AML- en KYC-onderzoeken: van klantacceptatie naar doorlopende waakzaamheid
Introductie
Waar eerdere artikelen in deze reeks vooral zagen op onderzoeken naar incidenten, meldingen of specifieke transacties, ligt bij AML- en KYC-onderzoeken de nadruk op de voorkant van de relatie. Het doel is niet primair om achteraf vast te stellen wat er is misgegaan, maar om vooraf en tijdens de relatie te beoordelen met wie zaken worden gedaan, welk risico daarbij hoort en of dienstverlening kan worden misbruikt voor witwassen, terrorismefinanciering of sanctie-omzeiling. In een wereld waarin gewapende conflicten en geopolitieke spanningen directe doorwerking hebben op handelsstromen, betaalverkeer en eigendomsstructuren, is dat relevanter dan ooit.
Dat maakt AML- en KYC-onderzoeken wezenlijk anders dan veel andere compliance-onderzoeken. Ze zijn niet eenmalig, maar doorlopend van aard. Het cliëntenonderzoek begint bij onboarding, maar houdt daar niet op. De relatie, de transacties en het risicoprofiel moeten gedurende de hele klantcyclus worden gevolgd en, waar nodig, opnieuw worden beoordeeld.
Waarom AML- en KYC-onderzoeken meer zijn dan onboarding
In de praktijk wordt KYC nog vaak gezien als een verplicht onderdeel van de klantacceptatie: identiteitsdocument opvragen, UBO vaststellen, sanctielijsten controleren en vervolgens het dossier sluiten. Die benadering doet geen recht aan de systematiek van de Wwft. De wet verlangt van Wwft-plichtige instellingen een risico gebaseerde aanpak, waarbij niet alleen wordt gekeken wie de klant is, maar ook naar het doel van de relatie, de aard van de dienstverlening, de herkomst van middelen en het verwachte transactieprofiel.
Daarmee verschuift de kern van het onderzoek. De vraag is niet alleen: “Wie is deze klant?”, maar vooral: “Past deze klant, met deze structuur, activiteiten en geldstromen, binnen het integriteits- en risicokader van de instelling?”. Dat vraagt om analyse, duiding en periodieke herijking, niet alleen om documentverzameling.
De basis: Wwft, CDD en KYC
AML is het bredere anti-witwaskader, KYC is daarbinnen het proces van “ken uw klant”, en CDD, customer due diligence, is het cliëntenonderzoek waarmee dat in de praktijk wordt ingevuld. In Nederland is dit juridisch verankerd in de Nederlandse anti-witwaswetgeving. Die verplicht Wwft-plichtige ondernemingen onder meer om cliënten te identificeren en verifiëren, uiteindelijk belanghebbenden vast te stellen, het doel en de beoogde aard van de relatie te begrijpen, transacties te monitoren en ongebruikelijke transacties te melden.
Op papier klinkt dat overzichtelijk. In de praktijk begint het echte onderzoek vaak pas wanneer de structuur achter de klant complexer blijkt dan op het eerste gezicht zichtbaar is. Achter een vennootschap kunnen buitenlandse holdings, stichtingen, nominee-constructies, trusts of UBO’s schuilgaan die slechts indirect zichtbaar zijn. Juist in dat soort dossiers wordt duidelijk dat AML/KYC niet alleen een administratief proces is, maar ook een onderzoeksmatige discipline.
KYC ook buiten de Wwft: de verlegde compliance-druk van banken
Het belang van KYC wordt niet altijd volledig herkend door niet-Wwft-plichtige ondernemingen. In internationale handel leeft soms nog een ander beeld. KYC wordt daar vaak gezien als een onderwerp voor banken en betaaldienstverleners. Ook andere gereguleerde instellingen worden ermee geassocieerd. Formeel klopt dat onderscheid. In de praktijk werkt het inmiddels anders. Banken leggen een deel van hun compliance-druk neer bij klanten. Dat doen zij omdat zij worden afgerekend op portefeuillerisico’s.
