Hvitvaskingsregelverket og Finanstilsynets tematilsyn i 2021:

Etterlevelsen på regnskapsførings- og revisjonsområdet

21. desember 2021 publiserte Finanstilsynet tematil-synsrapport for Regnskapsførings- og revisjonsområdet. I denne artikkelen gir jeg en oversikt over de vanligste svakhetene ved etterlevelse av hvitvaskingsregelverket for revisjonsforetak og regnskapsføringsforetak, basert på tematilsynsrapporten.

Advokatfullmektig
Ingvild Helene Fredriksen

Advokatfirmaet Erling Grimstad

Advokat
Erling Grimstad

Advokatfirmaet Erling Grimstad

Leseren kan også sammenholde resultatet fra tematilsynet med de erfaringene som ble omtalt i vår artikkel i Revisjon og Regnskap nr. 4 av 24. juni 2021.

Tematilsynet og tematilsynsrapporten

Tematilsynet ble gjennomført i 2020 og 2021. 22 foretak ble valgt ut til kontroll, elleve revisjonsforetak og elleve regnskapsførerforetak. Tematilsynsrapporten gir en oppsummerende oversikt over finanstilsynets funn i tematilsynet.

Finanstilsynet innhentet følgende informasjon fra de utvalgte foretakene:

  • Liste over kunder

  • Foretakenes virksomhetsinnrettede risikovurdering

  • Rutiner og sjekklister som dekker håndteringen av pliktene etter hvitvaskingsloven

  • Skriftlig redegjørelse for opplæringstiltak som ble gjennomført i 2019, med beskrivelse av omfanget og målgruppen

I tillegg til å vurdere innsendt materiale fra regnskapsforetakene og supplerende informasjon knyttet til innsendt materialet, inkluderte de 22 tilsynene en gjennomgang av fem til sju oppdrag pr. foretak (totalt 121 oppdrag).

De viktigste funnene

Følgende svakheter er særlig fremhevet av Finanstilsynet i tematilsynsrapporten:

  • Ingen av de 22 foretakene hadde dokumentert en virksomhetsinnrettet risikovurdering som oppfylte lovkravet fullt ut

  • Halvparten av foretakene hadde ikke dokumentert at risikovurderingen var vedtatt av styret

  • Risikoklassifisering på kundenivå manglet helt i flere tilfeller. I en rekke oppdrag var kunden satt til lav risiko uten at det var forklart.

  • Svak oppmerksomhet i foretakenes ledelse om tiltak mot hvitvasking og terrorfinansiering

  • Svak kunnskap om hvordan hvitvasking og terrorfinansiering skjer

  • En oppfatning hos foretakene om at egne kunder ikke er involvert i hvitvasking eller terrorfinansiering

  • Manglende eller mangelfulle rutiner

  • Fastsatte rutiner var ikke tilpasset virksomhetene og virksomhetens risiko, som medfører at rutinene ikke gir tilstrekkelig veiledning til de ansatte

Finanstilsynets overordnede inntrykk var at foretakene ikke fullt ut har tatt inn over seg den rollen de har i å forebygge eller avdekke økonomisk kriminalitet. Flere foretak fremla standardmaler utarbeidet av bransjeforeningen uten å tilpasse disse til egen virksomhet.

Krav til rutiner (hvitvaskingsloven § 8)

Det er et lovkrav for revisjonsforetak og regnskapsforetak å fastsette rutiner for etterlevelse av hvitvaskingsregelverket. Rutinene skal baseres på den virksomhetsinnrettede risikovurderingen til det enkelte foretaket. Rutinene skal være fastsatt av foretakets ledelse, og det skal utpekes en i foretakets ledelse som skal være ansvarlig for å følge opp disse. Rutinene skal tilpasses virksomhetens art og omfang. Det innebærer at mindre foretak kan ha mindre omfangsrike rutiner enn større foretak. Rutinene skal ha sammenheng med den virksomhetsinnrettede risikovurderingen for foretaket. Dersom risikovurderingen ikke er gjennomført som forutsatt, antas det naturlig nok at rutinene og andre eventuelle tiltak fra foretaket har begrenset effekt.

