Hvitvasking – regelverksguide 2023

Lovens pliktsubjekter defineres som rapporteringspliktige. Av juridiske personer omfatter dette blant annet finansforetak, verdipapirforetak, verdipapirsentraler (tidl. verdipapirregistre) i angitte situasjoner, forvaltningsselskap for verdipapirfond, forsikringsforetak, samt forsikringsformidlingsforetak, foretak som driver depotvirksomhet, AIF forvaltere og låneformidlingsforetak.

Filialer av utenlandske foretak er også rapporteringspliktige under det norske hvitvaskingsregelverket. Dette innebærer at filialen er forpliktet til å etterleve det norske regelverket uavhengig av hvilke prosesser som styres etter gjeldende rett i hjemlandet for hovedkontoret. Filialen må derfor påse at norske krav og reguleringer etterleves. 

De personene som vil omfattes av loven i yrkesøyemed er overordnet revisorer, regnskapsførere, advokater som bistår ved finansielle transaksjoner eller transaksjoner som gjelder fast eiendom etter nærmere angitte vilkår, eiendomsmeglere og -foretak, tilbydere av virksomhetstjenester, personer med begrenset tillatelse til å yte betalingstjenester og tilbydere av spilltjenester.

3.1. Virksomhetsinnrettet risikovurdering
Loven pålegger den rapporteringspliktige å gjøre en virksomhetsinnrettet risikovurdering. Denne skal være utgangspunktet for den rapporteringspliktiges implementering av hvitvaskingsregelverket.

Risikovurderingen tar sikte på å kartlegge og beskrive den rapporteringspliktiges risiko for hvitvasking og terrorfinansiering. Hvitvaskingsloven gir selv lite veiledning for utarbeidelse av risikovurderingen, men tilsynspraksis og -veiledning vil være retningsgivende.

Risikovurderingen bør både inneholde en vurdering av iboende risiko (eksponering mot hvitvaskingsrisiko og terrorfinansieringsrisiko), foretakets tiltak og eventuelle svakheter og sårbarheter ved disse, samt såkalt restrisiko. Både potensiell og faktisk risiko skal omfattes. Det kan benyttes malverk fra bransjeforeninger, men disse må anvendes med øye for at det er den rapporteringspliktiges egne vurderinger av risikoen ved den konkrete virksomheten som skal ligge til grunn for risikovurderingen. I tilsynspraksis for banker og finansforetak synes det å være gjennomgående påpekt at rutiner basert på malverk, det være seg bransjerelaterte eller konserninterne, i for liten grad har vært konkretisert og tilpasset foretakets konkrete risiko.

Terrorfinansieringsrisikoen skal alltid skal vurderes, også i de tilfeller der det antas at konklusjonen er at risikoen er lav. Dette synes også å være i fokus ved stedlige tilsyn.

Ved utarbeidelsen av risikovurderingen, skal både interne kilder (kunnskap og erfaring fra egen virksomhet) og eksterne kilder danne grunnlaget for risikovurderingen. Det forventes som et minimum at rapporteringspliktige benytter vurderinger og anbefalinger fra tilsynsmyndigheter, Politidirektoratet og PST. Rapporteringspliktige må også være kjent med egne bransjeorganisasjoners eventuelle vurderinger av risiko, samt rapporter fra Økokrim, Kripos, PST og NTAES som er relevant for bestemte produkter/tjenester.

Konsultering av kilder fra EU-kommisjonen, FAFT og EBAs Risk Factor Guidelines vil også være forventet kildebruk for finansforetak, samt for mellomstore og store foretak.

Risikovurderingen bør oppdateres minimum årlig, og for øvrig ved behov. Ny kunnskap om metoder og trender for hvitvasking og terrorfinansiering, oppdaterte erfaringer fra den rapporteringspliktige selv eller eksterne kilder, samt ved publisering av nye risikovurderinger fra myndigheter og bransjeorganisasjoner – bør hensyntas.

Fra tilsynspraksis kan man også merke seg at følgende har vært påpekt:

• Manglende tilpassing av risikovurdering og risikoklassifisering etter norske forhold.
• Manglende hensyntaken til kombinasjonsrisiko knyttet til ulike kunder, kundegrupper, produkter og tjenester, mv., samt produktrisiko hensyntatt kriminelle trender.
• Manglende hensyntaken til mulig nøkkelpersonrisiko hos den rapporteringspliktige. Dette gjelder spesielt for filialer av utenlandske foretak, ved at de som sitter i ansvarlige stillinger er tilknyttet hovedkontoret og ikke nødvendigvis er tilstede i den norske filialen.

3.2. Rutiner
Rapporteringspliktige skal også utarbeide operasjonelle rutiner som beskriver hvordan den rapporteringspliktige faktisk skal praktisere etterlevelsen av hvitvaskingsregelverket. Det skal være en tydelig sammenheng mellom risikovurderingen og rutinene.

Krav til utarbeidelse av rutinebeskrivelsen følger av hvitvaskingsloven § 8. Både risikovurderingen og rutinene må utarbeides ved skriftlig dokumentasjon som kan fremlegges for tilsynsmyndigheter.

Rutinene må revideres. Det bør minimum gjøres en årlig vurdering av om det er behov for oppdatering eller justeringer i rutinene. I veilederen er det uttalt at det generelt vil være behov for revidering når risikovurderingen oppdateres, ved nye regulatorisk krav, utvikling av nye produkter eller ved andre endringer – det være seg i risikobildet eller i virksomheten.

Mangler ved rutinene er trukket frem av Finanstilsynet ved flere tilsyn det siste året. Manglene består eksempelvis i at rutinene i for stor grad baserer seg på sjekklister og tabeller for utfylling av informasjon, fremfor å beskrive hvordan risiko faktisk vurderes og tiltak iverksettes.

3.3. Risikoklassifisering, kundetiltak og løpende oppfølging
Rutinene skal blant annet angi og beskrive den rapporteringspliktiges risikoklassifisering av kunder, i tillegg til gjennomføring av kundetiltak og løpende oppfølging. Også risikoklassifiseringen av kunder skal gjenspeile funnene i den virksomhetsinnrettede risikovurderingen. Basert på risikoklassifiseringen skal den rapporteringspliktige gjennomføre tilpassede kundetiltak og løpende oppfølging.

Alle kunder skal risikoklassifiseres for å kunne gjennomføre korrekte kundetiltak, jf. hvitvaskingsloven § 9. Klassifiseringen skal bygge på elementer fra den virksomhetsinnrettede vurderingen. Det er anledning til å anvende standardiserte risikoprofiler for kundemassen, men disse må igjen tilpasses virksomhetens konkrete risikoer.

Hvitvaskingsloven skiller mellom alminnelige, forenklede og forsterkede kundetiltak som den rapporteringspliktige skal praktisere i tråd med den konkrete risikoklassifiseringen av kunden.

Mangler ved risikoklassifiseringen er også trukket frem i tilsynsrapportene, blant annet at risikoklassifiseringen av kunder skal være reell, slik at klassifiseringen faktisk differensierer kundemassen etter hvitvaskingsrisiko og ilagte kundetiltak.

Banker, kredittforetak og finansieringsforetak plikter å ha elektroniske overvåkningssystem som en støttefunksjon for å håndtere transaksjonsovervåkning som ledd i den løpende kundeoppfølgingen. Systemene må være tilpasset virksomhetens art og omfang, og generiske verktøy uten mulighet for tilpasninger vil være lite egnet for å oppfylle lovens krav. Bruk av automatisert overvåkning skal likevel ikke gå på bekostning av nødvendige manuelle kontroller. Den rapporteringspliktige må derfor kjenne til hvilke svakheter systemet har, for å sikre oversikt over hvilke ytterligere kontrolltiltak som vil være nødvendige. Et gjennomgående tema i tilsynspraksis er fraværet av flere og mer spesifiserte og diversifiserte regler, scenarioer og terskelnivåer for å fange opp mistenkelige transaksjoner i overvåkningssystemet. Videre har tydelige flagginger og klassifiseringer av transaksjoner vært etterlyst. Den rapporteringspliktige bør sørge for å ha dokumenterte vurderinger av hvilke regler, scenarioer og terskelnivåer som praktiseres i transaksjonsovervåkingen.

