My Essay

Tag: Autoriteit Financiële Markten

  • 2. Compliance in de accountancy

    De compliance-uitdaging in de accountancy

    Vinkjes zetten versus impact

    Compliance in de accountancy wordt soms gereduceerd tot het systematisch afvinken van lijsten: het ‘vinkjes zetten’. Deze praktijk is niet zomaar ontstaan. Ze is een directe reactie op de angst om fouten te maken en de daaropvolgende repercussies. Accountants en complianceprofessionals voelen de druk om bewijs te leveren van naleving, uit angst voor sancties, reputatieschade of verlies van vertrouwen. Dit leidt tot een nadruk op formele processen. Het afhandelen van administratieve verplichtingen lijkt belangrijker dan het effectief beheersen van risico’s.

    Deze focus op vinkjes zetten heeft echter een belangrijk nadeel. Het werkt instrumenteel en reactief. Compliance wordt een defensief mechanisme, gericht op het vermijden van straf in plaats van op het behalen van de strategische doelstellingen van de organisatie. Het risico bestaat dat het bijhouden van regels en procedures een doel op zich wordt, terwijl het wezenlijke doel, het beschermen en versterken van de organisatie door effectieve risicobeheersing en het realiseren van haar strategische doelen, naar de achtergrond verdwijnt.

    Dit staat in schril contrast met het paradigma dat we in hoofdstuk 1 hebben besproken. Compliance wordt dan gezien als een functie die voortkomt uit een intrinsieke motivatie. Compliance hoort niet te ontstaan uit angst, maar uit het bewustzijn dat integriteit en risicobeheersing fundamenteel zijn voor het bereiken van strategische, tactische en operationele organisatiedoelen. Het gaat om het positief formuleren van een cultuur waarin medewerkers en leidinggevenden compliance omarmen als een essentieel onderdeel van hun werk en bijdrage aan de organisatie.

    Een compliancecultuur die gebaseerd is op intrinsieke motivatie stimuleert proactief gedrag. Risico’s worden niet alleen voorkomen, maar ook benut als signalen voor verbetering. Dit vraagt om een beweging weg van het vinkjes zetten naar het realiseren van echte impact. Dat betekent dat organisaties moeten investeren in inzicht, dialoog en vertrouwen, in plaats van zich te verschuilen achter regels en procedures.

    Compliance moet worden geïntegreerd in de dagelijkse praktijk en het strategisch denken van het kantoor. Alleen dan kan compliance haar ware potentieel waarmaken. Namelijk het veiligstellen van de continuïteit en reputatie van de organisatie, en het creëren van toegevoegde waarde voor klanten en de maatschappij.

    Ontstaan van de huidige inrichting als reactie op het toezicht

    De compliancefunctie binnen accountantskantoren is een relatief jong fenomeen dat pas echt vorm kreeg in de eerste jaren van deze eeuw, feitelijk als reactie op een reeks grote bedrijfs- en accountantschandalen die wereldwijd het vertrouwen in het accountantsberoep ernstig beschadigden.

    Een van de eerste en meest spraakmakende schandalen was het faillissement van Enron in 2001. Het Amerikaanse energiebedrijf bleek jarenlang zijn financiële resultaten te hebben gemanipuleerd, wat leidde tot miljardenverliezen en een enorme vertrouwenscrisis en uiteindelijk de ondergang van accountantskantoor Arthur Andersen. Niet lang daarna volgde het boekhoudschandaal bij het Nederlandse Ahold in 2003, waarbij ook hier de cijfers kunstmatig werden opgeblazen. De betrokken accountant was in dit geval Deloitte.

    Deze gebeurtenissen zorgden voor een schokgolf in de financiële wereld en legden bloot dat bestaande controle- en toezichtmechanismen ontoereikend waren om dergelijke fraude en fouten te voorkomen of te signaleren. Dit leidde tot strengere regelgeving en toezicht op accountants, niet alleen internationaal, maar ook binnen Nederland.

    In Nederland was de Wet toezicht accountantsorganisaties (Wta) een directe reactie op deze ontwikkelingen. De Wta trad in werking in 2006 en stelde voor het eerst wettelijke eisen aan accountantsorganisaties, met strengere eisen voor de zogenoemde OOB-vergunninghouders (Organisaties van Openbaar Belang). Deze organisaties, die onder meer de jaarrekeningen van beursgenoteerde bedrijven controleren, kwamen voortaan onder toezicht te staan van de Autoriteit Financiële Markten (AFM). De kantoren met een vergunning voor de wettelijke controle, niet zijnde OOB, ofwel de Reguliere Vergunninghouders (RV) vielen eveneens vanaf het begin onder het toezicht van de AFM, maar in de praktijk werd dit min of meer gedelegeerd naar de beroepsorganisaties NIVRA en NOvAA (samen tegenwoordig de NBA) en kantorenvereniging SRA.

    De invoering van de Wta maakte het voor het eerst verplicht voor de OOB-vergunninghouders om een compliancefunctie te hebben die erop toeziet dat aan relevante wet- en regelgeving wordt voldaan. Concreet verplicht artikel 23 van de Bta OOB-vergunninghouders om een compliance officer aan te stellen die toezicht houdt op de naleving van specifieke wet- en regelgeving binnen de organisatie. Voorheen bestond deze functie in de meeste kantoren niet of slechts in zeer beperkte mate. Compliance werd daarmee een formeel onderdeel van de interne organisatie.

    Niet-OOB-vergunninghouders, de RV of Reguliere Vergunninghouders, kregen niet dezelfde wettelijke verplichting, maar volgden in de jaren daarna vaak vrijwillig het voorbeeld van de OOB-vergunninghouders. Dit gebeurde mede onder stimulans van organisaties zoals de SRA en de NBA, die de kwaliteit en integriteit binnen de sector wilden versterken. Zo werd compliance ook binnen deze groep een steeds meer herkenbare functie, al was de invulling minder uniform en niet wettelijk verplicht.

    Het toezicht op accountantsorganisaties werd aanvankelijk gezamenlijk uitgevoerd door de AFM, SRA en NBA (en rechtsvoorgangers). De AFM had daarbij een formele rol, toezicht kon immers niet gedelegeerd worden volgens de Wta. Vanaf 2022 nam de AFM het toezicht volledig over.

    De AFM hanteerde de facto een dossiergericht toezichtmodel, waarbij de focus lag op het controleren van individuele controleopdrachten en naleving van procedures. Dit had directe invloed op hoe compliancefuncties binnen kantoren werden ingericht: veel aandacht ging uit naar het aantonen van naleving van regels en het bijhouden van documentatie op opdrachtniveau, wat het vinkjes zetten versterkte.

    Deze focus op dossiergericht toezicht beperkte de ruimte voor een bredere, integraal risicogerichte compliancefunctie die ook de organisatiecultuur en het kwaliteitstelsel omvat.

    Hoewel deze vorm van toezicht volgens de AFM nodig was voor het verhogen van kwaliteit, bracht ze ook een risico mee: het gevaar dat compliance verwordt tot een papieren exercitie, los van de werkelijke risico’s en doelen van de organisatie.

    Deze periode legde echter het fundament voor de verdere professionalisering en ontwikkeling van de compliancefunctie binnen de accountancy. De toenemende aandacht voor kwaliteitstelsel en integrale risicobeheersing zou in latere jaren aanleiding geven tot veranderingen in zowel toezicht als de invulling van compliance.

    De stand van zaken en de weg vooruit

    De compliancefunctie binnen accountantskantoren bevindt zich in een natuurlijke evolutie. Dankzij de ontwikkelingen van de afgelopen jaren is er een stevig fundament gelegd: veel organisaties hebben nu een formele compliancefunctie, met processen en procedures die gericht zijn op het waarborgen van naleving van wet- en regelgeving, conform het eerste paradigma zoals hiervoor besproken. Deze basis is nuttig om te voldoen aan wettelijke eisen en het vertrouwen van stakeholders te behouden.

    Tegelijkertijd brengt deze evolutie nieuwe uitdagingen en kansen met zich mee. Het traditionele vinkjes zetten, sterk bepaald door extern toezicht en dossiergerichte controles, voldoet niet meer volledig aan de complexiteit van de huidige risico’s en verwachtingen en evenmin aan de ontwikkelingen in het toezicht zelf. Er is steeds meer aandacht voor een bredere, integrale benadering waarin compliance een strategische partner is in het realiseren van organisatiedoelen.

