Individuele risicobeoordeling: commentaar en aanbevelingen van de NBB
1. Achtergrond
De vereiste om te beschikken over een risicogebaseerde benadering ter voorkoming van WG/FT, waarvan het beginsel is vastgelegd in artikel 7 van de antiwitwaswet, vormt een van de speerpunten van de in 2012 herziene aanbevelingen van de FAG en van Richtlijn 2015/849. Op Belgisch vlak werd deze vereiste, wat betreft de door de onderworpen entiteiten toe te passen preventieve maatregelen, met name omgezet in de verplichting om een tweeledige risicobeoordeling uit te voeren:
- een algemene beoordeling van de risico’s waaraan zij zijn blootgesteld (business-wide risk assessment), overeenkomstig de bepalingen van de artikelen 16 en 17 van de antiwitwaswet enerzijds, en van titel 2 van het antiwitwasreglement van de NBB anderzijds (zie de pagina “Risicogebaseerde benadering en algemene risicobeoordeling”); en
- een beoordeling van de risico's die verbonden zijn aan elke zakelijke relatie of occasionele verrichting (zie hieronder).
Overeenkomstig artikel 19 van de antiwitwaswet moet voortaan een beoordeling worden uitgevoerd van de WG/FT-risico’s die verbonden zijn aan elke zakelijke relatie of occasionele verrichting vooraleer beslist wordt een zakelijke relatie aan te gaan of de beoogde verrichting uit te voeren en om de aard en intensiteit te bepalen van de in dat artikel bedoelde waakzaamheidsmaatregelen (zie punt 2.3 hieronder) die worden toegepast door een onderworpen entiteit. Deze beoordeling, die de “individuele risicobeoordeling” wordt genoemd, is een centraal onderdeel van de nieuwe antiwitwaswet en vormt een instrument dat samen met de algemene risicobeoordeling de financiële instellingen in staat moet stellen om de WG/FT-risico’s waaraan zij zijn blootgesteld, te identificeren en op gepaste wijze te beheren of desgevallend te beperken, en om de toewijzing van hun middelen te optimaliseren.
Voor een passende risicogebaseerde benadering moet een grondige en actuele kennis worden verkregen van en inzicht worden verworven in de WG/FT-risico’s waaraan de instelling objectief gezien is blootgesteld gelet op haar activiteit en de manier waarop ze deze uitoefent (type cliënteel, geografisch gebied...), alsook in de WG/FT-risico’s die verbonden zijn aan elke zakelijke relatie, rekening houdend met de verschillende verrichtingen die worden uitgevoerd door de betrokken cliënt in het kader van deze relatie, of aan elke occasionele verrichting.
2. Proces
2.1. Individuele risicobeoordeling
De individuele beoordeling van de WG/FT-risico’s houdt in dat deze risico’s eerst worden geïdentificeerd en vervolgens worden beoordeeld.
Overeenkomstig artikel 19, § 2, van de antiwitwaswet moeten de financiële instellingen bij de identificatie van de WG/FT-risico’s die verbonden zijn aan een zakelijke relatie of een occasionele verrichting, ten minste rekening houden met:
- de algemene risicobeoordeling die voorafgaandelijk werd uitgevoerd overeenkomstig artikel 16 van de antiwitwaswet en alle elementen die in het kader van deze algemene beoordeling in aanmerking zijn genomen. Hiertoe behoren met name:
- de in bijlage I bij de voornoemde Wet opgesomde variabelen;
- de in bijlage III van dezelfde wet vermelde factoren die wijzen op een potentieel hoger risico en, eventueel, de in bijlage II vermelde factoren die wijzen op een potentieel lager risico,
- maar ook de relevante bevindingen van het door de Europese Commissie opgestelde verslag en de nationale risicobeoordeling, de EBA richtsnoeren betreffende risicofactoren, enz. (zie de referentiedocumenten vermeld op de pagina “Risicogebaseerde benadering en algemene risicobeoordeling”);
- de kenmerken van de cliënt en van de betrokken zakelijke relatie of occasionele verrichting. De financiële instelling dient rekening te houden met alle informatie die zij bij de nakoming van haar waakzaamheidsverplichtingen heeft verzameld, waaronder informatie betreffende:
- de identiteit van de cliënt, zijn lasthebbers en zijn uiteindelijke begunstigden,
- de kenmerken van de cliënt, het doel en de aard van de zakelijke relatie of occasionele verrichting,
- en alle andere informatie die is verzameld in het kader van de waakzaamheid ten aanzien van de zakelijke relaties en de occasionele verrichtingen.
