Er ditt foretak klar for besøk fra Finanstilsynet?

I den sammenheng har våre eksperter satt sammen en sjekkliste for å sikre at rapporteringspliktige foretak kan bruke sommeren produktivt og være godt rustet for tilsyn på hvitvaskingsområdet.

Banker, verdipapirforetak, regnskapsførere og andre rapporteringspliktige spiller en avgjørende rolle når det gjelder å beskytte det finansielle systemet og samfunnet som helhet mot hvitvasking og terrorfinansiering. Etterlevelse av anti-hvitvaskingsregelverket er viktig, ikke bare for å unngå bøter eller kritikk fra tilsynsmyndighetene, men fordi inngår i vårt samfunnsoppdrag. Rapporteringspliktige foretak er i en unik posisjon til å fange opp mistenkelige forhold og/eller transaksjoner, men dette fordrer involvering av alle ansatte – fra den nyansatte vikaren på kundesenteret og helt opp til daglig leder og styret. 

Til tross for at norske rapporteringspliktige foretak er i en særstilling internasjonalt ved at Finanstilsynet jevnlig publiserer tilsynsrapporter på sine nettsider, ser vi i KPMG at mange fortsatt har problemer. I denne artikkelen har vi derfor laget en tematisk sjekkliste for å sette foretakene i bedre stand til å reflektere over sin egen status, basert på finlesing av tilsynsrapporter og de erfaringene vi har dannet oss igjennom oppdrag ute hos kunder.

Fra et rettslig standpunkt er det viktig å understreke at foretakets øverste ledelse er endelig ansvarlig for etterlevelse av hvitvaskingsregelverket. Det vil si styret eller tilsvarende nivå der det ikke finnes et styre.

Hvitvaskingsloven § 8 angir at det skal utpekes én person i ledelsen som har særskilt ansvar for å følge opp rutiner, sikre at rutinene gjennomføres og etterleves, og at opplysninger om mistenkelige forhold blir rapportert til Økokrim. Denne personen omtales til vanlig som «hvitvaskingsansvarlig». Hvitvaskingsansvarlig er en av foretakets nøkkelpersoner, og det er krav om å gjennomføre egnethetsvurdering av vedkommende. Som et minimum skal hvitvaskingsansvarlig ha tilstrekkelig kunnskap om regelverket, samt erfaring, kompetanse og gjennomføringskraft. Dette vil si at jo større og mer komplekst foretaket er, jo strengere er kravene til hvitvaskingsansvarlig.

I tillegg til hvitvaskingsansvarlig kan det være behov for å utpeke en «etterlevelsesansvarlig». Etterlevelsesansvarlig skal sikre at det gjennomføres uavhengige kontroller og vurderinger for å påse at foretaket overholder hvitvaskingsregelverket, og at tiltakene som iverksettes for å avhjelpe eventuelle mangler, er effektive. 

Hvitvaskingsansvarlig og etterlevelsesansvarlig kan ikke være samme person. For foretak med krav til uavhengig kontroll (eksempelvis verdipapirforetak) etter annet regelverk, inngår etterlevelsesansvarlig i andrelinjeforsvaret. Små foretak med begrensede ressurser, men med krav til andrelinje/compliance, kan velge å plassere hvitvaskingsansvarlig i denne delen av organisasjonen. Dette skal kun skje unntaksvis, og kun på bakgrunn av en skriftlig, risikobasert begrunnelse, med vurdering av risikoen for at andrelinje da vil kontrollere seg selv.

Der Finanstilsynet har anmerkninger til organisering og ansvar, er dette hovedsakelig knyttet til to forhold. 

For det første har flere rapporteringspliktige fått kritikk for at den hvitvaskingsansvarliges plassering og nivå internt i foretaket er uklar. Veileder til hvitvaskingsloven er tydelig på at den hvitvaskingsansvarlige skal ha rapporteringslinje direkte til styret og den øverste ledelse, slik at rapportering kan foregå direkte i de tilfellene det er nødvendig. 

