Inspektionen omfattede gennemgang af bankens:
- risikovurdering, herunder forretningsprofil og produkter
- politikker og forretningsgange på hvidvaskområdet,
- kundekendskabsprocedurer, herunder risikoklassificering af såvel private som erhvervskunder,
- overvågning af kunder, herunder overholdelse af undersøgelses-, noterings-, opbevarings- og underretningspligten,
- sanktionsscreening,
- interne kontroller,
- outsourcingaftaler.
Sammenfatning og risikovurdering
Banken tilbyder en række forskellige bankprodukter med fokus på privatkunder samt mindre og mellemstore erhvervskunder på Djursland, i Århus omegn og i Randers. Udover bankprodukter formidler banken realkredit-, investerings-, pensions- og forsikringsprodukter.
Finanstilsynet vurderer, at bankens iboende risiko for at blive brugt til hvidvask eller finansiering af terrorisme er medium til høj. I vurderingen har Finanstilsynet særligt lagt vægt på de produkter, som banken tilbyder.
På baggrund af inspektionen har et antal områder givet anledning til tilsynsmæssige reaktioner.
Bankens risikovurdering omfatter ikke i tilstrækkeligt omfang brancher med høj risiko for hvidvask i henhold til de risikofaktorer, der er forbundet med bankens kunder, produkter og tjenesteydelser mv., og som banken har tilknytning til. Der er herved en risiko for, at banken ikke i tilstrækkeligt omfang identificerer, vurderer og forstår den iboende risiko for, at virksomheden kan blive brugt til hvidvask eller finansiering af terrorisme. Dette er væsentligt, da risikovurderingen danner grundlag for, at banken kan vurdere, hvad banken skal gøre for at undgå, at den kan blive brugt til hvidvask eller finansiering af terrorisme, herunder hvilke forretningsgange, banken skal fastlægge på de enkelte forretningsområder.
Banken har derfor fået påbud om at revidere sin risikovurdering således, at den i tilstrækkeligt omfang identificerer og vurderer risikoen for, at banken kan blive brugt til hvidvask og finansiering af terrorisme.[i]
Bankens hvidvaskpolitik beskriver ikke i tilstrækkeligt omfang, hvorledes banken ønsker at håndtere sine hvidvaskrisici, ligesom bankens hvidvaskpolitik ikke i tilstrækkeligt omfang fastsætter overordnede strategiske mål for forebyggelse af hvidvask og terrorfinansiering. Der er herved risiko for, at bankens strategiske risikostyring af hvidvask- og terrorfinansieringsrisici ikke er tilstrækkeligt målrettet. Dette er væsentligt, da en politik for risikostyring udgør det overordnede grundlag for såvel strategisk som operationel risikostyring.
Banken har derfor fået påbud om at revidere sin politik på hvidvaskområdet,
så den tager udgangspunkt i bankens risikovurdering. Politikken skal desuden fastsætte de overordnede strategiske mål på hvidvaskområdet og indeholde principielle beslutninger om, hvordan banken skal indrettes, så risiciene for hvidvask og finansiering af terrorisme imødegås.[ii]
Banken har haft manglende intern kontrol på en række områder, herunder i relation til at kontrollere ændringer i bankens overvågningsscenarier og i relation til indberetning af oplysninger til brug for Finanstilsynets risikovurdering af banken. For så vidt angår det første er der en risiko for, at banken ikke har tilstrækkelige kontroller til at sikre, at bankens overvågning er tilstrækkeligt effektiv til at forebygge hvidvask og terrorfinansiering. Dette er væsentligt, da intern kontrol er med til at sikre, at banken styrer sine risici og overholder lovgivningen.
Banken har derfor fået påbud om at sikre, at banken kontrollerer ændringer i overvågningsscenarier. Banken skal desuden kontrollere sin indberetning af oplysninger til brug for Finanstilsynets risikovurdering.[iii]
Bankens compliancefunktion kontrollerer og vurderer ikke i tilstrækkeligt omfang, om de foranstaltninger, banken træffer på hvidvaskområdet for at afhjælpe eventuelle mangler, er effektive. Videre har banken ikke allokeret tilstrækkelige ressourcer til compliancefunktionen således, at compliancefunktionen har mulighed for i et fornødent omfang at identificere compliancerisici på hvidvaskområdet, samt følge op på sine anbefalinger. Manglende ressourcer medfører en risiko for, at compliancefunktionen ikke har mulighed for at kunne foretage sine compliancekontroller fyldestgørende. Dette er væsentligt, da compliancefunktionen fungerer som et værn, der skal være med til at sikre, at banken styrer sine risici og efterlever lovgivningen på området.
Banken har derfor fået påbud om at sikre, at compliancefunktionen kontrollerer og vurderer, om de foranstaltninger, der træffes for at afhjælpe eventuelle mangler på hvidvaskområdet, er effektive, samt sikre, at compliancefunktionen på hvidvaskområdet har de nødvendige ressourcer.[iv]
Banken foretager ikke løbende overvågning af sine kunders samlede indgående transaktioner. Dette vanskeliggør i for høj grad en tilstrækkelig identifikation og undersøgelse af usædvanlig volumen af indbetalinger samt den efterfølgende eventuelle revurdering af kundekendskabsprocedurer. Banken har heller ikke i tilstrækkeligt omfang scenarier til brug for opdagelse af terrorfinansiering. Videre gennemfører banken ikke i tilstrækkeligt omfang kundekendskabsprocedurer, når banken afdækker nye oplysninger om sine kunder bl.a. i forbindelse med undersøgelse af mistænkelige transaktioner.
