Risicogebaseerde benadering en algemene risicobeoordeling: commentaar en aanbevelingen

Inhoud

1. Achtergrond

De vereiste om over een risico-gebaseerde benadering te beschikken inzake de voorkoming van WG/FT, waarvan het beginsel is vastgelegd in artikel 7 van de antiwitwaswet, vormt één van de speerpunten van de in 2012 herziene FAG-Aanbevelingen en van Richtlijn 2015/849. Op Belgisch vlak werd deze vereiste, wat betreft de door de onderworpen entiteiten toe te passen preventieve maatregelen, met name omgezet in de verplichting om een tweeledige risicobeoordeling uit te voeren:

  • een algemene beoordeling van de risico’s waaraan zij zijn blootgesteld, overeenkomstig de bepalingen van de artikelen 16 en 17 van de antiwitwaswet enerzijds, en van titel 2 van het antiwitwasreglement van de NBB anderzijds (zie hieronder);
  • een beoordeling van de risico’s die verbonden zijn aan elke cliënt (zie de pagina “Individuele risicobeoordeling”).

Artikel 16 van de antiwitwaswet schrijft voor dat de onderworpen entiteiten passende maatregelen dienen te nemen, evenredig met hun aard en omvang, voor het identificeren en beoordelen van de WG/FT-risico’s waaraan ze zijn blootgesteld. Daarbij dient rekening te worden gehouden met de kenmerken van de cliënten, producten, aangeboden diensten of verrichtingen, de betrokken landen of geografische gebieden, alsook de leveringskanalen waarop een beroep wordt gedaan.

De algemene risicobeoordeling (of “business-wide risk assessment”) die de financiële instellingen aldus dienen te verrichten, vormt een instrument dat hen in staat moet stellen om de inherente risico’s inzake WG/FT waaraan zij door hun activiteiten zijn blootgesteld, te identificeren en op gepaste wijze te beheren of waar nodig in te perken. De risicogebaseerde benadering laat de instellingen eveneens toe om minder verregaande maatregelen te treffen in situaties waar deze risico’s gering zijn, zodat de aldus vrijgekomen middelen kunnen worden aangewend voor het verplicht toepassen van verscherpte maatregelen ten aanzien van situaties waar de risico’s groter zijn. Zodoende kan de toewijzing van de beschikbare middelen worden geoptimaliseerd.

De algemene risicobeoordeling moet de financiële instelling in staat stellen te verzekeren dat de gedragslijnen, procedures en internecontrolemaatregelen en, in het algemeen, de organisatie van de financiële instelling geschikt en voldoende granulair zijn om het hoofd te kunnen bieden aan de algemene WG/FT-risico’s waaraan zij door haar activiteiten is blootgesteld. Deze algemene risicobeoordeling verschilt bijgevolg duidelijk van de individuele risicobeoordeling die overeenkomstig artikel 19 van de wet wordt uitgevoerd om geval per geval, daarbij voldoende rekening houdend met de eventuele specifieke kenmerken van elk geval, de intensiteit te bepalen van de toe te passen waakzaamheidsmaatregelen of, in voorkomend geval, te beslissen om te weigeren de zakelijke relatie aan te knopen of de beoogde occasionele verrichting uit te voeren.

Uit het bovenstaande vloeit ook voort dat een passende risico-gebaseerde benadering begint bij het verwerven van een grondige en actuele kennis van de WG/FT-risico’s waaraan de instelling is blootgesteld enerzijds, en een overeenstemmend risico-inzicht anderzijds.

