Kapitel 2 1 Risikovurdering og risikostyring
Virksomheder og personer omfattet af denne lov skal identificere og vurdere risikoen for, at virksomheden eller personen kan blive misbrugt til hvidvask eller finansiering af terrorisme. Risikovurderingen skal foretages med udgangspunkt i virksomhedens eller personens forretningsmodel og omfatte vurderingen af risikofaktorer, der er forbundet med kunder, produkter, tjenesteydelser og transaktioner samt leveringskanaler og lande eller geografiske områder, hvor forretningsaktiviteterne udøves. Risikovurderingen skal dokumenteres og løbende opdateres.
Stk. 2 Den daglige ledelse i virksomheder omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, skal udpege en ansat, der har fuldmagt til at træffe beslutninger på vegne af virksomheden i henhold til § 8, stk. 2, § 17, stk. 2, nr. 5, § 18, stk. 3, og § 19, stk. 1, nr. 3. Personen kan være medlem af virksomhedens daglige ledelse. Personen skal have tilstrækkeligt kendskab til virksomhedens risiko for hvidvask og terrorfinansiering til at kunne træffe beslutninger, der kan påvirke virksomhedens risikoeksponering. Personen skal endvidere have et tilstrækkelig godt omdømme og må ikke have udvist en adfærd, der giver grund til at antage, at personen ikke vil varetage stillingen på forsvarlig måde.
Stk. 3 Erhvervsministeren og skatteministeren kan inden for deres respektive ressortområder fastsætte regler om undtagelser fra kravene i stk. 1. Erhvervsministeren kan fastsætte regler om undtagelser fra kravene i stk. 1 i forhold til advokater, jf. § 1, stk. 1, nr. 13. Erhvervsministeren kan fastsætte regler om undtagelser for kravene i stk. 2.
Virksomheder og personer omfattet af denne lov skal have tilstrækkelige skriftlige politikker, forretningsgange og kontroller, som skal omfatte risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af medarbejdere og intern kontrol til effektiv forebyggelse, begrænsning og styring af risici for hvidvask og finansiering af terrorisme. Politikker, kontroller og forretningsgange skal udarbejdes med udgangspunkt i risikovurderingen foretaget efter § 7 under hensyntagen til virksomhedens størrelse.
Stk. 2 Politikker, kontroller og forretningsgange, der er udarbejdet i henhold til stk. 1, skal godkendes af den i § 7, stk. 2, udpegede person.
Stk. 3 Den daglige ledelse i virksomheder, som er omfattet af § 1, stk. 1, nr. 1-7, dog ikke disses filialer, distributører og agenter her i landet, og som i henhold til anden lovgivning er forpligtet til at have en compliancefunktion, skal udpege en complianceansvarlig på ledelsesniveau, som skal kontrollere og vurdere, om forretningsgangene i henhold til stk. 1 og de foranstaltninger, der træffes for at afhjælpe eventuelle mangler, er effektive, og kontrollere, at virksomheden underretter Hvidvasksekretariatet, jf. § 26, stk. 1.
Stk. 4 Bestyrelser i virksomheder, som er omfattet af § 1, stk. 1, nr. 1-7, dog ikke disses filialer, distributører og agenter her i landet, og som har en intern revision eller intern audit, og bestyrelser i andre virksomheder, der er omfattet af § 1, stk. 1, og som i henhold til anden lovgivning er underlagt krav om en intern revision eller intern audit, skal sikre, at den interne revision eller interne audit vurderer, hvorvidt virksomhedens politikker, forretningsgange og kontroller, jf. kravene i denne lov og regler udstedt i medfør heraf, er tilrettelagt og fungerer på betryggende vis.
Stk. 5 Virksomheder, dog ikke disses filialer, distributører og agenter her i landet, skal, hvor det vurderes relevant, udpege et medlem af direktionen, der er ansvarlig for virksomhedens gennemførelse af kravene i denne lov og regler udstedt i medfør heraf.
Stk. 6 Virksomheder og personer omfattet af denne lov skal sikre, at ansatte, herunder ledelsen, har modtaget tilstrækkelig undervisning i kravene i denne lov og regler udstedt i medfør heraf samt relevante krav om databeskyttelse.
Koncerner skal ud over kravene i § 8 have tilstrækkelige skriftlige politikker for databeskyttelse samt skriftlige politikker og forretningsgange for udveksling af oplysninger, der udveksles med det formål at bekæmpe hvidvask af penge og finansiering af terrorisme, inden for koncernen.
Stk. 2 Virksomheder, der er en del af en koncern, skal ud over kravene i § 8 efterleve koncernens politikker og forretningsgange.