Prop. 40 L (2017–2018)

Lov om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsloven)

Til innholdsfortegnelse

4 Risikobasert tilnærming – risikovurdering, rutiner og ansvar

4.1 Innledning

Et gjennomgående trekk i det internasjonale arbeidet mot hvitvasking og terrorfinansiering er at arbeidet skal være risikobasert. Dette gjelder både i FATFs reviderte anbefalinger fra 2012 og EUs fjerde hvitvaskingsdirektiv. Den risikobaserte tilnærmingen er ikke ny i verken anbefalingene eller fjerde direktiv, men har fått en vesentlig større plass enn tidligere. Også i gjeldende hvitvaskingslov er det gitt regler om risikobasert tilnærming, se eksempelvis § 5 om risikobasert kundekontroll og §§ 7, 13 og 15 om henholdsvis alminnelig, forenklet og forsterket kundekontroll.

En risikobasert tilnærming innebærer at omfanget av tiltakene som skal gjøres etter regelverket, øker der risikoen er høyere enn vanlig. I situasjoner der risikoen på den annen side er lavere, kan omfanget av tiltak reduseres. Omfanget av utførte tiltak skal være proporsjonalt med den identifiserte risikoen for hvitvasking og terrorfinansiering. I fortalen til fjerde hvitvaskingsdirektiv avsnitt 22 fremgår derfor følgende:

«Risikoen for hvitvasking av penger og finansiering av terrorisme er ikke den samme i alle tilfeller. Følgelig bør det benyttes en helhetlig risikobasert metode. Den risikobaserte metoden er ikke et alternativ som gir medlemsstatene og de ansvarlige enhetene altfor stor valgfrihet. Den innebærer bruk av kunnskapsbasert beslutningstaking for mer effektivt å kunne håndtere risikoen for hvitvasking av penger og finansiering av terrorisme som Unionen og de som driver virksomhet der, står overfor.»

Departementet foreslår et kapittel om risikobasert tilnærming innledningsvis i hvitvaskingsloven. Departementet viser til at fjerde hvitvaskingsdirektivs første artikler som inneholder forpliktelser for rapporteringspliktige, gjelder utarbeidelse av risikovurderinger og risikobaserte rutiner. Videre gjelder FATFs anbefaling nummer 1 den risikobaserte tilnærmingen. Utvalget peker også på disse forholdene i NOU 2016: 27 punkt 2.1.

Den lovtekniske løsningen gjenspeiler den grunnleggende rollen en risikobasert tilnærming spiller i arbeidet med å forebygge og avdekke hvitvasking og terrorfinansiering. Den risikobaserte tilnærmingen er utgangspunktet for etterlevelsen av samtlige forpliktelser i hvitvaskingsregelverket. Denne overordnede, grunnleggende og sentrale rollen tilsier etter departementets vurdering at reglene plasseres tidlig i hvitvaskingsloven.

4.2 Gjeldende rett

Hvitvaskingsloven § 5 bestemmer uttrykkelig at rapporteringspliktige skal gjennomføre kundekontroll og løpende oppfølging på grunnlag av en risikovurdering. Det er risikoen for hvitvasking og terrorfinansiering som skal vurderes, der risikoen vurderes ut fra type kunde, kundeforhold, produkt eller transaksjon.

I situasjoner som etter sin art innebærer høy risiko for hvitvasking eller terrorfinansiering, skal rapporteringspliktige, i samsvar med § 15 første ledd, gjennomføre ytterligere kontrolltiltak enn de som følger av §§ 5 til 14. De ytterligere kontrolltiltakene skal gjennomføres etter en risikovurdering.

4.3 EØS-rett

Hvitvaskingsdirektivets fortale avsnitt 22 til 34 omtaler den risikobaserte tilnærmingen. I fortalen understrekes behovet for å gjennomføre risikovurderinger som en forutsetning for den risikobaserte tilnærmingen.

Fjerde hvitvaskingsdirektiv artikkel 6 til 8 gir regler om henholdsvis EU-kommisjonens, medlemsstatenes og rapporteringspliktiges utarbeidelse av risikovurderinger knyttet til hvitvasking og terrorfinansiering.

I medhold av artikkel 8 nr. 1 og 2 skal rapporteringspliktige utarbeide dokumenterte risikovurderinger. Risikovurderingen skal ta hensyn til risikofaktorer knyttet til kunder, land eller geografiske områder, produkter, tjenester, transaksjoner og distribusjonskanaler. Kravene til risikovurderingen skal være forholdsmessige sett i lys av arten og størrelsen på den rapporteringspliktige virksomheten. Risikovurderingene skal holdes oppdatert og være tilgjengelige for tilsynsmyndighetene. Tilsynsmyndighetene kan gjøre unntak fra kravet om individuelle, dokumenterte risikovurderinger dersom de sektorspesifikke risikoene er godt kjent.

På bakgrunn av risikovurderingen skal rapporteringspliktige utarbeide programmer, kontrollmekanismer og prosedyrer (heretter samlet kalt «rutiner») for å motvirke og håndtere risikoen for hvitvasking og terrorfinansiering, se artikkel 8 nr. 3. Rutinene skal være proporsjonale med virksomhetens art og størrelse. Artikkel 8 nr. 4 utdyper kravene til rutinene. Rutinene skal omfatte utarbeidelse av interne retningslinjer, kontroller og framgangsmåter, herunder modeller for risikohåndtering, kundetiltak, rapportering, registrering, internkontroll og etterlevelseskontroll. Dersom virksomhetens art og omfang tilsier det, skal det utpekes en særskilt ansvarlig for etterlevelsesfunksjonen i ledelsen, samt bakgrunnskontroll av ansatte, og etableres en uavhengig revisjonsfunksjon med ansvar for å granske rutinene.

Artikkel 8 nr. 5 bestemmer at rapporteringspliktige rutiner skal godkjennes av virksomhetenes ledelse. Videre må rutinene overvåkes og, om nødvendig, skjerpes.

Den risikobaserte tilnærmingen gjenspeiles i blant annet direktivets artikkel 13 om gjennomføring av kundetiltak. Etter nr. 2 skal rapporteringspliktige pålegges å gjennomføre samtlige kundetiltak nevnt i nr. 1, men de skal kunne avgjøre omfanget av dem på en risikosensitiv basis. Rapporteringspliktige må kunne dokumentere overfor relevante myndigheter at omfanget av utførte tiltak er egnet sett i lys av den identifiserte risikoen for hvitvasking og terrorfinansiering.

