Organiseringen av anti-hvitvaskings-arbeidet i foretaket
Blant de svakhetene som går igjen hos ulike grupper rapporteringspliktige, er organiseringen av anti-hvitvaskingsarbeidet i foretaket. Denne artikkelen handler om organiseringen av anti-hvitvaskingsarbeidet i revisjonsselskaper og regnskapsførerselskaper, men også om hvordan ledere og ansatte med ulike oppgaver etter hvitvaskingsregelverket bør opptre i den rollen de har, for å sikre etterlevelse (compliance).
Advokatfirmaet Erling Grimstad
I flere artikler fremover skal jeg beskrive noen av de sentrale kravene som gjelder for revisor og regnskapsfører for å sikre en god etterlevelse av hvitvaskingsregelverket. I Revisjon og regnskap nr. 5 – 2021 gjennomgikk jeg enkelte sentrale spørsmål knyttet til kundetiltak. Dessuten pekte jeg på de mest vanlige svakhetene og feilene som gjøres av ulike grupper rapporteringspliktige. I denne artikkelen gis det en oversikt over hvordan anti-hvitvaskingsarbeidet bør organiseres. Jeg kommenterer også styrets ansvar for organiseringen.
Hvitvaskingsloven gjelder for statsautoriserte og godkjente revisorer, godkjente revisjonsselskaper og revisorer som er ansvarlige for revisjon og regnskap for kommune, fylkeskommune eller kommunalt eller fylkeskommunalt foretak.*Hvitvaskingsloven § 4 nr. 2 a. Regnskapsfører er rapporteringspliktig etter hvitvaskingsloven § 4 nr. 2 b).
Tre forsvarslinjer
Organiseringen av tiltak mot hvitvasking og terrorfinansiering i det rapporteringspliktige revisjonsselskapet eller regnskapsforetaket deles inn i tre forsvarslinjer. Krav til organisering fremgår av hvitvaskingsloven § 35 og Finanstilsynets rundskriv nr. 8/2019 kap 3. For regnskapsførere og regnskapsførerselskaper er organiseringen også omtalt i Finanstilsynets rundskriv nr. 15/2019 kap 2. Mange vil gjenkjenne organiseringen i tre forsvarslinjer fra det integrerte rammeverket for helhetlig risikostyring (COSO- modellen).*The Committee of Sponsoring Organizations of the Treadway Commission (COSO). Modellen er et anerkjent rammeverk for internkontroll.
Første linje – hvitvaskingsansvarlig
Kort fortalt er ansatte i førstelinjen de som har den direkte kontakt med kunden eller utfører andre oppfølgingsoppgaver mot kunden. Revisorer og partnere eller regnskapsførere og deres ledere er alle del av førstelinjen. Foretakets ledelse og administrasjon er også del av førstelinjen. Arbeidet i førstelinjen ledes av en hvitvaskingsansvarlig. Den hvitvaskingsansvarlige er en person som utpekes av ledelsen. Vedkommende må ha tilstrekkelig erfaring, kompetanse og gjennomføringskraft til å fatte avgjørelser tilknyttet foretakets tiltak mot risiko for hvitvasking og terrorfinansiering. Den hvitvaskingsansvarlige har et særskilt ansvar for å følge opp hvitvaskingsrutinene og at disse etterleves i foretaket.
Kundetiltak – nye kundeforhold
De ansatte i førstelinjen har ansvar for gjennomføring av kundetiltakene ved etablering av nye kundeforhold og den løpende oppfølgingen av eksisterende kunder. Ansatte i førstelinje skal sørge for at kundene er korrekt risikoklassifisert og følge opp disse i samsvar med den risikoen kunden representerer. Førstelinjen skal årlig utarbeide forslag til oppdatert risikovurdering som skal vedtas av styret. De har også ansvar for den årlige oppdateringen av policy, prosedyrer og andre dokumenter som skal gi ansatte veiledning i hvordan foretaket skal oppfylle kravene i hvitvaskingsregelverket.
Undersøke mistenkelig forhold
Det er også førstelinjen som skal sørge for at mistenkelige forhold (transaksjoner og aktiviteter) blir undersøkt. Eventuelle undersøkelser som ikke avkrefter mistanken, skal rapporteres i Altinn. Denne undersøkelsesplikten og rapporteringsplikten er særlig et ansvar den hvitvaskingsansvarlige har. Den hvitvaskingsansvarlige skal være en ressursperson på området og en naturlig kontaktperson for både ansatte og foretaket.
En vanlig feiloppfatning
Det er vanlig at ansatte misforstår den hvitvaskingsansvarliges funksjon. Ansatte tror ofte at den hvitvaskings-ansvarlige tar seg av alt som har med hvitvasking og terrorfinansiering å gjøre, og at de derfor ikke behøver å befatte seg med slike oppgaver selv. En slik oppfatning er en vanlig feiloppfatning.
