Handvatten voor melden incidenten

Ruud van der Mast

Op 25 mei 2023 heeft de AFM handvatten¹ gepubliceerd voor het melden van incidenten bij beleggingsondernemingen, een verplichting op basis van de regels voor integere bedrijfsvoering. In deze bijdrage beschrijven we de handvatten en beoordelen we of deze ook toegepast kunnen worden bij andere dienstverleners zoals pensioenfondsen.

Aanleiding voor de publicatie is het lage aantal gemelde incidenten. In een deep dive onderzoek heeft de AFM hier een aantal mogelijke oorzaken voor geïdentificeerd:

1. Beleid, procedures en maatregelen zijn niet altijd adequaat: met name het begrip ‘incident’ wordt niet altijd duidelijk gemaakt en ook de meldprocedure met rollen en waarborgen is niet overal duidelijk.
2. Herleidbare besluitvorming kan beter: toereikende vastlegging van besluitvorming over incidenten en opvolging, in bijvoorbeeld bestuursnotulen, is van belang.
3. Te sterke focus op operationele (IT) incidenten: hierdoor raakt aandacht voor integriteitsincidenten of misstanden achterop.
4. Zwaar leunen op eigen oordeel medewerkers: dit heeft tot risico dat beoordelingen niet consistent worden uitgevoerd.

De handvatten die AFM aanreikt zijn van bredere toepassing dan beleggingsondernemingen en zijn relevant voor alle (financiële) ondernemingen. Het is belangrijk dat er een eenduidige definitie wordt gekozen die medewerkers kunnen herkennen. Door voorbeelden te benoemen kunnen medewerkers deze ook beter plaatsen.

Een incident is gedefinieerd in artikel 1 BGfo als: “Een gedraging of gebeurtenis die een ernstig gevaar vormt voor de integere uitoefening van het bedrijf van een financiële onderneming”.

In een brief van 23 december 2020² gaf de AFM een aantal voorbeelden van (mogelijke) incidenten.

Good practices/handvatten

DNB heeft een aantal good practices beschreven die zij tegen is gekomen in haar onderzoek. Deze handvatten kunnen bijdragen aan een scherper geformuleerd beleid en de werking daarvan.

• Het verlagen van de interne drempel om gebeurtenissen te melden en zodoende het melden door medewerkers te stimuleren; bijvoorbeeld door naast potentiële incidenten ook fouten (events) of ‘near misses’ intern te laten melden.
• Naast het ‘Hoe’ en ‘Wat’ in het beleid expliciteren ‘Waarom’ het belangrijk is om incidenten te melden. Meer begrip achter het doel van het melden kan medewerkers stimuleren meldingen te doen. Ook helpt dit leidinggevenden de boodschap beter uit te dragen naar de organisatie.
• Een toegankelijke manier van melden creëren door het inzetten van gebruiksvriendelijke tools; bijvoorbeeld een formulier op intranet met heldere instructie en training hoe medewerkers deze formulieren kunnen invullen. En het hanteren van vaste informatiepunten die moeten worden ingevuld zodat meldingen op consistente wijze worden beoordeeld.
• Informeren van de melder over de voortgang en uitkomst van de melding; het expliciteren van de meerwaarde van een melding en duidelijkheid geven over het proces stimuleert medewerkers om (te blijven) melden.

Het Nederlands Compliance Instituut ondersteunt (financiële) ondernemingen zeer regelmatig bij het ontwerpen van incidentenbeleid, misstandenregelingen of klokkenluidersregelingen. Ook fungeren wij voor verschillende organisaties als meldpunt incidenten of als vertrouwenspersoon. Meer informatie over dit onderwerp is te vinden op onze website.