‘Dramatische impact tekortkomingen in corporate governance’
Van een onzer verslaggevers
Willemstad - De mondiale financiële crisis in 2008 maar ook - dichter bij huis - het recente vonnis in de megarechtszaak van Ennia/CBCS tegen Hushang Ansary en overige ex-bestuurders illustreren ‘de dramatische impact van tekortkomingen in corporate governance’.
Aldus de president van de Centrale Bank van Curaçao en Sint Maarten (CBCS), Richard Doornbosch. ,,De CBCS heeft daarom als een kernelement van haar nieuwe stijl van toezicht onlangs een nieuwe code opgesteld, de zogenaamde Corporate Governance Code Financiële Instellingen & Dienstverleners.”
Deze code behandelt alle aspecten van governance, van de manier waarop raden van bestuur en senior management werken en met elkaar omgaan, tot hoe het besluitvormingsproces is ingericht en het risicobeheer wordt vormgegeven.
Doornbosch was onlangs hoofdspreker bij een onlinebijeenkomst van de Curaçao International Financial Services Association (Cifa). Titel van zijn spreekbeurt was: ‘Good governance, better decisions, best results; Introducing the new CBCS Corporate Governance Code in uncertain times’.
,,Corporate governance omvat de structuur en inrichting van de financiële instelling aan de ene kant en mensen, gedrag en bedrijfscultuur aan de andere kant. Dat laatste is niet altijd makkelijk te beoordelen en te meten. Toch moet de CBCS als toezichthouder in staat zijn om deze beoordeling uit te voeren”, legt Doornbosch desgevraagd tegenover het Antilliaans Dagblad uit.
Als toezichthouder op de financiële sector in de monetaire unie van Curaçao en Sint Maarten ziet de CBCS goed bestuur als voorwaarde voor een gezonde financiële sector. ,,Goed bestuur leidt tot betere beslissingen, lagere risico’s en dus betere resultaten. Zeker in de onzekere tijden waarin we nu leven”, aldus de topman.
De CBCS ziet vijf belangrijke risico’s voor financiële instellingen die moeten worden gemanaged. De vijf C’s van Covid-19, Climate, Crypto’s, Cyber, en ten slotte de risico’s van het verbergen van de opbrengsten van Criminele activiteiten via de financiële sector. Doornbosch: ,,Het managen van deze risico’s is een integraal onderdeel van goed ondernemingsbestuur.”
Terug naar de code: een nieuw en belangrijk element in de code is volgens de Centrale Bank ‘het belang van het bestuursorgaan om leiding te geven aan en verantwoordelijkheid te nemen voor maatschappelijk verantwoord ondernemen’.
,,De strategie en het gedrag van de financiële instelling moet in overeenstemming zijn met sociale, milieu- en governance-principes van de hoogste normen. Het heeft onder meer betrekking op het feit dat de werkplek gezond en veilig is, dat er beleidsmaatregelen zijn om fraude en corruptie te voorkomen, op te sporen en erop te reageren, dat consumentenrechten worden beschermd en dat er verantwoorde regels gelden voor vervuiling en afvalverwijdering.”
De verschillende representatieve organisaties hebben eind vorig jaar commentaar geleverd op de concept-code. De komende maanden gaat de CBCS hierover verder in gesprek met de sector op basis van een nieuwe tekst waarin de eerste ronde feedback is meegenomen.
De CBCS Corporate Governance Code bevat zeven onderdelen, licht Centrale Bank-president Doornbosch desgevraagd toe. Hij somde ze in zijn speech voor de Cifa op:
(1) De structuur van de organisatie dient ervoor te zorgen dat de toezichthoudende functie - in de meeste gevallen de raad van commissarissen (RvC) - en het management duidelijk omschreven rollen en verantwoordelijkheden hebben met voldoende checks and balances tussen beide en samen een effectieve uitvoering van de strategie waarborgen. Het omvat de eis dat de RvC een meerderheid van onafhankelijke leden heeft, waaronder de voorzitter. Maar ook de eis voor de RvC om minimaal één keer per jaar een zelfevaluatie uit te voeren.
(2) Het tweede inhoudelijke element betreft de interne organisatie. De organisatiestructuur moet duidelijk zijn met een adequate scheiding van taken (bijvoorbeeld controlefuncties zijn onafhankelijk van de bedrijfsonderdelen) en voldoende middelen. De slogan voor management en RvC is: Ken je structuur! Het opzetten van ondoorzichtige structuren dient vermeden te worden omdat deze vaak zullen worden gebruikt voor een doel dat verband houdt met het witwassen van geld of andere financiële misdrijven.
