LEES
Risk & Compliance

Voldoen aan de Wwft en WTT blijft hoofdpijndossier

Datum:13 december 2024

Voldoen aan de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) en de Wet toezicht trustkantoren (WTT) blijft voor veel organisaties een regelrecht hoofdpijndossier dat veel tijd en aandacht vraagt. En ondanks die aandacht gaat het lang niet altijd goed. In 2024 worden door DNB forse boetes uitgedeeld (bv Paninvest, Intertrust) of zijn die in het vooruitzicht gesteld (bv Volksbank). Die boetes worden uitgedeeld voor het onvoldoende uitvoeren van het (klantonderzoek). Maar hoe kan dat nog steeds misgaan, na al die jaren van streng toezicht, handreikingen, leidraden en boetes?

De consultants van Projective Group hebben jarenlange ervaring met het klantonderzoek en wat daarmee samenhangt : van zelf uitvoeren van klantonderzoeken, het opstellen van beleid, het reviewen van dossiers van verschillende soorten financiële instellingen, tot het uitvoeren of valideren van herstel projecten.

In dit artikel delen we kort onze ervaringen. We bespreken waar het vaak misgaat en, nog belangrijker, wat elke organisatie die onder de Wwft valt – of het nu een vermogensbeheerder of een advocatenkantoor is – hiervan kan leren om zijn CDD-processen op orde te krijgen.

Waar gaat het mis

Dit zijn de belangrijkste oorzaken van wat ons betreft:

  1. Risicoanalyse & beleid sluiten onvoldoende aan op de organisatie
  2. Uitvoering & vastlegging van klantonderzoek niet voldoende
  3. Beperkte ondersteuning voor het CDD proces.

De volgorde is niet toevallig. Zonder een goed uitgevoerde en regelmatig geactualiseerde risicoanalyse en de daarop gebaseerd beleid,  is de kans dat een individueel klantonderzoek goed wordt uitgevoerd vrij gering.

Risicoanalyse & Beleid

De risicoanalyse (zelfstandig of als onderdeel van de SIRA) als het gaat om witwassen en terrorisme financiering vormt de basis voor de manier waarop een organisatie die onder Wwft of WTT valt deze risico’s mitigeert en beheerst. Dan gaat het om onder andere om klant- , sector- en geografische risico’s, maar ook distributie gerelateerd risico’s. Hoe concreter de risico’s voor de onderneming zijn gedefinieerd, hoe beter de beheersmaatregelen hier aantoonbaar op kunnen aansluiten. Immers, bij alleen online distributie loop je andere risico’s dan wanneer je klant in levende lijve ziet. De beheersmaatregelen moeten daarop aansluiten.

Praktijkvoorbeeld

Bij een financiële instelling werd commercieel vastgoed als risicoverhogend gezien. Geen gekke gedachte, maar in het beleid was niet goed uitgewerkt wat dat betekende. In de praktijk was het gevolg dat een relatie die research leverde over de commerciële vastgoed sector automatisch de risico classificatie hoog kreeg.

Bij het herschrijven van het beleid hebben wij de risicofactor commercieel vastgoed beter beschreven zodat o.a. onderscheid werd gemaakt tussen de verschillende verschijningsvormen.

Beleid heeft een houdbaarheidsdatum

Het anti-witwasbeleid moet niet alleen aansluiten op de eigen risico analyse, de Wwft en WTT, maar ook op de diverse richtlijnen en leidraden van de AFM en DNB. Die worden om de zoveel tijd vernieuwd, wat gevolgen kan hebben voor het uit te voeren klant onderzoek. In de praktijk is het voor veel instellingen lastig het beleid actueel te houden. Dat maakt het lastig om er zeker van te zijn of het beleid van de organisatie wel voldoet. En als het beleid niet voldoet, is de kans dat het klantonderzoek goed wordt uitgevoerd klein.

Praktijkvoorbeeld

Wij komen regelmatig tegen dat het beleid van een organisatie achterloopt bij de laatste wet- en regelgeving en instructies van de toezichthouders. Een recent voorbeeld kwam van een trustkantoor dat het verbod (van juli 2022) op dienstverlening aan cliënten die in Rusland of Wit-Rusland wonen of gevestigd zijn, volledig had gemist. Met alle gevolgen van dien.

Behalve het voorkomen van het problemen met de toezichthouder heeft een goed uitgevoerde risicoanalyse en daarop gebaseerd beleid ook andere voordelen. Een scherpe risicoanalyse voorkomt dat een organisatie te veel doet en bijvoorbeeld te veel informatie opvraagt. Over een klantonderzoek dat te uitgebreid zal DNB of AFM waarschijnlijk geen opmerkingen hebben, maar de extra vragen kunnen belastend zijn voor klanten. En uit de onnodig opgevraagde informatie die ontvangen ook weer werk voortvloeien. Immers, als er informatie ontvangen wordt die op haar beurt weer vragen oproept wordt het klantonderzoek onnodig verzwaard.

