Dette nettstedet bruker informasjonskapsler for å gi deg en mer personlig brukeropplevelse. Ved å bruke dette nettstedet godtar du vår bruk av informasjonskapsler. Vennligst les vår PERSONVERNERKLÆRING for mer informasjon om informasjonskapslene vi bruker og hvordan du kan slette eller blokkere dem.
  • Hvitvaskingslov
Blogg:

Ny hvitvaskingslov stiller krav om virksomhetsinnrettet risikovurdering og risikobaserte kundetiltak

23. mai 2018

Thomas Nielsen , Director, rådgivning |
Thorstein Danielsen , Senior Manager, compliance og gransking |

Artikkelforfatterne Thomas Nielsen og Thorstein Danielsen har dyp innsikt i hvitvaskingsloven og hvordan internkontrollen for etterlevelse skal operasjonaliseres og betydelig erfaring fra slikt arbeid i banksektoren. Artikkelen omhandler overordnet om nye lovkrav og nærmere om kravet til å gjennomføre en virksomhetsrettet risikovurdering. Det presiseres at artiklene er ment for alle grupper av rapporteringspliktige, men er særlig rettet mot finansforetak under tilsyn av Finanstilsynet.

Innledning

I Stortingets møte av 14. mai 2018 ble det gjort vedtak[1] om Lov om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsloven). Ny lov har forventet ikrafttredelse sommeren 2018.

Ny hvitvaskingslov vil medføre flere konsekvenser for rapporteringspliktige virksomheter, herunder:

  1. Virksomhetsrettet risikovurdering skal forankres i øverste ledelse.
  2. Økt bruk av ressurser.
  3. Behov for opplæring om de nye reglene.
  4. Tiltak skal være risikobaserte og dokumenterte.
  5. Ledelsens ansvar for virksomhetens etterlevelse av lovkrav reguleres.
  6. Administrative og økonomiske sanksjoner kan ilegges både juridiske personer men også fysiske personer med særskilt ansvar på fagområdet.
  7. Eventuelle sanksjoner vil bli offentliggjort.
  8. Utvidet definisjon av PEP (Politisk Eksponert Person) som omfatter nasjonale PEP.
  9. Økokrim kan henvende seg til rapporteringspliktige uten at denne har sendt MT-rapport i aktuell sak.

Samtidig som Norge har jobbet med en ny hvitvaskingslov, har EU allerede godkjent et femte hvitvaskingsdirektiv[2]. Dette signaliserer et taktskifte i hyppighet av regulatoriske endringer på området og at rapporteringspliktige må allokere ressurser for å etterleve krav og forventinger fra myndighetene.

EUs femte hvitvaskingsdirektiv inneholder blant annet følgende nye krav til rapporteringspliktige virksomheter:

  1. Tilbydere av virtuelle valutautvekslinger (tjenester som bytter virtuelle penger til tradisjonelle penger) og leverandør av lommebøker («wallets») vil inngå i gruppen av rapporteringspliktige virksomheter.
  2. Rapporteringspliktiges kundetiltak må bli mer omfattende i situasjoner som innebærer en høy risiko for hvitvasking og terrorfinansiering.

Nasjonale risikovurderinger

Nasjonal risikovurdering[3] «Hvitvasking og terrorfinansiering» ble for første gang publisert i 2014, som en følge av kritikken fra FATF. Det er senere publisert Nasjonal risikovurdering for 2016 og ny nasjonal risikovurdering for 2017 er forventet i løpet av 3. kvartal 2018. Finanstilsynet publiserte i mai 2016 egen risikovurdering av området for foretak under tilsyn[4]. Nasjonalt tverretatlig analyse- og etterretningssenter (NTAES[5]) publiserte i februar 2017 «Indikatorer på mistenkelige transaksjoner – finansinstitusjoner» (unntatt offentlighet). Utover dette har flere nasjonale myndigheter utgitt egne risikovurderinger, strategier og handlingsplaner, herunder innenfor arbeidslivskriminalitet og IKT kriminalitet. Regjeringens siste handlingsplan mot økonomisk kriminalitet gjaldt for perioden 2011 - 2014 og hadde identifisert 66 tiltak. Det foreligger ikke en offentlig evaluering om tiltak i denne handlingsplanen er gjennomført og om myndighetene har vurdert disse mot senere risikovurderinger.

