Kjenner du kundene dine godt nok?

Svaret gir deg en pekepinn på hvor velfungerende din virksomhet er når det gjelder etterlevelse av hvitvaskingsregelverket.

Del
Alexander Schiander er Fagspesialist AML hos BankID. Han har omfattende praktisk erfaring innen etterlevelse av hvitvaskingsregelverket for ulike rapporteringspliktige foretak fra sin rolle som AML-spesialist i det nordiske rådgivningsforetaket FCG.

I en travel hverdag er det mye å huske på og mange praktiske utfordringer å håndtere, ikke minst ved gjennomføring av lovpålagte kundetiltak.

God virksomhetsstyring er like essensielt for god etterlevelse her som på andre områder!

– Med god compliance-kultur og ledelse, riktig organisering og kompetanse, samt gode rutiner, prosesser og systemer for risikostyring og internkontroll, er det fullt oppnåelig å etterleve hvitvaskingsregelverket, mener AML-spesialist Alexander Schiander.

Ha en god plan og struktur på innhenting, bekreftelse og oppdatering av kundeopplysninger

Lav kvalitet på innhentet informasjon om kundene svekker antihvitvask-arbeidet.

Tilstrekkelig, korrekt og oppdatert informasjon om kunden er koblet til tre helt elementære lovplikter:

  • Å vite hvem kunden er – ikke bare ved kundeetablering, men også løpende
  • Å følge med på hva kunden gjør
  • Å undersøke og eventuelt rapportere til Økokrim ved mistanke

Det er en viktig rød tråd mellom de innhentede opplysningene, korrekt risikoklassifisering av kunden basert på disse og en risikobasert løpende oppfølging.

– Tilsynspraksis viser at mangelfull informasjon om kunden innebærer at virksomheten har et mangelfullt utgangspunkt for å oppdage, undersøke og rapportere mistenkelige forhold. Mangelfull informasjon om hvem kunden er medfører følgefeil og mislighold av øvrige sentrale lovplikter – og ikke minst evnen til faktisk å forebygge og avdekke hvitvasking og terrorfinansiering, forteller Schiander.

Schiander mener også det er verdt å merke seg at de stadig økende antall overtredelsesgebyrene Finanstilsynet ilegger etter tilsyn knytter seg til manglende dokumentert etterlevelse av hvitvaskingsloven: Etterlevelsesrisikoen på dette området er dermed veldig høy, selv om den konkrete risikoen for hvitvasking eller terrorfinansiering i én konkret virksomhet ikke nødvendigvis er det.

Hvor går det galt?

Tilsynspraksis viser at mangler ved kundetiltak ofte henger sammen med andre områder i virksomheten med forbedringspotensial.

Typiske gjengangere for både regnskapsførerselskaper og andre rapporteringspliktige er blant annet:

Organisering, styring og kontroll

  • Manglende kompetanse og prioritering av anti-hvitvaskingsarbeidet i toppledelsen og styret
  • Svak oppmerksomhet i ledelsen medfører at arbeidet ikke er tilstrekkelig integrert i foretakenes risikostyring og kontrollstruktur
  • Ikke avsatt tilstrekkelig med ressurser
  • Uklarheter knyttet til hvitvaskingsansvarliges rolle, ansvar og myndighet

Virksomhetsinnrettet risikovurdering

  • For generell og lite konkret knyttet til egen virksomhet
  • Risikoer identifiseres, men vurderes ikke

Risikoklassifisering

  • Uklar eller fraværende risikoklassifiseringsmodell
  • Kan ikke dokumentere at kundetiltak og løpende oppfølging er risikobasert

Styrende dokumenter (instrukser, rutiner og retningslinjer)

  • Mangelfulle, ikke oppdaterte og ikke tilpasset egen virksomhet og risiko
  • For lite operasjonelle: Mangel på operative arbeidsrutiner som angir i detalj hvordan etterlevelsen av regelverket gjennomføres
  • Operasjonelle rutiner mangler klar forankring i overordnede rutiner
  • For mye preg av «paper compliance» – kartet stemmer ikke med terrenget

Opplæring

  • Svak dokumentert kunnskap om hvordan hvitvasking og terrorfinansiering skjer
  • Ikke tilpasset den enkelte ansattes ansvar og arbeidsoppgaver
  • Manglende styreopplæring
  • Manglende opplæringsplan

Internkontroll

  • Manglende/mangelfulle rutiner for kontroller, og dokumentasjon på faktisk utførte kontroller

Kundetiltak og løpende oppfølging

  • Mangelfull kvalitet og dokumentasjon på utførte kundetiltak
  • Løpende oppfølging er ofte mangelfull, og for «statisk»

Nærmere om løpende oppfølging av kunden

Alexander Schiander oppfordrer til å alltid ha et risikobasert og aktivt forhold til løpende overvåkning av relevante endringer hos kunden:

– Mange fokuserer primært på kundetiltak ved onboarding. Oppfølgingen deretter skjer med varierende grad av kvalitet og hyppighet. Hvor ofte løpende oppfølging skal utføres, vil bero på kundens risikoklassifisering og adferd.

