Mangelfulle interne rutiner for etterlevelse av hvitvaskingsloven

Tegn på problem

• Skriftlige rutiner er basert på bransjemaler uten konkret tilpasning til foretakets kundeportefølje, tjenester eller identifiserte risikoer
• Rutinedokumentet mangler dekning av ett eller flere lovpålagte områder: reelle rettighetshavere, PEP-vurdering, risikoklassifisering, forsterkede/forenklede kundetiltak, løpende oppfølging eller nærmere undersøkelser
• Rutinene er ikke oppdatert etter at ny virksomhetsinnrettet risikovurdering er gjennomført
• Ingen kobling mellom foretakets risikovurdering og de konkrete tiltakene beskrevet i rutinene
• Ansatte kan ikke redegjøre for hvordan de skal håndtere konkrete hvitvaskingssituasjoner med henvisning til interne rutiner
• Risikoklassifisering av kunder mangler skriftlig rutine eller gjennomføres uten dokumentert fremgangsmåte

Forebyggende tiltak

• Gjennomfør årlig gap-analyse mellom foretakets skriftlige rutiner og kravlisten i hvitvaskingsloven § 8, og lukk identifiserte mangler
• Sørg for at alle rutiner eksplisitt tar utgangspunkt i foretakets virksomhetsinnrettede risikovurdering og refererer til konkrete risikoer identifisert der
• Utarbeid separate rutinebeskrivelser for hvert lovpålagt område (PEP, reelle rettighetshavere, risikoklassifisering, forsterkede/forenklede tiltak, løpende oppfølging, nærmere undersøkelser)
• Etabler rutine for å oppdatere internrutiner senest 30 dager etter at risikovurderingen er revidert
• Test at ansatte forstår og kan anvende rutinene gjennom årlige interne øvelser eller kunnskapssjekker
• Dokumenter hvem som er ansvarlig for å vedlikeholde og godkjenne rutinene, og sikre versjonskontroll med dato for siste revisjon

Relevante tilsynsrapporter

Hjemler