Hvidvaskloven § 7

§ 25 i den gældende hvidvasklov indeholder krav om udarbejdelse af tilstrækkelige interne skriftlige regler om risikovurdering, samt at visse virksomheder og personer skal udpege en person på ledelsesniveau, der skal sikre, at virksomheden eller personen overholder loven. Det skal sikres, at den udpegede ledelsesperson har adgang til kundeoplysninger og andre relevante oplysninger for at sikre, at virksomheder og personer overholder pligterne efter den nugældende lov. Finanstilsynet og Erhvervsstyrelsen kan fastsætte nærmere regler om kravene om udarbejdelse af tilstrækkelige interne skriftlige regler om risikovurdering.

Tilsvarende findes der for udbydere af landbaserede kasinoer og onlinekasino krav om udarbejdelse af procedurer for risikovurdering i henholdsvis § 53 i bekendtgørelsen om landbaserede kasinoer og § 34 i bekendtgørelsen om onlinekasino.

Den foreslåede § 7 indeholder krav om, at virksomheder og personer omfattet af lovforslaget skal identificere og vurdere risikoen for, at virksomheden eller personen kan blive misbrugt til hvidvask eller finansiering af terrorisme. Vurderingen skal foretages med udgangspunkt i virksomhedens eller personens forretningsmodel. Lovforslagets § 7 fastsætter endvidere, at den daglige ledelse i virksomheder, som er omfattet af § 1, stk. 1, nr. 1-13 og 19, skal udpege en ansat eller et medlem af den daglige ledelse, der har fuldmagt til at træffe beslutninger på vegne af virksomheden. Endelig fastsættes det, at erhvervs- og vækstministeren og skatteministeren inden for deres respektive ressortområder kan fastsætte regler om undtagelser fra kravene.

Kravet om udarbejdelse af risikovurdering er udbygget i forhold til den gældende hvidvasklov, hvoraf det af § 25, stk. 1, for så vidt angår risikovurdering alene følger, at visse virksomheder og personer skal udarbejde tilstrækkelige skriftlige interne regler om risikovurdering. Det følger af lovforslaget i lighed med den gældende hvidvasklov, at visse virksomheder skal udpege en person, som skal sikre, at virksomheden overholder pligterne efter loven, regler udstedt i medfør heraf m.v. Som noget nyt foreslås, at personen kan være en ansat, at personen skal have fuldmagt, samt at personen skal have tilstrækkeligt kendskab til virksomhedens risiko for hvidvask og terrorfinansiering til at kunne træffe beslutninger, der kan påvirke virksomhedens risikoeksponering i forhold til gældende hvidvasklov. Der videreføres ikke en særlig bestemmelse om, at personen skal have adgang til kundeoplysninger m.v., da dette nu følger af de nye krav om fuldmagt og kendskab til risiko for hvidvask og terrorfinansiering for at kunne træffe beslutninger. Det foreslås endvidere som noget nyt, at erhvervs- og vækstministeren og skatteministeren inden for deres respektive ressortområder kan fastsætte regler om undtagelser fra kravene i den foreslåede bestemmelse. Der henvises til afsnit 3.4.3. i de almindelige bemærkninger.

Den foreslåede bestemmelse gennemfører artikel 3, nr. 12, og artikel 8, stk. 1 og 2, i 4. hvidvaskdirektiv.

Det foreslås i stk. 1, 1. pkt., at virksomheder og personer omfattet af loven skal identificere og vurdere risikoen for, at virksomheden eller personen kan blive misbrugt til hvidvask eller finansiering af terrorisme. Med risiko menes den iboende risiko for, at virksomheder og personer kan blive misbrugt til hvidvask og finansiering af terrorisme. Det vil sige, at vurderingen af risikoen skal foretages uden hensyntagen til de risikobegrænsende foranstaltninger, som virksomheder og personer har iværksat i henhold til denne lov, hvilket vil sige, at det f.eks. ikke kan inddrages i risikovurderingen, at der foretages kundekendskabsprocedurer. Sådanne foranstaltninger vil derimod skulle følge af de skriftlige politikker, procedurer og kontroller, som følger af forslaget til § 8, stk. 1.

En risikovurdering indeholder to elementer - identifikation af risikofaktorer og vurdering af risikofaktorer. Formålet med risikovurderingen er, at virksomheder og personer skal forstå, hvor og i hvilket omfang de er udsat for at blive misbrugt til hvidvask eller finansiering af terrorisme.

Ved ”identificere” forstås, at en virksomhed eller person skal identificere alle risikofaktorer i forbindelse med udøvelse af deres forretningsmodel. De skal dermed foretage en grundig analyse af deres forretningsmodel.

