Third party due diligence: de laatste stappen

Lotte RooijendijkExtern nieuws, Feature, Integriteit, Nieuws

Amsterdam, 11 oktober 2016 – Graag delen wij een artikel uit de Compliance Officer, nummer 23, september 2016, over de laatste stappen van third party due diligence van Geert Vermeulen, zelfstandig adviseur en docent op het gebied van compliance en integriteit met zijn bedrijf Ethics & Compliance Management & Consulting (ECMC). Dit artikel behandelt de besluitvormingsprocedure, het aangaan of beëindigen van een relatie, de contractuele fase en het monitoren van de relatie.

Third party due diligence

Ruim een jaar geleden begon ik een serie artikelen over corruptiebestrijding en third party due diligence met de ontwikkelingen bij de FIFA, de wereldvoetbalbond. Inmiddels heeft de FIFA een nieuwe president, Gianni Infantino. Volgens de oude FIFA voorzitter Sepp Blatter is hij “een waardig opvolger”. “De nieuwe voorzitter heeft alle kwaliteiten om mijn werk voor te zetten en de FIFA weer stabiel te maken”, aldus Blatter over zijn opvolger. Of dat nu tot aanbeveling strekt is een andere vraag. Daar kom ik aan het einde nog op terug.

Met betrekking tot third party due diligence hebben we in de voorgaande artikelen de identificatie van derde partijen, het verzamelen van derde partijen, het bepalen van het risico, het onderzoeken van de relatie en het adresseren van risico’s en waarschuwingssignalen behandeld. In deze aflevering behandel ik: de besluitvormingsprocedure, het aangaan of beëindigen van een relatie, de contractuele fase en het monitoren van de relatie. Vanwege het thema van deze DCO zal ik ook enkele woorden besteden aan klokkenluiders.

De besluitvormingsprocedure

Nadat de derde partij en de relatie onderzocht zijn, moet er een besluit genomen worden over het al dan niet aangaan of continueren van de relatie. Dat dit nog niet zo gemakkelijk is moge blijken uit de Unaoil-case, zoals in de vorige DCO beschreven.

Het kan helpen om als organisatie een beleid op te stellen op dit vlak. Naar aanleiding van misstanden uit het verleden besloot Alcatel bijvoorbeeld om geen zaken meer te doen via agenten en consultants. Aon besloot om in hoogrisicolanden geen zaken meer te doen via derde partijen. Het is wel mijn ervaring dat het verstandig is om een mogelijkheid in te bouwen om een uitzondering op het beleid te kunnen maken. Dit om te voorkomen dat een relatie verboden wordt die, als je er eens goed over nadenkt, helemaal niet zo veel risico’s met zich meebrengt.

Het is ook mogelijk om een beleid door te voeren dat voorschrijft dat er diepgaander onderzoek gedaan moet worden naarmate het risico groter is. Bijvoorbeeld dat er altijd een diepgaand rapport van een due diligencefirma moet komen bij een relatie in een hoogrisicoland. Aangezien die rapporten geld kosten zal er dan sowieso niet zomaar een dergelijke relatie worden aangegaan. Of dat een derde partij die een hoger risico vertegenwoordigt, door een hoger niveau management en/of een hoger niveau compliance officer beoordeeld moet worden.

Aan de andere kant van het spectrum kun je ook enkele hoofdprincipes vaststellen en de diepte van het due diligence-onderzoek geheel overlaten aan het inzicht van de onderzoeker. Dan dient deze onderzoeker wel over de nodige kennis en ervaring te beschikken.

In veel organisaties wordt gewerkt volgens het ‘three lines of defense’-principe. In dat geval is het logisch dat compliance een advies uitbrengt en dat het management vervolgens een besluit neemt. Andere verschijningsvormen zijn ook mogelijk. Bij een van de bedrijven waarvoor ik heb gewerkt, werd het besluit genomen door een werkgroep waarin legal, compliance, finance en het business management vertegenwoordigd waren. Elk van de deelnemers beschikte over een veto-recht. Een externe advocaat en internal audit functioneerden als toehoorders. De Amerikaanse autoriteiten waren in dit geval enthousiast over het feit dat relatief neutrale, onafhankelijke functies meebesloten in deze materie en dat het business management niet in staat was om het gebruik van bepaalde derde partijen ‘door te drukken’. Een dergelijk model staat natuurlijk wel op gespannen voet met het ‘three lines of defense’-principe.

