WWFT 2018

WWFT 2018

Op 11 juli 2018 heeft de Eerste Kamer ingestemd met de nieuwe Wet tegen het witwassen en financieren van terrorisme (“Wwft”). In vervolg daarop is het Uitvoeringsbesluit Wwft op 17 juli 2018 vastgesteld. De Wwft is een voortvloeisel van de vierde EU Anti-witwas Richtlijn. De Wwft stelt verschillende aanvullende eisen aan financiële ondernemingen (art 1a Wwft) ten opzichte van de reeds bekende compliance vereisten als cliëntonderzoek.

 

Wie vallen er bijvoorbeeld onder de Wwft?
Financiële instellingen (banken, verzekeraars, pensioenfondsen, beleggingsinstellingen, betaalinstellingen, etc.)
(kandidaat-)notarissen of vergelijkbare beroepen
Belastingadviseurs of vergelijkbare beroepen
Accountants of vergelijkbare beroepen
Administratiekantoren
Advocaten en juridisch adviseurs
Domicilieverleners (Regus, etc)
Makelaars
Juweliers
Casino’s en loterijen

De lijst is lang. Wilt u zeker weten of u wel of niet dient te voldoen aan de Wwft, check dan art 1a Wwft

Wie houden toezicht op het naleven van de wwft?
De Nederlandsche Bank (“DNB”)
Autoriteit Financiële Markten (“AFM”)
Bureau Financieel Toezicht (“BFT”)
Belastingdienst, Bureau toezicht Wwft

In een enkel geval is het toezicht uitbesteed aan een branche organisatie, zoals de Orde van Advocaten. Het is dus van belang om te controleren bij wie u dient aan te kloppen voor nadere informatie over het toezicht.

Wat houdt een Wwft verplichting in?
Als jouw organisatie onder het bereik van de Wwft valt dan heb je verschillende verplichtingen, waarvan de meest in het oog springende is dat je cliëntenonderzoek moet doen. Dat houdt in dat je naar bepaalde aspecten van jouw klant onderzoek moet doen voordat je diensten aan die partij mag leveren (onderzoek mag dus niet achteraf). Het onderzoek vindt o.a. plaats naar de identiteit van de UBO, eventueel kwalificatie (eigendomsstructuur klant), herkomst van het vermogen, is klant (of UBO van de klant) een politiek prominent persoon, een zogenaamde PEP. In het geval dat de mogelijkheid bestaat om transacties te monitoren is dit verplicht (bijvoorbeeld voor administratiekantoren).
Daarnaast dient de organisatie een risicobeleid en een opleidingsplan te hebben. Bovendien wordt verwacht dat een organisatie een procedurehandboek heeft waarin de verschillende processen en procedures zijn vastgelegd.
Wat is er nieuw in de Wwft?
Allereerst verandert het begrip UBO. De belangrijkste aanpassing is:
Ook hoger leidinggevend personeel kan als UBO worden aangemerkt (lees: statutair bestuurders). Dit moet wanneer geen UBO vast te stellen is, i.e. een natuurlijk persoon die 25% of meer van de klant (wanneer de klant een bedrijf is) in eigendom heeft of vergelijkbare invloed kan uitoefenen.
Ten tweede verandert het begrip PEP:
Naast de buitenlandse PEP is er nu ook de binnenlandse PEP. Nederlandse politici, ambassadeurs, generaals, bestuur van centrale banken e.d. zijn vanaf nu ook een PEP.
De functies wanneer men in aanmerking komt als PEP zijn uitgebreid. Zie art 2 Wwft voor een volledige omschrijving.
Een nieuwe verplichting is dat een procedurehandboek verplicht wordt (art 2c Wwft), hoewel dit wel al reeds een bestaande verwachting was.
Voorts zijn financiële ondernemingen verplicht om een onafhankelijke en effectieve compliancefunctie in te richten (art 2d Wwft). Uitgezonderd hiervan zijn enkel de persoonsvennootschappen.
Daarnaast wordt een nieuwe functie geïntroduceerd die in de trustsector reeds bekend is: de compliance auditfunctie (art 2d Wwft). De auditfunctie controleert op onafhankelijke wijze of de organisatie haar procedures volgt, haar cliëntenonderzoek conform de Wwft uitvoert, en of de compliancefunctie onafhankelijk en effectief opereert. Ook hier moet nader worden toegelicht wanneer een dergelijke verplichting bestaat.
De grens van verdachte contante transacties wordt verlaagd van € 15.000 naar € 10.000.
Tot slot dient een systematische integriteitrisicoanalyse, een SIRA, te worden opgesteld en actueel gehouden te worden. Deze dient te allen tijde beschikbaar te zijn voor de toezichthouder. Voor diegenen die nog niet bekend zijn met het fenomeen: onderschat dit niet. Dit is een zeer tijdrovende klus. Als je geen verstand hebt van een SIRA, vraag een specialist om je te helpen (of je externe compliance officer of auditor).
Melden van ongebruikelijke transacties
Wanneer je een ongebruikelijke transactie tegenkomt, dan dien je deze te melden bij de Financial Intelligence Unit – Nederland (“FIU”). U dient een account te hebben, dus het is aan te raden deze alvast te openen en niet te wachten totdat u moet melden.
U moet ongebruikelijke transacties onverwijld melden. Dat betekent dus vrijwel direct na de ontdekking ervan. U mag een paar dagen uitzoeken wat er nu precies aan de hand is, maar als u te lang wacht, dan kunt u strafbaar worden. Ook bij niet-melden kunt u vervolgd worden.
Echter, wanneer u tijdig meldt wordt u gevrijwaard van vervolging, maar ook gevrijwaard tegen (civiele) claims van de partij die u gerapporteerd hebt.
Wat kost dat nu allemaal?
In de toelichting op de wet is aangegeven dat de administratieve lasten van het invoeren van de Wwft voor kansspelaanbieders eenmalig € 20.000 kost voor technische aanpassingen en € 4.320 voor het opstellen van beleid en procedures. Daarnaast zijn er nog de lopende kosten van cliëntonderzoek en uitvoeren van meldingen aan de FIU. Uiteraard gaat de overheid uit van absolute bodemprijzen (welke consultant gaat er voor € 54 per uur werken? Geen één, ga maar uit van dubbele tot drievoudige).
Voor de overige financiële ondernemingen gaat de overheid er van uit dat het compliance framework grotendeels reeds staat. Voor hen worden de extra kosten berekend met een uurtarief tussen de € 37 en € 54 per uur en tussen de 20 – 200 uur tijdbesteding.
In de toelichting is opgenomen dat het gemiddelde tarief voor externe compliance officers en compliance auditors rond de € 150 per uur ligt.

