Redegørelse om hvidvaskinspektion i Lån & Spar Bank A/S

Finanstilsynet var i maj 2025 på inspektion i Lån & Spar Bank A/S. Inspektionen var en undersøgelse af hvidvaskområdet. Inspektionen omfattede, om banken på nærmere afgrænsede områder har en tilstrækkelig forebyggelse af hvidvask og terrorfinansiering. Finanstilsynet undersøgte desuden, om banken overholder EU's sanktioner. 

Finanstilsynet foretog en del af inspektionen med fokus på, om bankens systemer på hvidvaskområdet og bankens anvendelse heraf fungerer betryggende. 

Inspektionen omfattede gennemgang af bankens:

• Risikovurdering
• Politikker og forretningsgange
• Kundekendskabsprocedurer, herunder risikoklassificering af såvel privat- som virksomhedskunder
• Overvågning af kunder, herunder overholdelse af undersøgelses-, noterings-, opbevarings- og underretningspligten
• Sanktionsscreening
• Interne kontroller
• Outsourcingaftaler

Risikovurdering og sammenfatning

Lån & Spar Bank A/S er en landsdækkende børsnoteret bank, der udbyder traditionelle bankprodukter. Banken driver en filial i Sverige, der udbyder udlån til svenske privatkunder.

Finanstilsynet vurderer, at bankens iboende risiko for at blive brugt til hvidvask eller finansiering af terrorisme er høj vurderet i forhold til gennemsnittet af finansielle virksomheder i Danmark. I vurderingen har Finanstilsynet særligt lagt vægt på bankens udbudte produkter, der for en stor dels vedkommende er egnet til at blive brugt til hvidvask.

På baggrund af inspektionen har en række områder givet anledning til tilsynsmæssige reaktioner.

Finanstilsynet vurderer, at bankens hvidvaskpolitik ikke i tilstrækkelig grad beskriver, hvordan banken vil håndtere sine risici for at undgå at blive brugt til hvidvask eller terrorfinansiering. Endvidere fastsætter politikken ikke i tilstrækkeligt omfang bankens overordnede strategiske mål for forebyggelse af hvidvask og terrorfinansiering.

Dette indebærer en risiko for, at bankens strategiske styring af hvidvask- og terrorfinansieringsrisici ikke er tilstrækkeligt målrettet. Det er væsentligt, da en politik for risikostyring udgør det overordnede grundlag for både strategisk og operationel risikostyring.

Banken har derfor fået påbud om at revidere sin politik på hvidvaskområdet, så den fastsætter de overordnede strategiske mål på området og indeholder principielle beslutninger om, hvordan banken skal indrettes, så risiciene for hvidvask og finansiering af terrorisme imødegås.[i]

Bankens compliancefunktion gennemfører ikke tilstrækkeligt dybdegående kontroller af bankens foranstaltninger mod hvidvask og terrorfinansiering.

Mangelfuld compliancekontrol indebærer en risiko for, at mangler i bankens foranstaltninger mod hvidvask og terrorfinansiering ikke identificeres eller håndteres af banken. En tilstrækkelig compliancekontrol er et væsentligt element i bankens risikostyring og understøtter de forebyggende foranstaltninger mod hvidvask og terrorfinansiering.

Banken har derfor fået påbud om at sikre, at compliancefunktionen fyldestgørende kontrollerer og vurderer, om bankens forretningsgange opfylder kravene i hvidvaskloven, om forretningsgangene er effektivt implementeret, og om de foranstaltninger, der træffes for at afhjælpe eventuelle mangler på hvidvaskområdet, er effektive.[ii]

Banken ajourfører ikke i tilstrækkelig grad kundekendskabsoplysninger på baggrund af relevante undersøgelser og oplysninger.

Dette indebærer en risiko for, at bankens kundekendskab ikke afspejler bankens faktiske viden om kundens adfærd og dermed, at bankens løbende overvågning ikke i tilstrækkelig grad identificerer usædvanlige transaktioner.

Det er væsentligt, da løbende overvågning skal sikre, at kundernes transaktioner og aktiviteter er i overensstemmelse med bankens kendskab til kunderne.

Banken har derfor fået påbud om at ajourføre kundekendskabsoplysninger, når den bliver bekendt med, at en kundes relevante omstændigheder ændrer sig.[iii]

Banken indhenter ikke tilstrækkelig dokumentation for kundernes oplysninger om forventede aktiviteter, og banken tager ikke i tilstrækkelig grad stilling hertil.

Dette indebærer en risiko for, at banken ikke har det nødvendige kendskab til kunderne og dermed ikke kan vurdere forretningsforbindelsens formål eller risikoprofil. Det er væsentligt, da et tilstrækkeligt kundekendskab er en forudsætning for, at banken kan gennemføre en løbende overvågning af kunderne og for at banken kan identificere usædvanlige transaktioner og aktiviteter hos kunderne.

