Hvis du er underlagt hvidvaskloven, skal du udarbejde dokumenter der beskriver de interne politikker, procedurer og kontroller du har etableret, for effektivt at bekæmpe at din virksomhed misbruges til hvidvask eller terrorfinansiering.
Hvidvasklovens §8 stiller krav om, at du tager stilling til din virksomheds iboende risiko. Derfra skal du udarbejde passende forebyggende og begrænsende instanser, så du bedst kan styre risici relateret til hvidvask og svindel.
Du kan se en dybdegående guide til udarbejdelsen af din §8 dokumentpakke på Erhvervsstyrelsens hjemmeside. Her har vi samlet en kort gennemgang af de vigtigste elementer, du skal huske.
Hvor skal du starte?
Du skal først sørge for at have udarbejdet din virksomheds risikovurdering, i henhold til §7. Her danner du et overblik over din iboende risiko og definerer hvor du er mest sårbar for svigagtige aktiviteter. Med udgangspunkt i dette, kan du tage stilling til hvordan du bedst nedbringer din virksomheds risici.
Hvis du har brug for en guide til udarbejdelsen af din risikovurdering, har vi også en guide om netop det emne, lige her. Med risikovurderingen på plads, kan du gå i gang med din §8 dokumentpakke, som i hovedtræk skal bestå af:
- Politikker: Overordnede principper, der adresserer virksomhedens risici og fastlægger strategien for at minimere dem.
- Forretningsgange: Detaljerede arbejdsgange, der omsætter politikkerne til praksis, såsom procedurer for kundekendskab og risikovurdering.
- Kontroller: Mekanismer til at sikre, at politikker og procedurer overholdes, f.eks. stikprøvekontrol og overvågning.
Politikker – tag stilling til risici
Dine politikker skal være baseret på risikovurderingen og fastlægge, hvilke risici virksomheden er villig til at acceptere, samt hvordan risici håndteres. Det kan eksempelvis være hvilke aktiviteter, kundetyper eller geografiske områder, der skal undgås. Ligeledes kan du beslutte ikke at acceptere kunder fra højrisikolande eller undlade at levere specifikke ydelser med høj misbrugsrisiko.
Politikkerne skal også omhandle risikostyring, som omhandler hvordan risici løbende overvåges og styres. Det indebærer en beskrivelse af hvordan de identificeres og efterfølgende håndteres, samt hvem der har ansvaret for hvidvaskområdet i din virksomhed.
Forretningsgange – hellere dokumentere for meget, end for lidt
Detaljegraden i dine forretningsgange er vigtig, da det omsætter dine beskrevne politikker til praksis og går i dybden med din forebyggelse af hvidvask og terrorfinansiering. Målet med dine forretningsgange er, at du etablerer en effektiv forebyggelse og at du gør det i overensstemmelse med hvidvaskloven.
Dette er en omstændelig del af processen, og du skal vidt omkring dine forretningsgange. Du skal afdække følgende områder:
- Risikostyring
- Kundekendskabsprocedure
- Undersøgelses- og noteringspligt
- Underretningspligt
- Opbevaringspligt
- Screening af medarbejdere
Hvert punkt skal gennemgås i detaljer, hvor du beskriver hvordan dine forretningsgange dækker alt ind i forhold til efterlevelse af hvidvaskloven.
1. Risikostyring
Beskriv hvordan nye risici løbende identificeres, vurderes og håndteres. Det kan eksempelvis omhandle specifikt hvordan ændringer i risikobilledet opdages, samt hvorledes der reageres og hvordan ny risici arbejdes ind i praksis.
Du kan også være i en situation hvor din risikovurdering ændres – eksempelvis i forbindelse med udvidet kundeportefølje. Netop derfor skal du etablere en tydelig risikostyring, som sikrer, at du rettidigt opdager og reagerer på ny risici.
2. Kundekendskabsprocedure
Ved at vide hvem din kunde er og hvad de skal bruge dine ydelser til, forebygger du misbrug af din virksomhed. Du skal etablere processer for kundekendskab og beskrive dem i dine forretningsgange.
Kundekendskab kommer vidt omkring, så der er mange processer du skal beskrive. Du kan eksempelvis starte med at beskrive hvornår du skal gennemføre en kundekendskabsprocedure. Det kan være når det er aftalt at du skal levere en ydelse, eller kundens omstændigheder ændrer sig, eller hvis du er i tvivl om tidligere indhentet information.
Derefter kan du beskrive hvordan din virksomhed sikrer korrekt ID, hvordan du vurderer din kundes formål og tilsigtede beskaffenhed, samt hvordan du løbende overvåger dine kunder og ajourfører deres oplysninger.
3. Undersøgelses- og noteringspligt
Du skal iværksætte en undersøgelse ved usædvanlige transaktioner eller aktiviteter, og notere, hvad du kommer frem til. Det er din undersøgelses- og noteringspligt, som du skal beskrive i dine forretningsgange.
