545/2019

Reglugerð um áhættumat vegna peningaþvættis og fjármögnunar hryðjuverka.

1. gr.

Gildissvið.

Reglugerðin gildir um tilkynningarskylda aðila skv. 2. gr. laga nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.

2. gr.

Skylda til að gera áhættumat.

Tilkynningarskyldum aðilum er skylt að gera skriflegt heildstætt áhættumat á rekstri sínum og viðskiptum. Áhættumat felur í sér að bera kennsl á og meta áhættu á peningaþvætti og fjármögnun hryðjuverka í starfsemi tilkynningarskylds aðila, út frá helstu veikleikum og ógnum sem að honum beinast. Nota skal áhættumatið til að útbúa stefnu, stýringar og verkferla til að draga úr og stýra greindri áhættu.

3. gr.

Undanþága frá gerð áhættumats.

Eftirlitsaðilar geta veitt undanþágu frá skyldu til að framkvæma áhættumat sé sýnt fram á að tiltekin starfsemi eða viðskipti séu þess eðlis að áhættuþættir séu skýrir og þekktir og viðeigandi ráðstafanir til að draga úr þekktri áhættu til staðar.　

Beiðni tilkynningarskylds aðila um undanþágu skv. 1. mgr. skulu fylgja greinagóðar upplýsingar og rökstuðningur um með hvaða hætti skilyrði ákvæðisins séu uppfyllt.

4. gr.

Aðferðafræði við gerð áhættumats.

Áður en áhættumat er unnið skal tilkynningarskyldur aðili skjalfesta þá aðferðafræði sem notuð verður við gerð áhættumatsins. Þar skal koma fram með skýrum hætti hvernig matið fer fram, m.a. hvernig bera skal kennsl á áhættuþætti, hvar og hvernig gagna er aflað, hvernig áhættuflokkun fer fram og hvaða viðmið eru notuð við áhættuflokkun. Færa skal rök fyrir þeirri nálgun sem tilkynn­ingar­­skyldur aðili kýs að beita við áhættumat sitt. Fara skal fram reglulegt mat á aðferða­fræði og hún uppfærð ef tilefni er til.

5. gr.

Áhættumat.

Áhættumat skal taka til allra rekstrarþátta tilkynningarskylds aðila, byggja á heildstæðum, við­eig­andi og fullnægjandi gögnum og upplýsingum og ná til allra mögulegra áhættuþátta sem tengjast peningaþvætti og fjármögnun hryðjuverka. Matið skal m.a. fjalla um áhættu tengda:

1. viðskiptamönnum,
2. viðskiptalöndum og svæðum,
3. vörum, þjónustu og viðskiptum,
4. dreifileiðum og
5. tækni.

Ávallt skal framkvæma skjalfest áhættumat áður en boðið er upp á nýjar vörur eða þjónustu og þegar teknar eru í notkun nýjar dreifileiðir og ný tækni.

Áhættumat skal taka mið af stærð, eðli og umfangi starfsemi tilkynningarskyldra aðila og marg­breyti­leika starfseminnar. Áhættumat tilkynningarskyldra aðila, sem stunda einsleita og einfalda starfsemi þar sem áhætta er vel þekkt eða stunda starfsemi sem er eingöngu bundin við áhættu­lítil innlend viðskipti, þarf hvorki að vera ítarlegt né margbrotið.

Við gerð áhættumats skal:

1. skilgreina áhættuþætti í tengslum við peningaþvætti og fjármögnun hryðjuverka,
2. afla viðeigandi upplýsinga og gagna sem nýtast við gerð áhættumats; og
3. greina eðli, umfang og líkur á peningaþvætti og fjármögnun hryðjuverka.

Áhættumatið á að endurspegla hættu á peningaþvætti og fjármögnun hryðjuverka í starfsemi tilkynn­ingars­kylds aðila og þær stýringar og aðferðir sem notaðar eru til að draga úr áhættunni.

Í áhættumati skal m.a. fjallað um:

1. greiningu á því hvar lítil og mikil áhætta er í rekstrinum og forsendur þeirrar niðurstöðu,
2. áhættuflokkun,
3. hvaða aðferðir verði notaðar til að draga úr og stýra einstökum áhættuþáttum,
4. eftirstæða áhættu eftir að aðferðum og stýringum til að draga úr áhættu hefur verið beitt; og
5. hvaða eftirlit skuli haft með einstökum áhættuþáttum og tíðni eftirlits.

