Drie verdedigingslinies

De verhoudingen tussen, enerzijds, de commerciële en operationele eenheden, en, anderzijds, de onafhankelijke controlefuncties, worden soms omschreven als het model van de drie verdedigingslinies van de instelling (het zogenaamde “three lines of defence”-model):

• de commerciële en bedrijfseenheden (met inbegrip van de frontoffice) vormen de eerste verdedigingslinie van de instelling, die verantwoordelijk is voor de identificatie van de risico's die verbonden zijn aan elke verrichting, en voor de naleving van de vastgestelde procedures en limieten;
• de tweede verdedigingslinie omvat de onafhankelijke controlefuncties, namelijk de risicobeheerfunctie en de compliancefunctie, die erover moeten waken dat de risico's volgens de vastgestelde regels en procedures worden vastgesteld en beheerd door de bedrijfsonderdelen;
• de derde verdedigingslinie bestaat uit de interne audit, die onder andere toeziet op de naleving van de procedures door de eerste en de tweede verdedigingslinie.

Voor het wettelijk bestuursorgaan in zijn toezichtsfunctie zijn de risicobeheerfunctie, de compliancefunctie en de interneauditfunctie noodzakelijke instrumenten om hun toezichtstaak optimaal te vervullen.  Deze functies vormen samen een coherent geheel van transversale controlefuncties waartussen coördinatie noodzakelijk is. Aangezien deze controlefuncties op elkaar aansluiten, harmoniseren ze hun activiteiten en zorgen ze voor een toereikende uitwisseling van relevante informatie. De interneauditfunctie oefent toezicht uit op de risicobeheerfunctie en de compliancefunctie.

Er zijn geen activiteitsdomeinen van de instelling die om redenen van persoonlijke, commerciële of financiële aard aan het zicht van de controlefuncties kunnen worden onttrokken (bv. offshore activiteiten).

Wat de strijd tegen het witwassen van geld en de financiering van terrorisme (SWG/FT) betreft, bepaalt de antiwitwaswet dat de instellingen één of meer personen moeten aanwijzen die belast zijn met de tenuitvoerlegging en de aansturing van het SWG/FT-beleid (de “AMLCO”).  Voor nadere informatie over dit onderwerp zij verwezen naar de richtsnoeren van de EBA over de rol en verantwoordelijkheden van de AMLCO (EBA/GL/2022/05) en naar de SWG/FT-website van de NBB^[1].

Verantwoordelijken voor controlefuncties

De verantwoordelijken voor de onafhankelijke controlefuncties worden op een zodanig hiërarchisch niveau aangesteld dat zij het gezag en de status krijgen die nodig zijn om hun verantwoordelijkheden te vervullen. Onverminderd de specifieke kenmerken van de positie van de Chief Risk Officer (zie het punt over de samenstelling van het directiecomité hierboven en het punt over de risicobeheerfunctie hieronder) bevinden de verantwoordelijken voor de onafhankelijke controlefuncties zich concreet op niveau “N‑1” ten opzichte van het directiecomité. 

Onafhankelijkheid van de controlefuncties

De drie controlefuncties dienen onafhankelijk te zijn, wat minstens tot uiting moet komen in hun statuut, hun prerogatieven, de regeling voor de beloning van de verantwoordelijken voor deze functies en van het personeel dat voor de uitoefening ervan beschikbaar is gesteld, en hun rechtstreekse toegang tot het wettelijk bestuursorgaan (die inhoudt dat niet eerst via het directiecomité moet worden gepasseerd).

Niettegenstaande de algemene verantwoordelijkheid van het wettelijk bestuursorgaan, zijn de verantwoordelijken voor de onafhankelijke controlefuncties onafhankelijk van de bedrijfsonderdelen of operationele eenheden waarop zij controle uitoefenen. Hoewel de verantwoordelijken voor de risicobeheerfunctie, de compliancefunctie en de interneauditfunctie functioneel rapporteren aan een lid van het directiecomité^[2], brengen zij rechtstreeks verslag uit aan het wettelijk bestuursorgaan en leggen zij aan dit orgaan rekenschap af over hun activiteiten. Hun prestaties worden ook beoordeeld door het wettelijk bestuursorgaan.