4.4 FATFs anbefalinger

FATFs anbefaling 1 annet avsnitt lyder som følger:

«Countries should require financial institutions and designated non-financial businesses and professions (DNFBPs) to identify, assess and take effective action to mitigate their money laundering and terrorist financing risks.»

Anbefalingen utdypes i forklarende noter, som ytterligere understreker betydningen av en risikobasert tilnærming i arbeidet med å forebygge hvitvasking og terrorfinansiering. Risikobasert tilnærming er for øvrig reflektert i mange av FATFs øvrige anbefalinger.

Kravet om risikovurdering er utdypet i forklarende note til anbefaling 1:

«Financial institutions and DNFBPs should be required to take appropriate steps to identify and assess their money laundering and terrorist financing risks (for customers, countries or geographic areas; and products, services, transactions or delivery channels). They should document those assessments in order to be able to demonstrate their basis, keep these assessments up to date, and have appropriate mechanisms to provide risk assessment information to competent authorities and SRBs. The nature and extent of any assessment of money laundering and terrorist financing risks should be appropriate to the nature and size of the business. Financial institutions and DNFBPs should always understand their money laundering and terrorist financing risks, but competent authorities or SRBs may determine that individual documented risk assessments are not required, if the specific risks inherent to the sector are clearly identified and understood.
(…)
When assessing risk, financial institutions and DNFBPs should consider all the relevant risk factors before determining what is the level of overall risk and the appropriate level of mitigation to be applied.(…)»

Om generelle kravet om utarbeidelse av rutiner fremgår følgende i interpretive note til anbefaling 1:

«Financial institutions and DNFBPs should be required to have policies, controls and procedures that enable them to manage and mitigate effectively the risks that have been identified (either by the country or by the financial institution or DNFBP). They should be required to monitor the implementation of those controls and to enhance them, if necessary. The policies, controls and procedures should be approved by senior management, and the measures taken to manage and mitigate the risks (whether higher or lower) should be consistent with national requirements and with guidance from competent authorities and SRBs.»

4.5 Utvalgets forslag

4.5.1 Innledning

Hvitvaskingslovutvalget foreslår et eget kapittel om risikobasert tilnærming innledningsvis i hvitvaskingsloven, med særskilte bestemmelser om risikobaserte tiltak, virksomhetsinnrettet risikovurdering, rutiner og øverste ledelses ansvar. Utvalget forklarer sammenhengen mellom bestemmelsene slik i NOU 2016: 27 punkt 4.2.4:

«Kravet om rapporteringspliktiges gjennomføring av tiltak etter loven på bakgrunn av en risikovurdering innebærer at lovforslaget § 5 får betydning for fastleggingen av alle lovens forpliktelser. Utvalget bemerker følgende om forholdet mellom lovforslaget § 5 og de øvrige bestemmelsene i kapittel 2: Utvalget foreslår en uttrykkelig bestemmelse om plikt til å utarbeide risikovurderinger i hver enkelt virksomhet i § 6. Dette kaller utvalget en virksomhetsinnrettet risikovurdering. Risikovurderingen som pålegges utarbeidet i § 6, er den som forutsettes i § 5 om risikobaserte tiltak. I første omgang vil risikovurderingen få betydning for utformingen av virksomhetens rutiner, se lovforslaget § 7 og omtalen under punkt 4.4. Rutinene skal igjen beskrive etterlevelse av lovens øvrige forpliktelser, se omtalen under punkt 4.4.4. Dermed er den risikobaserte tilnærmingen et prinsipp som har betydning for hele den rapporteringspliktiges virksomhet. Dessuten vil rapporteringspliktiges etterlevelse av lovens tiltak kunne påvirke risikovurderingen. Anvendelsen av rutinene kan avdekke nye risikoområder. Det kan også føre til at områder som har vært ansett for å representere en høyere risiko for hvitvasking og terrorfinansiering, kan omklassifiseres til normal- eller lavrisikoområder. Den risikobaserte tilnærmingen innebærer at risikovurderingen i så fall må oppdateres. Det kan igjen medføre at innretningen av rapporteringspliktiges etterlevelse av lovens forpliktelser må oppdateres.»

4.5.2 Risikobaserte tiltak

Utvalget foreslår en bestemmelse om risikobaserte tiltak i § 5. Første ledd retter seg mot både rapporteringspliktige og tilsynsmyndigheter, og bestemmer at alle tiltak etter loven skal gjennomføres og håndheves på grunnlag av en risikovurdering. I annet ledd er gjeldende hvitvaskingslov § 5 annet ledd videreført, slik at rapporteringspliktige må dokumentere at utførte tiltak er i samsvar med den identifiserte risikoen.

Utvalget omtaler den risikobaserte tilnærmingen slik i NOU 2016: 27 punkt 4.2.4:

«Slik utvalget ser det, er det hensiktsmessig at gjeldende § 5 utvides og løftes frem i loven i en egen bestemmelse om «risikobaserte tiltak». Utvalget foreslår derfor en grunnleggende bestemmelse som innleder lovens kapittel 2 og gjenspeiler det internasjonale skiftet i EU og FATF. Lovforslaget § 5 innebærer at lovens materielle forpliktelser innledes med en overordnet bestemmelse om at lovens tiltak skal gjennomføres risikobasert. Lovbestemmelsen retter seg i utgangspunktet mot både offentlige myndigheter og rapporteringspliktige. Utvalget foreslår derfor at det i lovforslaget § 5 første ledd uttrykkelig nevnes at loven skal «håndheves» med grunnlag i en risikovurdering, se nærmere omtale under punkt 4.3.4.
At tiltak skal gjennomføres risikobasert innebærer at innretningen og omfanget av tiltakene som utføres, skal tilpasses den identifiserte risikoen for hvitvasking og terrorfinansiering. En risikobasert tilnærming ved etterlevelsen av loven forutsetter derfor utarbeidelse av risikovurderinger hos den enkelte rapporteringspliktige, se lovforslaget § 6 med nærmere omtale under punkt 4.3.4.
En risikobasert tilnærming er grunnleggende sett en motsetning til en regelbasert tilnærming. I stedet for at omfanget av tiltak, ressurser og oppmerksomhet fra rapporteringspliktiges side styres av fastsatte rammer og klare regler, skal den identifiserte risikoen for hvitvasking og terrorfinansiering være bestemmende for hva rapporteringspliktige gjør. Omfanget av tiltak rapporteringspliktige pålegges etter hvitvaskingsloven skal tilpasses den identifiserte risikoen for hvitvasking og terrorfinansiering. Nærmere bestemt skal rapporteringspliktige sette inn flere ressurser og vie større oppmerksomhet til deler av virksomheten der det er identifisert en høyere risiko for hvitvasking og terrorfinansiering. Der det er identifisert en lavere risiko for hvitvasking og terrorfinansiering, kan rapporteringspliktige derimot bruke færre ressurser og vie mindre oppmerksomhet. For eksempel vil rapporteringspliktiges rutiner kunne tilpasses den identifiserte risikoen for hvitvasking og terrorfinansiering. Der det er identifisert en høyere risiko bør rutinene være mer omfattende. Dersom det er identifisert en lavere risiko, kan rutinene være mer kortfattede. Dermed brukes ressursene til forebygging og avdekking av hvitvasking og terrorfinansiering på en mest mulig effektiv måte.
Den risikobaserte tilnærmingen vil gi ulike utslag hos ulike rapporteringspliktige. Det er en naturlig konsekvens av at hvilket omfang ulike tiltak skal få, må bero på den enkelte virksomhets vurdering av risiko for hvitvasking og terrorfinansiering. Dessuten vil en risikobasert tilnærming også innebære at det må tas hensyn til omfanget og arten av rapporteringspliktiges virksomhet. Det er et gjennomgående trekk i både fjerde hvitvaskingsdirektiv og FATFs anbefalinger at kravene til rapporteringspliktige varierer med virksomhetens art og størrelse. Den risikobaserte tilnærmingen blir nødvendigvis konkret i sin natur.»

