B E S L U T
2020-06-25
B E S L U T
Skandinaviska Enskilda Banken AB FI Dnr 19-8698
genom styrelsens ordförande Delgivning nr 1 106 40 STOCKHOLM
Anmärkning och sanktionsavgift
Finansinspektionens beslut (att meddelas den 25 juni 2020 kl. 15.00)
1. Finansinspektionen ger Skandinaviska Enskilda Banken AB (502032- 9081) en anmärkning.
(15 kap. 1 § lagen [2004:297] om bank- och finansieringsrörelse)
2. Skandinaviska Enskilda Banken AB ska betala en sanktionsavgift på 1 000 000 000 kronor.
(15 kap. 7 § lagen om bank- och finansieringsrörelse)
Hur man överklagar, se bilaga 1.
Sammanfattning
Skandinaviska Enskilda Banken AB (SEB AB eller banken) är ett bankaktiebolag som har tillstånd att driva bankrörelse enligt lagen (2004:297) om bank- och finansieringsrörelse.
Finansinspektionen har undersökt hur SEB AB har följt reglerna om styrning och kontroll när det gäller åtgärder mot penningtvätt i bankens dotterbanker i Estland, Lettland och Litauen. Undersökningen omfattar perioden från och med 2015 till och med första kvartalet 2019.
Finansinspektionen har inte undersökt hur de baltiska dotterbankerna har följt de lokala penningtvättsregelverken. Undersökningen tar heller inte upp frågan om det har förekommit penningtvätt i de baltiska dotterbankerna och i så fall i vilken utsträckning.
Finansinspektionen bedömer att brister i de baltiska dotterbankerna kan medföra risker såväl på gruppnivå som på institutsnivå för SEB AB, och att banken måste hantera sådana risker.
Finansinspektionen
Box 7821
SE-103 97 Stockholm
[Xxxxxxxxxxx 0]
Tel x00 0 000 000 00
Fax x00 0 00 00 00
xxxxxxxxxxxxxxxxxx@xx.xx xxx.xx.xx
Utländska kunder har i delar av den baltiska verksamheten svarat för en väsentlig del av dotterbankernas affärsvolymer, i synnerhet i fråga om inlåning. Volymerna har minskat under undersökningsperioden. En stor del av volymerna från utländska kunder kommer från kunder som dotterbankerna själva har klassificerat som hög risk. För kategorin inhemska kunder med utländska verkliga huvudmän hade den estniska dotterbanken inte någon information om verkliga huvudmän i sökbara datafält före 2016, vilket har gjort det svårt att analysera exponeringarna mot utländska verkliga huvudmän. Det står dock klart att även inom denna kundkategori kommer en väsentlig del av transaktionsvolymerna från kunder som dotterbankerna själva har klassificerat som hög risk, särskilt i den estniska dotterbanken.
Delar av verksamheten i SEB AB:s dotterbanker har varit utsatt för förhöjd risk för penningtvätt, inte bara till följd av den allmänt förhöjda risknivån beroende på det geografiska läget, utan också genom sammansättningen av dotterbankernas kundförbindelser. Det har därför varit särskilt angeläget att utforma ändamålsenliga åtgärder mot penningtvätt.
Finansinspektionens undersökning visar att SEB AB inte har haft tillräcklig styrning och kontroll av de baltiska dotterbankerna när det gäller åtgärder mot penningtvätt. SEB AB har inte identifierat och hanterat de högre regelefterlevnads- och ryktesrisker som vissa av de utländska kunderna och de inhemska kunderna med utländska verkliga huvudmän har inneburit för gruppen. SEB AB har återkommande fått information om brister i vissa av de centrala grundpelarna i arbetet mot penningtvätt i de baltiska dotterbankerna, men har inte vidtagit tillräckliga åtgärder. Vidare visar undersökningen att dotterbankerna inte har haft tillräckliga resurser i sitt arbete mot penningtvätt. SEB AB har således inte uppfyllt de krav som finns på banken.
Xxxxxxxxx har varit sådana att Finansinspektionen bedömer att det finns skäl att ingripa mot SEB AB. De konstaterade överträdelserna är inte ringa men inte heller så allvarliga att det finns anledning för Finansinspektionen att överväga att återkalla bankens tillstånd eller att meddela banken en varning.
Finansinspektionen ger därför SEB AB en anmärkning, som ska förenas med en sanktionsavgift på 1 000 000 000 kronor.
Innehåll
1.1 Banken, koncernen och dess verksamhet 4
3.1 Det riskbaserade förhållningssättet i penningtvättsregelverket 6
3.2.2 Särskilt om penningtvättsrisker 9
3.3 Moderbanken och penningtvättsrisker i en dotterbank 11
3.3.1 Moderbankens ansvar att styra sina dotterbanker 11
3.3.2 Moderbankens skyldighet att hantera risker på institutsnivå 17
4.1 Exponeringar av risker kopplade till vissa grupper av kunder och transaktioner 18
4.1.1 Dotterbankernas exponeringar mot utländska kunder 18
4.1.2 En väsentlig del av transaktionsvolymerna hänförliga till utländska kunder kommer från kunder klassificerade som hög risk 19
4.1.3 Inhemska kunder med utländska verkliga huvudmän 20
4.1.4 Finansinspektionens bedömning av riskexponeringen utifrån aggregerad data 21
4.2 Styrning och kontroll av de baltiska dotterbankerna 23
4.2.1 Bristande identifiering av regelefterlevnads- och rykterisker 24
4.2.2 SEB AB vidtog inte tillräckliga åtgärder 33
4.2.3 Funktionen för regelefterlevnads resurser och oberoende 41
5 Överväganden om ingripande 47
5.1 Tillämpliga bestämmelser 47
5.3 Bedömning av överträdelserna 49
Bilaga 1 – Hur man överklagar 55
1 Bakgrund
1.1 Banken, koncernen och dess verksamhet
Skandinaviska Enskilda Banken AB (SEB AB, banken eller moderbanken) är ett svenskt bankaktiebolag som har tillstånd att bland annat driva bankrörelse enligt lagen (2004:297) om bank- och finansieringsrörelse (LBF). Banken driver sin verksamhet i en matrisorganisation med fem divisioner, varav den baltiska divisionen är en.
SEB AB är också moderbank i SEB-koncernen och i bankens konsoliderade situation.1 SEB-koncernen är en fullsortimentsbank för både privat- och företagskunder i Sverige, Estland, Lettland och Litauen. I Norge, Danmark, Finland, Tyskland och Storbritannien är koncernens kunder företags- och institutionella kunder.
I november 1998 förvärvade SEB AB minoritetsposter i Eesti Ühispank, Estland och Latvijas Unibanka, Lettland samt påbörjade strategiska diskussioner med Vilniaus Bankas, Litauen. Det var sedan i samband med SEB AB:s förvärv av samtliga aktier i dessa banker 2002 som SEB-koncernen blev en av de dominerande aktörerna även på bankmarknaderna i de tre baltiska länderna. Verksamheten i de tre baltiska länderna drivs genom de tre helägda dotterbankerna AS SEB Pank i Estland, AS SEB banka i Lettland och AB SEB bankas i Litauen (de baltiska dotterbankerna). I beslutet kallas SEB AB och de baltiska dotterbankerna gemensamt för gruppen. Verksamheten i de baltiska dotterbankerna utgörs av den baltiska divisionen, som är SEB-gruppens tredje största affärsområde.2 Den baltiska divisionen stod för 13 procent av koncernens rörelseresultat år 2019.
SEB-koncernen är den näst största universalbanken i de baltiska länderna. År 2019 var dotterbankernas marknadsandelar för utlåning till allmänheten 28 procent i Estland, 19 procent i Lettland och 29 procent i Litauen.
Marknadsandelarna för utlåning till företag var 27 procent i Estland, 24 procent i Lettland och 35 procent i Litauen.
1.2 Ärendet
Finansinspektionen inledde den 15 april 2019 en undersökning med syfte att kontrollera SEB AB:s styrning och kontroll av åtgärder mot penningtvätt i de baltiska dotterbankerna.
1 SEB-koncernen består av SEB AB och dess dotterbolag medan den konsoliderade situationen består av SEB AB och de företag som ska konsolideras enligt regler i den så kallade tillsynsförordningen.
2 Avser 2019.
Undersökningen har inte behandlat frågan om hur de baltiska dotterbankerna har följt de lokala penningtvättsregelverken, eftersom det är tillsyns- myndigheterna i Estland, Lettland respektive Litauen som ansvarar för den tillsynen. Undersökningen har inte heller omfattat frågan om, och i så fall i vilken utsträckning, det kan ha förekommit penningtvätt i de baltiska dotterbankerna, eller om det finns någon grund för misstankar om det. Sådana frågor ligger inte inom Finansinspektionens ansvarsområde och myndigheten kan inte utreda sådana frågor i andra länder.
Undersökningen omfattade ursprungligen perioden från och med 2007 till och med första kvartalet 2019. Ärendet har därefter begränsats till att omfatta perioden från och med 2015 till och med första kvartalet 2019 (undersökningsperioden). De bedömningar som Finansinspektionen gör i detta beslut gäller alltså endast den senare perioden.
Inom ramen för undersökningen genomförde Finansinspektionen ett platsbesök hos SEB AB. Platsbesöket inleddes den 13 maj 2019 och avslutades den
20 juni 2019. Finansinspektionen vidtog även utredningsåtgärder hos banken efter att platsbesöket avslutats. Finansinspektionen genomförde också intervjuer vid totalt sju tillfällen med representanter från bankens kontrollfunktioner, ledning och styrelse.
Finansinspektionen skickade den 15 respektive 16 juli 2019 två avstämningsskrivelser3 till SEB AB. Den första skrivelsen gällde bankens styrning och kontroll av åtgärder mot penningtvätt i de baltiska dotterbankerna. Den andra avstämningsskrivelsen var en avstämning av inhämtad data som Finansinspektionen hade begärt inom ramen för undersökningen. Banken svarade på avstämningsskrivelserna den 2 september 2019.
Den 24 januari 2020 skickade Finansinspektionen en begäran om yttrande till SEB AB. Banken fick därigenom möjlighet att yttra sig över Finansinspektionens iakttagelser och preliminära bedömningar samt över myndighetens överväganden om att ingripa mot banken. SEB AB yttrade sig den 24 februari 2020. Därefter har Finansinspektionen inhämtat kompletterande material från banken och gett banken ytterligare tillfälle att yttra sig i vissa frågor.
Undersökningen är en av flera tillsynsaktiviteter som har utförts i samarbete mellan tillsynsmyndigheterna i Sverige, Estland, Lettland och Litauen.
Finansinspektionen har inte undersökt styrning, riskhantering och kontroll av åtgärder mot finansiering av terrorism eller efterlevnad av EU:s sanktionsförordningar.
3 En avstämningsskrivelse är en skrivelse som Finansinspektionen skickar till ett undersökt företag för att kontrollera fakta.
2 Tillämpliga bestämmelser
Av 6 kap. 2 § LBF framgår att ett kreditinstitut ska identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som dess rörelse är förknippad med. Institutet ska se till att det har en tillfredsställande intern kontroll.
Av 3 kap. 4 § lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag (tillsynslagen) framgår att ett moder- eller dotterföretag som står under tillsyn enligt lagen, på grupp- eller undergruppsnivå ska uppfylla kraven i 6 kap. 2 § första stycket LBF.
Av 1 kap. 1 § fjärde stycket Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:1) om styrning, riskhantering och kontroll i kreditinstitut (SRK) framgår att föreskrifterna ska, i enlighet med vad som gäller enligt 3 kap. 4 § tillsynslagen, tillämpas på grupp- eller undergruppsnivå.
Av 6 kap. 3 § SRK framgår att en kontrollfunktion ska ha de resurser som krävs samt tillgång till den information som behövs för att kunna fullgöra sina uppgifter. En sådan funktion ska ha personal med den kunskap som krävs samt de befogenheter som behövs för att den ska kunna fullgöra sina uppgifter.
Av 6 kap. 6 § 1 och 2 SRK framgår att en kontrollfunktion ska vara oberoende och för att den ska anses vara det ska den bland annat vara organisatoriskt skild från de funktioner och områden som den ska övervaka och kontrollera. Dess personal ska inte utföra några uppgifter som ingår i verksamheten som personalen ska övervaka och kontrollera.
Av 6 kap. 7 § SRK framgår att en kontrollfunktion regelbundet, minst årligen, ska rapportera om väsentliga brister och risker till styrelsen, riskutskottet, om ett sådant har inrättats, och den verkställande direktören. Rapporterna ska följa upp tidigare rapporterade brister och risker och redogöra för varje ny identifierad väsentlig brist och risk. En konsekvensanalys och en rekommendation till åtgärder ska även ingå i rapporten. Styrelsen, riskutskottet och den verkställande direktören ska så snart som möjligt vidta lämpliga åtgärder med anledning av kontrollfunktionens rapport.
3 Utgångspunkter
3.1 Det riskbaserade förhållningssättet i penningtvättsregelverket
SEB AB omfattas av begreppet verksamhetsutövare i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen) och av begreppet företag i Finansinspektionens föreskrifter (FFFS 2017:11) om åtgärder mot penningtvätt och finansiering av terrorism. För att förenkla framställningen anges i det följande vad som gäller för en bank enligt penningtvättsregelverket, även om bestämmelserna även gäller andra verksamhetsutövare respektive företag.
Penningtvätt är en brottslig aktivitet, som innebär att kriminella utnyttjar banker och andra företag för att göra illegala vinster tillgängliga för konsumtion och placeringar.
Penningtvättsregelverket syftar till att förhindra att finansiell verksamhet utnyttjas för penningtvätt och finansiering av terrorism samt att försvåra för kriminella att missbruka det finansiella systemet för sådana aktiviteter. En bank måste hantera risker relaterade till penningtvätt och finansiering av terrorism på ett ändamålsenligt sätt. Om den inte gör det kan det, utöver att det kan öppna möjlighet för kriminella att tvätta pengar, leda till bristande förtroende för den enskilda banken och i förlängningen för hela den svenska finansmarknaden, både bland svenska konsumenter och bland aktörer i andra länder som gör affärer med eller via svenska finansiella institut. Detta kan i sin tur bidra till att försämra Sveriges anseende. Regelverket utgår från ett riskbaserat förhållningssätt, vilket innebär att banker ska vidta åtgärder som står i proportion till de risker för penningtvätt och finansiering av terrorism som de är utsatta för.
För att en bank ska kunna hantera sina risker måste den göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt och finansiering av terrorism samt hur stor risken är att så faktiskt sker (allmän riskbedömning). Bankerna ska i sina bedömningar särskilt beakta bland annat vilka kunder och distributionskanaler som finns och vilka geografiska riskfaktorer som finns. Den enskilda banken ska således identifiera, förstå och bedöma riskerna för att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism. Den allmänna riskbedömningen ska utformas så att den kan ligga till grund för bankens rutiner och riktlinjer och övriga åtgärder mot penningtvätt. En bristfällig riskbedömning får negativa konsekvenser för den enskilda bankens prioriteringar av resurser och för utformningen av rutiner för bland annat kundkännedom och granskning av transaktioner. De olika momenten är således kopplade till varandra, på så sätt att brister i ett moment riskerar att medföra brister i ett annat. Utöver bankens allmänna riskbedömning ska banken också bedöma risken som är förknippad med den enskilda kunden och affärsförbindelsen (kundens riskprofil).
