Risikovurderingens forankring

I henhold til hvitvaskingsloven § 8, skal de risikobaserte rutinene fastsettes på øverste nivå hos den rapporteringspliktige, og disse skal kunne dokumenteres og være tilpasset virksomhetens art og omfang (Lovdata, 2018, § 8). Etter hvitvaskingsloven er det styret som har ansvaret for å sikre at virksomheten har utarbeidet virksomhetsinnrettet risikovurdering, og som skal godkjenne virksomhetens rutiner. Dette medfører videre at det er «øverste ledelse» som kan sanksjoneres mot brudd på hvitvaskingsreglene. Etter hvitvaskingsloven § 51 er dette definert til å være styret eller daglig leder. Rutinene skal angi hva som skal gjøres og hvordan tiltakene skal gjennomføres. Rutinene skal blant annet omfatte gjennomføring av kundetiltak, løpende oppfølging, undersøkelses- og rapporteringsplikt, oppbevaring av opplysninger, elektroniske systemer, internkontroll til effektiv forebygging og styring av risiko for hvitvasking.

41

Den virksomhetsinnrettede risikovurderingen forutsetter at man kjenner egen virksomhet og gjennomføringen av risikovurderinger består av minimum fire komponenter:

1. Rapporteringspliktige må ha kunnskap om hva hvitvasking og terrorfinansiering er. Uten kunnskap om hvitvasking og terrorfinansiering vil det ikke være mulig for den rapporteringspliktige å vurdere risikoen for hvordan egen virksomhet kan misbrukes av kriminelle (Finanstilsynet, 2019a). Kravet til risikovurderingens omfang vil variere ut fra den rapporteringspliktiges størrelse, risikoeksponering og kompleksitet, jf. hvitvaskingsloven § 7 fjerde ledd. Større foretak, og foretak med produkter, kunder og eksponering mot ulike geografiske områder, vil måtte dokumentere mer dyptgående og grundige risikovurderinger.

2. Rapporteringspliktige må kjenne sin egen virksomhet. Risikoen for hvitvasking vil kunne variere mellom ulike produkter, tjenester og transaksjoner. Rapporteringspliktige må derfor identifisere og vurdere risiko for hvitvasking knyttet til de enkelte produktene og tjenestene som virksomheten tilbyr, uavhengig av om det representerer høy eller lav risiko (Finanstilsynet, 2019a). Nye produkter og tjenester, samt ny teknologi må risikovurderes før de lanseres ettersom risikoen potensielt er høyere fordi den rapporteringspliktige har manglende erfaring med produktets eller tjenestens sårbarheter (Finanstilsynet, 2019a).

3. De rapporteringspliktige må også vurdere sine distribusjonskanaler. Eksempelvis der den rapporteringspliktige lar foretak som ikke har assosiasjon med hvitvaskingsregelverket distribuere produktene sine og gjennomføre innledende kundetiltak (Finanstilsynet, 2019a). Et annet eksempel er der selskapet benytter nettbaserte løsninger for kundeopprettelse og kundekontakt. Bedriften må selv vurdere hvilken risiko den aktuelle løsningen utgjør for foretaket.

Figur 6: Risikoparametere - Virksomhetsinnrettet risikovurdering (Rein & Rørholt, 2020).

42

4. Den rapporteringspliktige må kjenne hvem de forholder seg til og hvem de handler med (Finanstilsynet, 2019a). Dette omfatter kunder, reelle rettighetshavere og de som handler på vegne av kunden. Den rapporteringspliktige bør dermed innhente informasjon om kundene, herunder deres bransjetilknytning og geografiske tilknytning. Det knytter seg eksempelvis annen risiko til privatpersoner uten noen form for tilknytning til utlandet, enn bedriftskunder som er del av større selskapsstrukturer med forbindelser til ulike jurisdiksjoner, både innenfor og utenfor EØS-området (Finanstilsynet, 2019a). Dette kan ha betydning for vurderingen av risiko for hvitvasking.

For å kunne risikoklassifisere kunden, og for å kunne utføre løpende oppfølging i samsvar med hvitvaskingsreglene, må foretaket innhente og vurdere nødvendige opplysninger om kundeforholdets formål og tilsiktede art, jf. hvitvaskingsloven §§ 12 femte ledd og 13 femte ledd.

1. bakgrunnen for at kunden ønsker å opprette det aktuelle kundeforholdet og hvorfor kunden vil benytte aktuelle produkter eller tjenester (formålet)

2. hvordan kunden skal bruke tjenestene og produktene (tilsiktede art)

Risikoklassifisering av kunden må den rapporteringspliktige utføre selv (Finanstilsynet, 2019a). Det kan bety at virksomheten må innhente ytterligere informasjon dersom det er nødvendig for å risikoklassifisere kunden, spesielt ved å oppfylle kravet om forsterkede kundetiltak. Når en kunde utgjør høyere risiko, må den rapporteringspliktige selv innhente opplysninger som supplerer opplysningene som er innhentet fra tredjepart, eller utkontraktere disse oppgavene etter hvitvaskingsloven § 23 (Finanstilsynet, 2019a).

