Een gids voor CDD en KYC bij banken en verzekeraars

22 maart 2021 Consultancy.nl 12 min. leestijd

Met de groeiende aandacht voor het bestrijden van financial crime in de financiële sector staan Customer Due Diligence (CDD) en Know Your Customer (KYC) steeds meer in de schijnwerpers. Maar wat is CDD en KYC precies, en wat betekent het in de praktijk voor banken en verzekeraars? Experts van ITDS leggen uit.

CDD en KYC: wat is het precies?

De integriteit van financiële instellingen is van essentieel belang voor het behouden van het vertrouwen van de maatschappij in het financieel stelsel. Met het oog op risicobeheer, transparantie en het terugdringen van financial crime kregen financiële instellingen in de afgelopen jaren te maken met steeds strengere wet- en regelgeving op het gebied van Customer Due Diligence en Know Your Customer.

Deze richtlijnen stellen strengere eisen voor het doen van klantonderzoek, gericht op een integere bedrijfsvoering. Van financiële instellingen wordt verwacht dat ze weten met wie zij zaken doen door potentiële klanten en samenwerkingspartners te identificeren én beheersmaatregelen te treffen. 

Een gids voor CDD en KYC bij banken en verzekeraars

Hiermee moeten financiële instellingen voorkomen dat ze (zakelijke) relaties aangaan met personen die het vertrouwen in de instelling kunnen schaden. Het screenen en controleren van relaties door gebruik te maken van diverse sanctielijsten en registers is van essentieel belang.

Deze verantwoordelijkheid is vastgelegd in de Wet financieel toezicht (Wft), de Wet voorkomen van witwassen en financieren van terrorisme (Wwft) en de Sanctiewet (Sw). Indien financiële instellingen hier niet aan voldoen, riskeren ze hoge boetes of zelfs het intrekken van licenties. Het is dus van groot belang dat organisaties hierop ingericht zijn.

CDD in de praktijk bij banken

Het CDD-landschap bij banken is de afgelopen jaren enorm ontwikkeld en er is veel geïnvesteerd om flinke stappen te maken. Mede door de media-aandacht, druk vanuit DNB, maar ook vanuit de bank zelf, komt de behoefte om de CDD-activiteiten te verbeteren. Inmiddels krijgt CDD de aandacht die het verdient in de bestuurskamer en heeft het een vaste en prominente plek binnen de organisatie.

De stappen die gemaakt zijn in de CDD-processen zijn niet mis. Denk hierbij aan automatisering van de basics binnen CDD, maar ook bij transactiemonitoring. Als het aankomt op transactiemonitoring zien we dat het in kaart brengen van geldstromen niet altijd gemakkelijk is. Een verdachte transactie aanmerken, omdat deze een bepaald bedrag overschrijdt of omdat ze uit een bepaald land of van een aangemerkte afzender komt, is inmiddels dagelijkse kost.

Echter worden de personen die witwassen steeds slimmer in het ontwijken van deze transactiemonitoring. Hiervoor gebruiken ze allerlei tussenstations en breken het bedrag op tot het niet meer te traceren is.

Door samen te werken kunnen banken hun slagkracht vergroten. Bijvoorbeeld op het gebied van interbancaire transactiemonitoring. Hierbij wordt niet meer alleen naar de transactie binnen de eigen bank gekeken, maar naar alle banken die bij de samenwerking aangesloten zijn. Dit maakt het voor criminelen minder gemakkelijk om onder de radar te blijven wanneer men de transacties via verschillende Nederlandse banken laat lopen. Banken plukken de vruchten van deze samenwerking.

Kenmerkende CDD-activiteiten in de bancaire sector

Welke concrete activiteiten zien we op dit moment in het CDD-domein bij banken? Grofweg zien we bij banken drie belangrijke overeenkomsten:

Een KYC & identificatie-afdeling
Allereerst hebben inmiddels alle banken een KYC & identificatie-afdeling. Op deze afdeling gaat het om het kennen van de klant en het bieden van de juiste producten. Ook onderzoekt men op deze afdelingen of een klant integer is en bevinden de acceptatie en het afscheid van klanten zich in deze tak van het domein.

Transactiemonitoring
Dit is het controleren van het betalingsverkeer van de klanten. Een bank heeft de verplichting om klanten toegang tot het betalingsverkeer te verlenen en hiervoor is het belangrijk om deze transacties te monitoren.

Een aparte afdeling voor signalen
Tot slot is er binnen de meeste banken een aparte afdeling voor signalen. Dit zijn specifieke ‘red flags’ wanneer een klant negatief in het nieuws komt of wanneer er bepaalde sectorrisico’s of sanctielanden bij komen kijken. Dit wordt vervolgens verwerkt in de dossiers en kan ertoe leiden dat het risiconiveau van de klant wordt bijgesteld.

