Amsterdam, 27 november 2019 – Geert Vermeulen, CEO van Ethics & Compliance Management & Consulting (ECMC), houdt zich bezig met de rol van de poortwachter in de bestrijding van corruptie. Dit is zijn gastcolumn.

“Op vrijdag 8 november 2019 heb ik op de UCall conferentie van de Universiteit Utrecht de volgende 10 minuten pitch gegeven.

Hier is hij dan, de poortwachter. Als voorzitter van de Kennistafel Financial Economic Crime van de Vereniging van Compliance Officers, de VCO, noem ik me gekscherend ook wel eens de voorzitter van de Vereniging van Poortwachters. Samen met de autoriteiten vechten wij tegen de georganiseerde criminaliteit, tegen terroristen, corrupte dictators, mensenhandelaren en andere oneerlijke sujetten. Een prachtig en zinvol beroep dat wij soms met gevaar voor eigen leven uitoefenen. Onderschat het niet.

Tsja, de poortwachter. Een relatief nieuw begrip. Tot een jaar of 6 geleden had niemand het er over. Zelf viel mijn oog erop toen in 2016 het Nederlandse en Amerikaanse Openbaar Ministerie een schikking bereikten met VimpelCom i.v.m. omkoping. Destijds gaf het OM aan dat er nu ook gekeken ging worden naar de rol van de ‘facilitators’ van de corruptie, namelijk het trustkantoor, het advocatenkantoor, de notaris, de accountant en de bank. Zij hadden hun poortwachterfunctie niet goed uitgeoefend.

Uit dit rijtje heeft de ING-bank vorig jaar als eerste mogen schikken, en wel voor 775 miljoen euro. M.b.t. VimpelCom werd hen verweten dat ING Nederland de UBO’s, de ultimate beneficial owners, onvoldoende had vastgelegd in het dossier en bovendien geen melding had gemaakt van verdachte transacties door VimpelCom, ook niet nadat de ontvanger van het geld een jaar na de laatste betaling slecht in het nieuws kwam. Ik heb me regelmatig afgevraagd of deze signalen wel zo gemakkelijk te herkennen waren door een bank en of de corruptie gestopt zou zijn als ING wel de UBO’s had vastgelegd. Uit het feitenrelaas blijkt echter ook duidelijk dat ING het doen van business belangrijker vond dan compliance en ik waardeer het zeer dat in het schikkingsbedrag van 775 miljoen euro zo’n 100 miljoen euro is opgenomen aan ‘ontneming’, namelijk ontneming van het voordeel dat ING Nederland heeft genoten doordat het in de loop der jaren voor 100 miljoen euro te weinig had geïnvesteerd in de compliance functie. Het is duidelijk, de toon is gezet, de maatschappelijke verwachtingen zijn hoog en de schrik in de financiële sector zit er goed in. Eindelijk.

En de banken hebben het signaal serieus genomen. Uit berichten uit het FD blijkt dat de Nederlandse grootbanken inmiddels zo’n 6.000 medewerkers hebben aangenomen die zich bezighouden met de controle van klantdossiers, de afhandeling van mogelijke matches tegen de sanctielijsten en de resultaten van de transactiemonitoring.

Dit zijn echter ook commerciële organisaties, dus het moet allemaal wel zo goedkoop mogelijk gebeuren. Tegelijkertijd is voor het werk wel enig analytisch vermogen vereist. Daarom worden jonge, hoogopgeleide jongeren vers uit de schoolbanken aangetrokken, krijgen zij een spoed-cursus anti-witwassen van een week, waarna zij geacht worden om de criminelen op te sporen. In grote anonieme kantoorkolossen zijn zij bezig om de UBOs van klanten te achterhalen, vast te leggen, te screenen en om alerts af te handelen. Deze jongeren hebben vaak nog nooit in een bedrijf gewerkt en hebben soms geen idee waar ze naar zitten te kijken of waar de echte risico’s liggen. Laat staan dat ze een stroman herkennen. Ze worden geacht om elke dag hun target van een x aantal dossiers of alerts af te handelen. Het doen van nader onderzoek naar verdachte signalen heeft daarbij vooral als gevolg dat het target niet wordt gehaald, dus daar heeft niemand baat bij.

