1. gr.
Gildissvið.
Reglugerðin gildir um tilkynningarskylda aðila skv. 2. gr. laga nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.
2. gr.
Skylda til að gera áhættumat.
Tilkynningarskyldum aðilum er skylt að gera skriflegt heildstætt áhættumat á rekstri sínum og viðskiptum. Áhættumat felur í sér að bera kennsl á og meta áhættu á peningaþvætti og fjármögnun hryðjuverka í starfsemi tilkynningarskylds aðila, út frá helstu veikleikum og ógnum sem að honum beinast. Nota skal áhættumatið til að útbúa stefnu, stýringar og verkferla til að draga úr og stýra greindri áhættu.
3. gr.
Undanþága frá gerð áhættumats.
Eftirlitsaðilar geta veitt undanþágu frá skyldu til að framkvæma áhættumat sé sýnt fram á að tiltekin starfsemi eða viðskipti séu þess eðlis að áhættuþættir séu skýrir og þekktir og viðeigandi ráðstafanir til að draga úr þekktri áhættu til staðar.
Beiðni tilkynningarskylds aðila um undanþágu skv. 1. mgr. skulu fylgja greinagóðar upplýsingar og rökstuðningur um með hvaða hætti skilyrði ákvæðisins séu uppfyllt.
4. gr.
Aðferðafræði við gerð áhættumats.
Áður en áhættumat er unnið skal tilkynningarskyldur aðili skjalfesta þá aðferðafræði sem notuð verður við gerð áhættumatsins. Þar skal koma fram með skýrum hætti hvernig matið fer fram, m.a. hvernig bera skal kennsl á áhættuþætti, hvar og hvernig gagna er aflað, hvernig áhættuflokkun fer fram og hvaða viðmið eru notuð við áhættuflokkun. Færa skal rök fyrir þeirri nálgun sem tilkynningarskyldur aðili kýs að beita við áhættumat sitt. Fara skal fram reglulegt mat á aðferðafræði og hún uppfærð ef tilefni er til.
5. gr.
Áhættumat.
Áhættumat skal taka til allra rekstrarþátta tilkynningarskylds aðila, byggja á heildstæðum, viðeigandi og fullnægjandi gögnum og upplýsingum og ná til allra mögulegra áhættuþátta sem tengjast peningaþvætti og fjármögnun hryðjuverka. Matið skal m.a. fjalla um áhættu tengda:
Ávallt skal framkvæma skjalfest áhættumat áður en boðið er upp á nýjar vörur eða þjónustu og þegar teknar eru í notkun nýjar dreifileiðir og ný tækni.
Áhættumat skal taka mið af stærð, eðli og umfangi starfsemi tilkynningarskyldra aðila og margbreytileika starfseminnar. Áhættumat tilkynningarskyldra aðila, sem stunda einsleita og einfalda starfsemi þar sem áhætta er vel þekkt eða stunda starfsemi sem er eingöngu bundin við áhættulítil innlend viðskipti, þarf hvorki að vera ítarlegt né margbrotið.
Við gerð áhættumats skal:
Áhættumatið á að endurspegla hættu á peningaþvætti og fjármögnun hryðjuverka í starfsemi tilkynningarskylds aðila og þær stýringar og aðferðir sem notaðar eru til að draga úr áhættunni.
Í áhættumati skal m.a. fjallað um:
Tilkynningarskyldir aðilar skulu geta rökstutt fyrir eftirlitsaðila að áhættumat og áhættustýringar hans séu fullnægjandi.
6. gr.
Upplýsingar og gögn við gerð áhættumats.
Við gerð áhættumats skal byggja á fjölbreyttum upplýsingum um þekkta áhættu og áhættuþætti, hvort sem er frá opinberum aðilum eða öðrum viðeigandi aðilum.
Hafa skal áhættumat skv. 4. gr. laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka til hliðsjónar og eftir atvikum líta til eftirfarandi:
Aðrir þættir sem geta nýst við gerð áhættumats eru m.a.:
7. gr.
Áhættuflokkun og vægi.
Tilkynningarskyldir aðilar skulu tilgreina í aðferðafræði skv. 4. gr. hvaða áhættuflokka þeir nota, viðmið að baki hverjum flokki og vægi hvers áhættuþáttar.
