Evert-Jan Lammers
Als gevolg van een Europees besluit moeten honderdduizenden bedrijven in de EU een meldkanaal hebben voor het rapporteren van misstanden aan de autoriteiten. In België gaat het om circa 15.000 bedrijven. Vanaf 3 januari 2018 kan de FSMA maatregelen opleggen. Wat? Een intern meldpunt is een onmisbare schakel voor risicobeheer en bescherming van de reputatie van een bedrijf. De kosten zijn verwaarloosbaar ten opzichte van de voordelen. Veel bedrijfsschandalen beginnen immers niet op bestuursniveau maar ergens middenin de organisatie. Denk aan “Dieselgate”, omkoping in het buitenland en #metoo zaken. Als het bestuur er eerder op wordt gewezen, en de juiste stappen zet, kan ze een schandaal vermijden. Schandalen ontstaan wanneer de misstanden gedurende langere tijd verborgen kunnen groeien.
Verborgen door medewerkers die het eigen belang boven het bedrijfsbelang stelden. Of door collega’s die op de hoogte waren, maar geen weg kennen om het veilig aan te kaarten. Als het verkeerd loopt, krijgt de organisatie later de rekening gepresenteerd. Het gaat om misstanden zoals prijsafspraken, misbruik van voorkennis, omkoping, lekken van vertrouwelijke informatie, financiële fraude en grensoverschrijdend gedrag.
Sinds kort moeten in België circa 15.000 bedrijven misstanden melden aan de Financial Services and Markets Authority (FSMA). Bedrijven zitten niet te wachten op de nieuwe verplichtingen, maar gelukkig mogen ze grotendeels zelf bepalen hoe ze het aanpakken. Hoe kan een slimme aanpak ook voordelen opleveren voor het bedrijf?
Intern
Vaststaat dat bedrijven met een intern meldpunt de helft minder schade leiden door fraude dan bedrijven zonder meldpunt (ACFE, 2016). Een meldpunt zorgt er namelijk voor dat verborgen misstanden vroeger worden ontdekt en dus minder kunnen groeien. De schade die fraude toebrengt aan bedrijven bedraagt gemiddeld vijf procent van de bedrijfsomzetten (!) dus een intern meldpunt kan de winstgevendheid van een bedrijf gevoelig verbeteren.
Een goed intern meldsysteem is veilig: het beschermt primair de identiteit van de melder en de vertrouwelijkheid van de melding. Verder voldoet het aan de eisen gesteld door de wet, de FSMA en andere organisaties zoals Transparency International :
* Melder: de melding wordt vertrouwelijk behandeld; de melder mag anoniem melden; als de melding te goeder trouw wordt gedaan, geniet de melder bescherming en heeft recht op vergoeding voor geleden schade; het interne meldpunt is er niet alleen voor werknemers maar ook voor derden zoals klanten, vendors en uitzendkrachten.
* Meldpunt: het meldpunt is digitaal en staat op een externe server, beschermd tegen glurende blikken uit de organisatie; de melding wordt geëncrypteerd doorgegeven aan het meldcomité in het bedijf; het IP-adres van de melder wordt niet doorgegeven; het meldpunt is interactief, ook voor anonieme melders; het is 24/7 bereikbaar in de gewenste talen; het meldpunt biedt een case-management systeem.
* Meldcomité: het comité dat de meldingen doorgestuurd krijgt vanuit het meldpunt, bevindt zich bij het auditcomité of een ander onafhankelijk bestuurslid; het meldcomité beschikt over voldoende deskundigheid om te beoordelen of de melding moet worden doorgegeven aan de FSMA, en of het intern moet worden onderzocht; het meldcomité kan voor de beoordeling en het onderzoek zelfstandig externe ondersteuning inroepen, zoals van een advocaat en een fraud auditor; het meldcomité legt periodiek verantwoording af aan het bestuur over de ontvangen meldingen en de afwikkeling ervan.
* Onderzoek: de private onderzoeker is op de hoogte van de geldende wetten en regels in en rond het bedrijf en werkt volgens professionele standaarden zoals van het Institute of Fraud Auditors (IFA) en de Association of Certified Fraud Examiners (ACFE).