For det andre har Finanstilsynet i flere tilfeller kommentert et behov for å dokumentere eller tydeliggjøre hvitvaskingsansvarlige og etterlevelsesansvarliges mandat, oppgaver, og stillingsinstruks, inkludert spesifikk beskrivelse av hvilke oppgaver som delegeres til andre operative ressurser i foretaket. Tilsvarende gjelder også videre nedover i organisasjonen. Det skal ikke kunne oppstå tvil om hvilken person eller stilling en oppgave er delegert til, og det skal settes krav til at personene har tilstrekkelig kompetanse til å ivareta sine oppgaver. Finanstilsynet minner også om at disse dokumentene skal revideres ved behov og alltid være tilgjengelige for de som skal bruke dem.

Sjekkpunkter:

• Er hvitvaskingsansvarlig (evt. etterlevelsesansvarlig) hensiktsmessig plassert i organisasjonen?
• Er mandat, stillingsinstruks o.l. tilstrekkelig tydelig beskrevet?

Rapporteringspliktige skal sikre at ansatte gis opplæring slik at de er kjent med virksomhetens forpliktelser etter hvitvaskingsregelverket og dermed er i stand til å gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering. I praksis vil dette si at alle ansatte, inkludert styret og øverste ledelse, må gis opplæring i de grunnleggende kravene etter hvitvaskingsloven, hva som er hensynene bak regelverket, og hva som er den rapporteringspliktiges rolle i bekjempelsen av økonomisk kriminalitet. Utover dette må ansatte få spesifikk opplæring tilpasset arbeidsoppgaver og det nivået den enkelte medarbeider befinner seg på. Hvitvaskingsloven § 36  krever også at opplæringen gis jevnlig slik at kunnskapen vedlikeholdes og oppdateres.

Finanstilsynet publiserer jevnlig tilsynsrapporter med kritiske anmerkninger når det gjelder opplæring. Typiske innvendinger er at opplæringsplanen er for generelt utformet og ikke omfatter konkrete temaer de ulike gruppene ansatte minimum skal ha opplæring i. Når dette mangler, blir det vanskelig for foretaket å ta stilling til om de enkelte ansatte får nødvendig opplæring i de temaer som er nødvendig i deres respektive roller.

Sjekkpunkter:

• Inneholder opplæringsplanen informasjon om hvem som har ansvar for foretakets opplæringstiltak (i de fleste tilfeller: hvitvaskingsansvarlig), hvem som skal gjennomføre opplæringen, hvilket innhold den skal ha, samt krav til oppnådd kompetanse etter bestått?

• Er det samsvar mellom beskrivelse av opplæring i foretakets rutiner og i hvitvaskingsansvarliges stillingsinstruks?

• Er opplæringen stillingstilpasset?

• Er det dokumentert hvem som har gjennomført eller ikke gjennomført opplæring?

• Har ikke gjennomført opplæring konsekvenser i organisasjonen?

• Er opplæringen løpende/gjentakende?

For å gjennomføre korrekte kundetiltak, må alle kunder risikoklassifiseres. Risikoklassifiseringen skal bygge på to hovedkategorier: generelle vurderinger fra den virksomhetsrettede risikovurderingen og konkrete forhold ved den enkelte kunde. 

Det at det skal finnes en rød tråd mellom risikovurderingen og -klassifiseringen av enkeltkunder gjentas til stadighet fra Finanstilsynet, og man ser ofte at foretak får kritikk på nettopp dette punktet. Ved justeringer i risikovurderingen må foretaket sørge for at det også gjennomføres oppdateringer i systemet for risikoklassifisering. Et konkret eksempel som har dukket opp i flere tilsynsrapporter det siste året er at ikke alle foretakets produkter og tjenester er med inn i klassifiseringen, noe som fører til utilstrekkelig forståelse av kundeforholdets iboende risiko.

