Veiledning om regnskapsføreres og regnskapsførerselskapers etterlevelse av hvitvaskingsregelverket
Rundskriv/veiledninger
Publisert: 23. desember 2019
Sist endret: 6. september 2022
Dokumentnummer: 15/2019
Utskriftsversjon
Rundskrivet gjelder for:
- Regnskapsførere
- Regnskapsførerselskaper
1 Innledning
1.1 Generelt
Tjenester som tilbys av regnskapsførere er egnet til å forebygge og avdekke all befatning utbytte fra straffbare handlinger (hvitvasking) og finansiering av terrorhandlinger, terrororganisasjoner eller individuelle terrorister (terrorfinansiering). Regnskapsførerselskaper og regnskapsførere som driver regnskapsførervirksomhet i enkeltpersonforetak (begge omtalt som regnskapsførerforetak), har derfor en viktig rolle i å beskytte det finansielle og økonomiske systemet og samfunnet som helhet.
Dette rundskrivet er ment som en veiledning til å forstå hvilke plikter et regnskapsførerforetak og de som utfører arbeid for regnskapsførerforetak har etter hvitvaskingsloven. Rundskrivet inneholder også en nærmere omtale av hva som følger av god regnskapsføringsskikk etter regnskapsførerloven § 2 annet ledd når kunden er rapporteringspliktig. Rundskrivet erstatter rundskriv 4/2017.
Veiledningen gir ikke en fullstendig oversikt over alle pliktene etter hvitvaskingsloven. Når det gjelder en nærmere tolkning av hvordan enkelte bestemmelser er å forstå, vises det til Finanstilsynets generelle veiledning til hvitvaskingsloven – rundskriv 8/2019.1)
Pliktene etter hvitvaskingsloven gjelder også for eksisterende kundeforhold som ble inngått før lovens ikrafttredelse.
1.2 Anvendelsesområdet
Hvitvaskingsloven gjelder for regnskapsførerselskaper og regnskapsførere i utøvelsen av deres yrke. Dette innebærer at alle regnskapsførerforetak er omfattet av loven. Regnskapsførere som er ansatt i annen virksomhet, er ikke omfattet av loven.
Flere av pliktene etter hvitvaskingsloven gjelder for regnskapsførerforetaket (på "foretaksnivå"). Det vises særlig til kravet om virksomhetsinnrettet risikovurdering, etablering av interne rutiner, utpeking av hvitvaskingsansvarlig og opplæring. Andre plikter må oppfylles av den som er ansvarlig for oppdraget på vegne av foretaket (på "oppdragsnivå"). Dette gjelder for eksempel gjennomføring av risikoklassifisering av den aktuelle kunden og gjennomføring av innledende kundetiltak og løpende oppfølging. Det vil også være den som er ansvarlig for oppdraget og medarbeiderne som må undersøke nærmere forhold som kan indikere at kunden er involvert i hvitvasking eller terrorfinansiering. Det er regnskapsførerforetak som skal rapportere til Økokrim.
Finanstilsynet legger til grunn at alle tjenester der en autorisert regnskapsfører er ansvarlig for utføringen av oppdraget på vegne av regnskapsførerforetaket, vil være omfattet av hvitvaskingsloven. Også tjenester som andre enn autoriserte regnskapsførere utfører på vegne av regnskapsførerforetaket, vil være omfattet av hvitvaskingsloven selv om tjenesten i seg selv ikke er autorisasjonspliktig etter regnskapsførerloven.
Eksempler på slike tjenester er:
- a-meldinger
- skattemelding for privatpersoner
- utarbeidelse av oppgave for kompensasjon av merverdiavgift
- lønnstjenester
- faktureringstjenester
- IT-tjenester
- rådgivning (for eksempel skatte-, selskaps- eller investeringsrådgivning)
- avgiftsrepresentasjon
- utførelse av due diligenceoppdrag i forbindelse med oppkjøp og sammenslåing
Dersom regnskapsførerforetaket tilbyr virksomhetstjenester, er tjenestene uansett underlagt hvitvaskingsregelverket på dette grunnlaget. Se nærmere om dette i hvitvaskingsloven §§ 2 bokstav j), 4 annet ledd bokstav b) og § 42 og informasjon på Finanstilsynets nettsted,2) som omhandler virksomhetstjenester.
2 Organisering
2.1 Hvitvaskingsansvarlig
Det skal utpekes en hvitvaskingsansvarlig, jf. hvitvaskingsloven § 8 femte ledd, som skal:
- være en person i ledelsen
- ha tilstrekkelig erfaring, kompetanse og gjennomføringskraft til å fatte avgjørelser tilknyttet foretakets tiltak mot risiko for hvitvasking og terrorfinansiering
- ha et særskilt ansvar for å utarbeide og følge opp hvitvaskingsrutiner, herunder at rutinene etterleves i foretaket
- ha det overordnede ansvaret for at forhold som kan indikere hvitvasking eller terrorfinansiering blir undersøkt og at opplysninger om mistenkelige forhold eventuelt blir oversendt til Økokrim
- være en ressurs- og kontaktperson for foretaket og dets ansatte på hvitvaskingsområdet
At det utpekes en hvitvaskingsansvarlig fritar ikke regnskapsførerforetakets øverste ledelse for ansvaret de har for virksomheten etter alminnelig selskapsrett, herunder ansvaret for etterlevelsen av hvitvaskingsloven.
I mindre regnskapsførerforetak legger Finanstilsynet til grunn at hvitvaskingsansvarlig må være en person i den øverste ledelsen, det vil si daglig leder eller styremedlem. I enkeltpersonforetak vil innehaveren være hvitvaskingsansvarlig. Dersom hvitvaskingsansvarlig ikke inngår i den øverste ledelsen, må foretaket begrunne hvorfor en annen løsning er valgt. Begrunnelsen må være forsvarlig og kunne dokumenteres. Hvitvaskingsansvarlig kan ikke være samme person som en eventuell etterlevelsesansvarlig, se punkt 2.3.
Hvitvaskingsansvarlig kan delegere arbeidsoppgaver til andre i foretaket, men kan ikke delegere ansvaret som den hvitvaskingsansvarlige har etter hvitvaskingsloven.
Dersom en risikovurdering av virksomhetens omfang og art tilsier det, jf. punkt 3.2.2 nedenfor, skal den hvitvaskingsansvarliges skikkethet vurderes, jf. hvitvaskingsloven § 35 annet ledd bokstav b. I disse tilfellene skal som et minimum den hvitvaskingsansvarliges kompetanse, erfaring og personlig skikkethet vurderes. Det er ikke nødvendig å innhente politiattest.
Om hvitvaskingsansvarlig i konsernforhold, se punkt 3.2.2 i Finanstilsynets generelle veiledning til hvitvaskingsloven (rundskriv 8/2019).
2.2 Opplæring
Regnskapsførerforetaket er pålagt å sikre at ansatte og andre som utfører oppdrag for foretaket gis tilstrekkelig opplæring, jf. hvitvaskingsloven § 36. Hva som er tilstrekkelig, vil avhenge av hvilke tjenester som regnskapsførerforetaket tilbyr, størrelsen på foretaket og risikoen for at foretaket kan bli misbrukt som ledd i hvitvasking og terrorfinansiering. Den enkelte ansattes rolle, ansvar og oppgaver vil ha betydning for hvilken opplæring som anses som tilstrekkelig. Opplæringsprogrammet skal til enhver tid være oppdatert.
Opplæringen skal gis slik at de ansatte og andre som utfører oppdrag for foretaket er kjent med foretakets risikoeksponering og forpliktelser etter hvitvaskingsloven, samt at de gjøres i stand til å gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering. Som et minimum må regnskapsførerforetaket gi ansatte opplæring i:
- Hva hvitvasking og terrorfinansiering er
Det er helt grunnleggende at den enkelte ansatte har god kunnskap om hva hvitvasking og terrorfinansiering er. Uten kunnskap om hvitvasking og terrorfinansiering, vil det være vanskelig for den enkelte ansatte å oppdage forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering.
- Kunnskap om eget foretak – herunder mulige sårbarheter ved foretaket
De ansatte må ha god kjennskap til hvorfor regnskapsførerforetaket kan være sårbart for å bli brukt som ledd i hvitvasking eller terrorfinansiering. Eksempler kan være måten foretaket er organisert på, ulike teknologiske systemer som brukes, at enkelte tjenester som leveres er mer utsatt for å bli brukt som ledd i hvitvasking eller terrorfinansiering, samt at foretaket eventuelt har utkontraktert deler av hvitvaskingsarbeidet.
- Kunnskap om type kunder foretaket har – mulige trusler mot foretaket
Den enkelte ansatte må videre kjenne til truslene som kan rette seg mot regnskapsførerforetaket, herunder særlig hvilke typer kunder, inkludert også PEP-er (politisk eksponert person), som regnskapsfører må ha ekstra oppmerksomhet rettet mot. Regnskapsførerforetaket må gi opplæring i indikatorlister og kjennetegn som er relevante for de ansatte. Opplæringen må oppdateres ettersom kriminalitetstrendene endrer seg.
Nasjonalt tverretatlig analyse- og etterretningssenter (NTAES) har utarbeidet en liste over "Indikatorer på mistenkelige transaksjoner for rapporteringspliktige innen regnskap og revisjon". Det kan også tenkes andre relevante indikatorlister. For medlemmer av Regnskap Norge vil denne være tilgjengelig på deres medlemsside.3) Medlemmer av Økonomiforbundet vil ha tilgang til indikatorlisten på forbundets nettsted.4)
- Regnskapsførers plikter etter hvitvaskingsloven
Den enkelte ansatte må kjenne til pliktene etter hvitvaskingsregelverket. Foretakets rutiner vil være veiledende for hvilke temaer som er relevante.
Opplæring skal gis til alle nyansatte og jevnlig til alle ansatte, slik at nødvendig kunnskap vedlikeholdes. Opplæring må ikke nødvendigvis skje årlig, med mindre opplæringsprogrammet er oppdatert. Hvor ofte opplæring skal skje for den enkelte ansatte mv., beror også på dennes ansvar og rolle i regnskapsførerforetaket. For eksempel vil de personene som berøres av endringer i en hvitvaskingsrutine måtte gis ny opplæring.
Også foretakets styre og ledelse må ha opplæring som reflekterer deres rolle og ansvar for foretakets etterlevelse av hvitvaskingsregelverket.
Foretaket skal kunne dokumentere at opplæringsforpliktelsene er oppfylt.
