Redegørelse om inspektion i Svea Finans A/S (hvidvaskområdet)

Risikovurdering og sammenfatning

Virksomheden er 100 % ejet af Svea Bank AB og udbyder factoring, fakturakøb og fakturaadministration i Danmark.

Finanstilsynet vurderer, at virksomhedens iboende risiko for at blive brugt til hvidvask eller finansiering af terrorisme er mellem-høj vurderet i forhold til gennemsnittet af finansielle virksomheder i Danmark. I vurderingen har Finanstilsynet særligt lagt vægt på, at factoring ifølge den Nationale Risikovurdering af Hvidvask (2022) er et produkt, der kan medføre øget risiko for hvidvask. Herudover indebærer Svea Finans’ produkter, at deres kunders kunder indbetaler fakturabeløb direkte til virksomheden. Disse kunders kunder er ikke underlagt Svea Finans’ kundekendskabsforpligtelse. Viden om kundernes kunder kan således være begrænset og dermed udgøre en ganske høj risiko. Herudover har Finanstilsynet lagt vægt på, at virksomheden har flere kundeforhold med tilknytning til højrisikolande og herudover en del kunder med tilknytning til brancher, der efter den Nationale Risikovurdering anses for brancher med øget risiko for at blive misbrugt til hvidvask.

På baggrund af inspektionen har en række områder givet anledning til tilsynsmæssige reaktioner.

Virksomheden har ikke på alle områder identificeret de konkrete risici, som den er eksponeret for, og heller ikke på alle relevante områder inddraget oplysninger fra Hvidvasksekretariatets Nationale Risikovurdering af Hvidvask (2022) og EU-Kommissionens supranationale risikovurdering (2022).

Der er herved en risiko for, at virksomheden ikke i tilstrækkeligt omfang identificerer, vurderer og forstår den iboende risiko for, at den kan blive brugt til hvidvask eller finansiering af terrorisme.

Dette er væsentligt, da risikovurderingen danner grundlag for, at virksomheden kan vurdere, hvilke forretningsområder der udgør en risiko for, at den kan bruges til hvidvask og finansiering af terrorisme, samt hvilke operationelle forretningsgange der skal fastlægges for de enkelte funktioner.

Virksomheden har derfor fået påbud om at revidere sin risikovurdering, således at risikovurderingen inddrager alle relevante risici relateret til hvidvask og terrorfinansiering, herunder højrisikobrancher, geografisk eksponering og omfanget af produktrisici. Risikovurderingen skal inddrage konkrete data-punkter, således at den giver et retvisende billede af de risici relateret til hvidvask og terrorfinansiering, som virksomheden måtte være eksponeret mod.[i]

Virksomhedens forretningsgange har ingen nærmere beskrivelser af, hvordan medarbejdere i virksomheden helt konkret skal udføre opgaver til opfyldelse af hvidvasklovens krav. Det fremgår ikke af forretningsgangene, om disse er godkendt af den hvidvaskansvarlige.

Der er herved en risiko for, at virksomheden ikke får håndteret samtlige områder af relevans for overholdelse af hvidvaskloven, hvilket er væsentligt for at kunne styre sine risici tilstrækkeligt.

Virksomheden har derfor fået påbud om at have forretningsgange for opsætning og justering af scenarier vedrørende virksomhedens automatiske transaktionsovervågning og forretningsgange for virksomhedens manuelle overvågning og for, hvornår der skal gennemføres kundekendskabsprocedurer ved ændringer i kunders relevante omstændigheder. Herudover har virksomheden fået påbud om at sikre, at dens forretningsgange konkret beskriver, hvilke opgaver der skal løses i forbindelse med overholdelse af hvidvaskloven, og hvordan disse opgaver skal løses. Endelig har virksomheden fået påbud om at sikre, at forretningsgange på hvidvask- og terrorfinansieringsområdet bliver godkendt af den hvidvaskansvarlige[ii].

