Rib Wtt Audit Richting voor Trustkantoren

Transcriptie

1 Rib Wtt Audit Richting voor Trustkantoren Integriteit Onafhankelijkheid Betrouwbaarheid Duurzaamheid Professionaliteit

2 Inhoud Aanpak Rib Wtt Audit Versie: 27 augustus 2015 Inleiding 3 1. Algemeen Auditfunctie Voorbereiding Auditplan Rapporteren 6 2. Auditfunctie 7 3. Voorbereiding 9 4. Auditplan Inleiding Effectiviteit van de organisatie-inrichting Effectiviteit van de procedures en maatregelen De organisatie van het trustkantoor Verantwoordelijkheden bestuur Verantwoordelijkheden trustkantoor Dienstverlening Effectiviteit van de compliance functie Rapporteren 26 2

3 Inleiding Algemeen Dit document beschrijft de werkwijze die richting kan geven aan het uitvoeren van een audit bij een trustkantoor. In dit document wordt nader ingegaan op de minimale eisen die aan de (uitbesteedde) auditfunctie en uit te voeren werkzaam heden kunnen worden gesteld. Doelgroep De brochure is bedoeld voor de leden van Holland Quaestor. Doelstellingen De doelstellingen van de brochure zijn: 1. het aan de leden van Holland Quaestor aanbieden van een beschrijving van de mogelijke werkwijze en inrichting van de Rib-auditfunctie zoals bedoeld in de Wtt/Rib 2014; 2. het bevorderen van een uniforme werkwijze en inrichting van de Rib-auditfunctie in samenhang met de visitaties welke onder het keurmerk van Holland Quaestor worden uitgevoerd. Uitgangspunten 1. de werkzaamheden van de Rib-auditor dienen te allen tijde te voldoen aan de daar door de wetgever gestelde eisen binnen het kader van de Wtt; 2. de Rib-auditor dient de werkzaamheden onafhankelijk van Holland Quaestor en van de aangestelde visiteurs inzake het keurmerk Holland Quaestor te verrichten; 3. de Rib-auditor heeft een eigen verantwoordelijkheid voor de vaktechnische invulling van de werkzaamheden; 4. de opdrachtgever van de Rib-auditor is verantwoordelijk voor het ter beschikking stellen van de Rib-auditrapportages aan de visiteurs inzake het keurmerk Holland Quaestor, zulks na afstemming met de betreffende Rib-auditor; 5. de in de brochure opgenomen beschrijving van de werkwijze van de Rib-auditor is voor een trustkantoor welke lid is van Holland Quaestor aangestelde Rib-auditor richtinggevend. 3

4 Kaderstelling De auditfunctie heeft in ieder geval de drie onderstaande taken: (bron: beoordeelt de effectiviteit van de organisatie-inrichting; beoordeelt de effectiviteit van de in de bedrijfsprocessen van het trustkantoor geïntegreerde procedures en maatregelen; en beoordeelt de effectiviteit van de compliance functie. Randvoorwaarde voor het inrichten van de auditfunctie is dat degene die deze functie uitvoert op onafhankelijke wijze en zelfstandig zijn werkzaamheden kan uitvoeren. De uitvoerder van de auditfunctie staat geheel los van de dagelijkse bedrijfsvoering en kan daarom kritisch en onafhankelijk oordelen over de effectiviteit van het trustkantoor. Voor trustkantoren is het mogelijk om deze auditfunctie uit te besteden aan een externe auditor. De Rib Wtt 2014 stelt geen inhoudelijke eisen waaraan de auditor moet voldoen, maar het is, zoals ook blijkt uit publicaties van DNB, van belang dat degene die deze functie vervult over de juiste opleiding, kennis, ervaring en competenties beschikt. 4

5 1. Algemeen 1.1. Auditfunctie Het trustkantoor zal voor de auditfunctie moeten bepalen wat de wederzijdse rechten en verplichtingen zijn. Dit wordt opgenomen in een auditcharter. Naast het doel en de onafhankelijkheid van de functie worden ook de reikwijdte, de taken en de scope van de werkzaamheden expliciet gemaakt Voorbereiding De auditfunctie zal ter voorbereiding op de werkzaamheden kennis nemen van de (gewijzigde) activiteiten van het trustkantoor, bijzondere gebeurtenissen en randvoorwaarden. De auditfunctie moet inzicht hebben in het risicoprofiel van het trustkantoor. Daar waar nodig kan worden gesteund op de risicoanalyse bedrijfsvoering. Het risicoprofiel dient als basis voor het opstellen van een auditplan en een werkprogramma Auditplan In het auditplan wordt opgenomen welke onderwerpen worden beoordeeld en de frequentie waarmee dit gebeurt. Hier wordt onderscheid gemaakt tussen onderwerpen die elk jaar worden beoordeeld en onderwerpen die met een lagere frequentie worden beoordeeld. 5

6 1.4. Rapporteren De auditfunctie vormt de derde lijn van de three lines of defence ten behoeve van trustkantoren. De rapportage is op dit uitgangspunt gebaseerd. De uitkomsten van de auditwerkzaamheden worden aan de directie van het trustkantoor gerapporteerd (en indien van toepassing aan intern toezichtsorgaan/aandeelhouders). In het rapport wordt duidelijk onderscheid aangebracht tussen bevindingen en conclusies. Bij tekortkomingen worden de noodzakelijke follow-up maatregelen toegelicht. Bij voorkeur wordt een deadline overeengekomen waarbinnen deze tekortkomingen zijn opgevolgd/ opgelost. Jaarlijks wordt hierbij een conclusie gegeven over de effectiviteit van de organisatie-inrichting, procedures en maatregelen en de compliance functie. Verder mogen er ook aanbevelingen ter (verdere) verbetering worden opgenomen. In de onderstaande hoofdstukken wordt nader ingegaan op de: auditfunctie (hoofdstuk 2); voorbereiding (hoofdstuk 3); auditplan (hoofdstuk 4); rapporteren (hoofdstuk 5). 6

7 2. Auditfunctie Trustkantoren zijn op basis van de nieuwe Regeling integere bedrijfsvoering Wet toezicht trustkantoren 2014 (hierna Rib Wtt 2014 ) verplicht om per 1 januari 2015 een auditfunctie in te voeren. De auditfunctie heeft in ieder geval de drie onderstaande taken: (bron: beoordeelt de effectiviteit van de organisatie-inrichting; beoordeelt de effectiviteit van de in de bedrijfsprocessen van het trustkantoor geïntegreerde procedures en maatregelen; en beoordeelt de effectiviteit van de compliance functie. Auditors die de auditfunctie uitvoeren moeten beschikken over goede en actuele kennis. Essentieel hierbij is dat de auditor inzicht heeft in: de relevante financiële toezichtswetten (onder meer Wtt, Rib Wtt, Wwft); de ontwikkeling van (inherente) risico s waarmee een trustkantoor kan worden geconfronteerd; de ontwikkelingen m.b.t. de mogelijkheden voor witwassen en financiering van terrorisme; de eisen die aan de auditfunctie worden gesteld. Auditors zijn op de hoogte van de laatste ontwikkelingen op hun vakgebied, willen ze hun werk goed kunnen uitvoeren. De wet stelt geen inhoudelijke eisen aan de auditor. Het is wel de wens van Holland Quaestor om op termijn tot accreditatie over te gaan. Hierbij zullen kennis, ervaring, opleiding en competenties van de auditor een belangrijke rol spelen. Het trustkantoor bepaalt zelf of de auditor geschikt is voor de auditfunctie. Naast bovenstaande uitgangspunten is het van belang dat de auditor ook over aantoonbare vaardigheden/ervaring beschikt om de functie te kunnen vervullen. 7

8 Overige attentiepunten zijn: audit charter is aanwezig. Hierin zijn rol, positie en rechten en verplichtingen opgenomen. Naast het doel en de onafhankelijkheid van de functie worden ook de reikwijdte, de taken en de scope van de werkzaamheden expliciet gemaakt; in het procedurehandboek wordt de rol van de auditfunctie beschreven; vermelding wie de auditfunctie vervult; voorkomen van belangenverstrengeling tussen audit- en compliance functie; de auditfunctie moet onafhankelijk zijn en staat geheel los van de dagelijkse bedrijfsvoering; uitbesteden van de auditfunctie is toegestaan, wel dienen duidelijke afspraken over de werkzaamheden gemaakt te worden. Ook als de functie wordt uitbesteed, blijven de wettelijk geldende regels onverkort van kracht: het trustkantoor is zelf verantwoordelijk voor naleving van deze regels. Het is bij uitbesteding van belang dat er duidelijke afspraken worden gemaakt over de invulling van de auditfunctie, zodat het daadwerkelijk tot controles komt. Onvoldoende betrokkenheid wordt gezien als een niet werkende auditfunctie en daarmee een overtreding. 8

9 3. Voorbereiding Voordat specifieke auditwerkzaamheden starten heeft de auditfunctie inzicht in de activiteiten en het risicoprofiel van het trustkantoor. Immers, het auditplan (planning en werkzaam heden) dient aan te sluiten op de aard, omvang, risico s en complexiteit van de werkzaamheden van het trustkantoor. Hiertoe zal de auditfunctie minimaal inzicht kunnen krijgen in: risicoanalyse bedrijfsvoering; correspondentie met DNB en externe accountant; juridische procedure (lopend en afgerond); uitkomsten Keurmerk-audit (indien beschikbaar); interne rapporten, verslagen en notulen (waaronder rapporten van de compliance functie); ISI-rapportage; en organogram, met inzicht in afdelingen en functies. Aanvullend voert de auditor interviews uit met onder meer de directie en de compliance officer (intern danwel extern) om een goed beeld te krijgen van de wijze waarop de organisatie is ingericht, de bedrijfsprocessen werken en de compliance functie functioneert. 9

10 4. Auditplan 4.1. Inleiding De auditfunctie kan de taken periodiek uitvoeren. Hierbij kan worden gekozen voor verschillende vormen: één jaarlijkse complete audit, of verspreid over het jaar kleinere audits van deelprocessen. De onderwerpen, de frequentie van de audit van deze onderwerpen en de intensiteit van de audit op specifieke onderwerpen hangen onder andere af van de risicoanalyse bedrijfsvoering en de eigen risico-inschatting van de auditfunctie. Het auditplan geeft inzicht in de werkzaamheden die worden uitgevoerd. In het auditplan is opgenomen in welke vorm (complete of deelaudits) de audit wordt uitgevoerd, welke onder werpen worden beoordeeld en de frequentie waarmee dit gebeurt (indien sprake is van kleinere (deel-) audits). Waar mogelijk worden bij de onderwerpen specifieke attentiepunten opgenomen die worden beoordeeld. Het auditplan wordt (voorafgaande aan de audit werkzaamheden) afgestemd met de directie van het trustkantoor. Het auditplan bevat dus een duidelijke planning van werkzaamheden en te beoordelen onderwerpen. Het auditplan maakt duidelijk welke werkzaamheden worden verricht om over dat betreffende jaar een oordeel te kunnen geven over: de effectiviteit van de organisatie-inrichting; de effectiviteit van de in de bedrijfsprocessen van het trustkantoor geïntegreerde procedures en maatregelen; en de effectiviteit van de compliance functie. 10

11 4.2. Effectiviteit van de organisatie-inrichting De wijze waarop een trustkantoor de organisatie inricht is afhankelijk van de aard en omvang van de bedrijfsactiviteiten. Ongeacht de inrichting van de bedrijfsvoering dient het trustkantoor zorg te dragen voor een integere bedrijfsvoering. Onafhankelijk van de aard en omvang van de bedrijfsactiviteiten dienen interne en externe normen van integriteit te worden verweven in het bedrijfsproces. Bij de beoordeling van de effectiviteit van de organisatie-inrichting worden de volgende attentiepunten meegenomen: de organisatie-inrichting en bezetting (fte s) sluit aan op de activiteiten van het trustkantoor en op het aantal cliënten/doelvennootschappen; het opleidings- en ervaringsniveau van medewerkers sluit aan bij de functies die worden uitgeoefend, de aard van de dienstverlening en de achtergrond van de cliënten; het trustkantoor beschikt over een actueel procedurehandboek dat minimaal jaarlijks wordt geactualiseerd. Het actualiseren kan in gevallen eerder moeten plaatsvinden indien wettelijke normen of de activiteiten van het trustkantoor wijzigen; in het procedurehandboek zijn procedures en (beheers-)maatregelen opgenomen t.b.v. de naleving van de Wtt, Rib Wtt, Wwft en de Sanctiewet Daarnaast sluiten procedures en maatregelen aan bij de maatregelen die in de risicoanalyse zijn opgenomen; in het procedurehandboek zijn de minimale functiescheidingen opgenomen (Three lines of defence), waaronder de scheiding tussen uitvoering dienstverlening en interne controle, de compliance functie en de auditfunctie; het procedurehandboek is door de directie van het trustkantoor expliciet goedgekeurd; aanwezigheid van een opleidingsprogramma voor (groepen van) medewerkers. 11

12 4.3. Effectiviteit van de procedures en maatregelen Naast het beoordelen of deze onderwerpen in het procedurehandboek zijn opgenomen en/of deze bekend zijn bij de organisatie, dient te worden beoordeeld of procedures en maatregelen ook worden toegepast en nageleefd (vaststellen van de werking). De wet verplicht trustkantoren eens per jaar een Rib-audit uit te voeren. Bij het beoordelen van de werking van procedures kan een risk based benadering worden gekozen waardoor niet alle onderwerpen jaarlijks worden beoordeeld. Ook kan een risk based benadering ertoe leiden dat de omvang en diepgang van de auditwerkzaamheden per onderwerp anders is. Het is aan de directie van het trustkantoor om in samenwerking met de Rib-auditor de frequentie per onderwerp te bepalen. De Rib-auditor vervult in dit proces een eigenstandige en onafhankelijke rol. Het keurmerk van Holland Quaestor kan daarbij extra vereisten hebben. Deze vereisten dienen trustkantoren te bespreken met hun Rib-auditor. De motivatie van de frequentie en intensiteit dient vastgelegd te zijn in het auditplan. De auditfunctie zal bij de risk based benadering, en onafhankelijk van de werkzaamheden in de tweede lijn, expliciet rekening houden met: de aard, omvang, positionering en complexiteit van het trustkantoor; ontwikkelingen in de relevante wetgeving, de thema-onderzoeken en de nieuwsbrieven van DNB; en de uitkomsten van de integriteitsrisicoanalyse. Onderstaand zijn, op basis van de verplichtingen uit de Wtt, Rib Wtt, Wwft en de Sanctiewet 1977, de onderwerpen opgenomen die bij het beoordelen van de werking moeten terugkomen. 12

13 De organisatie van het trustkantoor Verantwoordelijkheden bestuur Onderwerp Samenvatting van norm die beoordeeld moet worden Verwijzing naar regelgeving (per ) Attentiepunten Verantwoordelijkheden bestuur inzake het voldoen aan de vergunningvereisten Bij algemene maatregel van bestuur worden eisen gesteld aan de integere uitvoering van de werkzaamheden en het voeren van een deugdelijke administratie en interne controle van het trustkantoor.»» Wtt art. 5 Het bestuur treft maatregelen ter bewustwording, bevordering en handhaving van integer handelen binnen de organisatie van het trustkantoor. Verantwoordelijkheden bestuur inzake het besturen van het trustkantoor De dagelijkse leiding van het trustkantoor ligt bij het bestuur. Het bestuur is verantwoordelijk voor: een integere bedrijfsvoering van het trustkantoor; naleving van relevante wettelijke bepalingen; bekendheid met en naleving van het procedurehandboek van het trustkantoor; een deugdelijke administratie; bewustwording, bevordering en handhaving van integer handelen van het personeel en de organisatie. art. 2 taakverdeling binnen bestuur; deskundigheid; behalen PE-punten. Beheersing integriteitsrisico s Het bestuur treft maatregelen ter bewustwording, bevordering en handhaving van integer handelen binnen de organisatie van het trustkantoor. Rib Wtt 2014»» art. 3 13

