Wie CDD als vakgebied heeft, weet als geen ander welke wet- en regelgeving van toepassing is en welke risico’s de instelling waar je voor werkt loopt als hier niet aan wordt voldaan. De vastlegging is hierbij essentieel. In dit artikel geven we je tips en aandachtspunten voor deze vastlegging mee.
De vastlegging is CDD-onderzoek is essentieel. Hoe kunnen toezichthouders anders vaststellen dat men voldoet aan wet- en regelgeving? Dit is daarom ook vastgelegd in de Wwft (art 2b.3): Een instelling legt de resultaten van het vaststellen en beoordelen van haar risico’s vast, houdt deze actueel en verstrekt deze resultaten desgevraagd aan de toezichthoudende autoriteit.
In het CDD vakgebied zoekt men vaak naar “de norm”. Maar dit vakgebied kent een grote dynamiek en ieder dossier heeft zijn eigen context, waardoor “de norm” niet bestaat. Het is kennis die moeilijk overdraagbaar is en daarom om veel interactie vraagt. Audits kunnen hierbij helpen. Door de bevindingen terug te koppelen hebben audits namelijk een lerend effect voor organisaties. In dit artikel deel ik mijn ervaringen als auditor en geef ik een aantal tips om veelvoorkomende missers in CDD-onderzoeksrapporten te voorkomen.
Een rode draad in de bevindingen vanuit CDD-audits is dat veel rapporten niet altijd een volledig beeld geven van de informatie die we hebben van klanten en de afwegingen die analisten hebben gemaakt bij de (her)acceptatie in een betreffende risicocategorie. Het is altijd maar de vraag: hoe kijkt een onafhankelijke lezer (auditor) naar een onderzoeksrapport? Waarop beoordeelt die de kwaliteit van cliëntenonderzoeken en reviews?
Om te beginnen staat het kennen van je klant aan de basis van alle dienstverlening. Het CDD-onderzoeksrapport dient niet als sluitstuk, maar ís juist je onderzoek. Aan de basis van dat onderzoek staan awareness en een adequate risico-inschatting van de analist. Dat vereist alertheid op CDD-gerelateerde risico’s en het opvragen van, doorvragen op en vastleggen van relevante informatie.
Vanuit de auditaanpak ligt het zwaartepunt op de vastlegging van je onderzoek. Hier komt alles samen. Volledige informatie, bewijs en zichtbare beoordelingen van risico’s zijn van essentieel belang. In mijn beoordelingen van onderzoeken is de weg van de beoordeling van de risico’s en de indeling van een klant in een bepaalde risicocategorie niet altijd te volgen.
Zo is bij de toetsing van een dossier geconstateerd dat de risicoafweging/conclusie van het sectorrisico niet passend was. De analist trekt op basis van onvolledige informatie de conclusie dat er geen sprake is van zakelijke vastgoedactiviteiten. De analist heeft relevante afwijkingen/keuzes niet vastgelegd in het CDD-rapport. Is deze klant ingedeeld in een passende risicocategorie? Mogelijk is deze te laag.
Een ander voorbeeld is dat de instelling een klant accepteert in de risicocategorie Midden. De instelling wijkt af van de herberekende risicocategorie Hoog, terwijl een onderbouwing ontbreekt. Uiteraard moet je hier ook kritisch kijken of afwijken wenselijk is.
Om deze weg te kunnen volgen pas ik als auditor hoor-wederhoor toe, zodat ik de bevindingen kan toetsen voordat ik er conclusies aan verbind. In deze afstemmingsgesprekken komt vaak naar voren dat zaken wel geconstateerd zijn en dat er een afweging heeft plaatsgevonden. Of dit de juiste afweging is geweest blijft buiten scope van dit artikel.
De beoordeling van de risico’s en de afwegingen zijn niet altijd terug te zien in het rapport en dat is zonde. In het verlengde hiervan moeten onderliggende documenten (bewijs) vastgelegd worden in de systemen.
Op basis van mijn ervaringen als auditor wil ik analisten de volgende tips meegeven:
En ten slotte: je onderzoeksbevindingen en je vastlegging moeten expliciet aantonen dat je klantbeeld daadwerkelijk logisch is. Baseer je daar op zowel objectieve en subjectieve bronnen en wees alert op inconsistenties tussen beide.