Voor nadere informatie zij verwezen naar paragraaf 175 van de richtsnoeren EBA/GL/2021/05, die de voorwaarden bevat waaraan de controlefuncties moeten voldoen om als onafhankelijk te kunnen worden aangemerkt.

Middelen van de controlefuncties

De onafhankelijke controlefuncties beschikken over voldoende middelen (personele en IT-middelen) om hun taken op een passende en onafhankelijke wijze te vervullen. De verantwoordelijken voor de onafhankelijke controlefuncties zien erop toe dat hun teams over de nodige kwalificaties en vaardigheden beschikken. Voor nadere informatie zij verwezen naar de paragrafen 177 en 178 van de richtsnoeren EBA/GL/2021/05.

Methodologie en toegang

De door de onafhankelijke controlefuncties gehanteerde methodologie en procedures zijn aangepast aan de aard, de omvang en de complexiteit van de werkzaamheden van de instelling en zijn schriftelijk vastgelegd.

4:183 De controlefuncties hebben toegang tot alle bedrijfsonderdelen en alle interne eenheden die risico's kunnen genereren, evenals tot relevante dochterondernemingen en verbonden ondernemingen. Zij houden contact met de operationele eenheden, en deze wisselwerking dient bij te dragen aan het bereiken van de beoogde situatie waarin alle werknemers van de instelling bewust zijn van het belang van risicobeheer.

Rapportering

Regelmatige rapportering aan het wettelijk bestuursorgaan

De verantwoordelijken voor de risicobeheerfunctie, de compliancefunctie en de interneauditfunctie rapporteren minstens eenmaal per jaar rechtstreeks aan het wettelijk bestuursorgaan over de uitvoering van hun taak, en lichten het directiecomité in.  Deze rechtstreekse toegang, die dus inhoudt dat niet eerst via het directiecomité moet worden gepasseerd, is nodig om het wettelijk bestuursorgaan in staat te stellen zijn toezichtsfunctie met betrekking tot de uitvoering van de uitgestippelde strategie en de werking van de instelling, strenger uit te oefenen.

Dit aan het wettelijk bestuursorgaan gericht activiteitenverslag kan voor de risicobeheerfunctie en de compliancefunctie via het risicocomité gebeuren^[3] en voor de interneauditfunctie via het auditcomité.

In het (minstens) jaarlijks activiteitenverslag van de onafhankelijke controlefuncties moeten:

1°   alle tijdens de voorbije periode door de onafhankelijke controlefunctie verrichte werkzaamheden worden gedocumenteerd;

2°   alle vastgestelde tekortkomingen duidelijk worden aangegeven; alsook

3°   aanbevelingen worden gedaan met betrekking tot de wijze waarop deze tekortkomingen moeten worden verholpen.

Rapportering uit eigen beweging

Artikel 38 van de bankwet bepaalt dat wanneer bijzondere gebeurtenissen dit rechtvaardigen, de verantwoordelijken voor de risicobeheerfunctie en de compliancefunctie, zonder dit aan het directiecomité te moeten voorleggen, uit eigen beweging het wettelijk bestuursorgaan moeten inlichten over hun bezorgdheid en het in voorkomend geval moeten waarschuwen indien specifieke risico-ontwikkelingen een negatieve invloed op de instelling hebben of zouden kunnen hebben, met name haar reputatie zouden kunnen schaden.

