Ny veileder til hvitvaskingsloven fra Finanstilsynet
I tidligere artikler i Revisjon og regnskap har vi omtalt hvitvaskingsregelverket for regnskapsførere og revisorer. I denne artikkelen omtaler vi Finanstilsynets rundskriv nr. 4/2022 og gir en kort omtale av den nasjonale risikovurderingen for 2022 (NRA 2022) som beskriver trusler for hvitvasking og terrorfinansiering.
Advokatfirmaet Erling Grimstad
Advokatfirmaet Erling Grimstad
Ny veileder fra Finanstilsynet
Omfattende veileder som erstatter rundskriv nr. 8/2019
Finanstilsynets veileder inneholder nærmere beskrivelser av krav som følger av hvitvaskingsloven og hvitvaskingsforskriften. I tillegg forventes det at rapporteringspliktige gjør seg kjent med innhold i tilsynsrapporter fra Finanstilsynet der det gis beskrivelser av feil og mangler som er avdekket under tilsyn. Veileder til hvitvaskingsloven i rundskriv nr. 4/2022 er på 100 sider og erstatter rundskriv nr. 8/2019. Veilederen inneholder detaljerte beskrivelser av blant annet krav til risikovurdering, utarbeidelse av rutiner, og gjennomføring av kundetiltak.
«Flere revisorer er tilknyttet internasjonale nettverk og har oppdragsgivere med internasjonal tilknytning. Dette øker trusselen for å bli brukt som ledd i hvitvasking. Finanstilsynet har avdekket at revisor har påtatt seg oppdrag for utenlandske aktører uten å gjennomføre tilstrekkelige tiltak for å identifisere reelle rettighetshavere eller personen som handlet på vegne av oppdragsgiver.»
Kilde: NRA 2022
Finanstilsynets rundskriv nr. 14/2019 «Veiledning om revisorers og revisjonsselskapers etterlevelse av hvitvaskingsregelverket» og nr. 15/2019 «Veiledning om regnskapsførers og regnskapsførerselskapers etterlevelse av hvitvaskingsregelverket» og rundskriv gjelder fortsatt. Det er ikke gitt noen forklaring i veilederen om hvordan regnskapsfører eller revisor skal håndtere situasjoner der det er eventuell motstrid mellom de nevnte rundskrivene (veilederne) eller mellom veilederne og tilsynsrapporter. I tillegg til å utforme detaljerte krav i veileder som nevnt, fastsetter Finanstilsynet reaksjoner for overtredelser av hvitvaskingsregelverket som tilsynsmyndighet på området.
Krav til foretakets egen risikovurdering
Det stilles ikke detaljerte krav til hvordan risikovurderingen etter hvitvaskingsloven § 7 skal utformes. Formålet er å kartlegge og beskrive foretakets risiko for hvitvasking og terrorfinansiering.
Det forventes at foretaket foretar vurdering av eksterne trusler (også omtalt som iboende risiko) og eventuelle svakheter eller sårbarheter ved anti-hvitvaskingstiltakene som gjør det mulig å misbruke revisor eller regnskapsfører til hvitvasking eller terrorfinansiering. Vår erfaring viser at den største utfordringen ofte er å identifisere og vurdere foretakets sårbarhet for å bli utnyttet til hvitvasking og terrorfinansiering. Eksempler på sårbarheter kan være mangel på kunnskap om hvordan hvitvasking foregår, manglende kundetiltak, svak internkontroll eller uklarheter om hvem som har ansvar for utføring av anti-hvitvaskingsoppgavene i foretaket.
Finanstilsynet forventer at foretaket i tillegg til eksterne kilder også benytter kvalitativ og kvantitativ informasjon fra egen virksomhet ved utarbeidelsen av risikovurderingen. Terrorfinansieringsrisikoen skal alltid vurderes, selv om foretaket mener risikoen er lav. Det må foretas en vurdering av risikoen før ny teknologi tas i bruk, eller nye produkter og tjenester tilbys. Risikovurderingen bør dessuten inneholde en versjonslogg.
