Lovgivningen om hvidvask er lidt af et minefelt for virksomhederne. De kan uforvarende og uden aktiv medvirken blive inddraget i en sag, og bødernes er forholdsvis store. Men samtidig er der grænser for, hvilke foranstaltninger man må sætte op for at holde sin sti ren. Siw Ryan og Troels Behnke Skak fra advokatfirmaet DAHL skriver her om både risici og bestyrelsens forpligtelser i henhold til hvidvaskloven og EU-direktivet DAC6.
Alle danske virksomheder er omfattet af hvidvasklovgivningen i Danmark, som indebærer en række forpligtelser for virksomhederne. Hensigten er at undgå, at virksomhederne misbruges til hvidvask eller finansiering af terrorisme. Den danske hvidvasklovgivning suppleres derudover af flere EU-direktiver, som vi vender tilbage til.
Hvidvasklovgivningen har til formål at sikre, at virksomheder hverken bidrager til økonomisk kriminalitet eller misbruges ved andres udøvelse af økonomisk kriminalitet. Stort set alle virksomheder berøres af lovgivningen, og den ansvarlige bestyrelse bør derfor overveje, om man konkret ”har etableret de fornødne procedurer for risikostyring og interne kontroller,” så virksomheden ikke udnyttes af en hvidvasksag.
Med de seneste års forhøjelser af bødeniveauet – også ved mindre overtrædelser af hvidvasklovgivningen – er det blevet særlig vigtigt at undgå overtrædelser. Hertil kommer, at virksomheder, som konstateres at være blevet misbrugt til hvidvask, ofte oplever en shitstorm. Her er historien typisk, at virksomheden har medvirket til hvidvask af midler – men i virkeligheden har virksomheden ikke opdaget, at den er blevet misbrugt til hvidvask (på grund af manglende eller utilstrækkelige procedurer eller retningslinjer), og har derfor forsømt indberetningspligten.
Hvidvasklovgivningen indeholder en række regler om indberetningspligt, undersøgelsespligt og visse forbud, som varierer altafhængigt af virksomhedens branche og størrelse. Forpligtelserne kan overordnet opdeles i tre kategorier.
For det første er et stort antal virksomheder underlagt flere regulatoriske regler – og dermed også forpligtelser, som vi udfolder i afsnittet nedenfor.
For det andet indeholder hvidvaskloven en række regler, som gælder alle virksomheder, men som ikke på samme måde medfører, at den enkelte virksomhed er forpligtet til at udarbejde procedurer og retningslinjer (som ved de regulatoriske regler).
For det tredje er alle virksomheder fra sommeren 2020 underlagt DAC6 (indberetningspligt) i forbindelse med visse grænseoverskridende ordninger.
Forpligtelser for virksomheder, der er omfattet af hvidvasklovgivningens regulatoriske regler
Et stort antal virksomheder er omfattet af hvidvasklovens § 1, f.eks. banker, sparekasser, forsikringsselskaber, revisorer, advokater, ejendomsmæglere, finansielle leasingselskaber, visse kunsthandlere, udbydere af virtuelle valutaer og tegnebøger mv. og øvrige virksomheder, som driver virksomhed med lignende områder.
Disse virksomheder er i hvidvaskloven underlagt en lang række forpligtelser til:
- At legitimere deres kunder
- Løbende at overvåge kundeforholdet
- At notere undersøgelse som følge af en mistanke til en kunde
- Om nødvendigt at indberette mistænkelige forhold ved en kunde
Virksomheder, der er underlagt disse forpligtelser i hvidvaskloven, er desuden forpligtet til at udarbejde tilstrækkelige politikker, procedurer og retningslinjer for at kunne håndtere disse forpligtelser og dokumentere håndteringen heraf.
Da forpligtelserne for virksomheder som de førnævnte er særligt udvidede, bør den enkelte virksomheds bestyrelse tilsvarende have et udvidet fokus på, at virksomheden til stadighed har udarbejdet de fornødne procedurer. Bestyrelsen bør også sikre, at de udarbejdede procedurer rent faktisk anvendes, da det er afgørende, at der også sker udøvelse af procedurerne.
Forpligtelser for øvrige virksomheder
For de virksomheder, som ikke er omfattet af hvidvasklovens § 1 – hvilket er hovedparten af danske virksomheder – er kravene i hvidvaskloven ikke de samme. Virksomhederne er dog alligevel underlagt en række regler i hvidvaskloven.
Virksomhederne har eksempelvis pligt til at tage falske penge ud af omløb, skal overholde forbuddet om ikke at anvende EUR 500-sedler og må ikke modtage kontante betalinger på 50.000 kr. eller derover.
Især sidstnævnte krav kan give anledning til problemer, idet kravet gælder, uanset om betalingen sker på én gang eller ad flere omgange, der fremstår indbyrdes forbundet. For virksomheder, som i et vist omfang modtager kontante betalinger, kan forbuddet medføre panderynker. I mange tilfælde vil det nemlig ikke være nok, at virksomheden har indrettet sig med procedurer, som forbyder medarbejderne at tage imod betalinger over kr. 49.999. Virksomheden skal også indrette sine procedurer sådan, at virksomhedens medarbejdere er opmærksomme på betalinger, som fremstår indbyrdes forbundet – ellers vil betalinger, som samlet overstiger grænsen på kr. 49.999, være en overtrædelse af kontantforbuddet.
