Risikovurdering og sammenfatning
Banken driver virksomhed i Grønland, hvor Grønlands Selvstyre er lovgivende myndighed. Dette betyder, at banken på en række områder, herunder hvidvaskområdet, er undergivet andre regler end de, der er gældende i Dan-
mark.
Banken er det største pengeinstitut i Grønland og har hovedkontor i Nuuk. Banken har ud over hovedkontoret fem filialer i mindre byer i Grønland og er det eneste pengeinstitut uden for Nuuk. Ud over de egentlige filialer er der i ca. 50 bygder mulighed for kontooprettelse, kontante ind- og udbetalinger og kontooverførsler i KNI’s bygdebutikker (Pilersuisoq) under det såkaldte By-Bygd-Bank-system (BBB-system).
Finanstilsynet vurderer, at bankens iboende risiko for at blive misbrugt til hvidvask eller finansiering af terrorisme er mellem til høj.
I vurderingen har Finanstilsynet særligt lagt vægt på, at banken i overvejende grad udbyder sædvanlige bankprodukter og hovedsagelig har kunder i Grønland. Området for kontante transaktioner, som indebærer en forhøjet risiko for hvidvask og terrorfinansiering, ses desuden at være stort, idet de særlige geografiske forhold nødvendiggør brugen af By-Bygd-Bank-Systemet, der i sin struktur indebærer en potentiel risiko.
På baggrund af inspektionen har et antal områder givet anledning til tilsynsmæssige reaktioner.
Banken har ikke i tilstrækkelig grad opfyldt sin pligt til at gennemføre løbende kundekendskabsprocedurer, herunder når en kundes relevante omstændigheder ændrer sig, og i øvrigt på passede intervaller, idet banken ikke har haft en proces herfor i en længere årrække.
Der er hermed en risiko for, at bankens oplysninger om eksisterende kunder ikke er korrekte og tilstrækkelige. Dette er væsentligt, idet risikovurderingen af et kundeforhold kan have ændret sig og dermed også behovet for revurdere at intervallet for gennemførelsen af kundekendskabsprocedurerne.
Banken har derfor fået påbud om at gennemføre løbende kundekendskabsprocedurer i alle kundeforhold, der afhænger af kundens risiko, herunder når kundens relevante omstændigheder ændrer sig. Dette gælder også for de kunder, hvor banken endnu ikke har foretaget opdateringer af oplysningerne. Banken skal ved udgangen af hvert kvartal orientere Finanstilsynet om, hvorvidt banken overholder sin plan for opdatering af løbende kundekendskabsprocedurer.[1]
Banken har ikke sikret, at den i tilstrækkeligt omfang vurderer og indhenter viden om kundeforholdenes formål og tilsigtede beskaffenhed. Banken har desuden ikke sikret overensstemmelse mellem de oplysninger, som kunden angiver i sit kundekendskabsskema og de oplysninger, som banken registrerer i sit kundekendskabssystem, hvilket giver en utilstrækkelig datakvalitet. Det er desuden Finanstilsynets vurdering, at banken ikke i tilstrækkeligt omfang forholder sig til de oplysninger, som kunderne afgiver, herunder om oplysningerne er korrekte.
Der er hermed en risiko for, at banken ikke kender sine kunder tilstrækkeligt, og/eller at banken har ukorrekte oplysninger om kunderne i sit system. Dette er væsentligt, da kendskabet til kunderne og datakvaliteten har betydning for, om banken har en effektiv overvågning af kunderne med henblik på at opdage mistænkelige transaktioner.
Banken har derfor fået påbud om, at banken i tilstrækkeligt omfang skal indhente viden om forretningsforbindelsernes formål og tilsigtede beskaffenhed, herunder at sikre datakvaliteten af de oplysninger, som banken angiver i sit kundekendskabssystem.[2]
Bankens risikoklassifikationsmodel er utilstrækkelig, idet den er for simpel og ikke inddrager alle relevante oplysninger og faktorer, der knytter sig til det enkelte kundeforhold. F.eks. differentierer modellen ikke mellem, hvilke lande kunden ønsker at gennemføre transaktioner til. Det betyder, at med bankens model vil en kunde, der gennemfører en transaktion til et land uden for Rigsfællesskabet til et lavrisikoland få tildelt samme point som en kunde, der gennemfører transaktioner til et land, som er opført på Europa-Kommissionens liste over højrisikotredjelande.
Der er hermed en risiko for, at bankens vægtning af de enkelte risikomomenter medfører, at banken ikke fastlægger en retvisende forretnings- og risikoprofil. Dette er væsentligt, idet banken ud fra denne skal gennemføre kundekendskabsprocedure, herunder fastlægge interval for gennemførelsen heraf.
Banken har derfor fået påbud om at ændre sin nuværende risikoscoremodel, så den i højere grad inddrager alle relevante faktorer, herunder ændrer vægtningen af de enkelte risikomomenter, så kunder risikoklassificeres korrekt. Banken skal herefter foretage en fornyet risikovurdering af hvert kundeforhold således, at kunderne risikoklassificeres på baggrund af en konkret og dokumenteret vurdering, og at kendskabet til kunden er tilstrækkeligt i forhold til risikoen for hvidvask og finansiering af terrorisme. Banken skal i den forbindelse fremsende en plan for, hvornår den forventer at have foretaget fornyet risikovurdering af hvert kundeforhold.[3]
Banken har endvidere ikke gennemført skærpede kundekendskabsprocedurer for så vidt angår kunder, som af banken er risikoklassificeret som højrisiko. Banken gennemfører dermed de samme kundekendskabsprocedurer på kunder, der er mellem- og højrisiko. Der er hermed en risiko for, at banken ikke har et tilstrækkeligt kendskab til kundeforholdet, hvilket er væsentligt for at begrænse den øgede risiko for hvidvask og/eller terrorfinansiering.
Banken har derfor fået påbud om at gennemføre tilstrækkelige skærpede kundekendskabsprocedurer på de kunder, som af banken er risikoklassificeret som høj.[4]
Endeligt har banken fået påbud om at foretage en tættere kontrol med, at bankens spærringsfunktion for kunder, der ikke er tilstrækkeligt legitimeret, er passende og effektiv. Baggrunden for dette er, at bankens kunderådgivere selv har mulighed for at ophæve spærringen af kunder, der ikke er tilstrækkeligt legitimeret. Hermed risikerer banken at have kundeforhold, der har adgang til bankens produkter og services, selvom kundeforholdet endnu ikke er tilstrækkeligt legitimeret.[5]
[1] Hvidvaskanordningens § 10, nr. 1.
[2] Hvidvaskanordningens § 11, stk. 1, nr. 4.
[3] Hvidvaskanordningens § 11, stk. 3.
[4] Hvidvaskanordningens § 17, stk. 1.
[5] Hvidvaskanordningens § 8, stk. 1.