DE COMPLIANCEFUNCTIE. Dr. mr. F.M.A. t Hart. 1. Inleiding

Transcriptie

1 DE COMPLIANCEFUNCTIE Dr. mr. F.M.A. t Hart 1. Inleiding Deze bijdrage gaat in op de belangrijkste aspecten van de compliancefunctie en in het bijzonder de wijze waarop de Europese en Nederlandse wetgever de compliancefunctie bij financiële ondernemingen heeft gereguleerd. De regulering van de compliancefunctie is per soort financiële onderneming verschillend maar kent ook gemeenschappelijke kenmerken. Deze gemeenschappelijke kenmerken worden in deze bijdrage uiteengezet. Specifiek wordt ingegaan op de regulering van de compliancefunctie bij banken, verzekeraars en beleggingsondernemingen. Tot slot worden een aantal kritische kanttekeningen geplaatst. 2. Historische schets en context Hierna zal eerst kort een historische schets worden gegeven van de ontwikkeling van de regulering van de compliancefunctie. Ook zal aandacht worden besteed aan de context waarbinnen de regulering van de compliancefunctie moet worden begrepen Korte historische schets De wettelijke regulering van de compliancefunctie en de positie van de compliance officer kent geen lange historie. De wettelijke regulering van de compliancefunctie is eerst na de internationale kredietcrisis ( ) in een stroomversnelling gekomen. Banken In Nederland gaat deze historie van de compliancefunctie terug tot de op 1 april 1994 door De Nederlandsche Bank (DNB) uitgevaardigde Regeling privé-beleggingstransacties. 1 Deze regeling bevatte onder ander het voorschrift dat de compliance officer diende te worden belast met het toezicht op de naleving van een door banken in het leven te roepen gedragscode ten aanzien van privé-beleggingstransacties door of namens bestuurders, commissarissen en medewerkers. De positie 1 Regeling van DNB ingevolge art. 22 Wet toezicht kredietwezen 1992 met betrekking tot privébeleggingstransacties, van insiders, door leden van raden van commissarissen of daarmee vergelijkbare organen en door bankmedewerkers niet zijnde insiders, Stcrt. 1994, 7. Zie ook de brief van DNB aan onder toezicht staande banken d.d. 11 januari

2 2. De compliancefunctie van de compliance officer was in deze door DNB uitgevaardigde regeling, niet gereguleerd. Eerst begin deze eeuw werd serieus aandacht besteed aan het waarborgen van de compliancefunctie. De op 1 april 2001 door DNB uitgevaardigde Regeling Organisatie en Beheersing (ROB) legde aan banken de verplichting op om te voorzien in een compliancefunctie. 2 Deze verplichting was vastgelegd in art. 69 ROB: De instelling beschikt over een onafhankelijke compliance -functie voor het toezicht op de naleving van de interne normen, voorschriften en gedragsregels alsmede voor het toezicht op de realisatie van bijstellingen naar aanleiding van gesignaleerde tekortkomingen en gebreken. Dit artikel was destijds onderdeel van in totaal vijf voorschriften die DNB aan banken oplegde ter beheersing van hun integriteitsrisico s. 3 Deze voorschriften kunnen worden beschouwd als de voorloper van de voorschriften omtrent een beheerste en integere bedrijfsuitoefening alsmede bedrijfsinrichting zoals deze thans zijn opgenomen in de Wet op het financieel toezicht (Wft). 4 Het Bazel Comité publiceerde in 2005 de finale versie van een Richtlijn 2013/36/ EU (CRD IV) 5 alsmede richtsnoeren van de European Banking Authority (EBA) 6 zijn de zogenaamde reguleringsbronnen. Verzekeraars Verzekeraars en beleggingsondernemingen volgden later. Voor verzekeraars trad op 1 januari 2004 de Regeling tegengaan van belangenverstrengeling en beheersing van integriteitsrisico s verzekeraars in werking. 7 Deze regeling kon destijds worden beschouwd als het equivalent van de ROB voor banken. Deze regeling bevat onder meer het voorschrift dat een verzekeraar diende te beschikken over een onafhankelijke compliancefunctie voor het toezicht op de naleving van wet- en regelgeving. 8 Verder diende de compliancefunctie licht toezicht te houden op de realisatie van bijstellingen van de door de verzekeraar zelf opgestelde normen en Gedragsregels, dit naar aanleiding van gesignaleerde tekortkomingen en gebreken. 9 Ten slotte bevatte deze regeling het voorschrift dat ten minste een bestuurder het aandachtsgebied compliance in zijn portefeuille heeft De ROB is per 1 januari 2007 komen te vervallen in verband met de inwerkingtreding van de Wet op het financieel toezicht. 3 Art ROB. 4 Zie art. 3:10 en 3:17 Wft. 5 Art. 74 CRD IV. 6 EBA, Final Report Guidelines on internal governance under Directive 2013/36/EU, 26 September 2017 (EBA Final Report). 7 Regeling tegengaan van belangenverstrengeling en beheersing van integriteitsrisico s verzekeraars uitgevaardigd op 18 december 2003 door de Pensioen- en Verzekeringskamer ter uitvoering van art. 2 lid 2 Besluit integere bedrijfsvoering kredietinstellingen en verzekeraars en art. 3 lid 3 Besluit integere bedrijfsvoering kredietinstellingen en verzekeraars. 8 Zie art. 8 lid 1 van deze regeling. 9 Zie art. 8 lid 2 van deze regeling. 10 Zie art. 8 lid 3 van deze regeling. 50

