Risikovurdering av kunde – hvitvaskingsloven
En god risikovurdering er forskjellen mellom bestått og strøket tilsyn fra Finanstilsynet. Her er den praktiske rammen.
Etter hvitvaskingsloven §§ 7 og 9 plikter alle rapporteringspliktige – inkludert regnskapsførere, revisorer, advokater og eiendomsmeglere – å foreta to typer risikovurderinger:
- En overordnet risikovurdering for hele foretaket.
- En konkret risikovurdering av hver enkelt kunde.
Disse to henger sammen: foretakets samlede risikobilde styrer hvordan enkeltkunden plasseres, og hvilke kundetiltak som da utløses. Et profesjonelt vurderingssystem er det første Finanstilsynet ber om ved tilsyn.
Kort oppsummert
- Risikovurdering på foretaksnivå skal være skriftlig, oppdatert minst årlig, og dekke produkter, kunder, geografi og leveringskanaler.
- Kundetiltak (CDD) graderes etter risiko: forenklet (SDD), normal eller forsterket (EDD).
- Hver kunde får en risikoklassifisering (lav, normal, høy, svært høy) som styrer dybden i tiltakene.
- Vurderingen skal dokumenteres skriftlig og oppbevares i minst 5 år etter at kundeforholdet ble avsluttet.
- Klassifiseringen er dynamisk – nye opplysninger skal kunne endre nivået umiddelbart.
Foretakets risikovurdering – fundamentet
Etter § 7 skal vurderingen ta hensyn til:
| Risikofaktor | Eksempel |
|---|---|
| Produktrisiko | Tjenester med høyt kontantelement, kompliserte strukturer |
| Kunderisiko | Andel utenlandske kunder, PEP, høyrisikobransjer |
| Geografisk risiko | Land med svak AML-regulering, sanksjonsregimer |
| Leveringskanal | Kundeforhold etablert helt digitalt vs. fysisk møte |
Vurderingen skal være konkret for foretaket, ikke en kopiert sjablon. Den må forklare hvorfor de identifiserte risikoene er relevante for nettopp denne virksomheten, og hvilke tiltak som er innført for å håndtere dem.
Risikoklassifisering av enkeltkunden
Hver kunde plasseres i én av fire kategorier ved oppstart og deretter løpende:
| Nivå | Kjennetegn | Tiltak |
|---|---|---|
| Lav | Norsk småbedrift, transparent eierskap, vanlig bransje | Forenklet kundetiltak (SDD) |
| Normal | Standard AS uten røde flagg | Normal kundetiltak (CDD) |
| Høy | Utenlandsk eier, kompleks struktur, høy-risikobransje | Forsterket kundetiltak (EDD) |
| Svært høy | PEP, kontant-intensiv, høyrisikoland, sanksjonstreff | Forsterket EDD + ledelsens godkjenning |
Klassifiseringen baseres på objektive kriterier som lagres i kunderegisteret . De viktigste er:
- Bransjekode (NACE) – noen bransjer er per definisjon høyere risiko (bilforhandlere, gullforhandlere, eiendomsmeglere, kryptobørser).
- Selskapsstruktur – antall eierlag, holdingstrukturer, utenlandske eiere.
- PEP-status – politisk eksponerte personer eller nære medarbeidere.
- Geografi – kunden, eierne eller hovedmarkedet i høyrisikoland.
- Transaksjonsmønster – mye kontant, tredjepartsbetalinger, hurtige inn/ut-bevegelser.
Forsterkede kundetiltak (EDD)
For kunder klassifisert som “høy” eller “svært høy” stiller hvitvaskingsloven §§ 17–18 strengere krav:
- Innhenting av tilleggsdokumentasjon om midlenes opprinnelse (kontoutskrift, ervervsbevis).
- Ledelsesgodkjenning før kundeforholdet etableres eller fortsetter.
- Hyppigere oppfølging – årlig eller halvårlig gjennomgang.
- Skjerpet transaksjonsovervåking med lavere terskler.
- Skriftlig risikovurdering for hvert enkelt forhold.
EDD-kunden skal ikke nødvendigvis avvises – men risikoen må stå i forhold til betalingsviljen, og foretaket må kunne forsvare hvorfor det fortsatt vil ha kunden.
