Penningtvätt

Från 1 augusti 2017 gäller nya föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism. Här finns information om vad företag inom finansbranschen behöver göra för att följa det nya regelverket.

Regler för penningtvätt och finansiering av terrorism

I Sverige finns framför allt två lagar som reglerar bekämpningen av penningtvätt.

Lag om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen) är det administrativa regelverk som gäller för företag inom vissa sektorer. Regelverket syftar till att förhindra att företag utnyttjas för penningtvätt och terrorismfinansiering.

Företag som omfattas av penningtvättslagen ansvarar för att utan dröjsmål rapportera misstänkt penningtvätt eller terrorismfinansiering i sin verksamhet till Finanspolissektionen inom Polismyndigheten (Finanspolisen). Rapporteringen ska ske på det sätt som Finanspolisen anvisar. Företag kan komma i kontakt med Finanspolisen via mejladressen fipo@polisen.se eller på telefon: 010-56 368 00.

Lag om straff för penningtvättsbrott är det straffrättsliga regelverket som omfattar penningtvätt och finansiering av terrorism. Lagen medför bland annat att det är brottsligt att tvätta pengar.

Finansinspektionens uppdrag är att utöva tillsyn över att de finansiella företag som omfattas av penningtvättslagen följer de regler som finns där för att förhindra att de utnyttjas för penningtvätt.

Finansiering av terrorism

Vad som räknas som finansiering av terrorism beskrivs i lagen om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).

Lagen nämner insamling, tillhandahållande eller mottagande av tillgångar i syfte att de ska användas, eller med vetskap om att de är avsedda att användas, för att begå sådan brottslighet som avses i lagen om straff för finansiering av särskilt allvarlig brottslighet eller för en sådan resa som avses i lagen om straff för offentlig uppmaning, rekrytering och utbildning avseende terroristbrott och annan särskilt allvarlig brottslighet.

Företag som omfattas av penningtvättslagen ansvarar för att utan dröjsmål rapportera misstänkt penningtvätt eller terrorismfinansiering i sin verksamhet till Finanspolissektionen inom Polismyndigheten (Finanspolisen). Rapporteringen ska ske på det sätt som Finanspolisen anvisar. Företag kan komma i kontakt med Finanspolisen via mejladressen fipo@polisen.se eller på telefon 010-56 368 00.

Finansinspektionens ansvar är att se till att de finansiella företagen vidtar åtgärder i enlighet med penningtvättslagen, vilket är det administrativa regelverk som gäller för företag inom vissa sektorer för att förhindra att de utnyttjas för terrorismfinansiering.

Företag som omfattas

Både finansiella företag och vissa icke-finansiella verksamhetsutövare omfattas av lagen om åtgärder mot penningtvätt och finansiering av terrorism.

Finansinspektionen ansvarar för tillsynen över de finansiella företagen. Andra myndigheter och självreglerande organ ansvarar för tillsynen över de icke-finansiella aktörerna. På denna sida framgår vilken myndighet eller vilket självreglerande organ som ansvarar för tillsynen över vilka verksamhetsutövare.

Finansinspektionen har tillsyn över fysiska och juridiska personer som driver

  • bank- eller finansieringsrörelse
  • verksamhet med bostadskrediter
  • livförsäkringsrörelse
  • värdepappersrörelse
  • anmälningspliktig finansiell verksamhet
  • ansökningspliktig valutaväxling
  • inlåningsverksamhet
  • försäkringsförmedling av livförsäkring
  • utgivning av elektroniska pengar
  • fondverksamhet
  • betalningsinstitut
  • verksamhet att tillhandahålla betaltjänster utan att vara betalningsinstitut
  • förvaltning av alternativa investeringsfonder
  • viss verksamhet med konsumentkrediter.

Andra tillsynsmyndigheter

Fastighetsmäklarinspektionen har tillsyn över fastighetsmäklare med fullständig registrering.
www.fmi.se

Lotteriinspektionen har tillsyn över verksamhet för kasinospel och anordnare av speltjänster.
www.lotteriinspektionen.se

Länsstyrelserna i Stockholms, Västra Götaland och Skåne län har tillsyn över

  • pantbanker
  • yrkesmässig verksamhet som avser bokföringstjänster eller revisionstjänster
  • yrkesmässig verksamhet som skatterådgivare, yrkesmässig verksamhet som annan oberoende jurist (endast för vissa tjänster som anges i penningtvättslagen)
  • yrkesmässig verksamhet till den del verksamheten avser vissa typer av tjänster som anges i penningtvättslagen
  • yrkesmässig handel med varor till den del verksamheten avser försäljning mot kontant betalning som uppgår till minst ett belopp som motsvarar 5 000 euro.

www.lansstyrelsen.se

Revisorsinspektionen har tillsyn över godkända och auktoriserade revisorer och revisionsbolag.
www.revisorsinspektionen.se

Sveriges advokatsamfund har tillsyn över advokater och biträdande jurister verksamma på advokatbyrå.
www.advokatsamfundet.se

Process - arbetsgång för åtgärder mot risker för penningtvätt

Här är stegen som bör ingå i ett helhetsbaserat arbete för att undvika risken att bli utnyttjad för penningtvätt och finansiering av terrorism.

