4 Risikobasert tilnærming
4.1 Innledning
Utvalget foreslår et kapittel om risikobasert tilnærming innledningsvis i loven. Lovbestemmelsene som foreslås her retter seg i all hovedsak mot rapporteringspliktige, men også i visse henseender mot tilsynsmyndigheter og Økokrim. Kapittelet gir bestemmelser om grunnleggende komponenter i arbeidet med å forebygge og avdekke hvitvasking og terrorfinansiering: risikobaserte tiltak, gjennomføring av risikovurdering i virksomheten, etablering av rutiner og øverste ledelses ansvar. Tiltakene er grunnleggende forutsetninger for at rapporteringspliktige effektivt skal kunne overholde lovens øvrige forpliktelser. Når lovens forpliktelser skal implementeres i virksomheten, er lovens kapittel 2 om risikobasert tilnærming startpunktet.
Kapittelet bygger i hovedsak på systematikken i fjerde hvitvaskingsdirektiv. Her er grunnleggende forpliktelser for myndigheter og rapporteringspliktige plassert innledningsvis i direktivet, herunder en risikobasert tilnærming på alle nivåer. Det er også i samsvar med FATFs anbefalinger å fremheve betydningen av en risikobasert tilnærming. I FATF-rapporten fikk Norge kritikk for gjennomføringen av anbefalingene om risikobasert tilnærming. Lovbestemmelsenes overordnede karakter tilsier også at de plasseres tidlig i loven. Utvalget mener at det kan ha en pedagogisk effekt for rapporteringspliktige at disse reglene inntas før de mer spesifikke og detaljerte forpliktelsene.
Fokuset på risikobasert tilnærming er ikke nytt. Det var en sentral del av FATFs anbefalinger før revisjonen i 2012 og også en sentral del av tredje hvitvaskingsdirektiv. Likevel er viktigheten av risikovurderinger og en risikobasert tilnærming gitt et betydelig større fokus i FATFs reviderte anbefalinger og i fjerde hvitvaskingsdirektiv enn det som tidligere var tilfellet.
Først i kapittelet foreslår utvalget en generell bestemmelse om risikobasert tilnærming for gjennomføring av lovens tiltak. Bestemmelsen danner utgangspunktet for gjennomføringen av alle andre tiltak etter loven, både for rapporteringspliktige og relevante myndigheter. Det innebærer at det iverksettes mer omfattende tiltak og føres tettere tilsyn med produkter, situasjoner og kunder som anses å innebære en høy risiko, mens omfanget av slike tiltak kan reduseres dersom risikoen for hvitvasking og terrorfinansiering anses å være lav. Videre foreslås et uttrykkelig krav om at rapporteringspliktige utarbeider risikovurderinger for virksomheten. Risikovurderingen danner grunnlaget for etablering av rutiner i virksomheten. Ansvaret for etablering og gjennomføring av rutiner reguleres avslutningsvis i kapittelet.
4.2 Risikobaserte tiltak
4.2.1 Norsk rett
Hvitvaskingsloven § 5 inneholder en egen bestemmelse om risikobasert kundekontroll og løpende oppfølging. Bestemmelsen var ny ved vedtakelsen av loven. Bestemmelsen i hvitvaskingsloven § 5 bygger på «kjenn-din-kunde»-prinsippet, som internasjonalt anses for å være et av de viktigste virkemidlene for å hindre at det finansielle systemet misbrukes til hvitvasking og terrorfinansiering.
Et krav om at de rapporteringspliktige skal utføre kundekontroll som står i forhold til risikoen for hvitvasking og terrorfinansiering, er ment å legge til rette for at rapporteringspliktige benytter ressursene der behovet for tiltak er størst. Det innebærer samtidig at rapporteringspliktige pålegges omfattende plikter med hensyn til å gjennomføre risikobaserte og skjønnsmessige vurderinger. I forarbeidene er det understreket at en risikobasert tilnærming ikke innebærer at rapporteringspliktige kan unnlate å utføre kundekontrolltiltak.1 Det sentrale med tilnærmingen er at omfanget på tiltakene kan tilpasses den konkrete risiko for hvitvasking og terrorfinansiering. Videre vil prinsippet om risikobasert kundekontroll innebære varierende grad av fleksibilitet avhengig av hvilken type kundekontrolltiltak det dreier seg om. Rapporteringspliktige skal også kunne påvise at omfanget av utførte tiltak er tilpasset den aktuelle risiko.
I juni 2013 besluttet regjeringen at det skulle utarbeides en nasjonal risikovurdering, og en arbeidsgruppe ble nedsatt. Arbeidsgruppen leverte sin endelige rapport 14. februar 2014. Den nasjonale risikovurderingen som gruppen utarbeidet er den første samlede risikovurdering av trusler, sårbarheter og risiko for hvitvasking og terrorfinansiering.
Regjeringen opprettet i slutten av 2014 et nasjonalt kontaktforum for bekjempelse av hvitvasking og terrorfinansiering. Hensikten er å etablere en sektorovergripende strategi for å forebygge og avdekke terrorfinansiering og hvitvasking av utbytte fra profittmotivert kriminalitet. Kontaktforumet skal blant annet sørge for at Norge har en oppdatert risikovurdering når det gjelder hvitvasking og terrorfinansiering.
4.2.2 EØS-rett
Hvitvaskingsdirektivets fortale fremhever at en risikobasert tilnærming er en sentral del av systemet for bekjempelse av hvitvasking og terrorfinansiering. Her konstateres det at risikoen for hvitvasking og terrorfinansiering vil variere, og at en risikobasert tilnærming må anvendes, se fortalen avsnitt 22 til 34.
En risikobasert tilnærming innebærer at ressurser kan brukes mer effektivt for å rettes inn mot områder der risikoen for hvitvasking og terrorfinansiering er større enn ellers, se fortalen avsnitt 22. En forutsetning for en risikobasert tilnærming er gjennomføring av risikovurderinger. Direktivets krav til gjennomføring av risikovurderinger omtales nærmere under punkt 4.3.2.
Kundetiltak kan anvendes etter en risikobasert tilnærming for å justere omfanget av tiltakene som iverksettes, se artikkel 13 nr. 2. Rapporteringspliktige må dokumentere at omfanget av tiltak er tillpasset den identifiserte risikoen for hvitvasking og terrorfinansiering, se nr. 4.
I henhold til direktivet artikkel 48 nr. 10 skal de europeiske tilsynsbyråene gi veiledning til nasjonale tilsynsmyndigheter når det gjelder risikobasert tilsyn. Utkast til slike retningslinjer ble sendt på høring 21. oktober 2015. I høringsforslaget skisseres risikobasert tilsyn som en prosess i fire steg, og det gis anbefalinger knyttet til hvert av de fire stegene. Et første steg er å identifisere risikofaktorer, deretter må risiko vurderes og tilsynsressurser tilføres ut fra denne risikovurderingen. Dette betyr at fokus for tilsyn, hvor grundig tilsynsmyndighetens kontroller er og hyppigheten av tilsyn tilpasses risikoen. Som et siste steg må prosessen vurderes for å sikre at den tilføringen og bruken av ressurser som gjøres er adekvat og oppdatert.
4.2.3 FATFs anbefalinger og rapport
Økt vektlegging av en risikobasert tilnærming på alle nivåer var helt sentralt ved revisjonen av FATFs anbefalinger. Det gjenspeiles i at anbefalingen om å vurdere risiko og anvende en risikobasert tilnærming er tatt inn som anbefaling 1. En risikobasert tilnærming løftes frem som det allmenne og fundamentale utgangspunktet i et effektivt system for bekjempelse av hvitvasking og terrorfinansiering, og som den primære metoden for å fordele ressurser på en hensiktsmessig måte i dette arbeidet. I «interpretive note» til anbefaling 1 er det nærmere konkretisert hva som ligger i «risk assessing and applying a risk-based approach».