    De verschuiving van een reactieve, controlegerichte compliancefunctie naar een proactieve en cultuurgedreven rol vraagt om een veranderende mindset. Compliance moet niet langer slechts een administratief proces zijn, maar een actieve kracht die risico’s identificeert, beheerst en benut ten behoeve van duurzame groei en reputatie.

    De toekomst vraagt om samenwerking binnen de organisatie en tussen de verschillende ‘lijnen’ van risicobeheersing. Het Three Lines of Defence-model, hoewel nog niet volledig geïntegreerd in de accountancy, biedt een waardevol kader om rollen en verantwoordelijkheden helder te definiëren en effectiever samen te werken, zonder daarbij overigens in dogmatiek te vervallen.

    Daarnaast dwingt de snelle technologische ontwikkeling, waaronder data-analyse en automatisering, tot innovatie in de compliancepraktijk. Deze technologische tools kunnen het toezicht versterken, maar vereisen ook een kritische blik op privacy, ethiek en de menselijke factor.

    Kortom, de weg vooruit ligt in het combineren van een stevige nalevingsbasis met een bredere, meer geïntegreerde aanpak waarin compliance een strategische en lerende partner is. Dit vraagt om een balans tussen regels en vertrouwen, tussen controle en ruimte voor innovatie. Het tweede paradigma dus.

    Historische ontwikkeling: de eerste fase

    Het Three Lines of Defence-model als concept uit de financiële sector

    Net vóór de compliancefunctie in de accountancy ontstond, vond in de financiële sector een belangrijke ontwikkeling plaats, de ontwikkeling van het Three Lines of Defence-model (3LoD). Het model ontstond tussen 1995 en 2000, mede als reactie op het ontstaan en uit elkaar spatten van de dot-com-bubble en andere ontwikkelingen die het belang van betere risicobeheersing en governance onderstreepten. Tijdens deze periode kwam het vertrouwen in financiële instellingen onder druk te staan. Regulators, zoals het Basel Committee on Banking Supervision, ontwikkelden principes om organisaties aan te sporen hun interne controlestructuren te verbeteren.

    Het model verdeelt risicobeheersing in drie duidelijk gescheiden maar samenwerkende verdedigingslinies. De eerste lijn bestaat uit het operationeel management en medewerkers die direct betrokken zijn bij de uitvoering van dagelijkse processen. Zij zijn verantwoordelijk voor het identificeren, beheersen en monitoren van risico’s binnen hun eigen werkterrein. Deze lijn is daarmee het primaire aanspreekpunt voor risico’s en de uitvoering van beheersingsmaatregelen.

    De tweede lijn biedt onafhankelijke ondersteuning, toezicht en challengen van visies van de eerste lijn. Typische functies binnen deze lijn zijn risk management, compliance en legal. Risk management in de financiële sector is vaak sterk kwantitatief van aard, gericht op het meten, modelleren en mitigeren van financiële risico’s zoals kredietrisico, marktrisico en operationeel risico. Compliance richt zich op het waarborgen dat de organisatie voldoet aan wet- en regelgeving, terwijl legal advies geeft over juridische risico’s en zorgt voor juridische naleving. De tweede lijn ontwikkelt beleidskaders, bewaakt de effectiviteit van maatregelen en rapporteert over de status van risico’s en compliance aan het hoger management.

    De derde lijn bestaat uit de interne auditfunctie, die een onafhankelijke en objectieve beoordeling geeft over het functioneren van risicobeheersing en governance binnen de organisatie. Interne audit onderzoekt en evalueert zowel de eerste als tweede lijn en rapporteert rechtstreeks aan het hoogste bestuursorgaan, zoals de raad van commissarissen of het auditcomité. Deze lijn draagt bij aan vertrouwen en transparantie door assurance te bieden over de werking van interne controlesystemen en risicomanagementprocessen.

    De kracht van het 3LoD-model ligt in de heldere scheiding van rollen en verantwoordelijkheden. Deze duidelijke afbakening voorkomt overlapping en zorgt ervoor dat alle aspecten van risicobeheersing worden gedekt zonder hiaten. Het model bevordert transparantie, samenwerking en een gestructureerde aanpak van risico’s, waardoor organisaties beter in staat zijn complexe en multidimensionale risico’s effectief te managen. Hoewel het model oorspronkelijk is ontwikkeld voor de financiële sector, is het inmiddels breed toepasbaar in diverse sectoren, waarbij het aangepast kan worden aan de specifieke risico’s en structuren van de organisatie.

    Voor accountantsorganisaties ontbreekt vaak een derde lijn. Daarnaast is risk management hier vooral kwalitatief van aard. Bovendien wordt de normerende rol van de tweede lijn meestal belegd bij een bureau vaktechniek.

    Invoering Wta en verplichtingen voor OOB-vergunninghouders

    De invoering van de Wet toezicht accountantsorganisaties (Wta) in 2006 markeerde feitelijk het begin van de inrichting van compliance binnen de Nederlandse accountancy.

    Een van de fundamentele veranderingen was de verplichting voor OOB-vergunninghouders om een compliancefunctie in te richten. Artikel 23 Bta (huidige nummering en redactie) stelt daarover:

    1. Een accountantsorganisatie die wettelijke controles verricht bij organisaties van openbaar belang wijst een persoon aan die binnen de accountantsorganisatie toeziet op de naleving van de bij en krachtens de artikelen 13 tot en met 24b van de wet en bij de verordening gestelde regels. De accountantsorganisatie wijst eveneens een plaatsvervanger aan.
    2. De in het eerste lid bedoelde persoon legt aan de personen die het dagelijks beleid van de accountantsorganisatie bepalen verantwoording af omtrent zijn werkzaamheden en de uitkomsten daarvan.
    3. Indien de in het eerste lid bedoelde persoon is betrokken bij een opdracht tot het verrichten van een wettelijke controle, is het zijn plaatsvervanger die ter zake van die opdracht toeziet op de naleving van de in het eerste lid bedoelde regels.

    Hiermee stelt de wet dus geen eisen aan de inrichting van de compliancefunctie. Lid 1 geeft wel het bereik van de functie aan. Uit lid 2 volgt de positie van de compliance officer in de organisatie. Tenslotte volgt uit lid 3 dat de compliance officer tevens extern accountant kan zijn.

    Wie overigens redeneert dat uit lid 3 volgt dat een plaatsvervanger niet nodig is, indien de compliance officer géén externe accountant is, komt bedrogen uit. Op 2 oktober 2012 werd aan Ernst & Young, het huidige EY, een bestuurlijke boete opgelegd door de AFM, onder andere wegens het te laat aanwijzen van een plaatsvervanger.

    Deze boete is om een andere reden ook interessant. Het hoofdverwijt dat de AFM maakte was immers, populair gezegd, dat de compliance officer zijn werk onvoldoende had gedaan. De norm daarbij was niet zozeer de wet, alswel het werkprogramma van de compliance officer zelf.

    Vrijwillige navolging door RV vergunninghouders

    In tegenstelling tot de vergunninghouders voor Organisaties van Openbaar Belang (OOB-vergunninghouders) zijn Reguliere Vergunninghouders (RV’s) binnen de accountancy niet wettelijk verplicht om een compliancefunctie in te richten. De Wta richt zich primair op de OOB-vergunninghouders vanwege hun systeemrelevantie en maatschappelijke impact.

    Wel zijn de besturen van RV’s verantwoordelijk voor het inrichten van een kwaliteitstelsel op basis van dezelfde bepalingen als een OOB-vergunninghouder, enkele detailverschillen daar gelaten. Een RV kan de compliancerol in beginsel integreren in het bestuur.

    Desondanks heeft met name de SRA al vroeg kantoren met een RV-vergunning geadviseerd om een compliancefunctie te implementeren. Dit advies werd versterkt door het beschikbaar stellen van model kwaliteitshandboeken waarin een dergelijke functie was uitgewerkt. De SRA stimuleerde hiermee een proactieve houding ten aanzien van kwaliteit en compliance, ook zonder wettelijke verplichting.

