
Op 19 oktober publiceerde de AFM een update van haar leidraad Wwft en Sanctiewet. Eerder kwamen DNB en de ministeries van Financiën en Veiligheid en Justitie al met vergelijkbare leidraden. Van ondernemingen wordt verwacht dat zij de aangepaste leidraden bestuderen en toepassen in de dagelijkse praktijk. De 10 belangrijkste wijzigingen:
1. Risicobeoordeling niet te algemeen formuleren
De Wwft verplicht een instelling een beoordeling van de eigen risico’s op witwassen en financieren van terrorisme op te stellen, vast te leggen en actueel te houden. De instelling analyseert de witwas- en terrorismefinancieringsrisico’s die zich kunnen voordoen ten aanzien van risicofactoren die verband houden met het type cliënt, product, dienst, transactie en leveringskanaal en met landen of geografische gebieden. De stappen die de instelling daartoe neemt moeten evenredig zijn met de aard en omvang van de instelling.
De AFM benadrukt dat de risico’s niet te algemeen moeten worden geformuleerd. ’In een risicobeoordeling wordt bijvoorbeeld niet het algemene potentiële risico van PEP’s (‘politically exposed person’) beschreven, maar moet worden ingegaan op de vraag of de instelling PEP’s in haar cliëntenbestand heeft, en zo ja, of dit binnenlandse of buitenlandse PEPs zijn, en welke specifieke risico’s dit met zich meebrengt.
2. Expliciete rol compliancefunctie
Instellingen moeten één van de dagelijks beleidsbepalers aanwijzen als verantwoordelijke voor de naleving van de Wwft. Verder is een instelling verplicht om, voor zover dit evenredig is aan de aard en de omvang van de instelling, te voorzien in de invulling van een compliancefunctie.
In de nieuwe leidraad wordt een explicietere rol voor de compliance officer geformuleerd. De compliancefunctie moet gericht zijn op het controleren van de naleving van wettelijke regels en interne regels die de instelling zelf heeft opgesteld. Daarnaast geeft de leidraad aan dat het voor de hand ligt dat de toetsing en het actualiseren van de risicobeoordeling en -beleid door de compliancefunctie wordt uitgevoerd.
Lees ook: Karen Maas: ‘Van control en compliance naar vertrouwen en impact’
3. Revisie cliëntenonderzoek bij eerste gelegenheid
De Wwft schrijft voor dat als een instelling een zakelijke relatie aangaat, deze instelling eerst cliëntenonderzoek verricht. Ten aanzien van cliënten die reeds op grond van de Wwft van voor de wetswijziging van 25 juli 2018 zijn geaccepteerd, geldt op grond van artikel 38 Wwft dat een revisie dient plaats te vinden van (delen van) het cliëntenonderzoek bij eerste gelegenheid.
Veel instellingen zien een eerste gelegenheid voor revisie bij een daadwerkelijk klantcontact. De AFM geeft echter aan dat een revisie niet alleen naar aanleiding van klantcontact moet plaatsvinden, maar ook op grond van de risicogevoeligheid van de cliënt. Dat betekent dat alle bestaande cliëntendossiers op risico gebaseerde wijze dienen te worden herzien, waarbij de cliëntendossiers met een hoog risico als eerst beoordeeld worden. De AFM verwacht dat instellingen inmiddels alle cliëntendossiers met hoger risico, van klanten die voor 25 juli 2018 zijn geaccepteerd, herzien heeft.
4. Reconstructieplicht ten aanzien van identificatieverplichting
Onderdeel van het cliëntenonderzoek is het identificeren van de cliënt en het verifiëren van diens identiteit, voordat de zakelijke relatie wordt aangegaan of een transactie wordt uitgevoerd. Vervolgens dient de instelling de persoonsgegevens, aan de hand waarvan identificatie heeft plaatsgevonden, op opvraagbare wijze vast te leggen.
Met verwijzing naar de richtsnoeren ‘Identificatie en verificatie van persoonsgegevens’ van de Autoriteit Persoonsgegevens, wordt in de leidraad aangegeven dat een instelling een reconstructieplicht heeft ten aanzien van het bewijs van de identificatieverplichting.
Een kopie van het gecontroleerde identiteitsdocument hoeft dus niet te worden vastgelegd. De onderneming kan volstaan met het vastleggen van bepaalde gegevens van het gecontroleerde identiteitsdocument. Bijvoorbeeld door deze vast te leggen in een systeem of document. Wij vinden de keuze om een kopie van het paspoort niet te bewaren overigens wel een gevaarlijke, aangezien het dan op een later moment niet meer te bepalen is of bij het overnemen van de belangrijkste gegevens fouten zijn gemaakt.