3 De compliancefunctie 2. De regulering van de compliancefunctie bij verzekeraars is met name terug te vinden in Richtlijn 2009/138/EG (Solvency II) en Gedelegeerde verordening (EU) 2015/35. Later meer hierover. Beleggingsondernemingen De compliancefunctie bij beleggingsondernemingen is eerst met de implementatie van Richtlijn 2004/39/EG (MiFID I) gereguleerd. De eerdere Richtlijn 93/22/ EEG (ISD-richtlijn) die in 1995 is geïmplementeerd in onze nationale wetgeving kende niet het voorschrift dat beleggingsondernemingen over een compliancefunctie dienen te beschikken. Tot die tijd dienden beleggingsondernemingen wel te voldoen aan de beheersing van bepaalde compliancerisico s zoals het voorschrift toezicht te houden op de naleving van genomen maatregelen en wettelijk voorgeschreven gedragscodes 11 maar van een samenstelling aan voorschriften ter regulering van de compliancefunctie was geen sprake. Op 1 november 2007 werd in de Wft de Europese richtlijn MiFID I geïmplementeerd die de inrichting van een compliancefunctie door beleggingsondernemingen voorschreef. 12 De voorschriften omtrent de compliancefunctie werden geïmplementeerd in het Besluit Gedragstoezicht financiële ondernemingen Wft (BGfo Wft). Het BGfo Wft schreef voor dat beleggingsondernemingen dienden te beschikken over een organisatieonderdeel dat op onafhankelijke en effectieve wijze de compliancefunctie uitoefende. 13 Daarnaast diende dit organisatieonderdeel (de afdeling Compliance) aan een aantal specifieke voorschriften te voldoen. 14 Voor de praktijk van beleggingsondernemingen zijn tevens de richtsnoeren van belang die de European Securities and Markets Authority (ESMA) onder MiFID I publiceerde. Deze in september 2012 gepubliceerde richtsnoeren bevatten beginselen ten aanzien van de organisatie en inrichting van de compliancefunctie bij beleggingsondernemingen. 15 Een belangrijk beginsel was dat de compliancefunctie risicogebaseerd uitgeoefend diende te worden: Investment firms should ensure that the compliance function takes a risk-based approach in order to allocate the function s resources efficiently. A compliance risk assessment should be used to deter-mine the focus of the monitoring and advisory activities of the compliance function. The compliance risk assessment should be performed regularly to ensure that the focus and the scope of compliance monitoring and advisory activities remain valid Zie art. 40 Nadere Regeling gedragstoezicht effectenverkeer Zie art. 31c BGfo Wft. 13 Zie art. 31b lid 1 BGfo Wft. 14 Zie art. 31b lid 2 BGfo Wft alsmede art. 31c en 31d BGfo Wft. 15 ESMA, Final Report Guidelines on certain aspects on MiFID the compliance function requirements, 6 July 2012 (ESMA Final Report). 16 ESMA Final Report, Principle 1. 51

4 2. De compliancefunctie Op 3 januari 2018 is Richtlijn 2014/65/EU (MIFID II) in werking getreden. De wijze waarop de compliancefunctie bij beleggingsondernemingen nu is gereguleerd is met name terug te vinden in de Gedelegeerde MiFID II-Verordening De context: governance, belangenverstrengeling en integriteitsrisico s De regulering van de compliancefunctie en de positionering van de compliance officer binnen een financiële onderneming kan niet los worden gezien van enkele belangrijke aspecten. Ik beperk mij tot drie aspecten: governance, belangenverstrengeling en integriteitsrisico s. Governance Ten eerste moet worden bedacht dat de compliancefunctie onderdeel is van de wijze waarop de governance binnen een financiële onderneming moet zijn ingericht en georganiseerd. Deze governance brengt met zich dat op verschillende niveaus binnen de financiële onderneming diverse checks and balances gewaarborgd dienen te zijn. De uitoefening van de bedrijfsactiviteiten dient een weerspiegeling te zijn van een adequate werking van de verschillende functies waarover een financiele onderneming dient te beschikken. Grosso modo kunnen de functies binnen een financiële onderneming onderverdeeld worden in vier categorieën. Ten eerste de bestuurlijke functie. Ten tweede, de commerciële functie. Ten derde, een aantal sleutelstaffuncties en ten vierde, ondersteunende en administratieve functies. Tot de sleutelstaffuncties behoren onder andere de compliancefunctie, risicobeheer (riskmanagement), de internal audit functie en tenslotte de klachtenfunctie. Sleutelstaffuncties zijn wettelijk voorgeschreven. De compliancefunctie is een sleutelstaffunctie die tot doel heeft om te waarborgen dat interne normen alsmede van toepassing zijnde wet- en regelgeving worden nageleefd door de financiële onderneming en tot op zekere hoogte ook door de daaraan verbonden bestuurders en medewerkers. Bij bestuurders en medewerkers gaat het primair om de naleving van wet- en regelgeving in de uitoefening van de door hen beklede functie. Belangenverstrengeling Een andere belangrijke achtergrond waartegen (de regulering van) de compliancefunctie moet worden geplaatst, is de noodzaak dan wel wenselijkheid voor financiële ondernemingen om belangenverstrengeling te voorkomen dan wel de daaraan verbonden risico s zoveel mogelijk te beheersen. Belangenverstrengeling heeft overigens niet alleen betrekking op zogenaamde privébelangen van bestuurders, commissarissen of medewerkers van de desbetreffende financiële onderneming. Onderscheid kan worden gemaakt tussen vier groepen van personen die geconfronteerd kunnen worden met (de schijn van) belangenverstrengeling: (i) personen die het beleid van de financiële onderneming bepalen waaronder tevens verstaan dienen te worden commissarissen en groepsbestuurders indien de financiële on- 17 Zie art. 22 lid 1 Gedelegeerde verordening (EU) 2017/565 van de Commissie van 25 april

5 De compliancefunctie 2. derneming tot een concern behoort; (ii) werknemers van de financiële onderneming; (iii) andere werknemers of personen die in opdracht van de financiële onderneming op incidentele of structurele basis werkzaamheden voor haar verrichten; en (iv) klanten van de financiële onderneming. Zo kan het bijvoorbeeld zijn dat bij het aanbieden van financiële producten of bij het verlenen van financiële diensten klanten tegenovergestelde belangen kunnen hebben. Ook kunnen tussen klanten onderling tegengestelde belangen bestaan. Denk bijvoorbeeld aan de situatie waarin een beleggingsonderneming bemiddelt bij zowel de verkoop als koop van bepaalde financiële instrumenten. De financiële onderneming dient een beleid te hebben ter voorkoming en beheersing van de verstrengeling van mogelijke belangen. Het enkel en alleen verstrekken van informatie aan het publiek of de betrokkenen bij het belangenconflict omtrent de aanwezigheid van een mogelijke belangenverstrengeling is niet per definitie toereikend. Een adequaat beleid ter voorkoming van belangenverstrengeling gaat immers verder dan het verstrekken van transparantie daarover. Integriteitsrisico s De regulering van de compliancefunctie kan niet los worden gezien van de voorschriften die een financiële onderneming in acht dient te nemen teneinde een beheerste en integere bedrijfsuitoefening te waarborgen. 18 Deze voorschriften hebben onder andere tot doel om bedrijfsprocessen en bedrijfsrisico s te beheersen waaronder integriteitsrisico s. Het tegengaan van belangenverstrengeling is een onderdeel van de maatregelen en procedures die een financiële onderneming dient te treffen. 19 Een specifiek voorschrift waaraan (diverse) financiële ondernemingen moeten voldoen, is om zorg te dragen voor een systematische analyse van integriteitsrisico s. 20 Deze systematische analyse van integriteitsrisico s is de facto een belangrijke voorwaarde om adequate maatregelen en procedures als hiervoor bedoeld, te kunnen treffen. Het is daarom niet verwonderlijk dat DNB in de praktijk veel belang hecht aan een adequate systematische analyse van integriteitsrisico s. DNB heeft in mei 2016 een guidance gepubliceerd om financiële ondernemingen handvatten aan te reiken om tot een ordentelijke integriteitsrisicoanalyse te komen. 21 DNB vat de essentie van een ordentelijke integriteitsrisico als volgt samen: Een integriteitsrisicoanalyse is niet alleen een wettelijke verplichting. Zonder deze risicoanalyse kan een instelling de integriteitwetgeving niet risicogebaseerd naleven. Daarnaast is de integriteitrisicoanalyse een voorwaarde voor een toereikende inrichting van de integere bedrijfsvoering. Het is niet duidelijk waarop de risicobeheersing is gericht als een instelling onvoldoende kennis 18 Zie art. 3:10 Wft en art. 3:17 Wft. 19 Zie art. 3:17 lid 2, onderdeel, b, onder 1 Wft. 20 Zie art. 10 lid 1 Besluit prudentiële regels Wft. 21 DNB, De integriteitrisicoanalyse, meer waar dat moet, minder waar dat kan, 17 augustus

