7 Interne rutiner og systemer mv.
7.1 Kontroll- og kommunikasjonsrutiner
7.1.1 EØS-rett
Etter direktivet artikkel 34 nr. 1 skal institusjoner og personer som omfattes av direktivet etablere tilstrekkelige og egnede rutiner for kundekontroll og løpende oppfølging, rapportering, oppbevaring, intern kontroll, risikovurdering, risikostyring, kontroll med overholdelse av regelverk («compliance management») og kommunikasjon for å forebygge og hindre hvitvasking og terrorfinansiering. Etter artikkel 34 nr. 2 skal «credit and financial institutions» kommunisere relevante rutiner til filialer og majoritetseide datterselskaper i tredjestater.
Artikkel 35 nr. 1 krever at institusjoner og personer som omfattes av direktivet treffer nødvendige tiltak for at ansatte skal bli fortrolige med de regler som vedtas i henhold til direktivet. Slike tiltak skal omfatte deltakelse i særlige opplæringsprogrammer som hjelper de ansatte å gjenkjenne operasjoner som kan ha tilknytning til hvitvasking eller terrorfinansiering og viser dem hvordan de skal opptre i slike tilfeller.
Direktivets bestemmelser er en videreføring og utvidelse av første hvitvaskingsdirektiv artikkel 11.
FATF-anbefaling 15 gir regler om utarbeidelse av «programmes against money laundering and terrorist financing». Disse skal omfatte interne rutiner og kontrolltiltak, herunder egnede ordninger for kontroll med overholdelse av regelverk og «adequate screening procedures» for å sikre høy standard ved ansettelser (punkt a), løpende opplæringsprogram for ansatte (punkt b) og «an audit function to test the system» (punkt c). I en tolkingsuttalelse («Interpretative Note») til anbefalingen uttaler FATF at arten og omfanget av tiltak som skal iverksettes skal være passende ut fra risikoen for hvitvasking og terrorfinansiering og virksomhetens størrelse. Videre uttales at ordninger for kontroll med overholdelse av regelverk for «financial institutions» skal omfatte oppnevnelse av en ansvarlig person i foretakets ledelse.
7.1.2 Norsk rett
Etter hvitvaskingsloven § 13 skal rapporteringspliktige etablere forsvarlige interne kontroll- og kommunikasjonsrutiner som sikrer oppfyllelse av plikter etter hvitvaskingsregelverket. Rutinene skal være skriftlige og fastsatt på øverste nivå hos den rapporteringspliktige, og det skal utpekes en person i ledelsen som skal ha særskilt ansvar for å følge opp rutinene. Videre skal det gjennomføres opplæringsprogrammer og oppfølging for ansatte og andre personer som utfører oppgaver til oppfyllelse av plikter etter loven.
Hvitvaskingsforskriften § 16 presiserer at pliktene etter hvitvaskingsloven § 13 også omfatter tiltak som trening, vedlikehold og oppgradering av kunnskaper, herunder deltakelse i særlige opplæringsprogrammer, hvor ansatte og andre personer som utfører oppgaver til oppfyllelse av forskriften kan lære å kjenne igjen transaksjoner som kan ha tilknytning til hvitvasking av utbytte fra straffbare handlinger og forhold som rammes av straffeloven §§ 147 a og 147 b, og instruksjon om saksbehandlingen i slike tilfeller.
7.1.3 Utvalgets forslag
Etter utvalgets oppfatning oppfyller de gjeldende reglene om kontroll- og kommunikasjonsrutiner i hvitvaskingsloven og hvitvaskingsforskriften i betydelig grad de krav som stilles i direktivet. I FATFs evalueringsrapport legges det også til grunn at norsk rett i all hovedsak tilfredsstiller FATF-anbefaling 15. Utvalget foreslår på denne bakgrunn at de nåværende bestemmelsene videreføres, med de endringer som beskrives nedenfor.
