Rutiner

Ett företag ska ha rutiner och riktlinjer när det gäller åtgärder för kundkännedom, övervakning, rapportering och behandling av personuppgifter.

Rutiner och riktlinjer för att motverka penningtvätt och finansiering av terrorism ska vara riskbaserade och utgå från företagets allmänna riskbedömning. Det innebär att de ska vara utformade för att kunna hantera och motverka de risker företaget har identifierat.

Rutinerna och riktlinjerna ska vara dokumenterade. I en koncern ska moderföretaget fastställa gemensamma rutiner och riktlinjer som ska gälla för hela koncernen.

Propositionen till den nya penningtvättslagen räknar upp tre kategorier av rutiner och riktlinjer.

Den första kategorin syftar till att ge vägledning om vilka åtgärder som ska vidtas i olika situationer. Några exempel är id-kontroller, indelning av kunder i riskklasser, skärpta kundkännedomsåtgärder och övervakning av aktiviteter och transaktioner. Dessa rutiner ska vara riskbaserade.

Den andra kategorin är kopplad till företagets personal, till exempel bakgrundskontroll och utbildning av personalen. Här ingår också rutiner för att skydda personalen från hot och liknande till följd av att de genomför kontroller och andra åtgärder för att uppfyllaföretagets skyldigheter enligt penningtvättslagen.

Den tredje kategorin rör funktioner för regelefterlevnad och intern kontroll. Det handlar bland annat om vilka uppgifter som ska utföras av de olika funktionerna särskilt utsedd befattningshavare, centralt funktionsansvarig och den oberoende granskningsfunktionen. Här ingår också rutiner för modellriskhantering.

Modellrisk

Om ett företag har modeller för riskhantering, till exempel för riskbedömning och riskklassificering av kunder ska det finnas rutiner för att kvalitetssäkra och förbättra de modeller som används. Ett företags rutiner för modellriskhantering ska innehålla en beskrivning av den bakomliggande teorin och de antaganden som har lett fram till hur modellerna utformats. Vidare ska företag ha rutiner för validering av modellerna som säkerställer att de fungerar på det sätt som är tänkt och uppfyller syftet (riskklassificering av kunder osv).

Funktioner inom företaget

Det ska finnas särskilda funktioner för intern kontroll. Företaget ska alltid utse en centralt funktionsansvarig. Utöver det ska en särskilt utsedd befattningshavare och en oberoende granskningsfunktion utses – om det är motiverat med hänsyn till verksamhetens storlek och art.

Särskilt utsedd befattningshavare

Den särskilt utsedde befattningshavaren ansvarar för att de åtgärder som krävs för att följa penningtvättslagen och föreskrifterna blir genomförda.

Funktionen ansvarar för

  • att göra och uppdatera den allmänna riskbedömningen
  • att det finns interna och gemensamma rutiner och riktlinjer, och att dessa uppdateras
  • att kontrollera och följa upp att åtgärder och rutiner genomförs
  • att rapportera till styrelse eller vd.

Den särskilt utsedde befattningshavare har möjlighet att delegera vissa uppgifter, eller utse ett eller flera biträden. Själva kontrollen av att åtgärder verkligen genomförs i verksamheten, samt rapporteringen till företagets styrelse och vd, kan dock inte delegeras.

Centralt funktionsansvarig

En centralt funktionsansvarig ska alltid finnas. Den ska placeras inom företaget och ska ha ett oberoende mot de funktioner och områden som den ska övervaka och kontrollera.

De grundläggande uppgifterna består i ett löpande kontrollansvar och att säkerställa att rapportering görs till Finanspolisen.

I övrigt ska funktionen

  • övervaka och kontrollera att företaget följer lag, föreskrift samt interna rutiner och riktlinjer
  • ge råd och stöd, samt informera och utbilda
  • lämna uppgifter till myndigheter på begäran
  • kontrollera att rutiner och riktlinjer är ändamålsenliga och effektiva
  • ansvara för rapporteringen av misstänkta transaktioner och aktiviteter till Finanspolisen
  • rapportera till styrelse eller vd.

Oberoende granskningsfunktion

Den oberoende granskningsfunktionen ansvarar bland annat för att granska och utvärdera effektivitet och ändamålsenlighet när det gäller

  • organisation, it-system, rutiner och riktlinjer
  • intern kontroll
  • riskhantering utifrån den allmänna riskbedömningen
  • tillförlitlighet och kvalitet på det arbet som utförs av företagets övriga kontrollfunktioner.

Funktionen ska i detta sammanhang endast utföra sin granskning utifrån reglerna i penningtvättsregelverket. Vad som är en ändamålsenlig granskning får bedömas utifrån de behov som företaget har i sin verksamhet. Den oberoende granskningsfunktionen ska vara direkt underställd företagets styrelse.

Den oberoende granskningsfunktionen ska vara organisatoriskt skild från de funktioner och områden som den ska övervaka och kontrollera. Funktionens anställa får inte delta i andra funktioners arbete eller i den operativa verksamheten.

Företaget kan uppdra åt någon annan att utföra den oberoende granskningsfunktionens uppgifter. Det viktigt att komma ihåg att företaget i sådana fall alltid ansvarar för den utlagda verksamheten.

Klicka på den del som du vill läsa mer om:


Senast granskad: 2023-11-22