FATF utarbeider og publiserer jevnlig veiledninger og typologirapporter som er ment å utdype hvordan den risikobaserte tilnærmingen bør tilpasses eller hva slags risiko som finnes i ulike sektorer. Et omfattende materiale er tilgjengelig på FATFs nettsider.2
I FATF har også utfordringer knyttet til «de-risking» vært et tema. «De-risking» vil si at rapporteringspliktige avviser en kunde eller avslutter kundeforhold for å unngå en potensiell risiko, i stedet for å håndtere risikoen gjennom risikobaserte kundetiltak. En slik praksis fra rapporteringspliktige vil i de aller fleste tilfeller være i strid med FATFs anbefalinger.
Norge fikk omfattende kritikk på flere punkter knyttet til FATF anbefaling 1 da FATF evaluerte Norge i 2014. Den nasjonale risikovurderingen fra 2014 ble kritisert fordi analysen og vurderingen av hvitvaskingsrisiko i Norge var ufullstendig og hadde flere mangler. FATF skriver i rapporten at myndighetene ikke har en tilstrekkelig forståelse av hvitvaskingsrisiko. Videre ble Norge kritisert for at myndigheter og rapporteringspliktiges tiltak mot hvitvasking og terrorfinansiering ikke i tilstrekkelig grad var basert på en vurdering av risiko. Finanstilsynet fikk sterk kritikk for manglende tilsyn, og for at tilsynsvirksomheten ikke i tilstrekkelig grad er tilpasset risikoen for hvitvasking og terrorfinansiering. FATF påpekte at det ikke stilles klare nok krav til at rapporteringspliktige har en forståelse av risiko. I tilknytning til dette ble det blant annet pekt på at hvitvaskingslovens regler for forenklet kundekontroll gir automatiske unntak fra kundekontrolltiltak uten at dette er basert på en risikovurdering.
4.2.4 Utvalgets vurderinger
Prinsippet om risikobasert tilnærming er ikke nytt, men har fått vesentlig større plass både i EU og FATF. Fjerde hvitvaskingsdirektiv og de reviderte FATF-anbefalingene innebærer et skifte, selv om prinsippet gjenfinnes også i tredje hvitvaskingsdirektiv og de tidligere anbefalingene. Ut fra dette, og ut fra den kritikken FATF kom med, har utvalget vurdert om det bør gjøres endringer i det norske regelverket for å få tydeligere frem viktigheten av en risikobasert tilnærming. Slik utvalget ser det, er det hensiktsmessig at gjeldende § 5 utvides og løftes frem i loven i en egen bestemmelse om «risikobaserte tiltak». Utvalget foreslår derfor en grunnleggende bestemmelse som innleder lovens kapittel 2 og gjenspeiler det internasjonale skiftet i EU og FATF. Lovforslaget § 5 innebærer at lovens materielle forpliktelser innledes med en overordnet bestemmelse om at lovens tiltak skal gjennomføres risikobasert. Lovbestemmelsen retter seg i utgangspunktet mot både offentlige myndigheter og rapporteringspliktige. Utvalget foreslår derfor at det i lovforslaget § 5 første ledd uttrykkelig nevnes at loven skal «håndheves» med grunnlag i en risikovurdering, se nærmere omtale under punkt 4.3.4.
At tiltak skal gjennomføres risikobasert innebærer at innretningen og omfanget av tiltakene som utføres, skal tilpasses den identifiserte risikoen for hvitvasking og terrorfinansiering. En risikobasert tilnærming ved etterlevelsen av loven forutsetter derfor utarbeidelse av risikovurderinger hos den enkelte rapporteringspliktige, se lovforslaget § 6 med nærmere omtale under punkt 4.3.4.
En risikobasert tilnærming er grunnleggende sett en motsetning til en regelbasert tilnærming. I stedet for at omfanget av tiltak, ressurser og oppmerksomhet fra rapporteringspliktiges side styres av fastsatte rammer og klare regler, skal den identifiserte risikoen for hvitvasking og terrorfinansiering være bestemmende for hva rapporteringspliktige gjør. Omfanget av tiltak rapporteringspliktige pålegges etter hvitvaskingsloven skal tilpasses den identifiserte risikoen for hvitvasking og terrorfinansiering. Nærmere bestemt skal rapporteringspliktige sette inn flere ressurser og vie større oppmerksomhet til deler av virksomheten der det er identifisert en høyere risiko for hvitvasking og terrorfinansiering. Der det er identifisert en lavere risiko for hvitvasking og terrorfinansiering, kan rapporteringspliktige derimot bruke færre ressurser og vie mindre oppmerksomhet. For eksempel vil rapporteringspliktiges rutiner kunne tilpasses den identifiserte risikoen for hvitvasking og terrorfinansiering. Der det er identifisert en høyere risiko bør rutinene være mer omfattende. Dersom det er identifisert en lavere risiko, kan rutinene være mer kortfattede. Dermed brukes ressursene til forebygging og avdekking av hvitvasking og terrorfinansiering på en mest mulig effektiv måte.
Den risikobaserte tilnærmingen vil gi ulike utslag hos ulike rapporteringspliktige. Det er en naturlig konsekvens av at hvilket omfang ulike tiltak skal få, må bero på den enkelte virksomhets vurdering av risiko for hvitvasking og terrorfinansiering. Dessuten vil en risikobasert tilnærming også innebære at det må tas hensyn til omfanget og arten av rapporteringspliktiges virksomhet. Det er et gjennomgående trekk i både fjerde hvitvaskingsdirektiv og FATFs anbefalinger at kravene til rapporteringspliktige varierer med virksomhetens art og størrelse. Den risikobaserte tilnærmingen blir nødvendigvis konkret i sin natur.
Utvalget foreslår å videreføre gjeldende hvitvaskingslov § 5 annet ledd om rapporteringspliktiges plikt til å dokumentere at utførte tiltak er tilpasset den aktuelle risiko, se lovforslaget § 5 annet ledd. Bestemmelsen gjennomfører fjerde hvitvaskingsdirektiv artikkel 13 nr. 4.
Kravet om rapporteringspliktiges gjennomføring av tiltak etter loven på bakgrunn av en risikovurdering innebærer at lovforslaget § 5 får betydning for fastleggingen av alle lovens forpliktelser. Utvalget bemerker følgende om forholdet mellom lovforslaget § 5 og de øvrige bestemmelsene i kapittel 2: Utvalget foreslår en uttrykkelig bestemmelse om plikt til å utarbeide risikovurderinger i hver enkelt virksomhet i § 6. Dette kaller utvalget en virksomhetsinnrettet risikovurdering. Risikovurderingen som pålegges utarbeidet i § 6, er den som forutsettes i § 5 om risikobaserte tiltak. I første omgang vil risikovurderingen få betydning for utformingen av virksomhetens rutiner, se lovforslaget § 7 og omtalen under punkt 4.4. Rutinene skal igjen beskrive etterlevelse av lovens øvrige forpliktelser, se omtalen under punkt 4.4.4. Dermed er den risikobaserte tilnærmingen et prinsipp som har betydning for hele den rapporteringspliktiges virksomhet. Dessuten vil rapporteringspliktiges etterlevelse av lovens tiltak kunne påvirke risikovurderingen. Anvendelsen av rutinene kan avdekke nye risikoområder. Det kan også føre til at områder som har vært ansett for å representere en høyere risiko for hvitvasking og terrorfinansiering, kan omklassifiseres til normal- eller lavrisikoområder. Den risikobaserte tilnærmingen innebærer at risikovurderingen i så fall må oppdateres. Det kan igjen medføre at innretningen av rapporteringspliktiges etterlevelse av lovens forpliktelser må oppdateres.
4.3 Virksomhetsinnrettet risikovurdering
4.3.1 Norsk rett
Rapporteringspliktige har i gjeldende hvitvaskingslov en implisitt plikt til å utarbeide risikovurderinger, se § 5 om risikobasert kundekontroll og løpende oppfølging. Bestemmelsen viser til, og forutsetter, vurderinger av risikoen for hvitvasking og terrorfinansiering. Det gis ikke nærmere regler om hvor ofte risikovurderingen skal gjennomføres eller hva risikovurderingen skal ta i betraktning.
Hvitvaskingsloven gir ikke regler om nasjonale myndigheters plikt til å utarbeide risikovurderinger.
4.3.2 EØS-rett
Direktivet artikkel 6 til 8 omhandler utarbeidelse av risikovurderinger. Risikovurderinger skal utarbeides på EU-nivå, nasjonalt nivå og hos rapporteringspliktige.