Zodra zij een totaalbeeld hebben van de door hen geïdentificeerde WG/FT-risicofactoren kunnen de financiële instellingen het niveau bepalen van het aan de beoogde zakelijke relatie of occasionele verrichting verbonden WG/FT-risico. Daarbij zou aan elke geïdentificeerde risicofactor een score kunnen worden toegekend, en die risicofactoren zouden kunnen worden gecombineerd om het niveau van WG/FT-risico te bepalen. Zoals wordt onderstreept in de voornoemde EBA richtsnoeren van 1 maart 2021 betreffende de risicofactoren (p. 27, §§ 3.5 en 3.6), moeten de onderworpen entiteiten bij de weging van risicofactoren “een weloverwogen beslissing [nemen] over het belang van verschillende risicofactoren in de context van een zakelijke relatie, een occasionele transactie of hun activiteiten. (…) ondernemingen kunnen bijvoorbeeld besluiten dat de persoonlijke banden van een cliënt met een rechtsgebied waaraan een hoger ML/FT-risico is verbonden, minder belangrijk zijn, gezien de kenmerken van het product dat de cliënt verlangt”. Verder wordt ook het volgende onderstreept: “het gewicht dat aan elk van de factoren wordt gegeven, zal uiteindelijk waarschijnlijk per product, per cliënt (of categorie cliënten) en per onderneming verschillen. Bij het wegen van risicofactoren zorgen ondernemingen ervoor dat:
- de weging niet overmatig wordt beïnvloed door slechts één factor;
- de risicobeoordeling niet wordt beïnvloed door economische of winstoverwegingen;
- de weging niet leidt tot een situatie waarin het onmogelijk is om een zakelijke relatie in te delen als een relatie met een hoog risico;
- de weging van de onderneming de bepalingen van Richtlijn (EU) 2015/849 of nationale wetgeving inzake situaties die altijd een hoog witwasrisico vormen, niet kan overrulen; en
- zij in staat zijn om, indien nodig, automatisch gegenereerde risicoscores terzijde te schuiven. De motivatie voor het besluit om zulke scores terzijde te schuiven, dient naar behoren te worden gedocumenteerd”.
Wat betreft het voorlaatste hierboven vermelde punt zij immers benadrukt dat de artikelen 37 tot 41 van de antiwitwaswet overeenkomstig Richtlijn 2015/849 bepalen in welke situaties het risico in elk geval als hoog moet worden beschouwd en de daarin bedoelde specifieke maatregelen van verhoogde waakzaamheid moeten worden toegepast (zie de pagina’s betreffende “Bijzondere gevallen van verhoogde waakzaamheid”). Toch dient ook in deze bijzondere gevallen van verhoogde waakzaamheid een individuele risicobeoordeling te worden uitgevoerd met inachtneming van alle risicofactoren die verbonden zijn aan de zakelijke relatie of occasionele verrichting, teneinde met name de geschikte intensiteit te bepalen van de verscherpte waakzaamheidsmaatregelen die ten uitvoer moeten worden gelegd om deze risico’s gepast te kunnen beheren en beperken.
