Hvitvaskingsrutiner og innhold
Rapporteringspliktige virksomheter plikter å ha oppdaterte rutiner for å sikre at virksomheten håndterer identifisert risiko og oppfyller plikter etter bestemmelser gitt i eller i medhold av hvitvaskingsloven, jf. hvitvaskingsloven § 8.
Hvitvaskingsrutinene skal beskrive hvordan foretaket skal praktisere regelverket. Rutinene skal være skriftlige. I konsernforhold skal rutiner fastsettes på konsernnivå, jf. hvitvaskingsloven § 8 sjette ledd. Det må være en tydelig sammenheng mellom den rapporteringspliktiges risikovurdering og rutinene.
Foretakene kan anvende standardiserte rutineverk fra for eksempel bransjeorganisasjoner, men disse må tilpasses den konkrete virksomheten for å sikre at rutinene er risikobaserte for den enkelte virksomhet, og tilpasset dennes produkter, kunder, med videre.
Rutinene skal holdes oppdaterte. Hvor ofte avhenger av virksomhetens type og omfang. Det vil generelt være nødvendig å revidere rutinene når risikovurderingen er revidert. Ellers er det aktuelt ved nye regulatoriske krav, ved utvikling av nye produkter, eller andre endringer i risikobildet eller virksomheten. I alle tilfeller forventes det at det gjøres en vurdering av om det er behov for justeringer i rutineverket ved et jevnlig intervall, minimum årlig.
Rutinenes innhold
Rutinene skal redegjøre for hvordan foretaket skal gjennomføre tiltakene som er nødvendige for å oppfylle hvitvaskingsregelverket og identifiserte risikoer i virksomheten. Dette betyr at foretaket minimum må ha rutiner for hvordan vurdere og håndtere:
- Forenklede, alminnelige og forsterkede kundetiltak, herunder håndtering av politisk eksponerte personer.
- Risikoklassifisering av kunder.
- Løpende oppfølging.
- Håndtering for avvikling og avvisning av kundeforhold og transaksjoner.
- Når og hvordan det skal gjennomføres av undersøkelser av mistenkelige forhold, herunder gjennomføring av mistenkelige transaksjoner.
- Rapportering til Økokrim.
- Bruk og håndtering av eventuelle støtteverktøy, herunder risikoscoringsmodeller, PEP-lister og elektronisk overvåkingssystem.
- Håndtering og oppfølging av utkontrakterte oppgaver etter § 23 og tilfeller der foretaket bygger på kundetiltak etter § 22, der dette er aktuelt.
- Informasjonshåndtering, herunder delingsadgang og avsløringsforbud.
- Behandling og lagring av opplysninger.
- Opplæring.
For noen rapporteringspliktige vil det i tillegg være nødvendig med rutiner for hvordan vurdere og håndtere andre risikoer og ytterligere lovkrav enn de som er presisert over.
Overordnede rutiner vs. operative rutiner
For mange rapporteringspliktige vil det være tilstrekkelig å ha ett rutineverk, som beskriver både de overordnede føringene og de mer detaljerte handlingene som skal gjennomføres. Dette rutineverket skal fastsettes av styret. Hvis virksomheten ikke har et styre, skal den fastsettes av øverste ledelse.
En del rapporteringspliktige vil på grunn av virksomhetens størrelse og kompleksitet utarbeide flere dokumenter for å implementere kravet om hvitvaskingsrutiner. Dersom den rapporteringspliktige har flere dokumenter som angir hvitvaskingsrutinene, vil overordnede rutiner måtte fastsettes på øverste nivå. I slike tilfeller forventes det at de overordnede rutinene spesifiserer hovedføringene for hvordan virksomheten følger hvitvaskingsregelverket. Dokumentet må være egnet som utgangspunkt for utarbeidelse av operative rutiner (instrukser/retningslinjer) for virksomheten.
Operative rutiner, som angir i mer detalj hvordan regelverket skal gjennomføres, må ha en klar forankring i den overordnede rutinen. Operative rutiner kan fastsettes på øverste nivå i enheten den gjelder for, eksempelvis ved at den fastsettes av en avdelingsledelse når rutinen er avgrenset til å gjelde en bestemt avdeling.
Risikoklassifisering
For å gjennomføre de korrekte kundetiltakene på den enkelte kunde, må alle kunder risikoklassifiseres, det vil si deles inn i grupper etter risikokategori.
Risikoklassifiseringen må bygge på generelle vurderinger fra virksomhetens risikovurdering og konkrete forhold tilknyttet den enkelte kunde.
Risikoen skal vurderes ut fra blant annet det kunden har oppgitt om kundeforholdets formål og tilsiktede art, mengden kundemidler som skal inngå i kundeforholdet, kundens samlede kontoer og engasjementer, transaksjoners størrelse og regelmessighet, og varigheten på kundeforholdet. Til grunn for risikoklassifiseringen kan det også ligge andre forhold, basert på identifiserte risikoer i virksomhetens risikovurdering.
Det er anledning til å bruke standardiserte og automatiserte modeller og risikoprofiler for kundemassen, men disse må tilpasses virksomhetens konkrete risikoer. Systemet for risikoklassifisering må kunne dokumentere hvorfor en kunde er klassifisert i en bestemt risikokategori. Rapporteringspliktige må se til at kundenes risikoprofiler er oppdaterte, slik at kundene endrer risikokategori ved endringer som tilsier det. Rapporteringspliktige må jevnlig gjennomgå og tilpasse risikoklassifiseringssystemet, blant annet i forbindelse med justeringer i risikovurderingen.