2.3 Intern kontroll og etterlevelsesansvarlig
Regnskapsførerforetaket må gjennom intern kontroll i virksomheten sikre at hvitvaskingsregelverket overholdes, jf. hvitvaskingsloven § 35 annet ledd. En tilsvarende plikt følger av ISQC-1 punkt 48. Se nærmere om kravet til intern kontroll i punkt 3.3.2.
Dersom foretakets art og omfang tilsier det, må det utnevnes en etterlevelsesansvarlig. Dette må avgjøres på grunnlag av en konkret vurdering. Finanstilsynet antar at det bare er i de største regnskapsførerforetakene at det er nødvendig å vurdere behovet for
å utnevne etterlevelsesansvarlig.
3 Risikobasert tilnærming, risikovurdering og rutiner
3.1 Risikobasert tilnærming
Regnskapsførerforetaket skal ha en risikobasert tilnærming i utarbeidelsen av virksomhetsinnrettet risikovurdering, rutiner og i kundetiltakene.
Det er ikke anledning til å fravike regelverket selv om risikoen er vurdert som liten, men lav risiko kan være av betydning for hvilke tiltak som må iverksettes.
3.2 Virksomhetsinnrettet risikovurdering
3.2.1 Innledning
Alle regnskapsførerforetak må gjøre en overordnet risikovurdering, jf. hvitvaskingsloven § 7. Det er regnskapsførerforetakets eget risikobilde som skal kartlegges. Selv om det tas utgangspunkt i maler for risikovurderinger som er utarbeidet av bransjeforeninger og andre, må disse tilpasses det enkelte regnskapsførerforetaket. Risikovurderingen skal dokumenteres.
Den virksomhetsinnrettede risikovurderingen er viktig fordi den danner grunnlaget for hvilke rutiner som etableres i foretaket. Rutinene er igjen viktige for å iverksette tiltak for å imøtegå risikoen og sikre at regnskapsførerforetakets arbeid mot hvitvasking og terrorfinansiering er forsvarlig organisert, og at det er tilstrekkelig oppmerksomhet rettet mot dette arbeidet i utføringen av de enkelte oppdragene. Videre danner den virksomhetsinnrettede risikovurderingen utgangspunktet for risikoklassifiseringen av den enkelte kunde. Dette er nødvendig for å avgjøre om kunden skal underlegges forsterkede kundetiltak, og hvilke risikoreduserende tiltak som skal iverksettes. En grundig virksomhetsinnrettet risikoanalyse er viktig for at foretakets ressurser blir allokert til de områdene hvor hvitvaskings- og terrorfinansieringsrisikoen er høyest.
Den virksomhetsinnrettede risikovurderingen består av å identifisere og forstå trusler mot regnskapsførerforetaket (eksterne forhold) og sårbarheter i foretaket (interne forhold), og betydningen av disse.
Risikovurderingens omfang vil variere ut fra regnskapsførerforetakets størrelse, risikoeksponering og kompleksitet, jf. hvitvaskingsloven § 7 fjerde ledd. For mindre regnskapsførerforetak med et enkelt og oversiktlig tjenestetilbud og kundesegment, kan risikovurderingen være mindre omfattende, men kan aldri unnlates. Større regnskapsførerforetak som tilbyr mange ulike tjenester til ulike kundegrupper, med eksponering mot ulike risikoutsatte bransjer og geografiske områder, vil måtte gjøre mer omfattende risikovurderinger.
De fleste foretak vil ha en kundeportefølje hvor noen kunder utgjør en høyere risiko for at regnskapsførerforetak blir brukt som ledd i hvitvasking eller terrorfinansiering enn andre. Et av formålene med risikovurderingen er å ha god samlet oversikt over risikoen i porteføljen. Dette innebærer at regnskapsførerforetaket må identifisere kunder med høyere risiko for å sikre at disse kan bli underlagt et sterkere kontrollregime. Dette vil sette foretaket bedre i stand til å prioritere kundetiltak, og kan avdekke mulig hvitvasking eller terrorfinansiering. Et utviklingstrekk som påvirker regnskapsføreres mulighet til å avdekke hvitvasking er økt bruk av informasjonsteknologi. Manuell bokføring av bilag overtas av maskinell behandling. Dette innebærer at grunnlaget for regnskapsførers konkrete vurdering av om en transaksjon er mistenkelig kan bli svakere.
Risikovurderingen må oppdateres jevnlig. En fornyet vurdering må gjøres årlig, eventuelt hyppigere ved behov. Behov for å oppdatere risikovurderingen kan oppstå i følgende tilfeller:
- regnskapsførerforetaket lanserer nye tjenester,
- det foreligger ny kunnskap om metoder og trender for hvitvasking og terrorfinansiering som tas i bruk av kriminelle,
- regnskapsførerforetakets opparbeidede kunnskap og erfaringer tilsier behov
for oppdatering, - hvitvaskingsregelverket endres.
Risikovurderingen og endringer i denne må dokumenteres. Den overordnede risikovurderingen skal fastsettes av regnskapsførerforetakets øverste ledelse, som er styret og daglig leder.
3.2.2 Nærmere om innholdet
Regnskapsførerforetaket må ha kunnskap om hva hvitvasking og terrorfinansiering er. Uten kunnskap om hvitvasking og terrorfinansiering vil det ikke være mulig å vurdere risikoen for at eget foretak kan misbrukes av kriminelle til disse formålene.
Som et minimum må alle regnskapsførerforetak ha en risikovurdering som dekker punktene i hvitvaskingsloven § 7 annet ledd, bokstav a) til d).
Interne forhold
Risikovurderingen skal reflektere interne forhold i regnskapsførerforetaket som gjør regnskapsførerforetaket sårbart for å bli utnyttet som ledd i hvitvasking og terrorfinansiering.
Egen virksomhet, herunder virksomhetens art og omfang – bokstav a)
Følgende forhold ved eget foretak kan være en sårbarhet som øker risikoen for å bli
brukt som ledd i hvitvasking eller terrorfinansiering:
- Antall ansatte og kompetansenivå på disse, organisering og omsetning. Nyansatte eller ansatte med lavt kompetansenivå kan være en sårbarhet som krever økt oppfølging og opplæring. Det samme gjelder desto større foretaket er. Eksempelvis kan avdelingskontorer spredt over et større geografisk område medføre sårbarhet for manglende oppfølging, koordinering og opplæring.
- Bruk av teknologi. Teknologi kan være mangelfull, eksempelvis kan elektroniske systemer som inneholder sjekklister for aksept av kundeforhold inneholde mangler
eller feilprogrammeringer. Også ny teknologi som tas i bruk må vurderes opp mot hvitvaskingsregelverket. - Utkontraktering. Utkontraktering medfører sårbarhet fordi kontraktsparten ikke nødvendigvis er kjent med, eller har oppmerksomhet rettet mot, hvitvaskingsregelverket. Det er regnskapsførerforetaket som er ansvarlig for at pliktene etter hvitvaskingsloven overholdes. Regnskapsførerforetaket må derfor vurdere om personene eller selskapene som det har utkontraktert oppgaver til har tilstrekkelig kunnskap og kompetanse til
å oppfylle pliktene i hvitvaskingsregelverket for oppdragene som utkontrakteres. - Nærhet til kunden. Dersom det foreligger en nærhet til eller avhengighet av kunder, kan dette øke sårbarheten for at regnskapsfører ikke gjennomfører alle pliktige kundetiltak. En nærhet som kan gjøre foretaket sårbart, er for eksempel at virksomheten drives på et mindre sted hvor kunden, eller personer som handler på vegne av kunden, er kjente, enten som følge av forretningssamarbeid eller i privat sammenheng. Et begrenset kundeutvalg kan også være en sårbarhet fordi det kan medføre at ikke alle pliktige kundetiltak blir utført av frykt for å miste inntekt.
Foretakets produkter, tjenester og kundeforhold – bokstav b)
Sårbarheten for å bli utnyttet som ledd i hvitvasking og terrorfinansiering vil variere avhengig av hvilke tjenester som leveres. Regnskapsførerforetaket må derfor identifisere og vurdere hvilke forhold ved de enkelte tjenestene som tilbys, som kan gjøre foretaket sårbart for å bli brukt som ledd i hvitvasking og terrorfinansiering.
Regnskapsførerforetaket må ha en oversikt over alle tjenester som det leverer, og en oppfatning av hvilke kunder som omfattes av hvitvaskingsloven, jf. over i punkt 1.2. Foretaket må vurdere hvordan den enkelte tjeneste som leveres kan være sårbar for å bli brukt som ledd i hvitvasking eller terrorfinansiering. For nye tjenester må risikovurderingen gjøres før de lanseres.
Et eksempel som kan utgjøre en sårbarhet som øker risikoen for at regnskapsførerforetaket kan bli brukt som ledd i hvitvasking eller terrorfinansiering gjelder betalingsoppdrag. Der regnskapsfører har fullmakt til å belaste oppdragsgivers konto, kan regnskapsfører faktisk medvirke til hvitvasking eller terrorfinansiering, noe som vil utgjøre en trussel. Slike kundeoppdrag kan kreve forsterkede kundetiltak, jf. hvitvaskingsloven § 17.
Eksterne forhold
Risikovurderingen skal reflektere eksterne forhold som utgjør trusler om at regnskapsførerforetaket kan bli utnyttet som ledd i hvitvasking og terrorfinansiering. Dette gjør at regnskapsførerforetaket må kjenne sine oppdragsgivere.
Type kunder og kundegrupper – bokstav c)
- Fysiske personer
Kategorien omfatter flere grupper, f.eks. norske statsborgere, utenlandske statsborgere, umyndige personer mv. Økt trussel kan foreligge alene eller i kombinasjon med andre faktorer, herunder at personen er politisk eksponert person (PEP), kommer fra, eller er bosatt i utlandet, er kjent kriminell, har forbindelser til skatteparadis, eller bruker fullmektiger.
- Politisk eksponerte personer – PEP
Kunden, den som opptrer på vegne av kunden, eller reell rettighetshaver, er en politisk eksponert person. Kategorien omfatter også nære familiemedlemmer5) og kjente medarbeidere6) til politisk eksponert person. Trusselen knyttes til hvitvasking av utbytte etter korrupsjon.
