Hvem fører tilsyn med FATCA og CRS i Norge?

Skatteetaten er nasjonal kompetent myndighet for FATCA- og CRS-rapportering. Finanstilsynet fører tilsyn med organisering, internkontroll og AML/KYC i finansinstitusjoner. For QI-regimet er IRS (USA) primærtilsyn og avtalemotpart.

Hvilke sanksjoner kan være aktuelle ved manglende etterlevelse?

Typiske reaksjoner er formelle merknader og krav om retting, administrative sanksjoner etter skatte- og finanslovgivningen, skjerpet tilsyn fra Finanstilsynet samt – på US-siden – strengere krav eller tiltak under QI-avtalen og i ytterste konsekvens 30 % kildeskatt ved Nonparticipating-status etter FATCA.

Hvordan kan vi redusere risikoen for negative tilsynsfunn?

Viktige tiltak er en årlig compliance-plan for FATCA/CRS/QI, gode TIN- og GIIN-kontroller, solid data lineage og testinnsendinger, samordning mellom AML/KYC og skatteklassifisering, samt rask root-cause-analyse og dokumentert oppfølging når det oppstår funn.

Norge — Tilsyn & sanksjoner (FATCA, CRS/AIA & QI)

Sist oppdatert: 21. november 2025

Norge — Tilsyn & sanksjoner

Hvem fører tilsyn med hva? Skatteetaten (FATCA/CRS), Finanstilsynet (organisering/AML) og IRS (QI) – en oversikt over tilsynsområder, tiltak og typiske funn, inkludert risiko ved manglende etterlevelse.

1) Hvem fører tilsyn med hva?

Myndighet/organ	Hovedfokus	Eksempler på tilsyns-/kontrollområder
Skatteetaten	FATCA- & CRS/AIA-rapportering	Korrekthet og fullstendighet i XML-meldinger, rapporterte landkoder og US-TIN-andeler, GIIN-opplysninger, korrigerte meldinger/erstatningsoppgaver, fristoverholdelse og konsistens mot øvrige tredjepartsopplysninger.
Finanstilsynet	Organisering, governance, AML/KYC	Kundetiltak og løpende oppfølging, roller og ansvar, internkontroll og compliance, dokumentasjon, IT- og datakvalitet, outsourcingsavtaler og hvordan FATCA/CRS/QI er integrert i risikostyring og styringsdokumenter.
IRS	QI-regimet (US-kildeskatt)	W-8/W-9-dokumentasjon og «reason-to-know», identifisering av beneficial owner, korrekt kildeskatt og rapportering (Forms 1042/1042-S), Periodic Review og oppfølging av funn/sertifisering.

2) Mulige tiltak fra myndighetene

Skatteetaten Formelle merknader, krav om korrigerte meldinger og erstatningsoppgaver, skjerpet oppfølging ved gjentatte feil samt eventuelle administrative sanksjoner etter skatteforvaltningsregelverket.
Finanstilsynet Pålegg om å styrke organisering, styring og kontroll, forbedre AML/KYC-prosesser, rette opp mangler i IT- og rapporteringsløsninger; ved alvorlige forhold kan administrative sanksjoner og skjerpet tilsyn bli aktuelt.
IRS (QI/FATCA) Krav om remediations (bedre dokumentasjon, withholding og reporting), oppfølgings-reviews og i alvorlige tilfeller risiko for skarpere tiltak under QI-avtalen; for FATCA i ytterste konsekvens risiko for 30 % kildeskatt ved «Nonparticipating»-status overfor amerikanske betalere.

3) Typiske funn (eksempler)

TIN-/US-TIN-mangler: manglende eller ugyldige TIN/US-TIN uten dokumentert etterarbeidsprosess.
GIIN-feil: utdatert eller feil GIIN, avvik mot IRS’ FFI-liste, eller feil klassifisering av institusjoner.
Datainkonsistens mellom KYC/AML, FATCA-rapportering, CRS-rapportering og QI-dokumentasjon.
Svak governance: uklare roller, begrenset involvering fra ledelsen, manglende fire-øyne-kontroll og svakt issue-management.
Tekniske feil: schema- og business-rule-brudd, sen innsending av corrections, manglende testing ved systemendringer.

4) Sanksjonsrisiko (overordnet)

Skatte- og rapporteringsregelverket: Risiko for formelle merknader, pålegg om omfattende retting og administrative sanksjoner ved brudd på norske regler for FATCA/CRS-rapportering.
Tilsynsrettslig (Finanstilsynet): Pålegg om forbedring av styring og kontroll, skjerpet oppfølging og mulige sanksjoner etter finanslovgivningen ved systematiske mangler i AML/KYC, datakvalitet og internkontroll.
US-siden (QI/FATCA): Risiko for justert eller opphevet QI-status ved alvorlige/vedvarende brudd, og – for FATCA – i ytterste konsekvens 30 % kildeskatt på visse betalinger dersom institusjonen blir behandlet som Nonparticipating FFI.

5) Forebygging & oppfølging

Forebygging

Etabler en årlig compliance-plan for FATCA/CRS/QI med tydelige frister, eiere og ressursallokering.
Dokumenter data lineage og mapping fra kildesystemer til rapporterte felter; planlegg testinnsendinger.
Implementer robuste TIN- og GIIN-kontroller (listeavstemming, varsler, oppfølgingsløp mot kunder).
Samkjør AML/KYC-prosessene med FATCA/CRS-krav (self-certifications, indicia, «change in circumstances»).
Gjennomfør regelmessige opplæringer for Front/KYC, Tax/Finance og IT/rapporteringsfunksjoner.

Ved funn (internt eller eksternt)

Gjør en rask root-cause-analyse og etabler en konkret forbedringsplan med frister og ansvarlige.
Sikre en sporbar audit trail: fra identifisert avvik via tiltak og re-test til formell «closure».
Avstem data på tvers av KYC ↔ FATCA ↔ CRS ↔ QI for å rydde opp i strukturelle inkonsistenser.
Vurder behov for dialog med Skatteetaten/Finanstilsynet/IRS i mer komplekse eller prinsipielle saker.

6) Videre undersider (Norge-huben)

Norge-hub: Startside Norge (QI, FATCA, CRS/AIA)
Regulatorisk rammeverk: Rettskilder & myndighetsfordeling
Meldemekanismer: Innsending & teknikk (Skatteetaten)

Snakk med oss Til Norge-hubside

Merk: Konkrete tiltak og sanksjoner avhenger alltid av de faktiske omstendighetene i den enkelte sak. Det er de til enhver tid gjeldende lovene og forskriftene, Skatteetatens og Finanstilsynets veiledning og – for QI – IRS-regelverket som er rettslig bindende.