13
Compliance management rapportages: een ‘papieren tijger’? M r . M. J . van Woer d en
stelling
De compliance officer kan veel sturing geven aan de governance van de onderneming op basis van geformaliseerde compliance management rapportages.
Inhoud hoofdstuk 13
13.1
Inleiding 191
13.2 13.2.1 13.2.2 13.2.3
Wie is verantwoordelijk voor het rapporteren over compliancerisico’s? 192 Het Basel Committee Compliance Paper 192 De MiFID Uitvoeringsrichtlijn 2006 194 Besluit Gedragstoezicht financiële ondernemingen Wft 195
13.3
Hoe draagt rapportage bij aan het waarborgen van een integere bedrijfsvoering? 196
13.4 13.4.1 13.4.2
Wat is de impact van ontoereikende compliance management rapportage? 199 Het voorbeeld van Citibank Japan 199 ‘When worse comes to worse…’ 202
13.5
Afsluiting 202
Compliance management rapportages: een ‘papieren tijger’? Mr. M.J. van Woerden
13.1
Inleiding
De compliance officer moet uiteenlopende taken weten te combineren, waarvoor ook verschillende vaardigheden zijn vereist. De rol van adviseur, risicomanager, trainer en controleur zijn soms moeilijk in één functie, laat staan één persoon, te verenigen. Past daarbij ook de rol van ‘rapporteur’? Compliance management rapportages zijn een resultante van deze diverse taken. Het belang van de rapportage als ‘sluitstuk’ moet niet worden onderschat, omdat dit niet alleen een verantwoording bevat voor gevoerd beleid, maar tevens een goed instrument kan zijn voor de compliance officer om sturend op te treden, met achterlating van een ‘paper trail’. Een potentieel machtig wapen dus, dat niet lichtvaardig mag worden ingezet. In deze bijdrage staan het belang en gebruik van compliance management rapportages centraal. Daarbij komen de volgende vragen aan bod: • Wie is verantwoordelijk voor het rapporteren over compliancerisico’s? • Hoe draagt rapportage bij aan het waarborgen van een integere bedrijfsvoering? • Wat is de impact van ontoereikende compliance management rapportage? De antwoorden hierop staan in de context van de recente beroering over misstanden in de financiële sector. Deze beroering heeft immers geleid tot scepsis over de effectiviteit van regelgeving en het toezicht daarop. Hierdoor is het vertrouwen in het ‘zelfreinigend vermogen’ van de marktsector aangetast. Ook de compliancefunctie zal zich moeten bezinnen op verbetering van de eigen slagkracht en nieuwe kansen moeten benutten bij het zoeken naar crisisbestendige oplossingen. Een reden te meer om de bijzondere betekenis van het instrument van de compliance management rapportage eens nader onder de loep te nemen. In deze bijdrage concentreer ik mij daarbij op compliance in de financiële sector.
191
1 Besluit van 12 oktober 2006, houdende regels met betrekking tot het gedragstoezicht op financiële ondernemingen(Besluit Gedragstoezicht financiële ondernemingen Wft), hierna te noemen: BGfo.
“Een potentieel machtig wapen, dat niet lichtvaardig mag worden ingezet” 13.2
2 Ik zal in deze bijdrage niet ingaan op de rolverdeling tussen de compliancefunctie en de interne auditfunctie. Ook de samenhang van werkzaamheden met andere riskmanagementfuncties valt buiten het bestek van deze bijdrage. 3 Compliance and the compliance function in banks, Accounting Task Force van de Basel Committee on Banking Supervision, april 2005 (hierna te noemen: ‘Basel Committee Compliance Paper’). 4 Richtlijn 2006/73/EG, ter uitvoering van de Richtlijn 2004/39/EG betreffende organisatorische eisen en voorwaarden voor beleggingsondernemingen en definitie van begrippen.
Wie is verantwoordelijk voor het rapporteren over compliancerisico’s?
Gedurende het afgelopen decennium is steeds als uitgangspunt gehanteerd dat het senior management (en uiteindelijk de hoogste leiding) van de onderneming verantwoordelijk is voor compliant gedrag binnen de onderneming, met daarbij een ondersteunende rol voor de compliancefunctie. Dit zal in de komende tien jaar niet anders zijn. In de afgelopen jaren heeft zich echter wel een verandering voorgedaan ten aanzien van de verdeling van verantwoordelijkheden voor het rapporteren over de compliancerisico’s in de organisatie en de hieraan gerelateerde tekortkomingen. Niet het senior management maar de compliancefunctie moet zorgdragen voor deze rapportage2. Ik zal deze verandering aangeven door de tekst van de paper ‘Compliance and the compliance function in banks’3, uitgebracht in 2005 door de Basel Committee on Banking Supervision, te vergelijken met de huidige wetgeving op dit gebied. Daarbij komen ook de gerelateerde bepalingen in de MiFID Uitvoeringsrichtlijn 20064 aan bod. De betekenis van de Nederlandse Corporate Governance Code in de context van compliance management rapportages komt vervolgens eveneens aan de orde. Dit zal mij brengen tot de slotsom dat het instrument van de compliance management rapportage een prominente plaats verdient binnen de ‘checks-and-balances’ van de governancestructuur van de onderneming.
