Revisors etterlevelse av hvitvaskingsregelverket

I denne artikkelen fokuserer vi på krav til revisors etterlevelse av hvitvaskingsregelverket ved gjennomføring av risikovurdering av kunden, kundetiltak og avdekking av mistenkelige forhold.

Advokat

Celine Brovoll

Wiersholm

Advokatfullmektig

Henriette Floridon Stenbeck

Wiersholm

Et snaut år har gått siden nytt hvitvaskingsregelverk, som implementerer EUs fjerde hvitvaskingsdirektiv, trådte i kraft i Norge. Det nye hvitvaskingsregelverket var i hovedsak en videreføring av gjeldende rett, men innebar også en viss innstramming som blant annet revisjonsselskaper og revisorer må forholde seg til ved etterlevelse av hvitvaskingsregelverket.

Revisjonsselskaper og revisorer er et viktig ledd i arbeidet med å hindre hvitvasking og terrorfinansiering. Noen av pliktene i regelverket påligger revisjonsselskapet og andre plikter påligger revisorene i selskapet.

Revisjonsselskapet skal sørge for at det gjennomføres en virksomhetsinnrettet risikovurdering av hvordan selskapet kan bli misbrukt til hvitvasking eller terrorfinansiering. Denne risikovurderingen legger grunnlaget for utarbeidelsen av selskapets rutiner for etterlevelse av hvitvaskingsregelverket. Revisor skal blant annet gjennomføre risikovurdering av kunden, kundetiltak og avdekke mistenkelige transaksjoner i tråd med regelverket og revisjonsselskapets rutiner.

Risikovurdering av kunden

En av de sentrale byggesteinene i hvitvaskingsregelverket er risikovurdering av kunden. Det er denne vurderingen som vil danne utgangspunkt for om kundeforholdet i det hele tatt kan etableres og hvis kundeforholdet kan etableres, hvordan kundeforholdet skal følges opp av revisor. For at revisors arbeid mot hvitvasking og terrorfinansiering skal ha en risikobasert tilnærming, må revisor for hver enkelt kunde vurdere risikoen for hvitvasking og terrorfinansiering. Videre må kundetiltakene som iverksettes tilpasses den aktuelle risikoen kunden representerer. Representerer kunden lav eller medium risiko skal det i utgangspunktet gjennomføres normale kundetiltak. Regelverket åpner imidlertid for at det kan gjennomføres forenklede kundetiltak der det er identifisert lav risiko. Dersom kunden representerer høy risiko, skal det gjennomføres forsterkede kundetiltak og kundeforholdet skal underlegges forsterket løpende oppfølging.

Momenter i risikovurderingen

Ved vurderingen av hvilken risiko en kunde representerer må det blant annet identifiseres hvilken bransje og hvilket land kunden har tilknytning til. Noen bransjer er systematisk utsatt for større hvitvaskingsrisiko enn andre, som for eksempel virksomheter som genererer mye kontanter som renholdsvirksomhet, restaurantvirksomhet, håndverksbransjen og verkstedtjenester. Videre er det i den nasjonale risikovurderingen om hvitvasking og terrorfinansiering i Norge av 2018 også trukket frem at virksomheter som driver innen olje, gass og supply, eiendomsutvikling samt fiskeri er særlig utsatt for hvitvasking. Ved vurderingen av hvilke bransjer som innebærer en høyere risiko for hvitvasking og terrorfinansiering, vil det være relevant å se hen til publikasjoner som for eksempel den forannevnte nasjonale risikovurderingen om hvitvasking og terrorfinansiering samt EU-kommisjonens overnasjonale risikovurdering om hvitvasking og terrorfinansiering. Videre har enkelte land og geografiske områder høyere iboende risiko fordi de er gjenstand for korrupsjon eller lite åpenhet som gjør det vanskelig å spore transaksjoner, identifisere et selskaps eierstruktur mv. Hvitvaskingsforskriften angir spesifikke land som er forbundet med høy risiko for hvitvasking og terrorfinansiering. Er kunden eller eventuelle reelle rettighetshavere etablert i disse landene, skal det alltid gjennomføres forsterkede kundetiltak. Det er imidlertid viktig å være oppmerksom på at også andre land kan være forbundet med en høy risiko for hvitvasking og terrorfinansiering.

Andre momenter som er relevant ved risikovurderingen er om det finnes personer hos kunden som tidligere er straffet for hvitvasking, terrorfinansiering eller annen økonomisk kriminalitet. I tillegg bør forhold rundt kundens organisering, som for eksempel at virksomheten har en kompleks eierstruktur uten en naturlig forklaring, få revisors varsellamper til å blinke. Også avvik mellom kundens oppgitte formål og faktisk drift vil kunne være en indikasjon på at noe ikke er som det skal være.

