Door Sj. (Sjoerd) Vredenberg
Ze hadden al een poortwachtersfunctie, een van de taken van de accountant op grond van de Wet ter voorkoming van witwassen en terrorismefinanciering (Wwft). Zoals dat ook geldt voor andere belangrijke toegangswegen tot het geldverkeer: vermogensbeheerders, kredietverstrekkers , trustkantoren, notarissen en advocaten. En natuurlijk, de banken als belangrijkste hoofdader. In het kader van haar toezicht op het juist vervullen van die rol door financiële instellingen, beoordeelt De Nederlandsche Bank (DNB) al jaren de uitvoering van integriteitsrisicoanalyses door deze instellingen…
Nu gaat ook de Autoriteit Financiële Markten (AFM) samen met het Bureau Financieel Toezicht (BFT) onderzoek doen naar (toezien op) het juist uitvoeren van integriteitsrisicoanalyses door accountants volgens de ‘Good practices’ SIRA.
SIRA
In 2014 onderzocht DNB 170 financiële instellingen. Dat onderzoek leverde het beeld op dat 80% van die instellingen toen niet voldeed aan het beschikken over gedegen integriteitsrisicoanalyses. Het leidde ertoe dat DNB in 2015 onder de titel ‘Good practices voor Integriteitsrisicoanalyse’ als richtlijn de Systematische IntegriteitsRisicoAnalyse publiceerde. Daarmee was het begrip SIRA geboren.
Drostebox
Ook voor het accountantskantoor staat, bij het uitvoeren van haar integriteitsrisicoanalyse, het gevaar van aantasting van haar reputatie of de bedreiging van haar vermogen/resultaat door ontoereikende naleving van wet- en regelgeving centraal.
Een oorzaak zou het niet volgens wet- en regelgeving vaststellen van de integriteit van haar klanten kunnen zijn, de poortwachtersfunctie.
Daarmee is het door het accountantskantoor extern vaststellen van de integere bedrijfsvoering van haar opdrachtgever (klant) onderdeel van haar eigen interne integere bedrijfsvoering. Een repeterend mechanisme als onderdeel van het vorige. Met de vroegere cacaobus van Droste als metafoor.
De SIRA is noch een uitsluitend naar binnen gekeerde, noch een uitsluitend extern gerichte analyse. Eén meetlat voor de beoordeling van haar eigen integriteit en die van haar klanten.
Integriteit in (al) haar facetten
De SIRA in haar huidige vorm kwam een kleine tien jaar geleden voort uit de uitbreiding van het klantintegriteit-denken dat DNB al lang hoog in haar vaandel had staan. Inmiddels is Know your Customer (KYC) het jargon om in gemeenschappelijke taal over dat deel van integriteit te praten.
Maar integriteit van organisaties, en dus ook de integriteit van accountants, gaat inmiddels over veel meer dan alleen ‘zakendoen met integere klanten’. En daarmee over veel meer dan alleen KYC. Het gaat ook over het bieden van integere producten en diensten met integere medewerkers en samenwerkingspartners. En over integere processen die niet voor fraude, ondermijning en corruptie gevoelig zijn. Of over de wijze waarop je omgaat met persoonsgegevens. Met de jongste ontwikkelingen lijkt het domein van integriteit zich bovendien uit te breiden met ethische normen die gesteld worden aan omgangsvormen, sociale aspecten, duurzaamheid, klimaat en milieu.
SIRA gaat over meer dan ‘alleen’ KYC. Ook aan o.a. medewerkers, processen, systemen, gegevens, samenwerking, communicatie en meer ethische aspecten worden eisen van integriteit gesteld.
Integriteitdenken en -doen
Dat de ‘A’ uit SIRA als laatste letter die van ‘Analyse’ is, is eigenlijk wel jammer… Het gevaar dat uitvoeren van de analyse, hoe systematisch en gedegen uitgevoerd ook, het eindstation wordt ligt op de loer. Uit het verkregen inzicht uit de analyse zou het bedenken, inrichten en uitvoeren van werkbaar beleid van beheersing moeten volgen. Als dat met monitoring en bijsturing resulteert in aantoonbaarheid van integere bedrijfsvoering laat een terugkerende analyse een verbeterd beeld zien.
Ook uit het toezicht door DNB bij banken hebben we onmiskenbaar geleerd dat alleen het ontwikkelen van normenkaders en frameworks (opnieuw: hoe belangrijk ook) niet genoeg is.
SIRA begint bij bewustwording dat de uitkomst van de analyse niet het vastgestelde integriteitbeleid is, maar (de aantoonbaarheid van) de naleving ervan.
Van buiten naar binnen
Integer handelen begint voor elk accountantskantoor met het analyseren en definiëren van het risicoprofiel van het kantoor: hoe ziet de huidige en gewenste klant- en opdrachtportefeuille eruit? Welke diensten levert zij? Hoe ziet de personeelsopbouw eruit? Wie zijn toeleverende partijen? Hoe is toezicht ingericht?
Van het spectrum van wet- en regelgeving dat voor de accountant van toepassing is wordt bepaald wat de consequenties voor het kantoor zijn bij haar vastgestelde risicoprofiel.
Deze heel belangrijke analyse wordt vertaald in de inventarisatie van de door het kantoor gelopen integriteitsrisico’s. Deze worden vastgelegd aan de hand van ‘scenario’s’ (concreet beschreven met de voor het kantoor geldende omstandigheden) en gewogen (kans van optreden en gevolgen).
Het kennen van het risicoprofiel van het eigen accountantskantoor en weten welke wet- en regelgeving in welke mate van toepassing is, bepalen de integriteitsrisico’s die voor het kantoor bestaan.
Van elk beschreven integriteitsrisico worden concrete en werkbare acties en mechanismen bedacht en vastgelegd die het risico verkleinen. Zoveel als door het kantoor gewenst (risicobereidheid). Daarbij is een gezonde balans tussen signalerende, voorkómende, reducerende en corrigerende maatregelen belangrijk.
Vastgelegde risico’s vormen samen met concreet beschreven beheersing het Integriteit Normenkader.
Aantoonbaarheid
Stond de ‘A’ uit SIRA als laatste letter maar voor ‘Aantoonbaarheid’… Want daar zit de echte waarde van de aanpak. Dat verlangt de toezichthouder. Maar veel belangrijker: dat verlangt hoe langer hoe meer ook de afnemer van de dienst van de accountant. En dat moet eigenlijk ook ieder accountantskantoor van zichzelf verlangen: zich er ‘op elk moment’ van kunnen vergewissen dat sprake is van een integere bedrijfsvoering.
Dat betekent dat voor elke beheersing die in het Integriteit Nomenkader is beschreven, monitoring wordt ingericht. Monitoring dat gericht is op het vaststellen van een juiste werking van de beheersing en gekoppeld aan bijbehorend actie- en verbetermanagement.
Het op het kantoor afgestemde Integriteit Normenkader bestaat ‘slechts’ als lat om het eigen handelen langs te kunnen monitoren met als doel te kunnen bijsturen en rapporteren.
En weer van binnen naar buiten
Als het accountantskantoor, met deze systematische manier waarop ze intern haar eigen integriteitsrisico’s beheerst, buiten kijkt naar de integriteit van haar klanten, kan dat niet anders dan langs eenzelfde methodiek en meetlat zijn.
Maar wat we van het oude blikje al wisten: het beeld wordt steeds minder gedetailleerd. Want er mag bij dit alles gelden:
Meer waar het moet, minder waar het kan!
Voor de printversie van dit artikel, klik hier.
コメント