Tjek på politikker, forretningsgange og kontroller på hvidvaskområdet

Vi har gennemgået tilsynsreaktionerne fra det seneste år og gennemgår her, hvad der kan udledes om virksomhedernes politikker, forretningsgange og kontroller. Finanstilsynet har offentliggjort 45 tilsynsvurderinger. Ud af de 45 undersøgte virksomheder er der givet 16 påbud vedrørende hvidvaskpolitikkerne.

11 virksomheder har fået et påbud om at revidere deres hvidvaskpolitik, der blev vurderet som utilstrækkelig af Finanstilsynet, og fem virksomheder havde slet ikke udarbejdet en hvidvaskpolitik, hvorfor de har fået påbud om at udarbejde en. Fem virksomheder fik påbudt at revidere deres interne procedurer, mens to virksomheder slet ikke havde udarbejdet procedurer. Desuden modtog otte virksomheder påbud om at sikre, at der foretages interne kontroller, herunder at de interne kontroller dokumenteres.

Det antages, at de virksomheder, som Finanstilsynet har besøgt over det seneste år, er et repræsentativt udsnit af det samlede antal virksomheder underlagt Finanstilsynets tilsyn. Det kan hermed udledes, at Finanstilsynet har fokus på hvidvaskpolitikker, forretningsgange og kontroller, samt at netop en virksomheds hvidvaskpolitik, forretningsgange og kontroller er et kompliceret område, som kan medføre udfordringer ved udarbejdelsen. Det bemærkes, at begrebet “procedurer” i hvidvasklovgivningsregi er blevet udskiftet med “forretningsgange” ved implementeringen af det femte hvidvaskdirektiv, som gennemført ved lovændring i 2019.

Virksomheder skal have tilstrækkelige skriftlige politikker, forretningsgange og kontroller, som skal omfatte risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af medarbejdere og intern kontrol til effektiv forebyggelse, begrænsning og styring af risici for hvidvask og finansiering af terrorisme. Politikker, kontroller og forretningsgange skal udarbejdes med udgangspunkt i virksomhedens risikovurdering under hensyntagen til virksomhedens størrelse, og de skal være udarbejdet med henblik på anvendelse i den pågældende virksomhed.

Virksomhedens hvidvaskpolitik skal fastsætte de overordnede strategiske mål for forebyggelse af hvidvask og terrorfinansiering. Den skal indeholde en identifikation, vurdering og afgrænsning af virksomhedens risikofaktorer, der fungerer som en konklusion på virksomhedens risikovurdering. Politikken skal bl.a. indeholde overordnede beslutninger om virksomhedens organisatoriske indretning, procedurebeskrivelser, og hvilke kontroller der skal udføres internt i virksomheden. 

Forretningsgange skal beskrive virksomhedens aktiviteter med udgangspunkt i virksomhedens forretningsmodel, politikker og eventuelle særforhold. De skal derfor på en klar og tydelig måde beskrive forretningsområdet, ansvarsplacering, herunder hvem der er ansvarlig for de enkelte opgaver, samt hvordan opgaverne skal udføres. Forretningsgangene skal være lettilgængelige og overskuelige for de ansatte.

Virksomhedens interne kontrol skal kontrollere, om virksomheden efterlever virksomhedens politikker og forretningsgange samt kontrol af  kontrollernes udførelse og effektivitet. De gennemførte kontroller skal dokumenteres. Som nævnt ovenover skal kontrollens frekvens og metode angives i forretningsgangene, samt hvordan der foretages rapportering herom til ledelsen. Kontrol skal foretages med tilstrækkelig uafhængighed mellem den udførende og den kontrollerede enhed for at sikre kontrollens effektivitet.

Er politikker, forretningsgange og kontroller på hvidvaskområdet virkelig så vigtige?

Ja! Politikker, forretningsgange og kontroller på hvidvaskområdet er altafgørende for din virksomheds evne til at mitigere de i risikovurderingen identificerede risici.

Vi har i et tidligere indlæg kortlagt risikoen ved en utilstrækkelig risikovurdering. Er risikovurderingen udarbejdet til perfektion, kan denne dog ikke stå alene. De risici, der er identificeret heri, skal mitigeres. Det er altså ikke nok at erkende de risici, virksomheden står over for, man skal også gøre noget for at forsøge at begrænse deres mulighed for at påvirke virksomheden. Dette skal gøres i overensstemmelse med virksomhedens vedtagne risikoappetit, der afspejler, hvilken grad af risiko virksomheden vil påtage sig i forbindelse med sin operationelle virksomhed. Den risiko, der ligger uden for risikoappetitten skal mitigeres, og dette gøres gennem udarbejdelse af et godt governance-setup, hvor politikker identificerer de vedtagne risikomitigerende foranstaltninger, forretningsgangene beskriver udførelsen, og kontrollerne kontrollerer efterlevelsen.

Risikoen for at virksomheden, ved utilstrækkelige politikker, forretningsgange og kontroller, bliver misbrugt til hvidvask eller terrorfinansiering er overhængende, og ligeså er risikoen for at modtage et påbud fra Finanstilsynet. Det bemærkes, at overtrædelse af forpligtelsen til at udarbejde tilstrækkelige politikker, forretningsgange og kontroller er strafbelagt med bøde i hvidvasklovgivningen. Størrelsen på bøden udmåles med vægt på virksomhedens nettoomsætning.

PwC anbefaler, at virksomheder vurderer, om der er behov for at opdatere deres politik, forretningsgange og kontroller. Vi er parat til at tage en dialog om, hvordan det øgede fokus på virksomhedens risikomitigering sætter større krav til din organisation, og hvordan disse krav kan imødekommes hurtigt og effektivt.