Hoe je als compliance officer tegen integriteit kan aankijken heb ik eerder geprobeerd te schetsen. Van belang zijn daarbij in ieder geval een paar noties:

1. Of een klant integer is weet je niet en doet er ook niet toe. Van betekenis is of de klant integer gedrag vertoont.
2. Als accountantsorganisatie, als accountant, en als organisatie, heb je wettelijke verplichtingen met betrekking tot integriteit maar heb je vooral belang bij klanten die zich integer gedragen.
3. Wat exact integer gedrag is, staat niet vast. Wel staat vast dat strafbare feiten en onwettige handelingen die het vertrouwen in de accountantsorganisatie of in de financiele markten kunnen schaden als niet-integer kunnen worden aangemerkt.

De vraag is vervolgens enerzijds: hoe voorkom ik dat ik klanten heb die (waarschijnlijk) niet-integer gedrag (gaan) vertonen, en anderzijds: wat doe ik als een klant toch dergelijk gedrag vertoont?

Voor de eerste vraag is de SIRA het startpunt bij uitstek, waarover elders meer. Hier is aan de orde wat te doen bij signalen van niet-integer gedrag. En dan ook weer niet specifiek hoe om te gaan met fraude of met melding van ongebruikelijke transacties. Daarover later wellicht meer.

Wie als compliance officer te maken krijgt met signalen van niet-integer handelen door klanten, door eigen onderzoek, door meldingen uit de organisatie, of op welke wijze dan ook, zal met een aantal dimensies rekening moeten houden:

• Belangen en beleid van de eigen organisatie
• Verplichtingen op basis van VGBA en NOCLAR
• De WWFT
• Incidentmelding aan de AFM

De volgorde van deze dimensies is niet toevallig. Iedere organisatie moet primair vanuit eigen beleid en eigen belangen handelen, en de verantwoordelijkheid van de compliance officer is primair naar de eigen organisatie. Daarnaast is iedere organisatie waar deze site zich op richt een accountantskantoor of -organisatie en dus is altijd de VGBA en NOCLAR relevant. Iets verder van de wereld van de accountant, maar nog steeds altijd van toepassing is de WWFT. De AFM is voor veel compliance officers wellicht de spannendste toezichthouder, maar deze is uitsluitend relevant voor accountantsorganisaties met een vergunning op grond van de Wta, en komt dus als laatste aan bod.

Eigen beleid en eigen belang

Het Dutch Securities institute, DSi, zegt over de compliance professional: “…specialisten die er op toe zien dat organisaties de geldende wet- en regelgeving naleven en dat er gewerkt wordt volgens de door de organisatie zelf opgestelde normen en regels. Ze ondersteunen hierbij het management van een organisatie. Compliance kunt u hierin zien als de veiligheidsgordel van de organisatie. Het beschermt de organisatie tegen risico’s van zowel buitenaf als binnenuit. ”

Andere bronnen hanteren vergelijkbare definities. Relevant is te constateren dat de compliance officer altijd werkt ter ondersteuning van het management van een organisatie aan de naleving van wet- en regelgeving, waaronder de eigen regelgeving, dus het organisatiebeleid.

De compliance officer zal het bestuur van de organisatie allicht hebben geholpen bij het opstellen van dat beleid en van de relevante normen en regels. In de SIRA komen beleid, interne regels en externe wet- en regelgeving samen in de vorm van risicoperceptie, risicobereidheid en risicobeheersing. Bij signalen van niet-integer gedrag van een klant zal de compliance officer zich dus vanzelf twee vragen stellen:

1. Is dit een signaal van gedrag dat we al als reëel risico hadden opgenomen in de SIRA?
2. Hoe dienen we, indien mogelijk in lijn met de SIRA, in dit individuele geval op te treden?

De eerste vraag is van belang om te bezien of de SIRA bijstelling nodig heeft. Immers, een signaal van niet-integer gedrag dat onvoorzien was betekent dat de SIRA niet compleet is. Dat is op zichzelf niet erg, de SIRA is een product van constant gesprek met de organisatie en van de verwerking van alle mogelijke signalen waaronder signalen dat een specifiek risico manifest is geworden.

De tweede vraag moet altijd beantwoord worden, ook als het om gedrag gaat dat in de SIRA niet voorzien was. Maar als het wel voorzien was, is het vanzelfsprekend van belang dat de SIRA als richtinggevend wordt gezien.

