Beslut
2023-12-12
Beslut
Aros Kapital AB FI dnr 20-26363
genom styrelsens ordförande Delgivning nr 1 Vestagatan 6
416 64 Göteborg
Varning och sanktionsavgift
Finansinspektionens beslut (att meddelas den 13 december 2023 kl. 8.00)
1. Finansinspektionen ger Aros Kapital AB (556669-3130) en varning.
(15 kap. 1 § lagen [2004:297] om bank- och finansieringsrörelse)
2. Aros Kapital AB ska betala en sanktionsavgift på 45 000 000 kronor.
(15 kap. 7 § lagen om bank- och finansieringsrörelse)
Hur man överklagar, se bilaga.
Finansinspektionen
Box 7821
SE-103 97 Stockholm
[Xxxxxxxxxxx 0]
Tel x00 0 000 000 00
xxxxxxxxxxxxxxxxxx@xx.xx xxx.xx.xx
1(51)
Sammanfattning
Aros Kapital AB (Aros eller bolaget) är ett kreditmarknadsbolag som har tillstånd att driva finansieringsrörelse enligt lagen (2004:297) om bank- och finansieringsrörelse (LBF). Bolaget erbjuder små och medelstora företag i Sverige, Norge, Finland och England tjänster inom företagslån, fakturaköp, leasing, inkasso och juridik. Finansinspektionens undersökning gäller åren 2018– 2021. Under den tidperioden har Xxxx haft en kraftig tillväxt och mycket god lönsamhet.
Finansinspektionen har undersökt om Aros har följt reglerna om kreditrisk- hantering, åtgärder mot penningtvätt och finansiering av terrorism, beräkning och rapportering av kreditrisker, bruttosoliditetsgrad och stora exponeringar samt styrning, riskhantering och kontroll. Inspektionens undersökning visar på ett flertal brister inom samtliga dessa områden.
I fråga om kreditriskregelverket har det funnits brister i Aros beslutsunderlag och kreditprövning. Vad gäller penningtvättsregelverket har Finansinspektionen bland annat identifierat brister i bolagets allmänna riskbedömning, riskbedöm- ning av kunder och åtgärder för kundkännedom. Vidare har Xxxx inte följt EU- rättsliga regler om beräkning av kreditrisker, bruttosoliditetsgrad och stora exponeringar samt om rapportering. När det gäller Aros styrning, riskhantering och kontroll har bolaget, samtidigt som tillväxten ökade starkt och hastigt, saknat ett tillräckligt ramverk för riskhantering och bolagets styrelse har inte i tillräcklig utsträckning vidtagit åtgärder när det framkommit brister och risker i verksamheten. Vidare har Aros kontrollfunktioner varken haft tillräckliga resurser eller varit självständiga på det sätt som regleringen kräver.
Bristerna som har konstaterats ger en tydlig bild av ett bolag som under en period av snabb och kraftig expansion inte har anpassat sin verksamhet så att en tillräcklig kontroll av bolagets risker har kunnat upprätthållas.
Det rör sig om ett stort antal överträdelser som har pågått en längre tid. Flera av dem bedömer Finansinspektionen som allvarliga. Inspektionen har därför övervägt att återkalla Aros tillstånd att driva finansieringsrörelse enligt LBF. Aros har dock vidtagit omfattande åtgärder för att komma till rätta med bristerna i verksamheten och Finansinspektionen bedömer att prognosen för att bolaget i fortsättningen ska följa regelverket är god. Inspektionen anser därför att det är tillräckligt att meddela Aros en varning. Varningen förenas med en sanktions- avgift på 45 miljoner kronor.
Innehåll
1.3 Aros tidigare verkställande direktör 6
2 Aros har inte följt kreditriskregelverket 7
2.2 Rättsliga utgångspunkter 8
2.2.1 Krav på kreditprövningen och underlaget för prövningen 8
2.3 Utgångspunkter för bedömningen 10
2.4 Aros beslutsunderlag och kreditprövningar 12
2.4.1 Otillräcklig finansiell information har lett till bristande kreditprövning
..................................................................................................................... 12
2.4.2 Inhämtad information har inte analyserats 15
2.4.3 Särskilt om brister när det gäller kredittagare som är utsatta för stora risker 16
2.4.4 Aros kreditprövningar har inte omfattat känslighetsanalyser 18
2.4.5 Särskilt om Aros bristande kreditprövning av kunder som ingår i en grupp med inbördes anknytning 19
3 Aros har inte följt penningtvättsregelverket 20
3.2 Rättsliga utgångspunkter 21
3.3. Aros åtgärder behövde anpassas till en förhöjd risk för penningtvätt 22
3.3.1 Aros har haft kunder förknippade med hög risk för penningtvätt 22
3.3.2 Aros har erbjudit produkter med förhöjd risk för penningtvätt 23
3.3.3 Aros har varit skyldigt att vidta kraftfulla åtgärder för att hantera risken 23
3.4 Aros allmänna riskbedömning har haft brister 24
3.4.2 Den allmänna riskbedömningens innehåll 24
3.5 Brister i Aros riskbedömning av kunder och i Aros rutin för valideringsprocessen 26
3.5.2 Bedömningen av kundens riskprofil 27
3.5.3 Brister i Aros rutiner för valideringsprocessen 28
3.6 Aros har inte vidtagit tillräckliga åtgärder för kundkännedom 30
3.6.2 Bristande grundläggande åtgärder för kundkännedom 30
3.6.3 Bristande skärpta åtgärder för kundkännedom 32
4 Aros har inte följt tillsynsförordningen och genomförandeförordningen 35
4.2 Felaktig hantering av poster utanför balansräkningen 37
4.3 Brister i rapporteringen enligt genomförandeförordningen 38
5 Brister i styrning, riskhantering och kontroll 39
5.2 Aros verksamhet och styrelsens målsättning 40
5.3 Aros ramverk för riskhantering har varit otillräckligt och inte heller tillräckligt integrerat 41
5.4 Aros kontrollfunktioner har varken haft tillräckliga resurser eller varit oberoende 43
5.5 Styrelsen har brustit i sitt ansvar att vidta åtgärder 44
6 Finansinspektionens övervägande om ingripande 45
6.2 Överträdelserna kräver ingripande 46
6.3 Aros bör få en varning som förenas med en sanktionsavgift 47
6.4 Sanktionsavgiftens storlek 49
Aros Kapital AB (Aros eller bolaget) är ett kreditmarknadsbolag som har tillstånd att driva finansieringsrörelse enligt lagen (2004:297) om bank- och finansieringsrörelse (LBF).
Aros ingår i en konsoliderad situation tillsammans med ett dotterföretag i England. Bolaget erbjuder små och medelstora företag i Sverige, Norge, Finland och England tjänster inom företagslån, fakturaköp, leasing, inkasso och juridik. Det framgår av Aros årsredovisning för 2022 att koncernen hade en balans- omslutning på cirka 10 498 miljoner kronor och en omsättning1 på cirka 657 miljoner kronor. Föregående räkenskapsår uppgick balansomslutningen till cirka 10 000 miljoner kronor och omsättningen för koncernen till cirka 510 miljoner kronor.
Under den period som Finansinspektionen har undersökt utvecklades bolaget expansivt med kraftig tillväxt och en mycket god lönsamhet, vilket låg i linje med de mål för verksamheten som bolagets styrelse hade satt upp. Aros utlåning till allmänheten ökade således från 2 293 miljoner kronor i slutet av år 2019 till 8 283 miljoner kronor i slutet av år 2021, vilket motsvarar en ökning med mer än 250 procent under två år. Vidare hade bolaget under samma period en årlig avkastning på eget kapital på i genomsnitt 28 procent (se vidare avsnitt 5.2).
Finansinspektionen inledde i november 2020 en undersökning av om Aros i sin kreditgivning följde tillämpliga regelverk i sina styrdokument, i sin organisat- ionsstruktur och kreditprocess samt i sin interna rapportering och uppföljning. Finansinspektionen informerade Xxxx om undersökningen den 18 november 2020. I det följande kallas denna del av undersökningen ”den första delen av undersökningen”.
Mot bakgrund av de iakttagelser som Finansinspektionen hade gjort i den första delen av undersökningen och i den löpande tillsynen, meddelade inspektionen Aros den 19 januari 2022 att undersökningen skulle utökas till att utöver bolagets kreditriskhantering omfatta följande: bolagets åtgärder mot penningtvätt och finansiering av terrorism, beräkning och rapportering av kreditrisker, bruttosoli- ditetsgrad och stora exponeringar samt bolagets styrning, riskhantering och kontroll av dessa områden. I det följande kallas denna del av undersökningen ”den utökade undersökningen”.
1 Omsättningen har beräknats som ränteintäkter, leasingintäkter, provisionsintäkter, övriga rörelseintäkter och nettoresultat av finansiella transaktioner sammanlagt, se prop. 2016/17:162 s. 600 ff. och 764 ff.
Finansinspektionens granskning av Aros kreditriskhantering gäller perioden den 1 april 2018–31 december 2021, medan granskningen av bolagets åtgärder mot penningtvätt och finansiering av terrorism avser perioden 1 januari 2019–
31 december 2021. Vad gäller bolagets beräkning och rapportering av kredit- risker, bruttosoliditetsgrad och stora exponeringar granskades kvartal 4 år 2019, kvartal 4 år 2020 samt kvartalen 1 och 3 år 2021. Inspektionens granskning av Aros styrning, riskhantering och kontroll av dessa tre områden avser perioden
1 april 2019–31 december 2021.
Inom ramen för den utökade undersökningen genomförde Finansinspektionen ett antal platsbesök hos Xxxx och inspektionen intervjuade företrädare för och anställda hos bolaget. Inspektionen hämtade även in ytterligare muntlig information från bland annat en styrelseledamot och styrelsens ordförande.
Finansinspektionen skickade den 1 juli 2022 en avstämningsskrivelse till Aros, som den 22 september 2022 yttrade sig över den. Den 23 februari 2023 skickade inspektionen en begäran om yttrande till Xxxx som fick möjlighet att på nytt yttra sig över inspektionens iakttagelser, preliminära bedömningar och övervägande om ingripande. Xxxx yttrade sig den 14 april 2023. Bolaget har även kommit in med en åtgärdsplan och uppdateringar av denna till inspektionen. Därutöver har viss ytterligare skriftväxling förekommit i ärendet.
När Finansinspektionen i detta beslut hänvisar till enskilda kunder, och anger kundnummer (främst i avsnitten 2 och 3), rör det sig om kunder som närmare anges i bilaga 2 till avstämningsskrivelsen.
Bristerna som framgår av detta beslut är sådana som har framkommit i under- sökningen och som Finansinspektionen har valt att ingripa mot. Vad som i övrigt har framkommit i undersökningen motiverar ingen åtgärd från Finansinspekt- ionens sida.
1.3 Aros tidigare verkställande direktör
Flera av de brister som tas upp i detta beslut är enligt Aros hänförliga till den person som var verkställande direktör i bolaget när Finansinspektionen i november 2020 inledde denna undersökning. Den verkställande direktören hade, via ett av honom helägt aktiebolag, även ett kvalificerat innehav i Aros och ingick också i bolagets styrelse.
I början av 2022 tog Aros styrelse emot en visselblåsningsrapport där kritik riktades mot den verkställande direktören. Aros styrelse beslutade i slutet av februari 2022 att entlediga den verkställande direktören från sitt uppdrag. Enligt uppgift från Aros var anledningen till att han entledigades att visselblåsnings- rapporten indikerade allvarliga missförhållanden i bolaget. Xxxx styrelse initierade även en extern granskning vars resultat presenterades den 12 april 2022. I granskningsrapporten anges att det finns indikationer på och, i vissa fall, stöd för visselblåsarens kritik mot den verkställande direktören om bland annat
intressekonflikter, kringgående av interna regler och lagar samt olämpligt beteende mot personal, till exempel påtryckningar att bortse från interna kontroller.
Under våren 2022 rapporterade Xxxx externa revisor till Finansinspektionen att han hade fått kännedom om sådana förhållanden rörande den verkställande direktören som omfattas av bestämmelsen om rapporteringsskyldighet i 13 kap. 10 § LBF.
Med anledning av den externa granskningen och revisorns rapport beslutade Finansinspektionen den 12 maj 2022 att inleda en prövning av om den tidigare verkställande direktören uppfyllde de krav som ställs på styrelseledamöter i
3 kap. 2 § första stycket 4 LBF och om inspektionen skulle ingripa mot Aros enligt 15 kap. 2 § samma lag. Mot bakgrund av att den verkställande direktören avgick som styrelseledamot i Aros i maj 2022 beslutade dock Finansinspekt- ionen den 2 juni 2022 att avskriva ärendet från vidare handläggning. Utöver den tidigare verkställande direktören har även flera andra styrelseledamöter i Aros styrelse bytts ut under åren 2022 och 2023.
I september 2022 informerade Aros Finansinspektionen om att bolaget hade inlett en process för att lösa ut den entledigade verkställande direktören som aktieägare. Denna process resulterade i att ett aktiebolag och en privatperson i november 2022 ansökte om tillstånd att indirekt förvärva aktier i Aros. Finans- inspektionen beslutade den 10 mars 2023 att bevilja tillstånd att förvärva aktierna.
2 Aros har inte följt kreditriskregelverket
I den första delen av undersökningen granskade Finansinspektionen bland annat Aros interna regler för kreditriskhantering och 19 beslutsunderlag för kredit- prövningen av 19 kredittagare under perioden 1 april 2018–15 november 2020. Beslutsunderlagen valdes ut för att ge en representativ bild av Aros verksamhet med kreditgivning utifrån förekommande kredittagare (enskilda och sam- limiterade), riskklasser, exponeringsstorlekar, branscher, limiter, beslutsinstans för beviljade krediter samt orsaker till kreditbeslut.
I den utökade delen av undersökningen valde Finansinspektionen ut och granskade ytterligare 153 beslutsunderlag för 38 kredittagare från Aros samtliga kreditbeslut under perioden 16 november 2020–31 december 2021. Urvalet gjordes bland annat utifrån inspektionens iakttagelser i den första delen av undersökningen och de svar som Aros hade lämnat i ärendet. Finansinspekt- ionens granskning av bolagets kreditriskhantering omfattar alltså totalt 172
beslutsunderlag för 57 kredittagare för perioden 1 april 2018–31 december 2021. I samtliga fall rör det sig om kreditgivningsverksamhet i förhållande till företag.
De beslutsunderlag som inspektionen har granskat har legat till grund för beslut som Aros fattat om ursprunglig kredit, höjning av kreditbelopp, villkors- ändringar och omprövning. I vissa fall har kreditprövningen gällt så kallade samlimiterade kredittagare (se avsnitt 2.4.5). Dessa förhållanden redovisas särskilt när det är nödvändigt för förståelsen av den aktuella överträdelsen men i övrigt behandlas olika slags beslutsunderlag och kreditbeslut utan åtskillnad.
2.2.1 Krav på kreditprövningen och underlaget för prövningen
I 8 kap. LBF finns bestämmelser om kreditprövning. Det övergripande syftet med reglerna är att skapa en god kreditriskhantering i kreditinstituten så att risken för kreditförluster begränsas. I förarbetena till LBF framhålls att en god förmåga att värdera kreditrisker och en väl fungerande kredithantering är avgörande för att ett kreditinstituts verksamhet ska kunna bedrivas stabilt.
I 8 kap. 1 § LBF anges grundförutsättningarna för att ett kreditinstitut ska få bevilja en kredit. Institutet ska innan det beviljar en kredit, pröva risken för att förpliktelserna enligt kreditavtalet inte kan fullgöras och bara om de på goda grunder kan förväntas bli fullgjorda får krediten beviljas. Kreditgivaren behöver därför ta ställning till kredittagarens ekonomiska förhållanden och andra faktorer som är hänförliga till kredittagaren, eventuella säkerheter och garantier samt villkoren för krediten så som volym, ränta och löptid (prop. 2002/03:139 s. 318, 323, 324 och 535).
En korrekt kreditprövning förutsätter att kreditgivaren har samlat in tillräcklig information om kredittagaren. Finns det inte ett tillräckligt informationsunderlag för den som ska fatta ett kreditbeslut, kan denne inte göra en prövning som på goda grunder visar att den aktuella krediten kan förväntas bli återbetald. Det finns alltså ett nära samband mellan 8 kap. 1 § och 8 kap. 2 § LBF, som anger att kreditprövningen ska vara organiserad så att den som fattar beslut i ett ärende har tillräckligt beslutsunderlag för att bedöma risken med att bevilja krediten.
Bestämmelsen i 8 kap. 2 § LBF innebär att det ställs krav på såväl informations- inhämtning om kredittagaren som kunskap om bankens interna riktlinjer och andra engagemang gentemot kredittagaren och till denne kopplade personer.
Kreditgivaren måste också kunna utvärdera den insamlade informationen och ta ställning till både kredittagaren i sig och lånets bidrag till kreditgivarens samlade risk (a. prop. s. 326 och 327).
Det som anges i 8 kap. LBF preciseras genom Finansinspektionens föreskrifter och allmänna råd (FFFS 2018:16) om hantering av kreditrisker i kreditinstitut och värdepappersbolag (kreditriskföreskrifterna). Det framgår av dem att en kreditprövning ska göras framåtblickande, med utgångspunkt i tillgänglig
historik, på ett underlag som ger en god bild av bland annat kredittagarens återbetalningsförmåga (4 kap. 4 §). Motsvarande krav gäller enligt föreskrifterna även vid omprövning av krediter (6 kap. 2 och 3 §§).
Både intern och extern information om kredittagarens historiska återbetalnings- förmåga ska beaktas i kreditprövningen. För att ett underlag ska anses ge en god bild av återbetalningsförmågan kan det exempelvis innehålla uppgifter om syftet med krediten, kreditvillkoren, källan till återbetalning, historisk återbetalnings- förmåga, återbetalningsförmåga baserad på en framåtriktad finansiell analys, kassaflödesanalys och känslighetsanalys, utsikter för branschen, marknaden och landet, samt andra faktorer som exempelvis politiska risker och hållbarhetsrisker.
