21. desember 2021 publiserte Finanstilsynet en tematilsynsrapport om etterlevelse av pliktene i hvitvaskingsloven i regnskaps – og revisjonsforetak. Tilsynene ble gjennomført i 2020 og 2021, og på grunn av koronapandemien ble de fleste tilsynene gjennomført digitalt. Vi har i 2021 håndtert en rekke tilsvar og klager til Finanstilsynet, og er glade for å se at rapporten ikke retter nevneverdig kritikk mot de tvistepunktene tilsvarene og klagene har bygget på. Rapporten gir en samlet oversikt over funnene under tematilsynet, og i denne artikkelen skal vi oppsummere noen av de viktigste punktene, samt gi deg noen tips til ditt foretaks videre antihvitvaskingsarbeid.
Finanstilsynets rapport kan du lese i sin helhet her.
Virksomhetsinnrettet risikovurdering
Fra Finanstilsynets rapport fremgår at
«Ingen av de 22 foretakene hadde dokumentert en virksomhetsinnrettet risikovurdering som oppfylte lovkravet fullt ut».
Kravet til en virksomhetsinnrettet risikovurdering er forankret i hvitvaskingsloven § 7. Her fremgår at vurderingen blant annet skal vurdere (i) foretakets egen virksomhet, herunder virksomhetens art og omfang, (ii) foretakets produkter, tjenester og kundeforhold, (iii) foretakets kunder og kundegrupper og (iv) geografiske forhold. For å utarbeide en alminnelig gjennomsnittlig virksomhetsinnrettet risikovurdering trenger man altså i all hovedsak kunnskap om tre forhold:
– Hva hvitvasking og terrorfinansiering er
– Sin egen virksomhet; hvilke produkter og tjenester som leveres, leveringsmåter – og kanaler og transaksjoner som tilbys
– Hvem foretaket forholder seg til og samhandler med; kunder, reelle rettighetshavere, PEP’er, leverandører mv.
Kort sagt skal risikovurderingen identifisere og vurdere foretakets interne trusler og eksterne trusler. Sistnevnte forutsetter blant annet at det gjøres en gjennomgang av den samlede kundeporteføljen, og at kundene inndeles i bransjer. Deretter må man vurdere hvilken hvitvaskingsrisiko kundene i de identifiserte bransjene utgjør for foretaket, og det må vurderes hvilke rutiner man kan iverksette for å avbøte risikoen. Det er vår erfaring at dette punktet ofte forbigås i utarbeidelsen av den virksomhetsinnrettede risikovurderingen. Hver bransje bør ha en entydig (begrunnet) konklusjon med enten «lav», «normal» eller «høy» hvitvaskingsrisiko. Det forventes at man i denne vurderingen benytter og henviser til relevante kilder for vurdering av risiko, som for eksempel risikovurderinger og rapporter fra Politiet, PST, Økokrim og Finanstilsynet.
Vurderingen av kundenes bransjer er helt sentral for risikoklassifiseringen av den enkelte kunde som skal gjøres på oppdragsnivå, og det er ikke mulig å overholde plikten til risikoklassifisering av den enkelte kunde uten en slik overordnet risikovurdering av bransjene ditt regnskaps – eller revisjonsforetak leverer tjenester til.
Hvitvaskingsrutiner
Innholdskravet til en hvitvaskingsrutine er omfattende. Fra hvitvaskingsloven § 8 fremgår at foretaket skal ha en rutine for å sikre at virksomheten «oppfyller plikter etter bestemmelser gitt i eller i medhold» av hvitvaskingsloven. Kort sagt skal din hvitvaskingsrutine omtale alle krav som fremgår av hvitvaskingsloven – og forskriften. Finanstilsynets tematilsyn avdekket at ingen av de kontrollerte foretakene hadde hvitvaskingsrutiner som oppfylte lovens krav fullt ut.
Vår erfaring er at hvitvaskingsrutinene er for generelle. Malene fra bransjeorganisasjonene er ikke ment å brukes as is. Hvitvaskingsrutinene omtaler i altfor liten grad de verktøy og systemer de ansatte faktisk skal bruke i foretakets antihvitvaskingsarbeid. Flere av de større aktørene i bransjen har utviklet sine egne AML-systemer uten at systemet overhodet er omtalt i rutinene.
