De integriteitrisicoanalyse en de risicomonitoring

Transcriptie

1 De integriteitrisicoanalyse en de risicomonitoring

2 Onderwerpen Waarom is een integriteitrisicoanalyse van de onderneming nodig? Hoe werkt de systematiek bruto-beheersing-netto? Wat zijn risicoscenarios? Hoe wordt kans en impact beoordeeld? Hoe wordt effectiviteit van beheersmaatregelen beoordeeld? Hoe worden netto risico s en gaps bepaald? Wat is risicomonitoring en waar moet je op letten? 2

3 Kennismaking. Maud Bökkerink 20+ jaar AML/CFT ervaring: FIU, Nationale Politie, Ministerie van Financiën, Internationaal Monetair Fonds, De Nederlandsche Bank (coördinator Wwft/SW toezicht) Legal en Financial Expert in 8 FATF landen evaluaties Nu: eigenaar Bokkerink Compliance International, AML/CFT/SW advisering en training voor financiële en niet-financiële instellingen, toezichthouders en overheden, zowel nationaal als internationaal. Auteur voor Tijdschrift voor Compliance en Tijdschrift voor Sanctierecht & Onderneming 3

4 Risicomanagement

5 Het proces Een systematische analyse van risico s De analyse vormt het beleid Beleid vindt neerslag in procedures en maatregelen Alle relevante bedrijfsonderdelen worden in kennis gesteld van het beleid en de procedures en maatregelen. Uitvoering en systematische toetsing van het beleid en de procedures en maatregelen Onafhankelijk toezicht op de uitvoering van het beleid en de procedures en maatregelen Procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken worden gerapporteerd aan compliance En vervolgens leiden tot een gepaste bijstelling. Wie weet waar dit uit komt? 5

6 FATF Recommendation 1 FATF standard requires that countries [ ] require financial institutions and designated non-financial businesses and professions to identify, assess and take effective action to mitigate their money laundering and terrorist financing risks 6

7 EU AML/CFT Richtlijn Artikel 8 van de 4AMLD De meldingsplichtige entiteiten ondernemen de nodige stappen ondernemen om hun witwasrisico en risico van terrorismefinanciering te identificeren en te beoordelen Houden rekening met risicofactoren zoals cliënten, landen of geografische gebieden, producten, diensten, transacties en leveringskanalen. Deze stappen zijn evenredig met de aard en omvang van de meldingsplichtige entiteiten. De risicobeoordelingen worden gedocumenteerd, actueel gehouden en beschikbaar gesteld aan de toezichthouder. 7

8 Wetsvoorstel herziening Wwft Artikel 2b 1. Een instelling neemt maatregelen om haar risico s op witwassen en financieren van terrorisme vast te stellen en te beoordelen, waarbij de maatregelen in verhouding staan tot de aard en de omvang van de instelling. 2. Bij het vaststellen en beoordelen van de risico s, bedoeld in het eerste lid, houdt de instelling in ieder geval rekening met de risicofactoren die verband houden met het type cliënt, product, dienst, transactie en leveringskanaal en met landen of geografische gebieden. 3. Een instelling legt de resultaten van het vaststellen en beoordelen van haar risico s vast, houdt deze actueel en verstrekt deze resultaten desgevraagd aan de toezichthoudende autoriteit. 8

9 Waarom een integriteitrisicoanalyse? Nodig om op risicogebaseerde wijze de regelgeving uit te kunnen voeren Focus op de meest significante risico s: meer waar dat moet, minder waar dat kan Out-of-the-box nadenken over risico s Gebruik maken van de SNRA en NRA Risk appetite meenemen Geïdentificeerde risico s verwerken in beleid en procedures

10 Stelling Als een instelling risicoanalyses maakt van alle klanten dan is het niet meer nodig om een risicoanalyse van de onderneming te maken

11 Welke integriteitrisico s? Witwassen Terrorismefinanciering Omzeiling sanctieregelgeving Corruptie (omkoping) Belangenverstrengeling Interne en externe fraude Ontduiking of ontwijking van fiscale regelgeving Marktmanipulatie Cybercrime Maatschappelijk onbetamelijk gedrag 11

