Risikovurdering og sammenfatning
Hvidbjerg Bank er et mindre pengeinstitut med lokalområdet som sit primære marked. Ud over hovedsædet i Hvidbjerg har banken filialer i Struer, Holstebro, Viborg og Hurup.
Banken har en traditionel forretningsmodel for mindre pengeinstitutter med gængse ind- og udlånsprodukter og formidling af finansielle produkter indenfor realkredit, investering, pensions- og forsikringsområdet. Den primære kundegruppe er private husstande og mindre og mellemstore virksomheder.
Finanstilsynet vurderer, at bankens iboende risiko for at blive brugt til såvel hvidvask som finansiering af terrorisme er mellem-høj. Vurderingen er bl.a. baseret på bankens udbud af produkter, herunder muligheden for at gennemføre transaktioner til ind- og udland, der for flere produkters vedkommende er egnet til at blive brugt til hvidvask eller terrorfinansiering.
Finanstilsynet har ikke tidligere været på hvidvaskinspektion i banken.
Inspektionen viste, at nogle områder giver anledning til tilsynsmæssige reaktioner, jf. hvidvasklovens § 51.
Bankens hvidvaskpolitik indeholder ikke i tilstrækkelig grad bankens overordnede strategiske mål og operationalisering af målene for forebyggelse af hvidvask og terrorfinansiering. Bankens politik er på nuværende tidspunkt så overordnet, at den ikke kan bruges til at mitigere de konkrete risici, som banken har udpeget i sin risikovurdering. Politikken tager dermed ikke i tilstrækkelig grad udgangspunkt i risikovurderingen.
Det medfører en risiko for, at banken ikke får dækket alle sine risikoområder tilstrækkeligt. Dette er væsentligt, da banken skal have overblik over, om alle risici i banken bliver mitigeret, og hvilke konkrete foranstaltninger banken skal have for at imødegå alle risikofaktorer.
Banken har derfor fået påbud om at revidere sin politik på hvidvaskområdet. Politikken skal med udgangspunkt i bankens risikovurdering fastsætte de overordnede strategiske mål på området. Den skal indeholde principielle beslutninger om, hvordan banken skal indrettes, så risiciene for hvidvask og finansiering af terrorisme imødegås. Endeligt skal den indeholde principielle beslutninger om implementering af interne kontroller af, at alle risici i bankens risikovurdering er mitigeret[1].
Bankens risikoklassifikationsmodel er utilstrækkelig, idet den ikke risikoklassificerer brancher med øget risiko korrekt. F.eks. kan en kunde, som udøver aktivitet indenfor en branche med en høj risiko for hvidvask, blive kategoriseret som havende lav risiko. Der er altså risiko for, at bankens medregning af de enkelte risikomomenter ikke resulterer i en retvisende risikoprofil på kunderne. Dette er væsentligt, fordi banken skal fastlægge interval for og gennemføre kundekendskabsprocedure på baggrund af risikoprofilen.
Banken har derfor fået påbud om at ændre sin nuværende risikoscoremodel, så den i højere grad inddrager bankens vurdering af, om kundens branche udgør en øget risiko, så erhvervskunder risikoklassificeres korrekt. Banken skal herefter foretage en ny risikovurdering af de erhvervskunder, som driver virksomhed indenfor brancher, som banken risikoklassificerer som høj[2].
Banken har ikke løbende opdateret sin risikovurdering ved væsentlige ændringer, herunder i henhold til PET’s Nationale Risikovurdering for Terrorfinansiering fra januar 2024. Der har medført risiko for, at banken ikke var dækket ind for nye risikofaktorer, som banken skulle være opmærksom på i forbindelse med udøvelse af sin forretningsmodel. Dette er væsentligt, fordi flere risikoområder var betydeligt ændret i forhold til den tidligere risikovurdering, bl.a. på det højreekstremistiske område.
Banken har derfor fået en påtale for ikke løbende at have opdateret sin risikovurdering ved væsentlige ændringer, herunder i henhold til PET’s Nationale Risikovurdering 2024[3].
Banken har ikke rettidigt rettet op på sine manglende løbende kundekendskabsprocedurer, idet banken først to år efter implementering af sin automatiske kundekendskabsproces gennemførte procedurerne. Der var derfor en risiko for, at bankens oplysninger om eksisterende kunder ikke var korrekte og tilstrækkelige. Dette er væsentligt, idet risikovurderingen af et kundeforhold kan have ændret sig og dermed også intervallet for at gennemføre kundekendskabsprocedurerne.
Banken har derfor fået en påtale for, at banken ikke rettidigt rettede op på sine manglende løbende kundekendskabsprocedurer, idet banken først to år efter implementering af den automatiske kundekendskabsproces, har gennemført kundeskabsprocedurer på samtlige kunder[4].
[1] Hvidvasklovens § 8, stk. 1.
[2] Hvidvasklovens § 11, stk. 3.
[3] Hvidvasklovens § 7, stk. 1.
[4] Hvidvasklovens § 10, nr. 1.