Sla menu over
Kwaliteit die verbindt

De Wwft-auditfunctie – hoe vul je die goed in?

Interview met Frouwke Scholtens, senior toezichthouder bij BFT

De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) verplicht accountants, afhankelijk van de aard en omvang van het kantoor, om een onafhankelijke auditfunctie te hebben. Wat betekent deze verplichting in de praktijk? Hoe gaat Bureau Financieel Toezicht (BFT) in deze te werk? En welke ondersteuning biedt SRA?

Frouwke Scholtens

In 2018 is de Wwft behoorlijk op de schop gegaan. Een van de onderdelen die toen zijn toegevoegd, is artikel 2d. Hierin staat dat instellingen zowel een onafhankelijke en effectieve compliance-functie als een onafhankelijke auditfunctie moeten hebben. De compliance-functie verzorgt de controle op de naleving van de wettelijke en de interne regels door de instelling. De auditfunctie controleert op haar beurt onder meer de uitoefening van deze compliance-functie.

“Het idee hierachter is dat een goed risicobeleid en een goede risicobeoordeling van groot belang zijn voor de naleving van de Wwft”, verduidelijkt Frouwke Scholtens, senior toezichthouder Wwft bij BFT.

'Omvang' en 'aard'

Accountants- en belastingadvieskantoren worden in de Wwft aangemerkt als een instelling en dus moeten zij aan deze wet voldoen. Artikel 2d geldt voor alle instellingen die onder de Wwft vallen, voor zover dit evenredig is aan de aard en de omvang van de instelling. Dit is een behoorlijk ruime definitie, maar de toezichthouders op naleving van de Wwft, waaronder BFT, hebben deze samen nader ingevuld. Voor wat betreft ‘omvang’ geldt dat de compliance- en auditfunctie in ieder geval verplicht zijn voor kantoren met een totaal aantal werknemers van vijftig of meer op jaarbasis. Soms kan de verplichting echter ook gelden voor kantoren met minder dan vijftig werknemers, als de ‘aard’ van het kantoor daar aanleiding toe geeft.

"Voor de aard van het kantoor hebben we aansluiting gezocht bij het aantal cliënten met een hoog risicoprofiel", vervolgt Scholtens. "Als uit je risicobeleid blijkt dat je als kantoor voor meer dan 75 procent van je cliënten een verscherpt cliëntenonderzoek moet doen, dan moet je hoe dan ook een onafhankelijke compliance- en auditfunctie hebben, ook al telt je kantoor bijvoorbeeld slechts drie werknemers. De veronderstelling is dat er bij grotere kantoren of kantoren met complexere cliënten of transacties meer Wwft-risico’s zijn. Dus moeten er meer maatregelen worden genomen om deze risico’s te mitigeren."

Onafhankelijk (SRA helpt)

De crux van artikel 2d van de Wwft zit hem niet alleen in de begrippen ‘omvang’ en ‘aard’, maar ook in het woord ‘onafhankelijk’. Dit betekent niet dat accountantskantoren de auditfunctie per definitie moeten uitbesteden, benadrukt Scholtens. “Je mag de functie ook intern beleggen, mits je dan kunt waarborgen dat het een onafhankelijke functie is.” Er mag geen sprake zijn van zelfcontrole, oftewel: de personen die de auditfunctie uitoefenen, mogen in beginsel niet betrokken zijn bij de activiteiten waarop de audit wordt uitgevoerd. “Ook moet de functie zijn belegd op een plek in de organisatie met voldoende kennis en middelen. Dit alles sluit goed aan bij het Three Lines of Defence-model, dat ook een leidraad kan zijn voor de invulling van de audit- en compliance-functie.”

In de praktijk kan het lastig zijn om handen en voeten te geven aan de gewenste functiescheiding. Daarom helpt SRA kantoren bij de invulling van de Wwft-auditfunctie. SRA heeft samen met BFT een protocol en een werkprogramma ontwikkeld, op basis waarvan onafhankelijke auditors van SRA de auditfunctie bij kantoren uitvoeren. Na afloop rapporteren ze niet alleen eventuele tekortkomingen, maar ook (de risicokwalificatie van) aanbevelingen of andere aspecten die voor het kantoor relevant kunnen zijn. Scholtens: “Als je als kantoor de auditfunctie uitbesteedt, doe dit dan bij een organisatie die past bij jouw risicoprofiel en klantenportefeuille. Over het algemeen blijkt dat kleinere kantoren worstelen met de invulling van de auditfunctie. Het inschakelen van een externe partij zoals SRA kan dan een goede oplossing zijn.”

