Introductie
Met de publicatie van de Leidraad Wwft en Sw door De Nederlandsche Bank (‘DNB’) in december 2019 hebben alle toezichthouders (Autoriteit Financiële Markten (‘AFM’), Bureau Financieel Toezicht (‘BFT’), DNB, de Belastingdienst, en de Orde van Advocaten (‘NOVA’)) hun visie op de Wet ter voorkoming van witwassen en financiering van terrorisme (‘Wwft’) gedeeld met de ondernemingen/instellingen die onder hun toezicht staan.
Het is interessant om te zien waar de verschillende toezichthouders de nadruk op leggen en waar weinig tot geen aandacht aan wordt besteed. DNB besteedt bijvoorbeeld veel aandacht aan de inrichting van de organisatie, terwijl de overige toezichthouders maar beperkt hun visie geven op dit onderdeel. Daarentegen besteden BFT en de Belastingdienst veel aandacht aan het cliëntenonderzoek maar wordt dat bij DNB nauwelijks behandeld, met uitzondering van enkele nieuwe elementen in de wet.
Nog interessanter is het om te zien in hoeverre de toezichthouders op één lijn zitten of dat er (grote) verschillen in behandeling van onderwerpen zit.
Wat opvalt is dat geen van de richtlijnen een compleet overzicht geeft van de verplichtingen uit de Wwft waaraan dient te worden voldaan. In principe moet (in ieder geval) elke compliance officer ze allemaal gelezen hebben om een compleet beeld te krijgen van de vereisten van de Wwft.
In dit artikel wordt gepoogd een overzicht van de belangrijkste verplichtingen en mogelijke verschillen vanuit de toezichthouders te geven om de leemtes in de verschillende leidraden te vullen.
Inrichting organisatie
Risicobeleid
In §1.2 van de Wwft (art 2 -2d Wwft) gaat de wet in op het risicomanagement. DNB besteedt ruim aandacht aan dit onderwerp. De overige toezichthouders beperken zich tot het benoemen van het vereiste van het beheersen van integriteitsrisico’s en vermelden dat bij deze analyse verschillende documenten dienen te worden betrokken (Supra National Risk Assessment (Europese Commissie), National Risk Assessment witwassen/ terrorismefinanciering (WODC), FATF rapporten). Voorts benoemen deze laatsten de risicofactoren uit Bijlage III van de Richtlijn (cliëntgebonden risico’s, geografische risico’s, product- en dienstgebonden risico’s).
“De risico beoordeling is vormvrij, wel moet de toezichthouder in staat zijn om te beoordelen of u de risico’s op witwassen en financieren van terrorisme voldoende in kaart heeft gebracht en u uw beleid en procedures om deze risico’s te beheersen adequaat heeft ingericht” (Belastingdienst, p. 9).
Waar BFT en de Belastingdienst de beoordeling vormvrij laten, geven AFM en DNB minder ruimte voor een eigen interpretatie. Zij hebben dan ook uitvoerige leidraden over de Systematische Integriteit Risico Analyse (SIRA) uitgebracht. Voor ondernemingen zonder bestaande SIRA verplichting is, om over de opzet een relatief goed beeld te kunnen krijgen (DNB, AFM), het lezen van deze leidraden aan te raden.
Procedurehandboek
In alle leidraden wordt zijdelings opgemerkt dat integriteitsbeleid en gedragslijnen, procedures en beheersmaatregelen dienen te worden vastgelegd. Onderbelicht blijft echter dat vele organisaties nog niet beschikken over een procedurehandboek, terwijl dit wel een – reeds bestaande – verplichting is. Het nu en de noodzaak had meer aandacht kunnen krijgen en zo organisaties meer richting kunnen geven in de opzet en vormgeving van hun integriteitsbeleid.
