Har du styr på din hvidvaskrisiko?
Forebyggelse af hvidvask og finansiering af terror er i fokus som aldrig før. Men hvordan får man et overblik over de områder, som man skal tage stilling til i sin organisation? Området er komplekst. Jeg vil her kort introducere nogle af nøgleområderne med fokus på seks dele af den samlede proces inden for forebyggelse af hvidvask og terrorfinansiering.
Af Jonas Kjøller Jørgensen, Seniorkonsulent | 30. Oktober 2018
Lovændringer igangsat
Historisk har områderne været højt prioriteret, men har især fået ekstra opmærksomhed efter den internationale kritik, som Danmark fik for få år siden. Kritikken blev afledt af den tidligere verserende Panamaredegørelse, der især rettede sig mod manglende ressourcer samt manglende koordination imellem de nationale strategier.
Som del af Finanstilsynets nyeste strategi, blev forebyggelse af hvidvask og terrorfinansiering indlemmet som et af syv særlige indsatsområder i forhold til Finanstilsynets strategi for 2020.
Opdraget blev at følge den daværende nytiltrådte politiske aftale af juni 2017. Her blev større lovændringer igangsat ud fra de givne roller og ansvar, som den finansielle sektor blev pålagt.
Resultatet blev etableringen af et nyt kontor med større økonomiske ressourcer, hvor hovedopgaven er tilsyn af ca. 1.500 virksomheder, ud fra den nye risikobaserede tilgang.
Senest er hvidvaskloven strammet pr. 1 juli 2018, hvilket bl.a. omfatter:
- sammensmeltning af enkelte områder i straffeloven,
- ”Fit and proper”- vurdering af rollen som hvidvaskansvarlig
- og endelig muligheden for inddragelse af licens ved lovovertrædelser.
Den finansielle regulering stiller store krav til den enkelte virksomheds håndtering af risici indenfor hvidvask og terrorfinansiering. For en del institutter er dette en udfordring.
Hvorfor favner hvidvaskforebyggelse både dybt og bredt i organisationen?
Processerne til at håndtere bekæmpelse af hvidvask i de enkelte institutter er mange – og kravene til kompetencer hos de relevante medarbejdere er komplekse. Begge dele favner typisk meget bredt omkring forretningens værdikæde, og kan derfor anskues fra flere vinkler.
Instituttets kunder
Et væsentligt element i lovgivningsændringen fra 2017, er risikoklassifikationen af instituttets kunder, som skal danne fundamentet. Dette omfatter:
- Intern forretningsmodel
- Governance
- Kontroller
- Systemopsætning
- Rapportering
Instituttets organisering
Yderligere skal tankesættet opbygges ud fra et forsvarssystem, hvor der sker funktionsadskillelse med passende foranstaltninger imellem de enkelte led i:
- Hvidvask
- Risiko
- Compliance
- Direktion
- Controlling
I det følgende fokuserer vi på den overordnede operationelle tilgang til hvidvaskbekæmpelse i de enkelte institutter.
De seks faser for forebyggelse af hvidvask og terrorfinansiering
Forebyggelse af hvidvask kan opdeles i seks faser. Hver del bidrager til den samlede proces til forebyggelse af hvidvask og terrorfinansiering.
Hver af de seks faser er væsentlige for, at pengeinstituttet lever op til lovkrav og intern risikostyring:
1. Risikoklassifikation og vurdering af kunder
Formålet er at identificere de enkelte kunder og risikoen for, at de til- eller utilsigtet udnytter instituttet til hvidvask.
Det er afgørende for en tilfredsstillende compliance på hvidvaskområdet, at der er foretaget en grundig risikoklassifikation af instituttets kunder. For at vurdere om instituttets kundesegmentering følger bestyrelsens fastsatte forretningsmodel, er det nødvendigt at identificere en række konkrete risici.
Risikoklassifikation tager bl.a. udgangspunkt i:
- hvilke kundetyper, der samlet udgør forretningens grundlag
- hvorledes instituttets produkter matcher instituttets risici
- antal og omfang af kundernes transaktioner
- hvilke indenlandske eller udenlandske leveringskanaler, der gøres brug af
- samt den geografiske fordeling af instituttets samarbejdspartnere.
Vurderingen skal udmunde i, at kunderne placeres i en af tre kategorier – lav, mellem eller høj. Den samlede score på tværs af kundemassen favner således instituttets risici baseret på vurderingen af kundernes adfærdsmønstre. Risikoklassifikationen skal sideløbende vurderes i forhold til bestyrelsens fastsatte forretningsmodel.
2. Forretningsmodel
Forretningsmodellen skal årligt revideres, således at den tager højde for instituttets løbende opdaterede risikoklassifikation.
I det omfang den ikke gør dette, skal der tilvejebringes en analyse af, hvorvidt risikobilledet er forøget og om der skal ske en justering af kundesegmentet eller af forretningsmodellen.
Forretningsmodellen skal være opdateret med en konkret forretningsplan for, hvorledes instituttet er i stand til at tjene penge og samtidig overholde den stramme finansielle regulering i sektoren.
Dette medfører stillingstagen til ejere, samarbejdspartnere, aktiviteter, ressourcer, leverancer og kundeværdi, kunderelationer, leveringskanaler, kundetyper, omkostninger og indtægter.
3. Governance – skriftlige retningslinjer og skabeloner
Instituttet skal underbygge risikoklassifikationen og forretningsmodellen med skriftlige retningslinjer og skabeloner.
Dette betyder, at medarbejdere skal følge godkendte politikker, instrukser og forretningsgange jf. FIL (Lov om finansiel virksomhed) og hvidvasklovgivningen. Her er fokusområderne kundekendskabsproces, aktiviteter, transaktioner, risikostyring, korrespondentforbindelser samt opmærksomheds-, noterings- og undersøgelsespligten.
Medarbejderne skal foruden kendskab til vedtagne retningslinjer også certificeres via undervisning, som følger hvidvasklovgivningen i Danmark. Certificering skal følge den jobfunktion den enkelte medarbejder har i organisationen.
4. Kontroller
Ud fra den fastsatte risikoklassifikation, instituttets forretningsmodel og interne retningslinjer, skal der opsættes et kontrolmiljø omkring kriterier, som er tilpasset den vedtagne forretningsmodel.
Kontrolmiljøet skal behandle det forventede transaktionsmønster ud fra kundernes adfærdsmønstre og reagere på mistænkelige aktiviteter.
Personalet skal oplæres i at efterleve instituttets regelsæt, hvorved risici for hvidvask og terrorfinansiering minimeres.
Kontrollerne skal specificeres ud fra, hvilken klassifikation de enkelte kunder har. Samlet set er der en lang række kontroller, som skal prioriteres internt i organisationen – kunders mønster og adfærd, enkeltstående transaktioner samt kundekendskabsproceduren.
5. Rapportering
På baggrund af instituttets operationelle styring, skal udvalgte nøglepersoner redegøre for driften og kontrolmiljøet relateret til lovgivningen på hvidvaskområdet.
Underforstået skal henholdsvis den udvalgte hvidvask-, compliance-, og risikoansvarlige, den interne revision, samt direktionen, alle rapportere om interne forhold og anbefalinger til ændringer i praksis overfor den siddende bestyrelse.
Rapporteringen tager udgangspunkt i kontroller, der udføres i pengeinstituttet. Disse er eksempelvis kundernes mønster, adfærd, enkeltstående transaktioner, samlede transaktionsmønstre, risikoklassifikationen, PEP-listen (politisk eksponerede personer), offentligt tilgængelige terrorlister o.l., samt den geografiske placering af anvendte korrespondentbanker.
6. Årshjul og vedligeholdelse
Ved lovændringer og løbende udvikling i kundemassen og/eller forretningsmodellen, skal der godkendes både nye skriftlige retningslinjer og en ny risikoklassifikation. Derudover ligger der et krav om uagtet at revidere minimum én gang årligt.
Samtidig skal nøglepersonernes anbefalinger i den årlige hvidvaskrapport indeholde forslag til revidering af instituttets samlede tilstedeværelse af kompetencer, tilgængelige og prioriterede ressourcer, foranstaltninger, IT-opsætning, risici, processer samt generel efterlevelse af lovgivning og skriftlige standarder.
Jonas Kjøller Jørgensen, Seniorkonsulent
Jonas har derfor et solidt og bredt kendskab til stort set alle de klassiske markets-dicipliner, men har i de seneste år primært arbejdet med projektbaseret udvikling og implementering af forretningsunderstøttende systemer, nye produkter samt forskellige regulatoriske og lovgivningspligtige indberetningsløsninger. Jonas’ primære fokusområde findes i brobygning mellem solid forretnings- og procesforståelse og effektive it-løsninger. Jonas har særlig stor ekspertise inden for forretningsmæssige analyser og optimeringer af processer – herunder også det regulatoriske område.