Staatscourant van het Koninkrijk der Nederlanden

Datum publicatieOrganisatieJaargang en nummerRubriek
De Nederlandsche BankStaatscourant 2001, 65 pagina 23Besluiten van algemene strekking

Regeling organisatie en beheersing

De Nederlandsche Bank heeft, na overleg met de representatieve organisaties, per 1 april 2001 haar richtlijnen en aanbevelingen uit hoofde van artikel 22 Wtk 1992 geheel herzien en samengevoegd tegen de achtergrond van de maatschappelijke ontwikkelingen op het gebied van de corporate governance, compliance en integriteit. De regeling vervangt of wijzigt een reeks van bestaande regelingen op het gebied van de administratieve organisatie en interne controle.

De regeling heeft tot doel richtlijnen en aanbevelingen te geven voor de organisatie en beheersing van bedrijfsprocessen bij instellingen. Uitgangspunt hierbij is dat instellingen verantwoordelijk zijn voor een zodanige organisatie en beheersing van bedrijfsprocessen, dat daarmee wordt voorzien in een beheerste en integere bedrijfsvoering.

De regeling betreft de beheersing van risico's die instellingen lopen, daarbij inbegrepen de risico's voortvloeiende uit het niet of onvoldoende naleven van regelgeving en inbreuken op de integriteit van de bedrijfsvoering.

De regeling beoogt, in samenhang met de hierna te noemen beleidsregels, een kader te scheppen waaraan instellingen zelf een nadere invulling dienen te geven. Deze aanpak laat ruimte voor een invulling die recht doet aan de specifieke situatie van een instelling en aan nieuwe ontwikkelingen.

De regeling is modulair van opbouw. Hoofdstuk 1 bevat richtlijnen en aanbevelingen die de algemene uitgangspunten van de regeling uiteenzetten. Deze zijn aangevuld met richtlijnen en aanbevelingen ten aanzien van de beheersing van een aantal specifieke risicogebieden in hoofdstuk 2. Voor deze structuur is gekozen mede om ruimte te laten om op een later tijdstip nadere richtlijnen en aanbevelingen uit te vaardigen naar gelang ontwikkelingen daartoe aanleiding geven.

De regeling is in beginsel integraal van toepassing op alle onder toezicht van de Bank staande instellingen waarop artikel 22 Wtk 1992 van toepassing is, daarbij inbegrepen bijkantoren van niet in het EU-gebied gevestigde ondernemingen of instellingen (ex artikel 38 Wtk 1992).

De regeling zal in april 2001 als onderdeel 4201 in het Handboek Wtk worden opgenomen. Deze handboekversie bevat een artikelsgewijze toelichting en een uitgebreid voorwoord. De Bank beoogt met deze toelichting aan te geven langs welke lijnen zij voornemens is de desbetreffende richtlijn te lezen en te interpreteren. Tevens worden daarbij bij wijze van voorbeeld concrete situaties aangehaald ter illustratie van het niveau van de reactie die de Bank als gevolg van de richtlijn van de instellingen verwacht. De toelichtingen zijn evenwel nadrukkelijk niet meer en niet minder bedoeld als een leidraad bij de interpretatie.

Het Handboek Wtk kan onder meer worden geraadpleegd op www.dnb.nl.

Richtlijnen en aanbevelingen inzake organisatie en beheersing

Definities

Artikel 0 - In deze regeling wordt verstaan onder:

a. Bank: De Nederlandsche Bank NV.

b. Beheerste entiteit: een natuurlijke persoon, rechtspersoon of vennootschap, niet zijnde een dochtermaatschappij, die tot de groep behoort, waarvan de instelling het hoofd is.

c. Bestuur (of bestuurders): personen als bedoeld in artikel 10, lid 1, van de Wtk 1992 of personen met een vergelijkbare functie bij een financiële instelling.

d. Compliance: de naleving van wet- en regelgeving, alsmede het werken volgens de normen en regels die een instelling zelf heeft opgesteld.

e. Corporate governance: een stelsel van omgangsvormen voor bij de vennootschap en haar onderneming betrokken direct belanghebbenden - met name bestuurders, commissarissen en kapitaalverschaffers - inhoudende een aantal regels voor goed bestuur en goed toezicht en regels voor een verdeling van taken, verantwoordelijkheden en bevoegdheden die een evenwichtige invloed bewerkstelligen van bij de vennootschap en haar onderneming betrokkenen. Uitgangspunt daarbij is dat bestuurders en commissarissen over hun taakuitoefening - ook publiekelijk - verantwoording dienen af te leggen.1 (Zie ook voetnoot 1 van het voorwoord).

f. Groep: de groep zoals omschreven in artikel 1, lid 1, sub (o) van de Wtk 1992.

g. Inkoop: het laten leveren van diensten, goederen of faciliteiten door andere groepsentiteiten of door onafhankelijke derden (1) zonder dat informatie over of van de instelling in de macht van de leverancier kan komen, of (2) van gestandaardiseerde producten als marktinformatie of kantoorinventaris (gedefinieerd in relatie tot `uitbesteding').

h. Instelling (of: kredietinstelling): een kredietinstelling met een vergunning als bedoeld in artikel 6 dan wel artikel 38 van de Wtk 1992, onderscheidenlijk een financiële instelling waaraan een verklaring van ondertoezichtstelling is verleend op grond van artikel 45, eerste lid, van de Wtk 1992 en waarop artikel 22 van de Wtk 1992 door de Bank van overeenkomstige toepassing is verklaard.

