Risikovurdering hvitvasking

Risikovurdering hvitvasking

Som rapporteringspliktig må du identifisere og forstå risikoen foretaket er eksponert for. Alle rapporteringspliktige må ha en overordnet risikovurdering, jf. hvitvaskingsloven § 7.

Les mer om rapporteringsplikt.

Slik vurderer du risiko

Risikovurderingen skal identifisere og vurdere risikoen for hvitvasking og terrorfinansiering tilknyttet egen virksomhet. Den er utgangspunktet for den rapporteringspliktiges implementering av hvitvaskingsregelverket i virksomheten.

Formålet med risikovurderingen er å kartlegge og beskrive virksomhetens risiko for hvitvasking og terrorfinansiering. Slik skal risikovurderingen danne grunnlag for rutinene som må etableres for å utføre tiltak. Tiltakene skal forebygge hvitvasking og terrorfinansiering. Normalt vil det også være nødvendig for den rapporteringspliktige å iverksette risikoreduserende tiltak, for å adressere risikoene som er identifisert.

Risikovurderingen må dokumenteres og den overordnede risikovurderingen skal fastsettes av foretakets øverste ledelse.

Risikovurderingens omfang

Kravet til risikovurderingens omfang vil variere ut fra virksomhetens størrelse, risikoeksponering og kompleksitet, jf. hvitvaskingsloven § 7 fjerde ledd. For mindre foretak i med et enkelt og oversiktlig produkt- og kundesegment vil kravene til risikovurderingen være tilsvarende, ved at flere risikoindikatorer kan behandles mer kortfattet. Større foretak, og foretak med produkter, kunder og eksponering mot ulike geografiske områder, vil måtte dokumentere mer dyptgående og grundige risikovurderinger.

Det kan være nyttig å se til maler for risikovurderinger, utarbeidet av eksempelvis bransjeorganisasjoner. Lotteritilsynet understreker imidlertid at det skal være foretakets egne vurderinger av den konkrete risikoen virksomheten er eksponert for, som skal ligge til grunn for risikovurderingen.

Krav til risikovurdering

Alle rapporteringspliktige må ha en risikovurdering som viser forståelse for og vurderinger av virksomhetens risiko for hvitvasking og terrorfinansiering.

  • foretakets egen virksomhet
  • virksomhetens produkter, tjenester og kundeforhold
  • type kunder og kundegrupper
  • geografiske forhold

Terrorfinansieringsrisikoen skal alltid vurderes, også der konklusjonen er at risikoen er marginal.

Gjennomføringen av risikovurderinger består av minimum fire komponenter:

  1. Rapporteringspliktig må ha kunnskap om hva hvitvasking og terrorfinansiering er. Uten kunnskap om hvitvasking og terrorfinansiering vil det ikke være mulig å vurdere risikoen for at egen virksomhet kan misbrukes av kriminelle til disse formålene.
  2. Rapporteringspliktig må kjenne sin egen virksomhet. Risikoen for hvitvasking og terrorfinansiering vil kunne variere mellom ulike produkter, tjenester og transaksjoner. Den som rapporterer må identifisere og vurdere risiko for hvitvasking og terrorfinansiering knyttet til de enkelte produktene og tjenestene som virksomheten tilbyr, uavhengig av om det representerer høy eller lav risiko. Det må vurderes risiko i nye produkter og tjenester, samt ny teknologi, før de lanseres. Risikoen ved slike er potensielt høyere fordi den rapporteringspliktige har manglende erfaring med produktets eller tjenestens sårbarheter.
  3. Rapporteringspliktig må også vurdere sine distribusjonskanaler. For eksempel der den rapporteringspliktige lar foretak som forøvrig ikke har noe å gjøre med hvitvaskingsregelverket, distribuere produktene sine og gjennomføre innledende kundetiltak. Et annet eksempel er der foretakene benytter nettbaserte løsninger for å opprette kundeforhold og kundekontakt. Foretakene må vurdere hvilken risiko den aktuelle løsningen utgjør for foretaket.
  4. Den rapporteringspliktige må kjenne hvem de forholder seg til og handler med. Dette omfatter kunder, reelle rettighetshavere og de som handler på vegne av kunden. Den rapporteringspliktige bør skaffe seg informasjon om kundene, deres bransjetilknytning og geografiske tilknytning.

I tillegg må den rapporteringspliktige vurdere annen geografisk risiko, kunder, reelle rettighetshavere eller andre kunder de har tilknytning til eller er eksponert mot. Dette gjelder eksempelvis land som er identifisert med betydelig omfang av korrupsjon og annen kriminalitet, eller som er gjenstand for internasjonale sanksjoner og/eller restriktive tiltak. Den rapporteringspliktiges egen lokalisering nasjonalt kan også være relevant, for eksempel ved kjente konsentrasjoner av ulike kriminelle miljøer, eller i områder med høyt tilfang av kunder i høyrisikobransjer.

Dessuten må øvrige momenter tilknyttet kunden vurderes, som for eksempel kundeforholds varighet.

Rapporteringspliktige som gjennomfører transaksjoner etter hvitvaskingsloven § 10 annet ledd bokstav b, uten å opprette kundeforhold etter samme bestemmelse i bokstav a, må foreta en særskilt risikovurdering av dette.

Risikovurderingen skal oppdateres jevnlig

Risikovurderingen må oppdateres jevnlig for å kunne være et praktisk verktøy for rapporteringspliktige. En fornyet vurdering bør gjøres minimum årlig, eller hyppigere når det er behov for dette. Relevante momenter vil være ny kunnskap om metoder og trender for hvitvasking og terrorfinansiering som tas i bruk av kriminelle, enten oppdaterte erfaringer fra den rapporteringspliktige selv eller fra eksterne kilder.

Andre momenter er dersom den rapporteringspliktige lanserer nye produkter og tjenester. Ved publisering av nye risikovurderinger utarbeidet av myndigheter, tilsynsmyndigheten eller bransjeorgan, må rapporteringspliktige vurdere behovet for å revidere virksomhetens risikovurdering.

Risikovurderingens forankring

I henhold til hvitvaskingsloven § 8, skal den risikobaserte rutinen fastsettes på øverste nivå hos den rapporteringspliktige. Dette innebærer at det samme nivået må behandle grunnlaget for en slik rutine. Det betyr ikke nødvendigvis at øverste nivå må godkjenne eller vedta risikovurderingen(e) i sin helhet, men at det som et minimum må behandle et overordnet dokument som oppsummerer arbeidet og hovedpunktene i risikovurderingene, slik at de er kjent med og har gitt tilslutning til grunnlaget for de risikobaserte rutinene.

Les mer om risikovurdering på Finanstilsynet sine nettsider.