In een rapport gepubliceerd door de Britse Financial Conduct Authority (FCA) op 21 mei 2021 over “common control failings identified in anti-money laundering frameworks” (gemeenschappelijke controlefouten geïdentificeerd in anti-witwasraamwerken) was er bijzondere bezorgdheid over de Customer Due Diligence, met name de “Enhanced Due Diligence” (EDD). In het rapport werd onder andere benadrukt dat “de benadering van sommige bedrijven ten aanzien van de zorgvuldigheidsplicht ontoereikend is en niet altijd de [bestimmten] intensiteit weerspiegelt die vereist is door de
In dit verband wordt in het rapport aanbevolen dat “bedrijven ervoor moeten zorgen dat ze EDD-maatregelen toepassen in alle situaties met een hoog risico en duidelijk kunnen aantonen welk werk is verricht”. Het doel van dit artikel is om het principe van versterkte zorgvuldigheid te onderzoeken en tegelijkertijd het dagelijkse gebruik en de toepassing ervan te begrijpen – met name bij het onboardingproces en/of het monitoren van klanten.
CDD-Vereisten
De Maltese regelgeving ter voorkoming van witwassen van geld en financiering van terrorisme (S.L. 373.01) schrijft voor dat “maatregelen ter naleving van de zorgvuldigheidsplicht ten aanzien van klanten [1] op alle klanten van toepassing zijn, wanneer 1) een zakelijke relatie wordt aangegaan, 2) een occasionele transactie wordt uitgevoerd en/of 3) de betreffende persoon kennis heeft van of vermoedt dat er sprake is van opbrengsten uit criminele activiteiten, witwassen van geld of financiering van terrorisme. ….”[2] Daarnaast moeten deze CDD-maatregelen volgens Verordening 7(1) bestaan uit
- de identificatie en verificatie van de klant.
- de identificatie en verificatie van de economische eigenaar(s).
- het verkrijgen van informatie over het doel en de beoogde aard van de zakelijke relatie om het opstellen van een bedrijfs-/risicoprofiel mogelijk te maken, en
- de voortdurende monitoring van de zakelijke relatie.
De bovengenoemde vier maatregelen vormen de basis van elk solide compliance-programma ter bestrijding van financiële criminaliteit. In de praktijk stellen en definiëren betrokken partijen meestal een standaardniveau van CDD-maatregelen voor klanten met een normaal risico (rekening houdend met sector-specifieke richtlijnen), terwijl voor klanten met een lager risico op witwassen van geld en financiering van terrorisme vereenvoudigde zorgvuldigheidsmaatregelen (SDD-maatregelen) kunnen gelden.
Versterkte zorgvuldigheid.
Het online AML-portal “ComplyAdvantage” definieert EDD als “het proces van het verzamelen van gegevens en informatie om de identiteit van klanten te verifiëren, waarbij echter aanvullende informatie nodig is om het risico dat met de klant geassocieerd wordt te verminderen”. Eenvoudig gezegd: in situaties waarin de zorgvuldigheidsplicht een hoger ML/TF-risico inhoudt, zouden meer informatie en documentatie moeten worden verkregen. (Deze vereiste geldt zowel voor occasionele transacties als voor zakelijke relaties). De Wolfsberg-groep levert ook een interessante definitie: EDD verwijst naar “aanvullende informatie die wordt verzameld als onderdeel van de zorgvuldigheidsplicht jegens de klant, of versterkte
Voorzorgsmaatregelen, zoals de voortdurende monitoring van activiteiten, die op een risicogevoelige basis in elke situatie worden toegepast die van nature een hoger ML/TF-risico kan inhouden”. De nadruk op voortdurende monitoring is van cruciaal belang vanuit het oogpunt van Wolfsberg, aangezien de aanbevelingen voornamelijk betrekking hebben op krediet-/financiële instellingen. Een van de bekendste definities om het onderscheid tussen CDD en EDD te maken, komt van de Nieuw-Zeelandse financiële marktautoriteit, die in haar richtlijnen voor versterkte klantonderzoek (Enhanced Customer Due Diligence Guidelines) EDD definieert als “twee kernvereisten die verder gaan dan de standaard CDD“. Dit omvat (i) de invoering van versterkte of geavanceerdere maatregelen voor het verzamelen en verifiëren van klantgegevens en de structuur van het economisch eigendom – afgestemd op het betreffende risiconiveau – en (ii) de