Tematilsyn: Etterlevelse av pliktene etter hvitvaskingsloven
Finanstilsynet gir overtredelsesgebyr til 19 av 22 kontrollerte foretak fra regnskaps- og revisjonsbransjen.
Gjennom 2020 gjennomførte Finanstilsynet stedlig tilsyn hos 11 revisjonsforetak og 11 regnskapsforetak. Hos disse ble etterlevelsen av hvitvaskingsloven kontrollert hos i alt 121 oppdrag. Utvalget av oppdrag var risikobasert, ut fra en antagelse om at oppdragene i relasjon til hvitvaskingsloven hadde særlige behov for vurderinger og handlinger.
Overtredelsesgebyrene varierer fra kr 100 000 til kr 400 000, i hovedsak basert på foretakenes størrelse.
Samtlige som fikk tilsyn har fått kritikk. Når så mange dyktige bransjeutøvere innenfor både regnskaps- og revisjonsbransjen har såpass omfattende svakheter i sitt anti-hvitvaskingsopplegg, er det betimelig å stille spørsmål ved om regelverket er for formalistisk orientert og om veiledningen fra myndighetene har vært for svak.
Som bransje må vi uansett ta innover oss at vi må heve på arbeidet innenfor hvitvaskingsområdet ytterligere, slik at anti-hvitvaskingsarbeidet blir en naturlig integrert del av regnskapsførers arbeid.
Du finner Finanstilsynets rapport i sin helhet her.
Finanstilsynets funn
Resultatene for revisorene og regnskapsførerne er i hovedsak like. Finanstilsynet har derfor valgt å legge frem en samlet rapport for de to bransjene.
Manglene som ble avdekket under tilsynene går på virksomhetsinnrettet risikovurdering, innholdet i rutinene og hvordan etterlevelsen fungerer i praksis. Rapporten inneholder en detaljert oppstilling med funnene fra de kontrollerte punktene.
I rapporten skriver Finanstilsynet at flere av de kontrollerte bare har skrevet ut standardmaler utarbeidet av bransjeforeningene, uten å tilpasse disse til egen virksomhet og uten at de blir benyttet i den løpende virksomheten. Videre hevder de at: «Når dette er situasjonen, vil ikke risikovurderingen og rutinene i praksis bidra til etterlevelse av pliktene etter hvitvaskingsloven. Finanstilsynet mener derfor at lovkravet om virksomhetsinnrettet risikovurdering og rutiner ikke kan oppfylles på denne måten.»
Et viktig poeng blir ut fra dette å sørge for at rutinene tilpasses egen virksomhet og etterleves i praksis.
Finanstilsynets forventninger
Finanstilsynet gir i rapporten råd på noen utvalgte områder. Blant annet trekkes dette frem:
Opplæring
- Kravet til opplæring skal sikre at alle ansatte og andre som utfører oppdrag for foretaket, er i stand til å gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering. Dette innebærer i det minste at de er godt kjent med indikatorlisten som er utarbeidet av Nasjonal tverretatlig analyse og etterretningssenter (NTAES), og hvordan den kan brukes i oppdragsutføringen.
- Ansatte og andre som utfører arbeidet for foretaket må ha kunnskap om hvordan hvitvasking og terrorfinansiering skjer, og må ha løpende oppmerksomheten mot slike forhold i utføringen av regnskapsførings- eller revisjonsoppdraget. De må kjenne til de interne rutinene for hvordan de skal håndtere situasjoner der det kan være usikkerhet knyttet til et forhold de ser.
Risikovurderinger
- Oppfyllelse av pliktene i hvitvaskingsloven forutsetter at foretakene har vurdert risikoen for hvitvasking og terrorfinansiering. Denne inkluderer risikovurdering på foretaksnivå (virksomhetsinnrettet risikovurdering) og av det enkelte oppdraget (risikoklassifisering). Risikoklassifiseringen på oppdragsnivå er utgangspunktet for hvilke kundetiltak som er nødvendige, og hvordan den løpende oppfølgingen skal være.
- Det må fremgå av virksomhetsinnrettet risikovurdering at foretaket har identifisert hvilke eksterne forhold (trusler mot virksomheten) og hvilke interne forhold (sårbarheter i virksomheten) som påvirker risikoen for at foretaket kan bli brukt som ledd i hvitvasking eller terrorfinansiering. Det er foretakets eget risikobilde som skal kartlegges.
