Manglende eller mangelfull virksomhetsinnrettet risikovurdering (hvl. § 7)

Tegn på problem

• Risikovurderingsdokumentet er en uendret kopi av bransjeforeningens mal uten foretaksspesifikke tilpasninger
• Dokumentet er ikke oppdatert etter vesentlige endringer i tjenestetilbud, kundegrunnlag eller regelverksendringer (f.eks. ny hvitvaskingslov 2018)
• Terrorfinansiering er ikke omtalt eller vurdert som separat risikokategori
• Ingen identifikasjon av foretaksspesifikke eksterne trusler (bransje, geografi, kundesegment) eller interne sårbarheter
• Risikovurderingen er ikke vedtatt eller signert av øverste organ (styre/daglig leder)
• Ingen beskrivelse av hvordan foretakets konkrete tjenester kan misbrukes til hvitvasking
• Risikoreduseringstiltak er fraværende eller ikke koblet til identifiserte risikoer
• Dokumentet finnes ikke, eller ble først fremlagt under pågående tilsyn

Forebyggende tiltak

• Gjennomfør årlig revidering av risikovurderingen med eksplisitt tilpasning til foretakets tjenester, kundeportefølje og geografiske eksponering
• Bruk bransjemal kun som strukturell ramme – krev at hvert avsnitt fylles ut med foretaksspesifikt innhold og eksempler
• Inkluder alltid et eget avsnitt om terrorfinansieringsrisiko, adskilt fra hvitvaskingsrisiko
• Kartlegg og dokumenter eksterne trusler (f.eks. klientbransjer med høy korrupsjonsrisiko) og interne sårbarheter (f.eks. manglende opplæring, høy gjennomtrekk)
• Forankre risikovurderingen formelt ved styrevedtak eller signert godkjenning fra øverste leder, og loggfør dato
• Etabler rutine for løpende oppdatering ved vesentlige hendelser: nye tjenester, nye kundesegmenter, regelverksendringer eller interne avvik
• Koble identifiserte risikoer direkte til konkrete risikoreduseringstiltak med ansvarlig person og frist
• Dokumenter versjonshistorikk slik at det fremgår når og hvorfor risikovurderingen sist ble endret

Relevante tilsynsrapporter

Hjemler