    In de Nadere Voorschriften inzake Kwaliteitssystemen, de NVKS, en in de (voorgangers van) ISQM1 wordt een compliancefunctie niet expliciet verplicht, maar er wordt duidelijk wel rekening mee gehouden dat deze functie toch verbijzonderd wordt binnen de kantoororganisatie. Dit gaf kantoren ruimte om compliance flexibel in te richten als onderdeel van hun kwaliteitsmanagement.

    Toezicht door AFM, SRA en NBA samenwerking en scheiding

    Na de invoering van de Wta in 2006 werd het toezicht op accountantskantoren georganiseerd in een samenspel tussen verschillende partijen. De Autoriteit Financiële Markten (AFM), de SRA en de Nederlandse Beroepsorganisatie van Accountants (NBA, en haar rechtsvoorgangers NIVRA en NOvAA) kwamen tot een samenwerkingsmodel dat vooral om politieke redenen tot stand kwam. De beide beroepsorganisaties NOvAA en vooral NIVRA hadden stevig lobby gevoerd om de AFM bij wet te dwingen gebruik te maken van de kwaliteitsstelsels van deze beroepsorganisaties. Zij kenden al jaren een stelsel van collegiale toetsing en wilden voorkomen dat de AFM die stelsels nog eens dunnetjes over zou gaan doen. Ook de SRA kende een dergelijk stelsel, maar voerde geen strijd om de AFM te dwingen daar gebruik van te maken. Uiteindelijk werd door de wetgever gekozen voor een constructie waarbij de AFM wel gebruik moest maken van de bestaande stelsels, maar zonder deze uitkomsten zonder meer te gebruiken. Sterker, de AFM kreeg geen bevoegdheid haar toezicht te delegeren. De vorm die uiteindelijk gevonden werd was dat NIVRA, NOvAA, later NBA, en SRA hun eigen stelsels behielden en dat de AFM de output van die stelsels zou zien als input voor de risico-inschatting van haar eigen toezicht. Praktisch betekende dat dat de OOB-vergunninghouders vrijwel volledig onder direct AFM-toezicht kwamen te vallen, terwijl de RV’s de facto voor het toezicht onder SRA en NBA kwamen te vallen. Alleen bij handhaving kwam daar alsnog de AFM in beeld, aangezien alleen de AFM de daartoe benodigde wettelijke bevoegdheden had.

    Deze constructie bracht ook complexiteit en soms onduidelijkheid met zich mee over de rolverdeling en de grenzen van het toezicht.

    In de loop van de jaren ontwikkelde zich het beeld dat de AFM geen toezichthouder was voor de RV’s en dat SRA en NBA een dubbelrol vervulden als belangenbehartigers en toezichthouders. Hoewel dit feitelijk een onjuiste voorstelling van zaken was, werd vanaf 2022 toch gekozen voor een herziening van het gegroeide stelsel. De AFM nam vanaf dat jaar het volledige toezicht op de RV’s in de praktische uitvoering over. Dit leidde tot een meer uniforme en eenduidige toezichtpraktijk, waarbij de AFM zich richtte op het handhaven van de wet- en regelgeving voor de wettelijke controles, terwijl de SRA en NBA hun rol vooral zagen in ondersteuning en advisering van hun leden en toezicht op de overige accountantswerkzaamheden.

    Dossiergericht toezicht versus het 3LoD-model

    De Wta legt aan de AFM het toezicht op het kwaliteitstelsel van vergunninghouders op. De wet geeft de AFM daarbij expliciet de bevoegdheid en taak om dossiers in te zien en te toetsen. Artikel 48a lid 1, 2 en 3 Wta luidt:

    1. De Autoriteit Financiële Markten beoordeelt ten minste eenmaal in de zes jaar, of zoveel vaker als nodig is op basis van een risicoanalyse, of een accountantsorganisatie voldoet aan het bij of krachtens deze wet en de EU-verordening bepaalde.
    2. Indien een accountantsorganisatie wettelijke controles verricht bij organisaties van openbaar belang, beoordeelt de Autoriteit Financiële Markten, in afwijking van het eerste lid, ten minste eenmaal in de drie jaar of die organisatie voldoet aan het bij of krachtens deze wet bepaalde.
    3. De Autoriteit Financiële Markten baseert haar beoordeling ten minste op een toetsing van een selectie van controledossiers.

    Artikel 51 Wta luidt:

    1. De Autoriteit Financiële Markten kan ten behoeve van de juiste uitvoering van haar bij of krachtens deze wet geregelde taken en bevoegdheden van een ieder inlichtingen vorderen.
    2. De artikelen 5:13 en 5:20, eerste en tweede lid, van de Algemene wet bestuursrecht zijn van overeenkomstige toepassing.
    3. De Autoriteit Financiële Markten is bevoegd tot toepassing van artikel 5:20, derde lid, van de Algemene wet bestuursrecht ten aanzien van de vordering, bedoeld in het eerste lid.

    De bevoegdheid om inzage te verkrijgen in welke informatie dan ook, maar zeker in controledossiers is daarmee bijzonder groot. Het doel van deze bevoegdheid is om het functioneren van het kwaliteitstelsel zelf te beoordelen, conform de bepalingen in artikel 48a lid 1, 2 en 3. Wie meent dat uit deze bepalingen ook zou volgen dat het doel gericht is op de kwaliteit van de dossiers zelf, aangezien de Wta ook normen stelt voor de externe accountant, zij er op gewezen dat artikel 48a expliciet spreekt over “een accountantsorganisatie” en niet over “een accountant”.

    Hoewel de wet duidelijk maakt dat het toezicht gericht moet zijn op het kwaliteitstelsel, heeft de AFM zich in de praktijk vooral geconcentreerd op dossiergericht toezicht. Dit dossiergerichte toezicht betekent dat de nadruk lag op het beoordelen van individuele controleopdrachten en het toetsen van de naleving van procedures binnen die dossiers. Hierbij werden vergunninghouders met enige regelmaat geconfronteerd met boetes wanneer de dossiers niet voldeden aan de verwachtingen van de AFM, zonder dat de Accountantskamer hierbij werd betrokken.

    De Accountantskamer is op basis van de Wet tuchtrechtspraak accountants (Wtra) in eerste aanleg de enige wettelijk bevoegde instantie om uitspraak te doen over de werkzaamheden van accountants en dus over controledossiers. Dat de wetgever bedoeld heeft dat de AFM voor individuele dossiers zich zou wenden tot de Accountantskamer en de wet daarop heeft ingericht blijkt bijvoorbeeld uit artikel 23 lid 4 Wtra:

    In afwijking van het eerste lid, wordt geen griffierecht geheven indien een klaagschrift wordt ingediend door de Autoriteit Financiële Markten, het openbaar ministerie, het Bureau Financieel Toezicht of de beroepsorganisatie.

    uit artikel 25a lid 4 Wtra:

    De voorzitter van de accountantskamer kan op verzoek van de Autoriteit Financiële Markten of de beroepsorganisatie de behandeling van een klacht voor ten hoogste zes maanden opschorten indien deze instanties hebben aangegeven een onderzoek te verrichten of voornemens te zijn een onderzoek te verrichten naar het handelen of nalaten waarop de klacht betrekking heeft en dat onderzoek kan leiden tot het indienen van een klacht door deze instanties.

    en uit nog een reeks andere bepalingen.

    Bij de RV’s, die zich veelal niet konden baseren op directe contacten met de AFM maar wel op gepubliceerde boetebesluiten, resulteerde die sterke focus op dossiers en de relatief geringe aandacht voor opzet, bestaan en werking van het kwaliteitstelsel op een voor de hand liggende reactie. De compliancefunctie van deze vergunninghouders werd eveneens sterk gericht op dossierkwaliteit en minder op de inrichting of versterking van het kwaliteitstelsel.

    Deze ontwikkeling stond lijnrecht tegenover de principes van het Three Lines of Defence-model (3LoD). Het 3LoD-model vraagt juist om een geïntegreerde, organisatiebrede benadering van risicomanagement en compliance, waarbij de eerste, tweede en derde lijn elk een duidelijke, complementaire rol vervullen. Dit model stimuleert een proactieve houding ten aanzien van risico-identificatie en -beheersing, in tegenstelling tot een reactieve, dossiergerichte controle.

    De nadruk op dossiergericht toezicht heeft het ontstaan en de toepassing van het 3LoD-model binnen de accountancy dan ook niet bevorderd. Compliancefuncties werden vooral ingericht om te voldoen aan specifieke dossiervereisten en externe controles, wat de ontwikkeling van compliance als strategische partner binnen de organisatie heeft belemmerd.