Overeenkomstig artikel 3, 3°, van het antiwitwasreglement van de NBB dient de algemene risicobeoordeling betrekking te hebben op alle activiteiten van de in België gevestigde financiële instelling die onderworpen is aan de wetgeving inzake WG/FT, met inbegrip van haar grensoverschrijdende activiteiten verricht in het kader van het vrij verkeer van diensten in een andere lidstaat of in een derde land. Ingeval de instelling actief is via een groep, bepaalt artikel 6 van het antiwitwasreglement van de NBB dat al haar bijkantoren en dochterondernemingen hun algemene risicobeoordeling dienen over te maken aan de instelling, zodat deze laatste hiermee rekening kan houden bij het bepalen van het algemene risicobeleid op het niveau van de groep. In dit verband bepaalt het WG/FT-Reglement dat de betalingsinstellingen en instellingen voor elektronisch geld er tevens dienen over te waken dat er ook een algemene risicobeoordeling zal worden verricht van de WG/FT-risico's die verbonden zijn aan de activiteiten die zij uitoefenen in een andere lidstaat of derde land via één of meerdere personen die daar zijn gevestigd en er de betrokken instelling vertegenwoordigen (bijvoorbeeld een netwerk van agenten, enz.).

Voor zover relevant voor hun sector, dienen de financiële instellingen bij voornoemde algemene risicobeoordeling ten minste rekening te houden met (zie de hierboven vermelde referentiedocumenten):

  • de variabelen vermeld in bijlage I van de antiwitwaswet ;
  • de factoren die wijzen op een potentieel hoger risico vermeld in bijlage III van dezelfde wet ;
  • het advies over de risico’s inzake WG/FT voor de financiële sector van de Unie, geformuleerd door de ESA's krachtens artikel 6, lid 5, van Richtlijn 2015/849 (“ESAs Joint Opinion on the risks of money laundering and terrorist financing affecting the Union’s financial sector”), alsook de “richtsnoeren” die de EBA publiceert met betrekking tot de factoren die wijzen op een lager risico (met toepassing van artikel 17 van de Richtlijn) en de factoren die wijzen op een hoger risico (met toepassing van artikel 18, lid 4, van de Richtlijn) (“EBA Richtsnoeren betreffende risicofactoren”);
  • de relevante bevindingen van het door de Europese Commissie overeenkomstig artikel 6 van Richtlijn 2015/849 opgemaakte verslag (“Verslag van de Commissie aan het Europees Parlement en de Raad over de beoordeling van risico's op het gebied van witwassen en terrorismefinanciering die van invloed zijn op de interne markt en verband houden met grensoverschrijdende activiteiten”);
  • het verslag opgemaakt door de coördinatieorganen krachtens artikel 68 van de antiwitwaswet, elk voor wat hen aanbelangt;
  • de sectorale beoordeling van de witwasrisico’s in de Belgische financiële sector die onder de toezichtsbevoegdheid van de Nationale Bank van België valt, en
  • alle andere relevante informatie waarover ze beschikken.

Daarnaast voorziet de antiwitwaswet ook in de mogelijkheid om bij voornoemde oefening rekening te houden met de in bijlage II  vermelde factoren (potentieel lager risico).

De algemene risicobeoordeling met betrekking tot WG/FT dient te worden uitgevoerd onder de verantwoordelijkheid van de AMLCO (zie de pagina “Governance”) en goedgekeurd door de effectieve leiding (artikel 3, 1°, van het antiwitwasreglement van de NBB).

Artikel 17 van de antiwitwaswet bepaalt voorts dat de algemene risicobeoordeling dient te worden gedocumenteerd, bijgewerkt en ter beschikking gehouden van de NBB. In dit verband dienen de financiële instellingen tegenover de NBB te kunnen aantonen dat de gedragslijnen, de procedures en de internecontrolemaatregelen die ze vaststellen overeenkomstig artikel 8 van de antiwitwaswet, in voorkomend geval met inbegrip van het cliëntacceptatiebeleid (zie de pagina “Gedragslijnen, procedures, processen en internecontrolemaatregelen”), in verhouding staan tot het geïdentificeerde WG/FT-risico. Desgevallend houdt de bijwerking van de algemene risicobeoordeling ook in dat de individuele risicobeoordelingen bedoeld in artikel 19, § 2, eerste lid, van de antiwitwaswet worden bijgewerkt (zie de pagina “Individuele risicobeoordeling”).

