Het inperken van anti-corruptie risico’s van organisaties die met derde partijen werken
Hieronder volgt een Nederlandse samenvatting van de Engelse scriptie ‘Anti-corruption risk mitigation for organizations working with third parties. Is out of sight out of mind?‘ van Sujatha Iyer, bestuurslid van Transparency International Nederland en director forensics bij Pricewaterhouse Coopers (PwC). Met deze sciptie rondde Iyer haar postdoctorale master in Compliance & Integriteit Management van de Vrije Universiteit Amsterdam. Zij is de derde student die in de laatste decennium cum laude slaagde. Voor bronnen en volledige tekst wordt u verwezen naar de volledige scriptie.
Veel bedrijven en organisaties staan onder toenemende druk om targets te behalen van hun investeerders en eigenaren, en om hun financiële prestaties te verbeteren. Om te overleven in de complexe en zeer competitieve realiteit van vandaag, moeten bedrijven internationaal zaken doen en mogelijkheden buiten hun landsgrenzen benutten. Meestal gebruiken bedrijven die in opkomende markten opereren ‘gespecialiseerde lokale agenten en tussenpersonen’. Een tussenpersoon is een agent die bemiddelt in het proces tussen koper en verkoper. Soms gebruiken bedrijven tussenpersonen omdat ze dat verkiezen, soms omdat ze geen eigen lokale aanwezigheid hebben in dat land en kennis van de systemen en procedures ontberen, en soms omdat het op grond van lokale regelgeving verplicht is.
Er zijn voordelen aan het gebruik van tussenpersonen. Zij maken het mogelijk dat een bedrijf zonder het opzetten van een kantoor toch voet aan de grond kan krijgen, hebben kennis van lokale gebruiken, regelgeving en de markt. Met name in India en China wordt het gebruik van tussenpersonen gezien als “key ingredient” tot succes. Maar er is ook een keerzijde: “Het gebruik van tussenpersonen is een van de meest gebruikte strategieën om binnen te glippen in de wereld van de grote internationale business transacties.”
De scriptie van Iyer heeft twee doelstellingen: ten eerste, het verzorgen van een theoretisch raamwerk voor organisaties, zodat zij de risico’s kunnen inschatten die tussenpersonen meebrengen, en, ten tweede, om hen een praktische invalshoek te geven om met deze risico’s om te gaan. Haar onderzoeksvraag is: kunnen organisaties de risico’s die hun tussenpersonen meebrengen effectief ondervangen wanneer zij zaken doen? En zo ja, hoe en in welke mate?
Algemeen raamwerk
Sinds de midden-negentiger jaren bieden opkomende economieën grote mogelijkheden tot groei. Volgens een rapport van de Wereld Bank, zullen in 2025 de zes grote opkomende economieën – Brazilië, China, India, Indonesië, Zuid-Korea, en Rusland – samen meer dan de helft van de wereldwijde groei voor hun rekening zullen nemen.
Op operatief niveau, worden organisaties geconfronteerd met een scala aan onbekende omstandigheden en uitdagingen in deze opkomende markten. Daarnaast bestaat de indruk dat veel van deze markten door de jaren last hebben van incidenten op het gebied van fraude, namaak, valsmunterij en corruptie hebben.
Volgens een voorzichtige schatting van de Wereld Bank kost omkoping jaarlijks 1 miljard US Dollars.
Naast de kosten die corruptie-incidenten in opkomende markten met zich meebrengen, bestaat het risico dat bedrijven die hierin verstrengeld raken in toenemende mate kans lopen vervolgd te worden.
Juridisch raamwerk
De huidige regelgeving vereist van organisaties dat zij weten wie namens hen zaken doet. Op bedrijfsniveau zijn er verschillende kaders die bedrijven gebruiken om de risico’s die zij op strategisch en operationeel niveau lopen met tussenpersonen in kaart te brengen en te ondervangen. De belangrijkste vragen daarbij zijn: Wat doet de tussenpersoon in naam van de organisatie? Is deze handeling in strijd met recht of regelgeving (lokaal of internationaal)?
De relevante regelgeving beslaat verschillende gebieden, zoals omgevingsrecht, veiligheid, privacy, data bescherming, informatie bescherming, intellectueel eigendom, mededinging en anti-corruptie. Overtreding van regels uit dit laatste gebied wordt in financiële en juridische zin gezien als het meest risicovol voor een organisatie. Bedrijven die deze regels overtreden hebben kans vervolgd te worden met als gevolg hoge boetes en gevangenisstraf voor de betrokkenen. Veel van de overtredingen die vandaag de dag voorkomen vinden plaats door handelingen van tussenpersonen.