4.5.3 Virksomhetsinnrettet risikovurdering

Utvalget foreslår en bestemmelse om at rapporteringspliktige skal utarbeide «virksomhetsinnrettet risikovurdering», se utkastet § 6. Etter utkastet skal rapporteringspliktige identifisere og vurdere risikoen for hvitvasking og terrorfinansiering i virksomheten. I bestemmelsens annet ledd er det listet opp enkelte faktorer som skal inngå i risikovurderingen. Utvalget omtaler forslaget slik i NOU 2016: 27 punkt 4.3.4:

«Siden virksomhetsinnrettede risikovurderinger skal danne utgangspunktet for rapporteringspliktiges utarbeidelse av rutiner for etterlevelse av lovens forpliktelser, må risikovurderingen utarbeides individuelt og konkret. Maler for risikovurderingen, utarbeidet av f.eks. bransjeorganisasjon, kan være nyttig, men må ikke anvendes ukritisk. Utvalget presiserer at hvilke forventninger som kan stilles til omfanget og detaljeringsgraden i risikovurderingen vil variere mellom rapporteringspliktige. For små virksomheter kan veiledning fra tilsynsmyndigheter og bransjeorgan være viktig.
Det følger av risikovurderingens gjennomgripende betydning for rapporteringspliktiges overholdelse av loven at risikovurderingen må være overordnet. Risikovurderinger skal identifisere og vurdere risikoen for hvitvasking og terrorfinansiering i den rapporteringspliktiges virksomhet, herunder identifisere deler av virksomheten med høyere eller lavere risiko.
Gjennomføringen av risikovurderinger består av tre komponenter. Rapporteringspliktig må for det første ha kunnskap om hva hvitvasking og terrorfinansiering er. Uten kunnskap om hvitvasking og terrorfinansiering vil det ikke være mulig for rapporteringspliktige å vurdere risikoen for at deres egen virksomhet kan misbrukes av kriminelle til disse formålene. Definisjonene av hvitvasking og terrorfinansiering er beskrevet under punkt 2.3.4.2 og 2.3.4.3. Kort sagt er hvitvasking all befatning med utbytte fra straffbare handlinger, mens terrorfinansiering er finansiering av terrorvirksomhet. Midlenes opprinnelse er mindre relevant ved terrorfinansiering, mens dette er et sentralt moment ved spørsmål om det kan foreligge indikasjoner på hvitvasking. Kunnskap om hva hvitvasking og terrorfinansiering er, er en nødvendig underliggende forutsetning for gjennomføringen av risikovurderingen. Utvalget foreslår imidlertid ikke at denne delen av risikovurderingene nevnes uttrykkelig i lovforslaget § 6.
For det annet må rapporteringspliktige kjenne sin egen virksomhet. Rapporteringspliktiges virksomhet omfatter produkter, tjenester, leveringsmåte og transaksjoner som rapporteringspliktig tilbyr. Utvalget viser til lovforslaget § 6 bokstav a, b og c. Rapporteringspliktig må bruke kunnskapen om hvitvasking og terrorfinansiering til å identifisere hvordan virksomheten kan misbrukes til slike formål. Slik kan rapporteringspliktige identifisere de produktene og tjenestene i virksomheten som kan innebære en henholdsvis høyere eller lavere risiko for hvitvasking og terrorfinansiering.
Den virksomhetsinnrettede risikovurderingen må ta høyde for at risikoen for hvitvasking og terrorfinansiering vil kunne variere mellom ulike produkter, tjenester og transaksjoner. F.eks. er det relevant om enkelte transaksjoner innebærer større muligheter for anonymitet enn andre.
Ved vurdering av virksomhetens produkter viser utvalget til at et viktig risikomoment er nye produkter og ny teknologi, jf. FATF-anbefaling 15, se punkt 4.3.3.
Siden risikovurderingen er knyttet til rapporteringspliktiges virksomhet, vil den gi ulike utslag hos ulike rapporteringspliktige. Eksempelvis vil det for en forhandler av varer ha betydning for risikovurderingen om vedkommende selger produkter med høy verdi, f.eks. smykker eller kunst. Generelt vil produkter med høy verdi, som samtidig er enkle å flytte, være bedre egnet til hvitvasking enn produkter med lavere verdi. Et annet moment kan være måten betalingen utføres på. Større kontantbeløp er alltid regnet som en risikofaktor for hvitvasking. Måten kjøp struktureres på kan også ha betydning, f.eks. ved at det kjøpes et uvanlig stort antall eksemplarer av samme vare, eller at beløp synes å deles opp på en måte som fremstår som en tilpasning til hvitvaskingslovens beløpsgrenser.
For en bank vil risikovurderingen på samme måte måtte fokusere på bl.a. typen produkter. En alminnelig brukskonto eller lønnskonto der pengestrømmen følger nokså faste mønstre vil normalt innebære lav risiko for hvitvasking. Konti som opprettes og raskt stenges igjen, eller konti der det kommer større overføringer inn, vil være et produkt som kan innebære høyere risiko. «Private banking» blir ofte utpekt som en produkttype med høyere risiko for hvitvasking, se f.eks. fjerde hvitvaskingsdirektiv anneks III avsnitt 2 bokstav a.
For det tredje må rapporteringspliktige kjenne hvem de forholder seg til og handler med. Dette omfatter kunder, reelle rettighetshavere og andre. Herunder er geografiske forhold av betydning. Utvalget viser til lovforslaget § 6 annet ledd bokstav d og e.
Det vil kunne være relevant for rapporteringspliktig å kartlegge vedkommendes kundegrupper. Dreier det seg om kunder som er privatpersoner uten noen form for tilknytning til utlandet? Eller dreier det seg i stedet om bedriftskunder som er del av større selskapsstrukturer med forbindelser til ulike jurisdiksjoner både innenfor og utenfor EØS-området? Dette kan ha betydning for vurderingen av risiko for hvitvasking eller terrorfinansiering, herunder når det sees i sammenheng med andre momenter. Om en rapporteringspliktig i hovedsak har langvarige kundeforhold der vedkommende kjenner sine kunder godt, vil dette medvirke til at risikoen for hvitvasking og terrorfinansiering kan anses lavere enn hos en rapporteringspliktig som har mange kunder som ikke har et etablert kundeforhold, eller kundeforholdene er svært kortvarige.
Om en rapporteringspliktig har en stor kundemasse som driver virksomhet i et av landene FATF har pekt ut som land uten tilfredsstillende tiltak mot hvitvasking og terrorfinansiering, tilsier det at kundemassen innebærer en høyere risiko. Det samme gjelder om reelle rettighetshavere viser seg å være etablert i slike høyrisikoland. Rapporteringspliktiges egen lokalisering i landet kan også være relevant, f.eks. ved kjente konsentrasjoner av ulike kriminelle miljøer. Også rapporteringspliktige som ikke etablerer kundeforhold, men i stedet bare gjennomfører enkeltstående transaksjoner, må ta hensyn til dette i den virksomhetsinnrettede risikovurderingen.»