Riskbedömning

Banker, försäkringsbolag och andra finansiella företag måste göra en bedömning av risken för att de produkter och tjänster som de erbjuder utnyttjas för penningtvätt eller finansiering av terrorism. Företaget ska också bedöma hur stor denna risk är.

När företaget gör en allmän riskbedömning ska bland annat följande faktorer beaktas:

  • typ av produkter och tjänster som erbjuds
  • kunder och distributionskanaler
  • geografiska riskfaktorer.

Det kan också vara värt att titta på analyser och åtgärder för övervakning och rapportering som gjorts inom företaget. Ytterligare vägledning går att hitta i bilagor till det fjärde penningtvättsdirektivet, som bland annat tar upp faktorer och indikatorer för hög respektive låg risk. På FATF:s webbplats finns ett antal rapporter om risk för penningtvätt och finansiering av terrorism inom områden som private banking, gräsrotsfinansiering och korrespondentbanksförbindelser. Även Europeiska bankmyndigheten (EBA) har tagit fram en vägledning om riskfaktorer inom finansiella tjänster.

Hänsyn ska också tas till uppgifter som kommer fram vid företagets rapportering till Finanspolisen om misstänkta aktiviteter och transaktioner. Information som företaget fått från myndigheter, till exempel om vanliga tillvägagångssätt för att tvätta pengar och finansiera terrorism, ska också beaktas.

Storlek och verksamhet avgör omfattning

Hur omfattande den allmänna riskbedömningens ska vara avgörs av verksamhetens storlek och art. Med storlek avses till exempel omsättning, antal anställda, antal verksamhetsställen och liknande. Med art avses till exempel vilken verksamhet som bedrivs, vilka varor eller tjänster som tillhandahålls och hur komplexa dessa varor och tjänster är. Omfattningen av den allmänna riskbedömningen kan alltså variera från företag till företag.

Ska hållas aktuell

Den allmänna riskbedömningen ska dokumenteras. Den ska också utvärderas regelbundet och – när det behövs – uppdateras. En utvärdering ska ske minst årligen. Innan företaget erbjuder nya eller väsentligt förändrade produkter och tjänster ska riskbedömningen också uppdateras.

Företagets riskbedömning utgör grunden för företagets rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Det är därför av stor vikt att den är aktuell.

Rutiner

Ett företag ska ha rutiner och riktlinjer när det gäller åtgärder för kundkännedom, övervakning, rapportering och behandling av personuppgifter.

Rutiner och riktlinjer för att motverka penningtvätt och finansiering av terrorism ska vara riskbaserade och utgå från företagets allmänna riskbedömning. Det innebär att de ska vara utformade för att kunna hantera och motverka de risker företaget har identifierat.

Rutinerna och riktlinjerna ska vara dokumenterade. I en koncern ska moderföretaget fastställa gemensamma rutiner och riktlinjer som ska gälla för hela koncernen.

Propositionen till den nya penningtvättslagen räknar upp tre kategorier av rutiner och riktlinjer.

Den första kategorin syftar till att ge vägledning om vilka åtgärder som ska vidtas i olika situationer. Några exempel är id-kontroller, indelning av kunder i riskklasser, skärpta kundkännedomsåtgärder och övervakning av aktiviteter och transaktioner. Dessa rutiner ska vara riskbaserade.

Den andra kategorin är kopplad till företagets personal, till exempel bakgrundskontroll och utbildning av personalen. Här ingår också rutiner för att skydda personalen från hot och liknande till följd av att de genomför kontroller och andra åtgärder för att uppfyllaföretagets skyldigheter enligt penningtvättslagen.

Den tredje kategorin rör funktioner för regelefterlevnad och intern kontroll. Det handlar bland annat om vilka uppgifter som ska utföras av de olika funktionerna särskilt utsedd befattningshavare, centralt funktionsansvarig och den oberoende granskningsfunktionen. Här ingår också rutiner för modellriskhantering.

