De integriteitrisicoanalyse en de risicomonitoring

Vergelijkbare documenten
BizPlan SIRA. & Risicomonitoring. Asya Oosterwier. Module 5 D2 Nederlands Compliance Instituut

4 e AntiWitwas Richtlijn

LCP Customer Due Diligence Module 3 7 juni mr. Musa Elmas CCP

Project integriteitrisicoanalyse

Compliance risicoanalyse

Richtlijn inzake de integriteitrisicoanalyse in de praktijk

Richtlijn inzake de integriteitrisicoanalyse in de praktijk

Financial Intelligence Unit Suriname (MOT)

Leergang Bestrijding witwassen & terrorismefinanciering CDD-Beheersingsraamwerk Module 3 12 april mr. Musa Elmas CCP

Inhoudsopgave. Voorwoord Wat witwassen is. 2 De strijd tegen witwassen. 3 De FATF

Good practice Integrity Risk Appetite

4 e /5 e antiwitwasrichtlijn. en het UBO register. VCO &NCI Symposium Compliance & Integriteit: morgen en in October 2018

Anti-Money Laundering Stakeholders Conference & National Risk Assessment Kick-Off. De NRA vanuit het perspectief van de Centrale Bank van Suriname

Gemeente Ridderkerk Controle jaarrekening Ridderkerk 4 juli 2019 Jesper van Koert Reinier Moet Rein-Aart van Vugt

UPDATE COMPLIANCE TRUSTKANTOREN: WTT September 2017, M. van Eersel

De integriteitrisicoanalyse

(Big) Data in het sociaal domein

Building the next economy met Blockchain en real estate. Lelystad Airport, 2 november 2017 BT Event

COMPLIANCE RICHTLIJNEN

Opleiding PECB IT Governance.

Compliance risicoanalyse

Samenvatting. Achtergrond onderzoek

4 JULI 2018 Een eerste kennismaking met gemeentefinanciën en verbonden partijen voor raadsleden - vragen

Voorkom pijnlijke verrassingen Nieuwe Controleaanpak Belastingdienst. Presentator: Remko Geveke

IT risk management voor Pensioenfondsen

Post Transactie Monitoring NOREA round table

Opleiding PECB ISO 9001 Quality Manager.

Optional client logo (Smaller than Deloitte logo) State of the State

Strijd tegen het witwassen van geld en financiering van terrorisme

Samenvatting. Achtergrond onderzoek

De impact van automatisering op het Nederlandse onderwijs

Seriously Seeking Security

GOVERNMENT NOTICE. STAATSKOERANT, 18 AUGUSTUS 2017 No NATIONAL TREASURY. National Treasury/ Nasionale Tesourie NO AUGUST

De voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Module 7: Inrichting risicomanagement en inleiding risicoanalyse

CobiT. Drs. Rob M.J. Christiaanse RA PI themabijeenkomst Utrecht 29 juni /2/2005 1

Een andere blik op fraude en integriteit: zicht op geld- en goederenstromen

IIA Congres Prof. Dr. Sylvie C. Bleker-van Eyk & Roel van Rijsewijk. Zeist, 10 juni 2016

Integratie van Due Diligence in bestaande risicomanagementsystemen volgens NPR 9036

My Benefits My Choice applicatie. Registratie & inlogprocedure

Business as (un)usual

Onderwerp: Toelichting op Toetsingskader Informatiebeveiliging 2014

Corporate presentation. Risicomanagement Jeroen Baart

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

IT Beleid Bijlage R bij ABTN

Risk & Compliance Charter Clavis Family Office B.V.

EFSI Info-session for the Flemish Region

DE LWTF: DE BELANGRIJKSTE WIJZIGINGEN VOOR VRIJE BEROEPSBEOEFENAREN. mr. George Croes (Senior Policy Advisor Integrity Supervision Dept.

Wwft actualiteiten

Risk & Requirements Based Testing

OPERATIONEEL RISKMANAGEMENT. Groningen, maart 2016 Wim Pauw

Besluitenlijst CCvD HACCP/ List of decisions National Board of Experts HACCP

Hoofdlijnen inhoud INTEGRITEITPLAN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Besluitenlijst CCvD HACCP/ List of decisions National Board of Experts HACCP

EIGEN RISICO BEOORDELING (ERB) IORP II JASPER HOOGENSTRAATEN 27 SEPTEMBER 2018

IFRS 15 Disaggregatie van opbrengsten

1. INTRODUCTION OF BFT (BUREAU FINANCIEEL TOEZICHT)

CSRQ Center Rapport over onderwijsondersteunende organisaties: Samenvatting voor onderwijsgevenden

De Autoriteit Financiële Markten (AFM) wil uw aandacht vragen voor de integriteitsrisico s die accountantsorganisaties lopen.

