Compliance- en auditfunctie bij Wwft-plichtige ondernemingen

door Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Voor zover de cliënten, de doelvennootschappen of de relaties van cliënten en doelvennootschappen van het trustkantoor Wwft-plichtig zijn, zal het trustkantoor moeten nagaan of die cliënten, doelvennootschappen en relaties aan de Wwft voldoen. Daarbij is van belang dat niet alle Wwft-plichtigen over een compliance- of auditfunctie behoeven te beschikken.

In het onlangs door de tweede kamer aangenomen eerste wetsvoorstel tot wijziging van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) is het volgende artikel opgenomen:

Artikel 2d
1. Indien het dagelijks beleid van een instelling wordt bepaald door twee of meer personen, wijst een instelling één van de personen die het dagelijks beleid van de instelling bepalen aan die is belast met de verantwoordelijkheid voor de naleving door de instelling van het bij of krachtens deze wet bepaalde.
2. Voor zover passend bij de aard en omvang van de instelling, beschikt een instelling over een onafhankelijke en effectieve compliancefunctie.
3. De compliancefunctie is gericht op het controleren van de naleving van wettelijke regels en interne regels die de instelling zelf heeft opgesteld en omvat onder meer de taak die strekt tot het verstrekken van de gegevens, bedoeld in artikel 16, aan de Financiële inlichtingen eenheid.
4. Indien van toepassing en voor zover passend bij de aard en de omvang van de instelling, draagt een instelling er zorg voor dat op onafhankelijke wijze een auditfunctie wordt uitgeoefend ten aanzien van haar werkzaamheden. De auditfunctie controleert de naleving door een instelling van de bij of krachtens deze wet gestelde regels en de uitoefening van de compliancefunctie.

Hier volgt uit dat Wwft-plichtige ondernemingen geen “onafhankelijke en effectieve compliancefunctie” hoeven in te stellen als dat niet passend is bij aard en omvang van die onderneming (lid 2). Een gelijksoortige eis geldt voor de auditfunctie (lid 4).

In de memorie van toelichting werd over dit artikel onder meer het volgende gezegd:

§ 5.1.3. Risicomanagement

Voor banken en andere financiële ondernemingen bestaan ingevolge de Wft reeds verplichtingen tot het opstellen van een risicobeoordeling en het vaststellen van daarop gebaseerde gedragslijnen, procedures en maatregelen, ook voor zover het risico’s op witwassen en terrorismefinanciering betreft. Soortgelijke verplichtingen gelden daarnaast voor trustkantoren en accountants. De met het onderhavige wetsvoorstel geïntroduceerde verplichtingen inzake risicomanagement zullen voor deze instellingen derhalve naar verwachting slechts leiden tot een zeer geringe toename van de administratieve lasten en nalevingskosten. Voor andere instellingen, waaronder in ieder geval de nieuwe categorieën instellingen zoals de aanbieders van kansspelen, is dit een nieuwe verplichting en derhalve een lastenverzwaring.
Het opstellen van een risicobeoordeling en het ontwikkelen van nieuw beleid, procedures en maatregelen vergt in de eerste plaats eenmalige werkzaamheden van een instelling. De hiertoe benodigde werkzaamheden zullen, indien een instelling daarover beschikt, doorgaans worden verricht door de compliancefunctie. De maatregelen die een instelling neemt om een risicobeoordeling op te stellen dienen te worden afgestemd op de aard en omvang van de instelling. Omdat de reikwijdte van de Wwft zich uitstrekt over een breed scala aan instellingen, waaronder ook instellingen die met het oog op hun aard en omvang niet over een compliancefunctie zullen beschikken, zullen de kosten die gepaard gaan bij het opstellen van een risicobeoordeling en beleid, procedures en maatregelen sterk verschillen. (…)

Voor een groot deel van de instellingen zal het inrichten van een compliance- en/of auditfunctie bovendien niet mogelijk of niet evenredig zijn aan de aard en omvang van de instelling: dit geldt in het bijzonder voor natuurlijke personen en eenmanszaken. (…)

