Wwft-audit Kennissessie
Op 14 maart 2024 heeft de eerste Wwft-audit Kennissessie plaatsgevonden. Henk Kats, Mike Mooij (BFT) en Floris Olling (BFT) hebben deze sessie voor SRA-kantoren die de audit al hebben uitgevoerd begeleid. In dit verslag nemen wij u mee in de belangrijkste ontwikkelingen.
Omdat accountants- en belastingadvieskantoren in de Wwft worden aangemerkt als een instelling, dienen zij de Wwft na te leven. Voor kantoren met meer dan 50 werknemers op jaarbasis houdt dit onder meer in dat zij hierdoor verplicht zijn deze auditfunctie uit te (laten) voeren. Voor kantoren met minder dan 50 werknemers, maar waarbij meer dan 75% van de cliënten een hoog risicoprofiel heeft, geldt dit eveneens.
De samenwerking tussen BFT en SRA
De korte lijnen tussen BFT en SRA hebben veel toegevoegde waarde. Gezamenlijk zijn er een protocol en werkprogramma opgesteld waar veel diepgang in zit. Er is veel behoefte aan een coachende audit en ten opzichte van de eerste audits, ongeveer twee jaar geleden, zien we dat de insteek steeds praktischer wordt. SRA is in de ogen van BFT voldoende onafhankelijk. Er zijn ook andere partijen die audits uitvoeren, maar wel met een ander niveau van diepgang en coaching.
We doen het met elkaar
Mede door de verhoogde aandacht van de toezichthouders speelt de naleving van de Wwft een steeds grotere rol bij accountantskantoren. De coachende tactiek van SRA, met hoor, wederhoor en risicokwalificaties, biedt kantoren handvatten om de naleving van de Wwft naar een hoger plan te tillen.
Bij de naleving van de Wwft is het beleid van het kantoor erg belangrijk. Datzelfde geldt voor de vastlegging. Welke stappen zijn genomen en waarom? Stap niet over risico’s heen en denk goed na over iedere (risico)klant. Het naleven van het risicobeleid is van groot belang en wordt vaak onderschat. Bovendien is het vertrouwen in klanten vaak (te) groot. Een goede communicatie is dus ook van belang.
Om kantoren van nog meer handvatten te voorzien, worden steeds vaker praktijkvoorbeelden gedeeld. Deze zijn onder andere terug te vinden via de websites van FIU Nederland en AFM.
Ervaring SRA
Iedere audit is echt maatwerk! Tijdens de audit komen alle invalshoeken waar het kantoor mee te maken heeft aan bod. Uiteraard zien we verschillen tussen grote en minder grote kantoren. De verschillen zitten onder meer in de capaciteit van compliance en de mogelijkheden om meer structuur in de werkzaamheden aan te brengen.
Voor het rapporteren van de uitkomsten van de audit wordt gebruikgemaakt van een door SRA gehanteerd format, waarin ook de Plan-Do-Check-Act-cyclus (PDCA-cyclus) is opgenomen. Op deze wijze wordt een dynamisch, continu leerproces bevorderd, hetgeen ook past in het beeld van de voortdurende ontwikkelingen waarmee kantoren, afdelingen en medewerkers van doen hebben.
Ook kan deze rapportage gebruikt worden om een gericht actieplan op te stellen en zij kan dienen als uitgangspunt voor de vervolgaudit.
We zien dat alle kantoren het graag goed en pragmatisch willen aanpakken. De uitkomsten worden vaak goed gedocumenteerd. Maar hoe alles is aangepakt, wie er betrokken zijn en welke afwegingen hierbij zijn gemaakt, ontbreekt vaak in de vastlegging.
Ervaring BFT
SRA heeft volgens BFT een mooie invulling aan de Wwft-audit gegeven. BFT ziet nog geen ernstige actiepunten, maar wel onder andere de hieronder genoemde aandachtspunten.
De handboeken en de klokkenluidersregeling zijn vaak nog niet op orde en de Wwft-documentatie bij kantoren is vaak versnipperd. Er is geen inzicht in de Wwft-aandachtsgebieden en het risicobeleid dekt niet alle vereisten. Ook sluiten specifieke werkzaamheden niet altijd aan bij geïdentificeerde risico’s. Compliance kent regelmatig onderbezetting en verricht vaak ook eerstelijns werkzaamheden. Cliëntenonderzoeken zijn onvoldoende onderbouwd, met name bij complexe structuren, en we zien maar beperkte aandacht bij het overnemen van portefeuilles. En hoe een PEP (Politically Exposed Person) wordt achterhaald en welke procedure hierbij van toepassing is, is ook een punt van aandacht.
Er wordt geen zichtbare follow-up gegeven aan openstaande acties. Ook worden veranderende omstandigheden niet en/of onvoldoende erkend en opgevolgd. De toepassing van de PCDA-methodiek ontbreekt, er is veel aandacht voor Check maar minder aandacht voor Do. Ook de opleidingsverplichting behoeft aandacht.
Niet-standaard situaties, met name bij ongebruikelijke transacties, worden onvoldoende herkend. Ook is er vaak geen oorzakenanalyse naar (niet-)meldingen gedaan. De naleving van het meldproces komt dan niet overeen met de opzet ervan. Het is om die reden dus van belang dat niet alleen de uitkomst van het proces, maar ook de weg ernaartoe (inclusief afwegingen en wie) wordt gedocumenteerd.