Om de risico’s te beperken, kan besloten worden om bepaalde condities te verbinden aan het aangaan of continueren van de relatie. Zie ook het artikel in de vorige DCO.

Aangaan of beëindigen van een relatie

Zodra het besluit is genomen, kan de relatie al dan niet van start gaan. Hierover wordt de derde partij dan bericht. Voor nieuwe relaties is het verstandig om tijdig duidelijk te maken dat het al dan niet doorgaan van de relatie afhankelijk is van de uitkomst van een due diligenceproces.

Bij bestaande relaties kan het introduceren van nieuwe voorwaarden een moeizaam proces zijn. Nieuwe voorwaarden kunnen door de andere zijde opgevat worden als een blijk van wantrouwen. Het vereist de nodige stuurmanskunst en diplomatieke vaardigheden om dit soepel te laten verlopen.

Het beëindigen van een bestaande relatie is uiteraard nog pijnlijker. Ook hier geldt dat daarbij alle omstandigheden in aanmerking moeten worden genomen. Wat als het bestaande contract geen mogelijkheid kent om de relatie tussentijds te beëindigen, terwijl het bedrijf er zo snel mogelijk vanaf wil? In uiterste instantie moet hier de afweging gemaakt worden wat het zwaarste weegt: de kans op veroordeling vanwege corruptie of de kans op veroordeling vanwege het schenden van een contract. Ik ken organisaties die de keuze hebben gemaakt om aangegane contracten toch maar te verbreken en de juridische consequenties daarvan dan maar te slikken, omdat het risico van een veroordeling wegens corruptie groter was. En mocht een lokale rechter besluiten dat het contract in stand moet worden gehouden, dan kan het bedrijf dit later toch moeilijk kwalijk worden genomen. Welk besluit ook wordt genomen, de kans op reputatieverlies zal groot zijn. Des te belangrijker is het om het eventuele beëindigen van relaties vooraf goed te regelen.

De contractuele fase

Uit het voorgaande blijkt dat het belangrijk is om een clausule op te nemen die tussentijdse beëindiging mogelijk maakt, de zogenaamde ‘termination rights’. De andere partij zal hier niet altijd even gemakkelijk mee instemmen. Immers, wat is de waarde van een contract als een van de contractpartners deze elk moment kan verbreken? Het is dan ook zaak om de voorwaarden voor het verbreken van het contract goed te omschrijven. Kan het contract verbroken worden indien de derde partij onderwerp wordt van een onderzoek door de autoriteiten? Of al op basis van vermoedens van onoorbare praktijken?

Een ander onderwerp wat contractueel afgestemd moet worden, zijn de zogenaamde ‘audit rights’. Je kan het recht opeisen om een audit uit te voeren en/of de boekhouding van de derde partij te mogen inzien. Ook dit is een precair onderwerp. Immers, niet elke derde partij zal een audit toe willen staan. Soms is een derde partij ook een concurrent of doet zij ook zaken met jouw concurrenten. In dat geval zal de bereidheid om de boekhouding voor je open te stellen gering zijn. Dit kan opgelost worden door de scope van de audit te beperken, bijvoorbeeld tot betalingen die verricht zijn in het kader van de samenwerking met jouw bedrijf, of door de audit uit te laten voeren door een onafhankelijke derde, die alleen op hoofdlijnen rapporteert.

Sommigen hangen de theorie aan dat, indien je auditrechten opneemt in je contracten, je daarmee ook de plicht op je neemt om daadwerkelijk audits uit te voeren. Immers, mocht er ooit een incident plaatsvinden, dan zullen de autoriteiten vragen hoe vaak je gebruik gemaakt hebt van je auditrechten, wie je geaudit hebt, waarom je juist die partijen geaudit hebt en wat de uitkomst van die audits waren. Als je auditrechten opneemt, maar nooit een audit uitvoert, dan kun je ervan beschuldigd worden dat je bewust de andere kant op hebt gekeken om eventuele misstanden maar niet op het spoor te komen. Sommige organisaties proberen dit op te lossen door een zogenaamd ‘triggering event’ op te nemen in hun auditclausules, bijvoorbeeld door te stellen dat zij een audit mogen uitvoeren indien er een concreet vermoeden is van een misstand.

