Naar de inhoud
DW&P Dr. Werner and Partners

Enhanced Due Diligence: Wat betekent 'verscherpte zorgvuldigheid' in compliance?

Susan MeierSusan MeierBijgewerkt 8 min leestijd.md
Inhoudsopgave
  1. 01De basis: CDD-vereisten
  2. 02Enhanced Due Diligence (EDD)
  3. 03Risicogebaseerde benadering (RBA) en EDD
  4. 04De omvang van de maatregelen
  5. 05Wanneer is EDD verplicht?
  6. 06EDD in de praktijk
  7. 07Niet-reputabele jurisdicties
  8. 08De rol van het management
  9. 09Conclusie

In een rapport dat op 21 mei 2021 werd gepubliceerd door de Britse Financial Conduct Authority (FCA) over "veelvoorkomende tekortkomingen in anti-witwasraamwerken", werd specifieke bezorgdheid geuit over Customer Due Diligence (CDD), en dan met name de zogenaamde Enhanced Due Diligence (EDD), oftewel verscherpt cliëntenonderzoek.

Het rapport benadrukte onder andere dat "de aanpak van sommige kantoren op het gebied van due diligence tekortschiet en de risico's die bepaalde klanten met zich meebrengen niet altijd effectief beperkt". In dit kader adviseert het rapport dat "bedrijven moeten garanderen dat ze EDD-maatregelen toepassen in alle hoogrisicosituaties en duidelijk moeten kunnen aantonen welk onderzoek is verricht".

In dit artikel duiken we dieper in het principe van deze verscherpte zorgvuldigheidsplicht (EDD) en kijken we naar de dagelijkse toepassing ervan – vooral bij het onboarden en monitoren van klanten.

De basis: CDD-vereisten

De Maltese regelgeving ter voorkoming van witwassen en terrorismefinanciering (S.L. 373.01) schrijft voor dat maatregelen voor cliëntenonderzoek (Customer Due Diligence) op alle klanten moeten worden toegepast wanneer:

  1. Er een zakelijke relatie wordt aangegaan;
  2. Er een occasionele transactie wordt uitgevoerd; en/of
  3. De dienstverlener kennis heeft van, of een vermoeden heeft van opbrengsten uit criminele activiteiten, witwassen of terrorismefinanciering.[2]

Conform artikel 7(1) moeten deze CDD-maatregelen bestaan uit:

  • De identificatie en verificatie van de klant;
  • De identificatie en verificatie van de uiteindelijk belanghebbende(n) (de UBO's);
  • Het inwinnen van informatie over het doel en de beoogde aard van de zakelijke relatie, om een risicoprofiel op te kunnen stellen; en
  • De voortdurende monitoring van de zakelijke relatie.

Deze vier pijlers vormen de basis van elk solide compliance-programma ter bestrijding van financiële criminaliteit. In de praktijk hanteren dienstverleners meestal een standaardniveau van onderzoek voor klanten met een normaal risico. Voor klanten met een lager risico op witwassen kan soms een vereenvoudigd onderzoek (Simplified Due Diligence of SDD) volstaan.

Enhanced Due Diligence (EDD)

Het AML-platform ComplyAdvantage definieert EDD als "het proces van het verzamelen van data en informatie om de identiteit van klanten te verifiëren, waarbij aanvullende informatie vereist is om het risico dat aan de klant verbonden is te beperken". Simpel gezegd: in situaties waar het risico op witwassen of terrorismefinanciering (ML/TF) hoger is, moet er meer informatie en documentatie worden opgevraagd. Dit geldt zowel voor eenmalige transacties als voor langdurige zakelijke relaties.

De Wolfsberg Group geeft ook een interessante definitie: EDD verwijst naar "aanvullende informatie verzameld als onderdeel van het cliëntenonderzoek, of verscherpte voorzorgsmaatregelen – zoals doorlopende monitoring van activiteiten – die op risicogebaseerde wijze worden toegepast in elke situatie die van nature een hoger ML/TF-risico met zich mee kan brengen". De nadruk op doorlopende monitoring is hier cruciaal, vooral omdat deze aanbevelingen zich vaak richten op banken en financiële instellingen.

Een van de helderste definities komt van de New Zealand Financial Markets Authority. In hun richtlijnen beschrijven ze EDD als twee kernvereisten die verder gaan dan de standaardprocedure:

  1. Het implementeren van strengere of meer geavanceerde maatregelen om klantgegevens en de eigendomsstructuur (UBO's) te verifiëren, passend bij het risiconiveau.
  2. De verplichting om informatie in te winnen en te verifiëren over de herkomst van het vermogen (Source of Wealth) en de herkomst van de middelen (Source of Funds).