2.2. Onderbrenging van cliënten in de risicocategorieën
In aansluiting op de individuele risicobeoordeling brengen de financiële instellingen de betrokken zakelijke relatie of occasionele verrichting op basis van het waargenomen niveau van het WG/FT-risico onder in een (of meer) van de risicocategorieën die naar aanleiding van de algemene risicobeoordeling zijn vastgesteld (zie de pagina “Risicoclassificatie”). Op deze manier wordt aan elke zakelijke relatie of occasionele verrichting een risicoprofiel toegekend (hoog, standaard of eventueel laag). De methode voor risicoclassificatie die de financiële instelling vastlegt in haar interne procedures, dient haar in staat te stellen de gepaste reikwijdte te bepalen van de waakzaamheidsmaatregelen die ten uitvoer moeten worden gelegd ten aanzien van de zakelijke relaties en de occasionele verrichtingen om in voorkomend geval rekening te houden met de verschillende niveaus en de aard van de WG/FT-risico’s die verbonden zijn aan de verschillende producten en diensten die aan de cliënt worden verstrekt.
In dit opzicht zij eraan herinnerd dat de financiële instellingen ervoor moeten zorgen dat ze de aanvankelijke classificatie van een zakelijke relatie of verrichting waartoe besloten is met toepassing van de interne procedures en op basis van de informatie oorspronkelijk ontvangen bij het aanknopen van de relatie, kunnen wijzigen en dat ze deze zakelijke relatie of verrichting kunnen onderbrengen in een andere risicocategorie, wanneer ze in het kader van de individuele risicobeoordeling aanvullende informatie ontvangen die ertoe leidt dat zij hogere risico’s of risico’s van een andere aard of, in voorkomend geval, lagere risico's identificeren. Het zijn in de eerste plaats de algemene risico's die inherent zijn aan de uitgeoefende activiteiten en die zijn geïdentificeerd in het kader van de algemene risicobeoordeling die moeten worden weerspiegeld in de eerste classificatie, maar de concrete analyse van het risiconiveau van elke zakelijke relatie of occasionele verrichting, waarbij rekening wordt gehouden met alle bijzondere kenmerken ervan en met alle specifieke informatie die is verkregen in het kader van de individuele risicobeoordeling, moet ertoe kunnen leiden dat deze zakelijke relatie of verrichting in een andere risicocategorie wordt ondergebracht. Deze andere categorie moet geschikter zijn met het oog op de beperking en het efficiënt beheer van de specifieke en concrete WG/FT-risico’s die verbonden zijn aan de betrokken zakelijke relatie of verrichting en dus niet van algemene en theoretische risico’s.
2.3. Toepassing van passende waakzaamheidsmaatregelen
Na de individuele risicobeoordeling moeten de financiële instellingen geschikte waakzaamheidsmaatregelen bepalen om de risico’s op gepaste wijze te beheren of beperken.
Door een zakelijke relatie of occasionele verrichting te voorzien van een risicoprofiel en onder te brengen in een of meer risicocategorieën kan de financiële instelling overeenkomstig het door haar vastgestelde organisatorisch kader (zie de pagina “Gedragslijnen, procedures, processen en internecontrolemaatregelen”) en, met name, in overeenstemming met haar cliëntacceptatiebeleid, bepalen welk waakzaamheidsniveau (standaard, verscherpt of vereenvoudigd) moet worden toegepast op de in casu uitgevoerde verrichtingen.
De aldus aan de risicogebaseerde benadering onderworpen waakzaamheidsverplichtingen zijn opgenomen in artikel 19, § 1 en worden nader bepaald in Titel 3 van de wet. Terwijl onder de oude wet van 11 januari 1993 vaak ten onrechte kon worden aangenomen dat deze verplichtingen beperkt waren tot de identificatie en de kennis van de cliënt (zogenaamde “KYC”-maatregelen), blijkt voortaan duidelijk uit het wettelijk kader dat ze bestaan uit drie afzonderlijke delen met elk een eigen regeling:
- de verplichtingen tot identificatie en identiteitsverificatie (nader toegelicht op de pagina’s over dit onderwerp);
- de verplichting tot identificatie van de kenmerken van de cliënt en van het doel en de aard van de zakelijke relatie of van de occasionele verrichting (nader toegelicht op de pagina over dit onderwerp);
- de verplichting tot waakzaamheid ten aanzien van de zakelijke relaties en de occasionele verrichtingen (nader toegelicht op de pagina over dit onderwerp);
3. Documentatie en bijwerkingen
In artikel 19, § 2, derde lid, van de antiwitwaswet wordt bepaald dat de financiële instellingen in elk geval – d.w.z. ongeacht het risiconiveau van een zakelijke relatie of occasionele verrichting – aan de NBB moeten kunnen aantonen dat de door hen toegepaste waakzaamheidsmaatregelen passend zijn in het licht van de WG/FT-risico’s die ze hebben geïdentificeerd.
