Hvidvask

Hvidvask i korte træk

Hvidvask er processen med at forsøge at skjule oprindelsen af penge, som er erhvervet ulovligt, ved at lade dem passere gennem en række overførsler og transaktioner. Målet med processen er at lade pengene gå igennem disse trin for at komme tilbage "rene" og dermed kunne bruges lovligt.

Hvordan fungerer hvidvaskning af penge i praksis?

Hvidvask kan udføres på flere måder. De kriminelles færdigheder, innovationsevne og værktøjer forbedres hurtigt, og der introduceres derfor regelmæssigt nye tilgange. Men på et grundlæggende niveau beskrives hvidvaskningsprocessen i følgende trin af FATF (Financial Action Task Force):

I den indledende fase - placering - oaf hvidvaskning af penge introducerer nogen deres ulovlige fortjeneste i det finansielle system. Dette kan for eksempel gøres ved at opdele store kontantbeløb i mindre iøjnefaldende mindre beløb, som derefter sættes direkte ind på en bankkonto.
Når midlerne er kommet ind i det finansielle system, finder det andet trin sted - lagdeling/layering.. I denne fase deltager den person, der hvidvasker, i en række transformationer eller bevægelser/flytninger af midlerne for at distancere dem fra den oprindelige kilde.
Efter vellykket behandling af de kriminelle indtægter gennem de første to faser, går hvidvaskeren til det tredje trin - integration - hvor midlerne genindtræder i den legitime økonomi. Den person, der vasker pengene, kan vælge at investere midlerne i f.eks. fast ejendom, luksusaktiver eller forretningsinvesteringer.

AML, anti-hvidvaskning & compliance

Anti-hvidvaskning eller AML henviser til love, forskrifter og procedurer designet til at forhindre kriminelle i at skjule ulovligt opnåede midler som legitime indkomster. Skønt lovgivning om hvidvask dækker et begrænset antal transaktioner og kriminel adfærd, er deres konsekvenser vidtrækkende.

“Via overvågningstjenesten kan vi automatisk opdatere oplysninger, som strømliner processen med kundekendskab.”

Patrik Jeppsson Product Developer | Söderberg & Partners

Manuelt arbejde er dyrt i penge og effektivitet

Næsten 50% af omkostningerne forbundet med compliance-arbejde uanset virksomhedens størrelse eller type kommer i gennemsnit fra manuelt arbejde. For mindre virksomheder i Europa og USA, der er berørt af reglerne, er tallene endnu højere, hvor de gennemsnitlige omkostninger til manuelt arbejde anslås til henholdsvis 62% og 74% af de samlede omkostninger til compliance.

Læg dertil studier, der viser, at øgede krav til compliance har en negativ indvirkning på områder som customer onboarding, medarbejderoplevelse og produktivitet, og du har en ond cirkel, der er vanskelig at bryde.

Manuelt arbejde er således den største skurk inden for AML compliance og en stor "pain" for de organisationer, der er omfattet af Hvidvaskloven. Løsninger til digitalisering og automatisering af processer forbundet med anti-hvidvaskning og kundekendskab efterspørges derfor i stigende grad.

Customer Onboarding & Compliance

Forsøget på at kombinere efterlevelse af reglerne for anti-hvidvask og customer onboarding har givet finansielle institutioner en masse hovedpine. Kravene til opnåelse af kundekendskab har ført til, at flere oplysninger skal indsamles og verificeres fra både potentielle og nuværende kunder.

Indsamlingen af information gør, at mange komplicerer tingene for kunden eller en potentiel kunde ved at tilføje formularer, der skal udfyldes og sendes frem og tilbage, manuelle vurderinger af ansøgninger, der tager for lang tid, og andre hindringer for en fleksibel onboarding-proces. Øget nedetid, forværret kundeoplevelse og manglende kundeloyalitet er nogle eksempler på den effekt, dette kan have på dit flow.

De øgede krav til compliance og KYC har også ført til en større mængde manuelt arbejde til håndtering og vurdering af sager. På lang sigt betyder det en kraftig stigning i omkostningerne for virksomheder, der forsøger at være compliant, især hvis man vil undgå sanktioner og den medfølgende bad-will.

Derfor kan hentning af data i baggrunden være en sund løsning for at undgå at skade kundens oplevelse. Oplysninger som PEP- (og RCA) status, sanktionslister, virksomhedsoplysninger ud fra organisationsnummer, underskrivere, reelle ejere og meget mere kan i dag hentes automatisk via API'er, blandt andet gennem aktører som Roaring.