Banken har derfor fået påbud om at vurdere og, hvor relevant, indhente tilstrækkelige oplysninger om forretningsforbindelsens formål og tilsigtede beskaffenhed.[iv]

Banken inddrager ikke alle relevante risikoparametre i risikoklassifikationen af sine kunder, herunder oplysninger om udenlandske overførsler og kontanttransaktioner. Derudover indebærer bankens risikovurderingsmodel, at manglende oplysninger om en kunde ikke øger kundens risikoscore.

Dette indebærer en risiko for, at banken ikke identificerer alle kunder med øget risiko for hvidvask eller terrorfinansiering. Det er væsentligt, da banken dermed ikke tilpasser kundekendskabsprocedurerne og overvågningen for disse kunder.

Banken har derfor fået påbud om at foretage en tilstrækkelig risikovurdering af sine kundeforhold, hvor alle relevante risikofaktorer oplistet i hvidvasklovens bilag 3 og nationale risikovurderinger inddrages, og hvor bankens identificerede risikofaktorer inddrages.[v]

Banken har ikke i tilstrækkelig grad har gennemført skærpede kundekendskabsprocedurer, hvor dette har været relevant.

Dette indebærer en risiko for, at banken ikke har tilstrækkeligt kundekendskab til at opdage mistænkelige forhold og overvåge transaktioner, herunder til og fra højrisikotredjelande. Skærpede kundekendskabsprocedurer er nødvendige for effektiv overvågning af højrisikokunder.

Banken har derfor fået påbud om at foretage skærpet overvågning af kunder, som banken vurderer har øget risiko, eller som har transaktioner, der involverer lande, der er opført på Europa-Kommissionens liste over højrisikotredjelande. Bankens hvidvaskansvarlige skal i sidstnævnte tilfælde godkende etablering og videreførelse af forretningsforbindelsen.[vi]

Finanstilsynet vurderer, at bankens sagsbehandlingstid af alarmer har været for lang, hvilket har medført, at undersøgelser af usædvanlige transaktioner ikke er foretaget rettidigt. Desuden er bankens forretningsgange for undersøgelser og notering af usædvanlige transaktioner ikke tilstrækkeligt detaljerede og beskrivende, ligesom banken har utilstrækkelig intern kontrol af medarbejderes eventuelle misbrug af stilling.

Banken havde desuden en betydelig backlog af alarmer på inspektionstidspunktet, som banken skulle have oplyst Finanstilsynet om af egen drift.

Der er ved for lang sagsbehandlingstid en risiko for, at banken ikke underretter Hvidvasksekretariatet om mistænkelige transaktioner uden unødig forsinkelse. Dette er væsentligt, da politiets mulighed for at iværksætte en eventuel efterforskning bl.a. afhænger af, om de modtager oplysninger om mistænkelige transaktioner og aktiviteter rettidigt.

Banken har derfor fået påbud om at sikre, at den rettidigt undersøger baggrunden for og formålet med usædvanlige transaktioner og aktiviteter, samt at sikre, at dens forretningsgange for iagttagelse af undersøgelses- og noteringspligt samt underretning til Hvidvasksekretariatet er operationelle og konkret angiver aktiviteter, herunder tidsmæssige frister for alarmbehandling. Banken skal desuden have tilstrækkelige kontroller til at sikre, at medarbejdere ikke kan misbruge deres stilling ved udførelse af undersøgelser efter § 25. Banken skal også sikre, at den får afviklet sin backlog i relation til alarmbehandling og omgående foretager underretning af mistænkelige transaktioner eller aktiviteter til Hvidvasksekretariatet, hvis den er vidende om eller har mistanke om, at en transaktion eller aktivitet har eller har haft tilknytning til hvidvask eller terrorfinansiering.[vii] 

Banken har desuden fået en påtale for, at den ikke oplyste Finanstilsynet om dens alarm-backlog af egen drift og hurtigst muligt.[viii]

Bankens kontrol med adgangen til at se og ændre scenarier for transaktionsmonitorering var indtil tidspunktet for inspektionen utilstrækkelig. Banken havde dog på tidspunktet for inspektionen rettet op på adgangskontrollen.

Manglende interne kontroller indebærer en risiko for, at banken ikke overvåger transaktioner korrekt, ikke håndterer alle relevante risici og ikke forebygger misbrug af stillinger til hvidvask eller terrorfinansiering.

Banken har derfor fået en påtale for, at den indtil tidspunktet for inspektionen ikke havde tilstrækkelig kontrol af personer med adgang til at tilgå og ændre i bankens scenarier til brug for transaktionsmonitorering.^[ix]