WITWASAFFAIRE – De ING-kwestie trok de afgelopen week de nodige aandacht, waarbij ook de rol van de accountant aan de orde kwam. Onder meer via een brief van de VEB aan ING – met cc aan EY en KPMG – waarin een aantal indringende vragen wordt gesteld.

Terecht lijkt mij, bij gezaaide twijfel is transparantie een vereiste. Bovendien is de casus vaktechnisch van belang, in het licht van de recente fraudediscussie. In die discussie gaat het niet alleen om het perspectief van de fraudemeldplicht ex artikel 26 Wta juncto de artikelen 36-38 Bta, maar ook om NV COS 240. Aanpalend is NV COS 250, handelend over de naleving van wet- en regelgeving bij de controle van een financiële verantwoording. Daaraan voeg ik graag nog toe NV COS 315 over risicobeoordeling en het verwerven van inzicht in de entiteit (waaronder het aspect van interne beheersing) en NV COS 330, over de wijze waarop de accountant met die risico’s moet omgaan tijdens de controle.

Mijns inziens hoeft het geen betoog en is het dus evident dat:

• het witwasrisico een relevant frauderisico is (NV COS 240), zeker in een bancaire omgeving;
• het witwasrisico ook een relevant bedrijfsrisico is (NV COS 315.4), zeker in een bancaire omgeving. Het gaat dan om een risico dat voortkomt uit significante voorwaarden, gebeurtenissen, omstandigheden, handelingen of het achterwege laten van handelingen die een nadelig effect kunnen hebben op de mogelijkheid van de entiteit om haar doelstellingen te bereiken en haar strategieën uit te voeren, of dat voortkomt uit het vaststellen van ongepaste doelstellingen en strategieën;
• het witwasrisico een relevant risico betreft dat in het kader van de interne beheersing van belang is (NV COS 315.13 en 14), zeker in een bancaire omgeving. Dat is namelijk bij uitstek een omgeving waarin het zogeheten three lines of defence model (1. Business, 2. Compliance, 3. Internal Audit) wordt gepropageerd en waarbij de externe accountant moet beoordelen in welke mate hij of zij daarop kan steunen;
• het witwasrisico een relevant aspect vormt als het gaat om het beoordelen van regelgevingsfactoren (een ‘lelijk’ woord, dat wordt gehanteerd in NV COS 315, paragraaf A27-28), zeker in een bancaire omgeving. Zo is in de genoemde NV COS onder meer bepaald dat de accountant in dit kader rekening ‘kan’ (‘moet” zou hier niet hebben misstaan) houden met het regelgevingskader voor een gereguleerde sector (banken staan in het kader van de anti-witwaswetgeving onder toezicht van DNB), wet- en regelgeving die van significante invloed kan zijn op de activiteiten (dat is de anti-witwaswetgeving ingevolge de verstrekkende bevoegdheden van toezichthouder DNB);
• het witwasrisico een relevant hoog risico vormt – waarop de accountant dan ook in moet spelen – in een omgeving waarin de interne beheersing gebrekkig is (NV COS 330), zeker als het een bancaire omgeving betreft. Het feitenrelaas van het Openbaar Ministerie – dat ING in haar persuitingen onderschrijft en waarvan de bank de ernst heeft erkend – betreft een lange lijst van ernstige omissies in de interne beheersing;
• dit alles nog relevanter is in de casusspecifieke context waarin DNB in zowel 2008 als 2015 heeft opgetreden door een formele maatregel van ‘aanwijzing’ respectievelijk een ‘last onder dwangsom’. Voorts kan daarbij worden gevoegd de publiciteit en de rechtszaken (met betrekking tot betrokkenheid van ING bij witwassen) die speelden in de door het OM gewraakte periode (2010-2016).

Theorie en praktijk

Alleen al om deze redenen faalt in de ING-kwestie het vaker gehoorde betoog van degenen die in dit type casuïstiek (of in corruptiekwesties) stellen dat het hier toch vooral gaat om de toepassing van NV COS 250. Deze controlestandaard heeft betrekking op het in aanmerking nemen van wet- en regelgeving bij een controle van financiële overzichten.