Opvallend is dat de strijd tegen internationale corruptie voornamelijk geleid wordt door individuele landen, in het bijzonder door de Verenigde Staten (FCPA) en het Verenigd Koninkrijk (UK Bribery Act 2010). Andere belangrijke instrumenten zijn de OESO werkgroep met betrekking tot omkoping en anti-corruptie, het VN anti-corruptie verdrag, IACAC en GRECO.
Rode vlaggen
In het algemeen is risico management het identificeren, inschatten en prioriteren van risico’s.
De FCPA leidraad noemt de standaard ‘rode vlaggen’ die in geval van derde partijen kunnen bestaan:
- Excessieve commissies aan externe agenten of consultants;
- Onredelijk hoge kortingen aan externe distributeurs;
- Externe “consulting overeenkomsten” die alleen vaag omschreven activiteiten bevatten;
- De externe consultant is werkzaam op een ander gebied dan waarvoor hij wordt ingehuurd;
- De externe is verwant aan of heeft nauwe banden met een buitenlandse ambtenaar;
- Geruchten over ongepaste betalingen of ander onethische handelingen door het betreffende bedrijf, haar werknemers, agenten, consultants of vertegenwoordigers;
- Ongebruikelijk grote en/of frequente betalingen in cash.
Deze rode vlaggen kunnen kortweg vallen binnen de volgende categorieën: Giften/Gastvrijheid, Betalingsverzoeken (inclusief rentes, kortingen, of bonussen), Reputatie, Recht/Regelgeving en Bedrijfsstructuur, Technische Expertise/Kennis, Betrekkingen met Ambtenaren en Transparantie.
Due Diligence
Tussenpersonen kunnen een bron van mogelijke aansprakelijkheid voor bedrijven zijn, zeker wanneer zij in strijd handelen met anti-corruptie wetgeving. Om zich hiertegen te beschermen, moeten bedrijven (kunnen aantonen dat zij) een diepgaand onderzoek uitgevoerd hebben naar de tussenpersoon voordat zij met hen in zee gaan: due diligence.
De essentie van juridische of financiële due diligence is aangevuld met andere aspecten. Termen als ‘human due diligence’, ‘culturele due diligence’ en ‘integrity due diligence’ worden steeds vaker gebezigd. Integrity due diligence wordt omschreven als “the process of mitigating risk arising from association with a third party who may be or may have been engaged in unethical or illegal practices. The risk may exist as a direct liability by the company through its association, or it may take the form of reputation damage as guilt by association.”
De omvang van due diligence moet toenemen wanneer rode vlaggen worden gesignaleerd. In het proces van integrity due diligence moet zoveel mogelijk informatie over de tussenpersoon verzameld worden voordat de relatie wordt aangegaan, zoals de achtergrond, reputatie, activiteiten, affiliaties etc. Dit proces voorziet de organisatie van belangrijke informatie en/of rode vlaggen.
Om de tussenpersoon te kunnen doorgronden is het belangrijk het land en de markt waarin de tussenpersoon opereert te kennen. In het algemeen kan de Corruption Perception Index van Transparency International worden gebruikt. Ten aanzien van informatie over de tussenpersoon, kan men onderzoek doen naar openbare rapporten en Kamer van Koophandel bescheiden, relaties en achtergrond van leidinggevenden, overheidsrelaties, fouten/faillissement/rechtszaken/onderzoeken uit het verleden, en – in geval aangetroffen rode vlaggen of verhoogd risico – het voeren van gesprekken en gerichter (discreet) zoeken naar inlichtingen.
Due diligence is echter geen lineair proces, maar dynamisch, waarbij de uitkomst van het ene proces weer leidt tot een volgend. Meestal is het een progressief proces: het begint met het verkrijgen van simpele informatie uit bedrijfsrapporten en vervolgonderzoek. Op basis van de verkregen informatie vindt op verschillende onderdelen verder onderzoek plaats.
