En praktisk hjelp til forbedret revisjon – Implementeringsguide for hvitvaskingsreglene

Våren 2021 ble to av de store revisjonsselskapene ilagt bøter på til sammen 5,4 millioner kroner for å ha brutt flere sentrale bestemmelser i hvitvaskingsloven. Størrelsen på bøtene er et tydelig signal fra Finanstilsynet til oss revisorer om at vi er langt unna å innfri kravene som stilles til oss.

Statsautorisert revisor
Asbjørn Nygård

Daglig leder Fryd Revisjon

I denne artikkelen ser jeg nærmere på kravene til revisor og presenterer et eksempel på en virksomhetsinnrettet risikovurdering som tar hensyn til innspill og veiledning gitt av Finanstilsynet i rundskriv og tilsynsrapporter. Gjennom eksempelet viser jeg også hvordan erkjennelse av egne sårbarheter kan lede til målrettede revisjonshandlinger for bekjempelse av hvitvasking.

Krav til revisor

Hvitvaskingsloven

For å ivareta kravet om risikobasert tilnærming i hvitvaskingsloven § 6 må et revisjonsselskap i henhold til lovens § 7 utarbeide risikovurderinger som skal være tilpasset selskapets virksomhet. Videre følger det av hvitvaskingsloven § 9 at revisjonsselskapet må gjennomføre risikobaserte kundetiltak før etablering av kundeforhold og deretter løpende (§ 24).

Typiske kundetiltak er kontroll av firmaopplysninger mot firmaattest, kontroll av legitimasjon til daglig leder, identifisering av reelle rettighetshavere og risikoklassifisering av den enkelte kunden ved bruk av kategoriene normal, lav (§ 16) eller høy (§ 17). Hvitvaskingsloven § 17 omhandler forsterkede kundetiltak ved høy risiko for hvitvasking eller terrorfinansiering. Bestemmelsen innebærer at revisor, når risikoen er høy, må iverksette ytterligerenødvendige tiltak for å sikre kjennskap om kunden, reelle rettighetshavere, samt kundeforholdets formål og tilsiktede art.

Veiledning

I rundskriv 14/2019 ga Finanstilsynet omfattende veiledning om revisorers og revisjonsselskapers etterlevelse av hvitvaskingsregelverket, herunder omtale i punkt 3.2.2. av innholdet i virksomhetsinnrettet risikovurdering. Videre har Revisorforeningen laget en omfattende hvitvaskingspakke med støttemateriell som blant annet inneholder en mal for virksomhetsinnrettet risikovurdering.

Finanstilsynets tilsynsrapporter

I sine tilsynsrapporter våren 2021 understreket Finanstilsynet viktigheten av at revisjonsselskapene gjennomfører gode virksomhetsinnrettede risikovurderinger. I de tilfellene en mal utarbeidet av andre benyttes, må malen tilpasses egen virksomhet. Videre må det fremgå av risikovurderingen at revisjonsselskapet har identifisert hvilke interne og eksterne forhold som påvirker risikoen for at revisjonsselskapet kan bli brukt som ledd i hvitvasking eller terrorfinansiering. Dersom revisjonsselskapet har kunder som driver virksomhet i bransjer med forhøyet risiko, må risikovurderingen også angi hvorfor den enkelte bransjen er utsatt for økt risiko.

Virksomhetsinnrettet risikovurdering

Basert på kravene i hvitvaskingsloven og innspill og veiledning som Finanstilsynet har gitt gjennom rundskriv og tilsynsrapporter, har jeg laget et eksempel på hvordan punkt 1 og 2 i Revisorforeningens mal for virksomhetsinnrettet risikovurdering kan utformes. I punkt 1 «Virksomhetens art og omfang – tjenesteområder» har jeg sett hen til punkt 3.2.2. i Finanstilsynets rundskriv 14/2019 og vurdert punkt for punkt forholdene Finanstilsynet har kommentert. I punkt 2 «Kunder med høy risiko» har jeg tatt utgangspunkt i et tenkt revisjonsselskap med flere utfordringer som jeg tror gjenspeiler det virkelig liv, men som jeg håper at så få som mulig har.

Implementeringsguide

Oversikt over egen kundeportefølje

Det første som må gjøres, er å få oversikt over egen kundeportefølje ved å hente ut kundeliste i Excel fra Brønnøysundregistrene. Listen bearbeides så ved å legge til nye kolonner for bransje, dagens risikoklassifisering for kunden (normal/lav/høy), om bransjen har forhøyet risiko for hvitvasking, om kunden har ekstern autorisert regnskapsfører, hvor lenge man har vært revisor for kunden (for eksempel ny kunde, ett år, eller mer), samt om kunden er lokalisert utenfor revisors naturlige lokalområde.

Virksomhetsinnrettet risikovurdering

Med en god oversikt over kundeporteføljen på plass, kan arbeidet med den virksomhetsinnrettede risikovurderingen starte. En svært viktig del av gjennomgangen er å vurdere årsaken til at bransjer man har kunder i, har forhøyet risiko for hvitvasking. En forståelse av dette er selve nøkkelen til å kunne vurdere om man har foretatt riktig risikoklassifisering av kundene og om man har gjennomført tilstrekkelige og hensiktsmessige revisjonshandlinger for å kunne avdekke enkle former for hvitvasking hos kunder i disse bransjene.

