Compliance-kultur sikrer etterlevelse av hvitvaskingsloven

Vår erfaring viser at det å utvikle en kultur for etterlevelse (compliance – kultur) i virksomheten, sikrer god etterlevelse av hvitvaskingsloven. I dette innlegget deler vi noen av våre erfaringer fra tiltak som sikrer god og trygg etterlevelse av hvitvaskingsloven.

Hvitvaskingsloven stiller omfattende krav til de rapporteringspliktige

Hvitvaskingsloven er basert på EUs fjerde, og delvis femte, hvitvaskingsdirektiv. Samtidig med lovendringen i 2018, rustet Finanstilsynet kraftig opp for å kontrollere etterlevelsen blant rapporteringspliktige. Mange rapporteringspliktige foretak har opplevd dokumentbaserte tilsyn, stedlig tilsyn, endringer i krav, oppdaterte veiledere fra tilsynsmyndigheten, pålegg og administrative sanksjoner. Det er mange eksempler på at Finanstilsynet benytter adgangen til å gi administrative sanksjoner etter hvitvaskingsloven. Det er liten tvil om at myndighetene har høye forventninger til at rapporteringspliktige foretak skal forhindre at de misbrukes til hvitvasking og terrorfinansiering.

Compliance-kultur

Det er tydelige krav til internkontroll for rapporteringspliktige i hvitvaskingsloven. Kravene til hvilke dokumenter som skal inngå i rammeverket for å forhindre hvitvasking og terrorfinansiering fremgår av lov, forskrift og veiledere. Rammeverket er likevel utilstrekkelig for å sikre etterlevelse av kravene som fremgår av hvitvaskingsloven. Det stilles også krav til at ansatte har kunnskap om hva de skal gjøre og hvorfor. Ledelsen må derfor sørge for at ansatte får nødvendig opplæring. Dessuten må de ansatte forstå hvorfor det stilles krav om kundetiltak, undersøkelsesplikt og rapporteringsplikt. De må være motivert til å følge regelverket og bli oppmuntret til å gjøre de riktige undersøkelsene, vurderingene og beslutningene.

Vår erfaring er at de virksomhetene som lykkes med å etterleve hvitvaskingsloven er de som har klart å utvikle en etterlevelseskultur (compliance – kultur). Dette er virksomheter som kjenner de relevante truslene sm gjelder for egen virksomhet og som er klar over hvilke sårbarheter de selv har. De identifiserer stadige forbedringstiltak for å håndtere risiko og tar raske og riktige beslutninger. Samtidig som de har god kontroll og god oversikt over relevante og skiftende risikofaktorer. I motsetning til de som baserer sine beslutninger på hva de tror og tar feil av regulatoriske risikofaktorer, har foretak med en god etterlevelses kultur, også kontroll med den regulatoriske risikoen. Foretak med god compliance – kultur er også i stand til å identifisere og avvise eller avvikle kundeforholdet med kunder som misbruker kundeforholdet til hvitvaskingsformål eller terrorfinansiering.

Et fellestrekk ved de som har god compliance – kultur er at styret er svært opptatt av risikoen for manglende etterlevelse av hvitvaskingsloven. Derfor etterspør styret regelmessig rapporter og muntlige presentasjoner i styremøter fra både hvitvaskingsansvarlig og compliance – ansvarlig (andrelinje kontrollen). Styrets oppmerksomhet om avvik og stadig forbedringstiltak, påvirker også den administrative ledelsen og deres oppmerksomhet om etterlevelsen.

Vi har erfart at enkelte av de virksomhetene som lykkes med å utvikle etterlevelses – kultur, gjennomfører kvalitetskontroll av medarbeideres etterlevelse av rutiner og prosedyrer. De gjennomfører kvalitetskontroll av hvordan medarbeidere etablerer kundeforhold for å påse at alt er gjort korrekt ved første gangs etablering av kundeforhold. Feil og mangler blir fanget opp av de ansattes nærmeste ledere, eller gjennom kvalitetskontroller. På denne måten får medarbeidere konkrete tilbakemeldinger om hvilke oppgaver som skal løses og hva den enkelte må forbedre. Når ansatte forstår hva de blir målt etter og vet at ledere følger med på hvordan de utfører sine arbeidsoppgaver, skjer det også noe med deres egen oppmerksomhet om hvilke krav og forventninger som stilles til dem.

Et annet trekk ved de som har god compliance – kultur er måten virksomheten er organisert på. De ansatte forstår at personen som er nærmest kunden har ansvaret for å gjennomføre kundetiltakene. De forstår at hvitvaskingsansvarlig ikke er der for å gjøre deres jobb i førstelinje, men for å ivareta andre krevende oppgaver etter hvitvaskingsloven. De forstår hvilke oppgaver andrelinjen (compliance – ansvarlig) har. Compliance rollen tar selv ikke del i utarbeidelsen av risikovurderingen, hvitvaskingspolicyen, hvitvaskingsrutinen, undersøkelser av mistenkelige forhold eller beslutter hvilke saker som skal rapporteres til ØKOKRIM (EFE). Personer i første- og andre linje vet hvem som gjør hva og er godt kjent med hvordan grenseoppgangen er mellom de ulike rollene i organiseringen av arbeidet etter hvitvaskingsloven. Det sikrer blant annet at ikke compliance ansvarlig kontrollerer seg selv. God organisering som er kjent for alle, sikrer god etterlevelse av hvitvaskingsloven.

Den kontinuerlige motiveringen og opplæringen av ledere og ansatte er godt synlig i en virksomhet med god compliance – kultur. Den kontinuerlige og oppdaterte opplæringen foregår gjennom flere ulike møtepunkter og ved bruk av tekniske løsninger som sikrer at oppnådd kunnskap måles.