Forsikringsselskapenes etterlevelse av hvitvaskingsregelverket

Selskapene som var med i undersøkelsen, har fått en individuell tilbakemelding fra Finanstilsynet.

Kartlegging viser at forsikringsselskapene bl.a. ikke overholder kravene til rutiner i hvitvaskingsregelverket.

Oppsummering av kartleggingen

Kartleggingen viste at få selskaper hadde utarbeidet en vurdering av risikoen for hvitvasking og terrorfinansiering og rutinene for å etterleve hvitvaskingsregelverket var i mange tilfeller enten mangelfulle eller fraværende. De fleste selskaper hadde rutiner for kundekontroll, men mange manglet konkrete rutiner for løpende oppfølging, herunder indikatorer på mistenkelige transaksjoner.

En del av selskapene i kartleggingen hadde utkontraktert virksomhet, men hadde mangelfulle rutiner for styring og kontroll med oppdragstakers etterlevelse av hvitvaskingsregelverket.

Det var i mange tilfeller uklart om styret hadde fastsatt hvitvaskingsrutinene da dette ikke fremgikk av rutinedokumentet. Hos flere av selskapene var det uklart hvor i organisasjonen hvitvaskingsansvarlig var plassert. Det gikk ikke klart frem om vedkommende var en del av ledelsen.

Noen av selskapene i kartleggingen mente seg unntatt fra plikten til kundekontroll da de kun tilbød skadeforsikring. Som det fremgår i den generelle delen nedenfor er det i skadeforsikring ikke et absolutt unntak fra plikten til kundekontroll etter lovens § 6.

Generelt om hvitvaskingsregelverket:

Hvitvaskingsloven § 23 er utgangspunktet for selskapets plikter etter hvitvaskingsregelverket:

§ 23. Kontroll- og kommunikasjonsrutiner
Rapporteringspliktige skal ha forsvarlige interne kontroll- og kommunikasjonsrutiner som sikrer oppfyllelse av plikter etter denne lov.

Rutinene skal være fastsatt på øverste nivå hos den rapporteringspliktige. Det skal utpekes en person i ledelsen som skal ha et særskilt ansvar for å følge opp rutinene.

Rapporteringspliktige skal treffe nødvendige tiltak for å sikre at ansatte og andre personer som utfører oppgaver på vegne av den rapporteringspliktige
1. er kjent med de plikter som påligger den rapporteringspliktige etter denne lov,
2. lærer å kjenne igjen transaksjoner som nevnt i § 17, og
3. er kjent med den rapporteringspliktiges interne rutiner for håndtering av slike transaksjoner.

Etter første ledd skal forsikringsselskapene ha forsvarlige kontroll- og kommunikasjonsrutiner. I lovens § 5 første ledd er dette uttrykt ved en risikobasert tilnærming der kundekontroll og løpende oppfølging skal foretas på grunnlag av en vurdering av risikoen for hvitvasking. Selskapene må derfor ha utarbeidet en vurdering av risikoen for hvitvasking og terrorfinansiering. Finanstilsynet forventer å få fremlagt denne vurderingen på forespørsel, for eksempel ved et stedlig tilsyn. Etter § 5 annet ledd skal selskapene kunne påvise at omfanget av utførte tiltak er tilpasset den aktuelle risiko. I Finanstilsynets rundskriv 8/2009, s. 5, kommet dette til uttrykk slik:

Den risikobaserte tilnærmingen innebærer et spillerom med hensyn til omfanget og intensiteten av konkret gjennomføring av tiltakene mot hvitvasking og terrorfinansiering. Det er her meget viktig at den enkelte rapporteringspliktige overfor tilsynsmyndighet kan påvise at den operasjonelle risikoen, som hvitvasking og terrorfinansiering innebærer, er konkret vurdert og tilstrekkelig tatt hensyn til ved omfanget og intensiteten av kundekontrolltiltakene, jf. hvitvaskingsloven § 5 annet ledd.

Etter lovens § 23 annet ledd første punktum skal rutinene være fastsatt på øverste nivå i selskapet. Rutinene skal kunne påvises overfor tilsynsmyndigheten. Finanstilsynet legger til grunn at rutinene i praksis bør være skriftlig og at de skal være fastsatt av styret. Finanstilsynet anbefaler videre at det fremgår av selve dokumentet at det er fastsatt av styret.