12 Risicoanalyse proces Risicoanalyse van de hele onderneming (vs. risicoanalyse van de klant) Risicofactoren: Klant, geografische gebieden, product, diensten, transacties, leveringskanalen, 3e partijen, werknemers Gebaseerd op kwantitatieve en kwalitatieve informatie Goede vastlegging Herziening (periodiek en wanneer nodig) Actueel houden In verhouding tot de aard en de omvang van de instelling 12

13 Inherente risico s: risico s die bestaan als er geen beheersmaatregelen zijn om deze te mitigeren Risico s bestaan uit dreigingen en kwetsbaarheden Inherente risico s Kans Impact Inherent risico Effectiviteit van maatregelen Netto risico s: risico s die overblijven wanneer er effectieve beheersmaatregelen zijn Netto risico s Inherent risico Beheersmaatregelen Netto risico 13

14 Dreigingen en kwetsbaarheden

15 Beheersmaatregel

16 Beheersmaatregel

17

18 DNB SIRA van papier naar praktijk Financiële instellingen maken gebruik van de good practices van DNB Vertaling van de SIRA naar de praktijk nog niet altijd adequaat Financiële instellingen benutten de SIRA nog onvoldoende voor de daadwerkelijke afweging en beheersing van integriteitsrisico s Hierdoor blijft een instelling kwetsbaar voor betrokkenheid bij financieel-economische criminaliteit De SIRA wordt nog vaak door instellingen als een statisch document beschouwd in plaats van een dynamisch en continu proces 18

19 Wie spelen welke rol bij het opstellen van de SIRA? 19

20 Welke bronnen gebruik je voor het maken van een SIRA? 20

21 SNRA

22 SNRA significante risico s voor de financiële sector Private banking en institutionele beleggingen (met name via makelaars). Grotere blootstelling aan product- en consumentgebonden risico s Concurrentiedruk binnen de sector Beperkt inzicht van de toezichthouders in de operationele risico's op witwassen en terrorismefinanciering Verhuur van safes gevolg van beperkingen in de controlecapaciteit voor meldingsplichtige entiteiten het bestaan van niet- gereglementeerde opslagfaciliteiten (bijvoorbeeld vrije zones) 22

23 SNRA significante risico s voor de financiële sector Elektronisch geld anonimiteitskenmerken in het kader van de derde witwasrichtlijn Geldtransferdiensten verschillen in de controlecapaciteit van meldingsplichtige entiteiten Nieuwe producten, zoals crowdfundingplatforms en virtuele valuta's, In recente gevallen van terrorisme zijn herhaaldelijk frauduleuze aanvragen voor consumentenkredieten en kleine leningen gedaan 23

24 NRA terrorismefinanciering De tien grootste risico s op het terrein van terrorismefinanciering volgens experts Geld van (buitenlandse) stichtingen/(non-profit)organisaties Financiering via vergunde banken Misbruik van middelen van de staat Financiering via vergunde betaaldienstverleners Financiering via onvergunde betaaldienstverleners Financiering via ondergronds bankieren / Hawala bankieren Financiering via virtuele valuta Financiering via prepaid-, debet-, telefoonkaarten e.d. Leningen/giften van familie/vrienden Eigen middelen 24

25 NRA witwassen De tien witwasrisico s met de volgens experts grootste potentie le impact Witwassen via financiële instellingen (met name banken) Witwassen via betaaldienstverleners Witwassen via trustkantoren Witwassen via offshore vennootschappen Witwasconstructies om verhuld waarde weg te zetten Trade-Based Money Laundering Witwassen via fiscaal gedreven/complexe vennootschapsrechtelijke structuren Witwassen via virtuele valuta Witwassen door contant geld vanuit/naar Nederland te verplaatsen (al dan niet via ondergronds bankieren) Witwassen via (inter)nationale beleggings - en of investeringsconstructies om waarde te verplaatsen 25

26 ESA s risicofactoren guidelines These guidelines focus on risk assessments of individual business relationships and occasional transactions; but firms may use these guidelines mutatis mutandis when assessing ML/TF risk across their business in line with Article 8 of Directive (EU) 2015/

27 Voorbereidingen Overzicht van de ondernemingen Organisatieschets: kwantitatieve analyse van elke business unit/branch office/subsidiary Risicofactoren: factoren die de onderneming blootstellen aan risico s Klanten Producten, diensten Transacties Geografie Werknemers 3e partijen Leveringskanalen