i. Integriteitsrisico: de aantasting van de reputatie, alsmede de bestaande of toekomstige bedreiging van vermogen en resultaat van de instelling als gevolg van een ontoereikende naleving van (1) privaat-, bestuurs-, fiscaal-, of strafrechtelijke verplichtingen, (2) regelgeving en/of rapportagevoorschriften van toezichthouders, en (3) door de instelling zelf opgestelde normen, voorschriften of gedragsregels; bij de formulering hiervan wordt door de instelling zoveel mogelijk rekening gehouden met (de ontwikkelingen in de) maatschappelijke normen ter zake van integer handelen.

j. Interne-auditfunctie: de functie die belast is met de toetsing en beoordeling van de organisatie-inrichting en het beheersingsmechanisme. Deze functie is onafhankelijk van de lijn en staat los van de interne-controlemaatregelen die in de diverse onderdelen van de onderscheiden bedrijfsprocessen zijn geïntegreerd. De interne-auditfunctie ressorteert rechtstreeks onder de hoogste leiding van de instelling. Een interne-accountantsdienst valt onder de definitie van de interne-auditfunctie.

k. IT-risico: de bestaande of toekomstige bedreiging van vermogen en resultaat van de instelling als gevolg van een ontoereikende strategie en beleid of van tekortkomingen in de toegepaste technieken en/of gebruik inzake informatieverwerking en -communicatie, welke zich vertalen in strategisch-, beheersbaarheids-, exclusiviteits-, integriteits-, controleerbaarheids-, continuïteits- en gebruikersrisico.

l. Juridisch risico: de bestaande of toekomstige bedreiging van vermogen en resultaat van de instelling als gevolg van de kans dat haar rechtspositie niet of niet voldoende door adequate waarborgen is omgeven, met inbegrip van de mogelijkheid dat contractuele bepalingen niet afdwingbaar of niet correct gedocumenteerd zijn.

m. Kredietinstelling: zie instelling.

n. Kredietrisico: de bestaande of toekomstige bedreiging van vermogen en resultaat van de instelling als gevolg van het niet nakomen van een financiële of andere contractuele verplichting door de tegenpartij jegens de instelling, met inbegrip van de mogelijkheid van beperkingen of belemmeringen bij het overmaken van betalingen vanuit het buitenland.

o. Liquiditeitsrisico: de bestaande of toekomstige bedreiging van vermogen en resultaat van de instelling als gevolg van de mogelijkheid dat zij op enig moment niet in staat zal zijn aan haar korte-termijnbetalingsverplichtingen te voldoen zonder dat dit gepaard gaat met onaanvaardbare kosten of verliezen.

p. Lijnmanagement: zie management.

q. Management (of: lijnmanagement): personen aan wie het bestuur leidinggevende verantwoordelijkheid delegeert voor (delen van) bedrijfsprocessen.

r. Marktprijzen: hieronder worden verstaan (1) koersen van effecten, grondstoffen en derivaten, (2) rentevoeten en (3) vreemde-valutakoersen.

s. Marktrisico: de bestaande of toekomstige bedreiging van vermogen en resultaat van de instelling als gevolg van bewegingen in marktprijzen. Het marktrisico omvat aldus het prijsrisico, het renterisico en het valutarisico zowel binnen als buiten de handelsportefeuille.

t. Operationeel risico: de bestaande of toekomstige bedreiging van vermogen en resultaat van de instelling als gevolg van (1) ontoereikend handelen in de dagelijkse verwerking van transacties met cliënten of andere belanghebbenden, de afhandeling van deze transacties alsmede ontoereikende procedures en maatregelen voor een tijdige detectie van gebreken, (2) kwantitatieve en kwalitatieve tekortkomingen of beperkingen in de menselijke capaciteit, (3) gebrekkige besluitvorming als gevolg van ontoereikende managementinformatie.

u. Prijsrisico: de bestaande of toekomstige bedreiging van vermogen en resultaat van de instelling als gevolg van bewegingen in het niveau of de volatiliteit van marktprijzen van effecten, grondstoffen en derivaten.

v. Raad van commissarissen (of: commissarissen): personen als bedoeld in artikel 10, lid 3 en 4 van de Wtk 1992 of personen met een vergelijkbare functie bij een financiële instelling of bij een vergunninghouder ex artikel 38 van de Wtk 1992.

w. Renterisico: de bestaande of toekomstige bedreiging van vermogen en resultaat van de instelling als gevolg van bewegingen van rentevoeten; deze bewegingen kunnen zich voordoen als een parallelle beweging en/of een verandering van de rentetermijnstructuur en een ongelijke beweging van actief- en passiefrentes in hetzelfde looptijdsegment van de rentetermijnstructuur.

x. Reputatierisico: de bestaande of toekomstige bedreiging van vermogen en resultaat van de instelling als gevolg van een negatieve beeldvorming inzake de reputatie van de instelling door afnemers, tegenpartijen, aandeelhouders of toezichthouders, waardoor kansen en uitbreidingsmogelijkheden worden beperkt.

y. Risico's: de risico's die een materiële invloed kunnen hebben op de financiële prestaties, financiële positie, continuïteit of reputatie van de instelling.

z. Sleutelfuncties: de functies die (1) over een grote mate van bevoegdheid beschikken ten aanzien van de aansturing van bedrijfsprocessen, (2) intern of extern een vertrouwenspositie vervullen, of (3) als zodanig door het bestuur van de instelling zijn aangewezen.