Sammantaget ska en kreditgivare samla in så mycket information som behövs för att kreditgivaren ska få en helhetsbild av kredittagarens finansiella ställning och kredittagarens utsikter att kunna fullgöra sina förpliktelser. I detta ligger även att informationen måste vara tillräckligt fullständig och aktuell för att det utifrån den, med en hög grad av säkerhet, ska gå att bedöma om en kredit kan förväntas bli återbetald. Om en kreditgivare sedan tidigare har information om en kredit- tagare måste kreditgivaren ofta alltså försäkra sig om att informationen alltjämt är aktuell innan ett nytt kreditbeslut fattas. Kreditgivaren kan göra det genom att samla in ny information eller kontrollera att den gamla informationen fortfarande är riktig.
För att avgöra vilket underlag som är tillräckligt i det enskilda fallet måste kreditgivaren göra en helhetsbedömning. Flera faktorer kan här vara av betydelse, exempelvis vem kredittagaren är, kreditens storlek, kreditvillkoren och den bedömda risknivån. Utifrån underlaget ska det gå att förstå risken med det särskilda kreditbeslutet. Kreditgivaren måste därför analysera och bedöma informationen för att identifiera eventuella risker och för att avgöra om det utifrån underlaget går att med tillräcklig säkerhet bedöma kredittagarens återbetalningsförmåga. Om analysen exempelvis visar att informationen i något relevant avseende är ofullständig eller inaktuell, eller om någon särskild risk- faktor framkommer, kan mer information behöva samlas in. Att kredittagaren har ojämn intjäning, är utsatt för stora risker utanför sin kontroll eller av andra skäl riskerar att hamna i finansiella svårigheter är exempel på när en kreditgivare kan behöva skaffa sig mer information och göra en djupare analys än annars.2
Även om kraven på underlaget alltså kan variera beroende på bland annat risken med den enskilda krediten, måste kreditgivaren innan den tar ett kreditbeslut alltid analysera finansiell information om kredittagaren, till exempel den senast upprättade resultat- och balansräkningen, för att skaffa sig en god bild av kredittagarens återbetalningsförmåga. Utgångspunkten för den framåtblickande prövning som ska göras är tillgänglig historik, varför kreditgivaren måste beakta både historisk och framåtblickande finansiell information. Med historisk finansiell information avses uppgifter som ger en bild av den finansiella ställningen bakåt i tiden, till exempel den senast upprättade resultat- och
2 Finansinspektionens beslutspromemoria till kreditriskföreskrifterna s. 31, 33, 34 och 38.
balansräkningen. Även sådan information måste alltså vara aktuell. Om uppgifterna är för gamla kommer de bara att visa en del av den historiska bilden. Med framåtblickande finansiell information avses förväntad utveckling av exempelvis omsättning, intäkter, kostnader eller resultat.
I förarbetena till LBF poängteras att det är svårt att tänka sig en väl fungerande kredithantering utan en fullgod dokumentering. Brister i dokumentationen av ett företags kreditprövning är i sig en indikation på att det förekommer brister även i prövningen. Om ett företag inte korrekt dokumenterar sin verksamhet är det vidare något som försvårar Finansinspektionens tillsynsarbete. Det var mot den bakgrunden som det i 8 kap. 3 § LBF infördes ett krav på att kreditbeslut ska dokumenteras så att beslutsunderlaget redovisas och kreditärendets hantering även i övrigt kan följas (prop. 2002/03:139 s. 327 och 328). Som framgår av
5 kap. 1 § 4 kreditriskföreskrifterna ska det av beslutsunderlaget för ett kredit- beslut gå att bedöma hur kraven om kreditprövning i 4 kap. föreskrifterna uppfyllts. Underlaget behöver alltså innehålla tillräcklig information för att den som fattar kreditbeslutet ska kunna förstå risken med beslutet och visa att kreditprövningen har skett enligt bestämmelserna i kapitlet.3
2.3 Utgångspunkter för bedömningen
Finansinspektionen har i sin undersökning gått igenom ett stort antal av Aros underlag för kreditbeslut och då påträffat flera brister, som inspektionen behandlar närmare nedan. Av de beslutsunderlag som inspektionen har gått igenom är det endast en knapp tredjedel som inte visar på sådana brister att de föranleder ett ingripande genom detta beslut. Den övergripande bilden är således att Aros kreditprövningar inte har kännetecknats av en sådan noggrannhet och kvalitet som regleringen kräver. Som lagstiftaren framhåller kan det innebära en risk för verksamhetens stabilitet. Finansinspektionen återkommer till de enskilda bristerna, men behandlar inledningsvis några av Aros övergripande invänd- ningar.
Enligt Xxxx gör inte inspektionen skillnad på bolagets olika kreditprodukter och engagemang eller kreditrisken i det enskilda fallet, vilket leder till onyanserade bedömningar.
Finansinspektionen delar inte Aros uppfattning. Även om Finansinspektionen anser sig kunna dra vissa generella slutsatser om Aros verksamhet med kredit- prövning, prövas de enskilda bristerna utifrån förhållandena i det enskilda fallet. Som inspektionen redan har konstaterat kan kraven på kreditprövningen variera beroende på bland annat vem kredittagaren är och risken i det enskilda fallet, exempelvis utifrån vilken typ av kredit det handlar om. Att kraven i ett visst fall kan vara lägre innebär dock inte att de helt bortfaller, vilket inspektionen
3 Finansinspektionens beslutspromemoria till kreditriskföreskrifterna s. 38.
återkommer till. Aros har dessutom lämnat krediter till företag som varit verk- samma i branscher där risken för bland annat penningtvätt och bedrägerier är stor (se avsnitt 3.3.1).
Vidare invänder Aros mot att Finansinspektionen i ett antal fall har bedömt att avsaknaden av dokumentation inte bara innebär en dokumentationsbrist, utan även att information faktiskt inte har hämtats in eller att en viss analys eller bedömning inte har gjorts.
Det är riktigt att avsaknad av dokumentation, i ljuset av vad som i övrigt fram- kommit och vad Xxxx har anfört, i flera fall innebär att Finansinspektionen anser att det är klarlagt att bolaget inte har hämtat in relevant information eller har gjort de analyser och bedömningar som krävs.
Enligt 23 § förvaltningslagen (2017:900) är det Finansinspektionen som har det yttersta ansvaret för att utredningen i ärendet är sådan att det leder till ett materiellt riktigt beslut. Hur omfattande en myndighets utredningsåtgärder måste vara varierar med hänsyn till ärendets karaktär. Det aktuella ärendet gäller ett ingripande från det allmänna mot ett enskilt företag. Det innebär att Finans- inspektionen har en mer långtgående utredningsskyldighet än vad som skulle ha varit fallet i exempelvis ett ärende där en enskild ansöker om en förmån (prop.
2016/17:180 s. 148, 149 och 308). Enligt 5 kap. 1 § 4 kreditriskföreskrifterna är en kreditgivare skyldig att se till att det av ett beslutsunderlag går att bedöma hur kraven om kreditprövning i 4 kap. är uppfyllda. Som lagstiftaren påpekar är brister i dokumentationen i sig en indikation på att brister förekommer också i kreditprövningen och sådana brister gör det även svårare för Finansinspektionen att bedriva tillsyn. Det är dessutom Aros som har haft möjlighet att både säkra och presentera utredning som visar att bolaget faktiskt har hämtat in relevant information samt har gjort aktuella analyser och bedömningar.
Det är även av betydelse att Xxxx har getts möjlighet att yttra sig över Finans- inspektionens preliminära bedömningar och, mot bakgrund av att dokumentation saknats, särskilt har förelagts att utveckla hur relevant information beaktats samt hur analyser och bedömningar har gjorts.4 Det är endast i de fall där Xxxx inte har förmått presentera rimliga förklaringar och uppgifter som Finansinspektionen har valt att ingripa för mer än den dokumentationsbrist som otvetydigt föreligger.
Aros har vidare, utan någon närmare precisering, framfört att Finansinspektionen inte tillräckligt tydligt har redogjort för vad inspektionen anser är bristfälligt i de enskilda kreditbesluten. Invändningen saknar enligt inspektionens mening fog.
Finansinspektionen har för varje enskild kredittagare tydligt redovisat det totala antalet granskade beslutsunderlag och har i anslutning till varje brist angett hur många av underlagen som ansetts vara bristfälliga. I viss utsträckning har även beslutsdatum redovisats. Det kan enligt Finansinspektionen rimligen inte finnas
4 Finansinspektionens begäran om yttrande den 23 februari 2023, s. 13.
någon beaktansvärd osäkerhet hos Aros om i vilka avseenden inspektionen har konstaterat brister.5
2.4 Aros beslutsunderlag och kreditprövningar
Som framgår ovan finns det en nära koppling mellan kraven på en kreditgivares beslutsunderlag och kreditprövning. Ett beslutsunderlag måste innehålla så mycket uppdaterad och korrekt information att en analys av informationen kan leda till slutsatsen att krediten på goda grunder kan förväntas bli återbetald. Både innehållet i Aros beslutsunderlag och bolagets analys av den information som funnits har i flera avseenden visat sig vara bristfällig. Bristerna i insamling och analys har fått till följd att den efterföljande kreditprövningen inte har gjorts i enlighet med regleringen.
2.4.1 Otillräcklig finansiell information har lett till bristande kreditprövning
Finansinspektionens iakttagelser
I den utökade delen av undersökningen fann Finansinspektionen att 36 av 153 granskade beslutsunderlag, vilka avser 13 kredittagare, saknar relevant finansiell information. I vissa underlag saknas det helt både historisk och framåtblickande finansiell information,6 i andra finns i och för sig historisk finansiell information men ingen framåtblickande finansiell information.7
Vidare innehåller 36 av de 153 beslutsunderlagen inaktuell historisk finansiell information.8 I ett antal fall fattade Aros kreditbeslut utan att beslutsunderlagen hade uppdaterats med ny information som kunde ha haft en avgörande betydelse för kredittagarens återbetalningsförmåga.9 Ett sådant fall gällde kund nummer 15 i den utökade delen av undersökningen där Aros, i samband med att kundens fakturalimit höjdes två gånger, inte beaktade att Skatteverket hade beslutat att kunden skulle betala cirka 1,7 miljarder kronor i mervärdesskatt och skatte- tillägg. Den enda historiska finansiella information som fanns var ett bokslut för
5 Se Finansinspektionens begäran om yttrande den 23 februari 2023, fotnoterna 10–36 och bilaga 1 till yttrandet.
6 19 beslutsunderlag för följande åtta kunder: nr 3 A (2 underlag), nr 19 (3 underlag), nr 22 (3
7 17 beslutsunderlag för följande sex kunder: nr 2 (2 underlag), nr 6 (4 underlag), nr 12 (2
underlag), nr 18 (5 underlag), nr 25 (3 underlag) och nr 30 (1 underlag) i den utökade delen av undersökningen.
8 36 beslutsunderlag för följande 16 kunder: nr 1 (3 underlag), nr 2 (2 underlag), nr 3 (2
underlag), nr 6 (2 underlag), nr 7 (2 underlag), nr 13 (2 underlag), nr 15 (6 underlag), nr 18 (4
underlag), nr 22 (1 underlag), nr 22 A (1 underlag), nr 25 (2 underlag), nr 25 A (2 underlag), nr
26 (1 underlag), nr 29 (2 underlag), nr 30 (3 underlag) och nr 31 B (1 underlag) i den utökade delen av undersökningen.
9 14 beslutsunderlag för följande 4 kunder: nr 7 (6 underlag), nr 8 (2 underlag), nr 12 (1 underlag) och nr 15 (5 underlag) i den utökade delen av undersökningen.
kunden som var ett och ett halvt år gammalt. Någon framåtblickande finansiell information fanns inte heller.
Aros inställning
Aros medger att relevant information och bedömningar har saknats på ett generellt plan, men ifrågasätter vissa av Finansinspektionens iakttagelser. Aros menar att samtliga granskade beslutsunderlag innehåller utdrag från ett kredit- upplysningsföretag och att sådana utdrag i normalfallet innehåller historisk finansiell information. Vidare hävdar Xxxx att ett antal av beslutsunderlagen innehåller sådana uppgifter som Finansinspektionen har gjort gällande saknas. Bolaget ger två exempel på kreditakter som enligt bolaget innehåller historisk finansiell information, data samt balans- och resultaträkning10 och ifrågasätter även ett antal andra fall11 där Finansinspektionen ansett att den historiska finansiella informationen i underlagen är för gammal eller ofullständig. I fråga om en särskild kund (kund nummer 13) anser Aros att Finansinspektionen har uttryckt sig motsägelsefullt om vad bristen består i. Avslutningsvis framhåller Xxxx att det faktum att viss information och vissa bedömningar inte har doku- menterats inte nödvändigtvis betyder att informationen inte har beaktats eller att bedömningar över huvud taget inte har gjorts.
Finansinspektionens bedömning
Till en början kan det konstateras att de kreditakter som Aros särskilt nämner endast utgör en mindre del av de beslutsunderlag som Finansinspektionen har bedömt som bristfälliga.
Vidare kan det konstateras att de aktuella uppgifterna faktiskt saknas i de under- lag som Aros har gett inspektionen tillgång till, också i de exempel på kreditakter som bolaget lyfter fram. Även om ett utdrag från ett kreditupplysningsföretag kan innehålla historisk finansiell information saknas alltså denna information i de underlag där Finansinspektionen har ifrågasatt detta. I de två kreditakter som Aros menar innehåller finansiell information, data samt balans- och resultat- räkning saknas både historisk och framåtblickande finansiell information i tre12 av fem granskade beslutsunderlag för respektive kund. I de övriga kreditakter som Aros särskilt nämner är informationen inaktuell i åtta av de granskade beslutsunderlagen för de fyra kunderna.13 På samma sätt förhåller det sig med kund nummer 13, vars två beslutsunderlag innehåller utdrag från ett kredit- upplysningsföretag med finansiell information som är mer än ett år gammal.
10 Aros har hänvisat till kreditakterna för kunderna 22 och 22 A.
11 Aros har hänvisat till kreditakterna för kunderna 3, 6, 7 och 29.
12 Beslutsunderlag 2020-04-27, 2020-07-06 och 2020-08-27.
13 För kund nr 3 (beslut 2020-01-17 och 2020-03-13), nr 6 (beslut 2020-05-27 och 2021-12-20),
nr 7 (beslut 2020-04-30 och 2021-02-03) och nr 29 (beslut 2021-07-09 och 2021-09-22). I samtliga beslutsunderlag för dessa fyra kunder saknas även framåtblickande finansiell information.
Som Finansinspektionen framhåller i avsnitt 2.2 måste historisk finansiell information vara uppdaterad och aktuell. Om uppgifterna är mer än ett år gamla kommer de naturligtvis inte att ge någon upplysning om det senaste årets utveckling av kredittagarens finansiella ställning. Många gånger är utvecklingen under just den senaste tiden av särskilt stor betydelse för att kunna bedöma en kredittagares återbetalningsförmåga. Sammantaget kan det alltså konstateras att en stor del av Aros beslutsunderlag saknar sådan information som behövs för att det ska vara möjligt att skaffa sig en god bild av kredittagarnas återbetalnings- förmåga.
Som Aros påpekar innebär inte den omständigheten att viss information inte har dokumenterats – även om det är ett lagstadgat krav – med automatik att inform- ationen inte heller har hämtats in och beaktats. En dokumentationsbrist är emel- lertid en tydlig indikation på faktiska brister i kreditprövningen, i synnerhet när det som i detta fall rör sig om genomgående brister och uppgifter som är av uppenbar betydelse för prövningen. Det finns till exempel flera beslutsunderlag som visar att kredittagaren tidigare har haft negativa rörelseresultat eller kassa- flöden och således kan antas sakna återbetalningsförmåga. Trots det saknas framåtblickande information som visar att det likväl finns en återbetalnings- förmåga. Ett annat exempel är beslutsunderlaget för kund nummer 15 där Aros underlåtenhet att uppdatera underlaget innan kreditbeslutet medförde att en betydande skattefordran inte framgick av underlaget.
Mot den bakgrunden och då Xxxx inte har lämnat någon godtagbar förklaring som visar att bolaget trots avsaknad av dokumentation har hämtat in och analyserat sådan information, anser Finansinspektionen att utredningen visar att bolaget inte har hämtat in den ifrågasatta informationen.
Sammanfattningsvis anser Finansinspektionen att det är utrett att Aros i de fall som inspektionen behandlar i detta avsnitt inte har hämtat in sådan aktuell finansiell information som bolaget hade behövt för att få en helhetsbild av kredittagarnas finansiella ställning och utsikter att kunna fullgöra sina förplik- telser. Det innebär att det utifrån de aktuella beslutsunderlagen inte har varit möjligt att skaffa sig en sådan god bild av kredittagarnas återbetalningsförmåga som krävs enligt 4 kap. 4 § kreditriskföreskrifterna, och att den som fattat kreditbesluten alltså inte har haft ett tillräckligt beslutsunderlag enligt 8 kap. 2 § LBF. Eftersom beslutsunderlagen har saknat tillräcklig information har Aros, i strid med 8 kap. 1 § LBF, beviljat krediter utan att först, på goda grunder, ha bedömt om kredittagaren kunde förväntas fullgöra sina förpliktelser. Bland annat har Xxxx fattat kreditbeslut utan att ha gjort en sådan framåtblickande kredit- prövning med utgångspunkt i tillgänglig historik som 4 kap. 4 § kreditrisk- föreskrifterna kräver eftersom beslutsunderlagen har saknat nödvändig historisk finansiell information.
Motsvarande krav som anges i 4 kap. 4 § kreditriskföreskrifterna gäller enligt 6 kap. 2 och 3 §§ vid omprövningar. Inte heller de beslutsunderlag som gäller omprövningar och som Finansinspektionen har bedömt är bristfälliga uppfyller
således de krav som finns i kreditriskföreskrifterna och aktuella bestämmelser i 8 kap. LBF.
