2. Compliance in de accountancy

De compliance-uitdaging in de accountancy

Vinkjes zetten versus impact

Compliance in de accountancy wordt soms gereduceerd tot het systematisch afvinken van lijsten: het ‘vinkjes zetten’. Deze praktijk is niet zomaar ontstaan. Ze is een directe reactie op de angst om fouten te maken en de daaropvolgende repercussies. Accountants en complianceprofessionals voelen de druk om bewijs te leveren van naleving, uit angst voor sancties, reputatieschade of verlies van vertrouwen. Dit leidt tot een nadruk op formele processen. Het afhandelen van administratieve verplichtingen lijkt belangrijker dan het effectief beheersen van risico’s.

Deze focus op vinkjes zetten heeft echter een belangrijk nadeel. Het werkt instrumenteel en reactief. Compliance wordt een defensief mechanisme, gericht op het vermijden van straf in plaats van op het behalen van de strategische doelstellingen van de organisatie. Het risico bestaat dat het bijhouden van regels en procedures een doel op zich wordt, terwijl het wezenlijke doel, het beschermen en versterken van de organisatie door effectieve risicobeheersing en het realiseren van haar strategische doelen, naar de achtergrond verdwijnt.

Dit staat in schril contrast met het paradigma dat we in hoofdstuk 1 hebben besproken. Compliance wordt dan gezien als een functie die voortkomt uit een intrinsieke motivatie. Compliance hoort niet te ontstaan uit angst, maar uit het bewustzijn dat integriteit en risicobeheersing fundamenteel zijn voor het bereiken van strategische, tactische en operationele organisatiedoelen. Het gaat om het positief formuleren van een cultuur waarin medewerkers en leidinggevenden compliance omarmen als een essentieel onderdeel van hun werk en bijdrage aan de organisatie.

Een compliancecultuur die gebaseerd is op intrinsieke motivatie stimuleert proactief gedrag. Risico’s worden niet alleen voorkomen, maar ook benut als signalen voor verbetering. Dit vraagt om een beweging weg van het vinkjes zetten naar het realiseren van echte impact. Dat betekent dat organisaties moeten investeren in inzicht, dialoog en vertrouwen, in plaats van zich te verschuilen achter regels en procedures.

Compliance moet worden geïntegreerd in de dagelijkse praktijk en het strategisch denken van het kantoor. Alleen dan kan compliance haar ware potentieel waarmaken. Namelijk het veiligstellen van de continuïteit en reputatie van de organisatie, en het creëren van toegevoegde waarde voor klanten en de maatschappij.

Ontstaan van de huidige inrichting als reactie op het toezicht

De compliancefunctie binnen accountantskantoren is een relatief jong fenomeen dat pas echt vorm kreeg in de eerste jaren van deze eeuw, feitelijk als reactie op een reeks grote bedrijfs- en accountantschandalen die wereldwijd het vertrouwen in het accountantsberoep ernstig beschadigden.

Een van de eerste en meest spraakmakende schandalen was het faillissement van Enron in 2001. Het Amerikaanse energiebedrijf bleek jarenlang zijn financiële resultaten te hebben gemanipuleerd, wat leidde tot miljardenverliezen en een enorme vertrouwenscrisis en uiteindelijk de ondergang van accountantskantoor Arthur Andersen. Niet lang daarna volgde het boekhoudschandaal bij het Nederlandse Ahold in 2003, waarbij ook hier de cijfers kunstmatig werden opgeblazen. De betrokken accountant was in dit geval Deloitte.

Deze gebeurtenissen zorgden voor een schokgolf in de financiële wereld en legden bloot dat bestaande controle- en toezichtmechanismen ontoereikend waren om dergelijke fraude en fouten te voorkomen of te signaleren. Dit leidde tot strengere regelgeving en toezicht op accountants, niet alleen internationaal, maar ook binnen Nederland.

In Nederland was de Wet toezicht accountantsorganisaties (Wta) een directe reactie op deze ontwikkelingen. De Wta trad in werking in 2006 en stelde voor het eerst wettelijke eisen aan accountantsorganisaties, met strengere eisen voor de zogenoemde OOB-vergunninghouders (Organisaties van Openbaar Belang). Deze organisaties, die onder meer de jaarrekeningen van beursgenoteerde bedrijven controleren, kwamen voortaan onder toezicht te staan van de Autoriteit Financiële Markten (AFM). De kantoren met een vergunning voor de wettelijke controle, niet zijnde OOB, ofwel de Reguliere Vergunninghouders (RV) vielen eveneens vanaf het begin onder het toezicht van de AFM, maar in de praktijk werd dit min of meer gedelegeerd naar de beroepsorganisaties NIVRA en NOvAA (samen tegenwoordig de NBA) en kantorenvereniging SRA.

