Inzichten vanuit de V&A Compliance Community
drs A.A. Boxum RA EMITA en mr. A.B. Schoonbeek
Op 25 juli 2018 is de Implementatiewet vierde anti-witwasrichtlijn in werking getreden. Hierdoor is de Wwft aangepast (hierna Wwft 2018). De naleving van anti-witwasregels door poortwachters zoals accountantsorganisaties staat hoog op de politieke agenda en daarbij speelt de Wwft 2018 een belangrijke rol. Dat dit niet slechts met de mond wordt beleden, volgt wel uit het feit dat ING recent de omvangrijkste schikking tot nu toe heeft getroffen wegens het niet juist naleven van de Wwft. Het zal u niet zijn dat ontgaan dat kort daarna de rol van de bij deze affaire betrokken accountantsorganisatie ook in de publieke belangstelling stond. Het lijkt geen overbodige luxe voor accountantsorganisaties om de juiste naleving van de Wwft 2018 snel geborgd te hebben.
Elk kwartaal organiseert V&A de V&A Compliance Community. Deelnemers aan deze bijeenkomsten zijn vooral compliance officers van accountantskantoren en beleidsbepalers, en in meer recente functie-aanduidingen: kwaliteitsbepalers en kwaliteitsmanagers (NVKS). Het doel van deze bijeenkomsten is van elkaar te leren hoe in de praktijk met dilemma’s wordt omgegaan. Elke bijeenkomst wordt ingeleid door een expert, die ook de verdere kennisdeling binnen de groep faciliteert1. De recente bijeenkomst van 13 september jl. stond in het teken van de Wwft 2018. Met deze bijdrage delen we graag enkele van de discussies die in die bijeenkomst de revue hebben gepasseerd.
1. Wat zijn de belangrijkste wijzigingen?
De belangrijkste wijzigingen in de Wwft 2018 door implementatie van de vierde anti-witwasrichtlijn zijn:
Risicomanagement | Risicoanalyse op niveau van instelling op gebied van anti-witwassen (vergelijk SIRA) en introductie compliance- en auditfunctie |
Cliëntenonderzoek | Cliëntenonderzoek aantoonbaar gebaseerd op risicobeoordeling |
Handhaving | Substantiële verhoging boetebedragen en verruiming mogelijkheden publicatie handhavingsmaatregelen w.o. boetes. |
Definitie PEP | Verruiming definitie PEP: naast buitenlandse PEP’s ook binnenlandse PEP’s |
Definitie UBO | Wijziging definitie UBO in Uitvoeringsbesluit Wwft en introductie UBO-register (nog onderwerp parlementaire behandeling) |
In deze bijdrage gaan we kort in op de wijzigingen op het gebied van risicomanagement, het cliënten onderzoek en het overgangsrecht, waarna we afsluiten met enkele tips.
2. Risicomanagement Wwft 2018
In de Wwft 2018 is een afzonderlijke paragraaf (§ 1.2) opgenomen over risicomanagement. Deze bevat de verplichting om een risicoanalyse op te stellen en risicomanagement in te richten conform het three lines of defense model in te richten. Deze wijzigingen hebben, ons inziens, een behoorlijke impact op accountantsorganisaties en verdienen dus nadere aandacht. Kort en goed bepaalt de Wwft 2018 dat instellingen zoals accountantskantoren een risicoanalyse dienen te maken op het niveau van het kantoor als geheel. Deze risicoanalyse is een belangrijk document omdat dit de basis vormt voor (i) de (te actualiseren) interne gedragslijnen en procedures om de risico’s op het gebied van witwassen en terrorismefinanciering die daaruit blijken effectief te beheersen en (ii) het cliëntenonderzoek.
Welke eisen worden gesteld aan deze risicoanalyse?
Accountantsorganisaties moeten risico’s op witwassen en financieren van terrorisme vaststellen en beoordelen om op basis daarvan (beheersings)maatregelen vast te stellen die in verhouding staan tot de aard en de omvang van de accountantsorganisatie. Daarbij zal de accountantsorganisatie rekening moeten houden met de risicofactoren die verband houden met het type cliënt, product, dienst, transactie en leveringskanaal en met landen of geografische gebieden. Ook zal daarbij rekening moeten worden gehouden met (openbare) supranationale risicobeoordeling van de Europese Commissie2 en de Nederlandse risicobeoordeling (zie art. 2c, lid 1)3. De accountantsorganisatie dient de risicobeoordeling verder vast te leggen en actueel te houden.