6 3. De compliancefunctie heeft van de mogelijke integriteitsrisico s, dan wel ongegronde aannames op dat gebied maakt. 22 Het begrip integriteitsrisico s is overigens in het Besluit prudentiële regels Wft gedefinieerd als gevaar voor aantasting van de reputatie of bestaande of toekomstige bedreiging van vermogen of resultaat van een financiële onderneming als gevolg van een ontoereikende naleving van hetgeen bij of krachtens enig wettelijk voorschrift is voorgeschreven. 23 Deze wettelijke definitie van integriteitsrisico s laat zien hoe verreikend de waarborging van een integere bedrijfsvoering dient te zijn. 3. Uitgangspunten compliancefunctie De regulering van de compliancefunctie kent verschillende bronnen en is voor de verschillende op de financiële markt opererende (financiële) ondernemingen niet identiek. Desalniettemin zijn er een aantal gemeenschappelijke kenmerken en uitgangspunten waaraan de compliancefunctie dient te voldoen. In essentie gelden drie belangrijke uitgangspunten die hierna toegelicht zullen worden Compliance charter Het eerste gemeenschappelijke uitgangspunt is dat een financiële onderneming zorg dient te dragen voor een interne regulering van de compliancefunctie. Dit vereist onder andere dat de inrichting, reikwijdte en bevoegdheden van de compliancefunctie binnen de desbetreffende financiële onderneming worden vastgesteld door het hoogste bestuursorgaan van die financiële onderneming. Uiteraard dient daarbij rekening te worden gehouden met de wettelijke vereisten waaraan een compliancefunctie dient te voldoen. De wettelijke regulering kent overigens geen coherent geheel hieromtrent (zie hierna). De in de praktijk meest voorkomende wijze waarop financiële ondernemingen de inrichting, reikwijdte en bevoegdheden van de compliancefunctie vastleggen is door het opstellen van een daartoe strekkend document, vaak het compliance charter genoemd. Het compliance charter kan worden gezien als de grondwet voor de wijze waarop de compliancefunctie binnen de desbetreffende financiële onderneming wordt ingericht en uitgeoefend. De compliance officer ontleent in de praktijk zijn autoriteit en bevoegdheden aan dit document. Het compliance charter dient vastgesteld en gedragen te worden door de statutaire directie en bij voorkeur ook door de raad van commissarissen. Zo niet, dan beschikt de compliance officer binnen de financiële onderneming over onvoldoende gezag om zijn taak naar behoren uit te kunnen oefenen. 22 DNB, De integriteitrisicoanalyse, p Zie art. 1 Besluit prudentiële regels Wft. 54

7 De compliancefunctie Onafhankelijkheidsvereiste Een tweede gemeenschappelijk uitgangspunt is dat de compliancefunctie onafhankelijk uitgeoefend moet kunnen worden. De vaak door de wetgever en toezichthouder gebezigde term onafhankelijk is in zoverre misleidend omdat daarvan in juridisch opzicht geen sprake kan zijn. De compliance officer die een arbeidsovereenkomst is aangegaan met een financiële onderneming of de externe compliance officer die op basis van een overeenkomst van opdracht zijn werkzaamheden verricht, is juridisch beschouwd niet onafhankelijk. Ten eerste niet omdat een compliance officer verantwoording verschuldigd is aan zijn werkgever of opdrachtgever. Ten tweede niet omdat zijn werkgever of opdrachtgever bevoegd is om instructies te geven die de compliance officer moet opvolgen. De zeggenschapsverhouding is juridisch beschouwd een elementair aspect van zowel de arbeidsovereenkomst 24 als de overeenkomst van opdracht. 25 Ten derde niet omdat een compliance officer in economische zin afhankelijk is van zijn werkgever of opdrachtgever. Het uitgangspunt dat een compliancefunctie onafhankelijk dient te zijn kan beter vervangen worden door het uitgangspunt dat een compliancefunctie zelfstandig dient te zijn. Deze zelfstandigheid bestaat uit een aantal elementen. Ten eerste, dient de compliancefunctie als een zelfstandig onderdeel van de financiële onderneming te zijn georganiseerd. Een inrichtingsvereiste dus. Dit vereiste komt erop neer dat de compliancefunctie een apart organisatieonderdeel (afdeling) binnen de financiële onderneming dient te vormen. Ten tweede, dient de compliancefunctie of beter gezegd de compliance officer rekening en verantwoording af te leggen aan het hoogste bestuursorgaan. De compliance officer dient om die reden rechtstreeks te rapporteren aan het hoogste bestuursorgaan en indien de omstandigheden dat verlangen, aan de raad van commissarissen. Dit laatste zal met name aan de orde zijn indien de rapportage betrekking heeft op aangelegenheden die het hoogste bestuursorgaan of een lid daarvan raken, of indien de rapportage ertoe strekt om de raad van commissarissen zijn eigen taak te doen kunnen vervullen. Ten derde geldt dat beoordeling van het functioneren of het vaststellen van de beloning van de compliance officer niet in belangrijke mate afhankelijk mag zijn van het commerciële resultaat en niet vastgesteld mag worden door personen die primair belast zijn met het uitoefenen van een commerciële functie binnen de financiële onderneming. Dat laatste zou betekenen dat de compliance officer financieel afhankelijk zou zijn van personen waarop de compliance officer toezicht moet houden. Dit is onwenselijk. Ten vierde dient de compliance officer toegang te hebben tot alle voor de uitoefening van zijn taak relevante informatie of personen. Indien aan de compliance officer informatie wordt onthouden, bestaat immers het risico dat de compliance officer niet op de hoogte is van belangrijke informatie waardoor deze zijn taak niet naar behoren kan vervullen. Bedacht dient te worden dat niet alleen door een financiële on- 24 Art. 7:610 lid 1 Burgerlijk Wetboek (BW). 25 Art. 7:402 lid 1 BW. 55