Collega hoogleraren zoals Philip Wallage, Peter Diekman en ook recent nog Arjan Brouwer hebben in het verleden regelmatig gerefereerd aan de toepassing van NV COS 240 en 250. Ik meen met name in de uitingen van de twee eerstgenoemden te lezen dat zij in deze twee standaarden een wezenlijk verschil zien als het gaat om de verantwoordelijkheid van de accountant. Dat verschil zie ik louter in theorie en gemeten naar de letter van de standaarden, maar niet in de praktijk en naar de geest van de standaarden.

‘Binnen een bancaire omgeving kan er geen enkele discussie zijn of witwassen een risico is waarmee de accountant rekening moet houden tijdens de controle.’

Laat ik volstrekt duidelijk zijn: in een casus binnen een bancaire omgeving kan er wat mij betreft geen enkele discussie zijn of het witwasrisico een risico betreft waarmee de accountant rekening moet houden tijdens de controle. Dit ongeacht of deze dat doet vanuit de frauderisico’s (NV COS 240) of wet- en regelgeving (NV COS 250). Daarbij moet de accountant dus ook aandacht schenken aan de naleving door de gecontroleerde van diens verplichtingen in het kader van de anti-witwasgeving; dit overigens ook in het kader van de eigen meldplicht witwassen van de accountant (een betekenisvol bijzinnetje!).

Voor de goede orde benadruk ik dat ik geen oordeel vel over de handelwijze van EY en KPMG (bij laatstgenoemde zijn overigens de verslaggevingstechnische vraagstukken wellicht meer van belang dan de in deze blog behandelde controletechnische aspecten) in de ING-casus. Uiteraard kan de controle goed zijn uitgevoerd en goed in het dossier zijn vastgelegd.

De tijd zal het leren, bijvoorbeeld doordat EY met deugdelijk onderbouwde antwoorden komt op de vragen van de VEB. Als die antwoorden niet komen kan ik mij goed voorstellen dat aandeelhouders – die nu een forse rekening betalen – een juridische procedure (ex artikel 843a RV) starten tegen EY, waarin zij (niet-limitatief) vragen om:

• de wijze waarop de accountant inzicht in de cliënt heeft verworven;
• de risico-inschatting van de accountant;
• de werkzaamheden inzake de frauderisico’s en eventuele fraudesignalen;
• de werkzaamheden inzake de naleving van wet- en regelgeving;
• de werkzaamheden inzake de interne beheersingsmaatregelen, waaronder die inzake de anti-witwasgeving, maar ook specifiek ten aanzien van de three lines of defense;
• de wijze waarop de accountant op geconstateerde risico’s (daaronder het fraude- en witwasrisico) heeft ingespeeld en dus het controleplan terzake;
• de wijze waarop fraudesignalen, perspublicaties en rechtszaken tijdens de controle zijn meegenomen;
• de uitkomsten van voorgaande punten;
• de bevindingen van de accountant en de wijze waarop deze zijn besproken met de cliënt (compliance, internal audit, bestuur, audit commissie en raad van commissarissen);
• de neerslag van dat alles in bespreekverslagen en andere dossiervastleggingen;
• de relevante passages in audit reports, management letters en aanverwante rapportages.

Nu de ING-kwestie dusdanig openbaar is geworden dat het feitenrelaas van het OM duidelijk inzicht geeft waar de omissies bij EY’s controlecliënt zaten (het betreft het verleden, anno 2018 zijn de verbeteringen ingezet), is een eventuele verwijzing van de kant van EY naar geheimhouding een argument dat de rechter in een 843a RV-procedure mogelijk niet direct zal overtuigen.