verplichting om informatie te verzamelen en te verifiëren over de herkomst van het vermogen en de middelen van de klant – waarbij, afhankelijk van het risico, passende stappen moeten worden genomen. Deze dubbele redenering wordt ook overgenomen door de Joint Money Laundering Steering Group (JMLSG) van het Verenigd Koninkrijk (Part I Guidance Notes of 2020), waarbij het verzamelen van uitgebreide CDD-gegevens/documenten in de dossiers (i) zowel bij het opstellen van het risicobeoordelingsproces als bij het effectief beheer van alle ML/TF-risico’s nuttig is en (ii) een basis biedt voor het monitoren van klantactiviteiten en -transacties, waardoor de kans toeneemt dat het gebruik van hun producten en diensten voor ML/TF wordt ontdekt. Alle bovengenoemde interpretaties (hoe heterogeen en interessant ze ook mogen zijn) kunnen worden geïnterpreteerd en uitgelegd dat, wat EDD betreft, het volgende vereist is
- extra gegevensverzameling en informatie zijn een must;
- een dergelijke gegevensverzameling moet worden geëist als onderdeel van de filosofie van een persoon die streeft naar “voorzichtigere/geavanceerdere maatregelen”;
- alle resultaten zullen de beoefenaars helpen bij het uitvoeren van robuustere risicobeoordelingen.
Risicogebaseerde benadering (RBA) en EDD-maatregelen.
In de FATF-richtlijnen voor een risicogebaseerde benadering voor TCSP’s staat dat het algemene principe van een risicogebaseerde benadering (die op zich de hoeksteen vormt van de AML/CFT-richtlijnen en -wetgeving) inhoudt dat daar waar “hogere risico’s bestaan, versterkte maatregelen moeten worden genomen om deze risico’s te beheren en te verminderen“. Bovendien moeten het “spectrum, de graad en de frequentie of intensiteit van de uitgevoerde preventieve maatregelen en controles in scenario’s met een hoger risico worden versterkt”. Daarom is het van fundamenteel belang dat men weet hoe en wanneer EDD toe te passen.
De omvang van EDD-maatregelen.
De JMLSG wijst er ook op dat het in de praktijk, in het kader van een risicogebaseerde benadering, niet gepast is dat elke dienstverlener zijn klanten even goed kent, ongeacht het doel, gebruik of de waarde van het aangeboden product/de dienst. Informatie-eisen moeten proportioneel, passend en redelijk zijn voor de klanten…. verdedigbaar zijn. Daarom is het niet zinvol om simpelweg informatie te vragen omwille van de informatie (vooral als een klant niet in staat is om deze informatie te verstrekken), omdat de aanvraag proportioneel en passend moet zijn voor de klant met wie de betrokkene ofwel een zakelijke relatie of een occasionele transactie nastreeft.
Risicoscenario’s die EDD vereisen.
Na de definitie van EDD (en het vaststellen van de reikwijdte en het doel ervan) is het de moeite waard om in te gaan op de scenario’s waarin EDD wettelijk vereist is. Interessant is dat de FMA (Nieuw-Zeeland) voorschrijft dat EDD-maatregelen altijd overwogen moeten worden wanneer er een “wezenlijke verandering” is – dat wil zeggen, een gebeurtenis, activiteit of situatie die (bijvoorbeeld meestal tijdens de monitoring) het niveau van het ML/TF-risico zou kunnen veranderen. Zo’n wezenlijke verandering kan optreden wanneer de klant vraagt om nieuwe of risicovollere producten, wanneer een trust wordt opgezet, of wanneer het volume/de omvang van de activiteiten of transacties van de klant toeneemt boven wat redelijkerwijs verwacht mag worden…”. Vanuit een puur lokale (Maltese) visie stelt Regel 11 dat de EDD “aanvullend” op de in Regel 7 van de PMLFTR vastgestelde maatregelen moet worden toegepast (ingevoerd):
- in verband met activiteiten waarbij de FIAU een hoog risico op witwassen van geld of financiering van terrorisme vaststelt (voornamelijk volgens de nationale risicobeoordeling)
- altijd wanneer de betrokken persoon bij een risicobeoordeling vaststelt dat de occasionele transactie of de zakelijke relatie een hoog risico op witwassen van geld of financiering van terrorisme inhoudt
- in het kader van correspondentierelaties met instellingen uit andere landen dan de EU-lidstaten
- bij het omgaan met politiek prominente personen (PEP’s).