2.4.2 Inhämtad information har inte analyserats
Av utredningen framgår att en dryg tredjedel av de beslutsunderlag som inne- håller någon form av finansiell information, om än i många fall otillräcklig, har saknat en dokumenterad analys och bedömning av informationen och av kredit- tagarens återbetalningsförmåga.14 I ytterligare två beslutsunderlag för två kredittagare15 finns mycket positiva prognoser för utvecklingen av intäkter för kredittagarna. Men det finns inte någon närmare analys av om uppgifterna, som kom från kredittagarna, framstod som tillförlitliga eller rimliga. Xxxx menar att i de fall där det finns finansiell information i kreditakten, har det också funnits tillräckligt underlag för att bevilja krediter men medger att i de fall en dokumen- terad analys saknas i underlagen har bolaget inte uppfyllt kraven på dokumentat- ion i 8 kap. 3 § LBF och 5 kap. 1 § 4 kreditriskföreskrifterna.
Att en så stor del av alla granskade underlag saknar dokumenterade analyser och bedömningar av den inhämtade informationen talar på ett otvetydigt sätt för att det inte enbart rör sig om dokumentationsbrister eller om enskilda förbiseenden, utan för att bolaget inte har gjort några analyser och bedömningar. Efter att Finansinspektionen har gett Xxxx möjlighet att komma in med förklaringar om detta, har bolaget endast redogjort för ett ärende där man menar att det finns stöd för att bolaget faktiskt har analyserat den finansiella informationen (se nästa stycke). Några konkreta uppgifter som på ett godtagbart sätt visar att det i övriga fall endast rör sig om brister i dokumentationen har Xxxx alltså inte lämnat.
Eftersom sådana uppgifter saknas, anser Finansinspektionen att utredningen visar att Xxxx i dessa fall inte har analyserat och bedömt informationen. Eftersom beslutsunderlagen helt saknar analyser och bedömningar av informationen, exempelvis om vilka slutsatser som kan dras om föreliggande risker, kan de inte anses ge en god bild av kredittagarnas återbetalningsförmåga. Xxxx har därmed inte uppfyllt kraven enligt 8 kap. 2 § LBF och 4 kap. 4 § kreditriskföreskrifter- na.16
I det enda ärende som Aros hänvisar till består underlaget17 av prognoser om en kraftig intäktsutveckling för kredittagaren. Det framgår av beslutsunderlaget att
14 I 153 av totalt 172 beslutsunderlag för 56 kredittagare i båda delarna av undersökningen fanns viss finansiell information. 58 av dessa underlag, för 28 kredittagare, saknade analys och bedömning, nämligen: kund nr 1–9 i den första delen av undersökningen samt kund nr 2 (2 underlag), nr 6 (3 underlag), nr 8 (4 underlag, nr 9 (4 underlag), nr 13 (1 underlag), nr 15 (5
underlag), nr 18 (7 underlag), nr 19 (2 underlag), nr 22 (2 underlag), nr 22 A (2 underlag), nr 25
(1 underlag), nr 25 A (2 underlag), nr 25 B (3 underlag), nr 26 (1 underlag), nr 28 (1 underlag),
nr 29 (1 underlag), nr 30 (4 underlag), nr 31 A (3 underlag) och nr 31 B (1 underlag) i den utökade delen av undersökningen.
15 Kund nr 11 och nr 12 i den utökade delen av undersökningen.
16 Jfr s. 9 i Finansinspektionens beslut den 11 september 2017, FI dnr 17-658.
17 Underlaget för beslut 2021-04-09 avseende kund nr 11. Kreditakten innehåller ”Affärsbedömning [kund nr 11] V3” daterat 2021-02-24, UC, kundgodkännande från system och utdrag från kreditkommitténs beslut 2021-03-02.
kredittagaren hade redovisat negativa resultat för de senaste två åren, men att denne för de kommande tre åren hade gjort en prognos med framtida positiva resultat. Intäkterna skulle enligt prognosen öka med cirka 700 procent. Aros har i efterhand redogjort för flera överväganden och åtgärder som bolaget menar att man hade gjort innan något kreditbeslut fattades för kredittagaren. Bolaget uppger bland annat att man vid den aktuella tidpunkten bedömde att en stor befintlig kundbas möjliggjorde en snabb tillväxt, men att kredittagarens förmåga att bedöma sina kunders betalningsförmåga utgjorde en stor risk. Detta är dock inte något som framgår av beslutsunderlaget. Trots att kundens tidigare bristande intjäningsförmåga borde ha föranlett en noggrann prövning presenteras kundens prognos i beslutsunderlaget utan att vare sig de antaganden som låg till grund för prognosen eller en bedömning av prognosens rimlighet framgår. Det innebär att inte heller detta underlag ger en god bild av kredittagarens återbetalningsförmåga.
Sammanfattningsvis har Aros alltså inte följt 8 kap. 2 § LBF, 4 kap. 4 § och – till den del det rör sig om beslut om omprövning – 6 kap. 3 § kreditriskföreskrif- terna.
2.4.3 Särskilt om brister när det gäller kredittagare som är utsatta för stora risker
Som framgår av avsnitt 2.2.1 följer det av 4 kap. 4 § kreditriskföreskrifterna att en kreditgivare måste hämta in mer information och analysera den mer grundligt för att kunna bedöma återbetalningsförmågan hos en kredittagare om kredit- tagaren löper en stor risk att hamna i finansiella svårigheter.18
Aros har haft ett antal kredittagare där det funnits riskfaktorer som hade motiverat en mer omfattande informationshämtning och analys än den som Xxxx faktiskt gjorde. Fyra sådana kredittagare19 ingick i samma företagsgrupper som ett antal anknutna företag, vilka befann sig i en till synes påtagligt utsatt finansiell situation. Vissa av de anknutna företagen var kunder hos Aros.20 För ett av de anknutna företagen hade Skatteverket beslutat att påföra skatt och skattetillägg på 620 miljoner kronor medan det pågick en utredning om redo- visning av mervärdesskatt för ett annat. Utredningen kom senare att resultera i ett beslut om att påföra det anknutna företaget skatt och skattetillägg på cirka 220 miljoner kronor. Vidare var en av de fyra kredittagarna moderbolag för flera dotterbolag där det pågick rekonstruktionsförfaranden i vilka ackord inte hade slutförhandlats.
Trots vetskap om dessa förhållanden fattade Xxxx kreditbeslut på underlag som inte innehöll tillräcklig information om bland annat skatteprocesserna och som saknade ordentliga analyser av hur Skatteverkets beslut och utredning respektive det pågående rekonstruktionsförfarandet skulle kunna påverka kredittagarnas
18 Jfr Finansinspektionens beslutspromemoria till kreditriskföreskrifterna s. 34.
19 Kund nr 5, 8, 31 och 31 B i den utökade delen av undersökningen.
20 Kund nr 31 A, som var samlimiterad med kund nr 31 och 31 B, samt kund nr 9, som var samlimiterad med kund nr 8, alla i den utökade delen av undersökningen.
återbetalningsförmåga. Därutöver saknades även annan framåtblickande finansiell information i flera av beslutsunderlagen.
Ett exempel på ett sådant bristfälligt beslutsunderlag är det som låg till grund för Aros beslut att bevilja en kredittagare en fakturaköpslimit på 100 miljoner kronor. Kredittagaren ingick i samma samlimiterade företagsgrupp som det anknutna företag som Skatteverket hade meddelat ett beslut om skatt och skatte- tillägg på 620 miljoner kronor. Det framgår av underlaget21 att det anknutna företaget skulle flytta över sin verksamhet till kredittagaren på grund av processen med Skatteverket. Däremot innehåller underlaget inte någon bedömning av om, eller i vilken mån, ett negativt utfall av tvisten mellan Skatteverket och det anknutna företaget skulle kunna påverka kredittagarens återbetalningsförmåga.
Aros medger att analyserna har varit bristfälliga i de aktuella kreditprövningarna men framhåller att bristerna har ett starkt samband med påtryckningar från den tidigare verkställande direktören. Enligt Aros uppmärksammade styrelsen den allvarliga situationen och beslutade att dessa kreditengagemang skulle avslutas. Xxxx framhåller dock att den verkställande direktören i ett företag ska verkställa beslut av styrelsen men att Aros tidigare verkställande direktör agerade i strid med styrelsens beslut och utan styrelsens vetskap.
Aros uppgifter om den tidigare verkställande direktörens agerande förändrar inte det förhållandet att bolaget är skyldigt att följa kreditriskregelverket i LBF och kreditriskföreskrifterna. Det är styrelsen som har det övergripande ansvaret för att ett företag har kontroll på sina risker, däribland kreditrisker, och det är alltså Aros styrelse som ytterst ansvarar för Aros kreditriskhantering (jfr 6 kap. 2 och 4 b §§ LBF och prop. 2002/03:139 s. 530 och prop. 2006/07:5 s. 134 och 135).
De fyra kredittagare som behandlas i detta avsnitt har genom sin anknytning till andra företag riskerat att drabbas av finansiella svårigheter. Aros borde därför ha genomfört sin kreditprövning med än större noggrannhet än annars genom att hämta in mer information och göra mer djupgående analyser. Utredningen visar dock att beslutsunderlagen saknar nödvändig information, exempelvis framåt- blickande finansiell information om tre av de fyra kredittagarna. Den visar också att i de fall analyser av skatte- och rekonstruktionsförfarandena förekommer är dessa så rudimentära att de närmast försämrar bilden av kredittagarens ekono- miska situation. Det innebär att Xxxx i dessa fall inte har gjort kreditprövningar på ett underlag som ger en god bild av kredittagarnas återbetalningsförmåga och, som en följd av detta, att bolaget har beviljat krediter utan att först ha gjort en prövning som på goda grunder visar att kredittagaren kunde förväntas fullgöra sina förpliktelser. Aros har alltså brutit mot 8 kap. 1 och 2 §§ LBF och 4 kap. 4 § kreditriskföreskrifterna.
21 Beslutsunderlaget avser beslut 2021-01-12.
2.4.4 Aros kreditprövningar har inte omfattat känslighetsanalyser
Vid bland annat utlåning till företag ska kreditprövningen omfatta en känslig- hetsanalys av kredittagarens återbetalningsförmåga och risken för värdeför- sämring i ställda säkerheter (4 kap. 5 § kreditriskföreskrifterna). Syftet är att kreditgivaren ska göra en analys av återbetalningsförmåga och kreditrisk i ett negativt scenario. Det handlar alltså om att bedöma hur en försämring av olika förhållanden kan komma att påverka kredittagarens möjlighet att betala tillbaka en kredit. I en känslighetsanalys kan det exempelvis ingå att analysera vilken betydelse det skulle ha för kredittagarens återbetalningsförmåga om intäkter, räntesats, valutakurs eller andra kostnader förändrades.22
Ett antal av de beslutsunderlag som Finansinspektionen har granskat saknar känslighetsanalyser och det är ostridigt att Aros i dessa fall inte har dokumen- terat några analyser, vilket krävs enligt 8 kap. 3 § LBF och 5 kap. 1 § 4 kreditriskföreskrifterna.23 Aros anser dock att det trots omfattande brister i dokumentationen finns omständigheter som indikerar att bolaget har gjort känslighetsanalyser. Som exempel anger Xxxx två kreditakter24 i vilka bolaget anser att viss inhämtad finansiell information, bland annat resultat- och balans- räkning samt historik som avser slutbetalda fakturor och framåtriktad finansiell information, utgör en sådan indikation. I den ena kreditakten menar Xxxx även att det finns en begränsad känslighetsananalys. Vidare anser Xxxx att både det förhållandet att bolaget har nekat en ansökan om utökad limit och att bolaget har kompletterat en annan limit med en heltäckande kreditförsäkring tyder på att en känslighetsanalys har gjorts.
Finansinspektionen konstaterar att Aros endast hänvisar till uppgifter som enligt bolaget indikerar eller tyder på att analyser har gjorts. Enligt Finansinspektionen måste rimligen Aros – om bolaget verkligen har genomfört känslighetsanalyser – kunna lämna mer konkreta uppgifter än att det finns indikationer som tyder på att analyser har gjorts. En känslighetsanalys handlar inte om att endast hämta in viss information om en kredittagare. Informationen måste också analyseras och en prognos göras av hur en negativ förändring av olika förhållanden skulle kunna påverka återbetalningsförmågan. Att det finns viss grundläggande finansiell information i de två kreditakter som Aros hänvisar till talar därför, enligt Xxxxxx- inspektionens mening, inte på något beaktansvärt sätt för att Aros ens i de två fallen skulle ha gjort några känslighetsanalyser. Det gör inte heller det för- hållandet att Aros i ett av fallen har beslutat att inte utöka kreditlimiten eller någon av de övriga omständigheter som Aros framför. Det är inte heller tillräckligt att göra det som Aros benämner en begränsad känslighetsanalys.
22 Finansinspektionens beslutspromemoria till kreditriskföreskrifterna s. 35.
23 11 av 19 granskade underlag, avseende kunderna nr 1–9, 13 och 15 i den första delen av undersökningen, saknade känslighetsanalyser.
24 Kreditakterna för kunderna nr 6 och 7.
Med hänvisning till det nu anförda anser Finansinspektionen att det i de aktuella fallen är utrett att Xxxx inte bara har underlåtit att dokumentera känslighets- analyser utan även att bolaget över huvud taget inte har gjort några sådana analyser. Det innebär att Xxxx har brutit mot 8 kap. 1 § LBF och 4 kap. 5 § kreditriskföreskrifterna.
2.4.5 Särskilt om Aros bristande kreditprövning av kunder som ingår i en grupp med inbördes anknytning
En kreditgivare ska om det behövs lägga samman krediterna för en grupp av kunder med inbördes anknytning, så kallad samlimitering (4 kap. 2 § kreditrisk- föreskrifterna). När en kredittagare ingår i en sådan grupp, ska kreditgivaren inte bara beakta den enskilda kredittagaren vid kreditprövningen utan även den samlade riskbilden för alla kunderna i gruppen liksom hur anknytningen påver- kar återbetalningsförmågan (4 kap. 3 § kreditriskföreskrifterna).25 Syftet är att kreditgivaren ska fånga upp och bedöma hur riskfaktorer hos en kund kan komma att påverka en annan kund som den har anknytning till.26 För att kunna värdera hur den inbördes anknytningen mellan flera kunder påverkar återbetal- ningsförmågan, krävs det att kreditgivaren har information som belyser den samlade riskbilden för hela gruppen av kunder, exempelvis uppgifter om kundernas olika verksamheter och samlade åtaganden.
Det är ostridigt att det har saknats dokumenterad information på konsoliderad nivå i 50 av de 60 beslutsunderlag som gäller kredittagare med inbördes anknyt- ning, där Xxxx har genomfört samlimitering. Underlagen, som avser 13 kredit- tagare, innehåller alltså varken någon finansiell sammanställning av den sam- limiterade gruppens samlade åtaganden eller någon annan finansiell information på konsoliderad nivå.27 Det finns inte heller någon beskrivning av vilken verk- samhet som de övriga företagen i den samlimiterade gruppen bedriver eller någon bedömning av den samlade riskbilden eller hur kredittagarens återbetal- ningsförmåga påverkas av de andra företagen i gruppen. Om denna typ av information helt saknas i ett kreditbeslut för en samlimiterad kredittagare är det, enligt Finansinspektionens mening, inte möjligt att beakta och bedöma den samlade riskbilden eller den inbördes anknytningens påverkan på återbetalnings- förmågan på det sätt som krävs enligt 4 kap. 3 § och 6 kap. 3 § kreditriskföre- skrifterna.
25 För en grupp av kunder med inbördes anknytning ska behovet av så kallad samlimitering, det vill säga sammanläggning av gruppens krediter, utredas, identifieras och dokumenteras.
Samlimitering ska genomföras om ett sådant behov har identifierats (1 kap 5 § och 4 kap. 2 § kreditriskföreskrifterna).
26 Jfr EBA:s riktlinjer om kunder med inbördes anknytning s. 6 (Guidelines on connected clients under Article 4(1)(39) of Regulation (EU) No 575/2013, EBA/GL/2017/15 14/11/2017).
27 För kredittagare nr 3 (3 beslutsunderlag), nr 3 A (7 underlag), nr 8 (5 underlag), nr 9 (2
underlag), nr 20 (1 underlag), nr 21 (1 underlag), nr 22 (5 underlag), nr 22 A (5 underlag), nr 25
(5 underlag), nr 25 A (4 underlag), nr 25 B (7 underlag), nr 31 A (4 underlag) och nr 31 B (1 underlag) i den utökade delen av undersökningen.
Aros invänder att bolaget inte har brutit mot det aktuella regelverket eftersom flera av de fall som Finansinspektionen hänvisar till handlar om beslut om klientlimiter i samband med fakturaköp. I sådana fall menar Xxxx att information på konsoliderad nivå inte är avgörande för att bolaget ska kunna bedöma om kredittagaren kan fullgöra sina förpliktelser enligt kreditavtalet. Detta menar Xxxx eftersom bolaget då inte är exponerat mot kredittagaren utan mot kredit- tagarens slutkunder och det därför primärt är deras återbetalningsförmåga som är relevant att bedöma. Behovet av en samlad riskbild är alltså begränsat. Slutkun- derna kreditprövar Aros löpande med tre till sex månaders intervall.
Till en början konstaterar Finansinspektionen att det är 33 av de totalt 50 aktuella beslutsunderlagen som gäller klientlimiter i fråga om fakturaköp. Vad Aros har invänt saknar alltså betydelse för bedömningen av övriga fall. I dessa fall visar utredningen att Aros borde ha hämtat in och analyserat i vart fall någon form av finansiell information om företagen med inbördes anknytning för att kunna beakta den samlade riskbilden och hur kredittagarens återbetalningsförmåga skulle kunna påverkas av övriga företag i gruppen.
När det gäller Aros klientlimiter som avser fakturaköp, så kallad factoring, kan i och för sig betalningsförmågan hos slutkunden vara av störst betydelse. Det betyder dock inte att förhållanden som gäller kredittagaren och till den anknutna företag inte alls behöver beaktas. Villkoren i Aros avtal om fakturaköp innebär att bolaget kan få en fordran på kredittagaren också efter att Xxxx har förvärvat kredittagarens faktura. Och som lagstiftaren påpekar, behöver både kredit- tagarens och slutkundens återbetalningsförmåga bedömas vid factoring (prop.
