Sammenfatning og risikovurdering
Virksomheden er registreret efter § 48, stk. 1 i hvidvaskloven, idet den udbyder finansiel leasing. Virksomheden blev etableret i Danmark i 2002 og er 100% ejet af den tyske virksomhed Grenke AG.
Virksomheden udbyder leasing af en lang række produkter som f.eks. værk-
tøj, maskiner, kassesystemer, kaffemaskiner, IT-udstyr og software. Den samarbejder med forhandlere i Danmark, der sælger disse produkter. Virksomheden modtager ikke kontanter, og størstedelen af virksomhedens kunder er tilmeldt leverandørservice, der omfatter elektroniske overførsler. De øvrige kunder betaler leasingydelser via bankoverførsler. Virksomheden udbyder både operationel og finansiel leasing. Det er dog udelukkende finansiel leasing, der er omfattet af hvidvasklovens bestemmelse.
Finanstilsynet vurderer, at virksomhedens iboende risiko for at blive brugt til hvidvask eller finansiering af terrorisme er medium-lav vurderet i forhold til gennemsnittet af finansielle virksomheder i Danmark. I vurderingen har Finanstilsynet særligt lagt vægt på virksomhedens produkter.
På baggrund af inspektionen har et antal områder givet anledning til tilsynsmæssige reaktioner.
Virksomhedens forretningsgange fremstår i for høj grad som standardiserede, og forretningsgangene er ikke tilstrækkeligt tilpasset virksomhedens forretningsomfang og interne forhold. De vurderes derfor at være utilstrækkelige. Forretningsgange skal tage udgangspunkt i virksomhedens forretningsmodel og særlige forhold og på en klar og tydelig måde beskrive, hvordan netop denne virksomhed skal overholde reglerne. Når forretningsgangene ikke er tilpasset virksomheden, er der en risiko for, at virksomhedens ansatte ikke ved, hvordan de skal agere i situationer, der måtte forekomme ift. forretningsmodellen.
På den baggrund har virksomheden fået påbud om at revidere sine forretningsgange, særligt for skærpet kundekendskab samt undersøgelses- og noteringspligt, idet der er en risiko for, at virksomheden ikke overholder gældende regler.[1]
Virksomheden vurderer og indhenter ikke i tilstrækkeligt omfang viden om forretningsforbindelsens tilsigtede beskaffenhed for de af virksomhedens kunder, der er registreret som enkeltmandsvirksomheder og foreninger. Ved forretningsforbindelsens ”tilsigtede beskaffenhed” forstås, at virksomheden skal kende de egenskaber og forhold ved forretningsforbindelsen, der tilsammen giver forretningsforbindelsen dens særpræg. Dette er relevant for, at virksomheden kan få et fyldestgørende kundekendskab, og manglerne indebærer dermed en risiko for, at virksomheden ikke i tilstrækkeligt omfang kender de kunder, der er registreret som enkeltmandsvirksomheder og foreninger. Hvis en virksomhed ikke kender sine kunder tilstrækkeligt, er der blandt andet en risiko for, at virksomheden ikke foretager en korrekt risikovurdering af kunderne, og/eller at virksomheden ikke er i stand til at foretage tilstrækkelig overvågning af kundernes transaktioner.
Finanstilsynet har derfor givet virksomheden påbud om at sikre, at virksomheden vurderer og, hvor det er relevant, indhenter oplysninger om forretningsforbindelsens tilsigtede beskaffenhed.[2]
Virksomhedens risikoscoringsmodel er utilstrækkelig og for simpel, idet den ikke inddrager alle relevante faktorer ved risikovurderingen af det enkelte kundeforhold. Ved etablering af et kundeforhold skal virksomheden fastlægge kundens risiko- og forretningsprofil og anvende den til at vurdere, hvilke kundekendskabsprocedurer den pågældende kunde skal undergå. Risikovurdering af det enkelte kundeforhold omfatter henholdsvis identifikation af risikofaktorer og vurdering af risikofaktorer med henblik på en endelig risikovurdering af kunden. Risikovurderingen skal som minimum afdække tilstedeværelsen af en eller flere af de højrisikofaktorer, der fremgår af bilag 3 til hvidvaskloven.
