Gennemførelse af kundekendskabsprocedurer: Risikovurdering af det enkelte kundeforhold

Virksomheden skal foretage en risikovurdering af det enkelte kundeforhold for at fastlægge omfanget af de kundekendskabsprocedurer, som gennemføres i det pågældende kundeforhold. 

Efter hvidvaskloven kan kunder inddeles i tre grader af risiko;

• Begrænset risiko
• Normal risiko
• Øget risiko

Alt efter hvordan en kunde risikovurderes, så skal virksomhedens kundekendskabsprocedurer tilpasses hertil. 

Virksomheden skal gennemføre almindelige kundekendskabsprocedurer i kundeforhold, som udgør en normal risiko for virksomheden. Hvis et kundeforhold udgør en begrænset risiko, er der mulighed for at gennemføre lempede kundekendskabsprocedurer. Hvis et kundeforhold derimod udgør en øget risiko, skal virksomheden gennemføre skærpede kundekendskabsprocedurer.

Man skal foretage en risikovurdering af kunden ved etablering af kundeforholdet, når kundens relevante omstændigheder ændrer sig eller i øvrigt på passende tidspunkter. Virksomheden skal derfor sikre sig, at risikovurderingen til enhver tid er gældende og opdateret. 

Ændringer i en kundes relevante omstændigheder kan f.eks. være: 

• Ændringer i ejer- og kontrolstrukturen
• Ændringer i kundens forretningsmodel – f.eks. eksport til risikobetonede lande
• Ændringer i den eller de reelle ejeres bopæl – flytter den reelle ejer f.eks. til et risikobetonet land?
• Kunden opretter en filial i et risikobetonet land – f.eks. til produktion af varer

Passende tidspunkter omfatter, at virksomheden ved et allerede etableret kundeforhold løbende henvender sig til kunden for at sikre sig, at de indhentede oplysninger på kunden stadig er korrekte og tilstrækkelige. 

Passende tidspunkter kan være følgende:

• Når virksomheden juridisk er forpligtet til at kontakte kunden – f.eks. ved udarbejdelse af årsrapport
• Når kunden ønsker, at virksomheden skal levere en ny ydelse 
• Hvis kunden ønsker at skifte leveringskanal – f.eks. i tilfælde af, at kunden pludselig ønsker, at al kommunikation skal foregå via skrift og ikke længere via fysiske møder, som det måske hidtil har været.
• Hvis virksomheden bliver bekendt med nye former for svindel som kunne have relevans for den ydelse, som en kunde benytter sig af 
• Hvis der kommer en ny national- eller supranational risikovurdering, som kan have indflydelse på kundeforholdet
   

En risikovurdering består af to elementer: 1) Identifikation af risikofaktorer og 2) en konkret vurdering af de identificerede risikofaktorer. 

Virksomheden skal som minimum inddrage følgende i risikovurderingen:

1. Kundeforholdets formål
2. Kundeforholdets omfang
3. Kundeforholdets regelmæssighed og varighed
4. Hvidvasklovens bilag 2 og bilag 3

De enkelte risikofaktorer indebærer ikke i sig selv en begrænset eller øget risiko. Man skal som virksomhed vurdere den enkelte risikofaktor og dennes risikoniveau i det konkrete kundeforhold. Risikofaktorerne kan hver især isoleret set udgøre f.eks. en begrænset eller en øget risiko. Virksomheden skal derfor forholde sig til de enkelte faktorer, og hvilken betydning de tilsammen udgør for kundens risikoprofil og den efterfølgende kundekendskabsprocedure. 

Formål dækker over vurderingen af kundens formål med indgåelsen af kundeforholdet, og hvorfor kunden ønsker at etablere kundeforholdet.