Utvalget går også inn på hvilke kilder rapporteringspliktige bør benytte ved utarbeidelsen av risikovurderinger. Utvalget viser i denne sammenheng til risikovurderinger og typologirapporter utarbeidet på EU-nivå, av nasjonale myndigheter, sektormyndigheter, bransjeorgan og FATF. Dessuten må rapporteringspliktige vurdere egen virksomhet – rapporteringspliktige må vurdere hvilke egenskaper ved egen virksomhet som representerer en risiko for hvitvasking eller terrorfinansiering. Utvalget nevner enkelte spørsmål rapporteringspliktige bør stille seg, og understreker at det er rapporteringspliktige som er best egnet til å besvare dem: Hvordan kan min virksomhet misbrukes til hvitvasking og terrorfinansiering? Hva slags produkter tilbyr jeg som kan benyttes til hvitvasking og terrorfinansiering? Hvilke kundegrupper innebærer risiko for hvitvasking og terrorfinansiering?

Etter utvalgets utkast skal risikovurderingen dokumenteres, holdes oppdatert og være tilgjengelig for tilsynsmyndigheten, se utkastet til § 6 tredje ledd. Om oppdatering av risikovurderingen uttaler utvalget følgende:

«Risikovurderingen må oppdateres jevnlig for å kunne være et praktisk verktøy for rapporteringspliktige. Utvalget foreslår ikke uttrykkelige krav om hvor ofte den virksomhetsinnrettede risikovurderingen skal oppdateres eller revideres. Hva som er passende tidsintervaller vil variere. Relevante momenter vil være ny kunnskap om metoder og trender for hvitvasking og terrorfinansiering som tas i bruk av kriminelle, eventuelle nye produkter og tjenester rapporteringspliktig tilbyr, rapporteringspliktiges egne erfaringer gjennom arbeidet med å avdekke og forebygge hvitvasking og terrorfinansiering osv. Nye risikovurderinger utarbeidet av myndigheter, tilsynsmyndigheten eller bransjeorgan, bør gi rapporteringspliktig oppfordring til å revidere sin virksomhetsinnrettede risikovurdering.»

Utvalget foreslår at alle rapporteringspliktige skal utarbeide og dokumentere risikovurderinger. Utvalget kommenterer unntaksadgangen som fjerde hvitvaskingsdirektiv artikkel 8 nr. 2 gir, på følgende måte:

«Det fremgår av fjerde hvitvaskingsdirektiv artikkel 8 nr. 2 at risikovurderingen som hovedregel skal dokumenteres. Utvalget foreslår en bestemmelse om at den virksomhetsinnrettede risikovurderingen skal dokumenteres, se lovforslaget § 6 tredje ledd. Dette er dels av tilsynsmessige årsaker, og dels fordi utvalget antar at et uttrykkelig krav om dokumenterte risikovurderinger vil gjøre det mer sannsynlig at risikovurderinger faktisk gjennomføres.»

4.5.4 Rutiner

Utvalget begrunner forslaget om krav til utarbeidelse av rutiner på følgende måte i NOU 2016: 27 punkt 4.4.4:

«Rutinene er et eget, overordnet tiltak i fjerde hvitvaskingsdirektiv artikkel 8. Utvalget foreslår derfor en bestemmelse om rapporteringspliktiges utarbeidelse av rutiner innledningsvis i hvitvaskingsloven, se lovforslaget § 7. Dette er en sentral og grunnleggende forpliktelse for de rapporteringspliktige. Rutinenes formål er å integrere arbeidet med å forebygge og avdekke hvitvasking og terrorfinansiering i den daglige driften hos rapporteringspliktige.
(…)
Gode rutiner er en forutsetning for effektiv etterlevelse og gjennomføring av lovens forpliktelser.»

Rutinene skal omfatte alle forpliktelsene rapporteringspliktige er pålagt i hvitvaskingsloven. Utvalget beskriver rutinene som rapporteringspliktiges «plan» eller «oppskrift» for hvordan rapporteringspliktiges forpliktelser skal etterleves. Som følge av dette blir hvitvaskingslovens bestemmelser om eksempelvis kundetiltak også presiseringer av hva rapporteringspliktiges rutiner skal beskrive. Utvalget omtaler som eksempel forholdet mellom en rapporteringspliktig og en kunde som etablerer et kundeforhold, og hvordan rutinene da bør beskrive «livslinjen» i forholdet mellom kunde og rapporteringspliktig.