Forhold som kan indikere at det er lav risiko for hvitvasking og terrorfinansiering, er for eksempel at kunden er notert på et regulert marked som er underlagt informasjonsplikter som sikrer nødvendig kunnskap om kundens eierstruktur, at kunden er underlagt konsesjonsplikt og offentlig tilsyn, eller at kunden er et offentlig forvaltningsorgan eller selskap. Videre er det relevant for vurderingen om kunden er etablert og utelukkende driver virksomhet i land med lav risiko for hvitvasking og terrorfinansiering. De nevnte forholdene er imidlertid ikke hver for seg tilstrekkelig til å konkludere med at risikoen er lav. Den endelige risikovurderingen kan kun besluttes etter en helhetsvurdering av alle relevante forhold.

Et forhold som alltid vil innebære at en kunde representerer høy risiko, er at det finnes en politisk eksponert person med tilknytning til virksomheten, eller noen som er nært familiemedlem eller medarbeider til en slik person. En politisk eksponert person er en person som innehar eller har innehatt en høytstående offentlig stilling eller verv. Nytt med hvitvaskingsloven av 2018 er at også norske politisk eksponerte personer omfattes av definisjonen. Dersom det identifiseres en politisk eksponert person, skal revisor gjennomføre forsterkede kundetiltak.

Tidspunkt for risikovurderingen

Risikovurdering av kunden skal gjennomføres ved etablering av kundeforholdet. Det skal gjennomføres en ny risikovurdering av kunden dersom det skjer vesentlige endringer i forhold vedrørende kunden som kan ha betydning for tidligere gjennomført risikovurdering. Det betyr at dersom en kunde for eksempel har etablert virksomhet i et høyrisikoland siden revisjonsselskapet påtok seg oppdrag for kunden, må revisor gjennomføre en fornyet vurdering av om dette forholdet medfører behov for endringer i revisjonsselskapets oppfølging av kunden.

Gjennomføring av kundetiltak

Formålet med gjennomføring av kundetiltak er at revisor skal kjenne revisjonsselskapets kunder (prinsippet om «Know Your Customer» – KYC). Ved å kjenne kunden settes revisor i stand til å oppdage eventuelle forhold ved kunden som må anses mistenkelige. Gjennomføring av kundetiltak har dermed direkte sammenheng med revisors plikt til å identifisere og avdekke mistenkelige forhold ved kunder. Kundetiltak skal gjennomføres før revisjonsselskapet påtar seg et revisjonsoppdrag eller annen type oppdrag for nye kunder uavhengig av omfanget på oppdraget. Det finnes tre nivåer for kundetiltak: Forenklede, normale og forsterkede kundetiltak. Omfanget av kundetiltak skal tilpasses den aktuelle risikoen kunden representerer. Det betyr at revisor må ta i betraktning den innledende risikovurderingen av kunden ved fastsettelse av hvilke kundetiltak som skal gjennomføres overfor den aktuelle kunden. I praksis vil risikovurdering av kunden og gjennomføring av kundetiltak gjennomføres mer eller mindre parallelt, da informasjonen som innhentes fra kunden, har betydning for den endelige risikovurderingen av kundeforholdet.

Trestegs-prosess

Gjennomføring av kundetiltak består hovedsakelig av tre steg: (i) identifisere hvilken type kundetiltak som skal gjennomføres basert på risikovurderingen av kunden, (ii) innhenting av informasjon om kunden, og (iii) vurdering av innhentet informasjon og eventuell oppfølging. Etter at det er kartlagt hvilken type kundetiltak som skal gjennomføres, må revisor innhente en rekke lovpålagte opplysninger om kunden, reelle rettighetshavere, eventuelle politisk eksponerte personer mv. Dernest skal revisor basert på den innhentede informasjonen, vurdere om informasjonen er tilstrekkelig og kontrollere at det ikke er uoverensstemmelser i innhentet informasjon. I tillegg må revisor vurdere om den innhentede informasjonen endrer den initielle risikovurderingen av kunden.

Dersom det oppdages uoverensstemmelser eller det er andre forhold, herunder endret risikovurdering, som taler for at innhentet informasjon om kunden ikke er tilstrekkelig, må revisor iverksette ytterligere tiltak. Det kan for eksempel være å gjøre ytterligere søk etter kunden i offentlig tilgjengelige registre, stille kunden oppfølgingsspørsmål om forhold som er uklare mv. Det skal ikke etableres kundeforhold dersom kundetiltak ikke lar seg gjennomføre. 