De invoering van de Wta maakte het voor het eerst verplicht voor de OOB-vergunninghouders om een compliancefunctie te hebben die erop toeziet dat aan relevante wet- en regelgeving wordt voldaan. Concreet verplicht artikel 23 van de Bta OOB-vergunninghouders om een compliance officer aan te stellen die toezicht houdt op de naleving van specifieke wet- en regelgeving binnen de organisatie. Voorheen bestond deze functie in de meeste kantoren niet of slechts in zeer beperkte mate. Compliance werd daarmee een formeel onderdeel van de interne organisatie.

Niet-OOB-vergunninghouders, de RV of Reguliere Vergunninghouders, kregen niet dezelfde wettelijke verplichting, maar volgden in de jaren daarna vaak vrijwillig het voorbeeld van de OOB-vergunninghouders. Dit gebeurde mede onder stimulans van organisaties zoals de SRA en de NBA, die de kwaliteit en integriteit binnen de sector wilden versterken. Zo werd compliance ook binnen deze groep een steeds meer herkenbare functie, al was de invulling minder uniform en niet wettelijk verplicht.

Het toezicht op accountantsorganisaties werd aanvankelijk gezamenlijk uitgevoerd door de AFM, SRA en NBA (en rechtsvoorgangers). De AFM had daarbij een formele rol, toezicht kon immers niet gedelegeerd worden volgens de Wta. Vanaf 2022 nam de AFM het toezicht volledig over.

De AFM hanteerde de facto een dossiergericht toezichtmodel, waarbij de focus lag op het controleren van individuele controleopdrachten en naleving van procedures. Dit had directe invloed op hoe compliancefuncties binnen kantoren werden ingericht: veel aandacht ging uit naar het aantonen van naleving van regels en het bijhouden van documentatie op opdrachtniveau, wat het vinkjes zetten versterkte.

Deze focus op dossiergericht toezicht beperkte de ruimte voor een bredere, integraal risicogerichte compliancefunctie die ook de organisatiecultuur en het kwaliteitstelsel omvat.

Hoewel deze vorm van toezicht volgens de AFM nodig was voor het verhogen van kwaliteit, bracht ze ook een risico mee: het gevaar dat compliance verwordt tot een papieren exercitie, los van de werkelijke risico’s en doelen van de organisatie.

Deze periode legde echter het fundament voor de verdere professionalisering en ontwikkeling van de compliancefunctie binnen de accountancy. De toenemende aandacht voor kwaliteitstelsel en integrale risicobeheersing zou in latere jaren aanleiding geven tot veranderingen in zowel toezicht als de invulling van compliance.

De stand van zaken en de weg vooruit

De compliancefunctie binnen accountantskantoren bevindt zich in een natuurlijke evolutie. Dankzij de ontwikkelingen van de afgelopen jaren is er een stevig fundament gelegd: veel organisaties hebben nu een formele compliancefunctie, met processen en procedures die gericht zijn op het waarborgen van naleving van wet- en regelgeving, conform het eerste paradigma zoals hiervoor besproken. Deze basis is nuttig om te voldoen aan wettelijke eisen en het vertrouwen van stakeholders te behouden.

Tegelijkertijd brengt deze evolutie nieuwe uitdagingen en kansen met zich mee. Het traditionele vinkjes zetten, sterk bepaald door extern toezicht en dossiergerichte controles, voldoet niet meer volledig aan de complexiteit van de huidige risico’s en verwachtingen en evenmin aan de ontwikkelingen in het toezicht zelf. Er is steeds meer aandacht voor een bredere, integrale benadering waarin compliance een strategische partner is in het realiseren van organisatiedoelen.

De verschuiving van een reactieve, controlegerichte compliancefunctie naar een proactieve en cultuurgedreven rol vraagt om een veranderende mindset. Compliance moet niet langer slechts een administratief proces zijn, maar een actieve kracht die risico’s identificeert, beheerst en benut ten behoeve van duurzame groei en reputatie.

De toekomst vraagt om samenwerking binnen de organisatie en tussen de verschillende ‘lijnen’ van risicobeheersing. Het Three Lines of Defence-model, hoewel nog niet volledig geïntegreerd in de accountancy, biedt een waardevol kader om rollen en verantwoordelijkheden helder te definiëren en effectiever samen te werken, zonder daarbij overigens in dogmatiek te vervallen.

Daarnaast dwingt de snelle technologische ontwikkeling, waaronder data-analyse en automatisering, tot innovatie in de compliancepraktijk. Deze technologische tools kunnen het toezicht versterken, maar vereisen ook een kritische blik op privacy, ethiek en de menselijke factor.

Kortom, de weg vooruit ligt in het combineren van een stevige nalevingsbasis met een bredere, meer geïntegreerde aanpak waarin compliance een strategische en lerende partner is. Dit vraagt om een balans tussen regels en vertrouwen, tussen controle en ruimte voor innovatie. Het tweede paradigma dus.