Du kan bl.a. beskrive hvornår du har pligt til at undersøge en kunde, samt hvordan du identificerer usædvanlig aktivitet. Ligeledes skal du beskrive hvornår du har pligt til at notere og hvilke oplysninger notatet skal indeholde, samt hvad notatets format er og hvor det gemmes.
En god tommelfingerregel til hvilke oplysninger du skal inkludere i noteringspligten er, at notater skal være så tydelige og klare at de, til enhver tid, kan genopfriske din egen hukommelse og forstås af andre i virksomheden.
4. Underretningspligt
Du har pligt til at underrette Hvidvasksekretariatet, hvis du bliver opmærksom på aktiviteter, der kan have tilknytning til hvidvask eller terrorfinansiering. I dine forretningsgange skal du beskrive denne underretningspligt og hvordan du arbejder med den.
Beskriv hvornår og hvordan du skal indberette Husk at inddrage din risikovurdering i dette og beskriv hvordan det konkret ser ud for dig, hvis dine ydelser misbruges.
5. Opbevaringspligt
Du skal beskrive hvordan du efterlever din opbevaringspligt ved bl.a. at detaljere hvilke oplysninger du har pligt til at opbevare og hvor du opbevarer dem.
Det drejer sig eksempelvis om dokumentation i forbindelse med kundekendskab eller undersøgelser du har foretaget. Du skal også angive hvornår og hvordan der slettes personoplysninger, samt hvem der gør det.
6. Screening af medarbejdere
Du skal forebygge at dine medarbejdere misbruger deres stilling, eller kommer til at medvirke til hvidvask eller terrorfinansiering. Du forebygger dette ved at tjekke at medarbejdere ikke er dømt for strafbare forhold. Derudover skal du sikre at medarbejdere bliver undervist i hvidvasklovens regler og pligter, så de kan varetage deres opgaver forsvarligt.
I dine forretningsgange skal du beskrive hvordan du tjekker for evt. strafbare forhold, samt hvordan du sikrer, at de er tilstrækkeligt informeret om efterlevelse af regler og pligter i hvidvaskloven – dette kan eksempelvis være ved hjælp af regelmæssig undervisning og træning.
Kontroller - sørg for efterlevelse af dine forretningsgange og politikker
Det er afgørende for efterlevelse af hvidvaskloven, at der føres kontrol med at din virksomhed overholder hvad der er beskrevet i forretningsgange og politikker. Den interne kontrol skal udføres med faste intervaller, hvor der typisk anvendes stikprøver til at kontrollere de områder vi netop har gennemgået: risikostyring, kundekendskabsprocedurer, samt undersøgelses-, noterings-, og underretningspligt, samt opbevaring af oplysninger og screening af medarbejdere.
Du skal også kontrollere at der bliver ført kontrol på de nævnte områder og at kontrollerne er passende. Disse "kontrol kontroller" skal være dokumenterede, for at kunne godkendes til revision og der skal være uafhængighed mellem den, der udfører kontrollen, og den, der kontrolleres – i små virksomheder kan ejeren dog selv stå for dette. Antallet og hyppigheden af stikprøver afhænger af din virksomhedens risikoniveau og størrelse.
I dine forretningsgange skal du altså både beskrive hvordan du kontrollerer overholdelse af din virksomheds forretningsgange og politikker, samt hvordan du sørger for at kontrollerne kontrolleres. Sørg for at inkludere, hvad der skal kontrolleres, hvornår det gøres, hvem der udfører kontrollerne, og hvordan dokumentationen håndteres.
Opdatering af materiale
Nu er du ved vejs ende i udarbejdelsen af dine forretningsgange og politikker, men det er en kontinuerlig proces, som du skal følge op på med jævne mellemrum.
Du skal nemlig sørge for at opdatere dine forretningsgange, politikker og kontroller. Det gør du eksempelvis, hvis der sker ændringer i din forretningsmodel eller dit kundeportefølje. Det kan også ske, at der kommer en ny national risikovurdering, som du skal indarbejde i dine processer, eller at I ganske enkelt ændrer måde hvorpå I, rent praktisk, løser opgaver i virksomheden.
Husk at dine §8 dokumenter altid skal afspejle hvordan I praktisk arbejder med at forebygge hvidvask og terrorfinansiering. Er der ændringer i nogle aspekter der vedrører jeres arbejdsgange, så skal dine forretningsgange opdateres og være retvisende i forhold til jeres egentlige praksis.
Der er hjælp at hente!
Der er rigeligt at tage hånd om ved udarbejdelsen af dine forretningsgange og politikker! Vi har hjulpet mange af vores kunder igennem processen med vores Consultancy Services. Her får du personlig rådgivning om din risikovurdering, forretningsange og politikker, og får endeligt udarbejdet en komplet dokumentpakke.
Hvis du ikke selv vil give dig i kast med at udvikle din §8 dokumentpakke, kan du altså række ud til os og høre hvordan vi hjælper dig med opgaven. Ellers ønsker vi dig god fornøjelse med udarbejdelsen, som er en vigtig del af vores samlede indsats i bekæmpelsen af hvidvask og terrorfinansiering.