De meeste van ons zullen wel iets hebben meegekregen van het Sinterklaasfeest. Of misschien heb je het wel actief gevierd (in kleine kring of zelfs online). Het is altijd fijn om cadeautjes te krijgen. Tenminste dat zal voor de meeste mensen zo gelden. Zijn er ook geschenken voorstelbaar die wat minder fijn zijn om te krijgen? Afgelopen week publiceerde DNB een aanwijzingsbesluit met betrekking tot de MUFG Bank. In dit besluit komt een aantal zeer interessante aandachtspunten naar voren waar wij als compliance officers veel van kunnen leren. Misschien niet zo’n heel fijn cadeautje, met name niet voor MUFG Bank, maar wel zeer waardevol. In deze blog besteed ik graag aandacht aan het herziene handhavingsbeleid van DNB en AFM en de leerpunten die we uit dit gepubliceerde aanwijzingsbesluit kunnen opmaken.
Nieuw handhavingsbeleid DNB/AFM
Op 2 november verscheen op de website van DNB het volgende bericht: “De Autoriteit Financiële Markten (AFM) en De Nederlandsche Bank (DNB) hebben hun handhavingsbeleid geactualiseerd, waardoor het beter aansluit bij de huidige toezichtspraktijk.”
DNB geeft in het bericht aan, dat het vorige handhavingsbeleid dateerde van 2008. De voornaamste wijzigingen in het aangepaste beleid zijn:
Ik hoor sommigen uit de financiële sector nog wel eens zeggen, dat zij zaken zoals het uitvoeren van een SIRA van de toezichthouder moeten doen. Maar is dat in essentie wel zo? In het handhavingsbeleid staat het als volgt opgeschreven:
“De financiële wet- en regelgeving dient meerdere doelstellingen, waaronder het waarborgen van de soliditeit van financiële ondernemingen en pensioenfondsen, de stabiliteit van de financiële sector, ordelijke en transparante financiële marktprocessen, zuivere verhoudingen tussen marktpartijen, zorgvuldige behandeling van cliënten, bescherming van de belegger/consument en de integriteit van het financiële stelsel.”
Ter verduidelijking staat in het beleid ook de rol van de toezichthouders DNB en AFM beschreven: “Zij hebben de taak toe te zien op de naleving van deze financiële wet- en regelgeving. Om die naleving te realiseren hebben zij wettelijke bevoegdheden en handhavingsinstrumenten toebedeeld gekregen.”
Uitgangspunten inzet handhavingsinstrumenten
Voor de inzet van handhavingsinstrumenten hebben de toezichthouders een aantal uitgangspunten geformuleerd, dat aansluit bij de doelstellingen van de financiële wet- en regelgeving. Deze uitgangspunten worden in het beleid nader toegelicht en zijn als volgt:
Publicatie van het aanwijzingsbesluit
In de paragraaf over openbaarmaking valt te lezen, dat: “de toezichthouders op grond van de financiële wet- en regelgeving veelal verplicht zijn om besluiten tot het opleggen van een bestuurlijke sanctie in beginsel volledig openbaar te maken.” Onder een bestuurlijke sanctie wordt bijvoorbeeld ook een aanwijzing verstaan.
Ik heb een enkeling in de afgelopen week de vergelijking al horen maken met de schandpaal op het dorpsplein van enkele eeuwen terug. Wetsovertreders werden zo letterlijk te kijk gezet, zodat iedereen wist dat deze persoon iets gedaan had wat niet mocht. Ook diende het ter afschrikking: “Kijk uit dat je je aan de regels houdt, anders wacht jou hetzelfde lot!” De meesten keken dus wel uit.
In het herziene beleid leggen DNB en AFM uit, dat openbaarmaking verschillende doelen dient:
Dit is in essentie dus inderdaad te vergelijken met de schandpaal. Op de vraag in welke mate MBE onevenredig grote schade oploopt door deze aanwijzing en de hieraan verbonden consequenties is door DNB beoordeeld, zo valt uit het besluit te lezen: “Naar het oordeel van DNB wegen deze negatieve gevolgen niet op tegen het zwaarwegend belang bij handhaving van de bij of krachtens het Bpr en Wwft gestelde regels, mede gezien de ernst van de geconstateerde overtredingen en het gebrek op concreet zicht op beëindiging daarvan in combinatie met de hoge mate van verwijtbaarheid van MBE.”
Het aanwijzingsbesluit MUFG
Op 1 december verscheen op de website van DNB het volgende bericht: “De Nederlandsche Bank N.V. (DNB) heeft op 29 juli 2019 een aanwijzing gegeven aan MUFG Bank (Europe) N.V. (MBE). De aanwijzing is gegeven omdat MBE bepalingen uit het Besluit prudentiële regels Wft (Bpr) en de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) heeft overtreden.”
Onderaan het nieuwsbericht is de integrale tekst van het aanwijzingsbesluit voor iedereen met toegang tot internet te downloaden. Grofweg komt het er in het besluit op neer, dat MBE vanaf juni 2016 is gewezen op het feit dat de bedrijfsvoering op een aantal essentiële punten niet aan de vereisten uit de wet- en regelgeving voldeed. Ook na de inzet van verschillende informele handhavingsinstrumenten bleek duurzame verbetering op de aangegeven knelpunten niet ingevoerd te zijn. Daarom heeft DNB op 13 juni 2019 MBE geïnformeerd over het voornemen een aanwijzing, een formeel handhavingsinstrument, te geven. Dat is dus maar liefst drie jaar na de eerste constatering van tekortkomingen. Je kunt niet anders constateren, dan dat DNB niet over één nacht ijs is gegaan.
