SPEAKERS’ CORNER
SPEAKERS’ CORNER
DE PARADISE PAPERS: INCIDENT OF TREND?
XXX XXX XXXXXXXXXXX
NA DE STORM RONDOM DE PANAMA PAPERS IN 2016 STAAN DE MEDIA NU BOL VAN DE PARADISE PAPERS. EEN OVEREENKOMST TUSSEN AL DEZE DATALEKKEN IS DAT ALLE BETROKKEN PARTIJEN ACTIEF ZIJN BIJ HET OPZETTEN EN BEHEREN VAN OFFSHORE- ENTITEITEN EN BANKACCOUNTS VOOR CLIËNTEN WERELDWIJD. DE VRAAG DRINGT ZICH DAN OOK OP: WAT BETEKENEN DEZE DATALEKKEN VOOR DE COMPLIANCE- MEDEWERKERS?
INLEIDING
Na de Lux Leaks, Swiss Leaks, Offshore Leaks en de Panama Papers werd er op zondag 5 november 2017 een nieuw datalek geopenbaard, de Paradise Papers: 13,4 miljoen gelekte documenten, e-mails en contracten. In wezen gaat het om drie aparte datalekken met de gezamenlijke naam: de Paradise Papers. Het eerste lek is bij advocatenkantoor Xxxxxxx en haar voormalige dochteronderneming Esteria.
Bij het tweede lek gaat het om documenten afkomstig uit de administratie van Asiaciti Trust in Singapore. Het derde lek omvat overzichten en uittreksels van negentien verschil- lende bedrijfsregisters.1 De gegevens zijn door een ano- nieme tipgever doorgespeeld aan de Duitse krant de Süddeutsche Zeitung, die ze vervolgens heeft gedeeld met het International Consortium of Investigative Journalists (ICIJ) en de hieraan verbonden groep van journalisten.
Voor Nederland zijn dat het FD en Trouw.
Een compliancemedewerker maakt een op risico gebaseerde afweging van de dienstverlening van een bepaalde cliënt (risicoanalyse) en stelt op basis daarvan een risicoprofiel op. Het gebruik van entiteiten gevestigd in offshore-jurisdicties
1 Betreft de volgende offshore jurisdicties: Antigua & Barbuda, Aruba, de Bahama’s, Barbados, Bermuda, de Kaaimaneilanden, Cookeilanden, Dominica, Grenada, Labuan, Libanon, Malta, Marshalleilanden, Saint Kitts & Nevis, Saint Lucia, Saint Vincent, Samoa, Trinidad & Tobago
en tenslotte Vanuatu.
is daar een belangrijk onderdeel van. Zonder identificatie en mitigatie van risico’s aangaande relevante offshore- participatie zal het risicoprofiel onvolkomen en incorrect zijn en daarmee voorbijschieten aan het doel ervan.
Een compliancemedewerker kan op verschillende manieren betrokken raken bij offshore-entiteiten en -jurisdicties: zo kan een dergelijke entiteit cliënt zijn van een financiële instelling, optreden als wederpartij van een transactie of deel uitmaken van een internationale bedrijfsstructuur. Ook kan ze optreden als bestuurder en/of aandeelhouder en ten- slotte kan offshore ook een rol spelen bij het aanleggen
van een lijst van offshore-jurisdicties die eventueel worden geïmplementeerd in de SIRA en/of het cliëntenacceptatie- dossier.
DATALEKKEN: INCIDENT OF TREND?
De gelekte documenten onderstrepen nogmaals het significante belang van goed cliëntenonderzoek door financiële instellingen. Dit om te voorkomen dat ze ongewild verwijtbaar betrokken raken bij onregel- matigheden van hun cliënten. Overigens waren de Paradise Papers niet het eerste lek dat plaatsvond.
Hierna een overzicht van de belangrijkste data- lekken vanaf 2007 tot en met 2017.