28 Klanten Retail en zakelijke klanten PEPs High net worth klanten Non-resident klanten Cash intensieve bedrijven Aantal klanten per categorie Aantal klanten per risico categorie Maturiteit van klantenbasis Volume van de business 28

29 Geografische gebieden UN en EU Sanctielanden Hoogrisico jurisdicties (FATF list) Tax-gerelateerd (EU list) Corruptie-gerelateerd (TI-CPI) Terrorisme-gerelateerd Offshore financial centres Aantal klanten Aantal UBOs Aantal transactie van/naar 29

30 Producten, Diensten, Transacties Overzicht van alle producten en diensten Cash transacties Beleggingen in vastgoed, grondstoffen Gelden uit een hoogrisico land Gelden via omnibus rekening of via nominee accounts Aantal producten/diensten/transacties Aantal klanten per product en dienst Volumes van elk product en dienst 30

31 Leveringskanalen Direct Non face to face Geïntroduceerd Intermediairs Aantal klantrelaties die non face to face gestart zijn Aantal introducers en intermediaries Aantal klanten aangebracht via introducers en intermediaries 31

32 Risicoscenario s Verschijningsvormen van witwassen, terrorismefinanciering Wat is de kans dat de instelling wordt misbruikt voor witwassen / terrorismefinanciering Door (het meewerken aan) het opzetten van complexe juridische structuren Doordat medewerkers samenspannen met een klant Doordat er grote sommen geld uit hoogrisico landen komen Doordat klanten gebruik maken van offshore entiteiten

33 Stel aan de hand van het risicoprofiel van deze instelling een aantal mogelijke risicoscenario s op voor de integriteitrisico s die zich kunnen voordoen. Bedenk eerst welke risico s je beoordeelt. 33

34 Kans en Impact Kans: aantal keren dat iets kan voorkomen, onwaarschijnlijk waarschijnlijk Impact : schade, verliezen, korte termijn lange termijn Kans Impact Inherent risico

35 Kans voorbeelden Niet waarschijnlijk: het scenario komt minder dan 1 keer per jaar voor Mogelijk: het scenario kan 1 keer per jaar voorkomen Waarschijnlijk: het scenario komt mogelijk een aantal keren in een jaar voor Laag: het is onwaarschijnlijk dat het scenario voorkomt Medium: er is enige kans dat het scenario zich voordoet Hoog: er is een redelijke kans dat het scenario voorkomt 1 het scenario komt 1 keer per 2 jaar voor 2 het scenario komt 1 keer per jaar voor 3 het scenario komt 2-3 keer per jaar voor 4 het scenario komt meer dan 4 keer per jaar voor 35

36 Impact voorbeelden Laag: nauwelijks financiële of reputatieschade; geen maatregel van de toezichthouder Medium: beperkte financiële of reputatieschade; enkelvoudige maatregel van toezichthouder Hoog: hoge financiële of reputatieschade; zware of meerdere maatregelen van toezichthouder Reputatieverlies 1 nauwelijks verlies van vertrouwen, geen impact op bedrijfsvoering 2 verlies van vertrouwen of klachten van klanten, kortetermijn impact op bedrijfsvoering 3 mediumtermijn impact op klanten en bedrijfsvoering 4 langetermijn impact op klanten en bedrijfsvoering Financieel verlies (boete, rechtszaak, et cetera) en indirect verlies (kosten, et cetera) 1 < EUR > EUR en < EUR > EUR en < EUR > EUR

37 Inherent risico score impact kans 1 low risk low risk moderate high risk risk 2 low risk low risk moderate high risk risk 3 moderate risk moderate risk high risk extreme risk 4 high risk high risk extreme risk extreme risk

38 Wat is het inherente risico? Scenario Kans Impact Inherent risico score Klanten met complexe corporate structures medium Klanten via intermediaries laag Cash intensieve klanten extreem Medewerker spant samen met 3e partij medium 38

39 Hoe bereken je van deze instelling de kans en impact dat de scenario s kunnen voorkomen? Bedenk eerst hoe je kans en impact definieert 39