Systematische integriteitsrisicoanalyse (SIRA)
De vereiste risicoanalyse op grond van de Wwft 2018 vertoont gelijkenis met de systematische integriteitsrisicoanalyse (SIRA) die voortvloeit uit wettelijk vereiste integere bedrijfsvoering op grond van artikel 21 van de Wet toezicht accountantsorganisaties (Wta)4. In een eerdere bijdrage gingen wij reeds in op de SIRA. SIRA vereist van accountantsorganisaties onder meer dat zij in kaart brengen met welke risicogebieden, factoren en scenario’s zij betrokken zouden kunnen raken bij integriteitsrisico’s. Inzicht in de risico’s die de accountantsorganisatie loopt is een randvoorwaarde voor het effectief kunnen beheersen daarvan.
Witwassen en terrorismefinanciering zijn integriteitsrisico’s die in de SIRA moeten worden ingebed. Het verdient aanbeveling dat accountantsorganisaties die nu bezig zijn met het opzetten of actualiseren van hun SIRA nagaan of zij de vereiste risicoanalyse uit hoofde van de Wwft 2018 in de SIRA wensen te incorporeren. Hiermee kan dubbel werk worden voorkomen. Indien zij de risicoanalyse op grond van de Wwft 2018 inbedden in de SIRA is een aandachtspunt dat wordt voldaan aan alle relevante vereisten uit de Wwft 2018 (zie hiervoor). Onderdeel van de SIRA is een (integrity) risk appetite. Dit lijkt ook in het kader van beheersing van witwasrisico’s van belang. Het gaat dan om de vraag: “Wat vind ik onacceptabele risico’s?” Ofwel: risico’s die dusdanig zijn dat ik de relatie met deze cliënt beëindig of niet aanga. In de AFM-leidraad staan enkele voorbeelden benoemd. Het is de verantwoordelijkheid van de accountantsorganisatie zelf een risk appetite te formuleren.
Three lines of defence; compliance functie en een interne auditor?
Een andere belangrijke wijziging in de Wwft 2018 is dat deze in beginsel verplicht tot het inrichten van het risicomanagement conform het three lines of defence model.
Indien het beleid van de accountantsorganisatie wordt bepaald door twee of meer personen moet een beleidsbepaler worden aangewezen die verantwoordelijk is voor de naleving van de Wwft 2018. Artikel 2d Wwft 2018 bepaalt verder dat een onafhankelijke en effectieve compliance functie is vereist. De compliance functie controleert de naleving van wettelijke en interne regels en heeft ook als taak het verstrekken van de relevante gegevens inzake ongebruikelijke transacties. In artikel 2d lid 4 introduceert de Wwft 2018 verder een onafhankelijke auditfunctie die naleving van de Wwft toetst en de uitoefening van de compliance functie beoordeelt.
De Wwft 2018 schrijft niet voor door wie de auditfunctie moet worden vervuld en over welke kwalificaties deze persoon dient te beschikken.5 Degene die de auditfunctie vervuld zal, ons inziens, moeten beschikken over deskundigheid op het gebied van de Wwft; hij of zij dient immers de naleving alsook het functioneren van de compliance functie op het gebied van de Wwft inhoudelijk te beoordelen. Tijdens de V&A compliance community werden de volgende suggesties voor functionarissen om de onafhankelijke auditfunctie uit te oefenen, genoemd:
- een externe deskundige met voldoende kennis van de Wwft en compliance.
- de onafhankelijke externe assessor.
- een persoon uit een onafhankelijk toezichthoudend orgaan.
De verplichting tot het invoeren van het thee lines of defense model geldt voor zover passend bij aard en omvang van de instelling. Dit is een open norm waaraan accountantsorganisaties zelf op een verstandige manier invulling moeten geven. Mogelijk dat nog nadere guidance door toezichthouders of beroepsorganisaties wordt gepubliceerd. Het is verstandig om bij afwijkingen van het (in beginsel) voorgeschreven risicomanagement vast te leggen waarom daartoe is besloten. Daarbij is het, naar onze mening, verstandig om een link te leggen met zowel de aard en omvang van de accountantsorganisatie als met de risicoanalyse op het niveau van de accountantsorganisatie.
