Finanstilsynet publiserte den 15. november 2022 ny veileder til hvitvaskingsloven. Veilederen gjelder for alle grupper rapporteringspliktige under Finanstilsynets tilsyn, og erstatter rundskriv 8/2019. Veilederen inneholder få nyheter, men knesetter noe av den praksis Finanstilsynet har etablert gjennom tematilsynet i 2020 og 2021.
Virksomhetsinnrettet risikovurdering
Alle rapporteringspliktige skal utarbeide en virksomhetsinnrettet risikovurdering, jf. hvitvaskingsloven § 7. Formålet med risikovurderingen er å kartlegge foretakets iboende risiko for å bli eksponert for hvitvasking og terrorfinansiering, og foretakets svakheter og sårbarheter som øker risikoen for slik eksponering. Erfaringer fra tematilsynet viser at de rapporteringspliktige i altfor stor grad har basert seg på maler fra bransjeforeningene, og at risikovurderingen har vært for lite konkret og tilpasset foretaket.
Ny veiledning forsøker å oppstille mer konkrete innholdskrav i den virksomhetsinnrettede risikovurdering, og lister opp eksempler på relevant informasjon om den rapporteringspliktige selv som bør inngå i risikovurderingen, blant annet omfanget av bruken av ulike produkter og tjenester og informasjon om kundene (antall kunder, lengden på kundeforhold og kundenes yrke og bransjetilknytning). Finanstilsynets forventninger til kildebruk når det gjelder de eksterne trusler opprettholdes, og det understrekes «at den rapporteringspliktige plikter å holde seg oppdatert på slike» kilder, som for eksempel rapporter fra Økokrim, NTAES, veiledninger fra FATF og EU og den til enhver tid gjeldende Nasjonal risikovurdering av hvitvasking og terrorfinansiering.
Hele veiledningen kan du lese her.
Hvitvaskingsrutiner
Hvitvaskingsrutiner er ment å være foretakets oppskrift på hvordan identifiserte risiki i den virksomhetsinnrettede risikovurderingen skal håndteres. Også på dette punktet er erfaringen at de rapporteringspliktige i stor utstrekning har basert seg på maler, og at rutinen derfor verken har vært brukervennlig eller forståelig.
Innholdskravene til en hvitvaskingsrutine er omfattende, og den nye veiledningen har tilføyd minimumskravene med følgende punkter:
• Risikovurdering, herunder av nye produkter, tjenester og ny teknologi
• Bruk og håndtering av elektronisk overvåkingssystem, herunder sanksjonsscreening, etter hvitvaskingsloven § 38, jf. hvitvaskingsforskriften § 7-3
• Egnethetsvurdering av hvitvaskingsansvarlig og etterlevelsesansvarlig etter hvitvaskingsloven § 35
• Behandling av personopplysninger
Utover dette gis det dessverre lite spesifikke retningslinjer for hvordan rutinen bør utarbeides og konkret hva den skal inneholde. For regnskapsførere anbefaler vi alle å se vårt nettkurs Hvitvaskingsansvarlig – Hva nå? der vi gjennomgår metode for utarbeidelse av hvitvaskingsrutiner, og gir deg tips og triks til hvordan å skape en indre sammenheng mellom hvitvaskingsrutinen og virksomhetsinnrettet risikovurdering.
Risikoklassifisering
Den nye veiledningen stiller tydeligere krav til risikoklassifisering av den enkelte kunde, og fremholder hvitvaskingsrutinens viktige rolle i den enkelte risikoklassifisering:
«De manuelle prosessene for risikoklassifisering av kunder som gjøres alene eller i kombinasjon med automatiske prosesser, må bygge på tilstrekkelig detaljerte rutiner som angir hvilke momenter eller kombinasjoner av momenter som avgjør kundens risikoklasse. Rutinene bør også klart identifisere hvilke typer vurderinger som sendes videre for beslutning hos overordnede.»
Det spesifiseres også at risikoklassifiseringen må holdes oppdatert.
