Bericht DNB over naleving van Wwft en Sanctiewet door door ondernemingen die onder toezicht van DNB staan

door Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Op 19 december jl. heeft DNB op de site een bericht geplaatst over naleving van Wwft en Sanctiewet door ondernemingen die onder toezicht van DNB staan, onder meer trustkantoren. Opmerkelijk is dat het bericht betrekking heeft op een grotere groep ondernemingen die onder DNB-toezicht staan, maar dat de meeste voorbeelden betrekking hebben op banken.
Hierna volgt de tekst zoals nu op de site van DNB staat:

Q&A Beoordeling Ongoing Due Diligence Proces (WWFT en SW)

Vraag:

Hoe beoordeelt DNB het “ongoing due diligence” proces bij instellingen in het kader van de WWFT en RTSW?

Antwoord:

Ingevolge de Wet ter voorkoming van witwassen en financieren van terrorisme (WWFT) dient een instelling een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen. Verder dient een instelling ingevolge de Regeling Toezicht Sanctiewet 1977 (RTSW) ook administratieve organisatie en interne controle maatregelen te hebben om de sanctieregelgeving te kunnen naleven. Bij de beoordeling van dit ongoing due diligence proces bij instellingen in het kader van de WWFT en de RTSW kijkt DNB naar de volgende onderwerpen:

  • hoe worden de gegevens van cliënten actueel gehouden (periodieke review);
  • hoe worden de transacties gemonitord;
  • hoe worden ongebruikelijke transacties gedetecteerd; en
  • hoe vindt de screening tegen de sanctielijsten plaats.

Proces van periodieke review

Ingevolge artikel 3 leden 2(d) en 8 WWFT dient een instelling voortdurende controle op de zakelijke relatie uit te oefenen en ervoor te zorgen dat de gegevens van de cliënt, de uiteindelijke belanghebbende en andere personen waar gegevens over zijn verzameld, actueel gehouden worden. Daarnaast volgt uit artikel 14 lid 4 Besluit Prudentiele Regels (Bpr) dat de instelling over procedures en maatregelen beschikt met betrekking tot de analyse van gegevens van cliënten, onder meer om afwijkende transactiepatronen te kunnen detecteren. Hieruit volgt eveneens dat cliënten en door de cliënt afgenomen producten of diensten gemonitord moeten worden.

De instelling actualiseert hiertoe op basis van risicogebaseerde en adequate maatregelen, periodiek de informatie over de cliënt en, indien nodig, het risicoprofiel van de cliënt. In het beleid en de procedures wordt bepaald op welk wijze en hoe vaak deze actualisering plaatsvindt. Er is daarbij een duidelijke cyclus per risicocategorie of klantensoort, bijvoorbeeld hoog risico minstens 1 keer per jaar, midden risico minstens 1 keer per 2 tot 5 jaar, en laag risico binnen 5 jaar of op basis van een goed omschreven ‘event driven review’. Er zijn ook controlemomenten en signalen benoemd wanneer de cliënt gereviewd zal worden.

Voorbeelden van elementen in een adequaat proces

  • De bank heeft het klantenbestand gekoppeld aan het handelsregister van de Kamer van Koophandel. Hierdoor kunnen bepaalde klantgegevens up-to-date gehouden worden en kunnen wijzigingen in klantgegevens, die aanleiding kunnen zijn voor een cliëntreview, sneller worden gesignaleerd.
  • Bij zoekopdrachten naar externe signalen over cliënten (‘bad press’) worden checks op de naam van de cliënt uitgevoerd in combinatie met andere zoektermen zoals bijvoorbeeld ‘fraude’ en ‘witwassen’.
  • Bij de periodieke review wordt gekeken naar het rekeningverloop van het afgelopen jaar.

Voorbeelden van tekortkomingen in het proces

  • Er is geen of nauwelijks aandacht voor laag risico cliënten, ook niet bij wijzigingen.
  • Uitkomsten uit de transactiemonitoring of externe signalen zijn geen aanleiding om de cliënt te reviewen.
  • Het onderzoek naar externe signalen schiet tekort waardoor reviews niet (tijdig) plaatsvinden.
  • De periodieke review van cliënten en het monitoren van transacties worden beschouwd als twee afzonderlijke processen in plaats van complementaire processen, waardoor bij de periodieke review niet naar het transactieverleden wordt gekeken.

Proces van transactiemonitoring

Ingevolge artikelen 2a, 3 lid 2(d), 9 lid 3 WWFT en artikel 14 lid 4 Bpr monitort de instelling de transacties van cliënten. De instelling heeft procedures en processen om de rekeningen, activiteiten en/of transacties van cliënten te monitoren om inzicht te krijgen en te houden in de aard en achtergrond van cliënten en hun financieel gedrag en om afwijkende transactiepatronen, zoals ongebruikelijke transactiepatronen en transacties die naar hun aard een hoger risico op witwassen of financieren van terrorisme, te detecteren. Er is hiertoe een efficiënt systeem (handmatig of geautomatiseerd) om te controleren of alle opmerkelijke en mogelijke ongebruikelijke transacties worden gedetecteerd . Het systeem heeft een duidelijke uitgebreide lijst van business rules die op gedefinieerde momenten en bij wetswijzigingen worden herzien. Het van elke cliënt opgestelde risicoprofiel werkt door in de monitoring van de transacties en activiteiten van de cliënt.

