Jeg var en tur i DGI-byen i tirsdags, hvor Finanstilsynet afholdte sin årlige Hvidvaskkonference.
I år ude af coronaens tegn, og dog alligevel med en af corona-tidens arbejdsmetoder: Vi var deltagere både fysisk i salen, og til stede online som deltagere i webinar. Så selvom det i udgangspunktet kunne virke lidt rodet, så fungerede det faktisk udmærket.
Finanstilsynet har holdt disse konferencer med specifikt fokus på hvidvask og finansiering af terrorisme i en årrække. Efter at fx revisorer og bogholdere kom med i scopet for hvidvaskloven er fokus også bredere end bare de finansielle virksomheder, selvom disse selvfølgelig er flest og fylder en del i referencerne og eksemplerne brugt i løbet af dagen.
Dagens talere var derfor både Finanstilsynet selv og EU-kommissionen, Hvidvasksekretariatet og PET samt fire virksomheder, som alle er omfattet af hvidvaskloven: en advokat, Danske Spil, en bank (Danske Bank) og en revisor. På denne måde kom synspunkterne og dagen godt rundt om emnet, og det ikke kun fra synsvinklen af finansielle virksomheder.
Jeg vil her forsøge at samle nogle observationer og highlights fra dagen. Temaet for i år var “Arbejde med risici”. Og med undertitlen “Risikovurderinger”.
Hvidvasklovens risikovurderinger
Emnet risikovurderinger havde Finanstilsynet valgt, da det er den centrale del af hvidvaskbekæmpelsen: At være i stand til at vurdere sin egen risiko for, at ens virksomhed ville kunne blive misbrugt til hvidvask.
Tilsynet fremhævede, at det ikke nødvendigvis er en nem opgave at identificere disse risici. Dette var også budskabet fra de fire inviterede virksomheder, hvor Danske Bank for eksempel indledte med budskabet: “Der er ingen nemme løsninger til risikovurderinger”. Fra tilsynet var budskabet også, at alle aktører, myndigheder-virksomheder-tilsyn, arbejder sammen om denne fælles indsats som hver sin del af et tandhjul.
For desværre er det sådan, at den økonomiske kriminalitet er stigende, og hvidvask i samfundet ligeså. Så det er alle de mange bidrag til at bekæmpe hvidvask, der hjælper til i det store billede og denne store samfundsopgave. Spørgsmålet er derfor, om denne hvidvaskbekæmpelse kan gøres mere effektivt. Blandt andet ved at kigge nærmere på risikovurderingerne og grundlaget for dem.
Risikovurderinger findes en række steder i hvidvaskloven, og disse var dækket under hvidvaskkonferencen således:
- Den nationale risikovurdering for hvidvaskområdet: Udarbejdes af Hvidvasksekretariatet under Anklagemyndigheden. Den nuværende udgave er fra 2018 og er i proces med at blive opdateret. En ny udgave forventes offentliggjort sidst i 2022.
- Den nationale risikovurdering for finansiering af terrorisme: Denne udarbejdes af PET. Den nuværende fra 2019 er ligeledes under opdatering og forventes offentliggjort inden udgangen af 2022.
- Den supranationale risikovurdering: EU-Kommissionens risikovurdering på EU niveau. Den nuværende er under opdatering, og forventes godkendt af kommissærerne ultimo juni/primo juli 2022 og herefter offentliggjort.
- Risikovurderinger for virksomhederne, jf. Hvidvasklovens § 7.
- Risikovurderinger for virksomhedernes kunder: Hvidvasklovens § 11, og en del af kundekendskabsprocedurerne.
Lidt mere om de nationale risikovurderinger: Hvidvask hhv. finansiering af terrorisme
Risiko tager udgangspunkt i definitionen: Risiko = trussel + sårbarhed + konsekvens. Her handler “sårbarhed” også om, hvor sårbar virksomheden er for at blive misbrugt til hvidvask er for den enkelte virksomhed.
Der er som sådan ikke tale om en karakterskala fra lav til høj, begrænset til øget, men mere om en kvalitativ vurdering af risici.
Den nye nationale risikovurdering for hvidvask vil blive væsentligt udbygget i forhold til den nuværende på 41 sider. Den vil fokusere på brancher, og vil indeholde konkrete input, eksempler mv. på risici-overvejelser for 15-16 forskellige brancher baseret på, hvilke trusler og sårbarheder Hvidvasksekretariatet ser for fx kunstbranchen, for udbydere af virtuelle valutaer osv.
Hver branche vil have et afsnit med en samlet vurdering af risiko. Den vil ikke skulle være en facitliste for den branche, men input til nærmere overvejelser for den enkelte virksomhed i den pågældende branche.
I forhold til finansiering af terrorisme skal vi begynde at overveje, om der er et andet billede end det klassiske på fx en kriminel eller en terrorist og hvordan finansiering af aktiviteterne foregår.
Den nuværende 2018-udgave for hvidvask kan ses her: Hvidvask i Danmark – Den nationale risikovurdering 2018.pdf (anklagemyndigheden.dk)
Den nuværende risikovurdering for finansiering af terrorisme kan ses her: NationalRisikovurderingafTerrorfinansieringDanmark2019pdf.ashx (pet.dk)
Virksomhedens egen risikovurdering
Indledningsvis fremhævede Finanstilsynet, at risikovurderingerne er en forudsætning for resten af arbejdet med hvidvaskreglerne. Og særligt, at dette er en helt entydig ledelsesopgave. Det er ubetinget ledelsens ansvar at have vurderet sine egne risici og at få dem implementeret i hele organisationen. Det er “god governance” som ledelse at have fokus på disse risici (sammen med andre risici for virksomheden).
Finanstilsynet refererede til de gennemførte tilsyn hos de finansielle virksomheder, og noterede, at resultaterne ikke var så gode, og at der var en del forbedringer mulige. Det var næsten alle de gennemgåede risikovurderinger, som skulle opdateres på den ene eller anden måde i forhold til:
- De er ikke tilstrækkeligt detaljerede.
- Vurderingerne er ikke grundige nok i forhold til at forholde sig til kundernes risici (kundernes brancher mv.).
Udarbejdes risikovurderingen for virksomheden på et tilstrækkeligt detaljeret niveau, er de et godt udgangspunkt for at vurdere risiciene på kundesagerne ved overvågning af kunder, dvs. kundekendskabsprocedurerne.
Risikovurdering på kundeniveau – kundekendskabsprocedurer (KYC)
I forhold til tilsyn vurderes det, om procedurer er tilstrækkelige, vurderingen er realistisk, om den er dokumenteret, og om den er opdateret.
Finanstilsynets inspektioner har vist, at på dette punkt med kundekendskabsprocedurer går det i den rigtige retning. Det er ikke næsten alle, der får kritik her. Resultaterne viser:
- Der er manglende eller utilstrækkelig risikovurdering af kunden.
- Risikovurderingen tager ikke højde for alle faktorer.
- At virksomheden har “besluttet” ikke at have kunder med øget risiko.
Der er efterhånden flere værktøjer på markedet, som kan håndtere KYC-processer, dvs. ID osv. Fra flere af talerne lød det dog også, at disse værktøjer ikke løser hele kundekendskabsopgaven, idet det stadig er en subjektiv opgave at foretage denne risikovurdering. Det kan IT-systemet ikke gøre for dig, uanset hvor mange algoritmer osv., der måtte være indbygget.
“Der er mange måder at gøre tingene forkert på”.
Stig Nielsen, Finanstilsynet (sagt med et smil :-))
—————–
Alt i alt en informativ formiddag i DGI-byen, god information at tage med hjem til det videre arbejde med forebyggelse af hvidvask med gode og effektive processer for risikovurderinger her på mit skrivebord og rundt omkring i landet.
Programmet for Hvidvaskkonference 2022 kan ses her: https://www.finanstilsynet.dk/-/media/Nyhedscenter/2022/Program_hvidvask.pdf
Læs mere om hvidvaskloven her Forebyggelse hvidvask – Auxia