Når en virksomhed eller person skal identificere risikofaktorer, skal virksomheden eller personen inddrage den risikovurdering, som udsendes af Europa-Kommissionen, jf. artikel 6 stk. 5, (supranational risikovurdering), samt den risikovurdering, der udsendes af Danmark (national risikovurdering), jf. artikel 7 i 4. hvidvaskdirektiv. Disse risikovurderinger vil løbende blive opdateret. Det kan yderligere være relevant at inddrage risikovurderinger udsendt af tilsynsmyndigheder i henhold til denne lov, trusselsvurderinger m.v. Der kan yderligere inddrages information fra FATF, landerapporter om f.eks. korruption, informationer fra medier samt virksomhedens eller personens egne erfaringer.

Ved ”vurdere risikoen for, at virksomheden eller personen kan blive misbrugt til hvidvask eller finansiering af terrorisme” forstås, at virksomheder og personer ud fra en holistisk betragtning skal vurdere, i hvilket omfang de identificerede risikofaktorer bevirker, at virksomheden eller personen kan blive misbrugt til hvidvask eller finansiering af terrorisme. En måde at vurdere risici kan være at vægte de enkelte risikofaktorer.

Det foreslås i stk. 1, 2. pkt., at virksomhedens eller personens risikovurdering skal foretages med udgangspunkt i virksomhedens eller personens forretningsmodel og omfatte vurderingen af risikofaktorer, der er forbundet med kunder, produkter, tjenesteydelser, transaktioner samt leveringskanaler og lande eller geografiske områder, hvor forretningsaktiviteterne udøves. Bestemmelsen opremser hvilke risikofaktorer, en virksomhed eller person som minimum skal identificere og vurdere. Omfanget af risikovurderingen vil afhænge af virksomhedens eller personens forretningsmodel. En risikovurdering behøver ikke være kompleks, men skal afspejle alle dele af forretningsmodellen.

Risikofaktorer, der er forbundet med kunder, er en analyse af virksomhedens eller personens kunder, herunder om det er fysiske elle juridiske personer. F.eks. betragtes børsnoterede selskaber generelt som begrænset risiko, hvor pengeoverførselsvirksomheder generelt betragtes som øget risiko. Ved risikovurdering af virksomhedens eller personens produkt, tjenesteydelse og transaktion skal virksomheden eller personen identificere og vurdere risici ved de enkelte ydelser, de tilbyder deres kunder. Meget komplekse produkter eller det forhold, at der kan overføres store beløb, kan medføre, at produktet betragtes som øget risiko. Modsat kan produkter, der beløbsmæssigt er begrænset, vurderes til begrænset risiko. På samme måde skal der foretages en vurdering af den måde, som en virksomhed eller person stiller sine produkter til rådighed for kunderne på (fysisk fremmøde, internet osv.). Endelig skal geografiske risici identificeres og vurderes.

Virksomheden eller personen skal i vurderingen inddrage, hvilke risici virksomheden er udsat for, herunder forretningsmodellens indflydelse på risici og risikoniveauer, hvilke aktiviteter de pågældende risici er tilknyttet, omfanget af de enkelte risici og hvorledes risikotyperne påvirker hinanden, hvis dette er relevant. Risikovurderingen skal afdække virksomhedens eller personens risiko i forhold til både hvidvask og terrorfinansiering. F.eks. kan et produkt være begrænset risiko i forhold til hvidvask men øget risiko i forhold til terrorfinansiering.

En risikovurdering vil alene kunne anses for tilstrækkelig, såfremt denne dækker alle områder af forretningsmodellen og afdækker de beskrevne risici, herunder at risikovurderingen er underbygget med relevante data, samt at den nævnte nationale og supranationale risikovurdering indgår.

Risikovurderingen i § 7 adskiller sig fra risikovurderingen af det enkelte kundeforhold i § 11. Risikovurderingen i § 7 er en overordnet holistisk vurdering af den iboende risiko for, at virksomheder og personer kan blive misbrugt til hvidvask og finansiering af terrorisme. Denne skal udmøntes i politikker, procedurer og kontroller. Risikovurderingen i § 11 er derfor en del af udmøntningen af risikovurderingen i § 7, men denne skal identificere og vurdere de enkelte risikofaktorer i det enkelte kundeforhold, mens risikovurdering i § 7 er en identificering og vurdering af de enkelte risikofaktorer i forretningsmodellen.

Det foreslås i stk. 1, 3. pkt., at risikovurderingen skal dokumenteres og løbende holdes opdateret. Det, at risikovurderingen skal ”dokumenteres”, betyder, at den ikke må baseres på antagelser, men at den, jf. ovenfor, skal tage udgangspunkt i den supranationale og nationale risikovurdering samt andre former for dokumentation på området, herunder f.eks. information udsendt af FATF, brancheorganisationer m.v. Derudover kan dokumentation, som er baseret på virksomhedens eller personens egne erfaringer, inddrages. Der kan i sagens natur være situationer, hvor det ikke er muligt at dokumentere aspekter af en risikovurdering, eksempelvis inden for nicheområder, ved udviklingen af nye produkter etc., hvor det ikke er muligt at dokumentere det pågældende forhold. Det vil dog være undtagelsen, at en risikovurdering bygger delvist på antagelser og ikke er dokumenteret.