För att kunna ha god kunskap om sina kunder ska banker vidta åtgärder för att uppnå kundkännedom när en affärsförbindelse etableras. Med affärsförbindelse avses en affärsmässig förbindelse som när den etableras förväntas ha en viss varaktighet, men den kan också uppstå genom parternas faktiska handlande. En bank får inte etablera eller upprätthålla en affärsförbindelse eller utföra en enstaka transaktion, om inte banken har tillräcklig kännedom om kunden för att kunna hantera risken för penningtvätt som kan förknippas med kundrelationen. Om risken för penningtvätt eller finansiering av terrorism är hög ska banken vidta skärpta åtgärder för att uppnå kundkännedom. De handlingar som har samlats in och uppgifter om vilka åtgärder som har vidtagits för att uppnå kundkännedom ska bevaras på ett säkert sätt hos bankerna.
Bankerna ska vidare övervaka sina affärsförbindelser och transaktioner för att kunna upptäcka sådana aktiviteter och transaktioner som kan misstänkas utgöra ett led i penningtvätt eller finansiering av terrorism. Om misstanken efter närmare analys kvarstår, ska uppgifter om alla omständigheter som kan tyda på penningtvätt eller finansiering av terrorism utan dröjsmål lämnas till Finanspolisen, som inom Polismyndigheten ansvarar för underrättelse- verksamhet på området.
3.2 Risker
Den risk som regleras i penningtvättslagen är alltså risken för att banken utnyttjas för penningtvätt. Risken kallas också för penningtvättsrisk. För att motverka penningtvätt lägger lagar och föreskrifter ett ansvar på bland annat finansiella företag att själva bedöma, begränsa och övervaka sina penningtvättsrisker.
Det finns krav på att banker ska identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som dess rörelse är förknippad med, enligt 6 kap. 2 § LBF. Med risk avses sannolikheten för att en händelse som ogillas inträffar (prop. 2002/03:139 s. 278). För en bank kan risk på ett övergripande plan sägas vara faran för ekonomisk skada.
Brister i en banks arbete mot penningtvätt kan innebära regelefterlevnads- risker. Detta är risker associerade med att banken inte följer gällande regelverk och de följder som detta i sin tur kan leda till, exempelvis sanktioner och andra bestraffningar från myndigheter såsom förbud att driva vissa verksamheter eller indragna tillstånd för hela eller delar av verksamheten. Bankerna måste hantera regelefterlevnadsriskerna inom sina riskhanteringssystem (se vidare avsnitt 3.3).
Ett annat exempel på en sådan risk är ryktesrisk. Med ryktesrisk avses en risk som kan antas leda till ett minskat förtroende för banken, och i förlängningen ekonomisk skada för banken. Ryktesrisk kan, om den realiseras – det vill säga om det goda ryktet eller anseendet faktiskt skadas – exempelvis leda till att bankens aktiekurs sjunker eller att banken förlorar kunder, samarbetspartner och personal och får svårigheter att attrahera sådana. Ryktesrisk kan också leda till att bankens verksamhet, eller delar av den, påverkas. Beroende på ryktesriskens orsaker kan den medföra att bankens finansiering blir dyrare, och i värsta fall kan banken få svårt att finansiera sig på marknaden. En bank som utnyttjas, eller misstänks utnyttjas, för penningtvätt löper risken att kunderna och andra intressenter samt allmänheten i stort tappar förtroendet för banken.
Ett sådant scenario kan uppstå utan att det ens finns konkreta misstankar om att banken verkligen utnyttjas för penningtvätt, utan det kan räcka med att det
framkommer brister i arbetet mot penningtvätt som kan öka penningtvätts- risken. Ryktesrisken måste banken hantera inom sitt riskhanteringssystem på samma sätt som alla andra risker som dess rörelse är förknippad med.
Det kan många gånger finnas en koppling mellan regelefterlevnadsrisker och ryktesrisker på så sätt att en bank som brister i regelefterlevnad och blir föremål för utredning, och kanske ett ingripande, från en myndighet också drabbas av ryktesförlust.
3.2.2 Särskilt om penningtvättsrisker
Av artikel 8.1 i EU:s fjärde penningtvättsdirektiv4 (det fjärde penningtvättsdirektivet) framgår det bland annat att banker ska vidta lämpliga åtgärder för att identifiera och bedöma riskerna för penningtvätt och finansiering av terrorism. Bankerna ska då beakta riskfaktorer som rör deras kunder, länder eller geografiska områden, produkter, tjänster, transaktioner eller distributionskanaler. Åtgärderna ska stå i proportion till verksamhetsutövarens storlek och art. För svenskt vidkommande har bestämmelsen genomförts genom 2 kap. 1 § penningtvättslagen.
Regionala penningtvättsrisker
Banker och andra företag som omfattas av penningtvättsregelverket har ett ansvar att identifiera och hantera de penningtvättsrisker de exponeras för. Flera svenska banker är stora i Norden och i de baltiska länderna, och Sverige är ett finanscentrum för regionen. Arbetsgruppen för finansiella åtgärder (FATF)5 pekar särskilt ut detta som en sårbarhet för penningtvättsrisker.6 Det innebär att både svenska myndigheter och företag måste förstå och ta hänsyn till de regionala penningtvättsriskerna i Sverige och dess närområde.
I likhet med Sverige och många andra länder är de baltiska länderna exponerade för penningtvättsrisker kopplade till utlandet. Det gäller särskilt för exponeringar hänförliga till närliggande länder i regionen, inklusive medlemsländerna i organisationen för före detta Sovjetstater (OSS)7 som enligt Europarådets expertkommitté för utvärdering av åtgärder mot penningtvätt och
4 Europaparlamentets och rådets direktiv (EU) 2015/849 av den 20 maj 2015 om åtgärder för att förhindra att det finansiella systemet används för penningtvätt eller finansiering av terrorism, om ändring av Europaparlamentets och rådets förordning (EU) nr 648/2012 och om upphävande av Europaparlamentets och rådets direktiv 2005/60/EG och kommissionens direktiv 2006/70/EG.
5 Financial Action Task Force (FATF) är ett mellanstatligt organ som har som syfte att fastställa standarder och främja ett effektivt genomförande av lagliga, lagstiftande och operativa åtgärder för att bekämpa penningtvätt, finansiering av terrorism och andra relaterade hot mot det internationella finansiella systemets integritet.
6 FATF, Anti-money laundering and counter-terrorist financing measures, Mutual evaluation report Sweden, april 2017.
7 Oberoende staters samvälde (OSS) består av en majoritet av de tidigare Sovjetrepublikerna.
finansiering av terrorism (Moneyval) är sårbara för ekonomisk brottslighet, till exempel korruption. Moneyvals utvärdering av Lettland framhåller bland annat att Lettlands geografiska position och landets medlemskap i EU, i kombination med lettiska finansiella företags förmåga att erbjuda tjänster på ryska, gör Lettland särskilt attraktivt för utländska kunder från grannländer i regionen.8 Enligt Moneyvals utvärderingsrapport av Estland från 2014, lyfter riskbedömningar från den estniska tillsynsmyndigheten och finansunderrättelseenheten fram att finansiella företags affärer med kunder från vissa grannländer är en av de största penningtvättsriskerna i landet.9
Utländska kunder kan innebära högre penningtvättsrisk
Såväl det fjärde penningtvättsdirektivet som de europeiska tillsyns- myndigheternas gemensamma riktlinjer för riskfaktorer10 (de gemensamma riktlinjerna för riskfaktorer) anger exempel på riskdrivande faktorer som banker ska ta hänsyn till inom ramen för riskbedömningen. Bland dessa exempel kan nämnas att länder som har betydande korruption eller annan brottslighet, liksom länder som är föremål för sanktioner, embargon eller liknande åtgärder, anges som situationer med potentiellt högre risk.11 Ytterligare faktorer som kan bidra till att öka risken är affärsförbindelser utan personliga kontakter, kunder som inte är bosatta i landet och om kunden bor i eller får sina medel från verksamhet i en jurisdiktion som förknippas med förhöjd risk för penningtvätt.12
Det framgår vidare av artikel 13 i det fjärde penningtvättsdirektivet att banker ska vidta åtgärder för att leva upp till kraven på kundkännedom, bland annat genom att bedöma affärsrelationens syfte. Bestämmelsen har för svenskt vidkommande genomförts genom 3 kap. 12 § penningtvättslagen. Det är särskilt relevant för utländska kunder som inte har en tydlig koppling till bankernas lokala marknader, eftersom de som nämnts, kan utgöra en högre risk för penningtvätt. Med utländska kunder avses här privatpersoner som är bosatta, eller företag som är registrerade, i ett annat land än det där banken är etablerad.
I likhet med utländska kunder kan inhemska kunder med utländska verkliga huvudmän också utgöra en högre risk för penningtvätt. Genom att etablera ett lokalt företag i det land där bankkontakten söks, kan det framstå som att den
8 Moneyval, 2018, Fifth Round Mutual Evaluation Report, Anti-money laundering and counter-terrorist financing measures, Latvia, s. 8.
9 Xxxxxxxx, 2014, Report on Fourth Assessment Visit, Anti-Money Laundering and Combating the Financing of Terrorism, Estonia, s. 9, 18 och 105.
10 Gemensamma riktlinjer enligt artiklarna 17 och 18.4 i direktiv (EU) 2015/849 om förenklade och skärpta åtgärder för kundkännedom och de faktorer som kreditinstitut och finansiella institut ska beakta när de bedömer den risk för penningtvätt och finansiering av terrorism som sammanhänger med enskilda affärsförbindelser och enstaka transaktioner, 2018-01-04.
11 Se artikel 18.3 och Bilaga III 3 b och c i det fjärde penningtvättsdirektivet.
12 De gemensamma riktlinjerna för riskfaktorer, p. 104, 147 och 148.
utländska kunden är inhemsk. När kontrollen över företaget, genom direkt ägande eller genom en kedja av företag, behålls av en verklig huvudman i ett annat land, innebär dock företaget en liknande risk som om det hade varit registrerat i samma land som den verkliga huvudmannen. Enligt FATF är ett vanligt tillvägagångssätt för kriminell verksamhet att registrera, äga och driva företag i flera olika länder och därmed försvåra transparens och kontroll.13
Stora volymer kan innebära förhöjd penningtvättsrisk
Av de gemensamma riktlinjerna för riskfaktorer framgår också att de stora volymerna av transaktioner och affärsförbindelser hos banker som tillhandahåller banktjänster till privatpersoner och små och medelstora företag, gör verksamheten sårbar för penningtvätt. Mängden transaktioner och affärsförbindelser kan göra det särskilt utmanande att identifiera risker för penningtvätt som sammanhänger med enskilda affärsförbindelser och att upptäcka misstänkta transaktioner. Vidare framgår bland annat att ovanligt stora volymer eller högt värde på transaktionerna kan bidra till att öka risken för penningtvätt.14
3.3 Moderbanken och penningtvättsrisker i en dotterbank
3.3.1 Moderbankens ansvar att styra sina dotterbanker
Enligt 6 kap. 2 § första stycket LBF ska ett kreditinstitut identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som dess rörelse är förknippad med. Institutet ska också se till att det har en tillfredställande intern kontroll.
Som framgår i avsnitt 3.2.1 kan en risk sägas vara sannolikheten för att en händelse som ogillas inträffar, och för ett kreditinstitut kan risk på ett övergripande plan sägas vara faran för ekonomisk skada. Med en sådan riskdefinition finns det en mängd risker i de olika verksamheter som ett kreditinstitut kan ägna sig åt. Av förarbetena till LBF framgår att rörelsereglerna bör ta sikte på att begränsa det totala risktagandet, och att huvudambitionen med reglerna bör vara att instituten bygger upp fungerande system för riskhantering. Det handlar om att identifiera vilka risker det rör sig om, styra rörelsens utveckling och aktivt utnyttja riskreducerande möjligheter. En grundläggande beståndsdel i ett bra riskhanteringssystem är fungerande informationsvägar (prop. 2002/03:139 s. 278).
Bestämmelsen i 6 kap. 2 § första stycket LBF är en rambestämmelse som i flera avseenden preciseras av bestämmelser i SRK. SRK innehåller bestämmelser om bland annat
• allmänna organisatoriska krav (2 kap.),
13 FATF Guidance ”Transparency and Beneficial Ownership” s. 6, oktober 2014.
14 De gemensamma riktlinjerna för riskfaktorer kapitel 2, bland annat p. 96–98.
• styrelsens och verkställande direktörens ansvar (3 kap.),
• riskhantering och riskrapportering (5 kap.),
• oberoende kontrollfunktioner och deras rapporteringsskyldigheter, samt styrelsens och verkställande direktörens skyldighet att vidta åtgärder med anledning av kontrollfunktionernas rapportering (6 kap.), samt
• en oberoende funktion för regelefterlevnad (8 kap.).
Det framgår av 3 kap. 4 § tillsynslagen att moder- eller dotterföretag som står under tillsyn enligt lagen, på grupp- eller undergruppsnivå ska uppfylla kraven i 6 kap. 2 § första stycket LBF. På motsvarande sätt anges i 1 kap. 1 § fjärde stycket SRK att föreskrifterna, i enlighet med vad som gäller enligt 3 kap. 4 § tillsynslagen ska tillämpas på grupp- eller undergruppsnivå.
Som framgår av avsnitt 1.1 är SEB AB moderbank i SEB-koncernen och i bankens konsoliderade situation (gruppen). I både koncernen och den konsoliderade situationen ingår bland annat moderbanken och de baltiska dotterbankerna, vilka ägs till 100 procent av moderbanken. Det faktum att 6 kap. 2 § första stycket LBF samt SRK gäller på gruppnivå innebär att moderbanken har ett ansvar för riskhanteringen på så kallad gruppnivå,
inklusive styrning och kontroll. Xxxxxxxxxxx ansvarar för att se till att banken och koncernen är organiserad på ett sätt som krävs för att banken löpande ska kunna styra och ha kontroll över de risker som banken på gruppnivå är eller kan bli exponerad för, genom ägandet av dotterbankerna.
Finansinspektionen anser att misstanke om, eller förekomst av, brister i arbetet mot penningtvätt i en dotterbank, kan innebära regelefterlevnads- och ryktesrisker som moderbanken måste hantera enligt 6 kap. 2 § LBF. Detta ansvar innebär bland annat att moderbanken måste identifiera riskerna i dotterbankerna och se till att dotterbankerna vidtar åtgärder för att hantera sina risker och brister. Om moderbanken tar emot rapporter om brister och risker i dotterbankerna, måste moderbanken agera och får inte förhålla sig passiv. Om moderbanken exempelvis inrättar en koncerngemensam kontrollfunktion, ska rapporteringsvägarna vara tydliga och effektiva, och kontrollfunktionens rapportering om till exempel brister i dotterbanken ska tas om hand av styrelsen och verkställande direktören i moderbanken.