Update IFRS 15 - Alloceren van de transactieprijs

Nadere uiteenzetting prijsaanbieding gemeente Tiel 2014

Het Nationale Anti-witwas congres 13 maart 2018 Workshop De Trustsector. De trustsector: witwassen en terrorismefinanciering

De voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Impact of BEPS disruptions on TCF / TRM / Tax Strategy

Introductie in flowcharts

OVERGANGSREGELS / TRANSITION RULES 2007/2008

Ctrl Ketenoptimalisatie Slimme automatisering en kostenreductie

Corruptie & Integriteit

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Module 7: Inrichting risicomanagement en inleiding risicoanalyse

Themabijeenkomst Verbonden Partijen. Emmen, 18 februari 2013 Mr. Frank A.H.M. van Attekum Deloitte Consulting B.V.

De compliance functie Hoe werkt het in de praktijk

LCP 8 november 2017 CDD & Bestrijding witwassen en terrorismefinanciering

Reglement voor de Commissie Publiek Belang van de Raad van Commissarissen Deloitte Holding B.V.

ISO 9001: Business in Control 2.0

LCOZ M2 Monitoring & handhaving. Cora Wielenga, 8 februari 2018

DNB Integriteitstoezicht. NCI LCP 5 april 2018

FiMiS 1. AML_CIS - AML for Self Managed CIS - 31/12/ Open / Initial. 1. Onderneming

Tax Directors Forum. Na de hoogtij van Horizontaal Toezicht nu een klimaat waarin boetes veel dichterbij gekomen zijn? Rotterdam, 12 februari 2015

TaxLab 26 maart We maken het leuker. Fiscale faciliteiten voor het familiebedrijf

Rapport analyse afschrijvingskosten Gemeente Oostzaan. Oostzaan, 22 april 2013

De Nationale Bank van België als AML/CFT-Toezichthouder

UITBESTEDING DOOR VERZEKERAARS: EFFECTEN OP HET SOLVABILITEITSBESLAG. # Het begint met een idee

Anti-corruptie beleid de Volksbank N.V.

IFRS 15 Alloceren van de transactieprijs

Seminar Betaaldienstverleners. Witwassen en Terrorismefinanciering 11 mei 2017

De beleidsrobot. Realiteit of illusie?

Workshop Compliance Officers. Gert Demmink

Taxlab Four Faces of Tax

Themabijeenkomst - De commissaris 3.0 als opdrachtgever van de accountant

Zicht op beleid Provincie Zeeland. Controle jaarrekening 2015

2 e webinar herziening ISO 14001

02/10/2015. Co-operative Compliance en de rol van Compliance Management Systemen

Wij Willem-Alexander, bij de gratie Gods, Koning der Nederlanden, Prins van Oranje-Nassau, enz. enz. enz.

De nieuwe compliance norm ISO en risicomanagement Een praktijkvoorbeeld voor een license to operate. Arjan Donatz

Number 12, May Update IFRS 15 - Identificeren van prestatieverplichtingen

Transcriptie:

De integriteitrisicoanalyse en de risicomonitoring

Onderwerpen Waarom is een integriteitrisicoanalyse van de onderneming nodig? Hoe werkt de systematiek bruto-beheersing-netto? Wat zijn risicoscenarios? Hoe wordt kans en impact beoordeeld? Hoe wordt effectiviteit van beheersmaatregelen beoordeeld? Hoe worden netto risico s en gaps bepaald? Wat is risicomonitoring en waar moet je op letten? 2

Kennismaking. Maud Bökkerink 20+ jaar AML/CFT ervaring: FIU, Nationale Politie, Ministerie van Financiën, Internationaal Monetair Fonds, De Nederlandsche Bank (coördinator Wwft/SW toezicht) Legal en Financial Expert in 8 FATF landen evaluaties Nu: eigenaar Bokkerink Compliance International, AML/CFT/SW advisering en training voor financiële en niet-financiële instellingen, toezichthouders en overheden, zowel nationaal als internationaal. Auteur voor Tijdschrift voor Compliance en Tijdschrift voor Sanctierecht & Onderneming 3

Risicomanagement

Het proces Een systematische analyse van risico s De analyse vormt het beleid Beleid vindt neerslag in procedures en maatregelen Alle relevante bedrijfsonderdelen worden in kennis gesteld van het beleid en de procedures en maatregelen. Uitvoering en systematische toetsing van het beleid en de procedures en maatregelen Onafhankelijk toezicht op de uitvoering van het beleid en de procedures en maatregelen Procedures die erin voorzien dat gesignaleerde tekortkomingen of gebreken worden gerapporteerd aan compliance En vervolgens leiden tot een gepaste bijstelling. Wie weet waar dit uit komt? 5

