Inspektionen omfattede virksomhedens risikovurdering, hvidvaskpolitik, interne kontroller samt organisering og opgavefordeling på hvidvaskområdet. Derudover blev kundekendskabsprocedurer, herunder onboarding, ODD og risikoklassificering samt overvågning af kunder, transaktioner til og fra højrisikotredjelande og sanktionsscreening gennemgået.
Sammenfatning og risikovurdering
Virksomheden er et fondsmæglerselskab, hvis hovedforretningsområder består af rådgivning om værdipapirer i børsnoterede selskaber og porteføljepleje (køb og salg af værdipapirer) for deres kunder, herunder investeringsforeninger med tilknytning til Maj-koncernen. Virksomheden er en del af den samlede Maj Invest-koncern, hvor Maj Bank A/S er søsterselskab til virksomheden.
Virksomheden kan forvalte kunders midler i depot både hos Maj Bank A/S eller hos en anden bank. Virksomhedens kunder er institutionelle kunder (pensionsselskaber, forsikringsselskaber, fonde, familiekontorer, finansielle institutioner og konsulenter). Yderligere yder virksomheden formueforvaltning til formuende privatpersoner.
Finanstilsynet vurderer, at virksomhedens iboende risiko for at blive brugt til hvidvask eller finansiering af terrorisme er lav. Virksomheden har en begrænset kundekreds, hvor kundernes midler opbevares i en depotbank frem for hos virksomheden. Den begrænsede kundekreds og opbevaringsformen medfører, at tilgængeligheden for kriminelle aktørers mulighed for hvidvask eller terrorfinansiering er begrænset. Ifølge den nationale risikovurdering kan der dog potentielt hvidvaskes for meget store beløb, såfremt man som kriminel aktør får adgang til investering via et fondsmæglerselskab trods den begrænsede tilgængelighed.
På baggrund af inspektionen har et antal områder givet anledning til tilsynsmæssige reaktioner.
Virksomheden har i sin risikovurdering ikke inddraget alle data, som er relevante for at vurdere virksomhedens risiko for at blive brugt til hvidvask eller terrorfinansiering.
Der er herved en risiko for, at virksomheden ikke i tilstrækkeligt omfang identificerer, vurderer og forstår den iboende risiko for, at virksomheden kan blive brugt til hvidvask eller finansiering af terrorisme.
Dette er væsentligt, da risikovurderingen danner grundlag for, at virksomheden kan vurdere, hvilke forretningsområder, der udgør en risiko for, at virksomheden kan bruges til hvidvask og finansiering af terrorisme, samt hvilke operationelle forretningsgange der skal fastlægges for de enkelte funktioner for at begrænse denne risiko.
Virksomheden har derfor fået påbud om at revidere sin risikovurdering, således at risikovurderingen inddrager alle relevante risici for virksomheden relateret til hvidvask og terrorfinansiering. Risikovurderingen skal inddrage konkrete data, så den giver et retvisende billede af de risici, der er relateret til hvidvask og terrorfinansiering, og som virksomheden måtte være udsat for[1].
Virksomhedens hvidvaskpolitik indeholder ikke konkrete og kvantificerbare mål. Hvidvaskpolitikken indeholder f.eks. ikke en målsætning om løbende ajourføring af kundekendskabsprocedurer og fastsætter heller ikke en målsætning om, hvor lang tid der maksimalt må gå, fra en alarm er genereret, til den skal være undersøgt.
Der er derfor risiko for, at virksomhedens strategiske risikostyring af hvidvask- og terrorfinansieringsrisici ikke er tilstrækkeligt målrettet.
Dette er væsentligt, da virksomheden skal have overblik over, om alle risici i virksomheden bliver styret, og hvilke konkrete foranstaltninger virksomheden skal have for at imødegå alle risikofaktorer.
Virksomheden har derfor fået påbud om at revidere sin hvidvaskpolitik, så den fastsætter de overordnede strategiske mål på hvidvaskområdet og indeholder principielle beslutninger om, hvordan virksomheden skal indrettes, så risiciene for hvidvask og finansiering af terrorisme imødegås[2].
Virksomhedens forretningsgange er ikke tilstrækkeligt operationelle, da de ikke indeholder en beskrivelse af de aktiviteter, der skal udføres.
Der er herved en risiko for, at virksomhedens medarbejdere ikke på korrekt vis kan behandle de pågældende områder. En sådan risiko kan bl.a. bero på, at virksomhedens kunder ikke risikoklassificeres korrekt, at virksomheden ikke får opdateret sine kundefiler i rette tid, eller at virksomhedens medarbejdere ikke på korrekt vis får håndteret en transaktion, der kan være mistænkelig.
En sådan risiko er væsentlig, idet virksomhedens forretningsgange skal sikre, at virksomheden styrer sine risici og overholder lovgivningen.
Virksomheden har derfor fået påbud om revidere sine forretningsgange, så de er operationelle og indeholder en beskrivelse af de aktiviteter, som virksomheden skal udføre, såsom passende tidsintervaller for opdatering af kundefiler, vægtningen af de forskellige faktorer, som skal indgå i risikovurderingen af en kunde, og passende tidsfrister for virksomhedens alarmbehandling[3].
[1] Hvidvasklovens § 7, stk. 1
[2] Hvidvasklovens § 8, stk. 1
[3] Hvidvasklovens § 8, stk. 1