Daardoor krijgen ook niet-gereguleerde ondernemingen steeds vaker aanvullende vragen. Die vragen gaan bijvoorbeeld over klantenbestanden en handelsstromen. Ook UBO-structuren en herkomst van gelden komen aan bod. Betrokken landen en interne beheersing spelen eveneens een rol. Vooral internationaal opererende handelsbedrijven krijgen hiermee te maken. Dat geldt ook voor import-exportstructuren en complexe supply chains. Banken kunnen aanvullende informatie verlangen. Soms verwachten zij een basaal compliance- of KYC-framework.
Vaak wordt dat belang pas gevoeld wanneer de bank vragen stelt. Dan blijkt de bestaande informatievoorziening onvoldoende. KYC verschuift dan van een abstract compliance-onderwerp naar een operationele kwestie. De bank kan aanvullende eisen stellen. Ook kan zij aandringen op implementatie van een compliance-framework. Daarnaast kunnen transacties scherper worden gemonitord. In het uiterste geval komt de klantrelatie onder druk te staan. Denk aan de-risking of offboarding. Juist daarom is vroegtijdige voorbereiding verstandig. Niet-Wwft-plichtige ondernemingen doen er goed aan vooruit te denken. Zij moeten nadenken over klant- en handelsrisico’s. Ook beoordeling en documentatie van counterparties zijn belangrijk.
Bronnenkeuze: data providers versus lokale registers
Een belangrijk, maar vaak onderbelicht onderdeel van AML- en KYC-onderzoeken is de vraag uit welke bron klantinformatie afkomstig is. In de praktijk wordt veel gewerkt met internationale commerciële databronnen, zoals Dun & Bradstreet of Bureau van Dijk/Moody’s, omdat zij snel, schaalbaar en gebruiksvriendelijk informatie ontsluiten over ondernemingen, aandeelhoudersstructuren en groepsrelaties. Zeker in internationale dossiers zijn dat waardevolle hulpmiddelen, omdat zij data uit veel jurisdicties op één plek samenbrengen.
Tegelijkertijd zit daar een belangrijk aandachtspunt. Zulke databronnen zijn in veel gevallen afgeleid van onderliggende primaire bronnen, zoals lokale handelsregisters, publicatieregisters of andere officiële registraties. Dat betekent dat er vertraging kan zitten tussen een wijziging in het lokale register en de verwerking daarvan in een commerciële database. Juist bij wijzigingen in bestuur, aandeelhouderschap, statutaire zetel of uiteindelijk belanghebbenden kan dat verschil relevant zijn.
Voor instellingen met een hogere risk appetite, of in laag-risico en grootschalige klantacceptatieprocessen, waarin veel nieuwe klanten worden on-board, kan het werken met een data provider een verdedigbare keuze zijn, zeker als snelheid, schaalbaarheid en operationele uitvoerbaarheid zwaar wegen. Maar naarmate het risico toeneemt, ligt het meer voor de hand om terug te gaan naar de primaire bron: het lokale handelsregister of een ander officieel register in de betreffende jurisdictie. Daar zit vaak de meest actuele en juridisch meest directe informatie, ook al is die minder gebruiksvriendelijk ontsloten.
De kernvraag is dus niet of data providers “goed” of “slecht” zijn, maar of de gekozen bron past bij het risicoprofiel van de klant en de risk appetite van de instelling. In low-risk processen kan een betrouwbare data provider proportioneel zijn. In complexe, internationale of high-risk dossiers is het vaak verstandig – en soms noodzakelijk – om gegevens uit commerciële bronnen te verifiëren aan de hand van lokale registers of andere primaire documentatie.
Van identificatie naar risicobeoordeling
Een goed AML- of KYC-onderzoek bestaat niet uit één handeling, maar uit een opeenvolging van stappen. Eerst wordt de klant geïdentificeerd en geverifieerd. Daarna wordt gekeken wie namens de klant optreedt, wie de uiteindelijk belanghebbenden zijn, of er sprake is van PEP’s, sanctierisico’s of verhoogde geografische risico’s, en wat het verwachte gebruik van de dienstverlening zal zijn.
Dat mondt uit in een risico-inschatting. Niet elke klant vraagt hetzelfde niveau van onderzoek. Een lokale onderneming met een eenvoudige structuur en voorspelbare activiteiten vraagt iets anders dan een internationaal actieve groep met meerdere lagen, geldstromen via verschillende landen en nauwe contacten met hoog-risicojurisdicties. Juist daarom werkt AML/KYC risico gebaseerd: hoe hoger het risico, hoe dieper het onderzoek en hoe zwaarder de motivering moet zijn.