Deze dubbele aanpak wordt ook ondersteund door de Britse Joint Money Laundering Steering Group (JMLSG). Het verzamelen van uitgebreide data helpt niet alleen bij het correct inschatten van risico's, maar biedt ook een betere basis voor het monitoren van klantactiviteiten. Hierdoor wordt de kans groter dat misbruik van diensten voor criminele doeleinden wordt ontdekt.

Samengevat komt het bij EDD op het volgende neer:

  • Extra dataverzameling is een must;
  • Dit past in de filosofie van een dienstverlener die streeft naar zorgvuldigere en geavanceerdere maatregelen;
  • De resultaten helpen bij het maken van een robuustere risicoanalyse.

Risicogebaseerde benadering (RBA) en EDD

De FATF-richtlijnen stellen dat het algemene principe van een risicogebaseerde benadering (de hoeksteen van moderne AML-wetgeving) inhoudt dat waar hogere risico's bestaan, verscherpte maatregelen moeten worden genomen om deze risico's te beheersen. De intensiteit, frequentie en diepgang van de controles moeten in dergelijke scenario's worden opgevoerd. Het is daarom essentieel om precies te weten wanneer en hoe EDD moet worden toegepast.

De omvang van de maatregelen

In de praktijk is het niet realistisch (en ook niet de bedoeling) dat een dienstverlener elke klant even diepgaand doorlicht, ongeacht het product of de dienst. Informatieverzoeken moeten proportioneel en redelijk zijn. Het heeft geen zin om informatie op te vragen puur 'om het hebben', zeker niet als een klant deze redelijkerwijs niet kan leveren. Het verzoek moet in verhouding staan tot het risico van de relatie of transactie.

Wanneer is EDD verplicht?

Naast de theorie is het belangrijk te weten wanneer EDD wettelijk verplicht is. Een belangrijk trigger-moment is een zogeheten "materiële wijziging". Dit is een gebeurtenis of situatie die het risiconiveau verandert, bijvoorbeeld wanneer een klant nieuwe, risicovollere producten wil afnemen, een truststructuur opzet, of wanneer het transactievolume plotseling onverklaarbaar toeneemt.

Vanuit een specifiek Maltees perspectief (Regulation 11) moet EDD worden toegepast bovenop de standaardmaatregelen in de volgende gevallen:

  • Bij activiteiten die door de FIAU (de Maltese toezichthouder) als hoog risico zijn aangemerkt (bijvoorbeeld op basis van de nationale risicobeoordeling);
  • Wanneer de dienstverlener zelf inschat dat een transactie of relatie een hoog risico op witwassen of terrorismefinanciering met zich meebrengt;
  • Bij correspondentbankrelaties met instellingen buiten de EU;
  • In de omgang met Politically Exposed Persons (PEP's);
  • Bij complexe, ongebruikelijk grote transacties zonder duidelijk economisch of rechtmatig doel;
  • Bij relaties met partijen uit niet-reputabele jurisdicties (hoogrisicolanden).

EDD in de praktijk

Bij een laag risico kan een korte beschrijving van de bedrijfsactiviteiten volstaan. In een hoogrisicoscenario is dat onvoldoende. Hier moet de informatie worden onderbouwd met documentatie. Denk aan:

  • Extra onderzoek (bijvoorbeeld adverse media checks);
  • Bewijs van de herkomst van gelden en vermogen (om uit te sluiten dat het om crimineel geld gaat).

De Britse FCA adviseert om een beter beeld te krijgen van de reputatie van de klant en diens rol in het openbare leven. Er moet onderscheid worden gemaakt tussen een klant die simpelweg een hoger risicoprofiel heeft (bijvoorbeeld door zijn sector) en een klant wiens transacties daadwerkelijk wijzen op mogelijke witwaspraktijken. Maatwerk is hierbij essentieel.

PEP's (Politiek Prominente Personen) De regels voor PEP's zijn strikt. Of de zakelijke relatie nu een laag risico lijkt te hebben of niet: als u te maken heeft met een PEP, een familielid van een PEP of een naaste geassocieerde, moet EDD worden toegepast. Volgens de Maltese wetgeving vereist dit:

  1. Goedkeuring van het senior management;
  2. Adequate maatregelen om de herkomst van vermogen (SoW) en middelen (SoF) vast te stellen;
  3. Verscherpte monitoring van de relatie.

Identificatie en verificatie Bij laagrisicorelaties kan verificatie soms tijdens de start van de relatie plaatsvinden. Bij hoogrisicorelaties is dit uit den boze: alle identificatie en verificatie moet zijn afgerond vóórdat de relatie formeel van start gaat.