Figur 7: Klassifisering av kundetiltak (Rein & Rørholt, 2020)

I tillegg må den rapporteringspliktige vurdere hvilken geografisk risiko man er utsatt for. Dette gjelder eksempelvis land som er identifisert med betydelig omfang av korrupsjon og annen kriminalitet, eller som er gjenstand for internasjonale sanksjoner og/eller restriktive tiltak (Finanstilsynet, 2019a). Rapporteringspliktiges egen lokalisering nasjonalt kan også være relevant, eksempelvis ved kjente konsentrasjoner av ulike kriminelle miljøer eller i områder med høyt tilfang av kunder i høyrisikobransjer, eksempelvis bygg/anlegg, olje/gass, kryptovaluta og fiskeri. EUs og FATFs lister er dermed ikke uttømmende oversikter over

43

hvilke land som skal anses som høyrisiko. Vurderingen av den geografiske risikoen kan endre seg med endrede faktiske forhold, som politiske endringer og kjente kriminalsaker. Om en rapporteringspliktig har en stor kundemasse som driver virksomhet i et av landene EU og FATF har pekt ut som land uten tilfredsstillende tiltak mot hvitvasking, tilsier det at kundemassen innebærer en høyere risiko (Finanstilsynet, 2019a). Det samme gjelder om reelle rettighetshavere viser seg å være etablert i høyrisikoland, eksempelvis Jamaica, Pakistan, Panama og Nord-Korea.

Risikovurderingen må oppdateres jevnlig for å kunne være et praktisk verktøy for den rapporteringspliktige (Finanstilsynet, 2019a). I Finanstilsynets rundskriv 8/2019 er det anbefalt at det gjøres en fornyet vurdering av risiko minimum årlig, eller hyppigere når det er behov for dette. (Finanstilsynet, 2019a). Behov for å oppdatere risikovurderingen kan oppstå i følgende tilfeller:

- foretaket lanserer nye tjenester eller tar i bruk ny teknologi,

- det foreligger ny kunnskap om metoder og trender for hvitvasking og terrorfinansiering som tas i bruk av kriminelle,

- foretakets opparbeidede kunnskap og erfaringer tilsier behov for oppdatering, - hvitvaskingsregelverket endres,

- ved publisering av nye risikovurderinger utarbeidet av myndigheter, tilsynsmyndigheten eller bransjeorgan, må rapporteringspliktige vurdere behovet for å revidere sin virksomhetsinnrettede risikovurdering. Publiseringer som må tas hensyn til kan være: EUs risikovurdering, FATF, Nasjonal risikovurdering og Finanstilsynets risikovurdering.

En lav kvalitet på risikovurderingen, påvirker etterlevelsen generelt, og spesielt kravet til risikobasert oppfølging av kundene. Ved bruk av maler utarbeidet av bransjeorganisasjoner og samarbeidsgrupper må foretak sørge for at innholdet er tilstrekkelig tilpasset og forankret i virksomheten. For å sikre en god etterlevelse av hvitvaskingsregelverket er det sentralt at risikovurderingen danner grunnlaget for rutinene på området, dette for å sikre at «den røde tråden» fra de identifiserte risikoer gjenspeiles og håndteres i rutinene (Kjihl, 2020).

I dette delkapittelet har vi sett at arbeidet med bekjempelse av hvitvasking involverer et samarbeid mellom ulike aktører med ulike roller. Lovkrav og etterlevelse av hvitvaskingsloven, som igjen er basert på FATF sine 40 anbefalinger, spiller stor rolle for bankenes arbeid. En

44

annen viktig faktor som påvirker omfanget av bankenes arbeid, er at Finanstilsynet regelmessig gjennomfører tilsyn og overvåker bankenes etterlevelse. Banker har også meldeplikt av mistenkelige forhold til Økokrim, og det er EFE sitt ansvarsområde å motta og analysere meldinger om mistenkelige transaksjoner. Banker er pliktig til å ha en risikobasert tilnærming ved utviklingen av en virksomhetsinnrettet risikovurdering, og en god risikoanalyse er derfor viktig, slik at foretakets ressurser blir allokert til de områdene hvor hvitvaskingsrisikoen er høyest. Gode interne rutiner og løpende oppfølging av kundeforhold med utgangspunkt i risikobasert tilnærming er viktige forutsetninger for å forebygge og avdekke hvitvasking, og for sikre at foretakets arbeid mot hvitvasking er forsvarlig organisert.