Maar wat doe je nu concreet? Grofweg doorloop je altijd een aantal stappen:

• Stel vast of de signalen voldoende grond geven tot handelen. Hier moeten met name accountants oppassen dat niet teruggevallen wordt op een positie die neerkomt op “zonder deugdelijke grondslag heb ik geen feiten, en zonder feiten kan ik niet handelen”. Voor juristen geldt een vergelijkbare uitdaging: “de onschuld-presumptie betekent dat ik niet kan handelen zolang niet in rechte vaststaat dat mijn klant niet-integer heeft gehandeld”. Integriteitsbeleid is noch strafrecht, noch een accountantsoordeel. De organisatie dient zichzelf te beschermen tegen onaanvaardbare risico’s. De aanvaardbaarheid van een risico is de keuze van de organisatie zelf, en een risico voorkom je niet pas op het moment dat het zich manifesteert in de werkelijkheid.
• Indien de signalen voldoende grond geven tot handelen dient aan de SIRA, of indien deze niet voorziet, aan het organisatiebeleid, getoetst te worden of de relatie met de klant beëindigd dient te worden, danwel dat eerst pogingen worden ondernomen het niet-integere gedrag te beëindigen. De optie als organisatie maatregelen te nemen om ondanks voortduren van de signalen toch het risico in te perken tot een aanvaardbaar niveau zal in uitzonderlijke gevallen voor kunnen komen, maar voor de hand ligt het niet. Immers, er is al sprake van voldoende grond om te handelen, de signalen betreffen een risico dat niet aanvaardbaar wordt geacht door de organisatie, dus iedere vorm van alsnog aanvaarden van het risico of de signalen is in principe strijdig met het eigen beleid. In dergelijke uitzonderlijke situaties moet de compliance officer zich uiterst bescheiden opstellen richting “alsnog aanvaarden” en uiterst kritisch richting de eerste lijn die aanstuurt op “alsnog aanvaarden”. Hier komt het aan op de rechte rug van de compliance officer!
  
  Wordt gekozen voor het pogen het niet-integere gedrag te beëindigen, dan ondersteunt de compliance officer de eerste lijn hierin. De praktijk leert dat de eerste lijn daarbij vaak met name hulp nodig heeft in het bewaken van scherpte van de communicatie met de klant, het stellen en bewaken van termijnen en het vaststellen van verifieerbare maatregelen die de klant kan nemen. De compliance officer moet in deze fase eveneens het “plan B” in het oog houden. Als de klant gedrag niet aanpast zal alsnog afscheid genomen moeten worden. De communicatie daarover moet naar de klant steeds glashelder zijn. Immers, alsnog afscheid nemen mag niet gehinderd worden doordat onduidelijke eisen zijn gesteld of zelfs onbedoelde verwachtingen gewekt zijn.
  
  Daar waar afscheid genomen wordt is het goed “rauwelijks opzeggen” zoveel mogelijk te voorkomen en de bijzondere zorgplicht van de accountant in de gaten te houden. Rauwelijks opzeggen doet zich voor als de klant in redelijkheid niet had kunnen voorzien dat de relatie zou worden opgezegd. In beginsel oordeelt de accountantskamer daar stevig over.
  
  Hoewel de accountant contractvrijheid heeft, en dus (op dit moment!) de vrijheid heeft een klant te accepteren of af te wijzen, wordt die vrijheid wat beperkt door de bijzondere maatschappelijke status van het accountantsberoep. Zelfs als in de algemene of specifieke opdrachtvoorwaarden is opgenomen dat de accountant op ieder moment afscheid kan nemen van de klant, dient de accountant altijd te overwegen of de gevolgen voor de klant en voor het maatschappelijk verkeer in verhouding staan tot het belang van de accountant, ook weer inclusief het belang van het maatschappelijk verkeer, om afscheid te nemen.
  
  Het is daarbij denkbaar dat de accountant in stappen afscheid neemt van een klant. Zo zou bijvoorbeeld gekozen kunnen worden per direct opdrachten te beëindigen waarbij de naam van accountant of organisatie verbonden worden aan de klant (denk aan accountantsverklaringen) terwijl andere opdrachten zoals fiscale aangiften of loonadministraties nog even worden voortgezet om zo de klant de ruimte te geven hier andere oplossingen voor te vinden. De compliance officer moet hierin zowel kunnen adviseren, als de risico’s voor de organisatie en haar professionals bewaken.

