SIRA: Hoe verder?

Door drs A.A. Boxum RA EMITA en mr. A.B. Schoonbeek  

De AFM gaat gedurende 2018 na hoe accountantsorganisaties hieraan opvolging hebben gegeven. In onze dagelijkse praktijk merken we dat veel accountantsorganisaties vragen hebben naar aanleiding van de brief. Ook roept de aankondiging van de AFM dat er in 2018 onderzoek zal worden uitgevoerd hiernaar de nodige reacties op. Elk kwartaal organiseert V&A de V&A Compliance Community. Deelnemers aan deze bijeenkomsten zijn vooral compliance officers van accountantskantoren en beleidsbepalers, en in meer recente functie-aanduidingen: kwaliteitsbepalers en kwaliteitsmanagers (NVKS). Het doel van deze bijeenkomsten is van elkaar te leren hoe in de praktijk met dilemma’s wordt omgegaan. Elke bijeenkomst wordt ingeleid door een expert, die ook de verdere kennisdeling binnen de groep faciliteert (*2). De recente bijeenkomst van 22 februari jl. stond in het teken van SIRA. Met deze bijdrage delen we graag de discussies die in die bijeenkomst de revue hebben gepasseerd. 

Is SIRA nieuw?
Om kort te zijn: SIRA is niet nieuw. De SIRA vormt namelijk een uitwerking van het wettelijk vereiste dat accountsorganisaties met vergunning van de AFM dienen te beschikken over een integere bedrijfsvoering. Deze is neergelegd in artikel 21 van de Wet toezicht accountantsorganisaties (Wta). Daarin is, kort samengevat, bepaald dat de bedrijfsvoering adequaat moet tegengaan betrokkenheid bij:
– Belangenverstrengeling;
– Strafbare feiten en andere wetsovertredingen die het vertrouwen in de accountantsorganisatie of in de financiele markten kunnen schaden; en
– Relaties met cliënten wetsovertredingen die het vertrouwen in de accountantsorganisatie of in de financiele markten kunnen schaden.

Zonder een op de eigen organisatie toegespitste risicoanalyse, kunnen geen effectieve procedures en maatregelen worden getroffen waarmee wordt voldaan aan deze eis. Al in de nieuwsberichten van de AFM van 17 december 2015 (*3) en 9 maart 2016 (*4) is er op gewezen dat een risicoanalyse van belang is voor het goed beheersen van risico’s die verband houden met corruptie (als één van de integriteitsrisico’s). 

Daarnaast is er sinds enige jaren een toenemende aandacht voor de poortwachtersrol (*5) van de accountants(organisaties). De AFM vraagt hier in haar agenda 2018 ook nadrukkelijk aandacht voor. Accountantsorganisaties hebben belangrijke functie volgens de AFM bij het voorkomen van financieel-economische criminaliteit. Onder financieel-economische criminaliteit en niet-integer gedrag wordt onder meer verstaan: witwassen, fraude, corruptie, niet naleven van (internationale) sancties, belastingontduiking en belangenverstrengeling. Uit de toezicht agenda 2018 (*6) volgt verder dat zij in 2018 opnieuw aandacht heeft voor incidenten en incidentenmanagement (*7) bij accountantsorganisaties. 

Hoewel de vereiste integere bedrijfsvoering en de aandacht voor de poortwachtersrol niet geheel nieuw zijn, wordt wel steeds duidelijker dat de AFM het belangrijk vindt dat integriteitsrisicoanalyse voor accountantsorganisaties essentieel is waarbij “integriteit” een brede focus heeft. Het gaat om niet integer gedrag van derden (klanten, leveranciers, adviseurs) en van (medewerkers en beleidsbepalers van) de accountantsorganisatie zelf. Ook wordt duidelijk dat het bij het omgaan met integriteitsrisico’s en identificatie daarvan gaat om twee dimensies: enerzijds de dimensie op organisatieniveau (de SIRA) en anderzijds op klantniveau (klantclassificatie op basis van een risicoprofiel). 

Welke wettelijke basis kent SIRA?
Op hoofdlijnen vloeit uit onderstaande wet- en regelgeving de verplichting voort adequaat om te gaan met integriteitsrisico’s. 