13.2.1
Het Basel Committee Compliance Paper
Het Basel Committee Compliance Paper heeft voor wat betreft de toedeling van de verantwoordelijkheid voor compliance management rapportage houvast geboden, maar tevens nieuwe vragen opgeroepen. In het Basel Committee Compliance Paper wordt namelijk onderscheid gemaakt tussen rapportage aan de hoogste leiding (‘board of directors’) en het managementniveau daaronder (‘senior management’), waarbij gekozen is voor een ‘getrapt model’. De verantwoordelijkheid voor rapportage aan de ‘board of directors’ over het compliancerisico en de geconstateerde tekortkomingen op dit gebied wordt gelegd bij het ‘senior management’. Ik citeer:
192
Hoofdstuk 13 Compliance management rapportages: een ‘papieren tijger’?
‘Principle 2: The bank’s senior management is responsible for the effective management of the bank’s compliance risk5.’ […]; ‘Principle 3: “The bank’s senior management is responsible for establishing and communicating a compliance policy, for ensuring that it is observed, and for reporting to the board of directors on the management of the bank’s compliance risk.”.’ En vervolgens onder Principle 3, paragraaf 18: ‘Senior management should, with the assistance of the compliance function: • at least once a year, identify and assess the main compliance risk issues facing the bank and the plans to manage them. Such plans should address any shortfalls (policy, procedures, implementation or execution) related to how effectively existing compliance risks have been managed, as well as the need for any additional policies or procedures to deal with new compliance risks identified as a result of the annual compliance risk assessment; • at least once a year, report to the board of directors or a committee of the board on the bank’s management of its compliance risk, in such a manner as to assist board members to make an informed judgement on whether the bank is managing its compliance risk effectively; and • report promptly to the board of directors or a committee of the board on any material compliance failures (e.g. failures that may attract a significant risk of legal or regulatory sanctions, material loss, or loss to reputation).’ Het Basel Committee Compliance Paper geeft daarbij aan dat het senior management moet worden gevoed met compliance management rapportages, afkomstig van de compliancefunctie zelf. Onder Principle 5 (‘Independence’) wordt immers gerefereerd aan de ‘formal reporting obligations tot senior management’ van de compliancefunctie, vast te leggen in de ‘compliance policy or any other formal document’. Deze rolverdeling tussen senior management en de compliancefunctie komt nogmaals ter sprake in Principle 7: ‘The responsibilities of the bank’s compliance function should be to assist senior management in managing effectively the compliance risks faced by the bank. Its specific responsibilities are set out below. If some of these responsibilities are carried out by staff of different departments, the allocation of responsibilities to each department should be clear.’6 De keuze voor deze ‘getrapte’ verantwoordelijkheid voor rapportage over compliancerisico’s (rapportage vanuit de compliancefunctie naar senior management en vervolgens van senior management naar de hoogste bedrijfsleiding) doet wat gekunsteld aan. Deze keuze moet worden verklaard in de context van 193
5 ‘Compliance risk’ is in paragraaf 3 Introduction gedefinieerd als: ‘the risk of legal or regulatory sanctions, material financial loss, or loss to reputation a bank may suffer as a result of its failure to comply with laws, regulations, rules, related self-regulatory organization standards, and codes of conduct applicable to its banking activities (to gether, “compliance laws, rules and standards”)’. 6 Onder Principle 7 volgt een uitwerking, waarin de volgende activiteiten van de compliancefunctie worden onderscheiden: ‘Advice’ (§ 35); ‘Guidance and education’ (§ 36); ‘Identification, measurement and assessment of compliance risk’ (§ 37, 38 en 39); ‘Monitoring, testing and reporting’ (§ 40 en 41); ‘Statutory responsibilities and liaison’ (§ 42) en de vormgeving van een ‘risk-based’ planning van de activiteiten in het ‘Compliance programme’ (§ 43).
