Den 10. mai 2023 publiserte Finanstilsynet sin risikovurdering for 2023. Regnskapsførere antas å ha høyere risiko for å bli benyttet til hvitvasking enn revisorer, selv om begge sektorer er utsatt. Finanstilsynet vurderer at det er moderat risiko for revisorer, og betydelig risiko for at regnskapsførere blir utnyttet som ledd i hvitvasking. Regnskapsførere er med det den gruppen rapporteringspliktige med nest høyest risiko.
Risikovurderingens betydning
Risikovurderingen gir uttrykk for Finanstilsynets vurdering av risikoen for hvitvasking i de ulike sektorene basert på den iboende risikoen knyttet til de ulike sektorer, sammenholdt med hvor sårbar Finanstilsynet anser sektoren å være for å bli utnyttet til hvitvasking. Vurderingen bygger på objektive risikofaktorer beskrevet av norske og utenlandske kilder, som blant annet EU-kommisjonens Supranational Risk Assessment Report (SNRA) og Økokrims trusselvurdering, men også Finanstilsynets egne erfaringer fra tilsyn de siste årene.
Risikovurderingen er en viktig kilde for rapporteringspliktige når den virksomhetsinnrettede risikovurderingen skal utarbeides og/eller revideres. Finanstilsynet forventer at rapporteringspliktige viser til denne risikovurdering i sitt eget risikoarbeid. Likevel er det viktig å huske på at årets risikovurdering ikke nødvendigvis er en fasit for ditt foretak.
Hele risikovurderingen kan du lese her.
Tjeneste- og produktrisiko
Om revisorer og regnskapsførere følger det av risikovurderingen at:
«SNRA vurderer at revisorer og regnskapsførere er blant aktørene som er mest utsatt for å bli brukt av organiserte kriminelle til hvitvasking, og vurderer trusselnivået for visse tjenester som regnskapsfører og revisor tilbyr, til betydelig for begge kategorier. I NRA vurderes revisorer å ha moderat risiko for hvitvasking, mens regnskapsførere vurderes å ha betydelig risiko.»
De tjenester som nevnes er rådgivningstjenester og håndtering av selskapsstrukturer til ulike formål. Ditt foretaks virksomhetsinnrettede risikovurdering bør derfor særlig omtale
(i) Innen hvilke fagområder rådgivningen gis (eventuelt en negativ avgrensning), og hvordan denne rådgivning kan bli misbrukt som ledd i hvitvasking
(ii) Hvilke tiltak foretaket har iverksatt/ønsker å iverksette for å håndtere hvitvaskingsrisiko
(iii) Samtlige tjenester og produkter foretaket tilbyr, med angivelse av hvor stor prosentandel av kundemassen som mottar disse tjenester
(iv) Risiko knyttet til de ulike produkter og tjenester, og en tydelig konklusjon på risikonivå (lav, medium eller høy)
(v) Øvrige tjenester og produkter foretaket tilbyr som ikke faller inn under regnskapsførerloven § 1-1- og dermed utenfor autorisasjonsplikten
For regnskapsførere er risikoen ved betalingsoppdrag fortsatt høyst reell. I risiko- og sårbarhetsanalysen for 2023 som ble publisert 09. mai 2023, fremkommer det at tap ved svindel med betalingstjenester økte i 2022. ROS-analysen kan du lese her.
Regnskapsførere er særlig utsatt for CEO-svindel ved at kunden blir hacket. De kriminelle får stadig flere verktøy og blir også mer sofistikerte i sin utførelse av denne type svindel, og det kan derfor være vanskelig å avdekke. Et risikoreduserende tiltak er å tydelig definere hva som er betalingsrutinen i partenes oppdragsavtale, og tydelig regulere hvordan eventuelle avvik fra denne rutinen skal håndteres. Er det forsvarlig for ditt foretak å betale fakturaer sendt pr. e-post?
Borgarting lagmannsrett har nylig avsagt dom om et liknende tilfelle mellom Edison Norge AS og Danske Bank. Edison Norway AS var blitt utsatt for CEO-svindel og saksøkte sin bankforbindelse idet de mente banken hadde opptrådt uaktsomt ved ikke å stanse utbetalingene. Danske Bank ble dømt til å betale erstatning, men erstatningsbeløpet ble satt ned med hele 75 % som følge av svikt blant Edisons egne ansatte og ledelse, herunder brudd på interne betalingsrutiner. Fra dommen fremgår:
«Retten er kommet til at […] bevisst tok en risiko for tap når han gjennomførte transaksjonene til tross for at han hadde betenkeligheter, og at han ikke gjorde banken kjent med de forholdene som gjorde ham betenkt.»
Mistenkelige transaksjoner
Finanstilsynet erfarer at revisorer og regnskapsførere i liten grad tror at egne tjenester kan brukes som ledd i hvitvasking og at egne kunder kan være involvert. La oss ta et praktisk eksempel: Eneeier Peder Ås gjør et uttak fra sitt foretak på kr. 200 000. Uttaket er ikke dokumentert. Hvordan fører du dette uttak? Hvordan følger du opp Peder Ås?
I risikovurderingen nevnes fiktiv fakturering som en kjent fremgangsmåter for hvitvasking. Fiktiv fakturering er ikke er rettslig begrep, men er benyttet i en rekke saker. Poenget er at fakturaen er fiktiv, enten fordi det er fakturert for en jobb som ikke er gjort, at den som har gjort jobben ikke er fakturautsteder, eller at fakturaen er utstedt til feil mottaker. Hvordan håndterer du som regnskapsfører en inngående faktura som er mangelfull for eksempel med hensyn til omfang, tid og sted?
Rutiner, rutiner og rutiner
I risikovurderingen peker Finanstilsynet nok en gang på at revisjons- og regnskapsforetak i stor utstrekning har mangler i sine virksomhetsinnrettede risikovurderinger og fastsatte rutiner:
«Gjennomgående har det vist seg at tilsynsenheter i for stor grad har basert hvitvaskingsrutinene på ferdigproduserte maler eller sjekklister i IT-verktøy som brukes i oppdragsutførelsen. Dette innebærer at rutinene ikke er tilpasset virksomheten, og at sjekklister i programvaren er mangelfulle.»
Er du bekymret for at du er en av dem, er et godt tips å begynne med blanke ark og å skrive om ditt foretak, herunder
(i) Ansatte og kompetanse
(ii) IT-verktøy og produksjonssystemer
(iii) Dine kunder og kundegrupper
(iv) Dine tjenester og produkter
Husk av samtlige kundegrupper (bransjer) og tjenester i foretaket skal risikovurderes, ikke bare de bransjer og tjenester som på nasjonalt nivå er ansett å ha høy iboende risiko.