Modellrisk

Om ett företag har modeller för riskhantering, till exempel för riskbedömning och riskklassificering av kunder ska det finnas rutiner för att kvalitetssäkra och förbättra de modeller som används. Ett företags rutiner för modellriskhantering ska innehålla en beskrivning av den bakomliggande teorin och de antaganden som har lett fram till hur modellerna utformats. Vidare ska företag ha rutiner för validering av modellerna som säkerställer att de fungerar på det sätt som är tänkt och uppfyller syftet (riskklassificering av kunder osv).

Funktioner inom företaget

Det ska finnas särskilda funktioner för intern kontroll. Företaget ska alltid utse en centralt funktionsansvarig. Utöver det ska en särskilt utsedd befattningshavare och en oberoende granskningsfunktion utses – om det är motiverat med hänsyn till verksamhetens storlek och art.

Särskilt utsedd befattningshavare

Den särskilt utsedde befattningshavaren ansvarar för att de åtgärder som krävs för att följa penningtvättslagen och föreskrifterna blir genomförda.

Funktionen ansvarar för

  • att göra och uppdatera den allmänna riskbedömningen
  • att det finns interna och gemensamma rutiner och riktlinjer, och att dessa uppdateras
  • att kontrollera och följa upp att åtgärder och rutiner genomförs
  • att rapportera till styrelse eller vd.

Den särskilt utsedde befattningshavare har möjlighet att delegera vissa uppgifter, eller utse ett eller flera biträden. Själva kontrollen av att åtgärder verkligen genomförs i verksamheten, samt rapporteringen till företagets styrelse och vd, kan dock inte delegeras.

Centralt funktionsansvarig

En centralt funktionsansvarig ska alltid finnas. Den ska placeras inom företaget och ska ha ett oberoende mot de funktioner och områden som den ska övervaka och kontrollera.

De grundläggande uppgifterna består i ett löpande kontrollansvar och att säkerställa att rapportering görs till Finanspolisen.

I övrigt ska funktionen

  • övervaka och kontrollera att företaget följer lag, föreskrift samt interna rutiner och riktlinjer
  • ge råd och stöd, samt informera och utbilda
  • lämna uppgifter till myndigheter på begäran
  • kontrollera att rutiner och riktlinjer är ändamålsenliga och effektiva
  • ansvara för rapporteringen av misstänkta transaktioner och aktiviteter till Finanspolisen
  • rapportera till styrelse eller vd.

Oberoende granskningsfunktion

Den oberoende granskningsfunktionen ansvarar bland annat för att granska och utvärdera effektivitet och ändamålsenlighet när det gäller

  • organisation, it-system, rutiner och riktlinjer
  • intern kontroll
  • riskhantering utifrån den allmänna riskbedömningen
  • tillförlitlighet och kvalitet på det arbet som utförs av företagets övriga kontrollfunktioner.

Funktionen ska i detta sammanhang endast utföra sin granskning utifrån reglerna i penningtvättsregelverket. Vad som är en ändamålsenlig granskning får bedömas utifrån de behov som företaget har i sin verksamhet. Den oberoende granskningsfunktionen ska vara direkt underställd företagets styrelse.

Den oberoende granskningsfunktionen ska vara organisatoriskt skild från de funktioner och områden som den ska övervaka och kontrollera. Funktionens anställa får inte delta i andra funktioners arbete eller i den operativa verksamheten.

Företaget kan uppdra åt någon annan att utföra den oberoende granskningsfunktionens uppgifter. Det viktigt att komma ihåg att företaget i sådana fall alltid ansvarar för den utlagda verksamheten.

Utbildning

Anställda i ett företag ska utbildas så att de har tillräckliga kunskaper för att kunna följa företagets rutiner och riktlinjer om penningtvätt.

Ett företag ska se till att personer som utför arbetsuppgifter som är av betydelse för att förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism fortlöpande får relevant utbildning och information. Det handlar om anställda, uppdragstagare och andra som ingår i verksamheten..

Utbildningen ska säkerställa att personalen har tillräcklig kunskap för att se till att företagets rutiner och riktlinjer följs.

Innehållet i utbildningen ska anpassas efter den anställdes uppgifter och ansvar och företagets allmänna riskbedömning. Tidpunkten för utbildning och kompletterande utbildning ska anpassas till vad företaget har kommit fram till i sin riskbedömning och till eventuella förändringar i verksamheten eller arbetsuppgifterna.

Utbildningen ska informera om regler och riktlinjer men även förmedla fakta om trender, mönster och metoder och annat som berörda personer kan behöva känna till för att förhindra och upptäcka försök till penningtvätt och finansiering av terrorism.

Ett företag ska dokumentera den utbildning som genomförs. Utbildningens innehåll, namn på deltagare och datum för när utbildningen hölls ska finnas med i denna dokumentation.