Forenklede kundetiltak

Adgangen til å gjennomføre forenklede kundetiltak er strammet inn i det nye hvitvaskingsregelverket. Det er nå kun i de tilfellene der revisor etter en helhetsvurdering anser risikoen for hvitvasking og terrorfinansiering for å være lav, at det kan gjennomføres forenklede kundetiltak.

Videre er forenklede kundetiltak mer omfattende enn tidligere. Revisor har etter nytt regelverk kun adgang til å lempe på enkelte av kravene til gjennomføring av kundetiltak. At kundetiltakene kan lempes, betyr ikke at de bortfaller i sin helhet, men at kundetiltakene kan være mindre omfattende enn lovens utgangspunkt. Kundetiltakene som kan lempes, er bekreftelse av identiteten til reelle rettighetshavere, bekreftelse av identiteten til fysisk person som handler på vegne av kunden og bekreftelse av vedkommendes rett til å handle på vegne av kunden, samt innhenting og vurdering av opplysninger om kundeforholdets formål og tilsiktede art. Det er opp til det enkelte revisjonsselskapet og revisor hvordan overnevnte krav skal lempes ved gjennomføring av forenklede kundetiltak. Øvrige kundetiltak skal gjennomføres som vanlig.

Avdekking av mistenkelige forhold

Vi lever i en globalisert verden og penger kan flyttes raskere og enklere enn noen gang tidligere. Til forskjell fra mange andre rapporteringspliktige foretak går det ingen betalingsstrømmer gjennom revisjonsselskaper, hvilket generelt gjør revisjonsselskapene mindre egnet for hvitvasking og terrorfinansiering. Revisor må imidlertid ved gjennomføringen av revisjonsoppdrag være bevisst og kontrollere betalingsstrømmer som deres kunder er involvert i. Risikoen knyttet til revisjonsoppdrag knytter seg derfor i hovedsak til risikoen for at revisor ikke hindrer eller avdekker hvitvasking eller terrorfinansiering som deres kunder er involvert i. Det innebærer at revisor er nødt til å ha inngående kjennskap til kunden og forhold ved kunden for å kunne avdekke eventuelle mistenkelige forhold.

Indikatorer på mistenkelige forhold

Forhold som kan indikere at kunden er involvert i hvitvasking eller terrorfinansiering, er blant annet at kundens handle- og transaksjonsmønster avviker fra revisors kjennskap til kunden. Et annet eksempel er at kunden har lav eller ingen aktivitet og mottar store pengesummer uten noen fornuftig forklaring. Revisors oppgave vil være å avdekke slike mistenkelige forhold og undersøke forholdet nærmere for å få avkreftet eller bekreftet mistanken om hvitvasking eller terrorfinansiering. Terskelen for når undersøkelsesplikten inntrer, er lav. Det betyr at dersom revisor avdekker mistenkelige forhold, skal forholdet undersøkes nærmere.

Nasjonalt tverretatlig analyse- og etterretningssenter har utarbeidet en indikatorliste for revisorer som gir eksempler på mistenkelige forhold og transaksjoner. Revisor bør være denne bevisst ved gjennomføring av oppdrag for sine kunder. Indikatorlisten er tilgjengelig for revisjonsselskaper og revisorer ved henvendelse til Økokrim v/Enheten for finansiell etterretning. I tillegg er den tilgjengelig på Revisorforeningens nettsider for innloggede medlemmer.

Avslutning

Finanstilsynet er i disse dager i prosess med å utarbeide et oppdatert rundskriv vedrørende krav til revisors og revisjonsselskapenes etterlevelse av hvitvaskingsregelverket. Videre utga FATF (Financial Action Task Force) i juni en ny veiledning om risikobasert tilnærming ved gjennomføring av tiltak mot hvitvasking og terrorfinansiering for regnskapsførere og revisorer. Både Finanstilsynets rundskriv og FATFs veiledning vil kunne være til hjelp for revisjonsselskaper og revisorer i deres etterlevelse av hvitvaskingsregelverket.

Avslutningsvis vil vi minne om at revisor ved revisjon av rapporteringspliktige foretak, i tillegg til å etterleve hvitvaskingsregelverket på egne vegne, også skal rette oppmerksomheten mot disse foretakenes etterlevelse av hvitvaskingsregelverket, jf. revisorloven § 5-2, jf. ISA 250 og ISA 315. Dette gjelder uavhengig av om foretaket har etablert internrevisjon.