SEB AB har i huvudsak anfört följande när det gäller tillämpningen av 6 kap. 2 § första stycket LBF, föreskrifterna i SRK, och 3 kap. 4 § tillsynslagen. I förarbetena anges att 6 kap. 2 § LBF är en rambestämmelse, vilket innebär en möjlighet och en skyldighet för de enskilda instituten att utforma risk- hanteringssystem som är anpassade efter den enskilda rörelsens behov.
Bestämmelsen är en slags generalklausul som rimligen inte kan ligga till grund för påföljd enligt legalitetsprincipen och måste fyllas ut genom regler i andra författningar. Finansinspektionen fick ett bemyndigande och har använt detta för att för att meddela SRK som konkretiserar och preciserar den närmare innebörden av rambestämmelsen i 6 kap. 2 § LBF. Utrymmet för att påstå att den allmänna bestämmelsen har överträtts utan att någon av föreskrifterna också har överträtts är mycket begränsat. Det kan under sådana förhållanden
inte komma ifråga att utdöma påföljd för överträdelse av rambestämmelsen som då bär karaktären av en generalklausul.
Finansinspektionen konstaterar i denna fråga att det av förarbetena till 6 kap. 2 § LBF tydligt framgår att bestämmelsen utgör en självständig grund för ingripande (se prop. 2002/03:139 s. 530).
SEB AB har vidare anfört att 3 kap. 4 § tillsynslagen är ett genomförande av artikel 109.2 i kapitaltäckningsdirektivet15, som syftar till att skapa förutsättningar för tillsyn genom införandet av enhetliga och väl integrerade styrformer, processer och rutiner i bolagen i en konsoliderad situation.
Direktivbestämmelsen anger alltså inte att moderbolag ska se till att dess dotterföretag uppfyller kraven i direktivet, utan detta ansvar åvilar varje enskilt bolag som ingår i den konsoliderade situationen.
SEB AB anser sammanfattningsvis att det svenska regelverket inte ger några preciserade krav avseende moderbankens styrelse och verkställande direktör som innebär att en moderbank har ett ansvar att hantera risker som uppstår i en dotterbank.
Dessutom anser SEB AB att det näringsrättsliga regelverket påverkas av de begränsningar som följer av tillämplig associationsrätt. Ett moderbolag kan inte åläggas ett ansvar för att ett dotterbolag ska uppfylla vissa krav, om inte moderbolaget har en oinskränkt rätt att besluta i frågor som rör den löpande förvaltningen i dotterbolag. SEB AB har inte en sådan rätt i förhållande till dotterbankerna. SEB AB:s eventuella skyldigheter i fråga om förvaltningen av dotterbankerna begränsas av de möjligheter som SEB AB, i sin roll som ägare, har till att utöva inflytande över dotterbankerna. Som aktieägare i dotterbankerna har SEB AB bland annat möjlighet att välja dotterbankernas styrelser. Därutöver kan SEB AB utfärda övergripande direktiv för hur dotterbankernas verksamhet ska bedrivas. Dotterbankernas styrelser är dock självständiga i förhållande till SEB AB i bemärkelsen att de enskilda styrelseledamöterna har ett eget ansvar att beakta de lagar och regler som gäller för associationsformerna i fråga. SEB AB har varken oinskränkt rätt eller möjlighet att styra förvaltningen av dotterbankerna.
Som SEB AB har påpekat är dotterbankerna från moderbanken självständiga juridiska personer med egen styrelse och ledning, som visserligen har ett ansvar för att tillvarata inte bara moderbankens intresse utan även andra intressen såsom borgenärers intressen, det faktum att moder- och dotterbankerna verkar på olika marknader, samt att de står under tillsyn av olika myndigheter. Emellertid blir, enligt Finansinspektionens bedömning, ett moderföretags ansvar särskilt påtagligt i helägda koncerner, eftersom moderföretagets intresse i sådana fall normalt bör vara detsamma som
15 Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG.
dotterföretagets intresse, och risker och brister i ett dotterföretag kan få konsekvenser för moderföretaget. I alla händelser är det uppenbart att moderbanken och en dotterbank inte kan ha motstridiga intressen när det gäller bekämpandet av penningtvätt och finansiering av terrorism. Att ett moderföretag har ett ansvar i förhållande till sina dotterföretag inom samma koncern, och särskilt i frågor som är av betydelse för att kunna bedöma de finansiella förhållandena i dotterföretagen, framgår även av rättspraxis (Se Högsta förvaltningsdomstolens avgörande i rättsfallet HFD 2013 ref. 74).
SEB-koncernens legala struktur består av ett antal juridiska personer, bland annat de tre baltiska dotterbankerna. SEB-koncernens verksamhet är organiserad i en matrisorganisation. Det finns fem divisioner. De baltiska dotterbankerna utgör den baltiska divisionen. Genom matrisorganisationen styr SEB AB sina baltiska dotterbanker i den baltiska divisionen. Banken har angett att i efterdyningarna av finanskrisen intensifierades bankens arbete med att säkerställa implementeringen av bankens riskkultur i de baltiska dotterbankerna och det fattades beslut om att bilda den baltiska divisionen.
Syftet var att därigenom förstärka gruppens styrning och riskhantering av den baltiska verksamheten. SEB AB:s matrisorganisation framgår, i relevanta delar och förenklat, av följande bild.
Anm: Streckad rapporteringslinje betyder att funktionen inte är direkt underställd styrelsen alternativt verkställande direktören men rapporterar dit.
SEB AB har anfört att banken anser att det är mycket viktigt att ha en väl fungerande styrning och kontroll av dotterbankerna. Detta är en grundläggande förutsättning för att kunna driva verksamheten på det sätt som banken önskar och upprätthålla förtroendet hos kunder, anställda, aktieägare, myndigheter och andra intressenter. Banken anser att den funktionella strukturen på
divisionsnivå i den baltiska divisionen avsevärt underlättar arbetet med att identifiera risker och ger en ökad funktionell samordning inom olika affärsområden samt inom kontrollfunktionerna. Strukturen bidrar också specifikt till arbetet för att förebygga penningtvätt. Banken har framhållit det fördelaktiga med att ha en funktionell/matrisstyrning på divisionsnivå utifrån ett penningtvättsperspektiv eftersom det möjliggör förståelse för den sammantagna risken i den baltiska divisionen. Vidare stärker det enligt banken dotterbankerna i att vidta effektiva och gemensamma åtgärder för att minska riskerna.
Vidare har banken angett att dotterbankernas styrelser, det vill säga tillsynsstyrelsen och den verkställande styrelsen, består av medlemmar utsedda av SEB AB som ensam aktieägare. Enligt banken sitter numera även två oberoende styrelsemedlemmar i tillsynsstyrelserna. Dotterbankerna har även varsin verkställande direktör utsedd av styrelsen för respektive bank.
Tillsättandet av styrelsemedlemmar och verkställande direktör i respektive bank kräver i varierande utsträckning förhandsgodkännande av styrelsen eller den verkställande direktören i SEB AB. Styrelsemedlemmar i såväl tillsynsstyrelsen som verkställande styrelsen i de baltiska dotterbankerna nomineras av den verkställande direktören i SEB AB och väljs sedan på bolagsstämman i respektive bank.
Chefen för den baltiska divisionen ingår i koncernledningen16 och rapporterar till den verkställande direktören i moderbanken. Under undersökningsperioden var chefen för divisionen även ordförande i respektive baltisk dotterbanks tillsynsstyrelse.
Bestämmelserna i SRK om hur banker ska organisera sin verksamhet bygger på de principer om tre så kallade försvarslinjer som utarbetats av Committee of Sponsoring Organizations of the Treadway Commissions (COSO).17 Den första försvarslinjen utgörs av affärsverksamheten som utför den dagliga riskhanteringen, det vill säga att den äger och hanterar risker. Den andra försvarslinjen ska vara oberoende och utgörs av funktionen för riskkontroll och funktionen för regelefterlevnad som bland annat övervakar, kontrollerar och rapporterar bankens risker och hur banken följer interna och externa regelverk. Den tredje försvarslinjen består av en oberoende internrevisionsfunktion, direkt underställd styrelsen, som bland annat ska utföra en regelbunden granskning av såväl ledning som bankens interna kontroller, kontroll- funktionernas arbete och bankens riskhantering. Funktionen för internrevisions arbete syftar även till att bidra till bestående förbättringar i verksamheten.
SEB AB har etablerat gemensamma och koncernöverskridande kontrollfunktioner. Det är funktionen för riskkontroll och funktionen för regelefterlevnad i andra försvarslinjen samt funktionen för internrevision i
16 SEB AB använder också uttrycket verkställande ledning eller Group Executive Committee.
17 Se beslutspromemorian i ärendet FI Dnr 11-5610, särskilt s. 10 och 41.
tredje försvarslinjen. Var och en av dessa funktioner har också en separat chef för de baltiska verksamheterna och även en baltisk rapporteringsnivå där frågor från varje dotterbank rapporteras.
Under undersökningsperioden har chefen för funktionen för regelefterlevnads regelbundna rapportering skett kvartalsvis direkt till verkställande direktören och styrelsens revisions- och regelefterlevnadsutskott samt årsvis till styrelsens risk- och kapitalutskott och styrelsen i SEB AB. Inom funktionen för regelefterlevnad har det även funnits lokala funktioner i respektive dotterbank som rapporterat direkt till chefen för funktionen för regelefterlevnad på koncernnivå samt till chefen för funktionen för regelefterlevnad för den baltiska divisionen. Den lokala funktionen för regelefterlevnad har också haft rapporteringsskyldighet till den lokala verkställande direktören.
Funktionen för internrevision är direkt underställd bankens styrelse. Under undersökningsperioden har chefen för funktionen för internrevisions regelbundna rapportering skett kvartalsvis till styrelsens revisions- och regelefterlevnadsutskott samt årsvis till styrelsens risk- och kapitalutskott och styrelsen i SEB AB.
Vidare framgår det av gruppens styrningsinstruktion (”Instruction on Internal Governance for the SEB Group”) att de baltiska dotterbankerna ska följa relevanta lagar och koncernens interna instruktioner och policyer. Det framgår också att den verkställande direktören i SEB AB är ansvarig för den dagliga skötseln av SEB-koncernen i enlighet med direktiv från styrelsen. Den verkställande direktören i SEB AB ska vidare se till att organisationen och administrationen av SEB-koncernen är lämplig, samt är ansvarig för att hantera alla SEB-koncernens risker i enlighet med instruktioner från styrelsen och utifrån risktoleransen.
SEB AB:s verkställande direktör utsåg i december 2017 en särskilt utsedd befattningshavare18 med ett koncernansvar vilken även ingick i koncernledningen. I november 2017 fattade den verkställande direktören i SEB AB beslut om en ny koncerngemensam organisation i första försvarslinjen för arbetet mot penningtvätt som började implementeras under 2018. Den särskilt utsedde befattningshavaren kan delegera vissa uppgifter till en gruppgemensam operativ penningtvättschef som ansvarar för en koncerngemensam funktion (”Group AML/KYC Office”). Funktionen har till uppgift att stödja och koordinera koncernens arbete inom penningtvättsområdet.
Finansinspektionen konstaterar vidare att åtminstone vissa koncern- gemensamma resursfrågor beslutas av SEB AB. Som framgår i mer detalj i avsnitt 4.2.3 har banken anfört att chefen för funktionen för regelefterlevnad på gruppnivå tillsammans med bankens särskilt utsedde befattningshavare i
18 Med särskilt utsedd befattningshavare avses en person som enligt 6 kap. 2 § första stycket 1 penningtvättslagen utsetts att ansvara för att banken genomför de åtgärder som krävs för att följa den lagen och de föreskrifter som meddelats med stöd av den.
december 2018 höll en presentation för SEB:s koncernledning och att man då tog upp de nya behov man såg i fråga om penningtvättsresurser i både första och andra försvarslinjen i koncernen, inklusive det nya behovet i den baltiska divisionen. Den verkställande direktören för SEB AB fattade vid mötet beslut om att förslaget till nya penningtvättsresurser inom både första och andra försvarslinjen skulle godkännas.
SEB AB har valt att ha och utöva det yttersta ansvaret för regelefterlevnaden genom att inrätta en matrisorganisation som i långa stycken inte ger dotterbankerna någon praktisk möjlighet att bekämpa penningtvätt effektivt på egen hand. Såväl chefen för funktionen för regelefterlevnad som chefen för funktionen för internrevision har också rapporterat direkt till verkställande direktören respektive styrelsen i SEB AB om brister i de baltiska dotterbankernas arbete mot penningtvätt. Mot den bakgrunden konstaterar Finansinspektionen sammanfattningsvis att brister i dotterbankerna kan medföra regelefterlevnads- och ryktesrisker på gruppnivå, vilka moderbanken har ett ansvar att hantera för att ha den interna styrning och kontroll som krävs enligt 6 kap. 2 § LBF jämförd med 3 kap. 4 § tillsynslagen respektive enligt tillämpliga bestämmelser i SRK, som enligt 1 kap. 1 § fjärde stycket SRK ska tillämpas på grupp- eller undergruppsnivå. I den mån det verkligen skulle finnas associationsrättsliga hinder för SEB AB att upprätthålla den effektiva styrning och kontroll som behövs är inte lösningen att banken ska bortse från de krav som ställs i det näringsrättsliga regelverket, utan snarare att banken måste välja någon annan organisations- eller associationsform som ger banken möjlighet att säkerställa att den inte bryter mot reglerna. Att, som SEB AB hävdar, ansvaret för regelöverträdelser i dotterbankerna skulle vara så snävt att det i verkligheten skulle innebära att SEB-koncernen inte kan bekämpa penningtvätt effektivt är uteslutet.
I de fall Finansinspektionen bedömer att SEB AB inte har uppfyllt skyldigheten att på detta sätt hantera riskerna, uttrycker myndigheten det i det följande som att banken inte på gruppnivå har uppfyllt kraven i tillämpliga bestämmelser.
3.3.2 Moderbankens skyldighet att hantera risker på institutsnivå
Utöver de risker som måste hanteras på gruppnivå enligt ovan, kan risker i en dotterbank också medföra ökade risker i moderbanken på institutsnivå.
Riskerna i moderbanken kan uppstå på olika sätt. Realiserade regelefterlevnads- och ryktesrisker i dotterbanken kan påverka exempelvis dotterbankens värde eller intjäning, och därigenom moderbankens balans- eller resultaträkning. Vidare kan risker i dotterbanken direkt innebära regelefterlevnads- och ryktesrisker i moderbanken. Båda dessa slags risker måste moderbanken hantera enligt 6 kap. 2 § LBF respektive enligt tillämpliga
bestämmelser i SRK. I de fall Finansinspektionen bedömer att SEB AB inte har följt dessa bestämmelser uttrycker myndigheten det i det följande som att banken inte på institutsnivå har uppfyllt kraven i tillämpliga bestämmelser.