Hvordan skal man så gå fram for å utarbeide en god hvitvaskingsrutine? Fra lovens forarbeider fremgår at rutinen bør beskrive «livslinjen» i forholdet mellom den rapporteringspliktige og kunden. Rutinen bør altså bygges opp og disponeres kronologisk ut fra forholdet mellom dine medarbeidere og kunden, og rutinen vil da følge lovens systematikk. Til illustrasjon bør et av de første punktene i ditt foretaks hvitvaskingsrutine omhandle onboarding av nye kunder, herunder hvordan dette skal gjøres, i hvilket system og hvilken informasjon som skal innhentes. Rutinen bør også omtale hvilke forhold som kan indikere lav, normal eller høy risiko, og eksempler på hvilke kundetiltak som kan iverksettes når.
Mange kvalitetssystemer (og AML-systemer for de som har det) utgjør i seg selv en operativ rutine ved at man er pålagt å fylle ut enkelte felt og laste opp bestemt dokumentasjon for å for eksempel kunne opprette en kunde. Disse operative rutinene trenger ikke å gjentas i hvitvaskingsrutinen, men de må forankres i hvitvaskingsrutinen ved å henvise til systemene. Vår anbefaling er alltid også å legge inn screen shots fra verktøyene foretaket benytter inn i rutinene.
Ditt foretaks hvitvaskingsrutiner bør være lett tilgjengelig i et wordformat slik at de ansatte kan bruke rutinene aktivt ved å søke i og kopiere teksten fra rutinen. Fra Finanstilsynets rapport fremgår det forutsetningsvis at hvitvaskingsrutinen skal fungere som en veiledning for foretakets ansatte.
Opplæring og internkontroll
Av erfaring vet vi at det er særlig to forhold i en hvitvaskingsrutine som omtales for kort og upresist; opplæring og internkontroll. Disse punktene er også fremhevet i Finanstilsynets rapport.
Tilstrekkelig opplæring av foretakets ansatte er kanskje det viktigste tiltaket for å forebygge og avdekke hvitvasking og terrorfinansiering. For å dokumentere at ditt foretak har gjennomført tilstrekkelig opplæring eller planlegger slik opplæring, må du ha en opplæringsplan. Opplæringen må som et minimum bestå av en gjennomgang av (i) hva hvitvasking og terrorfinansiering er, (ii) pliktene etter hvitvaskingsloven, (iii) red-flag-situasjoner og (iv) foretakets hvitvaskingsrutiner.
Det er ikke tilstrekkelig å kun outsource opplæringen til for eksempel bransjeorganisasjoner eller andre foredragsholdere idet det formodes at disse foreleserne ikke i tilstrekkelig grad kjenner ditt foretak. Vår anbefaling er at opplæringen fordeles 50/50, slik at én del av opplæringen er en intern gjennomgang av den virksomhetsinnrettede risikovurderingen og deres hvitvaskingsrutiner, mens den andre delen kan bestå av kurs avholdt av eksterne. Nøyaktig hvor mye opplæring som kreves, avhenger av den konkrete virksomheten. Basert på siste års erfaring og Finanstilsynets strenge krav til opplæring, er det likevel grunn til å anta at det må gjennomføres flere opplæringstiltak årlig.
Opplæringsplanen må være detaljert, og som det fremgår av Finanstilsynets temarapport må den omtale hvem som ha opplæring, i hva, når og hvordan. Opplæringsplanen i seg selv trenger ikke fremgå av hvitvaskingsrutinen, men den må forankres i rutinen.
Kravet om internkontroll fremgår av hvitvaskingsloven § 35. Kravet innebærer at foretakets ledelse må fastsette hvilke interne kontrolltiltak som skal iverksettes for å sikre etterlevelse av hvitvaskingsloven. Hvitvaskingsrutinen må derfor omtale hva denne internkontrollen skal bestå av, herunder hva som skal gjøres, når og av hvem, og hvordan avvik skal håndteres og følges opp. Ingen av de kontrollere foretakene hadde en tilstrekkelig rutine for internkontroll under Finanstilsynets tematilsyn.