Tiltaksplan

Ved sårbarheter og mangler bør det utarbeides en tiltaksplan. Det er viktig at denne så klart som mulig beskriver hva som må gjøres i forhold til egen overholdelse av hvitvaskingsregelverket og i forhold til kunder som driver virksomhet i bransjer med forhøyet risiko. Eksempel på tiltaksplan er inntatt som vedlegg til den virksomhetsinnrettede risikovurderingen avslutningsvis i denne artikkelen.

Eksempel på virksomhets- innrettet risikovurdering

1 Virksomhetens art og omfang – tjenesteområder

Tjenesteområder

Omsetning 2021-06

Omsetning 2020

Revisjon

9 000 000

18 000 000

Årsregnskap og skatteoppgaver

750 000

1 500 000

Regnskapsføring

0

0

Sum

9 750 000

19 500 000

%-andel

65 %

65 %

Attestasjonsoppdrag

750 000

1 500 000

Rådgivning

4 500 000

9 000 000

Samlet

15 000 000

30 000 000

Risikoen for at revisor skal bli misbrukt til hvitvasking og terrorfinansiering er i første rekke knyttet til attestasjoner og rådgivning. Andelen av slike oppdrag i vår portefølje utgjør 35 %. Vi ligger derfor på nivå med revisjonsbransjen generelt, hvor andelen utgjør mellom 35 og 40 % av samlede inntekter.

Hvordan en vurdering av sårbarheter knyttet til virksomhetens art og omfang, tjenesteområder og kunder kan gjøres, beskrives nedenfor.

Vurderingskriterier

1. Revisjonsselskapets størrelse – antall ansatte og omsetning

Risiko: Nyansatte eller ansatte med lavt kompetansenivå kan være en sårbarhet som krever økt oppfølging og opplæring. Likeledes øker sårbarheten med størrelsen på revisjonsselskapet. Eksempelvis kan avdelingskontorer spredt over et større geografisk område medføre sårbarhet for manglende oppfølging, koordinering og opplæring.

Vurdering: Selskapet har 16 ansatte som alle er samlet på én lokasjon. Fire ansatte er oppdragsansvarlige revisorer og tolv er medarbeidere. Av medarbeiderne er to nyansatte, to har to–tre års erfaring og åtte har mer enn tre års erfaring.

Vi har identifisert en vesentlig sårbarhet knyttet til generell forståelse og praktisk håndtering av våre plikter i henhold til hvitvaskingsregelverket. Dette gjelder alt fra virksomhetsinnrettet risikovurdering på overordnet nivå, til risikoklassfisering normal/lav/høy på kundenivå. Videre er vi sårbare ved at vi ikke har klart å implementere tilstrekkelige og hensiktsmessige revisjonshandlinger knyttet til spesifikke risikoer for hvitvasking i ulike bransjer med forhøyet risiko, noe som igjen medfører sårbarhet med hensyn til at enkle former for hvitvasking kan forekomme hos våre kunder uten at vi avdekker det.

Når det gjelder fordeling av medarbeidere på kunder, har dette historisk skjedd litt tilfeldig basert på hvem som har ledig kapasitet. Dette medfører en sårbarhet i de tilfellene der medarbeidere med liten erfaring eller lav kompetanse blir utførende revisor alene på kunder hvor risikoen for hvitvasking er høy. I slike tilfeller vil disse medarbeiderne vanligvis ha dårlige forutsetninger for å kunne identifisere uvanlige transaksjoner og dårlige forutsetninger for å forstå dybden i revisjonshandlingene som skal utføres mot de spesifikke hvitvaskingsrisikoene, jf. punkt 1 og 3 i tiltaksplanen vist i slutten av artikkelen som tar for seg disse sårbarhetene.

2. Nærhet til kunden

Risiko: Dersom det foreligger en nærhet til eller avhengighet av kunder, kan dette øke sårbarheten for at revisor ikke gjennomfører alle pliktige kundetiltak. En nærhet som kan gjøre revisjonsselskapet sårbart, er for eksempel at virksomheten drives på et mindre sted hvor kunden, eller personer som handler på vegne av kunden, er kjente, enten som følge av forretningssamarbeid, eller i privat sammenheng. Et begrenset kundeutvalg kan også være en sårbarhet fordi det kan medføre at ikke alle pliktige kundetiltak blir utført av frykt for å miste inntekt.

Vurdering: Det foreligger ikke en slik nærhet til eller avhengighet av kunder som kan øke sårbarheten for at vi ikke gjennomfører alle pliktige kundetiltak. Heller ikke kundeutvalget er begrenset.

3. Kilde for nye kunder

Gjennom et eksempel viser forfatteren også hvordan erkjennelse av egne sårbarheter kan lede til målrettede revisjonshandlinger for bekjempelse av hvitvasking.