Etter artikkel 6 er Kommisjonen forpliktet til å gjøre en vurdering av risiko for hvitvasking og terrorfinansiering på EU-nivå, se artikkelens nr. 1. Risikovurderingen skal gjøres tilgjengelig for medlemsstatene og rapporteringspliktige for å hjelpe dem med å identifisere og vurdere risiko for hvitvasking og terrorfinansiering, se nr. 3. Kommisjonen skal videre utarbeide anbefalinger til medlemsstatene om tiltak for å håndtere de identifiserte risiki for hvitvasking og terrorfinansiering. Medlemsstater som velger ikke å følge anbefalingene skal gi en begrunnelse, jf. nr. 4.
De europeiske tilsynsbyråene på finansmarkedsområdet (Det europeiske banktilsynet (EBA), Det europeiske tilsynet for forsikring og tjenestepensjon (EIOPA) og Det europeiske tilsynet for verdipapirer og markeder (ESMA) – samlet benevnt som ESA-ene) skal også utarbeide en felles vurdering av hvordan risiko for hvitvasking og terrorfinansiering påvirker den finansielle sektoren i EU, se artikkel 6 nr. 5.
Artikkel 7 stadfester medlemsstatenes plikt til å utarbeide en nasjonal risikovurdering, og til å opprette et eget organ eller utarbeide mekanismer for å koordinere nasjonale tiltak for å håndtere identifisert risiko. Den nasjonale risikovurderingen skal benyttes i arbeidet med å utvikle og forbedre regelverket for bekjempelse av hvitvasking og terrorfinansiering, for å kunne tilføre og prioritere ressurser for bekjempelse av hvitvasking og terrorfinansiering, for å sikre at regelverk er tilpasset hver enkelt sektor og dennes risiko og for å være til hjelp ved rapporteringspliktiges vurdering av risiko.
Også nasjonale tilsynsmyndigheter skal kjenne risikoen for hvitvasking og terrorfinansiering i staten, som ledd i en risikobasert tilnærming til gjennomføring av tilsyn. Etter artikkel 48 nr. 6 bokstav a skal tilsynsmyndigheten derfor ha en «clear understanding of the risks of money laundering and terrorist financing present in their Member State».
Rapporteringspliktige skal identifisere og håndtere risiko for hvitvasking og terrorfinansiering, se artikkel 8 nr. 1. Risikoen skal vurderes ut fra hva slags kunder virksomheten har, geografiske faktorer, typen produkter og tjenester og hva slags transaksjoner det er tale om. Rapporteringspliktiges risikovurdering skal være proporsjonal med virksomhetens art og størrelse. I tillegg skal rapporteringspliktige ha rutiner og retningslinjer for effektivt å håndtere risiko identifisert både på EU-nivå, nasjonalt og i den enkelte institusjon, se nærmere omtale under punkt 4.4.
I fjerde hvitvaskingsdirektivs annekser er det gitt momenter til risikovurderingen de rapporteringspliktige skal foreta. Når rapporteringspliktige skal ta stilling til omfanget av kundetiltak, skal formålet med kundeforholdet, transaksjonens størrelse og regelmessigheten og varigheten av kundeforholdet blant annet tas i betraktning, jf. anneks I. Faktorer som kan være en indikasjon på når et kundeforhold eller en transaksjon innebærer lav risiko, er angitt i anneks II. Rapporteringspliktige skal vurdere risikofaktorer knyttet til kunden, produktet og geografiske faktorer. Momenter som kan tilsi en høyere risiko for hvitvasking og terrorfinansiering, er angitt i anneks III. Også her er faktorene inndelt etter kunderisiko, produktrisiko og geografisk risiko.
Rapporteringspliktiges risikovurderinger skal dokumenteres, holdes oppdatert og være tilgjengelig for relevante myndigheter, se artikkel 8 nr. 2. Relevante myndigheter kan likevel gjøre unntak fra kravet om individuelle, dokumenterte risikovurderinger når risikoene for hvitvasking og terrorfinansiering i bransjen er «clear and understood», se annet punktum.
Når det gjelder forholdet mellom risikovurderingene, er det bestemt i artikkel 6 nr. 6 at Kommisjonen i sitt arbeid med den overnasjonale risikovurderingen skal ta i betraktning ESA-enes risikovurdering. Den skal også involvere eksperter fra medlemsstatene, FIU-er og relevante EU-organer. Nasjonale risikovurderinger skal ta i betraktning den overnasjonale risikovurderingen på EU-nivå, se artikkel 7 nr. 3. Det er ikke gitt nærmere regler om rapporteringspliktiges bruk av nasjonale og overnasjonale risikovurderinger.
4.3.3 FATFs anbefalinger og rapport
FATF-anbefaling 1 gjelder risikobasert tilnærming. Statene skal identifisere, vurdere og forstå risikoen for hvitvasking og terrorfinansiering staten er utsatt for, se anbefalingens første ledd. Risikovurderingen skal ligge til grunn for statens prioritering av ressurser knyttet til forebygging og avdekking av hvitvasking og terrorfinansiering.
Nasjonale tilsynsmyndigheter skal ha en risikobasert tilnærming til gjennomføring av tilsyn, se «interpretive note» til anbefaling 26. I «interpretive note» punkt 2 er det presisert at et nødvendig ledd i risikobasert gjennomføring av tilsyn er at tilsynsmyndigheten har «a clear understanding of the money laundering and terrorist financing risks present in a country».
Anbefalingen 1 annet ledd krever at statene pålegger rapporteringspliktige å gjennomføre risikovurderinger. «Interpretive note» til anbefaling 1 punkt 8 konkretiserer anbefalingen. Rapporteringspliktige skal gjennomføre hensiktsmessige tiltak for å identifisere og vurdere risikoen for at virksomheten misbrukes til hvitvasking og terrorfinansiering. Vurderingen av risiko skal knyttes til kunder, land eller geografiske områder og produkter, tjenester og transaksjoner. Vurderingene skal dokumenteres og holdes oppdatert. Dokumentasjonen skal være tilstrekkelig til å vise grunnlaget for vurderingene. Arten og omfanget av risikovurderingene kan tilpasses virksomhetens art og størrelse. Rapporteringspliktige må alltid ha en forståelse av hvitvaskings- og terrorfinansieringsrisikoen ved virksomheten. Tilsynsmyndigheten kan gjøre unntak fra kravet om individuelle, dokumenterte risikovurderinger hvis bransjens iboende risiko for hvitvasking og terrorfinansiering er «clearly identified and understood».
FATF-anbefaling 15 krever at statene og rapporteringspliktige skal vurdere risikoen for hvitvasking og terrorfinansiering i forbindelse med utviklingen av nye produkter og bruk av ny teknologi. Blant annet skal rapporteringspliktige vurdere risikoen og treffe eventuelle tiltak før nye produkter eller ny teknologi tas i bruk.
Samlet fikk Norge karakteren «Partially Compliant» for gjennomføringen av anbefaling 1 om risikobasert tilnærming. Karaktersettingen omfattet imidlertid også annen kritikk enn den som omtales her. Det meste av kritikken gjaldt norske myndigheters tilsynspraksis og utarbeidelsen av nasjonal risikovurdering, se ovenfor under punkt 4.2.3. Et punkt dreide seg om norske krav til rapporteringspliktiges rutiner. Det er nærmere omtalt under punkt 4.4.3.
Når det gjelder rapporteringspliktiges risikovurderinger, kritiserte FATF Norge for manglende uttrykkelig krav om dokumenterte risikovurderinger. Rapporten påpekte at kravet i hvitvaskingsloven § 5 annet ledd om at rapporteringspliktig må påvise at omfanget av utførte tiltak er tilpasset den aktuelle risiko, til en viss grad oppfyller kravet om dokumenterte risikovurderinger. FATF syntes likevel å mene at det bør stilles klarere krav om dokumenterte risikovurderinger. Videre ble Norge kritisert for at risikovurderinger ikke skal stilles til rådighet for tilsynsmyndigheten.
Norge fikk karakteren «Partially Compliant» for overholdelsen av FATF-anbefaling 15. Det ble påpekt at det ikke er uttrykkelig krav om at nye produkter og ny teknologi tas i betraktning i rapporteringspliktiges risikovurderinger.