For regnskapsførere og revisorer er kravet til internkontroll og kontrollhandlinger allerede godt kjent og forankret i god revisjonsskikk og GRFS, samt andre krav som ligger til oppdragsutførelsen av hvert enkelt oppdrag. Mange foretak har for Finanstilsynet anført at kontrollhandlinger som følger av regnskaps – og revisjonslovgivningen også dekker kravet til internkontroll i hvitvaskingsloven. Selv om disse kontrollhandlingene absolutt kan samhandles, må internkontroll for etterlevelse av hvitvaskingsloven omtales særskilt i hvitvaskingsrutinene.
Risikoklassifisering
For å kunne iverksette risikobaserte og riktige kundetiltak, skal hver enkelt kunde i ditt foretaks kundeportefølje risikoklassifiseres med en tydelig og velbegrunnet konklusjon. Risikoklassifisering av den enkelte kunde må ikke forveksles med den virksomhetsinnrettede risikovurderingen, selv om disse vurderingene nok vil kunne være like. Risikoklassifisering skal, naturlig nok, være langt mer konkret og spesifikk enn foretakets virksomhetsinnrettede risikovurdering.
Finanstilsynet har gjennom sitt tematilsyn avdekket at det synes å herske en viss motvilje mot å konkludere med at en kunde skal klassifiseres som en høyrisikokunde. Bakgrunnen for dette er etter vår erfaring flerdelt; mange regnskapsførere og revisorer tenker at deres kunder ikke driver med hvitvasking, og konkluderer derfor (feilaktig) med at risikoen for hvitvasking ikke er høy. Andre foretak har som intern retningslinje ikke å påta seg oppdrag for høyrisikokunder overhodet, mens andre har identifisert at kunden bør klassifiseres med høy risiko, men som på grunn av manglende kunnskap om hva forsterkede kundetiltak kan innebære, konkluderer med at risikoen er «normal».
Ut fra hvitvaskingslovens prinsipper er det ikke adgang til å avvise en kunde med den begrunnelse at kunden er en høyrisikokunde. Et slikt standpunkt vil kunne føre til at regnskaps – og revisjonspliktige foretak med høy risiko for å være involvert i hvitvasking står uten mulighet for å engasjere regnskapsfører eller revisor, hvilket åpenbart er uheldig. På den andre siden har regnskapsfører og revisor etter alminnelig avtalerett ingen plikt til å inngå avtaler med kunder de ikke ønsker å inngå i et avtaleforhold med. Oppsigelse av oppdragsavtalen trenger for øvrig heller ingen begrunnelse.
En hel bransje som står til stryk?
Tallenes tale er klar: samtlige 22 regnskaps – og revisjonsforetak som ble kontrollert i 2020 har fått kritikk, og 19 av disse ble ilagt overtredelsesgebyrer som varierer fra kr. 100.000 til kr. 400.000. Er det bransjen det er noe galt med?
Vi i advokatfirmaet Strandenæs har tidligere stilt oss skeptiske til myndighetenes fremgangsmåte ved å publisere innholdsløse veiledninger for deretter å kontrollere bransjens etterlevelse og ilegge overtredelsesgebyrer. Det kan virke som at det er de rapporteringspliktige selv som har fått oppgaven i å gå opp grensegangen og fylle reglene med innhold. Vår kritikk kan du lese i Finansavisen her. Finanstilsynets rapport gir etter vår oppfatning grunn til å fastholde kritikken fra i fjor.
Det positive er at bransjeorganisasjonene nå tar antihvitvaskingsarbeid i bransjen på alvor, samtidig som det nå er flere gode AML-verktøy tilgjengelig på markedet enn det var i 2020. Hvis du er i tvil om hvordan du skal håndtere ditt foretaks antihvitvaskingsarbeid fremover eller trenger bistand til å utforme risikovurderinger eller rutiner, så kontakt oss gjerne!
P.S. I vårt høyaktuelle nettkurs Hvitvasking og økonomisk kriminalitet i regnskaps – og revisjonsbransjen gjennomgår vi hvitvaskingslovens system fra A og Å, og tar deg gjennom de krav som stilles til regnskapsfører og revisor på oppdragsnivå (kundenivå). Kurset gir godkjent oppdatering i tråd med Finanstilsynets retningslinjer, og passer godt både for hvitvaskingsansvarlig, ledelsen og den enkelte utførende regnskaps – og revisjonsmedarbeider.