Internal control en COSO

Het voorgaande vragenlijstje aan de accountant moet echter op een belangrijk punt worden aangevuld: de werkzaamheden van de accountant ten aanzien van de SOx 404-verklaring. Als we bijvoorbeeld naar het jaarverslag 2011 van de ING Groep kijken, dan zien we dat toenmalig ceo Jan Hommen en cfo Patrick Flynn de zogeheten SOx 404-verklaring of de verklaring inzake de ‘Interne beheersing van de financiële verslaggeving’ hebben getekend.

‘Het feitenrelaas van het OM toont een ontluisterend beeld, als het gaat om aspecten van risicomanagement, interne beheersing en compliance.’

Met name de volgende twee passages zijn daarbij van belang: ‘ING Groep hanteert al geruime tijd Business Principles en een robuuste interne controlecultuur, waaraan alle medewerkers zich dienen te houden. SOX 404-activiteiten worden conform de bestuursstructuur georganiseerd en vereisen de betrokkenheid van het hogere kader binnen de gehele onderneming. Op basis van de SOX 404-aanpak is ING in staat een ongekwalificeerde verklaring af te geven, waarin vastligt dat de interne beheersing van de financiële verslaggeving effectief is per 31 december 2011.‘

En voorts:
‘De Raad van Bestuur heeft de effectiviteit van de interne beheersing van de financiële verslaggeving per 31 december 2011 beoordeeld. De Raad van Bestuur heeft bij die beoordeling gebruikgemaakt van toetsingen op basis van de criteria van de Committee of Sponsoring Organizations of the Treadway Commission (COSO) in Internal Control – Integrated Framework. Op basis van de beoordeling van de Raad van Bestuur en die criteria is de Raad van Bestuur tot de slotsom gekomen dat de interne beheersing van de financiële verslaggeving per 31 december 2011 effectief was.‘

De accountant heeft hierbij een – soort goedkeurende – verklaring afgegeven, waaruit ik ook twee passages haal:
‘We hebben de interne beheersing van de financiële verslaggeving van ING Groep N.V. per 31 december 2011 gecontroleerd op basis van criteria zoals die zijn vastgesteld in ‘Internal Control – Integrated Framework’, uitgegeven door de Committee of Sponsoring Organizations of the Treadway Commission (de COSO-criteria).‘

En voorts het oordeel van de accountant:
‘Naar ons oordeel is de interne beheersing van de financiële verslaggeving van ING Groep N.V. per 31 december 2011 op basis van de COSO-criteria in alle materiële opzichten effectief.‘

ING-bestuurders hebben derhalve afgetekend op naleving van de criteria die zijn vervat in het COSO-raamwerk, dat geheel is gericht op het – zoals het zo mooi heet – Enterprise Risk Management en het interne beheersingssysteem. Een belangrijke doelstelling van het COSO-model is het bereiken van de naleving van wet- en regelgeving (compliance).

Ontluisterend beeld

En wat toont het feitenrelaas van het Openbaar Ministerie, als het gaat om aspecten van risicomanagement, interne beheersing en compliance? Welnu, een ontluisterend beeld, blijkt uit de volgende bloemlezing:

