Compliancefunksjonen i verdipapirforetak

European Securities and Markets Authority (ESMA) har publisert en anbefaling om compliancefunksjonen i verdipapirforetak. ESMA anbefaler blant annet at compliance involveres i alle vesentlige endringer i foretaket, og når compliance’ råd med hensyn til strategiske beslutninger ikke følges opp bør dette dokumenteres. Videre bør juridisk avdeling og compliance som utgangspunkt ikke kombineres. I dette nyhetsbrevet omtales de mest sentrale elementene i anbefalingen.

ANBEFALINGENS STATUS

Anbefalingen er gitt til de nasjonale tilsyns-myndigheter - i Norge, Finanstilsynet - knyttet til praktiseringen av MiFID-reglene i nasjonal rett. Formålet er en harmonisert praksis i EU/EØS.

Oversettelsen av anbefalingen til medlemsstatenes språk ble publisert 28. september 2012, og fra denne datoen har Finanstilsynet 60 dager til å gi ESMA tilbakemelding om anbefalingene vil bli lagt til grunn, eller på hvilke punkter anbefalingene eventuelt ikke vil bli fulgt. Finanstilsynet har foreløpig ikke offentliggjort sin holding til anbefalingen, men som utgangspunkt må det antas at anbefalingen vil bli lagt til grunn i sin helhet.

De pågående vurderinger av om implementering av ESMA-forordningen er i strid med Grunnloven, vil ikke ha noen betydning for Finanstilsynets praktisering av ESMA-anbefalingen.

Anbefalingen kommer til anvendelse for verdipapirforetak og andre som yter investeringstjenester. Kravene til compliancefunksjonen fremgår særlig av MiFID artikkel 13 (verdipapirhandelloven § 9-11) og MiFIDs gjennomføringsdirektiv (2006/73/EF) artikkel 6 (verdipapirforskriften § § 9-8 og 9-11).

OVERORDNET

ESMA har utarbeidet 11 anbefalinger knyttet til compliancefunksjonen, jf. nedenfor. Innledningsvis gjør vi oss to overordnede refleksjoner:

• Anbefalingen synes å legge opp til en økt grad av involvering fra compliance' side i foretakets virksomhet. Det er likevel hensikten at compliance skal være like uavhengig som tidligere. Det kan stilles spørsmål ved om involveringen kan medføre at det i praksis blir vanskeligere for complianceansvarlig å forholde seg like objektiv. Det vises blant annet til anbefalingene om at compliance skal delta i prosesser knyttet til strategiske beslutninger og forretningsmodeller, jf. anbefaling 4 nedenfor.

• Anbefalingen skjerper kravene til dokumentasjon av ulike sider av compliancefunksjonen, herunder ved compliancepolicy, complianceplan og dokumentasjon av ledelsens eventuelle beslutninger om avvik fra compliance' råd, jf. anbefalingene 2,4 og 6 nedenfor. Dokumentasjonskravene vil naturlig nok forenkle tilsynsmyndighetens kontrollarbeid. Samtidig kan dokumentasjon av beslutninger i seg selv være bevisstgjørende, og de utvidede dokumentasjonskravene kan dermed bidra positivt i forbindelse med faktisk utøvelse av compliancefunksjonen i foretaket.

ESMAS 11 ANBEFALINGER

I det følgende knyttes noen korte kommentarer til ESMAs 11 anbefalinger.

# 1: Risikobasert tilnærming

Compliancefunksjonen skal ta en risikobasert tilnærming for å allokere ressursene effektivt. Dette innbærer at det bør foretas jevnlige risikovurderinger av virksomheten. Det bør i tillegg gjøres nye risikovurderinger ved endrede forhold. Hensikten er å sikre en riktig allokering av ressurser og fokus. Vurderingen foretas basert blant annet på hvilke tjenester foretaket yter, hvilke typer finansielle instrumenter foretaket tilbyr, samt resultat fra tidligere interne og eksterne kontroll-aktiviteter.

Det anbefales således at compliance foretar en prioritering basert på en risikovurdering av virksomheten. Prioriteringene skal kunne forsvares. Etter vår oppfatning burde selve risikovurderingene (herunder også fornyede vurderinger) nedfelles skriftlig, ikke bare complianceplanen som et resultat av vurderingene.