Eksisterende lovkrav knyttet til risikovurdering

Hvitvaskingsloven § 5 bestemmer uttrykkelig at rapporteringspliktige skal gjennomføre kundekontroll og løpende oppfølging på grunnlag av en risikovurdering. Det er risikoen for hvitvasking og terrorfinansiering som skal vurderes, der risikoen vurderes ut fra type kunde, kundeforhold, produkt eller transaksjon. I situasjoner som etter sin art innebærer høy risiko for hvitvasking eller terrorfinansiering, skal rapporteringspliktige, i samsvar med § 15 første ledd, gjennomføre ytterligere kontrolltiltak enn de som følger av §§ 5 til 14. De ytterligere kontrolltiltakene skal gjennomføres i tråd med gjeldende risikovurdering og dokumenteres. Dette fordrer også at den lovpålagte elektroniske overvåkingen er konfigurert på bakgrunn av samme dokumentasjon.

Veiledning fra Finanstilsynet

Arbeidet mot hvitvasking og terrorfinansiering skal ha en risikobasert tilnærming, noe som medfører at en må kategorisere alle kunder etter definerte risikonivå og følge opp med adekvate tiltak for å ta ned uønsket risiko. Det må følgelig brukes mer ressurser og stilles økte krav til oppfølging av høyrisikokunder enn standardkunder. Rapporteringspliktige skal dokumentere at utførte tiltak er tilpasset den identifiserte risiko og sikre at risikovurderingen kan etterprøves. I konsern skal konsernspissens risikovurdering reflektere de enkelte rapporteringspliktige konsernselskapers vurderinger. For å lykkes med å utarbeide og aggregere en risikovurdering for konsern, vil det være avgjørende at de enkelte risikovurderinger er gjennomført på samme mal.

Rapporteringspliktige skal kartlegge på hvilke måter virksomheten kan bli misbrukt til hvitvasking og terrorfinansiering, og hvilke forhold ansatte hos rapporteringspliktige må følge opp som mulige mistenkelige forhold. I vurderingen tas det utgangspunkt i den rapporteringspliktiges forretningsmodell, produkter, tjenester, salgskanaler, type kunder/kundesegment, kundeforhold, transaksjoner og markeder/geografi. Gjeldende tiltak hos den rapporteringspliktiges virksomhet skal også vurderes. 

Nye lovkrav knyttet til risikovurdering

Ny hvitvaskingslov inneholder en bestemmelse om at rapporteringspliktige skal utarbeide «virksomhetsinnrettet risikovurdering». Dette innebærer at risikovurderingen skal være individuell og konkret. Det skal derfor tas høyde for at risikoen for hvitvasking og terrorfinansiering vil kunne variere mellom ulike typer rapporteringspliktige.

I forarbeidet er det særlig presisert at «Maler for risikovurderingen, utarbeidet av f.eks. bransjeorganisasjon, kan være nyttig, men må ikke anvendes ukritisk». Utvalget presiserte om at omfanget og detaljeringsgraden i risikovurderingen skulle variere mellom rapporteringspliktige.

Hva er risiko og hvordan skal den dokumenteres?

Et naturlig spørsmål som reiser seg når man snakker om risikovurdering, er hva som ligger i begrepet «risiko». Loven har ingen klar definisjon av begrepet risiko, men den virker å legge FATFs definisjon til grunn. FATF har definert at «risikoen for hvitvasking og terrorfinansiering er et produkt av faktorene trussel og sårbarhet». Hva som innebærer risiko er ingen statisk vurdering og vil endre seg over tid ettersom samfunnsforholdene utvikler seg og trusselen endres.

Risikoanalyse er et verktøy som benyttes for å skaffe seg oversikt over risiko på en systematisk måte og som dokumentert grunnlag for virksomhetens risikovurdering. En risikoanalyse vil normalt bestå av flere risikovurderinger, som skal gi svar på følgende spørsmål:

  1. Hva kan gå galt (uønsket hendelse)?
  2. Hvor stor er sannsynligheten for at det går galt?
  3. Hva er konsekvensene hvis det går galt?
  4. Hvilke tiltak er iverksatt?
  5. Må nye tiltak iverksettes?
  6. Hvem skal gjennomføre tiltakene, når/med hvilken frekvens og hvordan?