(3 en 4) Inhoudelijke elementen hebben betrekking op risicocultuur respectievelijk risicobeheer of interne controle. Risico’s moeten worden genomen binnen een welomschreven kader in overeenstemming met de risicostrategie en risico-appetijt. Risico’s binnen nieuwe producten en bedrijfsgebieden, maar ook risico’s die kunnen voortvloeien uit veranderingen in producten, processen en systemen, moeten naar behoren worden geïdentificeerd, beoordeeld op de juiste manier, worden beheerd en gemonitord. De Risk Management-functie en Compliance-functie moeten worden betrokken bij de vaststelling van het kader en de goedkeuring van dergelijke wijzigingen. Dit om ervoor te zorgen dat alle materiële risico’s in aanmerking worden genomen en dat de financiële instelling voldoet aan alle interne en externe vereisten.
‘Three lines of defense’
De code maakt gebruik van het zogenaamde ‘three lines of defense’-model bij het identificeren van de functies die verantwoordelijk zijn voor het aanpakken en beheren van risico’s. De onderliggende gedachte is dat, onder toezicht en leiding van senior management en de RvC, drie afzonderlijke groepen (of verdedigingslinies) binnen de organisatie noodzakelijk zijn voor een effectieve beheersing van risico’s en controle.
- De Business-linies nemen als eerste verdedigingslinie risico’s en zijn direct en permanent verantwoordelijk voor hun bedrijfsvoering. Daartoe moeten bedrijfsonderdelen beschikken over passende processen en controles die erop gericht zijn ervoor te zorgen dat risico’s worden geïdentificeerd, geanalyseerd, gemeten, gemonitord, beheerd, gerapporteerd en binnen de grenzen van de risicobereidheid worden gehouden en dat de bedrijfsactiviteiten voldoen aan externe en interne vereisten.
- De Risk Management-functie en Compliance-functie vormen de tweede verdedigingslinie. De Risk Management-functie vergemakkelijkt de implementatie van een goed kader voor risicobeheer in de gehele financiële instelling en heeft de verantwoordelijkheid om risico’s verder te identificeren, te monitoren, te analyseren, te meten, te beheren en te reflecteren. De Compliance-functie houdt toezicht op de naleving van wettelijke en reglementaire vereisten en intern beleid, geeft advies over naleving aan het bestuursorgaan en ander relevant personeel en stelt beleid en processen vast om nalevingsrisico's te beheren en naleving te waarborgen.
- De Internal Audit-functie (IAD), die de derde verdedigingslinie vormt, voert risico-gebaseerde en algemene audits uit en beoordeelt de Corporate Governance-regelingen, -processen en -mechanismen om ervoor te zorgen dat ze gezond en effectief zijn, geïmplementeerd en consistent worden toegepast. De Internal Audit-functie is ook verantwoordelijk voor de onafhankelijke beoordeling van de eerste twee verdedigingslinies. De Internal Audit-functie moet zijn taken volledig onafhankelijk van de andere verdedigingslinies kunnen uitvoeren.
Afhankelijk van de omvang en complexiteit van de werking van de financiële instelling kunnen er situaties zijn waarin sommige toezichtfuncties met elkaar worden gecombineerd, worden gecombineerd met operationele taken (met uitzondering van de IAD), worden uitbesteed of eenvoudigweg niet bestaan als een functie binnen de organisatie. De CBCS staat de uitbesteding van toezichtfuncties toe, maar de geschiktheid daarvan zal door de CBCS worden beoordeeld op basis van het uitbestedingsbeleid dat momenteel wordt geschreven en werking heeft onder de paraplu van de code.
(5) Dit element is het opstellen van een degelijk bedrijfscontinuïteitsplan om verliezen in geval van ernstige bedrijfsverstoringen te beperken. Een financiële instelling moet een plan opstellen om te reageren op noodsituaties en kritieke bedrijfsactiviteiten en herstelplannen voort te zetten om de gewone bedrijfsprocedures zo snel mogelijk terug te brengen.
(6 en 7) De laatste twee materiële bepalingen zijn ten eerste evenredigheid en op de tweede plaats transparantie. Het proportionaliteitsbeginsel is zeer relevant in de context van Curaçao en Sint Maarten. Bij de uitvoering van regelingen moeten financiële instellingen rekening houden met de omvang, aard, schaal en complexiteit van hun activiteiten. Het moet consistent zijn met het individuele risicoprofiel en het bedrijfsmodel.