Etterlevelse av hvitvaskingsloven – hvor svikter revisjonsselskapene?
En systematisk gjennomgang og analyse av 20 tilsynsrapporter fra Finanstilsynet viser klare forbedringspunkter som kan være til nytte for alle rapporteringspliktige. Forbedringspunktene framkommer av en Masteroppgave ved Universitetet i Agder, hvor gjennomgangen er systematisert etter oppbyggingen av loven.
Førstelektor og studieprogramleder MRR, Handelshøyskolen ved Universitetet i Agder (UiA)
Mastergrad i regnskap og revisjon, siviløkonom fra Handelshøyskolen ved Universitet i Agder (UiA)
Mastergrad i regnskap og revisjon, siviløkonom fra Handelshøyskolen ved Universitet i Agder (UiA)
En rekke revisjonsforetak har de siste årene hatt utfordringer med å etterleve hvitvaskingsregelverkets krav til utforming og gjennomføring av virksomhetsinnrettet risikovurdering, rutiner og kundetiltak. Særlig viser det seg at utfordringene gjerne knyttes til utilstrekkelige tilpasninger til både egen virksomhets art og omfang – og kundens art og omfang. Den proporsjonale anvendelsen av en risikobasert tilnærming i hvitvaskingsloven ser ut til å være utfordrende for flere av revisjonsselskapene å etterleve.
Dette framkommer av masteroppgaven «Revisjonsselskapers utfordringer i etterlevelsen av hvitvaskingsregelverket» levert ved masterprogrammet i regnskap og revisjon ved Handelshøyskolen – Universitetet i Agder juni 2025.*https://uia.brage.unit.no/uia-xmlui/bitstream/handle/11250/3206130/no.uia%3Ainspera%3A345764706%3A66134563.pdf?sequence=1&isAllowed=y
Bakgrunn
Revisjonsselskaper og andre rapporteringspliktige virksomheter er underlagt omfattende krav etter «Lov om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsloven)».*https://lovdata.no/static/lovtidend/ltavd1/2018/nl-20180601-023.pdf Hvitvaskingsloven ble endret i 2018 og erstattet hvitvaskingsloven fra 2009. Oppdateringen gjennomførte store deler av EUs fjerde hvitvaskingsdirektiv i norsk rett, i tillegg til å implementere en rekke av FATFs (Financial Action Task Force) anbefalinger om tiltak mot hvitvasking og terrorfinansiering.*https://www.regjeringen.no/no/dokumenter/prop.-40-l-20172018/id2589604/?ch=1
Gjeldende hvitvaskingslov inneholder også en videreføring av det som var gjeldende rett fra før 2018 med sentrale byggesteiner i antihvitvaskingsarbeidet. Videreføringen gjelder blant annet krav om utarbeidelse av rutiner, internkontroll, opplæring av ansatte og kundetiltak.*https://www.finanstilsynet.no/nyhetsarkiv/tilsynsrapporter/2024/tilsynsrapport-og-vedtak-om-overtredelsesgebyr---ernst--young-as/
Kravene som ble skjerpet, vedrørte kundetiltak, undersøkelser og rapportering. I tillegg til å videreføre den risikobaserte tilnærmingen ble det også innført et nytt moment i loven der revisjonsforetak og andre rapporteringspliktige skal identifisere, vurdere og dokumentere risikoen for hvitvasking på virksomhetsnivå.*https://www.revisorforeningen.no/fag/nyheter/ny-hvitvaskingslov-ikraft/
Fokuset på forebygging og avdekking av økonomisk kriminalitet er stadig økende, likevel sliter flere revisjonsforetak med å følge gjeldende regelverk. De siste fem årene har Finanstilsynet publisert en rekke tilsynsrapporter der revisjonsforetak har fått gebyrer og reaksjoner for overtredelser av hvitvaskingsregelverket.*https://www.finanstilsynet.no/tema/hvitvasking-og-terrorfinansiering/tilsynsrapporter-hvitvasking-og-terrorfinansiering/
Gjennom å etterleve regelverket skal rapporteringspliktige kunne bidra til å forebygge og bekjempe hvitvasking. Helt sentralt er det at revisjonsselskapene har en helhetlig tilnærming til hvitvaskingsloven der virksomhetsinnrettet risikovurdering, rutiner og kundetiltak er tett sammenvevd.
Med bakgrunn i masteroppgaven vil det i det følgende presenteres funn og refleksjoner knyttet til revisjonsforetakenes utfordringer med å etterleve hvitvaskingsregelverket. Dette med mål om å øke fokuset rundt sentrale utfordringer for å kunne bidra til økt etterlevelse.