# 2: Plan for kontroll

Compliancefunksjonen bør utarbeide en plan for kontroll av virksomheten som skal sikre at hele virksomheten kontrolleres, men hvor prioriteringer gjøres ut fra risikovurderingen nevnt i anbefaling 1. Gjennomføring av kontroller bør ikke bare være dokumentbasert, men også skje gjennom stedlige kontroller for å sikre at prosedyrene også følges i praksis. Planen skal tilpasses eventuelle nye risikovurderinger knyttet til eksempelvis endringer i virksomheten eller avdekkede brudd på gjeldende regelverk.

Compliancefunksjonen og øvrige kontrollfunksjoner bør koordineres, likevel slik at alle funksjonene beholder sin uavhengighet og sitt mandat.

Finanstilsynet har over noe tid allerede lagt til grunn at det skal foreligge en complianceplan, og at mangel på sådan kan danne grunnlag for kritikk.

# 3: Rapporteringsplikter

Foretakets ledelse skal få regelmessige skriftlige rapporter fra compliance, samt ad hoc rapportering dersom vesentlige complianceforhold avdekkes. Det tydeliggjøres at compliancerapportene bør dekke alle foretakets forretningsområder, og hvis ikke, bør dette begrunnes. Anbefalingen inneholder for øvrig en liste over forhold som skal omfattes av compliancerapporten.

# 4: Rådgivningsplikter

Compliance må oppfylle sin rådgivningsfunksjon overfor organisasjonen. Compliance bør sørge for at det utvikler seg en "compliancekultur" i foretaket gjennom aktiv deltakelse i opplæringen av ansatte og gjennom daglig kontakt med ansatte i foretaket. Hensikten er så vidt vi forstår å sørge for at prinsippet om investorbeskyttelse formidles på flere måter i organisasjonen og dermed "gjennomsyrer" denne.

Ved opplæringen av ansatte bør det ikke bare fokuseres på interne rutiner og retningslinjer, men også alt relevant regelverk, inkludert MiFID, nasjonale lover, standarder og anbefalinger fra ESMA og alle andre regulatoriske krav. Opplæringen skal foregå kontinuerlig og det bør sørges for at denne oppdateres slik at den tar hensyn til alle regulatoriske endringer. I følge anbefalingene bør complianceansvarlig jevnlig vurdere hvorvidt ansatte har nødvendig grad av forståelse, og om de bruker foretakets retningslinjer og rutiner riktig.

Kravene som oppstilles til opplæring og til å vurdere ansattes forståelse er primært en presisering av gjeldende regler. Når det gjelder forventninger til ansattes regelkunnskap kan det virke som om ESMA har lagt seg på en noe strengere linje enn det som hittil har vært alminnelig oppfatning.

ESMA uttaler i tillegg at compliance bør ta del i enhver vesentlig endring i foretaket knyttet til investeringstjenester eller tilknyttede tjenester. Dette gjelder for eksempel i forhold til strategiske beslutninger, forretningsmodeller, markedsføring, samt utvikling og salg av nye produkter. Når det gjelder strategiske beslutninger og forretningsmodeller bør complianceansvarlig sørge for at compliancerapportene dokumenterer råd som ikke følges. Ovennevnte synes å legge opp til en større grad av involvering enn det som naturlig følger av den rådgivningsfunksjonen compliance skal yte overfor ledelse og ansatte.

# 5: En effektiv compliancefunksjon

Anbefalingen presiserer at det er ledelsens ansvar å sørge for tilstrekkelig bemanning av compliancefunksjonen, tilstrekkelige IT-ressurser, tilgang til informasjonssystemer og møter i ledelsen. Dersom det lages budsjetter for hver avdeling, skal det også utarbeides et budsjett for compliancefunksjonen. Dersom foretaket ikke gir complianceansatte tilgang til møter i ledelsen eller det foretas vesentlige kutt i compliancefunksjonens budsjett, skal dette begrunnes skriftlig.

Det oppstilles krav til den complianceansvarliges kvaliteter, og det påpekes at complianceansatte jevnlig bør gjennomgå opplæring for å opprettholde nødvendig kunnskap.

