Recent publiceerde Marcel Pheijffer een opinie over het mede tekenen van de accountantsverklaring door de OKB-er. Ik laat me hier niet uit over dat idee zelf, maar in de discussie die ontstond bleek begripsverwarring over enkele zaken. In een andere context liep ik ook al tegen wat begripsverwarring aan, daarom hier een korte uitleg bij enkele in de wereld van (accountants) compliance relevante begrippen.
OKB, IKO, Review
Een OKB is een opdrachtgerichte kwaliteitsbeoordeling. Het is een instrument dat is geïntroduceerd via de Wet toezicht accountantsorganisaties, en later ook een plaats heeft gekregen in de Nadere Voorschriften Kwaliteitssystemen van de NBA. De Wta en Bta bepaalden dat voorafgaand aan het afgeven van iedere verklaring voor een OOB, en voor een aantal op basis van kantoorbeleid te bepalen verklaringen voor niet-OOB’s, een OKB uitgevoerd diende te worden.
Doel van de OKB is dus preventief vast te stellen dat de externe accountant redelijkerwijs tot diens beoogde verklaring kon komen. Wie exact de opdrachtgever van de OKB is staat niet vast. Anders dan vaker gedacht is het niet vanzelfsprekend de compliance officer. Dat kan ook niet, aangezien bij Reguliere Vergunninghouders een compliance officer niet door de wet wordt voorgeschreven, maar OKB’s wel.
De OKB is gericht op het bevorderen van de kwaliteit van de accountantsverklaring en is daarmee dus onderdeel van het kwaliteitsstelsel. Daar is de accountantsorganisatie, de vergunninghouder, verantwoordelijk voor. Het lijkt redelijk voor de hand te liggen dat de functionaris die onder NVKS wordt aangeduid als kwaliteitsbepaler dus eindverantwoordelijk is voor de OKB. Dat neemt niet weg dat een compliance officer graag kennis zal nemen van het OKB-verslag en vooral van de verantwoording die de OKB-er aflegt aan de kwaliteitsbepaler.
Een IKO is een Intern Kwaliteitsonderzoek, ook wel aangeduid als review. Het is in de praktijk een onderzoek met een dubbele functie. Het stelt achteraf vast of de kwaliteit van uitgevoerde controles afdoende was, en waar mogelijkheden zijn tot verbetering. In die zin is het onderdeel van het kwaliteitsstelsel en hoort dus net als de OKB bij de kwaliteitsbepaler. Maar de IKO heeft ook een formele insteek, de toetsing of bij de uitvoering van de controle aan de eisen van het kwaliteitsstelsel is voldaan. Vanuit dat perspectief is de IKO dus eerder een hulpmiddel voor compliance. In de praktijk zal je vaak zien dat beide doelen in één onderzoek worden gecombineerd, en zowel aansturing door de kwaliteitsbepaler, als door de compliance officer komt voor.
Review is een wat onhandig begrip, omdat het in de accountantspraktijk een aantal betekenissen heeft:
- De hiervoor genoemde IKO;
- De beoordeling van het dossier door de tekenend accountant;
- De beoordeling van secties, working papers, werkzaamheden van assistenten door de opdrachtleider;
- De beoordeling van delen van de jaarrekening of andere door de klant aangeleverde informatie.
Audit en onderzoek
Een ander begrippenpaar dat nog wel eens tot verwarring kan leiden is onderzoek versus audit. Het zijn geen al te strak gedefinieerde begrippen, maar enige consensus kan wel gevonden worden in de volgende omschrijvingen, toegespitst op de rol van de compliance officer:
Onderzoek betreft activiteiten door of namens de compliance officer waarbij inzicht wordt verkregen over een proces, organisatieonderdeel, informatie, etcetera, zonder dat getoetst wordt aan een norm. Populair is de term “verkennend onderzoek”, maar je mag je afvragen of dat niet vooral een soort verzachtende term is om duidelijk te maken dat het echt niet eng is om onderzocht te worden. Hoe dan ook, een onderzoek kan tot waarnemingen, inzichten, adviezen en allerhande andere rapportages leiden, maar zal in de regel niet tot een betrekkelijk scherp oordeel leiden. Daar is het andere instrument, de audit. Een audit is een gestructureerd onderzoek naar een feitelijkheid ten opzichte van een norm. Het heeft niet noodzakelijk de strikte structuur van assurance in de accountantspraktijk, maar het is wel vergelijkbaar, ook in de uitkomst. Een audit mondt uit in een oordeel door de compliance officer waarbij deze vaststelt dat de onderzochte feitelijkheid voldoet, niet voldoet, of beperkt voldoet aan de gehanteerde norm. Mocht een oordeel onmogelijk zijn, dan zal dat het resultaat van de audit zijn.