Bij de beoordeling of een functie als sleutelfunctie wordt gekwalificeerd worden criteria betrokken inzake bevoegdheden, toegang tot vertrouwelijke en/of koersgevoelige informatie en de mate waarin de functie controlerend, toezichthoudend of integriteitsgevoelig is.

aa. Tegenpartijen: de kredietrelaties en de tegenpartijen in de financiële markten.

bb. Transactiediensten: die toepassingen waarbij acceptatie of uitwisseling van rechten, verplichtingen of zaken of van daarop betrekking hebbende informatie wordt aangeboden.

cc.Uitbesteding: het door andere groepsentiteiten of door onafhankelijke derden op structurele basis laten leveren van diensten, goederen of faciliteiten die deel uitmaken van de bancaire of daaraan ondersteuning verlenende bedrijfsprocessen, behoudens voor zover het betreft inkoop.

dd. Valutarisico: de bestaande of toekomstige bedreiging van vermogen en resultaat van de instelling als gevolg van bewegingen van vreemde-valutakoersen.

ee. Wtk 1992: de Wet toezicht kredietwezen 1992.

Hoofdstuk 1 Algemene uitgangspunten

1.1 Verantwoordelijkheid van de instelling

Artikel 1 - De instelling is verantwoordelijk voor een zodanige organisatie en beheersing van bedrijfsprocessen dat daarmee wordt voorzien in een beheerste en integere bedrijfsvoering.

Artikel 2 - Ter concretisering van de op haar rustende verantwoordelijkheid beschikt de instelling over een organisatie-inrichting en een beheersingsmechanisme die ten minste voldoen aan de eisen zoals in deze regeling zijn opgenomen.

Artikel 3 - De organisatie-inrichting en het beheersingsmechanisme zijn op systematische en toegankelijke wijze vastgelegd.

Artikel 4 - De instelling is verantwoordelijk voor een zodanige aansluiting van haar organisatie en beheersing van bedrijfsprocessen met die van dochtermaatschappijen en andere door de instelling beheerste entiteiten, dat geen afbreuk kan worden gedaan aan een beheerste en integere bedrijfsvoering door de instelling zelf.

1.2 Organisatie-inrichting en beheersingsmechanisme

1.2.1 Basisdoelstellingen

Artikel 5 - De organisatie-inrichting en het beheersingsmechanisme gaan uit van de doelstellingen en strategie van de instelling en omvatten procedures ten aanzien van de vaststelling, evaluatie en bijstelling van deze.

Artikel 6 - De organisatie-inrichting en het beheersingsmechanisme:

1. zijn gericht op de continuïteit van de bedrijfsvoering;

2. zijn afgestemd op de aard, omvang en complexiteit van de instelling;

3. worden geactualiseerd uit hoofde van veranderende omstandigheden;

4. houden rekening met alle bedrijfsprocessen en risico's.

1.2.2 Risicobeheersing

Artikel 7 - De instelling beschikt over helder geformuleerde beleidsuitgangspunten die gericht zijn op risicobeheersing en integer handelen.

Artikel 8 - De instelling draagt zorg voor een systematische risicoanalyse die gericht is op het identificeren, meten en evalueren van alle risico's.

Artikel 9 - De risicoanalyse wordt uitgevoerd of begeleid door deskundigen die onafhankelijk zijn van de functies die verantwoording afleggen over commerciële en/of financiële prestaties.

Aanbeveling

Voor de grotere en meer complexe instellingen wordt aanbevolen een zelfstandige afdeling in te stellen die belast is met risicoanalyse en die rechtstreeks onder het bestuur ressorteert. Een dergelijke afdeling heeft tot taak een overzicht te verkrijgen van de risico's die de instelling loopt en of deze in overeenstemming zijn met het gekozen risicoprofiel dat voortvloeit uit de doelstellingen en strategie van de instelling en met de relevante wet- en regelgeving. De behoefte aan een zelfstandige afdeling is mede afhankelijk van de bevoegdheden waarover commerciële en financiële afdelingen beschikken en de geldende rapportagelijnen.

Artikel 10 - De instelling draagt zorg voor de uitwerking en implementatie van de beleidsuitgangspunten in organisatorische en administratieve procedures en maatregelen welke geïntegreerd zijn in de bedrijfsprocessen.

Artikel 11 - De instelling draagt zorg voor een systematisch toezicht op de naleving van organisatorische en administratieve procedures en maatregelen die gericht zijn op risicobeheersing en integer handelen.

Aanbeveling

Voor de grotere en meer complexe instellingen wordt aanbevolen één of meer commissies in te stellen die belast zijn met het toezicht op de risicobeheersing van de instelling en die rechtstreeks onder het bestuur ressorteren, dan wel worden voorgezeten door het voor het desbetreffende risicogebied verantwoordelijke bestuurslid. Deze commissies stellen tevens vast of interne voorschriften worden nageleefd. Er zijn verschillende commissies denkbaar, zoals een krediet(risico)commissie, een marktrisicocommissie, een balansbeheercommissie en een operationeel-risicocommissie. De behoefte aan dergelijke commissies is mede afhankelijk van de afstand tussen het bestuur en de bedrijfsprocessen waar de risico's zich manifesteren.