4.3.4 Utvalgets vurderinger
Utvalget har vurdert hvordan fjerde hvitvaskingsdirektiv artikkel 6 til 8 og FATF-anbefaling 1 sine krav til gjennomføring av risikovurderinger skal gjennomføres i norsk rett.
Etter både direktivet og FATF-anbefalingene skal risikovurderinger foretas på flere nivåer. Direktivet omtaler både overnasjonalt og nasjonalt nivå, i tillegg til risikovurderinger utarbeidet av den enkelte rapporteringspliktige. Siden både direktivet og FATF-anbefalingene krever at tilsynsmyndigheter skal ha «a clear understanding» av risikoen for hvitvasking og terrorfinansiering, antar utvalget at det kan være hensiktsmessig at tilsynsmyndigheter utarbeider risikovurderinger knyttet til sin sektor.
Direktivet forutsetter at nasjonal risikovurdering bygger på den overnasjonale risikovurderingen som er utført på EU-nivå. Europakommisjonens risikovurdering skal igjen bygge på innspill fra blant andre nasjonale eksperter og de europeiske tilsynsbyråenes risikovurdering. Det fremgår dermed at utarbeidelsen av risikovurderinger skal være en dynamisk prosess, der risikovurderinger fra ulike nivåer skal påvirke utarbeidelsen av risikovurderinger på andre nivåer.
Risikovurderingene skal så påvirke nasjonale myndigheters arbeid med tiltak mot hvitvasking og terrorfinansiering, blant annet med utarbeidelse av regelverk for å forebygge og avdekke hvitvasking og terrorfinansiering. For tilsynsmyndigheter innebærer det at risikovurderinger skal være utgangspunktet for tilsynsmyndighetenes risikobaserte håndhevelse av reglene som gjennomfører direktivet. Det er naturlig at den praktiske håndhevelsen og gjennomføringen av loven igjen skal kunne påvirke nasjonale risikovurderinger, slik at det skjer en vekselvirkning mellom utarbeidelsen av risikovurderinger og risikobasert gjennomføring av lovens tiltak.
Etter utvalgets oppfatning er det ikke nødvendig, og heller ikke i tråd med norsk lovgivningstradisjon, å lovfeste plikten til å utarbeide nasjonal risikovurdering. Utvalget knytter likevel enkelte bemerkninger til direktivets og anbefaligenes krav om utarbeidelse av nasjonale risikovurderinger.
Utvalget understreker viktigheten av at det gjennomføres nasjonale risikovurderinger i samsvar med fjerde hvitvaskingsdirektiv og FATFs anbefalinger. Etter fjerde hvitvaskingsdirektiv artikkel 7 nr. 4 skal nasjonal risikovurdering være et verktøy for nasjonale myndigheter. Risikovurderingen skal brukes til å forbedre det nasjonale anti-hvitvaskings- og terrorfinansieringsregimet, utpeke særskilte sektorer med høyere eller lavere risiko for hvitvasking og terrorfinansiering, bidra til prioritering av ressurser, utarbeide nærmere sektorbaserte regler tilpasset risiki for hvitvasking og terrorfinansiering og gjøre tilgjengelig informasjon for rapporteringspliktige for å legge til rette for rapporteringspliktiges risikovurderinger. Den nasjonale risikovurderingen må derfor utformes og oppdateres på en måte som gir god veiledning til rapporteringspliktige. En nasjonal risikovurdering er et nødvendig grunnlag for de rapporteringspliktiges gjennomføring av tiltak etter loven her. Den nasjonale risikovurderingens omfang, utforming og kvalitet kan få betydning for rapporteringspliktiges muligheter til å etterleve loven.
Når det derimot gjelder tilsynsmyndighetenes ansvar for å gjennomføre risikovurderinger, foreslår utvalget å tydeliggjøre dette i lovteksten. Fjerde hvitvaskingsdirektiv artikkel 48 nr. 6 gjelder tilsynsmyndighetenes utføring av tilsyn etter en risikobasert tilnærming. Bokstav a forutsetter at tilsynsmyndighetene har en «clear understanding of the risks of money laundering and terrorist financing present in their Member State». I bokstav c er det presisert at frekvensen og intensiteten i tilsynsmyndighetens både stedlige og dokumentbaserte tilsyn skal baseres på de rapporteringspliktiges risikoprofiler, og på risikoen for hvitvasking og terrorfinansiering i staten. For å tydeliggjøre at også tilsynsmyndigheten skal føre tilsyn etter loven med basis i en risikobasert tilnærming, foreslår utvalget at lovutkastet § 5 første ledd presiserer at loven skal «håndheves» på grunnlag av en vurdering av risiko for hvitvasking og terrorfinansiering.
Både fjerde hvitvaskingsdirektiv artikkel 8 nr. 1 og 2 og FATF-anbefaling 1 stiller krav om at rapporteringspliktige skal gjennomføre risikovurderinger. FATF-rapporten rettet kritikk mot norsk rett på dette punktet. Utvalget foreslår derfor en uttrykkelig bestemmelse om rapporteringspliktiges plikt til å utarbeide risikovurderinger, se lovforslaget § 6. Forslagets ordlyd går ut på at rapporteringspliktige skal identifisere og vurdere risikoen for hvitvasking og terrorfinansiering i virksomheten. For å reflektere at risikovurderingen er knyttet til rapporteringspliktiges virksomhet, foreslås overskriften «virksomhetsinnrettet risikovurdering» til bestemmelsen.
Utvalget bemerker at direktivets første materielle bestemmelse om rapporteringspliktiges forpliktelser etter direktivet er artikkel 8. Utvalget har derfor valgt å foreslå at rapporteringspliktiges plikt til å utarbeide risikovurderinger plasseres tidlig i hvitvaskingsloven.
Rapporteringspliktiges risikovurderinger skal ligge til grunn for rapporteringspliktiges risikobaserte tilnærming ved gjennomføringen av lovens tiltak, se lovforslaget § 5 og omtalen under punkt 4.2.4. Sammenhengen mellom §§ 5 og 6 er følgende: § 5 gjelder plikten til å ha en risikobasert tilnærming til gjennomføringen av samtlige tiltak etter loven. I § 6 foreslår utvalget en uttrykkelig plikt for rapporteringspliktige til å utarbeide risikovurderinger. I § 6 annet ledd foreslås en angivelse av momenter som er av betydning ved utarbeidelsen av risikovurderingen. Det er altså risikovurderingen som reguleres i § 6 som skal være utgangspunktet for rapporteringspliktiges risikobaserte gjennomføring av tiltak etter loven, i samsvar med § 5. Siden risikovurderingen er utgangspunktet for implementeringen av risikobaserte tiltak for etterlevelse av lovens forpliktelser, er det også en nær sammenheng mellom risikovurderingen og utarbeidelsen av rutiner, se lovforslaget § 7 og omtalen under punkt 4.4.4.
Siden virksomhetsinnrettede risikovurderinger skal danne utgangspunktet for rapporteringspliktiges utarbeidelse av rutiner for etterlevelse av lovens forpliktelser, må risikovurderingen utarbeides individuelt og konkret. Maler for risikovurderingen, utarbeidet av f.eks. bransjeorganisasjon, kan være nyttig, men må ikke anvendes ukritisk. Utvalget presiserer at hvilke forventninger som kan stilles til omfanget og detaljeringsgraden i risikovurderingen vil variere mellom rapporteringspliktige. For små virksomheter kan veiledning fra tilsynsmyndigheter og bransjeorgan være viktig.
Det følger av risikovurderingens gjennomgripende betydning for rapporteringspliktiges overholdelse av loven at risikovurderingen må være overordnet. Risikovurderinger skal identifisere og vurdere risikoen for hvitvasking og terrorfinansiering i den rapporteringspliktiges virksomhet, herunder identifisere deler av virksomheten med høyere eller lavere risiko.
