Ny hvitvaskingsrutine – orientering og veiledning

Ny hvitvaskingslov gjør det nødvendig for regnskapsforetak å etablere ny rutine for å forebygge og avdekke hvitvasking.

Del

Regnskap Norge har laget en ny rutinemal alle autoriserte regnskapsforetak kan bruke som utgangspunkt når de skal lage sin «hvitvaskingsrutine». Du finner rutinen som del av vårt kvalitetssikringssystem KS Komplett.

Denne artikkelen vil orientere om og gi veiledning til rutinen og hva dere må tenke på ved etablering og bruk. Vi legger opp til å oppdatere artikkelen når vi har avklaringer mange vil ha nytte av.

Den nye hvitvaskingsloven er krevende, både å forstå rekkevidden av og i sine forventninger til hva rapporteringspliktige pålegges. Senere i år vil Finanstilsynet komme med et rundskriv som gir nærmere retningslinjer for hvordan regnskapsforetak skal etterleve kravene i hvitvaskingsloven. Det må derfor påregnes at rutinen som nå foreligger kan bli endret etter at rundskrivet er offentliggjort.

Se gratis video om hva regnskapsforetaket må gjøre nå, for å tilpasse seg den nye hvitvaskingsloven.

Rutinen skal fastsettes på øverste nivå

Alle rapporteringspliktige, som alle autoriserte regnskapsforetak uavhengig av størrelse og foretaksform er, skal ha oppdaterte skriftlige rutiner som sikrer at virksomheten oppfyller hvitvaskingslovens bestemmelser.

Rutinene skal tilpasses virksomhetens art og omfang. Rent allment innebærer dette at det er strengere krav til rutinene som de store regnskapsforetakene har, enn til rutiner hos små enheter. Lovens krav skal likevel oppfylles av alle, noe som gjør at hva rutinen inneholder vil være relativt likt. Forskjellen vil komme mer til uttrykk i hvordan internkontrollen organiseres og etterleves.

Rutinene skal være fastsatt på øverste nivå i regnskapsforetaket. For selskaper er det styret det tenkes på her. For enkeltpersonforetak er det innehaveren som fastsetter rutinen.

En person i ledelsen skal utpekes som hvitvaskingsansvarlig. Denne har et særskilt ansvar for å følge opp rutinene.

Rutine i konserner

I rutinemalen skal du opplyse om rutinen omfatter datterselskaper eller filialer. Dersom dette er en uaktuell problemstilling, kan denne teksten om ønskelig slettes.

Det regnskapsforetak med datterselskap eller filialer bør vurdere, er om det er mest hensiktsmessig å ha én felles rutine for alle enheter, eller om det skal ha lokale rutiner. En felles rutine har den fordel at dette er enklest å etablere og vedlikeholde. På den annen side vil lokale rutiner kunne tilpasses lokale forhold, noe som blant annet gjør at filial med liten risiko kan ha enklere oppfølging enn en filial som har større risiko knyttet til sin virksomhet.

Ved felles rutine må det nedfelles hvordan opplysninger skal og kan utveksles på konsernnivå. Ettersom de fleste som benytter dette rutinedokumentet er mindre foretak, er dette ikke lagt inn som foreslått tekst i rutinedokumentet.

Virksomhetsinnrettet risikovurdering

Nytt i den nye hvitvaskingsloven er at alle rapporteringspliktige skal foreta en såkalt virksomhetsinnrettet risikovurdering. I dette ligger at regnskapsforetaket må ta stilling til hvor sårbar egen virksomhet er med hensyn til å bli utsatt for hvitvaskingstilfeller og terrorfinansiering, både med tanke på hvilke tjenester som tilbys, hvilke kunder kundemassen består av, geografiske forhold mv.

I rutinemalen må du ta stilling til noen sentrale problemstillinger, som samlet kan bidra til å belyse i hvilken grad regnskapsforetaket er risikoutsatt. Denne vurderingen skal også gi svar på hvilke tjenester og kundegrupper som er mest utsatt.

Merk at de forholdene som trekkes frem ikke behøver å være godt nok dekkende for alle, men at det kan være forhold ved egen virksomhet som er vesentlig å ta med i tillegg.

