Den oppdaterte veilederen finnes her.
- Presisering av kravene til virksomhetsinnrettet risikovurdering, særlig mht. til:
- Metode/omfang: Finanstilsynet presiserer at risikovurderingen skal identifisere iboende risiko, tiltak og restrisiko, og uttrykker forventning om at store foretak utarbeider særskilte risikovurderinger for ulike forretningsområder, og at konserner utarbeider egne risikovurderinger for selskapene i konsernet. Det skal føres versjonslogg;
- Innhold: Det bør foretas vurdering av risikodrivere og sårbarheter. Finanstilsynet gir nærmere veiledning mht. elementene som etter loven skal inngå i risikovurderingen særlig knyttet til geografisk risiko (skal vurderes både innenfor og utenfor EØS, og internt i landet (f.eks. hvor kunden ikke har tilknytning til det området der foretaket opererer), og ikke knyttes kun til hvor kunden er hjemmehørende, men også opprinnelse, hvor midler stammer fra, reelle rettighetshavere, forretningsforbindelser mv.);
- Kildebruk: Finanstilsynet uttrykker forventing om bruk av eksterne kilder, samt gir nærmere veiledning mht. opplysninger fra virksomheten som er relevante å benytte (bruk av produkter/tjenester, distribusjonskanaler, kundeinformasjon, alarmer i transaksjonsovervåkning, avdekkede sårbarheter mv.);
- Nye produkter, tjenester og ny teknologi: Finanstilsynet gir nærmere veiledning med hensyn til risikovurderinger før ny teknologi tas i bruk.
- Utvidelse av listen over forhold hvor det må utarbeides rutiner, bl.a. (i) risikovurdering av bl.a. nye produkter, tjenester og ny teknologi, (ii) bruk og håndtering av elektronisk overvåkingssystem, (iii) egnethetsvurderinger av hvitvaskingsansvarlig og (iv) etterlevelsesansvarlig og behandling av personopplysninger.
- Nærmere veiledning for risikoklassifisering av kunder, herunder bruk av automatiserte risikoklassifiseringsmodeller og manuelle vurderinger.
- Nærmere om etablering av kundeforhold i særskilte situasjoner: (i) hvor kunde har kundeforhold i flere filialer, er den norske filialen selvstendig rapporteringspliktig, (ii) hvor kunden tilbys atskilte tjenester som ikke krever tillatelse – f.eks. teleabonnement eler reisebyråtjenester - anses kundeforholdet etablert først på det tidspunktet kunden får tilgang til tjeneste som krever tillatelse, (iii) tilrettelegger ved en offentlig emisjon, børsnotering, pliktig tilbud e.l. vil ha utstederselskapet som kunde, (iv) der det opprettes verdipapirkonto for investor, vil investor etablere kundeforhold til kontofører og (v) tilrettelegger for lånesyndikat skal gjennomføre kundetiltak av låntaker; tilrettelegger yter ikke rådgivning til potensielle / andre långivere og disse er dermed ikke å anse som kunder av tilrettelegger. Det er også gitt særskilt veiledning for andre situasjoner, som morselskapsgarantier, betalingsfullmektiger, forvalterregistrering mv.
- Presisering av at i tilfeller kontoinformasjonstjenester ytes av rapporteringspliktige foretak (banker, betalingsforetak mv.), er disse omfattet av hvitvaskingsregelverket.
- Eksempler på hvilke aktiviteter innen vekslings- og/eller oppbevaringstjenester for virtuell valuta fra utlandet som etter tilsynets vurdering er rapporteringspliktige: tjenestetilbydere som aktivt retter seg mot det norske markedet, eksempelvis ved markedsføring/reklame, har nettsider på norsk eller aktivt tilbyr veksling i norske kroner, samt agentvirksomhet.
- Rundskrivet gir nærmere veiledning om midler som stammer fra virtuelle eiendeler.
- Ved bruk av digitale løsninger for bekreftelse av kundens identitet på andre måter enn gyldig elektronisk ID, må risiko ved løsningen vurderes av den rapporteringspliktige, og slike vurderinger må dokumenteres. Den rapporteringspliktige må etablere kontrollmekanismer for å sikre at løsningen fungerer som forutsatt, og vurdere om en slik bruk omfattes av utkontrakteringsbestemmelser. For heldigitale kundeetableringer som ikke utgjør elektronisk signatur, altså der digitale løsninger alene anvendes for å innhente og bekrefte kundens identitet, og gjennomføre supplerende «ytterligere tiltak», må den tekniske løsningen oppfylle nærmere angitte krav.
- Med hensyn til foretakenes kontraheringsplikt påpeker Finanstilsynet at det ikke er saklig grunn for å avvise kundeforhold eller avslå betalingstjeneste at et kundeforhold vil være særlig ressurs- og kostnadskrevende å etablere og løpende følge opp i tråd med hvitvaskingsverket. Men kunder kan avvises (eller avvikles) når hvitvaskingsregelverket krever dette fordi kundetiltak, herunder løpende og/eller forsterkede kundetiltak, ikke lar seg gjennomføre.
- Kunder utenfor foretakets definerte geografiske dekningsområde kan avvises, så sant dette er klart fastsatt i foretakets policy, og at det praktiseres strengt. Foretakene kan avslå å yte tjenester utenfor EØS, uten krav til saklig grunn, så lenge dette gjelder generelt for alle kunder. Foretak som tilbyr betalingstjenester utenfor EØS kan ikke nekte transaksjoner til enkeltland, for eksempel på grunn av hvitvaskings- eller terrorfinansieringsrisikoen forbundet med landet.
- Rundskrivet gir mer utfyllende informasjon om fremgangsmåten for å identifisere reelle rettighetshavere i fond.
- I forbindelse med den kommende innføring av obligatorisk register over reelle rettighetshavere administrert av Brønnøysundregistrene, påpekes at definisjonen av reell rettighetshaver avviker noe i forhold til hvitvaskingsloven, og at ikke alle typer juridiske personer er pålagt å registrere reelle rettighetshavere. Rapporteringspliktige kan derfor måtte foreta ytterligere undersøkelser, eller registrere ytterligere informasjon. Avvik mellom opplysninger i registeret og opplysninger gitt av kunden, vil kunne gi grunnlag for ytterligere undersøkelser.
- Selv om rapporteringspliktige ikke skal gjennomføre kundetiltak på kundens transaksjonsparter, vil det i noen tilfeller være relevant å be om opplysninger og dokumentasjon om blant annet motparten, relasjonen, formålet/grunnlaget for transaksjonene og midlenes opprinnelse. Dette vil særlig gjelde ved noen typer utenlandstransaksjoner.
- Det gis nærmere veiledning om foretakenes undersøkelsesplikt og avsløringsforbudet, herunder i hvilke tilfeller alarmer i transaksjonsovervåkningssystemer utløser undersøkelsesplikt, undersøkelsespliktens omfang og forholdet mellom avsløringsforbudet og innhenting av informasjon fra kunder som ledd i undersøkelser eller kontrolltiltak.
- Dersom rapporteringspliktige beslutter å slette personopplysninger etter fem år fordi særlige grunner tilsier at kunden ikke utgjorde en høy risiko for hvitvasking og terrorfinansiering skal vurderingen som ligger til grunn, lagres i ytterligere fem år.
Advokatfirmaet Schjødt har spisskompetanse på finansregulatoriske forhold, anti-hvitvasking og compliance. Vi bistår regelmessig regulerte foretak med blant annet:
- Gjennomføring av risikovurderinger
- Utarbeidelse av instrukser og rutineverk
- Problemstillinger tilknyttet etablering av kundeforhold
- Second opinion på komplekse KYC-vurderinger
- Bistand ved dokumentbaserte og stedlige tilsyn
- Juridiske vurderinger tilknyttet nasjonale og internasjonale regler om sanksjoner og eksportkontroll