Om omfanget av rutinene uttaler utvalget følgende i punkt 4.4.4:

«Rutinenes omfang skal være tilpasset arten og størrelsen på rapporteringspliktiges virksomhet, og sees i lys av risikoen for at virksomheten misbrukes til hvitvasking eller terrorfinansiering. Alle rapporteringspliktige må utarbeide rutiner. Omfanget og detaljeringsgraden kan variere mellom ulike typer rapporteringspliktige og mellom rapporteringspliktige av ulik størrelse. Dersom det er identifisert en høyere risiko for hvitvasking eller terrorfinansiering i virksomheten eller bransjen, må det reflekteres i rutinenes omfang og detaljeringsgrad.»

Utvalget understreker at rutinene må sees i sammenheng med virksomhetens risikovurdering. Risikovurderingen, og derfor også rutinene, skal utarbeides konkret i virksomheten:

«Risikovurderingen er bestemmende både for hvilke kunder eller produkter som må vies særlig oppmerksomhet, og for rutinenes beskrivelse av hvordan den identifiserte risikoen kan håndteres og motvirkes.»

Utvalget foreslår en uttrykkelig plikt til å oppdatere rutinene, se utkastet § 7 annet ledd. Oppdatering forutsettes i fjerde hvitvaskingsdirektiv artikkel 8 nr. 5, og utvalget omtaler det som en «naturlig konsekvens av at rutinene må sees i sammenheng med den identifiserte risikoen for hvitvasking og terrorfinansiering». Det påpekes at den virksomhetsinnrettede risikovurderingen skal holdes oppdatert, og at «det ligger i rutinenes natur at de fortløpende må tilpasses virkeligheten rapporteringspliktige virker i for å etterleve hvitvaskingsloven.» Utvalget viser til at relevante momenter for når rutinene må oppdateres eksempelvis er utarbeidelse av ny virksomhetsinnrettet risikovurdering, at rapporteringspliktig tilbyr nye produkter eller tjenester, en ny kundegruppe tar i bruk rapporteringspliktiges tjenester eller at det skjer endringer i lov eller forskrift.

Utvalget foreslår at rutinene skal dokumenteres og stilles til rådighet for tilsynsmyndigheten, se lovutkastet § 7 annet ledd.

4.5.5 Øverste ledelses ansvar

Utvalget delte seg i et flertall på ni medlemmer og et mindretall på ett medlem i spørsmålet om regulering av øverste ledelses ansvar for utarbeidelse av rapporteringspliktiges risikovurderinger og rutiner.

Utvalgets flertall, medlemmene Damslora, Hana, Holberg, Lund, Munch Thore, Roaldsøy, Rui, Stokmo og Utne, foreslår en samlet bestemmelse om ledelsens ansvar for å godkjenne den virksomhetsinnrettede risikovurderingen og rutinene, og ansvar for å sørge for at forpliktelsene knyttet til risikovurderingen og rutinene gjennomføres. Flertallets forslag bygger på deres forståelse av hvitvaskingsdirektivet artikkel 8 nr. 5 og 46 nr. 4.

Flertallet foreslår at direktivets bruk av «senior management» i denne sammenheng skal forstås som styre og daglig leder, eventuelt foretaksorgan med tilsvarende ansvar og kompetanse. Flertallet viser til den grunnleggende betydningen risikovurderingen og rutinene har for rapporteringspliktiges etterlevelse av hvitvaskingsloven, og det ansvaret ledelsen i foretakene i alle tilfeller skal ha for etterlevelsen av relevante regler. Videre vises det til sammenhengen med direktivets krav om å kunne ilegge sanksjoner overfor ledelsen ved brudd på loven.

Flertallet foreslår også en særskilt bestemmelse om utpeking av et medlem av ledelsen som skal ha ansvar for at forpliktelsene i direktivet etterleves, på bakgrunn av fjerde hvitvaskingsdirektiv artikkel 46 nr. 4.

Mindretallet, utvalgsmedlem Sigurdsen, viser til at rutinene skal godkjennes av «senior management», som er legaldefinert. Det vises til at definisjonen ikke krever at personen(e) er medlem av et formelt ledelsesorgan i foretaket som driver virksomheten. På den annen side må personen ha relevant kunnskap om hvitvasking etc. og beslutningsmyndighet når det gjelder eksponering for risiko. Medlemmet mener derfor at det er ledelsen i virksomheten som skal bestemme hvem som skal ha som oppgave å godkjenne virksomhetens rutiner mv. Det skal ikke være nødvendig at det er styret eller daglig leder som står for utpekingen. Siden daglig leder har ansvaret for den daglige ledelsen, vil det ofte være daglig leder selv som godkjenner rutiner mv.

Mindretallet har en annen oppfatning av fjerde hvitvaskingsdirektiv artikkel 46 nr. 4. Direktivets bruk av uttrykket «management board» skal, etter dette medlemmets syn, være å forstå som daglig leder. Begrunnelsen er kompetansefordelingen mellom styre og daglig leder i juridiske personer etter norsk rett. Medlemmet fant at det ikke var nødvendig å lovfeste noe om ansvaret for å oppfylle artikkel 46 nr. 4, fordi det følger av norsk rett hvilken person som har ansvaret.

4.6 Høringsinstansenes syn

Finans Norge er positive til den økte vektleggingen av en risikobasert tilnærming, slik loven tilrettelegger for at tiltak mot hvitvasking og terrorfinansiering tilpasses den enkelte virksomhets art og omfang.

Finans Norge mener lovforslaget § 8 første ledd bokstav a om styrets godkjenning av virksomhetens risikovurdering ikke er i samsvar med organisasjonens forståelse av fjerde hvitvaskingsdirektiv artikkel 8. Finans Norge viser også til systemet det legges opp til i forskrift 22. september 2008 nr. 1080 om risikostyring og internkontroll, der daglig leder har ansvar for å utarbeide risikovurderingen og forelegge denne for styret minst én gang i året. Finans Norge påpeker at samme problemstilling oppstår med hensyn til utarbeidelsen av rutiner, og mener det er upraktisk om styret må godkjenne alle rutiner knyttet til hvitvasking og terrorfinansiering. Finans Norge mener alminnelige selskapsrettslige regler bør gjelde for ansvars- og arbeidsfordelingen mellom styret og daglig leder, slik at styret vedtar de overordnede retningslinjene for virksomheten, og at dette bør fremgå klart av loven.

