De afgelopen maanden hebben we drie artikelen over de Wwft gepubliceerd. Het eerste artikel bevatte uitgebreide uitleg over de Wwft in het algemeen, het tweede artikel ging in op het cliëntenonderzoek, en in het derde artikel leest u alles over de opleidingsverplichting en bewaartermijnen.
In dit vierde deel van onze artikelenserie over de Wwft staat Wwft beleid en risicomanagement centraal. We leggen uit wat risicomanagement in het kader van de Wwft inhoudt en welke methode kan worden ingezet voor een efficiënte risicoanalyse. Ook leggen we uit hoe u als organisatie gemakkelijk een risicobeleid opstelt.
Risicobeleid
Artikel 2c van de Wwft verplicht instellingen om een beleid op te stellen met gedragslijnen, procedures en maatregelen om de risico’s op witwassen en terrorismefinanciering binnen de instelling te beperken en effectief te beheersen. Denk hierbij bijvoorbeeld aan regels met betrekking tot het uitvoeren van een cliëntenonderzoek of het monitoren van de cliënten.
Het beleid is vormvrij, maar moet passen bij de aard en omvang van de instelling. Dit betekent dat een grote instelling met veel medewerkers en vertrouwelijke gegevens een uitgebreider beleid zal moeten opstellen dan een klein kantoor zonder risicovolle transacties.
De vrijheid in de invulling van het beleid klinkt wellicht verwarrend. Echter, in de praktijk bevatten de meeste beleidsdocumenten ongeveer dezelfde elementen. Zo levert ComplyNow een handig Wwft Handboek dat niet alleen ingaat op de belangrijkste Wwft-gerelateerde verplichtingen, maar ook een template biedt voor het opstellen van het bovenstaande beleid.
Risicomanagement
Naast het opstellen van een risicobeleid moeten Wwft-instellingen sinds 25 juli 2018 de interne risico’s binnen hun kantoor ook actief vaststellen en beoordelen in de vorm van een risicoanalyse (artikel 2b Wwft). Aan de hand van de vastgestelde risico’s moeten vervolgens maatregelen worden opgesteld die in verhouding staan tot de aard en de omvang van de instelling.
De resultaten van de risicoanalyse zijn gebaseerd op aspecten zoals het type cliënt, product, dienst, transactie en leveringskanaal. De analyse moet halfjaarlijks worden geupdate en moet op aanvraag kunnen worden getoond aan de toezichthouder.
Risicomanagement kan op verschillende manieren worden uitgevoerd. Veel kantoren kiezen echter voor de SIRA-methode (Systematische Integriteitsrisicoanalyse). Deze analyse bevat een lijst met risico’s en de aannemelijkheid hiervan. Ook wordt aangegeven wat de impact van de vastgestelde risico’s zou kunnen zijn. Verder gaat een SIRA ook in op eventuele maatregelen die genomen kunnen worden om de vastgestelde risico’s te beperken.
Enkele voorbeelden van risico’s die worden meegenomen in een SIRA zijn witwassen, de financiering van terrorisme, corruptie, fraude en cybercrime.
Volgende maand
Volgende maand gaan we in op het melden van ongebruikelijke transacties (de MOT-melding). Hoe herkent u een ongebruikelijke transactie en hoe doet u hier melding van? Deze vragen beantwoorden we in ons volgende artikel.
Heeft u vragen over de naleving van de Wwft? Neem dan gerust contact met ons op voor een vrijblijvende kennismaking. U kunt ons bereiken op (088) 600 14 50 of via [email protected].