Lovens oppbygging
Hvitvaskingsloven uttrykker at revisjonsselskaper skal benytte en risikobasert tilnærming i utformingen av virksomhetsinnrettet risikovurdering, rutiner og kundetiltak.*https://www.finanstilsynet.no/4a5a3c/contentassets/ecc500e44fc7412f9c93bef8da84c9a3/rundskriv-14_2019.pdf Dette er forankret i grunnprinsippene; risiko- og proporsjonalitetsprinsippet.
Risikoprinsippet har til formål å implementere den risikobaserte tilnærmingen der rapporteringspliktige skal identifisere og anerkjenne risikoen, vurdere og håndtere den.
Proporsjonalitetsprinsippet uttrykker at risikoprinsippet skal anvendes forholdsmessig.*Rui, J. P., Ringen, G. H. & Rørholt, K. F. (2021) Hvitvaskingsloven. Lovkommentar. Universitetsforlaget. Dermed skal tiltakene som iverksettes for å bekjempe hvitvasking, stå i forhold til den identifiserte risikoen, virksomhetens størrelse og dens ressurser, herunder art og omfang.
I veiledningen til hvitvaskingsloven er det tydeliggjort at den virksomhetsinnrettede risikovurderingen som det er krav til etter lovens § 7, vil ha varierende omfang alt etter revisjonsforetakets størrelse, risikoeksponering og kompleksitet.*https://www.finanstilsynet.no/4a5a3c/contentassets/ecc500e44fc7412f9c93bef8da84c9a3/rundskriv-14_2019.pdf Her er det sentralt at foretakets eget risikobilde skal kartlegges grundig i henhold til det proporsjonale aspektet.
Kravene til rutiner følger av hvitvaskingsloven § 8 og skal sees i sammenheng med flere tilhørende bestemmelser. Foretakenes rutiner skal tydelig bygge på deres virksomhetsinnrettede risikovurdering. Dette inngår som det neste punktet i den risikobaserte tilnærmingen. Rutinene skal være utformet til å håndtere risikoen på en forsvarlig måte, og de skal være spesielt tilpasset for det enkelte revisjonsselskap, noe som grunner i risiko- og proporsjonalitetsprinsippet.*Rui, J. P., Ringen, G. H. & Rørholt, K. F. (2021) Hvitvaskingsloven. Lovkommentar. Universitetsforlaget.
I likhet med den virksomhetsinnrettede risikovurderingen og rutinene skal kundetiltakene (§ 9) også gjennomføres i samsvar med risikoprinsippet, hvor hovedmålet er å redusere hvitvaskingsrisikoen med tilfredsstillende tiltak.*Rui, J. P., Ringen, G. H. & Rørholt, K. F. (2021) Hvitvaskingsloven. Lovkommentar. Universitetsforlaget. Tiltakene gjennomføres med bakgrunn i revisjonsselskapets virksomhetsinnrettede risikovurdering, rutiner, inkludert risikoklassifiseringen av hver enkelt kunde.*Rui, J. P., Ringen, G. H. & Rørholt, K. F. (2021) Hvitvaskingsloven. Lovkommentar. Universitetsforlaget.
Tilsynsrapporter og metode
For å strukturere og systematisere innholdet i tilsynsrapportene ble det i masteroppgaven benyttet en dokumentanalyse med tematisk tilnærming. Utvalget bestod av 20 tilsynsrapporter, som omfatter 17 selskaper, hvor tre av disse selskapene hadde hatt tilsyn i to ulike perioder. Alle tilsynene er gjennomført i perioden juni 2020 til november 2023.