Alles bij elkaar betekent het een flinke investering. Tot slot twee tegeltjeswijsheden als advies:
• Goedkoop is duurkoop
• If you think compliance is expensive, try non-compliance (Paul McNulty, oud US Deputy Attorney General)

Veel gestelde vragen

1. Val ik onder de Wwft?
Dat hangt af van uw organisatie. Onder tab ‘WWFT-2018’ staan verschillende partijen opgesomd en een link naar art 1a Wwft.
2. Moet ik nu alle procedures gaan opschrijven in een procedurehandboek?
Ja. Een procedurehandboek dient te zorgen voor eenduidigheid en duidelijkheid op de werkvloer hoe er gewerkt dient te worden om integriteitrisico’s te voorkomen. Daarnaast kan de toezichthouder, maar ook de compliance officer en eventueel de compliance auditor, oordelen of uw organisatie werkt conform de vastgestelde regels.
3. Moet ik nu een compliance officer in dienst nemen?
U moet een onafhankelijke en effectieve compliancefunctie hebben ingericht. Dat mag intern maar ook extern. U mag dus een externe compliance officer inhuren die op uurbasis werkzaamheden voor u verricht. Het is afhankelijk van uw organisatie hoeveel tijd daarbij benodigd is. Let wel op dat de compliance officer enkel tweedelijns werkzaamheden verricht.
4. Tweedelijns, derdelijns. Wat houdt dat allemaal in?
In de compliance wereld wordt gewerkt met het zogenaamde ‘three lines of defense’ systeem. De eerstelijn is het normale dagelijkse werk en contact met de cliënt. De tweedelijn (de compliance officer) controleert en rapporteert of en in welke mate aan de vastgestelde procedures wordt voldaan. Daarnaast adviseert hij/zij het bestuur over verbetering van beleid en procedures. De compliance officer voert géén taken van de eerstelijn uit, dus ook niet het opstellen van klantonderzoek dossiers.
Tot slot bestaat de derdelijn uit de compliance auditor die de compliance officer controleert (is deze effectief en onafhankelijk en voert die zijn werk goed uit) en controleert de organisatie. In het algemeen zal de auditor ook aanbevelingen doen over mogelijke verbeteringen in de organisatie.
5. Wie moet ik vragen als mijn auditor?
De compliance auditor controleert of de organisatie voldoet aan alle wet- en regelgeving. Vanuit die optiek is het logisch om te kiezen voor een juridisch geschoolde auditor, de zogenaamde operational auditor. Accountants menen echter dat auditing traditioneel bij hen hoort en dat de auditfunctie dus door een accountant dient te worden gedaan (financial auditor). Hoe dat laatste ook zij, het is de vraag of uw eigen accountant de rol van compliance auditor op zich kan nemen omdat de onafhankelijkheid niet in alle gevallen zonder meer vaststaat. Een derde partij verdient dus hoe dan ook de voorkeur.
6. Moet ik voor al mijn cliënten een compliance dossier aanleggen?
In principe wel. Er zijn uitzonderingen, zoals bijvoorbeeld voor advocaten wanneer zij hun cliënt bijstaan in een rechtszaak (voor, tijdens en na), maar in de basis dient voor iedereen een dossier aangemaakt te worden. In de wet staan de uitzonderingen opgesomd.
7. Mag mijn compliance dossier ook digitaal?
Ja, dat mag. Let bij digitale dossiers er wel op dat goed zichtbaar is wanneer onderzoek verifieerbaar uitgevoerd is. Het zou zonde zijn wanneer u het onderzoek keurig uitgevoerd heeft maar dat niet zichtbaar is wanneer dat gedaan is, en u dus een boete krijgt.
8. Zijn er ook systemen om de compliance werkzaamheden in te voeren?
Er zijn verschillende systemen in omloop. De eerlijkheid gebiedt te zeggen dat anno 2018 deze eigenlijk allemaal nog in ontwikkeling zijn, al is de enen wat verder dan de andere.
9. Wat is een risicoanalyse van de instelling?
Om goed te kunnen inschatten welke risico’s bestaan binnen een organisatie dient een inventarisatie gemaakt te worden van die risico’s, en vervolgens geanalyseerd te worden. Dit wordt ook wel genoemd een systematische integriteitrisicoanalyse, kortweg SIRA. Afhankelijk van uw organisatie is deze beperkt of uitgebreid in omvang. In elk geval dient dit niet onderschat te worden (qua tijd en investering) en is het aan te raden een adviseur in te schakelen om in ieder geval de basis van het framework te bouwen. Sommige adviseurs zullen waarschijnlijk wel een standaard hebben die u kunt aanschaffen. Zelf kunt u in Excel ook een goede analyse bouwen.
10. Moet ik ook iedereen gaan controleren op internationale sancties?
Nee. Die verplichting bestaat alleen voor financiële instellingen, zoals banken, betaalinstellingen, trustkantoren en verzekeraars op basis van de Sanctiewet 1977. Het is uiteraard wel verstandig om te controleren of mogelijke wederpartijen of landen zijn gesanctioneerd wanneer u internationaal opereert. Overtreding van de Sanctiewet 1977 kan tot onaangename boetes leiden.