At risikovurderingen skal ”løbende opdateres” betyder som udgangspunkt, at risikovurderingen skal revurderes mindst en gang om året eller i øvrigt i forbindelse med væsentlige ændringer i risikoforholdene. Dette vil dog afhænge af en konkret risikovurdering. Ved et statisk udbud, hvor forholdene ikke umiddelbart ændrer sig, vil der kunne gå længere tid imellem opdateringerne af risikovurderingen. Modsætningsvis skal risikovurderingen opdateres oftere i tilfælde af erhvervsvirksomhed, hvor risikofaktorerne løbende ændrer sig. Der vil altid skulle ske opdatering ved væsentlige ændringer af risikoforholdene, som f.eks. ved introduktion af et nyt produkt, der risikomæssigt adskiller sig væsentligt fra en virksomheds øvrige produkter, ved udbud af produkter til et nyt land eller ved ibrugtagelse af nye teknologier.

De relevante myndigheder vil udarbejde vejledning til brug for virksomhedernes foretagelse af risikovurdering i henhold til bestemmelsen.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. Ansvarssubjekterne for overtrædelse af § 7, stk. 1, er virksomheder og personer omfattet af § 1, stk. 1, og den strafbare handling består i ikke at have foretaget en tilstrækkelig risikovurdering, ikke at have dokumenteret risikovurderingen eller ikke at have opdateret denne løbende. Et eksempel på overtrædelse af bestemmelsen er en virksomhed, der i virksomhedens risikovurdering ikke har foretaget en vurdering af alle virksomhedens produkter.

Det foreslås i stk. 2, 1. pkt., at den daglige ledelse i virksomheder omfattet af § 1, stk. 1, nr. 1-8, 10, 11 og 19, skal udpege en ansat, der har fuldmagt til at træffe beslutninger på vegne af virksomheden. Personens opgave er at træffe beslutninger i henhold til lovforslagets § 8, stk. 2, om godkendelse af skriftlige politikker, kontroller og procedurer, § 18, stk. 3, om etablering og videreførelse af en forretningsforbindelse med politisk eksponerede personer m.v. og § 19, stk. 1, nr. 3, om godkendelse af etablering af grænseoverskridende korrespondentforbindelser. Virksomheden kan alene udpege én person i henhold til forslaget til § 7, stk. 2.

Det foreslås i stk. 2, 2. pkt., at den person, som udpeges efter 1. pkt., kan være medlem af den daglige ledelse, og i 3. pkt. foreslås, at vedkommende skal have kendskab til virksomhedens risici i relation til forebyggelse af hvidvask og finansiering af terrorisme og have fuldmagt eller tegningsret til at kunne træffe beslutninger på virksomhedens vegne. Forslaget gennemfører artikel 3, nr. 12, i 4. hvidvaskdirektiv. Anvendelsesområdet for bestemmelsen er afgrænset til de virksomheder, der kan defineres som kredit- eller finansieringsinstitutter i 4. hvidvaskdirektiv.

I forhold til kendskab til virksomhedens risici er det en forudsætning, at personen reelt er involveret i virksomhedens arbejde med forebyggelse af hvidvask og finansiering af terrorisme. Rammerne for denne involvering fastlægges af virksomheden. For større virksomheder vil kravene i § 7, stk. 2, ikke anses som værende opfyldt, hvis personen er selskabets administrerende direktør eller tilsvarende, da denne oftest vil have for stor en opgaveportefølje til at have et tilpas kendskab til risiciene på hvidvaskområdet. I mindre selskaber vil kravet om fuldmagt kunne medføre, at posten alene kan besættes af den administrerende direktør. Se i øvrigt bemærkningerne til de enkelte bestemmelser, som vedrører områder med øget risiko for hvidvask og terrorfinansiering, hvor det også fremgår, at i tilfælde, hvor f.eks. indgåelse af en forretningsforbindelse med en politisk eksponeret person udgør en væsentlig risiko for hvidvask eller terrorfinansiering, kan det være nødvendigt at indhente yderligere godkendelse fra eksempelvis den daglige ledelse af en virksomhed. For definition af daglig ledelse henvises til bemærkningerne til § 2, nr. 1.

For at kunne opfylde rollen vil det være nødvendigt, at den person, som udpeges efter § 7, stk. 2, har adgang til virksomhedens kundedatabaser og øvrige relevante oplysninger.

