Veiledning om revisorers og revisjonsselskapers etterlevelse av hvitvaskingsregelverket

Rundskriv

Publisert: 23. desember 2019
Sist endret: 10. september 2024
Dokumentnummer: 14/2019

Utskriftsversjon

Rundskrivet gjelder for:

  • Revisorer
  • Revisjonsselskaper

 

1  Innledning

1.1  Generelt

Tjenester som tilbys av revisorer er egnet til å forebygge og avdekke all befatning med utbytte fra straffbare handlinger (hvitvasking) og finansiering av terrorhandlinger, terrororganisasjoner eller individuelle terrorister (terrorfinansiering). Revisjonsselskaper og revisorer som driver revisjonsvirksomhet i enkeltpersonforetak (begge omtalt som revisjonsforetak), har derfor en viktig rolle i å beskytte det finansielle og økonomiske systemet og samfunnet som helhet.

Dette rundskrivet er ment som en veiledning til å forstå hvilke plikter et revisjonsforetak og de som utfører arbeid for revisjonsforetaket har etter hvitvaskingsloven. Rundskrivet inneholder også en nærmere omtale av hva som følger av god revisjonsskikk etter revisorloven § 5-2 annet ledd når kunden er rapporteringspliktig. Rundskrivet erstatter rundskriv 3/2017.

Veiledningen gir ikke en fullstendig oversikt over alle pliktene etter hvitvaskingsloven. Når det gjelder en nærmere tolkning av hvordan enkelte bestemmelser er å forstå, vises det til Finanstilsynets generelle veiledning til hvitvaskingsloven – rundskriv 8/2019.1)

Pliktene etter hvitvaskingsloven gjelder også for eksisterende kundeforhold som ble inngått før lovens ikrafttredelse.

1.2  Anvendelsesområdet

Hvitvaskingsloven gjelder for revisjonsselskaper og revisorer i utøvelsen av deres yrke. Dette innebærer at alle revisjonsforetak er omfattet av loven. Revisorer som er ansatt i annen virksomhet, er ikke omfattet av loven.

Flere av pliktene etter hvitvaskingsloven gjelder for revisjonsforetaket (på "foretaksnivå"). Det vises særlig til kravet om virksomhetsinnrettet risikovurdering, etablering av interne rutiner, utpeking av hvitvaskingsansvarlig og opplæring. Andre plikter må oppfylles av den som er ansvarlig for oppdraget på vegne av foretaket (på "oppdragsnivå"). Dette gjelder for eksempel gjennomføring av risikoklassifisering av den aktuelle kunden og gjennomføring av innledende kundetiltak og løpende oppfølging. Det vil også være den som er ansvarlig for oppdraget og medarbeiderne som må undersøke nærmere forhold som kan indikere at kunden er involvert i hvitvasking eller terrorfinansiering. Det er revisjonsforetaket som skal rapportere til Økokrim. 

Finanstilsynet legger til grunn at alle tjenester der en godkjent revisor er ansvarlig for utføringen av oppdraget på vegne av revisjonsforetaket, vil være omfattet av hvitvaskingsloven. Også tjenester som andre enn godkjente revisorer utfører på vegne av revisjonsforetaket, vil være omfattet av loven når tjenesten er en naturlig del av virksomheten i et revisjonsforetak.

Eksempler på slike tjenester er:

  • skatterådgivning
  • utførelse av due diligenceoppdrag i forbindelse med oppkjøp og sammenslåing
  • transaksjonsrådgivning
  • selskapsrådgivning
  • investeringsrådgivning

Dersom revisjonsforetaket tilbyr virksomhetstjenester, er tjenestene uansett underlagt hvitvaskingsregelverket på dette grunnlaget. Se nærmere om dette i hvitvaskingsloven §§ 2 bokstav j), 4 annet ledd bokstav a) og § 42 og informasjon på Finanstilsynets nettsted,2) som omhandler virksomhetstjenester.

2  Organisering

2.1  Hvitvaskingsansvarlig

Det skal utpekes en hvitvaskingsansvarlig, jf. hvitvaskingsloven § 8 femte ledd, som skal:

  • være en person i ledelsen
  • ha tilstrekkelig erfaring, kompetanse og gjennomføringskraft til å fatte avgjørelser tilknyttet foretakets tiltak mot risiko for hvitvasking og terrorfinansiering
  • ha et særskilt ansvar for å utarbeide og følge opp hvitvaskingsrutiner, herunder at rutinene etterleves i foretaket
  • ha det overordnede ansvaret for at forhold som kan indikere hvitvasking eller terrorfinansiering blir undersøkt og at opplysninger om mistenkelige forhold eventuelt blir oversendt til Økokrim
  • være en ressurs- og kontaktperson for foretaket og dets ansatte på hvitvaskingsområdet

At det utpekes en hvitvaskingsansvarlig, fritar ikke revisjonsforetakets ledelse for ansvaret de har for virksomheten etter alminnelig selskapsrett, herunder ansvaret for etterlevelsen av hvitvaskingsloven.  

I mindre revisjonsforetak legger Finanstilsynet til grunn at hvitvaskingsansvarlig må være en person i den øverste ledelsen, det vil si daglig leder eller styremedlem. I enkeltpersonforetak vil innehaveren være hvitvaskingsansvarlig. Dersom hvitvaskingsansvarlig ikke inngår i den øverste ledelsen, må foretaket begrunne hvorfor en annen løsning er valgt. Begrunnelsen må være forsvarlig og kunne dokumenteres. Hvitvaskingsansvarlig kan ikke være samme person som en eventuell etterlevelsesansvarlig, se punkt 2.3.

Hvitvaskingsansvarlig kan delegere arbeidsoppgaver til andre i foretaket, men kan ikke delegere ansvaret som den hvitvaskingsansvarlige har etter hvitvaskingsloven. 

Dersom en risikovurdering av virksomhetens omfang og art tilsier det, jf. punkt 3.2.2 nedenfor, skal den hvitvaskingsansvarliges skikkethet vurderes, jf. hvitvaskingsloven § 35 annet ledd bokstav b. I disse tilfellene skal som et minimum den hvitvaskingsansvarliges kompetanse, erfaring og personlig skikkethet vurderes. Det er ikke nødvendig å innhente politiattest.

Om hvitvaskingsansvarlig i konsernforhold, se punkt 3.2.2 i Finanstilsynets generelle veiledning til hvitvaskingsloven (rundskriv 8/2019).

2.2  Opplæring

Revisjonsforetaket er pålagt å sikre at ansatte og andre som utfører oppdrag for foretaket, gis tilstrekkelig opplæring, jf. hvitvaskingsloven § 36. Hva som er tilstrekkelig, vil avhenge av hvilke tjenester som revisjonsforetaket tilbyr, størrelsen på foretaket og risikoen for at foretaket kan bli misbrukt som ledd i hvitvasking og terrorfinansiering. Den enkelte ansattes rolle, ansvar og oppgaver vil ha betydning for hvilken opplæring som anses som tilstrekkelig. Opplæringsprogrammet skal til enhver tid være oppdatert.

Opplæringen skal gis slik at de ansatte og andre som utfører oppdrag for foretaket er kjent med foretakets risikoeksponering og forpliktelser etter hvitvaskingsloven, samt at de gjøres i stand til å gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering. Som et minimum må revisjonsforetaket gi ansatte opplæring i:

  • Hva hvitvasking og terrorfinansiering er
    Det er helt grunnleggende at den enkelte ansatte har god kunnskap om hva hvitvasking og terrorfinansiering er. Uten kunnskap om hvitvasking og terrorfinansiering, vil det være vanskelig for den enkelte ansatte å oppdage forhold som kan indikere at midler har tilknytning til hvitvasking​ eller terrorfinansiering.

  • Kunnskap om eget foretak – herunder mulige sårbarheter ved foretaket
    De ansatte må ha god kjennskap til hvorfor revisjonsforetaket kan være sårbart for å bli brukt som ledd i hvitvasking eller terrorfinansiering. Eksempler kan være måten revisjonsforetaket er organisert på, ulike teknologiske systemer som brukes, at enkelte tjenester som leveres er mer utsatt for å bli brukt som ledd i hvitvasking eller terrorfinansiering, samt at foretaket eventuelt har utkontraktert deler av hvitvaskingsarbeidet.

  • Kunnskap om type kunder foretaket har – mulige trusler mot foretaket
    Den enkelte ansatte må videre kjenne til truslene som kan rette seg mot revisjonsforetaket, herunder særlig hvilke typer kunder, inkludert også PEP-er (politisk eksponert person), som revisor må ha ekstra oppmerksomhet rettet mot. Revisjonsforetaket må gi opplæring i indikatorlister og kjennetegn som er relevante for de ansatte. Opplæringen må oppdateres ettersom kriminalitetstrendene endrer seg.

    Nasjonalt tverretatlig analyse- og etterretningssenter (NTAES) har utarbeidet en liste over "Indikatorer på mistenkelige transaksjoner for rapporteringspliktige innen regnskap og revisjon". Det kan også tenkes andre relevante indikatorlister. Listen er tilgjengelig for innloggede medlemmer på Revisorforeningens nettside.3)

  • Revisors plikter etter hvitvaskingsloven
    Den enkelte ansatte må kjenne til pliktene etter hvitvaskingsregelverket. Foretakets rutiner vil være veiledende for hvilke temaer som er relevante.

Opplæring skal gis til alle nyansatte og jevnlig til alle ansatte, slik at nødvendig kunnskap vedlikeholdes. Opplæring må ikke nødvendigvis skje årlig, med mindre opplæringsprogrammet er oppdatert. Hvor ofte opplæring skal skje for den enkelte ansatte mv., beror også på dennes ansvar og rolle i revisjonsforetaket. For eksempel vil de personene som berøres av endringer i en hvitvaskingsrutine måtte gis ny opplæring.

Også foretakets styre og ledelse må ha opplæring som reflekterer deres rolle og ansvar for foretakets etterlevelse av hvitvaskingsregelverket.

Foretaket skal kunne dokumentere at opplæringsforpliktelsene er oppfylt.

2.3  Intern kontroll og etterlevelsesansvarlig

Revisjonsforetaket må gjennom intern kontroll i virksomheten sikre at hvitvaskingsregelverket overholdes, jf. hvitvaskingsloven § 35 annet ledd. En tilsvarende plikt følger av ISQC-1 punkt 48. Se nærmere om kravet til intern kontroll i punkt 3.3.2.

Dersom foretakets art og omfang tilsier det, må det utnevnes en etterlevelsesansvarlig. Dette må avgjøres på grunnlag av en konkret vurdering. Finanstilsynet antar at det bare er i de største revisjonsforetakene at det er nødvendig å vurdere behovet for å utnevne etterlevelsesansvarlig.