Voorts dient te worden opgemerkt dat de individuele risicobeoordeling die de financiële instellingen met toepassing van artikel 19, § 2, van de antiwitwaswet dienen uit te voeren voor elke zakelijke relatie of occasionele verrichting, geen eenmalige gebeurtenis maar een continu proces is. Zo dient deze risicobeoordeling – zoals desgevallend de algemene risicobeoordeling – te worden bijgewerkt telkens er zich een of meer gebeurtenissen voordoen die een significante invloed kunnen hebben op de risico's die verbonden zijn aan de situatie in kwestie.
Het is bijgevolg aangewezen dat de volgende elementen worden beschreven in de interne procedures van elke financiële instelling, die ter beschikking van de NBB worden gehouden:
- de methodologie die werd gehanteerd voor de individuele beoordeling van de risico's die verbonden zijn aan de betrokken zakelijke relatie of occasionele verrichting.
In dat opzicht moet de interne procedure de modaliteiten vastleggen voor de analyse van alle informatie die is verzameld over de cliënt en de beoogde zakelijke relatie of occasionele verrichting, teneinde in elk specifiek geval te bepalen welke van de risicoklassen die in het verlengde van de algemene risicobeoordeling zijn vastgesteld, geschikt is (zie punt 3.2 hieronder), om de meest relevante waakzaamheidsmaatregelen te kunnen toepassen op de zakelijke relatie of occasionele verrichting, rekening houdend met de (bijzondere) kenmerken ervan (zie punt 3.3 hieronder); - het proces dat moet waarborgen dat de follow-up en de bijwerking van het proces voor de individuele risicobeoordeling binnen de opgelegde termijnen worden uitgevoerd, teneinde de nauwkeurigheid ervan te allen tijde te verzekeren, ook voor bestaande cliënten.
Dit proces moet vastleggen welke maatregelen ten uitvoer moeten worden gelegd om gebeurtenissen te identificeren die tijdens de zakelijke relatie een invloed kunnen hebben op de individuele beoordeling van de risico’s die verbonden zijn aan elke relatie, teneinde hiervan akte te nemen en, bijgevolg, de procedure voor de bijwerking van die beoordeling op te starten.
Daarnaast kan het, teneinde te waarborgen dat de individuele risicobeoordelingen nog steeds relevant zijn, nuttig zijn om in de interne procedures te voorzien in een periodieke herziening van deze beoordelingen en van de beschikbare informatie waarop deze gebaseerd zijn, wanneer dit passend is in het licht van de uitgeoefende activiteiten. De frequentie van deze herzieningen kan verschillend zijn en dient te worden bepaald naargelang het aan de betrokken zakelijke relatie toegekende risicoprofiel.
Elke financiële instelling dient deze verschillende frequenties zelf te bepalen op basis van haar ervaring, met het oog op een goed beheer van de WG/FT-risico’s. Wanneer voor een bepaalde zakelijke relatie voortdurend of regelmatig een groot aantal verrichtingen moet worden uitgevoerd waarvan de kenmerken in de loop van de tijd sterk kunnen veranderen, kan bij wijze van indicatie worden vermeld dat de NBB van oordeel is dat de periodieke herzieningen redelijkerwijze ten minste jaarlijks dienen te worden uitgevoerd bij hoge risico's, of zelfs vaker bij bijzonder hoge risico’s (bijvoorbeeld bij meldingen aan de CFI), minstens om de drie jaar voor zakelijke relaties met een standaard risicoprofiel en minstens om de vijf jaar voor zakelijke relaties met een laag risicoprofiel. Er zij echter benadrukt dat de frequenties van de herzieningen die kunnen worden vastgelegd in de procedures, aanvullende voorzorgsmaatregelen zijn die in geen geval kunnen worden ingeroepen om te rechtvaardigen dat de individuele beoordeling van de risico’s verbonden aan een zakelijke relatie niet wordt bijgewerkt wanneer er zich gebeurtenissen voordoen die deze beoordeling aanzienlijk kunnen beïnvloeden.