8 3. De compliancefunctie derneming gewaarborgd dient te worden dat op verzoek van de compliance officer bepaalde informatie aan hem wordt verschaft maar ook dat gewaarborgd dient te worden dat (actief) relevante informatie aan de compliance officer wordt verstrekt. Deze 4 elementen waarborgen een zelfstandige en daarmee onafhankelijke compliancefunctie binnen een financiële onderneming. De zelfstandige positie die de compliance officer dient in te nemen kan de verantwoordelijkheid met zich brengen om ook het hoogste management op (eventuele) tekortkomingen te wijzen, zelfs indien die tekortkomingen door het hoogste management worden veroorzaakt of door het hoogste management worden toegelaten zonder dat ingegrepen wordt. De eindverantwoordelijkheid voor gedrag en cultuur binnen een financiële onderneming berust immers bij het hoogste management. Het voorgaande kan een spanningsveld creëren tussen de compliance officer en het hoogste management. Dit spanningsveld werd treffend verwoord in een mailbericht van de voormalige compliance officer aan de bestuursvoorzitter van het voorheen beursgenoteerde hoekmansbedrijf van der Moolen Holding B.V. Dit mailbericht werd door het Hof Amsterdam geciteerd in een van zijn overwegingen om bij Van der Moolen Holding een enquête te gelasten, omdat naar het oordeel van het Hof Amsterdam voldoende reden was om te twijfelen aan een juist beleid dan wel de feitelijke gang van zaken binnen deze financiële onderneming: E. Seinstra, compliance officer van Van der Moolen, heeft op 13 augustus 2008 aan Den Drijver een brief met onder meer de volgende inhoud geschreven: Je (hebt) mij gezegd dat je het er niet mee eens bent dat ik regelmatig laat weten wat ik van situaties vind en dat ik geen waardeoordelen mag geven. Daarop heb ik geantwoord dat het beoordelen van situaties, vooral situaties met integriteitaspecten, en het geven van een waardeoordeel over zo n situatie, behoort tot mijn taak als compliance officer en general counsel. ( ) Ik heb ook laten weten dat ik de problemen, deels integriteitissues, die [Wolfswinkel] had gesignaleerd ook ken en zijn bezorgdheid daarover deel. Wat mij telkens opvalt is dat jij mijn signaleringen over integriteitissues meteen naast je neerlegt, omdat je ze gewoon niet serieus neemt of wilt nemen. ( ) Het is teleurstellend en bovenal onzorgvuldig dat jij mij ( ) niet in de gelegenheid hebt gesteld ook mijn toedracht van het besprokene kenbaar te maken. Je wilde uitsluitend je eigen visie aan mij laten horen. ( ) Ik constateer dat jij ( ) ongefundeerde beschuldigingen aan mijn adres uit. Met dergelijke beschuldigingen op basis van horen zeggen, zonder dat ik zelf mijn mening heb kunnen geven, heb ik heel veel moeite. ( ) Het vorenstaande en de vele compliance- en integriteitissues die ik op talloze vergaderingen en bijeenkomsten aan de orde heb gesteld en die niet worden aangepakt maken dat ik mijn werkzaamheden niet kan verrichten. Wat de compliance- en integriteitissues betreft ben ik inmiddels zelfs in gewetensnood komen te verkeren ( ) Hof Amsterdam 5 juli 2010, JOR 2010/

9 De compliancefunctie 4. De enquête resulteerde uiteindelijk in een arrest uit 2013 waarin het Hof Amsterdam tot het oordeel kwam dat sprake is geweest van wanbeleid. 27 Van der Moolen was overigens in september 2009 failliet gegaan Vakbekwaamheid en effectiviteit Het derde gemeenschappelijke uitgangspunt is dat een compliance officer vakbekwaam moet zijn en effectief moet kunnen optreden. Het hoogste bestuursorgaan heeft de verantwoordelijkheid dat aan dit uitgangspunt wordt voldaan. Het aanstellen van een onbekwame compliance officer of het niet in staat stellen van een compliance officer om zijn functie uit te oefenen, zal uiteindelijk het hoogste bestuursorgaan aan te rekenen zijn. De vakbekwaamheidseisen stellen de compliance officer in staat om zijn functie effectief uit te kunnen oefenen. De compliance officer dient over een aantal vaardigheden te beschikken. Uit de meeste wettelijke voorschriften die de compliancefunctie reguleren, is af te leiden dat tot de kernvaardigheden van een compliance officer behoren (a) het beschikken over de nodige autoriteit ;en (b) het beschikken over voldoende deskundigheid (kennis). De nodige autoriteit kan een compliance officer mede ontlenen aan het compliance charter. De deskundigheid behelst niet alleen vaktechnische kennis maar ook het beschikken van enkele cruciale vaardigheden waaronder overredingskracht. Het kunnen overtuigen van anderen op basis van argumenten in plaats van op basis van een (interne) machtspositie is een niet te onderschatten vaardigheid die een compliance officer dient te hebben Taken compliance officer De wettelijk voorgeschreven taken van de compliancefunctie zijn per soort financiële onderneming verschillend. De belangrijkste taken zijn echter identiek. De gemeenschappelijke taken zijn: de compliance officer is belast met het houden van toezicht op de naleving van interne normen, wet- en regelgeving en met name zogenaamde integriteitsrisico s; en de compliancefunctie ziet toe op de instandhouding en zo nodig bijstelling van deugdelijke en effectieve maatregelen en procedures teneinde integriteitsrisico s zoveel mogelijk te beheersen. Tot zover de gemeenschappelijke uitgangspunten van de compliancefunctie en de gemeenschappelijke taken van de compliance officer. 4. Zelfregulering In Nederland zijn twee initiatieven genomen ter zelfregulering van de positie en functie van de compliance officer van een financiële onderneming. Ten eerste, de 27 Hof Amsterdam 15 februari 2013, JOR 2013/102, m.nt. D.A.M.H.W. Strik. 57