CDD in de praktijk bij verzekeraars

Het detecteren van fraude zit van oudsher in het DNA van de verzekeraar – ze screenen al decennialang klanten die een verzekering willen afsluiten, zowel gedurende de looptijd van de verzekering als bij het afsluiten ervan. Dit doen ze enerzijds om hun compliance op orde te hebben, en anderzijds levert het hen ook voordeel op. Het detecteren van fraude en witwassen bespaart geld en is goed voor ratio’s door ‘slechte’ risico’s buiten de deur te houden.

De impact van CDD op processen voor verzekeraars en banken is redelijk gelijkwaardig. Het gaat erom dat het dossier goed geadministreerd wordt. Het verschil zit met name in hoe je in het verleden je administratie hebt vastgelegd en of je dit kunt gebruiken om een dossier te creëren. Het dossier moet volledig en toegankelijk zijn wanneer nodig. Hier ontstaat een sterke link naar het meten van datakwaliteit in tijdigheid en volledigheid volgens de veelgebruikte ACCUT-principes.

De ene verzekeraar is hierin verder dan de ander, maar het eindstation is hetzelfde: een volledige dossiervorming die op aanvraag aan een toezichthouder kan worden overhandigd.

Kenmerkende CDD-activiteiten in de verzekeringsbranche

Bij verzekeraars zien we drie pijlers waarbinnen de CDD-activiteiten worden belegd:

Client onboarding
Client onboarding gaat over het wel of niet toelaten van nieuwe klanten op basis van een risicoprofiel. Dit risicoprofiel wordt opgesteld uit verschillende onderdelen. Bij veel verzekeraars staat al een goede basis om dit uit te kunnen voeren.

Denk hierbij aan BRP-, FRISS- of FISH-checks, sanctiescreening, RDW en het Kadaster. Zelfs postcodetabellen kunnen bijdragen aan een juiste beoordeling bij de onboarding. Wat hier nog bijkomt is een betere identificatie van de persoon en het verkrijgen van inzicht in waar het geld vandaan komt. Ook een eventuele PEP-screening is belangrijk om mogelijke fraude te detecteren.

Het is belangrijk om deze gegevens en uitkomsten op de juiste plek te administreren: in een compleet ‘dossier’. Eén overzicht waar alle informatie is terug te vinden. Zo kan er gemakkelijk een dossier overlegd worden bij controle van de toezichthouder.

Periodieke client review
Voor de periodieke client review scan je al je klanten tegen dezelfde lijsten als bij de onboarding. Deze lijsten kunnen namelijk continu wijzigen en dienen dus op een regelmatige basis gecontroleerd te worden. Daarnaast zijn events triggers voor een review van het risicoprofiel. Een sprekend voorbeeld van een trigger is een adreswijziging naar het buitenland. Dit vereist extra aandacht en wijzigt in sommige gevallen het risico.

Het aantal mutaties bij verzekeringen dat triggers veroorzaakt die het risicoprofiel wijzigen, is vaak een stuk lager dan bij banken. Er vinden namelijk niet continu transacties plaats die gemonitord dienen te worden. In het geval van financiële transacties van een verzekeraar moet gekeken worden waar het geld vandaan komt bij het incasseren van premies en het doen van betalingen aan intermediairs. Wanneer dit wijzigt, wijzigt mogelijk ook het risicoprofiel van de klant. En ook dit moet centraal geadministreerd worden in het dossier van de klant.

Client exit
Remediation, ofwel exit van klanten, is afhankelijk van wettelijke mogelijkheden en het product dat wordt afgenomen. Als klanten in het systeem geadministreerd blijven, is eigenlijk geen sprake van een exit, maar van een ‘freeze’. Denk hierbij aan pensioendeelnemers in een pensioencontract van een werkgever waarbij polissen premievrij worden gemaakt en de deelnemer geen nieuwe betrekkingen met de verzekeraar mag aangaan.

Bij andere productgroepen kan wel gekozen worden om volledig afscheid te nemen van een klant. Ook het administreren van klanten die worden afgewezen bij onboarding en de remediation hiervan moet worden vastgelegd in het dossier. Administratie is ook hier key om te kunnen voldoen aan de eisen van de toezichthouder.