Gjennomføringen av risikovurderinger består av tre komponenter. Rapporteringspliktig må for det første ha kunnskap om hva hvitvasking og terrorfinansiering er. Uten kunnskap om hvitvasking og terrorfinansiering vil det ikke være mulig for rapporteringspliktige å vurdere risikoen for at deres egen virksomhet kan misbrukes av kriminelle til disse formålene. Definisjonene av hvitvasking og terrorfinansiering er beskrevet under punkt 2.3.4.2 og 2.3.4.3. Kort sagt er hvitvasking all befatning med utbytte fra straffbare handlinger, mens terrorfinansiering er finansiering av terrorvirksomhet. Midlenes opprinnelse er mindre relevant ved terrorfinansiering, mens dette er et sentralt moment ved spørsmål om det kan foreligge indikasjoner på hvitvasking. Kunnskap om hva hvitvasking og terrorfinansiering er, er en nødvendig underliggende forutsetning for gjennomføringen av risikovurderingen. Utvalget foreslår imidlertid ikke at denne delen av risikovurderingene nevnes uttrykkelig i lovforslaget § 6.
For det annet må rapporteringspliktige kjenne sin egen virksomhet. Rapporteringspliktiges virksomhet omfatter produkter, tjenester, leveringsmåte og transaksjoner som rapporteringspliktig tilbyr. Utvalget viser til lovforslaget § 6 bokstav a, b og c. Rapporteringspliktig må bruke kunnskapen om hvitvasking og terrorfinansiering til å identifisere hvordan virksomheten kan misbrukes til slike formål. Slik kan rapporteringspliktige identifisere de produktene og tjenestene i virksomheten som kan innebære en henholdsvis høyere eller lavere risiko for hvitvasking og terrorfinansiering.
Den virksomhetsinnrettede risikovurderingen må ta høyde for at risikoen for hvitvasking og terrorfinansiering vil kunne variere mellom ulike produkter, tjenester og transaksjoner. F.eks. er det relevant om enkelte transaksjoner innebærer større muligheter for anonymitet enn andre.
Ved vurdering av virksomhetens produkter viser utvalget til at et viktig risikomoment er nye produkter og ny teknologi, jf. FATF-anbefaling 15, se punkt 4.3.3.
Siden risikovurderingen er knyttet til rapporteringspliktiges virksomhet, vil den gi ulike utslag hos ulike rapporteringspliktige. Eksempelvis vil det for en forhandler av varer ha betydning for risikovurderingen om vedkommende selger produkter med høy verdi, f.eks. smykker eller kunst. Generelt vil produkter med høy verdi, som samtidig er enkle å flytte, være bedre egnet til hvitvasking enn produkter med lavere verdi. Et annet moment kan være måten betalingen utføres på. Større kontantbeløp er alltid regnet som en risikofaktor for hvitvasking. Måten kjøp struktureres på kan også ha betydning, f.eks. ved at det kjøpes et uvanlig stort antall eksemplarer av samme vare, eller at beløp synes å deles opp på en måte som fremstår som en tilpasning til hvitvaskingslovens beløpsgrenser.
For en bank vil risikovurderingen på samme måte måtte fokusere på bl.a. typen produkter. En alminnelig brukskonto eller lønnskonto der pengestrømmen følger nokså faste mønstre vil normalt innebære lav risiko for hvitvasking. Konti som opprettes og raskt stenges igjen, eller konti der det kommer større overføringer inn, vil være et produkt som kan innebære høyere risiko. «Private banking» blir ofte utpekt som en produkttype med høyere risiko for hvitvasking, se f.eks. fjerde hvitvaskingsdirektiv anneks III avsnitt 2 bokstav a.
For det tredje må rapporteringspliktige kjenne hvem de forholder seg til og handler med. Dette omfatter kunder, reelle rettighetshavere og andre. Herunder er geografiske forhold av betydning. Utvalget viser til lovforslaget § 6 annet ledd bokstav d og e.
Det vil kunne være relevant for rapporteringspliktig å kartlegge vedkommendes kundegrupper. Dreier det seg om kunder som er privatpersoner uten noen form for tilknytning til utlandet? Eller dreier det seg i stedet om bedriftskunder som er del av større selskapsstrukturer med forbindelser til ulike jurisdiksjoner både innenfor og utenfor EØS-området? Dette kan ha betydning for vurderingen av risiko for hvitvasking eller terrorfinansiering, herunder når det sees i sammenheng med andre momenter. Om en rapporteringspliktig i hovedsak har langvarige kundeforhold der vedkommende kjenner sine kunder godt, vil dette medvirke til at risikoen for hvitvasking og terrorfinansiering kan anses lavere enn hos en rapporteringspliktig som har mange kunder som ikke har et etablert kundeforhold, eller kundeforholdene er svært kortvarige.
Om en rapporteringspliktig har en stor kundemasse som driver virksomhet i et av landene FATF har pekt ut som land uten tilfredsstillende tiltak mot hvitvasking og terrorfinansiering, tilsier det at kundemassen innebærer en høyere risiko. Det samme gjelder om reelle rettighetshavere viser seg å være etablert i slike høyrisikoland. Rapporteringspliktiges egen lokalisering i landet kan også være relevant, f.eks. ved kjente konsentrasjoner av ulike kriminelle miljøer. Også rapporteringspliktige som ikke etablerer kundeforhold, men i stedet bare gjennomfører enkeltstående transaksjoner, må ta hensyn til dette i den virksomhetsinnrettede risikovurderingen.
Samlet gjennomfører lovforslaget § 6 annet ledd fjerde hvitvaskingsdirektiv anneks I.
Når rapporteringspliktige skal kartlegge momentene gjennomgått ovenfor, og som fremgår av lovforslaget § 6 annet ledd, bør rapporteringspliktige, som ledd i å innhente kunnskap, vurdere å konsultere eksterne kilder. Hvilke forventninger som kan stilles til ulike rapporteringspliktiges innhenting av informasjon, vil avhenge av virksomhetens art og størrelse.
Rapporteringspliktige bør, avhengig av sin virksomhet, vurdere å se hen til overnasjonale risikovurderinger på EU-nivå, nasjonale risikovurderinger og sektorbaserte risikovurderinger utarbeidet av tilsynsmyndighetene eller, eventuelt, bransjeorgan. Videre kan det være hensiktsmessig for rapporteringspliktig å vurdere å konsultere veiledninger og typologirapporter som er ment å kartlegge hvilken risiko som finnes for hvitvasking og terrorfinansiering i ulike sektorer, utarbeidet og publisert av FATF. Dessuten rangerer FATF stater etter hvilket arbeid de gjennomfører for å bekjempe hvitvasking og terrorfinansiering.
Foruten eventuelt å konsultere eksterne kilder til informasjon om risiko for hvitvasking og terrorfinansiering, må rapporteringspliktige vurdere risikoen for hvitvasking og terrorfinansiering i egen virksomhet. Ved utarbeidelsen av risikovurderingen må rapporteringspliktige tenke gjennom hvilke egenskaper ved virksomheten som er egnet til å misbrukes av kriminelle til hvitvasking eller terrorfinansiering. Rapporteringspliktige må stille seg spørsmål som: Hvordan kan min virksomhet misbrukes til hvitvasking og terrorfinansiering? Hva slags produkter tilbyr jeg som kan benyttes til hvitvasking eller terrorfinansiering? Hvilke kundegrupper innebærer risiko for hvitvasking og terrorfinansiering? Svarene på disse spørsmålene kan ikke gis av andre enn rapporteringspliktige selv, som kjenner egen virksomhet best.
Risikovurderingen må holdes oppdatert for å kunne fungere som utgangspunkt for rapporteringspliktiges risikobaserte tiltak i samsvar med lovforslaget § 5 første ledd. Fjerde hvitvaskingsdirektiv nevner dette i artikkel 8 nr. 2. Utvalget foreslår at dette fremgår uttrykkelig av lovforslaget § 6 tredje ledd.
Risikovurderingen må oppdateres jevnlig for å kunne være et praktisk verktøy for rapporteringspliktige. Utvalget foreslår ikke uttrykkelige krav om hvor ofte den virksomhetsinnrettede risikovurderingen skal oppdateres eller revideres. Hva som er passende tidsintervaller vil variere. Relevante momenter vil være ny kunnskap om metoder og trender for hvitvasking og terrorfinansiering som tas i bruk av kriminelle, eventuelle nye produkter og tjenester rapporteringspliktig tilbyr, rapporteringspliktiges egne erfaringer gjennom arbeidet med å avdekke og forebygge hvitvasking og terrorfinansiering osv. Nye risikovurderinger utarbeidet av myndigheter, tilsynsmyndigheten eller bransjeorgan, bør gi rapporteringspliktig oppfordring til å revidere sin virksomhetsinnrettede risikovurdering.