10 4. De compliancefunctie zelfregulering door de Vereniging van Compliance Officers (VCO) en ten tweede, de zelfregulering door de Stichting DSI (DSI) VCO De VCO heeft in 2005 een beroepscompetentieprofiel opgesteld waarin achtereenvolgens de beroepsstandaard, de kerncompetenties en de beroepskwalificaties (eindtermen) van een compliance officer staan vermeld. 28 De beroepsstandaard bepaalt dat compliance officers nieuwe regelgeving snel bekend kunnen maken en proactief kunnen adviseren over de toepassing daarvan in de organisatie. Compliance officers dienen daarbij het vermogen te hebben om te kunnen opereren in het spanningsveld tussen commerciële drive en integer handelen. Compliance officers dienen daarbij te opereren aldus de opgestelde beroepsstandaard op het snijvlak van bedrijfseconomie, recht, accountancy en gedragswetenschappen met als doel het voorkomen en beheersen van compliancerisico s. De VCO hanteert daarbij de onderstaande definitie van een compliancerisico: Het risico van wettelijke of regulatieve sancties en van materieel, financieel of reputatieverlies dat een onder toezicht staande financiële instelling kan lopen als gevolg van het onvermogen om gedragsregels na te leven die van toepassing zijn op haar activiteiten. 29 De Beroepsstandaard van de VCO bepaalt verder dat een compliance officer integer, bekwaam, deskundig en betrouwbaar dient te zijn en dient te beschikken over een helikopterview. Verder dient een compliance officer naast morele alertheid competenties als inlevingsvermogen, persoonlijke effectiviteit en overtuigingskracht te bezitten. Een compliance officer dient te beschikken over een aantal kerncompetenties die kunnen worden onderscheiden in twee categorieën. Namelijk voorwaardenscheppende, individuele competenties: gedragsbekwaamheden en communicatie; en domeinspecifieke competenties: kennis en inzicht, taken en opdrachten, beroepsuitoefening. Deze kerncompetenties worden nader uitgewerkt tot eindtermen en beroepskwalificaties. De voorwaardenscheppende en individuele competenties bestaan uit acht subcompetenties: (i) integriteit en standvastigheid; (ii) onderzoeksinstelling, gericht op innovatie; (iii) analytisch vermogen; (iv) beoordelingsvermogen en tact; (v) onafhankelijkheid; (vi) context; (vii) communicatie; en (viii) effectiviteit. De domeinspecifieke competenties worden op hun beurt in twee subcategorieën onderverdeeld, te weten kennis en inzicht, en praktijk. De subcategorie kennis en inzicht bestaat uit vijf competenties: (i) risicomanagement (ii) omgeving; (iii) moraal en ethisch; (iv) bewustzijn positie; en (v) ICT. De subcategorie praktijk bestaat even- 28 VCO, Beroepscompetentieprofiel, december VCO, Beroepscompetentieprofiel, december 2005, p

11 De compliancefunctie 5. eens uit vijf competenties: (i) toepassing kennis; (ii) proportionaliteit; (iii) kritiek en weerstand; (iv) aanspreekbaarheid; en (v) resultaatgerichtheid. Al deze eindtermen en beroepskwalificaties zijn nader uitgewerkt in het beroepscompetentieprofiel dat door de VCO is opgesteld. Voor een goed begrip wordt in dit document aangegeven dat een individuele compliance officer niet over alle beroepskwalificaties kan beschikken en dat het voor de praktijk van belang is dat de compliancefunctie in haar totaliteit deze kwalificaties herbergt DSI DSI biedt compliance officers de mogelijkheid om zich te laten registeren als compliance professional in het openbare register dat door DSI wordt gehouden. Een compliance officer kan zich bij DSI registeren indien deze gecertificeerd is. Om gecertificeerd te worden, dient te worden voldaan aan toelatingsvereisten, opleidingsvereisten en ervaringsvereisten. De toelatingsvereisten zijn: (i) de opdrachtgever van de compliance officer is deelnemer van DSI; (ii) de compliance officer moet de registratiescreening doorlopen, tenzij de compliance officer in zijn huidige functie al gescreend is door de Autoriteit Financiële markten (AFM) dan wel DNB; (iii) de compliance officer moet de DSIgedragscode onderschrijven en naleven; (iv) de compliance officer dient zijn kennis van wet- en regelgeving op peil te houden; en, (v) de compliance officer moet na inschrijving zijn vakbekwaamheid op peil houden door middel van een periodiek door DSI verplicht gestelde toets. De opleidingsvereisten houden in dat de compliance officer één van de onderstaande opleidingen voltooid dient te hebben: (i) VU Postgraduate opleiding Compliance & Integriteit Management; of, (ii) NIBE-SVV Certified Compliance Officer; of, (iii) ING Compliance Officer Trading NL en Compliance Officer Trading International; of (iv) NCI Leergang Compliance Professional. Ten slotte zijn er ook nog ervaringsvereisten. Deze vereisten komen erop neer dat de compliance officer in de afgelopen vijf jaar gedurende twaalf maanden op fulltime basis een substantieel deel van zijn of haar tijd heeft besteed aan werkzaamheden gerelateerd aan het register, hetzij in de huidige functie, hetzij in voorafgaande functies. Certificering bij DSI is geen vereiste om de functie van compliance officer te kunnen vervullen. In feite fungeert de certificering als een soort keurmerk voor compliance officers. 5. Compliancefunctie verzekeraars Hieronder volgt een uiteenzetting van de wijze waarop de compliancefunctie bij verzekeraars is gereguleerd en van de belangrijkste voorschriften waaraan de compliancefunctie dient te voldoen. 59