- Det er i utføringen av oppdrag at regnskapsfører eller revisor kan forebygge eller avdekke hvitvasking eller terrorfinansiering. Den som har ansvaret for å utføre oppdraget, må derfor konkret ta stilling til hvilken risiko den aktuelle kunden og oppdraget må anses for å ha ved å klassifisere risikoen. Rutinene må angi hvilke forhold som skal vektlegges i risikoklassifiseringen.
Kundetiltak
- Kundetiltakene skal være risikobasert. Dette er bare mulig å få til dersom den som er ansvarlig for oppdraget er klar over hvilke risikoer som foreligger, både for bransjen og for den enkelte kunden. Hvis det er gjort en konkret og forsvarlig risikoklassifisering, vil det være enklere å se både hvilke kundetiltak som må gjennomføres, og hvilke områder kundetiltakene bør rettes mot.
- Økt kunnskap om kunden og eventuelle endringer hos denne, vil kunne gjøre at risikobildet endrer seg. Det må derfor jevnlig gjennomføres kundetiltak som ledd i løpende oppfølging, og uansett når det er tvil om tidligere innhentede opplysninger er korrekte eller tilstrekkelige.
Internkontroll
- Hvitvaskingsloven presiserer kravet om at foretakenes internkontroll også skal omfatte etterlevelsen av hvitvaskingsloven. Dette innebærer at foretakenes ledelse må fastsette hvilke interne kontrolltiltak som skal iverksettes for å sikre etterlevelse av loven. Det må utarbeides en skriftlig rutine som beskriver hvilke interne kontroller som skal gjøres, når og av hvem, og ledelsen må påse at denne rutinen følges.
- Både revisorloven og regnskapsførerloven har krav til kontrollhandlinger som skal gjennomføres for å sikre etterlevelsen av god revisjonsskikk og god regnskapsføringsskikk, og andre krav i oppdragsutførelsen. Flere av foretakene synes å legge til grunn at kontrollhandlinger som følger av disse lovene, også dekker kravet til internkontroll i hvitvaskingsloven. Selv om kontrollene kan samordnes, må de utformes slik at de også sikrer etterlevelsen av pliktene i hvitvaskingsloven og interne rutiner.
Det er verdt å merke seg at Finanstilsynet i rapporten er klare på at god etterlevelse krever høy oppmerksomhet på området i ledelsen i foretakene.
Hva gjør Regnskap Norge?
Flere av de som har hatt tilsyn har delt sine erfaringer underveis med foreningen, noe som har vært til uvurderlig hjelp i vårt arbeid. La det ikke være tvil om at de som er kontrollert er dyktige og samvittighetsfulle, så resultatene som er avdekket må vi formode reflekterer den faktiske tilstanden i regnskapsbransjen. Sørg derfor for å lese rapporten, og tenk gjennom hva det som tas opp innebærer for egen virksomhet.
Vi vil også presisere at flere av dem vi har vært i kontakt med ikke har kjent seg igjen i rapportene, og har opplevd kommunikasjonen under kontrollene som krevende.
Som nevnt innledningsvis er det grunn til å stille spørsmål ved om regelverket er for formalistisk orientert og om veiledning fra myndighetene har vært for svak. Dette er noe vi har tatt opp med relevante myndigheter ved flere anledninger tidligere, og innholdet i rapporten levner liten tvil om at både myndigheter og bransjen selv har et felles ansvar for å høyne nivået.
I vår egen rutinemal i KS Komplett vil vi gjøre justeringer, for å ivareta forholdene de kontrollerte har fått kritikk for. Vi vil arbeide med dette utover vinteren. Vi må i tillegg vurdere hvordan rutinen i større grad kan innrettes slik at den lettere kan tilpasses egen virksomhet.
Et annet forhold vi vil arbeide med, er å identifisere forhold som kan indikere hvitvasking hos bransjer som er særlig utsatt for risiko. Her hører det også med å komme med forslag til risikoreduserende tiltak.
Arbeidet med å finne reelle rettighetshavere og PEP blir til dels kraftig kritisert. Her vil vi trekke frem RN Kundesjekk som et verktøy som kan være til stor hjelp i å gjennomføre kundetiltak.
Vi anbefaler også vårt kurstilbud på hvitvaskingsområdet, herunder både medarbeiderrettede nettkurs og vår spill-app.
Arbeidet med informasjon og våre øvrige tilbud innenfor anti-hvitvasking vil bli høyt prioritert av Regnskap Norge i tiden som kommer.