Geactualiseerde AFM leidraad Wwft: de belangrijkste wijzigingen

De drie leidraden hebben betrekking op de algemene aspecten van de Wwft die voor alle Wwft-instellingen gelden. De leidraden moet in samenhang gelezen worden. Van ondernemingen wordt verwacht dat zij de aangepaste leidraden bestuderen en toepassen in de dagelijkse praktijk.

De voornaamste aanleiding voor de update is nieuwe regelgeving (AMLD4, AMLD5 en het Ultimate Benificial Owner (UBO)-register). Daarnaast bleek uit de beantwoording van de Wwft en Sw-vragenlijsten, dat marktpartijen behoefte hebben aan meer toelichting op de invulling van bepaalde normen van de Wwft.

Wij gaan hieronder in op de 11 belangrijkste wijzigingen.

1. Risicobeoordeling niet te algemeen formuleren

De Wwft verplicht een instelling een beoordeling van de eigen risico’s op witwassen en financieren van terrorisme op te stellen, vast te leggen en actueel te houden. De instelling analyseert de witwas- en terrorismefinancieringsrisico’s die zich kunnen voordoen ten aanzien van risicofactoren die verband houden met het type cliënt, product, dienst, transactie en leveringskanaal en met landen of geografische gebieden. De stappen die de instelling daartoe neemt moeten evenredig zijn met de aard en omvang van de instelling.

De AFM benadrukt dat de risico’s niet te algemeen moeten worden geformuleerd:

‘’In een risicobeoordeling wordt bijvoorbeeld niet het algemene potentiële risico van PEP’s (‘politically exposed person’) beschreven, maar moet worden ingegaan op de vraag of de instelling PEP’s in haar cliëntenbestand heeft, en zo ja, of dit binnenlandse of buitenlandse PEPs zijn, en welke specifieke risico’s dit met zich meebrengt.”

2. Expliciete rol compliancefunctie

Instellingen moeten één van de dagelijks beleidsbepalers aanwijzen als verantwoordelijke voor de naleving van de Wwft. Verder is een instelling verplicht om, voor zover dit evenredig is aan de aard en de omvang van de instelling, te voorzien in de invulling van een compliancefunctie.

In de nieuwe leidraad wordt een explicietere rol voor de compliance officer geformuleerd: “de compliancefunctie moet gericht zijn op het controleren van de naleving van wettelijke regels en interne regels die de instelling zelf heeft opgesteld”. Daarnaast geeft de leidraad aan dat “het voor de hand ligt dat de toetsing en het actualiseren van de risicobeoordeling en beleid door de compliancefunctie wordt uitgevoerd”.

3. Revisie cliëntenonderzoek bij eerste gelegenheid

De Wwft schrijft voor dat als een instelling een zakelijke relatie aangaat, deze instelling eerst cliëntenonderzoek verricht. Ten aanzien van cliënten die reeds op grond van de Wwft van voor de wetswijziging van 25 juli 2018 zijn geaccepteerd, geldt op grond van artikel 38 Wwft dat een revisie dient plaats te vinden van (delen van) het cliëntenonderzoek bij eerste gelegenheid.

Veel instellingen zien een eerste gelegenheid voor revisie bij een daadwerkelijk klantcontact. De AFM geeft aan dat een revisie niet alleen n.a.v. klantcontact moet plaatsvinden, maar ook op grond van de risicogevoeligheid van de cliënt. Dat betekent dat alle bestaande cliëntendossiers op risico gebaseerde wijze dienen te worden herzien, waarbij de cliëntendossiers met een hoog risico als eerst beoordeeld worden. De AFM verwacht dat instellingen inmiddels alle cliëntendossiers met hoger risico, van klanten die voor 25 juli 2018 zijn geaccepteerd, herzien heeft.

4. Reconstructieplicht ten aanzien van identificatieverplichting

Onderdeel van het cliëntenonderzoek is het identificeren van de cliënt en het verifiëren van diens identiteit, voordat de zakelijke relatie wordt aangegaan of een transactie wordt uitgevoerd. Vervolgens dient de instelling de persoonsgegevens, aan de hand waarvan identificatie heeft plaatsgevonden, op opvraagbare wijze vast te leggen.

Met verwijzing naar de richtsnoeren ‘Identificatie en verificatie van persoonsgegevens’ van de Autoriteit Persoonsgegevens, wordt in de leidraad aangegeven dat een instelling een reconstructieplicht heeft ten aanzien van het bewijs van de identificatieverplichting.

