Risikoanalysen skal være en systematisk kartlegging og beskrivelse av virksomhetens risiko for å bli brukt til hvitvasking og terrorfinansiering.
Den danner grunnlaget for de rutinene som virksomheten må ha på plass for å forebygge og avdekke hvitvasking. Derfor må både utformingen og utarbeidelsen av risikoanalysen følge en gjennomtenkt struktur. Heldigvis har noen gjort dette før, og strukturen nedenfor kan også danne en mal for hvordan selve risikovurderingen gjennomføres.
Fem ting du bør ha med i en risikoanalyse:
- Tall. Risikoanalysen skal være konkret, relevant og spesifikk. Den skal beskrive risikoen i foretaket spesielt, og knytte seg an til risiko i den blant annet den spesielle næringen generelt. Forberedelsesfasen bør derfor være orientert mot å innhente så mye harde tallfakta som mulig. Begynn gjerne med å ta med deg en god kollega, samle sammen så mange tall som dere har og noen dere kanskje ikke har. Heng dem gjerne rundt på veggen. Disse skal enten si noe om virksomheten eller noe om sannsynligheten for hvitvasking.
- Omsetning?
- Antall kunder?
- Fordeling geografisk?
- Fordeling på ulike bransjer?
- Ansatte?
- Hvor mange hvitvaskingskontroller hver ansatt gjør?
- Antall MT meldinger?
- Hva slags?
Lag lister over produkter, kundetyper, geografi (Hvor er virksomheten representert? Hvor kommer kundene fra? Hvor eies de fra? Hvor har de virksomhet? Hvor gjøres forretningene?), kundetilknytninger. Kontroller; hvor mange iD kontroller, Screening, hvor mange ligger på løpende kundekontroll. Les nasjonal risikovurdering for hvitvasking og andre relevante dokumenter; finner du noe der du kan belyse ved tall?
2. Iboende risiko. Dersom virksomheten ikke hadde noen kontroller, hvordan ville den blitt brukt til hvitvasking? Hvordan kan din virksomhet, den være seg en næringsmegler, regnskapsfører, forsikringsagent bli misbrukt i kriminell øyemed? Hvordan, sånn rent konkret? Hvor sannsynlig, og hvor alvorlig? Du bør vurdere dette på tvers av flere dimensjoner; produkter, geografi, kundetyper, kundetilknytninger.
Det er viktig at du når du gjennomfører denne delen leser igjennom siste versjon av nasjonal risikovurdering, risikovurderinger fra Finanstilsynet, relevante veiledningsdokumenter og gjerne tilsynsrapporter fra virksomheter som driver i samme bransje. Det er viktig å få med risikoer som er flagget av myndigheter og bransjeorganisasjoner, slik for eksempel arbeidslivskriminalitet er det for byggebransjen og stor kontantgjennomstrømming er det for mindre kiosker og drosjevirksomhet.
Du lager nå en katalog over hvilke risikoer du finner, for eksempel slik:
RISIKO |
BESKRIVENDE TALL |
IBOENDE RISIKO |
Kunderisiko: Risiko for at kunden har relle rettighetshavere som ikke fanges opp av våre rutiner. |
“Virksomheten as” har 1489 kunder, av disse er 1384 bedriftskunder. Vi har registrert reell(e) rettighetshaver(e) på 505 av disse, mens 879 står uten grunnet at det ikke finnes personer som kvalifiserer til disse kundene. |
HØY Konsekvensen av at reell rettighetshaver ikke er korrekt identifisert er høy, dette vil med høy sannsynlighet skje uten tiltak. |
3. Kontroller. Her skal du liste opp alt virksomheten gjør for å hindre hvitvasking og vurdere hvilken effekt dette har på de identifiserte risikoene. Dette oppleves ofte som en mer krevende delen av analysen, fordi det er den totale effekten av kontroller på den enkelte risiko som skal vurderes. I forhold til eksemplet over er det flere handlinger som kan rettes mot risikoen; Spørreskjema til kunden, spørring mot Brønnøysund, analyse på proff.no. Det bør inngå i vurderingen om tiltakene har vært gjenstand for internkontroll eller ikke.
Kontroll- tiltakene kan vurderes som følgende: Sterke (Tiltakene fungerer godt og har vært gjenstand for regelmessig internkontroll), Gode (Tiltakene fungerer men er ikke kontrollertved internkontroll) og Svake (Tiltakene har klare mangler, er fraværende eller er kun planlagte aktiviteter).
