DE COMPLIANCEFUNCTIE...50 2. De compliancefunctie van de compliance officer was in deze door DNB...

49

DE COMPLIANCEFUNCTIE

Dr. mr. F.M.A. ’t Hart

1. Inleiding

Deze bijdrage gaat in op de belangrijkste aspecten van de compliancefunctie en in het bijzonder de wijze waarop de Europese en Nederlandse wetgever de compli-ancefunctie bij financiële ondernemingen heeft gereguleerd. De regulering van de compliancefunctie is per soort financiële onderneming verschillend maar kent ook gemeenschappelijke kenmerken. Deze gemeenschappelijke kenmerken worden in deze bijdrage uiteengezet. Specifiek wordt ingegaan op de regulering van de com-pliancefunctie bij banken, verzekeraars en beleggingsondernemingen. Tot slot wor-den een aantal kritische kanttekeningen geplaatst.

2. Historische schets en context

Hierna zal eerst kort een historische schets worden gegeven van de ontwikkeling van de regulering van de compliancefunctie. Ook zal aandacht worden besteed aan de context waarbinnen de regulering van de compliancefunctie moet worden be-grepen.

2.1. Korte historische schets

De wettelijke regulering van de compliancefunctie en de positie van de compliance officer kent geen lange historie. De wettelijke regulering van de compliancefunc-tie is eerst na de internationale kredietcrisis (2006-2008) in een stroomversnelling gekomen.

BankenIn Nederland gaat deze historie van de compliancefunctie terug tot de op 1 april 1994 door De Nederlandsche Bank (DNB) uitgevaardigde Regeling privé-beleg-gingstransacties.1 Deze regeling bevatte onder ander het voorschrift dat de compli-ance officer diende te worden belast met het toezicht op de naleving van een door banken in het leven te roepen gedragscode ten aanzien van privé-beleggingstrans-acties door of namens bestuurders, commissarissen en medewerkers. De positie

1 Regeling van DNB ingevolge art. 22 Wet toezicht kredietwezen 1992 met betrekking tot privé-beleggingstransacties, van insiders, door leden van raden van commissarissen of daarmee verge-lijkbare organen en door bankmedewerkers niet zijnde insiders, Stcrt. 1994, 7. Zie ook de brief van DNB aan onder toezicht staande banken d.d. 11 januari 1994.

50

2. De compliancefunctie

van de compliance officer was in deze door DNB uitgevaardigde regeling, niet gere-guleerd. Eerst begin deze eeuw werd serieus aandacht besteed aan het waarborgen van de compliancefunctie. De op 1 april 2001 door DNB uitgevaardigde Regeling Organisatie en Beheersing (ROB) legde aan banken de verplichting op om te voor-zien in een compliancefunctie.2 Deze verplichting was vastgelegd in art. 69 ROB:

‘De instelling beschikt over een onafhankelijke “compliance”-functie voor het toezicht op de naleving van de interne normen, voorschriften en gedragsregels alsmede voor het toezicht op de realisatie van bijstellingen naar aanleiding van gesignaleerde tekortkomingen en gebreken.’

Dit artikel was destijds onderdeel van in totaal vijf voorschriften die DNB aan ban-ken oplegde ter beheersing van hun integriteitsrisico’s.3 Deze voorschriften kunnen worden beschouwd als de voorloper van de voorschriften omtrent een beheerste en integere bedrijfsuitoefening alsmede bedrijfsinrichting zoals deze thans zijn opge-nomen in de Wet op het financieel toezicht (Wft).4

Het Bazel Comité publiceerde in 2005 de finale versie van een Richtlijn 2013/36/EU (CRD IV)5 alsmede richtsnoeren van de European Banking Authority (EBA)6 zijn de zogenaamde reguleringsbronnen.

VerzekeraarsVerzekeraars en beleggingsondernemingen volgden later. Voor verzekeraars trad op 1 januari 2004 de Regeling tegengaan van belangenverstrengeling en beheersing van integriteitsrisico’s verzekeraars in werking.7 Deze regeling kon destijds worden beschouwd als het equivalent van de ROB voor banken. Deze regeling bevat onder meer het voorschrift dat een verzekeraar diende te beschikken over een onafhanke-lijke compliancefunctie voor het toezicht op de naleving van weten regelgeving.8 Verder diende de compliancefunctie licht toezicht te houden op de realisatie van bijstellingen van de door de verzekeraar zelf opgestelde normen en Gedragsregels, dit naar aanleiding van gesignaleerde tekortkomingen en gebreken.9 Ten slotte be-vatte deze regeling het voorschrift dat ten minste een bestuurder het aandachtsge-bied compliance in zijn portefeuille heeft.10

2 De ROB is per 1 januari 2007 komen te vervallen in verband met de inwerkingtreding van de Wet op het fi nancieel toezicht.

3 Art. 65-69 ROB.4 Zie art. 3:10 en 3:17 Wft.5 Art. 74 CRD IV.6 EBA, Final Report Guidelines on internal governance under Directive 2013/36/EU, 26 September 2017

(EBA Final Report).7 Regeling tegengaan van belangenverstrengeling en beheersing van integriteitsrisico’s verzeke-

raars uitgevaardigd op 18 december 2003 door de Pensioen- en Verzekeringskamer ter uitvoering van art. 2 lid 2 Besluit integere bedrijfsvoering kredietinstellingen en verzekeraars en art. 3 lid 3 Besluit integere bedrijfsvoering kredietinstellingen en verzekeraars.

8 Zie art. 8 lid 1 van deze regeling.9 Zie art. 8 lid 2 van deze regeling.10 Zie art. 8 lid 3 van deze regeling.

51

De compliancefunctie 2.

De regulering van de compliancefunctie bij verzekeraars is met name terug te vinden in Richtlijn 2009/138/EG (Solvency II) en Gedelegeerde verordening (EU) 2015/35. Later meer hierover.

BeleggingsondernemingenDe compliancefunctie bij beleggingsondernemingen is eerst met de implemen-tatie van Richtlijn 2004/39/EG (MiFID I) gereguleerd. De eerdere Richtlijn 93/22/EEG (ISD-richtlijn) – die in 1995 is geïmplementeerd in onze nationale wetgeving – kende niet het voorschrift dat beleggingsondernemingen over een compliance-functie dienen te beschikken. Tot die tijd dienden beleggingsondernemingen wel te voldoen aan de beheersing van bepaalde compliancerisico’s – zoals het voorschrift toezicht te houden op de naleving van genomen maatregelen en wettelijk voorge-schreven gedragscodes11 – maar van een samenstelling aan voorschriften ter regu-lering van de compliancefunctie was geen sprake.

Op 1 november 2007 werd in de Wft de Europese richtlijn MiFID I geïmplemen-teerd die de inrichting van een compliancefunctie door beleggingsondernemingen voorschreef.12 De voorschriften omtrent de compliancefunctie werden geïmple-menteerd in het Besluit Gedragstoezicht financiële ondernemingen Wft (BGfo Wft). Het BGfo Wft schreef voor dat beleggingsondernemingen dienden te beschikken over een organisatieonderdeel dat op onafhankelijke en effectieve wijze de com-pliancefunctie uitoefende.13 Daarnaast diende dit organisatieonderdeel (de afdeling Compliance) aan een aantal specifieke voorschriften te voldoen. 14

Voor de praktijk van beleggingsondernemingen zijn tevens de richtsnoeren van belang die de European Securities and Markets Authority (ESMA) onder MiFID I publiceerde. Deze in september 2012 gepubliceerde richtsnoeren bevatten begin-selen ten aanzien van de organisatie en inrichting van de compliancefunctie bij be-leggingsondernemingen.15 Een belangrijk beginsel was dat de compliancefunctie risicogebaseerd uitgeoefend diende te worden:

‘Investment firms should ensure that the compliance function takes a risk-based approach in order to allocate the function’s resources efficiently. A compliance risk assessment should be used to deter-mine the focus of the monitoring and advisory activities of the compliance function. The compliance risk assessment should be performed regularly to ensure that the focus and the scope of compli-ance monitoring and advisory activities remain valid.’16

11 Zie art. 40 Nadere Regeling gedragstoezicht effectenverkeer 2002.12 Zie art. 31c BGfo Wft.13 Zie art. 31b lid 1 BGfo Wft.14 Zie art. 31b lid 2 BGfo Wft alsmede art. 31c en 31d BGfo Wft.15 ESMA, Final Report Guidelines on certain aspects on MiFID the compliance function requirements, 6

July 2012 (ESMA Final Report).16 ESMA Final Report, Principle 1.

52


Op 3 januari 2018 is Richtlijn 2014/65/EU (MIFID II) in werking getreden. De wijze waarop de compliancefunctie bij beleggingsondernemingen nu is gereguleerd is met name terug te vinden in de Gedelegeerde MiFID II-Verordening.17

2.2. De context: governance, belangenverstrengeling en integriteitsrisico’s

De regulering van de compliancefunctie en de positionering van de compliance of-ficer binnen een financiële onderneming kan niet los worden gezien van enkele belangrijke aspecten. Ik beperk mij tot drie aspecten: governance, belangenver-strengeling en integriteitsrisico’s.