Risiko: Det er en risiko at vi, uten å vite det, påtar oss oppdrag for kunder hvor sentrale personer i ledelsen hos kunden eller reelle rettighetshavere har kriminell bakgrunn, er medlem av en gruppering som driver med kriminalitet, er nærstående til kriminelle, eller har tilknytning til miljøer som støtter terrororganisasjoner.

Vurdering: De aller fleste nye kunder er enten knoppskyting fra eksisterende kundeportefølje eller kunder som har blitt henvist til oss fra regnskapsførere som vi allerede har god kjennskap til og hvor disse går god for den nye kunden.

Risikoen for å komme borti kriminelle anses derfor som vesentlig lavere enn dersom en stor andel av de nye kundene var tilfeldige kunder som selv tok kontakt med oss, eller dersom disse var lokalisert utenfor vårt naturlige lokalområde.

4. Overtakelse av kundeporteføljer eller oppkjøp av andre revisjonsselskaper

Risiko: Selv om revisjonsselskapets ledelse har utarbeidet helhetlige risikovurderinger og rutineverk, kan det ta tid og være ressurskrevende å implementere dette på en god måte i hele selskapets virksomhet. Særlig gjelder dette når revisjonsselskapet fusjonerer med andre virksomheter, og hvor den lokale driften videreføres uten særlige utskiftinger blant de ansatte. Ved overtakelse av kundeporteføljer må revisjonsselskapet være særlig oppmerksom på om kundetiltak er utført i samsvar med egne rutiner og plikter etter hvitvaskingsloven.

Vurdering: Ikke aktuelt. Vi har ikke overtatt noen kundeporteføljer det siste året og har heller ikke planer om å gjøre det i nærmeste fremtid.

5. Tilknytning til internasjonalt revisjonsnettverk

Risiko: Det at et revisjonsselskap er tilknyttet et internasjonalt revisjonsnettverk, gjør at selskapet lettere blir eksponert for hvitvaskings- og terrorfinansieringsrisiko enn revisjonsselskaper som ikke er del av et slikt nettverk. Fordi hvitvasking og terrorfinansiering ofte skjer på tvers av landegrenser, kan internasjonale kunder og eiere medføre økt risiko for at revisjonsselskapet blir utnyttet som ledd i hvitvasking og terrorfinansiering.

Vurdering: Ikke aktuelt. Vi har ikke tilknytning til internasjonalt revisjonsnettverk.

6. Risikoklassifisering av nye kunder

Risiko: Det er en risiko at vi på grunn av mangelfull forståelse av hvitvaskingsregelverket eller stor ubegrunnet tiltro til ledelsens integritet, vurderer eksisterende og nye kunder til å ha lavere risiko for hvitvasking enn det de i realiteten har.

Vurdering: Vi har uklare retningslinjer for hvordan vi skal risikoklassifisere eksisterende og nye kunder, noe som medfører risiko for at risikoklassifiseringen blir feil, jf. vedlagt tiltaksplan punkt 2 for tiltak som behandler identifiserte sårbarheter (feilvurderinger) knyttet til risikoklassifisering av eksisterende og nye kunder.

7. Revisjon av kunder som ikke er revisjonspliktige

Risiko: Revisor er allmennhetens tillitsperson. Det at en kunde er revidert, bidrar til at det offentlige har økt tillit til kundens årsregnskap, og kan medføre at kontrolltiltak, for eksempel bokettersyn, fra det offentliges side blir lavere prioritert. Dersom en kunde som ikke er underlagt revisjonsplikt, likevel velger å ha revisor, må revisor vurdere kundeforholdets formål og tilsiktede art.

Vurdering: Vi påtar oss sjelden revisjon for kunder som ikke er revisjonspliktige. Vi har imidlertid en del kunder i porteføljen som tidligere har vært revisjonspliktige, men som ikke har valgt bort revisor etter at de falt under terskelverdiene for revisjon.

Når vi mottar forespørsel om å påta oss oppdrag som revisor for et selskap som ikke er underlagt revisjonsplikt, vurderer vi begrunnelsen for at selskapet ønsker revisor, før vi påtar oss oppdraget.

8. Attestasjonstjenester og beslektede tjenester

Risiko: Revisors attestasjoner og uttalelser kan bidra til at forholdet det gjelder legitimeres, og på denne måten kamuflerer hvitvasking eller terrorfinansiering. For eksempel kan revisors uttalelser om kapitalforhøyelse etter aksjelovgivningen gi tillit til at midlenes opprinnelse er legitim. Ved ikke-lovpliktige attestasjonstjenester, må revisor vurdere kundeforholdets formål og tilsiktede art.

Vurdering: Vi avgir attestasjoner og uttalelser både for revisjonskunder og ikke-revisjonskunder, jf. punkt 4 i tiltaksplanen vist i slutten av artikkelen som tar opp identifiserte sårbarheter (økt fokus på midlenes opprinnelse) knyttet til attestasjonstjenester.

9. Rådgivning

Risiko: Investeringsrådgivning og skatterådgivning knyttet til kompliserte kundestrukturer og produkter tilknyttet flere land kan bidra til tilsløring og integrering av hvitvasking av midler.