3. Veranderingen in het cliëntonderzoek
Naast introductie van de verplichting tot inrichting van risicomanagement, bevat de Wwft 2018 ten opzichte van de oude Wwft aanscherpingen op het vlak van het cliëntenonderzoek.6 In de Wwft 2018 is bepaald dat het cliëntenonderzoek aantoonbaar is afgestemd op de risicogevoeligheid voor witwassen van het type cliënt, zakelijke relatie, product of transactie. Het cliëntenonderzoek zal dus moeten zijn gebaseerd op een (schriftelijk vastgelegde) risicobeoordeling. Indien sprake is van een aantoonbaar laag risico, kan worden volstaan met een vereenvoudigd cliënten onderzoek. Indien uit de risicobeoordeling naar voren komt dat sprake is van een verhoogd risico dan dient een verscherpt cliëntenonderzoek uitgevoerd te worden.
In bepaalde gevallen is dit ook verplicht. In andere situaties is een normaal cliëntenonderzoek aan de orde (dit is niet een specifiek in de wet benoemde categorie). Hoe deze risicobeoordeling er precies moet uitzien is niet voorgeschreven. Bij het bepalen van de risicogevoeligheid zal rekening moeten worden gehouden met de risicovariabelen zoals opgenomen in bijlage I bij de Vierde anti-witwasrichtlijn7: doel van de relatie, de omvang van de transacties en regelmaat c.q. duur van de relatie. Voorgeschreven is verder dat bij het bepalen of een vereenvoudigd of verscherpt cliënten onderzoek moet plaatsvinden ten minste rekening wordt gehouden met de risicofactoren in bijlagen II en III van de Vierde anti-witwasrichtlijn.
Het ligt verder voor de hand dat deze aansluit bij de risicoanalyse respectievelijk SIRA inclusief de risk appetite. Op dit moment wordt de Handreiking 1124 door de NBA samen met de Nederlandse Orde van Belastingadviseurs (NOB) geactualiseerd. Voor de dagelijkse praktijk kan het nuttig zijn als de geactualiseerde versie ook modellen bevat voor de risicobeoordelingen. Hierna gaan we kort in op enkele andere relevante wijzingen.
Het valt buiten het bestek van deze bijdrage in te gaan op de wijze waarop het cliëntenonderzoek zelf moet worden uitgevoerd.
Verscherpt cliëntenonderzoek; verruiming definitie PEP
De ING-schikking wijst uit dat het van groot belang is te onderkennen wanneer een verscherpt onderzoek vereist is. Dit moet worden verricht, indien (a) een zakelijke relatie of transactie naar haar aard een hoger risico met zich brengt en (b) de staat waar de cliënt woonachtig of gevestigd is of zijn zetel heeft is aangewezen als staat met een hoger risico op witwassen of terrorismefinanciering8. De accountantsorganisatie zal, voorafgaand aan het aangaan van een zakelijke relatie of het verrichten van een transactie, op basis van een risicobeoordeling vast moeten te stellen of zich een dergelijk hoger risico voordoet. Daartoe moet een instelling in haar risicobeoordeling in ieder geval rekening houden met de cliëntgebonden, product-, dienst-, transactie-, leveringskanaal- of geografische risicofactoren die worden genoemd in bijlage III bij de vierde anti-witwasrichtlijn, zoals bijvoorbeeld dat de zakelijke relatie in ongebruikelijke omstandigheden plaatsvindt en/of er is sprake van producten of transacties die de anonimiteit bevorderen. Dit is geen limitatieve lijst.
Ook neemt een instelling redelijke maatregelen om alle complexe en ongebruikelijk grote transacties, en alle ongebruikelijke transactiepatronen die geen duidelijk economisch of rechtmatig doel hebben, te onderzoeken (artikel 8, lid 3 Wwft 2018). In dat geval onderwerpt de instelling de gehele zakelijke relatie met de cliënt aan een verscherpte controle.
PEP- en UBO-definitie
Niet nieuw is dat een verscherpt cliëntenonderzoek ook verplicht is indien de cliënt of UBO een politiek prominent persoon (PEP) is. Verplichte maatregelen zijn in elk geval:
- toestemming verkrijgen voor het aanvaarden van de dienstverlening van het hoger leidinggevend personeel in de accountantsorganisatie (regiodirectie, partner);
- passende maatregelen die de bron nagaan van het vermogen van de middelen van de PEP (onderzoek stukken, pers etc.)
