EY syftar på den globala organisationen och kan referera till ett eller flera av medlemsföretagen till Ernst & Young Global Limited som vart och ett är en separat juridisk enhet. Ernst & Young Global Limited, ett bolag registrerat i Storbritannien, tillhandahåller inte tjänster till kunder.
En övergripande genomgång av hur riskbaserat arbete kan tolkas och tillämpas inom finansiella institut.
Penningtvätt utgör ett samhällsekonomiskt problem av betydande omfattning. Penningtvätt i Sverige uppskattas motsvara omkring två procent av bruttonationalprodukten, det vill säga cirka 100 miljarder kronor årligen. Det förklarar delvis varför lagstiftaren ställer långtgående krav på att motverka att det finansiella systemet används för brottslighet. I praktiken är det emellertid tillsynsmyndighetens beslut som konkretiserar vad kraven faktiskt innebär, var gränsen går för godtagbara rutiner och vilka brister som bedöms som sanktionerbara.
Ett nyligen meddelat beslut från Finansinspektionen (FI dnr 23–13249), där en svensk bank tilldelades en anmärkning förenad med en sanktionsavgift om 170 miljoner kronor, utgör ett belysande exempel på hur tillsynsmyndigheten tolkar och tillämpar penningtvättsregelverkets krav. Beslutet fungerar som vägledning för branschen och belyser vilka förväntningar som ställs på finansiella institut. Ur ett penningtvättsperspektiv klassas bankverksamhet som särskilt högrisk. Som Finansinspektionen framhåller står banker för den grundläggande finansiella infrastrukturen, och i princip alla pengar som tvättas behöver passera banksystemet i något skede. Risken för penningtvätt i banksektorn bedöms därför vara betydande, vilket motiverar höga krav på bankers aktsamhet och interna kontroller. Området är samtidigt komplext: transaktionsflöden kan delas upp och döljas, och ägarstrukturer kan byggas i flera led och inom olika jurisdiktioner i syfte att försvåra spårning.
Det riskbaserade förhållningssättet utgör själva grundpelaren i regelverket mot penningtvätt. Verksamhetsutövare ska identifiera och förstå sina risker för att därefter vidta åtgärder som står i proportion till risken. Principen genomsyrar de konkreta krav som regelverket ställer, från den allmänna riskbedömningen via kundriskklassificering till kundkännedomsåtgärder. Det aktuella beslutet illustrerar hur brister i ett led får kedjeeffekter i efterföljande led: den allmänna riskbedömningen behöver innehålla relevanta bedömningar av hur produkter kan utnyttjas för penningtvätt eller finansiering av terrorism, så att riskbedömningen kan ligga till grund för verksamhetens rutiner, riktlinjer och övriga åtgärder på ett lämpligt sätt. Dessa krav är centrala eftersom den allmänna riskbedömningen utgör grunden för hela det riskbaserade arbetet, och utan en fullständig och korrekt riskbedömning saknas förutsättningar för att utforma ändamålsenliga kontrollåtgärder. Detsamma gäller kundriskbedömningar, som behöver utformas med tillräcklig precision och förankring i den övergripande riskbilden.
Finansinspektionens beslut illustrerar att en modell för kundriskklassificering behöver beakta relevanta högriskfaktorer som identifierats i den allmänna riskbedömningen. Modellen bör vidare valideras innan den tas i bruk. Kundernas riskprofil ska därmed fastställas med utgångspunkt i de allmänna riskbedömningarna och med beaktande av samtliga omständigheter som institutet är skyldig att beakta. Om dessa krav inte uppfylls finns en risk att kunder med förhöjd risk inte identifieras och att de skärpta åtgärder som regelverket kräver därmed uteblir.
Kundkännedomsåtgärder är ett område där myndigheten understryker höga krav på fullständighet och efterlevnad. Verksamhetsutövare behöver säkerställa att obligatoriska registersökningar faktiskt genomförs och att tillräcklig information inhämtas om affärsförbindelsernas syfte och art. Om kundkännedomen är otillräcklig saknas förutsättningar att bedöma vilka aktiviteter och transaktioner kunderna kan förväntas utföra, vilket i sin tur försvårar möjligheten att upptäcka avvikande beteenden och misstänkta transaktioner.
Kraven blir särskilt tydliga vid hantering av högriskkunder, vilket belyser vad det riskbaserade arbetssättet kräver i praktiken. Vid förhöjd risk förutsätts att skärpta kundkännedomsåtgärder vidtas och att dessa genomförs utan oskäligt dröjsmål. Samtidigt framhålls att det inte är möjligt att generellt ange vilka åtgärder som alltid måste vidtas vid hög risk, men att åtgärder för att utreda kundens ekonomiska situation och medlens ursprung normalt behöver vidtas för att uppnå tillräcklig kunskap om kunden och motverka den höga risken. Brister i hanteringen av högriskkunder är särskilt allvarliga eftersom det är just dessa kunder som typiskt sett utgör den största risken för att det finansiella systemet utnyttjas för penningtvätt eller finansiering av terrorism.
Det riskbaserade förhållningssättet ställer höga krav på verksamhetsutövarens egen förmåga att analysera och motivera sina val. Många aktörer har svårt att leva upp till proportionalitetsprincipen, delvis på grund av att regelverket medger betydande utrymme för bedömningar utan att ge detaljerad vägledning om vilka åtgärder som är tillräckliga i varje enskilt fall. Det innebär att verksamhetsutövaren måste kunna visa att de åtgärder som vidtas står i proportion till de identifierade riskerna – en uppgift som kräver både djup förståelse för den egna verksamheten och förmåga att dokumentera och motivera de val som görs. Finansinspektionens beslut fyller därför en viktig funktion som vägledning för branschen, genom att konkretisera var gränsen går för godtagbara rutiner och vilka brister som bedöms som sanktionerbara.
Sammantaget illustrerar beslutet både varför kraven på banker är högt ställda och hur det riskbaserade arbetssättet måste omsättas konkret. Finansinspektionen konstaterar att brister i efterlevnaden kan bidra till en klart ökad risk för att banker och det finansiella systemet utnyttjas för penningtvätt och finansiering av terrorism. Att det riskbaserade förhållningssättet lämnar utrymme för bedömningar innebär inte ett lägre ansvar. Tvärtom förutsätter det att verksamhetsutövaren kan motivera sina val och själv visa på proportionaliteten i sina åtgärder.
EY har bred kompetens inom det regulatoriska området och erfarenhet av att stötta finansiella aktörer i arbetet med regelefterlevnad, riskhantering och interna kontroller. Vi hjälper er att tolka och omsätta komplexa krav, från riskbedömningar till kundkännedom, så att ni kan stärka ert regelefterlevnadsarbete.
Författare:
- Andreas Blomquist – Associate Partner – 073-684 52 12
- Johanna Hedlöf – Senior Manager – 072-396 08 16
- Elina Elfstrand – Senior Associate – 072-963 41 68
- Daniel Lundholm Akhter – Client Serving Contractor
Summering
EY Law skriver regelbundet artiklar på området regulatorisk och digital lagstiftning. Prenumerera på vårt nyhetsbrev för att få relevant information om de senaste uppdateringarna inom områden såsom dataskydd, AI, ESG, bank och finans, e-handel och mycket mer. Registrera dig här.