Finans Norge viser også til at organiseringen av finansforetak kan være kompleks, herunder være grensekryssende. Hvilke posisjoner eller personer som i slike tilfeller er øverste ledelse, vil kunne være vanskelige å fastslå, og sanksjonsmulighetene innebærer at begrepet øverste ledelse må avklares for å skape forutberegnelighet. Finans Norge viser særlig til norske filialer av utenlandske skadeforsikringsselskaper, der det utenlandske selskapet ikke er underlagt hvitvaskingsforpliktelser mens den norske filialen er det.

Næringslivets Hovedorganisasjon (NHO) antar at kravet om risikovurderinger vil være en stor byrde for mange rapporteringspliktige, der utarbeidelsen i stor grad vil være avhengig av nasjonale risikovurderinger. NHO mener derfor at manglende eller ufullstendige risikovurderinger fra myndighetene bør få direkte betydning for de rapporteringspliktiges ansvar for å etterleve loven.

NHO understreker at de ulike forventningene til rapporteringspliktiges risikovurderinger må komme klarere frem i proposisjonen, herunder betydningen av det ulike potensielle omfanget av hvitvasking og terrorfinansiering.

Når det gjelder forslaget om øverste ledelses ansvar, viser NHO til direktivets definisjon og påpeker at denne ikke nødvendigvis krever at rutiner og risikovurderinger godkjennes av styret og daglig leder. NHO viser til at dette gjør det tungvint å endre rutiner mv. NHO mener det avgjørende må være hva en person faktisk gjør hos rapporteringspliktig, ikke hvilken formell posisjon man har. Videre forstår ikke NHO fjerde hvitvaskingsdirektiv artikkel 46 nr. 4 slik at det må lovfestes en uttrykkelig og ubetinget plikt til å utpeke en særskilt ledelsesperson med ansvar for at det etableres og dokumenteres rutiner mv. NHO forstår direktivet slik at det kan være nødvendig å klargjøre hvilken person i virksomheten som skal ha «implementation» mv. som oppgave. NHO mener imidlertid at det følger av styringsstrukturer i norske foretak at det er daglig leder som har denne oppgaven, slik at det ikke er behov for regulering i loven.

NHO mener for øvrig at § 8 om øverste ledelses ansvar ikke synes å være utslag av en risikobasert tilnærming og derfor eventuelt bør plasseres et annet sted i loven.

Revisorforeningen mener det er uklart om de enkelte bestemmelsene i utvalgets utkast som gjelder «øverste ledelse», pålegger plikter for de enkelte styremedlemmene og daglig leder, eller om styret og daglig leder skal fatte felles beslutninger mv. Revisorforeningen mener ansvarsforholdene i rapporteringspliktige løses på en vesentlig bedre måte gjennom de alminnelige rammene som selskapsretten setter for styret og daglig leders ansvar. Foreningen peker i denne sammenhengen på bl.a. utarbeidelse av rutiner, utnevning av hvitvaskingsansvarlig, hvilke oppgaver den hvitvaskingsansvarlige skal ha og ansvarsfordelingen mellom styret og daglig leder.

Virke Inkasso understreker at dersom inkassobransjen underlegges krav om å gjennomføre risikobasert kundekontroll, må dette sees i sammenheng med formålet med inkassovirksomhet. Risikovurderingen må sees i sammenheng med kundeforholdet til kreditor. Skal risikovurderingen omfatte vurderinger av transaksjonene eller innbetalingene fra skyldner, vil opplysninger om det underliggende kundeforholdets formål og tilsiktede art innhentes fra oppdragsgiver. Dersom risikovurderingen i tillegg skal omfatte forhold ved skyldner, mener Virke Inkasso det er nødvendig med en grundigere redegjørelse fra lovgivers side, og at dette lovfestes eller fastsettes i forskrift.

Økonomiforbundet synes å støtte utvalgets forslag om en risikobasert tilnærming. Forbundet viser til det er mer formålstjenlig og vil kunne forenkle regnskapsførers arbeidsomfang med lavrisikokunder.

4.7 Departementets vurdering

4.7.1 Risikobasert tilnærming – risikobaserte kundetiltak og løpende oppfølging

Departementet foreslår en innledende bestemmelse i hvitvaskingsloven om risikobasert tilnærming, se lovforslaget § 6. Departementet deler utvalgets vurderinger av den grunnleggende betydningen risikobasert tilnærming har for gjennomføringen og etterlevelsen av hvitvaskingslovens regler, se punkt 4.5.2. Departementet viser for øvrig til at forslaget til bestemmelse om risikobaserte tiltak har fått støtte i høringen.

Departementet foreslår imidlertid at bestemmelsen avgrenses til å gjelde rapporteringspliktiges gjennomføring av hvitvaskingsloven. Departementet viser til at det følger av FATFs anbefalinger og fjerde hvitvaskingsdirektiv at myndighetene skal ha en risikobasert tilnærming til tilsynet med rapporteringspliktiges etterlevelse av hvitvaskingsregelverket. Etter departementets vurdering er det overflødig og egnet til å skape uklarhet dersom enkelte av lovens bestemmelser skal rette seg mot både private og offentlige aktører, uten at dette gjennomføres systematisk. Departementet foreslår at lovteksten presiseres til å gjelde rapporteringspliktige.

Etter departementets vurdering er det i tillegg grunn til å skille ut en egen bestemmelse om gjennomføring av kundetiltak og løpende oppfølging basert på en risikovurdering, se lovforslaget § 9. Departementet viser til fjerde hvitvaskingsdirektiv artikkel 13 nr. 2 annet punktum, nr. 3 og nr. 4, jf. anneks I. Departementet viser også til gjeldende hvitvaskingslov § 5. Departementet understreker at den risikobaserte tilnærmingen til gjennomføring av kundetiltak i utgangspunktet ikke innebærer at det må gjennomføres en særskilt risikovurdering i det enkelte tilfellet. Rapporteringspliktige kan utarbeide «risikoprofiler» som gir grunnlag for å differensiere kundetiltakene. Departementet foreslår at adgangen til bruk av risikoprofiler for kundene uttrykkelig angis i lovteksten, se lovforslaget § 9 annet ledd. Departementet viser til at det i forordning (EU) 2016/679 artikkel 22 gis særlige regler om profilering i forbindelse med behandling av personopplysninger. Behovet for klar lovhjemmel er også fremhevet av Finans Norge i høringen.

Departementet presiserer at den risikobaserte tilnærmingen til gjennomføring av kundetiltak gjelder både iverksettelsen av forsterkede og forenklede kundetiltak, og innenfor de alminnelige kundetiltakene. Alle kundetiltakene må iverksettes, men omfanget av dem kan tilpasses i det enkelte tilfellet.