- het uitvoeren van een doorlopend verscherpte controle op het risico en de risicomitigering.
Wel een belangrijke wijziging is dat de definitie van PEP op grond van de vierde anti-witwasrichtlijn is verruimd. Daar waar onder de oude Wwft gold dat alleen buitenlandse PEP’s binnen het bereik van de definitie vielen, geldt nu dat zowel buitenlandse als binnenlandse PEP’s worden aangemerkt als PEP in de zin van de Wwft 2018. Ook naast geassocieerden9 en familieleden van een PEP vallen onder de verplichting dat er maatregelen genomen moeten worden om het met PEP’s gepaard gaande verhoogde risico te beheersen. De definitie is nader uitgewerkt in het Uitvoeringsbesluit Wwft 2018.
In de definitie van de UBO zijn ook wijzigingen aangebracht. Waar voor vennootschappen een percentage aandelen of stemrechten van meer dan 25% werd gezien als toereikend om te kwalificeren als UBO, is dit percentage in de vierde anti-witwasrichtlijn slechts een indicatie dat de betrokken persoon kwalificeert als UBO. De definitie is per rechtspersoon c.q. rechtsvorm nader uitgewerkt in het Uitvoeringsbesluit Wwft 2018.
Indiening van het wetsvoorstel ter implementatie van het UBO register is tijdelijk on hold gezet. Aangekondigd is dat de parlementaire behandeling wordt opgepakt begin 2019.
4. Overgangsrecht
Kortom, de Wwft 2018 bevat een aantal nieuwe of gewijzigde verplichtingen voor accountantsorganisaties. De Wwft 2018 is al in werking getreden. Voor de vereisten op het gebied van cliëntonderzoek geldt er overgangsrecht. Accountantsorganisaties moeten er voor zorg te dragen dat het cliëntenonderzoek dat naar deze cliënten is verricht ‘bij eerste gelegenheid’ geactualiseerd wordt. Rekening moet worden gehouden met de wijzigingen met betrekking tot het cliëntenonderzoek, waaronder de uitbreiding van de UBO- en PEP-begrippen. Hieraan kan risico gebaseerd invulling worden gegeven.
In gevallen dat er nieuwe bepalingen van toepassing zijn op een cliënt of waarin zich een hoger risico voordoet, wordt van accountantsorganisaties verwacht dat zij dit sneller oppakken. . Ook in de gevallen waarin voorheen het cliëntenonderzoek achterwege kon blijven, maar waar nu (vereenvoudigde) cliëntenonderzoeksmaatregelen genomen moeten worden, ligt het in de rede dit meteen in gang te zetten.10
Het BFT heeft op 21 september 2018 bekend gemaakt dat tot 1 januari 2019 een soepel handhavingsbeleid geldt aangaande de uit de Wwft voortvloeiende regels inzake:
- uitbreiding van de PEP-definitie naar binnenlandse PEP’s (artikel 1 lid 1 Wwft);
- uitbreiding van de UBO-definitie (artikel 1 lid 1 Wwft);
- aanscherping Wwft risicobeleid (artikel 2b Wwft);
- risicomanagement (artikel 2c Wwft), bestaande uit gedragslijnen, procedures en maatregelen om de geïdentificeerde risico’s beheersbaar te maken; en
- voor zover van toepassing de compliance functie en auditfunctie (artikel 2d Wwft).
Voorwaarde is volgens het BFT wel dat instellingen alles in het werk stellen om aan de nieuwe regels te voldoen.
5. Tips
Kort en goed, de Wwft 2018 bevat tal van wijzigingen die een behoorlijke impact hebben op accountantsorganisaties. De nieuwe verplichtingen gelden op dit moment al. De titel is niet voor niets gekozen. De inbedding van de Wwft 2018 in de bedrijfsvoering van accountantsorganisaties verdient, mocht dit niet zijn gerealiseerd, een hoge plek op de agenda van de complliance officer en het bestuur van de accountantsorganisaties.