40 Beheersmaatregelen en netto risico Inherent risico Beheersmaatregelen Netto risico

41 Beslissen over beheersmaatregelen Inherent risico Laag Medium Risicobeoordeling Onwaarschijnlijk dat risico zich voordoet, lage impact Er is een mogelijkheid dat risico zich voordoet, medium impact Te nemen acties Eenvoudige maatregelen voldoen Maatregelen nodig Hoog Hoge kans met grote impact Verscherpte maatregelen nodig Extreem Risico doet zich zeker voor met dramatische impact Risico moet voorkomen worden of zeer zware maatregelen nodig 41

42 Welke beheersmaatregelen wil je zien m.b.t. de geïdentificeerde risicoscenario s? 42

43 Beheersmaatregelen en netto risico Beoordeel de effectiviteit van de maatregelen per risicoscenario Bepaal het netto risico Beoordeel netto risico tegen risk appetite Beoordeel lacunes en eventuele aanvullende maatregelen 43

44 Beoordeling effectiviteit beheersmaatregelen Welke bronnen zijn al aanwezig? Incidenten Interne controles Audit rapporten Compliance monitoring rapporten Bevindingen toezichthouder STRs 44

45 Beoordeling effectiviteit beheersmaatregelen: voorbeelden 1 werkt volledig en optimaal 2 kan op onderdelen verbeterd worden, maar werkt adequaat en heeft effect 3 substantiële verbetering nodig, maar er is enig effect 4 geen beheersing, of beheersing heeft geen effect. Sterk: er zijn sterke maatregelen om het risico te beheersen Effectief: het risico wordt adequaat beheerst Ineffectief: het risico wordt niet adequaat beheerst

46 Hoe beoordeel je de beheersing van deze instelling? Bedenk hoe gedetailleerd je dit doet 46

47 Netto risico Netto risico wordt vastgesteld door de mate van beheersing af te treken van het inherente risico. Netto risico is het resterende (residu) risico nadat effectieve maatregelen getroffen zijn. Netto risico Low Beschrijving Het is onwaarschijnlijk dat het risico schade veroorzaakt Moderate High Extreme Er is enige kans dat het risico enige schade veroorzaakt Er is aanzienlijke kans dat het risico grote schade veroorzaakt Het is zeker dat het risico zeer grote schade veroorzaakt

48 Wat is het netto risico? Scenario Klanten met complexe corporate structures Klanten via intermediaries Inherent risico score Maatregelen Effectiviteit van maatregelen Netto risico 2 medium -Organograms worden opgevraagd -Hoog risico + EDD bij 3+ lagen -Training 1 laag -CDD tav tussenpersonen -Audit tav procedures intermediaries 3. Aanzienlijke verbeteringen nodig -Training is niet gegeven -veel CDD bevindingen van toezichthouder 2. Kleine verbeteringen nodig -minimale bevindingen van toezichthouder hoog medium Cash intensieve klanten 4 extreem -High risk sector -EDD 3. Aanzienlijke verbeteringen nodig -negatief audit resultaat Extreem Medewerker spant samen met 3e partij 2 medium -Code of conduct -Training 1 effectief -geen incidenten of bevindingen Laag 48

49 Risk appetite De risk appetite geeft aan welke risico s een instelling wil accepteren Risk appetite per risico bepalen Belangrijke rol voor senior management Risk appetite Accepteren: beheersmaatregelen werken Verminderen: verminder risico of verbeter maatregelen Vermijden: beëindig de activiteiten 49

50 ECB Risk appetite frameworks: good progress but still room for improvement What is a risk appetite framework? Policies, processes, limits, controls and systems that define, communicate and monitor how much risk a bank is willing to take on. Holistic approach to risk culture and risk management and integral part of the decision-making process. Board involvement: setting and approving the risk appetite, overseeing review and implementation. Risk capacity Risk culture Risk appetite limits Qualitative statements Quantitative and objective indicators Comprehensive Effectively governed Consistently used Fully integrated into strategic decision-making 50

51 Lacunes en aanvullende maatregelen De instelling bepaalt of men de risico s wil accepteren, mitigeren of vermijden Welke vervolgacties moeten worden getroffen? Bepalen welke aanvullende maatregelen nodig zijn, bv: Wijzigingen in beleid en procedures Aanvullende training, risk awareness Nieuwe IT systems of verbetering van IT systems 51