3  Risikobasert tilnærming, risikovurdering og rutiner

3.1  Risikobasert tilnærming

Revisjonsforetaket skal ha en risikobasert tilnærming i utarbeidelsen av virksomhetsinnrettet risikovurdering, rutiner og i kundetiltakene.

Det er ikke anledning til å fravike regelverket selv om risikoen er vurdert som liten, men lav risiko kan være av betydning for hvilke tiltak som må iverksettes.

3.2  Virksomhetsinnrettet risikovurdering

3.2.1  Innledning

Alle revisjonsforetak må gjøre en overordnet risikovurdering, jf. hvitvaskingsloven § 7. Det er revisjonsforetakets eget risikobilde som skal kartlegges. Selv om det tas utgangspunkt i maler for risikovurderinger som er utarbeidet av bransjeforeninger og andre, må disse tilpasses det enkelte revisjonsforetaket. Risikovurderingen skal dokumenteres.

Den virksomhetsinnrettede risikovurderingen er viktig fordi den danner grunnlaget for hvilke rutiner som etableres i foretaket. Rutinene er igjen viktige for å iverksette tiltak for å imøtegå risikoen og sikre at revisjonsforetakets arbeid mot hvitvasking og terrorfinansiering er forsvarlig organisert, og at det er tilstrekkelig oppmerksomhet rettet mot dette arbeidet i utføringen av de enkelte oppdragene. Videre danner den virksomhetsinnrettede risikovurderingen utgangspunktet for risikoklassifiseringen av den enkelte kunde. Dette er nødvendig for å avgjøre om kunden skal underlegges forsterkede kundetiltak, og hvilke risikoreduserende tiltak som skal iverksettes. En grundig virksomhetsinnrettet risikoanalyse er viktig for at foretakets ressurser blir allokert til de områdene hvor hvitvaskings- og terrorfinansieringsrisikoen er høyest.

Den virksomhetsinnrettede risikovurderingen består av å identifisere og forstå trusler mot revisjonsforetaket (eksterne forhold) og sårbarheter i foretaket (interne forhold), og betydningen av disse.

Risikovurderingens omfang vil variere ut fra revisjonsforetakets størrelse, risikoeksponering og kompleksitet, jf. hvitvaskingsloven § 7 fjerde ledd. For mindre revisjonsforetak med et enkelt og oversiktlig tjenestetilbud og kundesegment, kan risikovurderingen være mindre omfattende, men kan aldri unnlates. Større revisjonsforetak som tilbyr mange ulike tjenester til ulike kundegrupper, med eksponering mot ulike risikoutsatte bransjer og geografiske områder, vil måtte gjøre mer omfattende risikovurderinger.

De fleste foretak vil ha en kundeportefølje hvor noen kunder utgjør en høyere risiko for at revisjonsforetaket blir brukt som ledd i hvitvasking eller terrorfinansiering enn andre. Et av formålene med risikovurderingen er å ha god samlet oversikt over risikoen i porteføljen. Dette innebærer at revisjonsforetaket må identifisere kunder med høyere risiko for å sikre at disse kan bli underlagt et sterkere kontrollregime. Dette vil sette foretaket bedre i stand til å prioritere kundetiltak, og kan avdekke mulig hvitvasking eller terrorfinansiering.

Risikovurderingen må oppdateres jevnlig. En fornyet vurdering må gjøres årlig, eventuelt hyppigere ved behov. Behov for å oppdatere risikovurderingen kan oppstå i følgende tilfeller:

  • revisjonsforetaket lanserer nye tjenester
  • det foreligger ny kunnskap om metoder og trender for hvitvasking og terrorfinansiering som tas i bruk av kriminelle
  • revisjonsforetakets opparbeidede kunnskap og erfaringer tilsier behov for oppdatering
  • hvitvaskingsregelverket endres

Risikovurderingen og endringer i denne må dokumenteres. Den overordnede risikovurderingen skal fastsettes av revisjonsforetakets øverste ledelse, som er styret og daglig leder.

3.2.2  Nærmere om innholdet

Revisjonsforetaket må ha kunnskap om hva hvitvasking og terrorfinansiering er. Uten kunnskap om hvitvasking og terrorfinansiering vil det ikke være mulig å vurdere risikoen
for at eget foretak kan misbrukes av kriminelle til disse formålene.

Som et minimum må alle revisjonsforetak ha en risikovurdering som dekker punktene i hvitvaskingsloven § 7 annet ledd, bokstav a) til d).

Interne forhold
Risikovurderingen skal reflektere interne forhold i revisjonsforetaket som gjør revisjonsforetaket sårbart for å bli utnyttet som ledd i hvitvasking og terrorfinansiering.

Egen virksomhet, herunder virksomhetens art og omfang – bokstav a)
Følgende forhold ved eget foretak kan være en sårbarhet som øker risikoen for å bli brukt som ledd i hvitvasking eller terrorfinansiering:

  • Antall ansatte og kompetansenivå på disse, organisering og omsetning. Nyansatte eller ansatte med lavt kompetansenivå kan være en sårbarhet som krever økt oppfølging og opplæring. Det samme gjelder desto større foretaket er. Eksempelvis kan avdelingskontorer spredt over et større geografisk område medføre sårbarhet for manglende oppfølging, koordinering og opplæring.

  • Bruk av teknologi. Teknologi kan være mangelfull, eksempelvis kan elektroniske systemer som inneholder sjekklister for aksept av kundeforhold inneholde mangler eller feilprogrammeringer. Også ny teknologi som tas i bruk må vurderes opp mot hvitvaskingsregelverket.

  • Utkontraktering. Utkontraktering medfører sårbarhet fordi kontraktsparten ikke nødvendigvis er kjent med, eller har oppmerksomhet rettet mot, hvitvaskingsregelverket. Det er revisjonsforetaket som er ansvarlig for at pliktene etter hvitvaskingsloven overholdes. Revisjonsforetaket må derfor vurdere om personene eller selskapene som det har utkontraktert oppgaver til, har tilstrekkelig kunnskap og kompetanse til å oppfylle pliktene i hvitvaskingsregelverket for oppdragene som utkontrakteres.

  • Nærhet til kunden. Dersom det foreligger en nærhet til eller avhengighet av kunder, kan dette øke sårbarheten for at revisor ikke gjennomfører alle pliktige kundetiltak. En nærhet som kan gjøre foretaket sårbart, er for eksempel at virksomheten drives på et mindre sted hvor kunden, eller personer som handler på vegne av kunden, er kjente, enten som følge av forretningssamarbeid, eller i privat sammenheng. Et begrenset kundeutvalg kan også være en sårbarhet fordi det kan medføre at ikke alle pliktige kundetiltak blir utført av frykt for å miste inntekt.

Foretakets produkter, tjenester og kundeforhold – bokstav b)
Sårbarheten for å bli utnyttet som ledd i hvitvasking og terrorfinansiering vil variere avhengig av hvilke tjenester som leveres. Revisjonsforetaket må derfor identifisere og vurdere hvilke forhold ved de enkelte tjenestene som tilbys, som kan gjøre foretaket sårbart for å bli brukt som ledd i hvitvasking og terrorfinansiering.

Revisjonsforetaket må ha en oversikt over alle tjenester som det leverer, og en oppfatning av hvilke kunder som omfattes av hvitvaskingsloven, jf. over i punkt 1.2. Foretaket må vurdere hvordan den enkelte tjeneste som leveres kan være sårbar for å bli brukt som ledd i hvitvasking eller terrorfinansiering. For nye tjenester må risikovurderingen gjøres før de lanseres.

Følgende tjenester er eksempler som kan utgjøre en sårbarhet som øker risikoen for at revisjonsforetaket kan bli brukt som ledd i hvitvasking eller terrorfinansiering:

  • Årsregnskapsrevisjon. Revisor er allmennhetens tillitsperson ved utførelsen av årsregnskapsrevisjonen. Det at en kunde er revidert, bidrar til det offentliges tillit til kundens årsregnskap, og kan gjøre at kontrolltiltak, for eksempel bokettersyn, fra det offentliges side blir lavere prioritert. Dersom en kunde som ikke er underlagt revisjonsplikt, likevel velger å ha revisor, må revisor vurdere kundeforholdets formål og tilsiktede art, jf. hvitvaskingsloven § 13 femte ledd. Ved revisjon av foretak som håndterer andres midler, for eksempel klientmidler, eller der betalingsstrømmer går gjennom foretaket, må revisor være oppmerksom på at kunden kan bli brukt av tredjepart som ledd i hvitvasking eller terrorfinansiering.

  • Attestasjonstjenester og beslektede tjenester. Revisors attestasjoner og uttalelser kan bidra til at forholdet det gjelder legitimeres, og på denne måten kamuflere hvitvasking eller terrorfinansiering. For eksempel kan revisors uttalelser om kapitalforhøyelse etter aksjelovgivningen gi tillit til at midlenes opprinnelse er legitim. Ved ikke-lovpliktige attestasjonstjenester, må revisor vurdere kundeforholdets formål og tilsiktede art, hvitvaskingsloven § 13 femte ledd.

  • Rådgivning. Investeringsrådgivning og skatterådgivning knyttet til kompliserte kundestrukturer og produkter tilknyttet flere land kan bidra til tilsløring og integrering av hvitvasking av midler.

Eksterne forhold
Risikovurderingen skal reflektere eksterne forhold som utgjør trusler om at revisjonsforetaket kan bli utnyttet som ledd i hvitvasking og terrorfinansiering. Dette gjør at revisjonsforetaket må kjenne sine oppdragsgivere.

Type kunder og kundegrupper – bokstav c)

  • Fysiske personer
    Kategorien omfatter flere grupper, f.eks. norske statsborgere, utenlandske statsborgere, umyndige personer mv. Økt trussel kan foreligge alene eller i kombinasjon med andre faktorer, herunder at personen er politisk eksponert person (PEP), kommer fra, eller er bosatt i utlandet, er kjent kriminell, har forbindelser til skatteparadis eller bruker fullmektiger.

  • Politisk eksponerte personer – PEP
    Kunden, den som opptrer på vegne av kunden, eller reell rettighetshaver, er en politisk eksponert person. Kategorien omfatter også nære familiemedlemmer4) og kjente medarbeidere5) til politisk eksponert person. Trusselen knyttes til hvitvasking av utbytte etter korrupsjon.