Innholdsmessig er det ikke av så stor betydning om de rapporteringspliktige benytter begrepene «risikovurdering» eller «risikoanalyse». I begge tilfeller velges og brukes enkle eller avansert metoder, tilpasset problemstillingen(e) som skal vurderes og analyseres. Og i begge tilfeller blir risikoer identifisert, analysert og evaluert. I lovutkast fra Finansdepartementet er begrepet «risikoanalyse» kun benyttet en gang. Ny hvitvaskingslov benytter som nevnt «virksomhetsinnrettet risikovurdering» som begrep.

Hva er risikobasert tilnærming?

Arbeidet mot hvitvasking og terrorfinansiering skal ha en risikobasert tilnærming og rapporteringspliktige skal kunne påvise overfor tilsynsmyndighetene at virksomhetens omfang av utførte tiltak er tilpasset den aktuelle risikoen. Dette innebærer blant annet at rapporteringspliktige må vurdere risikoen for at kunder eller kundesegment/bransjer kan være involvert i hvitvasking og terrorfinansiering. Dersom det skjer vesentlige endringer i forhold som kan ha betydning for risikovurderingen, skal det gjøres en fornyet vurdering og dokumentasjonen oppdateres Dette vil sikre at gjeldende risikovurdering kan benyttes som grunnlag for utforming av kundetiltak og utvikling av regler i ulike systemer.

Det presiseres at det ikke er godt nok å kun risikovurdere kundene. Tilnærmingen må omfatte en risikovurdering av en rekke områder og kategorier, som skal gi grunnlag for hvilke tiltak som skal iverksettes av den rapporteringspliktige virksomheten.  En slik risikovurdering kan gjerne omtales som den «øverste rutinen», som skal være styrende for alt rammeverk i interne kontroll- og kommunikasjonsrutiner. Risikobasert tilnærming innebærer å iverksette tiltak som er forankret i den overordnede risikovurderingen. Slike tiltak omfatter blant annet policy, retningslinjer, strategi/handlingsplan, organisering, rutiner, risikoklassifisering og kundetiltak. Risikovurdering av de enkelte kunder, kundeforhold og transaksjoner skal således gjennomføres uavhengig av den overordnede risikovurderingen.

Det skal være en rød tråd mellom risikovurderingen og de enkelte tiltak. Ressursene skal fordeles effektivt og de største risikoene skal gis størst oppmerksomhet.  Det er behov for en forståelse av helhetsbildet og lovens krav om å identifisere tiltak. Rapporteringspliktige kan for eksempel i enkelte tilfeller ha overvurdert en risiko, men ha undervurdert den i andre tilfeller. Dette kan ha medført at rapporteringspliktige har fordelt ressursene feil og at tiltak ikke har gitt ønsket effekt. For å lykkes med den risikobaserte tilnærmingen stilles det krav til løpende kontroll og dokumentasjon av gjennomførte tiltak, som igjen skal kunne utløse endringer i gjeldende rutiner for å sikre optimal ressursutnyttelse.

Risikovurderingen kan eksempelvis gi grunnlag for en policy om at virksomheten ikke skal etablere kundeforhold med enkelte bransjer og næringer, for eksempel pornografi og spillvirksomhet uten konsesjon. Videre kan analysen definere hvilke land eller regioner som utgjør en høy risiko. Transaksjoner til/fra kunder som er etablert i høyrisikoland kan for eksempel skje gjennom korrespondentforbindelser, som eies eller kontrolleres av personer/virksomheter som er oppført på sanksjonslister.

BDOs erfaring

Det er viktig å merke seg at formålet med en risikovurdering er å gi grunnlag til en risikobasert tilnærming og definering av konkrete og operasjonelle kundetiltak.

Vår kjennskap til rapporteringspliktiges risikovurderinger er at disse ofte ikke er tilstrekkelig dokumentert, forankret eller har god nok kvalitet. Ofte utgjør hele risikovurderingen en overordnet beskrivelse av hva den rapporteringspliktige har vurdert som risiko, og tiltakene mangler delvis en operativ tilnærming. Disse vurderingene er ofte tilforlatelig like myndighetenes vurderinger[6].  Slik praksis ivaretar verken nåværende eller fremtidige lovkrav, herunder krav om virksomhetsinnrettet risikovurdering.