Artikel 1f tot en met 2d – risicomanagement
(…) Rechtspersonen of vennootschappen die als instelling in de zin van de Wwft kwalificeren, dienen op grond van artikel 2d een van de personen die het dagelijks beleid van de instelling bepalen aan te wijzen als verantwoordelijk voor de naleving door de instelling van het bij of krachtens de Wwft bepaalde. Door middel van een verwijzing naar instellingen waar het dagelijks beleid wordt bepaald door twee of meer personen, is in het artikel duidelijk gemaakt dat deze verplichting niet geldt voor natuurlijke personen, die naar hun aard niet aan deze bepaling kunnen voldoen.
Op grond van het tweede lid van artikel 2d worden instellingen voorts verplicht om, voor zover dit passend is ten opzichte van de aard en de omvang van de instelling, te voorzien in de invulling van een compliancefunctie. Ook hier geldt dat een natuurlijk persoon, handelend in het kader van zijn beroepsactiviteiten, naar zijn aard niet kan voorzien in een onafhankelijke compliancefunctie. In een dergelijk geval is de verplichting van artikel 2d, tweede lid, niet van toepassing. Daarnaast kan het voor een instelling van beperkte omvang onevenredig en daarmee niet passend zijn om een afzonderlijke compliancefunctie in te richten. De omvang van de instelling, alsmede het type instelling, speelt derhalve een belangrijke rol bij de naleving van deze verplichting.
Ook de wijze waarop de compliancefunctie wordt ingericht, kan op de aard en omvang van de instelling worden afgestemd. De compliancefunctie dient op onafhankelijke en effectieve wijze te worden uitgevoerd. In beginsel betekent dit dat de personen die betrokken zijn bij de uitoefening van de compliancefunctie, niet tevens betrokken zijn bij de activiteiten waarop zij toezicht houden. Echter, bij kleinere instellingen kan het onevenredig zijn om de onafhankelijkheid van de compliancefunctie op deze wijze vorm te geven. Ook is het mogelijk dat een instelling ervoor kiest de compliancefunctie (geheel of gedeeltelijk) uit te besteden.
De uitoefening van de compliancefunctie is gericht op de controle van de naleving van de wettelijke regels en de regels die door een instelling zelf zijn ingesteld. Dit houdt onder meer in dat erop wordt toegezien dat procedures, bijvoorbeeld voor het verrichten van cliëntenonderzoek, in overeenstemming zijn met geldende regelgeving. Indien daarbij onvolkomenheden worden aangetroffen, dient de instelling maatregelen te nemen om deze onvolkomenheden effectief te adresseren. Uit artikel 33, tweede lid, van de vierde anti-witwasrichtlijn volgt voorts dat het melden van ongebruikelijke transacties en het verstrekken van de benodigde informatie aan de FIU gebeurt door de persoon die belast is met de compliancefunctie. In het derde lid van artikel 2d wordt hierbij aangesloten. Dit neemt overigens niet weg dat het aanmerken van een transactie als ongebruikelijk, doorgaans de verantwoordelijkheid van de eerstelijns functie (de medewerkers verantwoordelijk voor de uitvoering van de dienstverlening van de instelling) is.
Met het vierde lid van artikel 2d wordt de verplichting voor instellingen geïntroduceerd om, indien dit passend is ten opzichte van de aard en omvang van haar onderneming, te voorzien in een onafhankelijke auditfunctie. Hiermee wordt artikel 8, vierde lid, onderdeel b, van de vierde anti-witwasrichtlijn geïmplementeerd. De verplichting om een auditfunctie in te stellen geldt, zoals ook bij de compliancefunctie het geval is, naar haar aard alleen voor rechtspersonen en vennootschappen die als instelling kwalificeren.
Voor de toepassing van deze wet dient de auditfunctie de naleving van het bij of krachtens de Wwft bepaalde door de instelling, alsmede de uitoefening van de compliancefunctie, op onafhankelijke wijze te controleren. Dat geldt in het bijzonder voor het controleren van de werking van de gedragslijnen, procedures en maatregelen om geïdentificeerde risico’s te beheersen. Indien de auditfunctie hierbij gebreken constateert, ligt het in de rede dat deze gemeld worden en dat de personen die het dagelijks beleid van de instelling bepalen, ervoor zorg dragen dat de noodzakelijke wijzigingen worden doorgevoerd in de gedragslijnen, procedures en maatregelen. De intensiteit van de invulling van de auditfunctie dient te worden afgestemd op het risicoprofiel van de instelling. Zoals hiervoor reeds is toegelicht ten aanzien van de compliancefunctie, geldt ook voor de invulling die wordt gegeven aan de mate van onafhankelijkheid van de auditfunctie dat dit afhankelijk is van de aard en omvang van de instelling.

Uiteraard zal het voorstel nog door de eerste kamer moeten worden behandeld.

Meer informatie:

Een variant van dit artikel verscheen op mijn algemene weblog.

Tags: ,

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

w

Verbinden met %s

%d bloggers liken dit: