Mangelfulle kundetiltak (KYC) etter hvitvaskingsloven

Tegn på problem

• Kundemappe mangler kopi av gyldig legitimasjon for oppdragsgiver og/eller reelle rettighetshavere
• Reelle rettighetshavere (beneficial owners) er ikke identifisert eller verifisert ved etablering av kundeforholdet
• Ingen oppdatert risikovurdering per oppdrag – kun én innledende vurdering ved kundeopprettelse
• Høyrisikooppdragsgivere (f.eks. komplekse eierstrukturer, utenlandske parter) har samme oppfølgingsfrekvens som lavrisikooppdrag
• Stikkprøver avdekker at KYC-rutinene ikke følges i praksis, til tross for at skriftlige rutiner foreligger
• Manglende dokumentasjon på at løpende kundekontroll er gjennomført ved vesentlige hendelser eller jevnlige intervaller
• Hyppige oppdragsskifter eller røde flagg (f.eks. uvanlige transaksjoner) har ikke utløst forsterket KYC
• Oppdragsfiler uten signert egenerklæring om PEP-status og skattemessig tilhørighet

Forebyggende tiltak

• Innfør obligatorisk KYC-sjekkliste per oppdrag som må signeres og arkiveres før oppdraget igangsettes
• Etabler et risikoklassifiseringssystem (lav/middels/høy) for alle oppdragsgivere med dokumentert begrunnelse og definert revideringsfrekvens
• Gjennomfør løpende kundekontroll minimum årlig for alle aktive oppdrag, og ved vesentlige endringer hos kunden
• Implementer rutine for identifikasjon og verifisering av reelle rettighetshavere (≥25 % eierandel/kontroll) med bruk av Brønnøysund og egenerklæring
• Bruk digitalt KYC-verktøy (f.eks. Trapets, Eid-løsning) som sikrer sporbar og datostemplet dokumentasjon
• Gjennomfør intern stikkprøvekontroll av minst 10 % av aktive oppdragsmapper hvert kvartal
• Sørg for at alle medarbeidere gjennomfører årlig opplæring i hvitvaskingsregelverket med dokumentert bestått test
• Definer tydelige eskaleringsrutiner ved røde flagg (f.eks. revisorskifte, uforklart kapital), inkludert plikt til forsterket due diligence og eventuell MT-rapportering

Relevante tilsynsrapporter

Hjemler