24 / maart 2018
JAAR | NAAM | TYPE INSTELLING |
2007 | UBS | Bank in Zwitserland |
2007 | Swiss Leaks | HSBC-bank in Zwitserland |
2008 | LGT | Bank in Liechtenstein |
2013 | Offshore Leaks | Twee trustkantoren: Portcullis trustNet in Singapore en Commonwealth Trust Limited in de BVI |
2014 | Lux Leaks | Belastingadviseur PWC Lux |
2016 | Panama Papers | Advocaten- en trustkantoor Mossack Fonseca in Panama |
2016 | Bahama Leaks | Handelsregister in de Bahama’s |
2016 | Football Xxxxx | Xxxxxxxx |
2017 | Credit Suisse | Bank in Zwitserland |
2017 | Paradise Papers | Advocatenkantoor Appleby in Bermuda |
Tabel 1: Overzicht van enige belangrijke datalekken
Er hebben dus in deze periode tenminste tien datalekken plaatsgevonden bij dienstverleners zoals banken, belasting- adviseurs, trustkantoren en handelsregisters. Opvallend in deze tabel is dat de frequentie, de omvang en de ver- scheidenheid van instellingen de laatste twee jaar is toegenomen. Bij de Paradise Papers gaat het vooral om belastingontwijking door multinationale ondernemingen zoals Nike, Apple, Uber, Facebook en Glencore. Veelal gaat het om banken in Zwitserland waar de accounts worden aangehouden en om Caribische landen zoals Panama, de Britse Maagdeneilanden, de Bahama’s en Bermuda waar de offshore-entiteiten zijn gevestigd.
De keuze voor een land als vestigingsplaats van een offshore-vennootschap zal vanuit misbruikperspectief gezien, vooral ingegeven worden door de aanwezigheid van anonimiteit bevorderende elementen, zoals belasting- vrijdom (waardoor er geen aangiftebiljet moet worden ingevuld en ingeleverd en de lokale overheden over minder informatie beschikken en zodoende ook niet kunnen uitwisselen met andere landen); de mogelijkheid om van nominee-dienstverlening gebruik te maken; het niet hoeven opmaken van een jaarrekening; en een minimum aan deponeringsverplichtingen in openbare registers, waar- door er vrijwel geen informatie beschikbaar is over de eigenaren en bestuurders van deze bedrijven.
DE GEBRUIKTE OFFSHORE-STRUCTUREN EN TRANSACTIES
De Paradise Papers en eerdere datalekken geven een uniek inkijkje in de wereld die weinig transparant is voor de buitenwereld. Zij geven een beeld van structuren die zijn opgezet voor multinationale ondernemingen, politici en vermogende particulieren om belasting te ontwijken en/of corruptiebetalingen te verhullen. Een veel voor- komende constructie, vooral bij belastingfraude en
corruptie, is de volgende: het oprichten van een offshore- vennootschap in een belastingparadijs met een nominee director, statutair gevestigd op het adres van een lokaal trust- of advocatenkantoor die een factuur stuurt met een niet-stoffelijke omschrijving zoals: ‘consulting’ of ‘management fee’. Deze offshore-vennootschap is veelal louter opgericht om een factuurstroom te creëren, met als doel om betalingen in de administratie te rechtvaardigen en gelden aan de betalende onderneming te onttrekken.
Een belangrijke indicatie hierbij is de datum van oprichting van de vennootschap in relatie tot de datum van de factuur c.q. contract.
Bij offshore-structuren gaat het om een hoog risico en zijn instellingen verplicht om een diepgaand onderzoek
in te stellen naar de (economische) reden van de structuur.2 Al kan het onderzoek ‘beperkt’ blijven tot de relevante delen van de structuur. De vraag is natuurlijk wat er wordt ver- staan onder de relevante delen van de structuur. Gelukkig zijn er maar een beperkt aantal standaardstructuren, zoals de holdingstructuur, de rente- en royaltystructuur, de re- invoicing-structuur en de cv-bv-structuur. De compliance- medewerker moet deze gebruikelijke standaard structuren kennen en begrijpen om zodoende de ongebruikelijke structuren te herkennen en de risico’s te mitigeren.
Hierbij dient opgemerkt te worden dat het, mits aan alle fiscale verplichtingen wordt voldaan, in principe gaat om legale commerciële activiteiten die – zolang er voldoende vraag is naar deze producten – zal blijven bestaan. De financiële instellingen in offshore-jurisdicties zullen in het algemeen voldoen aan de lokale wet- en regelgeving die het mogelijk maakt om een grote mate van anonimiteit
2 DNB, 17 juli 2017.
de Compliance Officer / 25
SPEAKERS’ CORNER
voor niet-inwonende cliënten te realiseren. Vragen die hierbij een rol spelen zijn: Wat is het doel van de structuur? Wat is het doel voor de inzet van een bepaalde jurisdictie? Gaat het om een fiscaal gedreven structuur en zo ja, waaruit blijkt dat? Is er een fiscale opinie van een erkende belasting- adviseur aanwezig? Is de structuur fiscaal agressief te noemen?