Het is de vraag of de autoriteiten hier genoegen mee nemen; hier is bij mijn weten nog geen jurisprudentie over. Het ligt nogal voor de hand om in de clausules ook een verbod op omkoping op te nemen. Aan de ene kant is het raar om dat niet te doen. Aan de andere kant is het ook iets waar je maar weinig comfort aan kunt ontlenen. Ik heb weleens een advocaat horen betogen dat een derde partij niet zal omkopen, omdat dit is vastgelegd in het contract. Die vlieger gaat mijns inziens niet op. Immers, een partij die toch al corrupt is heeft vaak geen enkele moeite om anti-corruptieclausules te ondertekenen; ze belazeren de boel toch al. In mijn praktijk was ik in sommige gevallen juist blij als de derde partij tegengas begon te geven op de anti-corruptieclausules. Dan wist ik tenminste zeker dat ze de clausules serieus gelezen hadden.

Uiteraard luistert het ook nauw hoe je corruptie omschrijft in het contract en of je daarbij bijvoorbeeld verwijst naar de Amerikaanse, de Britse, de Nederlandse, de lokale of de van toepassing zijnde wet. Of naar allemaal. Het is met name belangrijk om goed na te denken of je zogenaamde ‘facilitation payments’ of ‘facilitating payments’ expliciet wilt verbieden of niet. En of dit alleen geldt voor de derde partij of ook voor de onderaannemers van deze partij. Op deze plaats ga ik niet verder in op dit onderwerp; over deze materie kan een heel artikel geschreven worden.

Indien besloten is dat er alleen onder bepaalde voorwaarden zaken gedaan mogen worden met deze partij, dan is het verstandig om dit ook in het contract te verwerken. Je kan daarbij denken aan de verplichting om een anti-corruptietraining te volgen of aan een verbod op het doen van zaken met overheden en staatsbedrijven. Of aan een beperking van het aantal landen waarin samengewerkt wordt met deze derde partij.

Hoewel veel bedrijven gebruik maken van standaard anti-corruptieclausules, is het de moeite waard om toch even te kijken naar wie je deze nu toestuurt en hoe deze daar ontvangen gaan worden. Zo heb ik in het verleden eens de voorpagina van een Duitse zakenkrant gehaald, omdat we blijkbaar als onderaannemer op hoge toon auditrechten hadden opgevraagd bij de grootste Duitse industriële concerns, zoals Mercedes, Daimler, ThyssenKrupp, Siemens, etcetera. Soms zul je de clausules moeten vertalen naar de lokale taal. En in sommige gevallen heeft ook dat geen zin. Een Afghaanse truckchauffeur is bereid om een handtekening te zetten onder elk contract, als het betekent dat hij daardoor die avond te eten heeft. Vooral als hij toch al niet kan lezen.

Het monitoren van de relatie

Indien het besluit wordt genomen om een relatie aan te gaan of te continueren, is het verstandig om ook meteen te bepalen wanneer deze relatie opnieuw bekeken moet worden.

Dat is nog niet zo gemakkelijk. Sommige relaties zien er vijf jaar later nog steeds hetzelfde uit. Andere blijken in de loop der tijd sterk veranderd te zijn. Het is mogelijk dat een relatie begint met een paar duizend euro aan verwachte inkomsten, waar na drie jaar blijkt dat dit zich heeft ontwikkeld tot een miljoenenbusiness. Als je er dan weer naar kijkt, is het mogelijk dat je een heel andere afweging maakt. Vooral met nieuwe relaties zou je daarom niet te lang moeten wachten om ze opnieuw te bekijken. Je kan ze bijvoorbeeld voor een jaar goedkeuren. Ik heb ook weleens meegemaakt dat ik een relatie elk kwartaal opnieuw wilde beoordelen vanwege het hoogrisicoprofiel van de relatie. Daarnaast zou je een systeem kunnen ontwikkelen dat een signaal afgeeft zodra een relatie bijvoorbeeld verdubbelt in omvang.

Het is sowieso verstandig om op de een of andere manier een koppeling aan te brengen met je financiële systeem om te voorkomen dat derde partijen, die niet goedgekeurd zijn, toch betaald worden. Ook dit is gemakkelijker gezegd dan gedaan. Sommige bedrijven maken een koppeling met de contractadministratie. Zolang een relatie niet goedgekeurd is, mag er geen contract worden afgesloten. En zolang er geen contract is, wordt er niet betaald.

Daarnaast is het mogelijk dat een derde partij of een van haar bestuursleden alsnog slecht in de publiciteit komt of vervolgd wordt. Hoe kun je dat in de gaten houden? Gelukkig zijn er steeds meer due diligence providers die hier een geautomatiseerde oplossing voor aanbieden. Honderd procent waterdicht is die echter zelden. Het is dan ook zaak dat je een vinger aan de pols houdt bij actuele ontwikkelingen. En ook dat je medewerkers instrueert om je een seintje te geven indien er iets bijzonders aan de hand is of indien een relatie zich op een andere manier ontwikkelt dan vooraf geanticipeerd.

Klokkenluiders

Aangezien klokkenluiden het thema is van deze DCO, kan ik het niet nalaten om enkele woorden aan klokkenluiders te wijden. Een groot aantal corruptiezaken is aan het licht gekomen door klokkenluiders. Denk bijvoorbeeld aan de Unaoil-case uit de vorige DCO, waarbij (vermoedelijk) een medewerker interne bestanden heeft overhandigd aan een journalist. Maar ook de corruptiezaken van Deutsche Telekom, SBM Offshore en het Maleisische 1MDB-schandaal kwamen aan het licht door klokkenluiders, al dan niet intern. En wat te denken van de Panama Papers? Ook in het kader van corruptiebestrijding is het belangrijk om een goede klokkenluidersregeling te hebben, die medewerkers aanmoedigt om bij enige verdenking intern een melding te maken. De melding kan dan in relatieve rust onderzocht worden, waarna er zo nodig corrigerende en preventieve maatregelen genomen kunnen worden. Het is doorgaans niet in het belang van het bedrijf dat de klokkenluider zich wendt tot de pers of de autoriteiten. Daarom is het verstandig om medewerkers te stimuleren om hun bedenkingen eerst intern aan te kaarten en om vervolgens elke melding serieus te onderzoeken en te adresseren.

FIFA-­verhaal voorlopig nog niet ten einde

En hoe gaat het ondertussen met het onderzoek naar de FIFA? Het Amerikaanse Openbaar Ministerie heeft nu tweeënveertig verdachten aangeklaagd. Daarvan hebben er al zestien schuld bekend. In de meeste gevallen gaat het dan om afpersing, witwassen en misbruik van het financiële systeem. Naar nu wordt verwacht, zal de rechtszaak tegen de eerste acht verdachten die niet hebben bekend in het najaar van 2017 van start gaan.

Het blijven interessante tijden. Kort na het aantreden van de nieuwe FIFA-­voorzitter Infantino keurde het FIFA­-congres een statutenwijziging goed, die overigens vooraf niet eens was aangekondigd, die inhoudt dat leden van de onafhankelijke controlecommissies voortaan door het congres ontslagen kunnen worden. Daarmee wordt de facto de onafhankelijkheid van deze commissies beëindigd. Dit vormde aanleiding voor Domenico Scala, het hoofd audit en compliance van de FIFA, om direct na het congres af te treden.

Naar het schijnt heeft Infantino ook al opdracht gegeven om geluidsopnames van vergaderingen te vernietigen. En hij heeft al een onderzoek van de ethische commissie van de FIFA aan zijn broek gehad. Het ging hier om reizen van Infantino in privéjets naar Rusland en Qatar. Ook is gekeken naar mogelijke voorkeursbehandelingen bij het aannemen van personeel. De commissie is echter tot het oordeel gekomen dat Infantino niet gehandeld heeft in strijd met de code.