4.4.3.1. Algemene aspecten

4.4.3.1.1. Drie verdedigingslinies

4:149 De verhoudingen tussen, enerzijds, de commerciële en operationele eenheden, en, anderzijds, de onafhankelijke controlefuncties, worden soms omschreven als het model van de drie verdedigingslinies van de vennootschap (het zogenaamde “three lines of defence”-model):

  • de commerciële en operationele eenheden (met inbegrip van de frontoffice) vormen de eerste verdedigingslinie van de vennootschap, die verantwoordelijk is voor de identificatie van de risico's die verbonden zijn aan elke verrichting, en voor de naleving van de vastgestelde procedures en limieten;
  • de tweede verdedigingslinie omvat de risicobeheerfunctie en de compliancefunctie, die erover moeten waken dat de risico's volgens de vastgestelde regels en procedures worden geïdentificeerd en beheerd door de operationele eenheden;
  • de derde verdedigingslinie bestaat uit de interne audit, die onder andere toeziet op de naleving van de procedures door de eerste en de tweede verdedigingslinie.

4:150 Voor het wettelijk bestuursorgaan in zijn toezichtsfunctie zijn de risicobeheerfunctie, de compliancefunctie en de interneauditfunctie noodzakelijke instrumenten om zijn toezichtstaak optimaal te vervullen. Deze functies vormen samen een coherent geheel van transversale controlefuncties waartussen coördinatie noodzakelijk is. Aangezien deze controlefuncties op elkaar aansluiten, harmoniseren ze hun activiteiten en zorgen ze voor een toereikende uitwisseling van relevante informatie. De interneauditfunctie oefent toezicht uit op de risicobeheerfunctie en de compliancefunctie.

4:151 Geen van de activiteitsdomeinen van de vennootschap kan om redenen van persoonlijke, commerciële of financiële aard aan het zicht van de controlefuncties worden onttrokken (bv. offshore activiteiten).

4:152 Wat de strijd tegen het witwassen van geld en de financiering van terrorisme (SWG/FT) betreft, bepaalt de antiwitwaswet dat de vennootschappen één of meer personen moeten aanwijzen die belast zijn met de tenuitvoerlegging en de aansturing van het SWG/FT-beleid (de “AMLCO”). Voor nadere informatie over de rol en de verantwoordelijkheden van de AMLCO zij verwezen naar de richtsnoeren EBA/GL/2022/05 van 14 juni 2022 inzake gedragslijnen en procedures betreffende het nalevingsbeheer en de rol en verantwoordelijkheden van de AML/CFT-nalevingsfunctionaris uit hoofde van artikel 8 en hoofdstuk VI van Richtlijn (EU) 2015/849 en naar de SWG/FT-site van de NBB[1].

4.4.3.1.2. Verantwoordelijken voor controlefuncties en combineren van meerdere controlefuncties

4:153 De verantwoordelijken voor de onafhankelijke controlefuncties worden op een zodanig hiërarchisch niveau aangesteld dat zij het gezag en de status krijgen die nodig zijn om hun verantwoordelijkheden te vervullen.

4:154 In principe bekleden de verantwoordelijken voor de controlefuncties hun functie op exclusieve wijze, en combineren zij deze dus niet met een andere controlefunctie (en evenmin met een operationele eenheid of functie). Voor kleine beursvennootschappen en beursvennootschappen die dit kunnen rechtvaardigen op basis van de evenredigheidscriteria, aanvaardt de NBB echter dat de functies van verantwoordelijke voor de risicobeheerfunctie en verantwoordelijke voor de compliancefunctie gecombineerd worden op voorwaarde dat (i) er geen belangenconflict is tussen deze twee controlefuncties (in het bijzonder, geen situatie van het type "maker/checker" of "ontwikkelaar/controleur"), (ii) de betrokkene de nodige kennis en ervaring heeft op deze twee gebieden en (iii) de betrokkene de nodige tijd heeft om deze twee functies naar behoren uit te voeren.

4.4.3.1.3.Onafhankelijkheid van de controlefuncties

4:155 De drie controlefuncties dienen onafhankelijk te zijn, wat minstens tot uiting moet komen in hun statuut, hun prerogatieven, de regeling voor de beloning van de verantwoordelijken voor deze functies en van het personeel dat voor de uitoefening ervan beschikbaar is gesteld, en hun rechtstreekse toegang tot het wettelijk bestuursorgaan (die inhoudt dat niet eerst via de effectieve leiding moet worden gepasseerd). Niettegenstaande de algemene verantwoordelijkheid van het wettelijk bestuursorgaan, zijn de verantwoordelijken voor de onafhankelijke controlefuncties onafhankelijk van de bedrijfsonderdelen of operationele eenheden waarop zij controle uitoefenen. Hoewel de verantwoordelijken voor de risicobeheerfunctie, de compliancefunctie en de interneauditfunctie functioneel rapporteren aan een lid van de effectieve leiding of, in voorkomend geval, van het directiecomité[2], brengen zij rechtstreeks verslag uit aan het wettelijk bestuursorgaan en leggen zij aan dit orgaan rekenschap af over hun activiteiten. Hun prestaties worden ook beoordeeld door het wettelijk bestuursorgaan.

4:156 Voor nadere informatie zij verwezen naar paragraaf 156 van de richtsnoeren EBA/GL/2021/14, die de voorwaarden bevat waaraan de controlefuncties moeten voldoen om als onafhankelijk te kunnen worden aangemerkt.

4.4.3.1.4. Middelen van de controlefuncties

4:157 De onafhankelijke controlefuncties beschikken over voldoende middelen (personele en IT-middelen) om hun taken op een passende en onafhankelijke wijze te vervullen. De verantwoordelijken voor de controlefuncties zien erop toe dat hun teams de nodige kwalificaties en vaardigheden bezitten. Voor nadere informatie zij verwezen naar de paragrafen 157 en 158 van de richtsnoeren EBA/GL/2021/14.