Når det gjelder de konkrete forhold ved den enkelte kunde, så er det en forventning fra Finanstilsynet om at risikoen skal vurderes ut fra kundeforholdets formål og tilsiktede art, mengden kundemidler som skal inngå i kundeforholdet, kundens transaksjoner (inkludert størrelse, regelmessighet og mottakers land), stiftelsesdato (for bedrifter), samt andre faktorer som eksempelvis hvorvidt det er PEP involvert i kundeforholdet, eller om kunden er tidligere rapportert til Økokrim.

Hva angår transaksjoner, trekker vi frem en konkret tilbakemelding Finanstilsynet har gitt om at rapporteringspliktige foretak ikke bør benytte intervaller for å angi transaksjonsvolum eller -frekvens i kundeprofilskjema eller portal for etablering av kundeforhold. Grunnen til dette er at hvis man benytter de samme intervallene i transaksjonsovervåkingen, kan kunder med uærlige hensikter svare villedende og tilpasse sine transaksjoner slik at det ikke går alarm på transaksjoner som burde vært flagget i systemene.

Selv om det ikke direkte er hentet fra loven, har tilsynet også en forventning om at rapporteringspliktige skal være i stand til å si noe om hvorvidt kunden benytter det enkelte foretak som sin hovedbankforbindelse eller ikke.  

De ulike parameterne kan grupperes og vektes, eksempelvis i kategoriene «kunde», «geografi», «produkter», og «leveringskanal». Dette skal i så fall følge en dokumentert prosess. 

Når en kunde skal risikoklassifiseres, er det viktig å være oppmerksom på at vurdering av risiko for hvitvasking er vanskelig å beskrive eller måle i kvantitative eller numeriske termer. Reelt sett er det slik at hver enkelt kunde representerer en unik risiko. Imidlertid ville det å forholde seg til at hver enkelt kunde er unik, være en umulig oppgave i rapporteringspliktige foretak med en stor kundemasse. Den fornuftige løsningen er dermed å benytte standardiserte risikoprofiler. 

Loven opererer med tre risikoklasser; lav risiko, høy risiko, og en «normal» kategori, som samsvarer med forenklede, forsterkede og standard kundetiltak. Risikovurderinger og -profiler kan være mer finmasket enn dette, eksempelvis fire eller fem risikoklasser. Lovens minimumskrav må uansett følges for alle klassene.  

Sjekkpunkter:

• Finnes det kunder som ikke risikoklassifiseres?

• Er kriteriene for risikoklassifisering og eventuell vekting av de ulike risikofaktorene dokumentert?

• Er det en logisk sammenheng mellom risikoklasser og kundetiltak?

Etter hvitvaskingsloven § 8 skal rapporteringspliktige ha oppdaterte rutiner for å sikre at virksomheten håndterer identifisert risiko og oppfyller plikter etter hvitvaskingslovgivningen. Dette innebærer at det blant annet må utarbeides rutiner for risikoklassifisering av kunder, gjennomføring av kundetiltak, bruk av støtteverktøy, rutiner om undersøkelse og rapportering av mistenkelige forhold, osv. 

Rutinene skal dokumenteres og være fastsatt på øverste nivå hos den rapporteringspliktige. I tillegg skal rutinene være operasjonelle. I Finanstilsynets rapporter fremheves det at fullstendige og risikobaserte rutiner er av avgjørende betydning for å lykkes med etterlevelse av hvitvaskingsregelverket. Særlig ordet «fullstendige» er av betydning her. Foretakets rutiner må gjenspeile de relevante risikoene foretaket er utsatt for, og også hvordan foretaket skal praktisere etterlevelsen av hvitvaskingsregelverket.

Dette betyr at de må dekke både plikter som skal sikre at foretaket har forsvarlig styring og kontroll med arbeidet, og hvordan foretaket skal praktisere etterlevelsen av hvitvaskingsregelverket, herunder hva, hvordan, og når arbeidet skal gjøres. Inkludert i dette ligger også hvilke vurderinger som skal ligge til grunn. Der foretak får kritiske anmerkninger fra Finanstilsynet angående sine rutiner, er det primært på grunn av at rutinene er for generelle og i liten grad gjør medarbeidere i stand til å kunne bruke rutinene i sitt daglige arbeid og problemstillinger de kommer opp i.

