Toelichting op de integriteitsrapportage 2015
1.
Wat is de Integriteitsrapportage?
In de integriteitsrapportage wordt informatie uitgevraagd over de integere bedrijfsvoering van uw organisatie. DNB gebruikt deze informatie ondermeer om inzicht te krijgen in de integriteitsrisico’s bij uw organisatie en uw risicobeheersing alsmede de mate waarin door u wet- en regelgeving wordt nageleefd. 2.
Doel van deze toelichting
Deze toelichting op de integriteitsrapportage is erop gericht u guidance te geven over de vragen die DNB stelt en over de begrippen die DNB in de integriteitsrapportage 2015 gebruikt. 3.
Hoe correspondeert deze toelichting met de Integriteitsrapportage?
In de integriteitsrapportage heeft elke vraag een eigen code bijvoorbeeld 1.14. Elke toelichting op een term of begrip bevat ook de corresponderende code zodat u de term eenvoudig terug kunt vinden in de integriteitsrapportage. 4.
Wat is er nieuw in de Integriteitsrapportage 2015?
De analyse van de eerste integriteitsrapportage in 2014 - en uitkomsten van de verschillende door DNB uitgevoerde integriteit gerelateerde thema’s nadien - gaven aanleiding de Integriteitsrapportage op onderdelen aan te passen. Op hoofdlijnen zijn over de volgende onderwerpen aanvullende vragen in de Integriteitsrapportage opgenomen: uw organisatie (aantallen en invulling functies) de systematische risicoanalyse opleidingen en trainingen de aanvang van de dienstverlening de (inrichting van de) transactiemonitoring 5.
Hoe moet de ingevulde Integriteitsrapportage bij DNB worden ingediend?
Om de verwerking van uw Integriteitsrapportage en bestuursverklaring zo voorspoedig mogelijk te laten verlopen vragen wij u rekening te houden met de volgende voorwaarden: E-Line DNB: U heeft – nadat u door DNB als rapporteur bent geregistreerd – van DNB een brief ontvangen waarin het gebruik van e-Line DNB, het beveiligde en geautomatiseerde rapportagesysteem van DNB, aan u wordt uitgelegd. Als u dit jaar voor het eerst moet rapporteren kan het zijn dat u deze brief nog moet ontvangen. Format: Let op! De integriteitsrapportage mag alleen in een Microsoft Excel File-format worden geupload via e-Line DNB. De bestuursverklaring moet in PDF-format worden aangeleverd. Deadline: De periode voor indiening van de Integriteitsrapportage 2015 loopt van 1 juli 2015 tot en met 31 augustus 2015. 1
Wijze van rapporteren Op de e-Line DNB website http://www.dnb.nl/statistiek/eline-dnb/betaalinstellingen-enelektronischgeldinstellingen/index.jsp treft u bij Betaalinstellingen en elektronischgeldinstellingen onder het kopje “Gebruikersdocumentatie” de Integriteitsrapportage in Excelbestandsformaat en de bijbehorende toelichting aan. Voor het insturen van de integriteitrapportage dient u het Excelbestand te downloaden, in te vullen en daarna via de rapportagetool e-Line DNB te uploaden. Inloggen Inloggen kunt u via bovengenoemde website of website https://e-line.dnb.nl door middel van de button “Inloggen e-Line DNB” aan de rechterzijde van de pagina. De eerste keer dat u inlogt, dient u te klikken op de button “Eerste keer aanmelden”. Vervolgens dient u met uw relatienummer (relatie-id) en de separaat ontvangen aanmeldcode een wachtwoord aan te maken. Daarna krijgt u toegang tot de beveiligde rapportagesite van DNB. Op het openingsscherm kan, ten behoeve van de beveiligde verbinding, een Security Alert verschijnen. U kunt in de gebruikershandleiding onder punt 3.1 vinden hoe verder te gaan (dit is per browser verschillend). Deze gebruikershandleiding treft u aan onder “Algemene Gebruikersdocumentatie” (menu aan de linkerzijde). Onder “Software” vindt u de systeemeisen. Rapportageprocedure Om te rapporteren dient u onderstaande procedure uit te voeren: 1. inloggen met relatienummer (op het scherm: Relatie-id) en aanmeldcode (alleen 1e keer, daarna uw zelfgekozen wachtwoord); 2. vul op het scherm de regels 1.1 t/m 1.4 in; 3. vul regels 3.1 en 3.2 door de attachments te uploaden. Door op de knop ‘attachment’ te klikken verschijnt het scherm ‘onderhouden attachment’. Op dit scherm zoekt u via bladeren de rapportage die u wilt insturen. Deze slaat u op. U krijgt dan de volgende melding: attachment is toegevoegd; 4. kies nogmaals voor opslaan (linksonder); 5. kies voor controleren (onder aan de pagina), sluiten (van de controlepagina); 6. kies voor terug (onder aan de pagina); 7. zet uw muis vlak onder periode, kies voor controleren, kies voor sluiten, kies voor Ja; 8. zet uw muis wederom vlak onder de periode, kies voor insturen. U krijgt nu de pagina ‘inzenden rapportageset’ te zien; opnieuw kiezen voor insturen. U dient Integriteitsrapportage als Excelbestand te uploaden, dus niet als Pdf-bestand.