10 jaar compliance
7 Het is opmerkelijk dat het Basel Committee bij een recent uitgevoerde evaluatie van de invoering van de Basel Committee Compliance Paper het aspect van de toedeling van verantwoordelijkheden voor rapportage aan de ‘board of directors’ respectievelijk ‘senior management’ geen aandacht geeft en zich beperkt tot de vaststelling dat het document in grote lijnen wordt nageleefd. Zie: ‘Implementation of the compliance principles – A survey’, Basel Committee on Banking Supervision, August 2008. 8 Een ‘risk-based’ benadering staat daarbij centraal. Illustratief voor deze ontwikkeling is onder meer de dnb Toelichting Customer Due Diligence (cdd) for banks – april 2006, volgend op de publicatie door het Basel Committee on Bank Super vision van ‘Customer Due Diligence for banks’ in oktober 2001. Zie uit genoemde DNB Toelichting paragraaf 1.6 : ‘De benadering: risk-based (cliënten in combinatie met producten). Het rapport bevat aanbevelingen voor procedures die soms zeer gedetailleerd zijn beschreven. Deze aanbevelingen moeten echter altijd worden gelezen in de context van het rapport: al het beleid dient “risk–based” te zijn. Dit betekent dat een instelling zelf een inschatting moet maken van de risico’s die een bepaalde cliënt of een bepaald product met zich meebrengt’ en tevens paragraaf 2.5.5: ‘Audit en compliance. Ook tot risicobeheersing behoort periodieke controle en evaluatie van het beleid, de procedures en voorschriften. Aan de hand van gebeurtenissen binnen of buiten het bedrijf, alsook op basis van (inter)nationale rapportages, dient periodieke ijking plaats te vinden. De interne audit-afdeling en
de tijd en omstandigheden waarin het Basel Committee Compliance Paper destijds is uitgebracht. De eigen verantwoordelijkheid van het senior management loopt als een rode draad door het document heen en moest wellicht nog worden bevestigd, terwijl de compliancefunctie pas net in opkomst was. Deze rolverdeling op het punt van de compliance management rapportage is inmiddels achterhaald.7 De compliancefunctie heeft zich verder ontwikkeld en ook aanvullende taken toegekend gekregen en methodes en systemen in gebruik genomen, onder meer ter identificatie en beoordeling van compliancerisico’s.8 Naast de rapportage aan het senior management wordt een geformaliseerde en rechtstreekse rapportage over de compliancerisico’s aan de hoogste bedrijfsleiding toevertrouwd aan de compliancefunctie en niet alleen overgelaten aan het senior management. Dit past ook bij de ontwikkeling die de functie in de afgelopen jaren heeft doorgemaakt. De inhoud van deze rapportage mag niet afhankelijk zijn van de wijze waarop dit door het senior management aan de hoogste leiding wordt gepresenteerd, ook al gezien de spanning die juist op het niveau van senior management bestaat tussen de korte termijn business doelstellingen en de lange termijn ‘sustainability’ daarvan. Het in één (compliance) hand houden van deze rapportages bij de compliancefunctie laat uiteraard de eigen verantwoordelijkheid van het senior management voor de beheersing van compliancerisico’s en de gevolgen van eventuele tekortkomingen onverlet. Bij de implementatie van de MiFID Uitvoeringsrichtlijn 2006 is dan ook gekozen voor een andere verdeling van de rapportageverplichtingen.
13.2.2
De MiFID Uitvoeringsrichtlijn 2006
In artikel 6 lid 2 is de verantwoordelijkheid van de compliancefunctie als volgt verwoord: ‘(a) to monitor and, on a regular basis, to assess the adequacy and effectiveness of the measures and procedures put in place […] and the actions taken to address any deficiencies in the firm’s compliance with its obligations; (b) to advise and assist the relevant persons responsible for carrying out investment services and activities to comply with the firm’s obligations under Directive 2004/39/EC.’ In artikel 9 komt vervolgens de verplichting om te voorzien in compliance management rapportages aan de orde, bestemd voor ‘senior management’ respectievelijk de ‘supervisory function’. ‘1. Members States shall require investment firms, when allocating functions internally, to ensure that senior management, and, where appropriate, the supervisory function, are responsible for ensuring that the firm complies with its obligations under Directive 194
Hoofdstuk 13 Compliance management rapportages: een ‘papieren tijger’?
2.
3.
4.