- Reelle rettighetshavere
Dersom reelle rettighetshavere til kunden viser seg å være etablert i høyrisikoland, fordrer det særlig oppmerksomhet fra regnskapsfører. Det vises til Finanstilsynets oversikt over høyrisikoland.7)
- Personer oppført på sanksjonslister
Kunder, personer som representerer kunder eller reelle rettighetshaver som står på FNs eller EUs lister over personer eller organisasjoner som mistenkes for å medvirke til terrorfinansiering, kan utgjøre en trussel mot regnskapsførerforetaket, se Utenriksdepartementets "frysveileder".8)
- Kriminelle personer knyttet til kunder
Sentrale personer i ledelsen hos kunden eller reelle rettighetshavere har kriminell bakgrunn, er medlem av en gruppering som driver med kriminalitet, eller er nærstående til kriminelle, kan utgjøre en trussel. Trusselen kan f.eks. være knyttet til uklarheter ved midlenes opprinnelse.
- Kunder med tilknytning til terrororganisasjoner
Risikoen for å bli benyttet som ledd i terrorfinansiering skal alltid vurderes, herunder om sentrale personer i ledelsen hos kunden eller reelle rettighetshavere er kjent for å ha tilknytning til miljøer som f.eks. støtter terrororganisasjoner, også der konklusjonen er at risikoen for terrorfinansiering er marginal.
- Organisering av virksomheten
Kunden har en kompleks eierstruktur eller styringsstruktur uten at det har en naturlig forretningsmessig begrunnelse. Det er viktig at regnskapsførerforetaket kartlegger kundens selskapsstruktur, jf. hvitvaskingsloven § 13 første ledd.
- Disponenter
Bankkontoer eller eiendeler disponeres av personer som ikke har noen naturlig rolle i foretaket.
- Næringsdrivende innenfor høyrisikobransjer
Dersom regnskapsførerforetaket har en stor andel av sin oppdragsportefølje innenfor en eller flere bransjer eller kundekategorier, der hvitvasking erfaringsmessig forekommer oftere enn i andre bransjer, bør kravet til aktsomhet skjerpes. Følgende bransjer er eksempler på høyrisikobransjer, se blant annet Nasjonal risikovurdering:9)
- bygg/anlegg,
- renhold,
- restaurant og uteliv,
- utleie av arbeidskraft,
- dagligvare/kiosk uten tilknytning til franchise,
- bilvask/bilpleie/bilverksted,
- transport,
- fiskeri,
- olje/gass,
- spill- og lotteritjenester,
- kryptovalutaer og vekslingstjenester knyttet til virtuelle valutaer,
- andre kontantintensive virksomheter.
Dersom regnskapsførerforetaket har en stor andel av sin oppdragsportefølje innenfor slike høyrisikobransjer, er det særlig viktig med høy aktsomhet. Finanstilsynet forventer at dette også avspeiles i den virksomhetsinnrettede risikovurderingen.
Det er likevel viktig at regnskapsførerforetaket er klar over at kriminelle kan flytte hvitvaskings- og terrorfinansieringsvirksomhet til andre bransjer for å unngå den særlige oppmerksomheten som rapporteringspliktige har mot tradisjonelt utsatte bransjer.
- Foreninger/lag
Regnskapsførerforetaket må være oppmerksom på formålet med foreningen. Særlig gjelder dette for organisasjoner som overfører penger til konfliktområder og andre høyrisikoområder, eller ved mindre organisasjoner som har svake kontrolltiltak.
Geografiske forhold – bokstav d)
Risiko kan være knyttet til kunder, reelle rettighetshavere eller andre som kunden har tilknytning til, eller er eksponert mot land10) som er identifisert med betydelig omfang av korrupsjon og annen kriminalitet, eller som er gjenstand for internasjonale sanksjoner
og/eller restriktive tiltak.
Risikoen for å bli brukt som ledd i hvitvasking eller terrorfinansiering
Risikoen for at regnskapsførerforetaket blir benyttet til hvitvasking eller terrorfinansiering, beror på foretakets samlede vurdering av trusselbildet mot og sårbarheter ved egen virksomhet. Herunder blant annet på foretakets profesjonalitet og kompetanse, utarbeidelser og etterlevelse av gode rutiner og retningslinjer, utførelsen av oppdrag i overensstemmelse med hvitvaskingslovgivning, samt interne kontroller av at hvitvaskingsregelverket etterleves på alle nivåer i foretaket.
3.3 Rutiner
3.3.1 Krav til regnskapsførerforetakets hvitvaskingsrutiner
Regnskapsførerforetaket må håndtere alle risikoene som er identifisert i den virksomhetsinnrettede risikovurderingen på en forsvarlig måte. Det er et lovkrav at det skal fastsettes rutiner som skal redusere risikoene og for øvrig bidra til at pliktene etter hvitvaskingsloven oppfylles i alle deler av foretakets virksomhet. Det må være en tydelig sammenheng mellom foretakets risikovurdering og det som står i rutinene, slik at etterlevelse av rutinene faktisk vil redusere risikoen.
Rutinene skal være tilpasset det konkrete foretakets risikoer, selv om det tas utgangspunkt i standardiserte rutineverk fra for eksempel bransjeorganisasjoner.
For at rutinene skal være egnet til å forebygge og avdekke hvitvasking og terrorfinansiering må de være konkrete, detaljerte og oppdateres når det er nødvendig. Dette innebærer at de må gjennomgås når risikovurderingen endres. Videre må de revideres når det foreligger nye regulatoriske krav, når ny teknologi tas i bruk, eller ved andre endringer i trusselbildet mot foretaket eller sårbarheter ved foretaket. Det er naturlig at behov for justeringer vurderes årlig.
Rutinene skal være tilgjengelige og gjøres kjent for ansatte, innleide konsulenter og andre som bistår på oppdrag som omfattes av loven.
For at etterlevelsen av kravet om etablering av rutiner skal kunne kontrolleres, må det foreligge en beskrivelse som gir et samlet bilde av rutinene som er iverksatt i foretaket. Dersom deler av rutinene legges inn i regnskapsførerverktøy eller lignende, må det fremkomme av rutinebeskrivelsen hvilke vurderinger og handlinger som gjøres gjennom bruk av systemet og hvordan det dokumenteres.
Rutiner skal fastsettes av styret eller tilsvarende organ i et regnskapsførerselskap eller av innehaveren av enkeltpersonforetaket. Dersom foretaket har flere dokumenter som angir hvitvaskingsrutinene, er det tilstrekkelig at de overordnede rutinene fastsettes på øverste nivå. Operative rutiner, som angir i mer detalj hvordan etterlevelsen av regelverket skal gjennomføres, må uansett ha en klar forankring i den overordnede rutinen. Der hvor regnskapsførerforetaket også er knyttet til et globalt nettverk som også har globale hvitvaskingsrutiner, er det viktig med klare henvisninger til de globale og nasjonale rutinene, og at begge er lett tilgjengelige for ansatte og tilsynsmyndigheter.
3.3.2 Rutinenes innhold
Det skal fremgå av rutinene hvordan foretaket og dets ansatte skal gjennomføre tiltakene som er nødvendige for å oppfylle hvitvaskingsregelverket og de identifiserte risikoene i foretaket. Rutinen skal være så detaljert at den enkelte ansatte til enhver tid kan vite hvilke kundetiltak som skal gjennomføres, og hvordan de skal utføres. Dette betyr at foretaket minimum må ha rutiner for hvordan vurdere og håndtere:
- Overordnet organisering
Rutinen må inneholde en oversikt over regnskapsførerforetakets oppfølging av hvitvaskingsloven, herunder utpeke hvitvaskingsansvarlig og fastslå dennes ansvar og oppgaver.
- Kundetiltak
Rutinen må beskrive gjennomføring av forenklede, alminnelige og forsterkede kundetiltak, herunder blant annet identifisering, kontroll og/eller bekreftelse av identitet, fullmakt, reelle rettighetshavere, samt håndtering av politisk eksponerte personer. Rutinen bør gi en forklaring på innholdet i vurderingene som skal gjøres, og gi informasjon om hvordan foreliggende informasjon skal vurderes. Rutinen må også inneholde håndtering for avvikling og avvisning av kundeforhold. Det vises til hvitvaskingsloven §§ 10-14, 16-18 og 21.
- Bruk og håndtering av støtteverktøy
Rutinen må beskrive bruk og håndtering av eventuelle støtteverktøy, herunder risikoscoringsmodeller, PEP-lister og elektronisk overvåkingssystem.
- Risikoklassifisering av kunder
For å gjennomføre de korrekte kundetiltakene på den enkelte kunde, må alle kunder risikoklassifiseres (f.eks. med kategoriene høy, normal, lav). Risikoklassifiseringen må bygge på generelle vurderinger fra foretakets egen risikovurdering og konkrete forhold tilknyttet den enkelte kunde. Risikoklassifiseringen skal dokumenteres for hvert enkelt oppdrag.
Det er anledning til å anvende standardiserte modeller og risikoprofiler for kundemassen, men disse må tilpasses foretakets konkrete risikoer. Utgangspunktet for risikoklassifiseringen må likevel være at kunden er klassifisert som normal risiko. Det må foretas en særskilt vurdering av den enkelte kunden for at denne skal kunne klassifisere som lavrisikokunde.
Rapporteringspliktige må jevnlig gjennomgå og tilpasse risikoklassifiseringssystemet, blant annet i forbindelse med justeringer i risikovurderingen.
Risikoen skal anses som høy i tilfeller der kunden er et foretak som ledes eller eies av en politisk eksponert person, eller nære familiemedlemmer og kjente medarbeidere til en politisk eksponert person. En politisk eksponert person er en person som innehar, eller i løpet av det siste året har innehatt høytstående offentlig verv eller stilling i Norge eller i en annen stat. I disse tilfellene skal det iverksettes forsterkede kundetiltak.
Se nærmere omtale i punkt 3.2.2 om ulike momenter som kan medføre høy risiko.
- Løpende oppfølging
Regnskapsførerforetaket må ha rutine for når og hvordan løpende oppfølging av kunden skal gjennomføres. Hvor ofte slik løpende oppfølging skal utføres, vil avhenge av risikoen knyttet til kunden. Enkelthendelser kan utløse en særskilt plikt til oppfølging uavhengig av den opprinnelige risikoklassifiseringen av kunden. Det forventes at foretaket uansett har rutine for at oppfølging skal skje minst årlig.
- Undersøkelser av mistenkelige forhold. Rapportering til Økokrim
Foretaket må ha rutine for å innhente og kontrollere nødvendig informasjon for å avdekke indikasjoner på mistenkelige forhold. Rutinene må særlig omfatte tiltak knyttet til transaksjoner på klientkonto. Det vises til NTAES' indikatorliste. Bruk av kontanter eller remisser kan være et forhold som utløser undersøkelsesplikt.