1.2.3 Organisatorische maatregelen

Artikel 12 - De instelling draagt zorg voor een eenduidige verdeling van taken, verantwoordelijkheden en bevoegdheden en eenduidige rapportagelijnen die in overeenstemming zijn met deze verdeling.

Artikel 13 - De instelling beschikt over procedures en maatregelen ter beheersing van gedelegeerde taken, verantwoordelijkheden en bevoegdheden.

Artikel 14 - De instelling beschikt over procedures en maatregelen ter beheersing van aan derden uitbestede (delen van) bedrijfsprocessen.

Artikel 15 - De instelling stelt, op belangentegenstellingen gebaseerde, functiescheidingen in om te voorzien in een beheerste en integere uitvoering van werkzaamheden.

Artikel 16 - De instelling beschikt over procedures en maatregelen inzake de vervulling van sleutelfuncties.

1.2.4 Informatie en communicatie

Artikel 17 - De instelling beschikt over een systeem van verzameling, verwerking en verstrekking van interne en externe informatie dat een effectieve beheersing van bedrijfsprocessen en de daarmee samenhangende risico's mogelijk maakt.

Artikel 18 - De instelling beschikt over procedures en maatregelen ter voorkoming van het oneigenlijke gebruik van informatie.

Artikel 19 - De instelling beschikt over procedures en maatregelen om de beveiligde en continue werking van elektronische informatie- en communicatiemiddelen te waarborgen.

Artikel 20 - De instelling beschikt over effectieve interne en externe communicatiekanalen voor de beheersing van bedrijfsprocessen.

1.2.5 Toetsing, beoordeling en bijstelling

Artikel 21 - De instelling draagt zorg voor een systematische toetsing en beoordeling, zowel binnen de lijn als door de interne-auditfunctie, van de toereikendheid van de organisatie-inrichting en het beheersingsmechanisme en beschikt over vervolgprocedures die erin voorzien dat gesignaleerde tekortkomingen en gebreken, mede onder toezicht van de interne-auditfunctie, tot een gepaste bijstelling leiden.

Artikel 22 - De instelling beschikt over een permanente interne-auditfunctie, die rechtstreeks onder de hoogste leiding ressorteert. Deze functie beschikt over:

- voldoende deskundigheid om de werkzaamheden van de lijnorganisatie te toetsen en te beoordelen;

- voldoende onafhankelijkheid om op eigen initiatief bevindingen rechtstreeks aan de voorzitter van het bestuur te rapporteren;

- voldoende middelen om werkzaamheden op verantwoorde wijze, naar eigen inzicht en waar nodig op eigen initiatief te verrichten;

- vrije toegang tot alle activiteiten, functionarissen, locaties en informatie.

Aanbeveling

Teneinde de onafhankelijke positie en taak van de interne-auditfunctie te waarborgen wordt aanbevolen haar doelstelling en mandaat op schrift te stellen, bijvoorbeeld in een audit charter. Tevens wordt aanbevolen, dat een dergelijke audit charter door de interne-auditfunctie wordt opgesteld, door het bestuur wordt goedgekeurd en aan alle geledingen binnen de instelling wordt gecommuniceerd.

Aanbeveling

Aanbevolen wordt, dat, zodra organisatie en middelen zulks toelaten, de interne-auditfunctie als interne-accountantsdienst binnen de organisatie wordt geïnstitutionaliseerd.

Artikel 23 - De opdracht van de instelling aan de externe accountant voorziet in een toetsing en beoordeling op hoofdlijnen ter zake van de toereikendheid van de organisatie-inrichting en het beheersingsmechanisme. De in de vorige zin bedoelde toetsing en beoordeling wordt uitgevoerd door de externe accountant met inachtneming van de artikelsgewijze richtlijnen van deze regeling, waarbij specifieke aandacht wordt besteed aan de in paragraaf 2.5 aangegeven IT-aspecten. De overige op artikel 22 Wtk 1992 gebaseerde regelingen worden bij deze toetsing en beoordeling tevens in acht genomen. De instelling beschikt over vervolgprocedures die erin voorzien dat gesignaleerde tekortkomingen en gebreken, mede onder toezicht van de interne-auditfunctie, tot een gepaste bijstelling leiden.

1.3 Rol en taken van bestuur en commissarissen

1.3.1 Bestuur

Artikel 24 - Het bestuur is verantwoordelijk voor de uitwerking en naleving van de op grond van deze regeling op de instelling rustende verplichtingen.

Aanbeveling

Aanbevolen wordt dat het orgaan dat de bestuurders benoemt, in overleg met het bestuur, een profielschets opstelt waarin het de integriteit en de naar zijn oordeel nodig geachte deskundigheid en beschikbaarheid van het bestuur omschrijft, teneinde daarmee de instelling van een passende aansturing en beheersing te verzekeren.

Aanbeveling

Tevens wordt aanbevolen er bij de samenstelling van het bestuur op te letten dat het bestuur als geheel een goed begrip heeft van alle risico's die de instelling loopt en van de wijze waarop deze risico's kunnen worden beheerst.

Artikel 25 - Het bestuur is verantwoordelijk voor het toezicht op de organisatie-inrichting en het beheersingsmechanisme. Binnen het bestuur dient duidelijk te zijn wie primair verantwoordelijk is voor de beheersing per onderscheiden risicogebied.