2002/03:139 s. 200). Aros borde därför också i dessa fall ha hämtat in och analyserat information om kredittagaren och de samlimiterade företagen för att uppfylla kravet i 4 kap. 3 § kreditriskföreskrifterna. Det har Aros inte gjort.
Beslutsunderlaget har alltså varit otillräckligt och i strid med 8 kap. 2 § LBF. Som en följd av det har Xxxx beviljat krediter utan att först ha gjort en prövning som på goda grunder visar att förpliktelserna kunde förväntas bli fullgjorda enligt kraven i 8 kap. 1 § LBF. Bedömningen är densamma i de fall som avser omprövning eftersom motsvarande krav som enligt 4 kap. 3 § då gäller enligt
6 kap. 3 § kreditriskföreskrifterna.
3 Aros har inte följt penningtvättsregelverket
Finansinspektionen har undersökt om Aros under perioden 2019–2021 följde bestämmelserna i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen) och Finansinspektionens föreskrifter (FFFS 2017:11) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna), när det gäller allmän riskbedömning,
riskbedömning av kunder, rutiner för valideringsprocessen och åtgärder för kundkännedom.
Inspektionen har granskat bland annat Aros allmänna riskbedömning, doku- mentation om bolagets modell för riskbedömning av kunder, Aros rutiner för valideringsprocessen samt rutiner och riktlinjer avseende riskbedömning av kunder och åtgärder för kundkännedom.
Vidare har Finansinspektionen granskat 70 kundakter med tillhörande doku- mentation. Från alla Aros kreditbeslut under perioden 16 december 2019–31 december 2021 valde inspektionen ut kundakter där kunderna under undersök- ningsperioden hade genererat larm i Aros transaktionsövervakningssystem, eller hade rapporterats till Polismyndigheten för misstänkta transaktioner eller andra aktiviteter. Dessutom har inspektionen granskat akter för kunder som träffades av en eller flera av de högriskfaktorer som Aros hade angett i sin allmänna risk- bedömning.
Penningtvätt är en brottslig verksamhet som bland annat innebär att företag utnyttjas för att göra illegala vinster tillgängliga för konsumtion och placeringar. Vid ekonomisk brottslighet, liksom vid annan brottslighet som begås för att uppnå ekonomisk vinst, är penningtvätt ofta en förutsättning för att dölja brottsvinster.
Det näringsrättsliga penningtvättsregelverket syftar till att förhindra att exempel- vis finansiella företag, såsom kreditmarknadsbolag, utnyttjas för penningtvätt och finansiering av terrorism. Regelverket utgår från ett riskbaserat förhållnings- sätt. Det betyder att ett företag ska vidta åtgärder som står i proportion till de risker för penningtvätt och finansiering av terrorism som det är exponerat för.
Med andra ord måste omfattningen av de åtgärder, förfaranden, kontroller med mera som företaget ska vidta utformas och löpande anpassas efter riskerna för penningtvätt i den specifika verksamheten. Om riskerna för penningtvätt är stora måste således fler och mer omfattande åtgärder sättas in än om så inte är fallet. Det innebär också att ett företag måste kartlägga och bedöma riskerna för att de tjänster som det tillhandahåller ska utnyttjas för sådana ändamål. I annat fall är det inte möjligt att styra företagets resurser till de viktigaste delarna av verksam- heten eller att hantera företagets specifika risker (prop. 2016/17:173 s. 178).
Det finns alltså inget hinder mot att företag har kunder, produkter och tjänster som innebär en hög risk för penningtvätt och finansiering av terrorism. Vid höga risker är dock regelverket strängt och ställer höga krav på företagets risk- hantering. Det beror på att brister i arbetet mot penningtvätt hos ett företag med en större exponering mot potentiella penningtvättsrisker kan få allvarligare konsekvenser än i ett företag med lägre riskexponering.
3.3. Aros åtgärder behövde anpassas till en förhöjd risk för penningtvätt
Aros är ett kreditmarknadsbolag som bedriver finansieringsrörelse. Det innebär att bolaget bedriver en rörelse inom en sektor där bedömningen är att omfatt- ningen av penningtvätt är stor och risken för att ett företag utnyttjas för penning- tvätt är betydande. Hotet för penningtvätt inom denna sektor har i den nationella riskbedömningen av penningtvätt och finansiering av terrorism bedömts vara på den högsta nivån.28
3.3.1 Aros har haft kunder förknippade med hög risk för penningtvätt
Flera av de kunder som Aros har haft under åren 2019 och 2020, det vill säga större delen av undersökningsperioden, har bedrivit handel (trading) med mobil- telefoner, vilket är en vara som under senare år ofta har förekommit i moms- bedrägerier.29 Bland dessa kunder ingick bolagets största fakturaköpskund.
Med momsbedrägerier, även kallade MTIC-bedrägerier30, avses i detta beslut olika typer av brottsliga förfaranden vid handel med olika produkter, exempelvis mobiltelefoner, telefonkort eller minneskort, som syftar till att undanhålla mer- värdesskatt. Sådana bedrägerier är utbredda och uppskattas årligen medföra skatteundandragande vid gränsöverskridande handel inom Europeiska unionen (EU) på omkring 600 miljarder kronor.31 Det framgår av Aros rutin Kontrollista av tradingkunder från september 2020 att även Aros ansåg att trading med mobiltelefoner och liknande produkter var en verksamhet förenad med en hög risk för penningtvätt. Under undersökningsperioden rapporterade Xxxx också nio kunder till Polismyndigheten. Flera av dessa kunder var verksamma inom mobil- telefonbranschen.
28 Nationell riskbedömning av penningtvätt och finansiering av terrorism i Sverige 2020/2021
s. 40 och 41.
29 Riskerna med handel med mobiltelefoner i dessa sammanhang har sedan flera år uppmärksammats av bland annat Skatteverket, Europol och Ekobrottsmyndigheten (se t.ex. promemorian När ett registreringsnummer till mervärdesskatt ska visas som ogiltigt i VIES och Europols årsrapporter 2015–2017 samt Ekobrottsmyndighetens lägesbild om ekonomisk brottslighet i Sverige 2020).
30 MTIC står för Missing Trader Intra-Community VAT fraud.
31 Ekobrottsmyndighetens lägesbild om ekonomisk brottslighet i Sverige 2020 s. 18.
32 En och samma kund har olika kundnummer i kreditrisk- respektive penningtvättsdelarna i undersökningen: kund nr 41 (penningtvätt)/kund nr 31 A (kreditrisk), kund nr 30 (penningtvätt)/kund nr 15 (kreditrisk) samt kund nr 9 (kreditrisk). Dessa kunder förekommer i flera avsnitt i detta beslut: kund nr 41/31 A i avsnitt 2.4.2, 2.4.3 och 3.4.3, kund nr 30/15 i avsnitt 2.4.1, 2.4.2, 3.6.2 och 3.6.3 samt kund nr 9 i avsnitt 2.4.2, 2.4.3, och 2.4.5.
av leveranskedjor för mobiltelefoner och hade antingen gjort sig skyldiga till momsbedrägeri eller borde ha känt till att de hade varit delaktiga i ett sådant bedrägeri.
Vidare har ytterligare ett antal av Aros kunder, varav vissa förekommer i granskningen av bolagets efterlevnad av penningtvätts- och kreditrisk- regelverket, varit misstänkta eller dömts för ekonomisk brottslighet. Under undersökningsperioden bedrev Ekobrottsmyndigheten en förundersökning som rörde grov organiserad brottslighet i Södertälje. Under sommaren 2021 häktades fem personer inom ramen för förundersökningen. Samtliga häktade personer misstänktes för grov ekonomisk brottslighet och hade kopplingar till företag inom bland annat fastighetsbranschen. Av Finansinspektionens utredning framgår att Aros genom uppgifter från media identifierade att en av de häktade personerna, i egenskap av företrädare för ett visst företag, kunde vara kund hos Aros. Med anledning av detta genomförde Xxxx en intern utredning under perioden 19 maj–4 juni 2021 för att undersöka om bolaget hade några engage- mang med koppling till denna person. Aros identifierade då att personen i egenskap av styrelseledamot, verklig huvudman, borgensman och/eller firma- tecknare hade kopplingar till sju företag som var kunder hos Aros. Ett av dessa företag, kund nr 53, omfattas av detta beslut vad gäller Xxxx efterlevnad av penningtvättsregelverket.33
3.3.2 Aros har erbjudit produkter med förhöjd risk för penningtvätt
Aros har erbjudit sina kunder olika produkter, bland annat fakturaköp (factoring). Inom den organiserade brottsligheten förekommer brottsliga upplägg för att tvätta pengar som innefattar just finansierings- eller factoringföretag.34 Och det framgår av Aros allmänna riskbedömning och rutinen Kontrollista av tradingkunder från september 2020 att även Aros bedömde att fakturaköp innebar en hög risk för penningtvätt. I sin riskklassificering bedömde bolaget även att produkten företagslån medförde en förhöjd risk genom att den till- delades riskpoäng. Det kan i detta sammanhang noteras att under undersöknings- perioden har produkterna fakturaköp och företagslån stått för i princip hela Aros utlåning.
3.3.3 Aros har varit skyldigt att vidta kraftfulla åtgärder för att hantera risken
Med hänvisning till vad som anförts i föregående avsnitt konstaterar Finans- inspektionen att Xxxx var utsatt för en förhöjd risk för penningtvätt dels genom de kunder som bolaget hade etablerat affärsförbindelser med, dels genom de produkter (framför allt fakturaköp) som bolaget erbjöd. Enligt inspektionen
33 Inspektionens iakttagelser och bedömningar avseende den kunden redovisas nedan i avsnitt 3.6.2.
34 Nationell riskbedömning av penningtvätt och finansiering av terrorism i Sverige 2020/2021 s. 15.
följer det av penningtvättsregleringen att Xxxx därför har varit skyldigt att vidta kraftfulla åtgärder för att kunna hantera den förhöjda risken.
3.4 Aros allmänna riskbedömning har haft brister
Enligt 2 kap. 1 § första stycket penningtvättslagen ska en verksamhetsutövare, så som Aros, göra en bedömning av hur de produkter och tjänster som tillhanda- hålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism samt hur stor risken är att så sker (allmän riskbedömning). Vid den allmänna riskbedömningen ska det, enligt andra stycket, särskilt beaktas bland annat vilka slags produkter och tjänster som tillhandahålls samt vilka kunder och distri- butionskanaler som finns. Hänsyn ska också tas till uppgifter som kommer fram vid verksamhetsutövarens rapportering av misstänkta aktiviteter och trans- aktioner samt till information om tillvägagångssätt för penningtvätt och finan- siering av terrorism och andra relevanta uppgifter som myndigheter lämnar.
Det framgår av 2 kap. 2 § första stycket penningtvättslagen att omfattningen av den allmänna riskbedömningen ska bestämmas med hänsyn till verksamhets- utövarens storlek och art och de risker för penningtvätt eller finansiering av terrorism som kan antas föreligga. Riskbedömningen ska utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism.
Verksamhetsutövaren ska alltså identifiera, förstå och bedöma riskerna för att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism. Eftersom den allmänna riskbedömningen ska utformas så att den kan ligga till grund för utövarens rutiner och riktlinjer samt övriga åtgärder mot penningtvätt, kan en bristfällig allmän riskbedömning få negativa konsekvenser för hur den enskilda verksamhetsutövaren prioriterar resurser och utformar rutiner för bland annat kundkännedom och granskning av transaktioner. De olika momenten är således kopplade till varandra, på så sätt att brister i ett moment riskerar att medföra brister i ett annat.
Finansinspektionen har granskat de allmänna riskbedömningar som Aros gjort under perioden 1 januari 2019–31 december 2021. Den första allmänna risk- bedömningen som gällde under den perioden är daterad den 10 december 2018. Härefter uppdaterades den allmänna riskbedömningen vid flera tillfällen under undersökningsperioden, bland annat den 30 april 2020 och den 9 september 2021.
3.4.2 Den allmänna riskbedömningens innehåll
För att Aros allmänna riskbedömning ska uppfylla kraven i penningtvättslagen måste den beakta vilka kunder som finns. Som anges i avsnitt 3.3 har Aros under större delen av undersökningsperioden haft en inte oväsentlig exponering mot
mobiltelefonbranschen. Flera av bolagets kunder har varit verksamma i den branschen och bland annat var bolagets största kund inom fakturaköp verksam inom handel med mobiltelefoner. I den allmänna riskbedömningen har Aros lyft fram olika typer av kunder som bolaget hade. Men trots riskerna i mobiltelefon- branschen finns det inte någon hänvisning till kunder som är verksamma i den branschen. Först i den version av riskbedömningen som fastställdes den 9 sep- tember 2021 omnämns kunder med kopplingar till mobiltelefonbranschen och då endast i en sammanfattande analys av kunder i särskilt utsatta branscher. Någon närmare analys av riskerna med kundgruppen finns inte i någon version av risk- bedömningen.
Det följer av 2 kap. 1 § andra stycket penningtvättslagen att Xxxx har varit skyldigt att vid den allmänna riskbedömningen ta hänsyn till bolagets rapportering av misstänkta aktiviteter och transaktioner. I Aros allmänna risk- bedömning anges att en intern källa till bolagets riskbedömning är en samman- ställning av bolagets rapporter till Polismyndigheten under år 2016 och framåt. I de allmänna riskbedömningar som gällde fram till den 30 april 2020, har Xxxx tagit hänsyn till de rapporter som lämnats till Polismyndigheten under åren 2014–2018. Härefter anger bolaget inte längre i riskbedömningen vad som har framkommit vid dess rapportering till Polismyndigheten. Det framgår inte heller om, och i så fall hur, bolaget har tagit hänsyn till det som framkommit. Under åren 2019–2021 har Aros dock rapporterat ytterligare nio kunder till Polis- myndigheten, flera av dem var verksamma inom handel med mobiltelefoner.
Dessa rapporter har alltså inte föranlett Xxxx att i sin allmänna riskbedömning ange på vilket sätt bolaget tar hänsyn till omständigheter som har kommit fram vid rapporteringen.
Utifrån dessa iakttagelser kan Finansinspektionen konstatera att Aros under en större del av undersökningsperioden har haft en inte oväsentlig exponering mot mobiltelefonbranschen genom de av bolagets kunder som bedrivit handel med mobiltelefoner (så kallade tradingkunder). Trots detta har bolaget endast beaktat kundtypen i sin allmänna riskbedömning under en mindre del av undersöknings- perioden, efter den 9 september 2021, och då endast i en sammanfattande analys av kunder i särskilt utsatta branscher som inte närmare analyserar riskerna med just den kundgruppen. Detta skedde dessutom nästan ett år efter att Xxxx, enligt egen uppgift, hade avvecklat affärsförbindelserna med alla tradingkunder eftersom bolaget fått kännedom om de risker som dessa kunder var förknippade med. Aros vidgår att tradingkunder beaktades i bolagets allmänna riskbedömning först 2021.
Inte heller framgår det av riskbedömningen på vilket sätt som Xxxx har tagit hänsyn till rapporterna för de nio kunder som bolaget lämnade till Polismyn- digheten under undersökningsperioden. Aros vidgår att det inte har framgått tydligt av den allmänna riskbedömningen att bolaget har tagit hänsyn till den rapportering som ägt rum under undersökningsperioden.
Genom att Xxxx varken har beaktat kunder verksamma i mobiltelefonbranschen eller den rapportering som har gjorts till Polismyndigheten i den allmänna risk-
bedömningen, har bolaget åsidosatt bestämmelserna i 2 kap. 1 § penningtvätts- lagen.
Som nämns ovan kan en bristfällig allmän riskbedömning få negativa konse- kvenser för prioriteringar av resurser och för utformningen av rutiner för bland annat kundkännedom och granskning av transaktioner. Det är alltså av stor vikt att ett företag uppfyller de krav som ställs på den allmänna riskbedömningen. En bristfällig riskbedömning gör bland annat att det blir svårt att på ett korrekt sätt bedöma kundens riskprofil enligt 2 kap. 3 § penningtvättslagen med utgångs- punkt i den allmänna riskbedömningen. Finansinspektionen återkommer till den frågan i avsnitt 3.5.2.
3.5 Brister i Aros riskbedömning av kunder och i Aros rutin för valideringsprocessen
Utöver skyldigheten att ha en allmän riskbedömning ska en verksamhetsutövare, enligt 2 kap. 3 § penningtvättslagen, bedöma risken som är förknippad med den enskilda kunden och affärsförbindelsen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och verk- samhetsutövarens kännedom om kunden. Riskprofilen ska följas upp under på- gående affärsförbindelser och ändras när det finns anledning till det.
Kundens riskprofil har bland annat betydelse för hur omfattande kundkännedom- såtgärder ett företag är skyldigt att vidta i samband med att en affärsförbindelse etableras eller att en enstaka transaktion utförs (se 3 kap. penningtvättslagen).
Riskbedömningen är alltså ett helt centralt moment i ett företags arbete mot penningtvätt och finansiering av terrorism.
I likhet med många andra företag använde Aros vid tiden för undersökningen en riskklassificeringsmodell för att bedöma risken för penningtvätt och finansiering av terrorism hos sina kunder. Modellen viktade olika riskfaktorer på ett sådant sätt att de antingen höjde eller sänkte risknivån för penningtvätt eller finansiering av terrorism hos en kund. Det kunde till exempel handla om huruvida kunden var etablerad i ett särskilt utsatt område, vilka produkter kunden använde och om kunden hade koppling till en kontantintensiv bransch eller en bransch förknippad med hög risk för korruption, om kunden var föremål för avvikande transaktioner, och om kunden var en politiskt utsatt person.35 Den sammanlagda riskpoängen avgjorde om kunden skulle kategoriseras i riskklassen låg risk (<=26 poäng), medel risk (>26- <=70 poäng), hög risk (>70-<=150 poäng) eller oacceptabel risk (>150 poäng).