4 Styrning och kontroll
4.1 Exponeringar av risker kopplade till vissa grupper av kunder och transaktioner
Finansinspektionen har inom ramen för undersökningen tagit del av uppgifter (datamaterial) om de baltiska dotterbankernas verksamhet, inklusive uppgifter om dotterbankernas exponeringar och transaktionsvolymer för olika kundgrupper. I det följande redovisar Finansinspektionen även data för tiden före undersökningsperioden. Sådan data används endast i syfte att ge en bakgrund och ligger inte till grund för Finansinspektionens bedömningar. Som redovisas närmare i avsnitt 4.1.4 bedömer Finansinspektionen, baserat på datamaterialet, att delar av verksamheten i SEB AB:s baltiska dotterbanker har varit utsatt för en förhöjd risk för penningtvätt.
4.1.1 Dotterbankernas exponeringar mot utländska kunder
I slutet av 2018 uppgick antalet kunder i Litauen till drygt 0,9 miljoner, och 0,6 respektive 0,7 miljoner i Estland och Lettland. De flesta av dessa kunder är inhemska privat- och företagskunder. Utländska kunder (det vill säga privatpersoner som är bosatta, eller företag som är registrerade, i ett annat land än respektive dotterbanks hemmamarknad) utgjorde under åren 2007–2018 endast runt 1–2 procent av alla privat- respektive företagskunder.
Trots att de utländska kunderna utgjorde en liten del av det totala antalet kunder, stod de under undersökningsperioden för en väsentlig del av inlånings- och transaktionsvolymer i den estniska dotterbanken (se diagram 1 och 2).
Bland de utländska kunderna stod företagskunderna för den största delen av transaktionsvolymerna, i genomsnitt för över 90 procent av de totala volymerna för utländska kunder.
Som framgår av avsnitt 3.2.2 kan utländska kunder och inhemska kunder med utländska verkliga huvudmän innebära högre penningtvättsrisk, liksom stora volymer av transaktioner och affärsförbindelser samt transaktioner med högt värde. Det är samtidigt självklart att det finns fullt legitima skäl för en utländsk kund eller en inhemsk kund med utländska verkliga huvudmän att utföra affärstransaktioner genom lokala banker. Även företag som bedriver legitim verksamhet och gör affärsmässigt motiverade transaktioner ingår rimligen i datamaterialet om kunder och transaktionsvolymer.
Diagram 1. Utländska kunders andel av total inlåning.
Procent
20
Diagram 2. Utländska kunders andel av totala transaktionsvolymer.
Procent
30
25
15
20
10 15
10
5
5
0
2007 2009 2011 2013 2015 2017
0
2007 2009 2011 2013 2015 2017
SEB Estland SEB Lettland SEB Litauen SEB Estland SEB Lettland SEB Litauen
Anm. Avser data per den sista december. Anm. Avser data per den sista december.
I den estniska dotterbanken stod utländska kunder under undersöknings- perioden för som mest 11 procent av den totala inlåningen. År 2007 stod de också för en fjärdedel av dotterbankens totala transaktionsvolymer. Därefter har andelen gradvis sjunkit, men kundgruppen svarade under 2015 och 2016 fortsatt för ungefär 8 procent av transaktionsvolymerna. Under perioden 2007– 2018 har också kundgruppens transaktioner med länder som SEB själv klassificerat som hög risk för penningtvätt (främst Cypern och Ryssland) gradvis minskat. Under 2007–2014 var andelen i genomsnitt 26 procent och under 2015–2017 runt 14 procent. Under 2018 gick endast 4 procent av utländska kunders transaktionsvolymer direkt till eller från högriskländer.19
I de lettiska och litauiska dotterbankerna har utländska kunders andel av bankens verksamhet inte varit lika framträdande. De utländska kunderna i Lettland och Litauen har under undersökningsperioden som mest stått för 1–5 procent av bankernas totala inlånings- och transaktionsvolymer.
4.1.2 En väsentlig del av transaktionsvolymerna hänförliga till utländska kunder kommer från kunder klassificerade som hög risk
En väsentlig del av transaktionsvolymerna från den estniska dotterbankens utländska kunder kommer från kunder som dotterbanken själv har klassificerat som hög risk för penningtvätt. Finansinspektionen har använt dotterbankernas egna definitioner av vad som är hög risk för penningtvätt, och dessa har sett olika ut under olika perioder och i olika dotterbanker. Redovisningen i detta avsnitt gör därför inte anspråk på att vara exakt, utan syftar enbart till att ge en översiktlig bild som ger underlag för att bedöma om det funnits riskfaktorer som SEB AB särskilt borde ha beaktat.
19 Finansinspektionen har tagit del av data för de tio största motpartsländerna för perioden 2007–2018, där Cypern och Ryssland ingår. Dessa länder ingår i den kategori av länder som banken har klassificerat som högriskländer.
I den estniska dotterbanken var under undersökningsperioden som mest
75 procent av inlåningsvolymerna från utländska kunder kopplade till kunder som banken klassificerat som hög risk. Dessa kunder utgjorde runt en halv procent av dotterbankens totala antal kunder, men stod under undersöknings- perioden som mest för 8 procent av dotterbankens totala inlåning (se
diagram 3). De utländska kunderna klassificerade som hög risk stod också för som mest 7 procent av den estniska dotterbankens totala transaktionsvolymer 2014. Under 2015–2018 minskade gradvis exponeringen mot utländska kunder i den estniska dotterbanken, till stor del kopplat till kunder klassificerade som hög risk (se diagram 4).
Diagram 3. Andel av total inlåning kopplad till utländska kunder klassificerade som hög risk.
Procent
20
Diagram 4. Andel av totala transaktionsvolymer kopplad till utländska kunder klassificerade som hög risk.
Procent
20
15 15
10 10
5 5
0
2007 2009 2011 2013 2015 2017
0
2007 2009 2011 2013 2015 2017
SEB Estland SEB Lettland SEB Litauen SEB Estland SEB Lettland SEB Litauen
Anm. Avser data per den sista december. Anm. Avser data per den sista december.
4.1.3 Inhemska kunder med utländska verkliga huvudmän
I likhet med gruppen utländska kunder kan kategorin inhemska kunder med utländsk verklig huvudman innebära förhöjda risker för penningtvätt, även om denna kundgrupp otvivelaktigt också omfattar legitima affärer. De potentiella riskerna utgår från huvudmännens geografiska hemvist och verksamhetens art. SEB AB har uppgett att den estniska dotterbanken saknar maskinläsbar data för kundernas verkliga huvudmän för åren 2007–2015. För de lettiska och litauiska dotterbankerna saknas sådan data för åren 2007–2009. För de aktuella perioderna har dotterbankerna historiskt dokumenterat och sparat informationen på blanketter och den har först under senare år förts in i sökbara datafält. Aggregerad data som Finansinspektionen har tagit del av för inhemska kunder med utländska verkliga huvudmän finns därför enbart tillgänglig för åren 2016–2018 för dotterbanken i Estland, och för åren 2010–2018 för dotterbankerna i Lettland och Litauen.
Samtliga tre dotterbanker har haft betydande exponeringar, i termer av transaktionsvolymer, mot kundgruppen inhemska företag med minst en
utländsk verklig huvudman. Dessa företagskunder stod 2018 för 15–18 procent av totala transaktionsvolymer i samtliga tre dotterbanker.
Delar av dessa volymer kan hänföras till kunder som dotterbankerna klassificerat som hög risk. I den estniska dotterbanken stod sådana kunder för 20–25 procent av transaktionsvolymerna för inhemska kunder med utländska huvudmän under perioden 2016–2018. För de lettiska och litauiska dotterbankerna var motsvarande andel mellan 7 och 18 procent under 2015– 2018.
Som andel av den totala verksamheten har högriskklassificerade inhemska företag med utländsk verklig huvudman stått för mindre än 5 procent av respektive dotterbanks totala transaktioner, under samtliga år som banken kunnat redovisa data för.
4.1.4 Finansinspektionens bedömning av riskexponeringen utifrån aggregerad data
Redovisningen av utländska kunder och deras andelar av inlåning respektive transaktionsvolymer visar att utländska kunder i delar av den baltiska verksamheten har svarat för en väsentlig del av dotterbankernas affärsvolymer, i synnerhet i fråga om inlåning. Volymerna har minskat under undersökningsperioden. En stor del av volymerna från utländska kunder kommer från kunder som dotterbankerna själva har klassificerat som hög risk. För kategorin inhemska kunder med utländska verkliga huvudmän har det i den estniska dotterbanken inte funnits information om verkliga huvudmän i sökbara datafält före 2016. Det har gjort det svårt för SEB AB att analysera exponeringarna mot utländska verkliga huvudmän. Det står dock klart att även inom denna kundkategori kommer en väsentlig del av transaktionsvolymerna från kunder som dotterbankerna själva har klassificerat som hög risk, särskilt i den estniska dotterbanken.
En väsentlig del av transaktionsvolymerna från kunder med utländsk koppling (det vill säga utländska företagskunder och inhemska företagskunder med utländska verkliga huvudmän) kommer från kunder som dotterbankerna själva har klassificerat som hög risk för penningtvätt. Mot denna bakgrund anser Finansinspektionen att delar av verksamheten i SEB AB:s dotterbanker har varit utsatt för förhöjd risk för penningtvätt. Det beror inte bara på den allmänt förhöjda risknivån till följd av det geografiska läget, utan också på sammansättningen av dotterbankernas kundförbindelser. Det har följaktligen varit särskilt angeläget för SEB-koncernen att utforma åtgärder mot penningtvätt som är ändamålsenliga.
SEB AB delar inte Finansinspektionens beskrivning av och syn på dotterbankernas riskexponeringar. Banken menar att både data och bankens egen bedömning visar att penningtvättsriskexponeringen har varit betydligt lägre än vad Finansinspektionen gör gällande. Till stöd för denna bedömning har banken åberopat interna utredningar som genomfördes hösten 2018 och
våren 2019, en kompletterande analys samt en så kallad outlier-analys för att identifiera avvikelser.
SEB-koncernen initierade under hösten 2018 egna interna utredningar, dels på baltisk nivå, dels på gruppnivå. Utredningarna genomfördes enligt SEB AB i två faser under hösten 2018 och våren 2019, och fokuserade i huvudsak på perioden 2008–2015. Syftet med den baltiska interna utredningen (den interna utredningen) var enligt banken primärt att besvara två frågeställningar; om, och i så fall i vilken utsträckning, de baltiska dotterbankerna hade haft en verksamhet liknande Danske Banks estniska verksamhet med utländska kunder samt om, och i så fall i vilken utsträckning, de baltiska dotterbankerna hade varit exponerade mot flöden med låg transparens20 från Danske Banks estniska verksamhet. Detta för att kunna hantera den ryktesrisk som följde efter medierapporteringen kring Danske Bank, vilken enligt banken inte hade med SEB-koncernen att göra.
SEB AB har angett att den interna utredningen inledningsvis fokuserade på den estniska verksamheten, men att den snart utökades till att omfatta även den lettiska och litauiska verksamheten. Utredningen omfattade transaktioner genomförda av utländska företagskunder i Estland, Lettland och Litauen samt transaktioner som hade gått till eller från Danske Banks estniska filial. Våren 2019 utvidgades utredningen till att även omfatta bland annat samtliga transaktioner över vissa tröskelvärden till och från Danske Banks lettiska och litauiska filialer, ett antal andra bankers baltiska verksamheter samt kontroll av kundbasen mot en lista på över 2 000 personer som banken hade sammanställt från kända penningtvättsfall.
De interna utredningarna tog framför allt sikte på utländska kunder och omfattade inte särskilt inhemska kunder med utländska verkliga huvudmän. SEB AB har anfört att 48 procent av transaktionerna från denna kundgrupp ändå har kommit att omfattas av de interna utredningarna.
SEB AB menar att de interna utredningar och övriga analyser som har gjorts ger stöd för att inhemska kunder med utländska verkliga huvudmän innebär lägre penningtvättsrisk än utländska kunder. Detta stärker enligt banken synen att penningtvättsrisken för inhemska företag med utländska verkliga huvudmän var förhållandevis låg i jämförelse med risken hos utländska företag. SEB AB har angett att outlier-analysen omfattade tidsperioden 2010 till 2018. Analysen
20 När banken utförde de interna utredningarna tilldelades kunderna en så kallad ”transparensgrad” av ok, medel eller låg. Ok transparens tilldelades kunder som hade ”verklig affärsverksamhet genom SEB” (real business through SEB). Medeltransparenskunder är kunder där det har funnits bevis för att kunden har haft riktig affärsverksamhet men där flöden genom SEB enligt banken inte har varit tillräckligt transparenta. Låg transparens definieras som kunder där banken inte har kunnat hitta någon tydlig koppling mellan kundens flöden och en verklig affärsverksamhet. Enligt banken är låg transparens inte att likställa med misstänkt penningtvätt, men historiskt sett har dessa kunder ofta varit föremål för misstankerapportering till en finansunderrättelseenhet.
inkluderade enligt banken estniska kunder som hade en aggregerad transaktionsvolym på över 1 miljon euro över perioden 2008–2018.
Finansinspektionen bedömer emellertid att bankens interna utredning och de övriga analyser som banken har tagit fram innehåller flera indikationer på risk i dotterbankernas verksamhet. Bland annat gick nästan hälften av de betalningar från utlandet som gjordes till utländska kunder i den estniska dotterbanken, till kunder som banken hade klassificerat som låg- eller medeltransparenskunder. Dessutom kom 27 procent av inkommande betalningsvolymer till dessa kunder från Ryssland och Cypern. Finansinspektionen anser att SEB AB:s fokus på vad banken kallar lågtransparenskunder riskerar att underskatta de risker som regelverket och bankens riskklassificeringssystem identifierar. Indelningen av kunder i olika transparensgrader har tagits fram specifikt för den interna utredningen och har ingen koppling till bankens riskklassificeringssystem.
I bankens egna slutsatser från den interna utredningen anges bland annat att banken ofta har haft begränsad förståelse för kunder som har klassificerats som låg- eller medeltransparenskunder i den estniska dotterbanken, att kundkännedomprocessen inte har inkluderat obligatoriska frågor om var kundernas förmögenhet kommer ifrån och att banken i efterhand har hittat exempel på verkliga huvudmän i bankens kunddokumentation som inte matchar den person som banken uppfattar som kundens faktiska verkliga huvudman. Banken har heller inte haft systemstöd för att kunna upptäcka företag som är kopplade till samma verkliga huvudman och denna mappning gjordes därför manuellt i samband med den interna utredningen.
Sammantaget anser Finansinspektionen att bedömningen att penning- tvättsrisken varit förhöjd inte rubbas av vad SEB AB har anfört i denna del.
4.2 Styrning och kontroll av de baltiska dotterbankerna
Som framgår av avsnitt 3.2 och 4.1 har det funnits kända penningtvättsrisker i regionen generellt, och i SEB-koncernens baltiska verksamhet specifikt. De baltiska dotterbankerna har under åren 2015–2018 haft en relativt liten andel utländska kunder och inhemska kunder med utländska verkliga huvudmän i relation till det totala antalet kunder. I framförallt den estniska dotterbanken har dock de utländska kunderna stått för en väsentlig andel av den totala inlåningen och transaktionsvolymerna, och detta har till stor del varit hänförligt till utländska högriskkunder. Dessa andelar har gradvis sjunkit under undersökningsperioden. När det gäller transaktionsvolymerna hänförliga till inhemska företag med utländsk verklig huvudman har exponeringsnivån varit jämnare under den period som det finns data för.