Etter annet ledd annet punktum er det krav om at det skal utpekes en hvitvaskingsansvarlig. Denne personen skal være en del av ledelsen i selskapet. I Finanstilsynets rundskriv 8/2009 er det lagt til grunn at den hvitvaskingsansvarlige må befinne seg på et nivå i organisasjonen med tilstrekkelige fullmakter for utøvelse av de lovpålagte oppgaver og som gir vedkommende nødvendig gjennomslagskraft overfor selskapets ansatte og toppledelse.

I § 23 tredje ledd er det beskrevet nærmere hva som kreves av forsikringsselskapet i gjennomføringen av regelverket. Etter nr. 1 skal selskapet sørge for at ansatte (og evt. andre personer) er kjent med de pliktene som påligger selskapet etter hvitvaskingsloven. I rutinene forventer Finanstilsynet å finne beskrevet hvordan de ansatte skal gjøres kjent med, og opprettholde kunnskapen om, regelverket. Dette kan f.eks. være ved et opplæringsprogram. Videre at det fremgår i rutinen/arbeidsbeskrivelsen til de ansatte konkret hva de skal gjøre i det daglige arbeidet. Det betyr at det i rutinen for kundekontroll ikke bare skal sies at det skal foretas kundekontroll, men at det redegjøres for hvordan denne kundekontrollen praktisk skal gjennomføres, og evt. i hvilke tilfeller kundekontrollen ikke er pålagt å gjennomføres.

Etter tredje ledd nr. 2 skal selskapet treffe nødvendige tiltak for at den ansatte skal kunne kjenne igjen mistenkelige transaksjoner som nevnt i § 17. Det er ikke nok at det kun fremgår av rutinene at den ansatte skal rapportere til hvitvaskingsansvarlig hvis det forekommer en mistenkelig transaksjon.  Her bør det også fremgå av rutinene/arbeidsbeskrivelsen hva som kan være indikatorer på mistenkelige transaksjoner i den konkrete arbeidssituasjonen/virksomheten (faresignaler). Videre må det fremgå av rutinene hvordan den ansatte konkret skal gå frem ved den videre håndteringen hvis man oppdager slike transaksjoner, jf. nr. 3.

Finanstilsynet vil presisere at det ikke er et absolutt unntak fra plikten til kundekontroll etter lovens § 6 for skadeforsikringsselskaper. Etter hvitvaskingsforskriftens § 10 annet ledd gjelder ikke § 6 første ledd nr. 1, 2 og 4 ved tegning av skadeforsikringspoliser, men plikten gjelder i tilfeller som fremgår av nr. 3 (ved mistenkelige transaksjoner). Unntakene i forskriftens § 10 gjelder kun kundekontroll slik at f.eks. løpende oppfølging etter lovens § 14 ikke er unntatt. Finanstilsynet legger til grunn at hvis risikoanalysen som skal foretas etter § 5, viser en forhøyet risiko for hvitvasking, kan det medføre at unntaket for kundekontroll allikevel ikke bør gjelde.

Hvis det ikke er foretatt noen form for kontroll av kunden ved starten av kundeforholdet, vil det være vanskelig å foreta en løpende oppfølging. Finanstilsynet legger derfor til grunn at det må gjennomføres en viss grad av kontroll ved etableringen av et kundeforhold, selv om forsikringen som tegnes medfører at det isolert sett foreligger et unntak fra plikten til kundekontroll. Det vises i den forbindelse til rundskrivets punkt 2.10.

Utkontraktering av virksomhet medfører ikke unntak fra forsikringsselskapenes ansvar for at virksomheten gjennomføres i samsvar med hvitvaskingsregelverket. Generelt fremgår selskapets ansvar av lovens § 23 tredje ledd hvor det er presisert at selskapets ansvar også gjelder "andre personer som utfører oppgaver på vegne av den rapporteringspliktige". For kundekontroll utført av tredjeparter fremgår ansvaret av lovens § 11 annet ledd og for utkontraktering av kundekontroll av lovens § 12 annet ledd. Finanstilsynet forventer at det i selskapenes hvitvaskingsrutiner er truffet nødvendige tiltak for å sikre at oppdragstakere er kjent med pliktene etter hvitvaskingsregelverket og hvordan selskapet skal kontrollere at regelverket etterleves.

Hvitvasking.no er etablert og drives i fellesskap av Finanstilsynet og ØKOKRIM. Nettsiden er ment som en nasjonal ressurs for rapporteringspliktige i henhold til hvitvaskingsloven og andre interesserte i arbeidet mot hvitvasking og terrorfinansiering.