35 Den sammanlagda riskpoängen är summan av varje riskfaktors riskpoäng multiplicerad med dess riskvikt.
Penningtvättslagen anger inte närmare hur de omständigheter som kan medföra låg eller hög risk bör bedömas av företagen. Frågan behandlas dock i Europeiska bankmyndighetens (EBA) gemensamma riktlinjer om riskfaktorer.36 Enligt rikt- linjerna ska företagen, när de viktar riskfaktorer, göra en välgrundad bedömning av olika riskfaktorers betydelse i samband med en affärsförbindelse eller en enstaka transaktion. När företagen viktar riskfaktorer bör de säkerställa bland annat att viktningen inte påverkas på ett oönskat sätt av en enda faktor, att ekonomiska överväganden eller lönsamhetstänkande inte påverkar risk- klassificeringen och att viktningen inte leder till en situation där ingen affärs- förbindelse anses medföra hög risk för penningtvätt och finansiering av terrorism.37
En verksamhetsutövare som använder modeller för till exempel riskbedömning ska, enligt 6 kap. 1 § andra stycket penningtvättslagen, ha rutiner för modell- riskhantering. Rutinerna ska syfta till att utvärdera och kvalitetssäkra de modeller som verksamhetsutövaren använder. Finansinspektionen har meddelat närmare föreskrifter om rutiner för modellriskhantering. Exempelvis framgår det av
6 kap. 16 § penningtvättsföreskrifterna att en modell ska valideras innan den tas i bruk eller om väsentliga förändringar görs av modellen. Med validering avses en kontroll av att modellen fungerar som den ska.
Xxxx uppdaterade sin riskklassificeringsmodell i början av 2020 och utförde en validering av modellen mellan den 1 februari och den 18 mars 2020. Finans- inspektionens iakttagelser, som beskrivs nedan, avser tiden från och med den 19 mars 2020 till och med undersökningsperiodens slut den 31 december 2021.
3.5.2 Bedömningen av kundens riskprofil
Finansinspektionens undersökning visar att det har funnits skillnader mellan de riskfaktorer som Aros identifierade i sin allmänna riskbedömning och de risk- faktorer som ingick i bolagets riskklassificeringsmodell för kunder. Det handlar både om att det fanns riskfaktorer i den allmänna riskbedömningen som bolaget inte använde i sin modell för riskklassificering och om att vissa riskfaktorer som användes i modellen inte angavs i bolagets allmänna riskbedömning.
Av undersökningen framgår vidare att bolagets poängsättning i riskklassi- ficeringsmodellen medförde att en kund kunde omfattas av flera högrisk-
36 Riktlinjer enligt artiklarna 17 och 18.4 i direktiv (EU) 2015/849 för kundkännedom och de faktorer som kreditinstitut och finansiella institut bör beakta vid bedömning av den risk för penningtvätt och finansiering av terrorism som förknippas med enskilda affärsförbindelser och enstaka transaktioner (riktlinjer för riskfaktorer avseende penningtvätt och finansiering av terrorism) som upphäver och ersätter riktlinjerna JC/2017/37 (EBA/GL/2021/02).
37 EBA/GL/2021/02 s. 26. Finansinspektionens uppfattning är att riktlinjer som har antagits av de europeiska tillsynsmyndigheterna, däribland EBA, och som är riktade till finansmarknadsaktörer kan jämställas med allmänna råd som beslutas och ges ut av Finansinspektionen. I likhet med Finansinspektionens allmänna råd är EBA:s riktlinjer inte rättsligt bindande, men de ger vägledning när det gäller hur lagens krav bör tolkas och tillämpas. Ett företag som inte tillämpar vägledningar av detta slag måste kunna redogöra för hur dess tillämpning trots det leder till att kraven i bakomliggande bestämmelser uppfylls.
indikatorer och ändå inte bedömas som en kund med hög risk (högriskkund). Exempelvis ledde en tillämpning av modellen till att en kund (kund nummer 53), som omfattades av flera av de högriskindikatorer som Aros identifierat, endast fick 47,5 poäng enligt bolagets riskklassificeringsmodell och därmed bedömdes vara en medelriskkund som inte skulle bli föremål för skärpta kundkännedoms- åtgärder. För en annan kund (kund nummer 43) som också omfattades av flera av de högriskindikatorer som Aros identifierat, ledde tillämpningen av modellen till att kunden fick 7,5 poäng enligt riskklassificeringsmodellen och således bedöm- des som en kund förknippad med låg risk för penningtvätt (lågriskkund).
Aros medger att användningen av bolagets riskklassificeringsmodell innebar att Xxxx inte bedömde den risk som kan förknippas med kundrelationen på det sätt som krävs enligt 2 kap. 3 § penningtvättslagen.
Det är Finansinspektionens uppfattning att Aros tillämpade en riskklassifi- ceringsmodell som på ett närmast systematiskt sätt medförde att kunder, som rimligen borde ha ansetts innebära en avsevärd risk för penningtvätt, inte kom att bedömas som högriskkunder av Aros. Modellen beaktade i och för sig högrisk- faktorer, men genomslaget av dessa faktorer reducerades markant genom att andra faktorer sänkte den totala riskpoängen för kunden. Kundernas riskprofil bestämdes alltså inte med utgångspunkt i Aros kännedom om dem, vilket ledde till att en oproportionerligt stor andel av kunderna bedömdes som låg- eller medelriskkunder. Det kan därutöver konstateras att det har funnits skillnader mellan de riskfaktorer som Aros identifierade i sin allmänna riskbedömning och de riskfaktorer som ingick i bolagets modell för riskklassificering av kunder.
Som framgår av avsnitt 3.4 har det även funnits flera brister i Aros allmänna riskbedömning. Finansinspektionen anser därför att Aros inte har kunnat använda den allmänna riskbedömningen som en utgångspunkt för att bedöma kundernas riskprofil på det sätt som krävs enligt penningtvättslagen. Samman- taget anser Finansinspektionen att användningen av modellen har inneburit att Aros inte har bedömt den risk som kan förknippas med kundrelationen i enlighet med kraven i 2 kap. 3 § penningtvättslagen.
Finansinspektionen vill i sammanhanget framhålla vikten av att ett företag bedömer kundens riskprofil på ett korrekt sätt. En felaktig riskbedömning av kunden riskerar nämligen att leda till att företaget inte vidtar skärpta kund- kännedomsåtgärder, trots att kundrelationen är förknippad med sådan hög risk för penningtvätt eller finansiering av terrorism att sådana åtgärder ska vidtas (3 kap. 16 § penningtvättslagen). Även med utgångspunkten att Xxxx inte medvetet gav viktiga riskfaktorer låga poäng, ser därför Finansinspektionen allvarligt på bristen.
3.5.3 Brister i Aros rutiner för valideringsprocessen
Som nämns ovan ska en riskklassificeringsmodell valideras innan den tas i bruk. Av 6 kap. 15 § första stycket penningtvättsföreskrifterna framgår att ett företag ska ha rutiner för en valideringsprocess av sina modeller som säkerställer att en modell är ändamålsenlig för sitt syfte enligt 6 kap. 1 § andra stycket penning-
tvättslagen. I valideringsprocessen ska företaget, enligt andra stycket, granska att de parametrar och data som används i en modell är korrekta och fullständiga samt att antagandena är lämpliga och relevanta. Enligt 6 kap. 17 § penningtvätts- föreskrifterna ska ett företag efter varje validering den utför av en modell upp- rätta en rapport över resultatet av valideringen.
Som Finansinspektionen konstaterar ovan har en tillämpning av Aros risk- klassificeringsmodell, efter den uppdatering som skedde av 2019 års modell, lett till att kundernas riskprofiler inte bedömdes på det sätt som regelverket kräver.
Inspektionen har i undersökningen tagit del av dokumentet ”Rapport – validering av ny riskklassificeringsmodell AML”38 (rapporten) och Aros rutin ”Systembeskrivning och modellbeskrivning”, som innehåller Aros rutiner för valideringsprocessen. I rapporten anger Xxxx att en orimligt hög andel kunder tilldelades hög risk i den modell som användes till och med 2019. Enligt rapporten berodde det på modellens trubbighet. Den uppdaterade modellen bedömdes ge en mer rättvisande fördelning av kunderna efter riskklass. I rapporten anges också att syftet med uppdateringen av modellen var att omfördela kunder så att färre kunder bedömdes som högriskkunder. I rutinen som anges ovan står följande: ”Aros är av inställningen att ett riskbaserat förhållningssätt förutsätter att merparten av kundstocken består av låg- och medelriskkunder och enbart en mindre del utgör högriskkunder”. Varken av rutinen eller av rapporten går det att utläsa att någon ytterligare analys av riskerna förknippade med Xxxx faktiska kunder gjordes vid uppdateringen av den tidigare modellen eller vid den efterföljande valideringen.
Finansinspektionen kan konstatera att efter uppdateringen av riskklassificerings- modellen ökade antalet kunder med låg risk markant från 136 stycken till 774 stycken, samtidigt som antalet högriskkunder sjönk markant från 570 stycken till 13 stycken. Antalet medelriskkunder sjönk från 755 stycken till 665 stycken.
Aros medger att bolaget inom ramen för valideringsprocessen inte upptäckte vissa felaktigheter vid granskningen av de antaganden som låg till grund för modellens utformning och att detta fick till följd att vissa kunder som omfattades av flera högriskfaktorer inte fick en korrekt riskklassificering.
För att ett företag ska kunna avgöra om de antaganden om förekomsten av låg-, medel- och högriskkunder som används i en modell är lämpliga och relevanta – och modellen därmed är ändamålsenlig för sitt syfte – måste företaget göra bedömningen utifrån de faktiska risker som är förknippade med den egna verksamheten och med företagets kunder. Ett företags rutiner för validerings- processen behöver därför säkerställa att en sådan bedömning görs. Detta har Aros rutiner inte gjort. Aros har därmed inte uppfyllt kravet i 6 kap. 15 § penningtvättsföreskrifterna.
38 AML är en förkortning för anti-money laundering.
3.6 Aros har inte vidtagit tillräckliga åtgärder för kundkännedom
Att ett företag har tillräcklig kunskap om sina kunder är en grundläggande förutsättning för dess möjligheter att dels försvåra och förhindra att verk- samheten utnyttjas för penningtvätt eller finansiering av terrorism, dels kunna rapportera misstänkta aktiviteter och transaktioner till Polismyndigheten.
I 3 kap. penningtvättslagen finns flera bestämmelser som redogör för olika åtgärder som behöver vidtas för att uppnå kundkännedom. Lagen specificerar normalt inte hur omfattande kundkännedomsåtgärder ett företag behöver vidta i det enskilda fallet. Det är i stället det enskilda företaget som utifrån sin allmänna riskbedömning ansvarar för att avgöra vilka åtgärder som är lämpliga med hänsyn till de identifierade riskerna. Företaget ska också anpassa åtgärderna efter den risk för penningtvätt och finansiering av terrorism som det bedömer att en viss kund utgör. Om risken bedöms vara låg till normal ska bolaget vidta grund- läggande åtgärder, och i vissa fall kan förenklade åtgärder vara tillräckliga. I de fall risken för penningtvätt och finansiering av terrorism bedöms som hög, ska bolaget vidta skärpta åtgärder för kundkännedom. Dessa åtgärder ska inkludera särskilt omfattande kontroller, bedömningar och utredningar.
För att uppnå god kännedom om sina kunder ska ett företag vidta åtgärder för kundkännedom när en affärsförbindelse etableras. Vidare ska företaget fort- löpande följa upp pågående affärsförbindelser genom att kontrollera och dokumentera att de transaktioner som utförs stämmer överens med den kunskap som företaget har om kunden samt dess affärs- och riskprofil. Om det behövs ska företaget också kontrollera varifrån kundens ekonomiska medel kommer.
3.6.2 Bristande grundläggande åtgärder för kundkännedom
Enligt 3 kap. 8 § första stycket penningtvättslagen ska ett företag utreda om kunden har en verklig huvudman. En sådan utredning ska åtminstone bestå av en sökning i registret över verkliga huvudmän enligt lagen (2017:631) om registrering av verkliga huvudmän. Om kunden är en juridisk person, en trust eller en liknande juridisk konstruktion, ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska verksamhetsutövaren vidta åtgärder för att kontrollera den verkliga huvudmannens identitet.
Ett företag ska också enligt 3 kap. 12 § penningtvättslagen hämta in information om affärsförbindelsens syfte och art. Den informationen ska ligga till grund för en bedömning av vilka aktiviteter och transaktioner som kunden kan förväntas vidta och genomföra inom ramen för affärsförbindelsen och av kundens risk- profil.
Dessutom ska ett företag enligt 3 kap. 13 § penningtvättslagen löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att känne- domen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism.
Det följer av 5 kap. 3 § penningtvättslagen att verksamhetsutövaren ska bevara handlingar och uppgifter om de åtgärder som har vidtagits för kundkännedom.
Verklig huvudman och affärsförbindelsens syfte och art
Aros fick under undersökningsperioden en kreditförfrågan av en person som ville pantsätta en fastighet som ägdes av bolagets kund nummer 53. Personen som gjorde kreditförfrågan var inte företrädare eller styrelseledamot för kund nummer 53, och inte heller en av de verkliga huvudmän som Xxxx hade identi- fierat för kunden sedan tidigare.
I kundakten som avser kund nummer 53 saknas dokumentation som visar att Xxxx reagerade på att en utomstående person gjorde en kreditförfrågan där kundens egendom skulle utgöra pant. Det framgår alltså inte att Xxxx har utrett om det finns någon annan verklig huvudman för kunden. I akten finns inte heller någon dokumentation som visar att Xxxx har hämtat in information om affärs- förbindelsens syfte och art. Aros medger att bolaget varken har hämtat in information om affärsförbindelsens syfte och art eller utrett verklig huvudman efter kreditförfrågan. Härigenom har Aros åsidosatt bestämmelserna i 3 kap. 8 och 12 §§ penningtvättslagen.
Aros förklaring till varför bolaget inte har utrett om kunden har en verklig huvudman är att bolaget har haft bristande resurser i den första försvarslinjen, som i vissa fall har lett till en bristande hantering. Enligt Xxxx rör det sig om misstag i vissa ärenden och inte om några systematiska fel vid utredningen av verklig huvudman. Finansinspektionen gör inte gällande att Xxxx haft några systematiska brister men vill ändå understryka att de omständigheter som inspektionen redogör för ovan tydligt visar på ett behov för Xxxx att utreda frågan. Att det i kundakten inte finns något som tyder på att Aros ens reagerade på att en utomstående person gjorde en kreditförfrågan där kundens egendom skulle utgöra pant, är anmärkningsvärt.
Uppföljning av affärsförbindelsen
I 2539 av de 70 granskade kundakterna framgår det att kundernas transaktioner genererade ett eller flera larm i övervakningssystemet. I 1940 av dessa 25 kund- akter finns det ingen dokumentation om att Xxxx med anledning av larmen följde upp affärsförbindelserna för att säkerställa att bolagets kännedom om kunden var aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism.
39 Kund nr 2, 9, 11, 18, 20, 21, 23, 27, 30, 37, 38, 44–46, 48, 54, 56–60, 62, 65, 67 och 70.
40 Kund nr 2, 9, 11, 18, 20, 21, 23, 27, 30, 37, 38, 44–46, 48, 54, 58, 62 och 67.
Som Finansinspektionen uppfattar Xxxx menar bolaget att det har följt upp affärsförbindelserna med de kunder som har genererat larm i övervaknings- systemet men inte dokumenterat åtgärderna. Bristerna består därför endast i att bolaget inte har följt bestämmelserna om dokumentation och bevarande av hand- lingar. Aros uppger att transaktionslarm genererade uppgifter i ett it-system, men att bolaget vidtog åtgärder i ett annat internt system.
Aros gör även i andra avseenden gällande att det förhållandet att en viss åtgärd inte har dokumenterats inte nödvändigtvis innebär att bolaget inte har vidtagit den. I avsnitt 2.3 redogör Finansinspektionen för inspektionens utgångspunkter för bedömningen av denna invändning, vilka gäller även i detta fall.
Finansinspektionen konstaterar alltså att Xxxx har fått möjlighet att yttra sig över inspektionens preliminära bedömningar och inspektionen har även, mot bak- grund av att dokumentation har saknats, särskilt förelagt bolaget att lämna in underlag som visar att bolaget har uppfyllt kravet på att följa upp de affärs- förbindelser där larm har genererats i övervakningssystemet. Vad bolaget då har redogjort för saknar stöd i utredningen i övrigt och är alltför vagt för att läggas till grund för bedömningen. Det innebär att Finansinspektionen utgår från att avsaknaden av dokumentation speglar korrekta förhållanden.
Med hänvisning till det som inspektionen anför ovan är det utrett att Xxxx inte har följt upp affärsförbindelserna med de kunder som genererat larm i övervak- ningssystemet på det sätt som krävs enligt 3 kap. 13 § penningtvättslagen. Det rör sig alltså inte om – som Aros hävdar – brister i dokumentationen av åtgärder som bolaget har vidtagit.
3.6.3 Bristande skärpta åtgärder för kundkännedom
Inledning
Av 3 kap. 16 § första stycket penningtvättslagen följer att om den risk för penningtvätt eller finansiering av terrorism som kan förknippas med en kund- relation bedöms som hög, ska särskilt omfattande kontroller, bedömningar och utredningar enligt 7, 8 och 10–13 §§ utföras. Enligt andra stycket ska åtgärderna i så fall kompletteras med de ytterligare åtgärder som krävs för att motverka den höga risken för penningtvätt eller finansiering av terrorism. Sådana åtgärder kan exempelvis vara att hämta in ytterligare information om kundens affärsverk- samhet eller ekonomiska situation samt uppgifter om varifrån kundens ekonomiska medel kommer.
Av förarbetena till penningtvättslagen framgår att det inte är möjligt att generellt, för alla verksamhetsutövare och alla högrisksituationer, ange vilka åtgärder som verksamhetsutövaren måste vidta för att kunna hantera den förhöjda risken.
Frågor om åtgärdernas art och omfattning måste alltså i stor utsträckning avgöras av förhållandena i det enskilda fallet. Det kan många gånger krävas närmare uppgifter om kundens affärsverksamhet eller ekonomiska situation när risken för penningtvätt eller finansiering av terrorism är hög. De skärpta åtgärderna syftar
till att öka kunskapen om kunden och möjliggöra mer välgrundade bedömningar av de transaktioner som kunden genomför (prop. 2016/17:173 s. 267 och 529).