Vurdering: Ikke aktuelt. Vi tilbyr ikke slik rådgivning.

10. Utkontraktering

Risiko: I henhold til hvitvaskingsloven §22 kan revisor etter skriftlig avtale legge til grunn kundetiltak utført av tredjepart, for eksempel autorisert regnskapsfører. Utkontraktering medfører sårbarhet fordi kontraktsparten kan ha mangelfull kunnskap om hvitvaskingsregelverket.

Vurdering: Ikke aktuelt. Ingen oppgaver tilknyttet pliktene våre etter hvitvaskingsloven er utkontraktert.

Levering av nye tjenester

Risiko: Revisjonsselskap må vurdere hvordan de enkelte tjenestene som leveres, kan være sårbare for å bli brukt som ledd i hvitvasking eller terrorfinansiering. For nye tjenester må risikovurderingen gjøres før de lanseres.

Vurdering: Risikoen for å bli misbrukt til hvitvasking og terrorfinansiering i vår virksomhet er, som nevnt innledningsvis, i første rekke knyttet til attestasjoner og rådgivning. Det er ikke innført nye tjenester siste år og det planlegges heller ikke å innføre nye tjenester i kommende år.

Systemer/løsninger som brukes til kundetiltak og i oppdragsutførelsen

Risiko: Teknologi kan være mangelfull, eksempelvis kan elektroniske systemer som inneholder sjekklister for aksept av kundeforhold inneholde mangler eller feilprogrammeringer. Ny teknologi som tas i bruk, må også vurderes opp mot hvitvaskingsregelverket.

Vurdering: Maler for dokumentasjon av våre plikter opp mot hvitvaskingsregelverket er oppdatert i år. De oppdragsansvarlige revisorene har ansvaret for å følge opp at disse blir benyttet som forutsatt. Det er ikke gjort, og planlegges heller ikke, vesentlige endringer i revisjonsverktøyet som benyttes for oppdragsutførelsen.

Basert på ovenstående gjennomgang mener vi at identifiserte sårbarheter knyttet til virksomhetens interne forhold, vil bli tilstrekkelig behandlet gjennom tiltaksplanen vår.

2 Kunder med høy risiko

Revisjonskunder i bransjer med forhøyet risiko for hvitvasking

Antall

kunder

%

andel

Antall ekstern RF

%

andel

Bygg/anlegg

100

20 %

80

80 %

Renhold

10

2 %

5

50 %

Restaurant/uteliv

20

4 %

10

50 %

Bemanningsforetak

5

1 %

5

100 %

Dagligvare/kiosk uten tilknytning til franchise

5

1 %

5

100 %

Bilvask/bilpleie/bilverksted

10

2 %

10

100 %

Andre kontantintensive virksomheter; f.eks. frisør og skjønnhetspleie

5

1 %

5

100 %

Eiendomsutvikling

10

2 %

10

100 %

Bruktbil

20

4 %

15

75 %

Menigheter

5

1 %

5

100 %

Frivillige organisasjoner

10

2 %

0

0 %

Sum kunder i bransjer med høy risiko

200

40 %

150

75 %

Andre bransjer

300

60 %

Sum kunder totalt

500

100 %

Kunder i bransjer med forhøyet risiko i vår portefølje

Andelen kunder i bransjer med forhøyet risiko påvirker risikoen for at vi kan bli misbrukt til hvitvasking og terrorfinansiering. Vår vurdering er at vi har en relativt høy andel kunder i bransjer med forhøyet risiko, 200 av 500 kunder, og da særlig innenfor bygg og anlegg hvor vi har 100 kunder, men at risikoen knyttet til disse 200 kundene reduseres ved at:

HJELPE TIL? Investeringsrådgivning og skatterådgivning knyttet til kompliserte kundestrukturer og produkter tilknyttet flere land kan bidra til tilsløring og integrering av hvitvasking av midler. Et bra tiltak er derfor å ikke tilby slik rådgivning.

  • en høy andel av kundene har ekstern autorisert regnskapsfører som er underlagt hvitvaskingsregelverket på samme måte som oss, men med den forskjellen at regnskapsfører i henhold til god regnskapsføringsskikk plikter å vurdere berettigelsen til alle bokførte transaksjoner, mens vår kontroll er basert på stikkprøver

  • ingen av kundene er lokalisert utenfor vårt naturlige lokalområde

  • kun en mindre andel av de 200 kundene er nye; 10 nye kunder i år og 15 nye kunder i fjor. Alle de nye kundene i år har ekstern autorisert regnskapsfører.

Årsaken til at de ulike bransjene anses å ha forhøyet risiko for hvitvasking

Enhver transaksjon som bidrar til å skjule opprinnelsen til penger som stammer fra en kriminell handling, anses som hvitvasking av penger. Siden det er svært ulike årsaker til at den enkelte bransjen anses å ha forhøyet risiko for hvitvasking, utgjør årsaken en relevant del av det trusselbildet som vi som revisjonsselskap er utsatt for. For å kunne iverksette relevante kundetiltak er det derfor nødvendig å identifisere og vurdere årsakene til forhøyet risiko for hver enkelt bransje.

Årsaken til at bransjer har forhøyet risiko

Svart arbeid

Sosial dumping

Skatt og avgift

Svart omsetning

Hvitvasking kontanter

Krav om tillatelse

Terrorfinansiering

Bygg/anlegg

Ja1

Ja1,2

Ja

Ja3

Renhold

Ja1

Ja1,2

Ja

Ja3

Restaurant/uteliv

Ja1

Ja1,2

Ja

Ja3

Ja4

Bemanningsforetak

Ja1

Ja

Ja5

Dagligvare/kiosk uten tilknytning til franchise

Ja1

Ja1

Ja

Ja3

Ja4

Bilvask/bilpleie/bilverksted

Ja1

Ja1

Ja

Ja3

Ja4

Ja6

Andre kontantintensive virksomheter; f.eks. frisør og skjønnhetspleie

Ja1

Ja1

Ja

Ja3

Ja4

Eiendomsutvikling

Ja1

Ja1,2

Ja

Ja7

Bruktbil

Ja

Ja3

Ja4

Ja8

Menigheter

Ja9

Frivillige organisasjoner

Ja9

1 Svart arbeid og sosial dumping

I «Nasjonal risikovurdering – Hvitvasking og terrorfinansiering 2020» – knyttet Politiets Sikkerhetstjeneste særlig høy risiko til aktører innen arbeidslivskriminalitet, som i tillegg til å hvitvaske egen profittgenererende kriminalitet, tilrettelegger for hvitvasking av utbytte fra narkotikakriminalitet i sin næringsvirksomhet. Det er høyest risiko for svart arbeid og sosial dumping i bransjer med lavt lønnsnivå og relativt høy andel utenlandsk arbeidskraft.

11. Sosial dumping

De siste årene har flere bransjer fått allmenngjort minstelønn.

12. Svart omsetning

Svart omsetning er utbredt i flere bransjer som har betydelig omsetning til private.

13. Hvitvasking av kontanter

Flere bransjer er attraktive for hvitvasking av kontanter ettersom utbytte fra kriminalitet kan sluses inn i dagsomsetningen og fremstå som legitime inntekter.

14. Bemanningsforetak

Innleie er kun tillatt fra bemanningsforetak som er registrert hos Arbeidstilsynets register over bemanningsforetak.

15. Bilverksteder

Hovedregelen er at de som skal reparere vitale deler på biler, må være godkjent av Statens vegvesen. Vitale deler er for eksempel bremser, styreinnretning, hjulutrustning og elektrisk anlegg. Formålet med godkjenningsordningen er å sikre at reparasjoner blir utført av profesjonelle, og at behovet for trafikksikkerhet ivaretas. Oversikt over godkjente bilverksteder finnes på Statens vegvesen sine nettsider. For å maksimere sin egen profitt, bruker useriøse bilverksteder mekanikere uten fagbrev og bildeler/utstyr av dårlig kvalitet for å minimere kostnader til reparasjoner. Intetanende kunder kan dermed ende opp med å kjøre rundt i biler som utgjør en betydelig sikkerhetsrisiko på veiene.

16. Eiendomsutvikling

En vanlig metode for hvitvasking er investering i eiendommer med behov for oppussing med legale midler, mens utbedringer og oppussingskostnader som øker eiendommens verdi, betales kontant med utbytte fra kriminell aktivitet.

17. Bruktbilforhandlere

Det er krav om at bruktbilforhandlere skal ha brukthandelbevilling utstedt av politiet, men det er ikke uvanlig at aktører selger bruktbiler uten slik godkjenning. Omfanget av useriøsitet og kriminalitet er stort i bransjen. For å maksimere sin egen profitt, bruker useriøse aktører ikke-godkjente verksteder og bildeler/utstyr av dårlig kvalitet for å minimere kostnader til vedlikehold og reparasjon før videresalg. Videre er det lite oversikt over omsetningen av storskadede og kondemnerte biler, noe som kan antas å være en viktig del av tilgangen på bruktbiler for useriøse aktører. Det er således fare for at biler som har hatt store strukturelle eller sikkerhetsmessige skader, og burde vrakes, blir reparert på en uforsvarlig måte. Slike biler kan dermed utgjøre en betydelig sikkerhetsrisiko på veiene, ved at useriøse bruktbilforhandlere videreselger disse bilene til intetanende kjøpere.

For å få bilene godkjent, kan det være samarbeid mellom forhandler og verksted, for eksempel i forbindelse med periodisk kjøretøykontroll. Mange aktører tilbyr dessuten flere bilrelaterte tjenester i en totalpakke, eksempelvis kombinasjonsvirksomhet som tilbyr både bilvask, dekkskift og enkle reparasjoner under samme tak. Det er derfor viktig å se selskapets ulike deler i sammenheng når revisor skal vurdere risikoen for hvitvasking. En kombinasjonsvirksomhet vil være attraktiv for hvitvasking ettersom utbytte fra kriminalitet kan sluses inn i dagsomsetningen og fremstå som legitime inntekter.

18. Menigheter og frivillige organisasjoner

Det er risiko for at menigheter og frivillige organisasjoner driver med terrorfinansiering i form av innsamling av penger til konfliktområder. Noen organisasjoner blir også etablert i den hensikt å drive pengeinnsamling til veldedige formål, men i stedet for å gi pengene til dette, beholder nøkkelpersonene pengene selv. Ved for eksempel naturkatastrofer og akutte humanitære kriser, hvor mange ønsker å gi penger og bidra til hjelp, kan useriøse aktører se muligheter til underslag eller finansiering av terrorisme.

Overordnet vurdering

Nettopp det at vi har en relativt høy andel av oppdragsporteføljen vår innenfor bransjer hvor hvitvasking erfaringsmessig forekommer oftere enn i andre bransjer, skjerper kravet til vår aktsomhet. Risikoen for hvitvasking hos våre kunder er, slik vi ser det, primært knyttet til svart arbeid, sosial dumping, skatteundragelser og svart omsetning, samt risiko for useriøsitet og kriminalitet hos bilverksteder og bruktbilforhandlere. Som følge av den overordnede risikovurderingen vil vi implementere en rekke tiltak.

Vi er revisor for ti bilverksteder og 20 bruktbilforhandlere. Gjennomgangen av årsaken til at disse bransjene har forhøyet risiko for hvitvasking, har fått oss til å revurdere risikoen på kundenivå for fem av bilverkstedene. Siden disse bilverkstedene ikke er med i noen bilverkstedkjede, økes risikoen fra normal til høy. Videre økes risikoen på de 20 bruktbilforhandlerne i porteføljen vår fra normal til høy. Grunnen til endringene er at vi vil måtte utføre forsterkede kundetiltak i form av ytterligere revisjonshandlinger knyttet til de spesifikke risikoforholdene vedørende useriøsitet i disse bransjene, før vi eventuelt kan redusere risikoen for hvitvasking til normal, jf. punkt 5 i tiltaksplanen vist i slutten av artikkelen.

Vi vil implementere nye revisjonshandlinger for å kunne avdekke sosial dumping, jf. punktene 6, 7 og 8 i tiltaksplanen vist i slutten av artikkelen.

Gjennom vår basisrevisjon har vi fokus på å identifisere og følge opp transaksjoner som fremstår unormale for virksomheten. Vi vil imidlertid gjøre endringer i dokumentasjonen vår, slik at vårt fokus på unormale transaksjoner er noe vi også dokumenterer for de enkelte revisjonshandlingene som det er relevant for, i tillegg til vår oppsummering i avslutningsfasen av revisjonen, jf. punkt 9 i tiltaksplanen vist i slutten av artikkelen.

For alle kunder i bransjer med identifisert forhøyet risiko for svart omsetning vil vi i det kommende årsoppgjøret etablere en enkel regnskapsanalyse, jf. punkt 10 i tiltaksplanen vist i slutten av artikkelen.

Revisjon av rapporteringspliktige kunder

Revisjonsselskap, regnskapskontor og advokatfirma er eksempler på typiske rapporteringspliktige kunder.

Risiko: Finanstilsynet mener at revisorloven § 9-4 tredje ledd om god revisjonsskikk innebærer at revisor for kunder som er underlagt hvitvaskingsloven, minst må:

  • forespørre ledelsen og, der det er relevant, de som har overordnet ansvar for styring og kontroll hvorvidt enheten overholder disse lovene og forskriftene

  • gjennomgå korrespondanse av betydning for kundens etterlevelse av hvitvaskingsregelverket, for eksempel inspeksjonsrapporter fra Finanstilsynet

  • kontrollere at foretaket har utarbeidet en risikovurdering som er tilpasset virksomheten

  • kontrollere at kunden har skriftlige hvitvaskingsrutiner som inneholder alle de relevante punktene i Finanstilsynets veiledning om virksomhetsinnrettet risikovurdering

  • påse at det er utpekt hvitvaskingsansvarlig

Dersom revisor blir oppmerksom på brudd på hvitvaskingsregelverket, skal revisor ta forholdet opp med kundens ledelse i nummerert brev og vurdere rapporteringsplikt etter finanstilsynsloven § 3a.

Vurdering: Vi er revisor for fire revisjonsselskaper, to regnskapskontorer og to advokatfirmaer. En bedre dokumentert oppfølging av disse rapporteringspliktiges overholdelse av plikter i henhold til hvitvaskingsregelverket vil bli integrert som en del av den løpende revisjon. Dette innebærer blant annet at vi vil måtte sette oss inn i hvilke forventninger Finanstilsynet har til virksomhetsinnrettet risikovurdering for regnskapskontor og advokatfirma, jf. punkt 11 i tiltaksplanen vist i slutten av artikkelen.