Þegar einstakur áhættuþáttur er metinn skulu tilkynningarskyldir aðilar að lágmarki tryggja að:
Tilkynningarskyldum aðilum er heimilt að nota sjálfvirk upplýsingatæknikerfi til þess að komast að niðurstöðu um áhættuflokkun í því skyni að flokka samningssambönd og einstök viðskipti. Tilkynningarskyldur aðili þarf að geta útskýrt fyrir eftirlitsaðila hvernig kerfið virkar og hvernig það sameinar áhættuþætti til þess að komast að endanlegri niðurstöðu varðandi áhættuflokkun. Tilkynningarskyldur aðili þarf að tryggja að niðurstaðan endurspegli skilning viðkomandi á hættu á peningaþvætti og fjármögnun hryðjuverka og geti rökstutt slíka niðurstöðu gagnvart eftirlitsaðilum.
8. gr.
Notkun áhættumats.
Áhættumat er grundvöllur ákvörðunar um með hvaða hætti eftirlit með peningaþvætti og fjármögnun hryðjuverka skuli framkvæmt hjá tilkynningarskyldum aðilum.
Áhættumatið skal notað til að ákveða tegund og umfang áreiðanleikakönnunar sem framkvæma skal vegna samningssambanda og einstakra viðskipta, m.a. til þess að meta í hvaða tilvikum beri að beita aukinni áreiðanleikakönnun og hvenær heimilt sé að beita einfaldaðri áreiðanleikakönnun.
9. gr.
Vöktun og eftirlit.
Tilkynningarskyldir aðilar skulu viðhafa reglulega vöktun og eftirlit með áhættumati sínu og uppfæra það á tveggja ára fresti eða oftar ef tilefni er til.
Vöktun og eftirlit skv. 1. mgr. skal felast í því að tryggja að:
Sýni niðurstaða áhættumats litla áhættu má aðlaga eftirlit með viðskiptasambandi þannig að gögn og upplýsingar séu uppfærðar sjaldnar eða einungis í þeim tilvikum þegar viðskiptavinur bætir við sig vöru eða þjónustu sem telst áhættumeiri. Jafnframt er heimilt að haga eftirliti með þeim hætti að það fari fram þegar viðskipti fara yfir tiltekin fjárhæðarmörk. Slík fjárhæðarmörk skulu ákveðin með hliðsjón af hættu á peningaþvætti og fjármögnun hryðjuverka og vera hæfilega lág. Kerfi tilkynningarskyldra aðila skulu geta greint tengdar greiðslur sem myndu leiða til þess að viðskipti fari yfir þau fjárhæðarmörk sem tilkynningarskyldur aðili hefur sett.
10. gr.
Stýringar og verkferlar.
Tilkynningarskyldir aðilar skulu hafa skjalfesta stefnu, stýringar og verkferla til að draga úr og stýra áhættu sem stafar af hættu á peningaþvætti og fjármögnun hryðjuverka. Ráðstafanir tilkynningarskyldra aðila samkvæmt þessu ákvæði skulu vera í samræmi við stærð, eðli og umfang starfsemi tilkynningarskylds aðila og margbreytileika starfseminnar, sbr. 5. gr. laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka.
11. gr.
Varðveisla gagna.
Tilkynningarskyldir aðilar skulu varðveita öll eftirfarandi gögn og upplýsingar, þar á meðal upplýsingar sem aflað hefur verið með rafrænum hætti, að lágmarki í fimm ár frá útgáfu áhættumats:
Gögn samkvæmt 1. mgr. skulu varðveitt með þeim hætti að unnt sé að afhenda eftirlitsaðila þau án tafar sé þess óskað.
12. gr.
Upplýsingar til eftirlitsaðila.
Eftirlitsaðilum og öðrum viðeigandi stjórnvöldum samkvæmt lögum um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka skal afhent afrit af áhættumati ef þess er óskað.
13. gr.
Viðurlög.
Brot gegn eftirfarandi ákvæðum reglugerðarinnar geta varðað stjórnvaldssektum skv. 46. gr. laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka:
14. gr.
Gildistaka.
Reglugerð þessi er sett með heimild í 56. gr. laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka nr. 140/2018 og öðlast þegar gildi.
Dómsmálaráðuneytinu, 23. maí 2019.
Þórdís Kolbrún Reykfjörð Gylfadóttir.
Haukur Guðmundsson.