4.4.3.1.5. Methodologie en toegang

4:158 De door de onafhankelijke controlefuncties gehanteerde methodologie en procedures zijn aangepast aan de aard, de omvang en de complexiteit van de werkzaamheden van de vennootschap en zijn schriftelijk vastgelegd.

4:159 De controlefuncties hebben toegang tot alle bedrijfsonderdelen en alle interne eenheden die risico's kunnen genereren, evenals tot relevante dochterondernemingen en verbonden ondernemingen. Zij houden contact met de operationele eenheden, en deze wisselwerking dient bij te dragen aan het bereiken van de beoogde situatie waarin alle werknemers van de vennootschap bewust zijn van het belang van risicobeheer.

4.4.3.1.6. Rapportering

Regelmatige rapportering aan het wettelijk bestuursorgaan

4:160 De verantwoordelijken voor de risicobeheerfunctie, de compliancefunctie en de interneauditfunctie rapporteren minstens eenmaal per jaar rechtstreeks aan het wettelijk bestuursorgaan over de uitvoering van hun taak en lichten de effectieve leiding (in voorkomend geval het directiecomité) in. Deze rechtstreekse toegang, die dus inhoudt dat niet eerst via de effectieve leiding moet worden gepasseerd, is nodig om het wettelijk bestuursorgaan in staat te stellen zijn toezichtsfunctie met betrekking tot de uitvoering van de uitgestippelde strategie en de werking van de vennootschap, strenger uit te oefenen.

4:161 Dit activiteitenverslag kan via het risicocomité aan het wettelijk bestuursorgaan worden gericht. Wanneer er naast het risicocomité ook een auditcomité is opgericht, wordt aanbevolen dat de risicobeheerfunctie en de compliancefunctie rapporteren aan het risicocomité en de interneauditfunctie aan het auditcomité[3] .

4:162 In het (minstens) jaarlijks activiteitenverslag van de onafhankelijke controlefuncties moeten:

1°   alle tijdens de voorbije periode door de onafhankelijke controlefunctie verrichte werkzaamheden worden gedocumenteerd;

2°  alle vastgestelde tekortkomingen duidelijk worden aangegeven; alsook

3°   aanbevelingen worden gedaan over de wijze waarop deze tekortkomingen moeten worden verholpen.

Rapportering uit eigen beweging

4:163 Artikel 34 van de toezichtswet beursvennootschappen bepaalt dat wanneer bijzondere gebeurtenissen dit rechtvaardigen, de verantwoordelijken voor de risicobeheerfunctie en de compliancefunctie, zonder dit aan de effectieve leiding (in voorkomend geval het directiecomité) te moeten voorleggen, uit eigen beweging het wettelijk bestuursorgaan moeten inlichten over hun bezorgdheid en desgevallend moeten waarschuwen indien specifieke risico-ontwikkelingen een negatieve invloed op de vennootschap hebben of zouden kunnen hebben, met name haar reputatie zouden kunnen schaden.

4.4.3.1.7. Periodieke evaluatie

4:164 In het kader van zijn toezichtsfunctie gaat het wettelijk bestuursorgaan periodiek en minstens jaarlijks na of de onafhankelijke controlefuncties goed werken. Daartoe krijgt het geregeld een verslag van de effectieve leiding, onverminderd de rechtstreekse kennisname van de relevante informatie die door de betrokken functies wordt verstrekt, in voorkomend geval via de gespecialiseerde raadgevende comités die het wettelijk bestuursorgaan daartoe heeft opgericht. Voor zijn beoordeling van de werking van de compliancefunctie baseert het wettelijk bestuursorgaan zich op een vooraf vastgesteld model dat wordt toegelicht in circulaire NBB_2019_15 en neemt het de rapporteringstermijn in acht die vermeld is in de mededelingen van de NBB over de kwalitatieve rapportering.

4.4.3.1.8. Ontslag

4:165 Artikel 62, § 2 van de toezichtswet beursvennootschappen bepaalt dat de verantwoordelijken voor de onafhankelijke controlefuncties niet zonder voorafgaande goedkeuring van het wettelijk bestuursorgaan, in zijn toezichtsfunctie, uit hun functie kunnen worden verwijderd. Indien er overwogen zou worden een verantwoordelijke voor een onafhankelijke controlefunctie uit zijn functie te verwijderen, moet de vennootschap de NBB daar onmiddellijk van in kennis stellen, zodat deze kan nagaan of de redenen voor het ontslag gegrond zijn, en, in voorkomend geval, kan onderzoeken of er op grond van de governance van de vennootschap geen bijzondere maatregelen moeten worden genomen.

[1] Zie: Voorkoming van het witwassen van geld en de financiering van terrorisme

[2] De functionele rapportering aan een effectieve leider bestaat erin verslag uit te brengen over de activiteiten van de betrokken onafhankelijke controlefunctie, zonder dat deze leider zich kan mengen in het besluitvormingsproces (geen hiërarchische rol). De effectieve leider waaraan gerapporteerd wordt, bepaalt in overleg met het wettelijk bestuursorgaan en/of de gespecialiseerde comités welke personele en materiële middelen (IT, ...) de betrokken onafhankelijke controlefunctie nodig heeft om haar taken naar behoren te vervullen, en zorgt voor de follow-up van aspecten die verband houden met de middelen

[3] In circulaire NBB_2019_15 wordt bepaald dat de compliancefunctie rapporteert aan het wettelijk bestuursorgaan via het auditcomité, maar in de praktijk gebeurt dit thans meestal via het risicocomité.