Compliance

Sådan udarbejder du din virksomheds risikovurdering

For at efterleve hvidvaskloven er kundekendskab alene ikke nok. Du skal eksempelvis også udarbejde en risikovurdering - sådan kommer du i gang.


Hvis du er underlagt hvidvaskloven, skal du lave en risikovurdering, som afdækker hvor din virksomhed er udsat for at blive misbrugt til hvidvask og terrorfinansiering. Det er udgangspunktet for udarbejdelsen af din virksomheds forretningsgange og politikker, så du effektivt kan forebygge og bekæmpe svindel. 

I din risikovurdering skal du tage stilling til den iboende risiko for at blive misbrugt til svindel – det betyder, at det er den risiko som er udgangspunktet for din virksomhed, inden du har etableret politikker og forretningsgange for at nedsætte risikoen. En fyldestgørende risikovurdering er omfattende at udarbejde, og den skal bl.a. indeholde følgende elementer:

  • Beskrivelse af virksomhedens forretningsmodel: Det indebærer beskrivelse af kundetyper, produkter og tjenesteydelser, leveringskanaler og de geografiske områder, hvor de opererer.
  • Identificering og vurdering af risikofaktorer: En analyse og vurdering af risici forbundet med de elementer, man beskriver i sin forretningsmodel.
  • Sammenfattende vurdering: Den endelige vurdering af virksomhedens iboende risiko.

Du kan se en dybdegående guide til udarbejdelsen af din risikovurdering på Erhvervsstyrelsens hjemmeside, men vi har her samlet en kort gennemgang af de tre elementer, der udgør din risikovurdering. 

Trin 1: Beskrivelse af virksomhedens forretningsmodel

Første skridt i udarbejdelsen af din virksomheds risikovurdering er at lave en præcis og detaljeret beskrivelse af din forretningsmodel. Denne beskrivelse skal omfatte:

  • Kundetyper: Identificer hvilke kundetyper virksomheden servicerer. Husk at inddrage faktorer såsom kundernes branche, størrelse, ejerstruktur og geografisk placering. Man kan eksempelvis se at kunder fra lande med høj risiko for hvidvask eller terrorfinansiering, vil øge din virksomheds risiko.
  • Produkter og tjenesteydelser: Beskriv de produkter og tjenester, som din virksomhed tilbyder. Nogle produkter kan nemlig være mere attraktive for hvidvaskere end andre – eksempelvis finansielle tjenester, som involverer store pengetransaktioner.
  • Leveringskanaler: Analyser hvordan din virksomhed leverer sine produkter eller tjenester. For eksempel kan digitale eller anonyme leveringskanaler øge risikoen for misbrug.
  • Geografiske områder: Overvej hvilke lande og regioner din virksomhed opererer i eller har kunder fra. Nogle geografiske områder er mere risikable end andre, især hvis de er kendt for korruption eller har svage lovgivningsmæssige rammer.

Ved at skabe et klart billede af de forskellige faktorer af din forretningsmodel kan du identificere, hvor din virksomhed er mest udsat for risici. Det er vigtigt at du er grundig i din beskrivelse og at du tager udgangspunkt i dine eksisterende forretningsforhold. 

Trin 2: Identificering og vurdering af risikofaktorer

Efter du har udarbejdet en udførlig beskrivelse af din virksomheds forretningsmodel, er du i stand til at identificere potentielle risikofaktorer og vurdere deres omfang. En grundig vurdering af risikofaktorer er nemlig essentiel for at kunne tage de rigtige forholdsregler og reducere risikoen for misbrug. I næste trin af din risikovurdering, skal du derfor analysere risici i din virksomheds forretningsmodel. 

  • Identificer risikofaktorer: Tag udgangspunkt i de elementer, du undersøger i udarbejdelsen af din virksomheds forretningsmodel. Vurder, om der er specifikke forhold ved dine kunder, produkter, leveringskanaler eller geografiske områder, der kan gøre dem mere risikofyldte.
  • Vurder risikoens omfang: Overvej, hvor sandsynligt det er, at din virksomhed kan blive misbrugt til hvidvask eller terrorfinansiering gennem de risikofaktorer, du har identificeret. Det indebærer både en vurdering af trusler – hvor sandsynligt det er, at noget vil ske – og sårbarheder – hvor modtagelig din virksomhed er over for disse trusler.
  • Kategoriser risikoen: Del de forskellige risici op i kategorier – eksempelvis lav, middel eller høj risiko. Det hjælper dig til at prioritere, hvilke områder der kræver mest opmærksomhed fra dig fremadrettet.

Du skal inddrage din egen viden og erfaring fra indsamlet data og kundekendskab, og samtidig dokumentere din vurdering ved inddragelse af relevante kilder – eksempelvis EU-rapporter eller Hvidvaskloven. Du har selv ansvaret for at finde de kilder der er relevante for din virksomhed og inddrage dem på en måde hvor din dokumentation er fyldestgørende. 

Trin 3: Sammenfattende vurdering

Når du har analyseret og vurderet risiciene, er det tid til at sammenfatte dine fund og konkludere på de risici, du har identificeret. Du skal først vurdere om der er risikofaktorer, der påvirker hinanden. Det kan være i tilfælde, hvor du har en kundetype der umiddelbart er forbundet med høj risiko - hvis reelle ejere eksempelvis er bosiddende i udlandet - men din forretningsmodel betyder at du møder alle dine kunder fysisk, som så vil begrænse risikoen ved at have kundetyper af den slags. 

Derefter skal du tilbage til listen fra trin 1 og konkludere hvor din virksomhed er i risiko for at blive misbrugt til hvidvask og svindel. Det drejer sig om: 

  • Dine kundetyper
  • Dine produkter og tjenesteydelser
  • De leveringskanaler du bruger
  • De geografiske områder, din virksomhed opererer i

Du skal ikke lave en samlet konklusion vedrørende de ovenstående punkter, men skal i stedet forholde dig til risikoen for hvert af punkterne. Du konkluderer risikoen med afsæt i den viden du har samlet i trin 1 og trin 2, og laver din risikovurdering ud fra din samlede viden om din virksomheds virke.

Når du har udarbejdet risikovurderingen, vil du have et overblik over de steder, din virksomhed er udsat for at blive misbrugt til terrorfinansiering og hvidvask. Det giver dig indsigt i de områder du skal være opmærksom på og guider din virksomheds politikker og procedurer, så de effektivt kan forebygge og bekæmpe potentiel svindel.

Husk at opdatere din risikovurdering

En risikovurdering skal ændre sig i takt med din virksomhed, da den til enhver tid skal afspejle virksomhedens profil. Derfor skal man som udgangspunkt huske at opdatere sin risikovurdering en gang om året. Men skal ligeledes genbesøge sin risikovurdering, hvis der sker ændringer i forretningsmodellen – eksempelvis ved introduktion af nye kundetyper eller nye ydelser.

Der er rigeligt at tage hånd om ved udarbejdelsen af en risikovurdering, og vi har hjulpet mange af vores kunder igennem processen med vores Consultancy Services. Hvis du ikke selv vil give dig i kast med din risikovurdering, kan du altid række ud til os og høre hvordan vi kan hjælpe dig med opgaven.  

Ellers ønsker vi dig god fornøjelse med udarbejdelsen, som er en vigtig del af vores samlede indsats i bekæmpelsen af hvidvask og terrorfinansiering.

 

Lignende indlæg