Compliance neemt een steeds centralere rol in binnen de financiële sector, fungerend als het kloppende hart van een effectief risicobeheersings- en controlesysteem dat essentieel is voor de integriteit van de sector.
Hoewel sommige organisaties reeds beschikken over een gestructureerde compliance- en auditfunctie, is dit niet overal het geval.
In dit artikel onderzoeken we hoe Wwft-kantoren compliance en audit kunnen benaderen. Niet alleen als naleving van wettelijke verplichtingen, maar ook als fundamentele bouwstenen voor het handhaven van ethische normen, het voorkomen van financiële misstanden zoals witwassen, en het versterken van het vertrouwen van belanghebbenden.
Wat betekent de compliance- en auditfunctie?
Binnen een organisatie wordt compliance gewaarborgd op drie verschillende niveaus, die samen bekendstaan als ‘de drie verdedigingslinies’.
- De eerste linie bestaat uit je medewerkers. Zij dragen de verantwoordelijkheid voor de uitvoering van de dienstverlening van je organisatie volgens de bestaande procedures.
- De tweede linie wordt gevormd door de compliance medewerker, wiens taak het is om toe te zien dat de organisatie als geheel opereert binnen de vastgestelde compliance-richtlijnen en de overeengekomen procedures naleeft.
- De derde linie betreft de auditor, die de rol heeft om periodiek te beoordelen hoe effectief alle procedures en gemaakte afspraken zijn.
De verantwoordelijkheid van de compliance medewerker omvat het toezicht houden op de naleving van de Wwft-verplichtingen binnen de organisatie en het rapporteren van bevindingen aan de Financiële Inlichtingen Eenheid (FIU-NL). Een auditor is belast met de evaluatie van de effectiviteit van de uitgevoerde compliance werkzaamheden.
Het streven is dat de compliance medewerker zijn taken met een maximale onafhankelijkheid en doeltreffendheid uitvoert. Om deze onafhankelijkheid te garanderen, is het cruciaal dat de rollen van compliance en audit duidelijk van elkaar gescheiden blijven. Dit houdt in dat de compliance medewerker niet betrokken raakt bij de activiteiten die hij dient te controleren.
Organisaties hebben de vrijheid om te kiezen voor een interne of externe auditor, met de voorwaarde dat deze functie onpartijdig wordt uitgeoefend. Degenen die de audit uitvoeren, mogen niet betrokken zijn bij de compliance werkzaamheden of enig ander aspect van het primaire bedrijfsproces.
Wanneer is het verplicht iemand aan te nemen als compliance medewerker of auditor?
Over het algemeen geldt dat organisaties met meer dan 50 medewerkers verplicht zijn een compliance officer of auditor in dienst te nemen. Bedrijven die een Ondernemingsraad moeten instellen, zijn eveneens verplicht deze rollen te vervullen.
Deze functies dienen jaarlijks te worden geëvalueerd en toegewezen. De frequentie van de audits is afhankelijk van het risicoprofiel van de organisatie. Een niet optimaal functionerende compliance officer kan leiden tot een intensievere inzet van de auditfunctie. Organisaties die reeds een auditor hebben, kunnen hun audits uitbreiden met verplichtingen onder de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
In de praktijk zien we vaak samenwerkingsverbanden ontstaan, zoals tussen accountants en belastingadviseurs, of advocaten en notarissen. Wanneer het totaal aantal medewerkers van dergelijke samenwerkende organisaties de 50 overschrijdt, zijn zij verplicht de compliance- en audit functie in te vullen. Overigens hebben deze kantoren vaak al een compliance medewerker.
Daarnaast kan het zo zijn dat organisaties met minder dan 50 medewerkers toch verplicht zijn een compliance officer of auditor aan te stellen, afhankelijk van het cliëntenprofiel. Organisaties met meer dan 75% cliënten met een hoog risicoprofiel moeten ook aan deze verplichting voldoen.
Beoordelingskader compliance- en audit functie
In deze sectie verkennen we de specifieke uitvoering van de compliance- en auditfunctie binnen de kaders van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft).
Wwft-compliancefunctie in detail
Beschikt je organisatie reeds over een compliance officer, dan kunnen de taken rondom Wwft-compliance naadloos worden geïntegreerd in diens verantwoordelijkheden. Enkele kernactiviteiten van de compliance officer omvatten:
- Het controleren van de naleving van de Wwft-procedures binnen het kantoor;
- Actieve deelname aan het proces van cliëntacceptatie, met een focus op het identificeren van integriteitsrisico’s zoals belastingontduiking, fiscale fraude, het omzeilen van sancties, witwaspraktijken, en financiering van terrorisme;
- Het rapporteren over bevindingen zoals het aantal meldingen en dossiers met een hoog risico aan het management;
- Een proactieve rol in het Wwft-risicobeleid en -management;
- Actief toezicht houden op de dienstverlening aan cliënten met een hoog risico, inclusief het waarborgen van tijdige meldingen van ongebruikelijke transacties;
- Het bijhouden en verbeteren van de Wwft-kennis onder medewerkers, onder meer door het organiseren van trainingen en het verstrekken van informatie over relevante wetgeving;
- Het informeren van medewerkers over interne normen, procedures en maatregelen;
- Het adviseren over de classificatie van transacties als ongebruikelijk, met een gedegen vastlegging van de besluitvorming wanneer afgezien wordt van melding;
- Het verantwoordelijk zijn voor het melden van ongebruikelijke transacties aan de FIU-Nederland;
- Fungeren als contactpunt voor toezichthouders bij vragen of onderzoeken.
Voor vele kantoren maakt de Wwft-compliance deel uit van de bredere rol van de compliance officer, die ook toeziet op andere wettelijke vereisten binnen de organisatie. Bij het implementeren van een Wwft-compliancefunctie wordt rekening gehouden met diverse aspecten.
Details van de Wwft-Auditfunctie
De invulling van de Wwft-auditfunctie richt zich op:
- Het evalueren van de effectiviteit van de organisatiestructuur;
- Het beoordelen van de doeltreffendheid en compleetheid van bedrijfsprocessen en -procedures;
- Het controleren van de effectiviteit van de compliancefunctie door in specifieke gevallen de prestaties van de compliance officer te beoordelen, bijvoorbeeld door te controleren of meldingen volledig en correct zijn uitgevoerd en of in bepaalde situaties terecht van melding is afgezien;
- Het rapporteren over bevindingen, waaronder mogelijke tekortkomingen of nalevingsgebreken, aan het management.
Opleidingseisen en bevoegdheden
Om de compliance- en auditfunctie effectief te vervullen, is het cruciaal dat deze over de nodige expertise, gezag en middelen beschikken, en dat ze toegang hebben tot alle relevante informatie. Natuurlijk hangt de invulling van de compliance- en auditfunctie af van het cliëntenbestand en het volume van de risicovolle transacties.