Typisk er det slik at dersom foretaket har en god virksomhetsinnrettet risikovurdering og klarer å trekke den røde tråden fra risikovurderingen over i rutinene gjøres det også godt arbeid i øvrige ledd. Norge har mange mindre banker som er organisert i allianser eller grupper, hvor en sentral funksjon bidrar med maler og rammeverk til bruk innen hvitvaskingsfeltet. Dette kan føre til at de mindre bankene i for stor grad lener seg på malene som distribueres sentralt, og ikke tilpasser de slik at de gjenspeiler den unike virkeligheten hos den enkelte.

Sjekkpunkter:

• Har foretaket, som et minimum skriftlige rutiner som dekker alle punkter fastsatt av Finanstilsynets veileder punkt 2.3.2?

• Foreligger det rutiner både på et overordnet og på operativt nivå?

• Er rutinene tilpasset foretakets virksomhet?

En stor del av hvitvaskingsregelverket er knyttet til de spesifikke kravene til innhenting og vurdering av informasjon rundt enkeltkunders forhold til den rapporteringspliktige. Disse kravene strekker seg fra det binære (har et pass blitt innhentet, ja eller nei?) til det vesentlig mer komplekse som eksempelvis å vurdere hvem som faktisk kontrollerer et multinasjonalt selskap eller hva som er «godt nok» når det gjelder hensikten med å etablere kundeforhold akkurat til denne banken eller dette betalingsforetaket. Formålet er å tilpasse den løpende oppfølgingen av kunden i henhold til hvitvaskings- eller terrorfinansieringsrisikoen. 

Som en del av sin gjennomgang ber Finanstilsynet regelmessig om dokumentasjon på gjennomførte kundetiltak på både fysiske og juridiske personer i ulike risikoklasser og innenfor ulike produkt- eller tjenesteområder. Gjennomgående ser det ut til at de rapporteringspliktige foretakene ikke fullt ut forstår eller etterlever lovens prinsipp om en risikobasert tilnærming. Det brukes for mye tid på kunder med lav eller normal risiko, og for lite tid på kunder med høy risiko.

I svært mange rapporter peker Finanstilsynet på svakheter og mangler i de forsterkede kundetiltakene. Disse skal være tilpasset den aktuelle risikoen og tilstrekkelige til å sikre kjennskap om kunden, eventuelle reelle rettighetshavere, samt kundeforholdets formål og tilsiktet art. Det skal gjennomføres forsterkede tiltak der det er identifisert høy risiko. I enkelte tilsynsrapporter skrives det at saksbehandler selv, etter at risikoklassifiseringen hadde satt kundeforholdet til høy risiko, har konkludert med at ytterligere kontroll ikke var nødvendig og dermed ikke gjennomført forsterkede tiltak.

En mer korrekt fremgangsmåte ville vært å gjennomføre forsterkede tiltak knyttet til den eller de risikofaktorene som gjorde at kunden ble klassifisert som høy risiko, og via de forsterkede tiltakene og vurdering av tilleggsdokumentasjon argumentert for at den høye risikoen dempes tilstrekkelig til at forsterkede tiltak ikke vil være nødvendig ved neste periodiske oppfølging. 

Parallelt med svakhetene i de forsterkede kundetiltakene, poengterer Finanstilsynet tidvis at loven gir anledning til å benytte forenklede kundetiltak i de tilfellene hvor det er identifisert lav risiko for hvitvasking eller terrorfinansiering. Det forventes at den rapporteringspliktige ser til hvitvaskingsforskriften § 4-6 for indikatorer på lav risiko, og at det er dokumentert i foretakets virksomhetsinnrettede risikovurdering hvilke kundegrupper som forenklede tiltak kan benyttes på.