12 5. De compliancefunctie 5.1. Solvency II Art. 46 lid 1 Solvency II-richtlijn bepaalt dat verzekeraars dienen te beschikken over een doeltreffend systeem van de interne controle. Dit systeem dient in ieder geval de administratieve en financiële verslagleggingsprocedures te bevatten, een intern controlekader, passende rapportageregelingen op alle niveaus en een compliancefunctie. 30 Wat opvalt aan deze bepaling is dat de compliancefunctie in Solvency II onderdeel lijkt te zijn van de interne controlefunctie. Het tweede lid van art. 46 Solvency II bepaalt dat de compliancefunctie aan het bestuurlijk, beleidsbepalend of toezichthoudend orgaan advies uitbrengt over de naleving van de wettelijke en bestuursrechtelijke bepalingen die in het kader van deze richtlijn worden vastgesteld. In dit advies worden tevens de mogelijke gevolgen van wijzigingen in het juridische speelveld (legal environment) van de verzekeraar beoordeeld. Ook moeten compliancerisico s in dit advies worden vastgesteld en beoordeeld. Deze bepaling past bij de gedachte dat het bestuur van een verzekeraar eindverantwoordelijk is voor de beheersing van compliancerisico s en dat de compliance officer daarin een adviserende stem heeft. 5.2 Gedelegeerde Verordening De voorschriften omtrent de compliancefunctie bij verzekeraars zijn uitgewerkt in de Gedelegeerde verordening (EU) 2015/35. Deze voorschriften vormen een onderdeel van de governancevereisten waaraan verzekeraars moeten voldoen. Governance Art. 248 van deze Gedelegeerde Verordening bepaalt dat iedere verzekerings- en herverzekeringsonderneming moet voldoen aan een aantal algemene governancevereisten. Er dienen bijvoorbeeld effectieve besluitvormingsprocedures te worden vastgesteld. 31 De bestuurders en medewerkers dienen over de nodige kwalificaties, vakbekwaamheid, vaardigheden en beroepservaring te beschikken. 32 Ook dient het feit dat aan medewerkers of bepaalde afdelingen meerdere taken worden toegewezen, hen niet te beletten om deze op deugdelijke, eerlijke en objectieve wijze te vervullen. 33 Verder dienen er heldere rapportagelijnen te worden gevoerd die waarborgen dat informatie onmiddellijk op een zodanige wijze wordt overgedragen aan alle personen die deze informatie nodig hebben opdat zij in staat zijn het belang ervan te onderkennen. 34 Tot de governance van een verzekeraar behoren ook een risicomanagementsysteem 35 en interne controlesystemen Zie ook art. 3:17 lid 2 Wft, art en 26.3 Besluit prudentiële regels Wft. 31 Art. 258 lid 1, onderdeel b, Gedelegeerde Verordening. 32 Art. 258 lid 1, onderdelen c en d, Gedelegeerde Verordening. 33 Art. 258 lid 1, onderdeel g, Gedelegeerde Verordening. 34 Art. 258 lid 1, onderdeel k, Gedelegeerde Verordening. 35 Art. 259 e.v. Gedelegeerde Verordening. 36 Art. 266 Gedelegeerde Verordening. 60

13 De compliancefunctie 5. De European Insurance and Occupational Pensions Authority (EIOPA) heeft richtsnoeren gepubliceerd die nadere guidance geven omtrent de inrichting van de governance van verzekeraars. 37 Het vijfde richtsnoer ziet op de verplichting voor verzekeraars om zogenaamde sleutelfuncties in te richten, waaronder de compliancefunctie. Opvallend is dat in andere richtsnoeren nadere eisen worden gesteld aan de inrichting van de verschillende sleutelfuncties met uitzondering van de compliancefunctie. In totaal zijn er 52 richtsnoeren. Sleutelfuncties De Gedelegeerde Verordening schrijft voor dat een verzekeraar zorg dient te dragen voor een aantal sleutelfuncties. Hiertoe behoren de risicomanagementfunctie, 38 de compliancefunctie, 39 de interne audit functie 40 en de actuariële functie. 41 Al deze functies moeten aan een aantal voorwaarden voldoen. De eerste voorwaarde is dat verzekeraars deze functies en bijbehorende rapportagelijnen op een zodanige wijze in hun organisatie dienen te integreren dat iedere functie vrij is van invloeden die eraan in de weg kunnen staan dat de desbetreffende functie haar taken op een objectieve, eerlijke en onafhankelijke manier kan uitoefenen. Verder dient iedere functie te opereren onder de uiteindelijke verantwoordelijkheid van het bestuurlijk, beleidsbepalend of toezichthoudend orgaan en daaraan ook te rapporteren. Daar waar nodig dient te worden samengewerkt met andere functies. 42 De tweede voorwaarde is dat de personen die de desbetreffende functie uitoefenen, beschikken over de mogelijkheid om op eigen initiatief met andere medewerkers te kunnen communiceren. Deze personen dienen over de nodige autoriteit, middelen en deskundigheid te beschikken. Ook dienen zij onbeperkt toegang te hebben tot alle relevante informatie die zij nodig hebben om hun verantwoordelijkheden te kunnen nemen. 43 De derde voorwaarde is dat de personen die de desbetreffende functie uitvoeren, onmiddellijk ieder materieel probleem rapporteren aan het bestuurlijk, beleidsbepalen of toezichthoudend orgaan. 44 Compliancefunctie Art. 270 lid 1 Gedelegeerde Verordening schrijft voor dat de compliancefunctie van een verzekeraar een compliancebeleid en een complianceplan dient vast te stellen. Het compliancebeleid dient de verantwoordelijkheden, bevoegdheden en rapportage van de compliancefunctie te omschrijven. Het complianceplan dient de geplande werkzaamheden van de compliancefunctie uiteen te zetten, rekening houdend met 37 EIOPA Richtsnoeren voor het governancesysteem 31 oktober Art. 269 Gedelegeerde Verordening. 39 Art. 270 Gedelegeerde Verordening. 40 Art. 271 Gedelegeerde Verordening. 41 Art. 272 Gedelegeerde Verordening. 42 Art. 268 lid 1 Gedelegeerde Verordening. 43 Art. 268 lid 2 Gedelegeerde Verordening. 44 Art. 268 lid 3 Gedelegeerde Verordening. 61

