Zoals opgemerkt in onze eerdere NextGen Anti-Money Laundering-publicaties, zien we dat regelgevers, toezichthouders, financiële instellingen en wetshandhavingsinstanties allemaal streven naar een effectievere en evenwichtigere AML-aanpak. De term 'risicogebaseerd' wordt vaak in deze context gebruikt om te beschrijven dat AML-inspanningen van financiële instellingen (FIs) scherper en evenrediger gericht moeten zijn op mogelijke vormen van witwassen en terrorismefinanciering. En bona fide klanten niet moeten verstoren of benadelen.
De recente risicogebaseerde rondetafelgesprekken en NVB Industry Baselines zijn een poging om richtlijnen te bieden voor de operationalisering van de risicogebaseerde benadering. ODD kan worden gezien als het uitgebreide geheel van processen, procedures, acties en maatregelen die banken nemen om cliënten, hun transacties en gedrag continu te screenen en te monitoren1. Een gebied van kans dat de efficiëntie aanzienlijk zou kunnen verhogen, is de geautomatiseerde trigger-based Ongoing Due Diligence (ODD) van cliënten. In de praktijk voeren de meeste financiële instellingen handmatige cliëntbeoordelingen uit op periodieke basis. Deze handmatige beoordelingen zijn tijdrovend, bieden (relatief) beperkte meerwaarde voor de mitigatie van witwasrisico's en hebben een negatieve impact op klanttevredenheid en gegevensprivacy.
Bij het toepassen van een risicogebaseerde benadering, moeten financiële instellingen ineffectieve of inefficiënte controles afschaffen en middelen proportioneel toewijzen aan hogere risico's. Wat betreft ODD betekent dit meer vertrouwen op geautomatiseerde risicodetectiemechanismen en risicogedifferentieerde beoordelingen. Maar wat is er nodig om een dergelijk raamwerk operationeel te maken?
We zien zes belangrijke factoren voor de succesvolle implementatie van een goed risicogebaseerd ODD-raamwerk:
- Data kwaliteit
Financiële instellingen streven ernaar dat hun relevante klantgegevens volledig en correct zijn door onder andere een risicogebaseerd gegevensactualisatieproces in te voeren (zie NVB Industry Baseline 'Actualisatie van cliëntgegevens'). De kwaliteit van de gegevens is uiteraard van cruciaal belang om de risico's van cliënten op het witwassen van geld adequaat te kunnen beoordelen. Dit wordt nog duidelijker wanneer de afhankelijkheid van geautomatiseerde mechanismen of modellen toeneemt. Maar ook bij het bijwerken van klantgegevens kunnen financiële instellingen een op risico's gebaseerde aanpak volgen. Waar mogelijk worden relevante klantgegevens automatisch opgehaald en bijgewerkt via toegang tot openbare registers. Verder kunnen bepaalde klantgegevens worden afgeleid uit interne analyses. Alleen wanneer dat nodig is, wordt klanten gevraagd om hun klantgegevens bij te werken of bevestiging te geven van kritieke data elementen.
- Doelgerichte tooling
In een op risico's gebaseerd ODD-raamwerk vertrouwen financiële instellingen op automatisering. Dit vergroot hun afhankelijkheid van een betrouwbare IT-omgeving. Risico triggers en risico detectiemechanismen moeten worden geïmplementeerd in een stabiele IT-omgeving die geldige en betrouwbare waarschuwingen genereert. Verder moet tooling meer geavanceerde modellen voor het genereren van waarschuwingen en verbindingen met openbare registers mogelijk maken (waar mogelijk).
- Geïntegreerd ontwerp
Het ontwerp van de risicogebaseerde benadering van financiële instellingen is voldoende geïntegreerd in en tussen hun bedrijfsbrede risicobeoordeling en risicobereidheid, CDD-beleid en -procedures en andere klantgerichte processen. De bovengenoemde beleidslijnen, procedures en processen moeten duidelijk worden gedocumenteerd (en periodiek worden gevalideerd, zie ook punt 4). Dit vereist niet per se nieuwe instrumenten, maar eerder een aanpassing van bestaande instrumenten (zoals beleid en risicobeoordelingen) om meer automatisering mogelijk te maken.
- Risico's continu volgen
Een fundamentele voorwaarde voor het hebben van een trigger-based ODD-raamwerk, is dat de organisatiebrede risicobeoordelingen en de operationele effectiviteit van de controles achter het ODD-ontwerp periodiek worden getest en gevalideerd. Om het kader voortdurend te verbeteren, moeten er bovendien feedbackloops, procesmonitoring, interne controletests en audits zijn. Naast IT-controles zullen ook model validatie benaderingen nodig zijn om de nauwkeurige werking van dergelijke geautomatiseerde mechanismen te monitoren. Het moet worden aanvaard dat, net als bij het uitvoeren van periodieke evaluaties, het op triggers gebaseerde ODD-raamwerk niet feilloos is en risico's over het hoofd gezien zullen worden.
- Beoordelingen op basis van risico's
Het (geautomatiseerde) trigger-based ODD-raamwerk, waarin risico's automatisch en continu worden gedetecteerd, stelt financiële instellingen in staat om zich eerst te richten op de getriggerde risico's en daarmee risico gedifferentieerde reviews uit te voeren. Simpel gezegd: bekijk eerst alleen de gebeurtenis (zoals een transactie of wijziging in klantprofiel) die automatisch in gang wordt gezet. Als de analist nieuwe risico's detecteert of de risico's te complex vindt, wordt een volledige herziening in gang gezet en wordt het risicoprofiel van de klant grondig opnieuw beoordeeld.
- Rapportage en toezicht
Financiële instellingen zijn transparant over hun ODD-aanpak, de resultaten ervan en hoe het kader voldoet aan regelgevings- en risicovereisten. Deze onderbouwingen worden gedocumenteerd en kunnen op verzoek van de toezichthouder worden aangetoond. Deze rapportage stelt financiële instellingen ook in staat om het overzicht te houden en het ODD-raamwerk indien nodig aan te passen.
We moedigen financiële instellingen aan om de effectiviteit van hun huidige ODD-raamwerk opnieuw te evalueren en niet te risk-averse te zijn bij het toepassen van de risicogebaseerde benadering. Werken op een risicogebaseerde manier vereist goed afgewogen en doordachte beslissingen. Risicogebaseerd werken impliceert ook het nemen van een risico: het zal voorkomen dat belangrijke signalen voor potentieel witwassen worden gemist. Zolang dit risico expliciet wordt geaccepteerd en binnen de risicobereidheid valt, en de onderbouwing van risicogebaseerde beslissingen en conclusies proportioneel wordt gedocumenteerd, zullen financiële instellingen nog steeds hun nalevingsniveau kunnen aantonen. Wanneer alle belanghebbenden dat in gedachten houden bij het operationaliseren van de risicogebaseerde benadering, kan anti-witwaspraktijken effectiever worden gemaakt en kan de belasting voor bankklanten worden verminderd.