Voor levensverzekeringsovereenkomsten waarvoor geen groot aantal opeenvolgende verrichtingen moet worden uitgevoerd en die geen hoog WG/FT-risico inhouden, kan het aangewezen zijn dat de interne procedures bepalen dat de individuele risicobeoordeling wordt herzien zodra er zich één van de in de interne procedures vastgestelde gebeurtenissen voordoet die op zich onvoldoende zijn om de individuele beoordeling van de aan de betrokken zakelijke relatie verbonden risico’s te beïnvloeden, maar die het herzieningsproces in werking zetten teneinde te bepalen of de beoordeling nog steeds relevant is.
Ook in dit opzicht wijst de NBB erop dat de bepalingen van de antiwitwaswet niet alleen van toepassing zijn op de zakelijke relaties of op de occasionele verrichtingen die de financiële instellingen aangaan met nieuwe cliënten, maar ook - zonder overgangsperiode - op de lopende zakelijke relaties die met cliënten werden aangeknoopt vóór de inwerkingtreding van deze nieuwe wettelijke bepalingen. De NBB verwacht bijgevolg van de financiële instellingen dat zij de zakelijke relaties die ze hebben aangeknoopt vóór de inwerkingtreding van de Wet herbeoordelen en hierbij voorrang geven aan de zakelijke relaties die vóór deze herbeoordeling als relaties met een hoog risico werden beschouwd.
Er zij verwezen:
- naar de pagina “Gedragslijnen, procedures, processen en internecontrolemaatregelen” voor meer informatie over de interne procedures;
- naar de pagina “Waakzaamheid ten aanzien van zakelijke relaties en occasionele verrichtingen en opsporing van atypische feiten en verrichtingen” voor meer informatie over de verplichting om individuele risicobeoordelingen bij te werken.
Het is overigens aangewezen de individuele beoordeling van de risico’s die verbonden zijn aan elke zakelijke relatie of occasionele verrichting, alsook de wijzigingen die in het kader van een bijwerking in deze beoordeling worden aangebracht, te documenteren in een schriftelijk document of in de vorm van gegevens bewaard via een informaticasysteem, zodat deze beoordeling en wijzigingen te allen tijde kunnen worden gereconstrueerd zonder veranderingen te hebben ondergaan en deze ter beschikking te houden van de NBB.
4. Internecontrolemaatregelen
Van de financiële instellingen wordt verwacht dat zij periodiek controleren of de interne procedures inzake de individuele risicobeoordeling te allen tijde goed worden nageleefd en of het proces voor de tenuitvoerlegging van de daarmee verband houdende bijwerkingsverplichting adequaat is.
De NBB raadt de interne auditfunctie derhalve aan bijzondere aandacht te besteden aan:
- de geschiktheid van de risicofactoren die door de financiële instelling in aanmerking worden genomen en het gewicht dat aan elk van deze factoren wordt toegekend voor het uitvoeren van de beoordeling van de WG/FT-risico’s die verbonden zijn aan de zakelijke relaties of aan de occasionele verrichtingen;
- de inachtneming, tijdens de beoordeling van de aan een zakelijke relatie verbonden risico’s, van de eventuele verscheidenheid in de diensten en producten die in het kader van deze relatie worden aangeboden, en van de relevantie van de afzonderlijke beoordeling van de risico’s die aan elk van deze producten of diensten zijn verbonden;
- het feit of de uitgevoerde individuele beoordelingen op passende wijze zijn bijgewerkt.