Av förarbetena framgår vidare att skärpta åtgärder för kundkännedom åtminstone innebär att de kontroller, bedömningar och utredningar som ska göras ska vara mer omfattande än vid normal risk för penningtvätt eller finansiering av terrorism (a. prop. s. 266 f.).
Som nämns i avsnitt 3.1 ingick 70 kunder i Finansinspektionens undersökning i denna del. Xxxx har ansett att 27 av dessa kunder under någon del av affärs- förbindelsen och undersökningsperioden skulle bedömas som högriskkunder.41 Inspektionen har granskat vilka skärpta åtgärder som Xxxx har vidtagit för dessa kunder samt om åtgärderna har varit tillräckliga och vidtagits i tid.
Uteblivna eller sena åtgärder
För två42 av de 27 kunderna har bolaget inte vidtagit har några skärpta kund- kännedomsåtgärder. För tre43 andra kunder har skärpta kundkännedomsåtgärder vidtagits, men inte när Xxxx bedömde att kunderna var högriskkunder utan först 5, 10 respektive 28 månader efter denna tidpunkt.
Aros medger att skärpta kundkännedomsåtgärder inte har vidtagits eller vidtagits för sent för de fem kunderna.
Genom att inte alls vidta skärpta kundkännedomsåtgärder eller vidta dem för sent, har Aros åsidosatt bestämmelsen i 3 kap. 16 § penningtvättslagen.
Affärsförbindelsens syfte och art
Som framgår ovan har Xxxx en skyldighet att hämta in information om affärsförbindelsens syfte och art. Den informationen ska ligga till grund för bolagets bedömning av vilka aktiviteter och transaktioner som kunden kan förväntas utföra inom ramen för affärsförbindelsen, och av kundens riskprofil.
När det gäller 1944 av de 27 kunderna har Xxxx i deras respektive kundakt förvisso beskrivit kundens syfte och art med affärsförbindelsen men mycket kortfattat och intetsägande. Syftet har angetts med ord som likviditet eller likviditet/rörelsefinansiering eller med en enda mening om att syftet är likviditet och möjlighet att erbjuda kunder kredit eller att det rör sig om rörelsefinansiering genom försäljning av fakturor. Arten av affärsförbindelsen har beskrivits som fakturaköp eller fakturaköp utan regress med uppgift om kreditens löptid och tröskelvärde. I fråga om de 19 kunderna medger Xxxx att bolaget inte har hämtat in tillräcklig information om affärsförbindelsernas syfte och art.
41 Kund nr 3, 5, 13, 14, 22, 30, 32, 35, 41, 43, 44, 45, 46, 47, 51, 52, 55, 56, 57, 58, 60, 61, 63,
64, 68, 69, 70.
42 Kund nr 44 och 46.
43 Kund nr 45, 56 och 70.
44 Kund nr 13, 30, 35, 43, 44, 46, 47, 51, 52, 55, 56, 57, 58, 60, 61, 63, 64, 68 och 69.
När det gäller två45 andra kunder medger Xxxx inte lika tydligt att informations- inhämtningen när det gäller affärsförbindelsens syfte och art har varit bristfällig i förhållande till det som krävs enligt 3 kap. 16 § penningtvättslagen. Aros har för de båda kunderna vidtagit vissa skärpta kundkännedomsåtgärder (kunderna ingår i den grupp på elva kunder som behandlas nedan i avsnittet om kundens affärs- verksamhet och ekonomiska situation). När det gäller beskrivningen av affärs- förbindelsens syfte och art är den kort, liksom för de övriga 19 kunderna.
Beträffande den ena kunden anges syftet med affärsförbindelsen vara likviditet och arten vara ”Fakturaköp, löptid 30–90 dagar, tröskelvärde 6 mkr”. Beskriv- ningen av den andra kundens syfte med affärsförbindelsen anges som rörelse- finansiering genom försäljning av fakturor, medan arten anges som fakturaköp med uppgifter om kreditens löptid och tröskelvärde. När det gäller dessa två kunder medger Xxxx att det finns brister i kundkännedomshanteringen utan att särskilt ange att det rör sig om affärsförbindelsens syfte och art.
Finansinspektionen anser att den information som Aros har hämtat in om affärs- förbindelsens syfte och art för de 21 kunderna, inte uppfyller de krav på skärpta kundkännedomsåtgärder som ställs i 3 kap. 16 § penningtvättslagen. Aros har därmed åsidosatt bestämmelsen när det gäller dessa kunder.
Uppgifter om varifrån kundens medel kommer
En av de mest centrala åtgärderna för att kunna hantera situationer med en hög risk för penningtvätt och finansiering av terrorism är, enligt Finansinspektionens mening, att hämta in uppgifter om varifrån kunden har fått de medel som används till exempelvis egen delfinansiering eller amortering av krediter.
Åtgärden räknas upp i 3 kap. 16 § andra stycket penningtvättslagen som ett exempel på en skärpt åtgärd och i förarbetena anges att den normalt bör vidtas vid hög risk (prop. 2016/17:173 s. 529).
För nio46 av de 27 kunderna har Xxxx inte hämtat in uppgifter om varifrån kundens egen delfinansiering eller medel för amortering kommer. En sådan åtgärd var enligt Finansinspektionens bedömning nödvändig sett till att kunderna hade tecknat produkten företagslån – som Aros har bedömt är förenad med en förhöjd risk för penningtvätt (se avsnitt 3.3.2) – och flera av dem hade bidragit med en betydande egenfinansierad del i form av en kontantinsats som använts till investeringen. Aros medger också att sådan information borde ha hämtats in när affärsförbindelsen inleddes.
Genom att inte hämta in information om varifrån de nio kundernas kontant- insatser eller medel för amortering kommer har Aros åsidosatt bestämmelserna i 3 kap. 16 § andra stycket penningtvättslagen.
45 Kund nr 32 och 41.
46 Kund nr 3, 5, 14, 22, 35, 55, 61, 68, och 70.
Kundens affärsverksamhet och ekonomiska situation
Exempel på skärpta åtgärder som kan behöva vidtas enligt 3 kap. 16 § penning- tvättslagen är att hämta in ytterligare information om kundens affärsverksamhet eller ekonomiska situation.
För elva47 av de 27 kunderna har bolagets skärpta kundkännedomsåtgärder beskrivits i ett antal identiska handlingar som har bilagts respektive kundakt. Flera av åtgärderna rör endast en48 av de elva kunderna. Flera andra kunder behandlas mycket kort. Någon närmare information om respektive kunds affärsverksamhet eller ekonomiska situation finns inte i någon av de nämnda handlingarna. När det gäller åtta av kunderna beskrivs kundens respektive affärsverksamhet med något enstaka ord. För samtliga elva kunder saknas helt uppgifter om kundens ekonomiska situation, till exempel balans- och resultat- räkning.
Xxxx uppger att bolaget inte har följt sina rutiner för de skärpta kundkännedom- såtgärder som ska vidtas för högriskkunder och vilken information som ska hämtas in. Bolaget medger att detta har lett till vissa brister vad gäller inform- ation om kundernas verksamhet och ekonomiska situation som hade varit relevant att hämta in som skärpta åtgärder för de aktuella kunderna.
Finansinspektionen bedömer att den information som Aros har hämtat in om kundens affärsverksamhet inte har uppfyllt kraven på skärpta åtgärder för kund- kännedom när det gäller i vart fall åtta kunder. Detsamma gäller den information som Aros har hämtat in om de elva kundernas ekonomiska situation. Härigenom har Aros åsidosatt bestämmelserna i 3 kap. 16 § andra stycket penningtvätts- lagen.
4 Aros har inte följt tillsynsförordningen och genomförandeförordningen
I Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och värdepappersföretag och om ändring av förordning (EU) nr 648/2012 (tillsynsförordningen) finns bestämmelser om hur ett företag som Aros ska mäta sina risker, beräkna grundläggande kapitalbas- krav samt rapportera uppgifter om detta till den behöriga myndigheten. Bland annat framgår det i förordningen hur kapitalkravet för kreditrisker ska beräknas. Kreditrisker är risker relaterade till exempelvis lån, lånelöften och garantier som
47 Kund nr 13, 30, 32, 35, 41, 51 52, 57, 58, 60, 69.
48 Kund nr 41.
företaget har lämnat. Vidare framgår det hur bruttosoliditetsgraden och stora exponeringar ska beräknas.
Dessa regler är en del av det kapitaltäckningsregelverk som i stort syftar till att säkerställa att företagen har förmåga att hantera förluster och på så vis hindra, men också lindra, finansiella krisers effekter på banksystemet och samhället.
I bilaga 1 till tillsynsförordningen anges ett antal poster som utgör poster utanför balansräkningen. Det rör sig om exempelvis outnyttjade kreditmöjligheter som omfattar åtaganden att lämna kredit, köpa värdepapper eller utfärda garantier.
Enligt förordningen ska dessa poster räknas med i exponeringsvärdet för beräkning av kreditrisker enligt schablonmetoden (som är den metod som Aros tillämpar), vid beräkningen av stora exponeringar och i det totala exponerings- måttet för bruttosoliditetsgraden.
I kommissionens genomförandeförordning (EU) 2021/451 av den 17 december 2020 om tekniska genomförandestandarder för tillämpningen av Europa- parlamentets och rådets förordning (EU) nr 575/2013 vad gäller instituts tillsynsrapportering och om upphävande av genomförandeförordning (EU) nr 680/2014 (genomförandeförordningen) finns detaljerade bestämmelser om hur uppgifter ska rapporteras till Finansinspektionen.
Xxxx är moderinstitut i en medlemsstat i den mening som avses i artikel 4.1.28 i tillsynsförordningen. Det innebär att det är Aros som ska uppfylla kraven i de bestämmelser i tillsynsförordningen och genomförandeförordningen som Finans- inspektionen tillämpar i detta beslut på grundval av institutens konsoliderade situation (se artiklarna 11.1 och 18 i tillsynsförordningen).
Finansinspektionen granskade i undersökningen de uppgifter om kreditrisker, stora exponeringar och bruttosoliditetsgrad, som Aros har rapporterat in för fyra olika kvartal (kvartal 4 år 2019, kvartal 4 år 2020 samt kvartalen 1 och 3 år 2021). Rapporteringen avsåg Aros på individuell nivå och Aros konsoliderade situation.
Efter att Finansinspektionen hade inlett undersökningen gjorde Aros ett stort antal ändringar i de uppgifter som bolaget tidigare hade rapporterat till inspekt- ionen. Ändringarna innebar bland annat att poster utanför balansräkningen räknades med i exponeringsvärdet för kreditrisker, vid beräkningen av stora exponeringar och i det totala exponeringsmåttet för bruttosoliditetsgraden.
Dessutom både ändrade bolaget och lade till ett stort antal andra uppgifter i rapporteringsmallarna för kreditrisker och stora exponeringar.
4.2 Felaktig hantering av poster utanför balansräkningen
Som nämns ovan ställer tillsynsförordningen krav på att poster utanför balans- räkningen ska räknas med i exponeringsvärdet för beräkningen av kreditrisker enligt den så kallade schablonmetoden (artikel 111), vid beräkningen av stora exponeringar enligt artikel 389 och i det totala exponeringsmåttet för brutto- soliditetsgrad (artikel 429.4.d). Skyldigheten att rapportera värdena till Finans- inspektionen framgår av artikel 430.1 första stycket a och c.
Det är ostridigt att Aros under tre av de fyra granskade kvartalen (kvartal 4 år 2020 samt kvartal 1 och 3 år 2021) har haft sådana poster utanför balans- räkningen men har underlåtit att inkludera posterna i de aktuella beräkningarna, med undantag för ett mindre belopp för kvartal 3 år 2021 som avsåg kreditrisker. Aros har därmed åsidosatt bestämmelserna i artiklarna 111, 389 och 429 i tillsynsförordningen.
Överträdelserna har fått till följd att Xxxx har rapporterat in felaktiga uppgifter om sin finansiella ställning till Finansinspektionen och att bolaget inte har rapporterat enligt de instruktioner och specifikationer som finns i genomförande- förordningen.
Att ett bolag rapporterar in uppgifter som ger en rättvisande bild av bolagets finansiella ställning är en förutsättning för att Finansinspektionen ska kunna göra en korrekt bedömning av bolagets finansiella situation och av hur väl det upp- fyller regelverket. I Aros fall har de felaktiga beräkningarna, och den efter- följande felaktiga rapporteringen, inneburit att Aros exponeringar för kreditrisker har sett lägre ut än de faktiskt har varit. Vissa stora exponeringar har inte rapporterats och även storleken på redan identifierade stora exponeringar har påverkats. Enligt Finansinspektionens bedömning har dessutom bruttosoliditets- graden sett högre ut än vad den i själva verket var under tre av de fyra kvartalen (undantaget var kvartal 4 år 2019). För kvartal 3 år 2021 var skillnaden väsentlig.
Det är riktigt, som Aros framför, att de felaktiga beräkningarna hade kunnat få ännu allvarligare konsekvenser än vad som blev fallet, till exempel att Xxxx hade brutit mot kapitalkraven, överskridit gränsen för otillåtet stora exponeringar eller brutit mot kravet på bruttosoliditetsgrad. Även om Xxxx inte har åsidosatt de kraven, anser Finansinspektionen att överträdelserna visar att det har funnits en uppenbar risk för att bolaget inte har haft kontroll på sina exponeringar i relation till kreditrisker, bruttosoliditet och stora exponeringar. Xxxxxxx har den felaktiga rapporteringen försvårat Finansinspektionens möjligheter att utöva en effektiv tillsyn.
4.3 Brister i rapporteringen enligt genomförandeförordningen
I det föregående avsnittet konstaterar Finansinspektionen att Xxxx har åsidosatt bland annat bestämmelserna om beräkning av exponeringsvärdet för att beräkna kreditrisker och bestämmelserna om beräkning av stora exponeringar. Det har fått till följd att rapporteringen till Finansinspektionen har innehållit felaktig- heter. I detta avsnitt redogörs för ytterligare iakttagelser – som inte är en direkt följd av de felaktiga beräkningarna – som inspektionen har gjort i förhållande till Xxxx rapportering enligt genomförandeförordningen.
I genomförandeförordningen finns enhetliga format och mallar för rapportering enligt artikel 430.1 i tillsynsförordningen samt instruktioner om och en metod för hur dessa mallar ska användas. Av genomförandeförordningen framgår vidare att uppgifter om kreditrisk enligt schablonmetoden ska rapporteras enligt specifikat- ionerna i mall 7 i bilaga 1, och enligt instruktionerna i del 2 punkt 3.2 i bilaga 2 till förordningen. Det är ostridigt att Aros under kvartal 4 år 2020 samt kvartal 1 och 3 år 2021 i en inte oväsentlig utsträckning inte rapporterade enligt dessa specifikationer och instruktioner. Vissa uppgifter saknades helt och andra upp- gifter var felaktiga, exempelvis uppgifter om specifika kreditriskjusteringar. Ett antal uppgifter rapporterades också i fel celler i mallarna.
Enligt genomförandeförordningen ska uppgifter om stora exponeringar rapporteras i överensstämmelse med bilaga 8 och i enlighet med instruktionerna i bilaga 9 till förordningen.
Det är ostridigt att Aros under kvartal 4 år 2020 samt kvartal 1 och 3 år 2021 såvitt avser ett antal uppgifter inte rapporterade på det sätt som krävs enligt genomförandeförordningen. Vissa uppgifter saknades helt och andra uppgifter var felaktiga. Exempelvis fanns inga uppgifter om indirekta exponeringar med i mallen för stora exponeringar (som uppstår då en garantigivare garanterar en ursprunglig motpart). Det fanns inte heller några uppgifter om kreditrisk- reducering. Aros har därmed i flera avseenden åsidosatt bestämmelserna i genomförandeförordningen.
Enligt Finansinspektionen förstärker dessa överträdelser bilden av att det har funnits en uppenbar risk för att Xxxx inte har haft kontroll på sina exponeringar. Därtill har inspektionen, till följd av den felaktiga rapporteringen, inte haft möjlighet att på ett korrekt sätt bedöma bolagets kreditrisker samt vilka stora exponeringar som bolaget hade och hur stora de var.
5 Brister i styrning, riskhantering och kontroll
I denna del har Finansinspektionen granskat Aros styrning, riskhantering och kontroll av områdena kreditriskhantering, åtgärder mot penningtvätt och finansiering av terrorism samt rapportering av kapitalbas, kapitalbaskrav och stora exponeringar under perioden 1 april 2019–31 december 2021. Inspektionen har tagit del av styrelseprotokoll jämte bilagor, årsredovisningar och rapporter samt handlingar som avser de områden som nämns ovan.
Enligt bestämmelsen om riskhantering i 6 kap. 2 § LBF ska ett kreditinstitut bland annat identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som dess rörelse är förknippad med. Institutet ska särskilt se till att olika slag av risker, som kreditrisker, marknadsrisker och operativa risker samman- tagna inte äventyrar dess förmåga att fullgöra sina förpliktelser. Av förarbetena framgår att syftet med bestämmelserna är att begränsa det totala risktagandet och säkerställa att företag bygger upp fungerande system för riskhantering. Vid tillämpningen av bestämmelsen ska hänsyn tas till arten och omfattningen av den aktuella verksamheten och dess komplexitetsgrad (6 kap. 4 a § LBF). Kraven på riskhantering kan alltså öka om en verksamhet förändras och till exempel blir mer omfattande eller komplex. (Se prop. 2002/03:139 s. 278 och prop. 2006/07:5
s. 436.) Enligt 6 kap. 4 b § LBF ansvarar styrelsen i ett kreditinstitut för att kraven i bland annat 2 § uppfylls.