Krav til kundetiltak
Veilederen inneholder detaljerte beskrivelser av kundetiltak og vurdering av kundetiltak for politisk eksponerte personer (PEP). Det er også gitt beskrivelse av hvem som er å anse som en politisk eksponert person, og hva som menes med «kjent medarbeider» av en PEP. Det er presisert at risikoklassifiseringen av kunder må ta hensyn til enkeltstående høyrisikofaktorer, som på selvstendig grunnlag kan resultere i at en kunde klassifiseres som høyrisiko. Videre må det også tas hensyn til kombinasjonsrisiko, hvor flere faktorer i fellesskap kan tilsi klassifisering som høyrisiko. Det er også lagt vekt på viktigheten av å oppdatere risikoprofiler, og at endringer av betydning blir fanget opp. Det presiseres også at det alltid skal foreligge dokumentasjon på årsaken til at en kunde er plassert i en bestemt risikoklasse.
Foretaket skal ha en forståelse for eierskaps- og kontrollstrukturen til kunden uavhengig av kravet til å identifisere reelle rettighetshavere. Det er også gitt en rekke eksempler på kravet til å forstå kundens eierskaps- og kontrollstruktur og hva som er egnede tiltak sett på bakgrunn av risikoen som er knyttet til kundeforholdet. For aksjeselskap med normal risiko er det ofte tilstrekkelig å sammenholde informasjon som er innhentet fra kunden med det som kommer frem av aksjeeierbok, opplysninger som fremgår av regnskapsnoter, stiftelsesdokumenter, offentlige selskapsdatabaser mv. Veilederen inneholder flere eksempler på kundetiltak for å identifisere reelle rettighetshavere der kunden er lag og foreninger, offentlig myndighet, eller norsk eller utenlandske fond.
Høyrisikoland
Det må gjennomføres forsterkede kundetiltak for kundeforhold eller transaksjoner som involverer høyrisikoland, jf. hvitvaskingsforskriften § 4-10 første ledd. Med tilknytning menes blant annet tilfeller der kunden er etablert i et høyrisikoland (dvs. registrert der eller har sitt hovedkontor der), midler som inngår i kundeforholdet har sin opprinnelse i et høyrisikoland, midler er mottatt fra et høyrisikoland, midler sendes til et høyrisikoland, går via et høyrisikoland f.eks. der betalingsformidler er basert i landet eller reell rettighetshaver hos kunder bosatt i et høyrisikoland. Det skal også vurderes om det bør gjennomføres forsterkede kundetiltak når kunden har nære personlige eller profesjonelle forbindelser med et høyrisikoland. Finanstilsynet forventer videre at regnskapsfører og revisor vurderer geografisk tilknytning til alle land som kunden har eksponering mot. Dette inkluderer også EØS-land.
Det må gjennomføres forsterkede kundetiltak for kundeforhold eller transaksjoner som involverer høyrisikoland som for eksempel Iran.
Løpende oppfølging av kundeforhold
Finanstilsynet omtaler kravene til løpende oppfølging av kundeforholdet som periodisk oppfølging og hendelsesbasert oppfølging. Det siste skal foretas når det er tvil om de tidligere innhentede opplysningene er korrekte eller tilstrekkelige. Dette kan skyldes vesentlige endringer i eierforhold, bransje, drift, formål og atferd hos kunden.
Avsløringsforbudet
Veilederen inneholder en nærmere beskrivelse av avsløringsforbudet etter hvitvaskingsloven § 28 første ledd. Det slås fast at avsløringsforbudet, dvs. forbudet mot å opplyse om eventuell undersøkelse eller rapportering etter hvitvaskingsloven overfor kunden eller tredjepart, ikke er til hinder for at det kan gjennomføres kundetiltak eller løpende oppfølging av kundeforholdet. I slike tilfeller må informasjonen innhentes på måter som innebærer at kunden ikke gjøres kjent med at det gjennomføres undersøkelser som følge av mistenkelige forhold. Avsløringsforbudet gjelder også for informasjon som er mottatt av andre rapporteringspliktige og løper i tid etter at kundeforholdet er avsluttet. Veilederen beskriver også unntak fra avsløringsforbudet.
Oppbevaringsplikten
Lagringstiden for personopplysninger er fem år, men ti år dersom kundeforholdet var underlagt forsterkede kundetiltak da kundeforholdet ble avsluttet, jf. hvitvaskingsloven § 30 første ledd. Veilederen omtaler krav til rutiner for å sikre at personopplysninger og dokumenter som inneholder personopplysninger slettes etter utløp av fristen.
