LEES
Risk & Compliance

Wwft auditfunctie bij accountantskantoren: vier verbeterpunten 

Datum:29 maart 2023

De Wwft verplicht financiële instellingen en trustkantoren tot het hebben van een Wwft auditfunctie, voor zover passend bij de aard en omvang van de instelling (De Bft geeft aan dat dit passend is voor organisaties met meer dan 50 werknemers). Deze auditfunctie controleert de naleving van de Wwft door de organisatie, inclusief de uitoefening van de compliancefunctie in dit kader. 

De auditfunctie moet zo onafhankelijk mogelijk ingericht worden. Accountantskantoren weten als geen ander wat dit in de praktijk betekent. Echter, de omvang van de organisatie maakt het zelf onafhankelijk inrichten vaak niet eenvoudig. Ook omdat de compliancefunctie vaak reeds intern is belegd. <br><br>Het is dan ook begrijpelijk dat (naast kleinere financiële instellingen) steeds meer accountantskantoren, notarissen en advocaten ervoor kiezen om de auditfunctie uit te besteden. Projective Group vervult deze functie voor verschillende accountants-, advocaten- en notariskantoren. Op basis van onze ervaringen zien wij vaak de volgende verbeterpunten, die overigens breder dan alleen voor deze kantoren gelden. 

Inhoudsopgave


De risicoanalyse is beperkt en mist een duidelijke koppeling met het beleid 

Het Wwft beleid zou een logisch gevolg moeten zijn van een risicoanalyse. Dat is iets wat de meeste partijen wel weten. Toch is de risicoanalyse vaak beperkt uitgewerkt en ontbreekt een duidelijke koppeling met het beleid. 

Maar waar moet je beginnen? Ons advies is om te starten met het bepalen van de ‘typische’ klant voor jouw kantoor. Waar komen je klanten vandaan (welke landen/regio’s), welk type dienstverlening nemen zij af en in welke sectoren zijn zij werkzaam? Op basis van deze analyse kun je vervolgens bepalen welke Wwft risico’s verbonden zijn aan deze typische klant en hoe deze gemitigeerd (kunnen) worden.  

De analyse richt zich daarna op de kenmerken van de ‘niet-typische’ klanten. Op basis hiervan kan namelijk bepaald worden of deze kenmerken een risico verhogend effect hebben en welke maatregelen het kantoor heeft om deze risico’s tot een acceptabel niveau te brengen. 

Risicobereidheid wordt summier beschreven en is primair kwalitatief gedefinieerd 

Een goede analyse van de klantportefeuille is het startpunt van het bepalen van de risicobereidheid. Hierbij wordt de klantportefeuille gespecificeerd naar de verschillende risicocategorieën/indicatoren. Door het bespreken van wat de kwalitatief geformuleerde risicobereidheid betekent ten opzichte van het risicoprofiel van de klantportefeuille, wordt deze discussie concreter. Vervolgens kan bijvoorbeeld bepaald worden dat de portefeuille voor niet meer dan x procent uit klanten uit een bepaalde sector mag bestaan. 

Bijzonderheden bij de klantacceptatie worden onvoldoende expliciet gedocumenteerd 

Een volgend verbeterpunt dat wij regelmatig tegenkomen bij accountantskantoren betreft het proces rondom klantacceptatie. Bijzonderheden die bij de klantacceptatie worden opgemerkt, worden vaak wel impliciet onderkend, maar onvoldoende expliciet gedocumenteerd. Het klantacceptatie formulier is vaak mechanisch ingericht met ‘tick boxes’ en mogelijkheden om korte toelichtingen op te nemen. De opgenomen vragen nodigen niet uit om het risico toe te lichten en met name na te denken over welke maatregelen getroffen kunnen worden om het risico te beperken. 

Een voorbeeld: bij de acceptatie van een bepaalde klant wordt een verhoogd risico op witwassen onderkend omdat in de branche veel contant geld omgaat (generieke risicoindicator). Wat vervolgens vaak ontbreekt is een toelichting op de specifieke klantsituatie. Welke maatregelen heeft de klant genomen om dit risico te beperken? Bijvoorbeeld door een pin only beleid te voeren. Of heeft de klant juist bewust geen pinapparaat? Hoe de klant met deze risico’s omgaat is van belang voor de risicoinschatting en -classificatie. 

Het beleid framework bevat niet alle wettelijk vereiste aspecten 

Het is uiteraard van belang dat het voldoen aan de wettelijke vereisten in het beleidskader aantoonbaar is uitgewerkt. Zo is het vaak niet duidelijk wat er gedaan moet worden bij verscherpt onderzoek en op welke wijze de risicoanalyse actueel moet worden gehouden. Het vergelijken van het eigen beleid met de richtsnoeren van het NBA of SRA is hiervoor een eenvoudige oplossing. 

Meer weten? 

Onze specialisten hebben niet alleen ruime ervaring bij financiële instellingen, maar ook gedetailleerde kennis van de Wwft bij andere soorten instellingen. Wij helpen je graag om de Wwft auditfunctie op een onafhankelijke manier in te vullen, uiteraard rekening houdend met de aard en omvang van jouw organisatie. Wil je meer weten over de mogelijkheden? Neem dan vrijblijvend contact met ons op.