FATF Recommendation 1 FATF standard requires that countries [ ] require financial institutions and designated non-financial businesses and professions to identify, assess and take effective action to mitigate their money laundering and terrorist financing risks 6

EU AML/CFT Richtlijn Artikel 8 van de 4AMLD De meldingsplichtige entiteiten ondernemen de nodige stappen ondernemen om hun witwasrisico en risico van terrorismefinanciering te identificeren en te beoordelen Houden rekening met risicofactoren zoals cliënten, landen of geografische gebieden, producten, diensten, transacties en leveringskanalen. Deze stappen zijn evenredig met de aard en omvang van de meldingsplichtige entiteiten. De risicobeoordelingen worden gedocumenteerd, actueel gehouden en beschikbaar gesteld aan de toezichthouder. 7

Wetsvoorstel herziening Wwft Artikel 2b 1. Een instelling neemt maatregelen om haar risico s op witwassen en financieren van terrorisme vast te stellen en te beoordelen, waarbij de maatregelen in verhouding staan tot de aard en de omvang van de instelling. 2. Bij het vaststellen en beoordelen van de risico s, bedoeld in het eerste lid, houdt de instelling in ieder geval rekening met de risicofactoren die verband houden met het type cliënt, product, dienst, transactie en leveringskanaal en met landen of geografische gebieden. 3. Een instelling legt de resultaten van het vaststellen en beoordelen van haar risico s vast, houdt deze actueel en verstrekt deze resultaten desgevraagd aan de toezichthoudende autoriteit. 8

Waarom een integriteitrisicoanalyse? Nodig om op risicogebaseerde wijze de regelgeving uit te kunnen voeren Focus op de meest significante risico s: meer waar dat moet, minder waar dat kan Out-of-the-box nadenken over risico s Gebruik maken van de SNRA en NRA Risk appetite meenemen Geïdentificeerde risico s verwerken in beleid en procedures

Stelling Als een instelling risicoanalyses maakt van alle klanten dan is het niet meer nodig om een risicoanalyse van de onderneming te maken

Welke integriteitrisico s? Witwassen Terrorismefinanciering Omzeiling sanctieregelgeving Corruptie (omkoping) Belangenverstrengeling Interne en externe fraude Ontduiking of ontwijking van fiscale regelgeving Marktmanipulatie Cybercrime Maatschappelijk onbetamelijk gedrag 11

Risicoanalyse proces Risicoanalyse van de hele onderneming (vs. risicoanalyse van de klant) Risicofactoren: Klant, geografische gebieden, product, diensten, transacties, leveringskanalen, 3e partijen, werknemers Gebaseerd op kwantitatieve en kwalitatieve informatie Goede vastlegging Herziening (periodiek en wanneer nodig) Actueel houden In verhouding tot de aard en de omvang van de instelling 12

Inherente risico s: risico s die bestaan als er geen beheersmaatregelen zijn om deze te mitigeren Risico s bestaan uit dreigingen en kwetsbaarheden Inherente risico s Kans Impact Inherent risico Effectiviteit van maatregelen Netto risico s: risico s die overblijven wanneer er effectieve beheersmaatregelen zijn Netto risico s Inherent risico Beheersmaatregelen Netto risico 13

Dreigingen en kwetsbaarheden

Beheersmaatregel

Beheersmaatregel

DNB SIRA van papier naar praktijk Financiële instellingen maken gebruik van de good practices van DNB Vertaling van de SIRA naar de praktijk nog niet altijd adequaat Financiële instellingen benutten de SIRA nog onvoldoende voor de daadwerkelijke afweging en beheersing van integriteitsrisico s Hierdoor blijft een instelling kwetsbaar voor betrokkenheid bij financieel-economische criminaliteit De SIRA wordt nog vaak door instellingen als een statisch document beschouwd in plaats van een dynamisch en continu proces 18

Wie spelen welke rol bij het opstellen van de SIRA? 19

Welke bronnen gebruik je voor het maken van een SIRA? 20

SNRA

SNRA significante risico s voor de financiële sector Private banking en institutionele beleggingen (met name via makelaars). Grotere blootstelling aan product- en consumentgebonden risico s Concurrentiedruk binnen de sector Beperkt inzicht van de toezichthouders in de operationele risico's op witwassen en terrorismefinanciering Verhuur van safes gevolg van beperkingen in de controlecapaciteit voor meldingsplichtige entiteiten het bestaan van niet- gereglementeerde opslagfaciliteiten (bijvoorbeeld vrije zones) 22