5. Ondanks UBO-register, ook eigen onderzoek verplichting
Met de komst van AMLD4 is het UBO-register geïntroduceerd. In dit register is opgenomen wie de uiteindelijke belanghebbenden zijn van een onderneming of instelling.
Een instelling moet bij het aangaan van een nieuwe zakelijke relatie vaststellen of de UBO van de cliënt is opgenomen in het UBO-register. Daarbij moet de instelling ervoor zorgen dat in het cliëntendossier een bewijs van de inschrijving in het UBO-register zit. ‘Dit is in aanvulling op de eigen verplichting van de instelling om de identiteit van de UBO te identificeren en te verifiëren. ‘Bij het verrichten van het cliëntenonderzoek mogen instellingen zich niet uitsluitend baseren op de informatie uit het UBO-register. Zij moeten zelf ook onderzoek doen naar wie de UBO is. In het CDD-beleid van de instelling moet dit ook zo zijn uitgewerkt.
Lees ook: Het UBO-register is een feit, wat nu?
6. Doel en aard van de zakelijke relatie
Een instelling moet (voorafgaand aan het aangaan van de zakelijke relatie) een oordeel vormen over het doel en de aard van een zakelijke relatie en de eventuele risico’s die de betreffende dienstverlening oplevert.
Een instelling moet in staat zijn om bepalen waarom en met welk doel een relatie een dienst afneemt. AFM geeft hiertoe het volgende aan:
- De afgenomen diensten of producten kunnen ook een indicatie zijn voor het doel en beoogde aard van de zakelijke relatie.
- Doel en aard kunnen ook blijken uit een overeenkomst, deze moet dan wel in het klantdossier zijn opgenomen.
- Voor cliënten die niet in Nederland wonen of gevestigd zijn: ‘de instelling aanvullende vragen moet stellen om te achterhalen waarom deze in Nederland diensten of producten afneemt bij de instelling’.
7. Uitbesteding voortdurende cliëntencontrole niet toegestaan
Een instellingen mag het cliëntenonderzoek op grond van artikel 10 Wwft aan een derde partij uitbesteden. Dat betekent dat de identificatie, verificatie, het nagaan van de uiteindelijk belanghebbende en het vaststellen van het doel en beoogde aard van de zakelijke relatie mogen worden uitbesteed, mits goed in kaart is gebracht waarom de organisatie vertrouwt op het cliëntenonderzoek door deze derde partij. ‘De instelling blijft hierbij wel altijd zelf verantwoordelijk voor een juiste naleving van de Wwft.
Hoewel cliëntenonderzoek mag worden uitbesteed, expliceert de leidraad dat de voortdurende cliëntencontrole, waaronder transactiemonitoring en het opstellen van het risicoprofiel, niet mag worden uitbesteed (alleen binnen de eigen groep).
8. Aanscherping opleidingseisen
Waar de oude leidraad alleen nog sprak over periodieke trainingen voor het personeel, waardoor ze in staat zijn ongebruikelijke transacties te herkennen, geeft de nieuwe leidraad meer invulling aan de opleidingseisen:
- de Wwft opleiding moet regelmatig worden aangeboden;
- het personeel moet niet alleen ongebruikelijke transacties kunnen herkennen, maar ook in staat zijn een cliëntenonderzoek goed en volledig te kunnen uitvoeren;
- de vorm is vrij, maar instellingen dienen (met materiaal) te kunnen onderbouwen hoe met de betreffende opleiding(en) wordt voldaan aan het opleidingsvereiste van de Wwft;
- het aanbod moet worden toegespitst op de verschillende functies binnen de instelling, de inhoud, diepgang en frequentie zal afhankelijk zijn van de functie van de medewerker;
- het aanbod, de gevolgde trainingen, de frequentie en de personen die opleidingen volgen moet worden vastgelegd;
- instellingen moeten het kennisniveau binnen de organisatie doorlopend vaststellen en monitoren, en hierop inspelen.
9. Doorlopend sanctie-screeningssysteem aanbevolen
Voor de naleving van sanctieregelgeving wordt door de AFM een ‘doorlopend screeningssysteem’ aanbevolen. Screening vindt dan plaats bij:
- aanvang van de relatie;
- periodiek bij wijzigingen bij de relatie (zoals de UBO);
- bij wijzigingen op de sanctielijsten; en
- na afloop van de relatie. Dat wil zeggen, bij beëindiging van de relatie moet nog een laatste screening plaatsvinden.
Afhankelijk van het type instelling en relatie moet de frequentie van de screening worden bepaald.
10. Screenen tegen meer sanctielijsten
Waar de oude leidraad zich beperkte tot de Europese of Nederlandse sanctielijsten, geeft de nieuwe leidraad aan dat een instelling haar relaties dient te screenen tegen:
Auteur: Ernst-Jan Mante is consultant bij adviesbureau Charco & Dique