Het compliance proces

Is het nieuw? Ja en nee.

Op 1 januari 2007 is een groot deel van (de publieke) wet- en regelgeving met betrekking tot compliance en know your customer (rondom de Wet toezicht kredietwezen 1992) vervangen door de Wet op het financieel toezicht (Wft). In deze wet, zijn bijbehorende AMvB’s en de nadere regelingen is de functie van compliance en de compliance officer beschreven (onder meer in het Besluit Prudentiële regels). Daarnaast is in de Wft beschreven wat de verantwoordelijkheden en aandachtsgebieden van de toezichthouders zijn. De Stichting Autoriteit Financiële Markten (AFM) legt zich toe op het gedragstoezicht en De Nederlandsche Bank houdt prudentieel toezicht. Beiden leggen zich eveneens toe op het zogenaamde integriteitstoezicht. In de praktijk komt dit neer dat een financiële instelling een integere en beheerste bedrijfsvoering moet hebben.

Maar voor in 1992 de Wet toezicht kredietwezen van kracht werd was er ook compliance. De baas zag direct toe op de aanmelding van nieuwe klanten, op basis van ervaring en door schade en schande wijs geworden. Want de wereld was in het verleden overzichtelijker, minder geglobaliseerd en duidelijk verdeeld in goed en fout, zwart en wit, nauwelijks grijs.

Wat is compliance/KYC/CDD

Het Engelse werkwoord ‘to comply’ betekent ‘voldoen’ of ‘naleven’. In de financiële sector wordt de term ‘compliance’ gebruikt voor de naleving van wet- en regelgeving. Zo is er bijvoorbeeld wetgeving op het gebied van het voorkomen van fraude, voorwetenschap en witwassen en terrorismefinanciering. Ook voor corporate bedrijven speelt compliance een steeds grotere rol. Het begrip compliance werd bekend bij het algemene publiek na een aantal grote beursschandalen zoals Enron en Ahold.

Waarom is compliance van belang?

Negatief gesteld – op non-compliance, het niet voldoen aan de wetgeving, staan stevige sancties. De Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) zien streng toe op de naleving van de wet- en regelgeving. Als toezichthouders kunnen zij bijvoorbeeld een fikse geldboete opleggen, een vergunning intrekken of zelfs een taak- of gevangenisstraf eisen.

Positief gesteld – compliance beschermt de organisatie tegen onverkwikkelijke gebeurtenissen. Vertrouwen is de basis voor het efficiënt functioneren van de complexe (zaken)wereld. Door een systematische aanpak van de acceptatie van nieuwe klanten en de continue monitoring van (voorgenomen) financiële transacties van geaccepteerde klanten kan het (maatschappelijke) vertrouwen in de organisatie geborgd worden.

Oftewel compliance is in de breedste zin zelfbehoud.

Hoe doe je compliance?

Compliance of know your customer (KYC) is het bedrijfsproces opgezet in de organisatie om de klanten van de organisatie te identificeren en de (financiële en strategische) klantprofielen teHet compliance proces evalueren tegen het gewenste (maximum) risicoprofiel teneinde illegale (financiële) transacties te voorkomen.

Het compliance of know your customer process is in 4 stappen onder te verdelen:

  1. Beleid met betrekking tot de acceptatie van klanten (het gewenste (maximum) risicoprofiel);
  2. Klant identificatie procedures (Client Due Diligence = CDD);
  3. Monitoring van (voorgenomen) financiële transacties van geaccepteerde klanten;
  4. Risk management.

1. Het gewenste (maximum) risicoprofiel

Klanten kunnen zich aanmelden in verschillende vormen:

  • individuen;
  • bedrijven (geregistreerde binnenlandse en buitenlandse vennootschappen);
  • trustees/agenten;
  • samenwerkingsverbanden/partnerships;
  • formele of informele groepen;
  • coöperaties/vennoot onder firma;
  • overheidsinstanties/publieke instellingen.

