Anti-witwastechnologie: waar de IT-auditor en compliance officer elkaar treffen

15 november 2021 Eddy van Rooijen en Jean-Jacques Bistervels
In dit artikel:

(Publicatiedatum: 15 november 2021)

De compliance officer en de IT-auditor hebben elkaar nodig in de dynamische, complexe en sterk ICT-gedreven wereld van het anti-witwassen (AML). De Financial Action Task Force on money laundering (FATF) heeft een inspirerende inventarisatie opgesteld om dergelijke multidisciplinaire teams op de toekomst voor te bereiden: ‘Stocktake on data pooling, collaborative analytics and data protection’. Wil je als compliance officer of (IT-)auditor goed geïnformeerd zijn over de ontwikkelingen en ben je bereid om samen te werken? Lees dan vooral verder.

FATF is een invloedrijke bron van kennis en heeft ook een wereldwijde dwingende werking op de effectiviteit van lokale AML-wet en regelgeving. Dat (lokale) regelgeving op het gebied van antiwitwassen soms nog verder versterkt mag worden, heeft veel meer te maken met nieuwe inzichten, politiek en bijbehorende belangen.1

Aanbevelingen FATF

FATF2 heeft met zijn reeks Recommendations veel invloed op regelgeving voor witwasbestrijding en voorkoming terrorismefinanciering. Hoewel in de wereld de verschillende spelers wellicht de nodige verschillende interpretaties van regelgeving ervaren en er veel grijze vlakken zijn om in te vullen, ligt de oorsprong van veel regelgeving in ‘slechts’ een veertigtal Recommendations van de FATF, daterend van inmiddels de nodige jaren geleden. Bovendien beoordeelt FATF hun leden op de invulling van de Recommendations. Zo zal Nederland ook binnenkort weer bekeken worden.

Zowel voor (IT-)auditors als voor Compliance is het daarom belangrijk uitkomsten van Recommendations van FATF en documenten zoals Stocktake on datapooling van de FATF goed te bekijken en te bezien waar we de komende jaren naartoe gaan. We willen immers, naast goede governance3, bijvoorbeeld ook controle op naleving van wetten zien.4 Ook willen we proactief zijn en waar mogelijk de ‘business’ ondersteunen om een integere bedrijfscultuur te stimuleren.5 De inzet van techniek zal daarbij een steeds grotere rol krijgen, en FATF werkt daarvoor enkele kaders uit.

Privacy én misdaadbestrijding

Het FATF-artikel vraagt verder aandacht voor de noodzaak zowel de misdaad te bestrijden als de privacy van betrokkenen te waarborgen. Het is dus niet of-of, maar beide tegelijk. Dit is extra lastig doordat de regelgeving aparte functionarissen aanwijst voor misdaadbestrijding respectievelijk privacybescherming: de Anti Money Laundering Compliance Officer (AMLCO) en de Data Protection Officer (DPO). In de praktijk leidt dit gemakkelijk tot tegengestelde belangen of interpretaties. Dit kan extra knellen als beide functies, zoals vaak bij kleinere financiële instellingen gebeurt, in één functionaris worden verenigd: de compliance officer of de (IT-)auditor. Dan liggen praktische uitdagingen bij de uitvoering van de gecombineerde controlefuncties voor de hand.

Uitdagingen in de praktijk

Als Compliance Officers (CO’s) en (IT-)auditors zien wij in de praktijk bijvoorbeeld regelmatig dat het belang van privacy boven dat van AML/TF wordt gezet. Zoals bij belangrijke klantrelaties. Of wij zien juist dat bankmedewerkers die criminelen willen aanpakken of ze weigeren als klant te accepteren door de rechter worden teruggefloten.6 Reden: de bank heeft zich niet aan de wettelijk voorgeschreven bijzondere zorgplicht van banken gehouden. En dan zijn er ook nog redelijk wat medewerkers die de complexiteit van de regelgeving gewoonweg niet meer overzien en zwart-op-wit helemaal uitgespeld willen zien wat zij moeten doen. Dat leidt soms tot omvangrijke boekwerken bestaande uit beleid, procedures en werkinstructies geflankeerd door begeleidende opleidingen. Een complex geheel waarvan de verschillende onderdelen allemaal op elkaar aangesloten moeten blijven.

Concrete voorbeelden van technologie

Het document Stocktake bevat goede voorbeelden van praktijk en techniek. Meteen al het eerste voorbeeld uit het Verenigd Koninkrijk op pagina 11 laat zien hoe data gedeeld wordt om het grotere plaatje te kunnen zien bij ongebruikelijke transacties, zonder naam en adres van betrokkenen te onthullen. Het is de ICT die dit door het gebruik van encryptie mogelijk maakt compliant zijn, zowel op het gebied van misdaadbestrijding als op dat van de privacybescherming.

