De Wwft vereist dat financiële instellingen customer due diligence uitvoeren wanneer ze een zakelijke relatie aangaan. Op deze pagina leggen we uit wat customer due diligence inhoudt.
Als financiële instelling ben je verplicht om customer due diligence uit te voeren. Dit is om het witwassen van geld en de financiering van terrorisme te voorkomen. Op basis van het customer due diligence proces beslist u of u een klant wel of niet accepteert. Op basis van bepaalde resultaten ben je verplicht om te rapporteren aan de toezichthouders of de Nederlandse Financial Intelligence Unit (FIU).
Klantacceptatie is het proces dat je doorloopt voordat je een zakelijke relatie aangaat met een klant. Bij klantacceptatie moet ook rekening worden gehouden met sanctieregelgeving. Financiële instellingen zijn op grond van de Wet op het financieel toezicht (Wft), de Wwft en de Sanctiewet 1977 om te controleren of de potentiële klant voorkomt op sanctielijsten. Als wordt vastgesteld dat dit inderdaad het geval is case, moet de toezichthouder op de hoogte worden gesteld en zal de potentiële klant in kwestie worden geweigerd.
Tijdens het klantacceptatieproces moeten de volgende stappen worden doorlopen. De diepgang van deze stappen hangt af van de risk van witwassen en terrorismefinanciering.
Eerst bepaal je de identiteit van de klant. Dit doe je door de identiteitsgegevens op te vragen en te documenteren. Vervolgens bepaal je of de opgegeven identiteit overeenkomt met de werkelijke identiteit van de klant. Dit staat ook bekend als het ken-uw-klant principe - of Know Your Customer (KYC).
Identificatie en verificatie moeten worden uitgevoerd voordat de klantrelatie wordt aangegaan.
Als er weinig sprake is van risk van witwassen of terrorismefinanciering, mag een financiële instelling volgens de wet de identiteit van de klant (en de UBO) verifiëren tijdens het aangaan van de zakelijke relatie. In dit case verifieer je de identiteit zo snel mogelijk na het eerste contact met de klant en uiterlijk voordat het product of de dienst wordt geleverd.
U moet ook de natuurlijke persoon die de klant vertegenwoordigt identificeren en zijn identiteit verifiëren. U moet redelijke stappen ondernemen om vast te stellen of de natuurlijke persoon namens zichzelf of namens anderen handelt. Als er bijvoorbeeld sprake lijkt te zijn van een stromanconstructie, kan dit een reden zijn om customer due diligence te versterken en zelfs te weigeren om een relatie met de (potentiële) klant aan te gaan. Een stroman is een persoon die handelt onder zijn eigen naam, maar optreedt namens iemand anders.
Het vaststellen van de identiteit van de betrokken partijen kan op diverse manieren. Toegestane middelen om de identiteit van natuurlijke personen te verifiëren zijn:
Voor een rechtspersoon kun je een uittreksel uit het handelsregister van de Kamer van Koophandel aanvragen. Je kunt ook betrouwbare bronnen van derden raadplegen, zoals registers zoals Graydon en Dun&Bradstreet.
De Wwft vereist dat je de Ultimate Beneficial Owner (UBO) identificeert. De UBO is de uiteindelijke belanghebbende. Dit is altijd een natuurlijk persoon. Je dient redelijke maatregelen te nemen om de identiteit van de UBO te verifiëren. Dit betekent dat de intensiteit waarmee je dit doet afhankelijk is van de rsico's op witwassen en terrorismefinanciering. Je kunt bijvoorbeeld gebruik maken van een zogenaamde UBO-verklaring of internetbronnen. Je kunt ook gratis het UBO-register raadplegen.
Je moet kunnen bepalen of de klant en/of de UBO een "politically exposed person" (PEP) is. Een PEP kan gevoeliger zijn voor corruptie.
Dit betekent dat je de cliënt en UBO moet screenen aan de hand van PEP-lijsten. Als er inderdaad een PEP wordt geïdentificeerd, moet de instelling verscherpt customer due diligence uitvoeren en de klant continu monitoren. De belastingdienst en de ministeries van Financiën en Justitie publiceren en onderhouden een lijst met politiek prominente posities.