VGBA en NOCLAR

In de praktijk zal een bestuur van een accountantskantoor of -organisatie altijd als ondergrens in haar beleid de VGBA leggen. Ook als andere beroepsgroepen, zoals fiscalisten, IT adviseurs, en andere professionals die prima met accountants kunnen samenwerken, eventueel behoefte zouden kunnen hebben aan ruimere normen, zal die keuze toch eenvoudig te maken zijn. Accountants hebben, naar het wezen van wat accountants nu eenmaal zijn, een maatschappelijke verantwoordelijkheid die het eigen ondernemersbelang overstijgt en die een gerichtheid puur op het (korte termijn-)belang van degene die de factuur betaalt, de klant, niet kan accepteren. Waar andere professionals onder gemeenschappelijke naam met accountants hun diensten aanbieden kan daar enige frictie ontstaan. Binnen grenzen van beheersbaarheid en duidelijkheid voor het maatschappelijk verkeer mag dat ook, en maakt het de rol van de compliance officer, eufemistisch gesteld, boeiend. Maar zowel compliance officer als bestuur zullen zich steeds de vraag moeten stellen of voor de buitenwereld een al te ver uit de pas lopen van normen van accountants en van andere professionals binnen de eigen organisatie nog wel passend en aanvaardbaar is.

Daarbij is het zinvol niet te veel op “slimmigheidjes” te vertrouwen. Als XXX Accountants & Adviseurs een werkmaatschappij opricht, die losjes verbonden is met XXX, onder de naam YYY Corporate Finance bijvoorbeeld, dan kan gesteld worden dat de adviseurs van YYY niet onder gemeenschappelijke naam met XXX optreden en dus zich weinig gelegen hoeven te laten liggen aan de accountantsnormen. De vraag die dan wel gesteld mag worden is waarom YYY, hoe losjes ook, toch aan XXX verbonden is? Zou dat wellicht een commercieel belang zijn, omdat de adviseurs van YYY onder de vleugels van XXX bij potentiële klanten binnen komen?

Voor zowel bestuur als compliance officer van een accountantskantoor of -organisatie zal altijd centraal moeten staan dat het kernproduct van de accountant niet de samengestelde jaarrekening, de controleverklaring of het slimme advies is, maar vertrouwen. Wie de goede naam verliest, verliest relevantie en bestaansrecht. Ik verwijs daarbij graag naar wat ik daar in 2014 al over schreef in verband met de ondergang van een van de grootste namen in de geschiedenis van accountancy: Arthur Andersen. Dit kantoor ging niet ten onder aan gebrek aan kwaliteit, niet aan het Enron-schandaal, maar aan de besmetting van de naam.

Wat levert dat nu op, in combinatie met wat de compliance officer al doet op basis van organisatiebeleid en -belang? Dat de VGBA, waaronder met name de artikelen over integriteit, (artikel 6 – 10a) en NOCLAR al zijn nageleefd. Specifieke eisen die nog eventueel toegevoegd moeten worden zijn de documentatievereiste uit de VGBA en de verplichting direct te melden bij acute situaties en de verplichting andere eindverantwoordelijke accountants in te lichten (artikel 14) uit NOCLAR.

De WWFT

Signalen van niet-integer gedrag van een klant levert twee specifieke verplichtingen op uit de WWFT. Artikel 3 van deze wet vereist volgens lid 2.d. dat de instelling, de accountantsorganisatie of -kantoor dus, voortdurend onderzoek doet naar de zakelijke relatie en naar transacties. Volgens lid 8 van dit artikel dient dit aantoonbaar op basis van de risicogevoeligheid van de klant te gebeuren. Voeg daar nog aan toe dat een transactie volgens artikel 1 lid 1 niet alleen economische transacties betreft maar iedere “handeling of samenstel van handelingen van of ten behoeve van een cliënt waarvan de instelling ten behoeve van haar dienstverlening aan die cliënt heeft kennisgenomen”, kortom, alles wat de klant doet (of nalaat!), en de conclusie kan nauwelijks anders zijn dan dat de accountantsorganisatie of -kantoor, een risicoprofiel van iedere klant dient te hebben en dient te actualiseren zodra daar aanleiding voor bestaat. Signalen van niet-integer handelen zijn een dergelijke aanleiding.

Terzijde: niet alleen de Wta, maar ook de WWFT, vereist dat ieder accountantskantoor of -organisatie, dus ook zonder Wta-vergunning, beschikt over een SIRA. Voor wat betreft de WWFT kan deze zich beperken tot integriteitsrisico’s met een relatie tot witwassen en financiering van terrorisme, zie artikel 2b van de wet.