  • Reelle rettighetshavere
    Dersom reelle rettighetshavere til kunden viser seg å være etablert i høyrisikoland, fordrer det særlig oppmerksomhet fra revisor. Det vises til Finanstilsynets oversikt over høyrisikoland.6)

  • Personer oppført på sanksjonslister
    Kunder, personer som representerer kunder eller reelle rettighetshaver som står på FNs eller EUs lister over personer eller organisasjoner som mistenkes for å medvirke til terrorfinansiering, kan utgjøre en trussel mot revisjonsforetaket, se utenriksdepartementets "frysveileder".7)

  • Kriminelle personer knyttet til kunder
    Sentrale personer i ledelsen hos kunden eller reelle rettighetshavere har kriminell bakgrunn, er medlem av en gruppering som driver med kriminalitet eller er nærstående til kriminelle, kan utgjøre en trussel. Trusselen kan f.eks. være knyttet til uklarheter ved midlenes opprinnelse.

  • Kunder med tilknytning til terrororganisasjoner
    Risikoen for å bli benyttet som ledd i terrorfinansiering skal alltid vurderes, herunder om sentrale personer i ledelsen hos kunden eller reelle rettighetshavere er kjent for å ha tilknytning til miljøer som f.eks. støtter terrororganisasjoner, også der konklusjonen er at risikoen for terrorfinansiering er marginal.

  • Organisering av virksomheten
    Kunden har en kompleks eierstruktur eller styringsstruktur uten at det har en naturlig forretningsmessig begrunnelse. Det er viktig at revisjonsforetaket kartlegger kundens selskapsstruktur, jf. hvitvaskingsloven § 13 første ledd.

  • Disponenter
    Bankkontoer eller eiendeler disponeres av personer som ikke har noen naturlig rolle i foretaket.

  • Næringsdrivende innenfor høyrisikobransjer
    Dersom revisjonsforetaket har en stor andel av sin oppdragsportefølje innenfor en eller flere bransjer eller kundekategorier, der hvitvasking erfaringsmessig forekommer oftere enn i andre bransjer, bør kravet til aktsomhet skjerpes. Følgende bransjer er eksempler på høyrisikobransjer, se blant annet Nasjonal risikovurdering8):
    - bygg/anlegg
    - renhold
    - restaurant og uteliv
    - utleie av arbeidskraft
    - dagligvare/kiosk uten tilknytning til franchise
    - bilvask/bilpleie/bilverksted
    - transport
    - fiskeri
    - olje/gass
    - spill- og lotteritjenester
    - kryptovalutaer og vekslingstjenester knyttet til virtuelle valutaer
    - andre kontantintensive virksomheter

    Dersom revisjonsforetaket har en stor andel av sin oppdragsportefølje innenfor slike høyrisikobransjer, er det særlig viktig med høy aktsomhet. Finanstilsynet forventer at dette også avspeiles i den virksomhetsinnrettede risikovurderingen.

    Det er likevel viktig at revisjonsforetaket er klar over at kriminelle kan flytte hvitvaskings- og terrorfinansieringsvirksomhet til andre bransjer for å unngå den særlige oppmerksomheten som rapporteringspliktige har mot tradisjonelt utsatte bransjer.

  • Foreninger/lag
    Revisjonsforetaket må være oppmerksom på formålet med foreningen. Særlig gjelder dette for organisasjoner som overfører penger til konfliktområder og andre høyrisikoområder, eller ved mindre organisasjoner som har svake kontrolltiltak.

Geografiske forhold – bokstav d)
Risiko kan være knyttet til kunder, reelle rettighetshavere eller andre som kunden har tilknytning til, eller er eksponert mot land9) som er identifisert med betydelig omfang av korrupsjon og annen kriminalitet, eller som er gjenstand for internasjonale sanksjoner
og/eller restriktive tiltak.

Risikoen for å bli brukt som ledd i hvitvasking eller terrorfinansiering
Risikoen for at revisjonsforetaket blir benyttet til hvitvasking eller terrorfinansiering, beror på foretakets samlede vurdering av trusselbildet mot og sårbarheter ved egen virksomhet. Herunder blant annet på foretakets profesjonalitet og kompetanse, utarbeidelser og etterlevelse av gode rutiner og retningslinjer, utførelsen av oppdrag i overensstemmelse med hvitvaskingslovgivning, samt interne kontroller av at hvitvaskingsregelverket etterleves på alle nivåer i foretaket.

3.3  Rutiner

3.3.1  Krav til revisjonsforetakets hvitvaskingsrutiner

Revisjonsforetaket må håndtere alle risikoene som er identifisert i den virksomhetsinnrettede risikovurderingen på en forsvarlig måte. Det er et lovkrav at det skal fastsettes rutiner som skal redusere risikoene, og for øvrig bidra til at pliktene etter hvitvaskingsloven oppfylles i alle deler av foretakets virksomhet. Det må være en tydelig sammenheng mellom foretakets risikovurdering og det som står i rutinene, slik at etterlevelse av rutinene faktisk vil redusere risikoen.

Rutinene skal være tilpasset det konkrete foretakets risikoer, selv om det tas utgangspunkt i standardiserte rutineverk fra for eksempel bransjeorganisasjoner.

For at rutinene skal være egnet til å forebygge og avdekke hvitvasking og terrorfinansiering, må de være konkrete, detaljerte og oppdateres når det er nødvendig. Dette innebærer at de må gjennomgås når risikovurderingen endres. Videre må de revideres når det foreligger nye regulatoriske krav, når ny teknologi tas i bruk, eller ved andre endringer i trusselbildet mot foretaket eller sårbarheter ved foretaket. Det er naturlig at behov for justeringer vurderes årlig.

Rutinene skal være tilgjengelige og gjøres kjent for ansatte, innleide konsulenter og andre som bistår på oppdrag som omfattes av loven.

For at etterlevelsen av kravet om etablering av rutiner skal kunne kontrolleres, må det foreligge en beskrivelse som gir et samlet bilde av rutinene som er iverksatt i foretaket. Dersom deler av rutinene legges inn i revisjonsverktøy eller lignende, må det fremkomme av rutinebeskrivelsen hvilke vurderinger og handlinger som gjøres gjennom bruk av systemet og hvordan det dokumenteres.

Rutiner skal fastsettes av styret eller tilsvarende organ i et revisjonsselskap eller av innehaveren av enkeltpersonforetaket. Dersom foretaket har flere dokumenter som angir hvitvaskingsrutinene, er det tilstrekkelig at de overordnede rutinene fastsettes på øverste nivå. Operative rutiner, som angir i mer detalj hvordan etterlevelsen av regelverket skal gjennomføres, må uansett ha en klar forankring i den overordnede rutinen. Der hvor revisjonsforetaket også er knyttet til et globalt nettverk som også har globale hvitvaskingsrutiner, er det viktig med klare henvisninger til de globale og nasjonale rutinene, og at begge er lett tilgjengelige for ansatte og tilsynsmyndigheter.

3.3.2  Rutinenes innhold

Det skal fremgå av rutinene hvordan foretaket og dets ansatte skal gjennomføre tiltakene som er nødvendige for å oppfylle hvitvaskingsregelverket og de identifiserte risikoene i foretaket. Rutinen skal være så detaljert at den enkelte ansatte til enhver tid kan vite hvilke kundetiltak som skal gjennomføres, og hvordan de skal utføres. Dette betyr at foretaket minimum må ha rutiner for hvordan vurdere og håndtere:

  • Overordnet organisering
    Rutinen må inneholde en oversikt over revisjonsforetakets oppfølging av hvitvaskingsloven, herunder utpeke hvitvaskingsansvarlig og fastslå dennes ansvar og oppgaver.

  • Kundetiltak
    Rutinen må beskrive gjennomføring av forenklede, alminnelige og forsterkede kundetiltak, herunder blant annet identifisering, kontroll og/eller bekreftelse av identitet, fullmakt, reelle rettighetshavere, samt håndtering av politisk eksponerte personer. Rutinen bør gi en forklaring på innholdet i vurderingene som skal gjøres, og gi informasjon om hvordan foreliggende informasjon skal vurderes. Rutinen må også inneholde håndtering for avvikling og avvisning av kundeforhold. Det vises til hvitvaskingsloven §§ 10-14, 16-18 og 21.

  • Bruk og håndtering av støtteverktøy
    Rutinen må beskrive bruk og håndtering av eventuelle støtteverktøy, herunder risikoscoringsmodeller, PEP-lister og elektronisk overvåkingssystem.

  • Risikoklassifisering av kunder
    For å gjennomføre de korrekte kundetiltakene på den enkelte kunde, må alle kunder risikoklassifiseres (f.eks. med kategoriene høy, normal, lav). Risikoklassifiseringen må bygge på generelle vurderinger fra foretakets egen risikovurdering og konkrete forhold tilknyttet den enkelte kunde. Risikoklassifiseringen skal dokumenteres for hvert enkelt oppdrag.

    Det er anledning til å anvende standardiserte modeller og risikoprofiler for kundemassen, men disse må tilpasses foretakets konkrete risikoer. Utgangspunktet for risikoklassifiseringen må likevel være at kunden er klassifisert som normal risiko. Det må foretas en særskilt vurdering av den enkelte kunden for at denne skal kunne klassifisere som lavrisikokunde.

    Rapporteringspliktige må jevnlig gjennomgå og tilpasse risikoklassifiseringssystemet, blant annet i forbindelse med justeringer i risikovurderingen.

    Risikoen skal anses som høy i tilfeller der kunden er et foretak som ledes eller eies av en politisk eksponert person, eller nære familiemedlemmer og kjente medarbeidere til en politisk eksponert person. En politisk eksponert person er en person som innehar, eller i løpet av det siste året har innehatt, høytstående offentlig verv eller stilling i Norge eller i en annen stat. I disse tilfellene skal det iverksettes forsterkede kundetiltak.

    Se nærmere omtale i punkt 3.2.2 om ulike momenter som kan medføre høy risiko.

  • Løpende oppfølging
    Revisjonsforetaket må ha rutine for når og hvordan løpende oppfølging av kunden skal gjennomføres. Hvor ofte slik løpende oppfølging skal utføres, vil avhenge av risikoen knyttet til kunden. Enkelthendelser kan utløse en særskilt plikt til oppfølging uavhengig av den opprinnelige risikoklassifiseringen av kunden. Det forventes at foretaket uansett har rutine for at oppfølging skal skje minst årlig.

  • Undersøkelser av mistenkelige forhold. Rapportering til Økokrim
    Foretaket må ha rutine for å innhente og kontrollere nødvendig informasjon for å avdekke indikasjoner på mistenkelige forhold. Det vises til NTAES' indikatorliste. Bruk av kontanter eller remisser kan være et forhold som utløser undersøkelsesplikt.

    Videre må foretakets rutiner angi når nærmere undersøkelser skal iverksettes og hvordan undersøkelsene skal gjennomføres. Tiltakene må gjennomføres på en slik måte at verken kunde eller tredjepersoner gjøres kjent med at det foretas undersøkelser. Rutinene må omfatte rapportering til Økokrim dersom mistanken bekreftes eller ikke kan avkreftes. Foretakets rutiner må dessuten omfatte dokumentasjon av nærmere undersøkelser, og utfallet av disse.