Een klant wordt gedefinieerd als:

  • een persoon of entiteit die een zakelijke relatie met de organisatie is aangegaan. Dit zal veelal geformaliseerd zijn door middel van een contract/contracten maar noodzakelijk is dit niet;
  • een persoon of entiteit namens wie een zakelijke relatie met de organisatie is aangegaan. Dit zal ook veelal geformaliseerd zijn door middel van een contract/contracten maar noodzakelijk is dit niet;
  • begunstigden van transacties uitgevoerd door professionele tussenpersonen zoals effectenmakelaars, registeraccountants, advocaten en notarissen, voor zover toegestaan onder Nederlandse wet en regelgeving;
  • enig persoon of entiteit betrokken in een transactie met de organisatie, die op enigerlei wijze een significante bedreiging kan vormen voor (bijvoorbeeld) de reputatie van de organisatie of meer algemeen de financiële dienstverlening in Nederland.

In het gewenste (maximum) risico profiel kunnen zogenaamde ‘red flags’ worden aangegeven die aanleiding kunnen zijn tot een diepgaand onderzoek van de klant, de voorgenomen transactie(s) en/of de structuur (Enhanced Due Diligence). Voorbeelden van deze ‘red flags’ zijn bijvoorbeeld:

  • risicovolle woonplaats/land van geboorte van de klant. Risicovol kan bijvoorbeeld ontleend worden aan het corruptieniveau van het land aan de hand van de Corruption Perception Index van Transparency International;
  • risicovolle transactiesoorten;
  • afwijkende activiteitenpatronen (soort transacties, frequentie van transacties);
  • afwijkende methodes van betaling;
  • meldingen in screenings met betrekking tot ‘politically exposed persons‘ (PEPs) of meldingslijsten (worldcheck etc)

Hiermee dient de organisatie het beleid vast te leggen voor klanten die een onacceptabel risico vormen, zoals cliënten die op de EU freezelist voorkomen. Wanneer er sprake is van een onacceptabel risico, dan mag de organisatie geen zakelijke relatie aangaan met een klant.

Nota bene

Voer een nulmeting uit om de huidige relaties in te delen in risicocategorieën. Neem voor nieuwe relaties een risicoscreening op in het beleid.

Controleer regelmatig of een klant voorkomt op de waarschuwingslijsten van de FATF.

2. Klant identificatie procedures (Client Due Diligence)

Al deze stappen dient de organisatie te documenteren, zodat de organisatie dit kan gebruiken voor management trails en andere bewijsvoering.

In kaart brengen en archiveren

Het is aan de organisatie om op basis van beschikbare informatie te achterhalen en inzicht te verschaffen in de eigendoms- en zeggenschapsstructuur van de rechtspersoon, oftewel de persoon met wie de organisatie zaken gaat doen.

De stappen die de organisatie hierin neemt en ook de uiteindelijke informatie dient de organisatie te archiveren. Let op: vaak zit de eigendomsstructuur van een organisatie complex in elkaar, door de vele vertakkingen en concernrelaties. Het is van belang dat de organisatie al deze vertakkingen in kaart brengt en archiveert.

a. Vraag de klant naar zijn persoonsgegevens

Voordat een zakelijke relatie wordt aangegaan, dient de organisatie vast te stellen met wie de organisatie in zee wil gaan.

Verzamel gegevens en informatie over de identiteit van de klant. In deze stap kunt u uitgaan van gegevens die de klant verstrekt. Is een klant niet fysiek aanwezig voor de identificatie? Artikel 8, lid 2 van de Wwft voorziet in maatregelen die u kunt treffen, zoals het opvragen van aanvullende documenten, gegevens of informatie om de identiteit van de klant vast te stellen.

Nota bene

Vraag een potentiële klant tijdens het eerste contact naar zijn persoonlijke gegevens en leg deze vast.

