Ett företag ska ha rutiner och riktlinjer när det gäller åtgärder för kundkännedom, övervakning, rapportering och behandling av personuppgifter.
Rutiner och riktlinjer för att motverka penningtvätt och finansiering av terrorism ska vara riskbaserade och utgå från företagets allmänna riskbedömning. Det innebär att de ska vara utformade för att kunna hantera och motverka de risker företaget har identifierat.
Rutinerna och riktlinjerna ska vara dokumenterade. I en koncern ska moderföretaget fastställa gemensamma rutiner och riktlinjer som ska gälla för hela koncernen.
Propositionen till den nya penningtvättslagen räknar upp tre kategorier av rutiner och riktlinjer.
Den första kategorin syftar till att ge vägledning om vilka åtgärder som ska vidtas i olika situationer. Några exempel är id-kontroller, indelning av kunder i riskklasser, skärpta kundkännedomsåtgärder och övervakning av aktiviteter och transaktioner. Dessa rutiner ska vara riskbaserade.
Den andra kategorin är kopplad till företagets personal, till exempel bakgrundskontroll och utbildning av personalen. Här ingår också rutiner för att skydda personalen från hot och liknande till följd av att de genomför kontroller och andra åtgärder för att uppfyllaföretagets skyldigheter enligt penningtvättslagen.
Den tredje kategorin rör funktioner för regelefterlevnad och intern kontroll. Det handlar bland annat om vilka uppgifter som ska utföras av de olika funktionerna särskilt utsedd befattningshavare, centralt funktionsansvarig och den oberoende granskningsfunktionen. Här ingår också rutiner för modellriskhantering.
Om ett företag har modeller för riskhantering, till exempel för riskbedömning och riskklassificering av kunder ska det finnas rutiner för att kvalitetssäkra och förbättra de modeller som används. Ett företags rutiner för modellriskhantering ska innehålla en beskrivning av den bakomliggande teorin och de antaganden som har lett fram till hur modellerna utformats. Vidare ska företag ha rutiner för validering av modellerna som säkerställer att de fungerar på det sätt som är tänkt och uppfyller syftet (riskklassificering av kunder osv).
Det ska finnas särskilda funktioner för intern kontroll. Företaget ska alltid utse en centralt funktionsansvarig. Utöver det ska en särskilt utsedd befattningshavare och en oberoende granskningsfunktion utses – om det är motiverat med hänsyn till verksamhetens storlek och art.
Den särskilt utsedde befattningshavaren ansvarar för att de åtgärder som krävs för att följa penningtvättslagen och föreskrifterna blir genomförda.
Funktionen ansvarar för
Den särskilt utsedde befattningshavare har möjlighet att delegera vissa uppgifter, eller utse ett eller flera biträden. Själva kontrollen av att åtgärder verkligen genomförs i verksamheten, samt rapporteringen till företagets styrelse och vd, kan dock inte delegeras.
En centralt funktionsansvarig ska alltid finnas. Den ska placeras inom företaget och ska ha ett oberoende mot de funktioner och områden som den ska övervaka och kontrollera.
De grundläggande uppgifterna består i ett löpande kontrollansvar och att säkerställa att rapportering görs till Finanspolisen.
I övrigt ska funktionen
Den oberoende granskningsfunktionen ansvarar bland annat för att granska och utvärdera effektivitet och ändamålsenlighet när det gäller
Funktionen ska i detta sammanhang endast utföra sin granskning utifrån reglerna i penningtvättsregelverket. Vad som är en ändamålsenlig granskning får bedömas utifrån de behov som företaget har i sin verksamhet. Den oberoende granskningsfunktionen ska vara direkt underställd företagets styrelse.
Den oberoende granskningsfunktionen ska vara organisatoriskt skild från de funktioner och områden som den ska övervaka och kontrollera. Funktionens anställa får inte delta i andra funktioners arbete eller i den operativa verksamheten.
Företaget kan uppdra åt någon annan att utföra den oberoende granskningsfunktionens uppgifter. Det viktigt att komma ihåg att företaget i sådana fall alltid ansvarar för den utlagda verksamheten.