Risk appetite
Elke organisatie dient haar risicobereidheid, ofwel risk appetite, te hebben vastgelegd. Alleen DNB benoemt dit onderwerp specifiek in haar leidraad (6x), en beschouwt dit zelfs als een inherent onderdeel van het beheersingskader voor integriteitrisico’s (p. 5). Dit wordt (ten onrechte) door de andere toezichthouders niet als zodanig benoemd, hoewel de AFM het zijdelings lijkt te noemen (p. 11) en op andere plaatsen wel hiervoor verwijst naar DNB publicaties. Elke organisatie werkt in principe vanuit de eigen integriteitsrisico ‘comfort zone’. Vastlegging van deze ‘comfort zone’ is een goed startpunt voor de analyse van de risicobeheersing. Aan de hand van de risicoanalyse worden sterke en zwakke punten van de diensten/klanten/organisatie blootgelegd en kan men tot een netto risicobereidheid komen. Dit kan tevens voor meer focus op organisatie-specifieke risico’s zorgen.
Inrichting compliancefunctie en auditfunctie
In elke leidraad staat dat een compliancefunctie en een auditfunctie dienen te worden ingesteld ‘afhankelijk van de aard en de omvang van de instelling’. Deze tekst is weinig concreet. DNB en AFM geven geen echte indicaties wanneer zij verwachten dat de functies worden ingericht. Het is echter niet goed voorstelbaar dat deze toezichthouders zelf niet goed voor ogen hebben waar ze dat wel en waar niet verwachten. Het blijft vooralsnog gissen naar hun wensen. BFT heeft aansluiting gezocht bij de Wet op de Ondernemingsraden (‘WOR’) door de functies verplicht te stellen, wanneer ook een ondernemingsraad verplicht is gesteld. Ook geldt volgens BFI deze verplichting wanneer meer dan 75% van de cliënten in de categorie verscherpt cliëntenonderzoek valt. Dit laatste criterium kent deels een open karakter en is dus aan discussie onderhevig. De Belastingdienst kent min of meer dezelfde criteria en vult hierbij aan dat dit bovendien ook op concernniveau geldt. Als de verschillende onderdelen gezamenlijk aan de eis van 50 werknemers, activa van 6 miljoen en/of netto omzet van 12 miljoen (2 van 3) voldoen dan dient de organisatie een compliancefunctie en een auditfunctie in te richten. Deze eis is weinig ambitieus en doet mogelijk onvoldoende recht aan de integriteitrisico’s. Mogelijk wordt dit ingegeven door de beperktere capaciteit van deze toezichthouders.
Een compliance officer is in de meeste organisaties geen overbodige luxe als het om de Wwft gaat. Dat men terughoudend is ten aanzien van de verplichting een auditfunctie in te stellen is wellicht voorstelbaar, hoewel de eigen ervaring leert dat dit in de regel een meer dan nuttige toevoeging op de organisatie is. Een compliancefunctie, hoe beperkt ook, lijkt echter, gezien de belangen en verplichtingen, voor iedereen onder de Wwft toch een minimale wens.
Opmerkelijk is overigens dat als een onderneming niet over een compliance officer hoeft te beschikken, het kennelijk niet nodig of mogelijk is om een FIU melding te doen (zie art 2d lid 3 Wwft).
Tot slot geeft NOVA, net als AFM en DNB, geen nadere indicatie over wanneer beide functies moeten worden ingesteld. Hoewel de NOVA verwijst naar de Parlementaire geschiedenis waarin staat dat toezichthouders nadere guidance zullen verlenen, heeft zij hier zelf vooralsnog niet in voorzien.
Overigens meent BFT dat de accountant de rol van compliance auditor kan uitoefenen. Nu de rol van compliance auditor onder de Wwft gaat over toepassing en interpretatie van wet- en regelgeving, wezenlijk anders dan een financiële audit, licht dit niet voor de hand. Gebleken voer voor discussie.
Klokkenluidersregeling
Op grond van artikel 20a Wwft beschikken instellingen over procedures, passend bij de aard en omvang van de instelling, die werknemers in staat stellen om de door de instelling begane Wwft overtredingen intern te melden. In de memorie van toelichting staat dat de melder van de Wwft overtredingen dit op onafhankelijke en geanonimiseerde wijze moet kunnen melden. Artikel 20a Wwft sluit aan bij de bepalingen in de Wet Huis voor klokkenluiders op basis waarvan werkgevers werknemers in staat stellen een interne klokkenluidersmelding te doen, aldus DNB en in beperktere mate AFM. De overige toezichthouders benoemen dit onderdeel niet.