Relevante links

DNB
AFM
BFT
Belastingdienst
FIU
Leidraad Wwft
Wwft 2018
Memorie van Toelichting Wwft 2018
Uitvoeringsbesluit Wwft 2018

Wwft Check

Doe een korte check om te zien in welke mate u voorbereid bent op de Wwft 2018.

Heeft uw organisatie een procedurehandboek met daarin procedures met betrekking tot cliëntonderzoek én met betrekking tot de bedrijfsvoering?

JaNee

U voldoet daarmee aan het wettelijke vereiste van het hebben van een procedurehandboek, echter deze moet wel volledig en actueel zijn. Het procedurehandboek is immers de basis van de werkwijze binnen uw organisatie. Dat is van belang voor (nieuwe) medewerkers, waaronder de compliance oficer. De toezichthouder (maar ook een auditor) gebruiken het procedurehandboek om te zien op welke wijze u uw integriteitrisico’s beheerst. Zorg dat dit document actueel wordt gehouden en dus is bijgewerkt naar de huidige normen en laatste stand van zaken binnen uw organisatie.
U voldoet niet aan het wettelijk vereiste van het hebben van een procedurehandboek. De WWFT schrijft voor dat u de binnen uw organisatie geldende procedures moet hebben vastgelegd in een procedurehandboek. Het procedurehandboek is de basis van de werkwijze van uw organisatie. Dat is niet alleen relevant voor (nieuwe) medewerkers, waaronder de compliance officer. De toezichthouders (en een auditor) zullen zonder de aanwezigheid van een procedurehandboek concluderen dat u uw integriteitrisico’s niet (voldoende) beheerst. Het is belangrijk te beseffen dat dit het risico van een (flinke) boetes met zich mee brengt, maar dat in een civile procedure dit aansprakelijkheids risico’s met zich mee brengt.

Heeft uw organisatie voor al uw cliënten een dossier met daarin het (onderbouwde) cliëntonderzoek en een risicoprofiel?