2004/39/EC. In particular, senior management and, where appropriate, the supervisory function shall be required to assess and periodically to review the effectiveness of the policies, arrangements and procedures put in place to comply with the obligations under Directive 2004/39/EC and to take appropriate measures to address any deficiencies. Member States shall require investment firms to ensure that their senior management receive on a frequent basis, and at least annually, written reports on the matters covered by Articles 6, 7 and 8 indicating in particular whether the appropriate remedial measures have been taken in the event of any deficiencies. Member States shall require investment firms to ensure that the supervisory function, if any, receives on a regular basis written reports on the same matters. For the purpose of this Article, ‘supervisory function’ means the function within an investment firm responsible for the supervision of its senior management.’
complianceafdeling vervullen hierbij een belangrijke taak.’
Het onderscheid tussen ‘senior management’ en ‘board of directors’ als geadresseerden van de compliance rapportages komt hierin niet meer voor. De ‘board of directors’ wordt hier onder ‘senior management’ geschaard. Daarmee is ook het ‘getrapte model’ uit de Basel Committee Compliance Paper verlaten. Het nieuw geïntroduceerde begrip ‘supervisory function’ in artikel 9 MiFID Uitvoeringsrichtlijn 2006 refereert aan toezichthoudende organen, zoals de raad van commissarissen van beursvennootschappen. Hoewel de hiervoor aangehaalde bepalingen uit de MiFID Uitvoeringsrichtlijn 2006 niet expliciet aangeven dat de compliancefunctie moet voorzien in deze management rapportages, is de Nederlandse wetgever bij implementatie van deze bepalingen in de Wft hierover heel duidelijk.
13.2.3
Besluit Gedragstoezicht financiële ondernemingen Wft9
In de tekst van het recent ingevoerde artikel 31c sub e BGfo is de verantwoordelijkheid voor het rapporteren over de compliancerisico’s expliciet neergelegd bij de compliancefunctie. Artikel 31c BGfo ‘1. Een beleggingsonderneming beschikt over een organisatieonderdeel dat op onafhankelijke en effectieve wijze een compliancefunctie uitoefent.
195
9 Besluit van 12 oktober 2006, houdende regels met betrekking tot het gedragstoezicht op financiële ondernemingen(Besluit Gedragstoezicht financiële ondernemingen Wft), hierna te noemen: BGfo.
10 jaar compliance
10 cesr/06-552c, uitgebracht in februari 2007. 11 Artikel 35 lid 1 BGfo bepaalt dat een beleggingsonderneming gegevens over alle door haar verleende diensten en verrichte beleggingsactiviteiten dient te bewaren om het toezicht op de naleving van de op grond van de MiFID gestelde eisen mogelijk te maken. De cesr-leidraad is in Nederland door de afm integraal opgevolgd door publicatie van de Lijst van minimum gegevens - september 2007 (BGfo). Ik citeer uit de afm Lijst van minimum gegevens: ‘22. Compliance rapporten; elk compliance rapport aan het senior management als bedoeld in art. 31c BGfo en art. 31a, 31c en 24b Besluit prudentiële regels Wft’.
2. a. b.
c. d.
e.
Het organisatieonderdeel, bedoeld in het eerste lid, heeft als taak: het controleren van de naleving van wettelijke regels en van interne regels die de beleggingsonderneming zelf heeft opgesteld; het adviseren van de personen die verantwoordelijk zijn voor het verlenen van beleggingsdiensten of het verrichten van beleggingsactiviteiten bij de naleving van wettelijke regels en interne regels; het toezien op de deugdelijkheid en effectiviteit van de interne regels en procedures; het beoordelen van de effectiviteit van de procedures die zijn opgesteld en maatregelen die zijn genomen om gesignaleerde onvolkomenheden bij de naleving van wettelijke regels en interne regels op te heffen; en het tenminste jaarlijks rapporteren aan de personen die het dagelijks beleid van de beleggingsonderneming bepalen en aan het orgaan, indien aanwezig, dat is belast met toezicht op het beleid en de algemene gang van zaken van de beleggingsonderneming inzake aangelegenheden met betrekking tot de naleving van wettelijke regels en interne regels. In de jaarlijkse rapportage wordt met name vermeld of maatregelen zijn genomen in het geval van gesignaleerde tekortkomingen.’
De compliance rapportages waarnaar wordt verwezen in artikel 31c lid 2 sub e BGfo moeten minimaal vijf jaar worden bewaard. Dit impliceert dat deze rapportages schriftelijk moeten plaatsvinden, zoals ook voorgeschreven in artikel 9 lid 2 en 3 MiFID Uitvoeringsrichtlijn 2006 (‘written reports’). Zie in dit verband de door het Committee of European Securities Regulators (cesr) opgestelde lijst van minimaal te bewaren gegevens, die geldt als leidraad bij de implementatie in nationale regelgeving.10 Op deze lijst zijn ook de compliance rapportages aan het senior management opgenomen.11
13.3
Hoe draagt rapportage bij aan het waarborgen van een integere bedrijfsvoering?
Ik noem drie aspecten die de relevantie van compliance management rapportages voor een integere bedrijfsvoering onderstrepen: 1. verschaffen van informatie en advies ten aanzien van (de weging van) compliancerisico’s, tekortkomingen en gerelateerde overtredingen; 2. gestalte geven aan een centrale, onafhankelijke compliancefunctie; 3. samenloop met de ‘corporate governance’-agenda van de hoogste bedrijfsleiding.
196
Hoofdstuk 13 Compliance management rapportages: een ‘papieren tijger’?
ad 1 Dit aspect spreekt verder voor zich en wordt in de diverse, hiervoor aangehaalde, wet- en regelgeving genoemd. Van groot belang is uiteraard dat het niet blijft bij rapportage op papier alleen. Immers, kenmerkend voor de beoordeling van integriteitsrisico’s is dat in open dialoog de gedragsnormen worden getoetst en besproken. Over de invulling van (veelal open) normen kan immers zeer verschillend worden gedacht. Het maken van ‘judgement calls’ is nodig. De compliance officer kan hierbij als ‘sparringpartner’ optreden. ad 2 In grotere organisaties zal de compliance management rapportage een weergave zijn van waarnemingen van de compliancefunctie op zowel groepsniveau als business- en lokaal niveau. Het onderhouden van reguliere compliance management rapportages aan de hoogste bedrijfsleiding brengt met zich mee dat de centrale rol en de onafhankelijke positie van de compliancefunctie in de organisatie verder inhoud krijgen. De reguliere compliance management rapportage krijgt dan het karakter van een baken, ook voor de compliancefunctie zelf. Aldus wordt het onafhankelijk karakter van de functie, waarvan het belang ook wordt benadrukt in het hiervoor geciteerde artikel 31c BGfo en Principle 5 (‘Independence’) Basel Committee Compliance Paper, verstevigd en beter zichtbaar. ad 3 De agenda van de compliancefunctie vertoont duidelijke verwantschap met de ‘governance’ vereisten met betrekking tot de integere bedrijfsvoering voor financiële ondernemingen. Illustratief is de tekst van artikel 3:10 Wft. Deze normstelling sluit goed aan bij het schootsveld van de compliancefunctie, zowel binnen als buiten de financiële sector. Artikel 3:10 Wft ‘1. Een clearinginstelling, entiteit voor risico-acceptatie, krediet instelling of verzekeraar met zetel in Nederland voert een adequaat beleid dat een integere uitoefening van haar onderscheidenlijk zijn bedrijf waarborgt. Hieronder wordt verstaan dat: a. belangenverstrengeling wordt tegengegaan; b. wordt tegengegaan dat de financiële onderneming of haar werknemers strafbare feiten of andere wetsovertredingen begaan die het vertrouwen in de financiële onderneming of in de financiële markten kunnen schaden; c. wordt tegengegaan dat wegens haar cliënten het vertrouwen in de financiële onderneming of in de financiële markten kan worden geschaad; en d. wordt tegengegaan dat andere handelingen door de financiële onderneming of haar werknemers worden verricht die op een dusda197
10 jaar compliance
12 De beschrijving van de compliancefunctie is te vinden in artikel 21 Besluit prudentiële regels Wft: ‘Een clearinginstelling, entiteit voor risico-acceptatie, kredietinstelling, verzekeraar of bijkantoor [… ] beschikt over een organisatieonderdeel dat op onafhankelijke en effectieve wijze een compliancefunctie uitoefent. Het organisatieonderdeel heeft als taak het controleren van de naleving van wettelijke regels en van interne regels die de financiële onderneming of bijkantoor zelf heeft opgesteld.’ Zie ook het vergelijkbare artikel 31c lid 1 Besluit Gedragstoezicht financiële ondernemingen met betrekking tot beleggingsondernemingen. 13 De Nederlandse Corporate Governance code is voorzien van een wettelijke verankering in artikel 2:391 lid 5 Burgerlijk Wetboek (voor beursvennootschappen) en in artikel 5:86 Wft (voor Nederlandse institutionele beleggers). 14 Zie: M.J. van Woerden, ‘Dilemma’s voor compliance; de “leverfunctie” van de organisatie,’ Bank & Effectenbedrijf, september 2003, pp. 26-28. 15 Zie voor een nuttige uiteenzetting over deze materie: S.R. Schuit, De rol van de Raad van Commissarissen bij de naleving van wet- en regelgeving; toezicht op het zelfreinigend vermogen van de onderneming, Corporate integrity: hoe te handhaven?, uitgave ter gelegenheid van het derde lustrum van de Stichting Grotius Academie, 2006, pp. 27-50.