6.
Waar kunt u terecht met uw vragen?
Indien u technische vragen heeft over e-Line DNB of problemen met het openen of uploaden van bestanden, kunt u telefonisch contact opnemen met de DNB Servicedesk op nummer 020 524 61 11 of per e-mail:
[email protected]. Eventuele inhoudelijke vragen over de Integriteitsrapportage 2015 kunt u naar
[email protected] mailen. Let op: dit is een ander e-mailadres dan vorig jaar gebruikt werd.
2
Toelichting op de Integriteitsrapportage 2015 Invulling rapportage De integriteitsrapportage is ingedeeld in een blok met algemene gegevens, gevolgd door een zestal onderdelen met de volgende onderwerpen; organisatie, eigen aanwezigheid, systematische risicoanalyse, opleidingen en trainingen, cliëntenacceptatie, transactiemonitoring en melden. De vragen bestaan zowel uit open vragen als gesloten vragen. De rapportage is zo ingestoken dat alle vragen moeten worden ingevuld. Daar waar vragen voor uw instelling niet van toepassing zijn, vult u Nvt in. Bij de invulling van de gesloten vragen, dient een keuze gemaakt te worden door middel van een uitklapveld. Voor de invulling van de open vragen is om technische redenen een limiet gesteld op het aantal in te vullen karakters (spaties, leestekens, letters, etc). De voorbeelden in deze toelichting zijn niet uitputtend en zijn louter bedoeld als richtinggevend voor de beantwoording van de vragen. Voorts wijzen wij u op de ‘DNB Leidraad WWFT en SW’. Deze leidraad biedt handvatten voor het adequaat uitvoeren van de wettelijke verplichtingen die voortvloeien uit de integriteitregelgeving. De meest recente versie is te vinden op de website van DNB onder Toezicht – Open Boek Toezicht – Wetten en EU Richtlijnen – Wwft (http://www.toezicht.dnb.nl/binaries/50-212353.pdf)
Onderdeel 1: Organisatie Vraag 1.6 en 1.7: Zijn alle auditbevindingen opgevolgd? Met audit wordt bedoeld de in- en/of externe controle (Third Line of Defense) op compliance gerelateerde vraagstukken. Mocht vraag 1.6 met Nee worden beantwoord, dan verzoeken wij u om bij vraag 1.7 de nog openstaande auditbevinding(en), de acties die thans worden uitgevoerd en de tijdspanne waarbinnen de bevinding moet worden opgevolgd te vermelden. Vragen 1.8 t/m 1.10: Welke taken en verantwoordelijkheden inzake de beheersing van de integriteitsrisico's zijn belegd? Geef hier een beknopte beschrijving van de taken en verantwoordelijkheden ten aanzien van de beheersing van de integriteitsrisico’s uit de verschillende onderdelen van de organisatie. Het is uitdrukkelijk niet de bedoeling om hier (alleen) te verwijzen naar een procedurehandboek of gerelateerde documenten.
Onderdeel 2: Systematische risicoanalyse De in dit onderdeel opgenomen vragen gaan uitsluitend over de systematische risicoanalyse van integriteitsrisico’s bij uw organisatie zoals bedoeld in artikel 10 Besluit prudentiële regels Wft. Met inherente/bruto integriteitsrisico's worden de risico's zonder beheersingsmaatregelen bedoeld. Het netto integriteitsrisico is het risico dat overblijft, na de doorgevoerde beheersmaatregelen.
Onderdeel 3: Opleidingen en trainingen In artikel 35 van de Wet ter voorkoming van witwassen en financiering van terrorisme (Wwft) is het volgende opgenomen:
3
´Een instelling draagt er zorg voor dat haar werknemers, voor zover relevant voor de uitoefening van hun taken, bekend zijn met de bepalingen van deze wet en periodiek opleidingen genieten die hen in staat stellen een ongebruikelijke transactie te herkennen en een cliëntenonderzoek goed en volledig uit te voeren.´ De in dit onderdeel opgenomen vragen zijn gerelateerd aan bovengenoemd artikel en hebben betrekking op de gevolgde opleidingen en trainingen door medewerkers in de eerste lijn, compliance/risk en bestuur/directie van uw organisatie.
