Finansregulatorisk | CRD6 og EBA/ESMA-høring om egnethetsvurderinger – hva betyr det for norske banker og verdipapirforetak?

Bakgrunn

Bakgrunnen for revisjonen av retningslinjene er endringer bl.a. i CRD artikkel 91 og ny artikkel 91a gjennom CRD6. Finanstilsynet legger normalt EBA og ESMAs retningslinjer til grunn for sin tilsynspraksis, slik at disse endringene også er høyst relevante for norske foretak under tilsyn.

Hvem som er omfattet

Også i dag kreves det egnethetsvurdering av styremedlemmer, faktisk ledelse og personer med nøkkelfunksjoner etter finansforetaksloven. Nøkkelfunksjoner i foretakene vil typisk være risikostyring, internrevisjon og etterlevelse (compliance), men foretak kan selv identifisere andre nøkkelfunksjoner ut fra særtrekk ved egen virksomhet.

I CRD6 defineres uttrykkelig «personer med nøkkelfunksjoner» som personer med betydelig innflytelse over foretakets ledelse uten å sitte i den faktiske ledelsen av foretaket. Finansdirektøren og ledere for interne kontrollfunksjoner nevnes eksplisitt som slike personer med nøkkelfunksjoner. I norske foretak inngår finansdirektøren ofte allerede i foretakets faktiske ledelse slik at disse egnethetsvurderes, men i foretak der organiseringen gjør at finansdirektøren ikke utgjør en del av den faktiske ledelsen vil endringen gi en tydeligere veiledning på at også personer i slike stillinger skal egnethetsvurderes. Definisjonene av en «person i den faktiske ledelsen» og «person med nøkkelfunksjon» er foreslått lovfestet i finansforetaksloven § 8-14 a.

For store foretak (dette omfatter bl.a. de bankene som er utpekt som systemviktige banker) innføres det i tillegg forhåndsvurdering av personer ved utnevnelse til visse roller, se mer om dette nedenfor.

Egnethetskravene – ESG og IKT kommer tydeligere inn

Finansforetaksloven stiller krav blant annet om nødvendige kvalifikasjoner, yrkeserfaring og vandel for styre og ledelse, og CRD6 viderefører kjernekriteriene kompetanse, omdømme/integritet, uavhengighet og tilstrekkelig tid. Det nye i CRD6 artikkel 91 er at kompetanse om bærekraft (ESG) og IKT-risiko nevnes eksplisitt, og i utkastet til de felles retningslinjene presiserer EBA og ESMA at kompetansekravet også omfatter forståelse av IKT-risiko etter DORA-loven, samt forståelse av hvordan KI-teknologier brukes i foretaket og hvilke risikoer dette medfører. I proposisjonen foreslår departementet å samle de overordnede reglene om egnethet og kompetanse i lov, mens de mer konkrete kravene bl.a. om ESG og IKT vil tas inn i finansforetaksforskriften.

CRD6 artikkel 91 nr. 7 presiserer at foretakene skal bruke tilstrekkelig med ressurser på introduksjons- og etterutdanningskurs for styre og ledelse, inkludert om ESG- og IKT-risiko. I utkastet til de felles retningslinjene fastsettes det konkrete frister for gjennomføring av introduksjonsprogram; nye styremedlemmer skal ha fått sentral informasjon om foretaket senest én måned etter tiltredelse, og det fullstendige introduksjonsprogrammet skal være gjennomført innen seks måneder. Dersom det ved egnethetsvurderingen er avdekket mangler i et styremedlems kunnskap eller erfaring, skal det så langt mulig gjennomføres opplæring for å tette disse manglene før personen tiltrer. Om dette ikke er praktisk mulig skal opplæringen gjennomføres så snart som mulig etter tiltredelse, og alle kompetansekrav skal uansett være oppfylt senest ett år etter tiltredelse.

Hvitvaskingsrisiko

CRD6 artikkel 91 pålegger tilsynsmyndigheter å kontrollere om medlemmer av styre eller ledelse fortsatt er egnet dersom det foreligger «rimelig grunn» til mistanke om hvitvasking eller terrorfinansiering knyttet til foretaket.

Kravet om å vurdere risiko for hvitvasking eller terrorfinansiering er ikke ny med CRD6, men i utkastet til de nye felles retningslinjene angir EBA og ESMA en liste over situasjoner som tydeliggjør hva som kan etablere «rimelig grunn» til mistanke om hvitvasking eller terrorfinansiering. Dette inkluderer blant annet: (i) domstolsavgjørelser eller troverdige varslerrapporter som indikerer at hvitvasking eller terrorfinansiering er eller forsøkes begått med foretakets eller ledende personers involvering, (ii) at det er konstatert vesentlige brudd på foretakets etterlevelse av AML/CFT-krav, eller (iii) at et styremedlem eller en person med nøkkelfunksjon er påstått å ha tilrettelagt for eller begått hvitvasking eller terrorfinansiering. Ved vurderingen kan tilsynsmyndigheten bygge på informasjon fra blant annet AML/CFT-tilsynsmyndigheten (i Norge er dette Finanstilsynet), finansielle etterretningsenheter (FIU), strafferegistre, egne tilsynsundersøkelser og pålitelige åpne kilder slik som medieoppslag eller varslingsrapporter.