Aanbeveling

Aanbevolen wordt dat het bestuur zich bij de uitoefening van haar taken laat bijstaan door één of meer commissies/functies, zoals één of meer risicobeheercommissie(s), een beloningscommissie en een compliance-functie.

Artikel 26 - Het bestuur draagt er zorg voor dat:

- zijn taakverdeling en werkwijze in een reglement zijn vastgelegd;

- het regelmatig vergadert; en

- een schriftelijk verslag van zijn vergaderingen wordt gemaakt.

Aanbeveling

Met het oog op het belang van regelmaat van de vergaderingen van het bestuur wordt aanbevolen dat het ten minste tweewekelijks vergadert.

Artikel 27 - Het bestuur draagt er zorg voor dat elke (schijn van) verstrengeling tussen de privé-belangen of andere functies van zijn leden en de zakelijke belangen van de instelling wordt vermeden.

Artikel 28 - Het bestuur draagt er zorg voor dat de raad van commissarissen tijdig beschikt over alle relevante interne en externe informatie die noodzakelijk is voor de uitoefening van zijn wettelijke en statutaire taken.

1.3.2 Raad van commissarissen

Artikel 29 - De raad van commissarissen houdt toezicht op de vervulling van de ingevolge deze regeling op het bestuur rustende taken. Daartoe beoordeelt de raad op hoofdlijnen de organisatie-inrichting en het beheersingsmechanisme die door de instelling, onder leiding van het bestuur, zijn ingesteld.

Aanbeveling

Aanbevolen wordt dat het orgaan dat de commissarissen benoemt, in overleg met de raad van commissarissen, een profielschets opstelt waarin het de integriteit en de naar zijn oordeel nodig geachte deskundigheid en beschikbaarheid van de leden van de raad van commissarissen omschrijft, die voortvloeien uit de omvang en complexiteit van de instelling en de daaraan gerelateerde risico's.

Aanbeveling

Tevens wordt aanbevolen er bij de samenstelling van de raad van commissarissen op te letten dat hij in staat is te beoordelen of het bestuur de taken vervult die ingevolge deze regeling op het bestuur rusten, waaruit voortvloeit dat de raad als geheel inzicht heeft in de risico's die de instelling loopt en in de wijze waarop deze risico's kunnen worden beheerst.

Aanbeveling

Aanbevolen wordt dat de raad van commissarissen, afhankelijk van de omvang en complexiteit van de instelling, beschikt over een audit committee, bestaande uit de leden van de raad dan wel uit een vertegenwoordiging daarvan. Het audit committee voert regelmatig overleg met de interne-auditfunctie en de externe accountant van de instelling teneinde zich te laten informeren over de bevindingen van hun werkzaamheden. Hierbij is de organisatie-inrichting en het beheersingsmechanisme een specifiek aandachtspunt. De bevindingen van het audit committee worden besproken in de plenaire raad van commissarissen.

Artikel 30 - De raad van commissarissen ziet er op toe dat er waarborgen zijn dat de interne-auditfunctie haar werkzaamheden onafhankelijk kan verrichten.

Artikel 31 - De raad van commissarissen draagt er zorg voor dat:

- zijn taakverdeling en werkwijze in een reglement zijn vastgelegd;

- hij regelmatig vergadert; en

- een schriftelijk verslag van zijn vergaderingen wordt gemaakt.

Aanbeveling

Met het oog op het belang van regelmaat van de vergaderingen van de raad wordt aanbevolen dat hij ten minste tweemaandelijks vergadert.

Artikel 32 - De raad van commissarissen draagt er zorg voor dat elke (schijn van) verstrengeling tussen de privé-belangen of andere functies van zijn leden en de zakelijke belangen van de instelling wordt vermeden.

Artikel 33 - De raad van commissarissen van de instelling functioneert onafhankelijk ten opzichte van het bestuur van de instelling.

Hoofdstuk 2 Organisatie en beheersing van specifieke risicogebieden

2.1 Kredietrisico

Artikel 34 - De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van kredietrisico's. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling en dienen onder meer te voorzien in (1) autorisatieprocedures, (2) limietstellingen, (3) limietbewaking en (4) procedures en maatregelen voor noodsituaties.

Artikel 35 - De instelling voert op systematische wijze een analyse van kredietrisico's uit. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen.

Artikel 36 - De instelling werkt de beleidsuitgangspunten ter beheersing van kredietrisico's nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen.

Artikel 37 - De instelling houdt op systematische wijze toezicht op de naleving van de organisatorische en administratieve procedures en maatregelen inzake de beheersing van kredietrisico's.

Aanbeveling

Voor de grotere en meer complexe instellingen wordt aanbevolen een krediet(risico)commissie in te stellen die belast is met het toezicht op de beheersing van de kredietrisico's die de instelling loopt en die rechtstreeks onder het bestuur ressorteert en aan hem rapporteert, dan wel wordt voorgezeten door het voor kredietrisico's verantwoordelijke bestuurslid.

De commissie ziet er op toe dat het bestuur goed geïnformeerd blijft over het risicoprofiel van de instelling en op de hoogte wordt gebracht van significante problemen en ontwikkelingen.