Hvis en virksomhed ikke i tilstrækkeligt omfang inddrager alle relevante faktorer ved risikovurderingen af det enkelte kundeforhold, er der en risiko for, at virksomheden ikke har et fyldestgørende billede af de konkrete risikofaktorer, der er tilknyttet den pågældende kunde. Det kan bevirke, at virksomheden ikke gennemfører passende kundekendskabsprocedurer og ikke overvåger kunden tilstrækkeligt.
På den baggrund har virksomheden fået påbud om at ændre sin nuværende risikoscoringsmodel, så den inddrager alle relevante risikofaktorer, når virksomheden skal risikoklassificere sine kunder. Virksomheden skal desuden foretage en revurdering af alle eksisterende kundeforhold således, at kunderne risikoklassificeres på baggrund af en konkret og dokumenteret vurdering. Det betyder f.eks., at kundeforholdet skal undergå skærpede kundekendskabsprocedurer, hvis det vurderes som højrisiko.[3]
Virksomheden noterer ikke konsistent og i tilstrækkeligt omfang undersøgelsen af alarmer på en sammenhængende måde, der er tilstrækkelig og egnet til at genopfriske hukommelsen. Hvis virksomheden skal underrette Hvidvasksekretariatet, har virksomheden dermed ikke en tilstrækkelig og detaljeret beskrivelse af mistankegrundlaget, som kan danne grundlag for en politimæssig efterforskning.
Derfor har virksomheden fået påbud om at sikre, at virksomheden konsistent og i tilstrækkeligt omfang noterer og opbevarer resultaterne af undersøgelser af mistænkelige transaktioner.[4]
Virksomheden oplyste i forbindelse med gennemgang af virksomhedens risikoscoringsmodel, at flere af virksomhedens højrisikokunder de facto ikke var højrisiko, og at risikoklassifikationen beroede på en fejl grundet en formodning om, at en kundes risikoklassifikation automatisk ville nedjusteres i virksomhedens it-system, hvis et PEP-match blev vurderet som falsk positivt. Virksomheden har dermed ikke i tilstrækkeligt omfang udført kontrol med, at de kunder, der blev afkræftet som værende PEP, ligeledes blev risikoklassificeret korrekt. Hvis virksomheden havde udført tilstrækkelige og systematiske kontroller på området, er det Finanstilsynets vurdering, at virksomheden ville have opdaget, at kundernes risikoklassifikation ikke ændres, når et PEP-match afkræftes, og at virksomhedens kunder dermed var blevet risikoklassificeret ukorrekt.
Derfor har virksomheden fået påbud om at sikre, at virksomheden i tilstrækkelig grad indfører og i passende omfang foretager systematiske interne kontroller, der sikrer, at virksomheden effektivt forebygger, begrænser og styrer risikoen for hvidvask og terrorfinansiering, herunder at virksomheden kan dokumentere de foretagne kontroller.[5]
Endelig har virksomheden ikke indberettet oplysninger til brug for Finanstilsynets risikovurdering af virksomheder omfattet af hvidvaskloven, og derfor har virksomheden fået påbud om at foretage korrekt indberetning af oplysninger, der er nødvendige til brug for Finanstilsynets risikovurdering for perioden 2021 til 2023.[6]
[1] Hvidvasklovens § 8, stk. 1
[2] Hvidvakslovens § 11, stk.1, nr. 4
[3] Hvidvasklovens § 11, stk.3.
[4] Hvidvasklovens § 25, stk. 1 og stk. 3, jf. § 30
[5] Hvidvasklovens § 8, stk. 1
[6] Bekendtgørelse om indberetning af oplysninger til brug for Finanstilsynets risikovurdering af virksomheder og personer omfattet af hvidvaskloven § 1, stk. 2.