Is een klant niet fysiek aanwezig? Vraag in aanvulling op de kopie van het identiteitsbewijs naar een salarisstrook of arbeidsovereenkomst, en controleer of deze zijn opgesteld door een bestaand bedrijf.

b. Verifieer de identiteit van de klant

Zijn de gegevens die de klant heeft aangeleverd juist? Bij een natuurlijke persoon kunt u de identiteit verifiëren aan de hand van een paspoort, identiteitskaart of rijbewijs. Bij een rechtspersoon kunt u een uittreksel aanvragen uit het handelsregister. Ook kunt u vertrouwde bronnen van derden raadplegen.

Nota bene

Bewaar een fysieke kopie van een geldig legitimatiebewijs of uittreksel uit het handelsregister in het dossier van de klant.

c. Achterhaal de UBO

Om te voorkomen dat criminelen zich verschuilen achter een onderneming, stichting of andere juridische entiteit, dient de Ultimate Beneficial Owner (UBO) of uiteindelijk belanghebbende te worden geïdentificeerd. Volgens de Wwft is de UBO de natuurlijke persoon die:

  • een belang houdt van meer dan 25% in het kapitaal van een klant; of
  • meer dan 25% van de stemrechten uit kan oefenen in de algemene vergadering; of
  • feitelijk zeggenschap kan uitoefenen in een klant; of
  • begunstigde is van 25% of meer van het vermogen van een klant of trust; of
  • een bijzondere zeggenschap heeft over 25% of meer van het vermogen van een klant.

d. Onderzoek of de klant een PEP is

Een politically exposed person (PEP) brengt hoger dan gemiddelde risico’s met zich mee. U dient vast te stellen of de klant, of zijn directe familie of naaste, een prominente functie bekleedt of het afgelopen jaren bekleed heeft.

Om na te gaan of uw UBO daadwerkelijk een PEP is, is niet eenvoudig en kan erg tijdrovend zijn. De organisatie dient te checken of de klant in de database van bekende PEPs staat. Deze database bevat meer dan een miljoen profielen, namen, geboortedata, identificatienummers en foto’s van personen. Naast deze zogenaamde PEP-lijsten, checkt de organisatie de UBO ook op controlelijsten, sanctielijsten en negatieve publiciteit (zoals de EU Freeze list, OFAC en de AFM Waarschuwingslijst).

e. Maak een risico-inschatting

Hoe groot is het risico dat uw cliënt zich schuldig maakt aan witwassen of financiering van terrorisme? De wet vereist dat u uw cliënten indeelt in risicocategorieën. De meest gehanteerde criteria zijn:

  • Land- of geografisch risico. Van instellingen wordt verwacht dat zij op de hoogte zijn van de risicogebieden die de Financial Action Task Force (FATF) aanwijst. Ook andere bronnen kunnen een indicatie zijn, zoals de National Corruption Index.
  • Klantrisico. Sommige klanten brengen een verhoogd risico met zich mee, zoals rechtspersonen met een ingewikkelde structuur.
  • Productrisico. Ook bepaalde producten brengen een hoger risico met zich mee. Hierbij kan bijvoorbeeld gedacht worden aan handel in edelmetalen en bankbiljetten, of bijzondere vormen van vermogensbeheer.

Hoe groter de risico’s, hoe meer inspanning van de organisatie wordt verwacht om deze risico’s te mitigeren.

f. Monitor het risicoprofiel van de klant

Als de organisatie een zakelijke relatie aangaat, stelt de organisatie een risicoprofiel en verwacht transactiepatroon op.

Om te kunnen beoordelen of transacties overeenkomen met het risicoprofiel van uw cliënt, dient de organisatie de zakelijke relatie en transacties periodiek te toetsen. Zo kan de organisatie mogelijke afwijkingen in het transactiepatroon ontdekken.

g. Check of de identificatie en verificatie correct is uitgevoerd

Maakt de organisatie gebruik van een eerder uitgevoerd klantenonderzoek? Dan blijft de organisatie zelf verantwoordelijk voor een juiste uitvoering van de Wwft. Een organisatie mag de gegevens van een eerder cliëntenonderzoek overnemen, mits het onderzoek is verricht door:

  • een advocaat of (kandidaat)notaris binnen de EU;
  • een registeraccountant;
  • accountant-administratieconsulent of belastingadviseur binnen de EU;
  • een Nederlands trustkantoor;
  • een gereguleerde financiële instelling binnen de EU.