# 6: Compliancefunksjonens permanente karakter

ESMAs anbefaling tydeliggjør at compliancefunksjonen har en permanent karakter. Den gir blant annet uttrykk for at foretakene skriftlig bør nedfelle hvem som er ansvarlig for compliancefunksjonen i den complianceansvarliges fravær.

Videre bør det utarbeides en compliancepolicy som beskriver compliancefunksjonens ansvars-områder, kompetanse og autoritet. Compliancepolicyen bør også inneholde planen for kontroll av virksomheten (jf. anbefaling 2), rapporteringsforpliktelser, samt informasjon om at kontroll-aktiviteten er basert på en risikovurdering av virksomheten. Det bør også fremkomme at regulatoriske endringer skal innarbeides umiddelbart.

Finanstilsynet har allerede over en tid lagt til grunn at en slik compliancepolicy skal foreligge og at mangel på sådan kan gi grunnlag for kritikk.

# 7: Compliancefunksjonens uavhengighet

Det følger av anbefalingen at compliancefunk-sjonen skal være uavhengig. Det viktigste punktet med hensyn til dette er etter vår oppfatning at dersom ledelsen avviker fra betydningsfulle anbefalinger og vurderinger fra compliancefunksjonen, bør complianceansvarlig dokumentere dette i compliancerapportene sine.

# 8: Unntak fra compliancekravene

ESMA tydeliggjør hvilke momenter verdipapirforetakene bør vektlegge dersom foretak avviker fra kravet om at compliancefunksjonen ikke skal være involvert i utøvelse av tjenestene eller funk-sjonene de kontrollerer eller kravene til fast-
settelse godtgjørelse, jf. gjennomføringsdirektivets artikkel 6 (3) c og d og vpf. 9-11 (2). Vurderingene må gjøres ut fra et forholdsmessighetsprinsipp. Det oppstilles en smørbrødliste over momenter. Disse synes ikke å medføre noe nytt. Vurderingene bør dokumenteres.

Det er imidlertid verdt å merke seg at ESMA som utgangspunkt anbefaler at juridisk avdeling og compliance ikke kombineres i store foretak eller foretak med kompleks virksomhet.

# 9: Kombinasjon av compliancefunksjonen med andre internkontrollfunksjoner

Utover ovennevnte anbefaler ESMA at compliancefunksjonen og andre kontrollfunksjoner - som internrevisjon - ikke kombineres. Dersom funksjonene kombineres bør vurderingene som foretas i den forbindelse dokumenteres.

# 10: Utkontraktering

ESMAs anbefaling stadfester at compliancefunksjonen kan utkontraktere i tråd med alminnelige prinsipper. Ansvaret for regeletterlevelsen ligger fremdeles på verdipapirforetaket og dets ledelse. Foretaket må uansett utpeke en av sine ansatte som ansvarlig for compliancefunksjonen.

Foretaket bør gjennomføre en due diligence før valg av tjenestetilbyder for compliancefunksjonen. Omfanget av due diligenceprosessen bestemmes av omfanget av tjenestene som utkontrakteres.

Videre presiseres det at foretaket og foretakets ledelse bør føre tilsyn med tjenestetilbyderen for å sikre at denne utfører compliancefunksjonen tilfredsstillende. Spørsmålet om utkontraktering av compliancefunksjonen har tidligere vært behandlet av Finanstilsynet. ESMAs anbefalinger synes ikke å avvike i særlig grad fra tilsynets praksis.

# 11: Myndighetenes kontroll av compliancefunksjonen

ESMA har også inntatt en anbefaling som knytter seg til at nasjonale tilsynsmuligheter bør gjennomgå hvordan verdipapirforetak planlegger å implementere og følge opp MiFIDs krav til compliancefunksjonen.

Det legges opp til en relativt konkret kontroll av compliancefunksjonen. Dettes synes i samsvar med den type kontroll som allerede i dag utøves.

ESMAs anbefalinger knyttet til compliancefunk-sjonen i fulltekst er lagt ut her.

Kompetanseområder

Advokater

Bjarne Rogdaberg
Kari Tveitevoll Eide

Publisert

06. november 2012