Hva kan vi lære av de siste års saker og tilsyn?

Hvitvaskingkonferansen, Oslo, 19-20 november 2019

Stig Nielsen

Kontorchef

Finanstilsynet, Danmark

Lidt baggrund …

Der er stor forskel på, hvor godt AML/CTF styres i virksomhederne

• I Danske Bank's estiske filial var der alvorlige brud på AML/CTF reglerne

▪ Sagen har haft alvorlige konsekvenser

• Det er langt fra den eneste sag i Europa

▪ Men det er den bedst belyste

• Vi været på en del inspektioner i de seneste år

▪ Det har givet indsigt

• Mit indlæg baserer sig på de sager – store som små – vi har set

• Fokus på danske forhold

▪ Men observationerne kan meget vel gøre sig gældende i andre lande

• Fokus på governance

• Fokus på hvad der gik galt i virksomhederne

▪ Men også, hvad tilsynsmyndighederne kan lære

Hvad er forventningerne til virksomhederne?

”Den, der har evnen, har også pligten”

”Den, der er givet pligten, skal også have evnen”Samfundet,

tidligt 21. århundrede

A.P. Møller, tidligt 20. århundrede

Erfaring 1:

• Virksomhedernes ledelser har ikke været

opmærksomme på samfundskontrakten

• De har ikke været opmærksomme på kravene i

lovgivningen og at de har ændret sig

Informationen kan ændre sig på vej til ledelsen

1. Den kan bliver

mindre

detaljeret – ”no

information

overload,

please”

2. Den kan blive

mere positiv –

”tell me the

good news”

3. Den kan blive

mindre kritisk –

”the boss is

always right”

Erfaring 2:

• Ledelsen kendte ikke risiciene for hvidvask og

terrorfinansiering

• Ledelsen kendte ikke virksomhedens egne risici for

at blive brugt til hvidvask og terrorfinansiering

Ændring i information kan medføre …

• at ledelsen ikke kender de kritiske detaljer

• at ledelsen ikke får advarsler om truende risici

• at ledelsen ikke får besked om potentielle eller reelle

lovovertrædelser

… og derfor …

• at ledelsen ikke kan gribe ind i tide

• at ledelsen ikke kan revurdere politikker og procedurer

… hvorved

• virksomheden overtræder lovgivningen og

• overtrædelserne får lov til at udvikle sig og forværres

Erfaring 3:

• Informationen til ledelserne ændrede sig gennem

organisationen

• Ledelserne fik ikke at vide, at der var noget galt eller

at der var noget, der ikke virkede

• Ledelserne opfordrede ikke i tilstrækkelig grad til at

komme med kritik og advarsler

• Ledelserne var ikke opmærksom på, hvorfor et

område tjener mange penge

Informationen gennem organisationen skal målrettes

1. Den skal være

baseret på et

fuldt oplyst

grundlag

2. Den skal kunne

anvendes

3. Den skal rettes

mod dem, der

skal bruge den

4. Politikker og

forretnings-

gange er

information

Virksomheden skal indrettes betryggende

o Identifikation og vurdering af risikofaktorero Vurdering af virksomhedens risiko

Information

Hvordan vil man drive virksomheden?

Risikovurdering

Politikker

ProcedurerHvordan operationaliserer virksomheden politikkerne?

Hvor ligger de iboende risici i virksomheden?

Hvor ligger de overordnede risici (samfundsniveau)?

Udførende niveauo Organisationo Systemero Processer

Kontrollerende niveauo Organisationo Systemero Processer

Konkretisering af politikker for det udførende niveau i konkrete o procedurer, o handlinger ogo brugersystemer

Konkretisering af politikker for det kontrollerende niveau i konkrete o procedurer, o handlinger ogo brugersystemer

Hovedkonklusioner fra inspektioner i Danmark

De hyppigste reaktioner er:

• Virksomhederne udfører ikke opgaverne på et risikobaseret grundlag

• Risikovurderingen er ikke tilstrækkelig

• Politikkerne er ikke tilstrækkeligt operationelle

• Procedurerne er ikke tilstrækkeligt gennemarbejdede

• Kundekendskabsprocedurerne er ikke tilstrækkelige

• Kunder og transaktioner bliver ikke overvåget tilstrækkeligt grundigt

• Korrespondentbanker bliver ikke tilstrækkeligt vurderet

• Funktionsadskillelsen er ikke tilstrækkelig

Erfaring 4:

• Ledelserne tog ikke stilling til, hvad der reelt skal til

for at forebygge hvidvask og terrorfinansiering

• Ledelserne traf ikke alle de strategiske beslutninger

• Ledelserne gjorde ikke beslutningerne operationelle

De 3 LoD …

… skal alle virke

1LoD

2LoD

3LoD

Management

Erfaring 5:

• De tre LoD virkede ikke efter hensigten

• Ledelserne baserede sig på information fra de tre

LoD, men sikrede ikke, at de var uafhængige og

udførte deres opgaver med tilstrækkelig høj integritet

Reguleringen på hvidvaskområdet …

1. Krav til, hvordan virksomheden skal indrettes og styres, for at kunne leve op til kravene

2. Krav til, hvilke opgaver virksomheden skal løse

▪ Kundekendskab

▪ Transaktionsovervågning

▪ Underretning

…. kan groft taget deles op i to hovedområder

Erfaring 6:

• Virksomhederne havde ikke KYC på alle kunder

• Information om eksisterende kunder var ikke blevet

opdateret

• Der var kunder, der var risikoklassificeret forkert

Transaktionerne har et kolossalt omfang

Det kræver omfattende systemer for at spotte mistænkelige transaktioner

Erfaring 7:

• Virksomhederne har ikke haft tilstrækkeligt

omfattende systemer til transaktionsovervågning

• Virksomhederne vidste for lidt om kunderne til at

have en effektiv transaktionsovervågning

• Systemerne har ikke fanget tilstrækkeligt mange

mistænkelige transaktioner

• Mistænkelige transaktioner blev ikke behandlet

tilstrækkeligt grundigt og sendt videre til FIU

Har tilsynene også lært noget?

✓ Vi skal have fokus på de mangler, der har været

✓ Vi skal sætte ressourcer af til opgaven

✓ Vi skal have sofistikerede tilsynsmetoder

✓ Vi skal (også) have et omfattende databaseret grundlag for tilsynet

✓ Vi skal være vedholdende i vores indsats

✓ Vi skal række ud til virksomhederne - awareness

• Vi har iværksat en række initiativer for at leve op til dette

Ja, det har vi …

Hvilke initiativer har vi ellers taget?

• Fra politisk side

▪ Øget reaktionsmulighederne

▪ Øget sanktionsmulighederne

▪ Stillet krav til god virksomhedskultur

• Fra Finanstilsynets side

▪ Støtter vi aktivt udviklingen af en fælles infrastruktur

▪ Øger vi samarbejdet væsentligt – ikke mindst på tværs af grænserne

EBA om risikokultur og forretningsadfærd

• En betryggende og konsekvent risikokultur bør være et afgørende

element i effektiv risikostyring

• Bør udvikles gennem politikker, kommunikation og uddannelse af

medarbejdere

• Risikostyring ikke kun i risikostyringsfunktionen/kontrolfunktionen -

forretningsområderne (1 LoD) er ansvarlige for den daglige

risikostyring

• Ledelsen bør udvikle, indføre, overholde og fremme høje etiske og

faglige standarder, under hensyntagen til instituttets specifikke

behov og karakteristika

• Skal sikre implementeringen gennem adfærdskodeks eller lignende

• Politik for hvordan standarder skal efterleves

Det er svært at argumentere imod …

Sund virksomhedskultur: tiltag i Danmark

• Krav om politik for sund virksomhedskultur

• Særligt fokus på god virksomhedskultur i relation til forebyggelse af

hvidvask og anden økonomisk kriminalitet

• Pengeinstituttets mål for indtjeningens størrelse skal holdes op mod

hensynet til overholdelse af reguleringen

• Høje etiske og faglige standarder skal fremmes

Det handler om at bekæmpe alvorlig kriminalitet

Den politiske tolerancetærskel er særdeles lav

Samfundet reagerer på overtrædelser

• Naming and shaming

• Markedsreaktioner

• Politiske indgreb

Vi skal gå foran og ikke vente, til det går galt