Opplæringsplikten
Flere tilsynsrapporter omtaler krav til skriftlig opplæringsplan, og at planen både inneholder kompetansekrav tilpasset stilling og funksjon, og dokumentasjon for at de fastsatte kompetansekravene er bestått (beståelseskrav). Innholdet i opplæringen er omtalt i veilederen kap 10.1, men uten at det er like tydelige krav til innholdet i opplæringsplanen etter veilederen som i enkelte tilsynsrapporter. Etterlevelsen av opplæringsforpliktelsene skal dokumenteres, både når det gjelder innholdet og gjennomføringen.
Revisorer har moderat risiko for å blir misbrukt til hvitvasking
Innledningsvis omtaler NRA 2022 trusler som følge av at kriminelle benytter digitale verktøy, noe som øker handlingsrommet for kriminelle og fører til økt bruk av grensekryssende tjenester. Sosial manipulasjon, og økning i bruk av unge og sårbare personer som pengemuldyr, er blant de tydeligste truslene som nevnes. Blant de sårbarhetene som fremheves, nevner vi her at bruken av tredjepartsaktører i betalingstransaksjoner øker. Rapporteringspliktige opplever utfordringer knyttet til deling av informasjon på tvers av rapporteringspliktig sektor og usikkerhet om hvem som har ansvar for å detektere og rapportere mistenkelige forhold. Andre sårbarheter er at mange rapporteringspliktige ikke har tilpasset risikovurdering, rutiner og andre anti-hvitvaskingstiltak til sin egen virksomhet. Det er også utfordringer med å kartlegge reelle rettighetshavere, noe som ytterligere kompliseres hvis kundene er utenlandske juridiske personer, det benyttes skallselskap, skatteparadis eller klientkontoer i transaksjonskjeden.
Regnskapsførere har betydelig risiko for å bli benyttet til hvitvasking av utbytte fra kriminell aktivitet. Denne risikoen er forhøyet sammenlignet med den forrige nasjonale risikovurderingen.
Revisorer anses for å ha en moderat risiko for å bli misbrukt til hvitvasking og terrorfinansiering gjennom sin oppdragsutførelse.
Trusler knyttet til revisorer er at de har godkjent regnskap uten særlig kontroll, eller at det er mangler ved innhenting av dokumentasjon fra foretaket. Mangler ved dokumentasjon av utført revisjon eller at revisor har reparert regnskap til kunden, er andre eksempler på trusler. Både regnskapsførere og revisorer er i kraft av sitt yrke og den kunnskapen de besitter, i en posisjon hvor de kan bli misbrukt til å skape legitimitet for en virksomhet som er involvert i kriminalitet. På den måten kan de tilrettelegge for hvitvasking. Eksempler på hvitvasking som kan gå uoppdaget av regnskapsfører eller revisor, er fiktiv fakturering, skatte- og avgiftsunndragelse, arbeidslivskriminalitet, tilsløring av reelle rettighetshavere, eller tilsløring av midlenes opprinnelse. Unnlatelse av å gjennomføre kontrollhandlinger kan skape ufortjent tillit til virksomhetens regnskap, skatte- og avgiftsopplysninger. Rådgivningstjenester, særlig skatte- og selskapsrådgivning, kan utnyttes av foretak som ledd i hvitvasking.
Sårbarhetene for regnskapsfører eller revisor er først og fremst at deres tjenester skaper tillit til foretakets regnskap og at foretaket drives i samsvar med lover og regler. Eksempler på sårbarheter for revisor er mangler i risikovurderingen og i rutiner etter hvitvaskingsloven som gjør revisorforetaket sårbart for å bli utnyttet av kunder til hvitvasking eller terrorfinansiering. I geografiske områder der tilfanget av oppdrag er begrenset, kan det ikke utelukkes at revisors etterlevelse av hvitvaskingsregelverket er påvirket av frykten for å miste oppdrag. Risikoen anses høyere for mindre regnskapsfører- eller revisjonsforetak enn for større virksomheter som er del av et nettverk som kjennetegnes av høy profesjonalitet.