hva kan vi lære av de siste års saker og tilsyn?...hva kan vi lære av de siste års saker og...
TRANSCRIPT
Hva kan vi lære av de siste års saker og tilsyn?
Hvitvaskingkonferansen, Oslo, 19-20 november 2019
Stig Nielsen
Kontorchef
Finanstilsynet, Danmark
Lidt baggrund …
Der er stor forskel på, hvor godt AML/CTF styres i virksomhederne
• I Danske Bank's estiske filial var der alvorlige brud på AML/CTF reglerne
▪ Sagen har haft alvorlige konsekvenser
• Det er langt fra den eneste sag i Europa
▪ Men det er den bedst belyste
• Vi været på en del inspektioner i de seneste år
▪ Det har givet indsigt
• Mit indlæg baserer sig på de sager – store som små – vi har set
• Fokus på danske forhold
▪ Men observationerne kan meget vel gøre sig gældende i andre lande
• Fokus på governance
• Fokus på hvad der gik galt i virksomhederne
▪ Men også, hvad tilsynsmyndighederne kan lære
Hvad er forventningerne til virksomhederne?
”Den, der har evnen, har også pligten”
”Den, der er givet pligten, skal også have evnen”Samfundet,
tidligt 21. århundrede
A.P. Møller, tidligt 20. århundrede
Erfaring 1:
• Virksomhedernes ledelser har ikke været
opmærksomme på samfundskontrakten
• De har ikke været opmærksomme på kravene i
lovgivningen og at de har ændret sig
Informationen kan ændre sig på vej til ledelsen
1. Den kan bliver
mindre
detaljeret – ”no
information
overload,
please”
2. Den kan blive
mere positiv –
”tell me the
good news”
3. Den kan blive
mindre kritisk –
”the boss is
always right”
Erfaring 2:
• Ledelsen kendte ikke risiciene for hvidvask og
terrorfinansiering
• Ledelsen kendte ikke virksomhedens egne risici for
at blive brugt til hvidvask og terrorfinansiering
Ændring i information kan medføre …
• at ledelsen ikke kender de kritiske detaljer
• at ledelsen ikke får advarsler om truende risici
• at ledelsen ikke får besked om potentielle eller reelle
lovovertrædelser
… og derfor …
• at ledelsen ikke kan gribe ind i tide
• at ledelsen ikke kan revurdere politikker og procedurer
… hvorved
• virksomheden overtræder lovgivningen og
• overtrædelserne får lov til at udvikle sig og forværres
Erfaring 3:
• Informationen til ledelserne ændrede sig gennem
organisationen
• Ledelserne fik ikke at vide, at der var noget galt eller
at der var noget, der ikke virkede
• Ledelserne opfordrede ikke i tilstrækkelig grad til at
komme med kritik og advarsler
• Ledelserne var ikke opmærksom på, hvorfor et
område tjener mange penge
Informationen gennem organisationen skal målrettes
1. Den skal være
baseret på et
fuldt oplyst
grundlag
2. Den skal kunne
anvendes
3. Den skal rettes
mod dem, der
skal bruge den
4. Politikker og
forretnings-
gange er
information
Virksomheden skal indrettes betryggende
o Identifikation og vurdering af risikofaktorero Vurdering af virksomhedens risiko
Information
Hvordan vil man drive virksomheden?
Risikovurdering
Politikker
ProcedurerHvordan operationaliserer virksomheden politikkerne?
Hvor ligger de iboende risici i virksomheden?
Hvor ligger de overordnede risici (samfundsniveau)?
Udførende niveauo Organisationo Systemero Processer
Kontrollerende niveauo Organisationo Systemero Processer
Konkretisering af politikker for det udførende niveau i konkrete o procedurer, o handlinger ogo brugersystemer
Konkretisering af politikker for det kontrollerende niveau i konkrete o procedurer, o handlinger ogo brugersystemer
Hovedkonklusioner fra inspektioner i Danmark
De hyppigste reaktioner er:
• Virksomhederne udfører ikke opgaverne på et risikobaseret grundlag
• Risikovurderingen er ikke tilstrækkelig
• Politikkerne er ikke tilstrækkeligt operationelle
• Procedurerne er ikke tilstrækkeligt gennemarbejdede
• Kundekendskabsprocedurerne er ikke tilstrækkelige
• Kunder og transaktioner bliver ikke overvåget tilstrækkeligt grundigt
• Korrespondentbanker bliver ikke tilstrækkeligt vurderet
• Funktionsadskillelsen er ikke tilstrækkelig
Erfaring 4:
• Ledelserne tog ikke stilling til, hvad der reelt skal til
for at forebygge hvidvask og terrorfinansiering
• Ledelserne traf ikke alle de strategiske beslutninger
• Ledelserne gjorde ikke beslutningerne operationelle
De 3 LoD …
… skal alle virke
1LoD
2LoD
3LoD
Management
Erfaring 5:
• De tre LoD virkede ikke efter hensigten
• Ledelserne baserede sig på information fra de tre
LoD, men sikrede ikke, at de var uafhængige og
udførte deres opgaver med tilstrækkelig høj integritet
Reguleringen på hvidvaskområdet …
1. Krav til, hvordan virksomheden skal indrettes og styres, for at kunne leve op til kravene
2. Krav til, hvilke opgaver virksomheden skal løse
▪ Kundekendskab
▪ Transaktionsovervågning
▪ Underretning
…. kan groft taget deles op i to hovedområder
Erfaring 6:
• Virksomhederne havde ikke KYC på alle kunder
• Information om eksisterende kunder var ikke blevet
opdateret
• Der var kunder, der var risikoklassificeret forkert
Transaktionerne har et kolossalt omfang
Det kræver omfattende systemer for at spotte mistænkelige transaktioner
Erfaring 7:
• Virksomhederne har ikke haft tilstrækkeligt
omfattende systemer til transaktionsovervågning
• Virksomhederne vidste for lidt om kunderne til at
have en effektiv transaktionsovervågning
• Systemerne har ikke fanget tilstrækkeligt mange
mistænkelige transaktioner
• Mistænkelige transaktioner blev ikke behandlet
tilstrækkeligt grundigt og sendt videre til FIU
Har tilsynene også lært noget?
✓ Vi skal have fokus på de mangler, der har været
✓ Vi skal sætte ressourcer af til opgaven
✓ Vi skal have sofistikerede tilsynsmetoder
✓ Vi skal (også) have et omfattende databaseret grundlag for tilsynet
✓ Vi skal være vedholdende i vores indsats
✓ Vi skal række ud til virksomhederne - awareness
• Vi har iværksat en række initiativer for at leve op til dette
Ja, det har vi …
Hvilke initiativer har vi ellers taget?
• Fra politisk side
▪ Øget reaktionsmulighederne
▪ Øget sanktionsmulighederne
▪ Stillet krav til god virksomhedskultur
• Fra Finanstilsynets side
▪ Støtter vi aktivt udviklingen af en fælles infrastruktur
▪ Øger vi samarbejdet væsentligt – ikke mindst på tværs af grænserne
EBA om risikokultur og forretningsadfærd
• En betryggende og konsekvent risikokultur bør være et afgørende
element i effektiv risikostyring
• Bør udvikles gennem politikker, kommunikation og uddannelse af
medarbejdere
• Risikostyring ikke kun i risikostyringsfunktionen/kontrolfunktionen -
forretningsområderne (1 LoD) er ansvarlige for den daglige
risikostyring
• Ledelsen bør udvikle, indføre, overholde og fremme høje etiske og
faglige standarder, under hensyntagen til instituttets specifikke
behov og karakteristika
• Skal sikre implementeringen gennem adfærdskodeks eller lignende
• Politik for hvordan standarder skal efterleves
Det er svært at argumentere imod …
Sund virksomhedskultur: tiltag i Danmark
• Krav om politik for sund virksomhedskultur
• Særligt fokus på god virksomhedskultur i relation til forebyggelse af
hvidvask og anden økonomisk kriminalitet
• Pengeinstituttets mål for indtjeningens størrelse skal holdes op mod
hensynet til overholdelse af reguleringen
• Høje etiske og faglige standarder skal fremmes
Det handler om at bekæmpe alvorlig kriminalitet
Den politiske tolerancetærskel er særdeles lav
Samfundet reagerer på overtrædelser
• Naming and shaming
• Markedsreaktioner
• Politiske indgreb
Vi skal gå foran og ikke vente, til det går galt