• Zo ontbraken bijvoorbeeld identificatie- en verificatiegegevens van cliënten en hun UBO’s, waaronder mogelijk ook PEP’s, en was ING NL niet (of niet voldoende) op de hoogte van de activiteiten van haar cliënten.
• Het strafrechtelijk onderzoek wees uit dat ING NL regelmatig onjuiste of helemaal geen risicoclassificaties toekende aan een deel van haar cliënten.
• Ook heeft ING NL belangrijke signalen, die volgens het eigen beleid hadden moeten leiden tot een CDD-review, vaak niet als zodanig opgepakt. Het ging hierbij om signalen zoals verzoeken om informatie over cliënten afkomstig van opsporingsdiensten of signalen die voortkwamen uit het eigen transactiemonitoringsysteem FCRM.
• Het strafrechtelijk onderzoek heeft diverse, waaronder ernstige, tekortkomingen blootgelegd in het proces van de transactiemonitoring bij ING NL. Dit betreft tekortkomingen die zowel zien op het genereren van alerts naar aanleiding van transacties van cliënten door het transactiemonitoringssysteem FCRM, als op het onderzoeken en afhandelen van deze signalen door afhandelaars. Hiermee heeft ING NL jarenlang, in de periode van 2010 tot en met 2016, onvoldoende maatregelen genomen om ongebruikelijke transacties te identificeren en potentiële witwassignalen gemist.
• ING NL heeft in de periode 2010 tot en met 2016 de effectiviteit van haar transactiemonitoringssysteem niet onderzocht en ook niet up-to-date gehouden. Haar criteria werden nauwelijks aangepast aan ontwikkelingen op het gebied van witwassen en de steeds strengere wet- en regelgeving.
• Er werd te weinig personeel beschikbaar gesteld om werkzaamheden uit te voeren en ook om de problemen die bekend waren geworden binnen de organisatie voortvarend en structureel op te lossen. Ook had het wel beschikbare personeel niet altijd de benodigde kennis en ervaring om de werkzaamheden uit te voeren. Uit het onderzoek is gebleken dat ING NL in de periode 2010 tot en met 2016 onvoldoende heeft geïnvesteerd in personele capaciteit en kwaliteit.
• Binnen ING NL is jarenlang onvoldoende aandacht besteed aan een juiste uitvoering van het FEC CDD beleid. Er ontbrak, ook bij het betrokken senior management, voldoende bewustzijn van het belang van een gedegen uitvoering van dit beleid. Ook ontbrak voldoende besef van de mate waarin ING NL jarenlang onder de maat bleef presteren, als het ging om het voldoen aan haar wettelijke verplichtingen; de tone at the top onderschreef onvoldoende het belang van een goede uitvoering van de Wwft verplichtingen.
• Een belangrijke oorzaak van het ontstaan en blijven bestaan van de tekortkomingen was het disfunctioneren van de interne controles binnen ING NL op het gebied van compliance risk management. ING NL hanteerde hiervoor, zoals eerder omschreven, het three lines of defence– model. Al deze lines of defence hadden een eigen rol in het voorkomen van niet-naleving van wet- en regelgeving. Uit het strafrechtelijk onderzoek komt naar voren dat deze lines of defence beperkt verantwoordelijkheid hebben gevoeld voor het geheel en dat sprake was van verzuiling, waarbij een ieder slechts oog had voor zijn eigen afgebakende rol. Daarmee ontbrak eigenaarschap op het gehele proces.
• Uit het onderzoek is gebleken dat ING NL over een lange periode structureel te weinig heeft geïnvesteerd in het voldoen aan haar wettelijke verplichtingen. Een van de redenen daarvoor was dat, bij de uitvoering van het FEC CDD beleid, compliance dikwijls minder belangrijk werd gevonden dan de business. De focus van ING NL was vooral gericht op de winstgevendheid van de organisatie en het behalen van de commerciële doelstellingen. Het gebrek aan investeringen in de benodigde capaciteit, zowel in personele als in technische zin, heeft mede bijgedragen aan het ontstaan en voortduren van de ernstige tekortkomingen bij de uitvoering van het FEC CDD-beleid.

Allemaal letterlijke citaten, waar ik wellicht had kunnen volstaan met de laatste twee bulletpoints.

‘De focus van ING NL was vooral gericht op de winstgevendheid van de organisatie en het behalen van de commerciële doelstellingen.’

Mijn punt is duidelijk: het feitenrelaas van het OM – dat door ING anno 2018 wordt erkend – roept de vraag op hoe ING-bestuurders en de accountant de SOx 404-verklaringen (over 2011 en andere jaren) hebben kunnen ondertekenen en welke informatie respectievelijk controlewerkzaamheden daaraan ten grondslag hebben gelegen.

Kortom: reden genoeg om het lijstje met vragen aan de accountant aan te vullen met diens Sox 404/COSO-dossier.

Dit betoog wordt op korte termijn afgesloten met een opinie van Marcel Pheijffer.

Bron: Accountant