In de praktijk stopt de vraag van cliënten of interne stakeholders daar vaak niet. Zij willen niet alleen weten of een partij als groen, oranje of rood moet worden gekwalificeerd, maar vooral wat dat vervolgens betekent voor de zakelijke beslissing. Met andere woorden: kunnen of moeten we op basis van deze bevindingen wel of geen zaken doen? Dat is een begrijpelijke vraag, maar geen puur technische exercitie. Een risicokwalificatie is geen automatische go/no-go-knop; zij vormt de basis voor een bredere afweging waarin compliance, business, legal en soms ook het bestuur moeten bepalen of een risico acceptabel is, onder welke voorwaarden, en welke mitigerende maatregelen nodig zijn.
Juist bij oranje en rode bevindingen ligt daar vaak de echte meerwaarde van een goed KYC-onderzoek. Niet alleen het signaleren van een verhoogd risico, maar ook het helpen duiden van de consequenties. Soms leidt dat tot aanvullende documentatie, een verdiepend onderzoek, strengere monitoring of specifieke contractuele voorwaarden. In andere gevallen is de conclusie dat de relatie niet past binnen de risk appetite van de onderneming of dat de bankrelatie, vergunning(en) of reputatie te veel onder druk komt te staan om verantwoord door te gaan.
Doorlopende monitoring en transacties
Een van de grootste misverstanden is dat KYC stopt na klantacceptatie. In werkelijkheid begint daar pas de volgende fase. De Wwft verplicht instellingen om zakelijke relaties continu te monitoren. Ook transacties moeten worden getoetst aan het klantprofiel uit de onboarding. Verandert een klant plotseling van handelslanden of transactiestructuur? Dan moet herbeoordeling volgen. Hetzelfde geldt bij opvallende stijgingen in volumes.
Binnen AML- en KYC-onderzoeken krijgt sanctiescreening steeds meer aandacht. Gewapende conflicten en geopolitieke spanningen spelen daarbij een belangrijke rol. Sanctieregimes veranderen sneller dan voorheen. Ook worden sanctielijsten vaker aangepast. Daarnaast groeit de aandacht voor omzeilingsconstructies via derde landen. Dat geldt ook voor tussenpersonen en complexe handelsketens. Een eenmalige screening bij onboarding is daarom niet meer voldoende.
Vooral internationale klanten vragen om voortdurende alertheid. Dat geldt ook voor handelsstromen en betalingen via risicovolle jurisdicties. Veranderingen in partijen of landen kunnen risico’s verhogen. Hetzelfde geldt voor gewijzigde goederenstromen of UBO’s. Zulke wijzigingen beïnvloeden direct het risicoprofiel.
Sanctiescreening gaat daarom verder dan namen controleren op lijsten. Ook transacties en structuren kunnen risico’s signaleren. Dat geldt vooral bij mogelijke sanctie-omzeiling. Deze risico’s spelen sterk binnen internationale handel en logistiek. Ook grondstoffenhandel en complexe supply chains vragen extra aandacht. De gevolgen voor klant- en transactierisico’s kunnen groot zijn.
AML- en KYC-onderzoeken zijn daardoor sterk dynamisch. Nieuwe bestuurders kunnen aanleiding geven voor herbeoordeling. Dat geldt ook voor gewijzigde aandeelhoudersstructuren of veranderende UBO’s. Sanctiewijzigingen en negatieve media spelen eveneens een rol. Een klant met een laag risicoprofiel kan later sterk veranderen.
Hier raken cliëntenonderzoek en transactiemonitoring elkaar. Soms ontstaat daarbij ook een meldplicht. Afwijkingen moeten verklaarbaar zijn. Ongebruikelijke transacties vragen om extra onderzoek. Het onderzoek verschuift dan naar een verdiepend integriteits- of AML-onderzoek.