Allt annat lika bidrar sådana exponeringar i dotterbankerna till en ökad risk för penningtvätt, även om den enskilda kunden inte nödvändigtvis behöver innebära en hög risk för penningtvätt. Kunder som dotterbankerna själva har klassificerat som hög risk har också stått för en väsentlig andel av utländska
xxxxxxx och inhemska kunder med utländska verkliga huvudmäns inlåning och transaktionsvolymer, främst i den estniska dotterbanken.
Banker får ha kunder, produkter och tjänster som innebär hög risk för penningtvätt, men det ställer höga krav på riskhanteringen. I en bank med en större exponering mot potentiella penningtvättsrisker kan eventuella brister i arbetet mot penningtvätt innebära allvarligare konsekvenser än i en bank med en lägre riskexponering. Det är därför särskilt viktigt att en bank med en sådan riskexponering vidtar åtgärder för att analysera och hantera risken för att bli utnyttjad för penningtvätt, samt har effektiva rutiner och processer för riskidentifiering, riskhantering och kontroll.
Penningtvättsregelverket består av tre centrala grundpelare: riskbedömning, kundkännedom samt övervakning och rapportering. Enligt regelverket ska bankerna bedöma, begränsa och övervaka sina risker. De ska också aktivt arbeta med att identifiera och rapportera misstänkt aktivitet. För att styra och ha kontroll över de risker som moderbanken på gruppnivå är eller kan bli exponerad för genom ägandet av dotterbankerna, måste moderbanken se till att det finns bland annat tydliga rapporteringsvägar, rutiner för åtgärdande av eventuella brister, resurser och kompetens, system och en tydlig roll- och ansvarsfördelning.
Brister i en dotterbank kan som framgår av avsnitt 3.3.1, medföra regelefterlevnads- och ryktesrisker på gruppnivå. Det är moderbanken som ansvarar för att hantera dem och uppfylla kravet på intern styrning och kontroll enligt 6 kap. 2 § LBF jämförd med 3 kap. 4 § tillsynslagen, respektive enligt tillämpliga bestämmelser i SRK jämförda med 1 kap. 1 § fjärde stycket samma föreskrifter. Det framgår vidare av samma avsnitt att risker i en dotterbank också kan medföra ökade risker i moderbanken på institutsnivå, och att moderbanken måste hantera dessa risker.
4.2.1 Bristande identifiering av regelefterlevnads- och rykterisker Iakttagelser
Indikationer på risker från korrespondentbanker och i Danske Bank
Frågan om penningtvättsrisker i de baltiska länderna har uppmärksammats på olika sätt före och under undersökningsperioden. SEB AB har bland annat fått information om penningtvättsrisker i de baltiska länderna från externa parter, till exempel genom de rapporter som nämns i avsnitt 3.2.2 samt från korrespondentbanker och media.
Funktionen för regelefterlevnad rapporterade på lokal och baltisk nivå bland annat 2015 och 2016 om signaler från korrespondentbanker om oro för penningtvätts- och regelefterlevnadsrisker. En bank avslutade sina korrespondentbanksförbindelser med SEB AB:s dotterbanker i Estland och
Lettland på grund av penningtvättsrelaterade risker i regionen i början av 2017 vilket bland annat framgår av rapporten från funktionen för regelefterlevnad på baltisk nivå kvartal 1 2017. Under våren 2017 förekom uppgifter i media om misstänkt penningtvätt i Danske Banks filial i Estland. Sedermera kom den danska tillsynsmyndigheten att utreda ärendet och i september 2018 publicerades den så kallade Bruun & Hjejle-rapporten som visade på omfattande misstänkt penningtvätt i Danske Banks estniska filial under perioden 2007–2015.
SEB AB instämmer i att det funnits indikationer om penningtvättsrisker i den baltiska regionen. Banken har dock anfört att korrespondentbankernas oro inte avsåg SEB specifikt. Besluten från vissa korrespondentbanker att lämna regionen var heller inte hänförliga till SEB-koncernen eller dotterbankerna.
Bankens allmänna riskbedömning m.m.
Den allmänna riskbedömningen ska göras av en bank för att bedöma risken för penningtvätt, och ska bland annat beakta vilka kunder och distributionskanaler som finns, vilka produkter och tjänster som erbjuds och vilka geografiska riskfaktorer som finns. Riskbedömningen ska utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism.
Enligt bankens instruktioner för åtgärder mot penningtvätt som gällde från den 13 november 2014 till 19 november 2017 framgår att funktionen för regelefterlevnad ansvarade för processen för att bedöma risken för penningtvätt. Instruktionen specificerade tre huvudkategorier av risker relaterade till kunder, länder respektive produkter. Enligt instruktionen skulle penningtvättsriskerna i bankens olika affärsverksamheter minst årligen identifieras och bedömas och slutsatserna skulle dokumenteras.
Enligt banken genomfördes bedömningarna av risken för penningtvätt utifrån ett antal fördefinierade scenarier till vilka risknivån kopplades. Bedömningarna dokumenterades i ett arbetsverktyg som användes av funktionen för regelefterlevnad.
Under 2017 tog SEB fram en ny instruktion för åtgärder mot penningtvätt som fastställdes den 20 november 2017. Enligt denna instruktion övergick ansvaret för processen för den allmänna riskbedömningen till den särskilt utsedde befattningshavaren i första försvarslinjen. Från och med detta dokumenterades den allmänna riskbedömningen i ett separat dokument. Den första konsoliderade allmänna riskbedömningen under undersökningsperioden är daterad i december 2017.
I den konsoliderade allmänna riskbedömningen för gruppen 2018, vilken är daterad augusti 2018, beskrivs risken med utländska kunder på ett mer utförligt sätt än i tidigare riskbedömningar. Av 2018 års konsoliderade riskbedömning
Såväl funktionen för regelefterlevnad som funktionen för internrevision identifierade förbättringsområden och brister i den allmänna riskbedömningen för 2017. Funktionen för internrevision på baltisk nivå identifierade att de lokala allmänna riskbedömningarna inte var tillräckligt omfattande och inte fullt ut hade anpassats till ett lokalt perspektiv. Funktionen för internrevision har även under 2018 rapporterat om brister i processen för den allmänna riskbedömningen på gruppnivå. Det handlar bland annat om att divisionerna och affärsenheterna inte rapporterat in sina riskbedömningar på ett enhetligt sätt.
Banken har anfört att funktionen för internrevision granskade den allmänna riskbedömningen för 2017 både på baltisk nivå och gruppnivå och att iakttagelserna från dessa granskningar åtgärdades och stängdes vid framtagandet av den allmänna riskbedömningen för 2018.
Bankens baltiska strategi för utländska kunder
Under undersökningsperioden har den baltiska divisionen haft en strategi för utländska kunder. Av den strategi som gällde fram till 2017 framgår kriterier för att acceptera ett bolag som kund samt att de baltiska dotterbankernas målgrupp är utländska kunder som har en tydlig koppling till det lokala landet. Av strategin framgår att den inte omfattar inhemska företagskunder med utländsk ägare. Denna strategi reviderades hösten 2017.
Den reviderade baltiska strategin antogs av den baltiska divisionsledningen i september 2017 och därefter i de baltiska dotterbankerna i oktober respektive november 2017. Xxxxxxxxx utökades till att, utöver utländska kunder, även omfatta olika högriskkunder. Den uppdaterade strategin innehåller en definition av utländsk kund från ett högriskland vilken omfattar bland annat
• en juridisk person som är registrerad i ett högriskland, och
• en juridisk person registrerad i Estland, Lettland, Litauen eller i något annat land som inte innebär hög risk men minst en av de verkliga huvudmännen är bosatt i ett högriskland.
21 Banken benämner strategin på olika sätt, men ofta som den baltiska non-resident strategin.
Vad som är en utländsk kund definieras inte i strategin och inte heller i bankens instruktioner för åtgärder mot penningtvätt eller den allmänna risk- bedömningen på gruppnivå eller på respektive baltiskt lands nivå. Banken har angett att inhemska kunder med utländsk huvudman generellt inte anses vara utländska kunder.
Bankens kontrollfunktioner har under undersökningsperioden vid olika tillfällen rapporterat om den baltiska strategin. Av rapporter från funktionen för internrevision på baltisk nivå och gruppnivå i kvartal 2 2016 framgår bland annat att strategin inte omfattar inhemska företag med utländsk verklig huvudman eller andra högriskkunder samt att strategin inte är upprättad i ett policydokument vilket har medfört att den inte regelbundet har reviderats eller uppdaterats.
SEB AB har angett att den baltiska strategin för utländska kunder är en åtgärd för att minska riskerna. Det framgår bl.a. av den presentation som chefen för den baltiska divisionen upprättade till styrelsemötet den 14 juni 2017. Vidare har banken anfört att varken SEB AB eller dotterbankerna haft någon affärsmässig plan för att aktivt approchera utländska kunder i de baltiska länderna. Under hösten 2016 och 2017 genomförde banken ett arbete med att uppdatera den baltiska strategin. Syftet med att skärpa strategin var bland annat att ytterligare minimera riskerna, säkerställa att de baltiska reglerna överensstämde med gruppens, ytterligare fokusera på anknytning till det lokala landet, samt se till att reglerna omfattade hela kundportföljen och att inhemska företag med utländska verkliga huvudmän skulle klassas som kunder för vilka det krävdes skärpta kundkännedomsåtgärder, om ägarskapet härrörde från ett högriskland.
Avslutande av kundrelationer
Av data inhämtad från banken framgår att sammanlagt ungefär 4 500 utländska kundrelationer avslutades av penningtvättsskäl i de estniska och litauiska dotterbankerna under 2017 och 2018. Det innebär att av det totala antalet utländska kundrelationer som avslutades under undersökningsperioden med uttrycklig hänvisning till penningtvättsskäl, avslutades över 80 procent av fallen i den estniska dotterbanken under 2018. På motsvarande vis avslutade den litauiska dotterbanken över 80 procent av de kundrelationer som avslutades under hela undersökningsperioden under 2017–2018.
SEB AB har anfört att det ger en delvis missvisande bild om endast kunder som avslutats av penningtvättsskäl redovisas eftersom det ger en alltför begränsad beskrivning. Banken har förklarat det bland annat med att det av underlaget inte alltid framgår varför en kundrelation har avslutats och att det inte heller beaktar att en del kunder själva har valt att avsluta relationen med banken när den har ställt högre informations- och dokumentationskrav.
Siffrorna som banken redovisar i sitt svar inkluderar totalt antal avslutade kundrelationer, det vill säga även sådana kundrelationer som har avslutats av
något skäl som inte är kopplat till penningtvätt. Under 2015–2018 avslutade den estniska dotterbanken kundrelationen med drygt 600 utländska företagskunder, varav de flesta under 2016 och 2017. Dotterbanken avslutade också relationen med ett stort antal utländska privatkunder, främst under 2015 och 2018. På aggregerad nivå är dock transaktionsvolymerna från dessa kunder begränsade, och de har därför en liten påverkan på den aggregerade utvecklingen i den utländska kundportföljens transaktionsvolymer. Totalt avslutades drygt 13 000 kunder under 2015–2018, varav runt hälften var kunder som den estniska dotterbanken klassificerat som hög risk för penningtvätt.
Vidare har banken angett att de lettiska och litauiska dotterbankerna under åren 2015–2018 avslutade färre kundrelationer än den estniska dotterbanken; runt
5 000 kunder i vardera dotterbanken. I den lettiska dotterbanken var de flesta av dessa privatkunder som klassificerats som hög risk för penningtvätt.
Inom ramen för den interna utredning som SEB AB genomförde hösten 2018, och som i huvudsak avsåg perioden 2008–2015, identifierades 99 kunder i den estniska dotterbanken som stått för inkommande gränsöverskridande lågtransparensvolymer på 3,9 miljarder euro. Många av dessa kundrelationer hade enligt SEB AB avslutats i olika omgångar fram till 2016/2017. Inom ramen för den utökade utredningen som genomfördes våren 2019 identifierades ytterligare kunder som genomfört lågtransparenstransaktioner. Vissa av dessa var vid tiden för utredningen befintliga kunder. Enligt banken avslutades ytterligare 59 kunder i den estniska dotterbanken med anledning av utredningen.
Rapportering av risken för penningtvätt i de baltiska dotterbankerna
Det framgår av bankens instruktioner för åtgärder mot penningtvätt som gällde från den 13 november 2014 till 19 november 2017 att chefen för funktionen för regelefterlevnad löpande skulle informera den verkställande direktören i SEB AB och bankens styrelses revisions- och regelefterlevnadsutskott22 om hanteringen av penningtvättsrisker och arbetet med att motverka penningtvättsrisk i gruppen. Vidare framgår av instruktionerna att funktionen för regelefterlevnad på gruppnivå åtminstone kvartalsvis skulle rapportera om penningtvättsrisken och en gång per år sammanställa en rapport med bedömningen av penningtvättsrisker, samt att denna rapport kunde integreras med funktionen för regelefterlevnads årsplan.
Finansinspektionen har inte tagit del av någon löpande rapportering från funktionen för regelefterlevnad till den verkställande direktören i SEB AB och styrelsens revisions- och regelefterlevnadsutskott om penningtvättsrisken i banken generellt och inte heller specifikt vad gäller de baltiska dotterbankerna. Finansinspektionen har inte heller kunnat identifiera någon rapport där
22 Av banken kallad Audit and Compliance Committee (ACC).
bedömningar av penningtvättsrisker tydligt framgår varken som en del av funktionen för regelefterlevnads årsplan eller som en separat rapport, trots att det framgår av bankens instruktioner att sådana ska finnas.
Banken har anfört att den löpande rapporteringen från funktionen för regel- efterlevnad till den verkställande direktören och styrelsens revisions- och regelefterlevnadsutskott har skett inom ramen för funktionen för regel- efterlevnads kvartals- och årsrapporter. Banken har också anfört att det rapporteringsansvar som funktionen för regelefterlevnad hade enligt de instruktioner som gällde fram till 2017 avsåg regelefterlevnadsrisken för penningtvätt och inte risken för att utnyttjas för penningtvätt.
Enligt den nya instruktionen för åtgärder mot penningtvätt som antogs den 20 november 2017 fick affärsverksamheten ansvar för att rapportera om penningtvättsrisker. Av den nya instruktionen framgår att de ansvariga för arbetet mot penningtvätt inom affärsverksamheten i bankens olika divisioner
och dotterbolag löpande skulle rapportera till den särskilt utsedde befattnings- havaren om identifierade penningtvättsrisker och likaså om åtgärder för att motverka penningtvättsrisker. Den särskilt utsedde befattningshavaren skulle i sin tur bland annat sammanställa de olika divisionernas riskbedömningar till en konsoliderad bedömning samt löpande rapportera till den verkställande direktören i SEB AB om risken för att gruppen exponeras för penningtvätt och terrorismfinansiering samt om åtgärder för att motverka dessa risker. Av den uppdaterade instruktionen som antogs i november 2018 framgår att den särskilt utsedde befattningshavaren även årligen ska presentera den konsoliderade allmänna riskbedömning för SEB AB:s kommitté för arbete mot penningtvätt på gruppnivå.