GovernanceTen eerste moet worden bedacht dat de compliancefunctie onderdeel is van de wij-ze waarop de governance binnen een financiële onderneming moet zijn ingericht en georganiseerd. Deze governance brengt met zich dat op verschillende niveaus binnen de financiële onderneming diverse ‘checks and balances’ gewaarborgd die-nen te zijn. De uitoefening van de bedrijfsactiviteiten dient een weerspiegeling te zijn van een adequate werking van de verschillende functies waarover een financi-ele onderneming dient te beschikken.

Grosso modo kunnen de functies binnen een financiële onderneming onderver-deeld worden in vier categorieën. Ten eerste de bestuurlijke functie. Ten tweede, de commerciële functie. Ten derde, een aantal sleutelstaffuncties en ten vierde, on-dersteunende en administratieve functies. Tot de sleutelstaffuncties behoren on-der andere de compliancefunctie, risicobeheer (riskmanagement), de internal audit functie en tenslotte de klachtenfunctie. Sleutelstaffuncties zijn wettelijk voorge-schreven.

De compliancefunctie is een sleutelstaffunctie die tot doel heeft om te waarbor-gen dat interne normen alsmede van toepassing zijnde weten regelgeving worden nageleefd door de financiële onderneming en – tot op zekere hoogte – ook door de daaraan verbonden bestuurders en medewerkers. Bij bestuurders en medewerkers gaat het primair om de naleving van weten regelgeving in de uitoefening van de door hen beklede functie.

BelangenverstrengelingEen andere belangrijke achtergrond waartegen (de regulering van) de compliance-functie moet worden geplaatst, is de noodzaak dan wel wenselijkheid voor finan-ciële ondernemingen om belangenverstrengeling te voorkomen dan wel de daar-aan verbonden risico’s zoveel mogelijk te beheersen. Belangenverstrengeling heeft overigens niet alleen betrekking op zogenaamde privébelangen van bestuurders, commissarissen of medewerkers van de desbetreffende financiële onderneming.

Onderscheid kan worden gemaakt tussen vier groepen van personen die gecon-fronteerd kunnen worden met (de schijn van) belangenverstrengeling: (i) personen die het beleid van de financiële onderneming bepalen waaronder tevens verstaan dienen te worden commissarissen en groepsbestuurders indien de financiële on-

17 Zie art. 22 lid 1 Gedelegeerde verordening (EU) 2017/565 van de Commissie van 25 april 2016.

53


derneming tot een concern behoort; (ii) werknemers van de financiële onderne-ming; (iii) andere werknemers of personen die in opdracht van de financiële onder-neming op incidentele of structurele basis werkzaamheden voor haar verrichten; en (iv) klanten van de financiële onderneming.

Zo kan het bijvoorbeeld zijn dat bij het aanbieden van financiële producten of bij het verlenen van financiële diensten klanten tegenovergestelde belangen kun-nen hebben. Ook kunnen tussen klanten onderling tegengestelde belangen bestaan. Denk bijvoorbeeld aan de situatie waarin een beleggingsonderneming bemiddelt bij zowel de verkoop als koop van bepaalde financiële instrumenten.

De financiële onderneming dient een beleid te hebben ter voorkoming en be-heersing van de verstrengeling van mogelijke belangen. Het enkel en alleen ver-strekken van informatie aan het publiek of de betrokkenen bij het belangenconflict omtrent de aanwezigheid van een mogelijke belangenverstrengeling is niet per de-finitie toereikend. Een adequaat beleid ter voorkoming van belangenverstrengeling gaat immers verder dan het verstrekken van transparantie daarover.

Integriteitsrisico’sDe regulering van de compliancefunctie kan niet los worden gezien van de voor-schriften die een financiële onderneming in acht dient te nemen teneinde een be-heerste en integere bedrijfsuitoefening te waarborgen.18 Deze voorschriften heb-ben onder andere tot doel om bedrijfsprocessen en bedrijfsrisico’s te beheersen waaronder integriteitsrisico’s. Het tegengaan van belangenverstrengeling is een onderdeel van de maatregelen en procedures die een financiële onderneming dient te treffen.19 Een specifiek voorschrift waaraan (diverse) financiële ondernemingen moeten voldoen, is om zorg te dragen voor een systematische analyse van inte-griteitsrisico’s.20 Deze systematische analyse van integriteitsrisico’s is de facto een belangrijke voorwaarde om adequate maatregelen en procedures als hiervoor be-doeld, te kunnen treffen. Het is daarom niet verwonderlijk dat DNB in de praktijk veel belang hecht aan een adequate systematische analyse van integriteitsrisico’s.

DNB heeft in mei 2016 een ‘guidance’ gepubliceerd om financiële ondernemingen handvatten aan te reiken om tot een ordentelijke integriteitsrisicoanalyse te ko-men.21 DNB vat de essentie van een ordentelijke integriteitsrisico als volgt samen:

‘Een integriteitsrisicoanalyse is niet alleen een wettelijke verplichting. Zonder deze risicoanalyse kan een instelling de integriteitwetgeving niet risicogeba-seerd naleven. Daarnaast is de integriteitrisicoanalyse een voorwaarde voor een toereikende inrichting van de integere bedrijfsvoering. Het is niet duide-lijk waarop de risicobeheersing is gericht als een instelling onvoldoende kennis

18 Zie art. 3:10 Wft en art. 3:17 Wft.19 Zie art. 3:17 lid 2, onderdeel, b, onder 1° Wft.20 Zie art. 10 lid 1 Besluit prudentiële regels Wft.21 DNB, De integriteitrisicoanalyse, meer waar dat moet, minder waar dat kan, 17 augustus 2015.

54


heeft van de mogelijke integriteitsrisico’s, dan wel ongegronde aannames op dat gebied maakt.’22

Het begrip integriteitsrisico’s is overigens in het Besluit prudentiële regels Wft ge-definieerd als ‘gevaar voor aantasting van de reputatie of bestaande of toekomstige bedreiging van vermogen of resultaat van een financiële onderneming als gevolg van een ontoereikende naleving van hetgeen bij of krachtens enig wettelijk voor-schrift is voorgeschreven’.23 Deze wettelijke definitie van integriteitsrisico’s laat zien hoe verreikend de waarborging van een integere bedrijfsvoering dient te zijn.

3. Uitgangspunten compliancefunctie

De regulering van de compliancefunctie kent verschillende bronnen en is voor de verschillende op de financiële markt opererende (financiële) ondernemingen niet identiek. Desalniettemin zijn er een aantal gemeenschappelijke kenmerken en uit-gangspunten waaraan de compliancefunctie dient te voldoen. In essentie gelden drie belangrijke uitgangspunten die hierna toegelicht zullen worden.

3.1. Compliance charter

Het eerste gemeenschappelijke uitgangspunt is dat een financiële onderneming zorg dient te dragen voor een interne regulering van de compliancefunctie. Dit ver-eist onder andere dat de inrichting, reikwijdte en bevoegdheden van de compli-ancefunctie binnen de desbetreffende financiële onderneming worden vastgesteld door het hoogste bestuursorgaan van die financiële onderneming. Uiteraard dient daarbij rekening te worden gehouden met de wettelijke vereisten waaraan een compliancefunctie dient te voldoen. De wettelijke regulering kent overigens geen coherent geheel hieromtrent (zie hierna).

De in de praktijk meest voorkomende wijze waarop financiële ondernemingen de inrichting, reikwijdte en bevoegdheden van de compliancefunctie vastleggen is door het opstellen van een daartoe strekkend document, vaak het compliance char-ter genoemd. Het compliance charter kan worden gezien als de ‘grondwet’ voor de wijze waarop de compliancefunctie binnen de desbetreffende financiële onderne-ming wordt ingericht en uitgeoefend. De compliance officer ontleent in de praktijk zijn autoriteit en bevoegdheden aan dit document. Het compliance charter dient vastgesteld en gedragen te worden door de statutaire directie en bij voorkeur ook door de raad van commissarissen. Zo niet, dan beschikt de compliance officer bin-nen de financiële onderneming over onvoldoende gezag om zijn taak naar behoren uit te kunnen oefenen.

22 DNB, De integriteitrisicoanalyse, p. 4.23 Zie art. 1 Besluit prudentiële regels Wft.

55


3.2. Onafhankelijkheidsvereiste

Een tweede gemeenschappelijk uitgangspunt is dat de compliancefunctie onafhan-kelijk uitgeoefend moet kunnen worden. De vaak door de wetgever en toezicht-houder gebezigde term ‘onafhankelijk’ is in zoverre misleidend omdat daarvan in juridisch opzicht geen sprake kan zijn. De compliance officer die een arbeidsover-eenkomst is aangegaan met een financiële onderneming of de externe compliance officer die op basis van een overeenkomst van opdracht zijn werkzaamheden ver-richt, is juridisch beschouwd niet onafhankelijk. Ten eerste niet omdat een compli-ance officer verantwoording verschuldigd is aan zijn werkgever of opdrachtgever. Ten tweede niet omdat zijn werkgever of opdrachtgever bevoegd is om instructies te geven die de compliance officer moet opvolgen. De zeggenschapsverhouding is juridisch beschouwd een elementair aspect van zowel de arbeidsovereenkomst24 als de overeenkomst van opdracht.25 Ten derde niet omdat een compliance officer in economische zin afhankelijk is van zijn werkgever of opdrachtgever.