    Revisjonsforetaket må kunne gjøre normale revisjonshandlinger som å sende nummererte brev til ledelsen dersom forholdene tilsier det. Foretaket kan derimot ikke opplyse at forholdet er innrapportert til Økokrim.

  • Kundetiltak utført av tredjeparter
    Det må foreligge rutine for håndtering og oppfølging der foretaket bygger på kundetiltak utført av tredjeparter, jf. hvitvaskingsloven § 22.

  • Utkontraktering
    Det må foreligge rutine for håndtering og oppfølging av utkontrakterte oppgaver, jf. hvitvaskingsloven § 23.

  • Behandling og lagring av opplysninger, delingsadgang og avsløringsforbud
    Rutinene må omfatte foretakets informasjonshåndtering, herunder delingsadgang og håndtering av avsløringsforbud, samt behandling og lagring av opplysninger.

  • Opplæring
    Foretakets rutiner må sikre at plikten til opplæring av partnere, medarbeidere og andre som utfører oppdrag for foretaket ivaretas, se punkt 2.2.

  • Intern kontroll
    Kravet om intern kontroll i hvitvaskingsloven § 35 innebærer at foretakets rutiner må inkludere kontroll av etterlevelsen av hvitvaskingsrutinene. Rutinene for intern kontroll må minimum legge opp til kontroll av at:
    - det er foretatt identitetskontroll av kunden eller personer som handler på vegne av kunden
    - det er innhentet og bekreftet opplysninger om reelle rettighetshavere
    - PEP-status er avklart
    - kundeforholdet er risikovurdert (klassifisert) i henhold til risikovurdering og rutiner
    - tilstrekkelig informasjon er innhentet og kontrollert for å avdekke eventuelle mistenkelige forhold
    - nødvendige nærmere undersøkelser er foretatt, og det er vurdert om disse er egnet til å bekrefte eller avkrefte mistanken
    - eventuell rapporteringsplikt til Økokrim er overholdt

    Interne kontrolltiltak må være forsvarlige. Hyppigheten og omfanget må bero på en vurdering av blant annet foretakets art og omfang og ansattes kompetanse på hvitvaskingsområdet. Oppdrag hvor risikoen er vurdert å være høy, skal alltid inngå i den interne kontrollen.

    Der det avdekkes mange, alvorlige eller gjentatte feil, må foretaket iverksette tiltak for å avdekke det totale omfanget av feil. Deretter må det iverksettes tiltak for å forhindre at tilsvarende feil skjer på et senere tidspunkt. Foretaket må følge opp at de iverksatte tiltakene faktisk medfører en reduksjon av feil.

4  Kundetiltak

4.1  Plikt til å gjennomføre kundetiltak

Utgangspunktet er at det skal gjennomføres kundetiltak før etablering av kundeforhold, jf. hvitvaskingsloven § 11, jf. § 10. Revisjonsforetak anses for å ha etablert et kundeforhold når de har påtatt seg et oppdrag. Hvis foretaket ikke har inngått en avtale om å påta seg oppdraget, vil kundeforhold likevel etableres når erklæringen om at oppdraget er akseptert, er sendt fra revisjonsforetaket til Foretaksregisteret, jf. hvitvaskingsforskriften § 4-1 (2).

Dersom kundetiltak ikke lar seg gjennomføre, skal kundeforhold ikke etableres, jf. hvitvaskingsloven § 21 første ledd, se punkt 5.

4.2  Kundeforholdets formål og tilsiktede art

For å kunne risikoklassifisere kunden, og for å kunne utføre løpende oppfølging i samsvar med hvitvaskingsreglene, må revisjonsforetaket innhente og vurdere nødvendige opplysninger om kundeforholdets formål og tilsiktede art, jf. hvitvaskingsloven §§ 12 femte ledd og 13 femte ledd.

Hvorfor kunden ønsker å etablere et kundeforhold og benytte de aktuelle tjenestene må inngå i vurderingen av kundeforholdets formål og tilsiktede art. Ved revisjonsoppdrag og lovpliktige attestasjoner er formålet og den tilsiktede arten vanligvis klart, slik at det ikke vil være nødvendig å innhente ytterligere opplysninger om dette. Dette gjelder selv om kunden har anledning til å fravelge revisjon.

Dersom formålet ikke er selvforklarende, er det nødvendig å få klarhet i hvorfor kunden ønsker å opprette kundeforholdet, ta i bruk en tjeneste eller et produkt. Det kan være forhold som gir grunn til å vurdere hvorfor kunder som ikke er revisjonspliktige velger å la sine regnskap revideres. Ved andre attestasjonsoppdrag enn de lovpliktige og ved revisjonsnære tjenester, må følgende vurderes:

  • bakgrunnen for at kunden ønsker å opprette det aktuelle kundeforholdet og hvorfor kunden vil benytte aktuelle produkter eller tjenester (formålet)
  • hvordan kunden skal bruke tjenestene og produktene (tilsiktede art)

Vurderingene skal danne tilstrekkelig grunnlag for en oppfatning om hvordan kunden kan ventes å handle innen rammen av kundeforholdet. Dette gjør det mulig å oppdage avvik fra forventet atferd. Avvik fra forventet atferd kan indikere hvitvasking eller terrorfinansiering.

4.3  Plikt til å ta kopi og bekrefte rett kopi av legitimasjonsdokumenter

Hvis identiteten til en fysisk person bekreftes med et gyldig legitimasjonsdokument i stedet for med elektronisk signatur, skal det tas kopi av legitimasjonsdokumenter som er fremlagt i original. Den hos revisjonsforetaket som foretar kundekontrollen skal bekrefte at kopien av dokumentet er korrekt, samt datere og signere kopien. Dato for gjennomføringen av kundetiltaket og "rett kopi bekreftes" skal påføres kopien.

I stedet for signatur og påføring som nevnt over, kan det på annen måte sikres tilsvarende notoritet om bekreftelsen, herunder hvem som har foretatt bekreftelsen og når den er foretatt. Eksempel på dette er bruk av elektroniske systemer som vil oppfylle lovkravet om bekreftelse. Eventuelle alternative fremgangsmåter må oppfylle lovens krav. Se Finanstilsynets generelle veiledning til hvitvaskingsloven – rundskriv 8/2019.

For bekreftelse av identitet ved elektronisk legitimasjon og uten personlig fremmøte, se punkt 4.5.1.2 nedenfor og 4.5.1.3.

4.4  Bekreftelse av identitet – juridiske personer

4.4.1  Oppslag mot eller utskrift fra register eller firmaattest

Revisor skal innhente og bekrefte opplysninger om identiteten til kunder som er juridiske personer, jf. hvitvaskingsloven § 13.

Opplysningene som skal innhentes om kunde som er juridisk person, er:

  • foretaksnavn
  • organisasjonsform
  • organisasjonsnummer
  • adresse (kontoradresse)
  • navnet på daglig leder (evt. forretningsfører, innehaver eller tilsvarende kontaktperson dersom kunden ikke har daglig leder) og styremedlemmer, eller personer i tilsvarende stilling

For å innhente informasjonen kan revisor eksempelvis be kunden om å legge frem firmaattest, eller registerutskrift, herunder elektronisk utskrift i form av skjermbilde.

Informasjonen kan bekreftes ved at revisor selv gjør oppslag mot offentlig register eller innhenter firmaattest. Revisors bekreftelse kan dokumenteres ved at revisor tar utskrift eller skjermdump. Norske offentlige registre kan benyttes. Utenlandske offentlige registre kan benyttes i den grad disse har tilstrekkelig notoritet.

Gyldig legitimasjon for juridisk person vil i praksis være:

  • Oppslag mot eller utskrift av firmaattest som ikke er eldre enn tre måneder. Dette gjelder foretak som er registrert i Foretaksregisteret. De fleste norske foretak og selskaper som driver næringsvirksomhet i Norge er registrert her. Det samme gjelder utenlandske foretak som driver næringsvirksomhet i Norge.
  • Oppslag mot eller utskrift fra Enhetsregisteret som ikke er eldre enn tre måneder. Dette gjelder for enheter som ikke er registrert i Foretaksregisteret, men som har plikt eller rett til å registrere seg i Enhetsregisteret.
  • Oppslag mot eller utskrift fra andre offentlige registre. Dette gjelder enheter som ikke er registrert verken i Foretaksregisteret eller Enhetsregisteret. I praksis gjelder dette utenlandske foretak som ikke driver næringsvirksomhet i Norge. Rapporteringspliktige må i slike tilfeller kreve oppslag mot, eller utskrift fra, utenlandsk offentlig register og eventuelt utenlandsk firmaattest.

Firmaopplysninger bør være så oppdaterte som mulig. Der kundetiltakene baseres på oppslag i offentlige registre, bør oppslag gjøres når kundeforholdet etableres. Der kontrollen må baseres på firmaopplysninger som fremlegges av kunden, bør opplysningene ikke være eldre enn én måned.

For å oppfylle kravene til dokumentasjon, må det registreres opplysninger som sikrer notoritet om oppslaget og evt. andre tiltak som er gjennomført, jf. hvitvaskingsloven § 30.

4.4.2  Krav til organisasjonsnummer og registreringsplikt

Organisasjonsnummer til den juridiske personen skal innhentes og bekreftes, jf. hvitvaskingsloven § 13 første ledd bokstav c. Dette gjelder uavhengig av om kunden har norsk eller utenlandsk organisasjonsnummer. Det vises til Finanstilsynets generelle veiledning til hvitvaskingsloven (rundskriv 8/2019) for nærmere krav til de enkelte selskapsformene og ledelsen i disse.

4.4.3  Fysiske personer som handler på vegne av kunden eller har disposisjonsrett

Opplysninger om fysiske personer som overfor revisjonsforetaket handler på vegne av juridisk person, herunder personer som har disposisjonsrett over konto eller depot, skal innhentes og bekreftes i samsvar med hvitvaskingsloven § 12 første og annet ledd. Retten til å handle på vegne av den juridiske personen skal bekreftes i samsvar med § 12 annet ledd. Se nærmere om bekreftelse av identitet til fysiske personer under punkt 4.5.

4.5  Bekreftelse av identitet – fysiske personer

Reglene om bekreftelse av identitet til fysiske personer gjelder i situasjoner der en juridisk person er representert av én eller flere fysiske personer, og der kunden er en fysisk person.

4.5.1  Generelt

4.5.1.1  Legitimasjonsdokumenter

Hvitvaskingsforskriften § 4-3 regulerer kravene til gyldig legitimasjon for fysiske personer. Gyldig legitimasjon for fysiske personer ved personlig fremmøte er original av dokumenter som:

  • er utstedt av offentlig myndighet eller av annet organ som har betryggende kontrollrutiner for dokumentutstedelse, og dokumentene har et tilfredsstillende sikkerhetsnivå
  • inneholder fullt navn, navnetrekk, fotografi
  • fødselsnummer eller D-nummer

For personer uten norsk fødselsnummer eller D-nummer, skal legitimasjonsdokumentet i tillegg inneholde fødselsdato, fødested, kjønn og statsborgerskap.