Bestämmelserna i 6 kap. 2 § LBF är av ramkaraktär och preciseras i flera avseenden i Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:1) om styrning, riskhantering och kontroll i kreditinstitut (SRK-föreskrifterna). Det övergripande syftet med SRK-föreskrifterna är att säkerställa att kreditinstitut har en god styrning, riskhantering och kontroll. Det är centralt för ledningen av finansiella företag och i förlängningen har det även betydelse för stabiliteten i det finansiella systemet.49
SRK-föreskrifterna innehåller bland annat bestämmelser om hur företag ska organisera sin verksamhet. Bestämmelserna bygger på de principer om tre så kallade försvarslinjer som har utarbetats av Committee of Sponsoring Organi- zations of the Treadway Commissions. Den första försvarslinjen utgörs av affärsverksamheten, det vill säga den del av verksamheten som utför den dagliga riskhanteringen och alltså äger och hanterar risker. Den andra försvarslinjen ska vara oberoende och består av funktionen för riskkontroll och funktionen för regelefterlevnad som bland annat övervakar, kontrollerar och rapporterar företagets risker och hur det följer interna och externa regelverk. Den tredje försvarslinjen består av en oberoende internrevisionsfunktion, direkt underställd
49 Finansinspektionens beslutspromemoria till SRK-föreskrifterna s. 4.
styrelsen, som bland annat ska utföra en regelbunden granskning av såväl ledning som bolagets interna kontroller, kontrollfunktionernas arbete och bolagets riskhantering. Internrevisionens arbete syftar även till att bidra till bestående förbättringar i verksamheten.50
5.2 Aros verksamhet och styrelsens målsättning
Aros utlåning till allmänheten riktar sig i princip uteslutande till företag. Under undersökningsperioden var Xxxx målsättning att öka sin utlåning till företag från 2 293 miljoner kronor i slutet av 2019 till 2 840 miljoner kronor året därefter,
7 189 miljoner kronor år 2021 och 10 457 miljoner kronor år 2022. Den mål- sättning som Xxxx styrelse beslutade om innebar alltså en tillväxt på 356 procent under en treårsperiod. Som en jämförelse kan nämnas att under motsvarande period så ökade svenska bankers utlåning till företag från 3 170 miljarder kronor till 3 391 miljarder kronor, vilket motsvarar en ökning på cirka 7 procent. Vidare satte Xxxx styrelse upp som mål att Aros avkastning på eget kapital skulle vara drygt 30 procent per år under perioden 2020–2022.51 Under samma år hade svenska banker och kreditmarknadsbolag i snitt en årlig avkastning på eget kapital på mellan 6,1 och 7,8 procent.
De rapporter som styrelsen fick från Aros verkställande direktör och ekonomi- chef under undersökningsperioden innehåller detaljerade uppgifter om kredit- volymer, resultat och andra nyckeltal. Av dem framgår att bolagets utlåning till allmänheten och resultat till stor del ökade i linje med målsättningen i de budgetar som styrelsen hade beslutat. Styrelsen fick alltså rapporter om att utlåningen till allmänheten hade ökat från 2 293 miljoner kronor i december 2019 till 7 693 miljoner kronor i november 2021. Det motsvarar en ökning av utlåningen under dessa två år med 77 respektive 89 procent.52 Enligt Aros års- redovisningar var utlåningen till allmänheten 8 283 miljoner kronor i december 2021. Bolagets årliga avkastning på eget kapital var i genomsnitt 28 procent under åren 2019–2021.53
Under en stor del av undersökningsperioden rapporterade kontrollfunktionerna i Aros återkommande till styrelsen och den verkställande direktören om brist på resurser inom både den första och andra försvarslinjen. Rapporteringen avsåg bland annat bristande resurser för arbetet med regelverksefterlevnad när det gäller kreditriskhantering och arbetet mot penningtvätt och finansiering av terrorism. I januari 2020 uppmärksammade till exempel Xxxx internrevision styrelsen på bristande resurser inom riskkontrollfunktionen. I sin granskning rekommenderade internrevisionen en utvärdering av behovet av ytterligare
50 A.a. s. 10.
51 Målsättningen för avkastningen på eget kapital var 34,1 procent år 2020, 30,0 procent år 2021 och 32,4 procent för år 2022. Se styrelseprotokoll (hädanefter SP) 8/2019, 2019-11-21, 10 § och bilaga 7, SP 10/2020, 2020-12-16, 11 § och bilaga 7 samt SP 12/2021, 2021-12-16, 11 § och
52 SP 1/2020:1, 2020-01-23, bilaga 2 och SP 12/2021, 2021-12-16, bilaga 2.
53 Aros årsredovisningar för åren 2019–2021.
resurser till rikskontrollfunktionen för att ”säkerställa att det finns erforderliga resurser inom Riskkontrollfunktionen för att fullgöra sina uppgifter i takt med att Bolaget växer samt vid eventuella särskilda händelser.”54
Kontrollfunktionerna rapporterade därutöver vid flera tillfällen under under- sökningsperioden till styrelsen och den verkställande direktören om brister i Aros faktiska arbete med intern kontroll och regelefterlevnad, bland annat i fråga om interna processer och styrdokument. Flera av de rapporterade bristerna avsåg bolagets affärsverksamhet och gällde exempelvis leasingprocessen, produktions- processen (bekräftelsehanteringen) och vissa kundkännedomsåtgärder enligt penningtvättsregelverket (så kallad KYC-hantering).55 Vidare rapporterades det om brister i Xxxx regelbundna rapportering till Finansinspektionen och i de interna reglerna för reservering av kreditförluster.56
I november 2020 beslutade styrelsen att en åtgärdsplan skulle tas fram och följas upp för att stärka resurserna inom den första försvarslinjen, bland annat genom att öka bemanningen.57 Den verkställande direktören vidtog åtgärder enligt den framtagna åtgärdsplanen, men vid undersökningsperiodens slut i december 2021 var planen inte fullt genomförd. Den verkställande direktören rapporterade status för åtgärdsplanen till styrelsen en sista gång vid styrelsemötet den 30 september 2021. Under de resterande styrelsemötena 2021 behandlades inte åtgärdsplanen på grund av tidsbrist.58
Av ovanstående, ostridiga, redogörelse konstaterar Finansinspektionen samman- fattningsvis att Aros styrelse fastställde en målsättning med mycket höga mål för verksamheten i fråga om tillväxt och lönsamhet. Det illustreras bland annat av en jämförelse mellan å ena sidan Aros mål för tillväxt och avkastning på eget kapital och, å andra sidan, utvecklingen för svenska banker och kreditmarknads- bolag i övrigt under den aktuella perioden. De uppsatta målen syftade till att uppnå en snabb och kraftig expansion för bolaget. Genom den rapportering som Xxxx styrelse och verkställande direktör löpande fick var de medvetna om att bolagets utveckling väsentligen följde de uppsatta målen. De fick samtidigt fortlöpande rapporter under undersökningsperioden om både resursbrist och faktiska brister i verksamheten.
5.3 Aros ramverk för riskhantering har varit otillräckligt och inte heller tillräckligt integrerat
För att ett företag ska kunna hantera och kontrollera riskerna i sin verksamhet och därmed kunna uppfylla kraven i 6 kap. 2 § LBF, måste det bygga upp ett
54 SP 1/2020, 2020-01-23, 10 § och bilaga 15.
55 SP 6/2019, 2019-08-22, 8 § och bilaga 5 samt SP 9/2020, 2020-11-26, 9 § och bilaga 6,
SP 1/2021, 2021-01-28, 11 § och bilaga 12, SP 4/2021, 2021-04-29, 9–10 §§.
56 SP 4/2019, 2019-05-25, 8 § och bilaga 4, SP 2/2020, 2020-02-27, 11 § och bilaga 5 samt SP
6/2020, 2020-08-20, 9 § och bilaga 4.
57 SP 9/2020, 2020-11-26, 5 §.
58 SP 9/2021, 2021-10-28, 6 §, SP 11/2021 2021-11-25, 7 § och SP 12/2021, 2021-12-16, 7 §.
fungerande och effektivt system för riskhantering. Xxxx menar att bolagets målsättning om kraftig tillväxt inte medförde att det exponerades för några nya slags risker. Däremot vidgår bolaget att riskerna i verksamheten kunde förväntas bli större och mer komplexa att hantera. En sådan förändring av riskbilden i en verksamhet innebär enligt Finansinspektionen att högre krav ställs och att det är särskilt viktigt att säkerställa att det finns ett väl fungerande system för risk- hantering (se avsnitt 5.1).
Kraven på riskhantering i 6 kap. 2 § LBF preciseras bland annat i 5 kap. 1 § SRK-föreskrifterna, som anger att ett företag ska ha ett ramverk för riskhantering som innehåller de strategier, processer, rutiner, interna regler, limiter, kontroller och rapporteringsrutiner som behövs för att säkerställa att företaget löpande kan identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som det är eller kan förväntas komma att bli exponerat för. Enligt 5 kap. 2 § SRK- föreskrifterna ska ramverket dessutom vara väl integrerat i företagets organisations- och beslutsstruktur samt avse samtliga väsentliga risker i företaget. Vidare är det affärsenheterna, det vill säga den så kallade första försvarslinjen, som ska ansvara för att utföra den dagliga riskhanteringen.
Det är alltså faktiska och förväntade risker i verksamheten som avgör vilka krav som ställs på ramverkets utformning. Aros expansion har lett till en mer omfattande och komplex riskbild. Det har i sin tur medfört ökade krav på riskramverket för att detta ska kunna säkerställa bolagets riskkontroll.
Aros framhåller att ramverket för riskhantering har varit ändamålsenligt i många avseenden, men medger att det har varit otillräckligt för att säkerställa nödvändig styrning och kontroll över riskerna i verksamheten samt att det inte heller har varit tillräckligt integrerat i verksamheten. Enligt Xxxx beror bristerna på den tidigare verkställande direktören.
Det kan konstateras att omfattningen av de brister som Finansinspektionen har identifierat inom samtliga granskade områden i sig utgör en stark indikation på att Aros inte har haft ett sådant effektivt system för riskhantering som regleringen kräver. Utredningen visar dessutom att bolagets affärsverksamhet inte fullt ut har arbetat enligt de rutiner och interna regler som faktiskt har funnits och inte heller har utfört den dagliga riskhanteringen. Oavsett om detta, som Xxxx framhåller, har ett samband med den tidigare verkställande direktörens agerande i fråga om exempelvis tillförsel av resurser, rör det sig om överträdelser från Aros sida av 5 kap. 1 och 2 §§ SRK-föreskrifterna.
När det gäller bolagets ramverk för riskhantering uppehåller Aros sig särskilt vid det förhållandet att ramverket har varit föremål för Finansinspektionens tillsyn i ett tidigare ärende.59 Finansinspektionen konstaterade då att de förbättrings- åtgärder som bolaget skulle vidta var tillräckliga och avskrev i november 2019 ärendet från vidare handläggning. Enligt Xxxx informerades styrelsen i anslut- ning till avskrivningsbeslutet om att de brister som inspektionen hade uppmärk-
59 FI dnr 19-5164
xxxxxx var åtgärdade, vilket var en tydlig indikation på att ramverket för risk- hantering var tillräckligt vid den tidpunkten.
Finansinspektionen konstaterar att det tidigare ärendet rörde en annan tidsperiod och dessutom var inriktat på andra brister i bolagets styrning, riskhantering och kontroll än detta ärende. Det tidigare ärendet saknar därför enligt inspektionen betydelse för frågan om Aros nu har brutit mot det aktuella regelverket. Inspekt- ionen vill också framhålla att Aros efter inspektionens tidigare undersökning fortsatt att expandera, vilket har medfört högre krav på bolagets arbete med riskhantering. Dessutom finns det än större anledning för ett företag att noggrant säkerställa regelefterlevnad på ett visst område om det tidigare har varit föremål för tillsynsmyndighetens synpunkter. Att Finansinspektionen tidigare har granskat Aros ramverk för riskhantering och styrelsens vetskap om detta gör därför inte överträdelsen mindre allvarlig.
5.4 Aros kontrollfunktioner har varken haft tillräckliga resurser eller varit oberoende
Intern kontroll behövs för att ett företag ska kunna säkerställa att verksamheten bedrivs ansvarsfullt och ändamålsenligt, med fungerande kontrollfunktioner, och enligt gällande författningar och interna regler. Enligt 6 kap. 1 § SRK- föreskrifterna ska ett företag därför ha en funktion för riskkontroll, en funktion för regelefterlevnad och en funktion för internrevision som är organisatoriskt skilda från varandra.
För att dessa kontrollfunktioner ska kunna fullgöra sina uppgifter måste de ha tillräckliga resurser, vilket är ett krav som uttryckligen framgår av 6 kap. 3 § SRK-föreskrifterna. Inte minst för ett företag som genomgår en kraftig expansion, som Aros, finns det anledning för styrelsen att noggrant följa att resurserna till företagets kontrollfunktioner hänger med utvecklingen i verk- samheten i övrigt. De olika kontrollfunktionerna ska även vara oberoende, vilket förutsätter att vart och ett av fyra olika krav är uppfyllda. Ett av dessa är att personalen i en kontrollfunktion inte ska utföra några uppgifter som ingår i den verksamhet som de ska övervaka och kontrollera (6 kap. 6 § SRK-föreskrif- terna). Bestämmelsen om oberoende infördes för att undvika sammanblandning av kontrollfunktionernas uppgifter, som skulle kunna leda till att väsentliga risker i en verksamhet inte identifieras och kontrolleras på ett tillfredsställande sätt.60
Aros vidgår att det har rått resursbrist både i affärsverksamheten, som ska utföra den dagliga riskhanteringen (den första försvarslinjen), och i funktionerna för riskkontroll respektive regelefterlevnad (den andra försvarslinjen). Enligt Xxxx var det framför allt bristen på resurser i första försvarslinjen som var ett problem men det påverkade även arbetet i den andra försvarslinjen eftersom anställda där fick lägga tid på att utföra den första linjens arbetsuppgifter.
60 Finansinspektionens beslutspromemoria till SRK-föreskrifterna s. 41.
Både den rapportering som har gjorts till Aros styrelse under undersöknings- perioden och muntliga uppgifter från anställda i bolaget, ger en tydlig bild av att båda Aros kontrollfunktioner i den andra försvarslinjen var otillräckligt bemannade under den aktuella perioden. Exempelvis uppger Aros internrevision i en granskningsrapport till styrelsen i januari 2020 att riskkontrollfunktionens aktivitetsplan inte har kunnat fullföljas på grund av resurssituationen. I en motsvarande rapport ett år senare konstaterar internrevisionen att arbets- belastningen inom regelefterlevnadsfunktionen har varit så hög att merparten av de planerade aktiviteterna för 2020 inte har kunnat genomföras.61 Aros har alltså inte sett till att kontrollfunktionerna har haft de resurser som krävts för att de skulle kunna fullgöra sina uppgifter, vilket innebär att Aros har åsidosatt 6 kap. 3 § SRK-föreskrifterna.
Eftersom personal i den andra försvarslinjen ostridigt har utfört uppgifter som egentligen hörde till den första försvarslinjen, det vill säga en verksamhet som den andra försvarslinjen ska övervaka och kontrollera, har Aros inte heller levt upp till kravet på oberoende kontrollfunktioner enligt 6 kap. 6 § 4 SRK- föreskrifterna. Att Aros har följt vissa andra av de krav som också ska vara uppfyllda för att en kontrollfunktion ska anses oberoende, saknar betydelse för bedömningen. Det gör även Xxxx uppgifter om den tidigare verkställande direktörens agerande.
Under åtminstone en tremånadersperiod ägnade riskkontrollfunktionen så mycket som cirka 30–40 procent av sin arbetstid åt den första försvarslinjens uppgifter.62 Även om Xxxx menar att kontrollfunktionerna i stort har fungerat innebär det en uppenbar risk för just den typen av problem som kravet på oberoende syftar till att motverka, det vill säga att väsentliga risker inte identifieras eller kontrolleras på ett tillfredställande sätt. Den aktuella under- sökningen visar också att det i Aros verksamhet har funnits stora brister i hanteringen av risker, till exempel i anslutning till bolagets kreditgivning (se avsnitt 2).
Överträdelserna av de aktuella bestämmelserna i SRK-föreskrifterna innebär att Aros även har åsidosatt 6 kap. 2 § LBF.
5.5 Styrelsen har brustit i sitt ansvar att vidta åtgärder
Enligt 3 kap. 3 § SRK-föreskrifterna ska styrelsen eller den verkställande direktören regelbundet se över och bedöma effektiviteten i företagets organisat- ionsstruktur, rutiner, åtgärder, metoder med mera som företaget har beslutat för att följa lagar och andra författningar som reglerar företagets tillståndspliktiga verksamhet. LBF och SRK-föreskrifterna är exempel på sådana lagar och författningar. Styrelsen eller den verkställande direktören ska även vidta lämpliga åtgärder för att korrigera eventuella brister i styrningen i dessa delar.
61 SP 1/2020, 2020-01-23, 10 § och bilaga 15 samt SP 1/2021, 2021-01-28, 11 § och bilaga 11.
62 SP 9/2020, 2020-11-26, 9 § och bilaga 6.
Av 6 kap. 7 § följer vidare att en kontrollfunktion minst årligen ska rapportera om väsentliga brister och risker till bland annat styrelsen och den verkställande direktören, som så snart som möjligt ska vidta lämpliga åtgärder med anledning av rapporterna.
Som framgår av avsnitt 5.2 har Aros styrelse, i en kraftig expansionsfas för bolaget, fått upprepad information om brister i verksamheten och om otill- räckliga resurser, bland annat genom kontrollfunktionernas rapportering. Det rörde sig om väsentliga brister i fråga om intern kontroll och regelefterlevnad, vilket medförde väsentliga risker i centrala delar av Aros verksamhet, som kreditgivningsverksamheten. Trots att styrelsen redan 2019 kände till att det fanns sådana problem beslutade den först i november 2020 om en åtgärdsplan med en markant ökning av resurser. Oavsett om styrelsen, som Aros anför, löpande hade resursfrågor i fokus och vidtog åtgärder för att komma till rätta med bristerna i verksamheten, till exempel genom att godkänna resursför- stärkningar, var åtgärderna otillräckliga och sattes in för sent. Aros medger att bolagets åtgärder har varit otillräckliga och satts in för sent.
Sammanfattningsvis har Xxxx styrelse alltså inte så snart som möjligt vidtagit sådana lämpliga åtgärder som avses i 3 kap. 3 § andra stycket och 6 kap. 7 § SRK-föreskrifterna. Aros har därigenom åsidosatt dessa föreskrifter och 6 kap. 2 § LBF.
