De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft) is meer dan een jaar geleden ingrijpend gewijzigd. Accountants en andere poortwachters dienen deze nieuwe regels sinds 25 juli 2018 toe te passen. Inmiddels zullen dus alle cliëntdossiers aan de nieuwe regels moeten voldoen. Dit betekent bijvoorbeeld dat altijd een Ultimate Beneficial Owner van de cliënt moet zijn geïdentificeerd. Ook het stelsel van risicobeheersing dat de accountant toepast moet aan de nieuwe eisen voldoen. Verder geldt – in beginsel alleen voor organisaties met 50 werknemers of meer – de verplichting om een compliance functie (compliance officer) te hebben. Last but not least moet altijd iemand uit de dagelijkse leiding aanspreekbaar zijn op het naleven van de Wwft-regels.
Toezicht Wwft wordt strenger
Helaas houdt het hier niet op. Het toezicht op de Wwft wordt strenger. Eind september werd bekend dat het OM opnieuw een Nederlandse systeem-bank, nu de ABN AMRO, verdenkt van het onvoldoende naleven van de Wwft-regels. DNB had hiervan melding gedaan bij het OM na diverse onderzoeken en indringende gesprekken met de bank. Het betreft, evenals bij ING, zowel het onvoldoende verrichten van cliëntcontrole als het niet of niet tijdig melden van ongebruikelijke transacties. Bij ING mondde dit uit in een verdenking van schuldwitwassen, die verdenking is bij ABN AMRO (nog) niet aan de orde volgens de persberichten.
Na het bekend worden van het strafrechtelijk onderzoek tegen ABN AMRO was er weer volop aandacht voor de vraag wat er eigenlijk gebeurt met meldingen die banken, accountants en andere meldingsplichtigen doen. De klacht is dat meldingsplichtige instellingen daar bar weinig van zien. Hoewel de focus vaak ligt op de melding van ongebruikelijke transacties moet, gelet op de verwijten die aan ING zijn gemaakt en die bij de ABN AMRO nog worden onderzocht, ook de cliëntcontrole niet worden vergeten. Veel van de opgelegde sancties houden daar mee verband. Immers zonder voortdurende cliëntcontrole worden ongebruikelijke transacties ook minder snel geconstateerd. En juist om het toezicht daarop te verstevigen worden in de Wwft de bevoegdheden uitgebreid om informatie uit te wisselen tussen de verschillende Wwft-toezichthouders.
De voortdurende cliëntcontrole (of ‘monitoring’) die de Wwft vereist, is omschreven als de ‘voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties (…) teneinde te verzekeren dat deze overeenkomen met de kennis die de instelling heeft van de cliënt en diens risicoprofiel’. Het is dus zaak om de cliënt kritisch te blijven volgen tijdens het bestaan van de relatie. Maar wanneer wordt deze verplichting nou goed nagekomen?
Continuering en voortdurende cliëntcontrole
De Wwft-verplichting van de voortdurende cliëntcontrole vertoont van afstand enige gelijkenis met de verplichting die accountants hebben om te beoordelen of zij een (controle)opdracht kunnen continueren (NVCOS 210, 4410 en NVKS, om maar eens enkele voorschriften te noemen). Het lijkt daarom een kleine, maar wel heel praktische, stap om de ‘continueringsbeoordeling’ gelijk op te laten lopen met de cliëntmonitoring die de Wwft vereist en dit ook zo in het eigen compliance programma vast te leggen. Daarbij helpt het natuurlijk ook als accountants goed vastleggen dat zij, met een Wwft-bril, daadwerkelijk kritisch naar de cliënt en zijn transacties hebben gekeken en dat zij, als dit aan de orde is, bevindingen met de compliance officer en zo nodig de verantwoordelijk leidinggevende hebben besproken.
De Wwft-cliëntmonitoring wordt hiermee dicht op het primaire proces van een accountantsorganisatie vorm gegeven. Bovendien leidt het tot minder administratieve lasten dan wanneer de Wwft-cliëntmonitoring als afzonderlijk proces wordt vormgegeven. Veel onderzoeken van Wwft-toezichthouders leiden tot sancties omdat ‘evidence’ van cliëntmonitoring eenvoudigweg niet aanwezig is. Dan is het moeilijk te reproduceren of een accountant zijn poortwachtersrol wel goed heeft uitgeoefend. Als de beoordeling die gemaakt wordt voor een continuering van de opdracht mede als basis dient voor de Wwft-cliënt-monitoring en het compliance-programma dit ook zo vastlegt, zou dat in praktische zin aanzienlijk helpen. Een eventuele vervolgstap is dan om, zoveel mogelijk risico-gebaseerd uiteraard, bepaalde cliënten na de continueringsbeslissing nog eens extra onder de Wwft-loep te nemen.