Finansinspektionen har inte tagit del av någon rapportering från de ansvariga för arbetet mot penningtvätt inom affärsverksamheten i någon av de baltiska dotterbankerna eller i den baltiska divisionen till den särskilt utsedde befattningshavaren inom ramen för undersökningen. Banken har bekräftat att det inte har funnits någon återkommande dokumenterad rapportering från de ansvariga för arbetet mot penningtvätt inom affärsverksamheten till den särskilt utsedde befattningshavaren, eftersom den nya styrningsmodellen för arbetet mot penningtvätt var under utveckling under undersökningsperioden. När det gäller rapporteringen från den särskilt utsedde befattningshavaren till verkställande direktören i SEB AB har Finansinspektionen tagit del av rapporter som berör arbetet mot penningtvätt. Finansinspektionen noterar dock att information om penningtvättsrisker i de baltiska dotterbankerna rapporterades första gången i oktober 2018 i samband med att den interna utredningen påbörjades.
Finansinspektionens bedömning
Som framgår av avsnitt 4.1.4 bedömer Finansinspektionen att det har funnits en förhöjd risk för penningtvätt i SEB-koncernens baltiska verksamhet. Det
handlar framför allt om exponeringar i Estland. När det gäller inhemska kunder med utländska verkliga huvudmän har dock exponeringarna varit väsentliga även i Lettland och Litauen. Denna bedömning stöds också av bankens egna slutsatser från den allmänna riskbedömningen för 2018, som är daterad i augusti 2018. I den anges att det finns en förhöjd risk för storskalig penningtvätt. Bedömningen gjordes mot bakgrund av de baltiska ländernas närhet till högriskländerna Ryssland och Belarus, som har resulterat i en kundstock i den baltiska verksamheten som bestod av en högre andel kunder från dessa högriskländer. Banken har framfört att eftersom den allmänna riskbedömningen pekade på förhöjda risker så har extra åtgärder för att minska riskerna vidtagits.
I en bank med en större exponering mot penningtvättsrisker kan eventuella brister i arbetet mot penningtvätt få allvarligare konsekvenser än i en bank med en lägre riskexponering. Detta eftersom ju större volymen av transaktioner med hög risk är, desto större är risken för att penningtvättstransaktioner görs. Det är därför särskilt viktigt att en bank med en sådan riskexponering vidtar åtgärder för att på ett adekvat sätt identifiera riskerna för att bli utnyttjad för penningtvätt. SEB AB:s baltiska dotterbankers storlek på sina respektive hemmamarknader och de regionala penningtvättsriskerna innebär att det är av stor vikt att ändamålsenliga penningtvättsförebyggande åtgärder upprätthålls.
Om en bank inte identifierar och hanterar de penningtvättsrisker som den är exponerad för, kan det i sin tur innebära ökade regelefterlevnads- och ryktesrisker för banken. När en bank, som i det aktuella fallet, ingår i en grupp, ökar dessa risker också på gruppnivå. Bestämmelsen i 6 kap. 2 § första stycket LBF gäller, enligt 3 kap. 4 § tillsynslagen, även på gruppnivå. Som Finansinspektionen har funnit ovan i avsnitt 3.3 om moderbankens ansvar, innebär detta att SEB AB har ett ansvar för att riskerna identifieras och hanteras. Frågan är därför, med hänsyn till de iakttagelser som Finansinspektionen gjort i undersökningen, om SEB AB kan anses ha identifierat och hanterat riskerna för penningtvätt.
Den allmänna riskbedömningen och den så kallade baltiska strategin har varit viktiga verktyg för SEB-koncernen för att bland annat motverka penningtvätt. Före december 2017 saknades det en allmän riskbedömning på en konsoliderad nivå. Dessförinnan gjordes riskbedömningarna endast på lokal nivå och rapporterades inte till moderbanken. Finansinspektionen bedömer att de allmänna riskbedömningar som fanns fram till slutet av 2017 inte gav moderbankens ledning en sammantagen bild av risken för penningtvätt i de baltiska dotterbankerna. Finansinspektionens granskning visar också att den allmänna riskbedömningen först under 2018 tydligt började ta upp riskerna med utländska kunder och att den innan dess inte alls tog upp riskerna kopplade till inhemska kunder med utländska huvudmän. Som redovisats ovan har bankens egna kontrollfunktioner rapporterat om ett antal brister i omfattning och processen för den allmänna riskbedömningen.
Finansinspektionen anser att den baltiska strategin för utländska kunder som fanns före 2017 inte var en tillräcklig åtgärd för att anse att banken på ett adekvat sätt identifierade den förhöjda penningtvättsrisken. Xxxxxxxxx tog inte hänsyn till inhemska kunder med utländska verkliga huvudmän eller andra högriskkunder. Strategin uppdaterades eller reviderades heller inte löpande. Även den reviderade strategin från 2017 visar på brister när det gäller vilka kunder som kan föranleda att bankerna måste vidta skärpta kundkännedoms- åtgärder. Bankens strategi tar hänsyn till inhemska kunder med utländska huvudmän endast om dessa huvudmän är bosatta i ett högriskland. Mot bakgrund av att inhemska kunder med utländska verkliga huvudmän kan innebära förhöjd risk på liknande sätt som utländska kunder, även om huvud- männen inte är bosatta i ett högriskland, anser Finansinspektionen att detta inte är tillräckligt.
I avsnitt 4.1.4 beskriver Finansinspektionen SEB AB:s interna utredningar och övriga analyser och redogör där för sin syn på dessa. Finansinspektionen kan vidare konstatera att banken före hösten 2018 inte genomförde några djupgående undersökningar för att identifiera risken att utnyttjas för penning- tvätt i de baltiska dotterbankerna. Detta trots att bankverksamhet i de baltiska länderna varit förknippat med förhöjd risk för penningtvätt under hela undersökningsperioden. Detta är alltså risker som banken varit exponerad för, men som den ansträngt sig för att identifiera först i slutet av undersöknings- perioden. Detsamma gäller de övriga analyser som banken har åberopat. Dessa har gjorts för sent för att kunna läggas till grund för en bedömning att banken under undersökningsperioden på ett adekvat sätt har identifierat riskerna för penningtvätt i de baltiska länderna. Finansinspektionen anser inte att analyserna kan tas till intäkt för att det var korrekt att i de interna utredningarna fokusera på utländska kunder.
Bankens interna utredningar är sent påkomna även mot bakgrund av att det funnits flera exempel på indikationer från externa parter, till exempel korrespondentbanker, om att riskerna i de baltiska länderna varit förhöjda. Ett exempel är de rapporter om att korrespondentbanker avslutat sina förbindelser med de baltiska dotterbankerna som funnits i ett tidigt skede i undersökningsperioden. Trots detta gjorde SEB-koncernen ingen djupgående undersökning av sin egen exponering för att bli utnyttjad för penningtvätt i de baltiska dotterbankerna.
Vad gäller inhemska kunder med utländska verkliga huvudmän framgår av avsnitt 4.1 att exponeringen mot dessa inte sjönk gradvis under undersökningsperioden på samma sätt som var fallet för utländska kunder. Data för perioden 2016–2018 visar att exponeringen mot den här kundgruppen har varit betydande i alla de tre baltiska länderna. Finansinspektionen bedömer att inhemska kunder med utländska verkliga huvudmän kan utgöra liknande risk för penningtvätt som utländska kunder. Finansinspektionen har också konstaterat att varken den allmänna riskbedömningen eller den baltiska strategin har uppmärksammat denna kundgrupp tillräckligt. Mot den
bakgrunden bedömer Finansinspektionen att SEB AB inte har sett till att identifiera riskerna med denna kundgrupp på ett adekvat sätt.
När det gäller avslutande av kundrelationer har SEB AB gjort gällande att det är delvis missvisande att enbart titta på kundrelationer som har avslutats av penningtvättsskäl, eftersom underlaget inte omfattar alla de kundrelationer som är relevanta. Finansinspektionen konstaterar dock att undersökningen visar att ett stort antal kundrelationer har avslutats av penningtvättsskäl under den senare delen av undersökningsperioden. Detta rör sig alltså om kunder som enligt banken har utgjort en förhöjd risk för penningtvätt. Även om undersökningen visar att riskexponeringen successivt har minskat och det inte går att bortse från bankens invändning om att den tidigt under undersöknings- perioden har avslutat kundrelationer av penningtvättskäl, bedömer Finansinspektionen ändå, mot bakgrund av att riskexponeringen har varit förhöjd i vart fall under en stor del av undersökningsperioden, att exponeringen inte har identifierats tillräckligt väl och att åtgärder som avser att avsluta kundrelationer i betydande utsträckning har vidtagits sent.
Undersökningen har visat att penningtvättsrisken i de baltiska dotterbankerna inte löpande har rapporterats till vare sig ledning eller styrelse i moderbanken. Vidare har Finansinspektionen inte tagit del av något dokument som visar att ledning eller styrelse i moderbanken har efterfrågat någon sådan information. Även om bankens nya instruktioner för åtgärder mot penningtvätt, som antogs i slutet av 2017, förtydligade rapporteringsansvaret för penningtvättsrisker så hade den vid slutet av undersökningsperioden ännu inte helt genomförts i verksamheten. Någon rapportering från de ansvariga för arbetet mot penningtvätt inom affärsverksamheten i den baltiska divisionen till den särskilt utsedde befattningshavaren, på det sätt som anges i de nya instruktionerna, har banken på förfrågan inte kunnat visa. Någon rapportering från den särskilt utsedde befattningshavaren till verkställande direktören i SEB AB om penningtvättsrisker i de baltiska dotterbankerna skedde inte förrän i oktober 2018 i samband med att banken påbörjade sin interna utredning. Detta ger ytterligare stöd för bedömningen att SEB AB:s ansträngningar för att identifiera riskerna för penningtvätt i de baltiska dotterbankerna har varit otillräckliga.
Sammanfattningsvis konstaterar Finansinspektionen att den aggregerade data som myndigheten har begärt in från banken visar att exponeringen mot kundgrupper som typiskt sett medför förhöjd risk för penningtvätt har varit betydande, men sjunkit väsentligt under undersökningsperioden. Det har tidigt i undersökningsperioden funnits anledning för SEB-koncernen att på grund av händelser som har gett indikationer om förhöjda regionala penningtvättsrisker i de baltiska länderna, särskilt överväga om den hade anledning att uppmärksamma dessa risker i förhållande till den egna verksamheten. SEB- koncernen har i och för sig under undersökningsperioden vidtagit vissa åtgärder. Koncernen har avslutat kundrelationer under perioden och har genomfört interna utredningar.
SEB AB borde dock betydligt tidigare i undersökningsperioden ha gjort en grundlig genomgång av sina risker för penningtvätt i de baltiska länderna. Banken har inte reagerat med tillräcklig styrka på externa signaler om förhöjd risk för penningtvätt i de baltiska länderna. Vidare har SEB AB under undersökningsperioden tagit fram en konsoliderad allmän riskbedömning och en reviderad baltisk strategi för utländska kunder. De flesta av dessa åtgärder vidtogs under 2017 och 2018 eller senare. Banken borde betydligt tidigare ha förbättrat sin allmänna riskbedömning och sin baltiska strategi, särskilt mot bakgrund av att riskexponeringen var högre i början av undersökningsperioden än vad den var under 2017 och 2018. Finansinspektionen bedömer att banken inte har haft adekvata verktyg för att identifiera riskerna för penningtvätt, under i vart fall den första delen av undersökningsperioden. Banken har heller inte haft tillräckligt fokus på inhemska kunder med utländska verkliga huvudmän.
Vidare bedömer Finansinspektionen att rapporteringen av riskerna för penningtvätt i de baltiska dotterbankerna till moderbanken har varit otillräcklig. Finansinspektionens uppfattning är alltså att viktiga åtgärder har vidtagits för sent och i för begränsad utsträckning.
Finansinspektionen finner således att SEB AB inte i tillräcklig utsträckning har identifierat och hanterat de förhöjda penningtvättsriskerna i de baltiska dotterbankernas exponering mot utländska kunder och inhemska kunder med utländska verkliga huvudmän. Detta har lett till att SEB AB inte heller har identifierat och hanterat de förhöjda regelefterlevnads- och ryktesrisker som vissa av dessa kunder och transaktioner har inneburit för gruppen.
Finansinspektionen finner därför att SEB AB på gruppnivå inte har uppfyllt kraven i 6 kap. 2 § första stycket LBF, jämfört med 3 kap. 4 § tillsynslagen, att identifiera, mäta, styra, internt rapportera och ha kontroll över de risker som dess rörelse är förknippad med.
Bristen på identifiering och hantering av riskerna som är förknippade med utländska kunder, inhemska kunder med utländska verkliga huvudmän och transaktioner i de baltiska dotterbankerna har även inneburit att SEB AB har utsatt sig för en risk för att regler inte skulle följas och en risk för att bankens goda rykte skulle äventyras. Finansinspektionen finner därför att SEB AB även på institutsnivå har brustit i efterlevnaden av 6 kap. 2 § första stycket LBF.
4.2.2 SEB AB vidtog inte tillräckliga åtgärder Iakttagelser
Rapportering från bankens kontrollfunktioner
Hög kvarvarande regelefterlevnadsrisk inom penningtvättsområdet
I årsrapporterna för åren 2015–2018 från funktionen för regelefterlevnad på gruppnivå beskrivs bankens process för riskbedömning av regelefterlevnadsrisk. Det framgår att funktionen analyserar varje riskscenario i riskbedömningen i två dimensioner, inneboende risk och kvarvarande risk.
Först bedöms den inneboende risken. Den inneboende risken är bankens bedömning av hur allvarlig påverkan bedöms bli om risken realiseras på grund av att banken inte följer vissa regulatoriska krav samt sannolikheten för att den realiseras. I denna bedömning beaktar banken bland annat externa faktorer som lokala förhållanden och fokus från tillsynsmyndigheter. Den kvarvarande risken är den risk som återstår när de kontroller som SEB har för att minska riskerna för att banken inte efterlever regulatoriska krav har beaktats.
Kontrollerna inkluderar processer, rutiner och instruktioner. Beroende på om kontrollerna är i) tillfredställande, ii) behöver förbättras eller iii) icke- tillfredställande bedöms den kvarvarande risken vara låg, medium eller hög.
Under hela undersökningsperioden har funktionen för regelefterlevnad rapporterat till verkställande direktören och styrelsen i SEB AB att den har bedömt penningtvättsområdet som ett område med en hög kvarvarande risk. Funktionen för regelefterlevnad gör den bedömningen såväl sammantaget för hela gruppen som för den baltiska divisionen.