Historische ontwikkeling: de eerste fase

Het Three Lines of Defence-model als concept uit de financiële sector

Net vóór de compliancefunctie in de accountancy ontstond, vond in de financiële sector een belangrijke ontwikkeling plaats, de ontwikkeling van het Three Lines of Defence-model (3LoD). Het model ontstond tussen 1995 en 2000, mede als reactie op het ontstaan en uit elkaar spatten van de dot-com-bubble en andere ontwikkelingen die het belang van betere risicobeheersing en governance onderstreepten. Tijdens deze periode kwam het vertrouwen in financiële instellingen onder druk te staan. Regulators, zoals het Basel Committee on Banking Supervision, ontwikkelden principes om organisaties aan te sporen hun interne controlestructuren te verbeteren.

Het model verdeelt risicobeheersing in drie duidelijk gescheiden maar samenwerkende verdedigingslinies. De eerste lijn bestaat uit het operationeel management en medewerkers die direct betrokken zijn bij de uitvoering van dagelijkse processen. Zij zijn verantwoordelijk voor het identificeren, beheersen en monitoren van risico’s binnen hun eigen werkterrein. Deze lijn is daarmee het primaire aanspreekpunt voor risico’s en de uitvoering van beheersingsmaatregelen.

De tweede lijn biedt onafhankelijke ondersteuning, toezicht en challengen van visies van de eerste lijn. Typische functies binnen deze lijn zijn risk management, compliance en legal. Risk management in de financiële sector is vaak sterk kwantitatief van aard, gericht op het meten, modelleren en mitigeren van financiële risico’s zoals kredietrisico, marktrisico en operationeel risico. Compliance richt zich op het waarborgen dat de organisatie voldoet aan wet- en regelgeving, terwijl legal advies geeft over juridische risico’s en zorgt voor juridische naleving. De tweede lijn ontwikkelt beleidskaders, bewaakt de effectiviteit van maatregelen en rapporteert over de status van risico’s en compliance aan het hoger management.

De derde lijn bestaat uit de interne auditfunctie, die een onafhankelijke en objectieve beoordeling geeft over het functioneren van risicobeheersing en governance binnen de organisatie. Interne audit onderzoekt en evalueert zowel de eerste als tweede lijn en rapporteert rechtstreeks aan het hoogste bestuursorgaan, zoals de raad van commissarissen of het auditcomité. Deze lijn draagt bij aan vertrouwen en transparantie door assurance te bieden over de werking van interne controlesystemen en risicomanagementprocessen.

De kracht van het 3LoD-model ligt in de heldere scheiding van rollen en verantwoordelijkheden. Deze duidelijke afbakening voorkomt overlapping en zorgt ervoor dat alle aspecten van risicobeheersing worden gedekt zonder hiaten. Het model bevordert transparantie, samenwerking en een gestructureerde aanpak van risico’s, waardoor organisaties beter in staat zijn complexe en multidimensionale risico’s effectief te managen. Hoewel het model oorspronkelijk is ontwikkeld voor de financiële sector, is het inmiddels breed toepasbaar in diverse sectoren, waarbij het aangepast kan worden aan de specifieke risico’s en structuren van de organisatie.

Voor accountantsorganisaties ontbreekt vaak een derde lijn. Daarnaast is risk management hier vooral kwalitatief van aard. Bovendien wordt de normerende rol van de tweede lijn meestal belegd bij een bureau vaktechniek.

Invoering Wta en verplichtingen voor OOB-vergunninghouders

De invoering van de Wet toezicht accountantsorganisaties (Wta) in 2006 markeerde feitelijk het begin van de inrichting van compliance binnen de Nederlandse accountancy.

Een van de fundamentele veranderingen was de verplichting voor OOB-vergunninghouders om een compliancefunctie in te richten. Artikel 23 Bta (huidige nummering en redactie) stelt daarover:

1. Een accountantsorganisatie die wettelijke controles verricht bij organisaties van openbaar belang wijst een persoon aan die binnen de accountantsorganisatie toeziet op de naleving van de bij en krachtens de artikelen 13 tot en met 24b van de wet en bij de verordening gestelde regels. De accountantsorganisatie wijst eveneens een plaatsvervanger aan.
2. De in het eerste lid bedoelde persoon legt aan de personen die het dagelijks beleid van de accountantsorganisatie bepalen verantwoording af omtrent zijn werkzaamheden en de uitkomsten daarvan.
3. Indien de in het eerste lid bedoelde persoon is betrokken bij een opdracht tot het verrichten van een wettelijke controle, is het zijn plaatsvervanger die ter zake van die opdracht toeziet op de naleving van de in het eerste lid bedoelde regels.

Hiermee stelt de wet dus geen eisen aan de inrichting van de compliancefunctie. Lid 1 geeft wel het bereik van de functie aan. Uit lid 2 volgt de positie van de compliance officer in de organisatie. Tenslotte volgt uit lid 3 dat de compliance officer tevens extern accountant kan zijn.

