BDO AS

Selskapets rutiner for oppbevaring dekket ikke alle dokumenttyper som loven krever oppbevart i fem år etter avsluttet kundeforhold. Rutinene manglet krav om oppbevaring av: dokumentasjon om identifisering og bekreftelse av reelle rettighetshavere og PEP (§ 13), notater fra nærmere undersøkelser av mistenkelige forhold (§ 25) og rapporter til Økokrim (§ 26).

Selskapet har ikke rutine for at dokumentasjon om identifisering og bekreftelse av reelle rettighetshavere og politisk eksponerte personer etter § 13, nærmere undersøkelser av mistenkelige forhold hos kunden etter § 25 eller rapportering til Økokrim etter § 26 skal oppbevares i fem år etter at kundeforholdet er avsluttet.

BDOs risikovurdering var ikke tilstrekkelig tilpasset selskapets egen virksomhet. Den manglet en integrert analyse av trusler (eksterne forhold) og sårbarheter (interne forhold), og den samlede risikoen ble ikke vurdert. Risikovurderingen bar preg av å være generisk og basert på mal fra tredjepart uten konkret tilpasning til BDOs kundeprofil, tjenestespekter og bransjeeksponering. Risikovurderingen var heller ikke vedtatt av selskapets øverste organ (styret).

Det er revisjonsselskapets eget risikobilde som skal kartlegges. Selv om det tas utgangspunkt i en mal for risikovurdering som er utarbeidet av tredjeparter, må slike maler tilpasses den enkelte virksomhet.

Selskapets rutiner for oppbevaring dekket ikke alle dokumenttyper som loven krever oppbevart i fem år etter avsluttet kundeforhold. Rutinene manglet krav om oppbevaring av: dokumentasjon om identifisering og bekreftelse av reelle rettighetshavere og PEP (§ 13), notater fra nærmere undersøkelser av mistenkelige forhold (§ 25) og rapporter til Økokrim (§ 26).

Selskapet har ikke rutine for at dokumentasjon om identifisering og bekreftelse av reelle rettighetshavere og politisk eksponerte personer etter § 13, nærmere undersøkelser av mistenkelige forhold hos kunden etter § 25 eller rapportering til Økokrim etter § 26 skal oppbevares i fem år etter at kundeforholdet er avsluttet.

Rutinen for risikoklassifisering sikret ikke at kundens bransje inngikk som en systematisk faktor. For kunder i høyrisikobransjer manglet det begrunnelse for hvorfor risikoen eventuelt ikke ble satt til «høy». Feil risikoklassifisering påvirker direkte om forsterkede kundetiltak skal gjennomføres etter § 14.

Rutinen må sikre at bransjen som kunden driver virksomhet i inngår i grunnlaget for risikoklassifiseringen. Når kunden driver virksomhet i høyrisikobransjer, må det begrunnes hvorfor risikoklassifiseringen eventuelt ikke settes til høy.

Revisjonsselskapets opplæringsrutine var ikke forankret i den overordnede rutinen fastsatt av selskapets styre. BDO anførte at opplæring var nevnt i risikovurderingen og at tilstrekkelig opplæring ble gjennomført, men Finanstilsynet fant dette utilstrekkelig. Rammene for opplæringen må vedtas i overordnet rutine av øverste ledelse.

Revisjonsselskapets opplæringsrutine er ikke forankret i den overordnede rutinen som er fastsatt av selskapets styre. [...] Tatt i betraktning viktigheten av å gjennomføre systematisk og riktig opplæring, må rammene for opplæringen vedtas i overordnet rutine av selskapets øverste ledelse.

Selskapet hadde mangler knyttet til løpende oppfølging av kundeforhold (§ 35) og krav til rutiner og systemer (§ 36), som inngår i det samlede bildet av utilstrekkelig etterlevelse av hvitvaskingspliktene.

Rutinene sikret ikke tilstrekkelig identifisering og bekreftelse av reelle rettighetshavere og politisk eksponerte personer (PEP), og det var svakheter knyttet til gjennomføring av forsterkede kundetiltak der risikoen tilsa det.

Selskapet manglet rutiner for internkontroll knyttet til hvitvaskingsetterlevelse som var vedtatt på øverste nivå (styret). Hvitvaskingsloven § 8 fjerde ledd krever at rutiner fastsettes av selskapets øverste organ. Finanstilsynet karakteriserer manglende rutiner for internkontroll som alene en alvorlig mangel.