Tilkynningarskyldir aðilar skulu geta rökstutt fyrir eftirlitsaðila að áhættumat og áhættustýringar hans séu fullnægjandi.

6. gr.

Upplýsingar og gögn við gerð áhættumats.

Við gerð áhættumats skal byggja á fjölbreyttum upplýsingum um þekkta áhættu og áhættuþætti, hvort sem er frá opinberum aðilum eða öðrum viðeigandi aðilum.

Hafa skal áhættumat skv. 4. gr. laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka til hliðsjónar og eftir atvikum líta til eftirfarandi:

1. áhættumats Evrópusambandsins,
2. upplýsinga frá stjórnvöldum, s.s. stefnumótun, viðvaranir og skýringar við löggjöf,
3. upplýsinga frá eftirlitsaðilum, s.s. leiðbeiningar,
4. upplýsingar frá skrifstofu fjármálagreininga lögreglu og löggæslustofnunum, s.s. um ógnir, viðvaranir og aðferðir,
5. upplýsinga sem hefur verið aflað við áreiðanleikakannanir; og
6. áhættumats sem gefið er út af lögbærum stjórnvöldum í þeim ríkjum sem tilkynn­ingar­skyldur aðili starfar í.

Aðrir þættir sem geta nýst við gerð áhættumats eru m.a.:

1. kunnátta og sérfræðiþekking innan tilkynningarskyldra aðila,
2. upplýsingar frá hagsmunasamtökum tilkynningarskyldra aðila um aðferðir og hættumerki,
3. opinberar upplýsingar um viðskiptalönd, t.d. um spillingu og gagnsæi,
4. upplýsingar frá alþjóðlegum stofnunum og aðilum, s.s. úttektarskýrslur og válistar,
5. upplýsingar samkvæmt áreiðanlegum opinberum heimildum,
6. upplýsingar frá áreiðanlegum einkaaðilum, s.s. áhættumats- og greiningarskýrslur; og
7. upplýsingar frá tölfræði- og fræðastofnunum.

7. gr.

Áhættuflokkun og vægi.

Tilkynningarskyldir aðilar skulu tilgreina í aðferðafræði skv. 4. gr. hvaða áhættuflokka þeir nota, viðmið að baki hverjum flokki og vægi hvers áhættuþáttar.

Þegar einstakur áhættuþáttur er metinn skulu tilkynningarskyldir aðilar að lágmarki tryggja að:

1. einn matsþáttur hafi ekki óeðlileg áhrif til lækkunar á áhættuflokkun,
2. ákvörðun um vægi einstakra áhættuþátta komi ekki í veg fyrir að samningssambönd geti verið flokkuð sem mikil áhætta,
3. fjárhagsleg og hagnaðardrifin sjónarmið hafi ekki áhrif á áhættuflokkun,
4. ákvæði laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka varðandi tilvik þar sem ávallt á að beita aukinni áreiðanleikakönnun gangi alltaf framar en áhættuflokkun tilkynningarskylds aðila,
5. möguleiki sé á að ganga fram hjá sjálfvirkri áhættuflokkun þar sem það er talið nauðsynlegt. Skjalfesta skal rökstuðning fyrir slíkri ákvörðun.

Tilkynningarskyldum aðilum er heimilt að nota sjálfvirk upplýsingatæknikerfi til þess að komast að niðurstöðu um áhættuflokkun í því skyni að flokka samningssambönd og einstök viðskipti. Tilkynn­ingar­skyldur aðili þarf að geta útskýrt fyrir eftirlitsaðila hvernig kerfið virkar og hvernig það sameinar áhættuþætti til þess að komast að endanlegri niðurstöðu varðandi áhættuflokkun. Tilkynn­ingar­skyldur aðili þarf að tryggja að niðurstaðan endurspegli skilning viðkomandi á hættu á peningaþvætti og fjármögnun hryðjuverka og geti rökstutt slíka niðurstöðu gagnvart eftirlitsaðilum.

8. gr.

Notkun áhættumats.

Áhættumat er grundvöllur ákvörðunar um með hvaða hætti eftirlit með peningaþvætti og fjár­mögnun hryðjuverka skuli framkvæmt hjá tilkynningarskyldum aðilum.

Áhættumatið skal notað til að ákveða tegund og umfang áreiðanleikakönnunar sem framkvæma skal vegna samningssambanda og einstakra viðskipta, m.a. til þess að meta í hvaða tilvikum beri að beita aukinni áreiðanleikakönnun og hvenær heimilt sé að beita einfaldaðri áreiðanleikakönnun.

