Inspektionen var en undersøgelse af hvidvaskområdet. Inspektionen omfattede følgende områder:
- Virksomhedens risikovurdering i forhold til, om risici på geografi og kontanter bliver korrekt identificeret.
- Virksomhedens kendskab til og overvågning af kunder, der foretager store kontantbetalinger.
- Virksomhedens kendskab til og overvågning af kunder, der foretager transaktioner til og fra højrisikotredjelande.
- Virksomhedens undersøgelser af mistænkelige kontanttransaktioner, givet virksomhedens manglende underretninger til Hvidvasksekretariatet.
- Virksomhedens overholdelse af sanktioner, særligt idet virksomheden er eksponeret mod sanktionerede lande.
Sammenfatning og risikovurdering
Connecting IT er en IT-virksomhed, der som bivirksomhed også driver pengeoverførelsesvirksomhed.
På baggrund af inspektionen har et antal områder givet anledning til tilsynsmæssige reaktioner.
Virksomheden har ikke udarbejdet en risikovurdering i relation til sin eksponering mod hvidvask eller terrorfinansiering.
Der er herved risiko for, at virksomheden ikke kan kortlægge de pågældende risici. Kortlægningen af risici er væsentlig, da de danner grundlag for indretningen af virksomhedens risikobegrænsende foranstaltninger.
Virksomheden har derfor fået påbud om at udarbejde en risikovurdering med henblik på hvidvask og terrorfinansiering[1].
Virksomheden har ikke udarbejdet en hvidvaskpolitik.
Der er herved risiko for, at virksomhedens strategiske risikostyring af hvidvask- og terrorfinansieringsrisici ikke er tilstrækkeligt effektiv. Dette er væsentligt, da en politik for risikostyring udgør det overordnede grundlag for strategisk og operationel risikostyring.
Virksomheden har derfor fået påbud om at udarbejde en risikovurdering med henblik på hvidvask og terrorfinansiering[2].
Virksomhedens kundekendskab var begrænset til indhentelse af identitetsoplysninger, legitimation og oplysninger om kundens erhverv.
Uden indhentning af oplysninger om forretningsforbindelsens formål og omfang, er der risiko for, at virksomheden ikke har et tilstrækkeligt godt udgangspunkt til at vurdere, om en transaktion er usædvanlig for kunden, eller for at risikoklassificere sine kunder. Det er væsentligt, da virksomheden er forpligtet til at opdage og underrette om usædvanlige transaktioner foretaget på vegne af virksomhedens kunder.
Virksomheden har derfor fået påbud om, hvor det er relevant, at indhente oplysninger om forretningsforbindelsens formål og tilsigtede beskaffenhed[3].
En række af virksomhedens kunder var klassificeret som lav- eller mellemrisiko, selvom deres forhold bar præg af at være højrisiko.
Når der er en utilstrækkelig risikovurdering af kunderne, er der risiko for, at virksomheden ikke får overblik over, hvilke kunder der udgør øget risiko for hvidvask eller terrorfinansiering. Det er væsentligt, da risikoklassificeringen danner grundlag for, om der skal anvendes lempet, almindelig eller skærpet kundekendskabsprocedure.
Virksomheden har derfor fået påbud om at risikoklassificere sine kunder på baggrund af oplysninger om forretningsforbindelsens formål, omfang, regelmæssighed og varighed samt de risikofaktorer, der er beskrevet i hvidvasklovens bilag 2 og 3[4].
Virksomheden foretager ikke skærpet kundekendskab ved højrisikokunder.
Der er herved risiko for, at virksomheden ikke får foretaget yderligere foranstaltninger i tilfælde, hvor det er påkrævet. Dette er væsentligt, da sådanne foranstaltninger er nødvendige for at håndtere de øgede risici.
Virksomheden har derfor fået påbud om at gennemføre skærpede kundekendskabsprocedurer, hvor det er påkrævet[5].
Virksomheden efterlevede ikke sin undersøgelses- og noteringspligt.
Der er herved risiko for, at virksomheden ikke får undersøgt og noteret forhold, som den er forpligtet til at underrette om til Hvidvasksekretariatet. Dette er væsentligt, da virksomheden er forpligtet til omgående at underrette forhold, som kan bistå Hvidvasksekretariatet i dets virke.
Virksomheden har derfor fået påbud om at overvåge sine kunder, og hvis der identificeres mistænkelige eller usædvanlige transaktioner, skal virksomheden undersøge disse nærmere og notere resultatet af undersøgelserne[6].
Virksomheden var på tidspunktet for inspektionen ikke oprettet i GoAML.
Der er herved risiko for, at virksomheden ikke får underrettet Hvidvasksekretariatet i rette tid. Dette er væsentligt, da virksomheden er forpligtet til omgående at underrette Hvidvasksekretariatet om mistænkelige transaktioner mv.
Virksomheden har derfor fået påbud om tilmelde sig GoAML[7].