Utvalget anser det hensiktsmessig at det oppstilles et generelt krav til rapporteringspliktige om å ha forsvarlige kontroll- og kommunikasjonsrutiner som sikrer oppfyllelse av plikter etter hvitvaskingsregelverket, slik det gjøres i hvitvaskingsloven § 13 første punktum. Det anses ikke nødvendig å angi konkrete formål for de enkelte rutiner, slik det gjøres i artikkel 34 nr. 1. Utvalget foreslår således at hvitvaskingsloven § 13 første punktum videreføres, jf. utvalgets lovforslag § 22 første ledd.
Regelen i hvitvaskingsloven § 13 annet punktum, om at kontroll- og kommunikasjonsrutinene skal være skriftlige og fastsatt på øverste nivå hos den rapporteringspliktige, har ikke noe direkte motstykke i direktivet eller FATFs anbefalinger.
Utvalget anser det ikke hensiktsmessig å videreføre et absolutt krav om skriftlighet. For det store antall mindre virksomheter med ingen eller få ansatte, vil et krav om skriftlige rutiner kunne fremstå som unødig byrdefullt. For mindre foretak uten ansatte anser utvalget at skriftlige rutiner ikke er nødvendig, ettersom det må forutsettes at virksomheten er kjent med hvitvaskingslovgivningen på lik linje med øvrige regelverk som gjelder for denne. For foretak med få ansatte vil det være behov for å formidle og gjøre tilgjengelig utdrag av regelverket for ansatte for å klargjøre hvilke plikter de har, jf. også kravet om tiltak etter utvalgets lovforslag § 22 fjerde ledd. For øvrige virksomheter legger utvalget til grunn at kravet om forsvarlige kontroll- og kommunikasjonsrutiner vil innebære et krav om at rutinene utarbeides skriftlig, jf. utvalgets lovforslag § 22 første ledd. Utvalget foreslår at kravet om fastsettelse av rutiner på øverste nivå hos den rapporteringspliktige opprettholdes, jf utvalgets lovforslag § 22 annet ledd.
Kravet om at det utpekes en person i ledelsen med særskilt ansvar for å følge opp rutinene er i samsvar med FATF-anbefaling 15, og foreslås videreført, jf. utvalgets lovforslag § 22 annet ledd annet punktum.
Artikkel 34 nr. 2, om kommunikasjon av rutiner i «credit and financial institutions» til filialer og majoritetseide datterselskaper i tredjestater, foreslås gjennomført i utvalgets lovforslag § 22 tredje ledd. Rapporteringspliktige som nevnt i utvalgets lovforslag § 4 første ledd skal påse at rutinene er kjent for filialer og datterselskaper etablert i stater utenfor EØS. Begrepet «datterselskap» skal forstås i samsvar med definisjonen i regnskapsloven § 1-3, og rekker således noe videre enn begrepet «majority-owned subsidiaries» etter direktivet.
Utvalget foreslår at det innføres en generell plikt for rapporteringspliktige til å treffe nødvendige tiltak for å sikre at ansatte og andre personer som utfører oppgaver på vegne av den rapporteringspliktige er kjent med de plikter som påligger den rapporteringspliktige, jf. utvalgets lovforslag § 22 fjerde ledd bokstav a, og lærer å kjenne igjen mistenkelige transaksjoner, og er kjent med den rapporteringspliktiges interne rutiner for håndtering av slike, jf. utvalgets lovforslag § 22 fjerde ledd bokstav b. De foreslåtte bestemmelsene erstatter hvitvaskingsloven § 13 fjerde punktum og hvitvaskingsforskriften § 16, og er i samsvar med direktivet artikkel 35 nr. 1. Utvalget anser det ikke mulig å angi hvilke konkrete tiltak som skal gjennomføres. Hvitvaskingsregelverket omfatter en stor og uensartet gruppe, og aktuelle tiltak må tilpasses den konkrete virksomheten.