Revisjon og attestasjoner knyttet til klientmidler

Risiko: Ved revisjon av advokatfirma som har klientmidler, må revisor være oppmerksom på at klientkontoen kan bli brukt av tredjepart som ledd i hvitvasking eller terrorfinansiering. Tilsynsrådet for advokatvirksomhet anbefaler at advokater innretter sine rutiner med utgangspunkt i at enhver overføring til og fra klientkonto kan innebære en transaksjon etter hvitvaskingsloven. Advokatene bør være særlig oppmerksomme på risikoen for hvitvasking i tilfeller der innbetalt forskudd samlet sett er betydelig og/eller det er blitt innbetalt fra en tredjeperson. Selve plasseringen på klientkonto kan også være en måte å skjule midlene på.

Vurdering: Vi er revisor for to advokatfirmaer og kontrollerer hvert år at de behandler klientmidlene i overenstemmelse med særkravene for behandling av klientmidler. Imidlertid har vi ikke fulgt opp at advokatene foretar risikovurderinger opp mot hvitvaskingsregelverket for de enkelte overføringene til og fra klientkontoene, jf. punkt 11 i tiltaksplanen vist i slutten av artikkelen.

Revisjon av menigheter og frivillige organisasjoner

Risiko: Revisor må være oppmerksom på formålet med organisasjonen. Særlig gjelder dette for organisasjoner som overfører penger til konfliktområder og andre høyrisikoområder, eller hos mindre organisasjoner som har svake kontrolltiltak.

Vurdering: Vi er revisor for fem menigheter, seks pengeutdelende stiftelser, tre idrettslag og en golfklubb. De pengeutdelende stiftelsene har få eller ingen utdelinger. Ingen av organisasjonene har formål som anses å utgjøre risiko for terrorfinansiering. Videre er intern kontroll i alle organisasjonene vurdert å være tilfredsstillende hensyntatt organisasjonenes art og omfang.

Individuell risikovurdering på kundenivå

Den individuelle risikovurderingen på kundenivå konkluderer med at de fleste kundene som driver i bransjer med forhøyet risiko for hvitvasking, reelt sett kun har normal risiko, blant annet som følge av at vi ikke har avdekket særskilte forhold knyttet til:

  • geografisk risiko

  • sentrale personer i ledelsen og reelle rettighetshavere, herunder at ingen er politisk eksponerte eller tidligere straffet for hvitvasking, terrorfinansiering eller øvrig økonomisk kriminalitet

  • organisering av virksomheten (eierstruktur og styringsstruktur), eller

  • andre forhold som fremkommer gjennom kundetiltak og oppdragsutførelsen

Det siste punktet om oppdragsutførelsen er svært viktig i så henseende. Det er nettopp gjennom ulike revisjonshandlinger utført i tidligere års revisjoner vi har sikret oss tilstrekkelig kunnskap om kundene til å begrunne hvorfor vi mener at de spesifikke årsakene til forhøyet risiko i bransjen de driver virksomhet i, ikke anses å være en reell risiko hos den aktuelle kunden.

Revisjons-KUNDER

Høy

Normal

Lav

Totalt

Endelig risiko etter individuell vurdering

25

350

125

500

Tiltaksplan

1.Opplæringsplan – oppdatering for å behandle identifiserte sårbarheter

Hvitvaskingsansvarlig må utarbeide en oppdatert opplæringsplan som behandler identifiserte sårbarheter knyttet til generell forståelse og praktisk håndtering av våre plikter i henhold til hvitvaskingsregelverket.

2. Risikoklassifisering – revurdering for eksisterende og nye kunder

Risikoklassifiseringen (normal/lav/høy) for alle kunder i porteføljen må revurderes for å sikre riktig klassifisering. For nye kunder i bransjer med forhøyet risiko for hvitvasking vil følgende prinsipper bli lagt til grunn:

  • kunder som ikke har vært revisjonspliktige tidligere settes første år i kategorien høy

  • kunder som er hjemmehørende utenfor vårt naturlige lokalområde, settes første år i kategorien høy

  • bilverksted som ikke er medlem av noen bilverkstedkjede, bruktbilforhandlere og dagligvarebutikker uten kjedetilknytning, settes første år i kategorien høy selv om de har vært revisjonspliktige tidligere

  • for øvrige kunder med forhøyet risiko for hvitvasking gjøres en individuell vurdering. Risikoen kan aldri reduseres fra høy til lav, men kan reduseres til normal dersom tilstrekkelig begrunnelse gis. Risikoklassifiseringen må ta utgangspunkt i de generelle vurderingene som er gjort i den virksomhetsinnrettede risikovurderingen og konkrete forhold ved den aktuelle kunden

3. Teamsammensetning – revurdering på kunder med høy risiko

Teamsammensetningen på kunder med høy risiko for hvitvasking må revurderes, slik at medarbeidere med liten revisjonserfaring og/eller lav kompetanse om hvitvasking ikke er utførende revisor alene på disse oppdragene.

4. Attestasjoner – økt fokus på midlenes opprinnelse

For attestasjoner og uttalelser vil vi, der det er relevant, foreta en bedre dokumentert vurdering av midlenes opprinnelse. Dette ved å spørre kunden om hvor midlene kommer fra og vurdere svaret opp mot annen kunnskap vi har.

