Hvorfor fallgruver koster dyrt

Som AML-ansvarlig i et regnskapsbyrå sitter du med todelt risiko: personlig erstatningsansvar dersom noe går galt – og et potensielt omdømmetap for hele byrået hvis Finanstilsynet finner mangler. Hvitvaskingsloven, GRFS og EUs femte hvitvaskingsdirektiv strammes jevnlig inn. Samtidig vokser kundemassen, og transaksjonene blir mer komplekse. Resultatet? Små feil kan raskt få store konsekvenser.

Her er de fem vanligste fallgruvene – og hvordan du kan unngå dem:

1. Risikovurderinger som formalitet

Fallgruve: Alle kunder får mer eller mindre identisk risikoprofil ved onboarding, og dokumentet havner i et arkiv uten videre oppfølging.
 Konsekvens: Finanstilsynet konkluderer med at vurderingen ikke er reell og pålegger ny gjennomgang – ofte med korte frister.
 Tiltak:

Bruk dynamiske kriterier som oppdateres ved endringer i eierskap, bransje, transaksjonsvolum eller PEP-status.

Sett opp automatiske påminnelser, minst hvert kvartal, for kunder med røde eller gule flagg.

Lagre historiske scorer slik at du kan dokumentere utvikling over tid – og vise at risikovurderingen faktisk lever.

2. Ufullstendig kundekontroll (CDD)

Fallgruve: Kun styreleder legitimeres, mens passive aksjonærer med eierandel over 25 % glemmes. PEP-sjekken lagres tilfeldig i en mappe bare én medarbeider finner frem til.
 Konsekvens: Ved tilsyn om reelle rettighetshavere bruker dere dager på å lete frem dokumentasjon – som viser seg å være ufullstendig.
 Tiltak:

Følg en fast CDD-løype som ikke lar deg starte oppdrag før alle reelle rettighetshavere er registrert.

Knytt legitimasjon, PEP-sjekk og notater direkte til kundekortet i et søkbart system.

Merk kundekontrollen som “ferdig” først når alle krav (legitimasjon, eierstruktur, PEP-status) er dokumentert.

3. Manglende løpende oppfølging

Fallgruve: Kundekontrollen er «gjort i fjor» – men ingen følger med på endringer. Nye forretningsområder, uvanlige transaksjoner eller negativ medieomtale blir oversett.
 Konsekvens: Risiko oppdages først når banken eller Finanstilsynet banker på døren.
 Tiltak:

Definer klare hendelser som utløser ny kontroll: plutselig omsetningshopp, sanksjonstreff, negativ presse.

Sørg for at systemet automatisk gjenåpner risikovurderingen og varsler ansvarlig når slike hendelser skjer.

Dokumentér tiltakene – forsterket overvåkning, ny ID-sjekk, avviksrapportering – i samme arbeidsflyt.

4. Uklart ansvar for AML

Fallgruve: AML-rollen er “plassert på papiret”, men kolleger vet ikke hvem som faktisk har ansvar. Mange opplever temaet som for juridisk og melder derfor ikke fra.
 Konsekvens: Mistanke om hvitvasking rapporteres for sent – eller ikke i det hele tatt.
 Tiltak:

La daglig leder presentere AML-ansvarlig med navn, bilde og kontaktinformasjon på allmøte og intranett.

Gi alle ansatte en enkel huskeregel: «Er du i tvil, meld fra innen 24 timer.»

Hold korte, obligatoriske mikrokurs hvert kvartal – med ferske eksempler fra media. Dokumenter at opplæringen er gjennomført.

5. Utdaterte eller generelle rutiner

Fallgruve: Rutinepermen er lastet ned fra en portal i 2019 og beskriver kun at “nødvendig kundekontroll skal foretas”.
 Konsekvens: Ansatte tolker reglene ulikt, tar snarveier – og revisor finner avvik.
 Tiltak:

Lag steg-for-steg-beskrivelser med sjekklister, skjermbilder og tydelig ansvarsdeling.

Planlegg årlig revisjon av rutinene, og få digitale signaturer fra både AML-ansvarlig og daglig leder.

Nøkkelen: teknologi + kultur