Nota bene

Hou het simpel – Vraag de klant of er in het verleden al een klantenonderzoek is uitgevoerd.

3. Monitoring van (voorgenomen) financiële transacties van geaccepteerde klanten

a. Beoordeel of transacties ongebruikelijk zijn

De organisatie dient ongebruikelijke transacties te melden bij de Financial Intelligence Unit Nederland (FIU-Nederland). Een transactie is ongebruikelijk wanneer deze voldoet aan één of meerdere indicatoren. Voor elke meldergroep gelden specifieke verplichtingen.

Nota bene

In de lijst met objectieve en subjectieve indicatoren van FIU-Nederland kan de organisatie bekijken welke indicatoren gelden voor de meldergroep waartoe u behoort.

b. Meld ongebruikelijke transacties onverwijld

Merkt u een ongebruikelijke transactie op? Een voorgenomen of al verrichte ongebruikelijke transactie dient onverwijld gemeld te worden bij FIU-Nederland. Op de website van FIU-Nederland

vindt u een toelichting op de meldprocedure.

Nota bene

Volg de nieuwsberichten op de site van FIU-Nederland (of the Egmont Group) voor interessante casussen.

4. Risk management

Risk management is een proces dat risico’s met het oog op de doelstellingen van een organisatie in kaart brengt en beoordeelt. Wanneer een bedrijf een goed risicomanagement voert, is het in staat een betere ‘risk/reward trade-off’ te bereiken, oftewel: een betere balans tussen risico en opbrengst.

Er zijn vele methoden beschikbaar voor het voeren van risk management, net zoals er een groot aantal softwareoplossingen op de markt is. In algemene zin zijn de methodes vaak opgebouwd uit de volgende zes stappen:

1. Identificeer de risico’s

Hierbij gaat het om het signaleren van risico’s en de koppeling hiervan naar de doelstellingen van de organisatie.

2. Analyseer en beoordeel de risico’s

Welke risico’s zijn het grootst (naar kans en impact) en verdienen het eerst de aandacht?

3. Analyseer de huidige beheersingsmaatregelen

Er moet worden bepaald welke huidige risico’s er zijn: welke hiervan worden al adequaat beheerst en welke verdienen wellicht meer aandacht?

4. Ontwerp en realiseer de plannen

Voor elk risico moet een keuze worden gemaakt: vermijden, verminderen, overdragen of accepteren.

5. Meet, controleer en rapporteer

Risicomanagement houdt nooit op: controle, meting, monitoring, rapportage en evaluatie zijn continue belangrijk.

6. Integreer de resultaten in het beleid

Elke nieuwe bevinding of methode kan ook in de toekomst bruikbaar zijn, dus moet alle informatie met betrekking tot de risico’s nauwkeurig worden vastgelegd.

Deze gegevens zijn deels ontleend aan een 10-stappenplan dat is samengesteld op basis van een WWFT 10-stappenplan dat oorspronkelijk is verschenen in het Tijdschrift voor Ondernemingspraktijk (2008) en is geschreven door B. Snijders, D.Kaya, D.Kolkman, N.Roetert Steenbruggen, en A. Tilleman.

Een verder ontwikkelde versie is opgenomen in Tijdschrift voor Ondernemingspraktijk (2013) en Teksten en toelichting Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT) Editie 2012, door A. Tilleman, D. S. Kolkman en P.C. Speekenbrink.

Referenties: Bureau financieel toezicht

Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft)

Leidraad Wwft en SW van DNB

Leidraad Wwft van de AFM