Tabel 1 De wettelijke basis van SIRA

Ook uit vierde anti-witwasrichtlijn (4 AMLD *8),die naar verwachting snel zal worden geïmplementeerd in de Wwft, vloeit de verplichting voor accountantsorganisaties voort om een risicoanalyse op organisatieniveau uit te voeren. De verantwoordelijkheden om adequaat met de integriteitsrisico’s om te gaan, rusten op grond van artikel 14 Wta (zorgplicht) bij de beleidsbepalers van de accountantsorganisatie en op grond van artikel 11 van de NVKS bij de kwaliteitsbepaler van het accountantskantoor. Hoe ga je adequaat om met integriteitsrisico’s als je de risico’s niet kent? Deze vraag is de trigger voor de SIRA. Goede (effectieve) procedures en maatregelen om integriteitsrisico’s te beheersen vereisen simpelweg een toereikende, grondige risicoanalyse. De risicoanalyse zal een iteratief proces moeten zijn en dient daarom periodiek plaats te vinden om goed in te spelen op nieuwe ontwikkelingen en lessons learned bijvoorbeeld naar aanleiding van incidenten daarin te verwerken. 

Geldt SIRA ook voor niet-wettelijke controleopdrachten?
Doordat de brief van 7 november 2017 afkomstig is van de AFM en het Wta-toezicht primair ziet op het wettelijke controles, zou de indruk kunnen ontstaan dat SIRA alleen een vereiste is binnen het wettelijke controledomein. Dit is echter niet het geval. De vereiste integere bedrijfsvoering is een wettelijke norm die geldt voor accountantsorganisatie als geheel. Het adequaat tegengaan van betrokkenheid bij integriteitschendingen geldt voor alle activiteiten binnen de vergunninghouder. Dit volgt ook uit de andere normen bijvoorbeeld NVKS, VGBA maar ook de NV COS –  al deze regelgeving geldt breder dan het wettelijk controledomein – over integriteit. Oftewel: accountantsorganisaties dienen SIRA ook toe te passen op andere dienstverlening, zoals fiscale advisering en/of andere adviesdiensten, die binnen de accountantsorganisatie plaatsvindt.  

Hoe ziet een SIRA eruit?
De AFM geeft in haar brief niet concreet aan hoe de integriteitsrisicoanalyse er uit moet komen te zien. Dit is de verantwoordelijkheid van accountantsorganisaties zelf. Ook voor financiële instellingen zoals banken en trustkantoren, geldt ook de wettelijke eis dat zij dienen te beschikken over een integere bedrijfsvoering. In het toezicht op financiële instellingen bestaat al langer aandacht voor SIRA. Het is zinvol met de lessons learned uit het toezicht op financiële instellingen rekening te houden. DNB heeft over de SIRA guidance en nieuwsberichten gepubliceerd. Deze guidance kan naar onze mening goed worden vertaald naar een accountancy sector. De door DNB gepubliceerde good practices kunnen ook worden toegepast door accountantsorganisaties.

Tabel 2 Belangrijke onderdelen van SIRA (integriteitsrisico’s)

Links uit tabel 2
– http://www.toezicht.dnb.nl/binaries/50-234068.pdf
– https://www.dnb.nl/binaries/Seminar%20PPT_tcm46-360565.PDF?2017062810
– http://www.toezicht.dnb.nl/binaries/50-234068.pdf
– http://www.toezicht.dnb.nl/binaries/50-236451.pdf

Zoals eerder aangegeven, wordt de SIRA op organisatieniveau gedefinieerd en uitgewerkt. Dit is maatwerk en zal moeten zijn gebaseerd op inpunt die afkomstig is uit alle lagen van de organisatie (met name ook de eerste lijn). Het omgaan met integriteitsrisico’s op klantniveau dient hierop te worden afgestemd en in lijn hiermee te liggen. In het klantdossier dient daarom, naast een vermelding van een risicoclassificatie (bijv. laag, middel, hoog), naar onze mening ook te worden vastgelegd op basis van welke specifieke criteria voor een bepaalde risicoclassificatie is gekozen en welke (specifieke) maatregelen vervolgens zijn genomen om deze risico’s te mitigeren. 

Hoe ziet het toezicht op SIRA eruit?
De AFM zal in 2018 steekproefsgewijs onderzoek doen naar hoe accountantsorganisaties (die wettelijke controles bij organisaties zonder openbaar belang uitvoeren) hun integriteitsrisico’s inzichtelijk maken en monitoren c.q. beheersen. De AFM zal de goede praktijkvoorbeelden die uit het onderzoek naar voren komen publiceren. Volgens de brief van 7 november jl. krijgen accountantsorganisaties vooraf bericht wanneer ze in de steekproef vallen. 

Aan het onderzoek van de AFM moet worden meegewerkt (*9). Hoewel dit niet de insteek van het onderzoek, is niet uitgesloten dat accountantsorganisaties bij tekortkomingen worden geconfronteerd handhavingsmaatregelen. (*10) 

Ik wil aan de slag, maar hoe?
De AFM noemt op pagina 5 van de brief van 7 november 2017 zes punten die van belang zijn voor een goede beheersing van integriteitsrisico’s. Wij noemen de volgende voor accountantsorganisaties die aan de slag willen met het implementeren of verbeteren van de SIRA. 

