Afgelopen week (17 mei, 2023)  werd de Tweede Kamer op de hoogte gebracht van de ‘stand van zaken met betrekking tot de beleidsagenda aanpak witwassen’. Eén van de agendapunten is de  ‘evenwichtige verhouding verplichtingen en lasten kleine instellingen’. Uit eerder onderzoek van EY, in opdracht van het ministerie van Financiën is gebleken dat vooral kleine Wwft-plichtige instellingen worstelen met de uitvoerbaarheid van de Wwft, relatief weinig ongebruikelijke transacties melden en minder vaak gedragslijnen hebben vastgelegd. Dat zou voor beleidsmakers eigenlijk geen verrassing moeten zijn. Kleine organisaties beschikken per slot van rekening niet over uitgebreide risk & compliance afdelingen. Inmiddels zijn er bijna negen maanden verstreken na het publiceren van de beleidsagenda. Behalve veel goede bedoelingen, zijn er geen concrete toezeggingen met betrekking tot een verlaging van de regeldruk voor kleine instellingen terug te vinden in de update. Onze verwachtingen zijn eerlijk gezegd op dit punt niet hooggespannen vooral omdat de Wwft een principle based benadering heeft in tegenstelling tot een rule based benadering.

Bij een principle based benadering schrijft de wetgever niet op punten en komma’s voor hoe organisaties te werk moeten gaan maar geeft wel aan wat bereikt moet worden. Het onderliggende principe is de risicogerichte benadering. Dat wil zeggen dat de omvang en het  detailniveau van de procedures, maatregelen en gedragslijnen afhankelijk zijn van de risico’s op het faciliteren van witwassen, terrorismefinanciering en de mate waarin de organisatie bereid is om bepaalde risico’s te accepteren. Het ligt niet voor de hand gezien de aandacht voor het tegengaan van financiële criminaliteit dat beleidsmakers kiezers voor een verlaging van de doelstellingen van de Wwft.

Wwft-plichtige organisaties, klein en groot moeten zo efficiënt mogelijk het KYC/ALM beleid ontwerpen, uitvoeren, monitoren, evalueren, bijsturen èn actualiseren. Onder andere door middel van dit blog willen we partijen hierbij ondersteunen.

Het vertrekpunt voor het ontwerpen van het KYC/ALM beleid is de risicoanalyse. Op basis van de uitkomsten van de analyse kunnen vervolgens de passende gedragslijnen, procedures en maatregelen worden gedefinieerd. In de Wwft staan een aantal punten beschreven waaraan de risicoanalyse moet voldoen. De risicoanalyse moet betrekking hebben op de kenmerken van de organisatie, de relaties die bediend worden, de dienstverlening en de geografische aspecten van de hiervoor genoemde punten. Bovendien moeten de risico’s zoals beschreven in de meest recente versie van de supranationale risicobeoordeling (SNRA)  en de nationale risicobeoordeling(NRA)  witwassen zichtbaar worden betrokken.

Met het identificeren van de risico’s alleen ben je er nog niet. Het vaststellen van de kans, de impact, de mate waarin de organisatie bereid is om bepaalde risico’s te accepteren en de beoordeling van de effectiviteit van  de reeds getroffen beheersmaatregelen maken ook deel uit van de analyse. Zowel de AFM als DNB hebben op hun website handige handvatten gepubliceerd. Natuurlijk kunnen de consultants van Addition Knowledge House ook een helpende hand bieden.

In de wet worden geen expliciete eisen aan navolgbaarheid, consistentie, validiteit en betrouwbaarheid gesteld aan de analyse maar in de leidraden en andere uitingen van toezichthouders komen deze criteria wel terug. Organisaties doen er dus goed aan om de verantwoording van de gehanteerde werkwijze en methoden ook op te nemen in de beleidsdocumentatie. Hou in gedachten datgene dat niet is beschreven, meestal niet aangetoond kan worden. Heel vervelend als de externe toezichthouder daarom vraagt.