Het uitgangspunt dat een compliancefunctie ‘onafhankelijk’ dient te zijn kan beter vervangen worden door het uitgangspunt dat een compliancefunctie ‘zelfstandig’ dient te zijn. Deze zelfstandigheid bestaat uit een aantal elementen.

Ten eerste, dient de compliancefunctie als een zelfstandig onderdeel van de fi-nanciële onderneming te zijn georganiseerd. Een inrichtingsvereiste dus. Dit ver-eiste komt erop neer dat de compliancefunctie een apart organisatieonderdeel (af-deling) binnen de financiële onderneming dient te vormen.

Ten tweede, dient de compliancefunctie – of beter gezegd de compliance offi-cer – rekening en verantwoording af te leggen aan het hoogste bestuursorgaan. De compliance officer dient om die reden rechtstreeks te rapporteren aan het hoogste bestuursorgaan en indien de omstandigheden dat verlangen, aan de raad van com-missarissen. Dit laatste zal met name aan de orde zijn indien de rapportage betrek-king heeft op aangelegenheden die het hoogste bestuursorgaan of een lid daarvan raken, of indien de rapportage ertoe strekt om de raad van commissarissen zijn eigen taak te doen kunnen vervullen.

Ten derde geldt dat beoordeling van het functioneren of het vaststellen van de beloning van de compliance officer niet in belangrijke mate afhankelijk mag zijn van het commerciële resultaat en niet vastgesteld mag worden door personen die primair belast zijn met het uitoefenen van een commerciële functie binnen de fi-nanciële onderneming. Dat laatste zou betekenen dat de compliance officer finan-cieel afhankelijk zou zijn van personen waarop de compliance officer toezicht moet houden. Dit is onwenselijk.

Ten vierde dient de compliance officer toegang te hebben tot alle voor de uitoefe-ning van zijn taak relevante informatie of personen. Indien aan de compliance officer informatie wordt onthouden, bestaat immers het risico dat de compliance officer niet op de hoogte is van belangrijke informatie waardoor deze zijn taak niet naar be-horen kan vervullen. Bedacht dient te worden dat niet alleen door een financiële on-

24 Art. 7:610 lid 1 Burgerlijk Wetboek (BW).25 Art. 7:402 lid 1 BW.

56


derneming gewaarborgd dient te worden dat op verzoek van de compliance officer bepaalde informatie aan hem wordt verschaft maar ook dat gewaarborgd dient te worden dat (actief) relevante informatie aan de compliance officer wordt verstrekt.

Deze 4 elementen waarborgen een zelfstandige – en daarmee onafhankelijke – compliancefunctie binnen een financiële onderneming.

De zelfstandige positie die de compliance officer dient in te nemen kan de verant-woordelijkheid met zich brengen om ook het hoogste management op (eventuele) tekortkomingen te wijzen, zelfs indien die tekortkomingen door het hoogste ma-nagement worden veroorzaakt of door het hoogste management worden toegelaten zonder dat ingegrepen wordt. De eindverantwoordelijkheid voor ‘gedrag en cultuur’ binnen een financiële onderneming berust immers bij het hoogste management.

Het voorgaande kan een spanningsveld creëren tussen de compliance officer en het hoogste management. Dit spanningsveld werd treffend verwoord in een mailbe-richt van de voormalige compliance officer aan de bestuursvoorzitter van het voor-heen beursgenoteerde ‘hoekmansbedrijf’ van der Moolen Holding B.V. Dit mailbe-richt werd door het Hof Amsterdam geciteerd in een van zijn overwegingen om bij Van der Moolen Holding een enquête te gelasten, omdat naar het oordeel van het Hof Amsterdam voldoende reden was om te twijfelen aan een juist beleid dan wel de feitelijke gang van zaken binnen deze financiële onderneming:

‘E. Seinstra, compliance officer van Van der Moolen, heeft op 13 augustus 2008 aan Den Drijver een brief met onder meer de volgende inhoud geschreven: “Je (hebt) mij gezegd dat je het er niet mee eens bent dat ik regelmatig laat weten wat ik van situaties vind en dat ik geen waardeoordelen mag geven. Daarop heb ik geantwoord dat het beoordelen van situaties, vooral situaties met integriteit-aspecten, en het geven van een waardeoordeel over zo’n situatie, behoort tot mijn taak als compliance officer en general counsel. (…) Ik heb ook laten weten dat ik de problemen, deels integriteitissues, die [Wolfswinkel] had gesignaleerd ook ken en zijn bezorgdheid daarover deel. Wat mij telkens opvalt is dat jij mijn signaleringen over integriteitissues meteen naast je neerlegt, omdat je ze ge-woon niet serieus neemt of wilt nemen. (…) Het is teleurstellend en bovenal onzorgvuldig dat jij mij (…) niet in de gelegenheid hebt gesteld ook mijn toe-dracht van het besprokene kenbaar te maken. Je wilde uitsluitend je eigen visie aan mij laten horen. (…) Ik constateer dat jij (…) ongefundeerde beschuldigingen aan mijn adres uit. Met dergelijke beschuldigingen op basis van horen zeggen, zonder dat ik zelf mijn mening heb kunnen geven, heb ik heel veel moeite. (…) Het vorenstaande en de vele compliance- en integriteitissues die ik op talloze vergaderingen en bijeenkomsten aan de orde heb gesteld en die niet worden aangepakt maken dat ik mijn werkzaamheden niet kan verrichten. Wat de com-pliance- en integriteitissues betreft ben ik inmiddels zelfs in gewetensnood ko-men te verkeren (…).”’26

26 Hof Amsterdam 5 juli 2010, JOR 2010/305.

57


De enquête resulteerde uiteindelijk in een arrest uit 2013 waarin het Hof Amster-dam tot het oordeel kwam dat sprake is geweest van ‘wanbeleid’.27 Van der Moolen was overigens in september 2009 failliet gegaan.

3.3. Vakbekwaamheid en effectiviteit

Het derde gemeenschappelijke uitgangspunt is dat een compliance officer vakbe-kwaam moet zijn en effectief moet kunnen optreden. Het hoogste bestuursorgaan heeft de verantwoordelijkheid dat aan dit uitgangspunt wordt voldaan. Het aan-stellen van een onbekwame compliance officer of het niet in staat stellen van een compliance officer om zijn functie uit te oefenen, zal uiteindelijk het hoogste be-stuursorgaan aan te rekenen zijn.

De vakbekwaamheidseisen stellen de compliance officer in staat om zijn functie effectief uit te kunnen oefenen. De compliance officer dient over een aantal vaar-digheden te beschikken. Uit de meeste wettelijke voorschriften die de compliance-functie reguleren, is af te leiden dat tot de kernvaardigheden van een compliance officer behoren (a) het beschikken over de nodige autoriteit ;en (b) het beschikken over voldoende deskundigheid (kennis).

De nodige autoriteit kan een compliance officer mede ontlenen aan het compli-ance charter. De deskundigheid behelst niet alleen vaktechnische kennis maar ook het beschikken van enkele cruciale vaardigheden waaronder overredingskracht. Het kunnen overtuigen van anderen op basis van argumenten in plaats van op basis van een (interne) machtspositie is een niet te onderschatten vaardigheid die een compliance officer dient te hebben.

3.4. Taken compliance officer

De wettelijk voorgeschreven taken van de compliancefunctie zijn per soort finan-ciële onderneming verschillend. De belangrijkste taken zijn echter identiek. De ge-meenschappelijke taken zijn:− de compliance officer is belast met het houden van toezicht op de naleving van

interne normen, weten regelgeving en met name zogenaamde integriteitsri-sico’s; en

− de compliancefunctie ziet toe op de instandhouding en zo nodig bijstelling van deugdelijke en effectieve maatregelen en procedures teneinde integriteitsrisi-co’s zoveel mogelijk te beheersen.

Tot zover de gemeenschappelijke uitgangspunten van de compliancefunctie en de gemeenschappelijke taken van de compliance officer.

4. Zelfregulering

In Nederland zijn twee initiatieven genomen ter zelfregulering van de positie en functie van de compliance officer van een financiële onderneming. Ten eerste, de

27 Hof Amsterdam 15 februari 2013, JOR 2013/102, m.nt. D.A.M.H.W. Strik.

58


zelfregulering door de Vereniging van Compliance Officers (VCO) en ten tweede, de zelfregulering door de Stichting DSI (DSI).

4.1. VCO

De VCO heeft in 2005 een beroepscompetentieprofiel opgesteld waarin achter-eenvolgens de beroepsstandaard, de kerncompetenties en de beroepskwalificaties (eindtermen) van een compliance officer staan vermeld.28

De beroepsstandaard bepaalt dat compliance officers nieuwe regelgeving snel be-kend kunnen maken en proactief kunnen adviseren over de toepassing daarvan in de organisatie. Compliance officers dienen daarbij het vermogen te hebben om te kunnen opereren in het spanningsveld tussen commerciële drive en integer hande-len. Compliance officers dienen daarbij te opereren – aldus de opgestelde beroeps-standaard – op het snijvlak van bedrijfseconomie, recht, accountancy en gedrags-wetenschappen met als doel het voorkomen en beheersen van compliancerisico’s. De VCO hanteert daarbij de onderstaande definitie van een compliancerisico:

‘Het risico van wettelijke of regulatieve sancties en van materieel, financieel of reputatieverlies dat een onder toezicht staande financiële instelling kan lopen als gevolg van het onvermogen om gedragsregels na te leven die van toepassing zijn op haar activiteiten.’29

De Beroepsstandaard van de VCO bepaalt verder dat een compliance officer integer, bekwaam, deskundig en betrouwbaar dient te zijn en dient te beschikken over een helikopterview. Verder dient een compliance officer naast morele alertheid compe-tenties als inlevingsvermogen, persoonlijke effectiviteit en overtuigingskracht te bezitten.

Een compliance officer dient te beschikken over een aantal kerncompetenties die kunnen worden onderscheiden in twee categorieën. Namelijk voorwaarden-scheppende, individuele competenties: gedragsbekwaamheden en communica-tie; en domeinspecifieke competenties: kennis en inzicht, taken en opdrachten, beroeps uitoefening.

Deze kerncompetenties worden nader uitgewerkt tot eindtermen en beroeps-kwalificaties. De voorwaardenscheppende en individuele competenties bestaan uit acht subcompetenties: (i) integriteit en standvastigheid; (ii) onderzoeksinstelling, gericht op innovatie; (iii) analytisch vermogen; (iv) beoordelingsvermogen en tact; (v) onafhankelijkheid; (vi) context; (vii) communicatie; en (viii) effectiviteit. De do-meinspecifieke competenties worden op hun beurt in twee subcategorieën onder-verdeeld, te weten kennis en inzicht, en praktijk. De subcategorie kennis en inzicht bestaat uit vijf competenties: (i) risicomanagement (ii) omgeving; (iii) moraal en ethisch; (iv) bewustzijn positie; en (v) ICT. De subcategorie praktijk bestaat even-

28 VCO, Beroepscompetentieprofi el, december 2005.29 VCO, Beroepscompetentieprofi el, december 2005, p. 6.

59


eens uit vijf competenties: (i) toepassing kennis; (ii) proportionaliteit; (iii) kritiek en weerstand; (iv) aanspreekbaarheid; en (v) resultaatgerichtheid.

Al deze eindtermen en beroepskwalificaties zijn nader uitgewerkt in het be-roepscompetentieprofiel dat door de VCO is opgesteld. Voor een goed begrip wordt in dit document aangegeven dat een individuele compliance officer niet over alle beroepskwalificaties kan beschikken en dat het voor de praktijk van belang is dat de compliancefunctie in haar totaliteit deze kwalificaties herbergt.

4.2. DSI

DSI biedt compliance officers de mogelijkheid om zich te laten registeren als com-pliance professional in het openbare register dat door DSI wordt gehouden. Een compliance officer kan zich bij DSI registeren indien deze ‘gecertificeerd’ is. Om gecertificeerd te worden, dient te worden voldaan aan toelatingsvereisten, oplei-dingsvereisten en ervaringsvereisten.

De toelatingsvereisten zijn: (i) de opdrachtgever van de compliance officer is deel-nemer van DSI; (ii) de compliance officer moet de registratiescreening doorlopen, tenzij de compliance officer in zijn huidige functie al gescreend is door de Autoriteit Financiële markten (AFM) dan wel DNB; (iii) de compliance officer moet de DSI-gedragscode onderschrijven en naleven; (iv) de compliance officer dient zijn kennis van weten regelgeving op peil te houden; en, (v) de compliance officer moet na inschrijving zijn vakbekwaamheid op peil houden door middel van een periodiek door DSI verplicht gestelde toets.

De opleidingsvereisten houden in dat de compliance officer één van de onder-staande opleidingen voltooid dient te hebben: (i) VU Postgraduate opleiding Com-pliance & Integriteit Management; of, (ii) NIBE-SVV Certified Compliance Officer; of, (iii) ING Compliance Officer Trading NL en Compliance Officer Trading Internati-onal; of (iv) NCI Leergang Compliance Professional.

Ten slotte zijn er ook nog ervaringsvereisten. Deze vereisten komen erop neer dat de compliance officer in de afgelopen vijf jaar gedurende twaalf maanden op fulltime basis een substantieel deel van zijn of haar tijd heeft besteed aan werk-zaamheden gerelateerd aan het register, hetzij in de huidige functie, hetzij in voor-afgaande functies.

Certificering bij DSI is geen vereiste om de functie van compliance officer te kunnen vervullen. In feite fungeert de certificering als een soort keurmerk voor compliance officers.

5. Compliancefunctie verzekeraars

Hieronder volgt een uiteenzetting van de wijze waarop de compliancefunctie bij verzekeraars is gereguleerd en van de belangrijkste voorschriften waaraan de com-pliancefunctie dient te voldoen.

60


5.1. Solvency II

Art. 46 lid 1 Solvency II-richtlijn bepaalt dat verzekeraars dienen te beschikken over een doeltreffend systeem van de interne controle. Dit systeem dient in ieder geval de administratieve en financiële verslagleggingsprocedures te bevatten, een intern controlekader, passende rapportageregelingen op alle niveaus en een compliance-functie.30 Wat opvalt aan deze bepaling is dat de compliancefunctie in Solvency II onderdeel lijkt te zijn van de interne controlefunctie.

Het tweede lid van art. 46 Solvency II bepaalt dat de compliancefunctie aan het bestuurlijk, beleidsbepalend of toezichthoudend orgaan advies uitbrengt over de naleving van de wettelijke en bestuursrechtelijke bepalingen die in het kader van deze richtlijn worden vastgesteld. In dit advies worden tevens de mogelijke gevol-gen van wijzigingen in het juridische speelveld (legal environment) van de verze-keraar beoordeeld. Ook moeten compliancerisico’s in dit advies worden vastgesteld en beoordeeld. Deze bepaling past bij de gedachte dat het bestuur van een verze-keraar eindverantwoordelijk is voor de beheersing van compliancerisico’s en dat de compliance officer daarin een adviserende stem heeft.

5.2 Gedelegeerde Verordening

De voorschriften omtrent de compliancefunctie bij verzekeraars zijn uitgewerkt in de Gedelegeerde verordening (EU) 2015/35. Deze voorschriften vormen een onder-deel van de governancevereisten waaraan verzekeraars moeten voldoen.

GovernanceArt. 248 van deze Gedelegeerde Verordening bepaalt dat iedere verzekerings- en herverzekeringsonderneming moet voldoen aan een aantal algemene governance-vereisten. Er dienen bijvoorbeeld effectieve besluitvormingsprocedures te worden vastgesteld.31 De bestuurders en medewerkers dienen over de nodige kwalificaties, vakbekwaamheid, vaardigheden en beroepservaring te beschikken.32 Ook dient het feit dat aan medewerkers of bepaalde afdelingen meerdere taken worden toege-wezen, hen niet te beletten om deze op deugdelijke, eerlijke en objectieve wijze te vervullen.33

Verder dienen er heldere rapportagelijnen te worden gevoerd die waarborgen dat informatie onmiddellijk op een zodanige wijze wordt overgedragen aan alle personen die deze informatie nodig hebben opdat zij in staat zijn het belang ervan te onderkennen.34 Tot de governance van een verzekeraar behoren ook een risico-managementsysteem35 en interne controlesystemen.36

30 Zie ook art. 3:17 lid 2 Wft, art. 26.2 en 26.3 Besluit prudentiële regels Wft.31 Art. 258 lid 1, onderdeel b, Gedelegeerde Verordening.32 Art. 258 lid 1, onderdelen c en d, Gedelegeerde Verordening.33 Art. 258 lid 1, onderdeel g, Gedelegeerde Verordening.34 Art. 258 lid 1, onderdeel k, Gedelegeerde Verordening.35 Art. 259 e.v. Gedelegeerde Verordening.36 Art. 266 Gedelegeerde Verordening.

61


De European Insurance and Occupational Pensions Authority (EIOPA) heeft richtsnoeren gepubliceerd die nadere guidance geven omtrent de inrichting van de governance van verzekeraars.37 Het vijfde richtsnoer ziet op de verplichting voor verzekeraars om zogenaamde sleutelfuncties in te richten, waaronder de complian-cefunctie. Opvallend is dat in andere richtsnoeren nadere eisen worden gesteld aan de inrichting van de verschillende sleutelfuncties met uitzondering van de compli-ancefunctie. In totaal zijn er 52 richtsnoeren.