Uitvoering & vastlegging van klantonderzoek

Uiteindelijk moet uit de CDD dossiers blijken in hoeverre de instelling voldoet aan wet- en regelgeving. Een eventueel onderzoek van de toezichthouder zal dan ook altijd beginnen met het beoordelen van een aantal dossiers. Zelfs als de risicoanalyse naar behoren is uitgevoerd en het beleid adequaat is, kan het in de uitvoering nog misgaan. Vaak ligt dat aan de manier waarop het onderzoek is uitgevoerd. Zijn alle risico indicatoren onderzocht? Is er terecht gekozen voor een standaard of uitgebreid klantonderzoek? Als het hier misgaat ligt het vaak aan de uitvoerbaarheid van het beleid in combinatie met de kwaliteit van de analisten. Permanente educatie van iedere medewerker op ieder niveau in de organisatie is niet alleen een vereiste vanuit de Wwft, maar ook een voorwaarde voor kwalitatief goede reviews.

Het kan ook liggen aan de manier waarop het onderzoek is vastgelegd in het dossier. Het dossier moet zelfstandig leesbaar zijn en op basis van het dossier moet de risicocategorie van de klant zelfstandig te reconstrueren zijn. Dus als er een conclusie wordt getrokken met betrekking tot een deelrisico moet ook duidelijk zijn vastgelegd op basis waarvan de conclusie is getrokken. Dus niet alleen: de opgegeven herkomst van vermogen van deze klant is plausibel. Maar “de opgegeven herkomst van vermogen van deze klant is plausibel, omdat deze zijn bedrijf heeft verkocht in 2023 voor x miljoen etc.”.

Voor dossiers die deze gebreken vertonen geldt dat de toezichthouder deze als niet-effectief zal beschouwen. Ook al is het onderzoek in de praktijk wel goed uitgevoerd en is de risicoclassificatie passend voor de klant. Niet aantoonbaar betekent al snel niet-effectief.

Proces en systeem

Zelfs met goed beleid, goed opgeleide analisten en de nodige ervaring kan het CDD-proces alsnog mislopen zonder adequate ondersteuning. Bij grotere aantallen klanten die periodiek moeten worden gereviewd of ge-onboard, is het haast onhaalbaar om de stroom van opgevraagde en uitstaande informatie en bijbehorende beheersmaatregelen per klant in Excel bij te houden. Dit probleem wordt nog urgenter bij deadlines, zoals bij herstelprojecten, maar speelt ook bij reguliere deadlines voor periodieke reviews. Het inzetten van een workflowsysteem dat het proces ondersteunt en actuele managementinformatie biedt, is dan een essentieel voordeel.

Dezelfde uitdaging geldt voor de daadwerkelijke vastlegging. Bij een groot aantal klanten leidt het opslaan van gegevens in lokale mappen en zelfgemaakte Excel-bestanden snel tot onoverzichtelijke en onbeheersbare situaties. Wanneer de DNB vervolgens vraagt om bepaalde dossiers, kan het verzamelen van deze informatie een tijdrovend project op zich worden.

Praktijkvoorbeeld

Bij een hersteltraject van een vastgoedbank werden de CDD-reviews vastgelegd in Excel-bestanden, die gekoppeld waren aan een Excel-bestand voor de managementrapportage. Naarmate het project groeide en steeds meer mensen met deze bestanden werkten, werd het rapportagebestand steeds instabieler en crashte het regelmatig. Dit leidde tot vertragingen in het project en bemoeilijkte het rapporteren aanzienlijk.
Oplossing

Samen met de IT afdeling van de opdrachtgever werd een CDD workflow systeem (op basis van Microsoft Dynamics) ingericht. Na implementatie van het systeem werden de bestaande Excels gemigreerd naar een stabiele omgeving, waar ook de management rapportages veel makkelijker gedraaid konden worden.

De vervolgstap in effectieve compliance

Het behalen van compliance met de Wwft en WTT is een doorlopende uitdaging die een stevige basis vereist in risicoanalyse, duidelijk beleid, foutloze uitvoering en robuuste procesondersteuning. Door veelvoorkomende valkuilen te vermijden en je CDD-praktijken af te stemmen op de wettelijke vereisten, kan je organisatie niet alleen boetes voorkomen, maar ook de operationele efficiëntie verbeteren en het vertrouwen van belanghebbenden vergroten.

Wil je meer weten over hoe je je compliance processen kunt optimaliseren? Lees meer op onze KYC as a Service pagina, of neem direct contact met ons op om te bespreken hoe we jouw organisatie verder kunnen helpen.