HEEFT MIJN CLIËNT EEN RELATIE MET DE PARADISE PAPERS?
Een deel van de Paradise Papers is per 17 november 2017 aan de bestaande database van ICIJ toegevoegd en voor iedereen raadpleegbaar. Deze database laat een netwerk zien van offshore-entiteiten, hun adressen en de hierbij betrokken (rechts)personen. Persoonlijke gegevens, zoals paspoorten, bankrekeningnummers en e-mailadressen, zijn niet vrijgegeven.
De gegevens in de database zijn een momentopname: regelmatig wordt nieuwe data toegevoegd, zoals op 19 december 2017 van vier companiesregisters uit Barbados, de Bahama’s, Aruba en Nevis. Eind 2017 is informatie van zeshonderdtachtig duizend offshore-entiteiten uit vijfen- vijftig verschillende belastingparadijzen opgenomen in deze database. Het feit dat een (rechts)persoon voorkomt in de database wil nog niet zeggen dat er sprake is van fraude.
Toezichthouder DNB wil dat banken en trustkantoren hun klanten door de ICIJ-database halen en onderzoeken op
betrokken relaties en waarom een relatie voorkomt in deze database. Bij een hit verwacht DNB nader onderzoek en een melding van deze bevindingen.3 De vraag hierbij is hoe je als compliancemedewerker een database met meer dan vijfentwintig miljoen documenten doorzoekt? Handmatig zoeken lijkt geen oplossing. Als je per document een minuut nodig hebt, dan ben je meer dan vijfenveertig jaar bezig.
Het moet dus anders en het liefst geautomatiseerd en snel. Een doelmatige en effectieve oplossing is om de database te downloaden en vervolgens te combineren met de (transactie)gegevens van uw eigen cliënten. Hierdoor is het
makkelijker om verbanden te leggen en zal de functionaliteit van de database aanmerkelijk toenemen.
Daarnaast kan voor aanvullende informatie gebruik- gemaakt worden van open bronnen. Zie bijvoorbeeld xxxxxxxxxxxxxx.xxx voor informatie over bedrijven en de daarbij betrokken bestuurders.
Verder zijn Panama en Bermuda slechts twee landen van de ongeveer veertig offshore-landen in de wereld. Om het
landenrisico van uw cliënten sneller, actueel en betrouwbaar in kaart te brengen, kunt u (binnenkort) gebruikmaken van de Offshore Risk Index (ORI)-database die door het Offshore Kenniscentrum is ontwikkeld. In de ORI-database kunt u zien welke (financiële) informatie offshore-vennoot-
3 Nieuwsbrief DNB, 29 november 2017.
26 / maart 2018
SPEAKERS’ CORNER
schappen zelf moeten opmaken en welke informatie moet worden gedeponeerd bij een lokaal handelsregister en zodoende beschikbaar is.
WAT ZIJN DE GEVOLGEN EN LESSEN VAN DEZE DATALEKKEN?
Wat kunnen wij afleiden uit de gelekte data en andere in het publieke domein beschikbare data? Hieronder een
niet-limitatieve opsomming van de verschillende perspec- tieven om dit te bekijken.
Ten eerste dat toezicht en handhaving, zowel onshore als offshore, tekortschieten.
Ten tweede dat er een veel beter zicht is ontstaan op de wijze waarop multinationals en vermogende particulieren hun heffingsgrondslag verminderen met behulp van offshore-entiteiten.
Ten derde heeft het niet of nauwelijks geleid tot structurele aandacht van deze dienstverleningssector. Wel hebben deze incidenten voor veel media en politieke aandacht gezorgd, maar die was veelal van korte duur en zit duidelijk niet in het collectieve geheugen van wetgevers en handhavers.