3.4. Undersøkelses- og rapporteringsplikt
Der det avdekkes forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering, har den rapporteringspliktige en undersøkelsesplikt. Dersom det etter slike nærmere undersøkelser er forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering, vil den rapporteringspliktige ha en rapporteringsplikt overfor Økokrim.

3.5. Internkontroll og opplæring
Loven oppstiller regler om internkontroll, rollefordeling og opplæring i tilknytning til etterlevelsen av hvitvaskingsregelverket.

Her har flere svakheter blitt påpekt i tilsynsrapportene. Et forhold som kommenteres er at foretakene mangler en tydelig og organisert ansvarsfordeling og evt. delegering i foretaket, herunder i tilknytning til utpekingen av en hvitvaskingsansvarlig jf. hvitvaskingsloven § 8 (5) og en etterlevelsesansvarlig jf. hvitvaskingsloven § 35 (2).

Mens den hvitvaskingsansvarlige i utgangspunktet skal være en person i ledelsen som har en førstelinje kontrollfunksjon og et særskilt ansvar for å følge opp rutinene, er den etterlevelsesansvarlige en andrelinje kontrollfunksjon som gjennom internkontroll i virksomheten skal sørge for at hvitvaskingsregelverket overholdes. Der en hvitvaskingsansvarlig alltid skal utpekes, er utpeking av en etterlevelsesansvarlig kun pålagt dersom en risikovurdering av virksomhetens omfang og art tilsier det.

I tilsynspraksis har Finanstilsynet akseptert at verdipapirforetak har plassert rollen som hvitvaskingsansvarlig hos en operativ leder som er involvert i kundeetablering. Tilsynet har uttalt at også i unntakstilfeller vil små foretak med begrensede ressurser kunne samle kompetansen i andrelinjen. Dette forutsetter imidlertid at foretaket har en dokumentert risikobasert begrunnelse for dette, og at andrelinjen ikke kontrollerer eget arbeid. Den hvitvaskingsansvarlige og den etterlevelsesansvarlige kan ikke være samme person, nettopp for å unngå at andrelinjen kontrollerer sitt eget arbeid.

Den hvitvaskingsansvarliges arbeidsoppgaver kan delegeres til andre i foretaket, der dette er hensiktsmessig. Dette fordrer at den rapporteringspliktige har tilstrekkelige instrukser og rutiner til å håndtere dette. For filialer av utenlandske foretak innad i EØS-området, er det ikke påkrevd med en egen hvitvaskingsansvarlig i den norskeetablerte delen av virksomheten, forutsatt at det finnes en hvitvaskingsansvarlig i foretaket i hjemlandet. Filialen har likevel et selvstendig ansvar for at den norsketablerte delen av virksomheten overholder norsk hvitvaskingsregelverk. Det er derfor anbefalt at det utpekes en eller flere personer med delegerte oppgaver i den norske delen av virksomheten.

Et annet forhold som synes å ha blitt viet oppmerksomhet under Finanstilsynets tilsyn er opplæring internt i foretaket. Hvitvaskingsloven § 36 oppstiller en plikt for den rapporteringspliktige til å sikre nødvendig og tilstrekkelig opplæring innenfor hvitvasking og terrorfinansiering til ansatte og andre som utfører oppdrag for foretaket. I tilsynsøyemed har opplæring i spennet fra styret og ledelsen til midlertidig ansatte vært i fokus, noe som indikerer at rapporteringspliktige bør ha en bred tilnærming til temaet. Videre viser tilsynspraksis at foretaket bør ha en opplæringsplan, og at både planen og gjennomførte opplæringsaktiviteter bør dokumenteres. Opplæringsplanen bør videre reflekteres i den rapporteringspliktiges rutiner.