Det fremgår av fjerde hvitvaskingsdirektiv artikkel 8 nr. 2 at risikovurderingen som hovedregel skal dokumenteres. Utvalget foreslår en bestemmelse om at den virksomhetsinnrettede risikovurderingen skal dokumenteres, se lovforslaget § 6 tredje ledd. Dette er dels av tilsynsmessige årsaker, og dels fordi utvalget antar at et uttrykkelig krav om dokumenterte risikovurderinger vil gjøre det mer sannsynlig at risikovurderinger faktisk gjennomføres.
Risikovurderingen skal være bestemmende for utarbeidelsen av virksomhetens rutiner i samsvar med kravet om implementering av risikobaserte tiltak etter lovforslaget § 5 første ledd. Rutinene skal så dekke etterlevelsen av lovens samtlige tiltak, se nærmere omtale under punkt 4.4.4. Dersom risikovurderingen idenfiserer hvilke risiki for hvitvasking og terrorfinansiering som foreligger ved virksomheten, gjør det forutsetningsvis rapporteringspliktig i stand til å finne egnede tiltak til å håndtere og motvirke den identifiserte risikoen.
4.4 Rutiner
4.4.1 Norsk rett
Gjeldende hvitvaskingslov § 23 første ledd bestemmer at rapporteringspliktige skal ha «forsvarlige interne kontroll- og kommunikasjonsrutiner» for å sikre oppfyllelse av pliktene etter loven. Loven utdyper ikke hva rutinene skal inneholde.
4.4.2 EØS-rett
Etter fjerde hvitvaskingsdirektiv artikkel 8 nr. 3 skal statene kreve at rapporteringspliktige etablerer interne strategier, kontrollmekanismer og prosedyrer («internal policies, controls and procedures» – heretter kalt «rutiner») for å håndtere risikoen for hvitvasking og terrorfinansiering. Utarbeidelsen av rutiner er knyttet til plikten for rapporteringspliktige til å utarbeide risikovurderinger etter artikkel 8 nr. 1 og 2, se punkt 4.3.2. Kravene til rutinene skal være tilpasset arten og størrelsen på rapporteringspliktiges virksomhet, og utdypes i nr. 4 bokstav a. Rutinene skal omfatte retningslinjer for risikohåndtering, kundetiltak og løpende oppfølging, rapportering, registrering og lagring av opplysninger og dokumenter.
4.4.3 FATFs anbefalinger og rapport
Rapporteringspliktige må ha strategier, prosedyrer og kontrollmekanismer («policy, controls and procedures», heretter kalt «rutiner») som er tilpasset den identifiserte risikoen for hvitvasking og terrorfinansiering i virksomheten, se «interpretive note» til anbefaling 1 punkt 9. Risikoen kan være identifisert på statlig nivå, og av den enkelte rapporteringspliktige.
Rutinene for å håndtere og motvirke risiko for hvitvasking og terrorfinansiering, skal være i samsvar med nasjonale krav og retningslinjer fra kompetente myndigheter, herunder selvregulerende bransjeorganer.
Anbefaling 18 gjelder «internal controls and foreign branches and subsidiaries», og stiller krav om utarbeidelse av programmer («programmes») for tiltak mot hvitvasking og terrorfinansiering. Arten og omfanget av tiltakene som iverksettes gjennom de interne rutinene, kan tilpasses virksomhetens risiko for hvitvasking og terrorfinansiering og størrelsen på rapporteringspliktiges virksomhet, se «interpretive note» til anbefaling 18 punkt 2.
FATF hadde ikke merknader til norsk gjennomføring av regler om rutiner.
4.4.4 Utvalgets vurderinger
Fjerde hvitvaskingsdirektiv og FATF-anbefalingene krever at rapporteringspliktige skal utarbeide rutiner ut fra en risikovurdering. Rutinene er et eget, overordnet tiltak i fjerde hvitvaskingsdirektiv artikkel 8. Utvalget foreslår derfor en bestemmelse om rapporteringspliktiges utarbeidelse av rutiner innledningsvis i hvitvaskingsloven, se lovforslaget § 7. Dette er en sentral og grunnleggende forpliktelse for de rapporteringspliktige. Rutinenes formål er å integrere arbeidet med å forebygge og avdekke hvitvasking og terrorfinansiering i den daglige driften hos rapporteringspliktige.
Rutinene skal beskrive hvordan rapporteringspliktige skal implementere samtlige av hvitvaskingslovens tiltak. Rutinene skal være rapporteringspliktiges plan eller «oppskrift» for hvordan hvitvaskingsregelverket skal etterleves. Forpliktelsene omfatter kundetiltak og løpende oppfølging, undersøkelse og rapportering, behandling av personopplysninger og andre opplysninger, og øvrige tiltak. Hvitvaskingslovens øvrige bestemmelser blir dermed både presiseringer av hva rutinene skal omhandle, gå ut på og sikre etterlevelse av, og samtidig selvstendige forpliktelser for rapporteringspliktige. Utvalgets forslag til regler om kundetiltak, undersøkelse, rapportering osv. beskrives i utredningens påfølgende kapitler. Gode rutiner er en forutsetning for effektiv etterlevelse og gjennomføring av lovens forpliktelser.
Rutinenes omfang skal være tilpasset arten og størrelsen på rapporteringspliktiges virksomhet, og sees i lys av risikoen for at virksomheten misbrukes til hvitvasking eller terrorfinansiering. Alle rapporteringspliktige må utarbeide rutiner. Omfanget og detaljeringsgraden kan variere mellom ulike typer rapporteringspliktige og mellom rapporteringspliktige av ulik størrelse. Dersom det er identifisert en høyere risiko for hvitvasking eller terrorfinansiering i virksomheten eller bransjen, må det reflekteres i rutinenes omfang og detaljeringsgrad.
Som det fremgår av omtalen av risikobaserte tiltak under punkt 4.2.4 og omtalen av rapporteringspliktiges risikovurderinger under punkt 4.3.4, vil den virksomhetsinnrettede risikovurderingen være bestemmende for utarbeidelsen av rutinene. Risikovurderingen er bestemmende både for hvilke kunder eller produkter som må vies særlig oppmerksomhet, og for rutinenes beskrivelse av hvordan den identifiserte risikoen kan håndteres og motvirkes.
Siden risikovurderingen skal være virksomhetsinnrettet, se punkt 4.3.4, vil også rutinene måtte utarbeides konkret og individuelt i den enkelte rapporteringspliktige virksomhet.
For rapporteringspliktige som etablerer kundeforhold, f.eks. banker, bør rutinene beskrive «livslinjen» i forholdet mellom rapporteringspliktig og kunde. Det vil si hvordan forholdet mellom kunde og rapporteringspliktig normalt vil fortone seg. Rutinene bør beskrive prosedyrene for innhenting av informasjon ved den første kontakten med kunden, herunder gjennomføring av kundetiltak, eventuelt gjennomføring av forenklede eller forsterkede kundetiltak. Rutinene bør også inneholde prosedyrer for avvisning av kunder, eventuelt avslutning av allerede opprettede kundeforhold. Videre bør rutinene beskrive hvilken løpende oppfølging kundeforholdet skal underlegges, avhengig av hvilken risikoklassifisering kunden er gitt. Her bør rutinene dekke f.eks. hvilke hendelser som skal utløse ny gjennomføring av kundetiltak, eller på hvilke faste tidspunkter det skal gjennomføres nye kundetiltak overfor kunden. Rutinene bør også beskrive hvilke undersøkelser som normalt skal gjennomføres dersom det utløses undersøkelsesplikt.