nige wijze ingaan tegen hetgeen volgens het ongeschreven recht in het maatschappelijk verkeer betaamt, dat hierdoor het vertrouwen in de financiële onderneming of in de financiële markten ernstig kan worden geschaad.’12 In dit verband zijn uiteraard ook de uitgangspunten zoals vastgelegd in de Nederlandse Corporate Governance Code relevant13, vooral ten aanzien van de verantwoordelijkheden van de raad van bestuur en de raad van commissarissen op het gebied van (toezicht op) risicobeheersing en de in acht te nemen transparantie over naleving van deze code. De hoogste bedrijfsleiding dient, ter waarborging van een integere bedrijfsvoering zoals bedoeld in artikel 3:10 en 2:17 Wft, tenminste jaarlijks de beheersing van de compliancerisico’s te beoordelen. Gelet op de eerdergenoemde samenloop van aandachtsgebieden ligt het voor de hand om daarbij de compliance management rapportage te betrekken. Wanneer het toezicht op de hoogste bedrijfsleiding wordt uitgeoefend door een raad van commissarissen, zoals bij beursvennootschappen, kan er voor dit orgaan aanleiding zijn om er expliciet op toe te zien dat de raad van bestuur zich voldoende rekenschap geeft van deze rapportages, bijvoorbeeld in het geval dat zich grote complianceproblemen hebben voorgedaan in de organisatie. Een duidelijk voorbeeld is de casus Citibank Japan, waarop hierna nog nader wordt ingegaan. Uiteraard is het cruciaal dat de compliance officer zich ook daadwerkelijk vrij voelt om te rapporten over de betrokken risico’s en tekortkomingen zonder de kans te lopen daarop persoonlijk te worden afgerekend. Immers, wanneer rapportage aan de hoogste bedrijfsleiding een loyaliteitsconflict zou opleveren, dan boet de compliance officer uiteraard direct in aan effectiviteit. In dat geval zou er ook aanleiding zijn voor de toezichthouder om te interveniëren.14 Het onderhouden van een dialoog tussen de compliancefunctie en de raad van commissarissen vermindert de risico’s van ontoereikende rapportages. Deze dialoog vereist dan wel ‘active listening’ en een goede verstandhouding. De raad van commissarissen zal tevens oog moeten hebben voor de situaties waarbij complianceaanbevelingen, zoals opgenomen in de compliance management rapportages, niet worden opgevolgd door de raad van bestuur. Een dergelijke reguliere toetsing en dialoog lijken goed in te passen in het formele corporate governance proces, bijvoorbeeld door het hoofd Compliance zitting te laten hebben in het Audit Committee.15
198
Hoofdstuk 13 Compliance management rapportages: een ‘papieren tijger’?
13.4
Wat is de impact van ontoereikende compliance management rapportage?
Het toegenomen belang van rapportage door de compliancefunctie doet uiteraard niet af aan de eigen verantwoordelijkheid van het senior management en de eindverantwoordelijkheid van de hoogste bedrijfsleiding. Sterker nog: het stelt hen in staat deze verantwoordelijkheid beter waar te maken. Tegelijkertijd kunnen de compliance rapportages voor de compliance officer fungeren als een soort persoonlijke ‘decharge’. Immers, wanneer de compliance officer bekend is met belangrijke compliancetekortkomingen of overtredingen zonder hierover te rapporteren, dan is hij voor het voortduren daarvan ook (mede)verantwoordelijk te houden. Dat brengt mij op het aspect van de maatvoering. Hoofd- en bijzaken moeten worden onderscheiden. Immers, ‘overkill’ doet afbreuk aan de effectiviteit. Tegelijkertijd moet de rapportage over belangrijke compliancerisico’s, tekortkomingen en ernstige overtredingen volledig zijn. Is hier soms sprake van een ‘duivels dilemma’? Praktische oplossingen, zoals het gebruik van samenvattingen en bijlagen, kunnen soelaas bieden. Ook kan ingetreden vertraging bij het oplossen van compliancegerelateerde ‘bottlenecks’ in de organisatie aanleiding zijn om bij de hoogste bedrijfsleiding extra prioriteit te benadrukken.