SleutelfunctiesDe Gedelegeerde Verordening schrijft voor dat een verzekeraar zorg dient te dragen voor een aantal sleutelfuncties. Hiertoe behoren de risicomanagementfunctie,38 de compliancefunctie,39 de interne audit functie40 en de actuariële functie.41 Al deze functies moeten aan een aantal voorwaarden voldoen.

De eerste voorwaarde is dat verzekeraars deze functies en bijbehorende rappor-tagelijnen op een zodanige wijze in hun organisatie dienen te integreren dat iedere functie vrij is van invloeden die eraan in de weg kunnen staan dat de desbetref-fende functie haar taken op een objectieve, eerlijke en onafhankelijke manier kan uitoefenen. Verder dient iedere functie te opereren onder de uiteindelijke verant-woordelijkheid van het bestuurlijk, beleidsbepalend of toezichthoudend orgaan en daaraan ook te rapporteren. Daar waar nodig dient te worden samengewerkt met andere functies.42

De tweede voorwaarde is dat de personen die de desbetreffende functie uitoe-fenen, beschikken over de mogelijkheid om op eigen initiatief met andere mede-werkers te kunnen communiceren. Deze personen dienen over de nodige autoriteit, middelen en deskundigheid te beschikken. Ook dienen zij onbeperkt toegang te hebben tot alle relevante informatie die zij nodig hebben om hun verantwoorde-lijkheden te kunnen nemen.43

De derde voorwaarde is dat de personen die de desbetreffende functie uitvoe-ren, onmiddellijk ieder materieel probleem rapporteren aan het bestuurlijk, be-leidsbepalen of toezichthoudend orgaan.44

CompliancefunctieArt. 270 lid 1 Gedelegeerde Verordening schrijft voor dat de compliancefunctie van een verzekeraar een compliancebeleid en een complianceplan dient vast te stellen. Het compliancebeleid dient de verantwoordelijkheden, bevoegdheden en rapporta-ge van de compliancefunctie te omschrijven. Het complianceplan dient de geplande werkzaamheden van de compliancefunctie uiteen te zetten, rekening houdend met

37 EIOPA Richtsnoeren voor het governancesysteem 31 oktober 2013.38 Art. 269 Gedelegeerde Verordening.39 Art. 270 Gedelegeerde Verordening.40 Art. 271 Gedelegeerde Verordening.41 Art. 272 Gedelegeerde Verordening.42 Art. 268 lid 1 Gedelegeerde Verordening.43 Art. 268 lid 2 Gedelegeerde Verordening.44 Art. 268 lid 3 Gedelegeerde Verordening.

62


(de reikwijdte en aard van) de activiteiten van de verzekeraar in kwestie en de mate waarin deze aan de desbetreffende compliancerisico’s is blootgesteld.

In de praktijk zal het complianceplan periodiek dienen te worden herzien. Zo zal een verzekeraar in de regel ieder jaar een nieuw complianceplan opstellen met voorgenomen werkzaamheden. De aard van de werkzaamheden zal mede bestaan uit de toetsing van de deugdelijkheid van de maatregelen die de verzekeraar heeft genomen om non-compliance te voorkomen. Deze toetsing behoort immers tot een van de taken van de compliancefucntie.45 Het compliancebeleid is in feite het com-pliance charter en dit zal wel periodiek geëvalueerd dienen te worden, doch zonder dat dit noodzakelijkerwijs periodiek aangepast dient te worden.

Voor de compliancefunctie zijn behalve het compliancebeleid en het complian-ceplan drie aanverwante rapportages relevant die door een verzekeraar periodiek opgesteld moeten worden.

Verzekeraars moeten minimaal één keer per jaar een zogenoemd ORSA-Rapport bij DNB indienen.46 Dit is het Own Risk and Solvency Assessment-Rapport waarin de verzekeraar inzicht geeft in de samenhang tussen strategie, de materiële risico’s die de verzekeraar kunnen bedreigen, de mogelijke consequenties hiervan voor de financiële positie van de verzekeraar en de maatregelen die de verzekeraar neemt ter voorkoming of beperking van deze risico’s.

De ORSA moet worden onderscheiden van de systematische analyse van integri-teitsrisico’s (afgekort SIRA). Art. 10 Besluit prudentiële regels Wft schrijft voor dat (o.a.) een verzekeraar zorgdraagt voor een systematische analyse van integriteitri-sico’s.47 De SIRA draagt bij aan het voorkomen van financieel-economische crimi-naliteit. Voor financiële ondernemingen vormt de SIRA de basis voor de integere bedrijfsvoering.

Ten slotte het Regular Supervisory Report (SRS). Art. 308 lid 1 Gedelegeerde Verordening schrijft voor dat een verzekeraar jaarlijks aan DNB een toezichtsrap-port toezendt. Dit toezichtsrapport dient aan een aantal specifieke informatievoor-schriften te voldoen en daardoor de toezichthouder in staat te stellen om een goed inzicht te kunnen verkrijgen in het governancesysteem van de verzekeraar.48 DNB dient te kunnen beoordelen of het door de verzekeraar gehanteerde governancesys-teem geschikt is voor de bedrijfsstrategie en de activiteiten.

Tot de voorgeschreven informatie behoort het uitgestippelde compliancebeleid van de verzekeraar, het proces voor het evalueren van dit beleid, de evaluatiefre-quentie en de eventuele significante wijziging in dat beleid tijdens de rapportage-periode. 49

45 Art. 270 lid 2 Gedelegeerde Verordening.46 Art. 372 Gedelegeerde Verordening.47 DNB, De integriteitrisicoanalyse, meer waar dat moet, minder waar dat kan, 17 augustus 2015,

p. 7.48 Zie art. 308 leden 1 tot en met 9 Gedelegeerde Verordening.49 Zie art. 308 lid 5 sub c Gedelegeerde Verordening.

63


6. Compliancefunctie banken

Hieronder volgt een uiteenzetting van de wijze waarop de compliancefunctie bij banken is gereguleerd en van de belangrijkste voorschriften waaraan de complian-cefunctie dient te voldoen.

6.1. CRD IV

De kernbepaling voor de wijze waarop de compliancefunctie binnen banken inge-richt dient te zijn, is terug te vinden in art. 74 CRD IV. Het eerste lid van dit artikel schrijft voor dat banken dienen te beschikken over solide governanceregelingen, waaronder een duidelijke organisatiestructuur met duidelijk omschreven, transpa-rante samenhangende verantwoordelijkheden, effectieve procedures voor de de-tectie, beheer en de bewaking alsmede de rapportages van risico’s waaraan zij bloot (kunnen) staan. Hiertoe behoren ook adequate interne controlemechanismen, zo-als degelijke boekhoudkundige procedures, beloningsbeleid en een beloningscul-tuur die in overeenstemming is met een bijdrage tot een degelijk en doeltreffend risicobeheer. Het tweede lid van art. 74 CRD IV bepaalt dat de in het eerste lid be-doelde regeling en processen gedetailleerd uitgewerkt zijn en in verhouding staan tot de aard, schaal en complexiteit van de risico’s die inherent zijn aan het bedrijfs-model en de werkzaamheden van de desbetreffende instelling. Het derde lid van art. 74 CRD IV geeft aan de European Banking Authority (EBA) de bevoegdheid om richtsnoeren af te geven met betrekking tot de in lid 1 bedoelde regeling, processen en mechanismen. De volgende paragraaf gaat in op deze richtsnoeren.

Twee andere bepalingen uit de CRD IV zijn verder nog van belang. Ten eerste, art. 88 CRD IV. Lidstaten dienen ervoor zorg te dragen dat het leidinggevende orgaan een complianceregeling opstelt, toezicht houdt op en verantwoording aflegt voor de uitvoering van deze regeling. De regelingen beogen een doeltreffend en prudent be-stuur van de instelling te garanderen. Daarnaast dient de regelingen te voorzien in een scheiding der taken in de organisatie en in de voorkoming van belangenconflic-ten. Ten tweede art. 92 lid 2, onderdeel f, CRD IV dat bepaalt dat, indien de instelling niet heeft voorzien in de installering van een beloningscommissie, het leidingge-vende orgaan rechtstreeks toezicht houdt op de beloning van hoger leidinggevende medewerkers die risicomanagement- en compliancefuncties uitoefenen.