Manglende rutiner for internkontroll er alene en alvorlig mangel.

BDOs risikovurdering var ikke tilstrekkelig tilpasset selskapets egen virksomhet. Den manglet en integrert analyse av trusler (eksterne forhold) og sårbarheter (interne forhold), og den samlede risikoen ble ikke vurdert. Risikovurderingen bar preg av å være generisk og basert på mal fra tredjepart uten konkret tilpasning til BDOs kundeprofil, tjenestespekter og bransjeeksponering. Risikovurderingen var heller ikke vedtatt av selskapets øverste organ (styret).

Det er revisjonsselskapets eget risikobilde som skal kartlegges. Selv om det tas utgangspunkt i en mal for risikovurdering som er utarbeidet av tredjeparter, må slike maler tilpasses den enkelte virksomhet.

Revisjonsselskapets opplæringsrutine var ikke forankret i den overordnede rutinen fastsatt av selskapets styre. BDO anførte at opplæring var nevnt i risikovurderingen og at tilstrekkelig opplæring ble gjennomført, men Finanstilsynet fant dette utilstrekkelig. Rammene for opplæringen må vedtas i overordnet rutine av øverste ledelse.

Revisjonsselskapets opplæringsrutine er ikke forankret i den overordnede rutinen som er fastsatt av selskapets styre. [...] Tatt i betraktning viktigheten av å gjennomføre systematisk og riktig opplæring, må rammene for opplæringen vedtas i overordnet rutine av selskapets øverste ledelse.

Selskapet hadde mangler knyttet til løpende oppfølging av kundeforhold (§ 35) og krav til rutiner og systemer (§ 36), som inngår i det samlede bildet av utilstrekkelig etterlevelse av hvitvaskingspliktene.

Selskapet manglet rutiner for internkontroll knyttet til hvitvaskingsetterlevelse som var vedtatt på øverste nivå (styret). Hvitvaskingsloven § 8 fjerde ledd krever at rutiner fastsettes av selskapets øverste organ. Finanstilsynet karakteriserer manglende rutiner for internkontroll som alene en alvorlig mangel.

Manglende rutiner for internkontroll er alene en alvorlig mangel.

Rutinen for risikoklassifisering sikret ikke at kundens bransje inngikk som en systematisk faktor. For kunder i høyrisikobransjer manglet det begrunnelse for hvorfor risikoen eventuelt ikke ble satt til «høy». Feil risikoklassifisering påvirker direkte om forsterkede kundetiltak skal gjennomføres etter § 14.

Rutinen må sikre at bransjen som kunden driver virksomhet i inngår i grunnlaget for risikoklassifiseringen. Når kunden driver virksomhet i høyrisikobransjer, må det begrunnes hvorfor risikoklassifiseringen eventuelt ikke settes til høy.

Rutinene sikret ikke tilstrekkelig identifisering og bekreftelse av reelle rettighetshavere og politisk eksponerte personer (PEP), og det var svakheter knyttet til gjennomføring av forsterkede kundetiltak der risikoen tilsa det.

Selskapets rutiner for oppbevaring dekket ikke alle dokumenttyper som loven krever oppbevart i fem år etter avsluttet kundeforhold. Rutinene manglet krav om oppbevaring av: dokumentasjon om identifisering og bekreftelse av reelle rettighetshavere og PEP (§ 13), notater fra nærmere undersøkelser av mistenkelige forhold (§ 25) og rapporter til Økokrim (§ 26).

Selskapet har ikke rutine for at dokumentasjon om identifisering og bekreftelse av reelle rettighetshavere og politisk eksponerte personer etter § 13, nærmere undersøkelser av mistenkelige forhold hos kunden etter § 25 eller rapportering til Økokrim etter § 26 skal oppbevares i fem år etter at kundeforholdet er avsluttet.

Selskapet manglet rutiner for internkontroll knyttet til hvitvaskingsetterlevelse som var vedtatt på øverste nivå (styret). Hvitvaskingsloven § 8 fjerde ledd krever at rutiner fastsettes av selskapets øverste organ. Finanstilsynet karakteriserer manglende rutiner for internkontroll som alene en alvorlig mangel.

Manglende rutiner for internkontroll er alene en alvorlig mangel.