Gyldig legitimasjon for fysiske personer er etter Finanstilsynets oppfatning:

  • norske og utenlandske pass (ikke nødpass)
  • norske førerkort
  • norske bankkort med bilde
  • nasjonale ID-kort utstedt av et EØS-land (en oversikt over disse fremgår av utlendingsforskriften vedlegg 4)
  • norsk utlendingspass (blått pass)
  • norsk reisebevis for flyktninger (grønt pass)
  • elektronisk legitimasjon i henhold til hvitvaskingsforskriften § 4-3 fjerde ledd

Legitimasjonsdokumentet må være gyldig. Det vil si at det ikke kan være utgått på dato ved fremleggelsen. Ved personlig oppmøte må legitimasjonsdokumentet fremlegges i original.

Sikkerhetselementene i legitimasjonsdokumentet må kontrolleres for at det ikke er forfalsket, at det er ansikts- og bildelikhet og at dokumentets angitte persondata er riktige. Disse punktene må i tillegg kontrolleres mot eksterne kilder, som eksempelvis Folkeregisteret.

4.5.1.2  Elektronisk legitimasjon

Elektronisk legitimasjon som angitt i hvitvaskingsforskriften § 4-3 fjerde ledd anses likestilt med personlig fremmøte og fremvisning av gyldig legitimasjon i original ved etablering av kundeforhold. Det må imidlertid foretas en konkret vurdering av om risikoen tilsier at det er nødvendig å fremlegge ytterligere dokumentasjon. Den elektroniske identitetskoden og opplysninger om utstederens identitet skal lagres i tråd med hvitvaskingsloven kapittel 6, og dersom dette gjøres, trenger ikke kunden å fremlegge kopi av gyldig legitimasjonsdokument.

4.5.1.3  Bekreftelse av identitet uten personlig fremmøte

Ved bekreftelse av kundens identitet uten dennes personlige fremmøte, skal det fremlegges ytterligere dokumentasjon eller gjennomføres ytterligere tiltak. Hvilke krav som vil stilles til innhenting av ytterligere dokumentasjon eller gjennomføring av ytterligere tiltak, beror på hvilken risiko kunden kan utgjøre for hvitvasking og terrorfinansiering.

Kopi av legitimasjonsdokument
Kunden må fremlegge kopi av gyldig legitimasjonsdokument, og revisor må foreta de samme vurderingene som ved originalt legitimasjonsdokument. Det stilles ikke krav til kopi som er bekreftet av offentlige myndigheter, eller andre som har myndighet til å attestere bekreftede kopier. Kunden må imidlertid fremlegge en papirbasert eller elektronisk kopi av legitimasjonsdokumentet som gir tilstrekkelig sikkerhet for at kopien er reell. Revisor må vurdere riktigheten av kopien i hvert enkelt tilfelle, og hva som kreves for å bekrefte riktigheten.

Ytterligere dokumentasjon og tiltak
Følgende konkrete og ytterligere tiltak, enkeltvis eller i kombinasjon, kan bidra til å avhjelpe den forsterkede risikoen knyttet til fravær av personlig fremmøte:

  • innhenting av kundens skattemelding, lønnsslipp, bekreftelse på utbetaling av trygd, stønad, studielån eller andre offentlige ytelser
  • samtale med kunden på telefon som er registrert på kunden
  • videokommunikasjon med kunden
  • øvrige betryggende elektroniske løsninger
  • kommunikasjon med kunden via postadresse eller digital adresse som er registrert på kunden (kommunikasjonen bør inneholde kundens signatur som kan sjekkes mot kopien av legitimasjonsdokumentet)

Opplistingen er ikke uttømmende, og omfanget og arten av tiltakene må bero på en konkret risikobasert vurdering. Kundeopplysningene som innhentes, bør sjekkes mot offentlige registre.

4.5.2  Personer som handler på vegne av kunden

4.5.2.1  Bekreftelse av identitet

Identiteten til den eller de som faktisk handler på vegne av kunden skal bekreftes med gyldig legitimasjon, jf. hvitvaskingsloven § 13 annet ledd, jf. § 12 annet ledd.

Finanstilsynet legger til grunn at det er styrets leder eller daglig leder som skal handle på vegne av kunden ved inngåelse av revisjonsoppdrag. For andre typer oppdrag, kan det etter forholdene være andre personer i ledelsen som kan handle på vegne av kunden. Revisjonsforetaket bør fastsette rutiner som angir hvem som skal anses for å kunne handle på vegne av kunden i ulike oppdrag.

Kravet er ufravikelig, med unntak av kunder som er vurdert å ha lav risiko, og dermed kan underlegges forenklede kundetiltak, jf. hvitvaskingsloven § 16 og hvitvaskingsforskriften § 4-7. Det følger av hvitvaskingsforskriften § 4-7 at krav til bekreftelse av identiteten til personer som handler på vegne av kunden, kan lempes når kunden er underlagt forenklede kundetiltak. Opplysningene skal innhentes, men i særlige tilfeller, og etter en konkret vurdering, kan revisor unnlate å innhente gyldig legitimasjon. Der revisor ikke innhenter gyldig legitimasjon, må revisor på annen måte være sikker på vedkommendes identitet og dokumentere begrunnelsen. Finanstilsynet anbefaler at det alltid innhentes gyldig legitimasjon.

4.5.2.2  Bekreftelse på retten til å handle på vegne av kunden

Selve retten til å handle på vegne av kunden skal også bekreftes ved skriftlig dokumentasjon, jf. hvitvaskingsloven §§ 12 annet ledd siste punktum og 13 annet ledd siste punktum.

Bekreftelse på retten til å handle på vegne av kunden, er eksempelvis firmaattest for å dokumentere styremedlem, daglig leder eller prokurist, eventuelt skriftlig fullmakt fra kunden.

4.5.3  Bekreftelse av identitet når kunden er en fysisk person

Revisjonsforetak har få fysiske personer som kunder, men enkelte rådgivningstjenester leveres også til fysiske personer. Kravet om å bekrefte kundens identitet gjelder også såkalte kjente kunder som revisjonsforetaket har fra før av eller måtte få i fremtiden.

4.6  Bekreftelse av identitet – reelle rettighetshavere

4.6.1  Formål

Kravet om identitetskontroll er en videreføring av "kjenn-din-kunde"-prinsippet. Kravet innebærer at:

  • reelle rettighetshavere må identifiseres
  • identiteten til reelle rettighetshavere må bekreftes ved egnede tiltak
  • egnede tiltak for å forstå eierskaps- og kontrollstrukturen hos kunde som ikke er en fysisk person må iverksettes

Reell(e) rettighetshaver(e) hos kunden er fysisk(e) person(er) som i siste instans eier eller kontrollerer kunden, eller som en transaksjon eller aktivitet gjennomføres på vegne av, jf. hvitvaskingsloven § 2 e). Definisjonen av reell rettighetshaver må holdes atskilt fra
formelt eierskap og formell kontroll. Kun fysiske personer kan være reelle rettighetshavere.

4.6.2  Identifikasjon og bekreftelse

Når kunden er en fysisk person, vil kunden selv i de fleste tilfeller være reell rettighetshaver. Hvis det ikke er indikasjoner på at kunden opptrer på vegne av en annen, vil det i utgangspunktet være tilstrekkelig å stille kunden et kontrollspørsmål for å avdekke om kundeforholdet etableres på vegne av tredjeperson(er).

For en kunde som ikke er en fysisk person, skal revisor, jf. § 14, avgjøre om det er fysiske personer, alene eller sammen med nære familiemedlemmer, jf. § 2 g), som:

  1. eier mer enn 25 prosent av eierandelene i den juridiske personen eller sammenslutningen,
  2. på grunn av innehav av aksjer, andeler eller medlemskap kontrollerer mer enn 25 prosent av det totale antallet stemmer i den juridiske personen eller sammenslutningen,
  3. har rett til å utpeke eller avsette mer enn halvparten av den juridiske personens eller sammenslutningens styremedlemmer eller tilsvarende,
  4. på grunn av avtale med eiere, medlemmer, den juridiske personen eller sammenslutningen, vedtekter eller tilsvarende, kan utøve kontroll i samsvar med bokstav a, b eller c,
  5. på annen måte utøver kontroll over den juridiske personen eller sammenslutningen.

Navn, adresse og fødselsdato vil normalt være tilstrekkelig til å gi en entydig identifikasjon av en reell rettighetshaver, men dette må vurderes konkret ut fra en risikovurdering. Det avgjørende må være at opplysningene er tilstrekkelige til å skille vedkommende fra andre personer.

Det er ikke tilstrekkelig å spørre kunden om hvem som er reell rettighetshaver. Revisor må selv få bekreftet opplysningene, eksempelvis i form av bekreftelse av opplysninger hos vedkommende myndigheter eller offentlige registre. Finanstilsynet legger til grunn at det mest praktiske vil være å sjekke aksjonærregisteret for eventuelle personer som direkte eller indirekte kontrollerer kunden, jf. bokstav a) og b) over. I tillegg må kunden spørres og aksjeeierboken kontrolleres for å avdekke om det foreligger aksjonæravtaler i henhold til bokstav c) og d). Dersom kunden har forskjellige aksjeklasser, må kontrollen av reelle rettighetshavere tilpasses dette. Ved forenklede kundetiltak kan kravet om bekreftelse lempes, jf. § 16 (2).

De registrerte opplysningene må være tilstrekkelige til å skille den aktuelle personen fra andre personer med samme navn, jf. hvitvaskingsloven § 8 femte ledd. Registrerte opplysninger om reelle rettighetshavere må minst omfatte fullt navn, fødselsdato og fast adresse.

Som ledd i den løpende oppfølgingen av en kunde, skal revisor følge opp endringer i reelle rettighetshavere.

4.6.3  Forståelse for eierskaps- og kontrollstrukturen i kunden

Revisor må gjennomføre egnede tiltak for å forstå eierskaps- og kontrollstrukturen hos kunden, jf. hvitvaskingsloven § 13 første ledd.

I utgangspunktet vil det være mest aktuelt å benytte registerdata eller å etterspørre relevante opplysninger fra kunden. Det beror på en risikovurdering av om det er nødvendig å foreta ytterligere undersøkelser og/eller bekrefte innhentet informasjon mot andre kilder.