Denk na over het risico per klant. Is het risico van de klant hoog? Leg vast wat de risico’s zijn en welke maatregelen zijn genomen. Geef een goede duiding in het dossier. Waarom zijn bepaalde keuzes gemaakt? Het proces laten zien, is veel belangrijker dan de uitkomst. Ieder dossier moet van bovenaf worden bekeken om er vervolgens invulling aan te geven.
Wie doet wat? Wie is waarvoor verantwoordelijk? Hoe vullen we de functies in? En bijt dit niet met elkaar? De functies moeten zuiver worden toegepast. Leg vast welke cursussen gevolgd zijn, ook als je een jaar overslaat. En denk goed na over de inhoud van de opleidingen.
Kantoren hebben nog niet voldoende voor ogen welke risico’s ze wel/niet willen lopen. Ook zien we dat integriteit ondergeschikt is aan andere zaken, denk aan mensentekort, kennis etc.
Themaonderzoeken BFT
BFT voert naast gericht toezicht ook verschillende themaonderzoeken uit, zoals onder andere ‘fusies en overnames’. Met dit onderzoek krijgt BFT zicht op de naleving en borging van de Wwft bij een fusie of overname. Hoe gaat u om met over te nemen klanten die een risico zijn? Of met ongebruikelijke transacties van deze klanten? Bij het overnemen van een klantportefeuille loopt u risico’s . Het is dus van belang dit aan de voorkant goed te bedingen en niet alle klanten zomaar te accepteren.
Vanwege een toename in fusies en overnames blijft dit een themaonderzoek in 2024. Naast dit thema lopen de volgende themaonderzoeken in 2024 ook door: auditfunctie, zorginstellingen, offshore, risicobeleid, opleidingsverplichting, screening personeel en Sira. Ook komen er nieuwe themaonderzoeken bij, denk aan Growshops, misbruik rechtspersonen en faillissementfraude.
Nieuwe leidraad Wwft van BFT
Omdat in de leidraad van 2018 veel zaken te algemeen zijn beschreven, wordt de leidraad in 2024 door BFT vervangen. Deze nieuwe leidraad wordt specifiek voor accountants en deze sluit aan bij de algemene Wwft-leidraad. Consultatie moet nog plaatsvinden bij de overheid.
Vervolg audit, hoe nu verder?
Bij het opstellen van het protocol is al gesproken over de vervolgaudit. Het is een intensief traject waarbij in de aanbevelingen uit de eerste audit moeten worden opgepakt. Voordat alles is afgerond en geïmplementeerd zijn we twee/drie jaar verder. Dit is dus een mooie termijn om opnieuw te toetsen. Hoe is de opvolging gegaan? Focus vooral op het implementeren van de aanbevelingen en een goede vastlegging hiervan.
Het mooie aan de rapportage van SRA is de risicokwalificatie. Bij de tweede audit kan hierdoor makkelijk risicogericht worden gekeken wat er is gedaan en welke punten relevant zijn tijdens de tweede audit. Maar wie beslist wat er de tweede audit wordt bekeken? En wie is hiervoor verantwoordelijk? De auditor of de Wwft-verantwoordelijke van het kantoor? Er zal afstemming met de auditor moeten plaatsvinden over het themagericht en meer in detail insteken van de vervolg audit. De thema’s kunnen roulerend plaatsvinden, maar dan is een hogere frequentie dan eens per twee/drie jaar nodig. Wordt er een nieuwe wet aangenomen, dan kan een iets hogere frequentie ook wenselijk zijn.
De Wwft-verantwoordelijke van het kantoor kan aangeven naar welke punten hij/zij graag wil kijken, maar ook de auditor moet aangeven welke punten hij/zij wil toetsen. Het is een samenspel. De auditor is leidend, maar de focus wordt samen bepaald. Wel krijgt alles met een hoog risicokwalificatie altijd een follow-up bij de vervolgaudit.
Er wordt op dit moment gekeken naar een goede invulling van de vervolgaudit. Wetende dat er kantoren zijn die willen weten of de interventies naar wens zijn uitgevoerd, komen we hier zo snel mogelijk op terug.
Ervaring SRA-kantoren
Nu er al diverse audits zijn uitgevoerd, blijkt dat de audit veel tijd kost, zowel in de voorbereiding, tijdens de audit zelf, alsmede voor de rapportage. Hier moet rekening mee worden gehouden. Ook is het wenselijk werkzaamheden te kaderen en vooraf een tijdspad af te stemmen van audit tot definitieve rapportage.
Achteraf gezien, is het door het coachende karakter erg fijn dat de audit stapsgewijs plaatsvindt. Er wordt veel geleerd en de audit inspireert om dingen beter te doen. Wel zou het meer passend zijn als in het rapport naast aanbevelingen ook wordt opgenomen wat goed gaat. Direct een concreet actieplan is eveneens wenselijk. Dit actieplan kan dan door het kantoor bij BFT worden aangeleverd om te laten zien dat er goed aan de aanbevelingen wordt gewerkt.
De behoeften zijn per kantoor verschillend. Het steeds meer delen van praktijkvoorbeelden is een wens. Ook hebben sommige kantoren behoefte aan vaste formats. Doen we wel genoeg of doe we te veel? Een leidraad waaraan ze echt iets hebben, is een goede toegevoegde waarde.
Er kan altijd contact op worden genomen met de auditor om tussentijds te sparren of een casus te bespreken. Het contact tussen BFT en SRA kunnen we meer uitdragen en kantoren stellen prijs op meer kennissessies zoals die van 14 maart.