For mindre virksomheder gælder, at hvis virksomhedens direktion vurderer, at virksomhedens størrelse eller sammensætningen af virksomhedens aktiviteter berettiger hertil, kan den samme person udpeges i henhold til § 7, stk. 2, og samtidig være compliance-ansvarlig i virksomheden. Det er dog væsentligt for virksomheden at have fokus på, at de af virksomhedens opgaver, vedkommende varetager i henhold til § 7, stk. 2, som udgangspunkt ikke er opgaver, som hører ind under de funktioner, der skal varetages af en virksomhedes compliance-afdeling. Det skal derfor som minimum altid sikres, at medarbejdere ikke er involveret i udførelsen af opgaver, som de kontrollerer som led i deres compliance-opgaver.

En person, som er udpeget i henhold til § 7, stk. 2, har mulighed for at uddelegere de forpligtelser, der følger af bestemmelsen, til en eller flere medarbejdere med tilstrækkeligt kendskab til virksomhedens risiko for hvidvask og terrorfinansiering. En eventuel uddelegering skal omfatte en eller flere navngivne personer. Der kan ikke ske uddelegering af de opgaver, der skal varetages efter § 7, stk. 2, til en enhed i virksomheden, f.eks. virksomhedens compliance-afdeling. Det ansvar, der følger af § 7, stk. 2, kan ikke uddelegeres, men påhviler den person, der er udpeget i henhold til § 7, stk. 2.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. Ansvarssubjekterne for overtrædelse af § 7, stk. 2, er virksomheder omfattet af § 1, stk. 1, og den strafbare handling består i ikke at have udpeget en person med fuldmagt til at træffe beslutninger på vegne af virksomheden eller en person, der har tilstrækkeligt kendskab til virksomhedens risiko for hvidvask og terrorfinansiering. Et eksempel på overtrædelse af bestemmelsen er en virksomhed, der har udpeget en ansat, der ikke har indgående kendskab til virksomhedens risiko, eller en virksomhed, der ikke har givet personen fuldmagt til at tegne virksomheden.

I overensstemmelse med artikel 8, stk. 2, i 4. hvidvaskdirektiv foreslås i stk. 3, 1, pkt., at erhvervs- og vækstministeren og skatteministeren inden for deres respektive ressortområder kan fastsætte regler om undtagelser fra kravene i stk. 1.

Der kan i henhold til den foreslåede bestemmelse fastsættes regler om undtagelser for virksomheder og personer om at udfærdige risikovurderinger, hvilket vil medføre, at virksomheden eller personen ikke skal udfærdige individuelle risikovurderinger af virksomheder og personer. Muligheden for undtagelse kan benyttes på områder, hvor de specifikke risici i forbindelse med sektoren er enkle, og hvor der som følge heraf i den pågældende branche anses at være en klar forståelse heraf. Dette kunne f.eks. være aktuelt i forbindelse med obligatoriske pensionsordninger oprettet som led i et ansættelsesforhold.

Virksomheder og personer omfattet af en undtagelse skal herefter anvende den i branchen klare forståelse af risikoen i deres risikostyring ved udmøntning af risikovurderingen i skriftlige politikker, procedurer og kontroller i henhold til §§ 8 og 9. Udmøntning af § 7, stk. 3, er derfor en undtagelse til krav om individuel risikovurdering, men bestemmelsen kan ikke i øvrigt udmøntes til at fastsætte undtagelser til andre af lovens krav. Undtagelser til lovens krav kan alene ske ved udmøntning af den foreslåede § 1, stk. 4 og 5.

Undtagelser kan fastsættes for en sektor eller for virksomhedstyper, produkter, kundetyper m.v. En virksomhed eller person kan derfor på visse forretningsområder være undtaget for krav om individuel risikovurdering, mens virksomheden og personen på andre områder stadig er underlagt krav om at udarbejde en risikovurdering. En udmøntning af bestemmelsen vil skulle ske i et samarbejde mellem virksomheder og personer, der ønsker en undtagelse, og relevante myndigheder, herunder SØIK som ansvarlig myndighed for den nationale risikovurdering.

Erhvervs- og vækstministeren kan yderligere fastsætte regler om undtagelser i forhold til advokater, jf. § 1, stk. 1, nr. 14, jf. stk. 3, 2. pkt. Advokatrådet kan ikke tillægges bemyndigelse til undtagelser i henhold til 4. hvidvaskdirektiv, idet advokatrådet ikke er en myndighed men et selvregulerende organ.

Endvidere forslås det i stk. 3, 3. pkt., at erhvervs- og vækstministeren kan fastsætte regler om undtagelser for kravene i stk. 2. Bemyndigelsen vil fortrinsvist kunne anvendes i forbindelse med mindre virksomheder, der ikke i øvrigt er underlagt krav om særlige nøglepersoner i anden lovgivning, og hvor kravet må anses som byrdefuldt.

Der henvises i øvrigt til afsnit 3.4. i de almindelige bemærkninger.