Een kopie van het gecontroleerde identiteitsdocument hoeft dus niet te worden vastgelegd. De onderneming kan volstaan met het vastleggen van bepaalde gegevens van het gecontroleerde identiteitsdocument. Bijvoorbeeld door deze vast te leggen in een systeem of document. Wij vinden de keuze om een kopie van het paspoort niet te bewaren overigens wel een gevaarlijke, aangezien het dan op een later moment niet meer te bepalen is of bij het overnemen van de belangrijkste gegevens fouten zijn gemaakt.

5. Ondanks UBO-register, ook eigen onderzoek verplichting

Met de komst van AMLD4 is het UBO-register geïntroduceerd. In dit register is opgenomen wie de uiteindelijke belanghebbenden zijn van een onderneming of instelling.

Een instelling moet bij het aangaan van een nieuwe zakelijke relatie vaststellen of de UBO van de cliënt is opgenomen in het UBO-register. Daarbij moet de instelling ervoor zorgen dat in het cliëntendossier een bewijs van de inschrijving in het UBO-register zit. Dit is in aanvulling op de eigen verplichting van de instelling om de identiteit van de UBO te identificeren en te verifiëren. Bij het verrichten van het cliëntenonderzoek mogen instellingen zich niet uitsluitend baseren op de informatie uit het UBO-register. Zij moeten zelf ook onderzoek doen naar wie de UBO is. In het CDD-beleid van de instelling moet dit ook zo zijn uitgewerkt.

6. Doel en aard van de zakelijke relatie

Een instelling moet (voorafgaand aan het aangaan van de zakelijke relatie) een oordeel vormen over het doel en de aard van een zakelijke relatie en de eventuele risico’s die de betreffende dienstverlening oplevert.

Een instelling moet in staat zijn om bepalen waarom en met welk doel een relatie een dienst afneemt. AFM geeft hiertoe het volgende aan:

• “De afgenomen diensten of producten kunnen ook een indicatie zijn voor het doel en beoogde aard van de zakelijke relatie”.
• Doel en aard kunnen ook blijken uit een overeenkomst, deze moet dan wel in het klantdossier zijn opgenomen.
• Voor cliënten die niet in Nederland wonen of gevestigd zijn: “de instelling aanvullende vragen moet stellen om te achterhalen waarom deze in Nederland diensten of producten afneemt bij de instelling”.

7. Frequentie periodieke review

Een instelling actualiseert, op basis van risico gebaseerde aanpak, periodiek de informatie over de cliënt en het risicoprofiel van de cliënt.

De aangepaste leidraad geeft aan dat een instelling vooraf indicatoren moet vaststellen op basis waarvan de diepgang van het onderzoek wordt bepaald. In het beleid en de procedures moet zijn bepaald op welke wijze en frequentie deze actualisering plaatsvindt.

“Er is daarbij een duidelijke cyclus per risicocategorie of klantensoort, bijvoorbeeld hoog risico minstens één keer per jaar, midden risico minstens één keer per twee jaar, en laag risico binnen vijf jaar of op basis van een goed omschreven ‘event driven review’, dus een review naar aanleiding van een bepaalde gebeurtenis (‘triggers’)”.

 Opvallend is dat de AFM hier spreekt over een tweejaarlijkse review voor midden risicoklanten, terwijl DNB spreekt over een review tussen de 2-3 jaar. Voor laag risicoklanten spreekt de AFM over binnen 5 jaar reviewen, terwijl DNB elke 3-5 jaar aanhoudt. Deze verschillen leveren nu een ongewenste onduidelijkheid op.

Een instelling zal in ieder geval in het beleid en procedures duidelijk moeten beschrijven op welke wijze en hoe vaak de actualisering moet plaatsvinden. De onderbouwing van de gekozen frequentie kan eveneens in het beleid worden vastgelegd.

8. Uitbesteding voortdurende cliëntencontrole niet toegestaan

Een instellingen mag het cliëntenonderzoek op grond van artikel 10 Wwft aan een derde partij uitbesteden. De identificatie, verificatie, het nagaan van de uiteindelijk belanghebbende en het vaststellen van het doel en beoogde aard van de zakelijke relatie mogen worden uitbesteed, mits goed in kaart is gebracht waarom de organisatie vertrouwt op het cliëntenonderzoek door deze derde partij.