5. Bilverksted og bruktbilforhandlere – utvidede revisjonshandlinger

For kunder som driver bilverksted eller bruktbilhandel, vil vi i tillegg til revisjonshandling på lønnsområdet knyttet til sosial dumping, gjennomføre en mer dyptgående revisjon for å kunne konkludere på om virksomheten som drives er seriøs eller useriøs. Dette innebærer at vi må lage en egen revisjonshandling på kostnadsområdet som spesifikt retter seg mot denne risikoen.

For bilverksted vil kontrollhandlingen bestå i:

  • kontroll av om bilverkstedet er godkjent verksted

  • gjennomgang av konto for varekjøp for å vurdere om bildeler kjøpes inn fra seriøse leverandører

  • mens den for bruktbilforhandlere vil bestå i:

  • kontroll av om bruktbilforhandleren har brukthandelbevilling og eventuelt er godkjent verksted

  • gjennomgang av konto for innkjøp av biler for å identifisere om bruktbilforhandleren kjøper inn biler til veldig lave beløp som de så fikser opp og selger videre, noe som kan innebære risiko for at bilene er storskadede og kondemnerte

  • gjennomgang av konto for varekjøp eller leverandørreskontro for å identifisere hvem bruktbilforhandleren kjøper verkstedstjenester fra og om det kjøpes inn bildeler som brukes til egne reparasjoner

  • undersøke om bilverksted som brukes som underleverandør er godkjent verksted, samt fastslå i hvilken grad bruktbilforhandleren reparerer biler selv

  • hvis bruktbilforhandleren reparerer biler selv uten å være godkjent verksted, må vi forespørre ledelsen hva slags reparasjoner de utfører og vurdere om arbeidet ligger innenfor hva som er lov å gjøre uten å være godkjent verksted, jf. verkstedforskriften § 6 b og f.

6. Sosial dumping – identifikasjon av bransjer med allmenngjort minstelønn

For kunder i bransjer med allmenngjort minstelønn må bestemmelsen om minstelønn og faktiske satser inntas i Descartes-skjermbildet «Forretningsforståelse og risikofaktorer – eksterne forhold – lover og regler» under overskriften «Bransjemessige krav».

7. Sosial dumping – ny revisjonshandling knyttet til lønnsnivå

For kunder i bransjer med forhøyet risiko for sosial dumping må vi lage en revisjonshandling på lønnsområdet som spesifikt retter seg mot denne risikoen. Kontrolhandlingen vil bestå i:

  • kontroll av timesatser mot satsene for allmenngjort minstelønn eller annen relevant ikke-bindende tariffavtale

  • kontroll av antall timer overtid mot overtidsbestemmelsene i arbeidsmiljøloven

  • kontroll av at overtidstillegg blir betalt i henhold til bestemmelsene i arbeidsmiljøloven

8. Sosial dumping – ny revisjonshandling for innleie og utleie av arbeidskraft

Både for bemanningsforetak og selskap som leier inn arbeidskraft, må vi lage en revisjonshandling på lønnsområdet (utleie) og kostnadsområdet (innleie) som spesifikt retter seg mot risiko for sosial dumping. Kontrollhandlingen vil bestå i:

kontroll av at bemanningsforetaket er registrert hos Arbeidstilsynets register over bemanningsforetak

kontroll av hvordan selskapene følger opp at arbeidstaker som er innleid fra bemanningsforetak, får en lønn som tilsvarer den lønnen vedkommende skulle hatt dersom han var ansatt direkte i innleiebedriften (likebehandlingsreglene)

9. Identifikasjon av uvanlige transaksjoner – forbedrede revisjonshandlinger

I revisjonshandlinger for kontroll av inntekter, kostnader og lønn, må vi der hvor det er relevant, inkludere et punkt om at vi i gjennomføringen av revisjonshandlingen skal vurdere om noen av transaksjonene fremstår som uvanlige for virksomheten.

10. Regnskapsanalyse – svart omsetning

For alle kunder i bransjer med identifisert forhøyet risiko for svart omsetning vil vi i det kommende årsoppgjøret etablere en enkel regnskapsanalyse med ett års sammenligningstall. I analysen vil vi sammenligne bokført omsetning med estimert omsetning uttrykt ved:

Antall timer x antatt faktureringsgrad x standard utfaktureringsats

+ bokført varekostnad tillagt standard %-vis påslag.

Analysen vil bli oppdatert årlig fremover med fokus på å fange opp unormale/uforklarlige avvik, som kan være en indikator på svart omsetning.

11. Revisjonsselskap, regnskapskontor og advokatfirma – ny revisjonshandling

For alle kunder som er revisjonsselskap, regnskapskontor eller advokatfirma vil vi lage en revisjonshandling under risikovurderingshandlinger i planleggingsfasen hvor vi dokumenterer at vi har fulgt opp at disse kundene har overholdt sentrale plikter i henhold til hvitvaskingsregelverket.

I tillegg vil vi for advokatfirmaer følge opp om advokatene foretar risikovurderinger opp mot hvitvaskingsregelverket for de enkelte overføringene til og fra klientkonto.