EU:s penningtvättsdirektiv kräver att revisorer och redovisningskonsulter använder ett riskbaserat arbetssätt i arbetet mot penningtvätt. Det är ett flexibelt och rationellt tillvägagångssätt för att hantera riskerna för penningtvätt och finansiering av terrorism, där det i grund och botten handlar om att anpassa sina efterlevnadsåtgärder till de specifika risker man står inför.
Ett riskbaserat arbetssätt kräver en hög nivå av förberedelse, vilket kan innebära vissa utmaningar. Det gäller att följa särskilda steg och god praxis för att effektivt få på plats ett riskbaserat arbetssätt.
Steg 1: Identifiera riskerna för penningtvätt och finansiering av terrorism
Det första steget är att identifiera omfattningen av de revisions- och redovisningstjänster som verksamheten erbjuder, och att identifiera de potentiella risker som de medför, till exempel risken att vara inblandad i eller underlätta penningtvätt.
Man bör titta på interna och externa faktorer, som till exempel:
- tjänsternas karaktär och omfattning;
- kundernas profil och beteende;
- geografisk lokalisering och jurisdiktion;
- regelverk och förväntningar;
- branschens praxis och standarder;
- samt historik.
Steg 2: Bedöm risknivån
Det andra steget är att bedöma riskernas nivå och karaktär.
Det gäller att mäta sannolikheten för och konsekvenserna av varje risk och tilldela varje process, aktivitet eller tillgång en riskbedömning. Riskbedömningen bör dokumenteras och baseras på en konsekvent och transparent metod.
Riskbedömningen ska sedan godkännas av företagsledningen och andra intressenter.
Steg 3: Minska riskerna
Det tredje steget är att utforma en riskbaserad arbetssätt som omfattar:
- Kundkännedom: Samtliga kunders identitet och bakgrund ska identifieras och man ska kunna förstå affärsförbindelsens karaktär och syfte. Det är skärpta krav på kundkännedom för högriskkunder, t.ex. personer i politiskt utsatt ställning.
- Rapportering: Bolaget bör rapportera alla misstänkta eller ovanliga transaktioner och beteenden till relevanta myndigheter.
- Utbildning: Ett bolag under tillsyn ska säkerställa regelbunden utbildning för sin personal om riskerna för penningtvätt och finansiering av terrorism samt om åtgärder för regelefterlevnad.
- Interna kontroller: Man bör säkerställa att processerna för regelefterlevnad implementeras och övervakas på rätt sätt. Detta inkluderar policys, rutiner, roller och ansvar, rapportering, ansvarsfördelning och oberoende granskningar.
Steg 4: Övervaka riskerna och åtgärderna
Det fjärde steget är att löpande granska riskerna och effektiviteten av åtgärderna.
Man bör också hålla sig à jour med förändringar när det gäller riskerna för finansiell brottslighet och anpassa processerna och arbetssättet för regelefterlevnad.
Nästa steg
För att framgångsrikt få på plats ett riskbaserat tillvägagångssätt kan man anta vissa rutiner till kontinuerlig förbättring, såsom att:
- Regelbundet följa rekommendationer från relevanta myndigheter och parter.
- Nyttja de verktyg som kan underlätta identifiering och bedömning av riskerna för finansiell brottslighet, t.ex. system för grundläggande informationsinsamling och dokumentation, screening vid onboarding av nya kunder.
- Söka råd och guidning från aktörer som har erfarenhet och kunskap av ett riskbaserat tillvägagångssätt.
- Utveckla en intern medvetenhet om riskerna och vad som krävs genom rätt rutiner, kunskap och värderingar.