Een opdracht tot uitbesteding met een structureel karakter moet door de instelling schriftelijk worden vastgelegd. De instelling blijft hierbij altijd zelf verantwoordelijk voor een juiste naleving van de Wwft.

Hoewel clientenonderzoek mag worden uitbesteed, expliceert de leidraad dat de voortdurende cliëntencontrole, waaronder transactiemonitoring en het opstellen van het risicoprofiel, niet mag worden uitbesteed (alleen binnen de eigen groep).

9. Aanscherping opleidingseisen

Waar de oude leidraad alleen nog sprak over periodieke trainingen voor het personeel, waardoor ze in staat zijn ongebruikelijke transacties te herkennen, geeft de nieuwe leidraad meer invulling aan de opleidingseisen:

• de Wwft opleiding moet regelmatig worden aangeboden;
• het personeel moet niet alleen ongebruikelijke transacties kunnen herkennen, maar ook in staat zijn een cliëntenonderzoek goed en volledig te kunnen uitvoeren;
• de vorm is vrij, maar instellingen dienen (met materiaal) te kunnen onderbouwen hoe met de betreffende opleiding(en) wordt voldaan aan het opleidingsvereiste van de Wwft;
• het aanbod moet worden toegespitst op de verschillende functies binnen de instelling, de inhoud, diepgang en frequentie zal afhankelijk zijn van de functie van de medewerker;
• het aanbod, de gevolgde trainingen, de frequentie en de personen die opleidingen volgen moet worden vastgelegd;
• instellingen moeten het kennisniveau binnen de organisatie doorlopend vaststellen en monitoren, en hierop inspelen.

De AFM gaat ervan uit dat de compliance functionaris aanvullende opleidingen volgt om op de hoogte te blijven van ontwikkelingen inzake wet- en regelgeving en witwas- en terrorismefinancieringsrisico’s. Daarnaast moeten de dagelijks beleidsbepalers – die belast zijn met de verantwoordelijkheid voor de naleving van de Wwft en Sw – voldoende opleidingen krijgen om hun (eind)verantwoordelijkheid te kunnen dragen.

10. Doorlopend sanctie-screeningssysteem aanbevolen

Voor de naleving van sanctieregelgeving wordt door de AFM een ‘doorlopend screeningssysteem’ aanbevolen. Screening vindt dan plaats bij:

• aanvang van de relatie;
• periodiek bij wijzigingen bij de relatie (zoals de UBO);
• bij wijzigingen op de sanctielijsten; en
• na afloop van de relatie. Dat wil zeggen, bij beindiging van de relatie moet nog een laatste screeing plaatsvinden.

Afhankelijk van het type instelling en relatie moet de frequentie van de screening worden bepaald.

11. Screenen tegen meer sanctielijsten

Waar de oude leidraad zich beperkte tot de Europese of Nederlandse sanctielijsten, geeft de nieuwe leidraad aan dat een instelling haar relaties dient te screenen tegen:

• de Nationale sanctielijst terrorisme;
• de EU- sanctielijst; en
• de VN-sanctielijst.

Tot slot

De Wwft en Sanctiewet 1977 legt een instelling de nodige verplichtingen op. Met de leidraad Wwft en Sanctiewet 1977 geeft de AFM nadere duiding aan bepaalde open normen en de vereisten van deze wetgeving. Het is dan ook belangrijk om (nogmaals) grondig kennis te nemen van (de aanpassingen) in de leidraad, zodat uw CDD-beleid en -processen eruit gaan zien zoals de AFM dat voorschrijft.

Nu de opleidingseisen verder aangescherpt zijn, is het nog meer van belang dat medewerkers en beleidsbepalers aantoonbaar bekend zijn met de bepalingen van de Wwft. Via ons opleidingsinstituut The Ministry of Compliance bieden wij verschillende Wwft cursussen aan. Waaronder een Wwft Awareness cursus, een Sanctiewet Awareness cursus en verdiepingsopleidingen op het gebied van cliëntenonderzoek en transactiemonitoring.

Charco & Dique kan u helpen uw Wwft-beleid aan te scherpen en te implementeren, zodat u voldoet aan de eisen. Kunt u wel wat ondersteuning gebruiken? Neem dan contact op met een van onze specialisten.