De første månedene av 2023 har Finanstilsynet publisert en rekke tilsynsrapporter knyttet til hvitvasking og terrorfinanseing. Felles for tilsynene var nærmere undersøkelser av foretakenes virksomhetsinnrettede risikovurdering (jf. hvitvaskingsloven § 7), foretakenes rutiner (§ 8), og foretakenes plan for opplæring (§ 36).
Mangelfull risikovurdering
Gjeldende hvitvaskingslov kom i 2018. Tilsynet har også publisert to separate veiledere der de har skrevet mye om kundetiltak, samt virksomhetsrettede risikovurdering, rutiner og plan for opplæring.
For å kunne etterkomme lovens krav om en risikobasert tilnærming i arbeidet er det en forutsetning at foretaket har laget en systematisk virksomhetsinnrettet risikovurdering. Denne skal se kritisk både på foretaket i seg selv, dets størrelse og type virksomhet, men også foretakets kunder, inkludert blant annet hvor kundene er geografisk tilhørende og hvilke av foretakets produkter/tjenester de benytter. Dette skaper så utgangspunkt for rutinene og hvilke opplæringstiltak som igangsettes.
I Finanstilsynets publikasjoner kan man imidlertid lese kommentarer som «manglende etterlevelse av krav til relevant risikovurdering», «beskrivelse, ikke en vurdering», «svært kortfattet», «foretaket kunne ikke dokumentere en risikobasert tilnærming», «på tilsynstidspunktet ikke hadde en tilfredsstillende risikovurdering».
Forventningene til en risikovurdering
Historisk har man fokusert på at risikovurderingen skal inneholde følgende tre elementer:
- iboende risiko
- risikoreduserende tiltak
- restrisiko
Veiledningen til hva en risikovurdering skal inneholde er klart mest fyldig i behandlingen av iboende risiko. Det ligger eksplisitte krav om hva som skal behandles, men kort fortalt er dette steget hovedsakelig en kombinasjon av eksterne kilder og en beskrivelse av foretaket og dets kunder. Når det eksempelvis tas opp i Økokrims Nasjonale Risikovurdering fra 2022 at det jevnt stigende prisnivået og praksis rundt eierforhold innen eiendomssektoren er en indikasjon på at det «kan finnes aktører som har interesse av å skjule og hvitvaske ulovlig opptjente verdier blant eierne (…)», da bør dette også nevnes hos rapporteringspliktige som har eiendomsforetak som sine kunder. Det forventes samtidig at de ulike risikoelementene vurderes over to akser. Disse er sannsynlighet for at en trussel vil inntreffe, og konsekvensen dersom trusselen faktisk inntreffer.
«Risikoreduserende tiltak» er et paraplybegrep. Herunder ligger organisering (eksempelvis om et verdipapirforetak har tilfredsstillende skille mellom meglere og de som gjennomfører oppgjør), opplæring, transaksjonsmonitorering, scenarier for overvåking av kundeporteføljen, og manuelle kontroller.
Når man så til sist vurderer iboende risiko minus effekten av de ulike tiltakene, sitter man igjen med en restrisiko. Forventningen er at denne skal være på et akseptabelt nivå i forhold til ledelsens uttalte risikoappetitt, og om den ikke er det må det legges en konkret plan for hvordan risikoen kan håndteres.
En bedre risikovurdering
På et grunnleggende nivå virker det som det største forbedringspunktet er å gjøre risikovurderingen mer konkret og spisset til det enkelte foretaket. Dette er kanskje også det vanskeligste punktet, da man må gå fra det å simpelt hen beskrive til å vurdere.
Her er noen punkter som kan bidra til et bedre sluttresultat:
- Få oppdateringen inn i bedriftens årshjul.
Selv om det ikke er lovbestemte krav til hvor ofte risikovurderingen skal oppdateres (unntatt dersom det kommer inn nye produkter eller tjenester), er det en forventning om «jevnlig» oppdatering. I bransjen har dette stort sett blitt tolket til å bety «minst årlig».
- Bruk tid på forberedelsene.
Involver de ulike seksjoner eller forretningsområder for å sikre forståelse. Gjennomgå hvilke produkter og tjenester seksjonen leverer, og hvordan disse kan brukes i hvitvaskingssammenheng.
- Innhent data om kundeporteføljen.
Både ulike kundetyper, hvor lenge de har vært kunder av foretaket, hvilke kanaler og kontaktflater de gjør forretningene sine i, og hvilke produkter eller tjenester de benytter seg av.
- Bruk dataen!
Vurder om det er hensiktsmessig å gjøre en vekting av den iboende risikoen for å si noe om viktigheten av en risikodriver. Om man eksempelvis har ett produkt som anses som høyrisiko, men kun 10 av 10.000 kunder benytter seg av det, kan det være man heller skal fokusere på tjenesten med litt lavere risiko, men som halvparten av kundemassen bruker.
- Knytt kontroll til risikodriverne.
Kapittelet om risikoreduserende tiltak har lett for å bli en oppramsing av hvilke kontroller et foretak har på et overordnet nivå. Knytt hver enkelt kontroll til en av de identifiserte risikodriverne, og synliggjør der manuelle kontroller er lagt på for å kompensere for en manglende elektronisk.
- Gjennomgå kontrollene.
Vet man egentlig om kontrollen eller scenarioet treffer slik den er ment? En ting er å sjekke av at man har en kontroll på plass, det er noe helt annet å systematisk gjennomgå kontrollene for å se om de treffer slik tenkt.
- Konkretiser hva restrisiko egentlig betyr for det enkelte foretaket.
Å si at restrisiko er «lav» eller «middels» gir svært lite uten kontekst.
- Planlegg implementering.
Sett opp konkrete planer for implementering av forbedringspunkter mot slutten av dokumentet, som for eksempel at det skal legges på en ny kontroll på et høyrisikoprodukt. Alle tiltak må ha en ansvarlig person og en frist. Skriv også kort om hvordan dette forventes å påvirke risikoen.
Når den nye risikovurderingen er godkjent i styret må kunnskapen spres i organisasjonen, via oppdatering av rutinene og i opplæringen.
Relevante tjenester
Gransking, compliance og økonomisk kriminalitet
Få relevant innsikt i nyheter, trender og beste praksis innen gransking, compliance og bekjempelse av økonomisk kriminalitet.
