En praktisk hjelp til forbedret revisjon – Implementeringsguide for hvitvaskingsreglene
Våren 2021 ble to av de store revisjonsselskapene ilagt bøter på til sammen 5,4 millioner kroner for å ha brutt flere sentrale bestemmelser i hvitvaskingsloven. Størrelsen på bøtene er et tydelig signal fra Finanstilsynet til oss revisorer om at vi er langt unna å innfri kravene som stilles til oss.
I denne artikkelen ser jeg nærmere på kravene til revisor og presenterer et eksempel på en virksomhetsinnrettet risikovurdering som tar hensyn til innspill og veiledning gitt av Finanstilsynet i rundskriv og tilsynsrapporter. Gjennom eksempelet viser jeg også hvordan erkjennelse av egne sårbarheter kan lede til målrettede revisjonshandlinger for bekjempelse av hvitvasking.
Krav til revisor
Hvitvaskingsloven
For å ivareta kravet om risikobasert tilnærming i hvitvaskingsloven § 6 må et revisjonsselskap i henhold til lovens § 7 utarbeide risikovurderinger som skal være tilpasset selskapets virksomhet. Videre følger det av hvitvaskingsloven § 9 at revisjonsselskapet må gjennomføre risikobaserte kundetiltak før etablering av kundeforhold og deretter løpende (§ 24).
Typiske kundetiltak er kontroll av firmaopplysninger mot firmaattest, kontroll av legitimasjon til daglig leder, identifisering av reelle rettighetshavere og risikoklassifisering av den enkelte kunden ved bruk av kategoriene normal, lav (§ 16) eller høy (§ 17). Hvitvaskingsloven § 17 omhandler forsterkede kundetiltak ved høy risiko for hvitvasking eller terrorfinansiering. Bestemmelsen innebærer at revisor, når risikoen er høy, må iverksette ytterligerenødvendige tiltak for å sikre kjennskap om kunden, reelle rettighetshavere, samt kundeforholdets formål og tilsiktede art.
Veiledning
I rundskriv 14/2019 ga Finanstilsynet omfattende veiledning om revisorers og revisjonsselskapers etterlevelse av hvitvaskingsregelverket, herunder omtale i punkt 3.2.2. av innholdet i virksomhetsinnrettet risikovurdering. Videre har Revisorforeningen laget en omfattende hvitvaskingspakke med støttemateriell som blant annet inneholder en mal for virksomhetsinnrettet risikovurdering.
Finanstilsynets tilsynsrapporter
I sine tilsynsrapporter våren 2021 understreket Finanstilsynet viktigheten av at revisjonsselskapene gjennomfører gode virksomhetsinnrettede risikovurderinger. I de tilfellene en mal utarbeidet av andre benyttes, må malen tilpasses egen virksomhet. Videre må det fremgå av risikovurderingen at revisjonsselskapet har identifisert hvilke interne og eksterne forhold som påvirker risikoen for at revisjonsselskapet kan bli brukt som ledd i hvitvasking eller terrorfinansiering. Dersom revisjonsselskapet har kunder som driver virksomhet i bransjer med forhøyet risiko, må risikovurderingen også angi hvorfor den enkelte bransjen er utsatt for økt risiko.
Virksomhetsinnrettet risikovurdering
Basert på kravene i hvitvaskingsloven og innspill og veiledning som Finanstilsynet har gitt gjennom rundskriv og tilsynsrapporter, har jeg laget et eksempel på hvordan punkt 1 og 2 i Revisorforeningens mal for virksomhetsinnrettet risikovurdering kan utformes. I punkt 1 «Virksomhetens art og omfang – tjenesteområder» har jeg sett hen til punkt 3.2.2. i Finanstilsynets rundskriv 14/2019 og vurdert punkt for punkt forholdene Finanstilsynet har kommentert. I punkt 2 «Kunder med høy risiko» har jeg tatt utgangspunkt i et tenkt revisjonsselskap med flere utfordringer som jeg tror gjenspeiler det virkelig liv, men som jeg håper at så få som mulig har.