Herkomst van vermogen In risicovolle situaties is inzicht in de financiële achtergrond cruciaal. Waar komt het geld vandaan? Is het salaris, erfenis, vastgoedverkoop of bedrijfsverkoop? Soms kan als extra maatregel worden geëist dat de eerste betaling verloopt via een bankrekening op naam van de klant bij een bank in de EU/EER.

Het vaststellen (en bewijzen) van de herkomst van vermogen is vaak het lastigste punt voor dienstverleners, zeker bij complexe structuren of vermogende particulieren (HNWI's). Toch helpt financiële informatie enorm om het risico van de relatie beter te begrijpen.

Monitoring Bij lage risico's kan een review eens in de twee of drie jaar voldoende zijn. Bij hoge risico's moet dit veel vaker (bijvoorbeeld jaarlijks), afhankelijk van de initiële risico-inschatting. Ook transactiemonitoring moet intensiever zijn.

De-risking Niet elk hoog risico is acceptabel. Het hangt af van de risk appetite van de dienstverlener. Soms is het verstandig om afscheid te nemen van bepaalde klanten (de-risking) of limieten in te stellen om het concentratierisico te beperken.

Niet-reputabele jurisdicties

Als een klant of entiteit gevestigd is in een land dat als 'niet-reputabel' wordt beschouwd (bijvoorbeeld landen op de zwarte of grijze lijst), is EDD verplicht. Er wordt dan extra informatie gevraagd over de herkomst van gelden, de route van de geldstromen en de aard van de connectie met dat land. Is het alleen de nationaliteit, of vinden er ook daadwerkelijk bedrijfsactiviteiten plaats?

De rol van het management

Het is raadzaam om niet blind te varen op handboeken, maar risico's te bespreken met collega's of de directie. Elk geval is uniek. De goedkeuring van het senior management is bij hoge risico's vaak verplicht. De directie is immers eindverantwoordelijk voor het risico en moet een cultuur van compliance uitdragen. Er moet een duidelijke escalatieprocedure zijn voor het accepteren of voortzetten van hoogrisicorelaties.

Conclusie

Hoewel de term "Enhanced Due Diligence" bij de meeste professionals bekend is, blijft de toepassing ervan vaak maatwerk. Veel hangt af van het interne AML-handboek van de dienstverlener. Toch is alleen het volgen van procedures niet genoeg. Compliance officers moeten proactief zijn. Instinct, ervaring en kennis (opgedaan door training) zijn minstens zo belangrijk in de strijd tegen financiële criminaliteit.

 

Disclaimer: Het bovenstaande artikel is gebaseerd op onafhankelijk onderzoek door Dr. Werner & Partners en vormt geen juridisch advies. Als u een van onze vertegenwoordigers wilt spreken voor meer informatie, neem dan contact met ons op voor een afspraak.

 

[1] Het uitvoeren van Customer Due Diligence is van het grootste belang, met name in de context van klantidentificatie, risicobeheer, klantacceptatie en monitoring – vier sleutelelementen van een solide KYC-programma, zoals beschreven in het document van het Bazels Comité van oktober 2001.

[2] Regulation 7(5)(ac) van de PMLFTR

[3] Conform voorschrift 11(5)

Susan Meier

Over de auteur

Susan Meier

Client Relations

Susan Meier behartigt cliënten binnen de afdeling Client Relations en zorgt ervoor dat verzoeken snel en betrouwbaar bij de juiste vakafdelingen terechtkomen.

Uw situatie verdient een persoonlijke beoordeling

In een gratis gesprek van 30 minuten bespreken onze senior adviseurs uw opties. Vertrouwelijk en vrijblijvend.

Boek een adviesgesprek

Lees meer

Meer artikelen

Vennootschapsoprichting

4 redenen om in 2026 géén Malta Limited op te richten

9 Min.

Vennootschapsoprichting

Malta Limited oprichten 2026: De complete gids

12 Min.

Vennootschapsoprichting

Wonen in Italië, Ondernemen via Malta: De Ultieme Fiscale Strategie

7 Min.
Alle artikelen
CSP Licensed Badge

Corporate Services bij DW&P Dr. Werner & Partners worden verleend door DW&P Services Ltd. (C 103208), dat onder toezicht staat van de MFSA en een vergunning heeft onder Authorised Person ID: DSER-23577 voor het uitvoeren van activiteiten als Class C CSP conform de Company Services Providers Act (Cap. 529 van de wetten van Malta).

BellenGratis Adviesgesprek