Wie overigens redeneert dat uit lid 3 volgt dat een plaatsvervanger niet nodig is, indien de compliance officer géén externe accountant is, komt bedrogen uit. Op 2 oktober 2012 werd aan Ernst & Young, het huidige EY, een bestuurlijke boete opgelegd door de AFM, onder andere wegens het te laat aanwijzen van een plaatsvervanger.

Deze boete is om een andere reden ook interessant. Het hoofdverwijt dat de AFM maakte was immers, populair gezegd, dat de compliance officer zijn werk onvoldoende had gedaan. De norm daarbij was niet zozeer de wet, alswel het werkprogramma van de compliance officer zelf.

Vrijwillige navolging door RV vergunninghouders

In tegenstelling tot de vergunninghouders voor Organisaties van Openbaar Belang (OOB-vergunninghouders) zijn Reguliere Vergunninghouders (RV’s) binnen de accountancy niet wettelijk verplicht om een compliancefunctie in te richten. De Wta richt zich primair op de OOB-vergunninghouders vanwege hun systeemrelevantie en maatschappelijke impact.

Wel zijn de besturen van RV’s verantwoordelijk voor het inrichten van een kwaliteitstelsel op basis van dezelfde bepalingen als een OOB-vergunninghouder, enkele detailverschillen daar gelaten. Een RV kan de compliancerol in beginsel integreren in het bestuur.

Desondanks heeft met name de SRA al vroeg kantoren met een RV-vergunning geadviseerd om een compliancefunctie te implementeren. Dit advies werd versterkt door het beschikbaar stellen van model kwaliteitshandboeken waarin een dergelijke functie was uitgewerkt. De SRA stimuleerde hiermee een proactieve houding ten aanzien van kwaliteit en compliance, ook zonder wettelijke verplichting.

In de Nadere Voorschriften inzake Kwaliteitssystemen, de NVKS, en in de (voorgangers van) ISQM1 wordt een compliancefunctie niet expliciet verplicht, maar er wordt duidelijk wel rekening mee gehouden dat deze functie toch verbijzonderd wordt binnen de kantoororganisatie. Dit gaf kantoren ruimte om compliance flexibel in te richten als onderdeel van hun kwaliteitsmanagement.

Toezicht door AFM, SRA en NBA samenwerking en scheiding

Na de invoering van de Wta in 2006 werd het toezicht op accountantskantoren georganiseerd in een samenspel tussen verschillende partijen. De Autoriteit Financiële Markten (AFM), de SRA en de Nederlandse Beroepsorganisatie van Accountants (NBA, en haar rechtsvoorgangers NIVRA en NOvAA) kwamen tot een samenwerkingsmodel dat vooral om politieke redenen tot stand kwam. De beide beroepsorganisaties NOvAA en vooral NIVRA hadden stevig lobby gevoerd om de AFM bij wet te dwingen gebruik te maken van de kwaliteitsstelsels van deze beroepsorganisaties. Zij kenden al jaren een stelsel van collegiale toetsing en wilden voorkomen dat de AFM die stelsels nog eens dunnetjes over zou gaan doen. Ook de SRA kende een dergelijk stelsel, maar voerde geen strijd om de AFM te dwingen daar gebruik van te maken. Uiteindelijk werd door de wetgever gekozen voor een constructie waarbij de AFM wel gebruik moest maken van de bestaande stelsels, maar zonder deze uitkomsten zonder meer te gebruiken. Sterker, de AFM kreeg geen bevoegdheid haar toezicht te delegeren. De vorm die uiteindelijk gevonden werd was dat NIVRA, NOvAA, later NBA, en SRA hun eigen stelsels behielden en dat de AFM de output van die stelsels zou zien als input voor de risico-inschatting van haar eigen toezicht. Praktisch betekende dat dat de OOB-vergunninghouders vrijwel volledig onder direct AFM-toezicht kwamen te vallen, terwijl de RV’s de facto voor het toezicht onder SRA en NBA kwamen te vallen. Alleen bij handhaving kwam daar alsnog de AFM in beeld, aangezien alleen de AFM de daartoe benodigde wettelijke bevoegdheden had.

Deze constructie bracht ook complexiteit en soms onduidelijkheid met zich mee over de rolverdeling en de grenzen van het toezicht.

In de loop van de jaren ontwikkelde zich het beeld dat de AFM geen toezichthouder was voor de RV’s en dat SRA en NBA een dubbelrol vervulden als belangenbehartigers en toezichthouders. Hoewel dit feitelijk een onjuiste voorstelling van zaken was, werd vanaf 2022 toch gekozen voor een herziening van het gegroeide stelsel. De AFM nam vanaf dat jaar het volledige toezicht op de RV’s in de praktische uitvoering over. Dit leidde tot een meer uniforme en eenduidige toezichtpraktijk, waarbij de AFM zich richtte op het handhaven van de wet- en regelgeving voor de wettelijke controles, terwijl de SRA en NBA hun rol vooral zagen in ondersteuning en advisering van hun leden en toezicht op de overige accountantswerkzaamheden.