Etablering av kundeforhold og tjenester som faller utenfor hvitvaskingslovens virkeområde
Utgangspunktet er at kundetiltak skal gjennomføres før et kundeforhold er etablert, jf. hvitvaskingsloven § 11 (1). Tidspunktet for når et kundeforhold anses «etablert» har i praksis vist seg å være utfordrende å fastsette. Den nye veiledningen omtaler ulike situasjoner og trekker viktige grensedragninger. For rapporteringspliktige som yter tjenester som ikke krever tillatelse fra Finanstilsynet (ikke-autorisasjonspliktige tjenester), har det kommet en viktig og etterlengtet avklaring:
«I de tilfellene der rapporteringspliktige tilbyr en tjeneste som ikke krever tillatelse, og denne tjenesten ikke tilbys sammen med andre tjenester som krever tillatelse, er det normalt ikke etablert et kundeforhold som krever kundetiltak etter hvitvaskingsloven. Dette kan for eksempel være salg av et produkt som ikke har noen tilknytning til den konsesjonspliktige virksomheten, som for eksempel betalingsforetak som også tilbyr teleabonnement eller reisebyråtjenester.»
Ut fra dette er det naturlig å anta at for eksempel regnskapsforetak som leverer IT-systemer og support og opplæring i tilknytning til dette er fritatt sine antihvitvaskingsforpliktelser i disse kundeforholdene. Dette synspunkt underbygges av uttalelser i forarbeidene til ny regnskapsførerlov, som avgrenser autorisasjonspliktige tjenester og begrepet «regnskapsførsel» mot systemleveranser.
Løpende oppfølging og avvikling av kundeforhold
Finanstilsynet presiserer nå at den løpende oppfølgingen i praksis vil inndeles i periodisk oppfølging og hendelsesbasert oppfølging, og det understrekes at periodisk løpende oppfølging skal avpasses risikoklassifiseringen:
«Normalt vil det være tilstrekkelig å oppdatere informasjon og dokumentasjon når det gjelder endrede forhold, i tillegg til etter faste intervaller.»
Dette innebærer at rapporteringspliktige minst én gang i året må avstemme den informasjon som tidligere er innhentet om kunden, i tillegg til å følge opp kunden der forhold hos kunden som påvirker risikoen i oppdraget endres, som for eksempel ved eierskifte.
Hvitvaskingsloven § 24 (4) pålegger rapporteringspliktige å avvikle kundeforhold der kundetiltak i den løpende oppfølgingen ikke lar seg gjennomføre. Avvikling av kunder kan i praksis være svært krevende, og det siste året har det blitt avsagt flere dommer og midlertidige forføyninger som gjelder rapporteringspliktiges rett og plikt til å avvikle kundeforhold. Finanstilsynets oppdaterte veiledning virker mer bevisst på de problemstillinger som reiser seg i forbindelse med avviklingsplikten, og stadfester at kontraheringsplikten i finansavtaleloven § 14 i utgangspunktet ikke er i strid med avviklingsplikten:
«Med andre ord vil altså kontraheringsplikten etter finansavtaleloven ikke stå i veien for at kunder avvises (eller avvikles) når hvitvaskingsregelverket krever dette fordi kundetiltak, herunder løpende og/eller forsterkede kundetiltak, ikke lar seg gjennomføre.»
Finanstilsynet fastholder at avviklingsplikten må sees i sammenheng med øvrig regulatorisk rammeverk for den rapporteringspliktige, samt de aktuelle kundeavtalene som gir hjemmelsgrunnlag for når et kundeforhold lovlig kan avvikles eller delvis avvikles. Som regnskapsfører bør du derfor sørge for at oppdragsavtalen innehar en klausul som gir foretaket grunnlag for å heve oppdragsavtalen der kundetiltak ikke lar seg gjennomføre. For revisorer må avviklingen skje med hjemmel i revisorloven § 9-6 annet punktum:
«Revisor har ellers bare rett til å trekke seg fra oppdraget hvis revisor ikke gis mulighet til å oppfylle sine plikter etter denne loven eller det foreligger andre særlige grunner.» (vår utheving).