4.6.4  Dokumentasjon

Tiltakene som gjøres for å forstå eierskaps- og kontrollstrukturen i kunden skal dokumenteres, jf. hvitvaskingsloven § 13 første ledd. Revisjonsforetaket skal oppbevare dokumentasjon på hvem som er reelle rettighetshavere, herunder dokumentasjon på undersøkelser som er foretatt for å kartlegge reelle rettighetshavere og resultatet av undersøkelsene.

4.7  Forenklede kundetiltak

Utgangspunktet for alle kundeforhold er at risikoen for hvitvasking og terrorfinansiering er normal. Det må foreligge særskilte forhold for at et kundeforhold skal anses for å ha lav risiko for hvitvasking og terrorfinansiering, slik at forenklede kundetiltak kan være tilstrekkelig, jf. hvitvaskingsloven § 16 og hvitvaskingsforskriften §§ 4-6 og 4-7. Forenklede kundetiltak kan aldri benyttes i oppdrag hvor det foreligger mistanke om hvitvasking eller terrorfinansiering.

Forenklede kundetiltak innebærer at revisor, etter en objektiv og konkret vurdering, kan redusere omfanget av enkelte kundetiltak. I det følgende gis det eksempler på forenklede kundetiltak.

Bekreftelse av reelle rettighetshaveres identitet
Det kan utføres mindre omfattende tiltak for å bekrefte reelle rettighetshaveres identitet. Bekreftelse kan også etter en konkret vurdering unnlates. Det vil i praksis si at revisor etter en konkret vurdering kan legge til grunn opplysninger i Brønnøysundregistrene og aksjonærregisteret uten ytterligere undersøkelser eller bekreftelse. I tilfeller hvor opplysninger ikke er tilgjengelige i offentlige registre, kan opplysninger innhentet fra kunden legges til grunn.

Retten til å handle på vegne av kunden
Det kan gjennomføres mindre omfattende tiltak for å få bekreftet retten (fullmakten) til å handle på vegne av kunden.

Det kan lempes på kravene til bekreftelse av identiteten til den som handler på vegne av kunden. Eksempelvis kan revisor unnlate å innhente kopi av legitimasjon av daglig leder, se punkt 4.5.2.1.

Opplysninger om kundeforholdets formål og tilsiktede art
Revisor kan unnlate å foreta ytterligere undersøkelser om kundeforholdets formål og tilsiktede art fordi det fremstår som klart på bakgrunn av de begrensningene som følger av tjenestene som kunden ønsker. Oppstår det uklarhet rundt forholdet, må imidlertid kunden forespørres.

Løpende oppfølging av den enkelte kunde
Revisor trenger ikke å gjennomføre løpende oppfølging like ofte som for kunder med normal eller høy risiko.

4.8  Forsterkede kundetiltak

Dersom det er høy risiko for hvitvasking eller terrorfinansiering, skal revisor gjennomføre forsterkede kundetiltak, jf. hvitvaskingsloven § 17. Kravet om å gjennomføre forsterkede kundetiltak gjelder både ved inngåelsen av kundeforholdet og ved løpende oppfølging.

Det vises til Finanstilsynets generelle veiledning til hvitvaskingsloven for en nærmere redegjørelse av momenter som bør vurderes i avgjørelsen av om forsterkede kundetiltak skal anvendes.

4.8.1  Risikofaktorer

Hvitvaskingsforskriften § 4-9 angir forhold som kan indikere forhøyet risiko for hvitvasking og terrorfinansiering. Bestemmelsen er ikke uttømmende og må suppleres med en samlet vurdering av kjennskapen til kunden. Oppdaterte eksterne kriminalitetsanalyser, eksempelvis NTAES' indikatorlister og relevante trussel- og risikovurderinger, herunder Nasjonal risikovurdering av hvitvasking og terrorfinansiering, kan gi støtte.

4.8.2  Hvilke tiltak skal gjennomføres?

Graden og arten av overvåkingen av kundeforholdet skal økes for å avdekke aktiviteter som synes uvanlige eller mistenkelige, og som kan indikere hvitvasking eller terrorfinansiering.

Andre tiltak revisor bør vurdere å iverksette, dersom den konkrete risikoen tilsier det, er å:

  • innhente ytterligere informasjon om kunden (f.eks. yrke, formuesforhold, informasjon tilgjengelig i offentlige databaser, via Internett osv.), og oppdatere informasjonen om kunden og reelle rettighetshavere oftere enn ellers
  • innhente ytterligere informasjon om formålet og den tilsiktede arten av kundeforholdet
  • innhente informasjon om opphavet til midlene og formuen til kunden
  • påse at beslutningstakere innhenter godkjenning fra overordnet nivå for å påbegynne eller fortsette kundeforholdet
  • gjennomføre forsterket overvåking av kundeforholdet

Det er ingen krav om at revisor må iverksette kundetiltak rettet mot en kundes forretningsforbindelser.

4.8.3  Kundetiltak overfor kunder som selv er rapporteringspliktig

Dersom kunden selv er rapporteringspliktig og klassifiseres til å ha høy risiko for å bli brukt som ledd i hvitvasking eller terrorfinansiering, vil et forsterket kundetiltak være å skaffe seg kunnskap om kunden etterlever hvitvaskingsloven, jf. hvitvaskingsloven § 17 annet ledd. Aktuelle tiltak kan være de samme som nevnt i punkt 9.

I vurderingen av hvilke rapporteringspliktige kunder som har høy risiko for å bli brukt som ledd i hvitvasking eller terrorfinansiering, kan revisjonsforetaket bygge på Finanstilsynets risikovurdering10) om hvitvasking og terrorfinansiering fra juli 2019.

4.9  Forsterkede kundetiltak – politisk eksponerte personer (PEP)

Når kunden, personer som handler på vegne av kunden eller reell rettighetshaver er en politisk eksponert person, skal foretaket gjennomføre forsterkede kundetiltak, både ved innledende kundetiltak og i den løpende oppfølgingen. Kundens PEP-status skal avklares før kundeforhold inngås.

Det er kun fysiske personer som kan være PEP. Hvilke stillinger og verv som medfører at en fysisk person anses som PEP, er uttømmende listet opp i hvitvaskingsloven § 2 bokstav f, og utdypet i Finanstilsynets generelle veiledning til hvitvaskingsloven (rundskriv 8/2019). De forsterkede tiltakene skal gjennomføres i minst ett år etter at PEP-en sluttet i stillingen eller vervet.

I tillegg vil nært familiemedlem eller kjent medarbeider av PEP også måtte underlegges forsterkede kundetiltak, tilsvarende som for PEP. Hvem som anses som nært familiemedlem eller kjent medarbeider av PEP, følger av hvitvaskingsloven § 2 bokstav g) og h).

Se Finanstilsynets generelle veiledning til hvitvaskingsloven for en nærmere redegjørelse for PEP og gjennomgang av hvilke kundeforhold som medfører at forsterkede kundetiltak etter reglene om PEP skal gjennomføres.

I tilfeller der personer som handler på vegne av kunden, reelle rettighetshavere eller kunden selv er PEP, må det innhentes opplysninger:

  • om PEPs posisjon, stilling eller verv
  • om dato for opphør av PEPs posisjon, stilling eller verv, dersom denne er kjent
  • om hvilke land personen er definert som PEP i
  • for å fastslå formuens eller midlenes opprinnelse. I Norge vil innhenting av skattemelding i mange tilfeller være tilstrekkelig.

Dette gjelder i tillegg til opplysninger som normalt skal innhentes om fysiske personer.

I tilfeller der personer som handler på vegne av kunden, reelle rettighetshavere eller kunden er nærstående eller kjent medarbeider til en PEP, eller der kunden er en juridisk person, skal revisor minimum innhente:

  • navn
  • fødselsnummer, D-nummer eller organisasjonsnummer. Hvis ikke vedkommende har slike numre, skal fødselsdato, fødested og kjønn oppgis.
  • adresse

I tillegg til øvrige forsterkede kundetiltak må revisor påse at det innhentes godkjenning fra revisors overordnede før etablering eller opprettholdelse av kundeforholdet som har PEP. Godkjenningen må dokumenteres.

4.10  Løpende oppfølging

Revisjonsforetaket må løpende påse at de har den kunnskapen om kunden som er nødvendig for å kunne vurdere og iverksette kundetiltak, og for øvrig håndtere risikoen som den enkelte kunde utgjør. Også den løpende oppfølgingen må skje i form av forsterkede tiltak for kunder som er vurdert å ha høyere risiko. For å sikre en tilstrekkelig løpende oppfølging, må informasjonen om kunden være oppdatert og korrekt. Revisjonsforetaket bør vurdere å ta inn i avtalen med kunden en plikt for denne til å rapportere om endringer som kan være av betydning for risikovurderingen, men kan ikke basere seg på at kunden oppfyller denne forpliktelsen. Det må også følges med på kundenes aktivitet for å kunne oppdage avvikende eller endret atferd, nye eier- eller selskapsstrukturer eller endring av tjenester, innholdsmessig eller geografisk.

Økende kunnskap om foretaket vil kunne gjøre at risikobildet etter hvert fremstår som et annet enn det revisor opprinnelig la til grunn. For eksempel at det viser seg at omsetningen er unormalt høy, at kostnadene er unormalt lave eller at det handles med områder, organisasjoner eller produkter som er uvanlige. Videre kan endringer på eiersiden eller betydelige utskiftinger i kundens styre eller ledelse være forhold som endrer den opprinnelige risikovurderingen. Det kan også være at revisor har blitt kjent med konkrete hendelser som gjør at risikobildet har endret seg. Eksempelvis kan det være inngått kontrakter uten anbud eller forhandlinger når det ville ha vært naturlig ut fra kontraktens art eller omfang, eller at det har vært gitt unormal bonus eller andre insentiver for å skaffe eller beholde kontrakter. At det er inngått avtaler med nærstående, eller at det er gjennomført transaksjoner som fremmer anonymitet, kan også gi et endret risikobilde. De nevnte eksemplene kan også være forhold som utløser en undersøkelsesplikt og eventuell rapporteringsplikt.

Hvor hyppig det er behov for å gjennomføre kundetiltak vil bero på kundens risikoklassifisering og kundens atferd. Kundetiltak skal i alle tilfeller gjennomføres dersom det er tvil om de tidligere innhentede opplysningene er korrekte eller tilstrekkelige.

Dersom risikoen for at kunden er involvert i hvitvasking eller terrorfinansiering vurderes til å være den samme som da kundeforholdet ble etablert, og det heller ikke har skjedd vesentlige endringer hos kunden eller i dennes virksomhet, vil plikten til løpende oppfølging av kundeforholdet oppfylles ved at det jevnlig konstateres at det ikke er forhold som tilsier en annen risikovurdering. Det må imidlertid kontrolleres at de registrerte opplysningene fortsatt er riktige. I slike tilfeller vil den løpende oppfølgingen kunne skje i tilknytning til den årlige fortsettelsesvurderingen dersom oppdraget er et revisjonsoppdrag. Oppdragsansvarlig revisor må i så fall sikre at pliktene som følger av hvitvaskingsloven, og som ikke dekkes av kravet til fortsettelsesvurdering i revisorloven og god revisjonsskikk, oppfylles. I tilfeller hvor risikoen er vurdert som høy, tilsier dette en mer jevnlig og årvåken oppfølging av kundeforholdet.