Voorbeelden van elementen in een adequaat proces

  • De bank stelt een risicoprofiel op van een klant en per (soort) klantenrisicoprofiel wordt een transactieprofiel opgesteld.
  • De bank beschikt over goed doordachte gedifferentieerde scenario’s en business rules, waaronder op de (soort) cliënt afgestemde limieten.
  • De bank is een lerende organisatie die op basis van ervaringen van haarzelf en anderen (bijvoorbeeld creditcardmaatschappijen) de scenario’s en rules verfijnt.
  • De bank test periodiek de effectiviteit van het transactiemonitoringsproces en verricht trendanalyses. De uitkomsten van de trendanalyses worden verwerkt in scenario’s en rules.

Voorbeelden van tekortkomingen in het proces

  • De bank hanteert hoge transactielimieten voor de business rules, en de business rules richten zicht voornamelijk op contante transacties.
  • De bank neemt hoog risico landen, waaronder de landen op de waarschuwingslijst van de FATF, niet mee bij de transactiemonitoring.
  • Er is onvoldoende capaciteit om alerts te beoordelen en er is geen toegang tot oudere, reeds onderzochte of gesloten alerts.
  • Bij een decentrale monitoring wordt er niet zorg gedragen voor adequate kennis over de Nederlandse markt, hebben medewerkers geen toegang tot alle informatie, vindt geen check plaats op de kwaliteit van de monitoring, of wordt geen zorg gedragen voor een adequate training met betrekking tot transactiemonitoring.
  • Er is geen frequente, helder geagendeerde monitoring.

Proces van detecteren van ongebruikelijke transacties

Ingevolge art 2(a), 16 en 23 WWFT is de instelling verplicht ongebruikelijke transacties te melden aan de FIU-NL. De instelling heeft hiertoe een uitgebreide lijst van relevante indicatoren of red flags opgesteld en aan medewerkers ter beschikking gesteld teneinde ongebruikelijke transacties te kunnen detecteren. Hierbij wordt bijzondere aandacht besteed aan ongebruikelijke transactiepatronen en transacties die naar hun aard een hoger risico op witwassen of financieren van terrorisme.

Voorbeeld van een element in een adequaat proces

  • De bank heeft beleid ontwikkeld omtrent het verwerken van ontvangen doormeldingen van FIU-NL in het klantenrisicoprofiel.

Voorbeeld van een tekortkoming in het proces

  • De enige indicatoren die aan medewerkers ter beschikking zijn gesteld, zijn verwijzingen naar de objectieve en subjectieve indicatoren die op grond van het Uitvoeringsbesluit WWFT zijn aangewezen.

Proces van sanctiescreening

Ingevolge artikel 2 van de RTSW dient de instelling maatregelen te hebben getroffen ter naleving van de sanctieregelgeving op het gebied van de administratieve organisatie en interne controle. De instelling heeft de sanctieregelgeving en het interne sanctiebeleid vertaald naar passende procedures en maatregelen (ook gericht op de jurisdicties waar de instelling opereert). Bij het screenen tegen de sanctielijsten worden alle namen en andere relevante gegevens van natuurlijke personen en rechtspersonen die in de klantendossier staan (inclusief uiteindelijk belanghebbende, gemachtigde, begunstigde, etc.) gecontroleerd tegen de EU en Nederlandse sanctielijsten. Het screenen van relaties gebeurt bij acceptatie, periodiek en/of bij wijziging klantenbestand en sanctielijsten.

Voorbeelden van elementen in een adequaat proces

  • De bank maakt voor de screening van haar relaties niet uitsluitend gebruik van de sanctielijsten maar gebruikt tevens eigen lijsten die zij aan de hand van voor haar relevante criteria heeft samengesteld, zoals bijvoorbeeld voor bepaalde regio’s, plaatsnamen, havensteden, scheepsnamen en relaties waarvan afscheid is genomen.
  • De bank heeft duidelijk beleid omtrent alle gesanctioneerde landen en medewerkers zijn op de hoogte van ontwikkelingen in de sanctieregelgeving.

Voorbeelden van tekortkomingen in het proces

  • Personen en entiteiten die op de suppressie lijsten staan, worden niet periodiek of bij wijzigingen in de (EU of Nederlandse) sanctielijsten gescreend.
  • Er worden geen actuele sanctielijsten gebruikt.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

w

Verbinden met %s

%d bloggers liken dit: