WWFT 2018

WWFT 2018

Op 11 juli 2018 heeft de Eerste Kamer ingestemd met de nieuwe Wet tegen het witwassen en financieren van terrorisme (Wwft). In vervolg daarop is het Uitvoeringsbesluit Wwft op 17 juli 2018 vastgesteld. De Wwft is een voortvloeisel van de vierde EU Anti-witwas Richtlijn en stelt verschillende aanvullende eisen aan financiële ondernemingen (art 1a Wwft) ten opzichte van de reeds bekende compliance vereisten zoals cliëntonderzoek.

 
Wie vallen er onder de Wwft?

– Financiële instellingen (banken, verzekeraars, pensioenfondsen, beleggingsinstellingen, betaalinstellingen, etc.)
– (kandidaat-)notarissen of vergelijkbare beroepen
– Belastingadviseurs of vergelijkbare beroepen
– Accountants of vergelijkbare beroepen
– Administratiekantoren
– Advocaten en juridisch adviseurs
– Domicilieverleners (Regus, etc)
– Makelaars
– Juweliers
– Casino’s en loterijen

Deze lijst is niet compleet. Wilt u zeker weten of u wel of niet dient te voldoen aan de Wwft, kunt u dit nagaan in art 1a Wwft.

Wie houden toezicht op het naleven van de wwft?
– De Nederlandsche Bank (DNB)
– Autoriteit Financiële Markten (AFM)
– Bureau Financieel Toezicht (BFT)
– Belastingdienst, Bureau toezicht Wwft

In een enkel geval is het toezicht uitbesteed aan een branche organisatie, zoals de Orde van Advocaten. Het is van belang om te controleren bij wie u terecht kunt voor nadere informatie over het toezicht.


Wat houdt een Wwft verplichting in?
Als uw organisatie onder het bereik van de Wwft valt, zijn er diverse verplichtingen, waarvan cliëntenonderzoek de meest in het oog springende is. Dit houdt in dat u naar bepaalde aspecten van uw klant onderzoek doet voordat u diensten aan die partij levert (onderzoek mag niet achteraf). Het onderzoek vindt o.a. plaats naar de identiteit van de UBO, eventueel kwalificatie (eigendomsstructuur klant), herkomst van het vermogen, is de klant (of UBO van de klant) een politiek prominent persoon (PEP). Indien de mogelijkheid bestaat om transacties te monitoren is dit verplicht (bijvoorbeeld voor administratiekantoren). Daarnaast dient de organisatie over een risicobeleid en een opleidingsplan te beschikken. Bovendien wordt verwacht dat een organisatie een procedurehandboek heeft waarin de verschillende processen en procedures zijn vastgelegd.

Wat is er nieuw in de Wwft?
– Allereerst verandert het begrip UBO. De belangrijkste aanpassing is dat
ook hoger leidinggevend personeel als UBO kan worden aangemerkt (lees: statutair bestuurders). Dit moet wanneer geen UBO vast te stellen is, i.e. een natuurlijk persoon die 25% of meer van de klant (wanneer de klant een bedrijf is) in eigendom heeft of vergelijkbare invloed kan uitoefenen.
– Ten tweede verandert het begrip PEP. Naast de buitenlandse PEP is er nu ook de binnenlandse PEP: Nederlandse politici, ambassadeurs, generaals, bestuur van centrale banken e.d.
– De functies waarin men in aanmerking komt als PEP zijn uitgebreid. Zie art 2 Wwft voor een volledige omschrijving.
– Een nieuwe verplichting is het beschikken over een procedurehandboek (art 2c Wwft), hoewel dit reeds verwacht werd.
– Voorts zijn financiële ondernemingen verplicht om een onafhankelijke en effectieve compliancefunctie in te richten (art 2d Wwft). Uitgezonderd hiervan zijn alleen de persoonsvennootschappen.
– Daarnaast wordt een nieuwe functie geïntroduceerd die in de trustsector reeds bekend is: de compliance auditfunctie (art 2d Wwft). Deze controleert op onafhankelijke wijze of de organisatie haar procedures volgt, haar cliëntenonderzoek conform de Wwft uitvoert, en of de compliancefunctie onafhankelijk en effectief opereert. Ook hier moet nader worden toegelicht wanneer een dergelijke verplichting bestaat.
– De grens van verdachte contante transacties wordt verlaagd van € 15.000 naar € 10.000.
– Tot slot dient een systematische integriteitrisicoanalyse (SIRA) te worden opgesteld en actueel gehouden, en te allen tijde beschikbaar te zijn voor de toezichthouder. Het is van belang dit niet te onderschatten. Indien u nog onbekend bent met een SIRA, is het raadzaam een specialist (of uw externe compliance officer of auditor) hiervoor in te schakelen.