Opleidingen en ‘awareness’
Ook aan dit onderwerp (art. 35 Wwft) besteedt DNB veruit de meeste aandacht. BFT beperkt zich tot het aangeven dat de compliance officer en compliance auditor voldoende deskundigheid ter zake moeten hebben. AFM, de Belastingdienst en NOVA geven aan dat medewerkers alsmede de dagelijks beleidsbepalers bekend zijn met de bepalingen van de Wwf en periodiek training krijgen waardoor ze in staat zijn ongebruikelijke transacties te herkennen. DNB geeft daarnaast aan dat men ook een opleidingsplan dient te hebben:
“Een adequate vastlegging van het aanbod, de gevolgde trainingen, de frequentie en van wie opleidingen volgen stelt instellingen in staat om het kennisniveau binnen de organisatie doorlopend vast te stellen, te monitoren en daarop in te spelen” (p. 7).
Overzicht
De aandacht voor de verschillende onderwerpen kan als volgt schematisch worden weergegeven:
Cliëntenonderzoek
Cliëntbegrip
Het cliëntbegrip lijkt eenvoudig maar blijkt in de praktijk aanleiding voor onduidelijkheid. Alle toezichthouders geven min of meer dezelfde definitie van cliënt:
“Het betreft de “natuurlijke persoon of rechtspersoon met wie een zakelijke relatie wordt aangegaan of die een transactie laat uitvoeren”. Een cliënt is een ieder met wie een zakelijke, professionele, of commerciële relatie wordt aangegaan die verband houdt met de professionele activiteiten van de instelling”.
Enkel DNB gaat verder in op het cliëntbegrip. Zij geeft aan dat bijvoorbeeld bij dienstverlening aan een commanditaire vennootschap de beherende vennoot de cliënt is, en bij diensten aan een trust de trustee de cliënt is. Dit is relevant omdat de wet uitgaat van een UBO-onderzoek op de cliënt. In voorkomend geval dient zowel op de CV (begunstigden) als op de beherende vennoot (zeggenschap) een UBO onderzoek te worden uitgevoerd.
NOVA gaat er vanuit dat advocaten dit onderscheid al kennen en geeft direct aan dat deze partijen de cliënt zijn (maar zegt niets over bijbehorend onderzoek) en de overige toezichthouders houden het enkel op vermelding van de definitie.
UBO begrip
De UBO, ofwel uiteindelijk begunstigde, is de natuurlijke persoon die – kort gezegd – direct of indirect meer dan 25% eigendom of zeggenschap in de cliënt heeft. Niet alle toezichthouders geven aan dat bij een kleiner percentage ook een persoon als UBO aangemerkt kan worden (bijvoorbeeld NOVA). BFT gaat ruim in op de verschillende rechtsvormen die ene cliënt kan hebben en geeft diverse voorbeelden wie in welke situatie de UBO is. De overige toezichthouders houden de toelichting beperkt tot het geven van de basale informatie.
Pseudo-UBO
Het onofficiële begrip ‘Pseudo-UBO’ heeft al aanleiding tot veel discussie gegeven. Wanneer geen UBO kan worden gevonden dient iemand van het ‘hoger leidinggevend personeel’ te worden aangewezen als Pseudo-UBO (art 3 Uitvoeringsbesluit Wwft). Alle toezichthouders lijken het hier over eens. In de praktijk houdt dat in dat één of meer personen van het statutair bestuur worden aangemerkt als Pseudo-UBO. Dat betekent dat bij een verhoogd risico cliënt i.g.v. verscherpt cliëntenonderzoek in principe ook een onderzoek naar herkomst van het vermogen van de Pseudo-UBO(‘s) dient plaats te vinden. De wet kent namelijk geen onderscheid tussen een UBO en een Pseudo-UBO. Niets wijst erop dat van deze verplichting kan worden afgezien. Echter, dit onderzoek voegt over het algemeen weinig toe aan het onderzoek en lijkt het doel van de wet ook niet te dienen. In de praktijk blijkt dat de meeste organisaties dit onderzoek bij een Pseudo-UBO dan ook beleidsmatig hebben uitgesloten. Mogelijk is dat echter te rigoureus. In het geval dat een Pseudo-UBO een belang van 15% heeft (en dus in feite geen UBO is) kan het onderzoek naar diens vermogen wel degelijk iets toevoegen. In ieder geval is het aan te raden om een (genuanceerd) beleid op dit onderdeel op te stellen.
