På hvidvaskområdet omfattede inspektionen virksomhedens kundekendskab og –overvågning, virksomhedens undersøgelses-, noterings-, underretnings- og opbevaringspligt samt virksomhedens risikovurdering og forretningsgang på hvidvaskområdet.
Risikovurdering og sammenfatning
Virksomheden udbyder betalingskonti til virksomheder, der tilbyder tjenester med kryptoaktiver. Det er også muligt for virksomhederne at købe og sælge kryptoaktiver med virksomheden som modpart. Virksomheden tilbyder derudover deres kunder at sende og modtage kryptoaktiver. Virksomheden udbyder kun konti til erhvervsdrivende.
Finanstilsynet vurderer, at virksomhedens risiko for at blive brugt til hvidvask eller finansiering af terrorisme er høj. Finanstilsynets vurdering er blandt andet baseret på den iboende risiko ved kryptoaktiver som produkt, og at virksomhedens kunder er udbydere af kryptoaktivtjenester med transaktioner, som indebærer en højere grad af anonymitet og uden geografiske begrænsninger.
Observationerne fra inspektionen har givet anledning til tilsynsmæssige reaktioner på fire områder:
Virksomheden har ikke sikret en tydelig afgræsning af dobbeltroller og interessekonflikter ved bestyrelsesmøder, eller hvordan virksomheden vil håndtere dette. Det medfører en risiko for, at kritiske beslutninger for virksomheden kan være påvirket af egeninteresser. Dette er væsentligt, da der ikke må kunne drages tvivl om bestyrelses uafhængighed. Virksomheden har derfor fået påbud om at sikre tydelig afgrænsning af dobbeltroller og interessekonflikter i bestyrelsen og sørge for klare retningslinjer for interessekonflikter i forbindelse med bestyrelsesarbejdet.
Virksomheden har ikke i tilstrækkeligt omfang dokumenteret, at bestyrelsen har taget stilling til beslutninger truffet i risikokomiteen. Komitéen har ansvaret for at fastsætte politikker for at følge risikovilligheden, som bestyrelsen har besluttet. Det er derfor uklart, om bestyrelsen forholder sig til komitéens beslutninger. Det medfører en risiko for, at bestyrelsen ikke forholder sig til komitéens beslutninger. Dette er væsentligt, da det er den samlede bestyrelse, der skal træffe beslutningerne. Virksomheden får derfor et påbud om at sikre, at bestyrelsen i nødvendigt omfang forholder sig til beslutninger truffet i risikokomitéen.
Virksomhedens risikostyring, herunder identifikation, overvågning og håndtering af risici har været mangelfuld. Det medfører en risiko for, at virksomheden ikke får identificeret og mitigeret alle relevante risici. Dette er væsentligt, da risici risikerer ikke at blive identificeret eller håndteret. Virksomheden får påbud om at sikre effektive skriftlige procedurer til at identificere, forvalte, overvåge og rapportere om de risici, virksomheden er eller kan blive udsat for.
Virksomheden har ikke etableret interne kontrolprocedurer, der sikrer, at manglende overholdelse af de udarbejdede forretningsgange bliver opdaget. Dette er i stedet lagt an på enkelte medarbejdes løbende vurdering heraf. Det medfører en risiko for, at fejl eller mangler ikke bliver identificeret og håndteret i tide. Dette er væsentligt, da interne kontrolprocedurer skal være uafhængige af f.eks. medarbejderudskiftning. Virksomheden får påbud om at sikre interne kontrolprocedurer således, at manglende overholdelse af forretningsgange opdages.
De øvrige undersøgte områder, herunder på hvidvaskområdet, gav ikke anledning til tilsynsmæssige reaktioner.