In het voorbeeld uit Japan, op pagina 15 van Stocktake, worden AI-technieken gebruikt om data uit een veelheid van bronnen te combineren zonder datapooling te hoeven toepassen (bij datapooling worden namen en adressen vrijgegeven). Zie verderop ‘Japan’s proof of concept voor Artificial Intelligence’ voor een korte toelichting. Dit is een mooi voorbeeld van samenwerking tussen Compliance en IT-auditor. De compliance officer geeft aan welke regels er voor de techniek gelden. De IT-auditor beoordeelt vervolgens of de techniek voldoet aan de regels.

Hoe Nederland omgaat met de aanpak van witwassen

Stocktake noemt ook het initiatief van de Nederlandse grootbanken ‘Transactie Monitoring Nederland’ (TMNL). Voor kleinere financiële instituten kan het even duren voordat technologie ze gaat helpen. Ze zijn (nog) niet aangesloten bij TMNL en beschikken meestal over veel minder geld en mankracht om te investeren in nieuwe technieken. Wellicht kunnen andere initiatieven, die met het Bankverwijzingsportaal7 gestart zijn, ook kleinere partijen helpen bij te dragen aan AML. Het voordeel voor auditors is dat daar een wet voor is gemaakt waarbij de Nederlandse overheid verantwoordelijk is voor de toetsing van het systeem aan bijvoorbeeld privacy-

gerelateerde regelgeving.8 De compliance officer of de (IT-)auditor hoeft dan niet zelf te bezien of zowel privacybescherming als criminaliteitsbestrijding voldoende gediend worden, want dat heeft de overheid zelf al beoordeeld.

Japan’s proof of concept voor Machine Learning (ML) en Artificial Intelligence

In Japan werd een project uitgevoerd met gebruik van ML en AI. Dit was een proof of concept(POC) met als doel een AI-model te bouwen om het menselijk oordeel te vergemakkelijken. Dit gebeurde door de waarschijnlijkheid te berekenen van een true positivescore voor de transactie-monitoring en sanctiescreening.

In deze POC werden de transactiegegevens van individuele instellingen niet gedeeld of samengevoegd, maar koos men voor een van de volgende twee benaderingen:

  1. Integratie, niet van de data, maar van de individuele AI-modellen die van de dataset van de eigen instelling hebben geleerd.
  2. Afstemmen van het AI-model dat via de dataset van één instelling al had geleerd, om via een andere instelling verder te leren. Men zette dit proces voort om de nauwkeurigheid van dit AI-model te verbeteren. De POC zou de efficiëntie en effectiviteit van AML/CFT als geheel kunnen verbeteren indien breed toegepast. De gegevens van klanten waren niet in het geding.

Samenwerking binnen en tussen financiële instituten

FATF heeft verkend welke bestaande en toekomstige technologieën er zijn om AML/TF te kunnen analyseren binnen én tussen financiële instituten. FATF schonk in haar document ‘Recommendation 18: Internal controls and foreign branches and subsidiaries’ wel al aandacht aan technologie en analyse binnen financiële instituten maar nog niet voor buiten de instituten. Dat gat is met het in dit artikel besproken document Stocktake gevuld. Veel financiële instituten zijn inmiddels druk bezig met bijvoorbeeld (verbetering van) transactiemonitoring, ontwikkelingen voor identificatie/verificatie en het verzamelen van in formatie over klanten of prospects. Er zijn verdere samenwerkingen tussen financiële instituten nodig om criminaliteitsbestrijding door automatisering te verbeteren, waarbij ook rekening wordt gehouden met privacy.

Wederzijdse versterking van compliance en audit

Compliance officers zijn goed op de hoogte van regelgeving en de toepassing hiervan in de praktijk. Maar de technologische aspecten van transactiemonitoring vallen normaliter niet binnen het kader van de functie. Hoe weet je nu of je alle transacties uit verschillende systemen in je transactiemonitoringsysteem zijn opgenomen? Dit zijn precies de facetten van een transactiemonitoringsysteem waar een IT-auditor aanvullend assurance en/of advies over kan geven. Anderzijds kan de compliance officer weer aangeven wat de wettelijke eisen aan het systeem zijn.

Op het terrein van daadwerkelijke aandacht zien wij een sterk verbeterde intrinsieke motivatie. Net als elders was aanvankelijk ook in Nederland de aanpak van AML/TF vooral gedreven door angst voor boetes en maatregelen. De praktijk anno 2021 leert dat grote groepen medewerkers nu ook met een intrinsieke motivatie aan de slag zijn om deze FATF-eisen gebaseerd op de veertig aanbevelingen van FATF invulling te geven. Overigens is dat niet altijd eenvoudig, ondanks de forse inspanningen in tijd en (geldelijke) middelen.

Tot slot: volgende stappen

In de voorbeelden die FATF geeft is sprake van technologische samenwerkingsverbanden voor verbetering van criminaliteitsbestrijding tussen verschillende financiële instituten. Hierbij gaat het vaak om een proof of concept, wat betekent dat je in deze ‘Stocktake’ niet meteen een uitgewerkte oplossing kan vinden die je direct zelf kunt toepassen. Je vindt er wel voorbeelden waar je verder over kunt nadenken, waaraan je met collega’s uit verschillende disciplines (en organisaties) kunt verder werken. Zo kun je samen de fantasie prikkelende toekomstbeelden ontwikkelen die hopelijk op korte termijn het kaf van het koren op het gebied van criminaliteitsbestrijding kunnen scheiden. En wel zonder schending van mensenrechten zoals privacy en non-discriminatie.

