Inspektionen var en undersøgelse af hvidvaskområdet og omfattede sparekassens organisation, risikovurdering, politikker og forretningsgange på hvidvaskområdet. Desuden omfattede inspektionen sparekassens kundekendskab og -overvågning samt overholdelse af undersøgelses-, noterings-, underretnings- og opbevaringspligterne og kravene til interne kontroller på området.
Risikovurdering og sammenfatning
Sparekassen Balling er et mindre pengeinstitut med Salling, Skive og Holstebro-området samt omkringliggende kommuner som sit primære markedsområde. Ud over hovedsædet i Balling har sparekassen en filial i hhv. Skive og i Holstebro. Sparekassen har en traditionel forretningsmodel med de mest anvendte bankprodukter, herunder ind- og udlånsprodukter, samt formidling af finansielle produkter indenfor realkredit-, investerings-, pensions- og forsikringsområdet. Den primære kundegruppe er private husstande samt mindre og mellemstore virksomheder.
Finanstilsynet vurderer, at virksomhedens iboende risiko for at blive brugt til hhv. hvidvask og finansiering af terrorisme er middel-høj. Finanstilsynets vurdering er bl.a. baseret på sparekassens brede produktflade, herunder produkter, som er egnet til at blive brugt til hvidvask, en høj omsætning af kontanter og overførsler til udlandet.
På baggrund af inspektionen har et antal områder givet anledning til tilsynsmæssige reaktioner.
Finanstilsynet vurderer, at sparekassen ikke i tilstrækkeligt omfang har afdækket de for sparekassen relevante risikofaktorer. Finanstilsynet vurderer endvidere, at sparekassen ikke har inddraget PET’s Nationale Risikovurdering for Terrorfinansiering, som blev udgivet i januar 2024. Der er hermed en risiko for, at sparekassen ikke har forholdt sig til de nye risikofaktorer, som er relevante for sparekassens forretningsmodel.
Derfor har sparekassen fået påbud om at revidere sin risikovurdering med henblik på at sikre, at sparekassen foretager en korrekt vurdering af sparekassens iboende risiko på hver af de enkelte, relevante risikoparametre. Sparekassen skal sikre, at risikovurderingen er underbygget med relevante data og inddrager de relevante nationale og supranationale risikovurderinger.[1]
Sparekassens politik er på nuværende tidspunkt så overordnet, at den ikke kan bruges til at mitigere de konkrete risici, som sparekassen har udpeget i sin risikovurdering, og politikken er dermed ikke i tilstrækkelig grad udarbejdet med udgangspunkt i risikovurderingen. Det medfører risiko for, at sparekassen ikke får dækket alle sparekassens risikoområder tilstrækkeligt.
Derfor får sparekassen påbud om at revidere sin politik på hvidvaskområdet, så den med udgangspunkt i sparekassens risikovurdering fastsætter de overordnede strategiske mål på hvidvaskområdet og indeholder principielle beslutninger om, hvordan sparekassen skal indrettes, så risiciene for hvidvask og finansiering af terrorisme imødegås Sparekassen skal samtidig implementere interne kontroller, der sikrer, at alle risici, som er defineret i sparekassens risikovurdering, er mitigeret.[2]
Finanstilsynet konstaterede under inspektionen, at sparekassens erhvervskundefiler ikke er løbende ajourført. Virksomhedens kendskab til sine kunder er fundamentet for at kunne opdage aktiviteter, adfærd eller transaktioner, som er atypiske for kunden eller på anden vis mistænkelige. Når kundekendskabet ikke løbende opdateres, indebærer det en risiko for, at sparekassens overvågning af kunderne bliver utilstrækkelig.
Sparekassen får derfor påbud om at sikre, at den løbende gennemfører ajourføring af kundefiler i overensstemmelse med kundernes risikovurdering. Derudover skal sparekassen udarbejde en plan for, hvornår alle erhvervskundefiler vil være opdateret, samt en redegørelse for prioriteringen af kundefilerne.[3]
Finanstilsynet konstaterede under inspektionen, at sparekassen i vidt omfang ikke gennemfører skærpet kundekendskab på højrisikokunder. Finanstilsynet konstaterede desuden, at sparekassens forretningsgange ikke indeholdt operationelle instrukser til medarbejderne om, hvad skærpede kundekendskabsprocedurer er eller omfatter, herunder hvilke yderligere oplysninger medarbejderne skal indhente. Som nævnt ovenfor er kundekendskabet fundamentet for at kunne gennemføre effektiv overvågning, og for højrisikokunder er det derfor endnu mere væsentligt, at virksomheden har et indgående kendskab til kunden, særligt til de forhold, der udløser den forhøjede risiko. Manglende gennemførelse af skærpede kundekendskabsprocedurer indebærer en risiko for, at sparekassen ikke har det fornødne kundekendskab til at opdage mistænkelige forhold og gennemføre effektiv overvågning af kunderne.