Videre må foretakets rutiner angi når nærmere undersøkelser skal iverksettes og hvordan undersøkelsene skal gjennomføres. Tiltakene må gjennomføres på en slik måte at verken kunde eller tredjepersoner gjøres kjent med at det foretas undersøkelser. Rutinene må omfatte rapportering til Økokrim dersom mistanken bekreftes eller ikke kan avkreftes, samt beskrivelser av om og når mistenkelige transaksjoner kan gjennomføres. Foretakets rutiner må dessuten omfatte dokumentasjon av nærmere undersøkelser, og utfallet av disse.
- Kundetiltak utført av tredjeparter
Det må foreligge rutine for håndtering og oppfølging der foretaket bygger på kundetiltak utført av tredjeparter, jf. hvitvaskingsloven § 22.
- Utkontraktering
Det må foreligge rutine for håndtering og oppfølging av utkontrakterte oppgaver, jf. hvitvaskingsloven § 23.
- Behandling og lagring av opplysninger, delingsadgang og avsløringsforbud
Rutinene må omfatte foretakets informasjonshåndtering, herunder delingsadgang og håndtering av avsløringsforbud, samt behandling og lagring av opplysninger.
- Opplæring
Foretakets rutiner må sikre at plikten til opplæring av partnere, medarbeidere og andre som utfører oppdrag for foretaket ivaretas, se punkt 2.2.
- Intern kontroll
Kravet om intern kontroll i hvitvaskingsloven § 35 innebærer at foretakets rutiner må inkludere kontroll av etterlevelsen av hvitvaskingsrutinene. Rutinene for intern kontroll må minimum legge opp til kontroll av at:
- det er foretatt identitetskontroll av kunden eller personer som handler på vegne av kunden,
- det er innhentet og bekreftet opplysninger om reelle rettighetshavere,
- PEP-status er avklart,
- kundeforholdet er risikovurdert (klassifisert) i henhold til risikovurdering og rutiner,
- tilstrekkelig informasjon er innhentet og kontrollert for å avdekke eventuelle mistenkelige forhold,
- nødvendige nærmere undersøkelser er foretatt, og det er vurdert om disse er
- egnet til å bekrefte eller avkrefte mistanken,
- eventuell rapporteringsplikt til Økokrim er overholdt.
Interne kontrolltiltak må være forsvarlige. Hyppigheten og omfanget må bero på en vurdering av blant annet foretakets art og omfang og ansattes kompetanse på hvitvaskingsområdet. Oppdrag hvor risikoen er vurdert å være høy skal alltid inngå i den interne kontrollen.
Der det avdekkes mange, alvorlige eller gjentatte feil, må foretaket iverksette tiltak for å avdekke det totale omfanget av feil. Deretter må det iverksettes tiltak for å forhindre at tilsvarende feil skjer på et senere tidspunkt. Foretaket må følge opp at de iverksatte tiltakene faktisk medfører en reduksjon av feil.
4 Kundetiltak
4.1 Plikt til å gjennomføre kundetiltak
Utgangspunktet er at det skal gjennomføres kundetiltak før etablering av kundeforhold, jf. hvitvaskingsloven § 11, jf. § 10. Regnskapsførerforetaket anses for å ha etablert et kundeforhold når det har inngått skriftlig oppdragsavtale med oppdragsgiver eller oppdrag som forutsetter skriftlig avtale, jf. regnskapsførerloven § 3, jf. hvitvaskingsforskriften § 4-1 (3).
Dersom kundetiltak ikke lar seg gjennomføre, skal kundeforhold ikke etableres, jf. hvitvaskingsloven § 21 første ledd, se punkt 5.
4.2 Kundeforholdets formål og tilsiktede art
For å kunne risikoklassifisere kunden, og for å kunne utføre løpende oppfølging i samsvar med hvitvaskingsreglene, må regnskapsførerforetaket innhente og vurdere nødvendige opplysninger om kundeforholdets formål og tilsiktede art, jf. hvitvaskingsloven §§ 12 femte ledd og 13 femte ledd.
Hvorfor kunden ønsker å etablere et kundeforhold og benytte de aktuelle tjenestene må inngå i vurderingen av kundeforholdets formål og tilsiktede art. Ved regnskapsføreroppdrag og lovpliktige attestasjoner er formålet og den tilsiktede arten vanligvis klart, slik at det ikke vil være nødvendig å innhente ytterligere opplysninger om dette.
Dersom formålet ikke er selvforklarende, er det nødvendig å få klarhet i hvorfor kunden ønsker å opprette kundeforholdet, ta i bruk en tjeneste eller et produkt. Eksempelvis kan omstendigheter rundt kundens virksomhet tilsi at virksomheten ikke har behov for at regnskapsfører utfører betalingsoppdrag for kunden. Regnskapsfører må da vurdere følgende:
- bakgrunnen for at kunden ønsker å opprette det aktuelle kundeforholdet og hvorfor kunden vil benytte aktuelle produkter eller tjenester (formålet)
- hvordan kunden skal bruke tjenestene og produktene (tilsiktede art)
Vurderingene skal danne tilstrekkelig grunnlag for en oppfatning om hvordan kunden kan ventes å handle innen rammen av kundeforholdet. Dette gjør det mulig å oppdage avvik fra forventet atferd. Avvik fra forventet adferd kan indikere hvitvasking eller terrorfinansiering.
4.3 Plikt til å ta kopi og bekrefte rett kopi av legitimasjonsdokumenter
Hvis identiteten til en fysisk person bekreftes med et gyldig legitimasjonsdokument i stedet for med elektronisk signatur, skal det tas kopi av legitimasjonsdokumenter som er fremlagt i original. Den hos regnskapsførerforetaket som foretar kundekontrollen skal bekrefte at kopien av dokumentet er korrekt, samt datere og signere kopien. Dato for gjennomføringen av kundetiltaket og "rett kopi bekreftes" skal påføres kopien.
I stedet for signatur og påføring som nevnt over, kan det på annen måte sikres tilsvarende notoritet om bekreftelsen, herunder hvem som har foretatt bekreftelsen og når den er foretatt. Eksempel på dette er bruk av elektroniske systemer som vil oppfylle lovkravet om bekreftelse. Eventuelle alternative fremgangsmåter må oppfylle lovens krav. Se Finanstilsynets generelle veiledning til hvitvaskingsloven – rundskriv 8/2019.
For bekreftelse av identitet ved elektronisk legitimasjon og uten personlig fremmøte, se punkt 4.5.1.2 nedenfor og 4.5.1.3.
4.4 Bekreftelse av identitet – juridiske personer
4.4.1 Oppslag mot eller utskrift fra register eller firmaattest
Regnskapsfører skal innhente og bekrefte opplysninger om identiteten til kunder som er juridiske personer, jf. hvitvaskingsloven § 13.
Opplysningene som skal innhentes om kunde som er juridisk person, er:
- foretaksnavn
- organisasjonsform
- organisasjonsnummer
- adresse (kontoradresse)
- navnet på daglig leder (evt. forretningsfører, innehaver eller tilsvarende kontaktperson dersom kunden ikke har daglig leder) og styremedlemmer, eller personer i tilsvarende stilling
For å innhente informasjonen kan regnskapsfører eksempelvis be kunden om å legge frem firmaattest, eller registerutskrift, herunder elektronisk utskrift i form av skjermbilde.
Informasjonen kan bekreftes ved at regnskapsfører selv gjør oppslag mot offentlig register eller innhenter firmaattest. Regnskapsførers bekreftelse kan dokumenteres ved at regnskapsfører tar utskrift eller skjermdump. Norske offentlige registre kan benyttes. Utenlandske offentlige registre kan benyttes i den grad disse har tilstrekkelig notoritet.
Gyldig legitimasjon for juridisk person vil i praksis være:
- Oppslag mot eller utskrift av firmaattest som ikke er eldre enn tre måneder. Dette gjelder foretak som er registrert i Foretaksregisteret. De fleste norske foretak og selskaper som driver næringsvirksomhet i Norge er registrert her. Det samme gjelder utenlandske foretak som driver næringsvirksomhet i Norge.
- Oppslag mot eller utskrift fra Enhetsregisteret som ikke er eldre enn tre måneder. Dette gjelder for enheter som ikke er registrert i Foretaksregisteret, men som har plikt eller rett til å registrere seg i Enhetsregisteret.
- Oppslag mot eller utskrift fra andre offentlige registre. Dette gjelder enheter som ikke er registrert verken i Foretaksregisteret eller Enhetsregisteret. I praksis gjelder dette utenlandske foretak som ikke driver næringsvirksomhet i Norge. Rapporteringspliktige må i slike tilfeller kreve oppslag mot, eller utskrift fra, utenlandsk offentlig register og eventuelt utenlandsk firmaattest.
Firmaopplysninger bør være så oppdaterte som mulig. Der kundetiltakene baseres på oppslag i offentlige registre, bør oppslag gjøres når kundeforholdet etableres. Der kontrollen må baseres på firmaopplysninger som fremlegges av kunden, bør opplysningene ikke være eldre enn én måned.
For å oppfylle kravene til dokumentasjon, må det registreres opplysninger som sikrer notoritet om oppslaget og evt. andre tiltak som er gjennomført, jf. hvitvaskingsloven § 30.
4.4.2 Krav til organisasjonsnummer og registreringsplikt
Organisasjonsnummer til den juridiske personen skal innhentes og bekreftes, jf. hvitvaskingsloven § 13 første ledd bokstav c. Dette gjelder uavhengig av om kunden har norsk eller utenlandsk organisasjonsnummer. Det vises til Finanstilsynets generelle veiledning til hvitvaskingsloven (rundskriv 8/2019) for nærmere krav til de enkelte selskapsformene og ledelsen i disse.
4.4.3 Fysiske personer som handler på vegne av kunden eller har disposisjonsrett
Opplysninger om fysiske personer som overfor regnskapsførerforetaket handler på vegne av juridisk person, herunder personer som har disposisjonsrett over konto eller depot, skal innhentes og bekreftes i samsvar med hvitvaskingsloven § 12 første og annet ledd. Retten til å handle på vegne av den juridiske personen skal bekreftes i samsvar med § 12 annet ledd. Se nærmere om bekreftelse av identitet til fysiske personer under punkt 4.5.
4.5 Bekreftelse av identitet – fysiske personer
Reglene om bekreftelse av identitet til fysiske personer gjelder i situasjoner der en juridisk person er representert av én eller flere fysiske personer, og der kunden er en fysisk person.