Sanctiescreening maakt ook deel uit van het proces van klantacceptatie. Sanctiescreening wordt vaak gelijktijdig uitgevoerd met screening op PEP-lijsten. Waar een echte hit op een PEP-lijst leidt tot verscherpt due diligence-onderzoek, leidt een echte hit op een sanctielijst tot weigering van de potentiële cliënt. In zo'n geval case moet er ook een melding worden gedaan aan de toezichthoudende autoriteiten.
Als de (potentiële) klant een rechtspersoon is, moet je ook inzicht krijgen in de eigendoms- en controlestructuur. Je moet de (legitieme) structuur begrijpen en aannemelijk vinden.
1. Doel en aard van de relatie: Aan de hand van de dienst die wordt aangevraagd moet je in staat zijn om te achterhalen waarom deze gewenst is en of dit plausibel is.
2. Bron van fondsen: In deze stap beoordeel je de legitimiteit van de fondsen van de klant.
3. Initiële risk classificatie: De beoordeling van de risk van witwassen en terrorismefinanciering gebeurt op verschillende momenten in het klantacceptatieproces. Daarom is er ook sprake van een initiële risk classificatie en een definitieve risk classificatie.
Tijdens de eerste risk classificatie wordt bepaald welke customer due diligence moet worden uitgevoerd. Ter ondersteuning van deze beoordeling gebruiken veel organisaties risk classificatiemodellen en risk classificatiesoftware om zogenaamde rode vlaggen te detecteren.
De risk factoren klant, transactie, product/dienst worden meegenomen in de beslissing welke vorm van customer due diligence moet worden uitgevoerd. U houdt ook rekening met het doel van de relatie, het financiële risico en de regelmaat of duur van de relatie. Bij elke case dient u rekening te houden met de risk factoren die zijn opgesomd in Bijlagen II en III van de Vierde Anti-witwasrichtlijn.
De term CDD wordt vaak gebruikt als een allesomvattende term voor customer due diligence, transactiemonitoring, risk classificatie en sanctiescreening. De wet maakt onderscheid tussen:
Op basis van de informatie die je in de vorige stappen hebt verzameld, maak je een keuze welke customer due diligence moet worden uitgevoerd.
Om te bepalen in welke mate customer due diligence maatregelen moeten worden toegepast, beoordeelt de financiële instelling de risk van het witwassen van geld en de risk van terrorismefinanciering.
Als de risk laag blijkt te zijn, zijn vereenvoudigde customer due diligence maatregelen voldoende. Dit omvat het verzamelen van voldoende data om te bepalen of vereenvoudigde customer due diligence kan worden uitgevoerd voor een klant.
Als er sprake is van een zogenaamde normale risk, voert de instelling de normale customer due diligence uit, waarvan de onderdelen hierboven in de eerste alinea zijn opgesomd.
Als er sprake is van een hoger risk risico op witwassen of financiering van terrorisme, moet je een verscherpt onderzoek uitvoeren customer due diligence. Dit kan betekenen dat je extra onderzoek moet doen naar de herkomst van de activa van een klant en de herkomst van fondsen die betrokken zijn bij een transactie.
De uiteindelijke risk classificatie wordt gedaan op basis van de uitkomsten van de relevante customer due diligence. Het is vaak gebaseerd op het professionele oordeel van de eerste lijn en eventueel advies van de tweede lijn. Risicoclassificatiemodellen en risk classificatiesoftware zijn voornamelijk ondersteunend aan het onderzoek; de uiteindelijke risk classificatie zal echter uiteindelijk afhangen van de volledige client due diligence.
Het klantacceptatieproces kan worden voltooid nadat de customer due diligence is uitgevoerd en de klant risk voldoende is bepaald. De vastgestelde klant risk vormt de basis voor het monitoren en beoordelen tijdens de duur van de klantrelatie.
Wil je meer weten over het proces van klantacceptatie? Je kunt onze e-learning cursus 'Wwft Klantonderzoek' volgen, of meer lezen over onze CDD diensten.