Hvidvasktilsynet har i de senere år intensiveret kontrollen med både revisorer, bogholdere og andre virksomheder omfattet af hvidvaskloven. Kontrolbesøgene er blevet mere systematiske, mere databaserede og mere dokumentationsorienterede. For mange virksomheder er selve tilsynsbesøget ikke nødvendigvis den største udfordring — det er derimod manglende forberedelse og utilstrækkelig dokumentation, som ofte fører til påbud, kritik eller skærpet opfølgning.
Særligt mindre revisions- og bogholderivirksomheder oplever, at myndighedernes forventninger til interne procedurer, risikovurderinger og kundekendskab er steget markant de seneste år.
Hvidvasktilsynet fokuserer i stigende grad på dokumentation
Et gennemgående tema ved tilsynsbesøg er, at virksomheder ofte har etableret procedurer på papiret — men ikke kan dokumentere, at de anvendes i praksis.
Hvidvasktilsynet ser typisk på:
- virksomhedens risikovurdering,
- skriftlige politikker og procedurer,
- kundekendskabsprocedurer (KYC),
- legitimationsdokumentation,
- overvågning af kunder,
- opbevaring af materiale,
- intern kontrol,
- medarbejderuddannelse,
- og ledelsens involvering i compliancearbejdet.
Manglende dokumentation er fortsat en af de hyppigste årsager til kritik.
Risikovurderingen er et centralt fokusområde
Mange virksomheder undervurderer betydningen af den overordnede risikovurdering. Hvidvasktilsynet forventer ikke blot et standarddokument, men en konkret vurdering af virksomhedens egne risici.
Det indebærer blandt andet vurdering af:
- kundetyper,
- brancher,
- geografiske forhold,
- transaktionsmønstre,
- ejerstrukturer,
- og risiko for misbrug af virksomheden til økonomisk kriminalitet.
En generisk standardskabelon uden konkret tilpasning bliver ofte vurderet som utilstrækkelig.
Kundekendskab skal kunne dokumenteres fuldt ud
Et af de mest kontrollerede områder er kundekendskab (KYC).
Her ser tilsynet typisk efter:
- legitimation på reelle ejere,
- identifikation af kontrolstrukturer,
- dokumentation for selskabsforhold,
- vurdering af kundens risikoprofil,
- og løbende opdatering af kundedata.
Mange virksomheder har indsamlet oplysningerne — men ikke dokumenteret vurderingerne tilstrækkeligt.
Det er ikke nok at have et pas eller et CVR-udtræk liggende. Virksomheden skal kunne vise:
- hvorfor kunden er klassificeret som lav, mellem eller høj risiko,
- hvordan kontrollen er udført,
- og hvilke overvejelser der er gjort undervejs.
Højrisikokunder kræver skærpet kontrol
Kunder med komplekse ejerstrukturer, internationale forhold eller usædvanlige transaktioner kræver skærpede procedurer.
Her forventer tilsynet blandt andet:
- udvidet dokumentation,
- tættere overvågning,
- ledelsesgodkendelse,
- og mere detaljeret forståelse af pengestrømme og forretningsmodel.
Særligt transaktioner uden klar forretningsmæssig begrundelse kan give anledning til spørgsmål under et tilsyn.
Medarbejderuddannelse bliver stadig vigtigere
Hvidvasktilsynet lægger også stigende vægt på, om medarbejdere faktisk er uddannet i hvidvaskreglerne.
Det omfatter blandt andet:
- kendskab til underretningspligt,
- identifikation af mistænkelige forhold,
- procedurer for eskalering,
- og forståelse af virksomhedens interne kontroller.
Mange virksomheder har procedurerne — men mangler dokumentation for, at medarbejderne er instrueret og løbende opdateret.
Gode råd til revisorer og bogholdere før et tilsynsbesøg
- Gennemfør en intern “mock inspection”
En af de mest effektive forberedelser er at simulere et tilsyn internt.
Gennemgå eksempelvis:
- kundemapper,
- risikovurderinger,
- legitimation,
- overvågningsprocedurer,
- og interne politikker.
Spørg kritisk:
- Kan vi dokumentere vores vurderinger?
- Er materialet opdateret?
- Er processerne ensartede?
- Kan medarbejderne forklare procedurerne?
Mange problemer opdages først, når dokumentationen gennemgås samlet.
- Opdater risikovurderingen mindst én gang årligt
Virksomhedens risikovurdering bør være et levende dokument — ikke en engangsøvelse.
Risikovurderingen bør opdateres ved:
- nye kundetyper,
- ændringer i forretningsmodel,
- internationale aktiviteter,
- eller nye myndighedskrav.
En gammel risikovurdering sender ofte et dårligt signal ved kontrol.
- Sørg for ensartede kundemapper
Et klassisk problem ved tilsyn er store forskelle mellem kundemapper.
Virksomheder bør anvende:
- faste onboarding-processer,
- standardiserede KYC-checklister,
- ens dokumentstruktur,
- og klare krav til opdatering.
Det gør både intern kontrol og tilsyn langt lettere.
- Dokumentér vurderinger — ikke kun dokumenter
Hvidvasktilsynet vurderer ikke kun, om dokumenter findes, men også om virksomheden har foretaget reelle vurderinger.
Det bør fremgå:
- hvorfor kunden er vurderet som lav eller høj risiko,
- hvorfor ejerstrukturen er accepteret,
- og hvordan eventuelle risici håndteres.
Kort skriftlig dokumentation af vurderinger kan have stor betydning ved kontrol.
- Træn medarbejdere i praktiske scenarier
Medarbejdere bør kunne genkende:
- mistænkelige transaktioner,
- atypiske ejerforhold,
- usædvanlige betalingsmønstre,
- og adfærd, der kan indikere økonomisk kriminalitet.
Praktiske cases og løbende dialog fungerer ofte bedre end alene skriftlige instrukser.
- Hav styr på ledelsesansvaret
Tilsynet vurderer også, om ledelsen er aktivt involveret i compliancearbejdet.
Ledelsen bør kunne dokumentere:
- godkendelse af risikovurderinger,
- opfølgning på kontroller,
- behandling af højrisikokunder,
- og løbende overvågning af virksomhedens compliance.
Manglende ledelsesforankring er et område, der ofte giver kritik.
Konklusion
Et besøg fra Hvidvasktilsynet handler ikke kun om regler — det handler i høj grad om dokumenteret kontrol, struktur og risikoforståelse.
For revisorer og bogholdere er den bedste forberedelse derfor ikke blot at have procedurer på plads, men at kunne demonstrere:
- hvordan de anvendes,
- hvordan risici vurderes,
- og hvordan virksomheden arbejder aktivt med forebyggelse af økonomisk kriminalitet.
Virksomheder, der arbejder systematisk og løbende med compliance, står markant stærkere ved både tilsyn, kvalitetskontrol og kundekrav i de kommende år.