Det må dokumenteres at plikten til løpende oppfølging etter hvitvaskingsloven er oppfylt.

4.11  Kundetiltak utført av tredjepart

Hvitvaskingsloven åpner for at revisjonsforetaket kan legge til grunn enkelte kundetiltak utført av tredjepartene som er angitt i hvitvaskingsloven § 22. Kundetiltakene som kan legges til grunn, knytter seg primært til identifisering og bekreftelse av identiteten til fysiske og juridiske personer, samt identifisering av reelle rettighetshavere, jf. hvitvaskingsloven § 12 første til tredje ledd og femte ledd, § 13 første til tredje ledd og femte ledd og § 14. Dette kan være aktuelt ved overtakelse av portefølje og ved fusjon av revisjonsforetak.

Revisjonsforetaket må uansett selv risikoklassifisere den enkelte kunde. Det kan bety at revisjonsforetaket må innhente ytterligere informasjon. Videre må foretaket selv innhente ytterligere opplysninger for å oppfylle kravet om forsterkede kundetiltak, der dette er aktuelt.

Det skal foreligge en skriftlig avtale mellom den rapporteringspliktige tredjeparten og revisjonsforetaket som mottar opplysningene. Avtalen må minimum sikre at tredjeparten overholder kravene i hvitvaskingsloven, sikre krav til utlevering av dokumentasjonen, herunder om tidspunkt for utlevering og kvaliteten av den, samt at kunden informeres. Dokumentasjonen må registreres og lagres i henhold til hvitvaskingsloven § 30.

5  Avvisning og avvikling av kundeforhold

Dersom kundetiltak, herunder eventuelle påkrevde forsterkede kundetiltak eller undersøkelser som ledd i løpende oppfølging, ikke kan gjennomføres, skal revisjonsforetaket ikke etablere kundeforholdet eller fortsette dette, jf. hvitvaskingsloven §§ 21 eller 24.

I tillegg kan revisor ha en selvstendig fratredelsesplikt etter revisorloven § 7-1. At revisor har rapportert til Økokrim, eller har kjennskap til at Økokrim har tatt en rapportert sak inn til analyse, vil som utgangspunkt ikke danne grunnlag for å avvikle kundeforholdet, men inngå i revisors vurdering av om kundeforholdet skal fortsettes, jf. revisorloven § 7-1 første ledd og hvitvaskingsloven § 24. Forholdet kan etter en konkret vurdering være slik at det gir revisor rett til ensidig å frasi seg oppdraget etter revisorloven § 7-1 annet ledd og hvitvaskingsloven § 24.

Oppsigelse av oppdrag eller kundeforhold medfører ikke at undersøkelses- og rapporteringsplikten bortfaller. Foretaket skal vurdere om det er grunnlag for nærmere undersøkelser og rapportering i samsvar med hvitvaskingsloven §§ 25 og 26, både ved vurdering av avvisning og avvikling av kundeforhold.

6  Undersøkelse og rapportering

6.1  Undersøkelsesplikt

Undersøkelsesplikten gjelder dersom revisor avdekker "… forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering", jf. hvitvaskingsloven § 25. Dersom den rapporteringspliktige avdekker forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering, skal det foretas nærmere undersøkelser. Terskelen er lav. Enhver indikasjon kan i utgangspunktet være tilstrekkelig. Selv om et forhold ikke alene fremstår som mistenkelig, kan flere forhold samlet sett indikere at det skjer hvitvasking eller terrorfinansiering.

I revisjonsutførelsen skal revisor ha oppmerksomhet rettet mot feil og mangler knyttet til kundens etterlevelse av relevant regelverk som regnskaps- og bokføringsreglene, skattereglene, selskapslovgivningen m.m. Revisor skal påpeke forhold som kan føre til
ansvar for daglig leder, styremedlemmer og medlemmer av andre selskapsorganer. Når revisor avdekker feil og mangler, skal det formidles til kunden at forholdet må bringes i orden. I de fleste tilfeller vil kunden rette på forholdet. Da inntrer det normalt ingen nærmere undersøkelsesplikt eller rapporteringsplikt for revisor.

Selv om forholdene rettes, kan det likevel være slik at kundens reaksjon på revisors påpeking av feil og mangler kan vekke mistanke. Dette vil være situasjonen dersom kunden i ettertid prøver å få forholdet til å fremstå som en "uskyldig" feil, forglemmelse eller annet, men at revisor har grunn til å tro at det var et bevisst forsøk på hvitvasking eller terrorfinansiering. Det kan også være at kunden retter feilen på en måte som i seg selv gir mistanke. Dersom revisor for eksempel påpeker at det er gitt lån i strid med aksjeloven, vil det kunne være av betydning hvordan det ulovlige lånet blir bragt til opphør. Dersom låntaker selger eiendeler eller tar opp lån i bank for å finansiere tilbakebetalingen, vil det normalt være uproblematisk. Dersom tilbakebetalingen kommer fra en ukjent konto, konto som eies av en der tilknytningen til låntaker er uklar, eventuelt fra en konto i utlandet, vil det kunne utløse mistanke og en plikt for revisor til å rapportere til Økokrim.

Undersøkelsesplikt etter hvitvaskingsloven § 25 annet ledd vil alltid utløses når:

  • en transaksjon synes å mangle et legitimt formål eller er uvanlig stor eller kompleks,
  • en transaksjon eller et forhold er uvanlig i forhold til kundens kjente forretningsmessige eller personlige transaksjoner eller forhold,
  • en transaksjon foretas til eller fra en kunde i et land eller område som ikke har tilfredsstillende tiltak mot hvitvasking eller terrorfinansiering.

Eksempler på omstendigheter rundt forhold som kan være mistenkelige og dermed utløse undersøkelsesplikt, er:

  • at kunden har mottatt faktura med merverdiavgift uten at avsender er registrert i merverdiavgiftsregisteret,
  • at selskap med lav aktivitet mottar store pengesummer uten en åpenbar bakenforliggende hendelse,
  • kapitalinnskudd, der pengene kommer fra uidentifiserbar innskyter,
  • forhold, som på annen måte har en uvanlig karakter.

Medlemmer av Revisorforeningen finner indikatorlisten utarbeidet av NTAES på Revisorforeningens nettsted.11) Nærmere undersøkelser skal iverksettes der indikatorer som nevnt i NTAES' liste avdekkes, med mindre forholdet åpenbart har en naturlig forklaring. Undersøkelser skal alltid gjennomføres dersom det avdekkes forhold som avviker fra revisors kjennskap til kunden og kundeforholdets formål og tilsiktede art, jf. hvitvaskingsloven § 25.

Undersøkelsene vil normalt ta utgangspunkt i opplysningene revisjonsforetaket har om kunden, samt annen tilgjengelig informasjon, herunder tilgjengelige offentlige opplysninger og internettsøk. I visse tilfeller kan det være naturlig å stille spørsmål til kunden. På bakgrunn av avsløringsforbudet i hvitvaskingsloven § 28, må det utvises varsomhet når kunden kontaktes. Spørsmålene kan knyttes opp mot at man gjennomfører lovpålagte kundetiltak eller løpende oppfølging, uten å avsløre at man gjennomfører undersøkelser om mistenkelige forhold. Det kan benyttes "åpne kilder", det vil si offentlig tilgjengelige registre, Internett, aviser mv. Det kan også stilles spørsmål til tredjemenn, hvis dette kan skje uten brudd på taushetsplikten og avsløringsforbudet.

Undersøkelsesplikten er ikke begrenset til forhold ved kunden. Plikten oppstår også dersom det under utførelsen av oppdraget avdekkes forhold ved en tredjepart tilknyttet kunden som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering.

Hvilke undersøkelser som er gjort, samt resultater og vurderinger av disse, skal dokumenteres.

6.2  Rapporteringsplikt

Rapporteringsplikten inntrer dersom mistanken ikke blir avkreftet etter at det er undersøkt ett eller flere mistenkelige forhold. Mistankegrunnlaget er lavt, og det kreves ikke sannsynlighetsovervekt for at det foreligger noe mistenkelig før rapporteringsplikten inntreffer. Rapportering til Økokrim på bakgrunn av plikten i hvitvaskingsloven er ikke brudd på taushetsplikten i revisorloven.

Hvitvaskingsansvarlig er ansvarlig for å oversende opplysninger som nevnt i hvitvaskingsloven § 26 til Økokrim, jf. hvitvaskingsforskriften § 5-1. Rapportering til Økokrim skal inneholde utfyllende opplysninger om grunnlaget for mistanken, om undersøkelsene og transaksjonene i tillegg til personalia og kundeforhold for den eller de som det rapporteres om. Kopi av dokumentasjon for den mistenkelige transaksjonen vedlegges. Økokrim har publisert tips for bedre rapportering.12)

Økokrim kan be om opplysninger som kan ha tilknytning til konkret informasjon om hvitvasking eller terrorfinansiering som Økokrim har. Det er Økokrim som vurderer nødvendigheten, og revisor skal dermed ikke foreta noen selvstendig vurdering ved slike forespørsler, jf. hvitvaskingsloven § 26 første ledd andre punktum.

Oversendelse av opplysninger til Økokrim i god tro medfører ikke brudd på taushetsplikten og gir ikke grunnlag for erstatningsansvar eller straffansvar, med mindre det foreligger grov uaktsomhet, jf. § 26 fjerde ledd. Dette gjelder taushetsplikt som følger av både kontrakt, lov og administrative bestemmelser.

Revisor har for øvrig en generell adgang til å underrette politiet i henhold til bestemmelsen i revisorloven § 6-1 fjerde ledd, det vil si ved mistanke om at det er foretatt en straffbar handling.

6.3  Avsløringsforbudet

6.3.1  Utgangspunkt

Det følger av hvitvaskingsloven § 28 første ledd at rapporteringspliktige, herunder styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av den rapporteringspliktige, har taushetsplikt overfor kunden og tredjepersoner om følgende:

  • at det foretas eller vurderes å igangsette undersøkelser etter hvitvaskingsregelverket,
  • at det er gitt opplysninger til Økokrim,
  • at det er iverksatt etterforskning.