RISIKO |
BESKRIVENDE TALL |
IBOENDE RISIKO |
Kontroller |
Kunderisiko: Risiko for at kunden har relle rettighetsh- avere som ikke fanges opp av våre rutiner. |
“Virksomheten as” har 1489 kunder, av disse er 1384 bedriftskunder. Vi har registrert reell(e) rettighetshaver(e) på 505 av disse, mens 879 står uten grunnet at det ikke finnes personer som kvalifiserer til disse kundene. |
HØY Konsek- vensen av at reell rettighetshaver ikke er korrekt identifisert er høy, dette vil med høy sannsynlighet skje uten tiltak. |
SVAKE Virksomheten identifiserer reelle rettighetshavere for nye kunder. Denne prosedyren har ikke blitt gjennomført stikkprøver på, og det skjer ikke regelmessige oppdateringer av denne informasjonen. |
4. Restrisiko: Hvilken restrisiko står igjen etter virkningen
Restrisiko følger av nivået på iboende risiko og kvaliteten på kontroltiltak som treffer den enkelte risiko. Det er ikke et poeng i seg selv at all restrisiko skal være lav, men hvilke tiltak som er iverksatt for å få restrisiko lavere. Restrisiko klassifiseres som følger:
-
- Lav restrisiko: Tiltak er ikke nødvendig, risikonivå akseptabelt.
- Moderat restrisiko: Tiltak er nødvendige å gjennomføre, men det er ikke en kritisk situasjon.
- Høy restrisiko: Her må noe gjøres, så raskt som mulig.
Nivået på restrisiko skrives inn i oversikten over risikoelementer.
RISIKO |
BESKRIVENDE TALL |
IBOENDE RISIKO |
Kontroller |
Kunderisiko: Risiko for at kunden har relle rettighetsh- avere som ikke fanges opp av våre rutiner. |
“Virksomheten as” har 1489 kunder, av disse er 1384 bedriftskunder. Vi har registrert reell(e) rettighetshaver(e) på 505 av disse, mens 879 står uten grunnet at det ikke finnes personer som kvalifiserer til disse kundene. |
HØY Konsek- vensen av at reell rettighetshaver ikke er korrekt identifisert er høy, dette vil med høy sannsynlighet skje uten tiltak. |
SVAKE Virksomheten identifiserer reelle rettighetshavere for nye kunder. Denne prosedyren har ikke blitt gjennomført stikkprøver på, og det skjer ikke regelmessige oppdateringer av denne informasjonen. |
REST- RISIKO |
|||
HØY |
5. En plan: Hvilke aktiviteter er planlagt fremover for senke risiko ytterligere, og når skal de utføres?
Finanstilsynet forventer ikke at en virksomhet ikke skal ha forhøyet restrisiko eller ha konstatert mangler i egen etterlevelse. Med et så komplekst regelverk som hvitvasking vil de aller fleste ha et kontrollregime som er gjenstand for kontinuerlig forbedring. Det viktige er å ha en god plan for hvordan avvik skal lukkes.
Der hvor avvik er identifisert bør en klar og konkret plan beskrives.
RISIKO |
BESKRIVENDE TALL |
IBOENDE RISIKO |
Kontroller |
Kunderisiko: Risiko for at kunden har relle rettighetsh- avere som ikke fanges opp av våre rutiner. |
“Virksomheten as” har 1489 kunder, av disse er 1384 bedriftskunder. Vi har registrert reell(e) rettighetshaver(e) på 505 av disse, mens 879 står uten grunnet at det ikke finnes personer som kvalifiserer til disse kundene. |
HØY Konsek- vensen av at reell rettighetshaver ikke er korrekt identifisert er høy, dette vil med høy sannsynlighet skje uten tiltak. |
SVAKE Virksomheten identifiserer reelle rettighetshavere for nye kunder. Denne prosedyren har ikke blitt gjennomført stikkprøver på, og det skjer ikke regelmessige oppdateringer av denne informasjonen. |
REST- RISIKO |
PLANLAGTE |
||
HØY |
Virksomheten vil i samarbeide med leverandør vaske alle bedriftskunder mot Brønnøysundregisteret, og også spørre eksisterende kunder om det har skjedd endringer i eierforhold. Dette tiltaket vil være avsluttet innen utgangen av kalenderåret. |