    Integratie van relevante regelgeving (NVKS, ViO, WWFT, AVG)

    Naast de Wet toezicht accountantsorganisaties (Wta) hebben ook andere regelgevende kaders bijgedragen aan de vormgeving en ontwikkeling van de compliancefunctie binnen de accountancy. In artikel 1 NVKS wordt bijvoorbeeld gedefinieerd:

    kwaliteitsmanager: persoon die operationeel verantwoordelijk is voor het opzetten, implementeren en bewaken van het stelsel van kwaliteitsbeheersing;

    De functie valt niet volledig samen met de compliance officer uit de Wta, kan deze wel volledig omvatten.

    Binnen de Verordening inzake de Onafhankelijkheid van accountants bij assuranceopdracyten (ViO) is de rol van een compliance officer niet vastgelegd. Wel is sprake van onafhankelijkheidsfunctionaris, die in artikel 28 een specifieke taak krijgt toegewezen:

    Na een periode van zeven aaneengesloten jaren betrokkenheid van een key assurance-partner of een ander senior lid bij een assurance-opdracht voor dezelfde verantwoordelijke partij, zonder dat sprake is van een bedreiging als bedoeld in het eerste lid, onderbouwt de eindverantwoordelijke accountant jaarlijks het ontbreken van een dergelijke bedreiging door […] van een door de accountantseenheid aangewezen functionaris die niet betrokken is bij dienstverlening aan de verantwoordelijke partij, schriftelijke goedkeuring van deze vastlegging te verkrijgen

    Deze functionaris is duidelijk veel beperkter dan de compliance officer, maar de taak van de onafhankelijkheidsfunctionaris past wel prima binnen het domein van de compliance officer.

    De Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT) stelt wél expliciet de verplichting aan instellingen om een compliance officer aan te stellen die toeziet op de naleving van deze wet. Artikel 2d lid 2, 3 en 4 WWFT:

    2. Voor zover passend bij de aard en omvang van de instelling, beschikt een instelling over een onafhankelijke en effectieve compliancefunctie.

    3. De compliancefunctie is gericht op het controleren van de naleving van wettelijke regels en interne regels die de instelling zelf heeft opgesteld en omvat onder meer de taak die strekt tot het verstrekken van de gegevens, bedoeld in artikel 16, aan de Financiële inlichtingen eenheid.

    4. Indien van toepassing en voor zover passend bij de aard en de omvang van de instelling, draagt een instelling er zorg voor dat op onafhankelijke wijze een auditfunctie wordt uitgeoefend ten aanzien van haar werkzaamheden. De auditfunctie controleert de naleving door een instelling van de bij of krachtens deze wet gestelde regels en de uitoefening van de compliancefunctie.

    Dit betekent dat de WWFT vrijwel letterlijk toepassing van het 3LoD-model hanteert, in zoverre dat zowel de tweede als de derde lijn zijn benoemd.

    Tenslotte kent de Algemene Verordening Gegevensbescherming (AVG) de rol van Functionaris voor Gegevensbescherming (FG). Artikel 39 AVG:

    1. De functionaris voor gegevensbescherming vervult ten minste de volgende taken:
      a) de verwerkingsverantwoordelijke of de verwerker en de werknemers die verwerken, informeren en adviseren over hun verplichtingen uit hoofde van deze verordening en andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen;
      b) toezien op naleving van deze verordening, van andere Unierechtelijke of lidstaatrechtelijke gegevensbeschermingsbepalingen en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van het bij de verwerking betrokken personeel en de betreffende audits;
      c) desgevraagd advies verstrekken met betrekking tot de gegevensbeschermingseffect-beoordeling en toezien op de uitvoering daarvan in overeenstemming met artikel 35;
      d) met de toezichthoudende autoriteit samenwerken;
      e) optreden als contactpunt voor de toezichthoudende autoriteit inzake met verwerking verband houdende aangelegenheden, met inbegrip van de in artikel 36 bedoelde voorafgaande raadpleging, en, waar passend, overleg plegen over enige andere aangelegenheid.
    2. De functionaris voor gegevensbescherming houdt bij de uitvoering van zijn taken naar behoren rekening met het aan verwerkingen verbonden risico, en met de aard, de omvang, de context en de verwerkingsdoeleinden.

    Hoewel deze functie strikt genomen niet dezelfde is als die van een compliance officer, overlappen de verantwoordelijkheden op het gebied van toezicht en naleving van privacywetgeving aanzienlijk. De FG draagt zorg voor de interne naleving van de AVG en fungeert daarmee als een compliance-functionaris op het terrein van gegevensbescherming.

    De compliancefunctie binnen accountantsorganisaties wordt daarmee bepaald door een samenspel van verschillende regelgevende kaders.


    Het breekpunt: PwC en EY versus AFM


    Beschrijving van de rechtszaken en de juridische kern

    De AFM legde KPMG, EY, PwC en Deloitte in 2016 boetes op wegens tekortkomingen in de controles van jaarrekeningen over de boekjaren 2012 en 2011. EY kreeg met ruim 2,2 miljoen euro de hoogste boete; bij PwC ging het om 845.000 euro. Medio 2016 tekenden PwC en vervolgens ook EY bezwaar aan tegen die boetes. De AFM zelf geeft als kern van de zaak aan: De centrale vraag in de rechtszaak was of een overtreding van de zorgplicht kan worden vastgesteld, als na onderzoek van de AFM blijkt dat er ernstige tekortkomingen zijn in meerdere wettelijke controles van de jaarrekening, uitgevoerd door EY en PwC. De AFM heeft zich primair op het eindproduct (de controle op de jaarrekening) gericht. Op grond van tekortkomingen daarin heeft de AFM geconcludeerd dat de kwaliteitswaarborgen op organisatieniveau niet voldoende waren. De accountantsorganisaties zijn vervolgens beboet.

    Zoals eerder aangegeven trad de AFM handhavend op, zonder tussenkomst van de Accountantskamer, als zij meende dat controledossiers op zichzelf onvoldoende waren. Omdat de AFM geen wettelijke grond had om handhavend op te treden, daar was immers de Accountantskamer de bevoegde instantie voor, gebruikte de AFM als redenering dat een onvoldoende dossier aantoonde dat het kwaliteitsstelsel niet adequaat functioneerde en daarmee dat de vergunninghouder de in de Wta opgelegde zorgplicht schond.

    De uitspraak

    In beide zaken, zowel in eerste aanleg als in hoger beroep, verloor de AFM. De redenen daarvoor zijn niet allemaal goed in de pers of door partijen weergegeven sindsdien. Daarom hier een verwijzing naar de uitspraken van de Rechtbank Rotterdam en van het College van beroep voor het bedrijfsleven.

    Belangrijk is vooral de constatering van de rechter dat de AFM niet alleen de wettelijke bevoegdheid om te handhaven op basis van dossiers mist, maar vooral dat de AFM toezicht dient te houden op kwaliteitsstelsels. De AFM zelf ziet dat zo: De consequentie van deze uitspraak is dat de AFM de accountantsorganisatie niet rechtstreeks meer kan aanspreken op basis van tekortkomingen in de kwaliteit van de wettelijke controles van de jaarrekening. Terwijl juist die controle voor gebruikers van de jaarrekening (zoals particuliere en institutionele beleggers) van belang is. Op basis van deze uitspraak zou het toezicht van de AFM op de accountantssector minder effectief worden, omdat de zorgplicht het enige wettelijke aanknopingspunt is om de accountantsorganisatie verantwoordelijk te stellen voor de kwaliteit van de controle op jaarrekeningen. De AFM kan dan alleen nog via het tuchtrecht de individuele accountant verantwoordelijk houden voor fouten. Dat wordt door de AFM als minder effectief gezien en doet bovendien geen recht aan de verantwoordelijkheid die rust op accountantsorganisaties.

    Hoe begrijpelijk het standpunt van de AFM ook kan lijken, het is in ieder geval een aanpassing ten opzichte van de oorspronkelijke bedoeling van de wetgever zoals expliciet blijkt uit de Wta en impliciet ook uit de Wtra. De AFM is toezichthouder op de vergunninghouders, niet op de individuele accountants of hun controledossiers. Overigens kan de situatie veranderen, de AFM heeft het Ministerie van Financiën verzocht de wet aan te passen in de door de AFM gewenste richting en dus in strijd met de oorspronkelijke bedoelingen van de wetgever.


