Tjek på risikovurderingerne

I perioden februar 2019 til februar 2020 offentliggjorde Finanstilsynet 45 tilsynsvurderinger, hvoraf halvdelen førte til påbud vedrørende risikovurderingen. 20 af disse virksomheder har fået påbud om at revidere deres risikovurderinger, idet de ikke blev fundet tilstrækkelige af Finanstilsynet, hvoraf tre virksomheder ikke havde udarbejdet en risikovurdering. Finanstilsynet undersøgte i tredje kvartal af 2019 yderligere 15 virksomheder særskilt for deres risikovurderinger, hvor ligeledes knap halvdelen fik påbud om at revidere deres risikovurderinger, og flere af virksomhederne blev gjort opmærksomme på mangler i risikovurderingerne.

Finanstilsynets fokus på risikovurderinger i den senere tid viser tydeligt, at virksomhederne oplever en række udfordringer i forbindelse med udformning af tilfredsstillende risikovurderinger.

Denne artikel dykker nærmere ned i risikovurderinger med henblik på identifikation og vurdering af den iboende risiko for misbrug til hvidvask og terrorfinansiering.

De iboende risici er de risici, der naturligt medfølger af virksomhedens operationelle forretning og afhænger af virksomhedens forretningsmodel, såsom produkter, kundetyper eller markeder. De risikomitigerende foranstaltninger er dem, som virksomheden kan foretage sig for at mindske eksponeringen af de iboende risici.

Det er på baggrund af virksomhedens risikovurdering, at der kan træffes beslutninger om indretning og styring med henblik på at reducere den iboende risiko for misbrug til hvidvask og terrorfinansiering. Risikovurderingen er grundlaget for udarbejdelse af virksomhedens hvidvaskpolitik, og en utilstrækkelig risikovurdering vil medføre en hvidvaskpolitik, som er udarbejdet på et mangelfuldt grundlag. 

I risikovurderingen tages der ikke højde for risikomitigerende foranstaltninger, da disse risici skal beskrives og vurderes i sig selv. Risikomitigerende tiltag såsom kundekendskabsprocedurer indgår i virksomhedens skriftlige politikker og procedurer, som også er dikteret under hvidvaskloven. Overordnet set består risikovurderingen af to dele; identifikation og vurdering af risiciene.

Identifikationsdelen skal indeholde alle virksomhedens risikofaktorer, der findes på baggrund af virksomhedens forretningsmodel og omfatte risikofaktorer knyttet til kunder, produkter, tjenesteydelser, transaktioner samt leveringskanaler og geografiske områder, hvor foreningsaktiviteter udøves. Virksomhedens forretningsmodel skal analyseres grundigt for at sikre en fuldstændig identifikation af de iboende risici. EU-Kommisionens og Danmarks nationale risikovurdering skal desuden indgå i virksomhedens egen. Hvor det er relevant, kan man desuden inddrage eventuelt udsendte risikovurderinger fra Finanstilsynet, trusselsvurderinger og information fra FATF samt egne interne erfaringer.

I vurderingsdelen af risikovurderingen, skal de identificerede ricisi vurderes. Dette kan eksempelvis gøres ved at vægte de enkelte risikofaktorer. En risikovurdering behøver ikke nødvendigvis at være kompleks, men den skal omfatte alle områder af virksomhedens forretningsmodel med en afdækning og vurdering  af samtlige risici.

Desuden skal risikovurderingen være underbygget med relevant data, herunder medregnes de nationalt udsendte risikovurderinger mv. Risikovurderingen skal revurderes minimum en gang om året medmindre der sker væsentlige ændringer i risikoforholdene.

Er risikovurdering virkelig så vigtigt?

Risikovurderingen er altafgørende for din evne til at identificere de relevante risici og dermed undgå hvidvask eller terrorfinansiering.

Med en utilstrækkelig risikovurdering, risikerer virksomheden at have forkerte eller mangelfulde mitigationsforanstaltninger. For hvordan skal man reducere risici, som man ikke er bekendt med? Det svarer lidt til at lukke øjnene for risikoen og så tro på, at den forsvinder af sig selv. Selvom det kan være tilfældet, at en uidentificeret risiko ikke resulterer i et misbrug af virksomheden til enten hvidvask eller terrorisme, så er dette et risikabelt spil, som Finanstilsynet med god grund ikke tillader.

Risikoen for at virksomheden bliver misbrugt til hvidvask eller terrorfinansiering er overhængende, og det samme er risikoen for at modtage et påbud fra Finanstilsynet for en utilstrækkelig risikovurdering.

Det bemærkes, at overtrædelse af forpligtelsen til at udarbejde en tilstrækkelig risikovurdering er strafbelagt med bøde i hvidvasklovgivningen. Størrelsen på bøden udmåles på baggrund af virksomhedens nettoomsætning på tidspunktet for overtrædelsen.

PwC anbefaler, at du vurderer, om der er behov for at opdatere din virksomheds risikovurdering og er parat til at tage en dialog om, hvordan det øgede fokus på virksomhedens risikovurdering sætter større krav til din organisation, og hvordan disse krav kan imødekommes hurtigt og effektivt.