Risicoprofilering is de basis van elke Wwft-aanpak. In dit artikel lees je hoe je klanten, producten en diensten effectief classificeert, welke fouten je moet vermijden en hoe je de risicobeoordeling praktisch toepasbaar maakt in je dagelijkse processen.
Waarom risicoclassificatie méér is dan een invuloefening
De Wwft vraagt van instellingen dat zij hun cliënten en dienstverlening indelen op basis van risico’s. Dat klinkt logisch (en dat is het ook). Maar in de praktijk wordt risicoprofilering nog te vaak gezien als een formaliteit: iets wat moet voor het dossier, zonder echte impact op het vervolg.
Toch is juist deze stap bepalend voor:
- de diepgang van je cliëntenonderzoek,
- het vervolgtraject (monitoring, meldplicht),
- en de aandacht die je aan de relatie blijft geven.
Zeker onder de AMLR zal risicoprofilering meer nadruk krijgen. Want keuzes moeten verklaarbaar, onderbouwd en controleerbaar zijn. Tijd dus om risicoprofilering serieus te nemen.
Let op! Een risicoprofiel is nadrukkelijk niet hetzelfde als een risicocategorie. Een risicocategorie zet je cliënt in een categorie (laag, standaard of hoog risico) waarvoor specifieke (interne) regels gelden. Een risicoprofiel is de set aan indicatoren en scenario’s die je gebruikt om gerichte monitoringactiviteiten te ontplooien (meer concreet).
De drie hoofdcomponenten van risicoprofilering
- Klantgerelateerde risico’s
Welke kenmerken maken een klant risicovol?
- De herkomst of vestigingsplaats (bijvoorbeeld buiten de EU of in een FATF-high risk land),
- Het type klant (bijv. trust, stichting, buitenlandse structuur),
- Politiek prominente personen (PEP’s) of banden met sanctielanden,
- Ongebruikelijke geldstromen of herkomst van vermogen.
Niet alle afwijkingen betekenen automatisch een hoog risico — maar elke afwijking moet je kunnen onderbouwen en meewegen.
- Product- of dienstgerelateerde risico’s
Sommige diensten zijn van nature gevoeliger voor misbruik. Denk aan:
- diensten met veel contante betalingen,
- vermogensbeheer, beleggingsadvies of cryptodiensten,
- anonieme of moeilijk te traceren producten,
- financiële bemiddeling zonder directe klantrelatie.
Deze risico’s moet je niet alleen benoemen in je SIRA, maar ook per klantrelatie beoordelen.
- Distributie- of kanaalrisico’s
Op welke manier vindt het contact plaats?
- Face-to-face, digitaal of via derden,
- met of zonder identiteitscontrole op afstand,
- via vaste klanten, open platforms of intermediairs.
Een klant die je alleen online kent via een makelaar, brengt logischerwijs meer risico mee dan een lokaal bekende ondernemer die je al jaren bedient.
Veelgemaakte fouten en hoe je ze voorkomt
- Eén score voor alles
Sommige instellingen geven een klant één totaalrisico (laag, midden, hoog) op basis van een vage optelsom. Daarmee verdwijnen nuance en onderbouwing. Toezichthouders verwachten dat je afzonderlijke risicodimensies meeneemt én uitlegt hoe je tot het eindoordeel komt.
Praktisch: Gebruik een scoringsmodel dat klant-, product- en kanaalrisico’s afzonderlijk beoordeelt en deze zichtbaar weegt in de totaalscore.
- Geen duidelijke criteria of uitleg
Wat maakt een klant ‘hoog risico’? Of waarom valt een crypto-transactie bij jou in de middencategorie? Als je dat niet concreet hebt vastgelegd, is je classificatie arbitrair.
Advies: Stel per risicofactor duidelijke beoordelingscriteria op. Bijvoorbeeld:
- PEP = altijd hoog risico,
- EU-klant + standaarddienstverlening = laag risico,
- crypto + buitenlandse structuur = verhoogd risico.
- Geen herziening of actualisatie
Klanten kunnen veranderen. Als je risico-inschatting blijft hangen op de initiële beoordeling, kan je monitoring tekortschieten.
Oplossing: Koppel herbeoordeling aan vaste momenten (bijv. jaarlijks, bij wijziging UBO, of bij opvallende transactie).
Hoe gebruik je risicoprofilering in de praktijk?
Een goed risicoprofiel is niet alleen een startpositie, maar ook een stuurmiddel. Je gebruikt het voor:
- de categorisering (laag, standaard en hoog) en daarmee de keuze tussen vereenvoudigd, standaard of verscherpt cliëntenonderzoek,
- de focus op indicatoren en scenario’s voor monitoringactiviteiten,
- de intensiteit van monitoring of reviewfrequentie op indicatoren en scenario’s,
- besluitvorming over acceptatie of beëindiging van klantrelaties.
Kortom: als het risicoprofiel geen effect heeft op je cliënt onderzoeksprocessen, dan mist het zijn doel.
Veelgestelde vragen
Mag ik zelf bepalen wat ik als hoog of laag risico aanmerk?
Ja, maar je moet je keuzes wel onderbouwen én afstemmen op je SIRA. Je kunt niet zomaar afwijken van wat in wetgeving of sectoranalyses als risicovol wordt beschouwd. Voorkom onnodig verwarring in terminologie en gebruik deze consistent in de organisatie.
Is een risicoformule met puntenscores verplicht?
Nee, elke organisatie bepaalt zelf hoe risicobeleid en risicoprofilering vorm krijgen. Zolang je dit maar uitlegbaar en reproduceerbaar doet. Puntensystemen kunnen helpen, maar zijn geen vereiste.
Verder lezen
- SIRA opstellen: zo vertaal je risico’s naar beleid
- Wwft-checklists opstellen: 7 stappen voor een controleerbaar proces
- Verscherpt cliëntenonderzoek: wanneer en hoe pas je dat toe?
Hulp nodig bij het opzetten of toetsen van het systeem van risicoprofilering en risicoprofielen?
Assurvia helpt Wwft-instellingen met risicomodellen, scoringsmethodes en procesinrichting. Of je nu een model zoekt voor onboarding, herbeoordeling of monitoring: wij zorgen voor een passende, werkbare én controleerbare oplossing.
Mail ons op info@assurvia.com of bekijk de andere artikelen in onze kennisbank.
