Sanksjonsregler i finanssektoren – nye retningslinjer

Foretak som driver virksomhet i Norge må etterleve den norske sanksjonsloven. Sanksjonsregler i andre land kan komme til anvendelse for foretak med filialer utenfor Norge. I visse tilfeller kan sanksjonsregler også omfatte grensekryssende virksomhet og ha – til dels indirekte – ekstraterritoriell virkning. Foretak kan også ha forpliktet seg i avtale til å etterleve sanksjonsregelverk. Det gjelder forvaltere med institusjonelle investorer med krav om etterlevelse av sanksjonsbestemmelser håndhevet av for eksempel OFAC i USA. Retningslinjene fastsatt av EBA kan derfor være nyttige også for andre aktører i finanssektoren, som verdipapirforetak og forvaltere, i arbeidet med å sikre at de etterlever sanksjonsregler. Vi ser nærmere på hovedpunktene i retningslinjene nedenfor.

EBA er ikke ansvarlig for tilsyn med etterlevelse av sanksjonsregler, men har fastsatt retningslinjene i medhold av forordningene som etablerer tilsyn med finansforetak på EU-nivå, og kravene til forsvarlig organisering av kredittinstitusjoner, betalingsforetak og tjenestetilbydere for kryptoeiendeler.

Når retningslinjer for etterlevelse av sanksjonsregler trekkes inn som del av kravet til forsvarlig organisering av foretak i finansiell sektor, innebærer det også potensiale for administrative sanksjoner for brudd, som bøter og ledelseskarantene. Hjemmel for dette i norsk rett blir trolig tatt inn som del av gjennomføringen av CRD 6 i Norge. Dette er på høring nå (reglene om administrative sanksjoner var på høring i 2020).

I den praktiske etterlevelsen av sanksjonsregler, med hensyn til enkeltbeslutninger om frys av midler osv., vil veiledning og beslutninger fattet av Direktoratet for eksportkontroll og sanksjoner (DEKSA) være aktuelt.

Retningslinjene forutsetter at foretaket oppnevner en medarbeider som er ansvarlig for oppgavene knyttet til sanksjonsregler, en "sanctions officer". For mindre foretak er det naturlig at dette er samme person som hvitvaskingsansvarlig (og eventuelt compliance ansvarlig) – noe også retningslinjene åpner for. På samme måte som hvitvaskingsansvarlig, skal sanctions officer kunne rapportere direkte til styret.

Retningslinjene legger også opp til at styret skal ha en mer aktiv rolle i oppfølgning av sanksjonsregler.

Rollen til "sanctions officer" er lagt opp svært likt det som vil gjelde for hvitvaskingsansvarlig ("compliance officer") etter det kommende hvitvaskingsregelverket i den nye hvitvaskingsforordningen (Forordning (EU) 2024/1624 (AMLR) artikkel 11). AMLR vil gjelde i EU fra 10. juli 2027.

Sanctions officer skal ta ansvar for å "føre i pennen" interne instrukser og retningslinjer for etterlevelse av sanksjonsregler. EBA angir flere elementer de anser som minimumskrav til foretakenes interne instrukser og retningslinjer. Videre skal sanctions officer være ansvarlig for ledelsesrapportering (som skal inkludere treff, funn, frysbeslutninger mv., og intern opplæring av ansatte.

Den praktiske etterlevelsen av sanksjonsregler er nært koblet til foretakenes tiltak mot hvitvasking. Det er naturlig at intern opplæring tar for seg begge deler, særlig med hensyn til systemer for kartlegging av reelle rettighetshavere.

Foretaket må fastsette en "restrictive measures exposure assessment". Dette er i korthet en virksomhetsinnrettet risikovurdering på sanksjonsfeltet. Utformingen vil ha store likhetstrekk med tilsvarende risikovurdering på hvitvaskingsområdet, men EBA presiserer at det må være en selvstendig risikovurdering. Risikovurderingen skal utarbeides av sanctions officer, og godkjennes av styret.

Risikovurderingen skal ta utgangspunkt i hvilke sanksjonsregler foretaket er underlagt – og vurdere risiko for brudd basert på foretakets virksomhet. For kredittinstitusjoner reiser dette også spørsmål knyttet til finansiering av virksomhet med forhøyet sanksjonsrisiko.

Norske foretak er som utgangspunkt underlagt sanksjonsloven med forskrifter, men der foretaket driver virksomhet i andre land, eller har påtatt seg å følge andre sanksjonsregler (som for eksempel de amerikanske sanksjonsreglene håndhevet av OFAC), må det inkluderes. Gitt den politiske utviklingen, er det ikke helt usannsynlig at sanksjonsreglene i USA vil begynne å skille seg mer fra de som er vedtatt i FN og særlig EU. Det vil kunne by på utfordringer fremover.

Risikovurderingen skal oppdateres jevnlig ved behov og minst én gang hvert år.

Retningslinjene for betalingstjenesteytere og tjenesteytere for kryptoeiendeler krever i tillegg at de implementerer velfungerende screening-systemer som er tilpasset deres interne risikovurdering og som jevnlig testes. Full screening av kundeporteføljen skal gjennomføres jevnlig og frekvensen skal knyttes til risikovurderingen.

Screening-systemer skal ta hensyn til opplysninger som skal følge betalingstransaksjoner og transaksjoner i visse kryptoeiendeler (jf. forordning (EU) 2023/1113). Her skal foretaket vurdere om opplysningene er tilstrekkelig til å sikre at foretaket kan avdekke om kunde eller mottaker, reelle rettighetshavere eller representanter er gjenstand for sanksjoner.

Disse foretakene må videre fastsette skriftlige retningslinjer for hvordan de skal vurdere om en juridisk person/enhet er eid eller kontrollert av en sanksjonert person. Dette vil være samordnet med foretakets kartlegging av reelle rettighetshavere etter hvitvaskingsloven. I arbeidet med disse retningslinjene skal foretaket også holde seg oppdatert med hensyn til nye metoder for å omgå sanksjonsregelverket for å bidra til effektiv screening.

Schjødt har bred kompetanse og erfaring fra bistand med etterlevelse av sanksjonsregler (og eksportkontroll) generelt, og foretak i finanssektoren spesielt, når det gjelder risikovurderinger, vurdering av prosjekter og motparter, og M&A transaksjoner som representerer forhøyet sanksjonsrisiko.

Schjødt bistår også jevnlig forvaltere med å forhandle vilkår i fondsavtaleverk, herunder etterlevelse av forpliktelsene man har påtatt seg.

^{Guidelines on internal policies, procedures and controls to ensure the implementation of Union and national restrictive measures. EBA/GL/2024/15 og EBA/GL/2024/15}