“De compliance management rapportages fungeren als ‘persoonlijke decharge’”
13.4.1
Het voorbeeld van Citibank Japan
De consequentie van het onverhoopt tekortschieten in de compliance management rapportage laat zich raden. De toezichthouder zal hieraan verstrekkende gevolgen kunnen verbinden. Een duidelijk voorbeeld hiervan is de interventie door de Japanse toezichthouder, de Financial Services Agency of Japan (fsa), bij Citigroup. In september 2004 werd Citigroup door fsa gedwongen om haar private bankingactiviteiten in Japan te staken en werd een zogeheten ‘Business Improvement Order’ opgelegd16. Ik citeer: 199
16 Zie: www.fsa.go.jp/news/ newse/e20040917-3.html.
10 jaar compliance
‘1) Between September 29, 2004 and October 28, 2004 inclusive, no transactions with new customers may be conducted by the Consumer Bank Department in connection with foreign currency deposits. (Transactions with existing customers are exempted from the suspension.) (2) In order to ensure thorough compliance with laws and regulations, preserve public confidence, and protect depositors/investors, as well as ensure sound and proper management of operations at the Citibank, N.A. Japan Branch [hereinafter referred to as the ‘Japan Branch’], proper governance and internal control systems must be established (and include adequate staffing and the construction of a proper organization and structure) with due emphasis on the following points:
(i) An unequivocal statement of commitment by the management regarding compliance with laws and regulations; cultivation of a corporate climate that places importance on compliance with laws and regulations, and re-examination of the organization and structure to unfailingly realize such goals.
(ii) Creation of governance and internal control systems and establishment of a clear system of responsibility at the Japan Branch, predicated upon a fundamental re-evaluation of the roles assumed by the bank’s New York headquarters (hereinafter referred to as the ‘Bank Headquarters’) in the management. […]
(iii) Responsibilities of the officers and employees that gave rise to the problems described in ‘II. Reasons for the Administrative Actions’ hereunder, including violations of laws and regulations, must be clarified. […]’
De kous was hiermee voor Citigroup nog niet af. Nadat Citibank Japan Ltd bleek te zijn gebruikt door een Japans ‘yakuza’ misdaadsyndicaat ten behoeve van grootschalige witwasactiviteiten, concludeerde FSA dat genoemde ‘Business Improvement Order’ uit 2004 niet naar behoren was nageleefd. Op grond van aanhoudend ontoereikende monitoring en rapportage van geconstateerde verdachte transacties, werd Citigroup door de fsa op 26 juni 2009 gesommeerd om per 15 juli 2009 de aanbieding van al haar (nieuwe) dienstverlening in het retail segment in Japan tijdelijk op te schorten. Daarnaast werd Citigroup opgedragen om de governance, interne controle en managementstruc200
Hoofdstuk 13 Compliance management rapportages: een ‘papieren tijger’?
tuur van Citibank Japan te herzien en over de voortgang daarvan ten minste driemaandelijks aan de fsa te rapporteren.17 Ik citeer:
17 Zie voor meer informatie: www.fsa.go.jp/news. 18 Zie voetnoot 8.
‘I. Description of the Administrative Actions Orders based on Article 26(1) of the Banking Act […] 2. In order to ensure appropriate and sound business operation, fundamentally review and restructure the current governance, internal control and business management system (including adequate staffing and the construction of a proper organization and structure) of the Citibank Japan Ltd from the following perspectives: (1) clarify the business attitude of the board of directors and management committee towards the establishment and enhancement of governance and internal control systems; (2) develop and enhance a system for accurate execution of the obligation to make notification of suspicious transactions including money laundering; and establish a system for the control, monitoring, cancellation, etc. of transactions, etc. subject to notification; (3) ensure a thorough understanding of and compliance to laws and regulations and other rules by officers and employees and foster and improve awareness of compliance with laws and regulations; (4) restructure the system necessary for ensuring the effectiveness of internal control functions, review methods, the frequency, etc. of audits, and conduct follow-ups after the audits; and (5) investigate the causes why the improvement plan that was submitted to the fsa in response to the fsa’s previous order on September 17, 2004 to improve business operations was not implemented appropriately and clarify where the responsibility lies, including with management.’ Uit deze casus blijkt niet of de compliancefunctie al eerder op de hoogte was van de tekortkomingen en het verzaken van de hiermee verband houdende rapportageverplichtingen. Citibank Japan is opgedragen, zoals in de hiervoor aangehaalde paragraaf 2 (5) aangegeven, om de oorzaken van het falen te onderzoeken en te verduidelijken. Dit voorbeeld illustreert het gevaar van uiteindelijk verlies van de ‘licence to operate’ van de onderneming wanneer sprake is van aanhoudende overtreding van compliancevoorschriften en ontoereikend toezicht daarop. De vraag is uiteraard of de soep ook in Nederland zo heet zou worden gegeten. Daarvan moet wel worden uitgegaan, zeker wanneer zou blijken dat de ‘risk-based’ benadering, waaraan hiervoor al werd gerefereerd18, stelselmatig met voeten wordt getreden.