Tilsynet viste at flere av de kontrollerte foretakene ikke hadde rutiner som var fastsatt av foretakets øverste ledelse eller var tilstrekkelig forankret i ledelsen. Finanstilsynet peker i rapporten på svakheter ved både skriftlige rutiner for å ivareta plikter på foretaksnivå og skriftlige rutiner for å ivareta plikter som gjelder for gjennomføring av oppdrag.

Svakheter ved skriftlige rutiner

Plikter på foretaksnivå

Svakheter ved skriftlige rutiner for å ivareta plikter på foretaksnivå:

  • Rutine som skal sikre at den som er ansvarlig for hvitvaskingsrutinene ivaretar dette ansvaret på en forsvarlig måte

  • Rutine for opplæring

  • Rutine for dokumentasjon og lagring av opplysninger

  • Rutine for intern kontroll av etterlevelsen av rutiner og hvitvaskingsloven

Plikter som gjelder gjennomføring av oppdrag

Svakheter ved skriftlige rutiner for å ivareta plikter som gjelder gjennomføring av oppdrag:

  • Rutine for rettidig gjennomføring av kundetiltak

  • Rutine for innhenting og bekreftelse av opplysninger og fysiske og juridiske kunder

  • Rutine for å avdekke reelle rettighetshavere og politisk eksponerte personer (PEP)

  • Rutine for risikoklassifisering

  • Rutine for forenklede og forsterkede kundetiltak

  • Rutine for løpende oppfølging

  • Rutine for iverksettelse av nærmere undersøkelser

Manglende etterlevelse av hvitvaskingsloven i oppdrags-utførelsen

Finanstilsynets kontroll av de 121 oppdragene viste svakheter i utføringen av oppdrag særlig på følgende sentrale områder:

  • Risikoklassifisering

  • Gjennomføring av forsterkede kundetiltak

  • Kartlegging av eierskap og kontrollstruktur

  • Vurdering av eventuelle rettighetshavere og eventuelle PEP

  • Løpende oppfølging av kundeforholdet

Kravet til opplæring

Kravet til opplæring skal sikre at ansatte og andre som utfører oppdrag for foretaket, er i stand til å gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering. Dette innebærer i det minste at de er godt kjent med indikatorlisten som er utarbeidet av nasjonal tverretatlig analyse og etterretningssenter (NTAES), og hvordan den kan brukes i oppdragsutføringen.

Finanstilsynet påpeker at ledelsen i foretakene må vurdere hvordan kravet til opplæring skal ivaretas i egen virksomhet og nedfelle dette i en rutine. Videre må den skriftlige rutinen konkretiseres i en opplæringsplan for en kommende periode, for eksempel et år. Planen må vise hvem som skal ha opplæring, i hva, når og hvordan. Videre må de som skal ha opplæring gis tid og anledning til å gjennomføre denne på en måte som gjør at de faktisk tilegner seg kunnskapen.

Opplæringen skal sørge for at:

  • Ansatte og andre som utfører arbeidet for foretaket har kunnskap om hvordan hvitvasking og terrorfinansiering skjer slik at de kan ha løpende oppmerksomhet mot slike forhold i utføringen av regnskapsførings- eller revisjonsoppdraget.

  • Ansatte og andre som utfører arbeid for foretaket, må kjenne til de interne rutinene for hvordan de skal håndtere situasjoner der det kan være usikkerhet knyttet til et forhold de ser.

  • De ansatte må vite hvem de skal kontakte i foretaket for å diskutere forhold som kan være mistenkelige, herunder om det skal iverksettes nærmere undersøkelser og hvordan.

  • De ansatte må vite når de skal kontakte hvitvaskingsansvarlig for eventuell rapportering til Økokrim (EFE).

  • Ledelsen i foretaket har ansvaret for å vurdere hvordan håndtering av ulike forhold skal løses i virksomheten og nedfelle dette i en skriftlig rutine.

  • Opplæringen må ta hensyn til identifisert risiko (risikovurderingen) og dekke kravene som fremgår av foretakets rutiner.