Alle rapporteringspliktige foretak plikter å gjennomføre kundetiltak som ledd i løpende oppfølging, og alltid når det er tvil om tidligere innhentede opplysninger er korrekte eller tilstrekkelige. I praksis deles den løpende oppfølgingen opp i en periodisk komponent, som skjer på faste intervaller avhengig av kundens risikoklassifisering (standard i bransjen har blitt 1/3/5 år for hhv høy, normal, og lav risiko), og en hendelsesbasert komponent. Hendelsesbasert oppfølging av kundeforholdet utløses gjerne av en endring. Denne endringen kan være liten, eksempelvis at et styremedlem byttes med et annet, eller mer vesentlig, som for eksempel aktivisering av et tidligere dormant hylleselskap eller skifte av bransje. 

Felles for både den periodiske og hendelsesbaserte oppfølgingen er blant annet at den skal kontrollere om det er samsvar mellom tidligere innhentede opplysninger om kunden og kundens aktivitet/transaksjoner og den faktiske atferden. For å kunne holde en slik løpende oversikt med en hver kundemasse av en viss størrelse er det nødvendig å benytte systemer for elektronisk overvåkning.

Det er viktig at overvåkingssystemet hensyntar kundespesifikk informasjon som eksempelvis tidligere oppgitt informasjon om formål og tilsiktet art, herunder mengde og frekvens på transaksjoner, slik at avvik fra dette flagges. Et konkret eksempel på denne type oppfølging kan være alarm dersom kundemidler over bedriftskonto avviker mer enn +/- 10% i en måned kontra snitt de siste 12 måneder. 

I tilfeller hvor foretaket oppdager at kunden har avvikende transaksjonsmønstre, må det innhentes opplysninger om bakgrunnen for dette. Unntaket er dersom det tydelig dreier seg om mistenkelige forhold, noe som trigger hvitvaskingsloven § 28 om forbud mot å gjøre kunden kjent med undersøkelser eller rapportering til Økokrim. Som regel vil endret atferd ha en naturlig forklaring, som at kunden har byttet jobb, eller at kundens virksomhet har ekspandert eller endret formål. I slike tilfeller må det innhentes nødvendige oppdaterte opplysninger og dokumentasjon.

Sjekkpunkter:

• Har foretaket systemer som muliggjør rask og fullstendig oversikt over kundeporteføljen? (Eksempel: Kan man raskt få oversikt over alle kunder med geografisk tilhørighet i/utenfor EØS? Kan man ta ut tall som viser hvor mange bedriftskunder som ligger registrert med henholdsvis null, én eller flere reelle rettighetshavere?) 

• Er alle kunder, inkludert fysiske personer som handler på vegne av kunden, legitimert?

• Har alle kunder besvart lovpålagte spørsmål om PEP, reelle rettighetshavere, formål og tilsiktet art, m.m.?

• Er kundetiltakene risikobaserte?

• Foreligger det dokumenterte vurderinger på alle kunder, særlig de som er ansett for høy risiko? 

• Er foretaket à jour med den løpende oppfølgingen?

• Omfatter den elektroniske overvåkingen alle kunder og alle transaksjoner, inkludert det som ikke er pengeoverføringer (verdipapirtransaksjoner, virtuell valuta, m.m.)?

• Er reglene eller scenariene som fører til flagg eller alarmer i den elektroniske overvåkingen tilpasset foretaket og tilstrekkelig dokumentert?

Det følger av hvitvaskingsloven § 35 at rapporteringspliktige foretak skal gjennomføre internkontroll, med det formål å avdekke svakheter og identifisere forbedringspotensial ved eget arbeid med tiltak mot hvitvasking og terrorfinansiering. Forsvarlig internkontroll er en forutsetning for at relevante tiltak skal kunne iverksettes, og for at blant annet rutiner og scenarier for transaksjonsmonitorering effektivt skal kunne oppdateres.

Kontrolloppgavene skal omtales, beskrives og kvantifiseres i en kontrollplan. Avvik fra planen skal rapporteres oppover, i siste instans til styret. Dokumentasjon av kontrollen må være skriftlig, og rapporten skal inneholde hva som er kontrollert, metoden som er benyttet, om det er funnet avvik, og hvordan eventuelle avvik er blitt fulgt opp. 