    Impact op toezicht en compliance

    In afwachting van een eventuele aanpassing van de wet heeft de AFM er voor gekozen de uitspraak van de rechter voluit te respecteren. Zonder de uitspraak van de rechter als een breekpunt te willen interpreteren zegt de AFM daar zelf over: De AFM houdt sinds 2006 toezicht op accountantsorganisaties. In de afgelopen 10 jaar heeft de toezichtaanpak zich doorlopend ontwikkeld. Naast de controle van de jaarrekeningen, richt de AFM zich sinds 2015 nadrukkelijker op het beïnvloeden van gedrag en cultuur in de accountantsorganisaties. In de verdere ontwikkeling van het toezicht zal deze brede aanpak het uitgangspunt blijven. Ook wordt de dialoog met investeerders, audit committees en gecontroleerde ondernemingen over kwaliteit, structuur en cultuur verder geïntensiveerd.

    Dat de AFM hier spreekt over “naast de controle van de jaarrekeningen” is waarschijnlijk een wat onhandige formulering waarmee zoiets bedoeld wordt als “naast toezicht op controledossiers”. Belangrijker is te constateren dat de AFM, al dan niet vanwege de rechtszaken, zich sinds ongeveer 2015 meer is gaan richten op kwaliteitsstelsels van vergunninghouders in brede zin. Beïnvloeding van gedrag en cultuur past daar uitstekend in.

    Het ligt dan ook voor de hand dat vergunninghouders en hun compliancefuncties zich óók meer zijn gaan richten op de versterking en verdere ontwikkeling van hun kwaliteitsstelsels volgens het tweede paradigma zoals aan het begin beschreven. Invoering of versterking van het Three Lines of Defence-model past daar goed in.


    Evolutie van het toezicht


    Inzet van data-analyse door de AFM

    De AFM maakt tegenwoordig gebruik van twee belangrijke data-uitvragen om het toezicht op accountantsorganisaties te ondersteunen. Ten eerste is er een jaarlijkse uitvraag van gegevens over de gehele accountantsorganisatie (AO). Deze gegevens geven inzicht in de algemene structuur, werkwijze en risicobeheersing binnen het kantoor.

    Daarnaast vindt een meer gedetailleerde en impactvolle uitvraag plaats per afgegeven verklaring, dus per wettelijke controle. Dit levert de AFM gestandaardiseerde data op van praktisch alle wettelijke controles in Nederland. Dankzij deze brede dataset kan de toezichthouder potentiële risico’s, trends en afwijkingen op een veel grotere schaal analyseren dan voorheen mogelijk was met traditioneel dossiergericht toezicht.

    Hoewel het voor externe waarnemers nog moeilijk te doorgronden is hoe de AFM deze uitgebreide data precies gebruikt in haar toezichtpraktijk, biedt deze datagedreven aanpak interessante kansen. Voor de compliancefuncties binnen accountantsorganisaties betekent dit bijvoorbeeld dat ze zelf ook deze data kunnen analyseren. Door kritisch te kijken naar de eigen aangeleverde informatie, kunnen zij waardevolle inzichten verkrijgen over kwaliteit en compliance binnen hun organisatie. Dit kan helpen bij het proactief signaleren van risico’s, het sturen op verbeteringen en het beter voorbereiden op het toezicht.

    Voortzetting van dossiergericht toezicht

    Hoewel de AFM haar toezichtpraktijk met de inzet van data-analyse moderniseert en uitbreidt, blijft dossiergericht toezicht een belangrijk onderdeel van haar werkwijze. De recente data-uitvragen zijn vooral gericht op het verzamelen van gedetailleerde informatie per controleopdracht, wat aangeeft dat de AFM ook in deze nieuwe context waarde hecht aan het individuele controledossier.

    Deze aanpak is begrijpelijk en passend, zolang de AFM zich bewust blijft van de grenzen van dossiergericht toezicht. Handhavend optreden op basis van één afzonderlijk dossier is juridisch en inhoudelijk niet houdbaar, aangezien het toezicht zich moet richten op het kwaliteitstelsel van de gehele organisatie. Dat bewustzijn is er kennelijk, gezien optreden van de AFM in de laatste jaren.

    De nieuwe datagedreven methodiek biedt de AFM de mogelijkheid om niet enkel individuele dossiers te beoordelen, maar om trends en patronen binnen de dossiers van een accountantsorganisatie te analyseren. Hiermee ontstaat een bredere en systematischere basis voor toezicht, waarbij uitspraken over het functioneren van het kwaliteitstelsel kunnen worden onderbouwd met kwantitatieve gegevens over meerdere dossiers.


    Van handhaving naar publieke anonieme rapportages

    De aanpak van de AFM binnen het toezicht op accountantsorganisaties kent sinds enkele jaren een duidelijke verschuiving. Waar voorheen handhaving en het opleggen van sancties centraal stonden, is er nu steeds meer aandacht voor transparantie en het delen van informatie via publieke, geanonimiseerde rapportages.

    Deze rapportages bieden stakeholders, zoals investeerders, toezichthouders en het brede publiek, inzicht in de algemene kwaliteit en risico’s binnen de sector zonder individuele kantoren te stigmatiseren. Door op geaggregeerd niveau te rapporteren, kan de AFM trends en ontwikkelingen signaleren en het bewustzijn van kwaliteitsrisico’s vergroten.

    Deze ontwikkeling sluit aan bij de bredere trend van openheid en verantwoordingsplicht in het toezicht. Het stelt de AFM in staat om een meer proactieve en preventieve rol te vervullen, gericht op het verbeteren van de kwaliteit en het versterken van vertrouwen, in plaats van louter het bestraffen van tekortkomingen.

    Tegelijkertijd roept deze aanpak ook een kritische kanttekening op. Door niet direct te handhaven, maakt de AFM zich minder kwetsbaar voor juridische procedures. Immers, op basis van een publieke, geanonimiseerde rapportage kan een vergunninghouder geen bezwaar maken, terwijl een bestuursrechtelijk besluit wél aan bezwaar en beroep onderhevig is. Deze strategie vermindert daarmee het risico op juridische strijd, maar ontneemt partijen ook de kans de rechter uitspraak te laten doen over het optreden van de AFM.

    Voor accountantsorganisaties betekent deze ontwikkeling dat de compliancefunctie zich steeds mede zal moeten richten op het monitoren van de AFM-rapportages, het interpreteren van sectorbrede inzichten, en het benutten van deze informatie om de eigen kwaliteits- en complianceprocessen te verbeteren.

    Terug naar de inhoudsopgave

    Klik hier voor de inhoudsopgave

  • De toezichtparadox

    Van golven en deeltjes

    De wereld zoals wij die waarnemen, bestaat vooral uit deeltjes en golven. Deeltjes maken “dingen” en “spul”, zoals stenen, lucht, water, en bier, om maar wat te noemen. Golven zijn een soort heen en weer bewegingen van deeltjes. Denk aan golven in de zee, geluidsgolven, dat soort dingen. Als mens zijn we voorzien van een paar zintuigen die vrij goed deeltjes waarnemen, bijvoorbeeld door reuk en andere die golven kunnen waarnemen, waardoor we de dingen en het spul in onze omgeving als een soort afgeleide waarnemen. We kunnen bier wel ruiken, maar niet zien. Wat we zien is de lichtgolf die door het bier weerkaatst wordt.

    Met golven is iets interessants aan de hand. Als je twee golven samenvoegt ontstaat interferentie. In de meest extreme gevallen, als je twee identieke golven samenvoegt zullen ze elkaar versterken, terwijl als je exact tegengestelde golven samenvoegt verdwijnen de golven volledig

    Constructieve en destructieve interferentie
    Constructieve en destructieve interferentie

    Door dit effect is het bijvoorbeeld mogelijk een koptelefoon te maken die door middel van anti-geluid omgevingsgeluid neutraliseert op een manier die vele malen beter werkt dan door isolatie van het omgevingsgeluid.

    Met een vrij beroemd experiment, het tweespletenexperiment, wordt gebruik makend van het interferentie-effect van golven, aangetoond dat licht een golf is.