Bij een onderzoek van Iyer onder compliance en juridische professionals van 25 organisaties, zijn de volgende samengevatte uitkomsten van belang:
- 100% van de organisaties hebben anti-corruptie beleid;
- 82% van dit beleid is van toepassing op tussenpersonen, derden en/of business partners;
- Slechts 52% voert een risico waardering uit met betrekking tot die tussenpersonen;
- 47% voert een soort van screening uit. Het proces en de diepgang van de screening verschilt;
- 23% screenen hun tussenpersonen met verschillende tussenposen (variërend van elk kwartaal tot één keer per 2 à 3 jaar);
Op de vraag wat de grootste zorgpunten zijn, werd samenvattend als volgt geantwoord:
- Omkoping, fraude, witwassen, onethische handelingen door tussenpersonen;
- Waarde toevoeging aan het bedrijf – “business justification of engaging the business partner”;
- Connecties die de tussenpersoon mogelijk heeft, zoals Politically Exposed Persons (PEPs);
- Reputatie van een derde partij;
- Kinderarbeid en ander illegaal gedrag.
Wat de huidige uitdagingen zijn in een due diligence proces met betrekking tot derden, werd onder andere geantwoord:
- Kosten en effectiviteit (2);
- Kwaliteit: updaten gegevens, betekenisvolle resultaten, juiste informatie, lokale input, toepassen veranderende wetgeving (8);
- Intern engagement: interne moeilijkheden wanneer ‘business’ lijdt onder vertragingen of gebrouilleerde relaties (4).
De meeste organisaties maken veelvuldig gebruik van tussenpersonen, waardoor het beheersen van de risico’s veel tijd kost. De professionals op het gebied van compliance en legal zijn zich welbewust van de risico’s, maar binnen de business in het algemeen is dat bewustzijn laag, of is er sprake van een “kop in het zand mentaliteit”.
Het betrekken en managen van tussenpersonen is cruciaal. Het zou in dat kader goed zijn de due diligence met betrekking tot achtergrond en integriteit van de tussenpersonen uit te voeren voorafgaand aan het tewerkstellen. Toch bestaan er twijfels over nut en noodzaak van deze maatregel.
Niks doen is in ieder geval geen optie, terwijl maximale due diligence het doel voorbijschiet. Daarom raadt Iyer een benadering aan die gebaseerd is op risico’s. De diepgang van de due diligence wordt afhankelijk gemaakt van de risico-categorie waarin de tussenpersonen en andere business partners zich bevinden.
Tien geboden voor compliance
Een groot deel van de bedrijven (50%) werkt nog steeds in landen die volgens de CPI van Transparency International zeer risicovol zijn op het gebied van corruptie, zo blijkt uit de Global Crime Survey van PwC. Onafhankelijk van de grootte van bedrijven, melden bedrijven die te maken hebben met omkopings- en corruptieschandalen vaker verliezen groter dan 5 miljoen US dollars.
Iyer presenteert tien geboden om anti-corruptie compliance programma’s op te zetten die specifiek rekening houden met tussenpersonen:
- ‘Tone at the top and the middle’ met een zero tolerance beleid en daad bij het woord voegen;
- Duidelijk geformuleerd anti-corruptie beleid en procedures, van toepassing op alle werknemers op alle niveaus;
- Gebruik van compliance professionals met een ‘license to operate’: een sterke en bevoegde compliance officer die een directe lijn heeft met de accountant en het bestuur;
- Mechanismen om communicatie en (terugkerende) traingingen te verzorgen.
- Systemen om (veilig) schendingen te kunnen melden;
- Een structureel risico waarderingsmechanisme dat rekening houdt met de specifieke risico’s die de organisatie loopt in verschillende landen en sectoren;
- Passend, risico gebaseerde due diligence en (periodiek) toezicht op alle tussenpersonen;
- Anti-omkoping voorzieningen in contracten met alle business partners;
- Financiële en accountancy procedures, inclusief interne controles om onderhoud en juistheid van de administratie te verzekeren;
- Passende disciplinaire procedures voor medewerkers in geval van schendingen.
Due diligence is van groot belang. Op het moment dat een deal bijna rond is, kan een bedrijf wel eens een beslissing nemen waarvan het later spijt heeft. Maar meer in het algemeen is het belangrijk om onderhoud en toezicht te houden. Het moet geen ‘one-time check the box’ exercitie worden. Regels en procedures zijn niet voldoende, noch is controle genoeg. Er zullen altijd grijze gebieden blijven bestaan waarin regels tekortschieten. Een cultuur van compliance, is een cultuur waarin men het goede wil doen, ook wanneer niemand kijkt.
Hieronder kunt u de originele Engelse versie in pdf downloaden.