1. Procedurer

Organisationer, der er omfattet af hvidvaskloven, skal have procedurer og retningslinjer klar, når det gælder kundekendskab, overvågning, rapportering og behandling af personoplysninger. Generelt så skal procedurer og retningslinjer til at modvirke hvidvask og finansiering af terrorisme være risikobaserede og tage udgangspunkt i organisationens generelle risikovurdering. Det betyder, at de skal være designet til at kunne håndtere og modvirke de risici, organisationen har identificeret.

Desuden skal følgende funktioner være på plads:

En specielt udpeget leder med ansvar for bl.a. at skabe og opdatere den generelle risikovurdering, sikre, at der er fælles retningslinjer og rutiner (og at disse opdateres), kontrollere og følge op på foranstaltninger og rutiner, samt rapportere til bestyrelsen eller den administrerende direktør.
En central funktionsansvarlig i virksomheden med ansvar for bl.a. at kontrollere, at virksomheden overholder loven, give råd og support, samt informere og uddanne, give oplysninger til myndigheder efter anmodning, kontrollere, at rutiner og retningslinjer er effektive, og være ansvarlig for rapportering til Hvidvasksekretariatet.
En uafhængig kontrolfunktion med ansvar for blandt andet at gennemgå og evaluere effektivitet og egnethed med hensyn til organisation, IT og systemer, intern kontrol, risikostyring med mere.

2. Uddannelse

Da hvidvaskloven opdateres og ændres over tid, er en vigtig del af arbejdet at sikre, at medarbejderne har den rigtige uddannelse og dermed aktuelle kompetencer. Tag hensyn til følgende, når det gælder uddannelse:

Individuelt tilpasset træning baseret på medarbejderens rolle og opgaver/ansvar vedrørende spørgsmål i forbindelse med hvidvaskning af penge.
Gå ud fra virksomhedens generelle risikovurdering
Opstil en uddannelsesplan for kontinuerlig uddannelse, men vær også lydhør og foretag ekstern overvågning omkring emnet for at kunne tilpasse aktiviteterne og uddannelsen efter aktuelle hændelser.

3. Risikovurdering

En vigtig del er at lave en såkaldt generel risikovurdering for virksomheden. Den skal tage hensyn til følgende:

Hvilken/hvilke typer produkter og tjenester tilbydes
Virksomhedens kunder og distributionskanaler
Geografiske risikofaktorer

Hvor omfattende den generelle risikovurdering skal være, bestemmes af virksomhedens størrelse og art. Hermed menes for eksempel omsætning, antal ansatte, antal forretningssteder, hvilke aktiviteter der udføres, hvilke varer eller tjenester der leveres, og hvor komplekse disse varer og tjenester er.

4. Kundekendskab

For at undgå unødig risiko skal organisationer, der er omfattet af loven, have et godt kendskab til deres kunder og deres forretninger. Denne del af AML-processen kaldes kundekendskab eller KYC og omfatter normalt en række kontroller af nye og eksisterende kunder.

Foranstaltninger til at opnå kundekendskab skal baseres på virksomhedens generelle risikovurdering i kombination med en vurdering af risikoen hos den enkelte kunde. Kontroller inkluderer normalt grundlæggende oplysninger om kunden, såsom adresse, øverste ledelse, virksomhedsbeskrivelse osv., men også kontrol af bestyrelsen, reelle ejere, PEP (politisk eksponeret person), sanktionslister og problemer med kundekendskab.

Læs mere om kundekendskab her

5. Risikoklassificering

Foranstaltninger til opnåelse af kundekendskab skal tilpasses ud fra en vurdering af, hvor stor risikoen er for at blive udnyttet til hvidvaskning af penge og finansiering af terrorisme. Risikovurderingen skal baseres på virksomhedens generelle risikovurdering, og hvad organisationen ved om kunden.

Dette betyder, at organisationen i praksis skal risikoklassificere:

Virksomhedens produkter og tjenester
Virksomhedens geografiske placering
Virksomhedens type af kunder
Kundernes transaktioner og distributionskanaler

Klassificeringen foretages normalt ud fra vurderingsniveauerne lav, mellem og høj. Et eksempel, hvor en højere risikoklassifikation kan være relevant, er produkter og tjenester med en kompleks struktur, eller hvis en virksomhed henvender sig til et internationalt marked.

