Johan Septer

De Wwft verplicht financiële instellingen en trustkantoren tot het hebben van een Wwft-auditfunctie, voor zover passend bij de aard en omvang van de instelling (de Bft geeft aan dat dit passend is voor organisaties met meer dan vijftig werknemers). Deze auditfunctie controleert de naleving van de Wwft door de organisatie, inclusief de uitoefening van de compliancefunctie in dit kader.

De auditfunctie moet zo onafhankelijk mogelijk ingericht worden. Als accountantskantoor weet u als geen ander wat dit in de praktijk betekent. Maar de omvang van de organisatie maakt het zelf onafhankelijk inrichten vaak niet eenvoudig. Ook omdat de compliancefunctie vaak reeds intern is belegd.

Het is dan ook begrijpelijk dat, naast kleinere financiële instellingen, steeds meer accountantskantoren ervoor kiezen om de auditfunctie uit te besteden. Op basis van onze ervaringen zien wij vaak de volgende verbeterpunten, die overigens breder dan alleen voor accountantskantoren gelden.

1. De risicoanalyse is beperkt en mist een duidelijke koppeling met het beleid

Het Wwft-beleid zou een logisch gevolg moeten zijn van een risicoanalyse. Dat is iets wat de meeste partijen wel weten. Toch is de risicoanalyse vaak beperkt uitgewerkt en ontbreekt een duidelijke koppeling met het beleid.

Maar waar moet u beginnen? Advies is om te starten met het bepalen van de 'typische' klant voor uw kantoor. Waar komen uw klanten vandaan (welke landen/regio's), welk type dienstverlening nemen zij af en in welke sectoren zijn zij werkzaam? Op basis van deze analyse kunt u vervolgens bepalen welke Wwft-risico's verbonden zijn aan deze typische klant en hoe deze gemitigeerd (kunnen) worden.

De analyse richt zich daarna op de kenmerken van de 'niet-typische' klanten. Op basis hiervan kan namelijk bepaald worden of deze kenmerken een risico verhogend effect hebben en welke maatregelen het kantoor neemt om deze risico's tot een acceptabel niveau te brengen.

2. De risicobereidheid is te summier beschreven en wordt primair kwalitatief gedefinieerd

Een goede analyse van de klantportefeuille is het startpunt van het bepalen van de risicobereidheid. Hierbij wordt de klantportefeuille gespecificeerd naar de verschillende risicocategorieën/indicatoren.

Door het bespreken van wat de kwalitatief geformuleerde risicobereidheid betekent ten opzichte van het risicoprofiel van de klantportefeuille, wordt deze discussie concreter. Vervolgens kan bijvoorbeeld bepaald worden dat de portefeuille voor niet meer dan x procent uit klanten uit een bepaalde sector mag bestaan.

3. Bijzonderheden bij de klantacceptatie worden onvoldoende expliciet gedocumenteerd

Een volgend verbeterpunt dat wij regelmatig tegenkomen bij accountantskantoren, betreft het proces rondom klantacceptatie. Bijzonderheden die bij de klantacceptatie worden opgemerkt, worden vaak wel impliciet onderkend, maar onvoldoende expliciet gedocumenteerd.

Het klantacceptatieformulier is vaak mechanisch ingericht met tick boxes en mogelijkheden om korte toelichtingen op te nemen. De opgenomen vragen nodigen niet uit om het risico toe te lichten en met name na te denken over welke maatregelen getroffen kunnen worden om het risico te beperken.

Een voorbeeld: bij de acceptatie van een bepaalde klant wordt een verhoogd risico op witwassen onderkend, omdat in de branche veel contant geld omgaat (generieke risico-indicator). Wat vervolgens vaak ontbreekt is een toelichting op de specifieke klantsituatie. Welke maatregelen heeft de klant genomen om dit risico te beperken? Bijvoorbeeld door een pin only-beleid te voeren? Of heeft de klant juist bewust geen pinapparaat? Hoe de klant met deze risico's omgaat, is van belang voor de risico-inschatting en -classificatie.

4. Het beleidskader bevat niet alle wettelijk vereiste aspecten

Het is uiteraard van belang dat het voldoen aan de wettelijke vereisten in het beleidskader aantoonbaar is uitgewerkt. Zo is het vaak niet duidelijk wat er gedaan moet worden bij verscherpt onderzoek en op welke wijze de risicoanalyse actueel moet worden gehouden.

Het vergelijken van het eigen beleid met de richtsnoeren van de NBA of de SRA is hiervoor een eenvoudige oplossing.