SNRA significante risico s voor de financiële sector Elektronisch geld anonimiteitskenmerken in het kader van de derde witwasrichtlijn Geldtransferdiensten verschillen in de controlecapaciteit van meldingsplichtige entiteiten Nieuwe producten, zoals crowdfundingplatforms en virtuele valuta's, In recente gevallen van terrorisme zijn herhaaldelijk frauduleuze aanvragen voor consumentenkredieten en kleine leningen gedaan 23

NRA terrorismefinanciering De tien grootste risico s op het terrein van terrorismefinanciering volgens experts Geld van (buitenlandse) stichtingen/(non-profit)organisaties Financiering via vergunde banken Misbruik van middelen van de staat Financiering via vergunde betaaldienstverleners Financiering via onvergunde betaaldienstverleners Financiering via ondergronds bankieren / Hawala bankieren Financiering via virtuele valuta Financiering via prepaid-, debet-, telefoonkaarten e.d. Leningen/giften van familie/vrienden Eigen middelen 24

NRA witwassen De tien witwasrisico s met de volgens experts grootste potentie le impact Witwassen via financiële instellingen (met name banken) Witwassen via betaaldienstverleners Witwassen via trustkantoren Witwassen via offshore vennootschappen Witwasconstructies om verhuld waarde weg te zetten Trade-Based Money Laundering Witwassen via fiscaal gedreven/complexe vennootschapsrechtelijke structuren Witwassen via virtuele valuta Witwassen door contant geld vanuit/naar Nederland te verplaatsen (al dan niet via ondergronds bankieren) Witwassen via (inter)nationale beleggings - en of investeringsconstructies om waarde te verplaatsen 25

ESA s risicofactoren guidelines These guidelines focus on risk assessments of individual business relationships and occasional transactions; but firms may use these guidelines mutatis mutandis when assessing ML/TF risk across their business in line with Article 8 of Directive (EU) 2015/849. 26

Voorbereidingen Overzicht van de ondernemingen Organisatieschets: kwantitatieve analyse van elke business unit/branch office/subsidiary Risicofactoren: factoren die de onderneming blootstellen aan risico s Klanten Producten, diensten Transacties Geografie Werknemers 3e partijen Leveringskanalen

Klanten Retail en zakelijke klanten PEPs High net worth klanten Non-resident klanten Cash intensieve bedrijven Aantal klanten per categorie Aantal klanten per risico categorie Maturiteit van klantenbasis Volume van de business 28

Geografische gebieden UN en EU Sanctielanden Hoogrisico jurisdicties (FATF list) Tax-gerelateerd (EU list) Corruptie-gerelateerd (TI-CPI) Terrorisme-gerelateerd Offshore financial centres Aantal klanten Aantal UBOs Aantal transactie van/naar 29

Producten, Diensten, Transacties Overzicht van alle producten en diensten Cash transacties Beleggingen in vastgoed, grondstoffen Gelden uit een hoogrisico land Gelden via omnibus rekening of via nominee accounts Aantal producten/diensten/transacties Aantal klanten per product en dienst Volumes van elk product en dienst 30

Leveringskanalen Direct Non face to face Geïntroduceerd Intermediairs Aantal klantrelaties die non face to face gestart zijn Aantal introducers en intermediaries Aantal klanten aangebracht via introducers en intermediaries 31

Risicoscenario s Verschijningsvormen van witwassen, terrorismefinanciering Wat is de kans dat de instelling wordt misbruikt voor witwassen / terrorismefinanciering Door (het meewerken aan) het opzetten van complexe juridische structuren Doordat medewerkers samenspannen met een klant Doordat er grote sommen geld uit hoogrisico landen komen Doordat klanten gebruik maken van offshore entiteiten

Stel aan de hand van het risicoprofiel van deze instelling een aantal mogelijke risicoscenario s op voor de integriteitrisico s die zich kunnen voordoen. Bedenk eerst welke risico s je beoordeelt. 33

Kans en Impact Kans: aantal keren dat iets kan voorkomen, onwaarschijnlijk waarschijnlijk Impact : schade, verliezen, korte termijn lange termijn Kans Impact Inherent risico

Kans voorbeelden Niet waarschijnlijk: het scenario komt minder dan 1 keer per jaar voor Mogelijk: het scenario kan 1 keer per jaar voorkomen Waarschijnlijk: het scenario komt mogelijk een aantal keren in een jaar voor Laag: het is onwaarschijnlijk dat het scenario voorkomt Medium: er is enige kans dat het scenario zich voordoet Hoog: er is een redelijke kans dat het scenario voorkomt 1 het scenario komt 1 keer per 2 jaar voor 2 het scenario komt 1 keer per jaar voor 3 het scenario komt 2-3 keer per jaar voor 4 het scenario komt meer dan 4 keer per jaar voor 35