Handhaving

In de Wwft staan sancties geformuleerd voor als een kantoor de audit- en compliance-functie niet of onvoldoende heeft ingericht. In dat geval kan er een last onder dwangsom of een bestuurlijke boete worden opgelegd. BFT heeft na onderzoek weliswaar tekortkomingen geconstateerd, maar nog niet handhavend opgetreden, aldus Scholtens. “We hebben in 2022 bij ruim twintig kantoren met meer dan 100 fte, niet alleen accountants maar ook notarissen en belastingadviseurs, een deelonderzoek gedaan naar de manier waarop zij invulling geven aan de auditfunctie. Alle aangeschreven accountantskantoren hadden weliswaar een auditfunctie, maar die voldeed niet altijd. Kort gezegd is er nog wel wat werk aan de winkel.”

"We hebben als toezichthouder bij deze uitvraag bewust gekozen voor een hersteltermijn in plaats van handhaving. Bij sommige kantoren voldoet de invulling al bijna en geven we aan op welke punten ze nog moeten letten. Andere hebben een meerjarige cyclus. Daar blijven we monitoren totdat alle stappen een keer zijn doorlopen. Uiteindelijk hebben de kantoren baat bij onze adviezen en is sanctioneren niet per se de beste oplossing. Je kunt zeggen: je krijgt een boete voor je tekortkomingen en daarmee klaar. Maar je kunt kantoren ook voorlichten, aandachtspunten en herstelmogelijkheden geven en dan opnieuw beoordelen. Dat draagt bij aan betere naleving van de Wwft."

Aandachtspunten

BFT gaat ook dit jaar een deelonderzoek uitzetten naar de invulling van de auditfunctie, dit keer bij wat minder grote kantoren. De aandachtspunten daarbij zijn niet specifiek voor accountants, maar gelden in het algemeen. "In ieder geval moet de auditfunctie onafhankelijk zijn. De auditors moeten daarnaast voldoende deskundig zijn en de autoriteit en de middelen hebben om hun werk goed te kunnen doen. Ook gaan we na of de intensiteit is afgestemd op het risicoprofiel. Een kantoor met veel risicovolle cliënten en transacties zal meer moeten doen aan de invulling van de auditfunctie dan een organisatie die vooral kleinere cliënten heeft in het mkb-segment, hoewel uiteraard ook daarin risico’s kunnen zitten."
Belangrijk voor BFT is ook wat een kantoor doet met gesignaleerde tekortkomingen, onderstreept Scholtens. "Worden tekortkomingen op het juiste niveau gerapporteerd en ook weer opgepakt in een volgende cyclus? Met andere woorden: is er voldoende herstel?"

Samenwerking

Al deze aandachtspunten komen uiteraard terug in het werkprogramma en het protocol dat SRA en BFT hebben opgesteld. Scholtens: "BFT en SRA werken al lang en naar ieders tevredenheid samen en het is goed om het ook gezamenlijk te hebben over dit soort nieuwe ontwikkelingen. We hebben het werkprogramma voor de invulling van de auditfunctie met elkaar afgestemd, zodat we daar achteraf geen discussie over krijgen. In de aanpak die er nu ligt is in elk geval de onafhankelijkheid verzekerd, maar ook de diepgang en periodiciteit van de audit."

BFT ontvangt geen uitkomsten of detailinformatie van de auditfunctie die de onafhankelijke auditors van SRA bij kantoren uitvoeren, benadrukt Scholtens. "Ik kan me wel voorstellen dat SRA problemen of signalen die vaker uit de audits naar boven komen met ons bespreekt, uiteraard zonder namen en rugnummers. Op die manier kunnen we elkaar en ook de kantoren verder helpen."

Onafhankelijke audit door SRA
Heeft u interesse in een Wwft-audit door onafhankelijke auditors van SRA? Meld u dan aan voor een online intakegesprek. Pas daarna volgt een definitieve aanmelding. Vragen over de Wwft-audit kunt u mailen naar Iris de Deugd, via wwftaudit@sra.nl.