In fine dient te worden opgemerkt dat de algemene risicobeoordeling die de financiële instellingen met toepassing van artikel 16 van de antiwitwaswet dienen te verrichten, geen eenmalige oefening betreft doch wel een continu proces vormt. Zo dient deze risicobeoordeling – en desgevallend eveneens de individuele risicobeoordeling – te worden bijgewerkt telkenmale er zich één of meerdere evenementen voordoen die een significante invloed kunnen hebben op de risico's (zie art. 3, 3°, van het antiwitwasreglement van de NBB en punt 3.4 hieronder). 

2. Governance

Zoals hoger aangegeven, dient de algemene risicobeoordeling te worden neergelegd in een schriftelijk document (papier of elektronisch) dat ter beschikking wordt gehouden van de NBB (zie artikel 17 van de antiwitwaswet). Dit document dient tevens een beschrijving te bevatten van het proces dat werd gehanteerd om tot de beoordeling te komen, met name:

  • de methodologie die werd aangewend voor het verrichten van de algemene risicobeoordeling, waarbij verwacht wordt dat deze ten minste de basisbouwstenen vermeld in punt 3 hieronder omvat;
  • de wijze waarop dit proces geïntegreerd is in het bredere risicobeheersysteem en de corporate governance van de instelling, met inbegrip van de manier waarop de eventuele groepsdimensie in de oefening werd verwerkt;
  • een beschrijving van de procedures die de monitoring en tijdige bijwerking  van het risicobeoordelingsproces zullen verzekeren, om de permanente accuraatheid ervan te waarborgen;
  • een beschrijving van de mate waarin de AMLCO, de compliance officer, de effectieve leiding en de eventuele andere actoren betrokken werden bij de identificatie en analyse van de risico’s, de totstandkoming van de eigenlijke risicobeoordeling en eventuele daaraan gekoppelde maatregelen, alsook de kennisname en validatie van het geheel.

3. Proces

De algemene risicobeoordeling veronderstelt het opeenvolgend doorlopen van drie grote fasen door de instelling:

  • de identificatie en analyse van de risico’s  verbonden aan het witwassen van geld, de financiering van terrorisme en het naleven van de regelgeving inzake internationale sancties, embargo’s en andere beperkende maatregelen, waaraan de instelling is blootgesteld (“risico-identificatiefase”);
  • de analyse en beoordeling van de geschiktheid van de bestaande risicobeheersmaatregelen ter zake (“gap-analyse”);
  • het indien nodig nemen van nieuwe of bijkomende risicobeheersmaatregelen ter beheersing van de niet of onvoldoende gedekte risico’s (“bijsturingsfase”).

De wijze waarop de instelling dit proces doorloopt en invult, alsook de mate van granulariteit, dienen bovendien in verhouding te staan tot haar aard en omvang.

In mededeling NBB_2020_002 van 23 januari 2020 betreffende de conclusies van de horizontale analyse van een speekproef van tabellen met een overzicht van de algemene beoordeling van de risico's van witwassen van geld en/of financiering van terrorisme, benadrukt de NBB dat het belangrijk is de verschillende fasen van de algemene risicobeoordeling te doorlopen in methodologische volgorde. Deze mededeling bevat ook bevindingen in verband met deze verschillende fasen van het proces van de algemene risicobeoordeling, in methodologische volgorde.

3.1 Risico-identificatiefase

3.1.1. Risicocategorieën – Subcategorieën

Zoals eerder aangegeven vereist een goede algemene risicobeoordeling in eerste instantie een grondige kennis van en inzicht in alle WG/FT-risico’s waaraan de instelling is blootgesteld. Derhalve dient de instelling alle voor haar relevante WG/FT-risico’s te identificeren en onder te brengen in categorieën / subcategorieën, die voortvloeien uit  één of meer kenmerken bepaald in artikel 16 van de antiwitwaswet. Naast de kenmerken van artikel 16, dient de instelling ook rekening te houden met eventuele andere aanvullende kenmerken die op haar specifieke situatie van toepassing zouden kunnen zijn, zoals specifieke risico’s die zouden kunnen voortvloeien uit intrabank-relaties met andere groepsentiteiten, risico’s verbonden aan de activiteiten van de instelling voor eigen rekening (bijvoorbeeld de marktenzaal), enz.