Samenwerking NOREA en VCO

Dit artikel is een eerste productie in de samenwerking die NOREA en VCO hebben opgezocht. Deze twee beroepsgroepen vullen elkaar op een natuurlijke wijze aan. Tenslotte heeft de compliance officer de vereiste kennis van wet- en regelgeving, ethiek, integriteit en AML en de IT-auditor heeft de vereiste kennis van ICT, geautomatiseerde procedures voor monitoring en signalering van red flags. De laatste tijd is daar ook kennis van AI bijgekomen. Natuurlijk is het geen zwart-witscheiding – elke professional oriënteert zich ook op aanpalende terreinen – maar in het algemeen zal de ene beroepsgroep niet beschikken over de grondige opleiding en training van de andere beroepsgroep. Een samenwerking van de beroepsgroepen van de professionals ligt dan ook voor hand.

 

Webinar VCO, ook voor NOREA-leden:

‘GDPR Compliance, de Cloud, Big data en een vleugje Cybercrime’

Ongeveer gelijktijdig met de publicatie van dit artikel is op 18 november 2021 een tweede gezamenlijke activiteit georganiseerd: een webinar over de cloud. Deelname staat open voor leden van NOREA en VCO.

Noten

1 Brief 11 september 2020 van W.B.J. Hoekstra: Beantwoording Kamervragen van een Schriftelijk Overleg over het fiche Mededeling Commissie over het actieplan beleid ter voorkoming witwassen.

2 FATF: De Financial Action Task Force on money laundering is een intergouvernementele organisatie opgericht door de G-7 in 1989. De FATF richt zich op de internationale bestrijding van witwassen en sinds 2001 ook op de bestrijding van terrorismefinanciering. Leden van de FATF, waaronder Nederland, zijn gebonden aan 40 aanbevelingen. De aanbevelingen zijn gericht op het nemen van preventieve maatregelen door meldplichtige instellingen, maatregelen ter verbetering van nationale rechtsstelsels en de internationale samenwerking. De FATF ziet tevens toe op de juiste werking en de effectiviteit van die (wettelijke) regels. Aan de hand van de FATF-aanbevelingen worden leden regelmatig beoordeeld en geëvalueerd.

3 IIA_Good_Governance.pdf.

4 Frank ‘t Hart Compliance in het financieel toezichtrecht, De compliance functie, derde druk, p. 61-84.

5 Nederlands Compliance Instituut: De evolutie van de compliance functie A.N.R.N. Alibux MSc LL.M, dr. M. Hage & mr. F.P. van de Wouw.

6 Slechts enkele van de voorbeelden van recente jurisprudentie: ECLI:NL:RBAMS:2021:3337, ECLI:NL:RBAMS:2021:2098.

7 Verwijzingsportaal bankgegevens (dnb.nl).

8 De Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). De overheid worstelt nog met de afweging tussen de bestrijding van criminaliteit en de bescherming van privacy. Dat blijkt bijvoorbeeld uit een recent artikel in het FD van 9 november 2021 over een andere wet. Dat is de Wet gegevensverwerking door samenwerkingsverbanden. Uit het artikel blijkt dat de AP de Eerste Kamer oproept niet in te stemmen met die wet omdat die burgers te weinig bescherming biedt: de wet ‘zet de deur open voor massasurveillance door overheid en private partijen.’

Niet gecategoriseerd

Mr. Eddy van Rooijen CCO | senior compliance officer bij Argenta Spaarbank

Eddy werkt sinds 2016 bij Argenta als senior compliance officer. Daarvoor heeft hij meer dan tien jaar ervaring opgedaan in verschillende compliance functies bij Van Lanschot en Rabobank. Eddy is sinds 2018 lid van de kennistafel Regtech van de Vereniging van Compliance Officers (VCO). De VCO kennistafels richten zich op kennisuitwisseling en het verstreken van onderlinge netwerken.

Ir. J.E. (Jean-Jacques) Bistervels RE CIA/CFSA/CCSA CRISC/CDPSE CCP | Senior Audit Manager bij Obvion

Jean-Jacques Bistervels is werkzaam als auditmanager bij Obvion. Hij richt zich daar op IT en operational audits. Na zijn studie Technische Bedrijfskunde aan de TUE is hij zijn carrière bij Ernst & Young gestart als IT-auditor. Hij heeft daarna ruim zeven jaar gewerkt binnen de farmaceutische sector, daarna ruim tien jaar in de financiële sector en kort nog even in de wereld van gemeenten en media & educatieve bedrijven vertoefd. Binnen NOREA is hij actief voor de kennisgroep Software Development en als redacteur voor de IT-auditor.