4.5.1 Generelt
4.5.1.1 Legitimasjonsdokumenter
Hvitvaskingsforskriften § 4-3 regulerer kravene til gyldig legitimasjon for fysiske personer. Gyldig legitimasjon for fysiske personer ved personlig fremmøte er original av dokumenter som:
- er utstedt av offentlig myndighet eller av annet organ som har betryggende kontrollrutiner for dokumentutstedelse, og dokumentene har et tilfredsstillende sikkerhetsnivå
- inneholder fullt navn, navnetrekk, fotografi
- fødselsnummer eller D-nummer
For personer uten norsk fødselsnummer eller D-nummer skal legitimasjonsdokumentet i tillegg inneholde fødselsdato, fødested, kjønn og statsborgerskap.
Gyldig legitimasjon for fysiske personer er etter Finanstilsynets oppfatning:
- norske og utenlandske pass (ikke nødpass)
- norske førerkort
- norske bankkort med bilde
- nasjonale ID-kort utstedt av et EØS-land (en oversikt over disse fremgår av utlendingsforskriften vedlegg 4)
- norsk utlendingspass (blått pass)
- norsk reisebevis for flyktninger (grønt pass)
- elektronisk legitimasjon i henhold til hvitvaskingsforskriften § 4-3 fjerde ledd
Legitimasjonsdokumentet må være gyldig. Det vil si at det ikke kan være utgått på dato ved fremleggelsen. Ved personlig oppmøte må legitimasjonsdokumentet fremlegges i original.
Sikkerhetselementene i legitimasjonsdokumentet må kontrolleres for at det ikke er forfalsket, at det er ansikts- og bildelikhet og at dokumentets angitte persondata er riktige. Disse punktene må i tillegg kontrolleres mot eksterne kilder, som eksempelvis Folkeregisteret.
4.5.1.2 Elektronisk legitimasjon
Elektronisk legitimasjon som angitt i hvitvaskingsforskriften § 4-3 fjerde ledd, anses likestilt med personlig fremmøte og fremvisning av gyldig legitimasjon i original ved etablering av kundeforhold. Det må imidlertid foretas en konkret vurdering av om risikoen tilsier at det er nødvendig å fremlegge ytterligere dokumentasjon. Den elektroniske identitetskoden og opplysninger om utstederens identitet skal lagres i tråd med hvitvaskingsloven kapittel 6, og dersom dette gjøres, trenger ikke kunden å fremlegge kopi av gyldig legitimasjonsdokument.
4.5.1.3 Bekreftelse av identitet uten personlig fremmøte
Ved bekreftelse av kundens identitet uten dennes personlige fremmøte, skal det fremlegges ytterligere dokumentasjon eller gjennomføres ytterligere tiltak. Hvilke krav som vil stilles til innhenting av ytterligere dokumentasjon eller gjennomføring av ytterligere tiltak, beror på hvilken risiko kunden kan utgjøre for hvitvasking og terrorfinansiering.
Kopi av legitimasjonsdokument
Kunden må fremlegge kopi av gyldig legitimasjonsdokument, og regnskapsfører må foreta de samme vurderingene som ved originalt legitimasjonsdokument. Det stilles ikke krav til kopi som er bekreftet av offentlige myndigheter, eller andre som har myndighet til å attestere bekreftede kopier. Kunden må imidlertid fremlegge en papirbasert eller elektronisk kopi av legitimasjonsdokumentet som gir tilstrekkelig sikkerhet for at kopien er reell. Regnskapsfører må vurdere riktigheten av kopien i hvert enkelt tilfelle, og hva som kreves for å bekrefte riktigheten.
Ytterligere dokumentasjon og tiltak
Følgende konkrete og ytterligere tiltak, enkeltvis eller i kombinasjon, kan bidra til å avhjelpe den forsterkede risikoen knyttet til fravær av personlig fremmøte:
- innhenting av kundens skattemelding, lønnsslipp, bekreftelse på utbetaling av trygd, stønad, studielån eller andre offentlige ytelser
- samtale med kunden på telefon som er registrert på kunden
- videokommunikasjon med kunden
- øvrige betryggende elektroniske løsninger
- kommunikasjon med kunden via postadresse eller digital adresse som er registrert på kunden (kommunikasjonen bør inneholde kundens signatur som kan sjekkes mot kopien av legitimasjonsdokumentet)
Opplistingen er ikke uttømmende, og omfanget og arten av tiltakene må bero på en konkret risikobasert vurdering. Kundeopplysningene som innhentes, bør sjekkes mot offentlige registre.
4.5.2 Personer som handler eller disponerer på vegne av kunden
4.5.2.1 Bekreftelse av identitet
Identiteten til den eller de som faktisk handler på vegne av kunden, eller er gitt disposisjonsrett, skal bekreftes med gyldig legitimasjon, jf. hvitvaskingsloven § 13 annet ledd, jf. § 12 annet ledd.
Finanstilsynet legger til grunn at det er styrets leder eller daglig leder som skal handle på vegne av kunden ved inngåelse av regnskapsføreroppdrag. For andre typer oppdrag, kan det etter forholdene være andre personer i ledelsen som kan handle på vegne av kunden. Regnskapsførerforetaket bør fastsette rutiner som angir hvem som skal anses for å kunne handle på vegne av kunden i ulike oppdrag.
Kravet er ufravikelig, med unntak av kunder som er vurdert å ha lav risiko, og dermed kan underlegges forenklede kundetiltak, jf. hvitvaskingsloven § 16 og hvitvaskingsforskriften § 4-7. Det følger av hvitvaskingsforskriften § 4-7 at krav til bekreftelse av identiteten til personer som handler på vegne av kunden, kan lempes når kunden er underlagt forenklede kundetiltak. Opplysningene skal innhentes, men i særlige tilfeller, og etter en konkret vurdering, kan regnskapsfører unnlate å innhente gyldig legitimasjon. Der regnskapsfører ikke innhenter gyldig legitimasjon, må regnskapsfører på annen måte være sikker på vedkommendes identitet og dokumentere begrunnelsen. Finanstilsynet anbefaler at det alltid innhentes gyldig legitimasjon.
4.5.2.2 Bekreftelse på retten til å handle på vegne av kunden
Selve retten til å handle på vegne av kunden skal også bekreftes ved skriftlig dokumentasjon, jf. hvitvaskingsloven §§ 12 annet ledd siste punktum og 13 annet ledd siste punktum.
Bekreftelse på retten til å handle på vegne av kunden, er eksempelvis firmaattest for å dokumentere styremedlem, daglig leder eller prokurist, eventuelt skriftlig fullmakt fra kunden.
4.5.3 Bekreftelse av identitet når kunden er en fysisk person
Kravet om å bekrefte kundens identitet gjelder også såkalte kjente kunder som regnskapsførerforetaket har fra før av eller måtte få i fremtiden.
4.6 Bekreftelse av identitet – reelle rettighetshavere
4.6.1 Formål
Kravet om identitetskontroll er en videreføring av "kjenn-din-kunde"-prinsippet. Kravet innebærer at:
- reelle rettighetshavere må identifiseres
- identiteten til reelle rettighetshavere må bekreftes ved egnede tiltak
- egnede tiltak for å forstå eierskaps- og kontrollstrukturen hos kunde som
ikke er en fysisk person må iverksettes
Reell(e) rettighetshaver(e) hos kunden er fysisk(e) person(er) som i siste instans eier eller kontrollerer kunden, eller som en transaksjon eller aktivitet gjennomføres på vegne av, jf. hvitvaskingsloven § 2 e). Definisjonen av reell rettighetshaver må holdes atskilt fra formelt eierskap og formell kontroll. Kun fysiske personer kan være reelle rettighetshavere.
4.6.2 Identifikasjon og bekreftelse
Når kunden er en fysisk person, vil kunden selv i de fleste tilfeller være reell rettighetshaver. Hvis det ikke er indikasjoner på at kunden opptrer på vegne av en annen, vil det i utgangspunktet være tilstrekkelig å stille kunden et kontrollspørsmål for å avdekke om kundeforholdet etableres på vegne av tredjeperson(er).
For en kunde som ikke er en fysisk person, skal regnskapsfører, jf. § 14, avgjøre om det er fysiske personer, alene eller sammen med nære familiemedlemmer, jf. § 2 g), som:
- eier mer enn 25 prosent av eierandelene i den juridiske personen eller sammenslutningen,
- på grunn av innehav av aksjer, andeler eller medlemskap kontrollerer mer enn 25 prosent av det totale antallet stemmer i den juridiske personen eller sammenslutningen,
- har rett til å utpeke eller avsette mer enn halvparten av den juridiske personens eller sammenslutningens styremedlemmer eller tilsvarende,
- på grunn av avtale med eiere, medlemmer, den juridiske personen eller sammenslutningen, vedtekter eller tilsvarende, kan utøve kontroll i samsvar med bokstav a, b eller c,
- på annen måte utøver kontroll over den juridiske personen eller sammenslutningen.
Navn, adresse og fødselsdato vil normalt være tilstrekkelig til å gi en entydig identifikasjon av en reell rettighetshaver, men dette må vurderes konkret ut fra en risikovurdering. Det avgjørende må være at opplysningene er tilstrekkelige til å skille vedkommende fra andre personer.
Det er ikke tilstrekkelig å spørre kunden om hvem som er reell rettighetshaver. Regnskapsfører må selv få bekreftet opplysningene, eksempelvis i form av bekreftelse av opplysninger hos vedkommende myndigheter eller offentlige registre. Finanstilsynet legger til grunn at det mest praktiske vil være at regnskapsfører sjekker aksjonærregisteret for eventuelle personer som direkte eller indirekte kontrollerer kunden, jf. bokstav a) og b) over. I tillegg må kunden spørres og aksjeeierboken kontrolleres for å avdekke om det foreligger aksjonæravtaler i henhold til bokstav c) og d). Dersom kunden har forskjellige aksjeklasser, må kontrollen av reelle rettighetshavere tilpasses dette. Ved forenklede kundetiltak kan kravet
om bekreftelse lempes, jf. § 16 (2).
De registrerte opplysningene må være tilstrekkelige til å skille den aktuelle personen fra andre personer med samme navn, jf. hvitvaskingsloven § 8 femte ledd. Registrerte opplysninger om reelle rettighetshavere må minst omfatte fullt navn, fødselsdato og fast adresse.
Som ledd i den løpende oppfølgingen av en kunde, skal regnskapsfører følge opp endringer i reelle rettighetshavere.