14 Verantwoordelijkheden trustkantoor Onderwerp Samenvatting van norm die beoordeeld moet worden Verwijzing naar regelgeving (per ) Attentiepunten Beheersing integriteitsrisico s Een trustkantoor analyseert integriteitsrisico s op systematische wijze. Op basis van deze analyse werkt het trustkantoor procedures en maatregelen uit, worden medewerkers van het trustkantoor hierover geïnformeerd en passen de medewerkers de procedures en maatregelen in de praktijk toe. art. 4 art. 23 naast risico s omtrent witwassen en terrorismefinanciering dienen ook andere integriteitsrisico s meegenomen te worden; de uitkomsten van de analyse dienen waar nodig vertaald te worden in beleid; de analyse dient actueel te zijn en beheersmaatregelen sluiten aan op het procedurehandboek. Functiescheiding Het trustkantoor zorgt voor een adequate functie scheiding. Dit betekent meer concreet dat functiescheidingen zijn aangebracht tussen: de uitvoering van werkzaamheden en de uitvoering van de compliance functie ten aanzien van die werkzaamheden; de uitvoering van de compliance functie en de uitvoering van de auditfunctie. art. 7 Een bestuurder mag geen auditof compliance functie uitoefenen ten aanzien van werkzaamheden van een andere bestuurder als deze laatstgenoemde bestuurder de compliance functie uitoefent ten aanzien van de werkzaamheden van de eerstgenoemde bestuurder. Met andere woorden, bestuurders mogen niet over en weer elkaars werk beoordelen. Procedurehandboek en organisatieschema Het trustkantoor beschikt over een actueel procedurehandboek en organisatieschema. Het procedure handboek dient procedures te bevatten ten aanzien van alle relevante onderwerpen zoals benoemd in wet- en regelgeving en de manier waarop zij deze naleeft. Er wordt een duidelijke scheiding aangebracht tussen uitvoerende en controlerende taken (functie scheiding), de Wwft verplichtingen, integriteit en personeel. art. 6 Nagaan of het procedurehandboek zichtbaar wordt geactualiseerd en goedgekeurd door het bestuur. 14

15 Onderwerp Samenvatting van norm die beoordeeld moet worden Verwijzing naar regelgeving (per ) Attentiepunten Uitbesteding van werkzaamheden in een integriteitsgevoelige functie De uitvoering van de compliance en/of auditfunctie kan door het trustkantoor uitbesteed worden. Hierbij is wel van belang dat deze niet aan dezelfde partij of groep van ondernemingen wordt uitbesteed. Wanneer het trustkantoor werkzaamheden uitbesteedt aan een derde, dienen de afspraken omtrent deze werkzaamheden schriftelijk vastgelegd te worden. art. 7 art. 9 In geval van uitbesteding dienen de afspraken met de uitbestedingspartner vastgelegd te zijn. Uitbesteden van werkzaam heden kan in het algemeen risico s opleveren. In de risicoanalyse dient hierop te worden ingegaan. Voorafgaande aan het uitbesteden wordt vastgesteld dat sprake blijft van een integere en beheerste bedrijfsvoering. Verstrekken inlichtingen over personeelsleden Het trustkantoor dient, desgevraagd door een andere financiële instelling, informatie te verstrekken omtrent de betrouwbaarheid van een voormalig personeelslid. art. 10 Vermogensscheiding Een trustkantoor zorgt voor volledige (fysieke) scheiding tussen vermogensbestanddelen (geldwaarden) die aan verschillende cliënten of doelvennootschappen toebehoren. Ook worden eigen vermogensbestanddelen van een trustkantoor niet vermengd met vermogen van cliënten of doelvennootschappen. art. 5 Maatregelen strekken in ieder geval tot een volledige scheiding tussen: de vermogensbestanddelen van elk van die onder - nemingen; iedere derde; van het trustkantoor. 15

16 Onderwerp Samenvatting van norm die beoordeeld moet worden Verwijzing naar regelgeving (per ) Attentiepunten Dossier omtrent het trustkantoor Het trustkantoor houdt een actueel dossier bij ten aanzien van de gegevens van het eigen kantoor. art. 24 Onderdeel daarvan zijn: de KvK inschrijving, overzicht van de (mede)beleidsbepalers en formele zeggenschapsverhoudingen met gekwalificeerde deel nemers, een structuuroverzicht waarin het trustkantoor zich bevindt, het actueel procedurehandboek, incidentenregister en de vastgestelde jaarrekeningen van de afgelopen drie jaren. Incidenten Het trustkantoor dient incidenten administratief vast te leggen, waarbij in ieder geval de volgende informatie opgenomen moet zijn: 1. kenmerken van het incident; 2. degene die eigenaar van het incident is of degenen die het hebben bewerkstelligd; 3. de maatregelen die zijn genomen. art. 11 In de volgende gevallen dient DNB over incidenten geïnformeerd te worden. Indien: 1. er aangifte bij justitiële autoriteiten zal plaatsvinden; 2. het voortbestaan van trustkantoor wordt bedreigd; 3. er sprake is van een ernstige tekortkoming in de opzet en werking van de maatregelen ter bevordering van een integere bedrijfsvoering; 4. er kans is op ernstige reputatieschade van het trustkantoor. Integriteitsgevoelige functies Personeelsleden in integriteitsgevoelige functies dienen betrouwbaar te zijn. Het trustkantoor doet onderzoek naar deze betrouwbaarheid en maakt daarbij de afweging of het trustkantoor integriteitsrisico s loopt met een aan te nemen personeelslid. art. 8 Integriteitsgevoelige functies externe personeelsleden Voor externe personeelsleden die in een integriteitsgevoelige functie worden benoemd dienen dezelfde waarborgen in acht genomen te worden als voor eigen personeelsleden. art. 9 16