Finanstilsynet vurderer i forlængelse heraf, at banken ikke reviderer overvågning af sine kunder, når banken får nye relevante oplysninger om kunderne, ligesom banken ikke i tilstrækkelig grad forholder sig til de nye oplysninger. Der er herved en risiko for, at bankens løbende overvågning ikke afdækker relevante usædvanlige transaktioner og aktiviteter, samt at bankens kunde-kendskab ikke er ajourført med bankens nyeste viden om kundens adfærd. Dette er væsentligt, da formålet med den løbende overvågning bl.a. er at afdække, om den enkelte kundes adfærd, herunder kundens transaktioner og aktiviteter, er i overensstemmelse med kendskabet til kunden.
Banken har derfor fået påbud om at ajourføre kundekendskabsoplysninger, når banken i sin løbende overvågning bliver bekendt med, at en kundes relevante omstændigheder ændrer sig, eller i øvrigt vurderer, at der er behov for at gennemføre skærpet overvågning af kunden på baggrund af, at kundens transaktion eller aktivitet er fundet mistænkelig.[v]
Banken har videre fået påbud om at foretage en tilstrækkelig løbende overvågning af sine kunder, herunder tilstrækkelig overvågning for terrorfinansiering og overvågning af kundernes samlede indgående transaktionsvolumen.[vi]
Bankens risikoklassifikation af kunder med transaktioner til højrisikotredjelande er ikke tilstrækkelig. Dette skyldes, at banken risikoklassificerer kunden som højrisiko i en periode på en måned, hvorefter kunden falder tilbage til sin tidligere risikoklassifikation. De risici, der er forbundet med transaktioner til et højrisikotredjeland håndteres således ikke i et tilstrækkeligt omfang. Videre inddrager banken ikke i tilstrækkeligt omfang alle relevante risikofaktorer samt relevante nationale risikovurderinger i sin risikoklassifikation. Der er herved en risiko for, at banken ikke foretager tilstrækkelig risikoklassifikation af sine kunder. Dette er væsentligt, da risikoklassifikationen har afgørende betydning for bankens fastlæggelse af omfanget og frekvensen af de kundekendskabsprocedurer, banken skal gennemføre.
Banken har derfor fået påbud om at foretage en tilstrækkelig risikovurdering af kundeforholdene, således at banken risikoklassificerer kunderne på baggrund af alle relevante risikofaktorer, samt at sikre, at bankens kunder bevarer sin risikoklassifikation i et passende tidsrum, efter kunderne har haft transaktioner til lande på Europa-Kommissionens liste over højrisikotredjelande.[vii]
Bankens fastsatte bagatelgrænse for transaktioner til lande på Europa-Kommissionens liste over højrisikotredjelande, medfører i sig selv, at bankens overvågning af kunderne ikke er tilstrækkelig, da der kan være transaktioner under grænsen, der rettelig burde undersøges. Videre opgør banken ikke sine kunders aggregerede volumen af transaktioner til højrisikotredjelande. Dette medfører, at banken ikke bliver bekendt med det, når bankens kunder har et væsentligt aggregeret transaktionsvolumen til højrisikotredjelande. Der er herved en risiko for, at banken ikke har tilstrækkeligt kendskab til sine kunders transaktioner til højrisikotredjelande. Dette er væsentligt, da transaktioner til højrisikotredjelande netop er forbundet med øget risiko for hvidvask eller terrorfinansiering.
Banken har derfor fået påbud om at foretage skærpet overvågning af forretningsforbindelser ved at øge antallet af kontroller og ved at udvælge transaktionsmønstre, der kræver nøjere undersøgelse, når bankens kunder gennemfører transaktioner til lande på Europa-Kommissionens liste over højrisikotredjelande.[viii]
Bankens indberetning af oplysninger til brug for Finanstilsynets risikovurdering af virksomheder og personer er i en række tilfælde ukorrekte, ligesom berigtigede oplysninger ikke er blevet berigtiget bagudrettet. Der er herved en risiko for, at Finanstilsynet ikke kan foretage retvisende risikovurderinger af virksomheder og personer, hvilket er centralt for Finanstilsynets tilsynsvirksomhed.
Banken har derfor fået påbud om at berigtige oplysningerne.[ix]
[i] Hvidvasklovens § 7, stk. 1.
[ii] Hvidvasklovens § 8, stk. 1.
[iii] Hvidvasklovens § 8, stk. 1.
[iv] Hvidvasklovens § 8, stk. 3 og BEK nr. 1103 af 30/06/2022 om ledelse og styring af pengeinstitutter m.fl. § 17, stk. 4, nr. 1.
[v] Hvidvasklovens § 10, nr. 1 og 4.
[vi] Hvidvasklovens § 11, stk. 1, nr. 5.
[vii] Hvidvasklovens § 11, stk. 3.
[viii] Hvidvasklovens § 17, stk. 2, nr. 6, jf. § 17, stk. 3.
[ix] Hvidvasklovens § 49, stk. 7, jf. § 49, stk. 2.