Voorbeelden van goede praktijken die de NBB heeft aangetroffen tijdens haar horizontale analyse van een steekproef van tabellen met een overzicht van de algemene beoordeling zijn te vinden in mededeling NBB_2020_002 (met name punt IV.a).

3.1.1. Risicoblootstelling

Zodra de instelling de verschillende risico’s heeft geïnventariseerd en gecategoriseerd, dient zij het inherente risico te beoordelen, waarbij de waarschijnlijkheid dat het risico zich voordoet en de impact van een eventuele materialisatie van het risico worden gecombineerd, rekening houdend met de daadwerkelijk uitgeoefende activiteit. Daarbij houdt de instelling rekening met de in punt 1 hierboven bedoelde minimumvariabelen en -factoren, alsook met eventuele andere variabelen en factoren die op haar specifieke situatie van toepassing zouden kunnen zijn.

De NBB schrijft niet voor welke waarden of eenheden de financiële instelling moet gebruiken. Het hoofddoel is dat de financiële instelling (en de NBB) een consistent en duidelijk beeld kan krijgen van haar risicoblootstelling. Deze oefening moet de financiële instelling in staat stellen om vervolgens risicobeheersmaatregelen vast te stellen in overeenstemming met de door haar raad van bestuur bepaalde risicobereidheid. In de documentatie met betrekking tot het proces van de algemene risicobeoordeling moet in ieder geval duidelijk worden aangegeven hoe de waarschijnlijkheid dat het risico zich voordoet en de impact van een eventuele materialisatie van het risico worden ingeschaald.

Wat de waarschijnlijkheid van de materialisatie van het risico betreft, moeten de financiële instellingen ervoor zorgen dat zij hun risico's niet onderschatten. Zo kan het zijn dat een kredietinstelling in absolute zin weinig cliënten in haar cliëntenbestand heeft die politiek prominente personen zijn, maar dat deze cliënten toch een aanzienlijk percentage van het totale cliëntenbestand vertegenwoordigen.

Voor meer informatie hierover zij verwezen naar mededeling NBB_2020_002 (met name punt IV.b).

3.2 Gap-analyse

3.2.1. Bestaande risicobeheersmaatregelen

In een tweede fase dient de instelling een inventaris op te maken van de risicobeheersmaatregelen die zij momenteel toepast om de verschillende geïdentificeerde risico’s te beheren dan wel te beperken. Deze inventaris van de risicobeheersmaatregelen (die alle waakzaamheids- en meldingsverplichtingen omvatten en dus betrekking kunnen hebben op één of meer van de volgende elementen: de verplichting tot identificatie en identiteitsverificatie, de verplichting tot waakzaamheid ten aanzien van de zakelijke relaties en de occasionele verrichtingen, de analyse van atypische verrichtingen en de melding van vermoedens en aanvullende informatie aan de CFI) dient eveneens de conformiteit met het nieuwe wettelijke kader bepaald in de antiwitwaswet en het antiwitwasreglement van de NBB te omvatten (i.e. beheersing van het compliance risico, zie in het bijzonder artikel 8 van de antiwitwaswet en de pagina “Governance”).