Avsløringsforbudet vil ikke bare omfatte det å gi konkrete opplysninger om at det foretas undersøkelser, rapportering eller etterforsking, men også det å gi kunden eller tredjeperson informasjon slik at de vil eller må forstå at så er tilfelle. Avsløringsforbudet er ikke til hinder for å følge opp revisors plikter etter revisorloven og god revisjonsskikk. Dette inkluderer forespørsler til den revidertes ledelse, herunder ta opp indikasjoner på misligheter, annen innhenting av revisjonsbevis, sende nummererte brev eller foreta nødvendige presiseringer i revisjonsberetningen i henhold til revisorloven.

Dersom det mottas informasjon om undersøkelser, rapportering eller etterforskning fra en annen rapporteringspliktig, vil dette være informasjon omfattet av avsløringsforbudet.

Avsløringsforbudet er ikke tidsbegrenset. Det gjelder følgelig også etter at det aktuelle kundeforholdet er avsluttet, og tilsvarende også etter at den ansatte har sluttet i revisjonsforetaket.

6.3.2   Unntak

Hvitvaskingsloven § 28 annet ledd inneholder flere unntak fra avsløringsforbudet. Unntak fra avsløringsforbudet innebærer ikke i seg selv at bestemmelser om konfidensialitet settes til side. Dette må vurderes konkret i hvert enkelt tilfelle.

Unntak fra avsløringsforbudet gjelder blant annet i følgende tilfeller:

  • meddelelse av opplysninger til påtalemyndigheten og Finanstilsynet etter hvitvaskingsregelverket,
  • utveksling av opplysninger til godkjente regnskapsførere og regnskapsførerselskaper, eller godkjente revisorer som utøver virksomhet innenfor samme juridiske enhet eller nettverk som revisjonsforetaket,
  • utveksling av opplysninger til rapporteringspliktige som nevnt i hvitvaskingsloven § 4 annet ledd, bokstav a) til c) (som i det vesentlige er godkjente regnskapsførere, regnskapsførerselskaper, revisorer eller advokater), som utøver virksomhet i andre juridiske enheter eller nettverk, forutsatt at opplysningene gjelder felles kunde i en transaksjon hvor de rapporteringspliktige er involvert (gjelder både eksisterende kunde og avviklet kundeforhold), eller
  • revisors forsøk på å få kunden til å avstå fra å begå en ulovlig handling.

Ved revisorskifte skal ny revisor etter revisorloven § 9-2 første ledd be om en uttalelse fra tidligere revisor om det foreligger forhold som tilsier at ny revisor ikke bør påta seg oppdraget. Den tidligere revisoren skal uten ugrunnet opphold opplyse skriftlig om begrunnelsen for sin fratreden. I praksis vil tidligere revisor vise til nummererte brev, hvor forhold som kan gi grunnlag for slik fratreden skal være tatt opp med den revisjonspliktige, jf. revisorloven § 5-4, jf. § 5-2 fjerde ledd. At det foreligger en lovpålagt plikt for ny og tidligere revisor til å kommunisere ved revisorskifte, gjør at tidligere revisor skal opplyse om mistanke om hvitvasking, undersøkelser og om eventuell rapportering til Økokrim uten å bryte taushetsplikten i revisorloven § 6-1.

Ny revisor, som mottar opplysninger fra tidligere revisor om undersøkelser og foretatte rapporteringer til Økokrim, vil ha taushetsplikt om dette. Dette gjelder uansett om ny revisor påtar seg oppdraget eller ikke.

7  Krav til systemer som muliggjør raske og fullstendige svar til myndighetene

Rapporteringspliktige skal ha systemer som muliggjør raske og fullstendige svar på forespørsler fra offentlige myndigheter, om vedkommende i løpet av de siste fem årene har eller har hatt kundeforhold til konkrete personer og om kundeforholdets art. Dette inkluderer personer som har vært reelle rettighetshavere. Dette stiller særlige krav til lagringsmåten for opplysninger og dokumenter. Systemet trenger ikke å gi alle opplysninger om kundeforholdet, det er tilstrekkelig at det gjør det mulig å finne raskt frem til opplysninger om kundens identitet og type kundeforhold.

Hvor raskt den rapporteringspliktige må besvare henvendelsen fra myndighetene, vil bero på omfanget av forespørselen. Formatet på oversendelsen til det offentlige må være i et alminnelig lesbart format.

Forespørsler fra Økokrim er regulert i hvitvaskingsloven § 26 første ledd andre punktum. Rapporteringspliktige kan legge til grunn at Økokrim har det nødvendige hjemmelsgrunnlaget for å etterspørre opplysningene. Forespørsler fra tilsynsmyndighetene er regulert i finanstilsynsloven § 3. Andre offentlige myndigheter som etterspør opplysninger som nevnt, må angi hjemmel for forespørselen. Slike forespørsler og svar på forespørsler må sendes på betryggende måte.

8  Behandling av opplysninger

Hvitvaskingsloven § 30 krever at alle opplysninger og dokumenter som er innhentet og utarbeidet i forbindelse med kundetiltakene, den løpende oppfølgingen, undersøkelser og rapportering skal registreres og lagres i fem år etter at kundeforholdet ble avsluttet. Kundeforholdet avsluttes etter ordinære avtalerettslige prinsipper, se også omtale i punkt 4.1. Avgivelse av revisjonsberetning for årsregnskapet eller gjennomføring av revisors fortsettelsesvurdering innebærer isolert sett ingen avslutning av kundeforholdet.

Revisjonsforetaket må oppbevare all informasjon som blir innhentet, selv om informasjonen blir erstattet av ny og oppdatert informasjon. Eksempelvis må foretaket oppbevare informasjon om alle personer som én gang har vært reelle rettighetshavere, selv om disse ikke er reelle rettighetshavere på tidspunktet for avslutningen av kundeforholdet.

Dokumenter og opplysninger skal oppbevares på et medium som opprettholder lesekvaliteten i hele oppbevaringsperioden, det vil si minimum fem år etter at kundeforholdet ble avsluttet eller transaksjonen ble gjennomført. Det skal foreligge sikkerhetskopi av elektronisk materiale. Sikkerhetskopien skal oppbevares atskilt fra originalen.

Personopplysninger som er registrert og lagret i tilknytning til kundetiltakene, den løpende oppfølgingen, undersøkelse og eventuelt rapportering, skal slettes når det har gått fem år etter at kundeforholdet ble avsluttet.

Bestemmelser om oppbevarings- og sletteplikt varierer i ulike lover, blant annet hvitvaskingsloven, revisorloven og personopplysningsloven. Dette gjør at revisjonsforetaket må ha et system for lagring av opplysninger som gjør foretaket i stand til å overholde alle oppbevarings- og sletteplikter som gjelder for foretaket.

9  God revisjonsskikk når kunden er rapporteringspliktig etter hvitvaskingsloven

Etter ISA 250 og ISA 315 skal revisor opparbeide seg en generell forståelse av enheten og dens omgivelser, herunder lov og forskriftsmessige rammeverk som gjelder for enheten. Revisor må derfor være klar over om klienten er underlagt hvitvaskingsloven.

Brudd på hvitvaskingsloven kan være av avgjørende betydning for enhetens driftsmessige forhold eller enhetens evne til å fortsette driften, eller for å unngå betydelige bøter. 

Uansett om brudd på pliktene etter hvitvaskingsloven er vurdert til ikke å være av direkte betydning for regnskapet, skal revisor utføre revisjonshandlinger for å bidra til å identifisere brudd på lover og forskrifter, herunder hvitvaskingslovgivningen. 

Omfanget av revisors handlinger vil blant annet avhenge av risikoen for at den rapporteringspliktige kunden blir utnyttet som ledd i hvitvasking eller terrorfinansiering, se Finanstilsynets risikovurdering13) av hvitvasking og terrorfinansiering fra juli 2019. Finanstilsynet mener at revisorloven § 5-2 annet ledd om god revisjonsskikk innebærer at revisor minst må:

  • forespørre ledelsen og, der det er relevant, de som har overordnet ansvar for styring og kontroll om hvorvidt enheten overholder disse lovene og forskriftene
  • gjennomgå korrespondanse av betydning for kundens etterlevelse av hvitvaskingsregelverket, for eksempel inspeksjonsrapporter fra Finanstilsynet
  • kontrollere at foretakets har utarbeidet en risikovurdering som er tilpasset virksomheten
  • kontrollere at kunden har skriftlige hvitvaskingsrutiner som inneholder alle de relevante punktene i punkt 3.3.2
  • påse at det er utpekt hvitvaskingsansvarlig

Dersom revisor blir oppmerksom på brudd på hvitvaskingsregelverket, skal revisor ta forholdet opp med kundens ledelse i nummerert brev og vurdere rapporteringsplikt etter finanstilsynsloven § 3a. 

_____

Noter:

 1) https://www.finanstilsynet.no/nyhetsarkiv/rundskriv/veileder-til-hvitvaskingsloven/
 2) https://www.finanstilsynet.no/konsesjon/tilbyder-av-virksomhetstjenester/
 3) https://www.revisorforeningen.no/
 4) Hvitvaskingsloven § 2 bokstav g)
 5) Hvitvaskingsloven § 2 bokstav h)
 6) https://www.finanstilsynet.no/tema/hvitvasking-og-terrorfinansiering/geografisk-risiko--oversikt-over-listeforte-land/
 7) https://www.regjeringen.no/no/dokumenter/finans_frysbestemmelser/id2903172/
 8) https://www.regjeringen.no/no/dokumenter/nasjonal-risikovurdering---hvitvasking-og-terrorfinansiering-i-norge-2018/id2618366/
 9) Finanstilsynets oversikt over listeførte land kan være til hjelp. Listen finnes på: https://www.finanstilsynet.no/tema/hvitvasking-og-terrorfinansiering/geografisk-risiko--oversikt-over-listeforte-land/
10) https://www.finanstilsynet.no/nyhetsarkiv/nyheter/2019/ny-risikovurdering--hvitvasking-og-terrorfinansiering/
11) https://www.revisorforeningen.no/
12) https://www.okokrim.no/krav-til-god-rapportering.475348.no.html
13) https://www.finanstilsynet.no/nyhetsarkiv/nyheter/2019/ny-risikovurdering--hvitvasking-og-terrorfinansiering/

_____

Red. merkn. 20.01.2020:
Finanstilsynet har foretatt enkelte mindre korrigeringer i rundskriv 14/2019:

Dette er i punkt 4.4.3 (side 18), i 4.5.1.1 (side 19), i 4.5.2 (i overskriften på side 20), i 4.5.2.1 (side 20) og i 4.7 (side 23).

Kontakt

Cato Grønnern

Tlf: 22 93 98 38

E-post

Kjersti Elvestad

Tlf: 22 93 99 18

E-post

Abonner på nyheter

Registrer deg for å få nyhetsvarsling når Finanstilsynet publiserer saker du er interessert i.

Abonner på nyhetsvarsel