    Tot zover niets geks. Maar het wordt heel snel gekker. Om te beginnen blijkt dat een bundel electronen, deeltjes dus, dat je loslaat op diezelfde tweespletendia, óók een interferentiepatroon genereert. Elementaire deeltjes blijken hiermee aantoonbaar dus golven te zijn.

    Nog gekker. Als je geluid hoort, hoor je een golf in de lucht, of een andere stof. In de ruimte, waar een vacuum bestaat, kan je dus geen geluid horen. Geen stof om de golf te vormen betekent geen golf. Geen golf betekent geen geluid. Wat science fiction films ook graag willen doen geloven, de laatste slag tussen ruimte schepen is volmaakt stil. Saai voor in de bioscoop, wel waar. Maar passen we datzelfde toe op licht, dan gebeurt er iets geks. We zien wel degelijk sterren. Het licht van die sterren verplaatst zich dus door het vacuum van de ruimte. Maar wat golft er dan? Welke stof “draagt” de licht-golf?

    Tot vrij recent eigenlijk dachten natuurkundigen dat in de ruimte een soort stof moest zijn om electromagnetische golven, en licht dus, te geleiden. Deze wat mysterieuze stof werd ether genoemd. We hadden Einstein nodig om te concluderen dat het een heel slim idee was, maar wel geheel onjuist. Ether bestaat niet. Maar hoe kan dat dan? De oplossing: licht bestaat uit deeltjes. En deeltjes kunnen zich verplaatsen op een manier waarop golven dat niet kunnen, in een vacuum. Die deeltjes heten fotonen.

    We hebben bewijs dat licht een golf is. En we hebben bewijs dat licht een deeltje is. En we hebben dus ook bewijs dat het deeltje dat we kennen als electron ook een golf is. Dat schiet allemaal niet zo op, zou je denken. Natuurkunde maakt zich over dit soort ogenschijnlijke bizarre onmogelijkheden niet zoveel zorgen. Als iets ogenschijnlijk onmogelijk is, maar we hebben bewijs dat het wel degelijk mogelijk is, dan moeten we gewoon onze eerdere veronderstellingen bij het grof vuil kieperen en een nieuw model van de werkelijkheid bouwen.

    Voor zaken als licht en electronen hebben we niet helemaal de goede woorden in ons dagelijks gebruik, dus lossen we dat op door de termen ietwat slordig te gebruiken en vervolgens aan te vullen. We zeggen dus niet dat licht een golf is, of een deeltje. We praten over het golf-karakter van licht en over het deeltjes-karakter van licht. Wat licht echt “is”? Feitelijk weten we dat niet. En voor de natuurkunde boeit dat ook niet. De Kopenhaagse interpretatie van de quantummechanica trekt op dat punt een fascinerende conclusie: Natuurkunde is de wetenschap die de uitkomst van metingen bestudeert. Verdere speculaties kunnen niet worden geverifieerd: de Kopenhaagse interpretatie ziet vragen als “Waar was het deeltje voordat ik de positie ging meten?” als zonder betekenis.

    Dit gaat nog sterker op voor de waarom-vraag. Wie zich afvraagt waarom de dingen zijn zoals ze zijn, stelt natuurkundig een volstrekt zinloze vraag. We hebben metingen, uitkomsten en een wiskundig model dat die twee aan elkaar koppelt. Als de uitkomsten van metingen zijn zoals de wiskundige formules voorspellen, dan zijn dat kennelijk juiste formules. Totdat het tegendeel bewezen wordt. Op zichzelf is dat gewoon zuivere wetenschap: een theoretisch model dat waarnemingen voorspelt is bruikbaar totdat het door falsificatie niet meer blijkt te kloppen en verfijning of verwerping nodig heeft.

    De waarom vraag is voor mensen natuurlijk wel interessant, maar het antwoord behoort tot het domein van de filosofie en de theologie. Twee disciplines die weliswaar gebruik kunnen maken van de wetenschappelijke methode, maar die ten ene male het middel van de falsificatie wat beperkt kunnen gebruiken.

    De Kopenhaagse interpretatie ontstond overigens vanuit een simpel klinkende vraag, die in veel wetenschappelijke disciplines in meer of mindere mate aan de orde is: wat is de invloed van het meten op de meting? Je kan dat nog uitbreiden met de vraag: wat zegt hetgeen je meet over dat wat je wil weten?

    In de quantummechanica doet zich het intuïtief bizarre verschijnsel voor dat een quantumeffect zich pas voordoet op het moment van de meting. Hoe bizar dat is liet Erwin Schrödinger zien met zijn gedachte-experiment met een kat in een doos. Zolang de doos gesloten blijft is de kat zowel dood als levend. Het is niet zo dat de kat al dood of levend is en we het alleen nog niet weten. Nee, de kat is daadwerkelijk zowel dood als levend en “kiest” pas uitsluitend dood of uitsluitend levend te zijn op het moment van waarneming. Overigens, dit staat allemaal ook weer ter discussie, een van de leuke dingen van wetenschap is dat je nooit klaar bent immers.

    Kwaliteit

    In de accountancy, met name in de audit waar ik me hier verder op focus, is al jaren een beweging gaande die streeft naar verbetering van de kwaliteit. Het verhaal is dat de kwaliteit rond de jaren ’80 en zeker de jaren ’90 van de vorige eeuw achteruit holde, gedreven door de wens van accountantskantoren om meer winst te maken. Deze beweging zorgde onder andere voor steeds grotere kantoren. De grootste kantoren, de Big 8, Arthur Andersen, Arthur Young, Coopers & Lybrand, Deloitte Haskins & Sells, Ernst & Whinney, Peat Marwick Mitchell, Price Waterhouse en Touche Ross vormden internationale netwerken, fuseerden verder, totdat de huidige Big 4 ontstonden: Deloitte, EY, KPMG en PwC. Maar ook andere kantoren vormden grote netwerken, en het concept van one stop shop werd populair. De positieve uitleg is dat accountants hun klanten op alle noodzakelijke manieren wilden bedienen, de wat cynischer insteek is dat accountants vooral op zoek waren naar iedere mogelijke manier om geld te verdienen.

    Op zichzelf zegt dat nog niets over kwaliteit. Immers, in heel veel markten is streven naar winstmaximalisatie allerminst strijdig met het leveren van kwaliteit. Een automerk als Toyota is bijvoorbeeld niet bepaald groot geworden door uitzonderlijke luxe of uitzonderlijk design, maar door een uitzonderlijke focus op kwaliteit.

    Het grote probleem van de audit is dat het geleverde product in feite een dubbele laag heeft, die volstrekt oncontroleerbaar is. Vergelijk het met de airbag uit de eerder genoemde Toyota. Daar zitten twee kwaliteitsniveaus aan:

    1. Is de airbag technisch goed? Deze vraag betreft ontwerp en constructie van de airbag die getest zal moeten worden. Maar dan nog is de airbag die in jouw auto zit nooit getest. Een airbag wordt immers waardeloos na gebruik en dus is testen onmogelijk. De kwaliteit zal gegarandeerd moeten worden door het ontwerp van de airbag zelf, het ontwerp van het productieproces en de gecontroleerde naleving van dat proces.
    2. Vertrouw je de airbag? Dit lijkt wellicht een vanzelfsprekendheid. Immers, de kwaliteit wordt gegarandeerd door at hiervoor beschreven is. Maar zo simpel werkt het helaas niet. De kwaliteit van de airbag bestaat ook uit het vertrouwen dat gebruikers van de airbag hebben in de werking in geval van nood. Hoe goed de airbag ook is, zolang gebruikers die niet vertrouwen wordt het doel niet bereikt. Dat doel is namelijk niet, of niet alleen, het opvangen van de klap bij een aanrijding. Het is óók het bevorderen van een gevoel van veiligheid waardoor de bestuurder durft deel te nemen aan het verkeer. Feitelijk is de kwaliteit van de eerste soort en de kwaliteit van de tweede soort nauwelijks met elkaar causaal verbonden.

    Als op enig moment wantrouwen ontstaat jegens de kwaliteit van de tweede soort, dan is herstel van dat vertrouwen via de eerste soort nogal een Herakliaanse opgave, om niet te zeggen een Sisyphos-arbeid.

