Skruene strammes til i ny hvitvaskingslov

Ny hvitvaskingslov er rett rundt hjørnet og økte krav på mange fronter kan være utfordrende for de som skal følge opp loven i egen virksomhet. Målet er å hindre hvitvasking, terrorfinansiering og sanksjonsbrudd.

De som er ansvarlige for å følge opp loven bør fokusere på tre områder:

1. Sikre at de har en tilstrekkelig detaljert og grundig risikoanalyse

2. Sikre at de etablerte tiltak er i samsvar med risikoanalysen

3. Sikre at tiltak og rutiner er godt dokumentert og gjenstand for testing 

Omfattende lov og bøter

Forarbeider og forslag til ny hvitvaskingslov finnes i NOU 2015:12 og NOU 2016:27. Det store, nye fra 1.januar 2018 er innføring av sanksjoner og Finanstilsynets myndighet til å ilegge bøter, som kan treffe ansvarlige personer og foretak som bryter lovens pålegg. Kravene til etterlevelse økes på såpass mange områder at det blir betydelig mer å gjøre for de ansvarlige.

Flere må rapportere mer

Det blir flere rapporteringspliktige idet loven vil omfatte nye grupper rapporteringspliktige; skadeforsikring, inkassovirksomhet og spilltjenester er eksempler på bransjer som blir berørt. Videre omfatter begrepet PEP’er (Politisk Eksponerte Personer) også norske politikere eller andre høyere lederfunksjoner i det offentlige.

Før var man pliktig å følge opp selskapets reelle rettighetshavere (de som eide mer enn 25 % av selskapet). Denne regelen utgår med den nye loven, hvor 25 % kun er en indikasjon. Innslagsterskelen for hva som er en reell rettighetshaver er med andre ord avhengig av den rapporteringspliktiges risikoanalyse og kan variere avhengig av risikoklasse. Gruppen av foretak som kan underlegges forenklet kundekontroll kan også bli mindre, ettersom forenklet kundekontroll skal være begrunnet i en risikovurdering.

Også når det gjelder kravene til konkrete aktiviteter som er omfattet av loven er omfanget økt, idet loven ikke lenger snakker om “kontroller”, men benytter det mer omfattende begrepet “tiltak”.

I utredningen fra 2016 står det spesifikt at dette begrepet er brukt for å tydeliggjøre at kundekontroll ikke bare omfatter kontroll av identifikasjonspapirer, men inkluderer flere typer tiltak.

Risikovurdering skal gi resultater

Risikovurderingen til den rapporteringspliktige blir viktigere. Risikovurderingen skal være hensiktsmessig, tilpasset den enkelte virksomhet og det skal være dokumenterbart at de utførte tiltak er i samsvar med risikovurderingen.  

Ansvaret for risikovurderingen og tiltakene er også forsterket, og personlig ansvar er innført som mulig reaksjon på mangelfullt arbeid.

Videre er det et krav om å dokumentere rutinene og påvise at de virker. Dette pålegget, sammen med introduksjonen av pålagt internkontroll og testfunksjoner, peker på det sentrale budskapet lovendringen har, nemlig at risikovurderingen ikke kan havne i noen skuff, men skal munne ut i konkrete tiltak som gir dokumenterbare resultater.

Hvordan fokusere på etterlevelse?

Det økte fokuset på risikovurderingen innebærer en utfordring, men også en mulighet. På tross av de omfattende endringer i lovverket, behøver ikke den totale arbeidsbyrden å bli dramatisk større etter 1. januar 2018. Men det forutsetter et disiplinert fokus i gjennomføring og implementering av rapporteringspliktiges risikoanalyse:

Risikoanalyse

Risikoanalysen er utgangspunktet for utforming og implementering av tiltak. Risikoanalysen er også den mulighet den rapporteringspliktige har til å sikre at oppfølging og kontroll av kunder er godt fokusert og ressurseffektivt. Teamet som driver denne frem, bør derfor ha god antihvitvasking- (AHV) og forretningsforståelse, samt god generell risikoforståelse.

Tilpassede tiltak

Kontrolltiltakene skal være tilpasset den enkelte virksomhet og risikomatrisen. Selv små virksomheter skal ha et helhetlig program for både innledende kundekontroll og løpende oppfølging. AHV-rammeverket deles inn i fire hovedgrupper av kontroller:

• AHV Ledelse - styring & rapportering, retningslinjer & rutiner, AHV risikoanalyse
• AHV Kontroller - Spesifikke AHV kontroller (Kundeidentifikasjon, risikoklassifisering, overvåking)
• AHV Oppfølging - Testing, sporbarhet, andrelinjefunksjon og internkontroll
• AHV Personer - Roller & Ansvar, opplæring & informasjon.

Innenfor disse finner man til sammen 15 typer kontroller som alle vil kunne inngå i et helhetlig program.

Dokumentasjon og testing

Alle tiltak skal dokumenteres og det skal dokumenteres at de har en virkning. Også i arbeidet med å dokumentere og sette opp et testregime er det viktig å ta med risikoanalysen, idet også testregimet bør avspeile risikovurderingen.