4.6.3 Forståelse for eierskaps- og kontrollstrukturen i kunden
Regnskapsfører må gjennomføre egnede tiltak for å forstå eierskaps- og kontrollstrukturen hos kunden, jf. hvitvaskingsloven § 13 første ledd.
I utgangspunktet vil det være mest aktuelt å benytte registerdata eller å etterspørre relevante opplysninger fra kunden. Det beror på en risikovurdering av om det er nødvendig å foreta ytterligere undersøkelser og/eller bekrefte innhentet informasjon mot andre kilder.
4.6.4 Dokumentasjon
Tiltakene som gjøres for å forstå eierskaps- og kontrollstrukturen i kunden skal dokumenteres, jf. hvitvaskingsloven § 13 første ledd. Regnskapsførerforetaket skal oppbevare dokumentasjon på hvem som er reelle rettighetshavere, herunder dokumentasjon på undersøkelser som er foretatt for å kartlegge reelle rettighetshavere og resultatet av undersøkelsene.
4.7 Forenklede kundetiltak
Utgangspunktet for alle kundeforhold er at risikoen for hvitvasking og terrorfinansiering er normal. Det må foreligge særskilte forhold for at et kundeforhold skal anses for å ha lav risiko for hvitvasking og terrorfinansiering, slik at forenklede kundetiltak kan være tilstrekkelig, jf. hvitvaskingsloven § 16 og hvitvaskingsforskriften §§ 4-6 og 4-7. Forenklede kundetiltak kan aldri benyttes i oppdrag hvor det foreligger mistanke om hvitvasking eller terrorfinansiering.
Forenklede kundetiltak innebærer at regnskapsfører, etter en objektiv og konkret vurdering, kan redusere omfanget av enkelte kundetiltak. I det følgende gis det eksempler på forenklede kundetiltak.
Bekreftelse av reelle rettighetshaveres identitet
Det kan utføres mindre omfattende tiltak for å bekrefte reelle rettighetshaveres identitet. Bekreftelse kan også etter en konkret vurdering unnlates. Det vil i praksis si at regnskapsfører etter en konkret vurdering kan legge til grunn opplysninger i Brønnøysundregistrene og aksjonærregisteret uten ytterligere undersøkelser eller bekreftelse. I tilfeller hvor opplysninger ikke er tilgjengelige i offentlige registre, kan opplysninger innhentet fra kunden legges til grunn.
Retten til å handle på vegne av kunden
Det kan gjennomføres mindre omfattende tiltak for å få bekreftet retten (fullmakten) til å handle på vegne av kunden.
Det kan lempes på kravene til bekreftelse av identiteten til den som handler på vegne av kunden eller er gitt disposisjonsrett. Eksempelvis kan regnskapsfører unnlate å innhente kopi av legitimasjon av daglig leder, se punkt 4.5.2.1.
Opplysninger om kundeforholdets formål og tilsiktede art
Regnskapsfører kan unnlate å foreta ytterligere undersøkelser om kundeforholdets formål og tilsiktede art fordi det fremstår som klart på bakgrunn av de begrensningene som følger av tjenestene som kunden ønsker. Oppstår det uklarhet rundt forholdet, må imidlertid kunden forespørres.
Løpende oppfølging av den enkelte kunde
Regnskapsfører trenger ikke å gjennomføre løpende oppfølging like ofte som for kunder med normal eller høy risiko.
4.8 Forsterkede kundetiltak
Dersom det er høy risiko for hvitvasking eller terrorfinansiering, skal regnskapsfører gjennomføre forsterkede kundetiltak, jf. hvitvaskingsloven § 17. Kravet om å gjennomføre forsterkede kundetiltak gjelder både ved inngåelsen av kundeforholdet og ved løpende oppfølging.
Det vises til Finanstilsynets generelle veiledning til hvitvaskingsloven for en nærmere redegjørelse av momenter som bør vurderes i avgjørelsen av om forsterkede kundetiltak skal anvendes.
4.8.1 Risikofaktorer
Hvitvaskingsforskriften § 4-9 angir forhold som kan indikere forhøyet risiko for hvitvasking og terrorfinansiering. Bestemmelsen er ikke uttømmende og må suppleres med en samlet vurdering av kjennskapen til kunden. Oppdaterte eksterne kriminalitetsanalyser, eksempelvis NTAES' indikatorlister og relevante trussel- og risikovurderinger, herunder Nasjonal risikovurdering av hvitvasking og terrorfinansiering, kan gi støtte.
4.8.2 Hvilke tiltak skal gjennomføres?
Graden og arten av overvåkingen av kundeforholdet skal økes for å avdekke aktiviteter som synes uvanlige eller mistenkelige, og som kan indikere hvitvasking eller terrorfinansiering. Andre tiltak regnskapsfører bør vurdere å iverksette, dersom den konkrete risikoen tilsier det, er å:
- innhente ytterligere informasjon om kunden (f.eks. yrke, formuesforhold, informasjon tilgjengelig i offentlige databaser, Internett osv.), og oppdatere informasjonen om kunden og reelle rettighetshavere oftere enn ellers
- innhente ytterligere informasjon om formålet og den tilsiktede arten av kundeforholdet
- innhente informasjon om opphavet til midlene og formuen til kunden
- påse at beslutningstakere innhenter godkjenning fra overordnet nivå for å påbegynne eller fortsette kundeforholdet
- gjennomføre forsterket overvåking av kundeforholdet
Det er ingen krav om at regnskapsfører må iverksette kundetiltak rettet mot en kundes forretningsforbindelser.
4.8.3 Kundetiltak overfor kunder som selv er rapporteringspliktig
Dersom kunden selv er rapporteringspliktig og klassifiseres til å ha høy risiko for å bli brukt som ledd i hvitvasking eller terrorfinansiering, vil et forsterket kundetiltak være å skaffe seg kunnskap om kunden etterlever hvitvaskingsloven, jf. hvitvaskingsloven § 17 annet ledd. Følgende tiltak kan være aktuelle:
- forespørre ledelsen og, der det er relevant, dem som har overordnet ansvar for styring og kontroll om hvorvidt enheten overholder hvitvaskingslov og -forskrift
- må kontrollere at foretakets har utarbeidet en risikovurdering som er tilpasset virksomheten
- må kontrollere at kunden har skriftlige hvitvaskingsrutiner inneholder alle
de relevante punktene i punkt 3.3.2 - påse at det er utpekt hvitvaskingsansvarlig
I vurderingen av hvilke rapporteringspliktige kunder som har høy risiko for å bli brukt som ledd i hvitvasking eller terrorfinansiering, kan regnskapsførerforetaket bygge på Finanstilsynets risikovurdering11) av hvitvasking og terrorfinansiering fra juli 2019.
4.9 Forsterkede kundetiltak – politisk eksponerte personer (PEP)
Når kunden, personer som handler på vegne av kunden eller reell rettighetshaver er en politisk eksponert person, skal foretaket gjennomføre forsterkede kundetiltak, både ved innledende kundetiltak og i den løpende oppfølgingen. Kundens PEP-status skal avklares før kundeforhold inngås.
Det er kun fysiske personer som kan være PEP. Hvilke stillinger og verv som medfører at en fysisk person anses som PEP, er uttømmende listet opp i hvitvaskingsloven § 2 bokstav f, og utdypet i Finanstilsynets generelle veiledning til hvitvaskingsloven (rundskriv 8/2019). De forsterkede tiltakene skal gjennomføres i minst ett år etter at PEP-en sluttet i stillingen eller vervet.
I tillegg vil nært familiemedlem eller kjent medarbeider av PEP også måtte underlegges forsterkede kundetiltak, tilsvarende som for PEP. Hvem som anses som nært familiemedlem eller kjent medarbeider av PEP, følger av hvitvaskingsloven § 2 bokstav g) og h).
Se Finanstilsynets generelle veiledning til hvitvaskingsloven for en nærmere redegjørelse for PEP og gjennomgang av hvilke kundeforhold som medfører at forsterkede kundetiltak etter reglene om PEP skal gjennomføres.
I tilfeller der personer som handler på vegne av kunden, reelle rettighetshavere eller kunden selv er PEP, må det innhentes opplysninger:
- om PEPs posisjon, stilling eller verv
- om dato for opphør av PEPs posisjon, stilling eller verv, dersom denne er kjent
- om hvilke land personen er definert som PEP i
- for å fastslå formuens eller midlenes opprinnelse. I Norge vil innhenting av skattemelding i mange tilfeller være tilstrekkelig.
Dette gjelder i tillegg til opplysninger som normalt skal innhentes om fysiske personer.
I tilfeller der personer som handler på vegne av kunden, reelle rettighetshavere eller kunden er nærstående eller kjent medarbeider til en PEP, eller der kunden er en juridisk person, skal regnskapsfører minimum innhente:
- navn
- fødselsnummer, D-nummer eller organisasjonsnummer. Hvis ikke vedkommende har slike numre, skal fødselsdato, fødested og kjønn oppgis.
- adresse
I tillegg til øvrige forsterkede kundetiltak må regnskapsfører påse at det innhentes godkjenning fra regnskapsførers overordnede før etablering eller opprettholdelse av kundeforholdet som har PEP. Godkjenningen må dokumenteres.
4.10 Løpende oppfølging
Regnskapsførerforetaket må løpende påse at de har den kunnskapen om kunden som er nødvendig for å kunne vurdere og iverksette kundetiltak, og for øvrig håndtere risikoen som den enkelte kunde utgjør. Også den løpende oppfølgingen må skje i form av forsterkede tiltak for kunder som er vurdert å ha høyere risiko. For å sikre en tilstrekkelig løpende oppfølging, må informasjonen om kunden være oppdatert og korrekt. Regnskapsførerforetaket bør vurdere å ta inn i avtalen med kunden en plikt for denne til å rapportere om endringer som kan være av betydning for risikovurderingen, men kan ikke basere seg på at kunden oppfyller denne forpliktelsen. Det må også følges med på kundenes aktivitet for å kunne oppdage avvikende eller endret atferd, nye eier- eller selskapsstrukturer eller endring av tjenester, innholdsmessig eller geografisk.