SELSKAPSNAVN |
TILSYNSPERIODE |
|---|---|
Ernst & Young AS |
23. okt. – 3. nov. 2023 |
Plus Revisjon AS |
14. sep. – 22. sep. 2023 |
RSM Norge AS |
13. nov. – 28. nov. 2023 |
KWC Revisjon AS |
Ikke spesifisert 2023 |
Revisor 1 |
28. aug. – 29. aug. 2023 |
BDO AS |
14. nov. – 25. nov. 2022 |
Pricewaterhouse Coopers AS |
17. okt. – 4. nov. 2022 |
Revisorsenteret Mandal AS |
14. jun. – 15. jun. 2022 |
Revisorkonsult AS |
4. apr. – 8. apr. 2022 |
KPMG AS |
22. nov. – 13. des. 2021 |
Deloitte AS |
25. okt. – 12. nov. 2021 |
S5-Revisjon AS |
25. okt. – 27. okt. 2021 |
Helgeland Revisjon AS |
Januar/februar 2021 |
Plus Revisjon AS |
7. sep. – 11. sep. 2020 |
Ernst & Young AS |
4. okt. – 23. okt. 2020 |
RSM Norge AS |
9. nov. – 20. nov. 2020 |
PKF Revisjon AS |
2. sep. – 8. sep. 2020 |
Valdresrevisorene AS |
15. sep. – 18. sep. 2020 |
Revisor 2 |
2. mar. – 6. mar. 2020 |
Son Revisjon AS |
3. jun. – 5. jun. 2020 |
Ved å sortere ut all informasjon som omhandlet manglende etterlevelse av hvitvaskingsregelverket, var det mulig å få en oversikt over de områdene som revisjonsforetakene hadde utfordringer med. Ved å kategorisere lovbruddene ble det laget en oversikt over hvilke utfordringer som utmerket seg, systematisert etter lovens struktur slik figur 1 illustrerer.
Figur 1: Kategorisering av funn i henhold til lovens struktur.
SELSKAPSNAVN |
LOVBRUDD (hvvl.) |
OVERTREDELSESGEBYR /KONSEKVENS |
|---|---|---|
Ernst & Young AS |
§§ 7, 8, 9 (1), 11 (1), 13 (1) 3. pkt., 14 (1), 17 (2), 18, 24, 35, 36 |
3 000 000 |
Plus Revisjon AS |
§§ 7 (1 & 4), 8 (1), 9 (1 & 3), 13 (1 & 4) & 14 (1) |
200 000 |
RSM Norge AS |
§§ 7, 8, 9, 13 & 14 |
750 000 |
KWC Revisjon AS |
§§ 7, 8, 9, 10-20 & 35 (1) |
Sletting av selskapets godkjenning som revisjonsselskap |
Revisor 1 |
§§ 2 (1), 7, 8, 9, 12, 13 (1-3) & 14 |
Tilbakekalling av godkjenning |
BDO AS |
§§ 8 (1), 13 (1, 3 & 5) |
Kritikkverdig, men ingen gebyr |
Pricewaterhouse Coopers AS |
§§ 8 (1), 13 (1, 3 & 5) & §17 (2) |
Merknader tatt til etterretning |
Revisorsenteret Mandal AS |
§§ 7, 8, 9 & 36 |
50 000 |
Revisorkonsult AS |
§§ (Svakhet, ikke brudd, 8), 11, 24 |
Merknader tatt til etterretning |
KPMG AS |
§§ (Svakhet, ikke brudd 8, 9, 35 & 36) |
Merknader tatt til etterretning |
Deloitte AS |
§§ 8, 9, 13 (1) 3. pkt. & (5), 14 (1) & 36 |
Merknader tatt til etterretning |
S5-Revisjon AS |
§§ 7, 8, 35 & 36 |
60 000 |
Helgeland Revisjon AS |
§§ 30 |
Merknader tatt til etterretning |
Plus Revisjon AS |
§§ 7, 8, 9, 10, 11, 12, 13, 14, 24, 30, 35 & 36 |
150 000 |
Ernst & Young AS |
§§ 8, 9, 13 (1) 3.pkt. (3 & 4), 30 (3), 35, 36 |
Merknader tatt til etterretning |
RSM Norge AS |
§§ 8, 11 |
Merknader tatt til etterretning |
PKF Revisjon AS |
§§ 7, 8, 9, 13, 14, 18, 24, 25, 30 & 35 |
200 000 |
Valdresrevisorene AS |
§§ 7 (2) bokstav c & d, 8, 13 (2 & 4) |
Merknader tatt til etterretning |
Revisor 2 |
§§ 7, 8 |
Tilbakekall av godkjenning |
Son Revisjon AS |
(Svakhet, ikke brudd § 7) |
Tilbakekall av godkjenning (revisjonsrelatert) |
Funn
Studien viser at revisjonsselskaper ofte utarbeider for generelle risikovurderinger, har rutiner som ikke gir tilstrekkelig opplæring og internkontroll, og gjennomfører kundetiltak som i liten grad tilpasses faktisk risiko.
Virksomhetsinnrettet risikovurdering
Over halvparten av foretakene hadde brudd på § 7, virksomhetsinnrettet risikovurdering. Særlig gjelder dette kravet om å tilpasse vurderingen til virksomhetens art og omfang. Utfordringen dreier seg i hovedsak om at foretakene ikke har vært tilstrekkelig grundige i gjennomføringen av risikovurderingen og manglende tilpasning til egen virksomhet.
Nærmere bestemt sliter foretakene med tilpasning til egen størrelse og kompleksitet. Tre selskaper utmerker seg her med å bare ha kopiert mal og veiledning uten noe tilpasning. Dette viser liten vilje til å etterkomme regelverket og burde vekke oppmerksomhet.
I de andre tilsynsrapportene med lovbrudd på § 7 var vurderingene for generelle/overordnede og dermed ikke spesifikke nok. Her framkommer det mangelfull identifisering av sårbarheter og trusler, der foretakene ikke i tilstrekkelig grad innretter seg etter proporsjonalitetsprinsippet, og har utfordringer med å etterleve kravet om risikobasert tilnærming etter risikoprinsippet. Det er med andre ord funn som tilsier at revisjonsforetakene sliter med å forankre risikovurderingen i foretakets unike risikoprofil.
Rutiner
Totalt påpekes det brudd på hvitvaskingsloven § 8 i 16 av 20 tilsynsrapporter. De mest oppsiktsvekkende funnene fra dokumentanalysen var fem tilsynsrapporter hvor rutineverkene enten ikke eksisterte eller var direkte kopier av Revisorforeningens mal for rutine.
I tilfeller som for Revisor 2 hvor kopien av malen kun var påført foretakets navn og dato, mister rutinene all kontekstuell relevans. Rutinene vil ikke være i stand til å veilede de ansatte ved identifisering av reelle trusler og risikoer, eller til å iverksette nødvendige tiltak.
Resterende tilsynsrapporter viser at selskapenes rutiner er så overordnede at de ikke er tilstrekkelig innrettet mot virksomhetens art og omfang. Det er særlig utfordringen med tilpasning av rutiner for organisering, herunder opplæring og internkontroll som utmerker seg.
I enkelte rapporter kom det frem at opplæring ikke var gjennomført, og heller ikke tilpasset de ulike ansattgruppene. Internkontrollens innhold var mangelfullt, og foretakene hadde manglende skriftlige rutiner for gjennomføring. Risikoklassifiseringen var gjennomgående for overordnet og manglet presis veiledning for vurdering av eier- og kontrollstrukturer, identitetsbekreftelser av politisk eksponerte personer og reelle rettighetshavere. Dette var også tilfelle ved bransjevurderinger og kundeforholdets art og omfang.
En annen interessant observasjon var dog at det i flere av tilsynsrapportene var tilfeller der selskapene ikke fulgte rutiner som i utgangspunktet var godt nok beskrevet. Det kan argumenteres for at dette viser en mangel på respekt for egne rutiner, der intern praksis har gått foran eget rutineverk.
Kundetiltak
Etterlevelsesutfordringer i tilknytning til kundetiltak kommer til uttrykk gjennom brudd på § 9 i 10 av 20 tilsynsrapporter. På et overordnet nivå ser vi at kundetiltakene ikke er treffende, dokumentert eller begrunnet godt nok. Det er tydelig at risikovurderingen og påfølgende klassifisering av kundene har påvirkning på de svakhetene vi finner ved kundetiltakene.
I de tilfellene der risikoen ikke blir konkretisert tilstrekkelig som en følge av at risikomomentene ikke blir undersøkt godt nok, fremkommer det et feilaktig risikobilde. Ofte blir videre konsekvens at risikoen klassifiseres til lavere enn det den burde vært for flere av foretakenes kunder. Dette får igjen konsekvenser for kundetiltakene, som da ikke blir tilstrekkelig tilpasset den reelle, aktuelle risikoen.
Flere av rapportene viser at selskapene har benyttet ordinære kundetiltak, når det etter Finanstilsynets mening burde vært benyttet forsterkede kundetiltak. Det er spesielt manglende bruk av forsterkede kundetiltak som er en gjentakende forekomst blant revisjonsselskapene. I tillegg er det en fremtredende utfordring at selskapene nedjusterer risikoen for kunder i høyrisikobransjer, uten at dette begrunnes tilstrekkelig.
Konsekvenser
Etter gjennomgang av tilsynsrapportene erfares det at følgefeil kan være en del av utfordringen. Konsekvensen av feil, eller for overordnet virksomhetsinnrettet risikovurdering, kan få forplantningseffekt til både utformingen og gjennomføringen av rutineverk og kundetiltak.
Dette betyr ikke nødvendigvis at en feil i ett ledd alltid kommer som en konsekvens av en feil et annet ledd, men forplantningsfeilene kan anses som et vesentlig problem etter gjennomgang av tilsynsrapportene.
I de tilfellene der det ble avdekket mangler i den virksomhetsinnrettede risikovurderingen, ble det også kommentert mangler i rutiner for risikovurdering av kunder. Manglende etterlevelse av rutinekravene fikk dermed konsekvenser for gjennomføring av risikovurderingen av kundene. Dette fikk videre konsekvenser for den tilhørende risikoklassifiseringen.
En for lav risikoklassifisering førte til risikoreduserende kundetiltak som var for milde. I stor grad omhandlet dette at foretakene ikke brukte forsterkede kundetiltak i tilfeller der dette skulle vært gjort.
Læringspunkter
Det kan argumenteres for at det ikke kommer tydelig nok frem av verken regelverket eller veiledningsdokumentene hva som er en god nok risikovurdering i henhold til en proporsjonal anvendelse. For den virksomhetsinnrettede risikovurderingen ser vi for oss at maler og veiledninger kan videreutvikles til å bli mer illustrative, da disse i begrenset grad bidrar til etterlevelse per nå. Det begrunnes med tilfellene av kopiering av maler og graden av overordnede risikovurderinger. Dette er ikke en enkel oppgave ettersom hvert enkelt revisjonsforetak har sin egen art og eget omfang.
Det å lage en prosessbeskrivelse der det i tillegg settes opp eksempler på hvordan en virksomhetsinnrettet risikovurdering kan se ut basert på ulike typer revisjonsforetak, kan være en måte å veilede revisjonsforetakene på. Dette vil i så fall være viktig for å illustrere hvordan man skal forholde seg til proporsjonalitets- og risikoprinsippet, og det kan bidra til en grundigere vurdering. Likevel er faren at disse prosessbeskrivelsene også bare blir kopiert og misbrukt.
For rutiner ser vi at opplæring er en av de store utfordringene. Samtidig er dette et punkt som Finanstilsynet ser ekstra nøye på når de gjennomfører tilsynene sine. Lav undersøkelses- og rapporteringsgrad blant revisjonsselskaper kan tyde på en for svak opplæring. Det kan være påvirket av opplæringsrutiner som ikke har vært gode nok. Opplæring og løpende oppdatering av opplæring er nødvendig for å kunne forebygge og avdekke hvitvasking. Ettersom undersøkelses- og rapporteringsgraden for revisjonsbransjen er lav og funnene fra denne masteroppgaven indikerer svak opplæring av ansatte, er dette noe bransjen bør fokusere mer på.
At det av fem tilsynsrapporter framgår at det var helt mangel på rutiner, er urovekkende, spesielt med tanke på opplæring. Både i de tilfellene der det ikke eksisterte rutiner og der det var mangelfulle rutiner, kan det anbefales på et generelt grunnlag at fokuset må dreies mer mot virksomhetsspesifikke rutiner.
For kundetiltak kan det være sentralt for revisjonsforetakene først og fremst å ta tak i de områdene hvor det er størst sannsynlighet for at Finanstilsynet vil kontrollere. For eksempel vil det være nødvendig med ekstra fokus på risikovurdering og klassifisering for kunder i høyrisikobransjer, i tillegg til påfølgende tilstrekkelige kundetiltak som er tilpasset den aktuelle risikoen.
Konklusjon
Ut fra funnene i masteroppgaven kan man stille seg spørrende til om revisjonsforetakene ser på anti-hvitvaskingsarbeidet som en formalitet, snarere enn noe som må gjøres grundig og kontinuerlig for å forebygge og avdekke hvitvasking.
Etterlevelsesutfordringene knytter seg ikke bare til enkeltstående svakheter på et bestemt område. De må ses i sammenheng med ukritisk bruk av maler og veiledninger, manglende konkret opplæring, upresise og manglende interne kontrollmekanismer og risikovurderinger som ikke tar innover seg de aktuelle vurderingskriteriene for å kunne iverksette passende kundetiltak.
Revisjonsforetakene må i større grad ha fokus på en samlet, robust og helhetlig risikobasert tilnærming der proporsjonalitetsprinsippet samtidig blir ivaretatt. For å opprettholde integriteten i det finansielle systemet er det essensielt at revisorer og revisjonsforetak ikke bare overholder lovgivningen, men også har en proaktiv holdning til å identifisere og håndtere risiko relatert til hvitvasking.
.jpg)