Lovforslaget §§ 6 og 9 gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 13 og FATF-anbefaling 1 og 10.

4.7.2 Virksomhetsinnrettet risikovurdering

Departementet foreslår en utrykkelig bestemmelse om utarbeidelse av virksomhetsinnrettede risikovurderinger, se lovforslaget § 7. Departementet deler utvalgets vurderinger knyttet til krav om utarbeidelse av virksomhetsinnrettede risikovurderinger. Departementet vil særlig fremheve den grunnleggende betydningen den virksomhetsinnrettede risikovurderingen har for rapporteringspliktiges etterlevelse av hvitvaskingsloven i samsvar med en risikobasert tilnærming.

Departementet har gjort enkelte strukturelle endringer i lovbestemmelsen. I tillegg foreslår departementet å tilføye et uttrykkelig krav om gjennomføring av en risikovurdering før rapporteringspliktige lanserer nye produkter og tjenester, herunder nye leveringskanaler, og før ny teknologi tas i bruk, se lovforslaget § 7 tredje ledd. Departementet viser til FATF-anbefaling 15, noe også utvalget gjør i sine vurderinger, se sitatet under punkt 4.5.3. Etter departementets vurdering er det ønskelig at det ikke er tvil om at det må gjennomføres en risikovurdering før nye produkter og ny teknologi mv. lanseres eller tas i bruk. Av anbefalingen følger det også at rapporteringspliktige skal håndtere den risikoen som identifiseres ved nye produkter og tjenester og ny teknologi. Etter departementets vurdering inngår dette naturlig som del av bestemmelsen om rapporteringspliktiges utarbeidelse av rutiner på bakgrunn av virksomhetens identifiserte risiko, se lovforslaget § 8 og omtalen under punkt 4.7.3.

I høringen har NHO for det første bedt om at det gjøres en direkte kobling mellom utarbeidelsen av nasjonale risikovurderinger og forventningene til rapporteringspliktiges etterlevelse av kravet om å utarbeide en virksomhetsinnrettet risikovurdering. For det andre understreker NHO at det må stilles ulike krav til ulike rapporteringspliktige, avhengig av variasjonen mellom dem med hensyn til potensialet for hvitvasking og terrorfinansiering.

Departementet påpeker at utvalget i NOU 2016: 27 punkt 4.3.4 uttrykkelig påpeker at nasjonale risikovurderinger sitt omfang, utforming og kvalitet kan få betydning for rapporteringspliktiges muligheter til å etterleve loven. Departementet er enig med utvalget i dette. Samtidig understreker departementet at den nasjonale risikovurderingen nødvendigvis er av overordnet karakter og derfor ikke kan ventes å gi veiledning for alle rapporteringspliktige i alle situasjoner. Etter departementets vurdering vil en direkte kobling mellom den nasjonale risikovurderingen og de virksomhetsinnrettede risikovurderingene dessuten medføre risiko for at rapporteringspliktiges virksomhetsinnrettede risikovurderinger ikke utarbeides tilstrekkelig konkret og individuelt.

Når det gjelder NHOs andre forslag, om forventningene til rapporteringspliktiges risikovurderinger på bakgrunn av virksomhetenes omfang, foreslår departementet at loven uttrykkelig viser til virksomhetens omfang, se lovforslaget § 7 fjerde ledd. Departementet foreslår at lovteksten også viser til virksomhetens «art». Departementet viser til at dette følger uttrykkelig av fjerde hvitvaskingsdirektiv artikkel 8 nr. 1. I NOU 2016: 27 punkt 4.3.4 har utvalget vist til ulike rapporteringspliktige det vil være naturlig å stille ulike krav til. Etter departementets vurdering er det tilstrekkelig at lovteksten uttrykkelig viser til at rapporteringspliktiges risikovurderinger skal tilpasses virksomhetens art og omfang. Nærmere forventninger vil kunne avhenge av overnasjonale, nasjonale og sektorielle risikovurderinger.

Departementet understreker at alle rapporteringspliktige må utarbeide og dokumentere virksomhetsinnrettede risikovurderinger, se lovforslaget § 7 femte ledd. Departementet bemerker at hvitvaskingsdirektivet artikkel 8 nr. 2 åpner for at tilsynsmyndigheten kan gjøre unntak fra kravet om individuelle, dokumenterte risikovurderinger i tilfeller der de spesifikke risikoene for hvitvasking og terrorfinansiering ved sektoren er åpenbare og forståelsen av dem er god. Departementet foreslår ikke at det kan gjøres slike enkeltvise unntak. Departementet viser for det første til den endringen i lovforslaget som er nevnt rett over, altså at risikovurderingen skal tilpasses virksomhetens art og omfang. I praksis vil derfor mindre rapporteringspliktige med en virksomhet der det er lav risiko for hvitvasking og terrorfinansiering, kunne utarbeide relativt enkle risikovurderinger. I tillegg deler departementet utvalgets vurdering av at kravet om dokumenterte risikovurderinger har tilsynsmessig betydning og i større grad sikrer at rapporteringspliktige faktisk gjennomfører risikovurderinger. Departementet understreker at direktivet ikke åpner for å gjøre unntak fra kravet om å gjennomføre risikovurderinger.

Lovforslaget gjennomfører fjerde hvitvaskingsdirektiv artikkel 8 nr. 1 og 2 og deler av FATF-anbefaling 1 og FATF-anbefaling 15 for de rapporteringspliktiges del.

4.7.3 Rutiner

Departementet foreslår en bestemmelse om rapporteringspliktiges utarbeidelse av rutiner, se lovforslaget § 8. Departementet viser til utvalgets vurderinger i NOU 2016: 27 punkt 4.5.4, som departementet deler. Ingen høringsinstanser har uttalt seg om utvalgets vurderinger og forslag knyttet til kravet om utarbeidelse av rutiner. Departementet har gjort enkelte endringer i ordlyden av lovtekniske hensyn.

Departementet vil i denne sammenheng særlig understreke viktigheten av at de rapporteringspliktiges rutiner er tilpasset den identifiserte risikoen for hvitvasking og terrorfinansiering i samsvar med en risikobasert tilnærming, jf. lovforslaget §§ 6, 7 og 9. Rutinene skal være konkret og individuelt utarbeidet og tilpasset den rapporteringspliktiges virksomhet.