Ud over den generelle risikovurdering skal organisationen også vurdere risikoen for den enkelte kunde og forretningsforholdet. Resultatet af denne vurdering bestemmer, hvilke foranstaltninger der skal træffes til at opnå kundekendskab. Hvis risikoen ved forretningsforholdet vurderes at være lav, kan virksomheden træffe forenklede foranstaltninger til kundekendskab. Hvis risikoen vurderes som høj, skal der træffes strengere foranstaltninger til kundekendskab.

6. Overvågning

En organisation, der er omfattet af Hvidvaskloven, skal kontrollere transaktioner for at kunne opdage transaktioner og andre aktiviteter, der kan mistænkes for at være en del af hvidvask eller finansiering af terrorisme. Dette betyder konkret opfølgning af to dele:

Kontinuerlig analyse og opdatering af kundekendskab.
Overvågning af transaktioner for at opdage eventuelle uoverensstemmelser.

Det er også værd at bemærke, at dokumenter og information om foranstaltninger, der er truffet for at opnå kundekendskab, som regel skal opbevares af organisationen i fem år. Hvis dokumenterne eller oplysningerne kan tyde på hvidvaskning af penge eller finansiering af terrorisme, hvis en mistanke er blevet rapporteret til Hvidvasksekretariatet, og hvis en myndighed har underrettet organisationen om, at de skal gemmes, så skal de opbevares i ti år.

7. Rapportering til Hvidvasksekretariatet

Du er forpligtet til at kontrollere og rapportere mistænkelige transaktioner til Hvidvasksekretariatet i henhold til loven. Der behøver ikke være bevis for, at hvidvaskning af penge eller finansiering af terrorisme faktisk har fundet sted for at rapportere; det er nok med mistænkelig aktivitet.

Læs mere om kravene hos Finanstilsynet.

Cookie	Varighed	Beskrivelse
_GRECAPTCHA	5 months 27 days	This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-necessary	1 year
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Varighed	Beskrivelse
__cf_bm	30 minutes	This cookie, set by Cloudflare, is used to support Cloudflare Bot Management.
__hssc	30 minutes	HubSpot sets this cookie to keep track of sessions and to determine if HubSpot should increment the session number and timestamps in the __hstc cookie.
__hssrc	session	This cookie is set by Hubspot whenever it changes the session cookie. The __hssrc cookie set to 1 indicates that the user has restarted the browser, and if the cookie does not exist, it is assumed to be a new session.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
lang	session	LinkedIn sets this cookie to remember a user's language setting.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
messagesUtk	5 months 27 days	HubSpot sets this cookie to recognize visitors who chat via the chatflows tool.
pll_language	1 year	The pll _language cookie is used by Polylang to remember the language selected by the user when returning to the website, and also to get the language information when not available in another way.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.

Cookie	Varighed	Beskrivelse
__hstc	5 months 27 days	This is the main cookie set by Hubspot, for tracking visitors. It contains the domain, initial timestamp (first visit), last timestamp (last visit), current timestamp (this visit), and session number (increments for each subsequent session).
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_THG7SPKD18	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_84002038_1	1 minute	Set by Google to distinguish users.
_gat_UA-84002038-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
_hjAbsoluteSessionInProgress	30 minutes	Hotjar sets this cookie to detect the first pageview session of a user. This is a True/False flag set by the cookie.
_hjFirstSeen	30 minutes	Hotjar sets this cookie to identify a new user’s first session. It stores a true/false value, indicating whether it was the first time Hotjar saw this user.
_hjIncludedInPageviewSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's pageview limit.
_hjIncludedInSessionSample	2 minutes	Hotjar sets this cookie to know whether a user is included in the data sampling defined by the site's daily session limit.
_hjTLDTest	session	To determine the most generic cookie path that has to be used instead of the page hostname, Hotjar sets the _hjTLDTest cookie to store different URL substring alternatives until it fails.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
hubspotutk		HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.HubSpot sets this cookie to keep track of the visitors to the website. This cookie is passed to HubSpot on form submission and used when deduplicating contacts.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.
nQ_cookieId	1 year	Albacross sets this cookie to help identify companies for better lead generation and more effective ad targeting.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Varighed	Beskrivelse
_hjSession_2735549	30 minutes
_hjSessionUser_2735549	1 year
AnalyticsSyncHistory	1 month
cookielawinfo-checkbox-advertisement	1 year
cookielawinfo-checkbox-necessary	1 year
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
li_gc	5 months 27 days
nQ_userVisitId	30 minutes
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Varighed	Beskrivelse
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
cookielawinfo-checkbox-advertisement	1 year
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.