
Deze richtlijn moet in samenhang gelezen worden met de concept richtlijn geschiktheid die de EBA onlangs ter consultatie aangeboden en de richtlijn inzake uitbesteding.
Er bestaan veel definities van (interne) governance. In deze richtlijn wordt de volgende definitie meegegeven van internal governance:
“Internal governance omvat alle standaarden en principes die er zijn om het onderstaande te bepalen dan wel in te richten:
• doelen, strategieën en risicomanagementsysteem van de organisatie;
• organisatie van de business;
• verantwoordelijkheden en bevoegdheden;
• rapportagelijnen en informatiestromen;
• raamwerk van interne controle;
• financiële en beloningsprocessen;
• ICT systemen;
• uitbestedingen;
• business continuity management.”
In onze eigen woorden: alle systemen in de brede zin van het woord die je nodig hebt om een organisatie op een verantwoorde manier te kunnen voeren.
Wanneer u als compliance officer werkzaam bent bij een bank of beleggingsonderneming kan het raadzaam zijn om de ontwikkelingen ten aanzien van deze richtlijnen te volgen. Op dit moment zijn het nog conceptrichtlijnen, er kunnen dus nog wijzigingen worden doorgevoerd.
Mogelijk zult u aanpassingen moeten doorvoeren om te gaan voldoen aan de uiteindelijk definitieve versie van deze richtlijnen. Wij zien deze richtlijnen, ondanks onze kanttekeningen, als een mooi kader voor de interne governance van banken en beleggingsondernemingen. Andere typen financiële ondernemingen kunnen deze richtlijnen ook als uitgangspunt gebruiken. Het is een prima document om het gesprek over interne governance aan te gaan. Ook het gesprek over de borging van ethische waarden in de organisatiecultuur kan met deze richtlijnen (verder) gevoerd worden.
Mocht u werkzaam zijn bij een beursgenoteerde bank of beleggingsondernemingen, dan heeft u naast deze richtlijnen eveneens te maken met de onlangs gewijzigde Corporate Governance Code.