Virksomheden har ikke i tilstrækkeligt omfang gennemført kundekendskabsprocedurer for samtlige kunder og heller ikke konsekvent gennemført kundekendskabsprocedurer, når en kundes relevante omstændigheder har ændret sig.

Der er herved en risiko for, at virksomheden ikke kender kunderne tilstrækkeligt godt og dermed ikke har det fornødne grundlag for at vurdere, om forretningsforbindelsen og kundens transaktioner har et legitimt formål og til at få en dybere indsigt i forretningsforbindelsens samlede risikoprofil.

Dette er væsentligt, idet et tilstrækkeligt kundekendskab er nødvendigt for at foretage tilstrækkelig løbende overvågning af etablerede forretningsforbindelser, herunder at identificere usædvanlige transaktioner og aktiviteter.

Virksomheden har derfor fået påbud om at sikre, at den har gennemført kundekendskabsprocedurer på alle sine kunder. Herudover skal virksomheden gennemføre kundekendskabsprocedurer, når en kundes relevante omstændigheder ændrer sig[iii].

Virksomheden foretager ikke konsekvent en vurdering af forretningsforbindelsernes formål og tilsigtede beskaffenhed, herunder forventede transaktioner og, hvor relevant, undersøgelser af midlernes oprindelse. Herudover indgår forretningsforbindelsernes forventede udlandstransaktioner, herunder fra hvilke specifikke lande, ikke i virksomhedens vurdering af formål og tilsigtet beskaffenhed.

Der er herved en risiko for, at virksomheden ikke kender kunderne tilstrækkeligt godt og dermed ikke har det fornødne grundlag for at vurdere, om forretningsforbindelsen og kundens transaktioner har et legitimt formål, og til at få en dybere indsigt i forretningsforbindelsens samlede risikoprofil.

Dette er væsentligt, idet vurdering af og, hvor relevant, indhentelse af oplysninger om forretningsforbindelsens formål og tilsigtede beskaffenhed er nødvendigt for at foretage tilstrækkelig løbende overvågning af etablerede forretningsforbindelser, herunder at identificere usædvanlige transaktioner og aktiviteter.

Virksomheden har derfor fået påbud om at vurdere og, hvor relevant, indhente tilstrækkelige oplysninger om forretningsforbindelsens formål og tilsigtede beskaffenhed, herunder forventede udlandstransaktioner og, hvor relevant, kundens midlers oprindelse[iv].

Virksomheden kan ikke i sit transaktionsovervågningssystem fastsætte individuelle grænseværdier for forventede indkommende betalinger fra de enkelte kunders debitorer, og herudover overvåger virksomheden ikke samtlige transaktioner for, om der indgår ikke-forventelige jurisdiktioner, herunder f.eks. indbetalinger fra højrisikolande. Desuden overvåger virksomheden ikke samtlige transaktioner for, om der sker betalinger fra tredjemand.

Der er herved risiko for, at usædvanlige transaktioner fra ikke-forventelige lande eller fra tredjemand ikke fanges i overvågningen. Herudover er der risiko for, at væsentlige ændringer i kundernes faktureringsvolumen ikke fanges i overvågningen. Dette er væsentligt, da usædvanlige transaktioner skal undersøges og eventuelt underrettes til Hvidvasksekretariatet.

Virksomheden har derfor fået påbud om at foretage en tilstrækkelig løbende overvågning af samtlige kunders transaktioner, herunder udlandstransaktioner, tredjemandsbetalinger og ændring af kundeadfærd[v].

Virksomheden har outsourcet dele af sin overvågningsforpligtelse efter hvidvasklovens § 11, stk. 1, nr. 5, uden at have indgået en outsourcingaftale, og virksomheden har heller ikke løbende ført kontrol med leverandørens udførelse af opgaven.