Extern
Indien het interne meldcomité van mening is dat de melding moet worden doorgegeven aan de FSMA, dan wordt dat onmiddellijk gedaan, al dan niet via de compliance officer. Ondertussen kan het bedrijf een eigen onderzoek starten met het doel om de misstanden te beëindigen, de schade te beperken, herhaling te voorkomen, en sancties op te leggen. De raad van bestuur heeft daarin een eigen verantwoordelijkheid en moet niet op de FSMA wachten. Wel moet het bedrijf meewerken aan een onderzoek door de FSMA. De FSMA heeft de opdracht om de identiteit van de melder te beschermen.
Bijzonder is de situatie waarin de ontvangen melding niet moet worden doorgegeven aan de FSMA, maar het Parket wel geïnteresseerd zou kunnen zijn in de informatie, zoals bij omkoping, financiële fraude of grensoverschrijdend gedrag. Ter bescherming van de identiteit van de melder en de vertrouwelijkheid van de data doet het bedrijf er verstandig aan om de zaak in handen te geven van een advocaat of (externe) legal counsel. Onder diens verschoningsrecht houdt het bedrijf alle opties open: intern onderzoek doen, schikken, self-reporting, aangifte doen, al dan niet met burgelijke partijstelling, enzovoort. Ook hier heeft de raad van bestuur een eigen verantwoordelijkheid en moet niet altijd aangifte doen. Wel moet het bedrijf meewerken aan een onderzoek door Justitie, maar bepaalde informatie kan dus onder het verschoningsrecht vallen.
Melding
Een intern meldpunt vervangt niet de normale gesprekken over misstanden, zoals met een collega, leidinggevende of HR-officer. Maar wanneer deze normale gespekken niet kunnen plaatsvinden, bijvoorbeeld uit vrees voor de loopbaan, dan biedt het interne meldpunt een veilige oplossing. Er wordt voorkomen dat de misstand doorgroeit. En de melder voelt zich niet genoodzaakt om naar een journalist of naar justitie te stappen. Intern melden is niet ‘het nieuwe klikken’ want melden gebeurt vanuit een hoger belang, klikken vanuit een lager belang.
Geblokkeerde melding
Een melding leidt meestal tot een intern onderzoek, soms ook door een toezichthouder of Justitie. De melder kan nog zo overtuigd zijn van het onrecht, hij/zij zal twijfelen om het te laten onderzoeken: Was het een uitzondering? Overdrijf ik niet? Geloven ze me wel? De impact zal voor zowel de melder als de beschuldigde enorm zijn. Om die redenen wordt er vaak gezwegen. Dan kan de mogelijkheid van een zogenaamde ‘geblokkeerde melding’ uitkomst bieden. Zo’n melding wordt pas gedeblokkeerd en onderzocht als ten minste drie melders grensoverschrijdend gedrag over dezelfde persoon hebben gemeld. De melder weet zich dan gesteund door tenminste twee andere melders. Was er in #metoo zaken telkens de mogelijkheid geweest om zo’n geblokkeerde melding te doen, dan hadden de betrokken organisaties jaren eerder kunnen ingrijpen. Verder gaat van er van deze mogelijkheid een belangrijke preventieve werking uit: drie – in de ogen van de boosdoener ‘niet ernstige’ – incidenten kunnen hem/haar fataal worden. Het interne meldpunt kan zoiets regelen.
Volwaardig intern meldpunt
Het openzetten van een intern meldpunt schept een zware verantwoordelijkheid voor de aanbieders van het systeem en de gebruikers van de informatie. De veiligheid van het melden moet hoogste prioriteit krijgen om het vertrouwen – en daarmee de effectiviteit – van het systeem niet in gevaar te brengen. Een bron waar te gulzig uit wordt gedronken valt droog. Ik adviseer daarom bedrijven om er een volwaardig intern meldpunt van te maken, dat gelijktijdig zorgt voor risicobeheer en reputatiemanagement.
De auteur Evert-Jan Lammers is partner bij EBBEN Partners. Evert-Jan Lammers is tevens bestuurslid van Transparency International (Belgium) en erevoorzitter van het Institute of Fraud Auditors (IFA) Belgium. Hij zal op 22 oktober aanstaande de dagvoorzitter zijn van het Risk & Compliance Congress Belgium dat plaatsvindt in Brussel, venue Le Plaza Brussels, met als thema “Combating Financial Economic Crime.”
Interne meldpunten in België onvermijdelijk
08 januari 2018