- bij de analyse van complexe, grote transacties die volgens een ongebruikelijk patroon verlopen of geen duidelijk economisch/rechtmatig doel hebben, en
- bij het omgaan met onbetrouwbare jurisdicties.
EDD-maatregelen in de praktijk.
Terwijl het verkrijgen van beknopte beschrijvingen van een bedrijfsactiviteit in een scenario met laag risico acceptabel kan zijn (op voorwaarde dat de aard en het doel worden begrepen), moeten in gevallen met “hoog risico” aanvullende informatie worden aangevraagd. Dit gebeurt doorgaans door de bevindingen te ondersteunen met documentatie en (indien nodig) aanvullende maatregelen, zoals vastgelegd in de uitvoeringsprocedures van de FIAU. Deze kunnen onder meer bestaan uit het uitvoeren van aanvullend onderzoek (bijv. negatieve mediacontroles) en/of het aanvragen van informatie over de herkomst van de fondsen en het vermogen (om te verzekeren dat deze niet afkomstig zijn uit criminele activiteiten). De “Financial Crime Guide” van de FCA adviseert in zijn EDD-aanbevelingen om “een beter begrip te krijgen van de reputatie van de klant/het bedrijf en/of zijn/haar rol in het openbare leven en te beoordelen hoe dit het risiconiveau beïnvloedt”. De Nieuw-Zeelandse FMA adviseert ook om onderscheid te maken tussen een klant die een hoger risicoprofiel heeft, maar niet betrokken is bij witwassen van geld en financiering van terrorisme, en een klant wiens transacties of activiteiten in verband kunnen worden gebracht met witwassen van geld en financiering van terrorisme. Daarom moeten alle situaties op een case-by-case basis worden beoordeeld, rekening houdend met de bestaande wetgeving. De uitvoeringsprocedures van de FIAU zijn inderdaad zeer risicomijdend als het gaat om PEP’s. Ongeacht of een zakelijke relatie een laag risico vormt of niet, moeten altijd EDD-maatregelen worden toegepast wanneer een betrokkene te maken heeft met een PEP, een familielid of een naaste van een PEP. Volgens de PMLFTR moeten deze ook[1] 1) goedkeuring door het hoger management, 2) het nemen van passende maatregelen om SoF en SoW vast te stellen en 3) een versterkte monitoring van dergelijke relaties omvatten. Terwijl het in scenario’s met laag risico toelaatbaar kan zijn om de identiteit van de klant/de economische eigenaar te verifiëren (afhankelijk van de richtlijnen en procedures), is dit bij zakelijke relaties met hoog risico absoluut uit den boze, aangezien alle identificatie- en verificatievereisten voldaan moeten zijn voordat formeel zaken worden gedaan. In situaties waar een groter risico op witwassen van geld en financiering van terrorisme bestaat, is het vereisen van informatie over de verblijfstatus van de klant, zijn werk en salaris, evenals over andere inkomsten-/vermogensbronnen (bijv. erfenis, verkoop van onroerend goed of vervreemding van activa) cruciaal voor de beslissing om de klant al dan niet te accepteren. Tot de EDD-maatregelen kan ook behoren dat indien nodig de eerste betaling via een rekening op naam van de klant/het bedrijf bij een financiële instelling in de EU/EER moet worden gedaan. De FCA van het Verenigd Koninkrijk schrijft voor dat het bij het toepassen van EDD-maatregelen ook cruciaal is om vast te stellen hoe de klant/het bedrijf zijn vermogen heeft verkregen, om te verzekeren dat het legitiem is. Daarom is de identificatie (en het bewijs) van het vermogen misschien wel het grootste probleem voor alle betrokkenen – vooral wanneer ze te maken hebben met complexe structuren of economische eigenaren die ook vermogende individuen zijn. Zoals de JMLSG echter benadrukt, “is de beschikbaarheid en het gebruik van financiële informatie belangrijk om de extra kosten voor het verzamelen van klantonderzoeksinformatie te verminderen – en kan het helpen om het risico geassocieerd met de zakelijke relatie beter te begrijpen”.