Periodieke evaluatie

In het kader van zijn toezichtsfunctie gaat het wettelijk bestuursorgaan periodiek en minstens jaarlijks na of de onafhankelijke controlefuncties goed werken. Daartoe krijgt het geregeld een verslag van de effectieve leiding, onverminderd de rechtstreekse kennisname van de relevante informatie die door de bedoelde functies wordt verstrekt, in voorkomend geval via de gespecialiseerde raadgevende comités die het wettelijk bestuursorgaan daartoe heeft opgericht.  Voor zijn beoordeling van de werking van de compliancefunctie baseert het wettelijk bestuursorgaan zich op een vooraf vastgesteld model dat wordt toegelicht in circulaire NBB_2019_15 en neemt het de termijn in acht die vermeld is in de mededelingen van de NBB over de kwalitatieve rapportering.

Ontslag

Artikel 61, § 2 van de bankwet bepaalt dat de verantwoordelijken voor de onafhankelijke controlefuncties niet zonder voorafgaande goedkeuring van het wettelijk bestuursorgaan, in zijn toezichtsfunctie, uit hun functie kunnen worden verwijderd.  Indien er overwogen zou worden een verantwoordelijke voor een onafhankelijke controlefunctie uit zijn functie te verwijderen, moet de instelling de toezichthouder daar onmiddellijk van in kennis stellen, zodat deze kan nagaan of de redenen voor het ontslag gegrond zijn, en, in voorkomend geval, kan onderzoeken of er op grond van de governance van de instelling geen bijzondere maatregelen moeten worden genomen.

De risicobeheerfunctie zorgt ervoor dat alle significante risico's worden gedetecteerd en gemeten en naar behoren worden gemeld. Zij heeft toegang tot alle bedrijfsonderdelen en andere interne eenheden die potentiële risico's kunnen genereren, alsook tot dochterondernemingen en verbonden ondernemingen. Zij dient te beschikken over een passende status en overeenkomstige centrale positie in de organisatie van de instelling. De risicobeheerfunctie is actief betrokken bij de uitstippeling van de risicostrategie van de instelling en bij alle beleidsbeslissingen die een significante invloed hebben op de risico's en is in staat een volledig beeld te geven van het hele scala van risico's die de instelling loopt.

De taken van de risicobeheerfunctie worden in detail beschreven in de richtsnoeren EBA/GL/2021/05. Voor nadere informatie over de rol van deze functie (i) in de risicostrategie en -besluiten, (ii) bij belangrijke veranderingen, (iii) bij het identificeren, meten, beoordelen, beheren, beperken, monitoren en rapporteren van risico’s, en (iv) bij niet-goedgekeurde blootstellingen, zij verwezen naar de paragrafen 179 tot en met 199 van de richtsnoeren EBA/GL/2021/05. Er zij ook verwezen naar de paragrafen 63 tot en met 71 van de richtsnoeren EBA/GL/2020/06 inzake de initiëring en monitoring van leningen, die betrekking hebben op de rol van de risicobeheerfunctie in het beslissingsproces voor de toekenning van leningen.

Overeenkomstig artikel 37, § 3 van de bankwet moet de verantwoordelijke voor de risicobeheerfunctie in principe lid zijn van het directiecomité en moet de risicobeheerfunctie de enige specifieke functie zijn waarvoor hij individueel verantwoordelijk is.  Voor kredietinstellingen die geen significante kredietinstellingen zijn in de zin van artikel 3, 30° van de bankwet kan de toezichthouder echter toestaan, overeenkomstig het evenredigheidsbeginsel, dat een hoger kaderlid (“N-1”) de risicobeheerfunctie vervult, mits er in hoofde van deze persoon geen belangenconflict bestaat. Daarnaast wordt in het tweede lid van artikel 37, § 3 bepaald dat afgeweken kan worden van het beginsel dat de risicobeheerfunctie de enige specifieke functie is waarvoor de CRO die lid is van het directiecomité individueel verantwoordelijk is. De toezichthouder kan namelijk toestaan dat de CRO die lid is van het directiecomité ook verantwoordelijk is voor de compliancefunctie, op voorwaarde dat de twee betrokken functies los van elkaar worden uitgeoefend.

Voor het overige zij verwezen naar de paragrafen 200 tot en met 203 van de richtsnoeren EBA/GL/2021/05.