Kundkännedom

Företaget måste ha god kunskap om sina kunder och deras affärer för att kunna försvåra och förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism.

Åtgärder för att uppnå kundkännedom ska utgå från företagets allmänna riskbedömning i kombination med en bedömning om risken hos den enskilda kunden.

Utan tillräcklig kännedom om kunden får ett företag inte etablera eller upprätthålla en affärsrelation eller utföra enstaka transaktioner.

Ett företag får heller inte etablera en affärsförbindelse om det finns misstanke om att deras produkter och tjänster kan komma att användas för penningtvätt eller finansiering av terrorism. På samma sätt får ett företag inte utföra en transaktion om det på skälig grund kan misstänka penningtvätt eller finansiering av terrorism.

Företagen ska alltid vidta åtgärder för att uppnå kundkännedom om en kund som företaget etablerar en affärsrelation med. Det gäller även vid en enstaka transaktion om den motsvarar 15 000 euro eller mer, eller vid flera transaktioner som tillsammans motsvarar samma belopp.

Åtgärder som ska vidtas för kundkännedom

Identifiering och kontroll av kundens identitet

Kravet på att identifiera kunden innebär att företaget måste fråga om kundens namn och övriga uppgifter som kan vara aktuella. Dessa uppgifter är bland annat viktiga för att klarlägga om kunden är en person i politiskt utsatt ställning. Därefter måste företaget kontrollera att identiteten stämmer överens med uppgifterna. Hur noggranna dessa kontroller ska vara varierar beroende på den risk som är förknippad med kunden.

Verklig huvudman

Företaget ska utreda om kunden har en verklig huvudman. Den verkliga huvudmannen är den person som direkt eller indirekt utövar ett bestämmande inflytande över kunden. Företaget ska utreda kundens ägarförhållanden och kontrollstruktur, bland annat för att förstå vilken risk som kunden kan innebära. Kompletterande frågor kan då behöva ställas till kunden. Det är även viktigt att kontrollera om den verkliga huvudmannen ska betraktas som en person i politiskt utsatt ställning.

Om kunden har en verklig huvudman är det viktigt att kontrollera den personens identitet.
Om den verkliga huvudmannen inte går att fastställa ska företaget kontrollera identiteten hos en person som är styrelseordförande, verkställande direktör eller motsvarande befattningshavare.

Det mellanstatliga samarbetsorganet mot penningtvätt FATF (Financial Action Task Force) har i en rapport analyserat fall där kriminella utnyttjat bolag för att tvätta pengar. Rapporten syftar till att öka riskförståelsen med verkliga huvudmän.

Person i politiskt utsatt ställning (PEP)

Om en kund är att betrakta som en person i politiskt utsatt ställning måste företaget vidta skärpta åtgärder. Det innebär att alltid ta reda på varifrån de tillgångar kommer som hanteras i en affärsförbindelse eller en enstaka transaktion. Det innebär också att ett godkännande ska inhämtas från behörig beslutsfattare innan en affärsförbindelse får inledas. Dessutom ska företaget genomföra skärpt fortlöpande uppföljning av affärsförbindelsen.

När en person i politiskt utsatt ställning ha upphört att utöva sina funktioner, ska de skärpta åtgärderna tillämpas i minst 18 månader och till dess att personen inte längre anses medföra en risk för penningtvätt eller finansiering av terrorism.
Bestämmelserna om skärpta åtgärder ska även tillämpas på familjemedlemmar och kända medarbetare till en person i politiskt utsatt ställning.

Högrisktredjeland

Ett företag ska kontrollera om kunden är etablerad i ett land utanför EES som av Europeiska kommissionen har identifierats som högrisktredjeland.

Affärsförbindelsens syfte och art

Ett företag ska inhämta information om affärsförbindelsens syfte och art. Informationen ska ligga till grund för

  • en bedömning av vilka aktiviteter och transaktioner som kan förväntas av kunden inom ramen för affärsförbindelsen
  • en riskklassificering av kunden.

Om det framkommer faktorer som tyder på hög risk ska företaget vidta skärpta åtgärder för kundkännedom.

Anpassa åtgärder efter situation

Hur omfattande åtgärder som ska vidtas beror bland annat på hur komplex den aktuella tjänsten eller produkten är och vilken risk som är förknippad med den. Ibland kan risken i en affärsrelation eller transaktion kräva att företaget behöver få mer information om kundens ekonomiska situation och/eller information om var kundens ekonomiska medel kommer ifrån.