7.1.4 Høringsinstansenes merknader
Norges bilbransjeforbund uttaler i sin høringsuttalelse:
«Lovforslagets § 22 pålegger rapporteringspliktige å ha forsvarlige interne kontroll- og kommunikasjonsrutiner for å sikre oppfyllelse av lovens plikter. Det nærmere innholdet i slike rutiner sies det lite om. Når det gjelder bilforhandlerne, vil oppgjør for et bilsalg i form av kontanter bare skje helt unntaksvis. Det vil følgelig kunne gå lang tid mellom hvert salg av denne typen. For at en forhandler skal bli omfattet av loven som rapporteringspliktig, er det imidlertid nok med ett kontantsalg på kr. 40 000,- eller mer. Dette vil igjen utløse en plikt til å etablere rutiner som nevnt, så vidt vi forstår med varig virkning. Etter vår oppfatning fremstår det som både urimelig og unødvendig at forhandlere som sjelden og helt unntaksvis involveres i transaksjoner av den typen som loven rammer, skal måtte iverksette et internt kontroll- og opplæringssystem som er både omfattende og belastende. Det er etter vår oppfatning ikke noe rimelig forhold mellom kravet til rutiner og graden av risiko for ulovlige transaksjoner ved kjøp hos disse forhandlerne. Relatert til den enkelte forhandler må det derfor forslagsvis kreves et minste volum av transaksjoner som omfattes av loven innenfor et angitt tidsrom, før plikten til etablering av interne kontrollsystemer inntrer.»
7.1.5 Departementets vurderinger
Departementet slutter seg til utvalgets forslag vedrørende kontroll- og kommunikasjonsrutiner med enkelte justeringer. Det foreslås at bestemmelsen om at rapporteringspliktige skal påse at kontroll- og kommunikasjonsrutiner er kjent for filialer og datterselskaper etablert i stater utenfor EØS flyttes til egen bestemmelse om slike filialer og datterselskaper i lovforslaget § 26.
Det understrekes at forhandlere er i en spesiell situasjon ved at de kun omfattes av loven når de utfører kontanttransaksjoner over 40 000, men de vil i disse tilfellene omfattes fullt ut. Forhandlere av gjenstander er en svært uensartet gruppe og krav til kontroll- og kommunikasjonsrutiner må tilpasses den enkelte forhandlers virksomhet. Sentrale deler av lovforslaget omhandler rapporteringspliktiges plikter der det foreligger etablerte kundeforhold. Dette vil som utgangspunktet ikke være aktuelt for forhandlere, i og med at de normalt kun utfører enkeltstående transaksjoner. Kravet til kontroll- og kommunikasjonsrutiner må tilpasses dette. For den «typiske» forhandler forventes det at foretaket minst har rutiner med hensyn til hvordan man skal håndtere situasjoner med kontantsalg dersom slike situasjoner oppstår. Rutiner og opplæring må minst omfatte bestemmelsene om plikt til å bekrefte identiteten ved legitimasjon og rapportering av mistenkelige transaksjoner til Økokrim.
Det vises til lovforslaget § 23.
7.2 Elektroniske overvåkningssystemer
7.2.1 EØS-rett
Verken direktivet eller FATFs anbefalinger inneholder uttrykkelige regler om elektroniske overvåkningssystemer.
7.2.2 Norsk rett
Etter hvitvaskingsloven § 15 skal finansinstitusjoner etablere elektroniske overvåkningssystemer.
Hvitvaskingsforskriften § 12 første ledd presiserer at finansinstitusjoner innen utløpet av 2004 skal etablere elektroniske overvåkningssystemer som skal ha til formål å identifisere mistanke om at transaksjoner kan ha tilknytning til utbytte fra straffbare handlinger eller forhold som rammes av straffeloven §§ 147 a eller 147 b. Etter annet ledd vil det gjelde undersøkelsesplikt dersom det foreligger slik mistanke. Etter tredje ledd kan Kredittilsynet ved enkeltvedtak gjøre unntak fra kravet om etablering av elektroniske overvåkningssystemer.