Onderdeel 4: Eigen aanwezigheid Het betreft een uitvraag naar de landen waar uw organisatie aanwezig is. Aanwezig betekent in dit kader een eigen vaste inrichting en/of een samenwerking met een lokale vertegenwoordiger maar voor rekening en risico van de vergunninghouder. Tevens wordt gevraagd naar de aanwezigheid in landen die op de FATFwaarschuwingslijsten staan. Op de website van de FATF (http://www.fatf-gafi.org/) zijn de volgende relevante FATF waarschuwingslijsten opgenomen met lijsten van te gebruiken jurisdicties: 1. FATF Public Statement (jurisdictions for which an FATF call for action applies): Hierin staan jurisdicties genoemd die ernstige tekortkomingen hebben in hun AML/CFT systeem die een risico kunnen vormen voor het internationale financiële systeem. 2. ´Improving Global AML/CFT Compliance: on-going process´ (other monitored jurisdictions): Dit document bevat een lijst met jurisdicties die ernstige tekortkomingen hebben in hun AML/CFT systeem maar die wél gecommitteerd zijn om deze tekortkomingen te adresseren. Van instellingen wordt verhoogde alertheid verwacht ten aanzien van bestaande en nieuwe zakelijke relaties uit betreffende jurisdicties en transacties van en naar betreffende jurisdicties.
Onderdeel 5: Cliëntenonderzoek In de artikelen 3 tot en met 11 van de Wwft zijn bepalingen opgenomen met betrekking tot cliëntenonderzoek ter voorkoming van witwassen en financieren van terrorisme. In dit onderdeel zijn een aantal hieraan gerelateerde vragen opgenomen. Onder cliënt wordt verstaan een natuurlijke persoon of rechtspersoon met wie een zakelijke relatie wordt aangegaan of die een transactie laat uitvoeren. Vraag 5.1: Wat is over het algemeen de doorlooptijd voor het acceptatieproces van een cliënt? Het betreft hier de gemiddelde tijd dat het proces van cliëntacceptatie bij uw organisatie in beslag neemt op het moment van het eerste contact (intake) tot het moment dat de dienstverlening aanvangt. Vragen 5.2 en 5.3: Niet fysiek aanwezig zijn van de cliënt Het niet fysiek aanwezig zijn van een cliënt voor de verificatie van de identiteit wordt gezien als een hoger risico bij de acceptatie. Artikel 8, lid 2 van de Wwft somt een aantal mogelijkheden op om het hogere risico te compenseren indien de cliënt niet fysiek aanwezig is om de identiteit van de cliënt van verifiëren. 4
Vraag 5.8: Begrip ‘relaties’ De Sanctieregelgeving geeft een ruime definitie van het begrip ‘relatie’, namelijk een ieder die direct of indirect betrokken is bij een financiële dienst of een financiële transactie. Hieronder vallen onder andere:
Cliënten
Vertegenwoordigers of gemachtigden
Uiteindelijke belanghebbenden van de cliënten
Begunstigden van een product (bijvoorbeeld bij (internationale) overboeking van gelden)
Wederpartij bij een financiële transactie/product
Vraag 5.10: Geef het aantal cliënten en het aantal PEP’s De personen die onder de Wwft als politiek prominent persoon, ook wel Politically Exposed Person of kortweg ‘PEP’, worden beschouwd zijn: 1.
staatshoofden, regeringsleiders, ministers, staatssecretarissen en parlementsleden.
2.
leden van hooggerechtshoven, constitutionele hoven en andere gerechtelijke instanties die arresten wijzen in laatste instantie, leden van rekenkamers en directies van centrale banken.
3.
ambassadeurs, zaakgelastigden, hoge legerofficieren en leden van bestuurs-, leidinggevende of toezichthoudende organen van overheidsbedrijven; (NB: Ambtenaren uit het middenkader alsmede lagere ambtenaren vallen niet onder het begrip PEP).
4.
directe familieleden van PEP’s. Dit zijn de echtgenoot, een partner die naar het nationale recht als gelijkwaardig met een echtgenoot wordt aangemerkt, de kinderen en hun echtgenoten of partners en de ouders van de PEP. De herkenning van familieleden kan soms op evidente gronden gemakkelijk zijn, bijvoorbeeld door het overeenkomen van namen.
5.
de naaste geassocieerden van een PEP. Dit zijn de personen die met of ten behoeve van PEP’s de uiteindelijk belanghebbende van een rechtspersoon zijn.