Vi har også tatt inn at regnskapsforetaket må ta stilling til egen evne til å avdekke hvitvaskingstilfeller. Dersom dere havner på at status her er lite tilfredsstillende, for eksempel som følge av lav kapasitet eller kompetanse, må det iverksettes tiltak for å forbedre dette.

Fra ID-kontroll til risikobasert kundetiltak

Første gang vi fikk hvitvaskingslovgivning skulle det gjennomføres ID-kontroll av kundene. Senere kom den mer utvidete kundekontrollen.

I den nye loven opereres det med såkalte risikobaserte kundetiltak, som inneholder flere krav enn den gamle kundekontrollen.

I risikobaserte kundetiltak ligger blant annet at kundens identitet skal bekreftes, reelle rettighetshavere skal identifiseres og kundens risikoprofil skal kartlegges.

Kundetiltaksskjema og egenerklæringer

Til bruk i gjennomføringen av risikobaserte kundetiltak har vi fornyet vårt gamle skjema for kundekontroll. Dette skjemaet kaller vi nå for kundetiltaksskjema. I tillegg har vi laget en egenerklæring som kan fylles ut av den eller de som representerer kunden overfor regnskapsforetaket.

Både kundetiltaksskjemaet og egenerklæringen finnes i to versjoner, ut fra om kunden er fysisk person eller juridisk person. Egenerklæringen finnes også i engelsk versjon.

Det å dokumentere informasjonen som fremgår av kundetiltaksskjemaet er pliktig. Dette skjemaet er derfor til god hjelp for å oppfylle kravene.

Merk at vi i vår første versjon av skjemaet, la til grunn at personer som har disposisjonsrett på kundens bankkonto skal identifiseres. Her har vi endret vår forståelse av loven, og kommet til at det kun er den eller de som representerer kunden overfor regnskapsforetaket det skal registreres opplysninger om. Vi anbefaler derfor å bruke 2019-1-versjonen av skjemaet. For øvrig er ledeteksten «Fylles ut dersom fysisk person handler på kundens vegne» en gjengivelse av lovteksten, og kan om ønskelig endres til f.eks. «Informasjon om den eller de som representerer kunden».

Egenerklæringsskjemaet er frivillig å bruke. Tanken vår bak dette skjemaet er først og fremst at regnskapsforetaket kan bruke egenerklæringen som utgangspunkt for egen vurdering. I stedet for å bruke tid på å lete opp informasjonen, kan oppfølgingen bestå i å kvalitetssikre informasjonen eller vurdere om det er noe som indikerer at opplysningene ikke stemmer.

Definisjonen av reell rettighetshaver og politisk eksponert person er for øvrig endret i den nye loven. Begge definisjoner er tatt inn i egenerklæringsskjemaet.

Legitimasjon av kunde og fullmektig

I rutinen er det tatt inn hvilken legitimasjon som kan brukes som dokumentasjon.

Når det gjelder bruk av elektronisk legitimasjon er det i rutinen inntatt at dette kan brukes når identitet skal bekreftes uten personlig fremmøte. Det er i tillegg tatt inn at det skal innhentes ytterligere dokumentasjon. Vi har etter fornyet vurdering kommet til at det ikke kan være ment at det skal skje en endring fra tidligere lovgivning på dette punkt, og at elektronisk legitimasjon som BankID er tilstrekkelig alene og uavhengig av personlig fremmøte.

Vi forventer at rundskrivet fra Finanstilsynet vil avklare dette nærmere, og vi vil gjøre nødvendige justeringer når rundskrivet foreligger.

Risikovurdering av kunden

I kundetiltaksskjemaet skal det inntas om det er lav, normal eller høy risiko for at det i oppdraget vil kunne være transaksjoner med tilknytning til hvitvasking eller terrorfinansiering. Vurderingen begrunnes.

I vedlegg til rutinen er det inntatt eksempler på forhold som indikerer lav eller høy risiko.

De fleste kundeforhold vil inneholde normal risiko.

Løpende oppfølging og undersøkelse

Alle rapporteringspliktige skal følge opp sine kundeforhold. Dette innebærer at regnskapsforetak må følge med på kundens aktivitet, og særlig være oppmerksom på om det skjer noe som avviker fra det som er normalt for kunden. Avvik fra forventet adferd kan utløse undersøkelsesplikt.