Rapporteringspliktiges rutiner må holdes oppdatert, se lovforslaget § 7 annet ledd. Fjerde hvitvaskingsdirektiv forutsetter løpende oppdatering av virksomhetens rutiner i artikkel 8 nr. 5. Plikt til å oppdatere rutinene er en naturlig konsekvens av at rutinene må sees i sammenheng med den identifiserte risikoen for hvitvasking og terrorfinansiering. Dersom den virksomhetsinnrettede risikovurderingen oppdateres, vil dette kunne få konsekvenser for rutinenes utforming. Det ligger i rutinenes natur at de fortløpende må tilpasses virkeligheten rapporteringspliktige virker i for å etterleve hvitvaskingsloven. Utvalget foreslår ikke uttrykkelige bestemmelser om når rutinene må oppdateres. Relevante momenter vil f.eks. være at det utarbeides en ny virksomhetsinnrettet risikovurdering, rapporteringspliktig tilbyr nye produkter eller tjenester, ny type kundegruppe tar i bruk rapporteringspliktiges tjenester eller det skjer endringer i lov eller forskrift.
Utvalget foreslår at rutinene, på samme måte som den virksomhetsinnrettede risikovurderingen, må dokumenteres og stilles til rådighet for tilsynsmyndigheten, se lovforslaget § 7 annet ledd.
Ved spørsmål om å ilegge sanksjoner for brudd på hvitvaskingsloven, vil et sentralt moment være om virksomheten har utarbeidet rutiner til overholdelse av hvitvaskingslovens forpliktelser. Dersom virksomheten har utarbeidet rutiner på bakgrunn av en hensiktsmessig virksomhetsinnrettet risikovurdering og rutinene etterleves, vil det normalt ikke være aktuelt med sanksjoner mot virksomheten. Utvalget viser til nærmere omtale av sanksjonsspørsmålene under punkt 10.5.
4.5 Øverste ledelses ansvar
4.5.1 Norsk rett
Rapporteringspliktiges kontroll- og kommunikasjonsrutiner skal være fastsatt på øverste nivå hos den rapporteringspliktige, se hvitvaskingsloven § 23 annet ledd. I tillegg skal det utpekes en person i ledelsen med ansvar for å følge opp rutinene.
4.5.2 EØS-rett
Rutinene skal godkjennes av øverste ledelse («senior management») hos rapporteringspliktige, se artikkel 8 nr. 5. Øverste ledelse skal overvåke og, om nødvendig, oppdatere og forbedre rutinene. «Senior management» er definert i artikkel 3 nr. 12, og omfatter ledere («officers») eller ansatte med tilstrekkelig kunnskap om virksomhetens eksponering mot risiko for hvitvasking og terrorfinansiering. Vedkommende må i tillegg ha tilstrekkelig erfaring og intern kompetanse («seniority») til å fatte avgjørelser om virksomhetens eksponering mot risiko for hvitvasking og terrorfinansiering. Vedkommende må ikke nødvendigvis i alle tilfeller være et medlem av styret.
Rapporteringspliktige skal, når det er anvendelig («where applicable»), utpeke et medlem av styret («management board») til å ha særskilt ansvar for gjennomføring av tiltak for å overholde regelverk som gjennomfører direktivet, se artikkel 46 nr. 4.
4.5.3 FATFs anbefalinger og rapport
Anbefaling 1 gjelder blant annet etablering av rutiner. Rutinene skal godkjennes av øverste ledelse («senior mangement»), se «interpretive note» til anbefaling 1 punkt 9. Implementeringen av rutinene skal følges opp, og om nødvendig skal rutinene skjerpes. «Senior management» er ikke definert i FATFs anbefalinger.
I FATF-rapporten fikk Norge karakteren «Partially Compliant» for gjennomføringen av anbefaling 1 om risikobasert tilnærming. Deler av kritikken er omtalt under punkt 4.2.3. Norge ble også kritisert for at hvitvaskingsloven ikke uttrykkelig stiller krav om oppfølging av implementeringen av virksomhetens rutiner, se «interpretive note» til anbefaling 1 punkt 9, omtalt ovenfor.
4.5.4 Utvalgets vurderinger
Utvalgets flertall, medlemmene Damslora, Hana, Holberg, Lund, Munch Thore, Roaldsøy, Rui, Stokmo og Utne, foreslår en samlet bestemmelse om øverste ledelses ansvar, se lovforslaget § 8. Bestemmelsen omfatter ansvar for å godkjenne den virksomhetsinnrettede risikovurderingen etter § 6 og rutiner etter § 7, og å sørge for at forpliktelsene etter §§ 6 og 7 gjennomføres. Bestemmelsen foreskriver også at det utnevnes en person i virksomhetens ledelse med særskilt ansvar for at forpliktelsene etter § 7 gjennomføres. Utvalgets forslag bygger i det vesentlige på fjerde hvitvaskingsdirektiv artikkel 8 nr. 5 og artikkel 46 nr. 4.
Utvalgsmedlem Sigurdsen har et annet syn på spørsmålet om regulering av ansvaret for å utarbeide, godkjenne og følge opp rutinene, se nedenfor.
Utvalgets flertall foreslår at rapporteringspliktiges øverste ledelse har ansvar for å godkjenne virksomhetens risikovurdering og rutiner etter §§ 6 og 7, se lovforslaget § 8 bokstav a. Forslaget bygger på direktivet artikkel 8 nr. 5, som bruker uttrykket «senior management». Utvalgets flertall har foreslått å definere «øverste ledelse» i § 2 bokstav l. Begrepet og begrepets forhold til direktivets uttrykk «senior management» er generelt omtalt i punkt 2.3.4.7.
Utvalgets flertall finner at «senior management» i denne sammenheng skal forstås som styret og daglig leder. I foretak uten styre eller daglig leder vil det være selskapsorgan med tilsvarende ansvar og kompetanse som har ansvaret for utarbeidelse av risikovurdering og rutiner. Godkjenning av risikovurdering og rutiner er en sentral beslutning i rapporteringspliktige. Det har stor betydning for rapporteringspliktiges etterlevelse av hvitvaskingsregelverket. Uten en gjennomarbeidet risikovurdering og helhetlige og virksomhetstilpassede rutiner, øker sannsynligheten for at det kan forekommme brudd på sanksjonsbelagte plikter. Som det redegjøres for i punkt 10.5, risikerer rapporteringspliktige og øverste ledelse forvaltningssanksjoner.
Øverste ledelse har også ansvar for at forpliktelsene i §§ 6 og 7 etterleves, se lovforslaget § 8 bokstav b. Forpliktelsene det dreier seg om fremgår av §§ 6 tredje ledd og 7 annet ledd. Risikovurderingen og rutinene skal etter disse bestemmelsene dokumenteres, holdes oppdatert og stilles til rådighet for tilsynsmyndigheten.
Øverste ledelse har etter flertallets forslag det overordnede ansvaret for utarbeidelse av den virksomhetsinnrettede risikovurderingen. Utarbeidelse av risikovurderingen er en grunnleggende forpliktelse for rapporteringspliktige, og er kjernen og utgangspunktet for arbeid knyttet til de risikobaserte pliktene i loven. Uten en gjennomarbeidet og oppdatert risikovurdering er det ikke mulig å utarbeide risikobaserte rutiner slik loven krever.
Videre har øverste ledelse etter flertallets forslag det overordnede ansvaret for at rutinene i virksomheten følges. Dette er i samsvar med alminnelig norsk selskapsrett. Øverste ledelse har også det overordnede ansvaret for at rutinene oppdateres i samsvar med kravene i hvitvaskingsloven. Det betyr ikke at øverste ledelse selv skal utarbeide nye rutiner. Det betyr imidlertid at øverste ledelse må sørge for at virksomheten innrettes slik at behov for endringer i rutinene oppdages. Videre må øverste ledelse sørge for at det i slike tilfeller gjøres endringer i rutinene. Øverste ledelse må godkjenne rutinene, herunder endringer i rutinene, jf. bokstav a.
Fjerde hvitvaskingsdirektiv artikkel 46 nr. 4 slår fast at rapporteringspliktige, «where applicable», skal «identify the member of the management board» som er ansvarlig for «implementation» av lover, forskrifter og regler som er nødvendige for å overholde direktivet.