Dossiergericht toezicht versus het 3LoD-model

De Wta legt aan de AFM het toezicht op het kwaliteitstelsel van vergunninghouders op. De wet geeft de AFM daarbij expliciet de bevoegdheid en taak om dossiers in te zien en te toetsen. Artikel 48a lid 1, 2 en 3 Wta luidt:

1. De Autoriteit Financiële Markten beoordeelt ten minste eenmaal in de zes jaar, of zoveel vaker als nodig is op basis van een risicoanalyse, of een accountantsorganisatie voldoet aan het bij of krachtens deze wet en de EU-verordening bepaalde.
2. Indien een accountantsorganisatie wettelijke controles verricht bij organisaties van openbaar belang, beoordeelt de Autoriteit Financiële Markten, in afwijking van het eerste lid, ten minste eenmaal in de drie jaar of die organisatie voldoet aan het bij of krachtens deze wet bepaalde.
3. De Autoriteit Financiële Markten baseert haar beoordeling ten minste op een toetsing van een selectie van controledossiers.

Artikel 51 Wta luidt:

1. De Autoriteit Financiële Markten kan ten behoeve van de juiste uitvoering van haar bij of krachtens deze wet geregelde taken en bevoegdheden van een ieder inlichtingen vorderen.
2. De artikelen 5:13 en 5:20, eerste en tweede lid, van de Algemene wet bestuursrecht zijn van overeenkomstige toepassing.
3. De Autoriteit Financiële Markten is bevoegd tot toepassing van artikel 5:20, derde lid, van de Algemene wet bestuursrecht ten aanzien van de vordering, bedoeld in het eerste lid.

De bevoegdheid om inzage te verkrijgen in welke informatie dan ook, maar zeker in controledossiers is daarmee bijzonder groot. Het doel van deze bevoegdheid is om het functioneren van het kwaliteitstelsel zelf te beoordelen, conform de bepalingen in artikel 48a lid 1, 2 en 3. Wie meent dat uit deze bepalingen ook zou volgen dat het doel gericht is op de kwaliteit van de dossiers zelf, aangezien de Wta ook normen stelt voor de externe accountant, zij er op gewezen dat artikel 48a expliciet spreekt over “een accountantsorganisatie” en niet over “een accountant”.

Hoewel de wet duidelijk maakt dat het toezicht gericht moet zijn op het kwaliteitstelsel, heeft de AFM zich in de praktijk vooral geconcentreerd op dossiergericht toezicht. Dit dossiergerichte toezicht betekent dat de nadruk lag op het beoordelen van individuele controleopdrachten en het toetsen van de naleving van procedures binnen die dossiers. Hierbij werden vergunninghouders met enige regelmaat geconfronteerd met boetes wanneer de dossiers niet voldeden aan de verwachtingen van de AFM, zonder dat de Accountantskamer hierbij werd betrokken.

De Accountantskamer is op basis van de Wet tuchtrechtspraak accountants (Wtra) in eerste aanleg de enige wettelijk bevoegde instantie om uitspraak te doen over de werkzaamheden van accountants en dus over controledossiers. Dat de wetgever bedoeld heeft dat de AFM voor individuele dossiers zich zou wenden tot de Accountantskamer en de wet daarop heeft ingericht blijkt bijvoorbeeld uit artikel 23 lid 4 Wtra:

In afwijking van het eerste lid, wordt geen griffierecht geheven indien een klaagschrift wordt ingediend door de Autoriteit Financiële Markten, het openbaar ministerie, het Bureau Financieel Toezicht of de beroepsorganisatie.

uit artikel 25a lid 4 Wtra:

De voorzitter van de accountantskamer kan op verzoek van de Autoriteit Financiële Markten of de beroepsorganisatie de behandeling van een klacht voor ten hoogste zes maanden opschorten indien deze instanties hebben aangegeven een onderzoek te verrichten of voornemens te zijn een onderzoek te verrichten naar het handelen of nalaten waarop de klacht betrekking heeft en dat onderzoek kan leiden tot het indienen van een klacht door deze instanties.

en uit nog een reeks andere bepalingen.

Bij de RV’s, die zich veelal niet konden baseren op directe contacten met de AFM maar wel op gepubliceerde boetebesluiten, resulteerde die sterke focus op dossiers en de relatief geringe aandacht voor opzet, bestaan en werking van het kwaliteitstelsel op een voor de hand liggende reactie. De compliancefunctie van deze vergunninghouders werd eveneens sterk gericht op dossierkwaliteit en minder op de inrichting of versterking van het kwaliteitstelsel.

