Geslaagde Kennissessie Wwft-audit: belangrijkste bevindingen
Op 17 maart 2025 heeft SRA opnieuw een Wwft-audit Kennissessie voor SRA-kantoren georganiseerd, onder begeleiding van Philippe Boileau (projectcoördinator Wwft-audit bij SRA) en Mike Mooij en Lenie van der Plas van Bureau Financieel Toezicht (BFT). We keken terug op de 0-metingen, wisselden ervaringen uit met de kantoren en gaven praktische vaktechnische uitleg.
Dit keer was er bijzondere aandacht voor de vervolgaudit (1-meting) en de focusonderwerpen van het BFT in 2025. Aanwezig waren zowel kantoren die voor de 1-meting staan als kantoren die de 0-meting onlangs hebben afgerond of daar binnenkort mee starten. Het was mooi om te zien dat de Wwft bij hen leeft en dat we samen bouwen aan een praktische, solide Wwft-audit met onze vertrouwde coachende aanpak (met hoor, wederhoor en risicokwalificaties).
Waardevolle feedback van kantoren
Philippe trapte de Kennissessie af met onze opvolging na de waardevolle feedback die kantoren op de 0-meting hebben gegeven. De Wwft-audit is tijdsintensief; daar kunnen we niet omheen. Wat we wèl hebben aangepast, is onze communicatie over het tijdspad vooraf. Al in het intakegesprek nemen we een kantoor mee in de verwachte tijdsbesteding, zodat iedereen zich daar goed van bewust is. Waar mogelijk voeren we een deel van de Wwft-audit via Teams uit, om zo efficiënt mogelijk te zijn.
Net als bij de Review heeft SRA bij de Wwft-audit een coachende aanpak. We zien graag dat de audit stimuleert en inspireert. In lijn hiermee hebben we onze rapportering enigszins aangepast, zodat ook de positieve bevindingen tot uitdrukking komen. Daarnaast hebben we de rapportering aangepast; onze voornaamste bevindingen krijgen nu extra aandacht, de bevindingen met een lagere prioriteit nemen we voortaan op in de bijlage. Dit maakt onze rapportering toegankelijker en overzichtelijker, ook voor bestuurders en commissarissen die niet intensief bij de Wwft-audit betrokken zijn geweest.
Wat viel ons op in de 0-metingen?
Kijken we naar de 0-metingen die we in 2024 volledig hebben afgerond, dan valt ons een aantal zaken op die extra aandacht behoeven. Allereerst heeft een samensmelting met of overname van een ander kantoor (of klantenportefeuille) ook gevolgen voor de naleving van de Wwft. Philippe: "Je moet als kantoor namelijk toetsen of het cliëntenonderzoek van overgenomen klanten past bij je eigen risicobeleid en -beheer, waaronder ook je procedures rond identificatie, verificatie en dossiervorming. En past een reguliere monitoring vanuit Compliance op de overgenomen portefeuilles, of moet je verscherpt monitoren?" Belangrijk is ook hoe je als kantoor invulling geeft aan ‘doorlichting’ (art. 35 Wwft) van medewerkers en beleidsbepalers - voor zover relevant - van een kantoor dat je hebt ingelijfd. We zien dat dit soort aspecten nog niet de aandacht krijgen die ze behoeven. Wees hier dus alert op. En let op, dit soort bevindingen vergt relatief veel tijd, aldus kantoren die hiermee te maken hebben gehad.
Ten tweede ontbreekt bij kantoren nogal eens het totaalplaatje van de risico’s die samenhangen met de klantenportefeuille, vervolgt Philippe. "Hierdoor kunnen we niet vaststellen of het risicobeleid en de systematische integriteitsrisicoanalyse (SIRA) effectief werken. Een effectief beleid heeft oog voor risico’s op zowel kantoorniveau als klant- en/of opdrachtniveau, is centraal en inzichtelijk vastgelegd met aandacht voor specifieke integriteitsrisico’s en vervolgstappen als een risico zich voordoet."
Verder is bij het cliëntenonderzoek niet altijd goed vastgelegd door wie en wanneer identificatie en verificatie zijn uitgevoerd of hoe een klant die zelf een Wwft-instelling is naleving borgt. Weet je wel precies wat je wel en niet afdekt als je voor je onderzoek gebruikmaakt van een applicatie? Heeft de Compliance Officer voldoende betrokkenheid en inzicht in wijzigingen in het (Wwft-)risicoprofiel? Of, in geval van een politiek prominente persoon (PEP): is de herkomst van het vermogen van deze PEP vóór klantacceptatie beoordeeld?
Voor wat betreft meldingen zien we dat er soms veel tijd zit tussen de signalering van een ‘bijzondere transactie’ en de eventuele melding ervan bij de FIU Nederland. Soms ook worden de overwegingen om wel of niet te melden niet of onvoldoende gedocumenteerd, ontbreekt een (oorzaken)analyse van meldingen of een follow-up of is er sprake van rolvermenging bij advies en besluit over meldingen. "We raden kantoren aan om een intern meldingsdocument te gebruiken met minimaal alle aspecten van artikel 16 lid 2 Wwft. Dit zorgt voor volledigheid, uniformiteit en bewustwording bij alle medewerkers."