Artikel 38 - De instelling beschikt over een informatiesysteem dat toereikend is voor de systematische meting, bewaking en documentatie van alle kredietrisico's, zowel op instellingsniveau als op het niveau van de onderscheiden bedrijfsonderdelen. De kredietrisico's die de instelling loopt dienen tijdig te worden gerapporteerd onder vermelding van geconstateerde (dreigende) probleemkredieten en/of (dreigende) limietoverschrijdingen. Deze rapportering geschiedt overeenkomstig de door de instelling ingestelde rapportagelijnen, met inachtneming van de in artikel 24 gestelde verantwoordelijkheid van het bestuur en de in artikel 29 gestelde taak van de raad van commissarissen.

2.2 Marktrisico

Artikel 39 - De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van de onderscheiden marktrisico's. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling en dienen onder meer te voorzien in (1) autorisatieprocedures, (2) limietstellingen, (3) limietbewaking en (4) procedures en maatregelen voor noodsituaties.

Artikel 40 - De instelling voert op systematische wijze een analyse van de onderscheiden marktrisico's uit. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen.

Artikel 41 - De instelling werkt de beleidsuitgangspunten ter beheersing van de onderscheiden marktrisico's nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en dagelijkse werkzaamheden van alle relevante geledingen.

Artikel 42 - De instelling houdt op systematische wijze toezicht op de naleving van de organisatorische en administratieve procedures en maatregelen inzake de beheersing van de onderscheiden marktrisico's.

Aanbeveling

Voor de grotere en meer complexe instellingen wordt aanbevolen één of meer commissies in te stellen die belast zijn met het toezicht op de beheersing van de onderscheiden marktrisico's die de instelling loopt en die rechtstreeks onder het bestuur ressorteren en aan hem rapporteren, dan wel worden voorgezeten door het/de voor marktrisico's verantwoordelijke bestuurslid(-leden). Een marktrisicocommissie en een balansbeheercommissie zijn voorbeelden van dergelijke commissies.

De commissies zien er op toe dat het bestuur goed geïnformeerd blijft over het risicoprofiel van de instelling en op de hoogte wordt gebracht van significante problemen en ontwikkelingen.

Artikel 43 - De instelling beschikt over een informatiesysteem dat toereikend is voor de systematische meting, bewaking en documentatie van de onderscheiden marktrisico's, zowel op instellingsniveau als op het niveau van de onderscheiden bedrijfsonderdelen. De marktrisico's die de instelling loopt dienen tijdig te worden gerapporteerd onder vermelding van geconstateerde (dreigende) limietoverschrijdingen. Deze rapportering geschiedt overeenkomstig de door de instelling ingestelde rapportagelijnen, met inachtneming van de in artikel 24 gestelde verantwoordelijkheid van het bestuur en de in artikel 29 gestelde taak van de raad van commissarissen.

2.3 Liquiditeitsrisico

Artikel 44 - De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van liquiditeitsrisico's. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling en dienen onder meer te voorzien in (1) autorisatieprocedures, (2) limietstellingen, (3) limietbewaking en (4) procedures en maatregelen voor noodsituaties.

Artikel 45 - De instelling voert op systematische wijze een analyse van liquiditeitsrisico's uit. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen.

Artikel 46 - De instelling werkt de beleidsuitgangspunten ter beheersing van liquiditeitsrisico's nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen.

Artikel 47 - De instelling houdt op systematische wijze toezicht op de naleving van de organisatorische en administratieve procedures en maatregelen inzake de beheersing van liquiditeitsrisico's.

Aanbeveling

Voor de grotere en meer complexe instellingen wordt aanbevolen een (balansbeheer)commissie in te stellen die belast is met het toezicht op de liquiditeit en de balansverhoudingen van de instelling en die rechtstreeks onder het bestuur ressorteert en aan hem rapporteert, dan wel wordt voorgezeten door het voor liquiditeit en balansbeheer verantwoordelijke bestuurslid.

De commissie ziet er op toe dat het bestuur goed geïnformeerd blijft over het risicoprofiel van de instelling en op de hoogte wordt gebracht van significante problemen en ontwikkelingen.

Artikel 48 - De instelling beschikt over een informatiesysteem dat toereikend is voor de systematische meting, bewaking en documentatie van alle liquiditeitsrisico's, zowel op instellingsniveau als op het niveau van de onderscheiden bedrijfsonderdelen. De liquiditeitsrisico's die de instelling loopt dienen tijdig te worden gerapporteerd onder vermelding van geconstateerde (dreigende) limietoverschrijdingen. Deze rapportering geschiedt overeenkomstig de door de instelling ingestelde rapportagelijnen, met inachtneming van de in artikel 24 gestelde verantwoordelijkheid van het bestuur en de in artikel 29 gestelde taak van de raad van commissarissen.

2.4 Operationeel risico

Artikel 49 - De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van operationele risico's. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling.

Artikel 50 - De instelling voert op systematische wijze een analyse van operationele risico's uit. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen.

Artikel 51 - De instelling werkt de beleidsuitgangspunten ter beheersing van operationele risico's nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen.

Artikel 52 - De instelling houdt op systematische wijze toezicht op de naleving van organisatorische en administratieve procedures en maatregelen inzake de beheersing van operationele risico's.

Aanbeveling

Voor de grotere en meer complexe instellingen wordt aanbevolen een commissie in te stellen die belast is met het toezicht op de beheersing van operationele risico's van de instelling en die rechtstreeks onder het bestuur ressorteert en aan hem rapporteert, dan wel wordt voorgezeten door het voor operationele risico's verantwoordelijke bestuurslid.

