Ruotsin finanssivalvontaviranomainen Finansinspektionen on määrännyt Swedbankille historiallisen suuren seuraamusmaksun vakavien rahanpesulainsäädännön rikkomusten sekä tiedoksiantovelvollisuuden laiminlyönnin vuoksi.

Asiassa arvioitiin, miten Swedbank on noudattanut kansallisia rahanpesun estämisen säännöksiä Ruotsin pankkitoiminnassaan sekä tytärpankeissaan Latviassa, Liettuassa ja Virossa. Arvioitavaksi tuli myös, miten Swedbank on noudattanut tiedonantovelvollisuuttaan Finansinspektionenille. Swedbank oli arvion mukaan laiminlyönyt velvollisuutensa tunnistaa, mitata, ohjata, sisäisesti raportoida ja rajoittaa liiketoimintansa rahanpesun riskejä.

Asiakkaiden riskiluokittelu ja asiakassuhteen jatkuva seuranta keskiössä

Swedbankin Ruotsin pankkitoiminnassa käyttämä riskiluokitusmalli ei ollut vastannut pankin yleistä riskiarviota eikä sisältänyt kaikkia yleisen riskiarvion sisältämiä korkean riskin tuotteita ja toimialoja. Tämän vuoksi riskiluokitusmalli oli arvioinut useat korkean riskiprofiilin asiakkaat normaalin riskin asiakkaiksi.

Baltian tytärpankkien transaktiovolyymeista suuri osa koostui ulkomaisten asiakkaiden liiketoimista tai kohdistui korkean rahanpesuriskin valtioihin. Suuri osa transaktiovolyymeistä kuului lisäksi kotimaisille asiakkaille, joilla oli ulkomaisia edunsaajia. Näistä merkittävä osa oli asiakkaita, jotka pankit itse olivat luokitelleet korkean rahanpesuriskin asiakkaiksi. Ulkomaan yhteyksien sekä asiakkaiden korkean riskiluokituksen vuoksi olisi Finansinspektionenin mukaan ollut erityisen tärkeää luoda rahanpesun estämiselle tehokkaat ja tarkoituksenmukaiset käytännöt. Merkittävä osa tytärpankkien liiketoiminnasta oli puutteiden vuoksi altistunut korostetulle rahanpesun riskille.

Seuraamuksen mittaaminen

Finansinspektionen piti useita Swedbankin rikkomuksista erityisen vakavina ja harkitsi siksi Swedbankin toimiluvan peruuttamista. Ruotsin rahanpesulain esitöiden mukaan varoitus katsotaan oikeaksi toimenpiteeksi silloin, kun toimiluvan peruuttamisen edellytykset ovat sinänsä käsillä, mutta varoitus voidaan tapauksessa katsoa riittäväksi toimenpiteeksi. Lieventävinä asianhaaroina voidaan pitää esimerkiksi tutkinnan aktiivista edesauttamista sekä pankin toimenpiteitä puutteiden korjaamiseksi, mikäli ne osoittavat, että pankki ei todennäköisesti tule toistamaan rikkomuksia.

Swedbank ei Finansinspektionenin mukaan ollut edesauttanut tutkintaa, mutta oli ryhtynyt kattaviin toimenpiteisiin puutteiden korjaamiseksi ja ennusteen pankille voitiin täten katsoa olevan hyvä. Sen vuoksi varoitusta pidettiin riittävänä seuraamuksena.

Seuraamusmaksun määrän suhteessa seuraamusmaksun enimmäismäärään tulee vastata rikkomusten vakavuutta. Seuraamusmaksun enimmäismäärän arvioinnin lähtökohtana toimi Swedbankin liikevaihto; seuraamusmaksu voi Ruotsin lain mukaan nykyisin vastata korkeintaan 10 % koko konsernin liikevaihdosta. Ennen lakimuutosta seuraamusmaksun enimmäismäärä oli 10 % pankin liikevaihdosta. Swedbankin rikkomukset sijoittuivat sekä ennen lakimuutosta että sen jälkeiseen aikaan, joten Finansinspektionen käytti tapauksessa edellisen ja nykyisen lain enimmäismäärien keskiarvoa seuraamusmaksun suuruutta arvioidessaan. Swedbankin liikevaihto oli 52,08 miljardia kruunua ja konsernin liikevaihto oli 60,36 miljardia kruunua. Ennen lakimuutosta seuraamusmaksun enimmäismäärä oli täten 5,21 miljardia kruunua ja lakimuutoksen jälkeen 6,04 miljardia kruunua. Finansinspektionenin määrittelemän mukainen seuraamusmaksun enimmäismäärä oli näiden keskiarvo, eli 5,62 miljardia kruunua.

Mihin tarkastuksessa kiinnitettiin huomiota?

Finansinspektionen kiinnitti arviossaan erityisesti huomiota seuraaviin seikkoihin:

• Swedbank on Ruotsin pankkitoiminnassaan rikkonut rahanpesun estämisen velvollisuuttaan laiminlyömällä riskiarviointinsa sekä asiakkaiden riskiluokittelun yhteensovittamisen.
• Swedbankin Ruotsin liiketoiminnassa käyttämä riskiluokitusmalli ei ottanut huomioon kaikkia niitä riskejä, jotka Swedbank oli maininnut yleisessä riskiarviossaan, sillä tietyt korkean riskin toimialat ja tuotteet puuttuivat riskiluokitusmallista kokonaan.
• Korkean riskin asiakkaita luokiteltiin näin normaalin riskin asiakkaiksi, jolloin tehostettuihin valvontatoimenpiteisiin ei ryhdytty.
• Baltian tytärpankeissa ei ole ollut tarvittavia resursseja eikä osaamista rahanpesun estämiseen, eikä vastuunjako johtoelimessä ole ollut selkeä.
• Konsernin hallitusta ei informoitu asiakasprojekteihin liittyvistä riskeistä ja puutteista.
• Tytärpankkien pankkitoiminnan compliance-toiminto ei ollut vuoteen 2016 asti tarpeeksi riippumaton ja itsenäinen.
• Viron tytärpankin compliance-vastaava vuodesta 2012 oli vuonna 2017 tehdyn ulkoisen raportin mukaan ollut tietoinen siitä, että järjestelmään merkityt erään korkean riskin asiakasryhmän asiakkaan tosiasialliset edunsaajat eivät olleet asiakkaan oikeat tosiasialliset edunsaajat.
• Tytärpankeilla ei ole ollut korkean riskin asiakkaille riskinhallintastrategiaa eikä selkeitä ohjeita siihen, miten ulkomaisten asiakkaiden ja tosiasiallisten edunsaajien kanssa tulisi toimia.
• Tytärpankkien monitorointijärjestelmä ei verrannut asiakkaan liiketoimien suuruutta ja laatua asiakkaan aikaisempiin liiketoimiin tai niihin tietoihin, mitä asiakas oli pankille antanut liiketoiminnastaan, eikä ottanut asiakkaan henkilökohtaista riskiluokitusta huomioon.
• Asiakkaan tuntemistietoja ja tietoja asiakkaan asiakassuhteen tarkoituksesta ja liiketoiminnan laajuudesta kerätään, jotta niitä voidaan käyttää hyväksi asiakassuhteen jatkuvassa seurannassa.
• Järjestelmä oli ottanut huomioon vain pienen osan korkean riskin asiakkaiden liiketoimista, sillä korkean riskin asiakkaiden monitorointi ei eronnut muusta monitoroinnista.
• Monitoroinnissa tulee myöskäyttää asiakkaan yksilöityjä tuntemistietoja ja liiketoimihistoriaa, eikä ainoastaan verrata asiakkaan liiketoimia muihin liiketoimiin yleisellä tasolla.
• Swedbankin kokoinen konserni ei voi luottaa asiakkaan riskiluokituksen manuaaliseen päivitykseen täyttääkseen rahanpesulain velvoitteet.
• Swedbank ei ollut antanut Finansinspektionenille tietoja tiettyjen asiakkaiden erittäin korkeasta rahanpesuriskistä eikä käynnissä olevista rahanpesun estämiseen liittyvistä projekteista.
  • Swedbank oli myös laiminlyönyt velvollisuuttaan luovuttaa Finanssivalvonnalle pankin sisäistä materiaalia Finanssivalvonnan Swedbankia kohtaan suorittamaa arviointia varten
  • Viranomaisen tietopyyntö tulee käsittää laajasti ja luovuttaa kaikki olennainen aineisto; viranomaisen tietopyynnöllä ei ole muotovaatimuksia eikä sen tarvitse olla yksilöity koskemaan tiettyä seikkaa, eikä viranomaisen täten tarvitse olla kaikista olosuhteista tietoinen voidakseen vaatia niistä tietoja.

Mitä johtopäätöksiä ratkaisusta voi tehdä?

Rahanpesulain mukaisella ilmoitusvelvollisella voi olla korkean riskin asiakkaita, ja tämä asettaa vastaavasti korkeita vaatimuksia rahanpesun estämisen sisäisille järjestelmille sekä ohjeistuksille ja vaatii merkittävästi resursseja ja osaamista. Swedbank altistui päätöksen mukaan useilla tavoin korkealle rahanpesun riskille omaamatta kuitenkaan riittäviä riskinhallinnan resursseja ja osaamista. Päätöksessä korostui myös emoyhtiön erityinen vastuu tarjota tytäryhtiöille tarvittava ohjeistus rahanpesun estämiseen, sekä valvoa järjestelmällisesti tytäryhtiöiden rahanpesusääntelyn noudattamista ja reagoida puutteisiin matalalla kynnyksellä.

Päätöksessä korostettiin, että jälkikäteisen reagoinnin sijaan rahanpesun estämisessä tulisi panostaa ennaltaehkäisemiseen. Rahanpesun estämisen toimintamallit, ohjeistukset ja järjestelmät tulee suhteuttaa liiketoiminnan kokoon ja laatuun ja ottaa erityisesti huomioon liiketoimien ja asiakkaiden erityispiirteet ja mahdolliset yhteydet korkean riskin valtioihin sekä näistä muodostuva asiakkaan henkilökohtainen riskiluokitus.

Neljäs rahanpesudirektiivi sekä Euroopan valvontaviranomaisten yhteiset riskitekijöitä koskevat ohjeet antavat esimerkkejä riskiskenaarioista, jotka pankkien tulisi ottaa huomioon riskiarvioissaan, esimerkiksi asiakkaan yhteydet tai liiketoimet korkean rahanpesuriskin valtioihin sekä liiketoimet, jotka suoritetaan ilman henkilökohtaista kontaktia asiakkaaseen. Ulkomaiset tosiasialliset edunsaajat kasvattavat myös riskiä; FATFin mukaan monikansallisia yritysrakenteita käytetään usein rahanpesutarkoituksiin tällaisten järjestelyiden heikompien valvontamahdollisuuksien vuoksi. Private banking -asiakkaat lasketaan myös korkeamman rahanpesuriskin asiakkaiksi näiden suurempien ja monimutkaisempien liiketoimien vuoksi.

Ratkaisu on julkaistu Ruotsin Finansinspektionenin verkkosivuilla.

Lisätiedot:
Katja Flittner, Associate, puh. +358 50 410 0512, [email protected]