Tot slot nog enkele aandachtspunten met betrekking tot Compliance en de opleidingsverplichting: pas de Plan-Do-Check-Act-methodiek (PDCA) toe in je Compliance-verslag, verzorg periodiek een opleiding op het gebied van Wwft (ook voor zzp’ers) en leg vast wie de opleiding heeft gevolgd.
Het BFT herkent een groot deel van deze onderwerpen uit zijn deelonderzoek naar de auditfunctie. Daarnaast ziet het BFT dat ook meerdere kantoren de Wwft-auditfunctie nog niet hebben ingericht, waar het (waarschijnlijk) wel verplicht is.
Aandachtsgebieden van het BFT
De focus van het BFT voor 2025 sluit aan op de bevindingen van SRA in de 0-metingen. Zo krijgt het thema 'Fusies en overnames van andere kantoren of klantenportefeuilles' extra aandacht. Het BFT heeft hierover een notitie uitgebracht met daarin een stappenplan, handige tips en best practices, vooral gericht op bijbehorende risico's.
Het BFT heeft daarnaast nieuwe Specifieke leidraden Wwft gepubliceerd, waarin het onder meer de voorbeelden bij de subjectieve indicator heeft geactualiseerd. De opzet van de nieuwe leidraden is veranderd, om ze beter te laten aansluiten op de Algemene leidraad van het ministerie van Financiën. Het BFT heeft ervoor gekozen om de Specifieke leidraden zo compact mogelijk en actueel te houden, en praktijkvoorbeelden (onder meer over UBO’s en ongebruikelijke transacties) en toelichtingen op thema’s (zoals fusies en overnames) apart te publiceren.
Verder stelt het BFT relatief veel overtredingen vast als het gaat om risicobeleid en -management, vaak omdat kantoren dit niet specifiek hebben gemaakt voor de eigen organisatie. Dit onderwerp krijgt daarom ook dit jaar veel aandacht. Hetzelfde geldt voor de Wwft-opleidingsverplichting. Uit integrale en deelonderzoeken blijkt dat vooral kleinere instellingen hier nog niet aan voldoen.
Tot slot geeft Mike Mooij mee dat het BFT erg tevreden is met de invulling die SRA geeft aan de Wwft-audit. “SRA is in mijn ogen voldoende onafhankelijk en de coachende aanpak is echt van toegevoegde waarde. Ook wij kiezen soms bewust voor een hersteltermijn in plaats van directe handhaving, omdat we er net als SRA van overtuigd zijn dat onze adviezen kantoren verder helpen. Dit draagt in bepaalde gevallen bij aan een betere naleving van de Wwft.” Voor de volgende Kennissessie wil het BFT graag een presentatie verzorgen over 'Vind de UBO'.
De opzet van de vervolgaudit van SRA
In april en mei starten we met de eerste pilots van de vervolgaudit. In principe voert de Wwft-auditor die de 0-meting bij een kantoor heeft gedaan daar ook de 1-meting uit. Om ervoor te zorgen dat onze auditors onafhankelijk blijven, voeren zij maximaal drie Wwft-audits achter elkaar uit bij één kantoor. De maximale termijn tussen de 0-meting en de 1-meting is drie jaar.
Waarin verschilt onze vervolgaudit van de 0-meting? Ten eerste is de geschatte tijdsbesteding drie in plaats van zes dagen. Na het intakegesprek gaan we in een Teams-gesprek in op de meldingsplicht en het cliëntenonderzoek. Vervolgens gaan we opvolging na op bevindingen uit de 0-meting. Voor de 1-meting zetten we in op meer maatwerk. Zo hebben we ruime aandacht voor interne ontwikkelingen bij het kantoor sinds de 0-meting (denk aan fusies en overnames, nieuwe vestigingen of diensten en wijzigingen in de klantenportefeuille), en de externe ontwikkelingen (zoals wijzigingen in regelgeving en jurisprudentie). Meer maatwerk maakt de Wwft efficiënter en kantoren kunnen meer gericht aan de slag.
In lijn met de bevindingen van het BFT is ook voor SRA de Wwft-opleidingsverplichting een punt van aandacht. In de 1-meting gaan we na of en hoe een kantoor hier in de periode tussen de uitvoering van de 0- en de 1-meting invulling aan heeft gegeven. Hetzelfde geldt voor de Wwft-verplichting om medewerkers en beleidsbepalers, voor zover relevant voor hun werkzaamheden, te screenen.
Tijdens de kennissessie vroeg een aantal kantoren naar voorbeelden van ongebruikelijke transacties bij de salarisadministratie. Het BFT heeft daarover een notitie verstrekt. De aanwezige kantoren die toe zijn aan een 1-meting zouden tot slot graag nog wat extra guidance krijgen op het gebied van prioritering. Hoe bepaal je met welke bevindingen uit de 0-meting je het eerst aan de slag gaat? Waardevolle feedback, die we meenemen in onze programma-ontwikkeling.