Waar bij een onderzoek het gehanteerde normenkader vrij zacht en subjectief kan zijn, is dat bij een audit niet mogelijk. Althans, in de praktijk wordt een oordeel van het soort “de werkzaamheden van X in casus Y voldoen niet aan mijn onderbuikgevoel” zelden erg nuttig gevonden. De Autoriteit Financiële Markten vraagt, als toezichthouder, in voorkomende gevallen vrijwel altijd naar het gehanteerde normenkader. Ook bij een onderzoek is het alleen al daarom zinvol te overwegen of, en zo ja welk, een normenkader van toepassing is.
Risico, Verslaggevingsrisico, Integriteitsrisico, Compliancerisico
Tenslotte een begrippengroepje dat nog wel eens verwarring geeft. In algemene zin is een risico een begrip dat ziet op “iets” dat een bepaalde of inschatbare kans heeft zich voor te doen met een bepaalde of inschatbare impact. In formule gezegd: risico = kans x impact.
Een verslaggevingsrisico is “iets” dat kan leiden tot een materiële afwijking in de jaarrekening. Zowel de controlerend accountant als de samenstellend accountant die risico-gericht samenstelt, heeft hier mee te maken. De werkzaamheden richten zich op het onderkennen van deze verslaggevingsrisico’s en op het vaststellen of deze zich daadwerkelijk hebben voorgedaan.
Een integriteitsrisico zegt iets over de integriteit van een klant, een medewerker, een persoon. De impact kan velerlei zijn. Te denken valt aan de risico’s op witwassen en terrorismefinanciering uit de WWFT, of de risico’s die de beheerste en integere bedrijfsvoering van een accountantsorganisatie kunnen raken. Waar de verwarring kan ontstaan is in de impact die een integriteitsrisico kan hebben op de verslaggeving. Dat valt het eenvoudigst te zien via de route van fraude. Een integriteitsrisico leidt dan tot een frauderisico, dat vervolgens weer leidt tot een verslaggevingsrisico. Geen van deze risico’s zijn hetzelfde, maar ze kunnen dus wel samenhangen.
Wat een compliancerisico precies is, lijkt vooral afhankelijk van degene aan wie je dat vraagt. Een overlappend begrip dat veel terug komt is dat het compliancerisico, mede, het risico betreft dat de organisatie interne en/of externe regels overtreedt. In de praktijk wordt dit regelmatig eng geïnterpreteerd, waarbij een compliancerisico rechtstreeks wordt gekoppeld aan een wet of een regel. Bijvoorbeeld als een WWFT audit wordt uitgevoerd, is voor vrijwel iedereen wel duidelijk dat dit een audit is gericht op een compliancerisico. Maar het begrip is breder. Ook het niet functioneren van interne systemen die niet direct gericht zijn of schijnen op compliance, kan leiden tot een compliancerisico. Stel bijvoorbeeld dat de cultuur binnen een kantoor erg informeel is, dan kan dat heel prettig zijn, maar het kan ook indirect leiden tot een al te losse omgang met vastleggingen die weer nodig zijn om te voldoen aan bepaalde wetgeving. Dan is “cultuur” dus een bron van een compliancerisico.
Pietluttigheid is troef?
Het is in dagelijks gebruik natuurlijk niet zo spannend als begrippen niet helemaal scherp zijn, zolang iedereen maar weet wat je bedoelt. In de discussie waarmee ik begon bleek echter dat de spraakverwarring over OKB en IKO wel degelijk tot inhoudelijk ontsporen van de discussie aanleiding gaf. Voor compliance officers is het de kunst pietluttigheid te vermijden maar wel degelijk nauwkeurig te zijn in formuleren.
My Essay 