Omfang samt regelmæssighed og varighed dækker over en vurdering af omfanget af aktiviteterne, som kundeforholdet indebærer. Ligeledes dækker det over omfanget af kontakten, som virksomheden har med kunden samt kundeforholdets varighed. Det vil sige, at virksomheden skal foretage en vurdering af de aktiver eller transaktioners størrelse, som virksomheden skal behandle, hvor mange ydelser virksomheden skal levere til kunden m.m.

Hvidvasklovens bilag 2 og bilag 3 omfatter lovbestemte risikofaktorer. Bilag 2 omfatter risikofaktorer, som potentielt kan indebære en begrænset risiko. Bilag 3 omfatter risikofaktorer, som potentielt kan indebære en øget risiko. Risikofaktorerne oplistet i bilag 2 og bilag 3, som skal inddrages i risikovurderingen, har blandt andet fokus på geografiske risikofaktorer og risikofaktorer i forbindelse med produkter, tjenesteydelser, transaktioner og leveringskanaler.

Bemærk: Der ikke tale om en udtømmende liste over risikofaktorer i henholdsvis bilag 2 og bilag 3. Der kan være andre relevante risikofaktorer, som beror på virksomhedens egne erfaringer, risikofaktorer oplistet i de nationale- og den supranationale risikovurdering m.m.

Risikofaktorerne, som nævnes i bilag 2 og bilag 3, skal kun vægtes i risikovurderingen, hvis faktorerne reelt er til stede og gør sig gældende for den konkrete risikovurdering. 
 

Af den nationale risikovurdering fremgår følgende inddeling af risikoniveauerne:

• Begrænset
• Moderat
• Betydelig
• Høj

Af den supranationale risikovurdering fremgår følgende inddeling af risikoniveauerne:

• Mindre betydelig (Low significant (Low)) 
• Moderat grad betydelig (Moderately significant (Medium))
• Betydelig (Significant (High))
• Meget betydelig (Very significant (Very high))

Som bekendt er der i hvidvaskloven krav om, at virksomheder skal identificere de risici, de kan blive udsat for både på hvidvask- og terrorfinansieringsområdet og vurdere, hvordan de manifesterer sig, og hvor store de kan være. På den baggrund skal virksomhederne beslutte, hvordan de indretter sig for at overholde hvidvasklovgivningen og imødegå risiciene. Vurderingerne i den supranationale og de nationale risikovurderinger skal inddrages og dermed kvalificere og underbygge risikovurderingen af det enkelte kundeforhold.
 
Med hensyn til den enkelte kunde kan virksomheden i henhold til hvidvasklovens § 11, stk. 3, foretage kundekendskabsprocedurerne på baggrund af en risikovurdering. Det væsentlige er, at hvis en kunde har en øget risiko, skal virksomheden foretage skærpede kundekendskabsprocedurer. Hvis kunden har begrænset risiko, kan virksomheden gennemføre lempede kundekendskabsprocedurer. Implicit kan der dermed også være kunder med normal risiko. Virksomheden kan derfor have tre eller flere gradueringer af risiciene, det er blot vigtigt, at disse er begrundet. 
 
Virksomheden skal vurdere risiciene ved sine kunder på baggrund af oplysninger om forretningsforbindelsens formål, omfang, regelmæssighed og varighed samt de faktorer, som fremgår af hvidvasklovens bilag 2 og bilag 3. Vurderingerne i den supranationale- og de nationale risikovurderinger skal også inddrages og dermed kvalificere og underbygge risikovurderingen af det enkelte kundeforhold. 
 
Det indebærer omvendt ikke, at virksomheden skal klassificere kunderne på samme vis som de nationale- og den supranationale risikovurdering, eller at en kunde altid har samme risiko som den branche, som kunden tilhører. En virksomhed kan ud fra en konkret vurdering, og efter overvejelse og inddragelse af risikovurderingerne, derfor godt komme frem til, at en given kunde i en af de pågældende brancher ikke er af øget risiko. Omvendt kan virksomheden også i forbindelse med vurderingen af den enkelte kunde komme frem til, at man vurderer, at kunden er af øget risiko, selvom kundens branche ikke er omfattet af en øget risiko i risikovurderingerne. 
 