Melden van ongebruikelijke transacties
Wanneer u een ongebruikelijke transactie aantreft, dient u deze te melden bij de Financial Intelligence Unit – Nederland (“FIU”). Hiervoor heeft u een account nodig. Het is daarom raadzaam deze alvast te openen en niet te wachten totdat u moet melden.
U bent verplicht ongebruikelijke transacties onverwijld te melden, vrijwel direct na de ontdekking ervan. U heeft slechts enkele dagen om nader onderzoek te doen. Wanneer u veel langer wacht of niet meldt, kunt u worden vervolgd. Echter, wanneer u tijdig meldt, wordt u niet alleen gevrijwaard van vervolging, maar ook gevrijwaard tegen (civiele) claims van de partij die u gerapporteerd hebt.

Wat zijn de kosten voor dit alles?
In de toelichting op de wet is aangegeven dat de administratieve kosten van het invoeren van de Wwft voor kansspelaanbieders eenmalig € 20.000 bedragen voor technische aanpassingen en € 4.320 voor het opstellen van beleid en procedures. Daarnaast zijn er de lopende kosten van cliëntonderzoek en het uitvoeren van meldingen aan de FIU. De overheid gaat uit van absolute bodemprijzen, dus is het raadzaam te rekenen op het dubbele tot drievoudige.
Voor de overige financiële ondernemingen gaat de overheid ervan uit dat het compliance framework grotendeels reeds staat. Voor hen worden de extra kosten berekend met een uurtarief tussen de € 37 en € 54 per uur en tussen de 20 – 200 uur tijdbesteding.
In de toelichting is opgenomen dat het gemiddelde tarief voor externe compliance officers en compliance auditors rond de € 150 per uur ligt. Alles bij elkaar betekent het een flinke investering.

Tot slot twee tegeltjeswijsheden:
• Goedkoop is duurkoop
• If you think compliance is expensive, try non-compliance (Paul McNulty, oud US Deputy Attorney General)

Veel gestelde vragen

1. Val ik onder de Wwft?
Dit hangt af van uw organisatie. Onder tab ‘WWFT-2018’ staan verschillende partijen opgesomd en een link naar art 1a Wwft.

2. Dien ik nu alle procedures op te nemen in een procedurehandboek?
Ja. Een procedurehandboek dient te zorgen voor eenduidigheid en duidelijkheid op de werkvloer met betrekking tot hoe er gewerkt dient te worden om integriteitrisico’s te voorkomen. Daarnaast kan de toezichthouder, maar ook de compliance officer en eventueel de compliance auditor, oordelen of uw organisatie werkt conform de vastgestelde regels.

3. Ben ik verplicht een compliance officer in dienst nemen?
U dient een onafhankelijke en effectieve compliancefunctie te hebben ingericht. Dat mag intern, maar ook extern. U kunt dus een externe compliance officer inhuren die op uurbasis werkzaamheden voor u verricht. Het is afhankelijk van uw organisatie hoeveel tijd daarvoor nodig is. Let er wel op dat de compliance officer slechts tweedelijns werkzaamheden verricht.

4. Wat is de betekenis van tweedelijns en derdelijns?
In de compliance wereld wordt gewerkt met het zogenaamde ‘three lines of defense’ systeem. De eerstelijn is het normale dagelijkse werk en het contact met de cliënt. De tweedelijn (de compliance officer) controleert en rapporteert of en in welke mate aan de vastgestelde procedures wordt voldaan. Daarnaast adviseert hij/zij het bestuur over verbetering van beleid en procedures. De compliance officer voert géén taken van de eerstelijn uit, dus ook niet het opstellen van klantonderzoekdossiers. De derdelijn wordt gevormd door de compliance auditor die de compliance officer (is deze effectief en onafhankelijk?) en de organisatie controleert. In het algemeen zal de auditor ook aanbevelingen doen over mogelijke verbeteringen in de organisatie.

5. Wie kan ik vragen als mijn auditor?
De compliance auditor controleert of de organisatie voldoet aan wet- en regelgeving. Vanuit die optiek is het logisch om te kiezen voor een juridisch geschoolde auditor, de zogenaamde operational auditor. Accountants menen dat auditing traditioneel bij hen hoort en dat de auditfunctie door een accountant dient te worden vervuld (financial auditor). Het is echter de vraag of uw eigen accountant de rol van compliance auditor op zich kan nemen, omdat de onafhankelijkheid dan niet zonder meer vaststaat. Een derde partij verdient daarom hoe dan ook de voorkeur.