I tilfeller der Finanstilsynet påpeker feil eller mangler i internkontrollen, handler dette primært om tre punkter. For det første påpeker tilsynet tidvis svakhet med selve kontrollplanen, enten ved at planen ikke inneholder tilstrekkelige kontroller til å faktisk oppfylle kravet til forsvarlig kontroll med at rutiner blir fulgt, eller at omfanget er vesentlig for lavt. I de tilfeller hvor førstelinjens kontrolloppgaver ikke er tilstrekkelige, vil dette også svekke kvaliteten på kontrollene som gjøres i en eventuell andrelinje.

Det andre punktet er knyttet til kontrollene som gjøres. I mange tilfeller blir det påvist at kontrollene er for prosessuelle, og i svært liten grad vurderer faktisk gjennomførte kundetiltak eller underliggende vurderinger. 

Det tredje punktet relaterer seg til rapportering og oppfølging av avvik. For det første ser Finanstilsynet alvorlig på tilfeller der styre og ledelse ikke får tilstrekkelig gode rapporter om resultat fra internkontroll til å kunne igangsette tiltak. Men, enda mer alvorlig er tilfeller der identifiserte og rapporterte avvik ikke følges opp av styre og ledelse. 

Sjekkpunkter:

• Har foretaket en oppdatert kontrollplan, godkjent på øverste nivå?

• Følges kontrollplanen? 

• Er metoden for gjennomføring av kontroller kvalitetskontrollert eller validert?

• Følges eventuelle avvik opp i linjen med tydelige handlingsplaner og frister?

• Rapporteres eventuelle avvik oppover til hvitvaskingsansvarlig og foretakets styre eller ledelse?

Det rettslige vilkåret knyttet til undersøkelser er kort og relativt enkelt. Ved forhold som kan indikere mistanke om hvitvasking og terrorfinansiering skal rapporteringspliktige gjennomføre nærmere undersøkelser, jf. hvitvaskingsloven § 25. Terskelen er lav. Dersom undersøkelsene ikke avkrefter mistanken skal forholdet rapporteres til Økokrim, jf. hvitvaskingsloven § 26.

Som del av både stedlig og dokumentbasert tilsyn ber Finanstilsynet rutinemessig om eksempler både på rapporter som er sendt til Økokrim, samt alarmer som er undersøkt, men hvor mistanken ble avkreftet. 

Krav til undersøkelser og rapportering ses ofte opp mot alarmer generert av elektroniske støtteverktøy. Omfattende etterslep, eller at alarmer har blitt liggende ubehandlet over lengre tidsperioder, fremheves av Finanstilsynet som en vesentlig svekkelse av muligheten for å etterleve hvitvaskingsregelverkets krav og formål.

Sjekkpunkter:

• Er alle alarmer eller flagg i overvåkingssystemet behandlet innen rimelig tid?

• Hvis en alarm ikke har utløst undersøkelser, er det dokumentert hvilke vurderinger som har blitt gjort?

• For de undersøkelser der mistanke har blitt avkreftet, er det dokumentert hvilke undersøkelser som har blitt gjort og hvilke vurderinger som har ført til konklusjonen?

Avslutningsvis ønsker vi å minne om at dette ikke er en uttømmende liste, men kun en pekepinn utfra det siste årets tilsynsrapporter og erfaringer vi har dannet oss ute på oppdrag hos rapporteringspliktige foretak. Anti-hvitvasking og -terrorfinansiering er for øvrig kun én del av det foretakene må tenke på, og Finanstilsynet ser stadig oftere på denne risikoen i sammenheng med foretakets oppsett innen IKT, arbeid mot svindel, overholdelse av sanksjonsregelverket, og liknende. 

Hvis dere har kommentarer til artikkelen, spørsmål, eller ønsker å få et ekstra par øyne til å se på arbeidet deres med anti-hvitvasking, ikke nøl med å ta kontakt!