Økende kunnskap om foretaket vil kunne gjøre at risikobildet etter hvert fremstår som et annet enn det regnskapsfører opprinnelig la til grunn. For eksempel at det viser seg at omsetningen er unormalt høy, at kostnadene er unormalt lave eller at det handles med områder, organisasjoner eller produkter som er uvanlige. Videre kan endringer på eiersiden eller betydelige utskiftinger i kundens styre eller ledelse være forhold som endrer den opprinnelige risikovurderingen. Det kan også være at regnskapsfører har blitt kjent med konkrete hendelser som gjør at risikobildet har endret seg. Eksempelvis kan det være inngått kontrakter uten anbud eller forhandlinger når det ville ha vært naturlig ut fra kontraktens art eller omfang, eller at det har vært gitt unormal bonus eller andre insentiver for å skaffe eller beholde kontrakter. At det er inngått avtaler med nærstående, eller at det er gjennomført transaksjoner som fremmer anonymitet, kan også gi et endret risikobilde. De nevnte eksemplene kan også være forhold som utløser en undersøkelsesplikt og eventuell rapporteringsplikt.
Hvor hyppig det er behov for å gjennomføre kundetiltak vil bero på kundens risikoklassifisering og kundens atferd. Kundetiltak skal i alle tilfeller gjennomføres dersom det er tvil om de tidligere innhentede opplysningene er korrekte eller tilstrekkelige.
Dersom risikoen for at kunden er involvert i hvitvasking eller terrorfinansiering vurderes til å være den samme som da kundeforholdet ble etablert, og det heller ikke har skjedd vesentlige endringer hos kunden eller i dennes virksomhet, vil plikten til løpende oppfølging av kundeforholdet oppfylles ved at det jevnlig konstateres at det ikke er forhold som tilsier en annen risikovurdering. Det må imidlertid kontrolleres at de registrerte opplysningene fortsatt er riktige. I slike tilfeller vil den løpende oppfølgingen kunne skje ved den overordnede interne kontrollen på oppdragsnivå som det er plikt til å gjennomføre minst én gang årlig, jf. standard for god regnskapsføringsskikk (GRFS) punkt 7.1. Oppdragsansvarlig regnskapsfører må i så fall sikre at pliktene som følger av hvitvaskingsloven oppfylles. I tilfeller hvor risikoen er vurdert som høy, tilsier dette en mer jevnlig og årvåken oppfølging av kundeforholdet.
Det må dokumenteres at plikten til løpende oppfølging etter hvitvaskingsloven er oppfylt.
4.11 Kundetiltak utført av tredjepart
Hvitvaskingsloven åpner for at regnskapsførerforetaket kan legge til grunn enkelte kundetiltak utført av tredjepartene som er angitt i hvitvaskingsloven § 22. Kundetiltakene som kan legges til grunn, knytter seg primært til identifisering og bekreftelse av identiteten til fysiske og juridiske personer, samt identifisering av reelle rettighetshavere, jf. hvitvaskingsloven § 12 første til tredje ledd og femte ledd, § 13 første til tredje ledd og femte ledd og § 14. Dette kan være aktuelt ved overtakelse av portefølje og ved fusjon av regnskapsførerforetak.
Regnskapsførerforetaket må uansett selv risikoklassifisere den enkelte kunde. Det kan bety at regnskapsførerforetaket må innhente ytterligere informasjon. Videre må foretaket selv innhente ytterligere opplysninger for å oppfylle kravet om forsterkede kundetiltak, der dette er aktuelt.
Det skal foreligge en skriftlig avtale mellom den rapporteringspliktige tredjeparten og regnskapsførerforetaket som mottar opplysningene. Avtalen må minimum sikre at tredjeparten overholder kravene i hvitvaskingsloven, sikre krav til utlevering av dokumentasjonen, herunder om tidspunkt for utlevering og kvaliteten av den, samt at kunden informeres. Dokumentasjonen må registreres og lagres i henhold til hvitvaskingsloven § 30.
5 Avvisning og avvikling av kundeforhold
Dersom kundetiltak, herunder eventuelle påkrevde forsterkede kundetiltak eller undersøkelser som ledd i løpende oppfølging, ikke kan gjennomføres, skal regnskapsførerforetaket ikke etablere kundeforholdet eller fortsette dette, jf. hvitvaskingsloven §§ 21 eller 24. Bestemmelsen vil særlig være aktuell i tilfeller der regnskapsfører har betalingsoppdrag, og innebærer en selvstendig plikt til å fratre, i tillegg til regnskapsførers fratredelsesplikt etter regnskapsførerforskriften § 3-1 tredje ledd.
Rapportering til Økokrim eller kjennskap til at Økokrim har tatt en rapportert sak inn til analyse, vil som utgangspunkt ikke danne grunnlag for å avvikle kundeforholdet, men inngå i regnskapsførers vurdering av om kundeforholdet skal fortsettes, jf. hvitvaskingsloven § 24. Om kundeforholdet skal avvikles, må bero på en konkret vurdering.
Oppsigelse av oppdrag eller kundeforhold medfører ikke at undersøkelses- og rapporteringsplikten bortfaller. Foretaket skal vurdere om det er grunnlag for nærmere undersøkelser og rapportering i samsvar med hvitvaskingsloven §§ 25 og 26, både ved vurdering av avvisning og avvikling av kundeforhold.
6 Undersøkelse og rapportering
6.1 Undersøkelsesplikt
Undersøkelsesplikten gjelder dersom regnskapsfører avdekker "… forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering", jf. hvitvaskingsloven § 25. Dersom den rapporteringspliktige avdekker forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering, skal det foretas nærmere undersøkelser. Terskelen er lav. Enhver indikasjon kan i utgangspunktet være tilstrekkelig. Selv om et forhold ikke alene fremstår som mistenkelig, kan flere forhold samlet sett indikere at det skjer hvitvasking eller terrorfinansiering.
I regnskapsførerloven er det ikke særskilte bestemmelser om plikt for regnskapsførere til å foreta undersøkelser og dokumentere disse. Det er imidlertid slik at regnskapsførerforetaket ivaretar den regnskapspliktiges plikter og må innrette sin virksomhet slik at korrekt regnskapsavleggelse kan skje, samt at rapporter som gis til offentlige myndigheter, er riktige. Regnskapsfører skal ha oppmerksomhet rettet mot feil og mangler knyttet til kundens etterlevelse av relevant regelverk. Regnskapsfører skal ta opp uklarheter og spørsmål med kunden ved avlegging av periodiske regnskapsrapporter. Brudd på regnskaps-, bokførings-, skatte- og avgiftslovgivningen skal uansett tas opp skriftlig. Når regnskapsfører avdekker feil og mangler, skal det formidles til kunden at forholdet må bringes i orden. I de fleste tilfeller vil kunden rette på forholdet. Da inntrer det normalt ingen nærmere undersøkelsesplikt eller rapporteringsplikt for regnskapsfører.
Selv om forholdene rettes, kan det likevel være slik at kundens reaksjon på regnskapsførers påpeking av feil og mangler kan vekke mistanke. Dette vil være situasjonen dersom kunden i ettertid prøver å få forholdet til å fremstå som en "uskyldig" feil, forglemmelse eller annet, men at regnskapsfører har grunn til å tro at det var et bevisst forsøk på hvitvasking eller terrorfinansiering. Det kan også være at kunden retter på feilen på en måte som i seg selv gir mistanke. Dersom regnskapsfører for eksempel påpeker at det er gitt lån i strid med aksjeloven, vil det kunne være av betydning hvordan det ulovlige lånet blir bragt til opphør. Dersom låntaker selger eiendeler eller tar opp lån i bank for å finansiere tilbakebetalingen, vil det normalt være uproblematisk. Dersom tilbakebetalingen kommer fra en ukjent konto, konto som eies av en der tilknytningen til låntaker er uklar, eventuelt fra en konto i utlandet, vil det kunne utløse mistanke og en plikt for regnskapsfører til å rapportere til Økokrim.
Undersøkelsesplikt etter hvitvaskingsloven § 25 annet ledd vil alltid utløses når:
- en transaksjon synes å mangle et legitimt formål eller er uvanlig stor eller kompleks,
- en transaksjon eller et forhold er uvanlig i forhold til kundens kjente forretningsmessige eller personlige transaksjoner eller forhold,
- en transaksjon foretas til eller fra en kunde i et land eller område som ikke har tilfredsstillende tiltak mot hvitvasking eller terrorfinansiering.
Eksempler på omstendigheter rundt forhold som kan være mistenkelige og dermed utløse undersøkelsesplikt, er:
- at kunden har mottatt faktura med merverdiavgift uten at avsender er registrert i merverdiavgiftsregisteret,
- at selskap med lav aktivitet mottar store pengesummer uten en åpenbar bakenforliggende hendelse,
- kapitalinnskudd, der pengene kommer fra uidentifiserbar innskyter,
- forhold, som på annen måte har en uvanlig karakter.
Medlemmer av bransjeorganisasjoner kan henvende seg til disse for å få indikatorlisten utarbeidet av NTAES. Nærmere undersøkelser skal iverksettes der indikatorer som nevnt i NTAES' liste avdekkes, med mindre forholdet åpenbart har en naturlig forklaring. Undersøkelser skal alltid gjennomføres dersom det avdekkes forhold som avviker fra regnskapsførers kjennskap til kunden og kundeforholdets formål og tilsiktede art, jf. hvitvaskingsloven § 25.
Undersøkelsene vil normalt ta utgangspunkt i opplysningene regnskapsførerforetaket har om kunden samt annen tilgjengelig informasjon, herunder tilgjengelige offentlige opplysninger og internettsøk. I visse tilfeller kan det være naturlig å stille spørsmål til kunden. På bakgrunn av avsløringsforbudet i hvitvaskingsloven § 28, må det utvises varsomhet når kunden kontaktes. Spørsmålene kan knyttes opp mot at man gjennomfører lovpålagte kundetiltak eller løpende oppfølging, uten å avsløre at man gjennomfører undersøkelser om mistenkelige forhold. Det kan benyttes "åpne kilder", det vil si offentlig tilgjengelige registre, Internett, aviser mv. Det kan også stilles spørsmål til tredjemenn, hvis dette kan skje uten brudd på taushetsplikten og avsløringsforbudet.
Undersøkelsesplikten er ikke begrenset til forhold ved kunden. Plikten oppstår også dersom det under utførelsen av oppdraget avdekkes forhold ved en tredjepart tilknyttet kunden som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering.
Hvilke undersøkelser som er gjort, samt resultater og vurderinger av disse skal dokumenteres.
6.2 Rapporteringsplikt
Rapporteringsplikten inntrer dersom mistanken ikke blir avkreftet etter at det er undersøkt ett eller flere mistenkelige forhold. Mistankegrunnlaget er lavt, og det kreves ikke sannsynlighetsovervekt for at det foreligger noe mistenkelig før rapporteringsplikten inntreffer. Rapportering til Økokrim på bakgrunn av plikten i hvitvaskingsloven er ikke brudd på taushetsplikten i regnskapsførerloven.
