Alle rapporteringspliktige foretak plikter å gjennomføre internkontroll for å se til at lovens krav følges, jf. hvitvaskingsloven § 35 første ledd. Omfanget av internkontrollen og hvor hyppig den skal gjennomføres, kommer an på en vurdering av foretakets art og omfang.
Internkontrollen skal gjøre rapporteringspliktige, i stand til å avdekke svakheter og identifisere forbedringspotensial, i eget arbeid med tiltak mot hvitvasking og terrorfinansiering. Formålet med å identifisere eventuelle svakheter er at rapporteringspliktige setter i gang nødvendige tiltak for å forhindre at manglende etterlevelse fortsetter, samt gjøre endringer i virksomhetens rutiner for å følge hvitvaskingsloven. Internkontroll er en forutsetning for at rutinene effektivt skal kunne oppdateres av øverste ledelse.
Opplæring og beskyttelse av ansatte
De rapporteringspliktige er pålagt å sikre at ansatte og andre som utfører oppdrag for foretaket får tilstrekkelig opplæring. Hva som er tilstrekkelig vil avhenge av flere forhold. For det første vil omfanget av opplæringen avhenge av type rapporteringspliktig. Hvilke produkter og tjenester som rapporteringspliktige tilbyr, størrelse på foretaket, risikoeksponering, med mer. For det andre vil den enkelte ansattes ansvar, oppgaver og rolle ha betydning for hva som regnes som tilstrekkelig opplæring av den enkelte.
Opplæringen skal gis slik at de ansatte og andre som utfører oppdrag for foretaket er kjent med virksomhetens risikoeksponering og forpliktelser etter hvitvaskingsloven, samt at de lærer å gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering.
Alle ansatte skal ha opplæring på ulike nivå
Alle ansatte og andre som utfører oppdrag på vegne av foretaket må få opplæring i de grunnleggende kravene etter hvitvaskingsloven, hva som er hensynene bak regelverket og hva som er den rapporteringspliktiges rolle i å stanse hvitvasking og terrorfinansiering.
I tillegg må de ansatte få spesifikk opplæring som er tilpasset arbeidsoppgavene. Omfanget og intensiteten av opplæringen må tilpasses den ansattes ansvar og arbeidsoppgaver, og oppgaver i nær relasjon til disse. De ansatte må for eksempel få opplæring i hvordan de skal bruke rutiner som berører egne arbeidsoppgaver. De må videre få opplæring i hvor de kan søke veiledning for å løse konkrete problemstillinger. Ansatte som jobber med elektroniske støtteverktøy må få opplæring i hvordan verktøyene skal brukes, hvilke svakheter de har og hvilke manuelle kontroller som må utføres i tillegg til støtteverktøyene. Det kan også være nødvendig med ekstern kursing eller opplæring av utviklingstrekk og trender.
Ansatte og andre som utfører oppdrag for foretaket skal gjøres i stand til å gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering. De rapporteringspliktige må derfor gi opplæring i indikatorlister og kjennetegn som er relevante. Denne opplæringen må oppdateres ettersom kriminalitetstrendene endrer seg.
Lotteritilsynet understreker at også virksomhetens styre og ledelse, må ha opplæring som reflekterer deres rolle og ansvar, for virksomhetens etterlevelse av hvitvaskingsregelverket.
Opplæringen skal gis jevnlig slik at kunnskapen blir vedlikeholdt og er oppdatert. Det er nødvendig at nyansatte får tilstrekkelig innføring ved oppstart av arbeidsforholdet. Hvilken oppdatering som er nødvendig utover dette, komme an på rettsutvikling, nye interne rutiner, nytt risikobilde mv. Oppdateringen bør uansett skje med jevne mellomrom for å sikre vedlikehold av kunnskapen. Dette må ikke nødvendigvis skje årlig i alle rapporteringspliktige foretak, forutsatt at ikke nye forhold tilsier ny opplæring. Hvor ofte opplæring skal skje for den enkelte. kommer an på den ansattes ansvar og rolle hos den rapporteringspliktige. Dersom virksomheten for eksempel oppdaterer rutiner, vil opplæring måtte gjøres for personer som blir berørt av endringene, men ikke nødvendigvis for andre.
Foretaket skal kunne dokumentere etterlevelse av opplæringsforpliktelsene. Dette innebærer at foretaket bør ha en opplæringsplan, eller liknende, og at de kan dokumentere innhold og gjennomføring.
Vern mot negative reaksjoner ved undersøkelser og rapportering
Virksomheten plikter å se til at ansatte som har som oppgave å rapportere til Økokrim ikke blir utsatt for trusler eller liknende som følge av rapportering, jf. hvitvaskingsloven § 37 første ledd. Etter Finanstilsynets syn gjelder det samme for ansatte som gjennomfører undersøkelser. Departementet har lagt til grunn at vern mot trusler eller gjengjeldelse ved intern rapportering er ivaretatt av bestemmelser i arbeidsmiljøloven. Plikten etter hvitvaskingsloven § 37 gjelder derfor øvrige situasjoner hvor den ansatte kan bli utsatt for negative reaksjoner.
Hvilke tiltak som må iverksettes for å beskytte de ansatte henger sammen med virksomhetens art og omfang. I visse tilfeller vil det for eksempel være vanskelig å anonymisere den ansatte overfor kunden, som når undersøkelsene innebærer direkte kontakt med kunden. I slike tilfeller må virksomheten ha rutiner for rapportering og eskalering av en trusselsituasjon, slik at den ansatte fjernes fra situasjonen og kunden håndteres av virksomheten på et høyere nivå.