Impact voorbeelden Laag: nauwelijks financiële of reputatieschade; geen maatregel van de toezichthouder Medium: beperkte financiële of reputatieschade; enkelvoudige maatregel van toezichthouder Hoog: hoge financiële of reputatieschade; zware of meerdere maatregelen van toezichthouder Reputatieverlies 1 nauwelijks verlies van vertrouwen, geen impact op bedrijfsvoering 2 verlies van vertrouwen of klachten van klanten, kortetermijn impact op bedrijfsvoering 3 mediumtermijn impact op klanten en bedrijfsvoering 4 langetermijn impact op klanten en bedrijfsvoering Financieel verlies (boete, rechtszaak, et cetera) en indirect verlies (kosten, et cetera) 1 < EUR 9.999 2 > EUR 10.000 en < EUR 100.000 3 > EUR 100.000 en < EUR 1.000.000 4 > EUR 1.000.000 36

Inherent risico score impact 1 2 3 4 kans 1 low risk low risk moderate high risk risk 2 low risk low risk moderate high risk risk 3 moderate risk moderate risk high risk extreme risk 4 high risk high risk extreme risk extreme risk

Wat is het inherente risico? Scenario Kans Impact Inherent risico score Klanten met complexe corporate structures 3 2 2 medium Klanten via intermediaries 2 2 1 laag Cash intensieve klanten 4 3 4 extreem Medewerker spant samen met 3e partij 1 4 2 medium 38

Hoe bereken je van deze instelling de kans en impact dat de scenario s kunnen voorkomen? Bedenk eerst hoe je kans en impact definieert 39

Beheersmaatregelen en netto risico Inherent risico Beheersmaatregelen Netto risico

Beslissen over beheersmaatregelen Inherent risico Laag Medium Risicobeoordeling Onwaarschijnlijk dat risico zich voordoet, lage impact Er is een mogelijkheid dat risico zich voordoet, medium impact Te nemen acties Eenvoudige maatregelen voldoen Maatregelen nodig Hoog Hoge kans met grote impact Verscherpte maatregelen nodig Extreem Risico doet zich zeker voor met dramatische impact Risico moet voorkomen worden of zeer zware maatregelen nodig 41

Welke beheersmaatregelen wil je zien m.b.t. de geïdentificeerde risicoscenario s? 42

Beheersmaatregelen en netto risico Beoordeel de effectiviteit van de maatregelen per risicoscenario Bepaal het netto risico Beoordeel netto risico tegen risk appetite Beoordeel lacunes en eventuele aanvullende maatregelen 43

Beoordeling effectiviteit beheersmaatregelen Welke bronnen zijn al aanwezig? Incidenten Interne controles Audit rapporten Compliance monitoring rapporten Bevindingen toezichthouder STRs 44

Beoordeling effectiviteit beheersmaatregelen: voorbeelden 1 werkt volledig en optimaal 2 kan op onderdelen verbeterd worden, maar werkt adequaat en heeft effect 3 substantiële verbetering nodig, maar er is enig effect 4 geen beheersing, of beheersing heeft geen effect. Sterk: er zijn sterke maatregelen om het risico te beheersen Effectief: het risico wordt adequaat beheerst Ineffectief: het risico wordt niet adequaat beheerst

Hoe beoordeel je de beheersing van deze instelling? Bedenk hoe gedetailleerd je dit doet 46

Netto risico Netto risico wordt vastgesteld door de mate van beheersing af te treken van het inherente risico. Netto risico is het resterende (residu) risico nadat effectieve maatregelen getroffen zijn. Netto risico Low Beschrijving Het is onwaarschijnlijk dat het risico schade veroorzaakt Moderate High Extreme Er is enige kans dat het risico enige schade veroorzaakt Er is aanzienlijke kans dat het risico grote schade veroorzaakt Het is zeker dat het risico zeer grote schade veroorzaakt

Wat is het netto risico? Scenario Klanten met complexe corporate structures Klanten via intermediaries Inherent risico score Maatregelen Effectiviteit van maatregelen Netto risico 2 medium -Organograms worden opgevraagd -Hoog risico + EDD bij 3+ lagen -Training 1 laag -CDD tav tussenpersonen -Audit tav procedures intermediaries 3. Aanzienlijke verbeteringen nodig -Training is niet gegeven -veel CDD bevindingen van toezichthouder 2. Kleine verbeteringen nodig -minimale bevindingen van toezichthouder hoog medium Cash intensieve klanten 4 extreem -High risk sector -EDD 3. Aanzienlijke verbeteringen nodig -negatief audit resultaat Extreem Medewerker spant samen met 3e partij 2 medium -Code of conduct -Training 1 effectief -geen incidenten of bevindingen Laag 48