Kundetiltak utføres ofte av ulike støtteområder, som ikke har direkte kundeansvar. Dette innebærer blanding av roller og ansvarsfraskrivelse. I mange tilfeller er det usikkerhet knyttet til hvilke og på hvilken måte kundetiltak skal gjennomføres for ulike kundegrupper.

En syretest som raskt gir grunnlag for å vurdere kvaliteten på foretakets risikovurdering er å kartlegge hvilke produkter og tjenester som tilbys på hjemmesiden til den rapporteringspliktige virksomheten og kontrollere om disse enkeltvis er risikovurdert mot risikoen for hvitvasking og terrorfinansiering. Tilsvarende om regler i elektronisk overvåkingssystem er innstilt på en slik måte at den er tilpasset foretakets risikovurdering og/eller kapasitet til å undersøke mistenkelige transaksjoner.

BDOs anbefaling

Ledelsen og organisasjonen som helhet må involveres i arbeidet med risikovurderingen. Nåsituasjonen må kartlegges i detalj før risiko vurderes. Eksempler på slik kartlegging kan være gjennomgang av (listen er ikke utfyllende):

  1. Kundene
    • Alder, fødeland, statsborgerskap, antall PEPs, antall reelle treff på sanksjonslister, fordeling i ulike risikonivå, antall avviste/avviklede kunder.
  2. Organisering av antihvitvaskingsområdet i banken
    • Beskrivelse av 1., 2. og 3. linjes ansvar og rapporteringslinjer.
  3. Bankens egne tiltak for å motvirke hvitvasking og terrorfinansiering
    • Kapasitet, omfang av flaggede og internt rapporterte saker, omfang av saker rapportert Økokrim (EFE), kompetanse, kundesystemer og regler i bankens elektroniske overvåkingssystem.
  4. Produkter og tjenester
    • Antall aktive produkter, kategorier, risikonivå, fremmer anonymitet, valutavirksomhet, verdipapirtjenester og produkt som distribusjonskanal.
  5. Transaksjoner
    • Omfanget av transaksjoner, beskrivelse av formål med transaksjoner, beskrivelse av volum til/fra land, andelen av disse land som er definert som «high risk» og ikke minst bakgrunnen for valgt landliste og scoringsmodell/regelsetting i elektronisk overvåkingssystem.

God praksis er at rapporteringspliktige årlig skal oppdatere den overordnede risikovurderingen og forankre denne på øverste nivå hos virksomheten, som oftest konsernledelse og styret. Identifiserte tiltak skal tilsvarende forankres og inngå i den rapporteringspliktiges handlingsplan eller strategi for å sikre etterlevelse av lover og regler og at risikoen blir redusert til et akseptabelt nivå. Det anbefales bruk av analyse som grunnlag for beslutninger, også i prosessen for utvikling av regler, enten det er forretningsregler eller regler som inngår i elektronisk overvåking. Risikovurderingen skal videre inngå i finansforetakenes ICAAP[7] vurdering.

Rapporteringspliktige bør til slutt løfte blikket ved implementering av hvitvaskingsloven etter fjerde direktiv, slik at «krav» i EUs femte hvitvaskingsdirektiv også er tilstrekkelig kartlagt og vurdert.

***

Tidligere artikler om hvitvasking og terrorfinansiering:

- https://www.bdobloggen.no/2016/11/23/skam-a-snu-eiendomsmeglere/

- https://www.bdobloggen.no/2016/09/01/kundekontroll-etter-hvitvaskingsloven/

 

 

[1] https://www.stortinget.no/globalassets/pdf/lovvedtak/2017-2018/vedtak-201718-052.pdf

[2] https://kyc360.com/news/eu-adopts-5amld-new-anti-money-laundering-rules-sail-council/

[3] https://www.regjeringen.no/contentassets/ae00417a948e4eb39fcd6d4b50e89447/nasjonal-risikovurdering_hvitvasking-og-terrorfinansiering.pdf

[4] https://www.finanstilsynet.no/nyhetsarkiv/nyheter/2018/risikovurdering-hvitvasking-og-terrorfinansiering/

[5] https://www.arbeidstilsynet.no/contentassets/f674ff98062c43759df34b157a5232f6/arbeidslivskriminalitet-i-norge.-situasjonsbeskrivelse-2017.pdf

[6] Nasjonale risikovurderinger mv.

[7] https://www.finanstilsynet.no/rapportering/fellesrapporteringer/icaap-rapport/