52 Wat is de risk appetite en welke maatregelen zijn nodig? Scenario Effectiveness Net risk Risk appetite & Additional measures Klanten met complexe corporate structures Klanten via intermediaries 3. Aanzienlijke verbeteringen nodig -Training is niet gegeven -veel CDD bevindingen van toezichthouder 2. Kleine verbeteringen nodig -minimale bevindingen van toezichthouder hoog Verbeteren maatregelen : -Training in Q1 -Wijziging procedures -Aanvullende CDD maatregelen medium Verbeteren maatregelen : -Betere audits tav intermediaries Cash intensieve klanten 3. Aanzienlijke verbeteringen nodig -negatief audit resultaat extreem Vermijden: -Aan bestuur voorstellen beleid te wijzigen en dit soort klanten voortaan te weigeren Medewerker spant samen met 3e partij 1 effectief -geen incidenten of bevindingen laag Accepteren: -geen actie nodig 52

53 Basisvereisten Up-to-date, actueel houden Gebaseerd op kwalitatieve en kwantitatieve informatie Omvat alle bedrijfsactiviteiten en business units Is de basis voor het interne beleid en procedures Sturingsdocument voor management Is binnen de hele instelling gecommuniceerd 53

54 Beoordelingscriteria Recente analyse Beslaat alle business lines, branches, afdelingen, subsidiaries Aandacht voor ML, TF, sancties, corruptie, etc Relevante risico scenario's en risicofactoren Kans en impact: onderbouwd, plausibel Beheersmaatregelen: per scenario, helder, realistisch Netto risico, lacunes en vervolgmaatregelen zijn vastgesteld Betrokkenheid 1ste lijn, Compliance, Audit, Risk en Management Risico s worden afgezet tegen risk appetite 54

55 Criteria Good Fair/Moderate Poor Recent Up to 1,5 years old 1,5-3 years old 3+ years old Entire business All business lines, branches etc Only domestic business lines A few business lines Types of risks ML and TF (plus corruption, sanctions) ML and TF but not separate Only ML or only TF Relevant scenarios, risk factors Scenarios are to the point, many scenarios, all factors Could be more scenarios, not all factors Few scenarios and few factors Likelihood, impact Based on actual data, plausible Acceptable but not substantiated Unrealistic Control measures Per scenario, clear, realistic, based on actual information Not per scenario, but based on actual information Too general, not based on actual information Follow up measures Determined and approved/executed Determined, not approved/executed Not determined Involvement all lines 1 st line, Compliance, Audit, Risk and Management Compliance with 1 st line Only Compliance Risk appetite Taken into account for inherent and net risks Taken into account for net risks Not taken into account 55

56 Even weer terug naar deze

57 Risicomonitoring Monitoren in hoeverre regelgeving, beleid en processen worden nageleefd Voorwaarden: compliance literacy, accountability, performance incentives, and culture Risicogebaseerd monitoren van materiele risico s Essentiele compliance processen Maar ook extern: monitoren nieuws, ontwikkelingen, wetgeving Identificeren van tekortkomingen in maatregelen en opvolging Aanpassen risicoanalyse, beleid, procedures Voorkomen reputatieschade, financiële gevolgen 57

58 1-2-3 lijn Wie is eigenaar van het risico en wie is verantwoordelijk voor monitoring? Duidelijk begrip van key compliance controls, key risk indicators governance, risk appetite Geïntegreerd en in lijn met belangrijke 1e en 2e lijn proces 3e lijn: onafhankelijk audit en controle van resultaten 58

59 CASUS Welke processen moeten gemonitord worden om te controleren of PEP controles worden uitgevoerd als er een PEP-hit is 59

60 Proces stap 1 maatregel en key controls Identificeren van te controleren maatregelen Kwetsbaar voor non-compliance Complex proces Betrokkenheid diverse afdelingen Interesse van toezichthouder Belang voor de instelling Eerdere incidenten of bevindingen Key controls Wat zijn de belangrijkste processen en systemen? Welke stappen moeten worden genomen? Welke afdelingen zijn betrokken? Welke goedkeuring is nodig? Welke maatregelen zijn er om fouten te voorkomen? 60

61 Proces stap 2 normen Welke standaarden en normen zijn er ten aanzien van het te controleren proces Wet- en regelgeving Toezichthouder en andere guidance Intern beleid en procedures Werkprocessen Interne mandaten Functieomschrijvingen 61

