Sammenfatning og risikovurdering
Banken er baseret i Nordjylland med en betydelig markedsandel for både privatkunder og erhvervskunder, hvor banken tilbyder en bred vifte af finansielle ydelser. Banken har 60 filialer rundt om i Danmark. Bankens forretningsmodel er bl.a. baseret på et lokalbankprincip, hvor en stor del af ansvaret for bl.a. foranstaltningerne for forebyggelse af hvidvask og terrorfinansiering er fordelt ud på filialerne.
Grundet bankens størrelse er banken klassificeret som systemisk vigtigt institut (SIFI).
På baggrund af bankens forretningsmodel og bankens størrelse vurderer Finanstilsynet, at banken har en høj risiko for at blive brugt til hvidvask og finansiering af terrorisme.
Inspektionen har på et antal områder givet anledning til tilsynsmæssige reaktioner:
Banken har fået en risikooplysning om, at banken har en øget risiko for sanktionsbrud, hvis banken i forbindelse med, at en kunde med relation til højrisikolande skifter navn, ikke udfører sanktionsscreening på det tidligere navn, og hvis navneændringen ikke udløser en fornyet kundekendskabsprocedure.
Banken har fået påbud om at sikre, at banken udfører tilstrækkelige skærpede kundekendskabsprocedurer i alle kundeforhold, hvor banken vurderer, at der er øget risiko for hvidvask eller finansiering af terrorisme.
Banken har fået påbud om at sikre, at banken får afviklet sin backlog i relation til alarmbehandling og omgående foretager underretning af mistænkelige transaktioner eller aktiviteter til Hvidvasksekretariatet, hvis banken er vidende om eller har mistanke om, at en transaktion eller aktivitet har eller har haft tilknytning til hvidvask eller terrorfinansiering.
Banken har fået en påtale for, at banken ikke hurtigst muligt orienterede Finanstilsynet om bankens store backlog i relation til bankens alarmbehandling.
Banken har fået påbud om at udarbejde tilstrækkelige forretningsgange for og interne kontroller af bankens machine learning værktøj, så banken sikrer sig mod inkonsistent og fejlagtig alarmbehandling. Forretningsgange og interne kontroller skal være etableret, og banken skal gennem tests have sikret sig, at bankens machine learning værktøj har en lavere fejlrate, end banken anser for at være acceptabelt, før banken kan anvende machine learning værktøj til at undersøge bankens alarmer igen.
Banken har fået påbud om at genåbne alle bankens alarmer, som er behandlet af bankens machine learning værktøj og som ikke er manuelt behandlet, i de kvartaler, hvor machine learning værktøjet blev fejlagtig anvendt. Dette dækker perioden Q3 2022 til og med Q2 2023.
Banken har fået påbud om at sikre, at compliancefunktionen kontrollerer og vurderer, om de foranstaltninger, der bliver truffet for at afhjælpe eventuelle mangler i forhold til bankens skærpede kundekendskabsprocedurer og bankens alarmbehandling, som inkluderer bankens håndtering af backlog og machine learning værktøjet, er effektive.
Banken har fået påbud om at sikre, at bankens interne revision vurderer, hvorvidt virksomhedens politikker, forretningsgange og kontroller vedrørende bankens backlog på undersøgelse af alarmer er tilrettelagt og fungerer på betryggende vis, og om compliancefunktionen i tilstrækkeligt omfang kontrollerer effektiviteten i de foranstaltninger, som banken træffer for at afhjælpe identificerede mangler.
Banken har fået påbud om at sikre, at banken foretager korrekt indberetning af oplysninger, der er nødvendige til brug for Finanstilsynets risikovurdering af virksomheder og personer, herunder antal forretningsforbindelser, der er blevet afviklet i referenceperioden på baggrund af mistanke om hvidvask eller terrorfinansiering og antal kunder, der inden kundeforhold blev etableret, blev afvist i referenceperioden på grund af risiko for hvidvask eller terrorfinansiering.