Hier is in de praktijk sprake van een enorme check-the-box exercitie, waarbij een risico-gebaseerde aanpak (de Wwft is in opzet principle-based) in de praktijk heeft plaatsgemaakt voor een bureaucratische 100% controle. Het zal de banken namelijk niet nog een keer gebeuren dat de UBOs en de herkomst van het vermogen niet zijn vastgelegd. Het werk is geestdodend en de meeste jongeren houden het maximaal 1,5 jaar vol. Een enorme verspilling van talent. Aan duurder betaalde, geroutineerde krachten is weinig behoefte, die zijn te lastig. De due diligence is bovendien zo georganiseerd dat de zogenaamde ‘first line of defense’ CDD/KYC-analisten onderdeel uit maken van ‘de business’, ‘de commercie’, onder het motto: die kennen de klant het beste. De business wordt echter vooral afgerekend op de commerciële resultaten, dus ra, ra wat de uitkomst van de due diligence zal zijn. Acceptatie van de klant of toch maar niet?

Dat neemt niet weg dat er vorig jaar honderdduizenden ongebruikelijke transacties zijn gemeld aan de FIU. Nederland is daarbij koploper in Europa, na Groot-Brittannië. Het lijkt erop dat de banken het zekere voor het onzekere nemen en liever te veel melden dan te weinig. De FIU kan tegelijkertijd slechts een klein percentage van deze enorme hoeveelheid meldingen onderzoeken; het ontbreekt hen aan capaciteit. En hoeveel terroristische aanslagen zijn er eigenlijk voorkomen door die honderdduizenden meldingen?

Een verdere complicatie is dat elke poortwachter slechts een stukje van de hele transactie ziet. Criminelen versluieren de herkomst van de gelden door een serie van transacties aan te gaan. De enkele transactie is dan wellicht niet verdacht maar het patroon wel. Dit patroon kan echter niet gezien worden door de poortwachter van een enkele organisatie.

Dan de andere kant van het verhaal. Een bedrijf van een zekere omvang, dat zakendoet met 4 verschillende banken, 3 intermediairs, 5 verzekeraars, een leasebedrijf, 2 advocatenkantoren, een fiscaal specialist en een externe accountant dient aan al deze 17 partijen inzicht te geven in de eigendom-structuur. En alle 17 CDD/KYC-analisten van deze 17 dienstverleners zitten in feite hetzelfde te doen. In het kader van de third party due diligence screent daarnaast ook een steeds groter deel van de klanten en andere zakenpartners dit bedrijf. Wederom: wat een verspilling.

Afgaande op de ervaringen met het Britse Company House, het eerste werkende UBO register in de EU, gaat het UBO register bij de Kamer van Koophandel hier voorlopig geen oplossing bieden. In het Company House is het nog mogelijk om als beroep ‘fraudeur’ op te geven en als adres ‘Straat van de 40 rovers’ in de stad ‘Ali Babba’. Nederlandse toezichthouders laten wel doorschemeren dat je niet blind mag varen op dit UBO register. Het kan nog jaren duren voordat alle entiteiten in het register zijn gecontroleerd. En in hoeverre kun je de UBO registers in andere landen vertrouwen, als ze er al zijn?

Kijk eens naar het plaatje hier onder. Hier ziet u de traditionele poortwachter. Deze staat voor de poort van de stad en ondervraagt degenen die de stad in willen gaan over hun identiteit, hun beroep, de goederen die ze meebrengen, de herkomst van de goederen, of deze wel echt van hen zijn en niet van iemand anders, en doet een inschatting of de personen deze goederen ook echt kunnen kopen. En of ze niet op de lijst met criminelen staan. Bovenop de poort staan de toezichthouders. Die bekijken of de poortwachter wel netjes alle vragen stelt en vastlegt. De poortwachter houdt echter alleen de poort in de gaten. Achter hem klimmen de criminelen gewoon over de muur.