Utvalget har vurdert hvordan artikkelen skal gjennomføres i norsk rett. Utvalget påpeker for det første at denne personen må skilles fra den såkalte etterlevelsesansvarlige («compliance officer») etter direktivet artikkel 8 nr. 4 bokstav a.
For det annet bemerker utvalget at det forstår bestemmelsen slik at den gjelder det overordnede ansvaret for at direktivets regler overholdes.
For det tredje har utvalget vurdert i hvilke tilfeller det skal utpekes en særskilt person. Dette har en forbindelse til hva som ligger i direktivets uttrykk «management board», og hva som menes med «where applicable».
Når det gjelder forståelsen av «member of the management board», er dette i den danske versjonen av direktivet betegnet medlem av «bestyrelsen» og i den svenske versjonen betegnet «styrelsesledamot». Direktivets ulike versjoner trekker med andre ord i retning av at det må utpekes et medlem av styret med ansvar for overholdelse av regler som gjennomfører fjerde hvitvaskingsdirektiv.
I Danmark ble det i høringsnotatet foreslått at det skal utpekes et medlem av «direktionen» til å ha ansvar for overholdelse av reglene i hvitvaskingsloven. Erhvervs- og vækstministeriet la til grunn at dette gjennomfører fjerde hvitvaskingsdirektiv artikkel 46 nr. 4, men det ble ikke begrunnet hvorfor man her valgte et annet selskapsorgan enn det direktivets ordlyd nevner.3 «Direktionen» tilsvarer daglig leder i norsk rett, og ikke styret. I kommentarene til forslaget ble det presisert at det ikke var meningen å endre hvem som er ansvarlig ved overtredelser av loven. I lovforslaget som ble fremlagt for Folketinget 13. oktober 2016, var ordlyden blitt endret til å kreve utpeking av en særskilt person i «bestyrelsen», samtidig som dette ikke lenger skal gjøres uansett, men «hvor det vurderes relevant».4 I kommentaren til bestemmelsen understrekes det at utpeking av ett særskilt styremedlem ikke fritar resten av styret for ansvaret for å følge opp også denne delen av virksomheten.
I Sverige er artikkel 46 nr. 4 i utredningen tolket slik at utpeking av styremedlem i «tillämpliga fall» bare skal skje der virksomhetens art og omfang tilsier det.5 Utredningen påpeker at det kan synes som om et særskilt styremedlem skal utpekes såfremt den rapporteringspliktige har styre. Utredningens forfattere mener imidlertid dette ikke vil være i samsvar med en risikobasert tilnærming. I stedet trekker utredningen en parallell til spørsmålet om å utpeke «compliance officer».
På bakgrunn av forholdene det er redegjort for ovenfor, foreslår utvalgets flertall at øverste ledelse skal utnevne en person i virksomhetens ledelse som skal ha særskilt ansvar for at forpliktelsene i § 7 gjennomføres. Med gjennomføring av forpliktelsene i § 7 menes her at virksomhetens rutiner implementeres i virksomheten. Med ledelse menes ikke nødvendigvis at det skal utpekes et medlem av styret, se annerledes flertallets definisjon av «øverste ledelse» i § 2 bokstav l. Definisjonen omfatter styret og daglig leder eller foretaksorgan med tilsvarende ansvar og komptanse. Flertallet viser også til omtalen under punkt 2.3.4.7.
Avgrensningen av øverste ledelse i lovforslaget § 8 første ledd samsvarer med avgrensningen av øverste ledelse i lovforslaget § 4 tredje ledd. Lovforslaget § 4 tredje ledd er ment å gi hjemmel for ileggelse av forvaltningssanksjoner overfor nevnte fysiske personer. Det vil dermed være sammenheng mellom avgrensningen av hvem som kan ilegges forvaltningssanksjoner etter hvitvaskingsloven, og hvem som har ansvaret for utarbeidelse av rutiner i virksomheten. Om det er utarbeidet rutiner i virksomheten vil være et sentralt moment ved spørsmålet om ileggelse av forvaltningssanksjoner, se omtalen under punkt 4.4.4 og 10.5.7.
Om forholdet mellom øverste ledelses ansvar og kravet til internkontroll, se utvalgets forslag til § 36 og omtalen under punkt 8.5.2, bemerker flertallet følgende: Der virksomhetens omfang tilsier det, må det etableres tydelige retningslinjer for fordeling av ansvar mellom «førstelinjeforsvaret» som består i gjennomføring av den daglige etterlevelsen av loven, eventuell etterlevelsesansvarlig sitt ansvar, og øverste ledelses overordnede ansvar. For de foretak som også må etablere en uavhengig kontrollfunksjon fordi virksomhetens omfang og art tilsier det, bør kontrollfunksjonen rapportere til øverste ledelse.
Utvalgsmedlem Sigurdsen viser til at direktivet artikkel 8 nr. 5 krever at rutiner mv. skal være godkjent av «senior management», som er legaldefinert i artikkel 3 (12) og nevnt i fortalen avsnitt 34. Det er ikke et krav at personen(e) er medlem av et formelt ledelsesorgan i det foretaket som driver virksomheten, for eksempel styre eller daglig leder i et aksjeselskap. På den annen side må vedkommende ha både relevant kunnskap om hvitvasking etc. og beslutningsmyndighet når det gjelder eksponering for risiko.
Dette medlem mener at det er ledelsen i virksomheten som må bestemme hvem som skal ha som oppgave å godkjenne virksomhetens rutiner mv. Det er ikke nødvendig at det er styret eller daglig leder i foretaket som står for utpekingen. Daglig leder i et foretak står ofte for den daglige ledelse av virksomheten. I mange tilfeller vil det derfor være daglig leder selv som godkjenner rutiner mv.
Dette medlem viser til sitt forslag til § 8 inntatt i punkt 15.2.4.
Dette medlem har en annen oppfatning av direktivet artikkel 46 nr. 4. Dette medlem forstår artikkelen slik at de rapporteringspliktige må sørge for at én person i den relevante delen av ledelsen i foretaket («management board») har ansvar for gjennomføring av regler, rutiner mv. som gjelder hvitvasking. Kompetanseforedelingen mellom styre og daglig leder i juridiske personer etter norsk rett, særlig aksjeloven, innebærer etter dette medlems vurdering at det er daglig leder som regnes som «management board». For andre juridiske personer vil organ som har tilsvarende kompetanse være den ansvarlige.
Det følger altså allerede av norsk rett hvilken person som har det aktuelle ansvaret. Dette medlem mener derfor at reservasjonen «where applicable» i direktivet gjør at det ikke er nødvendig å lovfeste ansvaret for å oppfylle artikkel 46 nr. 4.
Fotnoter
Ot.prp. nr. 3 (2008–2009) punkt 4.2.5.
FATFs hjemmeside er www.fatf-gafi.org. FATF har blant annet utgitt følgende veiledningsdokumenter: «Guidance for a risk-based approach: effective supervision and enforcement by AML/CFT supervisors of the financial sector and law enforcement», «Guidance for a Risk-Based Approach to Virtual Currencies» , «Risk-Based Approach for the Banking Sector», «Guidance for a Risk-Based Approach to Prepaid Cards, Mobile Payments and Internet-Based Payment Services», «FATF Guidance on the Risk-Based Approach for the Life Insurance Sector», «FATF Guidance on the Risk-Based Approach for Money Services Businesses», «Risk Based Approach Guidance for legal Professionals», «FATF Guidance on the Risk-Based Approach for Casinos», «FATF Guidance on the Risk-Based Approach for Dealers in Precious Metals and Stones», «FATF Guidance on the Risk-Based Approach for Real Estate Agents», «FATF Guidance on the Risk-Based Approach for Accountants», «FATF Guidance on the Risk-Based Approach for Trust and Company Service Providers (TCSPs)», «FATF Guidance on the Risk-Based Approach to Combating Money Laundering and Terrorist Financing – High Level Principles and Procedures».
Forslag til Lov om forebyggende foranstaltninger mod hvidvask og finansiering af terrorisme (høringsutkast), Bemærkninger til lovforslaget, punkt 3.4.4.
Forslag til Lov om forebyggende foranstaltninger mod hvidvask og finansiering af terrorisme, som fremsatt for Folketinget, § 8 stk. 5.
SOU 2016:8, Del 1, punkt 16.3.