7.2.3 Utvalgets forslag
Utvalget foreslår at hvitvaskingsloven § 15 videreføres, med den redaksjonelle endring at departementets forskriftshjemmel skilles ut i et separat ledd, jf. utvalgets lovforslag § 23.
Utvalget anser det ikke nødvendig nå å innføre en tilsvarende plikt for andre rapporteringspliktige til å etablere elektroniske overvåkningssystemer, og viser i den forbindelse til departementets uttalelser i Ot.prp. nr. 72 (2002-2003) punkt 7.5.4. Utvalget finner det likevel hensiktsmessig at departementet gis hjemmel til i forskrift å pålegge andre rapporteringspliktige slik plikt, jf. utvalgets lovforslag § 23 annet ledd.
Hvitvaskingsforskriften § 12 første ledd foreslås videreført i utvalgets forslag til forskrift § 14, med enkelte redaksjonelle endringer. Tidsfristen for etablering av systemer innen 2004 foreslås fjernet. Videre omformuleres i noen grad beskrivelsen av systemenes formål, ut fra den betraktning at det er lite meningsfylt at elektroniske systemer skal identifisere «mistanke» om at transaksjoner kan ha tiknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147 a eller 147 b. Det legges til grunn at transaksjoner som listes ut av elektroniske overvåkningssystemer undersøkes nærmere på grunnlag av en risikovurdering.
Hvitvaskingsforskriften § 12 annet ledd fremstår som overflødig ved siden av den alminnelige undersøkelsesplikten etter utvalgets lovforslag § 16, og foreslås ikke videreført.
7.2.4 Høringsinstansenes merknader
Ingen høringsinstanser hadde særskilte merknader til utvalgets forslag på dette punkt.
7.2.5 Departementets vurdering
Departementet slutter seg til utvalgets forslag om å videreføre regelen om at finansinstitusjoner skal ha elektroniske overvåkningssystemer. Departement slutter seg også til forslaget om at departementet har adgang til i forskrift å pålegge andre rapporteringspliktige å etablere elektroniske overvåkningssystemer. Det vises til lovforslaget § 24.
7.3 Systemer for oversikt over kundeforhold
7.3.1 EØS-rett
Etter artikkel 32 skal «credit and financial institutions» ha systemer som gjør det mulig for dem å respondere raskt og fullstendig på forespørsler fra den finansielle etterretningsenheten, eller fra andre myndigheter, om hvorvidt de har eller i løpet av de siste fem år har hatt kundeforhold til konkrete fysiske eller juridiske personer, samt om kundeforholdets art.
Verken FATF-anbefalingene eller de foregående hvitvaskingsdirektiver inneholder tilsvarende bestemmelser.
7.3.2 Norsk rett
Norsk rett inneholder ikke regler om systemer for oversikt over kundeforhold.
7.3.3 Utvalgets forslag
Utvalget foreslår at det innføres plikt for rapporteringspliktige som nevnt i lovforslaget § 4 første ledd å ha systemer som muliggjør raske og fullstendige svar på forespørsler fra Økokrim eller tilsynsmyndighet om hvorvidt de har eller i løpet av de siste fem år har hatt kundeforhold til konkrete personer og om kundeforholdets art, jf. utvalgets lovforslag § 24. Med tilsynsmyndighet menes her den myndighet som fører tilsyn med den rapporteringspliktiges etterlevelse av hvitvaskingsregelverket, noe som i de fleste tilfeller vil være Kredittilsynet.
Utvalget legger til grunn at rapporteringspliktige vil ha stor frihet ved valg av løsninger for etablering av systemer som nevnt ovenfor. Det sentrale vil være at den rapporteringspliktige raskt kan fremskaffe den nødvendig informasjon om de aktuelle personer. Utvalget antar den mest praktiske løsning normalt vil være søkbare, elektroniske databaser over kundeforhold. Slike elektroniske databaser anvendes allerede av en rekke rapporteringspliktige.