Hantering av EU-sanktioner

När det gäller finansiering av terrorism är en viktig åtgärd för att uppnå kundkännedom att kontrollera kunden mot EU:s samlade lista över personer, enheter och grupper som är föremål för EU-sanktioner.

EU-sanktioner

Riskklassificering

Åtgärder för att uppnå kundkännedom ska anpassas utifrån en bedömning av hur stor risken är för att utnyttjas för penningtvätt och finansiering av terrorism.

Bedömningen för att utnyttjas för penningtvätt och finansiering av terrorism ska göras utifrån företagets allmänna riskbedömning och vad företaget känner till om kunden. Hänsyn ska också tas till de beskrivningar som finns i lagen, över omständigheter som kan tyda på låg respektive hög risk. De europeiska tillsynsmyndigheterna för finansmarknaden har även publicerat riktlinjer (Risk Factor Guidelines ) som ytterligare exemplifierar olika risker.

Risker i företagets verksamhet

Ett företag ska göra en allmän riskbedömning av sin verksamhet.

Det innebär att företaget ska riskklassificera

  • sina produkter och tjänster
  • det geografiska området som företaget är beläget och verkar i
  • vilken typ av kunder företaget har
  • de transaktioner och distributionskanaler som kunderna använder.

Ett exempel där en högre riskklassificering kan bli aktuell är produkter och tjänster med komplex struktur. Ett annat exempel är om ett företag vänder sig till en internationell marknad.

Risker med den enskilda kunden

Utöver företagets allmänna riskbedömning så ska även företaget bedöma risken som finns förknippad med den enskilda kunden och affärsförbindelsen. Beroende på kundens risk ska olika åtgärder för att uppnå kundkännedom vidtas. Om risken med affärsförbindelsen bedöms som låg kan företaget vidta förenklade kundkännedomsåtgärder. Om risken bedöms som hög ska skärpta kundkännedomsåtgärder vidtas.

Övervakning

Ett företag ska granska transaktioner för att kunna upptäcka transaktioner och andra aktiviteter som kan misstänkas vara ett led i penningtvätt eller finansiering av terrorism.

Ett företag ska fortlöpande följa pågående affärsförbindelser. Det innebär att kontrollera och dokumentera att de transaktioner som utförs stämmer överens med den kunskap som företaget har om kunden, dennes affärs- och riskprofil och, om det behövs, varifrån kundens ekonomiska medel kommer.

Handlingar, uppgifter och upplysningar kopplade till kontrollen ska hållas aktuella. Den fortlöpande uppföljningen är en del av kundkännedomsprocessen och kan inte bli ordentligt gjord utan tillräcklig och uppdaterad dokumentation om affärsförbindelsen.

Den fortlöpande uppföljningen ska anpassas efter kundens risk. En kund som bedöms innebära hög risk behöver följas upp noggrannare än en kund som bedöms innebära låg risk.

Uppföljningens två delar

Den fortlöpande uppföljningen består av två delar. Den ena delen är att fortlöpande analysera den kundkännedom som inhämtats, bedöma om den är tillräcklig och uppdaterad och om kundens bedömda risk har ändrats.

Den andra delen är att kontrollera kundens transaktioner för att se om kundens beteende är det förväntade eller om det finns avvikelser. Den andra delen tangerar i praktiken ofta företagets granskning av transaktioner.

Dokumentation

Handlingar och uppgifter om åtgärder som vidtagits för att uppnå kundkännedom ska bevaras av företaget i fem år. Tiden ska räknas från det att åtgärderna utfördes eller, i de fall då en affärsförbindelse har etablerats, från det att affärsförbindelsen upphörde.

Om handlingarna eller uppgifterna kan tyda på penningtvätt eller finansiering av terrorism, om en misstankerapportering har gjorts till Finanspolisen och om en myndighet uppmärksammat företaget om att de ska sparas ska handlingarna eller uppgifterna bevaras i tio år.

Dessa handlingar och uppgifter ska bevaras på ett säkert sätt, elektroniskt eller i pappersform. Företaget ska se till att de är enkla att ta fram och identifiera.

Rapport till FIPO

Du är skyldig att granska och rapportera misstänkta transaktioner. Det behöver inte finnas bevis för att penningtvätt eller finansiering av terrorism faktiskt har skett.

Rapportering ska ske utan dröjsmål till Finanspolisen. Företag kan komma i kontakt med Finanspolisen via mejladressen fipo@polisen.se eller på telefon 010-56 368 00.

Roaring kan hjälpa till med KYC-processen för att lära känna sin kund.

Roaring kan hjälpa alla företag, organisationer och myndigheter att införa automatiserad och digital kontroll av Verklig Huvudman, PEP och Sanktionslistor

Läs mer