logo

Hva kan vi lære etter tilsynet hos Askim & Spydeberg Sparebank?

Etter tilsyn hos Askim & Spydeberg Sparebank vedtok Finanstilsynet den 20. november 2023 å ilegge banken et overtredelsesgebyr på NOK 9 500 000. Tilsynsrapporten illustrerer på flere måter hvilke krav Finanstilsynet stiller til rapporteringspliktige etter hvitvaskingsregelverket. Med denne artikkelen ønsker vi å belyse noen generelle læringspunkter for andre rapporteringspliktige som kan utledes av tilsynsrapporten.

Den 11. september 2023 publiserte vi en artikkel om typiske fallgruver ved etterlevelse av antihvitvaskingsregelverket. Artikkelen kan du lese her: Antihvitvaskregelverket advokatbistand Arntzen de Besche (adeb.no).

I artikkelen skrev vi at vår erfaring er at Finanstilsynet stiller strenge krav til rapporteringspliktige når det gjelder oppfølging av hvitvaskingsregelverket. Det kan likevel være vanskelig å utlede hva som faktisk kreves for å etterleve hvitvaskingsregelverket. Dette illustreres jevnlig i praksis fra Finanstilsynet.

Den 20. november 2023 publiserte Finanstilsynet tilsynsrapport og vedtak om overtredelsesgebyr (Tilsynsrapporten) etter tilsyn i Askim & Spydeberg Sparebank (Banken). Banken ble som følge av tilsynet ilagt et overtredelsesgebyr på NOK 9 500 000.

Med denne artikkelen ønsker vi å belyse noen generelle læringspunkter for andre rapporteringspliktige som kan utledes av Tilsynsrapporten.

Mangler i etterlevelsen av hvitvaskingsregelverket

Den rapporteringspliktiges organisering, internkontroll og rapportering

Av Tilsynsrapporten fremgår det at styret og ledelsen ikke hadde sørget for at Banken hadde tilstrekkelige ressurser, kompetanse og rutiner til å etterleve hvitvaskingsregelverket på en forsvarlig måte. Etter vår oppfatning er det viktig å merke seg at:

  • operasjonelle oppgaver kan legges til kunderådgivere, men den rapporteringspliktige må sørge for tilstrekkelig kapasitet både hos førstelinje, og hos hvitvaskingsansvarlig;
  • etterlevelsesansvarlig må være tilstrekkelig uavhengig til å føre kontroll med førstelinjens etterlevelse, og bør ikke bistå i for stor grad med operasjonelle oppgaver;
  • internkontroll skal ikke medføre kontroll av eget arbeid. Internkontroll må omfatte alle områder av hvitvaskingsregelverket, og skal skje jevnlig; og
  • rapportering til styret etter internkontroll må inneholde tilstrekkelig informasjon om risiko for hvitvasking og terrorfinansiering samt etterlevelse av regelverket.

Virksomhetsinnrettet risikovurdering

Bankens risikomatrise, risikorapport og handlingsplan utgjorde til sammen Bankens virksomhetsinnrettede risikovurdering. Finanstilsynet mener den virksomhetsinnrettede risikovurderingen ikke gjorde Banken i stand til å iverksette riktige og risikobaserte tiltak for å adressere risiko for hvitvasking og terrorfinansiering. Her er det verdt å merke seg at:

  • den virksomhetsinnrettede risikovurderingen ikke kan være for generell og overordnet, den må konkret beskrive den faktiske risikoen, og skal bygges på relevante data og informasjon om egen kundemasse;
  • risikomatriser må være ferdig utarbeidet dersom de skal brukes, og må oppdateres både jevnlig og ved behov;
  • risikoreduserende tiltak for risikofaktorer må være reelle. Disse skal beskrive hvordan de risikoreduserende tiltakene skal redusere risikoen, og hvorfor restrisikoen vurderes som lavere enn den iboende risikoen;
  • dersom flere dokumenter utgjør den virksomhetsinnrettende risikovurderingen må disse ha en metodisk sammenheng, og ikke være motstridende; og
  • dersom det konkluderes med lav risiko for et kundeforhold, produkt eller tjeneste, må det foreligge et tilstrekkelig grunnlag for konklusjonen.

Rutiner

Bankens rutiner var ikke tilstrekkelig operasjonelle, og ga i liten grad veiledning til hvilke vurderinger som skulle gjennomføres for etterlevelse av hvitvaskingsregelverket. Det er viktig å merke seg at:

  • rutiner må være konkret tilpasset. Det er ikke tilstrekkelig med generelle rutiner, hvor store deler av rutinene består av avskrift fra regelverket og Finanstilsynets veileder til hvitvaskingsloven;
  • rutiner må oppdateres årlig og ved behov, og det må være tydelig hvem rutinene gjelder for og hvordan ansvaret er fordelt;
  • rutinene må også være klare på hvilke kundetiltak som skal gjennomføres for hvilke risikogrupper, og sette den ansatte i stand til å gjøre vurderinger og igangsette nødvendige tiltak;
  • endringer i rammeverk og systemstøtte krever oppdatering av rutiner; og
  • rutiner må være tydelig på hvilke kundetiltak som skal gjennomføres av PEP-kunder.

