Wwft auditfunctie bij accountantskantoren: vier verbeterpunten 

De Wwft vereist dat financiële instellingen en trustkantoren een Wwft auditfunctie hebben, voor zover passend bij de aard en omvang van de instelling (het Bft geeft aan dat dit passend is voor organisaties met meer dan 50 werknemers). Deze auditfunctie controleert of de organisatie compliance voldoet aan de Wwft, inclusief de uitoefening van de compliance functie in deze context. 

De auditfunctie moet zo onafhankelijk mogelijk ingericht worden. Accountantskantoren weten als geen ander wat dit in de praktijk betekent. Echter, de omvang van de organisatie maakt het zelf onafhankelijk inrichten vaak niet eenvoudig. Ook omdat de compliancefunctie vaak reeds intern is belegd. <br><br>Het is dan ook begrijpelijk dat (naast kleinere financiële instellingen) steeds meer accountantskantoren, notarissen en advocaten ervoor kiezen om de auditfunctie uit te besteden. Projective Group vervult deze functie voor verschillende accountants-, advocaten- en notariskantoren. Op basis van onze ervaringen zien wij vaak de volgende verbeterpunten, die overigens breder dan alleen voor deze kantoren gelden. 

Inhoudsopgave

De risicoanalyse is beperkt en mist een duidelijke koppeling met het beleid 

Het Wwft beleid zou een logisch gevolg moeten zijn van een risicoanalyse. Dat is iets wat de meeste partijen wel weten. Toch is de risicoanalyse vaak beperkt uitgewerkt en ontbreekt een duidelijke koppeling met het beleid. 

Maar waar moet je beginnen? Ons advies is om te beginnen met het definiëren van de 'typische' klant voor uw bedrijf. Waar komen uw klanten vandaan (welke landen/regio's), wat voor soort diensten nemen ze af en in welke sectoren zijn ze actief? Op basis van deze analyse kun je vervolgens bepalen welke Wwft risico's er zijn verbonden aan deze typische klant en hoe deze risico's worden/kan worden beperkt.  

De analyse richt zich vervolgens op de kenmerken van de 'niet-typische' klanten. Aan de hand hiervan kan namelijk worden bepaald of deze kenmerken een risk-verhogend effect hebben en welke maatregelen het bedrijf heeft genomen om deze risico's tot een aanvaardbaar niveau terug te brengen. 

Risicobereidheid wordt summier beschreven en is primair kwalitatief gedefinieerd 

Een goede analyse van de klantportefeuille is het startpunt van het bepalen van de risicobereidheid. Hierbij wordt de klantportefeuille gespecificeerd naar de verschillende risicocategorieën/indicatoren. Door het bespreken van wat de kwalitatief geformuleerde risicobereidheid betekent ten opzichte van het risicoprofiel van de klantportefeuille, wordt deze discussie concreter. Vervolgens kan bijvoorbeeld bepaald worden dat de portefeuille voor niet meer dan x procent uit klanten uit een bepaalde sector mag bestaan. 

Bijzonderheden bij de klantacceptatie worden onvoldoende expliciet gedocumenteerd 

Het volgende verbeterpunt dat we regelmatig tegenkomen bij accountantskantoren betreft het proces rondom klantacceptatie. Specificiteiten die worden opgemerkt tijdens de klantacceptatie worden vaak impliciet onderkend, maar onvoldoende expliciet gedocumenteerd. Het formulier voor cliëntacceptatie is vaak mechanisch opgezet met 'aankruisvakjes' en mogelijkheden om een korte toelichting te geven. De opgenomen vragen nodigen niet uit om de risk uit te leggen en, in het bijzonder, na te gaan welke maatregelen kunnen worden genomen om deze te verminderen. 

Een voorbeeld: bij de acceptatie van een bepaalde klant wordt een verhoogd risico op witwassen onderkend omdat in de branche veel contant geld omgaat (generieke risicoindicator). Wat vervolgens vaak ontbreekt is een toelichting op de specifieke klantsituatie. Welke maatregelen heeft de klant genomen om dit risico te beperken? Bijvoorbeeld door een pin only beleid te voeren. Of heeft de klant juist bewust geen pinapparaat? Hoe de klant met deze risico’s omgaat is van belang voor de risicoinschatting en -classificatie. 

Het beleid framework bevat niet alle wettelijk vereiste aspecten 

Het is uiteraard van belang dat het voldoen aan de wettelijke vereisten in het beleidskader aantoonbaar is uitgewerkt. Zo is het vaak niet duidelijk wat er gedaan moet worden bij verscherpt onderzoek en op welke wijze de risicoanalyse actueel moet worden gehouden. Het vergelijken van het eigen beleid met de richtsnoeren van het NBA of SRA is hiervoor een eenvoudige oplossing. 

Meer weten? 

Onze specialisten hebben niet alleen ruime ervaring bij financiële instellingen, maar ook gedetailleerde kennis van de Wwft bij andere soorten instellingen. Wij helpen je graag om de Wwft auditfunctie op een onafhankelijke manier in te vullen, uiteraard rekening houdend met de aard en omvang van jouw organisatie. Wil je meer weten over de mogelijkheden? Neem dan vrijblijvend contact met ons op.