Mangelfulle virksomhetsinterne AML-rutiner og opplæring
Regnskapsforetak og revisjonsselskaper svikter systematisk i etablering av tilstrekkelige, virksomhetstilpassede rutiner etter hvitvaskingsloven § 8, herunder risikoklassifisering, kundetiltak, løpende overvåking og dokumentert ansattopplæring.
Tegn på problem
Rutinedokumentasjon er identisk med eller svakt tilpasset bransjemaler uten konkret tilpasning til foretakets størrelse, struktur og kundeportefølje
Ingen eller mangelfull skriftlig rutine for risikoklassifisering av kunder
Ingen eller mangelfull rutine for forsterkede eller forenklede kundetiltak
Rutine for løpende overvåking av kundeforhold mangler eller er ikke operasjonalisert
Rutine for nærmere undersøkelser ved mistenkelige forhold mangler eller er utilstrekkelig detaljert
Ingen dokumentasjon på gjennomført AML-opplæring for ansatte (datoer, deltakere, innhold)
Overordnede retningslinjer finnes, men mangler understøttende etterlevelsesrutiner for daglig praksis
Styret har ikke formelt fastsatt virksomhetsinterne rutiner etter hvvl. § 8 nr. 4
Rutineverket gir ikke praktisk veiledning til ansatte for å identifisere eller håndtere hvitvaskingsrisiko
Svak risikovurdering på foretaksnivå smitter direkte over på og undergraver rutinedokumentasjonen
Forebyggende tiltak
Gjennomfør årlig gap-analyse mellom foretakets rutinedokumentasjon og kravene i hvitvaskingsloven § 8, og dokumenter eventuelle avvik og tiltak
Tilpass alle maldokumenter konkret til foretakets virksomhet, kundesegmenter og organisasjonsstruktur før bruk
Etabler separate, skriftlige rutiner for risikoklassifisering, forsterkede kundetiltak, forenklede kundetiltak, løpende overvåking og nærmere undersøkelser
Sørg for at styret formelt vedtar og signerer virksomhetsinterne AML-rutiner minst én gang i året
Gjennomfør dokumentert AML-opplæring for alle ansatte ved ansettelse og minst én gang per år – registrer dato, deltaker og innhold
For foretak med flere avdelingskontorer: etabler lokale etterlevelsesansvarlige og sikre at sentrale rutiner operasjonaliseres på kontornivå
Koble rutinedokumentasjonen direkte til foretakets overordnede risikovurdering slik at endringer i risikovurderingen automatisk utløser revisjon av rutinene
Innfør kvartalsvis internkontroll av at rutinene faktisk følges i oppdragsutførelsen, med skriftlig rapportering til daglig leder eller styret
Test rutinenes praktiske brukbarhet ved å la ansatte beskrive hvordan de ville håndtert et konkret mistenkelig scenario – identifiser hull
Etabler rutine for rapportering til Økokrim (MT-rapport) og sørg for at alle ansatte vet hvem som er ansvarlig og hvordan prosessen gjennomføres