Hvitvaskingsansvarlig er ansvarlig for å oversende opplysninger som nevnt i hvitvaskingsloven § 26 til Økokrim, jf. hvitvaskingsforskriften § 5-1. Rapportering til Økokrim skal inneholde utfyllende opplysninger om grunnlaget for mistanken, om undersøkelsene og transaksjonene i tillegg til personalia og kundeforhold for den eller de som det rapporteres om. Kopi av dokumentasjon for den mistenkelige transaksjonen vedlegges. Økokrim har publisert tips for bedre rapportering.12)
Økokrim kan be om opplysninger som kan ha tilknytning til konkret informasjon om hvitvasking eller terrorfinansiering som Økokrim har. Det er Økokrim som vurderer nødvendigheten, og regnskapsfører skal dermed ikke foreta noen selvstendig vurdering ved slike forespørsler, jf. hvitvaskingsloven § 26 første ledd andre punktum.
Oversendelse av opplysninger til Økokrim i god tro medfører ikke brudd på taushetsplikten og gir ikke grunnlag for erstatningsansvar eller straffansvar, med mindre det foreligger grov uaktsomhet, jf. § 26 fjerde ledd. Dette gjelder taushetsplikt som følger av både kontrakt, lov og administrative bestemmelser.
6.3 Avsløringsforbudet
6.3.1 Utgangspunkt
Det følger av hvitvaskingsloven § 28 første ledd at rapporteringspliktige, herunder styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av den rapporteringspliktige, har taushetsplikt overfor kunden og tredjepersoner om følgende:
- at det foretas eller vurderes å igangsette undersøkelser etter hvitvaskingsregelverket,
- at det er gitt opplysninger til Økokrim,
- at det er iverksatt etterforskning.
Avsløringsforbudet vil ikke bare omfatte det å gi konkrete opplysninger om at det foretas undersøkelser, rapportering eller etterforsking, men også det å gi kunden eller tredjeperson informasjon slik at de vil eller må forstå at dette er tilfelle.
Dersom det mottas informasjon om undersøkelser, rapportering eller etterforskning fra en annen rapporteringspliktig, vil dette være informasjon omfattet av avsløringsforbudet.
Avsløringsforbudet er ikke tidsbegrenset. Det gjelder følgelig også etter at det aktuelle kundeforholdet er avsluttet, og tilsvarende også etter at den ansatte har sluttet i regnskapsførerforetaket.
6.3.2 Unntak – forholdet til regnskapsførerlovgivningen
Hvitvaskingsloven § 28 annet ledd inneholder flere unntak fra avsløringsforbudet. Unntak fra avsløringsforbudet innebærer ikke i seg selv at bestemmelser om konfidensialitet settes til side. Dette må vurderes konkret i hvert enkelt tilfelle.
Unntak fra avsløringsforbudet gjelder blant annet i følgende tilfeller:
- meddelelse av opplysninger til påtalemyndigheten og Finanstilsynet etter hvitvaskingsregelverket,
- utveksling av opplysninger til godkjente regnskapsførere og regnskapsførerselskaper, eller godkjente revisorer som utøver virksomhet innenfor samme juridiske enhet eller nettverk som revisjonsforetaket,
- utveksling av opplysninger til rapporteringspliktige som nevnt i hvitvaskingsloven § 4 annet ledd bokstav a) til c) (som i det vesentlige er godkjente regnskapsførere, regnskapsførerselskaper, revisorer eller advokater), som utøver virksomhet i andre juridiske enheter eller nettverk forutsatt at opplysningene gjelder felles kunde i en transaksjon hvor de rapporteringspliktige er involvert (gjelder både eksisterende kunde og avviklet kundeforhold), eller
- regnskapsførers forsøk på å få kunden til å avstå fra å begå en ulovlig handling.
Regnskapsfører plikter i medhold av regnskapsførerforskriften § 3-1 annet ledd å gi opplysninger til ny regnskapsfører om forhold som tilsier at ny regnskapsfører ikke bør påta seg oppdraget dersom ny regnskapsfører spør om dette. Finanstilsynet legger til grunn at regnskapsfører, uten hinder av taushetsplikten i regnskapsførerloven § 10 og avsløringsforbudet, kan gi opplysninger til ny regnskapsfører om mistanke om hvitvasking, undersøkelser og eventuell rapportering til Økokrim. Ny regnskapsfører, som mottar opplysninger fra tidligere regnskapsfører om undersøkelser og foretatte rapporteringer til Økokrim, vil ha taushetsplikt om dette. Dette gjelder uansett om ny regnskapsfører påtar seg oppdraget eller ikke.
6.4 Gjennomføring av mistenkelige transaksjoner
Dersom det er mistanke i tilknytning til en transaksjon, for eksempel som ledd i et betalingsoppdrag, er hovedregelen at transaksjonen ikke skal gjennomføres før Økokrim er underrettet, jf. hvitvaskingsloven § 27. Hvitvaskingsloven § 27 andre ledd åpner opp for at en mistenkelig transaksjon kan gjennomføres før Økokrim er underrettet hvis det enten er umulig å stanse transaksjonen eller hvis stans av transaksjonen vil vanskeliggjøre Økokrims undersøkelser av person som kan dra fordel av en mistenkelig transaksjon. Finanstilsynet legger til grunn at reglene etter § 27 i begrenset grad vil få anvendelse for regnskapsførervirksomheter, og at unntaket uansett ikke vil være anvendelig da Økokrim bør kunne underrettes først.
7 Krav til systemer som muliggjør raske og fullstendige svar til myndighetene
Rapporteringspliktige skal ha systemer som muliggjør raske og fullstendige svar på forespørsler fra offentlige myndigheter, om vedkommende i løpet av de siste fem årene har eller har hatt kundeforhold til konkrete personer og om kundeforholdets art. Dette inkluderer personer som har vært reelle rettighetshavere. Dette stiller særlige krav til lagringsmåten for opplysninger og dokumenter. Systemet trenger ikke å gi alle opplysninger om kundeforholdet, det er tilstrekkelig at det gjør det mulig å finne raskt frem til opplysninger om kundens identitet og type kundeforhold.
Hvor raskt den rapporteringspliktige må besvare henvendelsen fra myndighetene vil bero på omfanget av forespørselen. Formatet på oversendelsen til det offentlige må være i et alminnelig lesbart format.
Forespørsler fra Økokrim er regulert i hvitvaskingsloven § 26 første ledd andre punktum. Rapporteringspliktige kan legge til grunn at Økokrim har det nødvendige hjemmelsgrunnlaget for å etterspørre opplysningene. Forespørsler fra tilsynsmyndighetene er regulert i finanstilsynsloven § 3. Andre offentlige myndigheter som etterspør opplysninger som nevnt, må angi hjemmel for forespørselen. Slike forespørsler og svar på forespørsler må sendes på betryggende måte.
8 Behandling av opplysninger
Hvitvaskingsloven § 30 krever at alle opplysninger og dokumenter som er innhentet og utarbeidet i forbindelse med kundetiltakene, den løpende oppfølgingen, undersøkelser og rapportering skal registreres og lagres i fem år etter at kundeforholdet ble avsluttet. Kundeforholdet avsluttes etter ordinære avtalerettslige prinsipper, se også omtale i punkt 4.1.
Regnskapsførerforetaket må oppbevare all informasjon som blir innhentet, selv om informasjonen blir erstattet av ny og oppdatert informasjon. Eksempelvis må foretaket oppbevare informasjon om alle personer som én gang har vært reelle rettighetshavere, selv
om disse ikke er reelle rettighetshavere på tidspunktet for avslutningen av kundeforholdet.
Dokumenter og opplysninger skal oppbevares på et medium som opprettholder lesekvaliteten i hele oppbevaringsperioden, det vil si minimum fem år etter at kundeforholdet ble avsluttet eller transaksjonen ble gjennomført. Det skal foreligge sikkerhetskopi av elektronisk materiale. Sikkerhetskopien skal oppbevares atskilt fra originalen.
Personopplysninger som er registrert og lagret i tilknytning til kundetiltakene, den løpende oppfølgingen, undersøkelse og eventuelt rapportering, skal slettes når det har gått fem år etter at kundeforholdet ble avsluttet.
Bestemmelser om oppbevarings- og sletteplikt varierer i ulike lover, blant annet hvitvaskingsloven, regnskapsførerloven og personopplysningsloven. Dette gjør at regnskapsførerforetaket må ha et system for lagring av opplysninger som gjør foretaket i stand til å overholde alle oppbevarings- og sletteplikter som gjelder for foretaket.
______
Noter:
1) https://www.finanstilsynet.no/nyhetsarkiv/rundskriv/veileder-til-hvitvaskingsloven/
2) https://www.finanstilsynet.no/konsesjon/tilbyder-av-virksomhetstjenester/
3) https://www.regnskapnorge.no/
4) https://okonomiforbundet.no/
5) Hvitvaskingsloven § 2 bokstav g)
6) Hvitvaskingsloven § 2 bokstav h)
7) https://www.finanstilsynet.no/tema/hvitvasking-og-terrorfinansiering/geografisk-risiko--oversikt-over-listeforte-land/
8) https://www.regjeringen.no/no/dokumenter/finans_frysbestemmelser/id2903172/
9) https://www.regjeringen.no/no/dokumenter/nasjonal-risikovurdering---hvitvasking-og-terrorfinansiering-i-norge-2018/id2618366/
10) Finanstilsynets oversikt over listeførte land kan være til hjelp. Listen finnes på: https://www.finanstilsynet.no/tema/hvitvasking-og-terrorfinansiering/geografisk-risiko--oversikt-over-listeforte-land/
11) https://www.finanstilsynet.no/nyhetsarkiv/nyheter/2019/ny-risikovurdering--hvitvasking-og-terrorfinansiering/
12) https://www.okokrim.no/krav-til-god-rapportering.475348.no.html
__________
Red. merkn. 20.01.2020:
Finanstilsynet har foretatt enkelte mindre korrigeringer i rundskriv 15/2019:
Det er i punkt 2.3, 4.4.3, 4.5.1.1, 4.5.2 (i overskriften), 4.5.2.1 og i 4.7.
Kontakt
Abonner på nyheter
Registrer deg for å få nyhetsvarsling når Finanstilsynet publiserer saker du er interessert i.