201
10 jaar compliance
13.4.2 19 Er is voorzien in getrapte maxima voor lichte, middelzware en zware overtredingen, waarbij de boete kan oplopen tot maximaal vier miljoen euro (acht miljoen euro in geval van recidive); Wet wijziging boetestelsel financiële wetgeving (Boetewet) en Besluit bestuurlijke boetes financiële sector (Boetebesluit), van kracht geworden per 1 augustus 2009.
‘When worse comes to worse…’
Recent is de wettelijke mogelijkheid geïntroduceerd tot het opleggen van een persoonlijke boete aan managers en staffunctionarissen die betrokken zijn (geweest) bij strafbare feiten van de vennootschap. De plafonds van de boetes die door afm of dnb kunnen worden opgelegd zijn daarbij substantieel verhoogd.19 Gelet op de bijzondere aard van diens werkzaamheden, juist gericht op het voorkómen van schending van regelgeving, doet de compliance officer er goed aan om de compliance management rapportage zorgvuldig vorm te geven en in te bedden in een door de hoogste leiding geaccordeerde formele rapportagestructuur. De compliance officer zal het overigens wel erg bont moeten maken voordat de oplegging van een persoonlijke boete aan hemzelf aan de orde is. Denk daarbij aan het meewerken aan het plegen van ernstige strafbare feiten in de organisatie of het bewust bagatelliseren of verzwijgen hiervan. De aanpassing van het boetestelsel moet tevens een aansporing zijn voor bestuurders en toezichthoudende organen om de compliance management rapportages te betrekken bij de beoordeling van het waarborgen van een integere bedrijfsvoering.
13.5
Afsluiting
Compliance is niet voor bange mensen…. De rug recht houden onder hoge druk ligt in de aard van de werkzaamheden besloten. De compliancefunctie dient systematische en richtinggevende management rapportages te verschaffen aan zowel de hoogste bedrijfsleiding als aan het (overige) senior management. Het geadresseerde management dient de inhoud van deze rapportages te betrekken bij het maken van een reguliere beoordeling van de compliancerisico’s, ter waarborging van een integere bedrijfsvoering. Toezichthoudende organen, zoals de raad van commissarissen bij beursondernemingen, dienen zich ervan te vergewissen dat de hoogste bedrijfsleiding zich voldoende rekenschap geeft van deze compliance management rapportages. Dit geldt te meer wanneer hiervoor een bijzondere aanleiding bestaat, zoals in geval van geconstateerde ernstige tekortkomingen met gevolgen voor de bedrijfsvoering als geheel. Wanneer de raad van commissarissen zich er tevens van vergewist dat de compliance officer vrij is om naar beste weten te rapporteren aan de hoogste bedrijfsleiding, dan zal dit sterk bijdragen aan de effectiviteit van de compliancefunctie en de beheersing van compliancerisico’s in het algemeen. Wanneer aan deze condities wordt voldaan, dan is de compliance management rapportage allesbehalve een ‘papieren tijger’. Er is in dat geval evenmin aanleiding om andere (surrogaat)oplossingen te zoeken, zoals de introductie van een wettelijke ontslagbescherming voor compliance officers of een aanvullende beroepsaansprakelijkheidsverzekering. Immers, een effectieve 202
Hoofdstuk 13 Compliance management rapportages: een ‘papieren tijger’?
compliance management rapportage door de compliancefunctie legt de verantwoordelijkheid voor de beheersing van de compliancerisico’s en eventuele samenhangende tekortkomingen neer waar het thuishoort; bij de hoogste bedrijfsleiding en het overige senior management van de onderneming. Dat is precies waar het ook al in de Basel Committee Compliance Paper om draaide.
Verder lezen Corporate integrity: hoe te handhaven?, uitgave ter gelegenheid van het derde lustrum van de Stichting Grotius Academie, 2006, isbn 90-811374-1-7. – J.W. Winter, ‘Integriteit, ondernemen, regelgeving en handhaving’, pag. 1 – 13. – P. Kalbfleisch, ‘Integere naleving, integere handhaving’, pag. 15 – 25. – S.R. Schuit, ‘De rol van de Raad van Commissarissen bij de naleving van wet- en regelgeving; toezicht op het zelfreinigend vermogen van de onderneming’, pag. 27 -50.
203
