Risikobasert kundekontroll og løpende oppfølging
Transcription
Risikobasert kundekontroll og løpende oppfølging
Tematilsyn hvitvasking Hvitvaskingskonferansen 2010 for bank og forsikring Rådgiverne Svein Hagen og Kjersti Johansen 11. November 2010 Innhold • Gjennomføring av tematilsynet (kjo) • Resultater av inspeksjonene/Finanstilsynets vurderinger av nødvendige tiltak knyttet til 1. Styring og kontroll av hvitvaskingsrisiko (kjo) 1. Gjennomføring av kundekontrollen (sha) 2 Gjennomføring - deltagere • 2 største bankene i Norge - forretningsområdene Shipping og Private Banking • 2 største filialene i Norge • 2 banker av ulike norske bankallianser • 1 alliansefri bank • 4 finansieringsselskaper 3 Gjennomføring - inspeksjonene • • • • 13 stedlige tilsyn i perioden 24.02.-22.04.2010 Deltager fra regelverksansvarlig enhet i inspeksjonsteamet Krav om møte med hvitvaskingsansvarlig samt internrevisor Gjennomgang av interne retningslinjer og interne rapporteringsog kontrollrutiner • Stikkprøvekontroll av utført kundekontroll per 01.12.2009 av - nye BM-kunder (juridiske personer) - nye PM-kunder (fysiske personer) - fornyede kontroller av eksisterende kunder • Gjennomgang av IR-rapporter 4 Gjennomføring - rapporter • Foreløpig rapport med generelle observasjoner og institusjonsspesifikke vurderinger sendt styret / filialledelse i Norge med kopi til tilsynsmyndighet i hjemlandet - unntatt offentlighet . • Institusjonsspesifikk offentlig rapport – merknader basert på foreløpig rapport og institusjonens brev med kommentarer til rapporten. • Likelydende brev til styrene i alle banker, finansieringsselskap, kredittforetak, ledere av filialer av utenlandske kredittinstitusjoner vedlagt generelle observasjoner. 5 Krav til styring & kontroll 6 Rapporteringspliktige skal ha forsvarlige interne kontroll- og kommunikasjonsrutiner som sikrer oppfyllelsen av denne loven (Hvitvaskingsloven § 23 1. ledd) Rutinene skal være fastsatt på øverste nivå hos den rapporteringspliktige Det skal utpekes en person i ledelsen som skal ha et særskilt ansvar for å følge opp rutinene (§ 23 2. ledd) Rapporteringspliktige skal treffe nødvendige tiltak for å sikre at ansatte og andre personer som utfører oppgaver på vegne av den rapporteringspliktige 1. er kjent med de plikter som påligger den rapporteringspliktige etter denne lov 2. lærer å kjenne igjen transaksjoner som nevnt i § 17, dvs. mistenkelige transaksjoner, og 3. er kjent med den rapporteringspliktiges interne rutiner for håndtering av slike transaksjoner (§23 3. ledd) Organisering • Alle institusjoner i utvalget hadde hvitvaskingsansvarlig på ledernivå - oppgaver bør nedfelles i stillingsinstrukser • Alle institusjoner i utvalget hadde utarbeidet interne retningslinjer, men disse bør - tilpasses egen virksomhet og risikoprofil - omfatte krav til løpende oppfølging 7 Organisering (ledelsesrapportering) • Stor variasjon i kvalitet og omfang av ledelsesrapporteringen /styrets involvering i hvitvasking som et risikoelement - manglende etterlevelse av hvitvaskingsregelverket er forbundet med renommérisiko - hvitvasking bør inngå som et risikoelement i ordinær ledelsesrapportering, herunder risikorapporteringen til styret. 8 Intern kontroll • Ingen kontroller av intern revisor vedrørende gjennomføringen av nytt regelverk • I flertallet av institusjonene avdekket Finanstilsynets stikkprøvekontroll også mangler knyttet til utført legitimasjonskontroll - 9 internkontrollen må skjerpes Opplæring • Et flertall hadde tatt i bruk eksternt utviklet elæringsprogram om nytt regelverk - det bør også gis opplæring i egne retningslinjer og systemløsninger - opplæringen bør omfatte og tilpasses hele organisasjonen • Høy bevissthet i alle ledd er avgjørende for at nødvendig aktsomhet kan utvises. 10 Erfaringer fra de stedlige tilsynene vedr. risikobasert kundekontroll og løpende oppfølging • Flertallet av foretakene hadde ikke på inspeksjonstidspunktet gjennomført risikobasert kundekontroll, herunder risikoklassifisering av kunder, identifisering av reelle rettighetshavere, registrert opplysninger om kundeforholdets formål og tilsiktede art. I flere foretak ble tidligere regelverk fulgt. Løpende oppfølging var heller ikke iverksatt i foretakene. • Hvitvaskingsloven og forskrift åpner ikke for unntak fra disse pliktene 11 Risikobasert kundekontroll og løpende oppfølging - oppsummering fra de stedlige tilsynene • Dersom rapporteringspliktige ikke har implementert IKTsystemer tilpasset ny lovgivning bør manuell registrering av kundeopplysninger iverksettes umiddelbart. • Dersom Hvitvaskingsregelverket ikke er gjennomført f.o.m den 15. april 2009 (ikrafttredelsestidspunktet for loven) må de lovpålagte plikter gjennomføres med tilbakevirkende kraft. • Likelydende brev og ”Generelle observasjoner” fra stedlige tilsyn er sendt til samtlige finansinstitusjoner med krav om etterlevelse av regelverket, herunder gjennomføring av risikobasert kundekontroll for kundeforhold etablert etter lovens ikrafttredelse. 12 Risikobasert kundekontroll • De viktigste endringene i det nye Hvitvaskingsregelverket er innføring av risikobasert kundekontroll og løpende oppfølging. Endringene går vesentlig lengre enn legitimasjons- og identitetskontrollen i det tidligere regelverket . Kundekontrollen er en viktig del av ”kjenn din kunde” prinsippet, som er ”adgangskortet” til det finansielle system. • I.h.t Hvitvaskingslovens § 5 plikter de rapporteringspliktige å foreta en gjennomgang og analyse av virksomheten for å kartlegge risikoer for hvitvasking og terrorfinansiering, og tilpasse kundekontrolltiltakene ut fra en risikobasert tilnærming. 13 Nærmere om risikoer for hvitvasking og terrorfinansiering • Risikoanalysen i.h.t Lovens § 5 kan gi forskjellige resultater m.h.t risikoklasser (lav, middels og høy). Lovverket fastsetter ingen ”fasit” hvordan risikomatrisen skal utformes. Omfanget, arten og intensiteten av risikobaserte kundekontrolltiltak tilpasses de konkrete risikoene i virksomheten. • I oppsummeringen ”Generelle observasjoner” fra de stedlige tilsynene legger Finanstilsynet til grunn ”at en institusjon ikke kan begrense forsterket kundekontroll til å omfatte kun politisk eksponerte personer”. 14 Situasjoner med antatt høy, forhøyet risiko • Lovens minstekrav når det gjelder høy, forhøyet risiko er: – Politisk eksponerte personer, korrespondentbankforhold og ved kundens ikkepersonlige fremmøte i institusjonen. • Ingen legaldefinisjon i loven av høyrisikosituasjoner, men eksempler i Finanstilsynets veiledning 8/2009 s. 28-29 på situasjoner som kan være høyrisiko. • Identifisering av mulige høyrisikosituasjoner, er en meget viktig del av den risikobaserte tilnærmingen 15 Andre eksempler på mulige høyrisikosituasjoner • Kontantbaserte virksomheter. Eksempler på næringer og transaksjoner som kan være risikoutsatte: Drosje, bar, pub og restaurant, bygg- og anlegg, innskuddsautomater • Valutavirksomhet, hawala • Andre gode eksempler på nettstedet www.hvitvasking.no, i FATF-dokumentet (www.fatf-fagi.org), som er på offentlig høring, og i FATFs typologirapporter. • Har dere noen andre eksempler ? 16 Høyrisikosituasjoner – flere eks. • Flere gode eksempler som Finanstilsynet har observert i de rapporteringspliktiges interne retningslinjer: – Skatteparadiser (se artikkel publisert på Utenriksdepartementets nettsted 15. juli 2009 med link til Kapitalfluktutvalgets omfattende rapport ”Skatteparadis og utvikling”) – Bruk av NUF selskapsformen - særskilte bransjer – Skraphandlerbransjen (mye kontantbruk) – Har dere noen andre gode eksempler ? 17 Kundekontrolltiltak for situasjoner med antatt høy, forhøyet risiko • PEP og korrespondentbankforhold. Lovpålagte minimumskrav til kundekontrolltiltak, jf, Hvitvaskingsloven §§ 15 – 16. Ingen fleksibilitet m.h.t tiltak (tiltakene skal m.a.o gjennomføres). • Ved ikke personlig fremmøte i institusjonen, jf. Lovens § 7 fjerde ledd og krav om ”ytterligere dokumentasjon”, se Rundskriv 2.9.2. • Utover dette er Lov og forskrift ”tause” m.h.t konkrete kundekontrolltiltak. Innenfor kjerneområdet for risikobasert fleksibilitet og skjønn • Eksempler i Finanstilsynets rundskriv 8/2009 s. 27 første avsnitt • Et annet eks - samtykke fra overordnet før etablering av kundeforhold (analogi fra PEP tiltak i.h.t Lovens § 15) • Eksempler ovenfor ikke uttømmende • Har dere noen gode eksempler ? 18 Reelle rettighetshavere 1 • Se definisjon i Lovens § 2 nr. 3 ”fysiske personer som i siste instans eier eller kontrollerer en kunde eller som en transaksjon gjennomføres på vegne av”. • Plikt i.h.t Lovens § 8 siste ledd til å ”registrere opplysninger som entydig identifiserer reelle rettighetshavere”. Ubetinget plikt. • Bekreftelse av identiteten til reelle rettighetshavere i.h.t Lovens § 7 nr. 3 ”på grunnlag av egnede tiltak”. Risikobasert skjønn og fleksibilitet. 19 Reelle rettighetshavere 2 • Se omtale i Finanstilsynets Rundskriv punkt 2.7 • Hovedkilden til informasjon om reelle rettighetshavere vil normalt være kunden selv • Viktige hjelpemidler kan være offentlige registre, private databaser og individuelle undersøkelser • Særlig utfordring her er underliggende avtaler som kontrollerer eierandeler, eller stemmene i et selskap, og som ikke er registrert i offentlige registre. Eksempel på dette kan være aksjonæravtaler. 20 Opplysninger om kundeforholdets formål og tilsiktede art • Plikten til å registrere slike kundeopplysninger følger av Lovens § 7 nr. 4. Se omtale i Rundskrivet punkt 2.8. • Meget viktig del av ”kjenn din kunde” prinsippet • Ingen ”fasit” i Lov eller Forskrift på hvordan dette skal gjøres. En del av den risikobaserte tilnærmingen. • Formålsangivelse i Firmaattest er ofte ikke tilstrekkelig. Hvilke produkter og tjenester kunden etterspør, samt omfanget vil normalt være viktig. Kunden er også her viktigste ”kilde”. • Meget viktig med slike kundeopplysninger for å muliggjøre en effektiv løpende oppfølging, se neste og siste bilde. 21 Løpende oppfølging • Hvitvaskingslovens § 14 og Rundskrivet punkt 2.12 • Forlengelse og oppfølging av den risikobaserte kundekontrollen • Risikobasert og omfatter alle kundeforhold – også de som er etablert før lovens ikrafttredelse 15. april 2009. Institusjonene bør her vedta handlingsplaner som muliggjør slik oppfølging for samtlige kundeforhold • Viktig at ”kundeforholdets formål og tilsiktede art” er registrert på en mest mulig fullstendig måte for å muliggjøre en effektiv løpende oppfølging • Elektroniske overvåkningssystemer (for banker og finansieringsforetak), eller betryggende manuelle systemer (for andre) er av avgjørende betydning for å etterleve denne plikten 22