De commissie ziet er op toe dat het bestuur goed geïnformeerd blijft over het risicoprofiel van de instelling en op de hoogte wordt gebracht van significante problemen en ontwikkelingen.

Artikel 53 - De instelling beschikt over een informatiesysteem dat toereikend is voor de systematische meting, bewaking en documentatie van alle operationele risico's, zowel op instellingsniveau als op het niveau van de onderscheiden bedrijfsonderdelen. De operationele risico's die de instelling loopt dienen tijdig te worden gerapporteerd onder vermelding van geconstateerde (dreigende) calamiteiten en verliezen. De rapportage geschiedt overeenkomstig de door de instelling vastgestelde rapportagelijnen, met inachtneming van de in artikel 24 gestelde verantwoordelijkheid van het bestuur en de in artikel 29 gestelde taak van de raad van commissarissen.

2.5 Informatietechnologie (IT)

Artikel 54 - De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van IT-risico's. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling.

Artikel 55 - De instelling voert op systematische wijze een analyse van IT-risico's uit. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen.

Artikel 56 - De instelling draagt zorg voor de uitwerking en implementatie van de beleidsuitgangspunten ter beheersing van IT-risico's in zichtbare organisatorische en administratieve procedures en maatregelen, welke geïntegreerd zijn in de IT-processen en de dagelijkse werkzaamheden van alle relevante geledingen. Tevens wordt voorzien in een systematisch toezicht op de naleving daarvan.

Aanbeveling

Voor grotere en meer complexe instellingen wordt aanbevolen het toezicht op de risicobeheersing rond de IT neer te leggen bij een risicobeheersingcommissie die rechtstreeks onder het bestuur ressorteert en aan hem rapporteert, dan wel wordt voorgezeten door het voor IT-zaken verantwoordelijke bestuurslid.

De commissie ziet er op toe dat het bestuur goed geïnformeerd blijft over het risicoprofiel van de instelling en op de hoogte wordt gebracht van significante problemen en ontwikkelingen.

Artikel 57 - De instelling draagt zorg voor specifieke maatregelen die een afdoende beveiliging van de informatie en de continuïteit van de IT waarborgen. De rechtszekerheid en de privacy van de cliënten dienen bij gebruikmaking van IT-toepassingen in voldoende mate te zijn gewaarborgd.

2.6 Uitbesteding van (delen van) bedrijfsprocessen

Artikel 58 - De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van de risico's die samenhangen met het uitbesteden van werkzaamheden. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling.

Artikel 59 - In geval de instelling onvoldoende waarborgen kan verkrijgen voor het handhaven van een beheerste en integere bedrijfsvoering, wordt niet tot uitbesteding van de desbetreffende bedrijfsprocessen overgegaan.

Artikel 60 - De instelling draagt zorg voor een systematische analyse van risico's die samenhangen met de uitbesteding van werkzaamheden. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen.

Artikel 61 - De instelling werkt de beleidsuitgangspunten ter beheersing van uitbestedingsrisico's nader uit in organisatorische en administratieve procedures en maatregelen en integreert deze in de systemen en de dagelijkse werkzaamheden van alle relevante geledingen.

Artikel 62 - De instelling legt de afspraken inzake uitbesteding met de externe dienstverlener/leverancier vast in een schriftelijke overeenkomst. Deze overeenkomst dient mede te voorzien in de bevoegdheid van de Bank om informatie in te winnen omtrent de uitbestede werkzaamheden bij de externe dienstverlener/leverancier respectievelijk bij zijn externe accountant en desgewenst onderzoek te doen of te laten doen bij de externe dienstverlener/leverancier. Deze laatste verplichting geldt niet voor deelname aan een systeem als bedoeld in artikel 212a, onder b, van de Faillissementswet.2

Artikel 63 - Niet toegestaan is de uitbesteding van:

- de in artikel 22 van deze regeling bedoelde interne-auditfunctie aan een niet tot de groep behorende dienstverlener;

- de financiële administratie en het opmaken van de jaarrekening aan de controlerende externe accountant van de instelling, dan wel aan het kantoor waarmee de externe accountant is verbonden.

Artikel 64 - De instelling beschikt over procedures en maatregelen om toezicht te houden op de wijze waarop de externe dienstverlener/leverancier invulling geeft aan de uitbestede werkzaamheden.

2.7 Integriteitsrisico

Artikel 65 - De instelling beschikt over helder geformuleerde beleidsuitgangspunten ter beheersing van integriteitsrisico's en draagt zorg voor een bedrijfscultuur waarin integriteitsnormen en -regels op een hoog niveau staan. De beleidsuitgangspunten worden vastgelegd en gecommuniceerd aan alle relevante geledingen van de instelling.

Aanbeveling

Voor internationaal opererende instellingen wordt aanbevolen ter zake van integriteitsaspecten van de bedrijfsvoering over een minimumstandaard te beschikken.

Artikel 66 - De instelling draagt zorg voor een systematische analyse van integriteitsrisico's. De analyse wordt uitgevoerd zowel op instellingsbrede basis als op het niveau van de onderscheiden bedrijfsonderdelen.

Artikel 67 - De instelling draagt zorg voor de uitwerking en implementatie van de beleidsuitgangspunten in organisatorische en administratieve procedures en maatregelen, welke geïntegreerd zijn in de bedrijfsprocessen en die bijdragen aan een integriteitsbewuste bedrijfscultuur.