Het gaat hierbij om PEP’s die in Nederland wonen met een niet-Nederlandse nationaliteit (5.10.a) en PEP’s die in een andere (lid)staat wonen ongeacht hun nationaliteit (5.10.b t/m 5.10.d). Vraag 5.11 en 5.15: Risicoprofiel van cliënten Voor de vragen over het risicoprofiel van cliënten is gekozen voor een gangbare onderverdeling (Laag, Midden en Hoog). Indien uw organisatie een andere onderverdeling hanteert, dan verzoeken wij u bij de beantwoording van deze vragen zoveel mogelijk hierbij aan te sluiten. Vraag 5.14: Wat is uw beleid wanneer sprake is van een onacceptabel risico? Geef hier aan welke (beleids-)stappen genomen worden en door wie en wanneer (doorlooptijd) gedurende de dienstverlening geconstateerd wordt dat sprake is van een onacceptabel risico. Vraag 5.16: Wanneer kwalificeert een cliënt zich bij uw organisatie zich als een hoog risico cliënt? Geef hier specifiek de uitgangspunten/factoren aan die bepalend zijn om een cliënt op te nemen in de categorie ‘hoog risico’.
5
Hierbij kunt u denken aan uitgangspunten gerelateerd aan: Aard, achtergrond en activiteiten van de cliënt, herkomst van gelden, locatie van cliënt, aard van dienstverlening, duur/intensiteit cliënt relatie, gebruik van identificatie/verificatie van cliënt op afstand en cliënten die optreden ten behoeve van derden. Vraag 5.17: Welke additionele maatregelen worden er genomen wanneer sprake is van cliëntacceptatie van hoog risico cliënten? Geef hier een opsomming van de aanvullende maatregelen die uw instelling neemt wanneer sprake is van de acceptatie van ‘hoog risico’ cliënten. Hierbij kunt u denken aan extra monitoring van de relatie (transacties en dienstverlening), verscherpt cliëntenonderzoek, limieten op transacties, etc. Wij verzoeken u te beschrijven hoe deze maatregelen zijn vormgegeven c.q. worden uitgevoerd.
Onderdeel 6: Transactiemonitoring en melden In de artikelen 12 tot en met 23 van de Wwft zijn bepalingen opgenomen met betrekking tot het melden van ongebruikelijke transacties. In dit onderdeel zijn een aantal hieraan gerelateerde vragen opgenomen. Vraag 6.2: Indien sprake is van handmatige controle op ongebruikelijke transacties, geef aan hoe vaak en op welke wijze dit gebeurt. Geef hier aan met welke periodiciteit (bijvoorbeeld dagelijks, wekelijks, steekproefsgewijs, etc) en op welke wijze (a.d.h.v. klantprofiel, afwijkende patronen, overschrijdingen controleregels, 4-ogen principe, etc.) deze handmatige controle plaatsvindt. Vraag 6.5: Met welke 'rules' wordt rekening gehouden bij de transactiemonitoring? Benoem de 5 belangrijkste kenmerken Geef hier de 5 belangrijkste regels/controles aan die gebruikt worden om ongebruikelijke transacties uit de transactiestroom te filteren. Gedacht kan worden aan controles op het transactieprofiel van de cliënt, de hoogte van het bedrag, de valuta, de herkomst en bestemming van de geldstromen (patronen, rechtsvorm, identiteit, land), etc. Vragen 6.10 en 6.12: Melden van ongebruikelijke transacties De verplichting om ongebruikelijke transacties te melden aan de FIU geldt voor alle instellingen die zijn aangewezen in artikel 1 van de Wwft. Op de website van de FIU staat de meldprocedure voor het melden van ongebruikelijke transacties beschreven. Er wordt een nadere invulling aan de meldingsplicht gegeven door zogenaamde indicatoren. Deze indicatoren beschrijven de situaties waarin een transactie als ongebruikelijk moet worden aangemerkt. Hierbij wordt een onderscheid gemaakt in objectieve en subjectieve indicatoren. Objectieve indicatoren beschrijven een situatie waarin altijd moet worden gemeld. Bij subjectieve indicatoren gaat het om transacties waarbij aanleiding is om te veronderstellen dat ze verband kunnen houden met witwassen of financiering van terrorisme. Vragen 6.11 en 6.13: Terugmeldingen van ongebruikelijke transacties Een door een betaalinstelling aan de FIU gemelde transactie wordt door de FIU onderzocht en kan naar aanleiding van dat onderzoek als verdacht gekwalificeerd worden. In dat geval zal doorgaans een ‘terugmelding’ aan de betaalinstelling plaatsvinden.
6