Hvitvaskingsregelverket gjelder for fysiske personer og foretak som i hvitvaskingsloven defineres som “rapporteringspliktige”. Eiendomsmeglere, eiendomsmeglingsforetak, verdipapirforetak og forvaltere av alternative investeringsfond er eksempler på aktører som er omfattet av hvitvaskingsregelverket.
Vi opplever at det for mange er uklart hva som kreves for å oppfylle forpliktelsene som følger av hvitvaskingsregelverket. Vi bistår jevnlig med å utarbeide dokumentasjon som er nødvendig i henhold til hvitvaskingsregelverket, med opplæring av ansatte, og med kvalitetssikring av virksomhetens rutiner.
Finanstilsynet stiller strenge krav til rapporteringspliktige når det gjelder oppfølging av hvitvaskingsregelverket. Det kan likevel være vanskelig å forstå hva som faktisk kreves for å etterleve hvitvaskingsregelverket. Med denne artikkelen ønsker vi derfor å belyse noen fallgruver i etterlevelsen av regelverket som vi ser går igjen i praksis fra Finanstilsynet.
Virksomhetsinnrettet risikovurdering
Alle rapporteringspliktige foretak må utarbeide en virksomhetsinnrettet risikovurdering. Risikovurderingen skal identifisere og vurdere risikoen for at foretaket blir benyttet til hvitvasking og terrorfinansiering.
Risikovurderingen skal tilpasses virksomhetens art og omfang, og legger grunnlaget for virksomhetens rutiner knyttet til forebygging av hvitvasking og terrorfinansiering. Risikovurderingen skal være skriftlig, og må oppdateres med jevnlig.
Hvitvaskingsregelverket stiller ingen krav til hvordan risikovurderingen skal utformes. Hvitvaskingsloven oppstiller likevel krav om at risikovurderingen skal inneholde en vurdering av:
- Egen virksomhet, særlig virksomhetens art og omfang
- Virksomhetens produkter, tjenester og kundeforhold
- Type kunder og kundegrupper
- Geografiske forhold
Til tross for at det ikke stilles noen krav til hvordan risikovurderingen utformes, er vår erfaring at Finanstilsynet stiller høye krav til innholdet. En klassisk fallgruve er at det kun gis generelle betraktninger rundt risikoen for at foretaket blir benyttet til hvitvasking og terrorfinansiering. Det er viktig at risikovurderingen synliggjør hva som er risikodriverne for virksomheten. Risikovurderingen må også inneholde en redegjørelse for egne sårbarheter, hvilken type kunder foretaket har, og hvilken geografisk risiko foretaket er eksponert for. Finanstilsynet er tydelige på at de forventer at den enkelte virksomhet baserer seg på interne og eksterne kilder, og både kvalitativ og kvantitativ informasjon, for å identifisere og vurdere foretakets iboende risiko og restrisiko.
Videre ser vi at flere baserer sin risikovurdering på bransjemaler. Disse bør ikke benyttes uten at det gjøres grundige tilpasninger, hvor det gjøres faktiske vurderinger knyttet til foretakets egen virksomhet, produkter, kunder og geografiske forhold.
Flere virksomheter tar løpende i bruk ny teknologi. I den forbindelse er det flere som unnlater å vurdere risikoen for hvitvasking og terrorfinansiering før teknologien tas i bruk. Hvitvaskingsloven ilegger rapporteringspliktige en eksplisitt plikt til å vurdere slik risiko ved bruk av ny teknologi.
Basert på det ovennevnte er det viktig å understreke at det må settes av tilstrekkelig ressurser for å sørge for at risikovurderingen er i samsvar med hvitvaskingsregelverket, og at denne er tilpasset foretakets risiko for å bli benyttet til hvitvasking og terrorfinansiering.
Hvitvaskingslovens krav til rutiner og tiltak
Alle rapporteringspliktige foretak er pålagt å etablere rutiner for blant annet gjennomføring av kundetiltak, opplæring av ansatte og internkontroll. I hvitvaskingsloven heter det at rutinene skal tilpasses virksomhetens art og omfang, at de skal dokumenteres og være fastsatt på øverste nivå i virksomheten.
Til tross for at kravene til rutiner er generelt formulert, og gir uttrykk for et visst spillerom for virksomhetene, er det vår erfaring at Finanstilsynet stiller strenge krav til etableringen av rutiner og utførelsen av disse.
Et gjennomgående tema i tilsynspraksis er at rutinene i virksomheten ikke i tilstrekkelig grad er tilpasset virksomhetens art og omfang, og at det er liten sammenheng mellom den virksomhetsinnrettede risikovurderingen og rutinene som er etablert.
Vi ser også at gjennomføring av rutinene ofte er for dårlig dokumentert. En typisk fallgruve er at virksomheten viser til at det er gjennomført opplæring for de ansatte, uten at det er spesifisert i hvilket format, hvor ofte og uten at det er dokumentert hvem som deltok.
En annen typisk fallgruve vi ofte ser er klassifisering av kunder som lavrisiko uten tilstrekkelig vurdering. Rapporteringspliktige plikter å vurdere risikoen knyttet til hvert enkelt kundeforhold, med utgangspunkt i virksomhetens art og omfang. Noen bransjer er i seg selv klassifisert som høyrisiko av Finanstilsynet, slik som eiendomsbransjen. Dersom en kunde som er ledd i eiendomstransaksjon skal lav eller normal risiko, må det foreligge en tilstrekkelig god og dokumentert vurdering til grunn.
Til dette kommer også at en del rapporteringspliktige legger til grunn tredjepartsaktørers risikoklassifisering uten å foreta en selvstendig vurdering. Dersom en rapporteringspliktig bank har godkjent utbetaling av finansiering til en kunde, inngår det gjerne som moment i risikovurderingen, men det kan ikke alene begrunne nedjustering av risiko.
Undersøkelsesplikt og rapportering av mistenkelige transaksjoner
Dersom en rapporteringspliktig avdekker forhold som kan indikere hvitvasking eller terrorfinansiering, skal den rapporteringspliktige foreta nærmere undersøkelser. Terskelen er lav, og enhver indikasjon på hvitvasking eller terrorfinansiering er tilstrekkelig for at undersøkelsesplikten inntrer. Vår erfaring er at undersøkelsesplikten stort sett oppfylles. Vi ser likevel ofte at det slurves med å dokumentere hvilke undersøkelser som er gjennomført.
Dersom virksomheten har rimelig grunn til å tro at en transaksjon er knyttet til hvitvasking eller finansiering av terrorisme, er virksomheten pliktig til å rapportere dette til Økokrim, som er politiets enhet for økonomisk kriminalitet. For å synliggjøre at virksomheten har oppfylt undersøkelsesplikten, og ikke har vært pliktig å rapportere til Økokrim, er det derfor viktig at undersøkelsene som er gjort nedfelles skriftlig og oppbevares hos virksomheten.