7.3.4 Høringsinstansenes merknader
Ingen høringsinstanser hadde særskilte merknader til utvalgets forslag på dette punkt.
7.3.5 Departementets vurdering
Departementet slutter seg til uvalgets forslag om systemer for oversikt over kundeforhold. Det vises til lovforslaget § 25.
7.4 Filialer og datterselskaper i stater utenfor EØS
7.4.1 EØS-rett
Artikkel 31 nr. 1 fastslår plikt for «credit and financial institutions» til å anvende tiltak som minst tilsvarer dem som er fastsatt i direktivet med hensyn til kundekontroll og oppbevaring i sine filialer og majoritetseide datterselskaper i tredjestater. Dersom lovgivningen i tredjestaten ikke tillater anvendelse av slike tiltak, skal institusjonen informerer kompetente myndigheter i hjemstaten. Etter artikkel 31 nr. 3 skal institusjonen videre iverksette ytterligere tiltak for effektivt å håndtere risikoen for hvitvasking eller terrorfinansiering.
FATF-anbefaling 22 inneholder i det vesentlige tilsvarende regler som artikkel 31 nr. 1. Bestemmelsene er nye i forhold til de foregående hvitvaskingsdirektiver.
7.4.2 Norsk rett
Norsk rett har ikke uttrykkelige regler om rapporteringspliktiges anvendelse av tiltak i filialer og datterselskaper i tredjestater. Filialer i utlandet av norske selskaper anses som en del av de rapporteringspliktige, og omfattes således direkte av hvitvaskingslovens anvendelsesområde.
7.4.3 Utvalgets forslag
Utvalget foreslår at det oppstilles plikt for rapporteringspliktige som nevnt i lovforslaget § 4 første ledd til å påse at filialer og datterselskaper etablert i stater utenfor EØS anvender tilsvarende tiltak for kundekontroll, løpende oppfølging og oppbevaring som beskrevet i lovforslaget kapittel 2 og 4, jf. utvalgets lovforslag § 25 første ledd. Utvalget anser det ikke naturlig at tilsvarende plikt oppstilles for øvrige rapporteringspliktige. Begrepet «datterselskap» skal forstås på samme måte som nevnt under punkt 7.1.3.
For det tilfelle at lovgivningen i filialen eller datterselskapets hjemstat ikke tillater anvendelse av tiltak som nevnt ovenfor, foreslår utvalget at den rapporteringspliktige skal informere tilsynsmyndigheten om dette, og videre iverksette andre tiltak som er egnet til å motvirke risikoen for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som beskrevet i straffeloven §§ 147 a eller 147 b, jf. utvalgets lovforslag § 25 annet ledd. Begrepet «tilsynsmyndighet» skal forstås på samme måte som nevnt under punkt 7.3.3. Hvilke tiltak som skal iverksettes vil bero på de konkrete omstendigheter, herunder den type virksomhet filialen eller datterselskapet driver, graden av risiko som er knyttet til slik virksomhet og hvilke tiltak hjemstatens lovgivning tillater anvendt.
7.4.4 Høringsinstansenes merknader
Ingen høringsinstanser hadde særskilte merknader til utvalgets forslag på dette punkt.
7.4.5 Departementets vurdering
Departementet slutter seg til uvalgets forslag om plikt for finansinstitusjoner og andre rapporteringspliktige som nevnt i forslaget § 4 første ledd til å påse at filialer og datterselskaper etablert i stater utenfor EØS anvender tilsvarende tiltak for kundekontroll, løpende oppfølging og oppbevaring. Det foreslås i tillegg at rapporteringspliktige skal påse at filialer og datterselskaper etablert i stater utenfor EØS er kjent med kontroll- og kommunikasjonsrutiner som beskrevet i lovforslaget § 23. Utvalget foreslo tilsvarende bestemmelse i utvalgets lovforslag § 22.
Det vises til lovforslaget § 26.