62 Proces stap 3 controle methode Het gaat om het controleren van daadwerkelijke uitvoering van procedures tegen de verwachtingen die in regelgeving en beleid staan Drie manieren van aanpak: 1. Sampling: files, transacties, logboeken, andere documentatie 2. Interviews met medewerkers om te begrijpen welke processen zij volgen 3. Meekijken hoe procedure wordt uitgevoerd 62

63 Proces stap 4 aantal controles Bekijk aan de hand van aantal files of transacties en bijbehorende documentatie hoeveel controles nodig zijn Belang van afzonderlijke processen Complexiteit van processen en betrokkenheid verschillende afdelingen Hoeveelheid key controls Volume van files, transacties Hoeveelheid en frequentie van eerdere aanpassingen van proces Mate van ruimte voor fouten Mate van subjectiviteit nodig om te beoordelen of proces is gevolgd 63

64 Proces stap 5 planning Stel een plan op waarin staat wat wordt gecontroleerd en hoe het wordt gecontroleerd Wie voeren de controles uit Wanneer zullen de controles worden gedaan Hoe worden files of transacties geselecteerd Hoe worden medewerkers voor interviews of observatie geselecteerd Hoe worden de controles gedocumenteerd Hoe worden resultaten beoordeeld Hoe en aan wie worden bevindingen gerapporteerd 64

65 Proces stap 6 uitvoering Een selectie van medewerkers die geïnterviewd worden Niet alleen die met meeste of minste ervaring Niet alleen van een onderdeel die de procedure moeten uitvoeren Files en transactie testing Selectie niet beperken tot korte periode Diversiteit samples: random, risicogebaseerd 65

66 Proces stap 7 vastlegging en beoordeling Wat zijn oorzaken van gebreken Klein deel van het proces, eenmalig incident of een menselijke fout Een structureel probleem, meerdere processen Waarom zijn er fouten gemaakt, kan het vaker voorkomen Wat waren de omstandigheden Zou het probleem ook zonder de controle zijn gedetecteerd Welke stappen ontbraken die er wel hadden moeten zijn Was er een reden waarom stappen niet genomen zijn Zit het probleem in de werkinstructies of systemen Wat zijn de gevolgen Wat is de materialiteit? Onnodige kosten Inefficiëntie Resultaat wordt niet bereikt Er wordt niet voldaan aan het beleid Er is sprake van een overtreding van wetgeving Financiële schade Reputatieschade 66

67 Proces stap 8 follow up Rapportage aan afdeling, aan management Voorstel te nemen verbeteracties Interne bespreking Management acties Nieuwe processen, systemen Aanpassing SIRA 67

68 Reputatieschade Vroeger of later worden incidenten bekend Wanneer consumenten het vertrouwen verliezen door bijvoorbeeld een gegevenslek, juridische onregelmatigheden of een gebrek aan maatschappelijke betrokkenheid laten zij dit blijken door producten en diensten in de ban te doen. 68

69 Financiële gevolgen Compliance problemen kunnen resulteren in boetes, hoge remediatie kosten 69

70 Interne en externe risico s Interne risico s Externe risico s Bewustwording Tope at the top Compliance culture Incidenten Landen Wetgeving Publicaties Jurisprudentie 70

71 Landenrisico s: op welke landen zet je aanvullende monitoring en waarom? Sanctielanden Landen door FATF aangewezen als noncompliant met AML/CFT standaarden Landen door EU aangewezen als niettransparent inzake belastingen Corruptie-gevoelige landen Terrorismegerelateerde landen Offshore jurisdicties

72 Wat doe je met dit soort berichtgeving?

73 Houd je rekening met buitenlandse wetgeving? UK Criminal Finances Act 2017, UK Bribery Act, FCPA, OFAC Articles 45 and 46 of UK Criminal Finances Act establish two new offences dealing with failure to prevent the facilitation of UK tax evasion offences and failure to prevent the facilitation of foreign tax evasion offences. Legal entities are liable for the actions of their employees or associated person in facilitating tax evasion or assisting their customers to evade tax. An associated person is broadly defined and includes employees, agents or any other person performing services on behalf of the entity. 73