Forenklede tiltak (SDD)
For lavt-risiko-kunder kan kundetiltak forenkles, jf. § 16. I praksis betyr det:
- Identifikasjon kan baseres på sikre offentlige kilder (Brønnøysund, BankID).
- Reelle rettighetshavere kan etableres med lavere bevisgrad.
- Hyppighet på løpende oppfølging kan reduseres.
- Dokumentasjonen kan være kortere – men må fortsatt være skriftlig.
SDD er ikke en fritakelse fra plikten, bare en kalibrering. Et lavt-risiko-kundeforhold som over tid endrer seg skal automatisk re-klassifiseres.
PEP – politisk eksponerte personer
En PEP er noen som har eller har hatt et høyt offentlig verv, samt deres nære familie og samarbeidspartnere. Eksempler: stortingsrepresentanter, statsråder, ambassadører, øverste ledere i statseide selskap, høyesterettsdommere. PEP-status utløser automatisk EDD, men opphever ikke seg selv før det er gått minst 12 måneder etter at vervet er avsluttet, og bare når foretaket konkret har vurdert at risikoen er borte.
PEP-screeningen gjennomføres typisk via spesialiserte tjenester (Strise, Trapets, Verified, ComplyAdvantage) og oppdateres løpende.
Sanksjonsscreening
Alle kunder og reelle rettighetshavere skal screenes mot:
- FNs sanksjonsliste.
- EUs konsoliderte sanksjonsliste.
- OFAC SDN (USA).
- UK HMT-listen.
- Norges sanksjonsliste (forvaltet av UD).
Et treff betyr ikke automatisk at kunden er sanksjonert – det krever en konkret vurdering. Men et uvurdert treff er en alvorlig svikt ved tilsyn.
Reelle rettighetshavere
Identifikasjon av reelle rettighetshavere (personer med over 25 prosent eierskap eller annen reell kontroll) er en obligatorisk del av risikovurderingen. Kilder:
- Selskapets egen oppgave.
- Reell rettighetshaverregisteret (når operativt).
- Aksjeeierbok eller aksjeeierregister.
- Internasjonale UBO-databaser ved utenlandske eiere.
Manglende klarhet i eierstrukturen er i seg selv en høyrisikoindikator.
Hvor ofte skal vurderingen oppdateres?
| Nivå | Minimumsfrekvens |
|---|---|
| Lav | Hvert 3. år, eller ved hendelse |
| Normal | Hvert 2. år, eller ved hendelse |
| Høy | Årlig |
| Svært høy | Halvårlig + ved hver vesentlig transaksjon |
I tillegg skal vurderingen alltid oppdateres ved:
- Endring i eierstruktur, ledelse eller daglig leder.
- Vesentlige endringer i kundens forretningsmodell.
- Nye PEP- eller sanksjonstreff.
- Mistenkelig transaksjon (uavhengig av om MT-rapport sendes).
Dokumentasjonsmal
En bestått vurdering inneholder typisk:
- Kundens identifikasjon med dokumenter.
- Reelle rettighetshavere og kontrollstruktur.
- PEP- og sanksjonscreeningresultat med dato.
- Bransje- og geografisk vurdering.
- Risikoklassifisering med skriftlig begrunnelse.
- Hvilke kundetiltak som er gjennomført.
- Plan for løpende oppfølging.
- Signatur fra hvitvaskingsansvarlig.
Vanlige tilsynsfunn fra Finanstilsynet
- Risikoklassifiseringen mangler eller er identisk for alle kunder.
- Forsterkede tiltak ikke gjennomført der risikoen tilsier det.
- Reelle rettighetshavere ikke dokumentert ved kompliserte strukturer.
- Sanksjonsscreening ikke kjørt ved kundeoppstart.
- Manglende periodisk oppdatering av eksisterende kunder.
Slik hjelper AIAK
AIAK har et eget AML-program tilpasset regnskapsbransjen og kan også bistå andre rapporteringspliktige med å:
- Sette opp risikovurdering på foretaksnivå og dokumentere den.
- Implementere kundetiltak i regnskapssystemet ved opprettelse av nye kunder.
- Drifte PEP- og sanksjonsscreening med løpende oppfølging.
- Forberede til Finanstilsynet sitt tilsyn.
Se våre tjenester eller ta kontakt .