Veelvoorkomende knelpunten in de praktijk
In veel organisaties zit de spanning niet in de regels zelf, maar in de uitvoering. Dossiers zijn onvolledig, informatie uit verschillende systemen sluit niet op elkaar aan, commerciële druk botst met compliance-eisen en periodieke reviews worden vooruitgeschoven. Daarnaast ervaren klanten vragen over herkomst van vermogen, eigendomsstructuren of buitenlandse entiteiten regelmatig als belastend of onbegrijpelijk, zeker wanneer aanvullende informatie op meerdere momenten wordt opgevraagd.
Een ander knelpunt is dat KYC soms te veel als administratief proces wordt ingericht. Daardoor verschraalt het onderzoek tot documentverzameling, terwijl juist de analyse centraal zou moeten staan. Een dossier is pas sterk als niet alleen alle stukken aanwezig zijn, maar ook duidelijk is waarom een klant wel of niet acceptabel wordt geacht en hoe dat besluit zich verhoudt tot het vastgestelde risico.
Ook brongebruik speelt hier een rol. Wie blind vaart op één databron of screeningstool, loopt het risico dat verouderde of onvolledige informatie wordt overgenomen in het dossier. Zeker bij internationale klanten kan het verschil tussen een data provider en een lokaal register bepalend zijn voor de vraag of een dossier nog actueel genoeg is om op te vertrouwen.
De rol van compliance, business en externe partijen
AML- en KYC-onderzoeken zijn niet exclusief van compliance. De business kent de klant, sales of relatiemanagers signaleren afwijkingen in de praktijk, compliance stelt de kaders en second line controls, en operations of onboarding-teams verwerken en verifiëren gegevens. In complexe dossiers worden daarnaast vaak externe databronnen, screeningtools of gespecialiseerde onderzoeks- en legal partijen ingezet, bijvoorbeeld bij internationale structuren, sanctierisico’s of escalaties rond account closures.
Juist omdat AML/KYC doorloopt gedurende de hele relatie, is samenwerking cruciaal. Een goed dossier ontstaat niet door één goede onboarding, maar door consistente vastlegging, periodieke herijking en tijdige escalatie zodra signalen niet meer passen bij het klantprofiel. Dat geldt niet alleen voor Wwft-plichtige instellingen, maar in toenemende mate ook voor ondernemingen die via hun bank, financiers of handelspartners worden geconfronteerd met indirecte compliance-eisen.
Afronding en vooruitblik: van klantonderzoek naar compliance audits
AML- en KYC-onderzoeken vormen in zekere zin de dagelijkse praktijkvariant van wat in eerdere artikelen terugkwam bij due diligence en integriteitsonderzoeken. Ook hier draait het om de vraag met wie zaken worden gedaan, welke risico’s daarbij horen en hoe wordt voorkomen dat een organisatie onbewust onderdeel wordt van een groter integriteitsprobleem.
Waar due diligence vaak ziet op een eenmalig beslismoment, gaat AML/KYC over continue alertheid. Daarmee vormt dit type onderzoek een brug tussen preventie en detectie: van klantacceptatie naar transactiemonitoring, van dossieropbouw naar mogelijke melding, en soms uiteindelijk naar verdiepend intern onderzoek.
In het volgende en laatste artikel in deze reeks verschuift de focus naar compliance audits. Waar AML- en KYC-onderzoeken zich richten op individuele klanten, dossiers en transacties, kijken compliance audits juist breder naar de opzet, werking en effectiviteit van het compliance-framework als geheel. Daarmee vormt dat slotartikel het logische sluitstuk van deze reeks: van incident en dossier, naar systeem en beheersing.
Uitnodiging tot consultatie
We kunnen ons voorstellen dat u na het lezen van dit artikel vragen heeft en graag van gedachte wilt wisselen over bepaalde onderwerpen. Of dat u met een concrete casus zit waarover u van gedachte wilt wisselen. We nodigen u uit om vrijblijvend contact met ons op te nemen om kennis te maken met u (en/of uw casus). Onze contactgegevens vindt u op onze website.
<h3>Vooruitblik naar het volgende artikel
In het volgende artikel duiken we in de ongemakkelijke waarheid: Internal Audit vs. de Business. Waarom auditteams vaak als “remmende factor” worden gezien – en hoe je dat omdraait.
Kom in contact
Dennis van der Meer | +31618948848 | dennis.van.der.meer@compliancechamps.com
Boy Custers | +31649935735 | boy.custers@compliancechamps.com
Lees hier meer artikelen.