Risikoklassifisering

Finanstilsynet vurderte at Banken i for stor grad lente seg på en elektronisk risikoklassifiseringsmodell. Etter Finanstilsynets vurdering stiller en slik løsning høye krav til at risikoklassifiseringsmodellen fanger opp relevante risikofaktorer. På den bakgrunn konkluderte Finanstilsynet med at det var risiko for at kundene ikke ble underlagt kundetiltak i tråd med den faktiske risikoen. Det er viktig å merke seg at:

  • sårbarheter i elektroniske løsninger for risikoklassifisering må vurderes jevnlig. Eventuelle mangler i leveranser fra systemleverandør må følges opp, og det må planlegges tiltak for å kompensere for mangler;
  • det må vurderes i hvilken grad det er behov for manuell oppfølging av kundeforholdet;
  • metodikk for risikoklassifisering må være konkret, og finmasket nok til å plukke opp relevante risikofaktorer; og
  • ved manuell overstyring av modellen må nedjustering av risiko vurderes og begrunnes på bakgrunn av de risikofaktorene modellen har identifisert – fravær av ytterligere risikofaktorer er ikke nok.

Kundetiltak

Finanstilsynet avdekket mangler i etterlevelsen av kundetiltak ved etablering av kundeforhold i samtlige stikkprøver. Gjennomgående var det mangler i risikoklassifisering av kunder, og manglende dokumentasjon på forståelse av eierskaps- og kontrollstruktur. Stikkprøver underbygget at Bankens rammeverk ikke var bygget opp på en måte som satte Banken i stand til å identifisere og håndtere risiko for hvitvasking og terrorfinansiering. Det er viktig å merke seg at:

  • hovedtyngden av kundetiltak kan ikke basere seg på kundens utfylling av kundeerklæringsskjema;
  • risikoen ved kundeforholdet må baseres på en helhetsvurdering. Bør være «fire øyne»-kontroll ved manuell nedjustering av risiko;
  • det må fremgå av dokumentasjonen hvordan eller hvorfor en person anses som reell rettighetshaver; og
  • kundetiltak og de vurderinger som er gjort i risikoklassifiseringen må dokumenteres. Tiltak som er gjort for å fastslå formuens opprinnelse og om kundeforhold med høy risiko er godkjent av hvitvaskingsansvarlig må dokumenteres.

Løpende oppfølging

Alle banker er pålagt å ha elektroniske overvåkningssystemer som kan avdekke forhold som kan indikere hvitvasking og terrorfinansiering. Reglene i overvåkningssystemene må være egnet til å avdekke forhold som indikerer at midler har tilknytning til hvitvasking eller terrorfinansiering som identifisert i den rapporteringspliktiges risikovurdering.

Under tilsynet var det dessuten få spor av at det var gjennomført vurderinger som en del av de løpende kundetiltakene. Løpende kundetiltak besto stort sett av å hente inn oppdatert kundeerklæringsskjema. Det bør merkes at:

  • avvik mellom innhentet kundeinformasjon og faktiske transaksjoner kan ikke håndteres ved å kun sende nytt kundeerklæringsskjema med oppdatert informasjon. Dette kan medføre at innhentet informasjon og kundeatferd samsvarer, og at utslag i transaksjonsovervåkning unngås;
  • transaksjonsovervåkningssystem må være tilpasset bankens identifiserte risiko, og evne å fange opp mistenkelige forhold; og
  • ved bruk av innkjøpte systemer må det sikres at det gjennomføres evalueringer av kvalitet, funksjonalitet, svakheter og behov for komplementerende tiltak.

Undersøkelser og rapportering til Økokrim

Finanstilsynet gjennomførte stikkprøvekontroller av undersøkelser som hadde ledet til rapportering til Økokrim, samt undersøkelser som var lukket uten rapportering.

Finanstilsynet fant eksempler på at det i stedet for undersøkelser ble gjennomført kundetiltak på en måte som gjorde at kundens informasjon ble tilpasset den faktiske atferden. Banken primære oppfølging i slike tilfeller var å innhente nytt kundeerklæringsskjema, uten å vurdere om den innhentede informasjonen gav mening.

Banken gjennomførte også «white-listing» av alarmer, som innebar at en alarm ble skrudd av for en kunde i en begrenset periode. Finanstilsynet påpekte at en slik tilnærming forutsetter grundige risikovurderinger, gjennomføring av internkontroller og oppfølging.

Av dette kan merkes:

  • nærmere undersøkelser kan ikke erstattes med å gjennomføre kundetiltak slik at kundens informasjon blir tilpasset faktisk atferd; og
  • undersøkelser må dokumenteres, uavhengig av om de rapporteres til Økokrim.

Nyhetsbrev

Vil du motta relevante nyheter og invitasjoner på e-post?