6.2. EBA Richtsnoeren

EBA heeft op 26 september 2017 (definitieve) richtsnoeren uitgevaardigd die voor-zien in voorschriften omtrent de interne governance van een instelling.50 Deze richtsnoeren hebben onder andere betrekking op de zogenaamde ‘second line of defense’ (risicomanagement functie en de compliancefunctie) alsmede de ‘third line of defense’ (internal audit functie). De compliancefunctie heeft daarbij tot taak om te monitoren dat in overeenstemming wordt gehandeld met niet alleen

50 Het eerdergenoemde EBA Final report.

64


de toepasselijke wettelijke voorschriften, maar ook met interne gedragscodes en dat de compliancefunctie het bestuur daarover dient te adviseren. Tevens dient de compliancefunctie beleid op te stellen om compliancerisico’s te beheersen.51 EBA geeft verder aan dat zowel de risicomanagementfunctie als de compliancefunctie betrokken dienen te zijn bij het opstellen van een risicoframework dat een ‘sound risk culture’ dient te waarborgen.52

EBA stelt in haar richtsnoeren dat het bestuur verantwoordelijk is om zorg te dra-gen voor een adequate en effectieve interne governance, waaronder een complian-cefunctie dat over voldoende autoriteit, deskundigheid en middelen beschikt om de functie te kunnen uitoefenen.53 Tot slot staat het instellingen vrij compliancecomi-tés in te stellen maar zij zijn hiertoe niet verplicht.54

De EBA-richtsnoeren bevatten een aantal gedetailleerde voorschriften waaraan de compliancefunctie van een bank dient te voldoen. Hierna volgt een samenvatting van deze voorschriften.

Banken moeten een permanente en effectieve compliancefunctie instellen die de compliancerisico’s beheerst. Tevens dient een natuurlijk persoon aangewezen te worden die verantwoordelijk is voor de compliancefunctie (Head of Compliance).55 Indien het onevenredig is om een persoon aan te stellen die zich geheel toewijdt aan de rol van Hoofd Compliance, dan mag deze functie worden gecombineerd met het Hoofd Risicomanagement of een andere senior medewerker (Hoofd Legal) mits geen sprake is van een belangenconflict.56

De compliancefunctie dient onafhankelijk te zijn ten opzichte van de commer-ciële functies en andere interne afdelingen waarop toezicht wordt gehouden. De compliancefunctie dient voldoende autoriteit, deskundigheid en middelen te be-schikken teneinde haar functie uit te kunnen oefenen.57

Medewerkers van de desbetreffende complianceafdeling dienen te beschikken over voldoende kennis, vaardigheden en ervaring met betrekking tot compliance en de relevante procedures en dienen onderworpen te zijn aan periodieke educatie.58 Het bestuur dient zorg te dragen voor implementatie van een voldoende gedocu-menteerd compliancebeleid dat aan alle medewerkers gecommuniceerd dient te zijn. Tevens dient te worden voorzien in een procedure welke waarborgt dat op periodieke basis wijzigingen in weten regelgeving worden geïdentificeerd die re-levant zijn voor de bedrijfsactiviteiten.59

De compliancefunctie dient het bestuur te adviseren over maatregelen die ge-nomen moeten worden om naleving van toepasselijke weten regelgeving te waar-

51 EBA Final Report, par. 30.52 EBA Final Report, par. 35.53 Richtsnoer 23.54 Richtsnoer 41.55 Richtsnoer 187.56 Richtsnoer 188.57 Richtsnoer 189.58 Richtsnoer 190.59 Richtsnoer 191.

65


borgen. Daartoe dient de compliancefunctie onder andere de mogelijke impact van wijzigingen in weten regelgeving voor de desbetreffende instelling te onderken-nen.60

De compliancefunctie dient ervoor te zorgen dat het door haar uit te oefenen toezicht geschiedt middels een gestructureerd en voldoende gedefinieerd compli-ancemonitoringprogramma. Ook dient de compliancefunctie te waarborgen dat het compliancebeleid wordt geëerbiedigd. Verder dient de compliancefunctie te rap-porteren aan het bestuur.

In de uitoefening van haar taken, dient de compliancefunctie informatie uit te wisselen met de risicomanagementfunctie ten aanzien van de compliancerisico’s en de beheersing daarvan. De compliancefunctie en de risicomanagementfunctie dienen samen te werken en informatie uit te wisselen in het kader van de uitoefe-ning van de aan hen opgedragen taken. Het bestuur en de risicomanagementfunctie dienen de bevindingen van de compliancefunctie te betrekken in hun besluitvor-ming.61

Opvallend is dat de compliancefunctie – in samenwerking met de risicomanage-mentfunctie en de juridische functie – dient te verifiëren dat nieuwe producten en nieuwe procedures in overeenstemming zijn met de toepasselijke weten regelge-ving en – daar waar relevant – met reeds bekende toekomstige wijzigingen in weten regelgeving. Dit laatste betekent dat de compliancefunctie een inhoudelijke en materiële functie dient te vervullen bij het productontwikkelingsproces.62

Ten slotte zijn nog de volgende twee richtsnoeren van belang. Ten eerste het richt-snoer dat banken adequatemaatregelen moeten nemen teneinde interne of externe fraude te voorkomen.63 Dit richtsnoer impliceert dat de compliancefunctie erop dient toe te zien dat deze maatregelen worden genomen en worden nageleefd. Ten tweede het richtsnoer dat banken ervoor dienen te zorgen dat dochterondernemin-gen en bijkantoren die in andere jurisdicties opereren, voldoen aan de plaatselijke regelgeving. Deze dochterondernemingen en bijkantoren dienen de compliance-functie (Head of Compliance) te informeren indien de plaatselijke regelgeving voor-ziet in strengere normen dan de jurisdictie van de hoofdvestiging van de instelling.64

7. Compliancefunctie beleggingsondernemingen

Hieronder volgt een uiteenzetting van de wijze waarop de compliancefunctie bij beleggingsondernemingen is gereguleerd en van de belangrijkste voorschriften waaraan de compliancefunctie dient te voldoen.

60 Richtsnoer 192.61 Richtsnoer 193.62 Richtsnoer 194.63 Richtsnoer 195.64 Richtsnoer 196.

66


7.1. Gedelegeerde MiFID II-Verordening

De belangrijkste bepalingen omtrent de inrichting van de compliancefunctie bij beleggingsondernemingen zijn terug te vinden in art. 22 lid 1 Gedelegeerde MiFID II-Verordening. Beleggingsondernemingen dienen een permanente en effectieve compliancefunctie in stand te houden die onafhankelijk is. Deze compliancefunctie heeft de volgende verantwoordelijkheden:− De compliancefunctie dient permanent toezicht te houden op en op gezette tij-

den de deugdelijkheid en effectiviteit van de interne procedures en maatregelen (waaronder gedragscodes) te evalueren. De verantwoordelijkheid om perma-nent toezicht te houden, geldt ook ten aanzien van maatregelen die zijn geno-men om eventuele onvolkomenheden te verhelpen.

− De compliancefunctie dient de personen, die verantwoordelijk zijn voor het ver-lenen van beleggingsdiensten en beleggingsactiviteiten, te adviseren en bij te staan teneinde te waarborgen dat de beleggingsondernemingen de verplichtin-gen ingevolge MiFID II nakomen.

− De compliancefunctie dient tenminste jaarlijks verslag uit te brengen aan het leidinggevend orgaan over de implementatie en effectiviteit van de algemene controleomgeving voor beleggingsdiensten en activiteiten, over de geïdentifi-ceerde risico’s en over de klachtenbehandelingsrapportage alsmede de maatre-gelen die zijn getroffen of die getroffen zullen worden.

− De compliancefunctie dient de activiteiten van het klachtbehandelingsproces te monitoren. Daarnaast dient de compliancefunctie klachten te beschouwen als een bron van relevante informatie met het oog op haar algemene monitorings-verantwoordelijkheid.

Art. 22 lid 2 Gedelegeerde MiFID II-Verordening schrijft verder voor dat de compli-ancefunctie – om te voldoen aan de eerste twee van de hierboven vermelde verant-woordelijkheden – een risicogebaseerd monitoringsprogramma dient op te stellen op basis waarvan de desbetreffende beoordeling plaatsvindt. Dit risicogebaseerd monitoringsprogramma dient rekening te houden met alle terreinen van de beleg-gingsdiensten, activiteiten en andere relevante beleggingsdiensten die de desbe-treffende beleggingsonderneming verleent. Tevens dient rekening te worden ge-houden met informatie die kan worden ontleend aan de klachtenbehandeling. Het risicogebaseerd monitoringsprogramma dient prioriteiten te bevatten die bepaald zijn aan de hand van de beoordeling van het compliancerisico en die waarborgen dat het compliancerisico uitgebreid wordt gemonitord.

Beleggingsondernemingen dienen de compliancefunctie in staat te stellen om haar verantwoordelijkheden naar behoren en onafhankelijk uit te voeren.65 Om de com-pliancefunctie in staat te stellen haar verantwoordelijkheden uit te kunnen oefe-nen, moet aan vijf voorwaarden worden voldaan:

65 Art. 22 lid 2 Gedelegeerde Verordening 25 april 2016.

67


− De compliancefunctie dient te beschikken over de nodige autoriteit, middelen en deskundigheid en dient bovendien toegang te hebben tot alle benodigde in-formatie.

− Het leidinggevend orgaan van de beleggingsonderneming (in de praktijk veelal de statutaire directie) dient een compliance officer aan te stellen die verant-woordelijk is voor de compliancefunctie en die ook verantwoordelijk is voor alle voorgeschreven rapportages.

− De compliancefunctie dient op ad hoc-basis te rapporteren aan het leiding-gevend orgaan van de beleggingsonderneming. Deze rapportage dient recht-streeks te geschieden indien sprake is van een significant risico dat de beleg-gingsonderneming loopt als gevolg van niet-nakoming van haar verplichtingen uit hoofde van MiFID II.

− De personen die betrokken zijn bij (het vervullen van) de compliancefunctie mogen niet betrokken zijn bij het verlenen van de diensten of de activiteiten waarop zij toezicht houden.

− De wijze waarop de beloning van de personen die de compliancefunctie vervul-len wordt vastgesteld, mag hun objectiviteit niet in gevaar brengen.

Art. 22 lid 4 Gedelegeerde MiFID II-Verordening bepaalt dat een beleggingsonder-neming niet aan de laatste twee voorwaarden hoeft te voldoen indien dat oneven-redig zou zijn gelet op (i) de aard, schaal en complexiteit van haar bedrijf; en (ii) de aard en het spectrum van beleggingsdiensten en activiteiten. Ook dient aan-getoond te worden dat de effectiviteit van de compliancefunctie gewaarborgd is. De doeltreffendheid van de compliancefunctie mag immers niet in gevaar komen.Deze proportionaliteitsgedachte is met name van belang voor kleinere beleggings-ondernemingen of beleggingsondernemingen die een beperkt scala aan beleg-gingsdiensten verlenen.

7.2. ESMA Richtsnoeren

ESMA heeft geen guidelines onder MiFID II uitgevaardigd. Dat neemt niet weg dat the general guidelines ten aanzien van de compliancefunctie onder MiFID I voor de praktijk nog altijd van belang kunnen zijn. 66

8. Capita Selecta

Hierna volgen enkele beschouwingen en kanttekeningen bij de wettelijke regule-ring van de compliancefunctie en de positie van de compliance officer.

8.1. Verantwoordelijkheid compliancefunctie

Het waarborgen van een adequate governance – waaronder een effectief opereren-de compliancefunctie – is de eindverantwoordelijkheid van het hoogste manage-ment. In het Nederlandse vennootschapsrecht is dat de statutaire directe van de

66 Het eerdergenoemde ESMA Final Report.

68


desbetreffende financiële onderneming. Deze verantwoordelijkheid brengt in de eerste plaats met zich dat het hoogste management zorg dient te dragen voor het instellen en in stand houden van een adequate compliancefunctie en dus ook een compliance officer. Hoewel dit geen betrekking heeft op een financiële onderne-ming, is de bestuurlijke boete die de AFM in 2012 aan Ernst & Young heeft opgelegd illustratief voor het belang van zowel de aanstelling van een compliance officer als een adequate compliancefunctie. De AFM verwoordde haar bevindingen als volgt:

‘In het onderzoek van de AFM is het volgende geconstateerd over de invulling door EY van de functie van compliance officer. Niet is gebleken dat de compli-ance officer alle werkzaamheden zoals neergelegd in zijn jaarplan ook daadwer-kelijk heeft uitgevoerd. Daar waar er besprekingen tussen de compliance officer en belangrijke afdelingen binnen EY hebben plaatsgevonden, is niet gebleken of, en zo ja, welke opvolging de compliance officer heeft gegeven aan hetgeen besproken is. Ook is niet gebleken dat de compliance officer werkzaamheden heeft verricht naar aanleiding van deze besprekingen. De compliance officer heeft in zijn jaarplan voor 2009 geen concrete compliance issues dan wel risico’s benoemd of behandeld. Uit het onderzoek van de AFM is verder niet gebleken dat de compliance officer werkzaamheden heeft gepland dan wel uitgevoerd ten aanzien van concrete risico’s binnen EY, onderverdeeld naar bijvoorbeeld onderwerp, locatie, individuele externe accountants etc. In de periode van 1 juli 2009 tot 15 februari 2010 was er geen plaatsvervangend compliance officer aan-gewezen binnen EY. Een plaatsvervangend compliance officer is van belang om toezicht te houden op de taken van de compliance officer wanneer belangenver-strengeling dreigt plaats te vinden. Naast zijn functie van compliance officer van EY, was deze persoon namelijk ook externe accountant. Vanuit het oogpunt van onafhankelijkheid kan de compliance officer niet toezien op die werkzaamhe-den waarbij hij zelf betrokken is en zou de plaatsvervangend compliance officer zijn taken moeten overnemen.’67

Uit dit boetebesluit is af te leiden dat de enkele aanstelling van een compliance officer ontoereikend is. Deze functionaris dient ook daadwerkelijk uitvoering te geven aan zijn functie hetgeen onder meer dient te blijken uit de realisatie van de (geplande) werkzaamheden.

In dit kader is zijn ook van belang de art. 3:10 en 3:17 Wft. Deze artikelen schrijven voor dat een adequaat beleid wordt gevoerd dat een integere bedrijfsuitoefening waarborgt en dat de bedrijfsvoering zodanig wordt ingericht is dat deze een be-heerste en integere bedrijfsvoering van haar bedrijf waarborgt. Art. 3:10 Wft ver-eist in het bijzonder dat belangenverstrengeling dan wel de schijn van belangen-verstrengeling wordt tegengegaan. Art. 3:17 Wft vereist in het bijzonder dat wordt beschikt over een interne controlefunctie, een compliancefunctie en een onafhan-kelijke risicobeheerfunctie.

67 AFM Boetebesluit oktober 2012. Citaat ontleend aan AFM persbericht van 2 oktober 2012.

69


DNB heeft in 2014 aan de verzekeraar HDI-Gerling Verzekeringen N.V. (HDI) een bestuurlijke boete opgelegd wegens overtreding van zowel art. 3:10 Wft als art. 3:17 Wft. DNB was tot het besluit van boeteoplegging gekomen op grond van de onderstaande bevindingen:− Er hebben transacties/betalingen plaatsgevonden die, onder andere ten behoeve

van zichzelf, werden geïnitieerd door de voormalig voorzitter van de Raad van Bestuur van HDI en die niet binnen de normale bedrijfsvoering van HDI pasten. Deze transacties vonden plaats ten behoeve van privébelangen.

− Een systematisch analyse van integriteitsrisico’s bij HDI ontbrak en het beleid van HDI (dat zijn neerslag moet vinden in procedures en maatregelen) was niet afgestemd op de risico’s van de bedrijfsvoering.

− HDI beschikte niet over voldoende adequate procedures en maatregelen die een integere bedrijfsuitoefening waarborgen ten aanzien van het tegengaan van be-langenverstrengeling of de schijn van belangenverstrengeling.

− De bevoegdheden van de CEO, CFO en CRO waren in één persoon verenigd, er was geen adequate functiescheiding met het oog op een beheerste bedrijfsvoe-ring en er was geen opvolging gegeven aan eerdere onderzoeksbevindingen van DNB.68

De belangenverstrengeling was onder meer gelegen in de omstandigheid dat de verzekeraar een ongesecureerde lening (tegen 4% rente) had verstrekt ter finan-ciering van een woning in Palma de Mallorca die de bestuursvoorzitter tezamen met een aantal vrienden had gekocht. Andere relevante omstandigheden waren de financiering door deze verzekeraar van bedrijven in Dubai toebehorend aan vrien-den van de bestuursvoorzitter (voor een bedrag van € 1 miljoen) en de financiering van een plezierjacht alsmede het verrichten van betalingen (voor een bedrag van ruim € 0,5 miljoen) aan een racevereniging waarmee geen sponsorcontract was afgesloten.

Bovenstaand voorbeeld illustreert het belang van het voorkomen van belangenver-strengeling en een adequaat werkende compliancefunctie. Het illustreert ook dat de eindverantwoordelijkheid bij de statutaire directie ligt.

8.2. Feitelijk leiding geven

Het niet-naleven van toepasselijke publiekrechtelijke regelgeving – waaronder de Wft – kan resulteren in bestuursrechtelijke handhaving door de desbetreffende toezichthouder (AFM en DNB). Veelvoorkomende handhavingsmaatregelen hebben betrekking op ontoereikende naleving van markttoetredingsregels of Gedragsre-gels. Vanuit een complianceperspectief is van belang dat aan toezichthouders de bevoegdheid toekomt om niet alleen een bestuurlijke boete op te leggen aan de financiële onderneming zelf maar ook aan de natuurlijk persoon die feitelijk lei-ding heeft gegeven aan de ‘verboden gedraging’.69 Zo heeft DNB de afgelopen jaren

68 DNB Persbericht 24 juni 2014.69 Zie art. 5:1 Algemene wet bestuursrecht.

70


diverse bestuurlijke boetes opgelegd aan natuurlijke personen die feitelijk leiding gaven aan een entiteit die – kort gezegd – het bankbedrijf uitoefenden zonder de benodigde vergunning.70

Bepalend voor de beantwoording van de vraag wanneer bestuursrechtelijk kan worden opgetreden tegen feitelijk leidinggevers zijn de welbekende criteria uit de Slavenburg II-beschikking, te weten het beschikkingscriterium en het aanvaar-dingscriterium. De Hoge Raad overwoog in deze beschikking:

‘Van feitelijk leiding geven aan verboden gedragingen kan onder omstandighe-den sprake zijn indien de desbetreffende functionaris – hoewel daartoe bevoegd en redelijkerwijs gehouden – maatregelen ter voorkoming van deze gedragingen achterwege laat en bewust de aanmerkelijke kans aanvaardt dat de verboden gedragingen zich zullen voordoen. In deze situatie wordt de zojuist bedoelde functionaris geacht opzettelijk de verboden gedragingen te bevorderen.’71

De criteria aan de hand waarvan beoordeeld dient te worden of een bestuurlijke boete aan feitelijk leidinggevers mag worden opgelegd zijn identiek aan de straf-rechtelijke criteria ingevolge art. 51 Sr.72

De AFM heeft (apart) beleid gepubliceerd ten aanzien van het opleggen van be-stuurlijke boetes aan feitelijk leidinggevers.73 Dit boetebeleid is voorzien van een handzame bijlage met daarop een stroomschema dat door de AFM zelf wordt ge-hanteerd. Van belang is met name dat de AFM nog een zogenoemde passendheids-toets verricht – nadat is gebleken dat voldaan wordt aan de Slavenburg-criteria – om de opportuniteit van de boeteoplegging te bepalen.

Ook strafrechtelijke handhaving is denkbaar. Een treffend voorbeeld van straf-rechtelijke handhaving jegens feitelijk leidinggevers was de vervolging van een aantal bestuurders van de FCIB N.V., een bancaire instelling die verzuimd had om aan het Meldpunt Curacao ongebruikelijke transacties te melden.De Rechtbank Arnhem kwam onder andere tot het oordeel dat een strafrechtelijk verwijt aan de desbetreffende bestuurders kon worden gemaakt nu zij niet hadden zorg gedragen voor naleving van de toepasselijke wetgeving en hadden verzuimd maatregelen te treffen terwijl aan hen genoegzaam duidelijk had moeten zijn dat de gerede kans bestond dat deze wetgeving niet zou worden nageleefd:

‘Het vorenstaande laat naar het oordeel van de rechtbank zien dat de FCIB N.V. op de hoogte was van de betrokkenheid van de in de tenlastelegging genoemde bedrijven bij ongebruikelijke transacties. Ten aanzien van de betrokken onder-

70 Zie bijvoorbeeld CBb 7 maart 2016, JOR 2016/131, m.nt. Bierman.71 HR 16 december 1986, NJ 1987/321 (Slavenburg II), r.o. 5.1.1. Zie meer over het leerstuk feitelijk

leidinggeven voorts de bijdrage van C.M.I. van Asperen de Boer aan deze bundel.72 Art. 5:1 lid 3 Algemene wet bestuursrecht.73 AFM Boetebeleid feitelijk leidinggevers (juli 2017) te vinden op www.afm.nl.

71


nemingen zijn eerder, op grond van vermoedens van witwassen, dan wel van be-trokkenheid bij third party payments, MOT-meldingen gedaan. Verdachte [ver-dachte 1] heeft bovendien ten aanzien van een aantal van de ondernemingen het advies gekregen om de rekeningen te sluiten. Dit is niet gebeurd. Evenmin heeft FCIB N.V. de ondernemingen en rekeningen in kwestie onderworpen aan bij-zonder toezicht, of extra gecontroleerd. Ter terechtzitting heeft verdachte [ver-dachte 1] verklaard dat de bank, nadat de eerdere meldingen aan meldpunt MOT Curaçao waren gedaan, afwachtte welk vervolg meldpunt MOT Curaçao aan de gedane meldingen zou geven. De bank heeft zelf jegens de betrokken onderne-mingen geen actie meer ondernomen, in welke vorm dan ook. De rechtbank is van oordeel dat, gegeven de hiervoor geschetste omstandigheden, ten aanzien van de betrokken ondernemingen een gerede kans aanwezig was dat deze on-dernemingen opnieuw betrokken zouden raken bij ongebruikelijke transacties. Op FCIB N.V. rustte de verplichting om dergelijke transacties te melden. FCIB N.V. heeft de betrokkenen ondernemingen en hun rekeningen, nadat de eerste MOT-meldingen waren gedaan, echter niet onderworpen aan bijzonder toezicht of extra gecontroleerd. Door dit na te laten heeft FCIB N.V. de aanmerkelijke kans in het leven geroepen dat transacties die gemeld hadden moeten worden, niet zou-den worden opgemerkt, en dus niet zouden worden gemeld. FCIB N.V. heeft deze aanmerkelijke kans bovendien bewust aanvaard, nu het in het vermogen van de bank lag om haar medewerkers de instructie te geven de betrokken onder-nemingen en hun rekeningen extra te monitoren, en zij dat niet heeft gedaan. Zoals ook overwogen onder de beoordeling van art. 38 Wtk 1992 was verdachte [verdachte 2] managing director en treasurer van FCIB N.V. Zij bepaalde aan de hand van de koers, uitgezet door haar broer, de inrichting van de dagelijkse werkprocessen. Eveneens was zij directeur van TWOCC B.V. Haar werkzaam-heden verrichtte zij voor een groot deel vanuit Berg en Dal. In die hoedanigheid had zij feitelijk zeggenschap over de gedragingen verricht door FCIB N.V. en was zij bij uitstek bevoegd en redelijkerwijs gehouden om maatregelen te nemen ter voorkoming van de strafbare gedraging door de bank. Gezien haar functie was zij betrokken bij belangrijke vergaderingen en beslissingen van de bank en dus ook bij het beleid ten aanzien van MOT-meldingen. Zij heeft daarmee (kleurloos) opzet gehad op de overtreding van de Wet MOT. De rechtbank is van oordeel dat FCIB N.V. aldus in strijd heeft gehandeld met de ingevolge de Wet MOT op haar rustende verplichtingen en dat verdachten [verdachte 1] en [verdachte 2] aan deze strafbare gedraging feitelijk leiding hebben gegeven.’74

Een adequaat functionerende compliancefunctie kan een belangrijke omstandig-heid zijn bij de beantwoording van de vraag of voldaan is aan de Slavenburg-crite-ria. De leiding van een financiële onderneming die geen adequaat functionerende compliancefunctie heeft ingericht heeft een grotere kans (persoonlijk) beboet te worden.

74 Rb. Arnhem 24 mei 2012, JOR 2012/252.

72


8.3. Compliancefunctie versus compliance officer

De (Europese en nationale) wetgever maakt onvoldoende onderscheid tussen de compliancefunctie enerzijds en de compliance officer anderzijds. De compliance-functie en de compliance officer kunnen niet met elkaar vereenzelvigd worden.

De compliancefunctie moet worden beschouwd als het stelsel van procedures en maatregelen dat door het bestuur van een financiële onderneming in het leven is geroepen en in stand wordt gehouden teneinde compliance- en integriteitsrisico’s te voorkomen en te beheersen. De compliance officer daarentegen is degene die binnen de financiële onderneming is belast met de aan hem wettelijk toebedeelde taken.

8.4. Bescherming positie

De compliance officer kan aan geen enkele wet specifieke bescherming ontlenen voor eventuele represailles waarmee hij geconfronteerd wordt indien zijn optreden of zijn rapportages niet welgevallig zijn of niet gehoord worden door het bestuur van de financiële onderneming.

Zo kan de compliance officer – anders dan bijvoorbeeld een lid van de Onderne-mingsraad – geen aanspraak maken op ontslagbescherming. De compliance offi-cer kan uiteraard wel gebruikmaken van de (arbeidsrechtelijke) bescherming die aan andere medewerkers toekomt of die aan bepaalde personen onder bepaalde omstandigheden toekomt, waarbij valt te denken aan de bescherming van zoge-naamde klokkenluiders.75

9. Slotbeschouwing

Alles overziend is de wettelijke regulering van de compliancefunctie en de positie van de compliance officer geen fraai coherent geheel. De verschillen tussen de wijze waarop de compliancefunctie bij diverse financiële ondernemingen ingericht dient te worden, zijn niet toegelicht en zijn daardoor niet goed te verklaren. Ook ont-breken duidelijke criteria aan de hand waarvan de compliancefunctie kan worden onderscheiden van andere aanverwante functies, in het bijzonder de internal audit functie. Het zou wenselijk zijn indien de uitgangspunten van de compliancefunctie en de positionering van de compliance officer voor alle financiële ondernemingen identiek zouden zijn waarbij uiteraard vervolgens per soort financiële onderne-ming nadere voorschriften gesteld kunnen worden die specifiek van belang zijn voor de desbetreffende soort financiële onderneming.

75 Wet Huis voor Klokkenluiders 2016.

DE COMPLIANCEFUNCTIE...50 2. De compliancefunctie van de compliance officer was in deze door DNB...

Documents

Transcript of DE COMPLIANCEFUNCTIE...50 2. De compliancefunctie van de compliance officer was in deze door DNB...