Risk appetite De risk appetite geeft aan welke risico s een instelling wil accepteren Risk appetite per risico bepalen Belangrijke rol voor senior management Risk appetite Accepteren: beheersmaatregelen werken Verminderen: verminder risico of verbeter maatregelen Vermijden: beëindig de activiteiten 49

ECB Risk appetite frameworks: good progress but still room for improvement What is a risk appetite framework? Policies, processes, limits, controls and systems that define, communicate and monitor how much risk a bank is willing to take on. Holistic approach to risk culture and risk management and integral part of the decision-making process. Board involvement: setting and approving the risk appetite, overseeing review and implementation. Risk capacity Risk culture Risk appetite limits Qualitative statements Quantitative and objective indicators Comprehensive Effectively governed Consistently used Fully integrated into strategic decision-making 50

Lacunes en aanvullende maatregelen De instelling bepaalt of men de risico s wil accepteren, mitigeren of vermijden Welke vervolgacties moeten worden getroffen? Bepalen welke aanvullende maatregelen nodig zijn, bv: Wijzigingen in beleid en procedures Aanvullende training, risk awareness Nieuwe IT systems of verbetering van IT systems 51

Wat is de risk appetite en welke maatregelen zijn nodig? Scenario Effectiveness Net risk Risk appetite & Additional measures Klanten met complexe corporate structures Klanten via intermediaries 3. Aanzienlijke verbeteringen nodig -Training is niet gegeven -veel CDD bevindingen van toezichthouder 2. Kleine verbeteringen nodig -minimale bevindingen van toezichthouder hoog Verbeteren maatregelen : -Training in Q1 -Wijziging procedures -Aanvullende CDD maatregelen medium Verbeteren maatregelen : -Betere audits tav intermediaries Cash intensieve klanten 3. Aanzienlijke verbeteringen nodig -negatief audit resultaat extreem Vermijden: -Aan bestuur voorstellen beleid te wijzigen en dit soort klanten voortaan te weigeren Medewerker spant samen met 3e partij 1 effectief -geen incidenten of bevindingen laag Accepteren: -geen actie nodig 52

Basisvereisten Up-to-date, actueel houden Gebaseerd op kwalitatieve en kwantitatieve informatie Omvat alle bedrijfsactiviteiten en business units Is de basis voor het interne beleid en procedures Sturingsdocument voor management Is binnen de hele instelling gecommuniceerd 53

Beoordelingscriteria Recente analyse Beslaat alle business lines, branches, afdelingen, subsidiaries Aandacht voor ML, TF, sancties, corruptie, etc Relevante risico scenario's en risicofactoren Kans en impact: onderbouwd, plausibel Beheersmaatregelen: per scenario, helder, realistisch Netto risico, lacunes en vervolgmaatregelen zijn vastgesteld Betrokkenheid 1ste lijn, Compliance, Audit, Risk en Management Risico s worden afgezet tegen risk appetite 54

Criteria Good Fair/Moderate Poor Recent Up to 1,5 years old 1,5-3 years old 3+ years old Entire business All business lines, branches etc Only domestic business lines A few business lines Types of risks ML and TF (plus corruption, sanctions) ML and TF but not separate Only ML or only TF Relevant scenarios, risk factors Scenarios are to the point, many scenarios, all factors Could be more scenarios, not all factors Few scenarios and few factors Likelihood, impact Based on actual data, plausible Acceptable but not substantiated Unrealistic Control measures Per scenario, clear, realistic, based on actual information Not per scenario, but based on actual information Too general, not based on actual information Follow up measures Determined and approved/executed Determined, not approved/executed Not determined Involvement all lines 1 st line, Compliance, Audit, Risk and Management Compliance with 1 st line Only Compliance Risk appetite Taken into account for inherent and net risks Taken into account for net risks Not taken into account 55

Even weer terug naar deze

Risicomonitoring Monitoren in hoeverre regelgeving, beleid en processen worden nageleefd Voorwaarden: compliance literacy, accountability, performance incentives, and culture Risicogebaseerd monitoren van materiele risico s Essentiele compliance processen Maar ook extern: monitoren nieuws, ontwikkelingen, wetgeving Identificeren van tekortkomingen in maatregelen en opvolging Aanpassen risicoanalyse, beleid, procedures Voorkomen reputatieschade, financiële gevolgen 57

1-2-3 lijn Wie is eigenaar van het risico en wie is verantwoordelijk voor monitoring? Duidelijk begrip van key compliance controls, key risk indicators governance, risk appetite Geïntegreerd en in lijn met belangrijke 1e en 2e lijn proces 3e lijn: onafhankelijk audit en controle van resultaten 58

