Risikobasert kundekontroll og løpende oppfølging

Tematilsyn hvitvasking
Hvitvaskingskonferansen 2010 for bank og forsikring
Rådgiverne Svein Hagen og Kjersti Johansen
11. November 2010
Innhold
•
Gjennomføring av tematilsynet (kjo)
•
Resultater av inspeksjonene/Finanstilsynets
vurderinger av nødvendige tiltak knyttet til
1. Styring og kontroll av hvitvaskingsrisiko (kjo)
1. Gjennomføring av kundekontrollen (sha)
2
Gjennomføring - deltagere
• 2 største bankene i Norge
- forretningsområdene Shipping og Private Banking
• 2 største filialene i Norge
• 2 banker av ulike norske bankallianser
• 1 alliansefri bank
• 4 finansieringsselskaper
3
Gjennomføring - inspeksjonene
•
•
•
•
13 stedlige tilsyn i perioden 24.02.-22.04.2010
Deltager fra regelverksansvarlig enhet i inspeksjonsteamet
Krav om møte med hvitvaskingsansvarlig samt internrevisor
Gjennomgang av interne retningslinjer og interne rapporteringsog kontrollrutiner
• Stikkprøvekontroll av utført kundekontroll per 01.12.2009 av
- nye BM-kunder (juridiske personer)
- nye PM-kunder (fysiske personer)
- fornyede kontroller av eksisterende kunder
• Gjennomgang av IR-rapporter
4
Gjennomføring - rapporter
• Foreløpig rapport med generelle observasjoner og
institusjonsspesifikke vurderinger sendt styret / filialledelse i
Norge med kopi til tilsynsmyndighet i hjemlandet - unntatt
offentlighet .
• Institusjonsspesifikk offentlig rapport – merknader basert på
foreløpig rapport og institusjonens brev med kommentarer til
rapporten.
• Likelydende brev til styrene i alle banker, finansieringsselskap,
kredittforetak, ledere av filialer av utenlandske
kredittinstitusjoner vedlagt generelle observasjoner.
5
Krav til styring & kontroll



6
Rapporteringspliktige skal ha forsvarlige interne kontroll- og
kommunikasjonsrutiner som sikrer oppfyllelsen av denne loven
(Hvitvaskingsloven § 23 1. ledd)
Rutinene skal være fastsatt på øverste nivå hos den rapporteringspliktige
Det skal utpekes en person i ledelsen som skal ha et særskilt ansvar for å
følge opp rutinene (§ 23 2. ledd)
Rapporteringspliktige skal treffe nødvendige tiltak for å sikre at ansatte og
andre personer som utfører oppgaver på vegne av den rapporteringspliktige
1. er kjent med de plikter som påligger den rapporteringspliktige etter
denne lov
2. lærer å kjenne igjen transaksjoner som nevnt i § 17, dvs. mistenkelige
transaksjoner, og
3. er kjent med den rapporteringspliktiges interne rutiner for håndtering av
slike transaksjoner
(§23 3. ledd)
Organisering
• Alle institusjoner i utvalget hadde
hvitvaskingsansvarlig på ledernivå
- oppgaver bør nedfelles i stillingsinstrukser
• Alle institusjoner i utvalget hadde utarbeidet interne
retningslinjer, men disse bør
- tilpasses egen virksomhet og risikoprofil
- omfatte krav til løpende oppfølging
7
Organisering (ledelsesrapportering)
• Stor variasjon i kvalitet og omfang av
ledelsesrapporteringen /styrets involvering i
hvitvasking som et risikoelement
- manglende etterlevelse av hvitvaskingsregelverket
er forbundet med renommérisiko
- hvitvasking bør inngå som et risikoelement i
ordinær ledelsesrapportering, herunder
risikorapporteringen til styret.
8
Intern kontroll
• Ingen kontroller av intern revisor vedrørende
gjennomføringen av nytt regelverk
• I flertallet av institusjonene avdekket Finanstilsynets
stikkprøvekontroll også mangler knyttet til utført
legitimasjonskontroll
-
9
internkontrollen må skjerpes
Opplæring
• Et flertall hadde tatt i bruk eksternt utviklet elæringsprogram om nytt regelverk
- det bør også gis opplæring i egne retningslinjer og
systemløsninger
- opplæringen bør omfatte og tilpasses hele
organisasjonen
• Høy bevissthet i alle ledd er avgjørende for at
nødvendig aktsomhet kan utvises.
10
Erfaringer fra de stedlige tilsynene
vedr. risikobasert kundekontroll og
løpende oppfølging
• Flertallet av foretakene hadde ikke på
inspeksjonstidspunktet gjennomført risikobasert
kundekontroll, herunder risikoklassifisering av kunder,
identifisering av reelle rettighetshavere, registrert
opplysninger om kundeforholdets formål og tilsiktede
art. I flere foretak ble tidligere regelverk fulgt. Løpende
oppfølging var heller ikke iverksatt i foretakene.
• Hvitvaskingsloven og forskrift åpner ikke for unntak fra
disse pliktene
11
Risikobasert kundekontroll og
løpende oppfølging - oppsummering
fra de stedlige tilsynene
• Dersom rapporteringspliktige ikke har implementert IKTsystemer tilpasset ny lovgivning bør manuell registrering av
kundeopplysninger iverksettes umiddelbart.
• Dersom Hvitvaskingsregelverket ikke er gjennomført f.o.m den
15. april 2009 (ikrafttredelsestidspunktet for loven) må de
lovpålagte plikter gjennomføres med tilbakevirkende kraft.
• Likelydende brev og ”Generelle observasjoner” fra stedlige
tilsyn er sendt til samtlige finansinstitusjoner med krav om
etterlevelse av regelverket, herunder gjennomføring av
risikobasert kundekontroll for kundeforhold etablert etter lovens
ikrafttredelse.
12
Risikobasert kundekontroll
• De viktigste endringene i det nye Hvitvaskingsregelverket er
innføring av risikobasert kundekontroll og løpende oppfølging.
Endringene går vesentlig lengre enn legitimasjons- og
identitetskontrollen i det tidligere regelverket . Kundekontrollen
er en viktig del av ”kjenn din kunde” prinsippet, som er
”adgangskortet” til det finansielle system.
• I.h.t Hvitvaskingslovens § 5 plikter de rapporteringspliktige å
foreta en gjennomgang og analyse av virksomheten for å
kartlegge risikoer for hvitvasking og terrorfinansiering, og
tilpasse kundekontrolltiltakene ut fra en risikobasert tilnærming.
13
Nærmere om risikoer for hvitvasking
og terrorfinansiering
• Risikoanalysen i.h.t Lovens § 5 kan gi forskjellige
resultater m.h.t risikoklasser (lav, middels og høy).
Lovverket fastsetter ingen ”fasit” hvordan
risikomatrisen skal utformes. Omfanget, arten og
intensiteten av risikobaserte kundekontrolltiltak
tilpasses de konkrete risikoene i virksomheten.
• I oppsummeringen ”Generelle observasjoner” fra de
stedlige tilsynene legger Finanstilsynet til grunn ”at en
institusjon ikke kan begrense forsterket kundekontroll
til å omfatte kun politisk eksponerte personer”.
14
Situasjoner med antatt høy, forhøyet
risiko
• Lovens minstekrav når det gjelder høy, forhøyet risiko
er: – Politisk eksponerte personer,
korrespondentbankforhold og ved kundens ikkepersonlige fremmøte i institusjonen.
• Ingen legaldefinisjon i loven av høyrisikosituasjoner,
men eksempler i Finanstilsynets veiledning 8/2009 s.
28-29 på situasjoner som kan være høyrisiko.
• Identifisering av mulige høyrisikosituasjoner, er en
meget viktig del av den risikobaserte tilnærmingen
15
Andre eksempler på mulige
høyrisikosituasjoner
• Kontantbaserte virksomheter. Eksempler på næringer og
transaksjoner som kan være risikoutsatte: Drosje, bar, pub og
restaurant, bygg- og anlegg, innskuddsautomater
• Valutavirksomhet, hawala
• Andre gode eksempler på nettstedet www.hvitvasking.no, i
FATF-dokumentet (www.fatf-fagi.org), som er på offentlig
høring, og i FATFs typologirapporter.
• Har dere noen andre eksempler ?
16
Høyrisikosituasjoner – flere eks.
• Flere gode eksempler som Finanstilsynet har observert i de
rapporteringspliktiges interne retningslinjer:
– Skatteparadiser (se artikkel publisert på
Utenriksdepartementets nettsted 15. juli 2009 med link til
Kapitalfluktutvalgets omfattende rapport ”Skatteparadis og
utvikling”)
– Bruk av NUF selskapsformen - særskilte bransjer
– Skraphandlerbransjen (mye kontantbruk)
– Har dere noen andre gode eksempler ?
17
Kundekontrolltiltak for situasjoner
med antatt høy, forhøyet risiko
• PEP og korrespondentbankforhold. Lovpålagte minimumskrav til
kundekontrolltiltak, jf, Hvitvaskingsloven §§ 15 – 16. Ingen fleksibilitet m.h.t
tiltak (tiltakene skal m.a.o gjennomføres).
• Ved ikke personlig fremmøte i institusjonen, jf. Lovens § 7 fjerde ledd og krav
om ”ytterligere dokumentasjon”, se Rundskriv 2.9.2.
• Utover dette er Lov og forskrift ”tause” m.h.t konkrete kundekontrolltiltak.
Innenfor kjerneområdet for risikobasert fleksibilitet og skjønn
• Eksempler i Finanstilsynets rundskriv 8/2009 s. 27 første avsnitt
• Et annet eks - samtykke fra overordnet før etablering av kundeforhold
(analogi fra PEP tiltak i.h.t Lovens § 15)
• Eksempler ovenfor ikke uttømmende
• Har dere noen gode eksempler ?
18
Reelle rettighetshavere 1
• Se definisjon i Lovens § 2 nr. 3 ”fysiske personer som i
siste instans eier eller kontrollerer en kunde eller som
en transaksjon gjennomføres på vegne av”.
• Plikt i.h.t Lovens § 8 siste ledd til å ”registrere
opplysninger som entydig identifiserer reelle
rettighetshavere”. Ubetinget plikt.
• Bekreftelse av identiteten til reelle rettighetshavere
i.h.t Lovens § 7 nr. 3 ”på grunnlag av egnede tiltak”.
Risikobasert skjønn og fleksibilitet.
19
Reelle rettighetshavere 2
• Se omtale i Finanstilsynets Rundskriv punkt 2.7
• Hovedkilden til informasjon om reelle rettighetshavere
vil normalt være kunden selv
• Viktige hjelpemidler kan være offentlige registre,
private databaser og individuelle undersøkelser
• Særlig utfordring her er underliggende avtaler som
kontrollerer eierandeler, eller stemmene i et selskap,
og som ikke er registrert i offentlige registre. Eksempel
på dette kan være aksjonæravtaler.
20
Opplysninger om kundeforholdets
formål og tilsiktede art
• Plikten til å registrere slike kundeopplysninger følger av Lovens
§ 7 nr. 4. Se omtale i Rundskrivet punkt 2.8.
• Meget viktig del av ”kjenn din kunde” prinsippet
• Ingen ”fasit” i Lov eller Forskrift på hvordan dette skal gjøres.
En del av den risikobaserte tilnærmingen.
• Formålsangivelse i Firmaattest er ofte ikke tilstrekkelig. Hvilke
produkter og tjenester kunden etterspør, samt omfanget vil
normalt være viktig. Kunden er også her viktigste ”kilde”.
• Meget viktig med slike kundeopplysninger for å muliggjøre en
effektiv løpende oppfølging, se neste og siste bilde.
21
Løpende oppfølging
• Hvitvaskingslovens § 14 og Rundskrivet punkt 2.12
• Forlengelse og oppfølging av den risikobaserte kundekontrollen
• Risikobasert og omfatter alle kundeforhold – også de som er
etablert før lovens ikrafttredelse 15. april 2009. Institusjonene
bør her vedta handlingsplaner som muliggjør slik oppfølging for
samtlige kundeforhold
• Viktig at ”kundeforholdets formål og tilsiktede art” er registrert
på en mest mulig fullstendig måte for å muliggjøre en effektiv
løpende oppfølging
• Elektroniske overvåkningssystemer (for banker og
finansieringsforetak), eller betryggende manuelle systemer (for
andre) er av avgjørende betydning for å etterleve denne plikten
22