    Immers, ongelukken met auto’s gebeuren betrekkelijk weinig, maar als ze gebeuren zal zelfs de beste airbag niet altijd voldoende zijn om ernstig letsel te voorkomen. Hoezeer die kans ook wordt verkleind door te werken aan de kwaliteit van de eerste soort, de kwaliteit van de tweede soort op die manier bevorderen is vrijwel kansloos. Iedere gebeurtenis met ernstig letsel zal immers de kwaliteit van de tweede soort, de kwaliteitsperceptie in feite, eroderen en negative percepties versterken. Dat de kwaliteit van de eerste soort intussen meer dan op orde is doet daar niets aan af.

    In een wilde bui zou ik kunnen zeggen dat zoals licht een golf-deeltje-dualiteit kent kwaliteit een feit-perceptie-dualiteit kent. De gebruikers van accountantsverklaringen hebben nauwelijks toegang tot inzicht in de eerste soort kwaliteit en zijn dus goeddeels afhankelijk van waarnemingen van falen van die eerste soort kwaliteit om zo de tweede soort te bepalen. Dit proces is, zoals ik denk duidelijk te hebben gemaakt, een vrijwel kansloze exercitie. Immers, ongelukken zijn veel te zeldzaam om een goede basis te geven om überhaupt enig oordeel te vormen. Maar de ongelukken die er zijn, zijn dan weer nauwelijks verantwoord te koppelen aan de eerste soort kwaliteit van de accountantsverklaring.

    Waaruit bestaan ongelukken? Niet uit falende airbags, maar bijvoorbeeld uit botsende auto’s. Niet uit falende accountantsverklaringen, maar bijvoorbeeld uit faillerende bedrijven. De natuur van het beschermingsmiddel, de accountantsverklaring, en van het proces waarmee dit tot stand komt, brengt met zich mee dat volledig uitsluiten van fouten onmogelijk is. Dat betekent dat een eerste soort kwalitatief uitstekende accountantsverklaring toch ten onrechte goedkeurend kan zijn en zo, bijvoorbeeld, een naderend faillissement uit beeld kan houden als de betreffende onderneming zelf geen openheid van zaken geeft. Maar voor wie al twijfelt aan de kwaliteit van accountantsverklaringen in het algemeen, een lage kwaliteitsperceptie dus, en daarmee een tweede soort kwalitatief slechte accountantsverklaring ziet, zal zich direct bevestigd zien.

    Een oplossing: de AFM

    Wetgevers in de hele wereld, ook in Nederland, en vrijwel gelijktijdig in de Europese Unie, (NB: verwijzingen naar de regelgeving van 2006, 2007!!), zagen een belangrijke oplossing van dit probleem in het instellen van onafhankelijk toezicht. De basisgedachte hierbij is dat de toezichthouder de eerste soort kwaliteit vaststelt, en doordat gebruikers van verklaringen de toezichthouder vertrouwen zal de tweede soort kwaliteit toenemen voor zover de toezichthouder constateert dat de eerste orde kwaliteit op orde is.

    Ik beperk me hierna tot de situatie zoals die in Nederland sindsdien geldt, ongeacht of deze consistent is met de vereisten van de EU.

    Het Nederlandse stelsel wijst de Autoriteit Financiële Markten aan als toezichthouder op accountantsorganisaties, zijnde instellingen met een vergunning wettelijke controles uit te voeren. Het toezicht op accountants is de facto toegewezen aan die accountants-organisaties, evenals het toezicht op de individuele audits. Dit werkt via de route van het kwaliteitsstelsel waarover iedere accountantsorganisatie dient te beschikken. Kort gezegd: de accountantsorganisatie bewaakt de kwaliteit van de accountantswerkzaamheden en dus van de accountantsverklaring, de AFM bewaakt de kwaliteit van die bewaking. Daartoe kan de AFM overigens ook onderzoek doen naar individuele controles en controledossiers. Maar de AFM is niet bevoegd daar op te handhaven. De AFM kan bestuursrechtelijk handhaven jegens accountantsorganisaties, en de AFM kan desgewenst individuele accountants en hun werk aanleveren bij de tuchtrechter, de Accountantskamer en het College van Beroep voor het Bedrijfsleven.

    De AFM toetst dus de werking en de kwaliteit van kwaliteitsstelsels van accountantsorganisaties. Maar waaraan toetst de AFM? Anders dan in andere toezichtdomeinen heeft de AFM nauwelijks normen gepubliceerd terzake. Op zichzelf is de AFM geen regelgever, maar door het formuleren van beleidsregels kan toch een heldere norm worden geformuleerd, waarbij de AFM nadere invulling geeft aan de nogal open normen die bij of krachtens de wet, in Wta en Bta, zijn geformuleerd.

    De AFM verwijst in rapportages, in klachten voor de tuchtrechter, en in boetebesluiten, opmerkelijk vaak naar normen uit de NV COS en het verschijnsel voldoende en geschikte controle informatie. Dat is problematisch omdat dit normen zijn die niet primair zien op de kwaliteit van opzet en werking van kwaliteitsstelsels maar zien op de kwaliteit waarop die kwaliteitsstelsels toezien. Wat de AFM dan ook regelmatig heeft gesteld in verschillende formuleringen is “als een dossier onvoldoende is, heeft dus het kwaliteitsstelsel gefaald”. De rechter in eerste en tweede aanleg heeft daar in rechtszaken aangespannen door zowel EY als PwC terecht de vloer mee aangeveegd. Opmerkelijk is dat sindsdien door de AFM fors gas is teruggenomen in de handhaving, wel zaken naar de tuchtrechter zijn gebracht zoals het hoort, maar intussen aan de minister is gevraagd de wet zodanig aan te passen dat de AFM alsnog kan handhaven op individuele dossiers. Hiermee negeert de AFM de kernboodschap van de rechter en van de wetgever: de AFM moet toezicht houden op kwaliteitsstelsels, accountantsorganisaties moeten toezicht houden op accountants en accountantsverklaringen. Overigens zien we de AFM verder wel degelijk de juiste kant op bewegen met een sterkere focus op de accountantsorganisatie in plaats van op controledossiers als object van toezicht. Maar nog steeds ontwikkelt de AFM nauwelijks zichtbare normen waaraan de kwaliteit van kwaliteitsstelsels getoetst kunnen worden.

    De NBA op het toneel

    De reden dat de AFM dergelijke normen niet ontwikkelt zou gelegen kunnen zijn in het feit dat een andere publiekrechtelijke instelling, de NBA, ingesteld bij wet, zich onder veel meer bezig houdt met het ontwerpen of vertalen van dergelijke normen. De NBA is daartoe bevoegd op basis van artikel 19 lid 2 onder b van de Wab.

    Daarbij doet zich wel een wat vreemd verschijnsel voor. NIVRA en NOvAA, de directe voorlopers van de NBA waren wettelijk helemaal niet bevoegd dergelijke normen te stellen. De oplossing die het NIVRA daarvoor jaar en dag hanteerde was haar regelgeving formeel te richten op accountants, waartoe zij in beginsel wel bevoegd was, en dan de eisen aan de accountantsorganisatie voorwaardelijk te maken voor het mogen werken voor een dergelijke organisatie. Deze vorm hanteert de NBA nog steeds. Dit levert formuleringen op als “Een accountant kan niet werkzaam zijn bij of verbonden zijn aan een kantoor, indien …” (artikel 4 lid 3 Nadere Voorschriften Kwaliteitsmanagement in consultatie).

    Of dit juridisch erg zuiver is, is een kwestie van opinie, feit is dat de NBA ruimschoots buiten de wettelijke taak “bevorderen van een goede beroepsuitoefening door accountants,” (uit artikel 3 WAB, onder a) treedt en dus niet alleen accountants normeert maar ook accountantsorganisaties.

    De samenhang tussen de AFM die normen zou moeten stellen en handhaven maar nauwelijks normen stelt en de NBA die wettelijk beperkt normen mag stellen aan accountantsorganisaties maar dat wel doet is ietwat ongemakkelijk. Dat neemt niet weg dat dit het bouwwerk is dat in Nederland zowel de eerste soort kwaliteit, als de tweede soort kwaliteit zou moeten bewaken, direct of indirect via de accountantsorganisaties en ondersteunt door de tuchtrechter en het bestuursrecht.

