0:00
Artikel
accountancy Internal auditing Wwft & Sanctiewetgeving

Wwft auditfunctie bij accountantskantoren: vier verbeterpunten

5 min leestijd

De Wwft verplicht financiële instellingen en trustkantoren tot het hebben van een Wwft auditfunctie, voor zover passend bij de aard en omvang van de instelling (De Bft geeft aan dat dit passend is voor organisaties met meer dan 50 werknemers). Deze auditfunctie controleert de naleving van de Wwft door de organisatie, inclusief de uitoefening van de compliancefunctie in dit kader.

De auditfunctie moet zo onafhankelijk mogelijk ingericht worden. Accountantskantoren weten als geen ander wat dit in de praktijk betekent. Echter, de omvang van de organisatie maakt het zelf onafhankelijk inrichten vaak niet eenvoudig. Ook omdat de compliancefunctie vaak reeds intern is belegd.

 

Het is dan ook begrijpelijk dat (naast kleinere financiële instellingen|) steeds meer accountantskantoren, notarissen en advocaten ervoor kiezen om de auditfunctie uit te besteden. Charco & Dique vervult deze functie voor verschillende accountants-, advocaten en notariskantoren. Op basis van onze ervaringen zien wij vaak de volgende verbeterpunten, die overigens breder dan alleen voor deze kantoren gelden.

De risicoanalyse is beperkt en mist een duidelijke koppeling met het beleid

Het Wwft beleid zou een logisch gevolg moeten zijn van een risicoanalyse. Dat is iets wat de meeste partijen wel weten. Toch is de risicoanalyse vaak beperkt uitgewerkt en ontbreekt een duidelijke koppeling met het beleid.

Maar waar moet u beginnen? Ons advies is om te starten met het bepalen van de ‘typische’ klant voor uw kantoor. Waar komen uw klanten vandaan (welke landen/regio’s), welk type dienstverlening nemen zij af en in welke sectoren zijn zij werkzaam? Op basis van deze analyse kunt u vervolgens bepalen welke Wwft risico’s verbonden zijn aan deze typische klant en hoe deze gemitigeerd (kunnen) worden.

De analyse richt zich daarna op de kenmerken van de ‘niet-typische’ klanten. Op basis hiervan kan namelijk bepaald worden of deze kenmerken een risico verhogend effect hebben en welke maatregelen het kantoor heeft om deze risico’s tot een acceptabel niveau te brengen.

De risicobereidheid is te summier beschreven en wordt primair kwalitatief gedefinieerd

Een goede analyse van de klantportefeuille is het startpunt van het bepalen van de risicobereidheid. Hierbij wordt de klantportefeuille gespecificeerd naar de verschillende risicocategorieën/indicatoren. Door het bespreken van wat de kwalitatief geformuleerde risicobereidheid betekent ten opzichte van het risicoprofiel van de klantportefeuille, wordt deze discussie concreter. Vervolgens kan bijvoorbeeld bepaald worden dat de portefeuille voor niet meer dan x procent uit klanten uit een bepaalde sector mag bestaan.

Bijzonderheden bij de klantacceptatie worden onvoldoende expliciet gedocumenteerd

Een volgend verbeterpunt dat wij regelmatig tegenkomen bij accountantskantoren betreft het proces rondom klantacceptatie. Bijzonderheden die bij de klantacceptatie worden opgemerkt, worden vaak wel impliciet onderkend, maar onvoldoende expliciet gedocumenteerd. Het klantacceptatie formulier is vaak mechanisch ingericht met ‘tick boxes’ en mogelijkheden om korte toelichtingen op te nemen. De opgenomen vragen nodigen niet uit om het risico toe te lichten en met name na te denken over welke maatregelen getroffen kunnen worden om het risico te beperken.

Een voorbeeld: bij de acceptatie van een bepaalde klant wordt een verhoogd risico op witwassen onderkend omdat in de branche veel contant geld omgaat (generieke risicoindicator). Wat vervolgens vaak ontbreekt is een toelichting op de specifieke klantsituatie. Welke maatregelen heeft de klant genomen om dit risico te beperken? Bijvoorbeeld door een pin only beleid te voeren. Of heeft de klant juist bewust geen pinapparaat? Hoe de klant met deze risico’s omgaat is van belang voor de risicoinschatting en -classificatie.

Het beleidskader bevat niet alle wettelijk vereiste aspecten

Het is uiteraard van belang dat het voldoen aan de wettelijke vereisten in het beleidskader aantoonbaar is uitgewerkt. Zo is het vaak niet duidelijk wat er gedaan moet worden bij verscherpt onderzoek en op welke wijze de risicoanalyse actueel moet worden gehouden. Het vergelijken van het eigen beleid met de richtsnoeren van het NBA of SRA is hiervoor een eenvoudige oplossing.

Meer weten?

Onze specialisten beschikken niet alleen over brede ervaring bij financiële instellingen, maar ook over gedetailleerde kennis van de Wwft bij andere type instellingen. Wij helpen u graag om de Wwft auditfunctie op een onafhankelijke manier in te vullen, natuurlijk op een manier die passend is bij de aard en omvang van uw organisatie. Wilt u meer weten over de mogelijkheden? Neem dan geheel vrijblijvend contact met ons op.

Contact