Etter departementets vurdering er det hensiktsmessig å fremheve betydningen av arten og omfanget av den rapporteringspliktiges virksomhet, se lovforslaget § 8 annet ledd. Dette er uttrykkelig nevnt i fjerde hvitvaskingsdirektiv artikkel 8 nr. 3. Departementet viser til sammenhengen med den virksomhetsinnrettede risikovurderingen, som også skal tilpasses virksomhetens art og omfang, se punkt 4.7.2 og lovforslaget § 7 fjerde ledd.

Departementet bemerker at utvalgets lovutkast inneholder regler om rapporteringspliktiges rutiner i både § 7 (lovforslaget § 8) og § 40 (lovforslaget § 44). Sistnevnte gjelder tilfeller der rapporteringspliktig er del av et konsern og har virksomhet i utlandet. Etter departementets vurdering er det hensiktsmessig at presiseringen av kravet til implementering av rutinene på konsernnivå fremheves allerede i den grunnleggende bestemmelsen om rapporteringspliktiges rutiner. Departementet foreslår derfor et sjette ledd om konserner, basert på utvalgets utkast til § 44 første ledd. Den øvrige delen av § 44 foreslår departementet at plasseres i kapittel 7, se punkt 8.7.5.

I høringen har Datatilsynet anført at hvitvaskingsdirektivet artikkel 45 skal sikre at rapporteringspliktige kan utveksle informasjon innad i konsern og over landegrensene, i samsvar med kravene som stilles i personopplysningsregelverket, herunder personvernforordningen som trer i kraft i 2018. Departementet presiserer at lovforslagets bestemmelse om rutiner også skal dekke behandlingen av personopplysninger siden rutinene skal beskrive rapporteringspliktiges oppfyllelse av lovens forpliktelser. Etter departementets vurdering er det likevel hensiktsmessig med en særskilt presisering av at rutinene som utarbeides på konsernnivå, skal dekke behandlingen av personopplysninger og utveksling av informasjon i konsernet med formål om å forebygge og avdekke hvitvasking og terrorfinansiering, se lovforslaget § 8 sjette ledd. Departementet bemerker at rutinene må sikre at informasjon som skal deles i henhold til lovforslaget § 31 om utveksling av opplysninger fra rapporteringspliktige, kan deles innad i konsernet. Departementet bemerker at rutinene for øvrig kan sikre deling av informasjon utover det som kreves i lovforslaget, innenfor rammene av avsløringsforbudet i § 28 og personopplysningsrettens krav til formålsbegrensning, samtykke mv.

Lovforslaget gjennomfører fjerde hvitvaskingsdirektiv artikkel 8 nr. 3 og 4 og deler av FATF-anbefaling 1 og deler av FATF-anbefaling 18 og 23.

4.7.4 Øverste ledelses ansvar

Departementet foreslår en annen løsning av spørsmålet om øverste ledelses ansvar for etterlevelsen av hvitvaskingslovens regler enn det utvalgets lovutkast legger opp til. Departementet foreslår at rapporteringspliktiges rutiner skal fastsettes på virksomhetens øverste nivå, og at det utpekes en person med særskilt ansvar for å følge opp rutinene, jf. lovforslaget § 8 fjerde og femte ledd. Dette er en videreføring av hvitvaskingsloven § 23 annet ledd.

Departementet viser til at flere høringsinstanser har hatt innvendinger til utvalgets lovutkast. Etter departementets vurdering synes høringssvarene i hovedsak å dreie seg om to ulike, men beslektede forhold – en prinsipiell innvending mot å regulere ansvarsforholdet innad i rapporteringspliktige foretak, og sammenhengen med utvalgets utkast til definisjon av «øverste ledelse».

Som nevnt i punkt 3.3.7.7, foreslår ikke departementet å definere «øverste ledelse» i hvitvaskingsloven. Departementet går derfor ikke nærmere inn på dette.

Departementet er enig med de relevante høringsinstansene i at fordelingen av ansvaret for å gjennomføre de konkrete pliktene i hvitvaskingsloven bør gjøres av rapporteringspliktige selv. Det er likevel grunn til å understreke at selskapets øverste ledelse, det vil si styret og daglig leder i alminnelige norske aksjeselskap, og tilsvarende selskapsorganer i andre foretak, vil beholde et overordnet ansvar for etterlevelsen av hvitvaskingsloven. Dette inkluderer å sørge for at det utarbeides en risikovurdering tilpasset virksomhetens art og omfang, og ansvar for at risikovurderingen dokumenteres og holdes oppdatert, jf. lovforslaget § 7. Videre inkluderer det ansvaret for at det utarbeides rutiner i virksomheten, tilpasset den identifiserte risikoen for hvitvasking og terrorfinansiering, og ansvar for at rutinene holdes oppdatert, jf. lovforslaget § 8. Departementet understreker at friheten til å organisere den interne ansvarsfordelingen i rapporteringspliktige foretak ikke i seg selv medfører at styret og daglig leder fritas for ansvar i tilfeller der det skjer brudd på hvitvaskingslovens regler som følge av mangelfull oppfølging av etterlevelsen av regelverket.

Etter departementets vurdering er det relevant at gjeldende hvitvaskingslov § 23 annet ledd stiller krav om rapporteringspliktiges rutiner «skal være fastsatt på øverste nivå». Departementet ser ikke grunn til å endre gjeldende rett på dette punktet, og foreslår derfor at loven stiller krav om at rapporteringspliktiges rutiner skal være fastsatt på øverste nivå i den rapporteringspliktige.

Finans Norge har reist spørsmål ved hvem det er i filialer av utenlandske rapporteringspliktige som har ansvar for fastsetting av rutiner. Departementet legger til grunn at dette ikke er en problemstilling når departementet ikke foreslår å definere «øverste ledelse» som styret og daglig leder.

Departementet foreslår videre at hvitvaskingsloven § 23 annet leddd om utpeking av en person i rapporteringspliktiges ledelse med særskilt ansvar for å følge opp rutinene, videreføres. Samlet sett innebærer det at departementet foreslår å erstatte utvalgets utkast med en videreføring av gjeldende hvitvaskingslov § 23 annet ledd.

Departementet presiserer at kravene til internkontroll, jf. lovforslaget § 35, kan innebære at det i tillegg må utnevnes en etterlevelsesansvarlig. Departementet viser til punkt 8.7.1.

Om adgangen til å sanksjonere fysiske personer for brudd på hvitvaskingsloven viser departementet til punkt 10.7.3.

Lovforslaget gjennomfører deler av fjerde hvitvaskingsdirektiv artikkel 8 nr. 4 og nr. 5 og artikkel 46 og FATF-anbefaling 18.

Til forsiden