Gradueringen af risiko i eksempelvis den nationale risikovurdering betyder dermed ikke, at virksomheden skal anvende samme graduering i virksomhedens risikovurdering af det enkelte kundeforhold. Vurderingerne i den nationale risikovurdering skal inddrages blandt andre relevante risikofaktorer. Gradueringerne i den nationale risikovurdering er derfor ikke i sig selv udslagsgivende for virksomhedens egen graduering af risiko, men hvis en kundes branche i den nationale risikovurdering er klassificeret som betydelig eller høj, er dette selvfølgelig noget, man som virksomhed skal være meget opmærksom på i sin egen risikovurdering af kunden.

Virksomheden skal altid kontrollere kundens identitet. En risikovurdering kan derfor aldrig føre til, at der ikke indhentes identitetsoplysninger på den enkelte kunde. Virksomheden skal derfor i hvert enkelt kundeforhold indhente identitetsoplysninger på kunden. Identitetsoplysningerne skal kontrolleres, kundens formål og tilsigtede beskaffenhed skal vurderes, der skal foretages en risikovurdering af kunden, og der skal klarlægges procedurer for den løbende overvågning af kundeforholdet. Ved juridiske kundeforhold skal de reelle ejeres identitet ligeledes kontrolleres.

Risikovurderingen kan ikke resultere i, at man kan fravige kravene til kundekendskabsprocedurer efter hvidvasklovens § 11. Risikovurderingen skal fastlægge omfanget af kundekendskabsprocedurerne for at imødegå den konstaterede risiko. Det vil sige, at risikovurderingen skal ligge til grund for, om der skal foretages yderligere eller evt. færre foranstaltninger i henhold til kundekendskabsprocedurerne alt efter, om den enkelte kunde vurderes at være af begrænset, normal eller øget risiko. 

Derudover skal risikovurderingen danne grundlag for tilrettelæggelse af den løbende overvågning af kundeforholdet. Jo højere risiko, der er forbundet med kunden, jo tættere skal man overvåge det pågældende kundeforhold. Den løbende overvågning skal sikre, at transaktioner, der foretages, ændring af kundens forretningsmodel m.m. er i overensstemmelse med virksomhedens viden om kunden og kundens forretningsmodel samt den senest foretagne risikovurdering. I forbindelse med den løbende overvågning skal virksomheden også sikre, at dokumenter, data og oplysninger, som er indhentet i forbindelse med de anvendte kundekendskabsprocedurer, er korrekte og ajourført. 

Ved længeværende kundeforhold indebærer kravet om løbende overvågning, at virksomheden løbende skal vurdere, om kundens forespørgsler er usædvanlige på baggrund af det kendskab, som virksomheden har til kunden. 
 

En virksomhed skal kunne dokumentere, at den har opfyldt kravene om at gennemføre kundekendskabsprocedurer, herunder også at foretage en risikovurdering af den enkelte kunde. Det sikrer også, at virksomheden har et tilstrækkeligt grundlag til brug for klarlæggelsen af de yderligere krav til kundekendskabsprocedurer efter hvidvaskloven. 

Det er ikke tilstrækkeligt, at virksomheden skriver, hvilken risiko kunden er omfattet af, f.eks. lav, normal eller øget. Virksomheden skal begrunde sin risikovurdering med en samlet konklusion. 

Det fremgår af hvidvasklovens § 30, at virksomheden har opbevaringspligt. Det vil sige, at al dokumentation, oplysninger samt notater, som er indhentet og udfærdiget i relation til en kundesag, skal opbevares på kundesagen. Disse skal opbevares i minimum 5 år efter kundeforholdets ophør. Personoplysninger indhentet i relation til en kundesag skal slettes 5 år efter kundeforholdets ophør.