Der er herved risiko for, at virksomheden ikke er klar over, i hvilket omfang den outsourcede transaktionsovervågning reelt bliver udført i overensstemmelse med de krav, som virksomheden er underlagt. Dette er væsentligt for at sikre, at alle transaktioner overvåges for identificerede hvidvaskrisici.

Virksomheden har derfor fået påbud om at indgå en aftale om outsourcing, i det omfang leverandøren udfører opgaver efter hvidvaskloven for virksomheden. Virksomheden skal løbende føre kontrol med opgavens udførelse[vi].

Virksomheden inddrager ikke samtlige relevante risikofaktorer i risikovurderingen af sine kunder. Den inddrager bl.a. ikke i tilstrækkeligt omfang højrisikobrancher. Herudover inddrager virksomheden ikke geografiske risici, f.eks. kunders transaktioner med højrisikotredjelande på EU-Kommissionens liste, jf. hvidvasklovens § 17, stk. 2, jf. stk. 3, i sin risikovurdering af kunder.

Der er herved en risiko for, at virksomheden ikke er opmærksom på samtlige hvidvaskrisici forbundet med et kundeforhold, hvilket er væsentligt for virksomhedens muligheder for at fastlægge mitigerende foranstaltninger og tilrettelægge en passende overvågning.

Virksomheden har derfor fået påbud om at sikre, at alle relevante risikofaktorer indgår i dens risikovurdering af kunderne, herunder hvor forretningsforholdet eksisterer under usædvanlige omstændigheder, involvering af højrisikobrancher og geografiske risici, f.eks. transaktioner til/fra højrisikotredjelande[vii].

Virksomhedens undersøgelser af alarmer fra dens overvågningssystem er ikke tilstrækkeligt detaljerede og dybdegående og forholder sig ikke konsekvent til det konkrete forhold, der har genereret en alarm. Herudover noterer virksomheden ikke i tilstrækkeligt omfang resultaterne af dens undersøgelser.

Herved er der en risiko for, at virksomheden ikke får identificeret og underrettet transaktioner, der har tilknytning til hvidvask eller finansiering af terrorisme.

Dette er væsentligt, da en fyldestgørende undersøgelse af usædvanlige transaktioner og aktiviteter er en forudsætning for at foretage tilstrækkelig underretning til Hvidvasksekretariatet, hvilket har stor betydning for, at politiet eller andre myndigheder kan gribe ind overfor kriminalitet.

Herudover medfører den manglende fyldestgørende notering af undersøgelser en risiko for, at virksomheden internt mister viden om historikken i et kundeforhold, og over tid ikke får identificeret mønstre i kunders adfærd, samt en risiko for, at virksomheden ikke vil kunne tilvejebringe nødvendige oplysninger om undersøgelser af mistænkelige forhold i tilfælde af efterforskning.

Virksomheden har derfor fået påbud om at undersøge alle transaktioner, der er komplekse, usædvanligt store, foretages i et usædvanligt mønster eller ikke har et åbenbart økonomisk eller lovligt formål. Yderligere har virksomheden fået påbud om at notere og opbevare resultaterne af sådanne undersøgelser[viii].

Virksomheden har i flere tilfælde ikke indberettet korrekt data til Finanstilsynet.

Der er hermed en risiko for, at Finanstilsynet ikke på korrekt oplyst grundlag kan vurdere virksomhedens risiko, hvilket er væsentligt for det tilsyn, Finanstilsynet fører med virksomheden.

Virksomheden har derfor fået påbud om at berigtige oplysninger overfor Finanstilsynet, som virksomheden har indberettet for 2021, 2022, 2023 og 2024, i medfør af bekendtgørelse nr. 1062 af 17. september 2024 om indberetning af oplysninger til brug for Finanstilsynets risikovurdering af virksomheder og personer omfattet af hvidvaskloven. Virksomheden skal herudover sikre, at den fremover foretager korrekt indberetning af oplysninger[ix].