Overlap tussen banken en verzekeraars

Tussen de twee sectoren zijn verschillende overeenkomsten en verschillen in hoe wordt omgegaan met CDD. Een aantal voorbeelden:

  • Waar bij banken per onderdeel van KYC en CDD afdelingen worden ingericht, wordt bij verzekeraars meer gefocust op de lifecycle van een klantrelatie.  
  • Een KYC & identificatie-afdeling: Het ‘ken je klant principe’ is nu al een actuele kwestie binnen verzekeraars en gaat in de toekomst alleen nog maar groter worden. Echter, de wet- en regelgeving is op dit onderdeel nog niet zo ver als in de bancaire sector. Daarnaast is het verbond van verzekeraars hier niet zo expliciet als DNB voor banken. Maar het is slechts een kwestie van tijd voordat hier verandering in gaat komen.
  • Transactiemonitoring: Dit onderdeel is belangrijker voor banken dan voor verzekeraars. Dit heeft te maken met het onderdeel van monitoring, het in de gaten houden van betaalstromen. Aangezien dit geen kernactiviteit van een verzekeraar is, verwachten we dat bij verzekeraars hier in de komende jaren wat minder CDD-ontwikkeling op zal komen.
  • Een aparte afdeling voor signalen: Banken zetten hier flink op in. Zo monitoren ze constant openbare bronnen en is de gehele organisatie ingericht om signalen uit klantgesprekken of andere bronnen op te pikken. Voor verzekeraars is het controleren op deze ‘red flags’ uiteraard ook van belang. Naar onze verwachting zal dit onderwerp in de nabije toekomst voor verzekeraars alleen maar relevanter worden.  

De implementatie van CDD en KYC

Om de integriteitsrisico’s te kunnen managen is het van groot belang dat organisaties een compleet en integraal overzicht hebben van de relaties, van identiteitsgegevens en gedragsinformatie tot aan het controleren van betalingstransacties. Organisaties moeten deze gegevens in CDD-dossiers vastleggen en deze conform wetgeving continu monitoren en toetsen. Er is niet één vast format dat de inrichting van CDD-activiteiten binnen organisaties bepaalt.

Een aantal uitgangspunten is in ieder geval essentieel:

1. Begin met de basis: een goede datahuishouding
De behoefte en noodzaak voor een CDD-afdeling liggen enerzijds in de wettelijke vereisten voor rapportage. Anderzijds is weten met wie de organisatie zaken doet noodzakelijk voor de groei financiële dienstverleners. Accurate en betrouwbare relatiedata is een essentiële basis voor CDD en KYC. Het levert een belangrijk concurrentievoordeel op, zeker als dit gebeurt met een centraal platform dat een uniform inzicht geeft in alle relevante persoons- en bedrijfsdata.

Het toenemende belang van datahuishouding en datamanagement speelt dan ook een grote rol. Het kunnen herkennen van relaties, zowel particulier als zakelijk, is fundamenteel voor een succesvolle registratie voor CDD en KYC.

2. Segmenteer de relaties op basis van risico
Financiële instellingen besteden onnodig veel inspanning aan relaties als de CDD-screening niet gebaseerd wordt op risico-inschatting. Door het vaststellen van een risicomodel is het mogelijk je als organisatie te richten op de relaties die verscherpte monitoring en controle behoeven. Het risicomodel is gebaseerd op risico-indicatoren en risicofactoren behorend bij de betreffende producten en diensten. Vervolgens kunnen de juiste beheersmaatregelen ingezet worden.

3. Zorg voor kennis en awareness
Het uitvoeren van CDD-activiteiten is een verantwoordelijkheid van de gehele organisatie. Het is een integraal onderdeel van de dienstverlening. Het is daarom van belang dat alle medewerkers in de organisatie bekend zijn met CDD en KYC. Awareness is essentieel voor het beheersen van risico’s.

4. Richt een passende governance in
Het uitvoeren van CDD-onderzoek vindt vaak plaats in een centrale afdeling. Hierbij wordt de dossierafhandeling belegd op één plaats. Essentieel is dat de organisatie een governance-model heeft ingericht als het gaat om verantwoordelijkheden, key personen en rollen. Met een ‘three lines of defense’-model wordt controle geborgd door het hebben van drie controle-onderdelen: lijnmanagement (eerste), compliance (tweede) en interne audit (derde).

5. Vertaal beleid in praktische handleidingen
Om te zorgen dat het opgestelde CDD-beleid daadwerkelijk ingebed is in de organisatie, is het belangrijk om praktische handvatten te bieden. Welke acties dienen uitgevoerd te worden? Welke afdeling is verantwoordelijk en waar worden de dossiers geadministreerd? Het is van belang dat dit vastgelegd is in handleidingen en dat de verantwoordelijkheden belegd zijn.

Aan dit artikel hebben Michiel van der Lans, Ilana van Berkum, Eline Bos, Bas van Doornik en Robbin Raaphorst meegewerkt – allen zijn werkzaam bij ITDS.