DNB had in haar consultatie-versie nog opgenomen dat ‘het in de rede ligt dat de Pseudo-UBO op een hoger niveau wordt gezocht’, maar in de finale versie is dit verwijderd. Aldus lijkt DNB zich aan te sluiten bij de interpretatie van de overige toezichthouders. Echter, in een separaat document, de feedback statement (p. 13), lijkt dit schoorvoetend te gebeuren. DNB blijft van mening dat, gezien het doel van UBO onderzoek, het logischer is dat een Pseudo-UBO op het hoogste niveau wordt gezocht. Dit ligt ook naar mijn mening meer voor de hand. Voor eenduidigheid is het uiteraard wel beter dat iedereen dezelfde betekenis hanteert, zeker met het oog op de toekomstige rol van het UBO register.
Identificatie en verificatie
Over de verplichting van verificatie van de identiteit is in principe geen verschil tussen de visies van de toezichthouders. Verificatie van de identiteit vindt plaats aan de hand van documenten, gegevens of inlichtingen uit betrouwbare en onafhankelijke bron. In artikel 4 van de Uitvoeringsregeling Wwft wordt een aantal documenten genoemd dat hiervoor gebruikt kan worden.
Enig verschil blijkt wel wanneer meer in detail wordt ingegaan op hoe verificatie onder meer mogelijk is. Zo wordt door de Belastingdienst de 1-cent betaling gezien als mogelijk onderdeel van de verificatie. DNB (p. 18) en AFM zijn daarover beduidend minder enthousiast.
Verscherpt cliëntenonderzoek
Alle toezichthouders besteden, ieder op eigen wijze, aandacht aan het verscherpt cliëntenonderzoek. De aanwezigheid van risicofactoren als genoemd in Bijlage III bij de 4e anti-witwasrichtlijn geven aanleiding voor een verscherpt cliëntenonderzoek. BFT geeft additionele ‘red-flags’ voor de onder haar toezicht staande ondernemingen m.b.t. geografische risico’s. AFM en de Belastingdienst benadrukken dat de aanwezigheid van cryptovaluta altijd leidt tot verscherpt cliëntenonderzoek.
Hoewel de leidraden de nodige ondersteuning bieden bij het herkennen van situaties die dienen te leiden tot verscherpt cliëntenonderzoek, zijn deze een stuk minder concreet bij het aangeven welke maatregelen dan genomen dienen te worden. De wet zelf biedt op dit punt meer handvatten dan de leidraden, al is ook dit vrij beperkt.
PEP begrip
De definitie van de Politiek Prominente Persoon (“PEP”) is vastgelegd in artikel 2 Uitvoeringsbesluit Wwft ((1) eigen functie, (2) direct familie, (3) nauwe (zakelijke) relatie). Onder compliance professionals is genoegzaam bekend wat dit begrip inhoudt en uitvoerige behandeling kan in dit verband derhalve achterwege blijven. Wel is relevant om te melden dat ten eerste de definitie is uitgebreid met nationale PEP’s, ten tweede dat de categorie personen op zichzelf ook is uitgebreid, en ten derde dat de lijst in het artikel niet limitatief is.
Opmerkelijk is dat DNB als enige (enigszins) toelicht wat nu precies het risico van een PEP is, al geven anderen ook voorbeelden van risicosituaties. BFT lijkt te veronderstellen dat deze informatie niet relevant is of bij iedereen genoegzaam bekend, want in haar leidraad wordt hieraan voorbijgegaan.
De Belastingdienst geeft als enige aan wie er niet onder de definitie vallen:
“Niet onder het begrip PEP vallen: de grootouders, broers, zusters, neven en nichten van de politiek prominente persoon. Ook vallen lokale politici niet onder het begrip PEP. Let op: lokale politici kunnen wel om een andere reden een hoog risico cliënt zijn. Denk aan een wethouder die verantwoordelijk is voor de aanbesteding van grote bouwprojecten, grondtransacties, enz.” (p. 21)
Bovendien geeft de Belastingdienst als enige terecht aan dat een PEP niet op voorhand geacht moet worden een mogelijke crimineel te zijn:
De maatregelen ten aanzien van PEP’s zijn preventief van aard. Dat betekent niet dat een PEP per definitie betrokken is bij criminele activiteiten. Een zakelijke relatie afwijzen, uitsluitend omdat een cliënt of UBO een PEP is, druist in tegen de gedachte achter de Wwft.