JaNee

De cliëntendossiers dienen te voorzien te zijn van alle onderdelen van onderzoek op het gebied van o.a. identificatie en verificatie van de identiteit van de UBO, kwalificatie, herkomst van vermogen, PEP onderzoek, en indien van toepassing transactiemonitoring (inclusief een transactieprofiel). Het dossier wordt afgerond met een risicoanalyse en risicoclassificatie. Uiteraard dient het onderzoek te zijn afgerond voordat aan dienstverlening wordt begonnen!
Uw cliëntendossier toont in welke mate u uw onderzoek heeft uitgevoerd en onderbouwd, in welke mate u de risico’s van die cliënt beheerst en of dit onderzoek tijdig, d.w.z. voor aanvang van de dienstverlening, heeft gedaan. Het is belangrijk te beseffen dat deze drie elementen zwaar wegen bij een toezichthouder in haar onderzoek en tekortkomingen kunnen leiden tot (flinke) boetes.

Heeft uw organisatie een onafhankelijke compliancefunctie ingesteld?

JaNee

Een compliance officer dient onafhankelijk en effectief te kunnen optreden. Deze persoon is niet actief in eerstelijns taken (accountmanagement, administratie, customer support, etc) en kan niet vereenzelvigd worden met een bestuursfunctie. De onafhankelijkheid dient te waarborgen dat deze effectief de organisatie kan controleren en adviseren op verbeteringen. De functie van compliance officer mag worden uitbesteed en is niet noodzakelijkerwijs een fulltime functie.
Een compliance officer dient onafhankelijk en effectief te kunnen optreden. Deze persoon is niet actief in eerstelijns taken (accountmanagement, administratie, customer support, etc) en kan niet vereenzelvigd worden met een bestuursfunctie. De onafhankelijkheid dient te waarborgen dat deze effectief de organisatie kan controleren en adviseren op verbeteringen. De functie van compliance officer mag worden uitbesteed en is niet noodzakelijkerwijs een fulltime functie.

Heeft uw organisatie een auditfunctie ingesteld?

JaNee

Niet alle ondernemingen die binnen het bereik van de Wwft vallen zijn verplicht om een compliance auditor aan te stellen. Dit is afhankelijk van de omvang van uw organisatie. Vraag uw toezichthouder om de richtlijn op dit onderdeel. De auditor controleert zowel de organisatie als de compliance officer. Let wel: de compliance auditor is een andere rol dan de traditionele accountant die als auditor optreedt. Het gaat hier om interpretatie van wet- en regelgeving en zal eerder door juristen dan door accountants worden uitgevoerd.

Niet alle ondernemingen die binnen het bereik van de Wwft vallen zijn verplicht om een compliance auditor aan te stellen. Dit is afhankelijk van de omvang van uw organisatie. Vraag uw toezichthouder om de richtlijn op dit onderdeel. De auditor controleert zowel de organisatie als de compliance officer. Let wel: de compliance auditor is een andere rol dan de traditionele accountant die als auditor optreedt. Het gaat hier om interpretatie van wet- en regelgeving en zal eerder door juristen dan door accountants worden uitgevoerd.

Heeft uw organisatie een opleidingsplan voor de medewerkers?

JaNee

Om uw medewerkers in staat te stellen te voldoen aan de wet- en regelgeving zal uw organisatie dienen te investeren in opleidingen en een daartoe opleidingsplan op te stellen.
Om uw medewerkers in staat te stellen te voldoen aan de wet- en regelgeving zal uw organisatie dienen te investeren in opleidingen en een daartoe opleidingsplan op te stellen.

Heeft uw organisatie een Systematische Integriteit Risico Analyse (SIRA) opgesteld?

JaNee

Beheersing van de integriteitrisico’s overstijgt het enkele cliëntenonderzoek en opleiding van medewerkers. Tevens dient gekeken te worden naar de branche waar uw organisatie actief is, waar uw cliënten actief zijn en andere algemene risico’s. De SIRA vormt de basis van uw risicobeleid en uw ‘risk appetite’ en wordt opgesteld door het bestuur in samenspraak met de medewerkers en compliance officer. Voorbeelden van de vormgeving van een SIRA zijn op internet te vinden. Zie ook hiervoor een guidance document van DNB voor trustkantoren. N.B. neem dit niet te licht op. Het is een arbeidsintensief proces dat regelmatig dient te worden geactualiseerd.
Beheersing van de integriteitrisico’s overstijgt het enkele cliëntenonderzoek en opleiding van medewerkers. Tevens dient gekeken te worden naar de branche waar uw organisatie actief is, waar uw cliënten actief zijn en andere algemene risico’s. De SIRA vormt de basis van uw risicobeleid en uw ‘risk appetite’ en wordt opgesteld door het bestuur in samenspraak met de medewerkers en compliance officer. Voorbeelden van de vormgeving van een SIRA zijn op internet te vinden. Zie ook hiervoor een guidance document van DNB voor trustkantoren. N.B. neem dit niet te licht op. Het is een arbeidsintensief proces dat regelmatig dient te worden geactualiseerd.