Terwijl in scenario’s met laag risico het tijdstip en de omvang van de voortdurende monitoring elke twee of drie jaar kunnen worden uitgevoerd, moet in situaties met hoog risico versterkte monitoring van de zakelijke relatie worden overwogen (ofwel op jaarlijkse of halfjaarlijkse basis), afhankelijk van de initiële klantenrisicobeoordeling (CRA). Een verdere EDD-maatregel in dit verband is het verhogen van het aantal en de timing van de uitgevoerde controles (en/of de passende selectie van transactiepatronen op basis van risicotriggers) – vooral wanneer de verplichting tot het uitvoeren van transactiemonitoring ontstaat. Hoewel “scenario’s met laag risico” in alle opzichten binnen de risicotolerantie van de betrokkene kunnen liggen, geldt dit zeker niet voor alle “hoogrisicosituaties”. In wezen hangt veel af van de risicotolerantie en het beleid voor klantenacceptatie van de betrokkene. Hoewel dit niet direct gerelateerd is aan EDD, zou het raadzaam zijn om voor een aantal klanten die als “hoog risico” worden beschouwd, ofwel een de-risico procedure uit te voeren of een afkappings-/drempelwaardesysteem in te voeren om het totale concentratierisico van hoogrisicoklanten te verminderen.
Niet betrouwbare jurisdicties.
EDD-maatregelen moeten ook toegepast worden wanneer de betrokken persoon te maken heeft met natuurlijke/rechtspersonen die gevestigd zijn in een niet-serieus land. Terwijl EU-/EER-landen de betrokkene minder verplichtingen opleggen (vooral met betrekking tot het risico), zullen voor niet-serieuze connecties zeker aanvullende informatie vereist zijn – in het bijzonder met betrekking tot de herkomst van de fondsen, de rekeningen waarover de fondsen stromen, de graad en de omvang van de connecties met het niet-serieuze land (betreft dit alleen de nationaliteit en/of de herkomst van het vermogen of vinden er ook zakelijke activiteiten in het land plaats) en/of de eis van verdere documenten over de aard en het doel.
Inzet van het hoogste managementniveau.
In de praktijk is het ook aan te raden om niet uitsluitend te vertrouwen op de richtlijnen en procedures van de betreffende persoon, maar om de risicobeperkingstechnieken te bespreken met collega’s of het management – vooral omdat elke zakelijke casus gewoonlijk zijn eigen, unieke ML/TF-dreigingen met zich meebrengt. Om deze reden is de goedkeuring van het management in deze context cruciaal, aangezien het bestuur niet alleen “eigenaar” van het risico is, maar ook een cultuur van naleving moet bevorderen. Dit gaat zover dat de uitvoeringsprocedures van de FIAU (Deel I) ook voorschrijven dat de betreffende persoon over een duidelijk beleid moet beschikken voor het escaleren van beslissingen over de acceptatie of voortzetting van zakelijke relaties met een hoog risico naar het management.
Conclusie
Hoewel alle beoefenaars het belang van de term “EDD” begrijpen, ligt zijn toepassing en methodologie nog steeds grotendeels in het discretionaire bevoegdheid van de betrokken persoon. Veel zal afhangen van het AML/CFT-handboek (P&Ps) dat een uitgebreide beschrijving moet bevatten over hoe EDD-maatregelen van geval tot geval toegepast dienen te worden. Dit mag echter niet afleiden van het feit dat de voor de naleving verantwoordelijke medewerkers een proactieve benadering moeten hanteren en EDD altijd moeten toepassen wanneer een situatie een hoger ML/TF-risico vertegenwoordigt. Hiervoor is het mogelijk niet voldoende om alleen op procedures te vertrouwen. Instinct en kennis (verworven door voortdurend onderzoek en training) zullen ook cruciaal blijken in de strijd tegen witwassen van geld en terrorismefinanciering.
Disclaimer: Het bovengenoemde artikel is gebaseerd op onafhankelijk onderzoek door Dr. Werner en Partner en kan niet worden beschouwd als juridisch advies. Als u een van onze vertegenwoordigers wilt ontmoeten om meer informatie te verkrijgen, maak dan een afspraak met ons.
[1] Het uitvoeren van de Customer Due Diligence is van het grootste belang, vooral in de context van klantidentificatie, risicobeheer, klantacceptatie en monitoring – vier sleutelelementen van een solide KYC-programma, zoals beschreven in het document van het Basel Comité van oktober 2001. [2] Verordening 7(5)(ac) van de PMLFTR [3] Volgens regel 11(5)