Onze belangrijkste boodschap is daarom: werk aan de winkel! Zorg er als accountantsorganisatie voor dat snel een risicoanalyse wordt gemaakt en dat op basis van aard en omvang van de organisatie alsmede het risicoprofiel wordt bepaald hoe het risicomanagement moet worden ingericht. Verder is het naar onze mening verstandig snel een gap analyse te verrichten met betrekking tot de cliëntenportefeuille.
Gezien de principle & risk based benadering van de Wwft 2018 (met aldus veel open normen) is niet altijd in de Wwft 2018 specifiek beschreven waartoe de accountantsorganisatie exact is verplicht. Dit is lastig maar het biedt ook de kans voor accountantsorganisaties om de naleving van de Wwft 2018 goed te laten aansluiten bij de specifieke kenmerken en het risicoprofiel van de accountantsorganisatie.
Mogelijk dat de aangekondigde geactualiseerde versie van de Handreiking 1124 nadere guidance bevat. Verder biedt een gedegen cliëntonderzoek dat aansluit bij het risicoprofiel en de risk appetite van de accountantsorganisatie als geheel, een kans voor de accountantsorganisatie om ongewenste klanten c.q. risico’s buiten de deur te houden. De recente affaires – en ongetwijfeld kent u ook zo uw eigen voorbeelden – leren dat dit veel (reputatie)schade kan voorkomen.
Een juiste naleving van de Wwft 2018 vergt dat ook de rest van de organisatie goed op de hoogte is van de wettelijke verplichtingen. V&Aheeft eind september een e-learning over de nieuwe Wwft gepubliceerd. Deze e-learning gaat in op de belangrijkste wijzigingen in de nieuwe Wwft en is samengesteld uit diverse praktijkcasussen die zijn verzameld door onze Wwft-helpdesk. Eind oktober verschijnt een online learning; deze kent ongeveer dezelfde inhoud als de e-learning maar bevat daarnaast ook samenvattende regelgeving en diverse praktijkvoorbeelden.
Wij zien er naar uit over dit onderwerp verder met u van gedachten te wisselen. Dat kan tijdens één van onze vervolgbijeenkomsten over dit onderwerp (bijvoorbeeld op 21 november a.s. zie onze website).
Drs. Alex Boxum RA EMITA (alex@vna-aa.nl) is Hoofd Training en Compliance bij training- en adviesbureau V&A. mr. Annemarije Schoonbeek (schoonbeek@colegal.nl) is advocaat (CoLegal) en werkte voorheen onder andere bij de AFM.
- Meer informatie over het concept V&A compliance community, is te vinden via de volgende link: https://vna-aa.nl/consulting/#compliance of via https://vna-aa.nl/trainingen/open-inschrijvingen/
- COM/2017/0340 final, te raadplegen via https://eur-lex.europa.eu/legal-content/nl/TXT/?uri=CELEX:52017DC0340.
- Zie hierover ook: Kamerstukken II 2017/18, 34808, 3, p. 43 (MvT).
- Zie hierover nader het nieuwsbericht van de AFM d.d. 15 november 2017, te raadplegen via https://www.afm.nl/nl-nl/nieuws/2017/nov/integriteitsrisicos-accountantsorganisaties.
- In de financiële sector is de auditfunctie met het oog op naleving van integriteitsregelgeving al langer gebruik. Zie bijvoorbeeld http://www.toezicht.dnb.nl/3/50-232019.jsp. Het is gebruikelijk dat de auditfunctie wordt uitbesteed aan een derde daarin gespecialiseerde partij.
- De optie om in bepaalde situaties geen cliëntenonderzoek uit te hoeven voeren bestaat niet meer.
- Te raadplegen via http://data.europa.eu/eli/dir/2015/849/oj.
- Deze lijst is te raadplegen via de volgende link https://ec.europa.eu/info/policies/justice-and-fundamental-rights/criminal-justice/anti-money-laundering-and-counter-terrorist-financing_en.
- Zie art. 2, lid 3 Uitvoeringsbesluit Wwft 2018. Onder naast geassocieerde wordt mede verstaan nauwe zakelijke relaties met een PEP.
- Ontleend aan de AFM Leidraad Wwft. Hoewel de AFM niet de toezichthouder is op de naleving van de Wwft door accountants (dat is het BFT) bevat deze leidraad wel nuttige guidance. De leidraad is te raadplegen via https://www.afm.nl/nl-nl/professionals/onderwerpen/wwft-wet