Het brainstormen over integriteitsrisico’s en scenarioanalyses vraagt een multidisciplinaire aanpak, beperk de betrokkenheid van professionals dus bij voorkeur niet tot accountants. Zorg er ook voor dat de eerste lijn hier nauw bij betrokken is.  

Het betrekken van externe input bij het opzetten of verbeteren van de SIRA kan helpen bij bijvoorbeeld het definiëren van procedures over hoe moet worden omgegaan met de diverse risicoclassificaties. 

Integriteit is een breed begrip. Voor het herkennen van integriteitsrisico’s is ‘awareness’ belangrijk. Deel de SIRA daarom intern en maak het een levend document. Een belangrijke tip is verder om in het jaarlijkse opleidingsplan toereikend aandacht te besteden aan praktijksituaties waarbij integriteit een rol speelt. Dit zou bijvoorbeeld gecombineerd kunnen worden met de periodieke scholing in relatie tot de Wwft (artikel 35) 

Wij hopen (en verwachten) met deze bijdrage in te zijn gegaan op de vragen die leven over het onderwerp SIRA. Maar ongetwijfeld heeft het ook weer nieuwe vragen opgeroepen. Wij zien ernaar uit hierover verder van gedachten te wisselen. Dat kan tijdens één van onze vervolgbijeenkomsten over dit onderwerp (bijvoorbeeld op 9 mei a.s. zie onze website) dan wel in contact naar aanleiding van dit artikel. Om die reden hebben we onderstaand ook onze contactgegevens toegevoegd.

Alex Boxum (alex@vna-aa.nl ) is Hoofd Training en Compliance bij training- en adviesbureau V&A. Annemarije Schoonbeek (schoonbeek@colegal.nl) is advocaat bij CoLegal (*11) en werkte voorheen onder andere bij de AFM. 

1. Het betreft een persoonlijke brief van de AFM aan de beleidsbepalers van accountantsorganisaties op 7 november 2017. Zie voor een anoniem exemplaar: https://www.afm.nl/nl-nl/nieuws/2017/nov/integriteitsrisicos-accountantsorganisaties 
2. Meer informatie over het concept, is te vinden via de volgende link: https://www.vna-aa.nl/consulting/compliance.aspx of via https://www.vna-aa.nl/training/open-inschrijvingen.aspx 
3. Vindplaats van het persbericht: https://www.afm.nl/nl-nl/nieuws/2015/dec/aanpak-corruptierisicos 
4. Vindplaats van het persbericht: https://www.afm.nl/nl-nl/nieuws/2016/mrt/corruptierisico-accountantsorganisaties 
5. De Poortwachtersrol veronderstelt een (toenemende) rol in de strijd tegen fraude, corruptie etc. 
6. De agenda is te vinden via de volgende link: https://www.afm.nl/nl-nl/nieuws/2018/jan/agenda-2018. 
7. Meer informatie over incidentenmanagement in de vorm van tips, uitleg en voorbeelden is te vinden in de blogserie die Annemarije Schoonbeek, Alex Boxum en Niels van Nieuw Amerongen schreven. Deze zijn te vinden via de volgende link: https://www.accountancyvanmorgen.nl/?s=incidentmanagement 
8. Het wetsvoorstel Implementatie vierde inti-witwasrichtlijn is op dit moment nog onderwerp van parlementaire behandeling. In artikel 2b van dit wetsvoorstel is bepaald: 
“1. Een instelling neemt maatregelen om haar risico’s op witwassen en financieren van terrorisme vast te stellen en te beoordelen, waarbij de maatregelen in verhouding staan tot de aard en de omvang van de instelling.
2.Bij het vaststellen en beoordelen van de risico’s, bedoeld in het eerste lid, houdt de instelling in ieder geval rekening met de risicofactoren die verband houden met het type cliënt, product, dienst, transactie en leveringskanaal en met landen of geografische gebieden.
3.Een instelling legt de resultaten van het vaststellen en beoordelen van haar risico’s vast, houdt deze actueel en verstrekt deze resultaten desgevraagd aan de toezichthoudende autoriteit.
(….)”
9. Zie Algemene wet bestuursrecht, artikel 5: 20.
10. Deze sancties kunnen onder meer voortvloeien uit Wta artikel 52.
11. Zij is daarnaast part time directeur bij de orde van advocaten Overijssel. Dit artikel is op persoonlijke titel geschreven.