Et tilsynsbesøg er en kontrol af virksomheders evne til at leve op til hvidvasklovens regler og forpligtelser. Får din virksomhed et tilsynsbesøg, skal du forvente at din viden og indsigt inden for hvidvaskloven er afgørende for, hvordan besøget udfolder sig. Intet tilsyn er det samme, men tilsynsreaktionerne tegner et billede af de områder der ofte er mangelfulde, og som du bør være ekstra opmærksom på.
Mangelfuld risikovurdering
På tværs af næsten samtlige virksomheder, der har været udtaget til tilsyn i 2024, har risikovurderingen ikke været tilstrækkelig. Det drejer sig om den risikovurdering, man skal lave i henhold til §7 i hvidvasklovgivningen, som mange ikke udfører fyldestgørende eller rettidigt. En tilstrækkelig risikovurdering indebærer bl.a. at man identificerer risici ved at analysere:
For hver af sine kundetyper skal man både vurdere sandsynligheden for og konsekvenserne af hvidvaskaktiviteter. Risikovurderingen skal desuden dokumenteres skriftligt og opdateres regelmæssigt, så den altid stemmer overens med ændringer i kundesammensætning, lovgivning eller ændringer i virksomhedens struktur.
Utilstrækkelige kundekendskabsprocedurer
Der er også mange tilfælde af virksomheder, som ikke har en tilstrækkelig proces omkring deres kundekendskab, hvilket er afgørende for at forebygge hvidvask og terrorfinansiering. Kundekendskab består af mange forskellige dele, og her blot nogle af de ting som der er blevet givet påtaler og påbud for:
Mængden af påtaler for utilstrækkelige kundekendskabsprocedurer understreger den store detaljegrad der forventes. Man skal både indhente, validere, vurdere og opdatere al dokumentation for sine kundeforhold, for at være helt compliant i dette forhold.
Manglende kontrol af Politisk Eksponerede Personer (PEP)
Flere virksomheder har fået påbud eller påtaler for ikke at kontrollere, om deres kunder eller kundernes reelle ejere er politisk eksponerede personer (PEP). Faktisk dækker denne kontrol ikke kun kunden selv, men også om kunden er nærtstående eller nær samarbejdspartner til en politisk eksponeret person, hvilket gør denne kontrol meget omfattende. Kontrollen af dette skal desuden dokumenteres – ligesom alt andet skal – og ligeledes skal der foreligge forretningsgange for hvordan man kontrollerer det.
Man kan dele PEP-tjekket ind i tre overordnede steps:
Utilstrækkelig overvågning og dokumentation
Virksomheder, som er underlagt hvidvaskloven, skal sørge for at der er etableret en fyldestgørende overvågning af kundeforhold og at overvågningen dokumenteres i en tilstrækkelig grad. Flere virksomheder har ikke udført løbende overvågning af deres kundeforhold eller dokumenteret kontroltiltagene tilstrækkeligt. Således er der både givet påbud om at etablere fyldestgørende løbende overvågning og påtaler for ikke at have den nødvendige dokumentation i orden.
For at komme helt i mål med dette punkt skal man starte med at implementere nogle gode processer omkring overvågning – eksempelvis med automatiske systemløsninger. Derefter skal man sørge for en god intern praksis, hvor alle medarbejdere kan udføre grundig dokumentation af al kontrol og overvågning.
Er du klar, hvis tilsynet kalder?
Der er mange flere punkter i de forskellige afgørelser, som alle understreger den store detaljegrad, der kræves for at leve op til hvidvasklovens regler og forpligtelser – du kan selv dykke ned i alle afgørelserne på Erhvervsstyrelsens hjemmeside.
De helt store gengangere i tilsynsreaktionerne er som nævnt risikovurdering og kundekendskabsprocedurer, som mange virksomheder ikke har fået udviklet i en tilstrækkelig grad. Det vil, under alle omstændigheder, altså være et rigtig godt sted for dig at starte, hvis du gerne vil tjekke din virksomheds evne til at efterleve hvidvaskloven efter i sømmene.