I rutinen er det tatt inn at det skal gjennomføres videre undersøkelser dersom det skjer noe hos kunden som avviker fra normalen eller på annen måte er uvanlig. Når noe slikt skjer, bør neste steg være å sjekke om forholdet som har oppstått er nevnt i dokumentet vi har kalt Sjekkliste hvitvaskingsloven. Dette er en sjekkliste over forhold som kan indikere hvitvasking, tilpasset regnskaps- og revisjonsbransjen av Nasjonalt tverretatlig analyse- og etterretningssenter (NTAES).

Dersom forholdet er nevnt også i denne sjekklisten, er det ytterligere grunn til å undersøke videre og vurdere innrapportering.

Det er ikke meningen at sjekklisten skal gås gjennom løpende på hver enkelt kunde. Den er i stedet en referansekilde når noe uvanlig oppstår. 

I rutinen er det for øvrig lagt opp til årlig gjennomgang av informasjonen og risikovurderingen som er inntatt i kundetiltaksskjemaet, og hyppigere hvis det oppstår tvil om tidligere innhentede opplysninger er korrekte eller tilstrekkelige. Hvitvaskingsloven benytter begrepet "jevnlig gjennomføre kundetiltak som ledd i løpende oppfølging", i tillegg til å kreve en internkontroll i virksomheten som sørger for at loven overholdes. Vi har vurdert det som naturlig at slik gjennomgang tas som ledd i den kvalitetskontroll som uansett skal gjennomføres minst årlig på oppdragene, jf. God regnskapsføringsskikk punkt 7.1, og hyppigere hvis det oppstår tvil om tidligere innhentede opplysninger er korrekte og tilstrekkelige.

Hva med eksisterende kundeforhold?

Vi har spurt Finanstilsynet om hva som forventes når det gjelder oppfølging av eksisterende kundeforhold. Mange av disse mangler blant annet legitimasjon av såkalt «kjent kunde». Vi forventer at Finanstilsynet kommer med nærmere redegjørelse rundt dette i det varslede rundskrivet.

Opplæring

I opplæringen av medarbeidere er det et krav å fokusere på forståelse av lovkravene og evne til å reagere når noe avvikende eller annet uvanlig skjer. Dokumentet Sjekkliste hvitvaskingsloven kan brukes aktivt for å øke forståelsen for hva hvitvaskingstilfeller kan handle om.

Rollene hvitvaskingsansvarlig og etterlevelsesansvarlig

Alle regnskapsforetak må utpeke en person i ledelsen som hvitvaskingsansvarlig. Denne personen har ansvar for å følge opp at hvitvaskingsrutinen følges og oppdateres. Vi har sett det som naturlig at denne personen er involvert i undersøkelser og eventuelle innrapporteringer, og har inntatt dette i rutinen. Rollen er derfor gjort operativ.

Den nye loven opererer med en ny rolle som kalles etterlevelsesansvarlig. Dette er slik vi forstår det en internkontrollrolle, som mer overordnet skal se til at regnskapsforetaket etterlever sin egen rutine. Denne rollen er ikke pliktig, men behovet må vurderes basert på risiko. Rollen vil særlig i større regnskapsforetak kunne være en nyttig støttefunksjon for hvitvaskingsansvarlig, særlig når hvitvaskingsansvarlig har ansvar for flere filialer. Vi antar for øvrig at de større kjedene må påregne at de ved fremtidige kontroller må gjøre rede for om etterlevelsesansvarlig er utpekt, eventuelt begrunnelse for hvorfor dette ikke er gjort.

I rutinemalen har vi lagt til grunn at rollen ikke er aktuell, da dette gjelder de fleste av våre abonnenter. Denne teksten må følgelig endres dersom regnskapsforetaket kommer til annen konklusjon.

Kurs og opplæringshjelp

Vi har laget en gratis video som tar for seg hva regnskapsforetak må og kan gjøre for å tilpasse seg den nye hvitvaskingsloven. Du finner denne her.

Når Finanstilsynet har kommet med oppdatert rundskriv om sine forventninger til hvordan regnskapsbransjen skal etterleve hvitvaskingsloven, vil vi komme med oppdatert kurs både på nett og på våre fagdager til høsten.

Vi satser også på å kunne tilby opplæringsmateriell myntet på opplæring av medarbeidere.

Aktuelle kurs

Aktuelle kurs