17 Onderwerp Samenvatting van norm die beoordeeld moet worden Verwijzing naar regelgeving (per ) Attentiepunten Opleiding Het trustkantoor zorgt ervoor dat alle personen die werkzaam zijn bij het trustkantoor -voor zover relevant voor hun werkzaamheden- bekend zijn met de relevante wettelijke bepalingen en de periodieke opleidingen krijgen om deze kennis op peil te houden. art. 26 Het is van belang dat de medewerkers over goede en actuele kennis beschikken. De wet stelt echter geen inhoudelijke eisen, dat betekent dat de instelling zelf een goede keuze moet maken wie voldoet aan een functie en moet kunnen beredeneren waarom deze persoon geschikt is voor de uitoefening van deze functie (ervaring, opleiding en competenties). Sanctiewet algemeen Sanctiemaatregelen zijn politieke instrumenten in het buitenlandsen het veiligheidsbeleid van de Verenigde Naties en de Europese Unie. Het zijn dwingende, nietmilitaire instrumenten die worden ingezet als reactie op schendingen van het internationale recht of van mensenrechten om een kentering voor elkaar te krijgen. Daarnaast vervullen sancties een rol in de bestrijding van terrorisme. Ze zijn dan vooral gericht tegen individuen en niet-statelijke entiteiten. In de verordeningen van de Europese Unie zijn in beginsel twee soorten financiële sancties te onderscheiden: een gebod tot het bevriezen van tegoeden; een verbod of beperkingen op het verlenen van financiële diensten.»» SW art. 1»» SW art. 2»» SW art. 3»» SW art. 4»» SW art. 6»» SW art. 7»» SW art. 8»» SW art. 10»» SW art. 10a»» SW art. 10b»» SW art. 10c»» SW art. 10d»» SW art. 10e»» SW art. 10f»» SW art. 10g»» SW art. 10h»» SW art. 10ba»» SW art. 13»» ArS 1977 art. 1»» Rt SW art. 1»» Rt SW art. 2»» Rt SW art. 3»» Rt SW art. 4»» Rt SW art. 5»» DNB Leidraad Wwft en SW april 2015»» AFM Leidraad Wwft en Sanctiewet maart 2015 Goederen Beoordelen of afdoende wordt beoordeeld of sprake is van embargogoederen bij de activiteiten van de relaties. Eigen verantwoordelijkheid Trustkantoren zijn zelf verantwoordelijk voor de naleving van de Sanctiewet 1977, dit kan niet aan andere professionele partijen, zoals banken die cliënten aanbrengen en transacties uitvoeren, worden uitbesteed. Feitelijke kennis en naleving Aangezien de risico s hoog zijn en complexe structuren worden gefaciliteerd, is het zaak om de feitelijke kennis en naleving van maatregelen te versterken. 17

18 Onderwerp Samenvatting van norm die beoordeeld moet worden Verwijzing naar regelgeving (per ) Attentiepunten Risicoanalyse bedrijfsvoering De Rib Wtt verplicht trustkantoren om een risicoanalyse per zakelijke relatie of verleende dienst uit te voeren. De vereiste risicoanalyse is een onderzoek naar het doel van de dienstverlening door het trustkantoor en de eventuele met dat doel gepaard gaande integriteitrisico s op het niveau van de cliënt/doelvennootschap en UBO. art. 14 Het trustkantoor dient een grondige analyse te maken van de gevraagde structuur: waarom is de structuur als zodanig via Nederland opgezet en wat is onze toegevoegde waarde van de dienstverlening hierbij? Meldingen aan toezichthouder door het trustkantoor Het trustkantoor meldt wijzigingen ter goedkeuring aan De Nederlandsche Bank ten aanzien van de identiteit van bestuurders, commissarissen en gekwalificeerde deelnemers. De gegevens worden minimaal 6 weken voordat deze personen worden benoemd aangeleverd, pas na goedkeuring mag de benoeming plaatsvinden.»» Wtt art. 5»» Wtt art

19 Dienstverlening Onderwerp Samenvatting van norm die beoordeeld moet worden Verwijzing naar regelgeving (per ) Attentiepunten Doorstroomvennootschappen Het ter beschikking stellen van een doorstroomvennootschap aan een cliënt is een Wtt-dienst. Een doorstroomvennootschap is een vennootschap die ten behoeve van een cliënt (van het trustkantoor) gebruikt wordt. De doorstroomvennootschap is een entiteit die tot dezelfde groep behoort als het trustkantoor. Het trustkantoor is de UBO van de doorstroomvennootschap. Het trustkantoor kent de identiteit van de cliënt en de UBO van de cliënt, heeft dat vastgelegd. Tevens wordt vastgelegd wat de bron van middelen is die ter beschikking worden gesteld. art. 22 Het trustkantoor dient passende maatregelen te nemen om de verhoogde risico s op te sporen en te beperken. Bijvoorbeeld door regelmatig te monitoren en cliëntendossiers vaker te reviewen. Bron van middelen Het trustkantoor dient te beschikken over kennis inzake de bron van middelen van de doelvennootschap. Ten aanzien van het wettelijk begrip gelden is een onderscheid gemaakt tussen vermogen en de middelen van de doelvennootschap. Bij vermogen gaat het om de manier waar de cliënt (veelal de uiteindelijk belanghebbende) zijn vermogen heeft verworven. Wanneer over middelen gesproken wordt, doelt men op de in- en uitgaande geldstromen van de doelvennootschap en de rechten en verplichtingen die het trustkantoor op zich neemt. De onderliggende stukken hiervan dienen in beginsel altijd aanwezig te zijn bij het trustkantoor. art. 13 art. 19 art. 21 art. 22 Optreden als trustee Indien het trustkantoor optreedt als trustee van een trust kent zij de identiteit van de insteller en de belanghebbende(n) van de trust. art