Derfor får sparekassen påbud om at gennemføre skærpede kundekendskabsprocedurer for kunder, som vurderes at have øget risiko for hvidvask eller terrorfinansiering.[4] I forlængelse heraf påbydes sparekassen at revidere sine skriftlige forretningsgange, så det klart fremgår, hvornår og hvordan en kunderådgiver skal gennemføre skærpede kundekendskabsprocedurer.[5]
Finanstilsynet konstaterede endvidere, at sparekassen ikke i alle tilfælde gennemfører undersøgelser, der kan af- eller bekræfte en mistanke, og ikke i alle tilfælde foretager tilstrækkelige noteringer. Det medfører en væsentlig risiko for, at sparekassen internt mister viden om historikken i et kundeforhold, og potentiel over tid ikke får identificeret mønstre i kunders adfærd, samt risiko for, at sparekassen ikke får underrettet Hvidvasksekretariatet om alle relevante forhold, og ikke vil kunne tilvejebringe nødvendige oplysninger om undersøgelser af mistænkelige forhold i tilfælde af efterforskning.
Sparekassen får derfor påbud om at sikre, at den i tilstrækkeligt omfang undersøger mistænkelige transaktioner og aktiviteter. Sparekassen skal samtidig sikre, at resultaterne af disse undersøgelser noteres og opbevares.[6]
Finanstilsynet konstaterede under inspektionen, at sparekassen på flere områder ikke har etableret tilstrækkelige interne kontroller, uagtet at områderne var forbundet med risiko. Endvidere har sparekassens complianceansvarlige ikke fastlagt en plan for gennemførelsen af uafhængige kontroller. Interne kontroller har til formål at sikre, at virksomheden styrer sine risici betryggende og dermed overholder hvidvaskloven. Det er et væsentligt led i sparekassens forebyggelse af hvidvask og terrorfinansiering, at den har et tilstrækkeligt kontrol setup, der kan afdække eventuelle operationelle risici og uhensigtsmæssigheder i sparekassens procedurer.
Sparekassen får derfor påbud om at sikre, at den i passende omfang gennemfører interne kontroller, der sikrer, at sparekassen effektivt forebygger, begrænser og styrer risikoen for hvidvask og terrorfinansiering, at sparekassen dokumenterer de foretagne kontroller, og har skriftlige procedurer herfor.[7]
Sparekassen har indgået aftale med et betalingsinstitut om håndtering af sparekassens døgnboks, og sparekassens erhvervskunder har ligeledes indgået aftaler med betalingsinstitutter om håndtering af kontantomsætning, som derfor i stedet kom til sparekassen som kontooverførsler fra betalingsinstituttet. Som konsekvens heraf registrerede sparekassen hverken forventet eller reel kontantomsætning for sine erhvervskunder. Denne praksis indebærer en risiko for, at sparekassen ikke i tilstrækkeligt omfang har indblik i erhvervskundernes tilsigtede beskaffenhed samt en risiko for at erhvervskunder ikke risikoklassificeres korrekt. Både kundekendskab og risikovurdering er som allerede beskrevet væsentlige parametre i sparekassens overvågning af kunderne.
Sparekassen får derfor påbud om at sikre, at den som led i sit kundekendskab dels inddrager samtlige forhold ved forretningsforbindelse, der tilsammen giver forretningsforbindelse dens særpræg, herunder om en del af kundens midler stammer fra kontantomsætning, og at disse oplysninger inddrages i overvågningen af forretningsforbindelsen.[8] Sparekassen skal ligeledes sikre, at kundernes kontantomsætning inddrages i risikovurderingen af kundeforholdet.[9]
[1] Hvidvasklovens § 7, stk. 1
[2] Hvidvasklovens § 8, stk. 1
[3] Hvidvasklovens § 11, stk. 1, nr. 5
[4] Hvidvasklovens §17 stk. 1
[5] Hvidvasklovens § 8, stk. 1
[6] Hvidvasklovens § 25, stk. 1 og 2, samt stk. 3, jf. § 30
[7] Hvidvasklovens § 8, stk. 1.
[8] Hvidvasklovens § 11, stk. 11, nr. 4 og 5
[9] Hvidvaskloven § 11, stk. 3.