Systematische Analyse van Integriteitsrisico’s
MBE moet op basis van de vergunning een adequaat beleid voeren dat een integere uitoefening van het bedrijf waarborgt. Zo is dat beschreven in artikel 3:10 Wft. Een andere uitwerking van deze bepaling is opgenomen in artikel 10 Bpr die gaat over de vereiste dat de onderneming zorg moet dragen voor een systematische analyse van integriteitsrisico’s.
MBE heeft in de introductie van de SIRA een inventarisatie opgenomen van de exposure in verschillende sectoren en landen, de KYC rating (d.w.z. de risicoclassificatie van alle cliënten van MBE en uitgesplitst per vestiging), de exposure per type product dat MBE aanbiedt en uitkomsten van sanctiescreening en transactiemonitoring.
Om tot voor MBE relevante inherente risico’s te komen heeft MBE echter nagelaten een analyse uit te voeren op deze informatie. Er was dus geen aanwijsbare verbinding tussen de opgenomen informatie in de introductie aan de ene kant en de scenario’s opgenomen in de Risk Appetite Statement en de SIRA aan de andere kant.
Beoordelen van risico’s op witwassen en financieren van terrorisme
Ook moet MBE op basis van artikel 2b Wwft de risico’s op witwassen en financieren van terrorisme, die verbonden zijn aan de aard, omvang en dienstverlening vaststellen en beoordelen. MBE moet hierbij rekening houden met de risicofactoren die verband houden met het type cliënt, product, dienst, transactie en leveringskanaal en met landen of geografische gebieden. De resultaten van het vaststellen en beoordelen van deze risico’s moet MBE vastleggen en actueel houden.
Het moederbedrijf van MBE is MUFG uit Japan. MUFG heeft een bijkantoor in Londen, waarvoor zogenaamde business rules zijn opgesteld. Deze business rules zijn de criteria op basis waarvan het post transactiemonitoringssysteem alerts genereert. Het probleem is echter, dat MBE de business rules van het Engelse bijkantoor van haar moeder MUFG toepast in haar eigen geautomatiseerd post-event transactiemonitoringssysteem. Dat betekent dus dat MBE de voor MBE specifieke integriteitsrisico’s niet zelf (aantoonbaar) in procedures en maatregelen vertaalt, maar gebruik maakt van business rules die tot stand zijn gekomen aan de hand van de risicoanalyse van het Engelse bijkantoor van MUFG. Los van dit probleem werd ook geconstateerd dat de business rules niet juist zijn ingesteld, waardoor het risico bestond dat ongebruikelijke transacties onterecht niet zijn opgemerkt.
Effectieve compliancefunctie
Als derde grondslag voor de aanwijzing wordt artikel 21 Bpr aangehaald. MBE moet op basis van dit artikel beschikken over een organisatieonderdeel dat op onafhankelijke en effectieve wijze een compliancefunctie uitoefent. Zoals in dit artikel beschreven staat, heeft dit organisatieonderdeel als taak het controleren van de naleving van wettelijke regels en van interne regels die de financiële onderneming of bijkantoor zelf heeft opgesteld.
MBE maakte in het transactiemonitoringsproces gebruik van de services van een gespecialiseerde afdeling van het Engelse bijkantoor van MUFG. De compliancefunctie van MBE controleerde het werk van deze afdeling niet. DNB stelt op basis van onder andere deze constatering, dat de compliancefunctie onvoldoende invulling heeft gegeven aan de wettelijke vereiste dat de compliancefunctie de naleving van wettelijke regels en interne regels moet controleren.
Ten slotte
Het is één van de eerste aanwijzingsbesluiten die onder het herziene handhavingsbeleid op deze manier worden gepubliceerd. Het is zeker niet de laatste. Het is duidelijk: Krijgt jouw financiële onderneming te maken met een formeel handhavingsinstrument van DNB of AFM? Dan sta jij naar alle waarschijnlijkheid ook op deze manier op het plein te kijk.
Zoals in het aanwijzingsbesluit valt te lezen is het van belang om vooral de verbinding te leggen tussen alle beheersmaatregelen die je in het compliancesysteem opneemt. Dus, stel je een SIRA op, zorg er dan ook voor dat je je transactiemonitoring hiermee in lijn brengt. En zorg ervoor dat deze geactualiseerde maatregelen op effectiviteit worden gecontroleerd door de eerste en gemonitord door de tweede lijn. De SIRA moet worden ingezet als sturingsdocument, dat is de boodschap.
Het wordt aan de hand van dit soort aanwijzingsbesluiten steeds duidelijker hoe de toezichthouder de open normen in de wet- en regelgeving interpreteert. Lachen om andermans slechte cadeau is voor sommigen wellicht verleidelijk om te doen, maar bedenk: volgend jaar kan een dergelijk cadeau zomaar voor jou uit de zak van Sinterklaas komen… Een gewaarschuwd mens telt voor twee.
Wil je eens nadenken over hoe je jouw compliancesysteem kunt verbeteren? Neem dan contact op met mij of mijn collega’s van het Nederlands Compliance Instituut.