CASUS Welke processen moeten gemonitord worden om te controleren of PEP controles worden uitgevoerd als er een PEP-hit is 59

Proces stap 1 maatregel en key controls Identificeren van te controleren maatregelen Kwetsbaar voor non-compliance Complex proces Betrokkenheid diverse afdelingen Interesse van toezichthouder Belang voor de instelling Eerdere incidenten of bevindingen Key controls Wat zijn de belangrijkste processen en systemen? Welke stappen moeten worden genomen? Welke afdelingen zijn betrokken? Welke goedkeuring is nodig? Welke maatregelen zijn er om fouten te voorkomen? 60

Proces stap 2 normen Welke standaarden en normen zijn er ten aanzien van het te controleren proces Wet- en regelgeving Toezichthouder en andere guidance Intern beleid en procedures Werkprocessen Interne mandaten Functieomschrijvingen 61

Proces stap 3 controle methode Het gaat om het controleren van daadwerkelijke uitvoering van procedures tegen de verwachtingen die in regelgeving en beleid staan Drie manieren van aanpak: 1. Sampling: files, transacties, logboeken, andere documentatie 2. Interviews met medewerkers om te begrijpen welke processen zij volgen 3. Meekijken hoe procedure wordt uitgevoerd 62

Proces stap 4 aantal controles Bekijk aan de hand van aantal files of transacties en bijbehorende documentatie hoeveel controles nodig zijn Belang van afzonderlijke processen Complexiteit van processen en betrokkenheid verschillende afdelingen Hoeveelheid key controls Volume van files, transacties Hoeveelheid en frequentie van eerdere aanpassingen van proces Mate van ruimte voor fouten Mate van subjectiviteit nodig om te beoordelen of proces is gevolgd 63

Proces stap 5 planning Stel een plan op waarin staat wat wordt gecontroleerd en hoe het wordt gecontroleerd Wie voeren de controles uit Wanneer zullen de controles worden gedaan Hoe worden files of transacties geselecteerd Hoe worden medewerkers voor interviews of observatie geselecteerd Hoe worden de controles gedocumenteerd Hoe worden resultaten beoordeeld Hoe en aan wie worden bevindingen gerapporteerd 64

Proces stap 6 uitvoering Een selectie van medewerkers die geïnterviewd worden Niet alleen die met meeste of minste ervaring Niet alleen van een onderdeel die de procedure moeten uitvoeren Files en transactie testing Selectie niet beperken tot korte periode Diversiteit samples: random, risicogebaseerd 65

Proces stap 7 vastlegging en beoordeling Wat zijn oorzaken van gebreken Klein deel van het proces, eenmalig incident of een menselijke fout Een structureel probleem, meerdere processen Waarom zijn er fouten gemaakt, kan het vaker voorkomen Wat waren de omstandigheden Zou het probleem ook zonder de controle zijn gedetecteerd Welke stappen ontbraken die er wel hadden moeten zijn Was er een reden waarom stappen niet genomen zijn Zit het probleem in de werkinstructies of systemen Wat zijn de gevolgen Wat is de materialiteit? Onnodige kosten Inefficiëntie Resultaat wordt niet bereikt Er wordt niet voldaan aan het beleid Er is sprake van een overtreding van wetgeving Financiële schade Reputatieschade 66

Proces stap 8 follow up Rapportage aan afdeling, aan management Voorstel te nemen verbeteracties Interne bespreking Management acties Nieuwe processen, systemen Aanpassing SIRA 67

Reputatieschade Vroeger of later worden incidenten bekend Wanneer consumenten het vertrouwen verliezen door bijvoorbeeld een gegevenslek, juridische onregelmatigheden of een gebrek aan maatschappelijke betrokkenheid laten zij dit blijken door producten en diensten in de ban te doen. 68

Financiële gevolgen Compliance problemen kunnen resulteren in boetes, hoge remediatie kosten 69

Interne en externe risico s Interne risico s Externe risico s Bewustwording Tope at the top Compliance culture Incidenten Landen Wetgeving Publicaties Jurisprudentie 70

Landenrisico s: op welke landen zet je aanvullende monitoring en waarom? Sanctielanden Landen door FATF aangewezen als noncompliant met AML/CFT standaarden Landen door EU aangewezen als niettransparent inzake belastingen Corruptie-gevoelige landen Terrorismegerelateerde landen Offshore jurisdicties

Wat doe je met dit soort berichtgeving?