Dokumentasjon og løpende vurderinger

CRD6 innfører et uttrykkelig krav om at foretaket skal sørge for at styremedlemmer, daglig leder og andre medlemmer av den faktiske ledelse og personer med nøkkelfunksjoner oppfyller egnethetskravene før tiltredelse, og deretter løpende påse at kravene er oppfylt. Et slikt samlet og eksplisitt krav finnes ikke i gjeldende rett.

I utkastet til de felles retningslinjene foreslår EBA og ESMA minimumsintervaller for periodisk (re)vurdering av egnethet. Vurderingen skal gjøres årlig for større foretak og minst hvert annet år for øvrige foretak. En uegnet person skal ikke utnevnes, og skal erstattes dersom vedkommende allerede er utnevnt – unntatt der manglene enkelt kan avhjelpes gjennom opplæring eller andre tiltak. I så fall skal en tiltaksplan meddeles til tilsynsmyndigheten, og alle egnethetskravene skal uansett være fullt oppfylt senest ett år etter tiltredelse.

I proposisjonen mener departementet at foretakenes plikter til løpende å vurdere egnethet og plikten til å iverksette tiltak ved manglende oppfyllelse av egnethetskravene bør fremgå eksplisitt av loven. Det foreslås derfor å ta inn bestemmelser om dette i finansforetaksloven kapittel 8, med hjemmel til å fastsette nærmere detaljregler i forskrift.

Forhåndsmelding for store foretak

Etter finansforetaksloven §§ 8-9 og 8-14 samt finansforetaksforskriften § 3-1, plikter finansforetak i dag å melde fra til Finanstilsynet ved endringer i styre, daglig og andre personer i den faktiske ledelsen samt ved skifte av ledere for nøkkelfunksjoner. Melding om styreendringer sendes normalt etter generalforsamlingsvedtak, og melding om daglig leder og leder for nøkkelfunksjoner skal «så vidt mulig» sendes på forhånd.

CRD6 innfører krav om at store foretak, jf. CRR/CRD-forskriften § 2a, uten ugrunnet opphold og senest 30 arbeidsdager før tiltredelse skal sende melding til tilsynsmyndigheten når det foreligger en «klar hensikt» om å utnevne en ny styreleder eller nye personer i den faktiske ledelsen (inkludert ny daglig leder). Departementet slutter seg til Finanstilsynets forslag om å fastsette direktivets regler om frist for meldinger fra store foretak i forskrift, og foreslår forskriftshjemler i finansforetaksloven kap. 8 som legger til rette for dette.

For andre foretak enn de store foretakene er det ikke et krav etter direktivet at disse skal forhåndsmeldes til tilsynsmyndigheten, heller ikke for styremedlemmer eller for personer med nøkkelfunksjoner i store foretak. Men de skal fremdeles meldes inn. For nye ledere av interne kontrollfunksjoner og finansdirektører angir EBA og ESMA i retningslinjene at disse burde meldes inn senest to uker etter utnevnelsen.

Hva er nytt for norske foretak?

Foretak som allerede er omfattet av Finanstilsynets rundskriv 3/2023 om egnethetsvurderinger vil kjenne igjen de fleste prinsippene i de oppdaterte reglene og retningslinjene. De viktigste endringene er likevel:

• ESG, IKT-risiko og KI: Disse inkluderes eksplisitt som en del av egnethetskravene og opplæringsplikten, med konkrete frister for å tette eventuelle kunnskapshull.
• Finansdirektøren og ledere av interne kontrollfunksjoner: Personer i disse rollene skal nå alltid egnethetsvurderes uansett om de inngår i daglig eller faktisk ledelse eller ikke.
• Hvitvaskingsrisiko: Det blir tydeligere hva som skal utgjøre «rimelig grunn».
• Forhåndsmelding ved utnevnelse av styreleder eller medlemmer av faktisk ledelse i store foretak: Melding skal sendes uten ugrunnet opphold når det foreligger klar hensikt om å utnevne, og senest 30 arbeidsdager før tiltredelse.

Flere av detaljreglene om egnethetsvurderinger i CRD6 er av departementet foreslått gjennomført i forskrift, og en viktig brikke gjenstår derfor før man ser den norske direktivgjennomføringen i sin helhet. Likevel gir proposisjonen sammen med EBA og ESMAs forslag til endringer i de feles retningslinjene nyttige avklaringer som gir foretakene mulighet til å se hvor i de interne retningslinjene det vil være behov for justeringer.