12 grep mot hvitvasking som din regnskapsbedrift bør ta nå
Hvitvaskingsreglene har vist seg enda mer krevende enn antatt, og Finanstilsynets undersøkelser har gjort noen regnskapsbedrifter utrygge. Regnskap Norge er i dialog med tilsynet om bedre veiledning, men i mellomtiden kan disse 12 grepene være lure.
Lov om tiltak mot hvitvasking og terrorfinansiering mv., populært kalt hvitvaskingsloven, ble vedtatt 1. juni 2018. I fjor fulgte Finanstilsynet opp loven med et tematilsyn hos 22 regnskaps- og revisjonsbedrifter. Samtlige foretak fikk kritikk, og 19 av dem ble dessuten ilagt overtredelsesgebyr.
Vi ser et stort behov for tettere dialog med Finanstilsynet i dette arbeidet, og blir overrasket dersom ikke også tilsynet gjør seg selvkritiske refleksjoner.
Både de kontrollerte foretakene og flere av Regnskap Norges medlemmer reagerte skarpt:
– Når så mange dyktige bransjeutøvere innenfor både regnskaps- og revisjonsbransjen ifølge rapporten har såpass omfattende svakheter i sitt anti-hvitvaskingsopplegg, er det grunn til å stille spørsmål ved om regelverket er for formalistisk orientert og om veiledningen fra myndighetene har vært for svak. Vi ser et stort behov for tettere dialog med Finanstilsynet i dette arbeidet, og blir overrasket dersom ikke også tilsynet gjør seg selvkritiske refleksjoner basert på dette tematilsynet, uttalte adm. direktør Rune Aale-Hansen i Regnskap Norge i en pressemelding da Finanstilsynets rapport ble kjent.
Aale-Hansen kan nå fortelle at foreningen allerede har innledet en tettere dialog med Finanstilsynet for å utarbeide en forbedret veileder som kan være et praktisk verktøy i regnskapsførernes hverdag. Dette vil får konsekvenser også for rutiner, kurs og andre verktøy som er på markedet, herunder Regnskap Norges «KS Komplett».
Vanskelige avgrensninger
– Vi har allerede hatt møte med tilsynet om dette, og opplever at de er positive til en tettere samhandling. Derfor er vi nå ute etter flere tilbakemeldinger fra medlemmene om hva de opplever som uforholdsmessig eller upraktisk i den opprinnelige veilederen, slik at neste versjon av veilederen kan bli tydeligere og kanskje mer praktisk, sier han.
Et eksempel på et forhold medlemmene tidligere har meldt inn spørsmål om, er hvorvidt det er rimelig å pålegge små og store regnskapsforetak de samme kravene. Dette har allerede vært diskutert med tilsynet.
– Det er lett å se at investeringene i systemer og rutiner kan være et større løft for små regnskapsbedrifter enn for de store. Samtidig er det vanskelig å argumentere mot Finanstilsynets innvendinger: Dersom lista legges lavere for små regnskapsbedrifter, vil de automatisk bli mer attraktive for alle som ønsker å sno seg unna regelverket, sier Aale-Hansen.
Uavhengig av utfallet av Regnskap Norges dialog med Finanstilsynet, er det et par grep regnskapsførere uansett trygt kan ta allerede nå for å styrke anti-hvitvaskingsarbeidet. Tilsynet kommenterte i sin rapport på at flere foretak bare hadde «skrevet ut standardmaler utarbeidet av bransjeforeningene, uten å tilpasse disse til egen virksomhet og uten at de blir benyttet i den løpende virksomheten».
De 12 grepene bedriften bør ta
Budskapet her er altså at regnskapsbedriftene må gå konkret til verks for å innarbeide slike rutiner i sin organisasjon og i sine arbeidsprosesser. Her er 12 grep og forbedringspunkter som Regnskap Norges fageksperter hentet ut av Finanstilsynets rapport:
Opplæring
- Alle ansatte (og andre som utfører oppdrag for foretaket) må kunne gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering. Det betyr som et minimum at de må gjøre seg godt kjent med indikatorlisten utarbeidet av Nasjonal tverretatlig analyse og etterretningssenter (NTAES), og hvordan den kan brukes under utføring av oppdrag.
- De må videre ha kunnskap om hvordan hvitvasking og terrorfinansiering skjer, og ha løpende oppmerksomheten mot slike forhold i utføringen av regnskapsoppdraget.
- De må dessuten kjenne til de interne rutinene for håndtering av situasjoner der det kan være usikkerhet knyttet til et forhold de ser.
Risikovurderinger
- Regnskapsforetak må også vurdere risikoen for hvitvasking og terrorfinansiering, herunder risikovurderinger både på foretaksnivå (virksomhetsinnrettet risikovurdering) og av det enkelte oppdraget (risikoklassifisering). Risikoklassifiseringen på oppdragsnivå definerer både hvilke kundetiltak som er nødvendige og hvordan de løpende skal følges opp.
- Den virksomhetsinnrettede risikovurderingen må vise hvilke eksterne og interne forhold som konkret påvirker risikoen for at foretaket kan bli misbrukt som ledd i hvitvasking eller terrorfinansiering.
- Det er den eller de som utfører et regnskapsoppdrag i praksis som kan forebygge eller avdekke hvitvasking eller terrorfinansiering. Foretaket må derfor etablere rutiner som beskriver i detalj hvordan risikoen forbundet med den aktuelle kunden skal klassifiseres.
Kundetiltak
- Kundetiltakene skal være risikobasert. Den ansvarlige for oppdraget må derfor forstå hvilke risikoer som foreligger, både for den enkelte kunde og bransjen kunden opererer i. En konkret og forsvarlig risikoklassifisering gjør det enklere å se hvilke kundetiltak som må gjennomføres, og hvilke områder tiltakene bør rettes mot.
- Etter hvert som en kunde endrer seg og/eller man lærer mer om kunden, kan risikobildet endre seg. Det må derfor jevnlig gjennomføres kundetiltak som ledd i løpende oppfølging, og uansett når det er tvil om tidligere innhentede opplysninger er korrekte eller tilstrekkelige.
Internkontroll
- Internkontrollen i ethvert regnskapsforetak skal også omfatte etterlevelsen av hvitvaskingsloven. Ledelsen må fastsette hvilke interne kontrolltiltak som skal iverksettes for å sikre dette i form av en skriftlig rutine som beskriver hvilke interne kontroller som skal gjøres, når og av hvem. Ledelsen må påse at denne rutinen følges.
- Regnskapsførerloven har krav til kontrollhandlinger som skal gjennomføres for å sikre etterlevelsen av god regnskapsføringsskikk og andre krav i oppdragsutførelsen. Kontrollhandlinger som følger av disse lovene dekker ikke automatisk kravet til internkontroll i hvitvaskingsloven. Det betyr at selv om kontrollene kan samordnes, må de utformes slik at de også sikrer etterlevelsen av pliktene i hvitvaskingsloven og interne rutiner.
Dokumentasjon
- Det er også verdt å merke seg at Finanstilsynets rapport gjentatte ganger påpeker ulike forhold som etter deres mening er utilstrekkelig dokumentert. Det betyr ikke bare at alle rutiner, prosesser og instrukser må dokumenteres grundig, men også at etterlevelsen av dem bør loggføres/dokumenteres.
- Tilsynets rapport indikerer at de ikke finner det er tilstrekkelig bare å kartlegge formelle eierforhold i et selskap. De anbefaler å sette opp organisasjonskart for å vurdere hvem som skal identifiseres som reell(e) eier(e), selv i mindre strukturer.