 

Ik hoop dat het beeld duidelijk is. Kijk nog eens naar het plaatje. Is deze poortwachterfunctie geen publieke taak? Kan dit wel overgelaten worden aan de private sector? Het lijkt erop dat de overheid, door gebrek aan capaciteit, de poortwachterfunctie heeft opgedrongen aan de private sector. Werkt dat wel? En geloof me, dit gebeurt niet kostenloos, u gaat dit merken in de kosten van uw betaalrekening, van uw verzekering en de kosten van de notaris en de advocaat. En kan het allemaal niet een stuk efficiënter?

Ondertussen horen we over de eerste gevallen waar klanten, die normaal gesproken binnen de risk appetite van de financiële dienstverlener zouden vallen, geweigerd worden, omdat de kosten van de due diligence te hoog zijn geworden ten opzichte van de te verwachten opbrengsten. En organisaties die maanden moeten wachten voordat ze een bankrekening krijgen of een transactie goedgekeurd krijgen. Dit is niet goed voor de economie.

De ING-casus staat niet op zich. ABN Amro wordt ook onderzocht. In de Verenigde Staten zijn stevige boetes uitgedeeld, ook aan de Rabobank, en er gaan er ongetwijfeld nog meer volgen. In Scandinavië worden de Danske Bank, Swedbank en Nordea onderzocht. Zwitserland onderzoekt UBS en Credit Suisse. In Singapore, Estland, Letland en Malta zijn er bankvergunningen ingetrokken. De ene na de andere Laundromat wordt ontdekt.

Er is sprake van een systeemfout.

Mijns inziens moeten we uitzoomen om nog eens goed op macro-niveau naar dit proces te kijken en opnieuw naar de tekentafel te gaan. Geen check-the-box maar out-of-the-box. En graag denk ik mee over mogelijke oplossingen. Bijvoorbeeld:

1.    Een nationale aanpak volstaat niet voor deze grensoverschrijdende criminaliteit. Er moet internationaal toezicht komen.

2.    Publiek-private samenwerking is onontbeerlijk. Maar laten we nog eens goed kijken naar de balans tussen publiek en privaat. Kunnen we de poortwachterfunctie wel aan de private sector overlaten? En aan deze eerste lijn CDD/KYC-analisten? En wat heeft het meeste effect? 35 Extra mensen bij de FIU of nog eens 1.000 extra poortwachters bij de banken?

3.    Is de compliance functie wel voldoende onafhankelijk en geautoriseerd om tegenwicht te kunnen bieden aan de commercie? Laten we hier waarborgen voor opnemen in corporate governance codes.

4.    Nog meer aandacht voor ethisch handelen, gedrag en cultuur. De huidige moderne compliance officer is in staat om hierbij te helpen. Er is bovendien steeds meer bewijs dat ethische bedrijven op de lange termijn financieel betere prestaties leveren.

5.    Persoonlijke aansprakelijkheid voor bestuurders die onvoldoende investeren in de poortwachterfunctie. Denk hierbij bijvoorbeeld aan het senior managers regime, dat al van kracht is in de financiële sector in het Verenigd Koninkrijk.

6.    Ik pleit voor een meer risico-gebaseerde aanpak met inzet van ervaren krachten. Wellicht mist een organisatie dan eens een signaal. Maar hoeveel signalen worden er nu gemist of niet opgepakt door de overheid? Daar hoor je niets over.

7.    We moeten slimmer opereren. Laten we meer gebruik maken van nieuwe technologieën, zoals data-analyse, artificial intelligence en de blockchain.

8.    Zelf zie ik grote potentie voor het vastleggen van UBO’s in de blockchain. Als de UBO’s hierin vastliggen dan hoeven de bovengenoemde 17 dienstverleners niet allemaal nog eens hun eigen onderzoek te doen. Dit is geen verre toekomstmuziek, in Dubai wordt hier al mee geëxperimenteerd en naar verwachting volgt Scandinavië binnenkort.

En Nederland?”

Geert Vermeulen is CEO van Ethics & Compliance Management & Consulting (ECMC), en houdt zich onder andere bezig met de rol van de poortwachter in de bestrijding van corruptie.

Dit is een gastcolum. Dit hoeft niet de (volledige) mening van Transparency International Nederland weer te geven.