Op grond van artikel 16 van de wet is de accountantsorganisatie of -kantoor, verplicht melding te doen van alle ongebruikelijke transacties. Uit de hiervoor aangehaalde wettelijke definitie van het begrip transactie volgt dat dit veel meer is dan alleen economische of financiële transacties. Het betreft al het handelen van de klant. Uit de AmvB waar naar verwezen wordt in artikel 15 volgt dat een dergelijke transactie als ongebruikelijk moet worden aangemerkt als “… de instelling aanleiding heeft om te veronderstellen dat deze verband kan houden met witwassen of financieren van terrorisme.” De accountant, administrateur of fiscalist dient dus niet vast te stellen dat sprake is van witwassen of financieren van terrorisme. Enige aanleiding om te veronderstellen dat er verband kan zijn roept de meldplicht al op. In de praktijk zal een signaal van niet-integer handelen van een klant dus vrijwel automatisch meldplicht in het kader van de WWFT oproepen. De mogelijkheid dat de compliance officer enige overtuigingskracht aan de dag zal moeten leggen om de eerste lijn hiervan te overtuigen, moet niet denkbeeldig worden geacht.

De Wta

Wie beschikt over een vergunning tot het verrichten van wettelijke controles op basis van de Wta is gehouden aan de Wta en de Bta. Heel specifiek uit artikel 32, lid 4 van de Bta volgt dat de vergunninghouder verplicht is onverwijld aan de AFM melding te doen van incidenten die ernstige gevolgen hebben voor de integere uitoefening van haar bedrijf.

Dat roept wel de vraag op wat nu precies een incident is, en wat een “ernstig gevolg voor de integere uitoefening van haar bedrijf”. De AFM geeft daar zelf uitgebreid tekst en uitleg bij. Hoewel deze uitleg nuttig en verhelderend is, is deze niet erg bruikbaar als vuistregel. Als compliance officer zal je de interpretatie van de AFM moeten kennen, maar in het dagdagelijks gebruik is toch een soort eerste filter nodig: wanneer doe je niets richting de AFM, wanneer ga je zeker wel melden, en wat is het grijze gebied waar je de interpretatie van de AFM er bij pakt of waar je met je contactpersoon bij de AFM belt?

Grofweg kan de SIRA hier weer een eerste schifting geven. Signalen van niet-integer handelen die in de SIRA als “hoge impact” zijn gedefinieerd komen al snel in aanmerking om te melden aan de AFM. Let wel, dat kan vanwege een lage kans best een minder dan hoog risico zijn, het gaat hier echt om de impact. Ook signalen die nog niet in de SIRA zijn benoemd komen in aanmerking om melding te overwegen. Hier kan een geringe impact argument zijn om niet te melden, maar het enkele feit dat het risico kennelijk tot op heden over het hoofd was gezien moet wel zwaar gewogen worden. Tenslotte is zelfreflectie nodig. Als een signaal enige tijd gemist is, als de organisatie tekort is geschoten in haar risico-beheersing of als stevig ingrijpen van de organisatie nodig is om de signalen of het risico beheersbaar te maken, dan is het zeer waarschijnlijk nodig de AFM te informeren.

Specifieke aandacht is nodig bij onderzoeken en eventuele handhaving door instellingen als FIOD, ACM en andere opsporingsdiensten en toezichthouders. Het enkele feit dat een dergelijk onderzoek wordt gestart is nog geen bewijs van niet-integer gedrag. Het is wel een signaal. Op het moment dat sprake is van voornemens tot handhaven, handhaving, of zelfs “slechts” vaststellen van feiten, zal iedere advocaat kunnen uitleggen dat nog niets echt vast staat. De rechter is er immers nog niet aan te pas gekomen. Voor de vraag of sprake is van een te melden incident moet daar echter ruimhartiger naar gekeken worden. De AFM toont, zo leert de ervaring, goed begrip van het feit dat niets vast staat tot de laatste rechter zich uitgesproken heeft. Maar dat vermindert de meldplicht niet. De AFM is immers niet geïnteresseerd in de vraag of de klant al dan niet integer gedrag vertoont, maar in de vraag hoe de accountantsorganisatie met de signalen om gaat.

Een nog minder fijnmazige benadering, maar wel een prudente is simpelweg deze: zodra je je afvraagt of je een incident aan de AFM zou moeten melden, kan je het beter melden. Het is vrijwel altijd beter van de AFM te horen dat je onnodig scrupuleus bent in het melden van incidenten, dan de vraag te moeten beantwoorden waarom een bepaald incident niet is gemeld.