3.2.2. Toereikendheid van het risicobeheer

Vervolgens dient de instelling deze procedures en interne controles te onderwerpen aan een kritisch onderzoek om ofwel te concluderen dat ze toereikend zijn in het licht van de inherente risico's die zijn geïdentificeerd, ofwel de (mogelijk substantiële) verbeteringen vast te stellen die moeten worden aangebracht om de risico's effectief te verminderen ("mitigation" en kwestie van het restrisico). Daarbij dient tevens rekening te worden gehouden met de wijze waarop deze risicobeheersmaatregelen daadwerkelijk worden toegepast en nageleefd in de praktijk. Voorts dient ook – onder meer - rekening te worden gehouden met de eventuele risicobeheersmaatregelen die aanbevolen worden in:

  • het advies over de risico’s inzake WG/FT- voor de financiële sector van de Unie, dat door de ESA’s werd geformuleerd krachtens artikel 6, lid 5, van Richtlijn 2015/849, alsook de “richtsnoeren” van EBA betreffende risicofactoren;
  • het door de Europese Commissie overeenkomstig artikel 6 van Richtlijn 2015/849 opgemaakte verslag;
  • het verslag opgemaakt door de coördinatieorganen krachtens artikel 68 van de antiwitwaswet ;
  • de eventuele andere relevante “best practices” terzake (bijvoorbeeld de richtlijnen  uitgevaardigd door de sector, de FAG, het Bazels Comité, enz.).

Voor meer informatie hierover zij verwezen naar mededeling NBB_2020_002 (met name punt V).

3.3 Bijsturingsfase (actieplan)

Indien na het doorlopen van de tweede fase blijkt dat de bestaande risicobeheersmaatregelen niet afdoende zijn, dienen de instellingen nieuwe of aanvullende maatregelen te definiëren om het risico op een adequate wijze te beheren of in te perken. Het actieplan moet voldoende ambitieus zijn om zo snel mogelijk passende oplossingen te kunnen bieden voor de vastgestelde zwakke punten (of het nu gaat om het opzetten van een nieuwe procedure of nog om de herziening van het geautomatiseerde systeem voor monitoring van de verrichtingen). Daarom kan het passend zijn dit actieplan op te stellen op basis van een prioritisering van de te nemen maatregelen naargelang van de impact van de vastgestelde gaps op de algemene doeltreffendheid van de ten uitvoer gelegde SWG/FT-mechanismen, met name als het een groot aantal nieuwe in te voeren maatregelen omvat.

De financiële instellingen moeten ten slotte toezien op de algemene coherentie van het actieplan: zo zullen de financiële instellingen logischerwijs meer acties of substantiëlere acties moeten plannen voor activiteiten of risicofactoren waarvoor het restrisico in de fase van de “gap analysis” als hoog werd beoordeeld dan voor activiteiten of risicofactoren waarvoor het restrisico als laag werd beoordeeld.

3.4 Tijdschema voor het proces en bijwerking van de algemene risicobeoordeling

Alle geïdentificeerde remediëringsmaatregelen die nodig zijn naar aanleiding van de eerste algemene risicobeoordeling die wordt uitgevoerd na de inwerkingtreding van de antiwitwaswet, dienen hoe danook uiterlijk tegen 1 juli 2019 te worden geïmplementeerd. Instellingen die van oordeel zijn dat zij bepaalde remediëringsmaatregelen niet kunnen implementeren tegen bovengenoemde termijn, dienen bij de NBB uiterlijk op 31 mei 2019 een gemotiveerd verzoek tot uitstel in te dienen. In dergelijk geval kan de NBB – afhankelijk van de concrete omstandigheden en voor zover verantwoord gelet op het risico - beslissen om de remediëringstermijn te verlengen tot uiterlijk 1 januari 2020.