    Aan de NBA zit echter nog iets bijzonders. Uit het hiervoor al genoemde artikel 3 WAB volgt dat de NBA nog een andere hier relevante taak heeft: behartigen van de gemeenschappelijke belangen van accountants en zorg dragen voor de eer van de stand van de accountants.

    In de taakopvatting van de NBA moet dit nadrukkelijk niet gezien worden als individuele belangenbehartiging en evenmin als lobbywerk voor actoren in de sector. Nee, de NBA ziet het evident als haar taak het vertrouwen in accountants te bevorderen, dat is dus de tweede soort kwaliteit, door het bevorderen van de eerste soort kwaliteit.

    Zoals inmiddels hopelijk duidelijk is dat een lastige taak omdat het feitelijk de verkeerde oplossing hanteert voor het echte probleem, tenzij aantoonbaar sprake is van een gebrek aan kwaliteit van de eerste soort.

    De eerste paradox

    Hier zien we de eerste paradox duidelijk ontstaan. De taakopvatting van de NBA gaat er van uit dat de tweede soort kwaliteit bevordert wordt door te werken aan de eerste soort kwaliteit. Maar aan de eerste soort kwaliteit kan alleen verbetering worden gebracht als deze niet reeds voldoet. De NBA moet haar aanpak dus funderen in het tekortschieten van de eerste soort kwaliteit. Tegelijk voert de NBA campagne om aan gebruikers van accountantsproducten te vertellen dat deze voldoen aan de tweede soort kwaliteit en dus aan de eerste soort kwaliteit.

    Reductio ad absurdum (omdat ik Latijn nu eenmaal mooi vind) zou iets opleveren als “Nederland rekent op zijn accountants, maar ten onrechte”. Het behoeft geen toelichting dat dat niet werkt. Maar dat betekent ook dat je “Nederland rekent op zijn accountants” mag lezen als “en dat is terecht”. Kortom, de tweede soort kwaliteit wordt bevordert door te stellen dat de eerste soort kwaliteit op orde is.

    Maar tegelijk tracht de NBA het omgekeerde te doen. Door de tweede soort kwaliteit te bevorderen door de eerste soort kwaliteit te bevorderen communiceert de NBA, en moet zij logischerwijs wel communiceren, dat die eerste soort kwaliteit niet op orde is.

    Dit is de eerste paradox die de tweede paradox zichtbaar maakt.

    De tweede paradox

    Het probleem van kwaliteit ten opzicht van golf-deeltjes-duaal licht, is dat iedereen het eerste aanvoelt maar niet kan definiëren, terwijl niemand het tweede aanvoelt maar met voldoende kennis van quantummechanica wel prima kan definiëren.

    Anders gezegd, we voelen allemaal wel aan wat kwaliteit zou kunnen zijn, maar we weten feitelijk niet wat het is. Dat maakt onderzoek lastig. Zo valt niet te meten aan kwaliteit. Immers, als je niet weet wat je meet kan je het niet meten. Dat is op zichzelf wetenschappelijk geen onoverkomelijk probleem als je gebruik kan maken van proxy-variabelen. Het probleem daarvan is wel dat je dan moet valideren dat je proxy-variable voldoende zegt over datgene wat je eigenlijk wil meten.

    In onderzoek naar audit quality wordt bijvoorbeeld gemeten hoeveel foutherstel naar aanleiding van een audit heeft plaatsgevonden. Dat zegt iets, maar de meting wordt ernstig verstoord doordat je nauwelijks afdoende kan vaststellen hoeveel ongevonden fouten een jaarrekening bevat. Maar er is nagedacht over hele reeksen proxy’s, audit quality indicators. Toevallig of niet, maar ik ben uiterst nauw betrokken geweest bij de totstandkoming koning van deze AQI’s zoals voorgesteld door de Nederlandse wetgever en uit die ervaring kan ik wel stellen dat het minstens problematisch was overeenstemming te bereiken over wat kwaliteit nu precies is, en wat precies gemeten diende te worden. Hoewel ik meen dat de gevonden indicators verstandig zijn en bruikbaar zullen blijken, ontberen ze voldoende wetenschappelijke basis om al te absolute uitspraken over “de kwaliteit” van “de Nederlandse wettelijke controle” op te baseren.

    Dat is niet noodzakelijk problematisch mits deze indicatoren wijs gebruikt worden. Het probleem dat ik hier bespreek gaat dan ook niet zozeer over de gebruikte proxy’s maar over de impliciet en expliciet gedane uitspraken.

    We hebben behoefte aan scherpe uitspraken over kwaliteit en we weten niet echt wat kwaliteit is. Dit is op zichzelf nog niet enorm paradoxaal, maar het roept een andere, veel sterkere paradox op.

    De derde paradox

    Juist omdat we nauwelijks weten wat kwaliteit exact is, en gebruikers nauwelijks inzicht hebben in de eerste soort kwaliteit, en ongelukken zeldzaam zijn terwijl fouten onmogelijk zijn te voorkomen, wordt de tweede soort kwaliteit niet bevordert door de eerste soort kwaliteit. De tweede soort kwaliteit kan wel afnemen door afnemende eerste soort kwaliteit en door de perceptie dat deze afneemt of onvoldoende is.

    Hoewel zowel de AFM als de NBA in een of andere vorm de opdracht hebben het vertrouwen in de accountantsverklaring te versterken, en dus de tweede soort kwaliteit te verhogen, kunnen zij dit slechts geloofwaardig doen als zij zichtbaar zijn in voldoende krachtig handhaven. Maar voldoende krachtig handhave is alleen mogelijk als de eerste soort kwaliteit onvoldoende is. AFM en NBA moeten dus de tweede soort kwaliteit bevorderen door haar via de eerste soort kwaliteit bij voortduring ter discussie te stellen.

    Ontsnapping uit deze paradox is slechts mogelijk als partijen deze herkennen en actief stoppen de eerste soort kwaliteit ter discussie te stellen. De AFM maakt deze beweging tenminste deels al enige tijd. de NBA voert hierin al jaren een schizofrene route, zoals hiervoor al benoemd.

    De vierde paradox

    Dan is er een vierde paradox die ik baseer op mijn persoonlijke waarneming en die enige wetenschappelijke basis ontbeert. Ik laat het graag over aan wetenschappers om mijn idee te bevestigen, te ontkrachten, of me gewoon uit te lachen om mijn gebrek aan wetenschappelijke kennis natuurlijk.

    Ik ben betrokken geweest bij het schrijven van de Wet toezicht accountantsorganisaties, nadat ik enkele jaren had gewerkt bij verschillende accountantsorganisaties. Als “senior toezichthouder” was ik eveneens betrokken bij het opzetten van het toezicht door de AFM. Vervolgens ben ik als medewerker van het NIVRA, rechtsvoorganger van de NBA en later als vrijwilliger, betrokken geweest bij tal van initiatieven van de NBA, met name rond regelgeving en kwaliteit. Verder ben ik ongeveer 20 jaar actief in diverse rollen voor verschillende accountantsorganisaties rond thema’s als kwaliteit en compliance. Waar wetenschappelijke data ontbreekt meen ik dat mijn eigen waarneming toch niet geheel zonder enige betekenis is.

    En wat is die waarneming? De grootste paradox van toezicht wat mij betreft. Onder invloed van de AFM, op basis van de Wta, heeft het accountantsberoep in Nederland twee ontwikkelingen gezien:

    1. De professioneel kritische houding, de diepgang, de maatschappelijke oriëntatie, grofweg “de kwaliteit” van individuele accountants is dramatisch toegenomen. Het belang van de AFM en de Wta voor de Nederlandse controlepraktijk kan nauwelijks overschat worden.
    2. De focus op dossiers in plaats van op controle, op legal compliance in plaats van op kwaliteitscultuur en lerend vermogen, op “cover your ass” in plaats van op moed, is even dramatisch toegenomen. Waar systeemgericht controleren op basis van werkelijk begrip van de huishouding de norm was, is nu de norm maximaal gegevensgericht en op basis van steekproeven een dossier vullen geworden. Hiermee zijn de toegevoegde waarde voor het maatschappelijk verkeer en de kwaliteit van controles duidelijk afgenomen.

    Hierbij merk ik op dat de NBA hierin helaas een voorzichtige rol speelt. Opmerkelijk genoeg is het vooral de AFM die zichtbaar inziet dat haar optreden een schaduwkant heeft en daar verbetering in zoekt.