Manglende virksomhetsinnrettet risikovurdering og oppdaterte hvitvaskingsrutiner

Tegn på problem

• Risikovurdering er generisk eller kopibasert og ikke tilpasset foretakets egne kunder, tjenester og geografi
• Rutinedokumenter har ikke oppdatert versjonsdato etter 15. oktober 2018 (ikrafttredelse ny hvitvaskingslov)
• Rutinene er ikke formelt vedtatt eller signert av øverste ledelse (styre eller daglig leder)
• Risikovurderingen konkluderer med lav sannsynlighet for regelverksbrudd uten at underliggende risikoer er analysert eller tiltak er beskrevet
• Ingen dokumentert gjennomgang eller revidering av hvitvaskingsrutiner de siste 12 månedene
• Ansatte er ikke kjent med innholdet i gjeldende rutiner ved stikkprøvekontroll

Forebyggende tiltak

• Gjennomfør årlig, dokumentert gjennomgang av virksomhetsinnrettet risikovurdering som dekker kundetype, tjenestespekter, geografi og leveransekanal
• Etabler en rutine for regelverksovervåking som utløser obligatorisk oppdatering av hvitvaskingsdokumentasjonen ved lovendringer
• Sørg for at risikovurdering og rutiner formelt vedtas og datostemples av styre eller øverste leder, og at dette fremgår av dokumentet
• Bruk interne avviksregistreringer og kundeporteføljeoversikt aktivt som input til risikovurderingen, slik at konklusjoner er forankret i faktiske forhold
• Gjennomfør halvårlige internkontrollsjekker der daglig ansvarlig bekrefter at rutinene er i samsvar med gjeldende lov og foretakets faktiske virksomhet
• Dokumenter alle oppdateringer med endringslogg som viser hva som ble endret, av hvem og på hvilket grunnlag

Relevante tilsynsrapporter

Hjemler