Deze ontwikkeling stond lijnrecht tegenover de principes van het Three Lines of Defence-model (3LoD). Het 3LoD-model vraagt juist om een geïntegreerde, organisatiebrede benadering van risicomanagement en compliance, waarbij de eerste, tweede en derde lijn elk een duidelijke, complementaire rol vervullen. Dit model stimuleert een proactieve houding ten aanzien van risico-identificatie en -beheersing, in tegenstelling tot een reactieve, dossiergerichte controle.

De nadruk op dossiergericht toezicht heeft het ontstaan en de toepassing van het 3LoD-model binnen de accountancy dan ook niet bevorderd. Compliancefuncties werden vooral ingericht om te voldoen aan specifieke dossiervereisten en externe controles, wat de ontwikkeling van compliance als strategische partner binnen de organisatie heeft belemmerd.

Integratie van relevante regelgeving (NVKS, ViO, WWFT, AVG)

Naast de Wet toezicht accountantsorganisaties (Wta) hebben ook andere regelgevende kaders bijgedragen aan de vormgeving en ontwikkeling van de compliancefunctie binnen de accountancy. In artikel 1 NVKS wordt bijvoorbeeld gedefinieerd:

kwaliteitsmanager: persoon die operationeel verantwoordelijk is voor het opzetten, implementeren en bewaken van het stelsel van kwaliteitsbeheersing;

De functie valt niet volledig samen met de compliance officer uit de Wta, kan deze wel volledig omvatten.

Binnen de Verordening inzake de Onafhankelijkheid van accountants bij assuranceopdracyten (ViO) is de rol van een compliance officer niet vastgelegd. Wel is sprake van onafhankelijkheidsfunctionaris, die in artikel 28 een specifieke taak krijgt toegewezen:

Na een periode van zeven aaneengesloten jaren betrokkenheid van een key assurance-partner of een ander senior lid bij een assurance-opdracht voor dezelfde verantwoordelijke partij, zonder dat sprake is van een bedreiging als bedoeld in het eerste lid, onderbouwt de eindverantwoordelijke accountant jaarlijks het ontbreken van een dergelijke bedreiging door […] van een door de accountantseenheid aangewezen functionaris die niet betrokken is bij dienstverlening aan de verantwoordelijke partij, schriftelijke goedkeuring van deze vastlegging te verkrijgen

Deze functionaris is duidelijk veel beperkter dan de compliance officer, maar de taak van de onafhankelijkheidsfunctionaris past wel prima binnen het domein van de compliance officer.

De Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT) stelt wél expliciet de verplichting aan instellingen om een compliance officer aan te stellen die toeziet op de naleving van deze wet. Artikel 2d lid 2, 3 en 4 WWFT:

2. Voor zover passend bij de aard en omvang van de instelling, beschikt een instelling over een onafhankelijke en effectieve compliancefunctie.

3. De compliancefunctie is gericht op het controleren van de naleving van wettelijke regels en interne regels die de instelling zelf heeft opgesteld en omvat onder meer de taak die strekt tot het verstrekken van de gegevens, bedoeld in artikel 16, aan de Financiële inlichtingen eenheid.

4. Indien van toepassing en voor zover passend bij de aard en de omvang van de instelling, draagt een instelling er zorg voor dat op onafhankelijke wijze een auditfunctie wordt uitgeoefend ten aanzien van haar werkzaamheden. De auditfunctie controleert de naleving door een instelling van de bij of krachtens deze wet gestelde regels en de uitoefening van de compliancefunctie.

Dit betekent dat de WWFT vrijwel letterlijk toepassing van het 3LoD-model hanteert, in zoverre dat zowel de tweede als de derde lijn zijn benoemd.

Tenslotte kent de Algemene Verordening Gegevensbescherming (AVG) de rol van Functionaris voor Gegevensbescherming (FG). Artikel 39 AVG:

1. De functionaris voor gegevensbescherming vervult ten minste de volgende taken:
   a) de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
   b) toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
   c) desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35;
   d) met de toezichthoudende autoriteit samenwerken;
   e) optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid.
2. De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn taken naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.

Hoewel deze functie strikt genomen niet dezelfde is als die van een compliance officer, overlappen de verantwoordelijkheden op het gebied van toezicht en naleving van privacywetgeving aanzienlijk. De FG draagt zorg voor de interne naleving van de AVG en fungeert daarmee als een compliance-functionaris op het terrein van gegevensbescherming.

De compliancefunctie binnen accountantsorganisaties wordt daarmee bepaald door een samenspel van verschillende regelgevende kaders.