Duidelijkheid gewenst
De Wwft is ‘principle based’ en de vraag is dan of het kantoorbeleid ten aanzien van de cliëntcontrole voldoet. Richtlijnen van Wwft-toezichthouders over waar een afdoend Wwft-risicobeheersingsmodel al dan niet aan moet voldoen ontbreken tot op heden. Dergelijke richtlijnen zouden zeer welkom zijn. Dit is temeer het geval omdat tot recent door de AFM te weinig onderscheid werd gemaakt tussen een systeem van kwaliteitsbeheersing en eventuele concrete fouten die – ondanks dat systeem – in controledossiers kunnen voorkomen. Twee accountantskantoren hebben hierover behoorlijk met de AFM in de clinch gelegen. Deze kantoren vonden, anders dan de AFM, dat uit enkele concrete fouten in controledossiers niet mag worden afgeleid dat het systeem van kwaliteitsbeheersing niet voldoet. Het College van Beroep voor het Bedrijfsleven moest er toen uiteindelijk aan te pas komen om duidelijkheid te scheppen. Dit College was het met de accountantskantoren eens.
Het blijft natuurlijk wel zaak dat het beheersingssysteem goed wordt uitgevoerd. Ook het handelen van een enkeling kan soms roet in het eten gooien. Rechtbank Rotterdam oordeelde recent dat de overtredingen van de Wwft in één dossier aan een accountantskantoor konden worden toegerekend, omdat het ging om het nalaten van een medewerker die afweek van de geldende kantoorprocedures. De Rechtbank wijst in dat verband op een arrest van de Hoge Raad van 24 januari 2012. Die verwijzing is lastig te volgen, omdat het in dat arrest van de Hoge Raad ging om een bedrijfsleider die niet de zorg had betracht die van hem in zijn leidinggevende positie mocht worden gevergd. Een bedrijfsleider heeft een andere positie als het gaat om het nakomen van de wettelijke verplichtingen. Als een (willekeurige) medewerker afwijkt van de geldende interne procedures van het kantoor, maar die procedures op zichzelf voldoen en op de naleving daarvan op juiste wijze wordt toegezien, dan zou een toerekening aan het kantoor niet zonder meer aan de orde moeten zijn.
Het zou helpen als de verschillende Wwft-toezichthouders in hun richtlijnen expliciet tot uitdrukking brengen dat ook voor de Wwft een systeem van kwaliteits- of risicobeheersing afzonderlijk van eventuele concrete ‘gevallen steekjes’ wordt beoordeeld. Als inspiratie kunnen bijvoorbeeld de richtlijnen uit de Verenigde Staten dienen over handhaving van de corruptie-wetgeving (FCAP). Daarover schrijven de Department of Justice en de Securities and Exchange Commission: “DOJ and SEC understand that “no compliance program can ever prevent all criminal activity by a corporation’s employees,” and they do not hold companies to a standard of perfection.” Een compliance programma wordt mede beoordeeld op “its design and good faith implementation and enforcement”. En: “DOJ and SEC may decline to pursue charges against a company based on the company’s effective compliance program (…) even when that program did not prevent the particular underlying FCPA violation that gave rise to the investigation.” Dit soort expliciete uitlatingen zouden ook behulpzaam zijn in Wwft-land.
Het timmermansoog van de Wwft-poortwachter
Wim Mijs, directeur van de European Banking Federation (EBF) verwoordde het in het FD naar aanleiding van het bekend worden van het onderzoek naar ABN AMRO aldus: ‘De nadruk bij banken is komen te liggen op kwantiteit boven kwaliteit (…) Er is een vinkjescultuur ontstaan. Ondertussen weten criminelen precies hoe ze moeten voorkomen dat er een rode vlag omhoog gaat bij de bank. Wat we nodig hebben is dat mensen met jarenlange ervaring met hun timmermansoog kijken naar wat echt verdacht is.’ Inderdaad: een door de gehele organisatie omarmd systeem van timmermansogen, gezond verstand en risicogebaseerde beheersingsmaatregelen, dat is wat goed poortwachterschap vereist. Dat geldt niet alleen voor het beoordelen van transacties en het doen van meldingen, maar ook voor de cliëntmonitoring en de Wwft-risicobeheersing in brede zin. Het zou een goede zaak zijn als toezichthouders dat expliciet uitdragen zodat Wwft-instellingen zich daarin gesteund zien.