6 Finansinspektionens övervägande om ingripande
Aros medger flera av de brister som Finansinspektionen har fastslagit, men anser att omständigheterna gör att ett ingripande bör stanna vid en anmärkning och en sanktionsavgift eller en varning, som i så fall ska förenas med en lägre sanktions- avgift.
När det gäller de förmildrande omständigheter som Aros menar bör påverka bedömningen av de olika bristernas allvar, framhåller bolaget återkommande den tidigare verkställande direktörens roll. Inom alla de granskade områdena pekar Aros på att den tidigare verkställande direktören har varit en starkt bidragande orsak till olika brister. Sammanfattningsvis menar Xxxx att den tidigare verk- ställande direktören hade ett stort inflytande både på det operativa arbetet och på att styrelsens beslut inte kom att omsättas i faktiska åtgärder. Det handlade, enligt Xxxx, bland annat om att den tidigare verkställande direktören inte priori- terade att verkställa olika resursförstärkningar, till exempel genomförandet av åtgärdsplaner, vilket ledde till resursbrist i olika avseenden. I förhållande till styrelsen gav den verkställande direktören dock bilden av att frågorna priori-
terades. Vidare hade denne en negativ påverkan på regelefterlevnaden och utsatte anställda för olika former av påtryckningar, exempelvis att inte följa interna regelverk och att inte stoppa affärer med bland annat kunder som den verkstäl- lande direktören hade en koppling till. Den dåliga företagskulturen ledde till att anställda inte förde vidare information om olika problem i verksamheten till styrelsen. Det var en mycket speciell och ovanlig situation för både bolagets styrelse och anställda.
Aros menar vidare att styrningen av ett företag enligt den svenska modellen för bolagsstyrning bara fungerar om den verkställande direktören är lämplig för sin uppgift, agerar lojalt mot styrelsen och genomför dess beslut. Enligt Xxxx har det inte förhållit sig så i detta fall.
Vidare framhåller Aros bland annat att bolagets överträdelser inte har haft några konkreta effekter på det finansiella systemet i stort och att bolagets kunder inte heller har drabbats negativt. Det finns ingen aktieägare som har gjort någon vinst på grund av överträdelserna eftersom Xxxx inte har delat ut någon vinst under undersökningsperioden eller därefter. Aros framhåller att bolaget under hela perioden och fram till i dag, varit finansiellt starkt med god kapitaltäckning och utan några kreditförluster som ligger utöver vad som kan förväntas. Xxxx påpekar att bolaget även har vidtagit kraftfulla och adekvata åtgärder för att komma till rätta med samtliga brister och förhindra ytterligare överträdelser. Ett viktigt syfte med åtgärderna har, enligt Xxxx, varit att förbättra och förstärka bolagets ramverk för riskhantering genom processer och rutiner, men framför allt genom betydande resursförstärkningar.
6.2 Överträdelserna kräver ingripande
Finansinspektionen ska som huvudregel ingripa om ett kreditinstitut har åsidosatt sina skyldigheter enligt LBF eller andra författningar som reglerar institutets verksamhet, institutets bolagsordning, stadgar eller reglemente eller interna instruktioner som har sin grund i författningar som reglerar institutets verksam- het. Det finns dock en möjlighet för Finansinspektionen att avstå från att ingripa, bland annat om en överträdelse är ringa eller ursäktlig eller om kreditinstitutet gör rättelse (15 kap. 1 § och 1 b § andra stycket LBF).
Finansinspektionens utredning visar att Aros har brutit mot flera centrala bestäm- melser i kreditriskregelverket, penningtvättsregelverket, samt i regelverket om styrning, riskhantering och kontroll. Aros har inte heller följt tillsynsförord- ningens regler om beräkning av kreditrisker, bruttosoliditetsgrad och stora expo- neringar eller genomförandeförordningens regler om rapportering.
Överträdelserna kan sammantagna inte ses som ringa eller ursäktliga. Inte heller det förhållandet att Xxxx har vidtagit och planerar att vidta åtgärder för att komma till rätta med bristerna, eller någon annan omständighet, utgör skäl för Finansinspektionen att avstå från att ingripa mot företaget eftersom överträ- delserna, både till omfattning och karaktär, är alltför allvarliga för det. De kon-
staterade överträdelserna har därmed varit sådana att Finansinspektionen ska ingripa mot Aros.
6.3 Aros bör få en varning som förenas med en sanktionsavgift
Finansinspektionen kan ingripa bland annat genom att förelägga ett kreditinstitut att göra rättelse eller genom att göra en anmärkning. Om överträdelsen är allvarlig ska institutets tillstånd i stället återkallas eller, om det är tillräckligt, varning meddelas (15 kap. 1 § LBF).
Omständigheter som är hänförliga till överträdelsernas allvar och längd
Vid valet av sanktion ska Finansinspektionen ta hänsyn till hur allvarliga över- trädelserna är och hur länge de har pågått. För kreditmarknadsbolag och andra kreditinstitut är överträdelser av bestämmelser som syftar till att upprätthålla den finansiella stabiliteten i det enskilda institutet, eller i det finansiella systemet som helhet att betrakta som särskilt allvarliga. Särskild hänsyn ska tas till överträdel- sens art, överträdelsens konkreta och potentiella effekter på det finansiella systemet, skador som uppstått och graden av ansvar (15 kap. 1 b § första stycket LBF). Uppräkningen av vilka omständigheter som ska beaktas vid valet av sanktion är exemplifierande (prop. 2013/14:228 s. 237 och 238).
Inledningsvis konstaterar Finansinspektionen att det rör sig om ett stort antal brister som har identifierats inom samtliga områden som inspektionen har undersökt. Flera av dessa har dessutom funnits under hela eller stora delar av de aktuella undersökningsperioderna, vilket innebär att bristerna förelegat under flera år. Vid valet av ingripande verkar dessa omständigheter i skärpande riktning.
I samma riktning verkar att flera av överträdelserna innebär att Aros har överträtt centrala bestämmelser i LBF om styrning, riskhantering och kontroll samt om kreditriskhantering. Detta är bestämmelser som syftar till att begränsa riskerna för bland annat kreditförluster i ett företag, och i förlängningen till att säkerställa den finansiella stabiliteten i både det enskilda företaget och i det finansiella systemet (prop. 2002/03:139 s. 279, 280 och 324). När det gäller styrning, risk- hantering och kontroll har Aros i en period av snabb och kraftig expansion inte i tillräcklig utsträckning anpassat verksamheten till dessa förhållanden. Det har bland annat inneburit att bolaget har saknat ett tillräckligt ramverk för risk- hantering och att kontrollfunktioner har saknat tillräckliga resurser.
Finansinspektionen ser även allvarligt på de brister som har framkommit när det gäller Xxxx arbete mot penningtvätt och finansiering av terrorism. Xxxxxxxxx har till sitt slag varit sådana att de konkreta riskerna för att Aros kunde ha använts för penningtvätt har varit stora. Det gäller inte minst Aros bristfälliga hantering och bedömning av högriskkunder.
Enligt Finansinspektionen är alltså flera av de överträdelser som Xxxx har gjort sig skyldigt till av allvarlig karaktär, även om det också finns överträdelser som i sig är mindre allvarliga.
Särskilt om den verkställande direktörens roll
Som framgår ovan anser Xxxx att den tidigare verkställande direktören har haft en avgörande betydelse för bristen på resurser, för att åtgärder och resurser har kommit för sent och för andra problem i verksamheten, som Xxxx menar att styrelsen inte har fått full vetskap om.
Finansinspektionen kan konstatera att det har framkommit omständigheter, bland annat genom den externa granskning som Xxxx lät utföra, som gör att det inte finns anledning att ifrågasätta att det förekommit missförhållanden kopplade till Xxxx tidigare verkställande direktör (se avsnitt 1.3). Det framgår också av bland annat styrelseprotokoll att styrelsen har diskuterat, och i viss utsträckning agerat, för att hantera problem i verksamheten.
Dessa förhållanden innebär dock inte att bolagets ansvar för de överträdelser som har ägt rum blir mindre, särskilt som det är styrelsen – där även den tidigare verkställande direktören ingick – som har det yttersta ansvaret för regelefter- levnaden. Det som Aros anför om förhållandena kring bolagets tidigare verk- ställande direktör utgör därför inte en sådan särskild omständighet som bör ges betydelse för bedömningen av överträdelsernas allvar i detta fall.
Övriga omständigheter
Finansinspektionen har inte tidigare ingripit mot Aros. Det finns alltså ingen överträdelse som ska beaktas i försvårande riktning enligt 15 kap. 1 c § första stycket LBF.
I förmildrande riktning ska Finansinspektionen beakta om det undersökta kredit- institutet i väsentlig mån har underlättat inspektionens utredning genom ett aktivt samarbete och snabbt har upphört med överträdelsen sedan den anmälts till eller påtalats av inspektionen (15 kap. 1 c § andra stycket LBF). Enligt Finansin- spektionens uppfattning har Xxxx inte samarbetat mer än vad som rimligen kan förväntas av ett företag under tillsyn. Vad som har framkommit i denna del är därför inte något som bör påverka valet av ingripande (se prop. 2013/14:228 s.
241).
Det finns alltså inte några sådana omständigheter som talar i försvårande eller förmildrande riktning i den mening som avses i 15 kap. 1 c § LBF.
Det är tillräckligt att ge Aros en varning
Sammantaget anser Finansinspektionen att de överträdelser som Xxxx har gjort sig skyldigt till har innefattat betydande risker, inte minst för penningtvätt och osund kreditgivning. Överträdelserna har dessutom i förlängningen kunnat påverka förtroendet för det finansiella systemet och därför ska de bedömas som allvarliga. Det gäller även om det inte har framkommit att det skulle ha uppstått några skador till följd av överträdelserna, till exempel för Aros kunder, eller några konkreta effekter på det finansiella systemet. Inte heller det förhållandet att riskerna inte har förverkligats, till exempel genom ökade kreditförluster, föränd- rar detta.
Vid denna bedömning står valet mellan att återkalla Xxxx tillstånd och att, om det är tillräckligt, ge Aros en varning. Att återkalla tillståndet för ett företag är ett mycket kraftigt ingripande och får inte ske utan starka skäl. Varning kan till- gripas när förutsättningar för återkallelse i och för sig finns, men när en varning i det särskilda fallet framstår som en tillräcklig åtgärd. Omständigheter som kan göra att en varning framstår som tillräckligt är att företaget inte kan befaras upprepa överträdelsen och att prognosen för bolaget därför är god (prop.
2002/03:139 s. 382 och 383).
Xxxx har redogjort för fler än 260 åtgärder som bolaget har vidtagit och planerar att vidta för att komma till rätta med de identifierade bristerna inom samtliga områden som Finansinspektionen har granskat. Redogörelsen omfattar, utöver åtgärder för att komma till rätta med själva bristerna, åtgärder i form av förstärk- ningar och förändringar av organisationen, bland annat genom flera rekryteringar inom både den första och andra försvarslinjen samt genom inrättande av en särskild funktion för penningtvättsarbete. Xxxx har också arbetat för att stärka bolagets riskkultur och med utbildningsinsatser. I februari 2022 avgick dessutom Aros tidigare verkställande direktör och en ny verkställande direktör utsågs.
Vidare har tre ledamöter som satt i styrelsen under undersökningsperioderna ersatts med tre nya ledamöter.
Såvitt Finansinspektionen kan bedöma har Aros kommit långt i sina åtgärder och har därigenom visat en förmåga att faktiskt genomföra nödvändiga förändringar. Finansinspektionens sammantagna bedömning är att de vidtagna och planerade åtgärderna framstår som relevanta och att de påtagligt kommer att minska risken för likartade eller nya regelöverträdelser. Finansinspektionen stannar därför vid bedömningen att prognosen för att Aros i fortsättningen ska följa regelverket är så god att det är tillräckligt att meddela Aros en varning i förening med en kännbar sanktionsavgift.
6.4 Sanktionsavgiftens storlek
Finansinspektionen får förena en anmärkning eller varning med en sanktions- avgift enligt 15 kap. 7 § LBF. Sanktionsavgiften ska enligt 15 kap. 8 § LBF fastställas till lägst 5 000 kronor och högst till det högsta av
1. tio procent av ett kreditinstituts omsättning eller, i förekommande fall, motsvarande omsättning på koncernnivå närmast föregående räkenskapsår,
2. två gånger den vinst som kreditinstitutet gjort till följd av regelöverträdelsen om beloppet går att fastställa, eller
3. ett belopp motsvarande fem miljoner euro.
Avgiften får inte vara så stor att institutet därefter inte uppfyller kraven enligt 6 kap. 1 § LBF, det vill säga att avgiften inte får vara så stor att institutets förmåga att fullgöra sina förpliktelser äventyras.
Det är inte möjligt att fastställa vilken vinst som Aros har gjort till följd av regel- överträdelserna. Eftersom ett tak för sanktionsavgiftens storlek utifrån omsätt- ningen kommer att överstiga ett belopp motsvarande fem miljoner euro ska det maximala beloppet för sanktionsavgiften bestämmas utifrån omsättningen. Aros ingår i en koncern och taket för sanktionsavgiften ska bestämmas med utgångs- punkt i koncernens omsättning för 2022, det vill säga det närmast föregående räkenskapsåret. Aros omsättning räkenskapsåret 2022 var 645 miljoner kronor, medan motsvarande omsättning på koncernnivå var 657 miljoner kronor. Det högsta beloppet som sanktionsavgiften kan fastställas till är därmed 65,7 miljo- ner kronor, vilket motsvarar tio procent av koncernens omsättning.
Sanktionsavgiftens storlek ska ses som en gradering av överträdelserna. När sanktionsavgiften fastställs ska, enligt 15 kap. 9 § LBF, särskild hänsyn tas till sådana omständigheter som anges i 1 b och 1 c §§ samt till kreditinstitutets finansiella ställning och, om det går att fastställa, till den vinst som institutet har gjort till följd av regelöverträdelsen.
Finansinspektionen redogör i det föregående avsnittet för inspektionens bedömning av överträdelserna. De omständigheter som inspektionen har tagit upp där beträffande valet av sanktion är sådana som också ska beaktas när sanktionsavgiftens storlek bestäms. Som inspektionen konstaterat rör det sig om både många och långvariga överträdelser mot bland annat bestämmelser som är viktiga för att i förlängningen säkerställa den finansiella stabiliteten i såväl enskilda institut som i stort. Flera av överträdelserna har dessutom inneburit en ökad risk för penningtvätt. Det finns därför skäl att ge Aros en kännbar sanktionsavgift. Mot denna bakgrund och med beaktande av Aros finansiella ställning anser Finansinspektionen att överträdelserna svarar mot en sanktions- avgift på 45 miljoner kronor.
Finansinspektionen bedömer att sanktionsavgiften är väl avvägd och proportionerlig. Den är inte så stor att Xxxx på grund av avgiften inte uppfyller sina soliditets- och likviditetskrav enligt 6 kap. 1 § LBF.
Sanktionsavgiften tillfaller staten och faktureras av Finansinspektionen när beslutet har vunnit laga kraft.
FINANSINSPEKTIONEN
Xxxx-Xxxx Xxxxxxxxx
Styrelseordförande
Xxxxxxxxx Xxxxxxxx Xxxxxxx Xxxxx
Xxxxxx jurist Senior jurist
Beslut i detta ärende har fattats av Finansinspektionens styrelse (Xxxx-Xxxx Xxxxxxxxx, ordförande, Xxxxxxx Xxx, Xxxxxxx Xxxxxxx, Xxxxxxxxx Xxxxxxx och Xxxxxx Xxxx, generaldirektör) efter föredragning av de seniora juristerna Xxxxxxxxx Xxxxxxxx och Xxxxxxx Xxxxx. I den slutliga handläggningen av ärendet har även chefsjuristen Xxxx Xxxxxxxxx, enhetschefen Xxxxx Xxxxxx, rådgivaren Xxxxxx Xxxxxx, den seniora juristen Xxxx Xxxxxxxx, rådgivaren Xxxx Xxxxxxx Xxxxxxxxxxx och den seniora finansinspektören Xxxx Xxxx deltagit.
Bilaga – Hur man överklagar
Kopia: Aros Kapital AB:s verkställande direktör
Delgivningskvitto
FI dnr 20-26363
Varning och sanktionsavgift
Handling:
Beslut om varning och sanktionsavgift för Aros Kapital AB meddelat den 13 december 2023.
Jag har i dag, i egenskap av behörig firmatecknare eller ombud, tagit emot handlingen.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Datum Namnteckning
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Namnförtydligande
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Eventuellt ny adress
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Genom att skriva under delgivningskvittot bekräftar du bara att du har tagit emot handlingen. Det är inte ett bevis på att du godkänner innehållet i den.
Det är viktigt att du skickar tillbaka kvittot till Finansinspektionen så fort som möjligt. Om du inte gör det kan vi delge dig på annat sätt, till exempel genom en stämningsman.
Glöm inte att ange vilket datum du tog emot handlingen.
Finansinspektionen
Box 7821
103 97 Stockholm
Tel x00 0 000 000 00
xxxxxxxxxxxxxxxxxx@xx.xx xxx.xx.xx
Bilaga
Hur man överklagar
Om ni anser att beslutet är felaktigt kan ni överklaga det genom att skriva till förvaltningsrätten. Ställ överklagandet till Förvaltningsrätten i Stockholm, men skicka det till Finansinspektionen, Xxx 0000, 000 00 Xxxxxxxxx, eller till xxxxxxxxxxxxxxxxxx@xx.xx.
Ange följande i överklagandet:
• Namn, personnummer eller organisationsnummer, postadress, e-postadress och telefonnummer
• Vilket beslut ni överklagar och ärendets nummer
• Vilken ändring ni vill ha och varför ni anser att beslutet ska ändras.
Om ni anlitar ett ombud, ska ombudets namn, postadress, e-postadress och telefonnummer anges.
Överklagandet ska ha kommit in till Finansinspektionen inom tre veckor från den dag ni fick del av beslutet.
Om överklagandet har kommit in i rätt tid kommer Finansinspektionen att pröva om beslutet ska ändras och sedan skicka överklagandet, handlingarna i det överklagade ärendet och eventuellt nytt beslut till Förvaltningsrätten i Stockholm.