6. Ben ik verplicht voor al mijn cliënten een compliance dossier aan te leggen?
In principe wel. Er zijn uitzonderingen (bijvoorbeeld voor advocaten wanneer zij hun cliënt bijstaan in een rechtszaak voor, tijdens en na), maar in de basis dient voor iedereen een dossier aangemaakt te worden. In de wet staan de uitzonderingen opgesomd.

7. Mag mijn compliance dossier ook digitaal?
Ja, dat mag. Let bij digitale dossiers er wel op dat goed zichtbaar is wanneer onderzoek verifieerbaar uitgevoerd is. Het zou zonde zijn wanneer u het onderzoek keurig heeft uitgevoerd, maar dat het niet goed zichtbaar is wanneer, en u dus een boete krijgt.

8. Zijn er ook systemen om de compliance werkzaamheden in te voeren?
Er zijn verschillende systemen in omloop. De eerlijkheid gebiedt te zeggen dat deze veelal nog in ontwikkeling zijn, al is de één verder dan de ander.

9. Wat is een risicoanalyse van de instelling?
Om goed te kunnen inschatten welke risico’s bestaan binnen een organisatie, dient een inventarisatie gemaakt te worden van die risico’s, en vervolgens te worden geanalyseerd. Dit is een systematische integriteitrisicoanalyse (SIRA). Afhankelijk van uw organisatie is deze beperkt of uitgebreid in omvang. Het dient qua tijd en investering in ieder geval niet te worden onderschat en het is aan te raden een adviseur in te schakelen om op zijn minst het framework te bouwen. Sommige adviseurs zullen een standaard hebben die u kunt aanschaffen. Zelf kunt u in Excel een goede analyse bouwen.

10. Dien ik iedereen te controleren op internationale sancties?
Nee. Die verplichting bestaat alleen voor financiële instellingen, zoals banken, betaalinstellingen, trustkantoren en verzekeraars op basis van de Sanctiewet 1977. Het is uiteraard wel verstandig om te controleren of mogelijke wederpartijen of landen zijn gesanctioneerd wanneer u internationaal opereert. Overtreding van de Sanctiewet 1977 kan tot onaangename boetes leiden.

Relevante links

DNB
AFM
BFT
Belastingdienst
FIU
Leidraad Wwft
Wwft 2018
Memorie van Toelichting Wwft 2018
Uitvoeringsbesluit Wwft 2018

Wwft Check

Doe een korte check om te zien in welke mate u voorbereid bent op de Wwft 2018.

Heeft uw organisatie een procedurehandboek met daarin procedures met betrekking tot cliëntonderzoek én met betrekking tot de bedrijfsvoering?

JaNee

U voldoet daarmee aan het wettelijke vereiste van het hebben van een procedurehandboek, echter deze moet wel volledig en actueel zijn. Het procedurehandboek is immers de basis van de werkwijze binnen uw organisatie. Dat is van belang voor (nieuwe) medewerkers, waaronder de compliance oficer. De toezichthouder (maar ook een auditor) gebruiken het procedurehandboek om te zien op welke wijze u uw integriteitrisico’s beheerst. Zorg dat dit document actueel wordt gehouden en dus is bijgewerkt naar de huidige normen en laatste stand van zaken binnen uw organisatie.
U voldoet niet aan het wettelijk vereiste van het hebben van een procedurehandboek. De WWFT schrijft voor dat u de binnen uw organisatie geldende procedures moet hebben vastgelegd in een procedurehandboek. Het procedurehandboek is de basis van de werkwijze van uw organisatie. Dat is niet alleen relevant voor (nieuwe) medewerkers, waaronder de compliance officer. De toezichthouders (en een auditor) zullen zonder de aanwezigheid van een procedurehandboek concluderen dat u uw integriteitrisico’s niet (voldoende) beheerst. Het is belangrijk te beseffen dat dit het risico van een (flinke) boetes met zich mee brengt, maar dat in een civile procedure dit aansprakelijkheids risico’s met zich mee brengt.

Heeft uw organisatie voor al uw cliënten een dossier met daarin het (onderbouwde) cliëntonderzoek en een risicoprofiel?

JaNee

De cliëntendossiers dienen te voorzien te zijn van alle onderdelen van onderzoek op het gebied van o.a. identificatie en verificatie van de identiteit van de UBO, kwalificatie, herkomst van vermogen, PEP onderzoek, en indien van toepassing transactiemonitoring (inclusief een transactieprofiel). Het dossier wordt afgerond met een risicoanalyse en risicoclassificatie. Uiteraard dient het onderzoek te zijn afgerond voordat aan dienstverlening wordt begonnen!
Uw cliëntendossier toont in welke mate u uw onderzoek heeft uitgevoerd en onderbouwd, in welke mate u de risico’s van die cliënt beheerst en of dit onderzoek tijdig, d.w.z. voor aanvang van de dienstverlening, heeft gedaan. Het is belangrijk te beseffen dat deze drie elementen zwaar wegen bij een toezichthouder in haar onderzoek en tekortkomingen kunnen leiden tot (flinke) boetes.

Heeft uw organisatie een onafhankelijke compliancefunctie ingesteld?

JaNee

Een compliance officer dient onafhankelijk en effectief te kunnen optreden. Deze persoon is niet actief in eerstelijns taken (accountmanagement, administratie, customer support, etc) en kan niet vereenzelvigd worden met een bestuursfunctie. De onafhankelijkheid dient te waarborgen dat deze effectief de organisatie kan controleren en adviseren op verbeteringen. De functie van compliance officer mag worden uitbesteed en is niet noodzakelijkerwijs een fulltime functie.
Een compliance officer dient onafhankelijk en effectief te kunnen optreden. Deze persoon is niet actief in eerstelijns taken (accountmanagement, administratie, customer support, etc) en kan niet vereenzelvigd worden met een bestuursfunctie. De onafhankelijkheid dient te waarborgen dat deze effectief de organisatie kan controleren en adviseren op verbeteringen. De functie van compliance officer mag worden uitbesteed en is niet noodzakelijkerwijs een fulltime functie.

Heeft uw organisatie een auditfunctie ingesteld?

JaNee

Niet alle ondernemingen die binnen het bereik van de Wwft vallen zijn verplicht om een compliance auditor aan te stellen. Dit is afhankelijk van de omvang van uw organisatie. Vraag uw toezichthouder om de richtlijn op dit onderdeel. De auditor controleert zowel de organisatie als de compliance officer. Let wel: de compliance auditor is een andere rol dan de traditionele accountant die als auditor optreedt. Het gaat hier om interpretatie van wet- en regelgeving en zal eerder door juristen dan door accountants worden uitgevoerd.

Niet alle ondernemingen die binnen het bereik van de Wwft vallen zijn verplicht om een compliance auditor aan te stellen. Dit is afhankelijk van de omvang van uw organisatie. Vraag uw toezichthouder om de richtlijn op dit onderdeel. De auditor controleert zowel de organisatie als de compliance officer. Let wel: de compliance auditor is een andere rol dan de traditionele accountant die als auditor optreedt. Het gaat hier om interpretatie van wet- en regelgeving en zal eerder door juristen dan door accountants worden uitgevoerd.

Heeft uw organisatie een opleidingsplan voor de medewerkers?

JaNee

Om uw medewerkers in staat te stellen te voldoen aan de wet- en regelgeving zal uw organisatie dienen te investeren in opleidingen en een daartoe opleidingsplan op te stellen.
Om uw medewerkers in staat te stellen te voldoen aan de wet- en regelgeving zal uw organisatie dienen te investeren in opleidingen en een daartoe opleidingsplan op te stellen.

Heeft uw organisatie een Systematische Integriteit Risico Analyse (SIRA) opgesteld?

JaNee

Beheersing van de integriteitrisico’s overstijgt het enkele cliëntenonderzoek en opleiding van medewerkers. Tevens dient gekeken te worden naar de branche waar uw organisatie actief is, waar uw cliënten actief zijn en andere algemene risico’s. De SIRA vormt de basis van uw risicobeleid en uw ‘risk appetite’ en wordt opgesteld door het bestuur in samenspraak met de medewerkers en compliance officer. Voorbeelden van de vormgeving van een SIRA zijn op internet te vinden. Zie ook hiervoor een guidance document van DNB voor trustkantoren. N.B. neem dit niet te licht op. Het is een arbeidsintensief proces dat regelmatig dient te worden geactualiseerd.
Beheersing van de integriteitrisico’s overstijgt het enkele cliëntenonderzoek en opleiding van medewerkers. Tevens dient gekeken te worden naar de branche waar uw organisatie actief is, waar uw cliënten actief zijn en andere algemene risico’s. De SIRA vormt de basis van uw risicobeleid en uw ‘risk appetite’ en wordt opgesteld door het bestuur in samenspraak met de medewerkers en compliance officer. Voorbeelden van de vormgeving van een SIRA zijn op internet te vinden. Zie ook hiervoor een guidance document van DNB voor trustkantoren. N.B. neem dit niet te licht op. Het is een arbeidsintensief proces dat regelmatig dient te worden geactualiseerd.