Risikovurdering for foretaket og for oppdrag

Krav til virksomhetsinnrettet risiko-vurdering (hvitvaskingsloven § 7)

Hvitvaskingsloven krever at regnskapsførerforetak og revisjonsforetak vurderer risikoen for å bli misbrukt som ledd i hvitvasking og terrorfinansiering, og at risikoen må konkretiseres basert på den enkelte virksomhet. Finanstilsynet peker i rapporten på svakheter ved:

  • Vurdering av kundegrupper

  • Risikoen knyttet til terrorfinansiering

  • Samlet risikovurdering

  • Risikoreduserende tiltak

  • Fastsettelse av risikovurderingen i foretakets øverste ledelse

Foretaket plikter å identifisere risikoen for hvitvasking og terrorfinansiering, såkalt virksomhetsinnrettet risikovurdering. Det må fremgå av risikovurderingen at foretaket har identifisert hvilke eksterne trusler virksomheten står overfor og hvilke interne sårbarheter i virksomheten som påvirker risikoen for at foretaket kan bli brukt som ledd i hvitvasking og terrorfinansiering. Foretakene må blant annet se hen til egen størrelse, tjenestespekter, kundemasse og internasjonal tilknytning. Risikovurderingen skal vise den samlede risikoen, som inkluderer hvordan eksterne og interne forhold påvirker hverandre. Foretakets ledelse må på bakgrunn av den virksomhetsinnrettede risikovurderingen vurdere hvor det er nødvendig å sette inn tiltak for å redusere risikoen til et nivå som ledelsen anser som akseptabelt.

Risikoklassifisering av oppdrag

Ved utføringen av oppdrag for kunder må revisorer og regnskapsførere konkret ta stilling til hvilken risiko den aktuelle kunden og oppdraget må anses for å ha ved å klassifisere risikoen som normal, høy eller lav. Finanstilsynet påpeker i tematilsynsrapporten at det synes å være en viss motvilje mot å konkludere med at en kunde skal plasseres i kategorien «høy risiko». Rutinene til foretakene må angi hvilke forhold som skal vektlegges i risikoklassifiseringen. Selv om sentrale vurderingskriterier kan være sammenfallende med revisorlovens krav til risikovurderinger og regnskapsførerlovens krav til gjennomgang av oppdragsgivers interne rutiner, vil for eksempel kundens bransjemessige tilknytning kunne tilsi ulikt resultat i de to vurderingene.

Kundetiltak og løpende oppfølging

Kundetiltakene skal være risikobaserte, og bygger på risikoklassifiseringen gjennomført av revisor eller regnskapsfører. Mangelfull risikoklassifisering kan føre til at de nødvendige kundetiltakene ikke gjennomføres. Foretak må fastsette rutiner som gir god veiledning og forståelse for hvilke risikoer som skal reduseres gjennom kundetiltak, og som angir aktuelle kundetiltak.

Finanstilsynet peker i tematilsynsrapporten på at det i flere av de kontrollerte oppdragene ikke er vurdert om det kan være reelle rettighetshavere, eller at det mangler dokumentasjon for at dette er vurdert. Videre peker Finanstilsynet på at definisjonen av politisk eksponert person (PEP) i hvitvaskingsloven § 2 første ledd, bokstav f) er lite kjent for de kontrollerte foretakene, noe som fører til mangelfulle vurderinger og dokumentasjon av dette forholdet.

Krav til internkontroll (hvitvaskingsloven § 35)

Finanstilsynet konkluderte i tematilsynsrapporten med at ingen av de kontrollerte foretakene hadde rutiner som innebar etablering av en internkontroll som var egnet til å sikre etterlevelsen av hvitvaskingsloven. Både revisorloven og regnskapsførerloven har krav til kontroll blant annet av etterlevelsen av god revisjonsskikk og god regnskapsføringsskikk. Det fremheves av Finanstilsynet at flere av foretakene synes å legge til grunn at kontrollhandlinger som følger av disse lovene, også dekker kravet til internkontroll i hvitvaskingsloven. Dette er ikke tilfelle, selv om kontrollhandlingene kan samordnes.

Revisjonsforetak og regnskapsførerforetak må føre kontroll med etterlevelsen av rutinene etter hvitvaskingsloven, og avvik fra rutiner må følges opp. Foretakenes ledelse må fastsette hvilke kontrolltiltak som skal iverksettes, og det må utarbeides en skriftlig rutine som beskriver tiltak som skal gjennomføres, når de skal gjennomføres og av hvem. Videre må ledelsen påse at internkontrollrutinen etterleves.