Bestyrelsen i en virksomhed, der modtager kontante betalinger som en naturlig del driften, skal derfor sikre, at virksomheden har etableret de fornødne procedurer til ikke blot at undgå at modtage kontante betalinger på mere end kr. 49.999, men også til at spotte kontante betalinger, som fremstår indbydes forbundet.
Forpligtelserne i forhold til DAC6-indberetningspligten
Udover forpligtelserne i hvidvaskloven har virksomheder fra sommeren 2020 fået en ny indberetningspligt, også kaldet DAC6.
DAC6 er et EU-direktiv, som har til formål at medvirke til at minimere omfanget af aggressiv skatteplanlægning.
DAC6 fastsætter reglerne for en ny indberetningspligt til myndigheder i EU-medlemsstater for relevante skatteydere og mellemmænd, som er involverede i grænseoverskridende ordninger, der opfylder nærmere fastsatte retningslinjer. I Danmark skal indberetningen ske til Skatteforvaltningen, og de indberetningspligtige til Skatteforvaltningen er mellemmænd og relevante skatteydere.
Relevante skatteydere kan f.eks. være en virksomhed, der får stillet en grænseoverskridende ordning til rådighed. I det tilfælde, at der ikke er en mellemmand, som f.eks. rådgiver eller assisterer, kan den relevante skatteyder, f.eks. en virksomhed, blive omfattet af indberetningspligten i DAC6, hvis virksomheden selv forestår indgåelsen af en aftale, transaktion eller lignende.
Virksomheder, der indgår aftaler eller lignende med enheder i andre EU-medlemsstater, skal derfor være særligt opmærksomme på indberetningspligten efter DAC6 – især hvis de ikke anvender rådgivere i form af mellemmænd, som er indberetningspligtige. Det er desuden ekstra relevant, når der mellem forbundne foretagender i forskellige EU-medlemsstater sker transaktioner, f.eks. overdragelse af immaterielle aktiver mellem moder- og datterselskaber, hvor der ikke er inddraget mellemmænd.
Manglende indberetning til Skatteforvaltningen af en indberetningspligtig grænseoverskridende ordning kan medføre store bøder. Bestyrelsen i virksomheder er derfor nødsaget til at sikre, at der er tilstrækkelige retningslinjer for virksomheden i forbindelse med vurderingen af, hvorvidt en grænseoverskridende ordning er indberetningspligtig til en skattemyndighed. Virksomheder, der er involverede i grænseoverskridende aktiviteter, skal derfor være særligt opmærksomme på indberetningspligten efter DAC6, som begynder at løbe pr. 1. januar 2021.
Bestyrelsens dilemma: Hvordan balanceres hensynet til nødvendige procedurer og overimplementering?
Som det fremgår af gennemgangen af reglerne ovenfor, er der er lang række forhold i hvidvaskloven og DAC6, som medfører forpligtelser for en bestyrelse.
I nogle tilfælde er der tale om egentlige lovkrav om konkrete procedurer, retningslinjer mv. i en virksomhed. Her skal bestyrelsen naturligvis påse, at de krævede procedurer er udarbejdet og anvendes.
I mange andre tilfælde er det imidlertid ikke et egentligt lovkrav, at der udarbejdes bestemte procedurer, men på grund af lovgivningens kompleksitet vil det i praksis være nødvendigt at udarbejde de egentlige procedurer for at sikre, at lovgivningen overholdes. Her vil mange bestyrelser opleve at stå i et dilemma – for hvordan afvejes hensynet til at have de tilstrækkelige procedurer mod hensynet til ikke at overimplementere procedurerne?
Konsekvenserne ved en ”underimplementering” mærkes først i det tilfælde, at virksomheden overtræder reglerne i hvidvaskloven og DAC6. Her er udgangspunkt et bødeansvar, som efter praksis ansættes til 25 pct. af transaktionsværdien – dog mindst 10.000 kr. Er der tale om en virksomhed, som er omfattet af hvidvasklovens § 1 og derfor underlagt de regulatoriske regler, er en eventuel manglende udarbejdelse af de krævede procedurer og retningslinjer mv. også bødebelagt.
En overimplementering er dog heller ikke en gangbar løsning. For det første vil en overimplementering i mange situationer medføre, at andre lovregler overtrædes – f.eks. i relation til GDPR – hvilket også kan medføre et bødeansvar.
For det andet vil en overimplementering også ofte medføre en række interne retningslinjer, som fremstår unødvendigt komplekse. Det kan betyde, at retningslinjerne ikke efterleves i praksis – og at virksomhedens risiko for at overtræde reglerne i hvidvaskloven dermed forhøjes.
I relation til den nye kontrolpakke anbefaler vi, at enhver bestyrelse udarbejder klare retningslinjer til direktionen for, hvad der forventes af direktionen mht. at efterleve den 5-årige opbevaringsforpligtelse for selskabsdokumenter.
Forfatterne er advokat Siw Ryan og advokat/partner Troels Behnke Skat fra DAHL Advokatpartnerselskab.