I slutet av undersökningsperioden, i årsrapporten för 2018 från funktionen för regelefterlevnad på gruppnivå, anges att området penningtvätt fortfarande bedöms ha hög kvarvarande risk. Det framgår att funktionen för regel- efterlevnad har identifierat att kvaliteten på kundkännedomsdokumentationen fortfarande är dålig. Information om affärsförbindelsers syfte och art samt uppföljning av affärsförbindelser behöver förbättras. Kundkännedoms- informationen måste även förbättras för att kunna vara på en så detaljerad nivå att det går att upptäcka avvikande beteende. Det framgår också att scenarier för transaktionsmonitorering måste utvecklas, att antalet larm som behöver utredas ökar och att detta kräver mer resurser. Även i funktionens rapport för kvartal 1 2019 framgår att risken för penningtvätt kvarstod som hög, trots omfattande pågående ansträngningar för att förbättra kunskapen om monitorering och kundkännedom i hela gruppen. I rapporten anges även att SEB AB i slutet av föregående år beslutade om att väsentligt öka resurser för att motverka penningtvätt både inom funktionen för regelefterlevnad och inom affärsverksamheten vilket lett till flera initiativ under kvartalet. Vidare har det pågående arbetet med att förbättra ramverk och kundkännedomsprocesser fortsatt.
Vidare framgår av rapporten för kvartal 3 2018 från funktionen för riskkontroll, att banken bryter den tolerans som styrelsens risk- och kapitalutskott23 hade satt för den sammanlagda regelefterlevnadsrisken. Risktoleransen var satt till låg och i kvartal 3 2018 bedöms den vara medium. Av protokoll från ett möte i styrelsens risk- och kapitalutskott den 24 januari 2019 framgår att förändringen av risknivån i kvartal 3 enbart relaterade till åtgärder mot penningtvätt och att bedömningen fortfarande var relevant. Vidare framförde chefen för funktionen för regelefterlevnad på gruppnivå enligt protokollet att funktionen inte såg behov av att styrelsen agerade i det läget.
23 Av banken kallad Risk and Capital Committee (RCC).
SEB AB har angett att banken har lagt omfattande resurser på att förbättra processer, medvetenhet och kunskap. Viktiga åtgärder var, enligt banken, bland annat den nya strategin för hur högriskkunder ska hanteras (den baltiska strategin för utländska kunder) samt inrättandet av särskilda enheter för kundkännedom för att hantera den periodiska uppföljningen av högriskkunder. Xxxxxx har även vidtagit omfattande åtgärder för att uppdatera kundkännedomen i fråga om befintliga kunder.
SEB AB har vidare angett att den kvarvarande risken till följd av bristande regelefterlevnad är ett resultat av både faktorer som banken själv kan påverka, som omfattningen av brister – som kan minskas genom att bristerna åtgärdas – och faktorer som banken inte kan påverka, till exempel vilka sanktioner som lagstiftare eller andra normgivare har bestämt ska bli följden om en regel inte följs eller vilken ryktesrisk som är förknippad med överträdelse av det aktuella regelverket. Påverkan på bankens rykte i förhållande till brister i regelefterlevnad varierar också över tid om till exempel marknaden, ratinginstitut, kunder, media och allmänhet lägger större vikt vid en viss frågeställning jämfört med tidigare. Eftersom dessa omständigheter är en del av själva riskmetoden som banken använder sig av i bedömningen kan detta resultera i att den kvarvarande risken är hög för ett visst riskområde under en längre period, trots att brister löpande åtgärdas och processerna förbättras inom verksamheten. Så har det varit med arbetet mot penningtvätt. SEB AB har vidare påpekat att det förhållandet att ett riskområde bedöms ha en hög kvarvarande risk ger banken en signal om att området bör vara föremål för stort fokus i verksamheten och att verksamheten måste fortsätta utveckla sin regelefterlevnad på området.
När det gäller den samlade bedömningen av regelefterlevnadsrisken har banken anfört i huvudsak följande. Chefen för funktionen för regelefterlevnad på gruppnivå gör en kvalitativ bedömning av de områden som i funktionens årliga riskbedömning har bedömts som höga i relation till olika delar inom banken.
Om något högriskområde eller en kombination av högriskområden tillsammans anses kunna leda till större konsekvenser än det som i relation till toleransen definierats som ”låg”, bedöms toleransen ha överskridits. Det är denna kvalitativa bedömning som ligger till grund för vilken nivå den totala regelefterlevnadsrisken ligger på i förhållande till den beslutade toleransen.
Under kvartal 3 2018 bedömde funktionen för regelefterlevnad att risknivån i förhållande till risktoleransen hade överskridits.
Efterlevnaden av regelverk om kundkännedom
Finansinspektionen har tagit del av dokumentation som visar att kontrollfunktionen för regelefterlevnad på gruppnivå och kontrollfunktionen för internrevision på gruppnivå återkommande under undersökningsperioden har rapporterat om brister, risker och vad banken kallar förbättringsområden i efterlevnaden av regler om kundkännedom. Det gäller bland annat bristande
processer vid etablering och uppföljning av affärsförbindelser, dokumentation och kvalitet på kundkännedom inklusive verklig huvudman.
Några exempel på innehållet i rapporterna är följande. I samtliga kvartalsrapporter för 2015 följde funktionen för regelefterlevnad på gruppnivå upp området penningtvätt som är ett av de områden som sammantaget för gruppen bedöms ha högst kvarvarande risk. I rapporterna från 2015 anges att funktionen har fokus på området för att kunna bidra till att få ner risken till en acceptabel nivå. Vidare anges att många divisioner har fokuserat på bland annat monitorering och åtgärder som gäller dokumentation av kundkännedom, verklig huvudman och åtgärder för kundkännedom av kunder.
SEB AB har anfört att rapporteringen för 2015 inte specifikt avsåg den baltiska verksamheten. Området penningtvätt identifierades som hög risk av de flesta länder och divisioner främst på grund av kommande regelverksförändringar i form av det fjärde penningtvättsdirektivet och fortsatt fokus från tillsynsmyndigheter.
Under kvartal 2 2016 rapporterade funktionen för internrevision på gruppnivå om en baltisk revision som visade att arbetet mot penningtvätt behövde förbättras, särskilt när det gällde identifiering och tillämpning av skärpta kundkännedomsåtgärder för högriskkunder. Under kvartal 1 2018 rapporterade funktionen för internrevision på gruppnivå om en granskning av arbetet mot penningtvätt där det bland annat framgick att kvaliteten på kundkännedomsdata hade förbättrats sedan 2016, men att ytterligare förbättringar krävdes i alla tre baltiska länderna. Funktionen rapporterade under kvartal 3 2018 om en ny granskning av de baltiska dotterbankerna. Där framgår det att såväl SEB- gruppen som de baltiska dotterbankerna hade stärkt och centraliserat organisationen för att uppfylla de krav som fanns. Vidare angavs det i rapporten att även om betydande framsteg hade gjorts de senaste åren så var slutsatsen att kvaliteten på kontrollerna för att minska risken för penningtvätt ytterligare behövde stärkas för att möta de ökade kraven.
SEB AB har uppgett att banken i slutet av 2016 initierade ett gruppgemensamt projekt för genomförandet av det fjärde penningtvättsdirektivet samt för hantering av många av de aktiviteter som identifierats utifrån aktuella högriskområden gällande kundkännedom. SEB hävdar att den nya koncerngemensamma organisationen för arbetet mot penningtvätt i första försvarslinjen stärkte det förebyggande arbetet mot penningtvätt inom banken.
Transaktionsmonitorering
Av de rapporter som Finansinspektionen har tagit del av framgår att både funktionen för regelefterlevnad på gruppnivå och funktionen för internrevision på gruppnivå återkommande under undersökningsperioden har rapporterat om brister och risker inom transaktionsmonitoreringen i de baltiska dotterbankerna. I rapporterna framkommer bland annat att det vid flera
tillfällen hade uppstått ett större antal larm som inte hade granskats i tid från bankens automatiserade transaktionsmonitoreringssystem och brister i fråga om scenarier.
Några exempel på innehållet i rapporterna är följande. I funktionen för regelefterlevnads årsrapport för 2015 anges att den löpande monitoreringen i transaktionsmonitoreringssystemet bedöms ha hög kvarvarande risk inom många delar av koncernen. Det beror på begränsade scenarier eller de faktiska larm som systemet genererar. Funktionen för internrevision rapporterade under kvartal 2 2016 dels om brister i kontrollen av data som levereras till transaktionsmonitoreringssystemet, dels att kontrollrutiner inte ger en tillräcklig försäkran om att alla larm om misstänkta transaktioner hanteras i tid. Funktionen för regelefterlevnad rapporterade under kvartal 4 2016 om att balanser av ohanterade xxxx fortsatte att vara utmanande i de baltiska länderna. I årsrapporten för 2016 anges även att flera delar av koncernen hade rapporterat brister med att scenarier inte fullt ut täcker risken. I årsrapporten för 2017 anger funktionen för regelefterlevnad att det för transaktionsmonitoreringen krävs nya scenarier liksom revidering av existerande scenarier. Under 2018 rapporterade funktionen för internrevision om två granskningar som återigen visade på förekomsten av balanser av ohanterade larm. I rapporten för kvartal 1 2018 anges att de ohanterade larmen som identifierades år 2016 hade arbetats igenom i maj 2017, men att det vid tidpunkten för granskningen i kvartal 4 2017 återigen fanns en ökning av eftersläpning i hanteringen av larm i de tre baltiska dotterbankerna. Den lettiska och den litauiska dotterbanken arbetade igenom sina ohanterade larm under perioden för granskningen.
Vidare anges i rapporten för kvartal 3 2018, i fråga om en granskning av grupprocesser, att funktionen för regelefterlevnad behöver stärka sina resurser inom transaktionsmonitoreringen för att kunna säkerställa att banken agerar i tid på misstänkta transaktioner kopplade till penningtvätt. Det framgår även att funktionen för regelefterlevnad redan hade stärkt sina resurser och sin kapacitet för utveckling av scenariomodeller genom att etablera en it-grupp i Riga.
SEB AB har framhållit att utgångspunkten är att arbetet med att utreda larm från transaktionsmonitoreringssystemet i normalfallet ska vidtas omgående. SEB AB kan dock aldrig garantera att det aldrig kommer att uppstå temporära balanser av ohanterade larm under vissa perioder. Vidare framhåller SEB AB att banken arbetar med att hantera balanser av ohanterade larm när de uppstår samt vidtar åtgärder såsom nyrekrytering vid mer permanent natur. SEB AB har även angett att banken från januari 2016 till kvartal 1 2019 har infört 36 nya scenarier i de baltiska länderna.
Bedömningar från funktionen för internrevision
I funktionen för internrevisions bedömningar graderas iakttagelserna utifrån hur allvarliga de är på en fyrgradig skala: låg, mellan, signifikant eller kritisk. Signifikant innebär att styrningen, riskhanteringen eller kontrollerna inte är
tillräckligt effektiva för att minska risken och kräver ledningens uppmärksamhet samt att förbättringar behövs. Därefter gör funktionen en sammanfattande bedömning av det granskade området där den väger in antalet iakttagelser och i vilken mån funktionen anser att de interna kontrollerna adresserar riskerna. Det görs utifrån en tregradig skala: röd, gul och grön. Att ett område bedöms gult innebär att det finns en eller fler signifikanta frågor som kräver åtgärder för att förhindra signifikanta potentiella förluster eller skada för bankens rykte. Vid den granskning som internrevision genomförde i kvartal 2 2016 och som beskrivs ovan graderades området som gult mot rött. Vid de två granskningarna under 2018 bedömde funktionen de granskade områdena som gula.
Iakttagelser från undersökningar av baltiska tillsynsmyndigheter
Tillsynsmyndigheterna i Lettland, Litauen och Estland har konstaterat vissa brister i dotterbankernas arbete mot penningtvätt.
Den 20 december 2019 offentliggjorde den lettiska tillsynsmyndigheten att den tillsammans med SEB AB:s lettiska dotterbank hade skrivit under ett administrativt avtal. Enligt avtalet ska den lettiska dotterbanken betala en sanktionsavgift på ungefär 670 000 euro för överträdelser av bestämmelser om arbetet mot penningtvätt och en sanktionsavgift på ungefär 1 120 000 euro för överträdelser av internationella sanktioner. De penningtvättsrelaterade brister som tas upp i det administrativa avtalet baseras på en platsundersökning som gjordes från den 21 september 2017 till den 3 november 2017.
Enligt den lettiska tillsynsmyndigheten behövde den lettiska dotterbankens interna kontrollsystem förbättras ytterligare. De huvudsakliga bristerna var relaterade till det faktum att banken vid ett begränsat antal tillfällen inte hade sett till att dokumentera underliggande information om kundens affärsverksamhet och därigenom försäkrat sig om att kundens transaktioner inte skulle betraktas som misstänkta. Dessutom hade banken vid ett begränsat antal tillfällen inte klarlagt eller dokumenterat kundens verkliga huvudman.
Den 17 juni 2020 offentliggjorde tillsynsmyndigheten i Litauen att den i en undersökning av aktiviteter i SEB AB:s litauiska dotterbank under 2019, hade identifierat vissa mindre brister i fråga om fortlöpande övervakning av affärsförbindelser. Tillsynsmyndigheten utfärdade ett föreläggande till dotterbanken att rätta till alla konstaterade brister.
Den 25 juni 2020 offentliggjorde den estniska tillsynsmyndigheten ett föreläggande och en sanktion mot SEB AB:s estniska dotterbank.
Tillsynsmyndighetens beslut grundar sig på en platsundersökning som genomfördes mellan den 26 augusti och den 27 september 2019.
I sin undersökning har den estniska tillsynsmyndigheten konstaterat vissa brister när det gäller hur den estniska dotterbanken har följt
penningtvättsregelverket. Det handlar om att det har funnits brister i kvaliteten på den information som banken har samlat in i sin kundkännedomsprocess, bland annat när det gäller information om kundernas verkliga huvudmän.
Vidare har dotterbanken i vissa fall inte vidtagit tillräckliga kundkännedoms- åtgärder och inte haft tillräckligt tydliga instruktioner för vilken kundkännedomsinformation som den ska samla in i fråga om affärsförbindelsernas syfte och art när nya kundförbindelser etableras.
Den estniska tillsynsmyndigheten har också bedömt att den estniska dotterbanken inte har haft ett tillräckligt sofistikerat monitoreringssystem i förhållande till bankens storlek och komplexitet, bland annat har övervakningsscenarierna i systemet inte beaktat bankens egna riskindikatorer.
Finansinspektionens bedömning
Finansinspektionen konstaterar att funktionen för regelefterlevnad under hela undersökningsperioden har rapporterat till ledningen och styrelsen i SEB AB att den bedömt att penningtvättsområdet har haft en hög kvarvarande risk när det gäller bristande regelefterlevnad. Funktionen för regelefterlevnad har gjort den bedömningen såväl sammantaget för gruppen som för den baltiska divisionen. Enligt SEB AB:s egen definition har banken i bedömningen av den kvarvarande risken beaktat sina interna kontroller i form av processer, rutiner och interna regler, det vill säga att trots de åtgärder som banken vidtar för att minska den inneboende risken så bedöms den kvarvarande risken som hög.
SEB AB har anfört att banken i bedömningen av den inneboende risken tar hänsyn till externa faktorer som banken själv inte kan påverka, som att tillsynsmyndigheter, marknaden, ratinginstitut, kunder, media och allmänhet kan ha ett visst område i fokus. SEB AB har uppgett att banken löpande har vidtagit åtgärder för att minska regelefterlevnadsrisken inom området penningtvätt. Trots det framgår det av funktionen för riskkontrolls rapport för kvartal 3 2018 att banken för första gången har brutit den tolerans som styrelsens risk- och kapitalutskott hade satt för den sammanlagda regel- efterlevnadsrisken. Det framgår av protokoll från risk- och kapitalutskottet att förändringen av risknivån i kvartal 3 enbart relaterar till åtgärder mot penningtvätt och att bedömningen fortfarande i januari 2019 var relevant.