20 Onderwerp Samenvatting van norm die beoordeeld moet worden Verwijzing naar regelgeving (per ) Attentiepunten Verkopen en bemiddelen van rechtspersonen Verkopen of bemiddelen van een rechtspersoon is het daadwerkelijk uitvoeren van activiteiten om de bemiddeling of verkoop tot stand te laten komen. Wanneer een trustkantoor een rechtspersoon verkoopt dan wel bemiddelt bij de verkoop dient het op de hoogte te zijn van de identiteit van de koper en van de natuurlijke persoon die een gekwalificeerde deelneming (25% of meer) in de koper houdt. Indien een natuurlijke persoon niet een dergelijk belang heeft, beschikt het trustkantoor over gegevens waaruit dit blijkt. Tevens wordt bij verkoop de herkomst van het vermogen vastgesteld alsmede mogelijke integriteitsrisico s verbonden aan de verkoop. Bij bemiddeling bij verkoop wordt ook van de ver koper en de wederpartij van de cliënt bepaald wat de identiteit van de partij is alsmede van de UBO in diezelfde partij. art. 20»» DNB Q&A februari 2015 Belangrijk onderscheid is of het trustkantoor na verkoop van de rechtspersoon nog diensten blijft verlenen of niet. Cliëntacceptiedossier Alle gegevens omtrent de cliëntacceptatie en de dienstverlening zijn vastgelegd in het cliëntacceptatiedossier voor iedere doelvennootschap. Het bevat minimaal alle relevante overeenkomsten met de doelvennootschap, alsmede overeenkomsten in relatie tot geleverde diensten aan doelvennootschap. Het dossier wordt minimaal 5 jaar na beëindiging van de dienstverlening bewaard. art. 16 art. 17 art bij deelwaarneming op acceptatie van nieuwe cliënten zorgen dat cliënten uit hoog risico landen (zie nieuwsbrief DNB) worden betrokken. Tevens klanten uit hoog risico sectoren selecteren (zie nieuwsbrief DNB); 2. zichtbare betrokkenheid van de compliance officer beoordelen; 3. beoordelen of en zo ja waarom cliënten geaccepteerd zijn waar de compliance officer negatief advies heeft verstrekt; 4. kennis nemen van notulen van de risk committee (indien aanwezig). 20

21 Onderwerp Samenvatting van norm die beoordeeld moet worden Verwijzing naar regelgeving (per ) Attentiepunten Cliëntenonderzoek algemeen Een trustkantoor dient cliëntenonderzoek te verrichten. Het cliëntenonderzoek stelt het trustkantoor in staat om o.a.: de uiteindelijk belanghebbende van de cliënt te identificeren en zijn identiteit te verifiëren; de aard en het beoogde doel van de zakelijke relatie vast te stellen; een voortdurende controle op de zakelijke relatie en de tijdens de duur van deze relatie verrichte transacties uit te oefenen.»» Wwft art. 1»» Wwft art. 3»» Wwft art. 5 art. 12 art. 13 art. 19»» DNB Leidraad Wwft en SW april 2015 Zie cliëntacceptatiedossier. Aangeraden wordt een sample te bepalen en deze dossiers te beoordelen op de uitvoering van een gedegen cliëntonderzoek. Identificatie en verificatie van de cliënt Bij de acceptatie van een cliënt dient het trustkantoor de identiteit van een cliënt (en de eventuele vertegenwoordiger van de cliënt) vast te stellen en te verifiëren.»» Riv Wtt 2014 art. 18»» Wwft art. 11»» Wwft art. 33»» UrWwft art. 4»» DNB Leidraad Wwft en SW april 2015 Zie cliëntacceptatiedossier. Politiek prominente personen Het trustkantoor hanteert een op risico s gebaseerd beheersend en mitigerend beleid om te bepalen of een UBO een PEP (Politically Exposed Person) is. Een PEP is een politiek prominent persoon, of zijn/haar familie c.q. gelieerden, die door hun specifieke invloed een risico kunnen vormen op misbruik van hun positie mede in relatie tot bijvoorbeeld witwassen.»» Wtt art. 1 art. 14»» DNB Leidraad Wwft en SW april 2015 In geval van een PEP verricht het trustkantoor verscherpt cliëntenonderzoek. DNB heeft good practices geformuleerd m.b.t. hoog risico landen/pep s, o.a.: het trustkantoor beoordeeld risicogebaseerd of een UBO, ook na zijn politieke carrie re, als PEP moet worden aangemerkt; het trustkantoor maakt een totaalscan van de PEP en zijn omgeving; regelmatig wordt de lijst met PEP s gecontroleerd. Risicogebaseerd cliëntenonderzoek Het trustkantoor kan het cliëntenonderzoek afstemmen op de specifieke risico s die samenhangen met een bepaald type cliënt en/of dienstverlening. art. 14 art. 15 art. 16 Beleid t.a.v. cliëntenonderzoek moet jaarlijks geactualiseerd worden. Hierbij moet worden beoordeeld of relevante specifieke risico s in het beleid zijn opgenomen. DNB publicaties moeten hierbij worden meegenomen. 21

22 Onderwerp Samenvatting van norm die beoordeeld moet worden Verwijzing naar regelgeving (per ) Attentiepunten Structuur en doel onderzoek Het trustkantoor beschikt over informatie over het doel van de structuur waar de doelvennootschap deel van uitmaakt. Deze informatie betreft in ieder geval de functie van de Nederlandse doelvennootschap en de reden om een Nederlandse vennootschap te gebruiken. Deze informatie kan beperkt worden tot het deel van de structuur dat relevant is voor de doelvennootschap. art. 23 Vaststellen dat trustkantoor bij cliëntacceptatie op de volgende vragen een adequaat antwoord heeft: wat is het doel? Fiscaal e/o commercieel e/o economisch en is dit ook voldoende duidelijk (begrijpelijk) voor iedere medewerker van het trustkantoor die betrokken is bij deze doelvennootschap?; waarom een Nederlandse doelvennootschap?; hoe draagt de doelvennootschap precies bij aan het doel? Dient de structuur een legitiem doel? Beoordelen dat overeenkomstig het procedurehandboek review van bestaande cliënten tijdig heeft plaatsgevonden en dat hierover aan de directie wordt gerapporteerd. Transactiemonitoring Het trustkantoor is verplicht ongebruikelijke transacties te melden bij het Meldpunt Ongebruikelijke Transacties. Ongebruikelijke transacties kunnen een indicatie zijn voor witwassen of financiering van terrorisme. Hiertoe hanteert het trustkantoor een op risico s gebaseerd beleid om transacties te monitoren.»» Wwft art. 2a»» Wwft art. 12»» Wwft art. 16 art. 19 Is er een opleiding voor medewerkers en beschikt het kantoor over een indicatorenlijst en meldingsprocedure? Is het monitoringsbeleid aangepast op specifieke risico s van cliënten en constructies? Is het beleid binnen de organisatie bekend gemaakt en wordt het op adequate wijze toegepast. Per cliënt (en doelvennootschap) moet een risicoprofiel en verwacht transactieprofiel zijn opgesteld. Periodiek moet beoordeeld worden of de cliënt nog voldoet aan dit profiel. De frequentie en diepgang van de review is mede afhankelijk van de risicoclassificatie van de cliënt. Afwijkingen van het transactieprofiel kunnen reden zijn om een melding te doen bij FIU. Doelvennootschappen met buitenlandse branches. 22