Het heeft vooral geleid tot incidentele en adhoc-wet- en regelgeving, zoals het instellen van de Parlementaire ondervragingscommissie Fiscale constructies, de invoering van de Wtt 2018, het opstellen van een zwarte lijst van belastingparadijzen en het invoeren van een UBO-register.
Verder zullen de cliënten zich realiseren dat de vertrouwe- lijkheid en veiligheid van hun gegevens niet meer gegaran- deerd is. Het risico bestaat dat cliënten daardoor niet meer alle relevante informatie verstrekken. Belangrijk is om goed uit te leggen aan de cliënt wat de (wettelijke) grond is van de vraag om informatie en welk belang daarbij voor de cliënt zelf speelt.
Daarnaast komt uit de gelekte informatie naar voren dat een CDD-onderzoek naar offshore-entiteiten vrijwel nooit alle feiten en omstandigheden zal blootleggen. Zo is het lastig voor een compliancemedewerker om in offshore- landen informatie bij het een handelsregister te krijgen.
Ook is het lastig om de werkelijke UBO te identificeren en te verifiëren. In dossiers met offshore-entiteiten is het alleen (laten) invullen van een UBO-formulier vaak onvol- doende en zal men aanvullend onderzoek moeten doen. Bijvoorbeeld door een persoonlijke ontmoeting met de UBO en hem/haar dan de juiste vragen te stellen. Als je niets vraagt weet je ook niets.
Ook zal er meer aandacht moeten komen voor (IT-) beveiliging van uw data; stel u voor wat er zou gebeuren als uw data wordt gehackt. Honderd procent veiligheid is onmogelijk, maar bepaal uw kroonjuwelen en bescherm deze maximaal.
Tenslotte is de les dat compliance zich nog meer moet focussen op offshore-risico’s en beperking van deze risico’s: ‘hoe zou een onafhankelijke derde hier tegenaan kijken?’
is een belangrijk toetsingscriterium geworden.
TOT SLOT: ENKELE PRAKTISCHE TIPS
1. De eerste stap is om te beseffen dat offshore-structuren en -transacties een structurele en belangrijke rol spelen in het dagelijkse werk van de compliancemedewerker.
2. Stel een goede en actuele klantbeeldanalyse op van de offshore-structuren en van de risico’s van de cliënten en hun cliënten. Denk hierbij ook aan de volgende off- shore-risico’s: landenrisico’s; sectorale risico’s; substance- eisen; gebruik van nominee-dienstverlening, betalingen aan offshore-entiteiten buiten de structuur en gebrek aan transparantie van de UBO en aan informatie. De combinatie van deze factoren helpt bij het kwalificeren van het risico.
3. Gebruik de aanwezige, beperkte compliancecapaciteit optimaal: besteed meer aandacht aan de meest risico- volle cliëntdossiers (80-20-regel).
4. The devil is in the detail: in de offshore-wereld worden de werkelijke feiten niet altijd gepresenteerd en de gepresenteerde feiten zijn niet altijd de werkelijke feiten. Een goede analyse van de offshore-structuren, de aanwezige red flags, het (her)beoordelen van de contracten en facturen en het stellen van de juiste vragen, blijft belangrijk werk voor de compliance- medewerker.
5. Naar mijn mening zal de compliancedienstverlening substantieel verbeteren als de rol van het gebruik van offshore-structuren explicieter wordt meegenomen in de beschrijving van fraudepatronen en typische kenmerken van misbruik van offshore-vennootschappen worden betrokken in de risicoanalyse.
Ik durf te stellen dat de Paradise Papers geen incident zijn, maar onderdeel zijn van een trend die zich zal voortzetten. De komende jaren zal er steeds meer informatie internatio- naal worden uitgewisseld, waardoor de kans op datalekken zal worden vergroot. Als ik in dit kader nog een wens mag doen voor 2018: de Delaware Papers.
Mr. dr. T.J. (Xxx) xxx Xxxxxxxxxxx werkte 25 jaar bij de FIOD en is directeur van het Offshore Kenniscentrum in Almere. Op 7 oktober 2015 is hij gepromoveerd aan de Universiteit van Tilburg op het onderwerp misbruik van offshore-vennootschappen. Een handelseditie van zijn proefschrift is verkrijgbaar via zijn website: xxx.xxxxx.xx.
de Compliance Officer / 27