Tilsynspraksis viser at foretak som utelukkende opererer med faste, «statiske» intervaller på oppdatering av kundeinformasjon, som for eksempel årlig eller mer sjelden, risikerer å ikke fange opp nye, sentrale risikofaktorer ved kunden som dukker opp underveis. Enkelthendelser kan nemlig utløse en særskilt plikt til oppfølging – uavhengig av den opprinnelige risikoklassifiseringen av kunden.

– Plikten til forsterket løpende oppfølging gjelder for eksempel tilfeller hvor kunden eller reell rettighetshaver blir en politisk eksponert person (PEP) i løpet av kundeforholdet. Noe som typisk kan skje etter et stortingsvalg, forteller Schiander. – Plikten til løpende oppfølging omfatter også screening mot FNs og EUs sanksjonslister, som oppdateres svært hyppig i disse dager grunnet krigen i Ukraina. Fanger man ikke opp slike endrede forhold underveis, risikerer man altså å misligholde plikten til forsterket løpende oppfølging. Man risikerer også å misligholde frysforpliktelsene dersom kunden, personer som representerer kunden eller reelle rettighetshavere står – eller blir – oppført på sanksjonslistene.

– Men forhold som tidligere medførte krav til forsterkede kundetiltak kan også tenkes å bortfalle, og dermed muliggjøre – etter en fornyet risikovurdering – normale, mindre tidkrevende kundetiltak, legger AML-spesialisten til.

Det er viktig å være klar over at tilsynspraksis viser at det ikke er formildende at oppgavene er tidkrevende eller at man har organisert seg feil.

Hva skal til for å være trygg på at du gjør det du skal som rapporteringspliktig?

– Som fundament er ledelsesfokus, tilstrekkelige og kompetente ressurser og opplæring helt sentralt for evnen til etterlevelse, påpeker Schiander. – Støtteverktøy vil kunne redusere tidsbruken knyttet til manuelle, tidkrevende prosesser for helt elementære oppgaver betraktelig: Det frigjør mer tid til kontroll og vurdering av de innhentede opplysningene. Dette vil igjen bidra til at man i større grad evner å gjennomføre, og ikke minst dokumentere, eksempelvis en korrekt risikoklassifisering og løpende oppfølging av kunden. Det bidrar også til at den manuelle innsatsen i større grad kan allokeres til de vanskelige sakene, og vil frigjøre tid til andre sentrale aktiviteter som for eksempel opplæring og internkontroll, forteller han.

RN Kundesjekk er et støtteverktøy som effektiviserer, forenkler og til dels kvalitetssikrer prosessen knyttet til kundetiltak og løpende oppfølging betraktelig. RN kundesjekk bidrar til å redusere eller eliminere typiske «tidstyver» og utfordringer knyttet til for eksempel:

  • Friksjon i nye og eksisterende kundeforhold som følge av tungvinte løsninger
  • Manuell oppfølging av treg eller manglende retur av utfylte kundeerklæringer
  • Manglende forståelse av «PEP» og andre begreper i kundedialogen, som igjen leder til tidsbruk på manuell korrektur og veiledning
  • En stor backlog av kunder det må gjøres nye eller oppdaterte kundetiltak på samtidig
  • Manglende dokumentasjon på utførte kundetiltak, herunder
    • Mangelfull bekreftelse av kundens og/eller reelle rettighetshaveres identitet
    • Manglende dokumentasjon av forsvarlig grunnlag for å vurdere eierskaps- og kontrollstruktur
    • Manglende dokumentasjon av utført risikoklassifisering
  • Løpende, hyppig nok oppfølging/screening av kunden mot PEP og sanksjonslister

– Selv om systemer som RN Kundesjekk vil forenkle mye av arbeidet, er det viktig at brukerne er bevisste på at de selv er ansvarlige for at systemet er egnet til å ivareta pliktene etter hvitvaskingsregelverket, påpeker Schiander. – Dette innebærer at man må ta eierskap til systemet; sørge for at systemet er tilpasset egen virksomhet, og utarbeide rutiner for bruk av systemet. Man må sette seg inn i hvilke eventuelle begrensninger systemet har, slik at man har oversikt over hvilke undersøkelser og vurderinger som må gjøres manuelt. Det er viktig å huske på at systemet kun gir data som grunnlag for brukerens egen vurdering.

– Et tips er å utforske mulighetsrommet i systemene: Benytt deg av ulike funksjoner proaktivt for i størst mulig grad å sikre påkrevd kjennskap til dine kunder i henhold til lovkrav og interne rutiner, avslutter AML-spesialisten.