Det er dessverre mange eksempler på at etterlevelsen av tiltak mot hvitvasking har raknet fullstendig, kort tid etter at den hvitvaskingsansvarlige sluttet, fordi foretaket hadde gjort seg helt avhengig av denne ene personen.
Andre linje – compliance-funksjonen, etterlevelsesansvaret
Andre forsvarslinje består av compliance-funksjonen eller etterlevelsesansvaret. Det innebærer kontroller av om ansatte i førstelinjen utfører de oppgavene de er satt til å gjøre. Dette er en del av internkontrollen i foretaket etter hvitvaskingsloven § 35 annet ledd. Compliance-funksjonen skal foreta hensiktsmessige kontroller som blant annet er basert på ansattes kompetanse om hvitvaskingsregelverket, foretakets størrelse, risiko, typer kunder mv. Compliance-funksjonen skal se til at førstelinjen har utarbeidet risiko-vurdering i samsvar med hvitvaskingsloven § 7 og vurdere om policy, prosedyrer og retningslinjer dekker lovkravene og at de følges i praksis. Compliance-rollen skal også gjennomføre -kontroller som er egnet til å undersøke om risikovurderingen benyttes i fore-takets risikoklassifisering av kunder, kontrollere at undersøkelsesplikten overholdes og at det er laget opplæringsplaner som kreves etter regel-verket, dvs. med ulike beståelseskrav avhengig av den ansattes roller og funksjon i foretaket.
En viss avstand er nødvendig
Compliance-funksjonen skal ha en viss avstand til hvitvaskingsansvarlig og førstelinjen. Personen som innehar compliance-funksjonen, skal ikke utføre operative oppgaver som ligger til førstelinje slik at vedkommende ender opp med å kontrollere sitt eget arbeid. I enkelte foretak er det compliance-funksjonen som har den beste kunnskapen om hvitvaskingsregelverket. Da er det selvsagt fristende å la personen i denne rollen ajourføre risikovurderingen og policyen for fremleggelse overfor styret til deres vedtakelse. De ansatte kan samtidig velge å gå til compliance-rollen for å få hjelp, i stedet for hvitvaskingsansvarlig. Slike eksempler på bruk av personen i compliance-funksjonen vil sannsynligvis medføre at personen i compliance-rollen blir satt til å kontrollere eget arbeid.
Skal ikke trå i hverandres bed
Vår erfaring er at hvitvaskingsansvarlig (i førstelinje) og compliance-ansvarlig (andre linje), bør ha god kunnskap om sine respektive ansvarsområder og være påpasselig med å ikke trå inn i hver-and-res oppgaver. I praksis viser dette seg å være svært krevende, særlig i mind-re foretak der det er unaturlig å se på kollegaer som henholdsvis første- og andre linje. Personer som innehar disse rollene, må derfor veilede og hjelpe andre ansatte med å forstå disse ulike rollene og hvem de skal forholde seg til i spørsmål om etterlevelsen av hvitvaskingsregelverket. Særlig i møter der hvitvasking og terrorfinansiering diskuteres, bør henholdsvis hvitvaskings- og complianceansvarlig tydeliggjøre sine ulike ansvarsoppgaver og delta under møtet i tråd med dette. Det er derfor naturlig at complianceansvarlig har en karakter av å være observatør når risikovurdering, rutiner, under-søkelsesplikt o.a. diskuteres.
Tredje linje – eksternrevisor
Tredje linje i revisjonsselskaper og regnskapsforetak er eksternrevisor.
Organiseringen av tiltak mot hvitvasking og terrorfinansiering i det rapporteringspliktige revisjonsselskapet eller regnskapsforetaket deles inn i tre forsvarslinjer.
Styret er ansvarlig for etterlevelsen
Den øverste ledelsen i revisjonsselskapet eller regnskapsførerforetaket, er styret. Det er styret som gjøres ansvarlig for etterlevelsen av hvitvaskingsregelverket. Finanstilsynet forholder seg til styret og avkrever svar fra styret om hvilke tiltak styret har gjennomført for å sikre at regelverket etterleves. Det enkelte styremedlem har personlig ansvar for etterlevelse av flere bestemmelser i hvitvaskingsloven.
Styret har også det øverste ansvaret for å påse at foretaket er organisert i samsvar med hvitvaskingsregelverket. Styret utpeker en person i ledelsen som hvitvaskingsansvarlig i henhold til hvitvaskingsloven § 8 femte ledd. Videre skal styret sikre at de mottar relevant informasjon ved behov fra både hvitvaskingsansvarlig og compliance-ansvarlig i foretaket. Derfor utarbeides det relevante rapporter til styret fra de nevnte funksjonene som gjør styret i stand til å forstå den aktuelle risikoen og iverksette adekvate tiltak dersom det er nødvendig.