23 Onderwerp Samenvatting van norm die beoordeeld moet worden Verwijzing naar regelgeving (per ) Attentiepunten UBO identificatie Het trustkantoor kent de uiteindelijk belanghebbende (UBO) van de doelvennootschap en beschikt over informatie om te bepalen wie als uiteindelijk belanghebbende aangemerkt dient worden. Ook beschikt het trustkantoor over informatie op basis waarvan de identiteit van de uiteindelijk belanghebbende is vastgesteld. Is er geen uiteindelijk belanghebbende, dan dient het trustkantoor over informatie te beschikken waaruit dit blijkt. art. 13 art. 18 Het onderzoek naar de cliënt wordt uitgevoerd langs de lijnen van de Wwft: het relevante artikel in de Rib is overgenomen uit de Wwft. Omdat de Wwft-bepaling gelijk luidt aan de bepaling in de Rib, kunnen trustkantoren voor het uitvoeren van het cliëntonderzoek gebruik maken van de handvatten die paragraaf 4 van de DNB Leidraad Wwft en SW biedt. Wordt deze Leidraad in de praktijk ook toegepast? Meldplicht ongebruikelijke transacties het trustkantoor is op grond van artikel 16 Wwft verplicht een al uitgevoerde of voorgenomen ongebruikelijke transactie te melden bij Financiële inlichtingen eenheid (FIU NL); voordat een instelling over kan gaan tot het doen van een melding, moet zij eerst geregistreerd zijn bij het FIU NL. De meldprocedure staat toegelicht op de website van FIU Nederland onder instellingen ; in artikel 19 en 20 Wwft is expliciet bepaald dat de door de financiële onderneming aan het FIU verrichte meldingen (en daarbij verstrekte gegevens) niet gebruikt mogen worden om de financiële onderneming vanwege betrokkenheid bij witwassen of het financieren van terrorisme te vervolgen alsmede dat de betreffende onderneming niet aansprakelijk is voor schade die derden vanwege de verrichte melding lijden; de financiële onderneming die een melding van een ongebruikelijke transactie heeft gedaan alsmede haar medewerkers hebben eveneens een geheimhoudingsplicht. Dit volgt uit artikel 23 Wwft. Documentatie dient tenminste 5 jaar bewaard te blijven.»» Wwft art. 12»» Wwft art. 15»» Wwft art. 16»» Wwft art. 17»» Wwft art. 18»» Wwft art. 19»» Wwft art. 20»» Wwft art. 22»» Wwft art. 23»» Wwft art. 34»» Ub Wft art. 4»» Ub Wft Bijlage Indicatorenlijst»» DNB Leidraad Wwft en SW april 2015 Is er een opleiding voor medewerkers en beschikt het kantoor over een indicatorenlijst en meldings procedure? (jaarlijks) Indien meldingen zijn gedaan zijn deze dan in overeenstemming met de procedure (tijdig) uitgevoerd? 23

24 4.4. Effectivieit van de compliance functie Het trustkantoor dient te beschikken over een compliance functie die onafhankelijk en effectief is. Deze compliance functie heeft onder meer als taken: de naleving van wet- en regelgeving te controleren; medewerkers en directie van het trustkantoor te adviseren over het naleven van wettelijke verplichtingen; en toe te zien op de deugdelijkheid en effectiviteit van de interne regels en procedures, de effectiviteit van de procedures die zijn opgesteld en maatregelen die zijn genomen om gesignaleerde onvolkomenheden weg te nemen/op te lossen. De auditfunctie beoordeelt (de opzet en) de effectiviteit van de compliance functie jaarlijks. Om een oordeel te geven over de effectiviteit van de compliance functie worden minimaal de volgende aspecten jaarlijks beoordeeld: onafhankelijkheid en zelfstandig: Het is van belang dat de compliance functie zelfstandig en vrij van enige druk contolerende werkzaamheden kan uitvoeren. Daarom staat de compliance functie los van de operationele bedrijfseenheden en activiteiten waarop zij controle uitoefenen; de compliance functie van een trustkantoor is op permanente basis betrokken bij de dienstverlening. Het is bij uitbesteding van belang dat er duidelijke afspraken worden gemaakt over de invulling van de compliance functie, zodat het daadwerkelijk tot controles komt. Een trustkantoor dat op papier de diensten van een externe compliance officer afneemt, maar in de praktijk de compliance officer niet of zelden ziet, of niets doet met diens bevindingen en aanbevelingen, heeft in feite geen werkende compliance functie en zal daarmee snel in overtreding zijn; de compliance functie is beschreven in het procedurehandboek en/of vastgelegd in apart compli- ance charter en sluit aan op de wijze waarop de compliance functie in de praktijk functioneert; de compliance functie maakt zichtbaar hoe zij zorgt dat zij en op de hoogte is van de wet- en regelgeving en dat zij tijdig wijzigingen hierin onderkent; de compliance functie monitort of het trustkantoor in lijn met de wet én de eigen normen handelt. Hierbij is met name van belang dat de compliance functie scherp kijkt naar integriteitrisico s en het voorkomen van betrokkenheid bij niet integer handelen van (potentiële) cliënten van het trustkantoor, zoals belastingontduiking en andere vormen van fiscale fraude, het ontwijken van sanctiewetgeving, witwaspraktijken of terrorismefinanciering; 24