Houd je rekening met buitenlandse wetgeving? UK Criminal Finances Act 2017, UK Bribery Act, FCPA, OFAC Articles 45 and 46 of UK Criminal Finances Act establish two new offences dealing with failure to prevent the facilitation of UK tax evasion offences and failure to prevent the facilitation of foreign tax evasion offences. Legal entities are liable for the actions of their employees or associated person in facilitating tax evasion or assisting their customers to evade tax. An associated person is broadly defined and includes employees, agents or any other person performing services on behalf of the entity. 73

Welke FATF rapporten neem je mee in risicomonitoring en waarom? 74

75

DNB Factsheet voetbalsport 76

Alert op FATF-rapport Financiële instellingen moeten er rekening mee houden dat DNB bij het verschijnen van (bijvoorbeeld) nieuwe FATF-rapportages, zal nagaan of zij het daarin behandelde onderwerp proactief ter hand hebben genomen. 77

Bitcoins - Jurisprudentie ECLI:NL:RBAMS:2017:8376 Transacties in bitcoins hebben een hoog risicoprofiel. DNB waarschuwt banken en betaalinstellingen voor integriteitsrisico s die zij lopen omdat zij de identiteit van de partijen die de bitcoins ver- of aankopen niet of onvoldoende kennen. Aannemelijk is dat gelden uit misdrijf verkregen kunnen worden witgewassen door via een tussenpersoon transacties in bitcoins uit te voeren. De identiteit van de opdrachtgever kan langs deze weg vrij makkelijk geheim blijven. Dit geldt te meer bij het aan- en verkopen van bitcoins met contant geld. [X] is geen instelling als bedoeld in de Wft en de Wwft, maar is wel bekend met de risico s die zijn verbonden aan transacties in bitcoins, te weten het witwassen of financieren van terrorisme. Op grond van het hoge risicoprofiel van transacties met bitcoins mag [bank] in beginsel van een bedrijf als [eiser] verwachten dat zij onderzoek doet naar de identiteit van haar klanten alsmede naar de herkomst van de gelden waarmee zij in opdracht van haar klanten bitcoins aankoopt, ook zonder dat [bank] daar eerst uitdrukkelijk om vraagt. 78

Maturity of the system!: Good 2 Fair 3 Moderate 4 Poor RISK ASSESSMENT There is a recent, extensive risk The institution only addresses a analysis covering extensive scenarios limited number of a few scenarios on on ML/TF and factors as customers, ML/TF. The risk analysis mentions the products, delivery channels and risk factors customers, countries, countries. The risk analysis covers all products but without any depth or business units, and is updated assessment system. It is updated annually or when there are every other year. developments. Involvement of all lines, but not Involvement of all lines and management management There is a general statement about the risk profile of the institution that is not based on an analysis. Or, there are lists of indicators of high-risk customers and countries, but no assessment has been made what this means for the institution. It is rarely updated. Only Compliance is involved in the assessment There is no risk analysis. Or the risk analysis is very superficial and does not address the relevant ML/TF risks. POLICY The up-to-date policy has a clear link to the latest risk analysis. Policy is also differentiated to the conclusions of the risk analysis. Policy is discussed approved by management The policy takes into account relevant high-risk customers, countries and products but it is not directly based on a risk analysis. Policy approved by management, but not discussed. The policy only focuses on high-risk elements as contained in the AML/CFT Act. Policy is not discussed or approved by management The policy does not take into account relevant ML/TF risks or there is no policy. 79

Maturity of the system!: Good 2 Fair 3 Moderate 4 Poor GOVERNANCE Effectively functioning 1st, 2nd, 3rd line, with clearly defined responsibilities and tasks Compliance monitoring is done frequently resulting in elaborate management information, Frequent independent audits on AML/CFT 1st, 2nd, 3rd line are set up and responsibilities described, but not functioning optimally. Compliance monitoring is infrequent, management information is superficial. Independent audits on AML/CFT in combination with other risks 1st, 2nd, 3rd line are set up in theory but not adequately described nor functioning. Compliance monitoring is established but not functioning properly. Very infrequent management information Independent audits rarely covers AML/CFT No separate 1st, 2nd, 3rd lines. Responsibilities are not described, roles are mixed. No Compliance monitoring No management information No AML/CFT audits AWARENESS Both management and staff very well aware of ML/TF risks. New ML/TF risks are directly taken into account Regular AML/CFT training, also for management and specialized training for Compliance ML/TF risk awareness with staff and management is adequate. Periodic AML/CFT training but not tailored for management or Compliance ML/TF risk awareness with staff and management is insufficient. Occasional AML/CFT training ML/TF risk awareness is lacking significantly. No AML/CFT training or only slightly included in other training 80

Dank voor jullie aandacht Zijn er nog vragen?

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback