Finansinspektionens slutsatser från penningtvättstillsynen 2016-2017 

Bakgrund

FI har mellan 2016-2017 undersökt efterlevnaden av penningtvättsregelverket, dels det tidigare regelverket från 2009 samt det nya regelverket som infördes 2017, hos ett sjuttiotal banker, sparbanker, kreditmarknadsbolag och penningöverförare. Undersökningarna har främst inriktats på företagens arbete med riskbedömningar, kundkännedom, övervakning och rapportering av misstänkta transaktioner.

I tillsynsrapporten (nr 1, 12 april 2018, Dnr 18-6701) framgår FI:s bedömning att företagens arbete mot penningtvätt och finansiering av terrorism generellt har förbättrats under de senaste åren. Det finns en större medvetenhet och fokus, och företag satsar mer resurser än tidigare. FI bedömer att företagen överlag har system, rutiner och dokumentation på plats, men att det i flera fall funnits brister i analys, bedömningar, uppföljning och åtgärder. Således behövs ytterligare insatser för att säkerställa att interna regelverk och processer är tydligt verksamhetsanpassade och får den effekt de var tänkta att ge.  

Finansinspektionens slutsatser (i urval)

Den allmänna riskbedömningen

I flera undersökta riskbedömningar framgår inte alltid tydligt hur företagen gör sina bedömningar av hur verksamheten kan utnyttjas för penningtvätt och finansiering av terrorism samt hur värdering av risken har gjorts. Avsaknad av en noggrann kartläggning leder till att företaget inte kan skapa sig en korrekt uppfattning om hur företaget kan utnyttjas vilket i sin tur leder till att man inte kan vida lämpliga riskreducerande åtgärder vid hantering av kunder. För företag som tar hjälp utifrån för att upprätta sina riskbedömningar och för företag i koncerner som använder sig av moderbolagets riskbedömning, finns en fara att man missar risker som är särskilt viktiga för det egna företaget. Flera företag saknar en specifik bedömning för hur man kan komma att utnyttjas för terrorismfinansiering. Då riskerna ser olika ut i förhållande till penningtvätt är det viktigt att detta beskrivs, identifieras och hanteras separat. 

Individuell riskbedömning av kunden

Företag har inte i tillräcklig utsträckning anpassat sina kundkännedomsåtgärder utifrån den risk som kunden medför. Det har även förekommit fall där kunder inte tilldelats någon riskklass alls. 

Åtgärder för att uppnå kundkännedom

Företag vidtar inte alltid tillräckliga åtgärder för att uppnå kundkännedom. Exempelvis saknas information om affärsförbindelsen syfte och art, vilka produkter och tjänster kunden använder sig av, information om verkliga huvudmän och vilken riskklassificering kunden har fått. Vidare har företag inte i tillräcklig utsträckning anpassat sina kundkännedomsåtgärder efter kundens reella risk. Otillräcklig kundkännedom leder till att transaktionsövervakningen riskerar att bli mindre effektiv då en felaktig bild kan komma att ligga till grund för övervakningen.

Anpassa övervakningen efter kundens risk

FI har noterat brister i företagens övervakning av transaktioner och rapportering till Finanspolisen. Dessa brister beror exempelvis på att företagens övervakningssystem inte är anpassade efter verksamhetens bedömda risker eller att de larm som genererats inte utretts tillräckligt noga. FI poängterar vikten av att inte rapportera för mycket och utan urskiljning. Det är viktigt att rapportering till Finanspolisen är relevant och håller en hög kvalité. 

Läs hela rapporten här.