25 de compliance functie is actief betrokken bij de indeling van cliënten in risicocategorieën en heeft een actieve controlerende rol bij de dienstverlening aan hoog-risico cliënten, waaronder ook het monitoren van deze cliënten en toezien op het tijdig melden van ongebruikelijke transacties; de compliance functie heeft een rol bij de systematische analyse van de integriteitsrisico s en is betrokken bij het opstellen van de interne normen, procedures en maatregelen die voortvloeien uit wet- en regelgeving en uit de interne regelingen van het trustkantoor, gericht op het beheersen van integriteitsrisico s; de compliance functie rapporteert onafhankelijk en rechtstreeks aan het bestuur. Indien een Raad van Commissarissen aanwezig is moet gewaarborgd zijn dat de compliance functie bevindingen indien nodig ook rechtstreeks kan rapporteren aan dit orgaan. Naast bovenstaande heeft de compliance functie ook een actieve rol bij het bekend maken bij de medewerkers van zowel externe regels als interne normen, procedures en maatregelen. Veelal kan dit gebeuren door een actieve kennisoverdracht in de vorm van interne opleiding en het geven van feedback aan medewerkers. Om bovenstaande vast te kunnen stellen neemt de auditfunctie kennis van het procedure handboek, compliance plannen en rapporten. Ook uit de door de auditfunctie verrichte werkzaam heden dient te blijken dat de compliance functie naar behoren heeft gefunctioneerd. Bij het oordeel over de effectiviteit zullen deze bevindingen expliciet worden mee genomen. 25

26 5. Rapporteren De auditfunctie vormt de derde lijn van de three lines of defence van trustkantoren. De auditfunctie is vereist om te waarborgen dat het trustkantoor periodiek controleert of de organisatie-inrichting, de processen, procedures en maatregelen en de compliance functie van het trustkantoor effectief zijn. De auditfunctie staat geheel los van de dagelijkse bedrijfsvoering en kan daarom kritisch en onafhankelijk oordelen over de effectiviteit van het trustkantoor. De uitkomsten van de auditwerkzaamheden worden in een concept rapport aan de directie van het trustkantoor voorgelegd. Eventuele opmerkingen worden verwerkt in een definitief rapport. Het is van belang dat in het rapport duidelijk onderscheid wordt aangebracht tussen: de doelstelling van de audit; het gehanteerde normenkader; de uitgevoerde werkzaamheden (hoofdlijnen); de bevindingen; de conclusie en aanbevelingen; de reactie van het management; en de door het management van het trustkantoor te nemen maatregelen. Bij geconstateerde tekortkomingen (waar mogelijk gerangschikt naar niet materieel, materieel, wezenlijk en oplosbaar niet oplosbaar) worden de noodzakelijke follow-up maatregelen door het management van het trustkantoor benoemd (plan van aanpak) en dient de termijn waarbinnen deze maatregelen geïmplementeerd zijn genoemd te worden. Nadrukkelijk wordt nogmaals gesteld dat dit de verantwoordelijkheid van de directie van het trustkantoor is. In het plan van aanpak wordt inhoudelijk op eventuele tekortkomingen ingegaan en wordt een termijn gesteld waarbinnen deze vervolgstappen geïmplementeerd dienen te zijn. Waar nodig kan de auditfunctie ook aanbevelingen doen om te activiteiten te optimaliseren. Indien noodzakelijk zal de auditfunctie ook de tijdige uitvoering van follow-up maatregelen beoordelen. 26

27 Voor zover dit niet al blijkt uit het auditrapport moet de auditfunctie jaarlijks een conclusie geven over: de effectiviteit van de organisatie-inrichting; de effectiviteit van de in de bedrijfsprocessen van het trustkantoor geïntegreerde procedures en maatregelen; en de effectiviteit van de compliance functie. De audit betreft opzet, bestaan en werking van de drie bovengenoemde onderdelen. Indien de auditfunctie zijn werkzaamheden heeft uitgevoerd in verschillende deelaudits waardoor geen expliciet oordeel is gegeven op bovenstaande onderwerpen, dan dient de auditfunctie aan het einde van het jaar te verklaren (met verwijzing naar de verschillende deelaudits) of sprake is van een effectieve organisatie-inrichting, procedures en maatregelen en compliance functie. Uiteindelijk dient de rapportage te leiden tot één finale eindconclusie over alle drie genoemde onderwerpen van effectiviteit. Indien relevant moet de auditfunctie ook aangeven of eventuele tekortkomingen inmiddels zijn voorzien van adequate follow-up. 27

28 Bij het vormen van conclusies (per onderdeel: organisatie-inrichting, procedures en maatregelen en compliance functie) dient de auditfunctie gebruik te maken van een (vooraf bepaalde en besproken) eenduidige systematiek. Hierbij kunnen bijvoorbeeld de volgende definities gehanteerd worden: Adequaat De opzet, bestaan en werking is acceptabel, maar kent tekortkomingen die geen materiele impact hebben op de effectiviteit. Sterk De opzet, bestaan en werking is effectief. Verbetering noodzakelijk De opzet, bestaan en werking laten zwakheden zien waardoor het trustkantoor niet volledig voldoet aan normen. Zwak De opzet, bestaan en werking laat ernstige tekort komingen zien die een grote impact hebben op, leiden tot het niet naleven van normen en direct moeten worden opgelost. 28