Het breekpunt: PwC en EY versus AFM

Beschrijving van de rechtszaken en de juridische kern

De AFM legde KPMG, EY, PwC en Deloitte in 2016 boetes op wegens tekortkomingen in de controles van jaarrekeningen over de boekjaren 2012 en 2011. EY kreeg met ruim 2,2 miljoen euro de hoogste boete; bij PwC ging het om 845.000 euro. Medio 2016 tekenden PwC en vervolgens ook EY bezwaar aan tegen die boetes. De AFM zelf geeft als kern van de zaak aan: De centrale vraag in de rechtszaak was of een overtreding van de zorgplicht kan worden vastgesteld, als na onderzoek van de AFM blijkt dat er ernstige tekortkomingen zijn in meerdere wettelijke controles van de jaarrekening, uitgevoerd door EY en PwC. De AFM heeft zich primair op het eindproduct (de controle op de jaarrekening) gericht. Op grond van tekortkomingen daarin heeft de AFM geconcludeerd dat de kwaliteitswaarborgen op organisatieniveau niet voldoende waren. De accountantsorganisaties zijn vervolgens beboet.

Zoals eerder aangegeven trad de AFM handhavend op, zonder tussenkomst van de Accountantskamer, als zij meende dat controledossiers op zichzelf onvoldoende waren. Omdat de AFM geen wettelijke grond had om handhavend op te treden, daar was immers de Accountantskamer de bevoegde instantie voor, gebruikte de AFM als redenering dat een onvoldoende dossier aantoonde dat het kwaliteitsstelsel niet adequaat functioneerde en daarmee dat de vergunninghouder de in de Wta opgelegde zorgplicht schond.

De uitspraak

In beide zaken, zowel in eerste aanleg als in hoger beroep, verloor de AFM. De redenen daarvoor zijn niet allemaal goed in de pers of door partijen weergegeven sindsdien. Daarom hier een verwijzing naar de uitspraken van de Rechtbank Rotterdam en van het College van beroep voor het bedrijfsleven.

Belangrijk is vooral de constatering van de rechter dat de AFM niet alleen de wettelijke bevoegdheid om te handhaven op basis van dossiers mist, maar vooral dat de AFM toezicht dient te houden op kwaliteitsstelsels. De AFM zelf ziet dat zo: De consequentie van deze uitspraak is dat de AFM de accountantsorganisatie niet rechtstreeks meer kan aanspreken op basis van tekortkomingen in de kwaliteit van de wettelijke controles van de jaarrekening. Terwijl juist die controle voor gebruikers van de jaarrekening (zoals particuliere en institutionele beleggers) van belang is. Op basis van deze uitspraak zou het toezicht van de AFM op de accountantssector minder effectief worden, omdat de zorgplicht het enige wettelijke aanknopingspunt is om de accountantsorganisatie verantwoordelijk te stellen voor de kwaliteit van de controle op jaarrekeningen. De AFM kan dan alleen nog via het tuchtrecht de individuele accountant verantwoordelijk houden voor fouten. Dat wordt door de AFM als minder effectief gezien en doet bovendien geen recht aan de verantwoordelijkheid die rust op accountantsorganisaties.

Hoe begrijpelijk het standpunt van de AFM ook kan lijken, het is in ieder geval een aanpassing ten opzichte van de oorspronkelijke bedoeling van de wetgever zoals expliciet blijkt uit de Wta en impliciet ook uit de Wtra. De AFM is toezichthouder op de vergunninghouders, niet op de individuele accountants of hun controledossiers. Overigens kan de situatie veranderen, de AFM heeft het Ministerie van Financiën verzocht de wet aan te passen in de door de AFM gewenste richting en dus in strijd met de oorspronkelijke bedoelingen van de wetgever.

Impact op toezicht en compliance

In afwachting van een eventuele aanpassing van de wet heeft de AFM er voor gekozen de uitspraak van de rechter voluit te respecteren. Zonder de uitspraak van de rechter als een breekpunt te willen interpreteren zegt de AFM daar zelf over: De AFM houdt sinds 2006 toezicht op accountantsorganisaties. In de afgelopen 10 jaar heeft de toezichtaanpak zich doorlopend ontwikkeld. Naast de controle van de jaarrekeningen, richt de AFM zich sinds 2015 nadrukkelijker op het beïnvloeden van gedrag en cultuur in de accountantsorganisaties. In de verdere ontwikkeling van het toezicht zal deze brede aanpak het uitgangspunt blijven. Ook wordt de dialoog met investeerders, audit committees en gecontroleerde ondernemingen over kwaliteit, structuur en cultuur verder geïntensiveerd.

Dat de AFM hier spreekt over “naast de controle van de jaarrekeningen” is waarschijnlijk een wat onhandige formulering waarmee zoiets bedoeld wordt als “naast toezicht op controledossiers”. Belangrijker is te constateren dat de AFM, al dan niet vanwege de rechtszaken, zich sinds ongeveer 2015 meer is gaan richten op kwaliteitsstelsels van vergunninghouders in brede zin. Beïnvloeding van gedrag en cultuur past daar uitstekend in.

Het ligt dan ook voor de hand dat vergunninghouders en hun compliancefuncties zich óók meer zijn gaan richten op de versterking en verdere ontwikkeling van hun kwaliteitsstelsels volgens het tweede paradigma zoals aan het begin beschreven. Invoering of versterking van het Three Lines of Defence-model past daar goed in.