9. gr.

Vöktun og eftirlit.

Tilkynningarskyldir aðilar skulu viðhafa reglulega vöktun og eftirlit með áhættumati sínu og upp­færa það á tveggja ára fresti eða oftar ef tilefni er til.

Vöktun og eftirlit skv. 1. mgr. skal felast í því að tryggja að:

1. viðskiptamenn séu áhættuflokkaðir í samræmi við þau viðskipti sem þeir stunda,
2. gögn og upplýsingar um viðskiptasambönd séu uppfærð til að meta hvort áhætta vegna samningssambandsins hafi breyst,
3. metið sé með reglubundnum hætti hvort viðskiptamaður sé í áhættuhópi vegna stjórn­mála­legra tengsla,
4. vitað sé um uppruna þess fjár sem notað er í viðskiptum, þegar það á við; og
5. viðhaft sé aukið eða kerfisbundið eftirlit með áhættumeiri viðskiptum og samnings­samböndum.

Sýni niðurstaða áhættumats litla áhættu má aðlaga eftirlit með viðskiptasambandi þannig að gögn og upplýsingar séu uppfærðar sjaldnar eða einungis í þeim tilvikum þegar viðskiptavinur bætir við sig vöru eða þjónustu sem telst áhættumeiri. Jafnframt er heimilt að haga eftirliti með þeim hætti að það fari fram þegar viðskipti fara yfir tiltekin fjárhæðarmörk. Slík fjárhæðarmörk skulu ákveðin með hliðsjón af hættu á peningaþvætti og fjármögnun hryðjuverka og vera hæfilega lág. Kerfi til­kynn­ingars­kyldra aðila skulu geta greint tengdar greiðslur sem myndu leiða til þess að viðskipti fari yfir þau fjárhæðarmörk sem tilkynningarskyldur aðili hefur sett.

10. gr.

Stýringar og verkferlar.

Tilkynningarskyldir aðilar skulu hafa skjalfesta stefnu, stýringar og verkferla til að draga úr og stýra áhættu sem stafar af hættu á peningaþvætti og fjármögnun hryðjuverka. Ráðstafanir til­kynn­ingar­skyldra aðila samkvæmt þessu ákvæði skulu vera í samræmi við stærð, eðli og umfang starfsemi tilkynningarskylds aðila og margbreytileika starfseminnar, sbr. 5. gr. laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.

11. gr.

Varðveisla gagna.

Tilkynningarskyldir aðilar skulu varðveita öll eftirfarandi gögn og upplýsingar, þar á meðal upp­lýsingar sem aflað hefur verið með rafrænum hætti, að lágmarki í fimm ár frá útgáfu áhættu­mats:

1. skjalfesta aðferðarfræði við gerð áhættumats,
2. yfirlit yfir þau gögn og upplýsingar sem aflað var við mat á hverjum áhættuþætti og hvaðan þeirra var aflað,
3. undirbúningsgögn áhættumatsins,
4. rökstuðning fyrir áhættuflokkun; og
5. áhættumat.

Gögn samkvæmt 1. mgr. skulu varðveitt með þeim hætti að unnt sé að afhenda eftirlitsaðila þau án tafar sé þess óskað.

12. gr.

Upplýsingar til eftirlitsaðila.

Eftirlitsaðilum og öðrum viðeigandi stjórnvöldum samkvæmt lögum um aðgerðir gegn peninga­þvætti og fjármögnun hryðjuverka skal afhent afrit af áhættumati ef þess er óskað.

13. gr.

Viðurlög.

Brot gegn eftirfarandi ákvæðum reglugerðarinnar geta varðað stjórnvaldssektum skv. 46. gr. laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka:

1. vanræksla tilkynningarskylds aðila að gera skjalfesta aðferðarfræði skv. 4. gr.,
2. vanræksla á að viðhafa reglulega vöktun og eftirlit með áhættumati skv. 9. gr.,
3. vanræksla á því að varðveita gögn og upplýsingar skv. 11. gr.

14. gr.

Gildistaka.

Reglugerð þessi er sett með heimild í 56. gr. laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka nr. 140/2018 og öðlast þegar gildi.

Dómsmálaráðuneytinu, 23. maí 2019.

Þórdís Kolbrún Reykfjörð Gylfadóttir.

Haukur Guðmundsson.