Artikel 68 - De instelling draagt zorg voor een systematisch toezicht op de naleving van organisatorische en administratieve procedures en maatregelen inzake de beheersing van integriteitsrisico's en beschikt over procedures die erin voorzien dat gesignaleerde tekortkomingen en gebreken worden gerapporteerd en, mede onder toezicht van de in artikel 69 bedoelde `compliance'-functie, tot een gepaste bijstelling leiden.

Artikel 69 - De instelling beschikt over een onafhankelijke `compliance'-functie voor het toezicht op de naleving van de interne normen, voorschriften en gedragsregels alsmede voor het toezicht op de realisatie van bijstellingen naar aanleiding van gesignaleerde tekortkomingen en gebreken.

Aanbeveling

Het verdient aanbeveling dat de `compliance-officer' toestemming heeft om desgewenst rechtstreeks contact op te kunnen nemen met (het aangewezen lid van) de raad van commissarissen in die gevallen dat het een aangelegenheid betreft die het (mogelijk) niet naleven van de richtlijnen door (één der) bestuursleden zelf raakt.

Artikel 70 - De instelling draagt zorg voor een systematische toetsing en beoordeling van de toereikendheid van de opzet en de werking van organisatorische en administratieve procedures en maatregelen inzake de beheersing van integriteitsrisico's. De instelling beschikt over vervolgprocedures die erin voorzien dat gesignaleerde tekortkomingen en gebreken, mede onder toezicht van de interne-auditfunctie, tot een gepaste bijstelling leiden.

2.8 Rechten en plichten van (potentiële) cliënten

Artikel 71 - De instelling beschikt over helder geformuleerde beleidsuitgangspunten met betrekking tot de wijze waarop informatie over producten en diensten, alsmede over de bij de dienstverlening gebruikte communicatiekanalen, aan (potentiële) cliënten verstrekt wordt, en draagt zorg voor de organisatorische inbedding van een correcte en zorgvuldige informatieverstrekking.

Artikel 72 - De instelling informeert de cliënt over de wijze waarop klachten worden behandeld en zorgt dat aan de klachtbehandeling een organisatorische inbedding wordt gegeven. Hiertoe beschikt de instelling over helder geformuleerde beleidsuitgangspunten die nader worden uitgewerkt in procedures en maatregelen voor klachtanalyse en de mogelijk daaruit voortvloeiende aanpassing van de interne procedures en maatregelen.

Hoofdstuk 3 Slotbepalingen

3.1 Ontheffing

Artikel 73 - De instelling heeft, op grond van artikel 22 lid 3 Wtk 1992, de mogelijkheid om, al dan niet voor een bepaalde termijn, de Bank te verzoeken om ontheffing van één of meer van de artikelsgewijze richtlijnen van deze regeling te verlenen. Een dergelijk verzoek dient schriftelijk en gemotiveerd plaats te vinden.

3.2 Inwerkingtreding

Artikel 74 - Deze regeling treedt in werking op 1 april 2001.

Artikel 75 - Op de in het vorige artikel vastgestelde datum van inwerkingtreding komen de hiernavolgende richtlijnen en aanbevelingen van de Bank te vervallen:

Administratieve organisatie bij kredietinstellingen; Staatscourant 28-5-1993 (onderdeel 3204 Handboek Wtk);

Organisatie valuta-arbitrage; oktober 1981 (onderdeel 3204.1 Handboek Wtk);

Risicobeheer derivaten bij kredietinstellingen; Staatscourant 10-8-1995 (onderdeel 3204.2 Handboek Wtk);

Memorandum inzake het toezicht van de Bank op het renterisico; september 1998 (onderdeel 3209 Handboek Wtk);

Memorandum betreffende enige specifieke aspecten van de rol van de Raad van Commissarissen in het bankwezen; 31-12-1986 (niet in het Handboek Wtk opgenomen);

Memorandum omtrent de betrouwbaarheid en continuïteit van geautomatiseerde gegevensverwerking in het bankwezen; 20-9-1988 (niet in het Handboek Wtk opgenomen);

Brief en considerans inzake de uitbesteding van de geautomatiseerde gegevensverwerking; 27-5-1994 (niet in het Handboek Wtk opgenomen);

Artikel 6 van de Regeling bestuurderskredieten (onderdeel 3206 Handboek Wtk);

Artikel 6 van de Regeling afgeschermde rekeningen (onderdeel 3211 Handboek Wtk).

3.3 Overgangsregeling

Artikel 76 - Gedurende een overgangstermijn van één jaar na de in de artikel 74 genoemde datum van inwerkingtreding heeft de instelling de gelegenheid om haar organisatie en beheersing aan te passen ter voldoening aan de ingevolge deze regeling op de instelling rustende verplichtingen, op een zodanige wijze dat daarmee wordt voorzien in een beheerste en integere bedrijfsvoering. Gedurende deze overgangsperiode zullen de onderzoeken van de Bank in beginsel nog plaatsvinden op basis van de desbetreffende, in artikel 75 genoemde, richtlijnen en aanbevelingen, tenzij de instelling geheel of gedeeltelijk opteert voor een onderzoek op basis van de onderhavige regeling.

1 Aanbevelingen inzake Corporate Governance in Nederland; Commissie-Peters-I.

2 Tot de hier bedoelde erkende systemen in het kader van de finaliteitsrichtlijn behoren onder meer Interpay, TOP/TARGET, Euroclear, Cedel, EBA en CLS.