74 Welke FATF rapporten neem je mee in risicomonitoring en waarom? 74

75 75

76 DNB Factsheet voetbalsport 76

77 Alert op FATF-rapport Financiële instellingen moeten er rekening mee houden dat DNB bij het verschijnen van (bijvoorbeeld) nieuwe FATF-rapportages, zal nagaan of zij het daarin behandelde onderwerp proactief ter hand hebben genomen. 77

78 Bitcoins - Jurisprudentie ECLI:NL:RBAMS:2017:8376 Transacties in bitcoins hebben een hoog risicoprofiel. DNB waarschuwt banken en betaalinstellingen voor integriteitsrisico s die zij lopen omdat zij de identiteit van de partijen die de bitcoins ver- of aankopen niet of onvoldoende kennen. Aannemelijk is dat gelden uit misdrijf verkregen kunnen worden witgewassen door via een tussenpersoon transacties in bitcoins uit te voeren. De identiteit van de opdrachtgever kan langs deze weg vrij makkelijk geheim blijven. Dit geldt te meer bij het aan- en verkopen van bitcoins met contant geld. [X] is geen instelling als bedoeld in de Wft en de Wwft, maar is wel bekend met de risico s die zijn verbonden aan transacties in bitcoins, te weten het witwassen of financieren van terrorisme. Op grond van het hoge risicoprofiel van transacties met bitcoins mag [bank] in beginsel van een bedrijf als [eiser] verwachten dat zij onderzoek doet naar de identiteit van haar klanten alsmede naar de herkomst van de gelden waarmee zij in opdracht van haar klanten bitcoins aankoopt, ook zonder dat [bank] daar eerst uitdrukkelijk om vraagt. 78

79 Maturity of the system!: Good 2 Fair 3 Moderate 4 Poor RISK ASSESSMENT There is a recent, extensive risk The institution only addresses a analysis covering extensive scenarios limited number of a few scenarios on on ML/TF and factors as customers, ML/TF. The risk analysis mentions the products, delivery channels and risk factors customers, countries, countries. The risk analysis covers all products but without any depth or business units, and is updated assessment system. It is updated annually or when there are every other year. developments. Involvement of all lines, but not Involvement of all lines and management management There is a general statement about the risk profile of the institution that is not based on an analysis. Or, there are lists of indicators of high-risk customers and countries, but no assessment has been made what this means for the institution. It is rarely updated. Only Compliance is involved in the assessment There is no risk analysis. Or the risk analysis is very superficial and does not address the relevant ML/TF risks. POLICY The up-to-date policy has a clear link to the latest risk analysis. Policy is also differentiated to the conclusions of the risk analysis. Policy is discussed approved by management The policy takes into account relevant high-risk customers, countries and products but it is not directly based on a risk analysis. Policy approved by management, but not discussed. The policy only focuses on high-risk elements as contained in the AML/CFT Act. Policy is not discussed or approved by management The policy does not take into account relevant ML/TF risks or there is no policy. 79

80 Maturity of the system!: Good 2 Fair 3 Moderate 4 Poor GOVERNANCE Effectively functioning 1st, 2nd, 3rd line, with clearly defined responsibilities and tasks Compliance monitoring is done frequently resulting in elaborate management information, Frequent independent audits on AML/CFT 1st, 2nd, 3rd line are set up and responsibilities described, but not functioning optimally. Compliance monitoring is infrequent, management information is superficial. Independent audits on AML/CFT in combination with other risks 1st, 2nd, 3rd line are set up in theory but not adequately described nor functioning. Compliance monitoring is established but not functioning properly. Very infrequent management information Independent audits rarely covers AML/CFT No separate 1st, 2nd, 3rd lines. Responsibilities are not described, roles are mixed. No Compliance monitoring No management information No AML/CFT audits AWARENESS Both management and staff very well aware of ML/TF risks. New ML/TF risks are directly taken into account Regular AML/CFT training, also for management and specialized training for Compliance ML/TF risk awareness with staff and management is adequate. Periodic AML/CFT training but not tailored for management or Compliance ML/TF risk awareness with staff and management is insufficient. Occasional AML/CFT training ML/TF risk awareness is lacking significantly. No AML/CFT training or only slightly included in other training 80

81 Dank voor jullie aandacht Zijn er nog vragen?