FIU melding
Wanneer een transactie ongebruikelijk is, dient deze te worden gemeld aan FIU-Nederland. Niet van belang is of de transactie ook daadwerkelijk verdacht is. Alle toezichthouders besteden ruim aandacht aan dit onderwerp, elk op eigen wijze. DNB gaat dieper in op het onderwerp transactiemonitoring, waaruit uiteindelijk een FIU melding zou kunnen volgen. Ze besteedt bovendien aandacht aan het herkennen van transacties en patronen van transacties. Voor zover relevant zeer lezenswaardig. BFT gaat nader in op de definitie van witwassen en de objectieve en subjectieve indicatoren. De Belastingdienst stipt daarnaast ook de voorgenomen transactie aan. Tot slot benadrukt de NOVA dat de advocaat vooral goed voor ogen dient te houden of een mogelijke ongebruikelijke transactie verband houdt met Wwft-diensten. Zo niet, dan mag er in beginsel ook niet gemeld worden vanwege de geheimhoudingsplicht (art 18a Wwft).
De FIU melding wordt verricht door degene die de compliancefunctie vervult (artikel 2d Wwft).
Overzicht
De aandacht voor de verschillende onderwerpen kan als volgt schematisch worden weergegeven:
Sanctiewet 1977
Ondernemingen en instellingen kunnen betrokkenheid hebben met activiteiten en personen die nationaal of internationaal gesanctioneerd zijn. Dit zal met name kunnen spelen bij partijen die internationaal actief zijn. Middels de Sanctiewet 1977 en de Wwft is dit in Nederland gereguleerd. Onder toezicht staande ondernemingen en instellingen kennen een onderzoeksplicht met een resultaatverplichting. BFT, NOVA en de Belastingdienst laten de naleving van de Sanctiewet 1977 nogal onderbelicht. Er wordt enkel melding gemaakt van het fenomeen sancties, eventueel in combinatie met de geografische risico-indicatoren. AFM geeft aan dat zij toezichthouder is voor deze wet samen met DNB en licht de procedure van rapporteren nader toe. Enkel DNB geeft een duidelijke uitleg over de inhoud van sancties, waar op te letten en wat precies van partijen wordt verwacht. Voor eenieder die iets meer uitleg wil, is dit een aardig startpunt, zeker in vergelijking met de andere toezichthouders.
Conclusie
Het resultaat van de vergelijking van de leidraden is enigszins teleurstellend. In veel gevallen is de Leidraad beperkt tot het (vrijwel) letterlijk overnemen van de Memorie van Toelichting op de wet zonder daadwerkelijk uit te leggen wat de toezichthouder daar nu precies onder verstaat en hoe de betreffende onderneming/instelling de regel correct moet uitvoeren. Dit gebrek doet af aan de praktische toepasbaarheid van de leidraden. De uitzondering is BFT, die op veel onderdelen concreet uitlegt hoe zij de wet interpreteert en wat zij verwacht aan te treffen in cliëntendossiers en in de inrichting van de governance, al laten zij weer diverse onderwerpen onbesproken. Desalniettemin is het plaatje van de Wwft redelijk in te kleuren, mits je meer dan één of twee leidraden leest.
Hoewel er verschillen zijn tussen de leidraden met hier en daar de nodige hiaten, kan als pluspunt worden gezien dat in de leidraden weinig tegenstellingen tussen toezichthouders (meer) zijn te ontwaren.
Voor wie zelf de leidraden wil beoordelen bevat de FIU site een overzicht van veel, zo niet alle, Wwft leidraden.
Kortom, voldoende voer voor flink wat artikelen, discussies en cursussen, al dan niet gecombineerd met enige strijd met de toezichthouders die het kennelijk ook nog niet allemaal zo precies weten (of zich zo voordoen).
Robert-Jan van Aken