Artikel 17 van de antiwitwaswet bepaalt verder dat de algemene risicobeoordeling dient te worden bijgewerkt. In dit verband is de NBB van oordeel dat deze verplichting inhoudt dat financiële instellingen dit proces opnieuw moeten doorlopen

  • telkens wanneer er zich belangrijke gebeurtenissen voordoen, zowel binnen de instelling zelf als in haar omgeving, die de aard en de omvang van de WG/FT-risico's of de beoordeling ervan aanzienlijk kunnen wijzigen. Dergelijke wijzigingen kunnen bijvoorbeeld vereist zijn naar aanleiding van een beslissing om nieuwe producten of diensten te ontwikkelen en aan te bieden, om nieuwe categorieën van cliënten te werven, om gebruik te maken van nieuwe distributiekanalen of -instrumenten of van nieuwe technieken voor de identificatie en identiteitsverificatie van cliënten, om activiteiten uit te breiden naar andere landen in het kader van het vrij verrichten van diensten, enz. Voorbeelden van externe gebeurtenissen die significante gevolgen kunnen hebben voor de (beoordeling van de) risico’s zijn, met name, aanzienlijke veranderingen in het wettelijke en reglementaire kader van het betrokken land of van andere landen die van belang zijn voor de uitgeoefende activiteiten, alsook aanzienlijke veranderingen in de sociaal-economische context, de opkomst van nieuwe vormen van criminaliteit of de bekendmaking van nieuwe WG/FT-typologieën en -technieken, enz.
  • indien, na verificatie van de impact van de reeds bestaande en/of in het kader van het actieplan met betrekking tot de algemene risicobeoordeling genomen risicobeperkende maatregelen ("mitigation"), blijkt dat deze niet (voldoende) effectief of efficiënt zijn en dat andere maatregelen dus noodzakelijk blijken.

Het is echter ook mogelijk dat de aard en de omvang van de risico's aanzienlijk worden gewijzigd door tragere en meer geleidelijke ontwikkelingen, zowel binnen de financiële instelling zelf als in haar omgeving. De NBB is bijgevolg van oordeel dat, zelfs als de hierboven beschreven belangrijke gebeurtenissen zich niet voordoen, elke financiële instelling periodiek dient na te gaan of de kwantitatieve en kwalitatieve informatie waarop haar laatste algemene beoordeling van de WG/FT-risico’s is gebaseerd, niet zodanig is veranderd dat deze beoordeling, waarop haar huidige organisatie, gedragslijnen, procedures en interne controles berusten, niet meer relevant zouden zijn. De NBB meent dat deze herziening van de relevantie van de algemene risicobeoordeling in de regel jaarlijks zou moeten worden uitgevoerd. Wanneer de interne procedures voorzien in een langere periodiciteit, moet de financiële instelling deze beslissing kunnen verantwoorden in het licht van het evenredigheidsbeginsel, rekening houdend met haar aard en omvang enerzijds, en in het licht van de waarschijnlijke stabiliteit van het algemene risiconiveau dat ze eerder heeft geïdentificeerd anderzijds.

Wanneer het nodig blijkt de algemene risicobeoordeling bij te werken, moet dit zo snel mogelijk gebeuren door de in de punten 3.1 tot 3.3 hierboven beschreven fases te doorlopen, zodat eventuele remediëringsmaatregelen die nodig zijn om de nieuwe geïdentificeerde risico’s te beperken, ten uitvoer worden gelegd binnen een redelijke termijn, rekening houdend met de ernst van deze nieuwe risico’s. Naargelang de omstandigheden kan deze bijwerking betrekking hebben op de volledige algemene risicobeoordeling, of alleen op de delen ervan waarvoor het risiconiveau mogelijk aanzienlijke schommelingen heeft vertoond.

4. Mededeling aan de NBB

Artikel 17 van de antiwitwaswet bepaalt dat de algemene risicobeoordeling dient te worden gedocumenteerd, bijgewerkt, en ter beschikking gehouden van de NBB. 

De documenten die in dit kader moeten worden ingevuld en bezorgd aan de NBB, alsook de wijze waarop ze moeten worden meegedeeld, zijn te vinden op de pagina “Rapportering door financiële instellingen”.

De NBB verwacht dat latere bijwerkingen van de algemene risicobeoordeling worden vermeld en voldoende worden toegelicht in het activiteitenverslag van de AMLCO, en dat haar de bijgewerkte versies van de voornoemde documenten worden bezorgd (rekening houdend met de inhoud van mededeling NBB_2020_002).