14 5. De compliancefunctie (de reikwijdte en aard van) de activiteiten van de verzekeraar in kwestie en de mate waarin deze aan de desbetreffende compliancerisico s is blootgesteld. In de praktijk zal het complianceplan periodiek dienen te worden herzien. Zo zal een verzekeraar in de regel ieder jaar een nieuw complianceplan opstellen met voorgenomen werkzaamheden. De aard van de werkzaamheden zal mede bestaan uit de toetsing van de deugdelijkheid van de maatregelen die de verzekeraar heeft genomen om non-compliance te voorkomen. Deze toetsing behoort immers tot een van de taken van de compliancefucntie. 45 Het compliancebeleid is in feite het compliance charter en dit zal wel periodiek geëvalueerd dienen te worden, doch zonder dat dit noodzakelijkerwijs periodiek aangepast dient te worden. Voor de compliancefunctie zijn behalve het compliancebeleid en het complianceplan drie aanverwante rapportages relevant die door een verzekeraar periodiek opgesteld moeten worden. Verzekeraars moeten minimaal één keer per jaar een zogenoemd ORSA-Rapport bij DNB indienen. 46 Dit is het Own Risk and Solvency Assessment-Rapport waarin de verzekeraar inzicht geeft in de samenhang tussen strategie, de materiële risico s die de verzekeraar kunnen bedreigen, de mogelijke consequenties hiervan voor de financiële positie van de verzekeraar en de maatregelen die de verzekeraar neemt ter voorkoming of beperking van deze risico s. De ORSA moet worden onderscheiden van de systematische analyse van integriteitsrisico s (afgekort SIRA). Art. 10 Besluit prudentiële regels Wft schrijft voor dat (o.a.) een verzekeraar zorgdraagt voor een systematische analyse van integriteitrisico s. 47 De SIRA draagt bij aan het voorkomen van financieel-economische criminaliteit. Voor financiële ondernemingen vormt de SIRA de basis voor de integere bedrijfsvoering. Ten slotte het Regular Supervisory Report (SRS). Art. 308 lid 1 Gedelegeerde Verordening schrijft voor dat een verzekeraar jaarlijks aan DNB een toezichtsrapport toezendt. Dit toezichtsrapport dient aan een aantal specifieke informatievoorschriften te voldoen en daardoor de toezichthouder in staat te stellen om een goed inzicht te kunnen verkrijgen in het governancesysteem van de verzekeraar. 48 DNB dient te kunnen beoordelen of het door de verzekeraar gehanteerde governancesysteem geschikt is voor de bedrijfsstrategie en de activiteiten. Tot de voorgeschreven informatie behoort het uitgestippelde compliancebeleid van de verzekeraar, het proces voor het evalueren van dit beleid, de evaluatiefrequentie en de eventuele significante wijziging in dat beleid tijdens de rapportageperiode Art. 270 lid 2 Gedelegeerde Verordening. 46 Art. 372 Gedelegeerde Verordening. 47 DNB, De integriteitrisicoanalyse, meer waar dat moet, minder waar dat kan, 17 augustus 2015, p Zie art. 308 leden 1 tot en met 9 Gedelegeerde Verordening. 49 Zie art. 308 lid 5 sub c Gedelegeerde Verordening. 62

15 De compliancefunctie Compliancefunctie banken Hieronder volgt een uiteenzetting van de wijze waarop de compliancefunctie bij banken is gereguleerd en van de belangrijkste voorschriften waaraan de compliancefunctie dient te voldoen CRD IV De kernbepaling voor de wijze waarop de compliancefunctie binnen banken ingericht dient te zijn, is terug te vinden in art. 74 CRD IV. Het eerste lid van dit artikel schrijft voor dat banken dienen te beschikken over solide governanceregelingen, waaronder een duidelijke organisatiestructuur met duidelijk omschreven, transparante samenhangende verantwoordelijkheden, effectieve procedures voor de detectie, beheer en de bewaking alsmede de rapportages van risico s waaraan zij bloot (kunnen) staan. Hiertoe behoren ook adequate interne controlemechanismen, zoals degelijke boekhoudkundige procedures, beloningsbeleid en een beloningscultuur die in overeenstemming is met een bijdrage tot een degelijk en doeltreffend risicobeheer. Het tweede lid van art. 74 CRD IV bepaalt dat de in het eerste lid bedoelde regeling en processen gedetailleerd uitgewerkt zijn en in verhouding staan tot de aard, schaal en complexiteit van de risico s die inherent zijn aan het bedrijfsmodel en de werkzaamheden van de desbetreffende instelling. Het derde lid van art. 74 CRD IV geeft aan de European Banking Authority (EBA) de bevoegdheid om richtsnoeren af te geven met betrekking tot de in lid 1 bedoelde regeling, processen en mechanismen. De volgende paragraaf gaat in op deze richtsnoeren. Twee andere bepalingen uit de CRD IV zijn verder nog van belang. Ten eerste, art. 88 CRD IV. Lidstaten dienen ervoor zorg te dragen dat het leidinggevende orgaan een complianceregeling opstelt, toezicht houdt op en verantwoording aflegt voor de uitvoering van deze regeling. De regelingen beogen een doeltreffend en prudent bestuur van de instelling te garanderen. Daarnaast dient de regelingen te voorzien in een scheiding der taken in de organisatie en in de voorkoming van belangenconflicten. Ten tweede art. 92 lid 2, onderdeel f, CRD IV dat bepaalt dat, indien de instelling niet heeft voorzien in de installering van een beloningscommissie, het leidinggevende orgaan rechtstreeks toezicht houdt op de beloning van hoger leidinggevende medewerkers die risicomanagement- en compliancefuncties uitoefenen EBA Richtsnoeren EBA heeft op 26 september 2017 (definitieve) richtsnoeren uitgevaardigd die voorzien in voorschriften omtrent de interne governance van een instelling. 50 Deze richtsnoeren hebben onder andere betrekking op de zogenaamde second line of defense (risicomanagement functie en de compliancefunctie) alsmede de third line of defense (internal audit functie). De compliancefunctie heeft daarbij tot taak om te monitoren dat in overeenstemming wordt gehandeld met niet alleen 50 Het eerdergenoemde EBA Final report. 63

16 6. De compliancefunctie de toepasselijke wettelijke voorschriften, maar ook met interne gedragscodes en dat de compliancefunctie het bestuur daarover dient te adviseren. Tevens dient de compliancefunctie beleid op te stellen om compliancerisico s te beheersen. 51 EBA geeft verder aan dat zowel de risicomanagementfunctie als de compliancefunctie betrokken dienen te zijn bij het opstellen van een risicoframework dat een sound risk culture dient te waarborgen. 52 EBA stelt in haar richtsnoeren dat het bestuur verantwoordelijk is om zorg te dragen voor een adequate en effectieve interne governance, waaronder een compliancefunctie dat over voldoende autoriteit, deskundigheid en middelen beschikt om de functie te kunnen uitoefenen. 53 Tot slot staat het instellingen vrij compliancecomités in te stellen maar zij zijn hiertoe niet verplicht. 54 De EBA-richtsnoeren bevatten een aantal gedetailleerde voorschriften waaraan de compliancefunctie van een bank dient te voldoen. Hierna volgt een samenvatting van deze voorschriften. Banken moeten een permanente en effectieve compliancefunctie instellen die de compliancerisico s beheerst. Tevens dient een natuurlijk persoon aangewezen te worden die verantwoordelijk is voor de compliancefunctie (Head of Compliance). 55 Indien het onevenredig is om een persoon aan te stellen die zich geheel toewijdt aan de rol van Hoofd Compliance, dan mag deze functie worden gecombineerd met het Hoofd Risicomanagement of een andere senior medewerker (Hoofd Legal) mits geen sprake is van een belangenconflict. 56 De compliancefunctie dient onafhankelijk te zijn ten opzichte van de commerciële functies en andere interne afdelingen waarop toezicht wordt gehouden. De compliancefunctie dient voldoende autoriteit, deskundigheid en middelen te beschikken teneinde haar functie uit te kunnen oefenen. 57 Medewerkers van de desbetreffende complianceafdeling dienen te beschikken over voldoende kennis, vaardigheden en ervaring met betrekking tot compliance en de relevante procedures en dienen onderworpen te zijn aan periodieke educatie. 58 Het bestuur dient zorg te dragen voor implementatie van een voldoende gedocumenteerd compliancebeleid dat aan alle medewerkers gecommuniceerd dient te zijn. Tevens dient te worden voorzien in een procedure welke waarborgt dat op periodieke basis wijzigingen in wet- en regelgeving worden geïdentificeerd die relevant zijn voor de bedrijfsactiviteiten. 59 De compliancefunctie dient het bestuur te adviseren over maatregelen die genomen moeten worden om naleving van toepasselijke wet- en regelgeving te waar- 51 EBA Final Report, par EBA Final Report, par Richtsnoer Richtsnoer Richtsnoer Richtsnoer Richtsnoer Richtsnoer Richtsnoer

17 De compliancefunctie 7. borgen. Daartoe dient de compliancefunctie onder andere de mogelijke impact van wijzigingen in wet- en regelgeving voor de desbetreffende instelling te onderkennen. 60 De compliancefunctie dient ervoor te zorgen dat het door haar uit te oefenen toezicht geschiedt middels een gestructureerd en voldoende gedefinieerd compliancemonitoringprogramma. Ook dient de compliancefunctie te waarborgen dat het compliancebeleid wordt geëerbiedigd. Verder dient de compliancefunctie te rapporteren aan het bestuur. In de uitoefening van haar taken, dient de compliancefunctie informatie uit te wisselen met de risicomanagementfunctie ten aanzien van de compliancerisico s en de beheersing daarvan. De compliancefunctie en de risicomanagementfunctie dienen samen te werken en informatie uit te wisselen in het kader van de uitoefening van de aan hen opgedragen taken. Het bestuur en de risicomanagementfunctie dienen de bevindingen van de compliancefunctie te betrekken in hun besluitvorming. 61 Opvallend is dat de compliancefunctie in samenwerking met de risicomanagementfunctie en de juridische functie dient te verifiëren dat nieuwe producten en nieuwe procedures in overeenstemming zijn met de toepasselijke wet- en regelgeving en daar waar relevant met reeds bekende toekomstige wijzigingen in weten regelgeving. Dit laatste betekent dat de compliancefunctie een inhoudelijke en materiële functie dient te vervullen bij het productontwikkelingsproces. 62 Ten slotte zijn nog de volgende twee richtsnoeren van belang. Ten eerste het richtsnoer dat banken adequatemaatregelen moeten nemen teneinde interne of externe fraude te voorkomen. 63 Dit richtsnoer impliceert dat de compliancefunctie erop dient toe te zien dat deze maatregelen worden genomen en worden nageleefd. Ten tweede het richtsnoer dat banken ervoor dienen te zorgen dat dochterondernemingen en bijkantoren die in andere jurisdicties opereren, voldoen aan de plaatselijke regelgeving. Deze dochterondernemingen en bijkantoren dienen de compliancefunctie (Head of Compliance) te informeren indien de plaatselijke regelgeving voorziet in strengere normen dan de jurisdictie van de hoofdvestiging van de instelling Compliancefunctie beleggingsondernemingen Hieronder volgt een uiteenzetting van de wijze waarop de compliancefunctie bij beleggingsondernemingen is gereguleerd en van de belangrijkste voorschriften waaraan de compliancefunctie dient te voldoen. 60 Richtsnoer Richtsnoer Richtsnoer Richtsnoer Richtsnoer

18 7. De compliancefunctie 7.1. Gedelegeerde MiFID II-Verordening De belangrijkste bepalingen omtrent de inrichting van de compliancefunctie bij beleggingsondernemingen zijn terug te vinden in art. 22 lid 1 Gedelegeerde MiFID II-Verordening. Beleggingsondernemingen dienen een permanente en effectieve compliancefunctie in stand te houden die onafhankelijk is. Deze compliancefunctie heeft de volgende verantwoordelijkheden: De compliancefunctie dient permanent toezicht te houden op en op gezette tijden de deugdelijkheid en effectiviteit van de interne procedures en maatregelen (waaronder gedragscodes) te evalueren. De verantwoordelijkheid om permanent toezicht te houden, geldt ook ten aanzien van maatregelen die zijn genomen om eventuele onvolkomenheden te verhelpen. De compliancefunctie dient de personen, die verantwoordelijk zijn voor het verlenen van beleggingsdiensten en beleggingsactiviteiten, te adviseren en bij te staan teneinde te waarborgen dat de beleggingsondernemingen de verplichtingen ingevolge MiFID II nakomen. De compliancefunctie dient tenminste jaarlijks verslag uit te brengen aan het leidinggevend orgaan over de implementatie en effectiviteit van de algemene controleomgeving voor beleggingsdiensten en activiteiten, over de geïdentificeerde risico s en over de klachtenbehandelingsrapportage alsmede de maatregelen die zijn getroffen of die getroffen zullen worden. De compliancefunctie dient de activiteiten van het klachtbehandelingsproces te monitoren. Daarnaast dient de compliancefunctie klachten te beschouwen als een bron van relevante informatie met het oog op haar algemene monitoringsverantwoordelijkheid. Art. 22 lid 2 Gedelegeerde MiFID II-Verordening schrijft verder voor dat de compliancefunctie om te voldoen aan de eerste twee van de hierboven vermelde verantwoordelijkheden een risicogebaseerd monitoringsprogramma dient op te stellen op basis waarvan de desbetreffende beoordeling plaatsvindt. Dit risicogebaseerd monitoringsprogramma dient rekening te houden met alle terreinen van de beleggingsdiensten, activiteiten en andere relevante beleggingsdiensten die de desbetreffende beleggingsonderneming verleent. Tevens dient rekening te worden gehouden met informatie die kan worden ontleend aan de klachtenbehandeling. Het risicogebaseerd monitoringsprogramma dient prioriteiten te bevatten die bepaald zijn aan de hand van de beoordeling van het compliancerisico en die waarborgen dat het compliancerisico uitgebreid wordt gemonitord. Beleggingsondernemingen dienen de compliancefunctie in staat te stellen om haar verantwoordelijkheden naar behoren en onafhankelijk uit te voeren. 65 Om de compliancefunctie in staat te stellen haar verantwoordelijkheden uit te kunnen oefenen, moet aan vijf voorwaarden worden voldaan: 65 Art. 22 lid 2 Gedelegeerde Verordening 25 april