Evolutie van het toezicht

Inzet van data-analyse door de AFM

De AFM maakt tegenwoordig gebruik van twee belangrijke data-uitvragen om het toezicht op accountantsorganisaties te ondersteunen. Ten eerste is er een jaarlijkse uitvraag van gegevens over de gehele accountantsorganisatie (AO). Deze gegevens geven inzicht in de algemene structuur, werkwijze en risicobeheersing binnen het kantoor.

Daarnaast vindt een meer gedetailleerde en impactvolle uitvraag plaats per afgegeven verklaring, dus per wettelijke controle. Dit levert de AFM gestandaardiseerde data op van praktisch alle wettelijke controles in Nederland. Dankzij deze brede dataset kan de toezichthouder potentiële risico’s, trends en afwijkingen op een veel grotere schaal analyseren dan voorheen mogelijk was met traditioneel dossiergericht toezicht.

Hoewel het voor externe waarnemers nog moeilijk te doorgronden is hoe de AFM deze uitgebreide data precies gebruikt in haar toezichtpraktijk, biedt deze datagedreven aanpak interessante kansen. Voor de compliancefuncties binnen accountantsorganisaties betekent dit bijvoorbeeld dat ze zelf ook deze data kunnen analyseren. Door kritisch te kijken naar de eigen aangeleverde informatie, kunnen zij waardevolle inzichten verkrijgen over kwaliteit en compliance binnen hun organisatie. Dit kan helpen bij het proactief signaleren van risico’s, het sturen op verbeteringen en het beter voorbereiden op het toezicht.

Voortzetting van dossiergericht toezicht

Hoewel de AFM haar toezichtpraktijk met de inzet van data-analyse moderniseert en uitbreidt, blijft dossiergericht toezicht een belangrijk onderdeel van haar werkwijze. De recente data-uitvragen zijn vooral gericht op het verzamelen van gedetailleerde informatie per controleopdracht, wat aangeeft dat de AFM ook in deze nieuwe context waarde hecht aan het individuele controledossier.

Deze aanpak is begrijpelijk en passend, zolang de AFM zich bewust blijft van de grenzen van dossiergericht toezicht. Handhavend optreden op basis van één afzonderlijk dossier is juridisch en inhoudelijk niet houdbaar, aangezien het toezicht zich moet richten op het kwaliteitstelsel van de gehele organisatie. Dat bewustzijn is er kennelijk, gezien optreden van de AFM in de laatste jaren.

De nieuwe datagedreven methodiek biedt de AFM de mogelijkheid om niet enkel individuele dossiers te beoordelen, maar om trends en patronen binnen de dossiers van een accountantsorganisatie te analyseren. Hiermee ontstaat een bredere en systematischere basis voor toezicht, waarbij uitspraken over het functioneren van het kwaliteitstelsel kunnen worden onderbouwd met kwantitatieve gegevens over meerdere dossiers.

Van handhaving naar publieke anonieme rapportages

De aanpak van de AFM binnen het toezicht op accountantsorganisaties kent sinds enkele jaren een duidelijke verschuiving. Waar voorheen handhaving en het opleggen van sancties centraal stonden, is er nu steeds meer aandacht voor transparantie en het delen van informatie via publieke, geanonimiseerde rapportages.

Deze rapportages bieden stakeholders, zoals investeerders, toezichthouders en het brede publiek, inzicht in de algemene kwaliteit en risico’s binnen de sector zonder individuele kantoren te stigmatiseren. Door op geaggregeerd niveau te rapporteren, kan de AFM trends en ontwikkelingen signaleren en het bewustzijn van kwaliteitsrisico’s vergroten.

Deze ontwikkeling sluit aan bij de bredere trend van openheid en verantwoordingsplicht in het toezicht. Het stelt de AFM in staat om een meer proactieve en preventieve rol te vervullen, gericht op het verbeteren van de kwaliteit en het versterken van vertrouwen, in plaats van louter het bestraffen van tekortkomingen.

Tegelijkertijd roept deze aanpak ook een kritische kanttekening op. Door niet direct te handhaven, maakt de AFM zich minder kwetsbaar voor juridische procedures. Immers, op basis van een publieke, geanonimiseerde rapportage kan een vergunninghouder geen bezwaar maken, terwijl een bestuursrechtelijk besluit wél aan bezwaar en beroep onderhevig is. Deze strategie vermindert daarmee het risico op juridische strijd, maar ontneemt partijen ook de kans de rechter uitspraak te laten doen over het optreden van de AFM.

Voor accountantsorganisaties betekent deze ontwikkeling dat de compliancefunctie zich steeds mede zal moeten richten op het monitoren van de AFM-rapportages, het interpreteren van sectorbrede inzichten, en het benutten van deze informatie om de eigen kwaliteits- en complianceprocessen te verbeteren.

Terug naar de inhoudsopgave

Klik hier voor de inhoudsopgave