Finansinspektionen kan vidare konstatera att två av SEB AB:s kontroll- funktioner – funktionen för regelefterlevnad och funktionen för internrevision
– återkommande under undersökningsperioden har rapporterat om regelefterlevnadsproblem inom centrala och väsentliga processer och områden inom arbetet med att förebygga penningtvätt. Det gäller åtgärder och processer för att uppnå kundkännedom, inklusive fastställande av verklig huvudman, respektive transaktionsmonitorering. Funktionerna har rapporterat dessa brister på lokal, baltisk och gruppnivå i olika omfattning. I motsats till vad SEB AB har gjort gällande anser Finansinspektionen att det tydligt rör sig om återkommande rapportering om problem inom i huvudsak samma områden, det vill säga kundkännedom och transaktionsmonitorering i den baltiska
verksamheten. När det gäller rapporteringen om kvarvarande hög risk inom penningtvättsområdet har SEB AB anfört att det inte specifikt rör den baltiska verksamheten. Finansinspektionen konstaterar dock att den övergripande rapporteringen inte exkluderar den baltiska verksamheten.
Finansinspektionen kan konstatera att funktionen för internrevision i sin rapportering av utförda granskningar av den baltiska verksamheten inom området penningtvätt, sammantaget har bedömt de granskade områdena som gula såväl 2016 som 2018. Det innebär att funktionen har bedömt att det finns en eller fler signifikanta frågor som kräver åtgärder för att förhindra signifikanta potentiella förluster eller att bankens rykte skadas. Enligt Finansinspektionen är detta ytterligare en indikation på att respektive dotterbanks arbete med åtgärder mot penningtvätt behöver stärkas. Även om funktionen för internrevisions bedömning inte är alarmerande, är det en signal som den verkställande direktören och styrelsen behöver agera på.
Det är enligt SEB AB korrekt att kontrollfunktionerna i flera rapporter har rapporterat om förbättringsområden och brister. Att det identifieras områden att utveckla och förbättra går dock enligt banken inte att likställa med att styrelsen och den verkställande direktören för SEB AB inte har levt upp till de krav som ställs i regelverken. Att det finns återkommande rapporter inom ett område är enligt banken i sig inte avvikande. Samtliga iakttagelser som Finansinspektionen återger från funktionen för internrevisions rapporter är enligt SEB AB åtgärdade och stängda. Iakttagelserna har oftast stängts i anslutning till en bedömd tidpunkt för färdigställande.
Vidare har SEB AB framhållit att funktionen för internrevision i varje årsrapport under perioden 2015–2019 har dokumenterat, och i samband med det muntligt rapporterat till SEB AB:s styrelse, att bankens ledning vidtar de åtgärder som krävs för att hantera rapporterade risker och brister. SEB AB pekar också på att styrelsen, som framgår av protokollen från styrelsemöten, vid vissa tillfällen har efterfrågat en bekräftelse från chefen för funktionen för internrevision om det har funnits behov för styrelsen att agera med anledning av funktionens rapport. Vid samtliga dessa tillfällen har chefen för funktionen för internrevision bekräftat att det inte har funnits något sådant behov. Banken har anfört att det mot den bakgrunden inte har funnits orsak för styrelsen att ingripa med ytterligare åtgärder än de som verksamheten redan har vidtagit.
Som framgått ovan bedömer Finansinspektionen att kontrollfunktionerna återkommande har rapporterat om problem inom i huvudsak samma områden. Finansinspektionen konstaterar också att detta har skett trots att åtgärder vid upprepade tillfällen uppges ha vidtagits eller kommer att vidtas.
När signaler om problem med regelefterlevnadsarbetet återkommer på detta sätt visar det, enligt Finansinspektionen, att bankens kontrollfunktioner och övriga organisation inte har haft förmåga att komma till rätta med bristerna. I en sådan situation kan styrelsen och verkställande direktören i en bank inte
ständigt nöja sig med besked om att åtgärder har vidtagits eller att man arbetar med problemen, oavsett om chefen för funktionen för internrevision har gett besked om att inga åtgärder från styrelsen behövs. I stället måste styrelsen och den verkställande direktören ställa sig frågan varför banken trots alla åtgärder inte tycks kunna komma tillrätta med problemen och minska riskerna, samt vidta de åtgärder som krävs för detta. Detta gäller särskilt när den kvarvarande risken för bristande regelefterlevnad har rapporterats som hög under en längre period.
Finansinspektionen konstaterar att undersökningar som har gjorts av tillsynsmyndigheterna i Estland, Lettland och Litauen har utmynnat i att man har konstaterat att de respektive baltiska dotterbankerna har gjort sig skyldiga till regelöverträdelser som tillsynsmyndigheterna har ingripit mot. De regelöverträdelser som de baltiska myndigheterna har konstaterat handlar bland annat om otillräckliga kundkännedomsåtgärder, inklusive fastställande av verklig huvudman, och problem med otillräcklig uppmärksamhet när det gäller vissa kunder. Detta är inom samma områden som bankens egna kontrollfunktioner löpande har rapporterat som problematiska under undersökningsperioden. De baltiska tillsynsmyndigheternas beslut har visserligen meddelats efter undersökningsperiodens slut, och de estniska och litauiska undersökningarna tog i huvudsak sikte på en period efter undersökningsperioden i detta ärende. Med den reservationen noterar Finansinspektionen att besluten talar för att SEB AB inte har åtgärdat alla brister som bankens kontrollfunktioner tidigare har pekat på.
Sammanfattningsvis bedömer Finansinspektionen att det är klarlagt att styrelsen och den verkställande direktören i SEB AB, mot bakgrund av att den kvarvarande regelefterlevnadsrisken på penningtvättsområdet under en längre tid har rapporterats som hög samt att det återkommande har rapporterats om problem i efterlevnaden av penningtvättsregelverket, inte har vidtagit lämpliga åtgärder med anledning av de rapporter de har fått från kontrollfunktionerna. SEB AB har därför inte, vare sig på gruppnivå eller på institutsnivå, uppfyllt kraven i 6 kap. 7 § SRK, jämfört med – när det gäller gruppnivå – 1 kap. 1 § fjärde stycket samma föreskrifter.
4.2.3 Funktionen för regelefterlevnads resurser och oberoende Iakttagelser
SEB AB har valt att lägga transaktionsmonitoreringen i funktionen för regelefterlevnad. Transaktionsmonitoreringen har enligt SEB AB varit placerad i den andra försvarslinjen under många år, i Sverige sedan 2008.
Av den dokumentation Finansinspektionen har tagit del kan det konstateras att det löpande har rapporterats avseende resurssituationen i funktionen för regelefterlevnad.
Funktionen för regelefterlevnad på gruppnivå rapporterade under 2016 att det fanns begränsade resurser för bland annat regelverksprojekt som det fjärde penningtvättsdirektivet. Det angavs även att de begränsade resurserna skulle komma att påverka genomförandet av regelverket i tid. Banken har uppgett att de begränsade resurserna främst rörde första försvarslinjen samt projektledning för projektet med att genomföra det fjärde penningtvättsdirektivet.
Funktionen för internrevision på baltisk nivå rapporterade 2016 om ett nyckelpersonberoende inom penningtvättsområdet som en väsentlig utmaning som krävde uppmärksamhet. Denna iakttagelse, liksom övriga iakttagelser från funktionen för internrevision som nämns nedan, är enligt SEB AB åtgärdade och stängda.
Från kvartal 4 2016 till kvartal 3 2017 lämnade funktionerna för internrevision och regelefterlevnad samt första försvarslinjens risk i de baltiska länderna kvartalsvis gemensamma rapporter till det baltiska revisions- och regelefterlevnadsutskottet. I rapporterna för kvartal 4 2016 och kvartal 1 2017 angavs att verksamheten i de baltiska länderna hade en resurssituation som låg under konkurrenternas. Av rapporterna för kvartal 2 och kvartal 3 2017 framgår att bemanningsnivån inom arbetet mot penningtvätt var kritiskt låg med hänsyn till utökad omfattning av aktiviteter. Vidare framgår det till exempel av rapporten för kvartal 4 2016 att den ökade balansen av ohanterade larm beror på ett ökat antal larm samt på en ansträngd resurssituation.
SEB AB har anfört att Finansinspektionens iakttagelse är delvis missvisande. Denna form av rapportering gjordes enligt banken under en period då det arbetades intensivt med förberedelser av bland annat genomförande av det fjärde penningtvättsdirektivet samt ytterligare krav i Lettland, den baltiska strategin för högriskkunder och transaktionsmonitorering.
När det gäller rapporten från kvartal 4 2016 har banken uppgett att åtgärder vidtogs eftersom ytterligare 1,2 årsarbetskrafter anställdes för monitoreringsarbetet i Lettland samt att funktionen för regelefterlevnad förutom tillfälliga arbetsgrupper löpande hade anställt nya personer för arbetet mot penningtvätt för att komma tillrätta med den ökade arbetsbelastningen under perioden. Antalet årsarbetskrafter dedikerade till arbetet mot penningtvätt mer än fördubblades i de baltiska länderna från 2016 enligt banken. Eftersom problemen med balanser av larm som inte hanterats hade återkommit under perioden har rekryteringen enligt banken successivt intensifierats.
I fråga om rapporten från kvartal 1 2017 har SEB AB anfört att åtgärder vidtogs eftersom ytterligare två personer rekryterades till funktionen för regelefterlevnad i Lettland. När det gäller rapporten från kvartal 2 2017 har banken anfört att åtgärder vidtogs eftersom ytterligare fyra personer rekryterades till det centraliserade teamet i Riga. Banken har uppgett att den, under den period då Finansinspektionen hade iakttagit att balanser av larm som
inte hanterats hade uppstått, löpande anställde fler personer till transaktions- monitoreringen.
Funktionen för regelefterlevnad har även i kvartal 4 2017 rapporterat på baltisk nivå att bemanningsnivån var kritiskt låg med hänsyn till utökad omfattning av aktiviteter. Vad gäller denna rapport har banken anfört att bemanningsnivån även rör första försvarslinjen, där det i enlighet med den nya organisationen för arbetet mot penningtvätt har tillsatts särskilda ansvariga för arbetet mot penningtvätt.
Av protokollet från ett möte i januari 2018 med styrelsens revisions- och regelefterlevnadsutskott framgår det att chefen för funktionen för regelefterlevnad på en fråga från utskottet bekräftade att funktionen hade tillräckligt med resurser.
Funktionen för internrevision på gruppnivå rapporterade kvartal 3 2018 att funktionen för regelefterlevnad behövde stärka sina resurser inom monitoreringsprocessen för penningtvätt.
I rapporten som lämnades för kvartal 4 2018 rapporterade funktionen för regelefterlevnad på baltisk nivå om resursbrist både i första och andra försvarslinjerna för arbetet mot penningtvätt. Banken har i huvudsak anfört att arbetsbelastningen var hög med anledning av bland annat nya regelverk och att funktionen för regelefterlevnad gjorde en mappning av resursbehovet med anledning av rapporten.
I december 2018 rapporterade bankens särskilt utsedde befattningshavare tillsammans med chefen för funktionen för regelefterlevnad på gruppnivå till SEB AB:s verkställande direktör de nya behov man såg i fråga om penningtvättsresurser i både första och andra försvarslinjen i koncernen, inklusive det nya behovet i den baltiska divisionen.
Av rapporten framgår att SEB-koncernen hade avsevärt färre årsarbetskrafter för transaktionsmonitorering än andra jämförbara banker. Det framgår också att SEB-koncernen lämnade betydligt färre rapporter om misstänkta transaktioner än de andra bankerna. Det framgår dock inte om innehållet i rapporten avsåg den svenska moderbanken eller gruppen i stort. SEB AB har i huvudsak anfört att uppgifterna om resursläget i andra banker som den särskilt utsedde befattningshavaren har rapporterat till den verkställande direktören inte kan läggas till grund för några iakttagelser eller slutsatser då uppgifterna är omgärdade av osäkerhet.
Av det protokoll som upprättades vid ett möte med koncernledningen den 17 december 2018 där den särskilt utsedde befattningshavarens rapport
presenterades, framgår att den verkställande direktören i SEB AB fattade beslut om att godkänna det förslag som lades fram i rapporten. Förslaget innebar en resursökning inom funktionen för regelefterlevnad på 35 personer och att de
anställda som arbetade med transaktionsmonitorering skulle utökas från 45 till 70 årsarbetskrafter vilket innebär en ökning med 55 procent. Samtidigt föreslogs att det skulle anställas fem personer för arbetet med utveckling av scenarier, vilket enligt rapporten förde antalet årsarbetskrafter som arbeta med detta till 5,5.
SEB AB har vidare uppgett att antalet årsarbetskrafter dedikerade till arbetet mot penningtvätt inom funktionen för regelefterlevnad fördelat på de baltiska dotterbankerna sett ut enligt följande.
Eftersom transaktionsmonitoreringen utförs av funktionen för regelefterlevnad har Finansinspektionen bett banken att redovisa hur många av de ovan redovisade årsarbetskrafterna inom funktionen för regelefterlevnad som arbetat med transaktionsmonitorering.
Fram till och med den sista december 2018 har det alltså funnits mellan 1 och 2 årsarbetskrafter totalt inom funktionen för regelefterlevnad i de baltiska dotterbankerna som varit dedikerade till arbetet mot penningtvätt och som inte arbetat med transaktionsmonitorering.
Finansinspektionens bedömning
Finansinspektionen konstaterar att funktionen för regelefterlevnad och funktionen för internrevision på baltisk- och gruppnivå under perioden 2016– 2018 vid flera tillfällen har rapporterat om bristande resurser för arbete mot penningtvätts.
SEB AB har i huvudsak anfört att ett kontinuerligt resurstillskott har skett till följd av kontrollfunktionernas rapportering. Vidare har banken uppgett att den under undersökningsperioden nästan tredubblat antalet årsarbetskrafter inom funktionen för regelefterlevnad i de baltiska dotterbankerna och mer än fördubblat antalet resurser inom funktionen för regelefterlevnad på gruppnivå. Det har därmed enligt banken inte funnits någon anledning för styrelsen att vidta ytterligare åtgärder. Dessutom har styrelsens revisions- och regelefterlevnadsutskott frågat chefen för funktionen för regelefterlevnad samt chefen för funktionen för internrevision om de bedömer att de haft tillräckligt med resurser, vilket de har bekräftat att de har haft. SEB AB har anfört att mot
bakgrund av vad banken nu vet om den regulatoriska utvecklingen och det ökade fokus på penningtvätt som har skett under perioden från myndigheter, investerare och allmänheten så kan banken i efterhand konstatera att en snabbare resurstillsättning hade varit att föredra.
SEB AB har anfört att det har skett en kontinuerlig resurstillsättning, men trots det konstaterar Finansinspektionen att rapporteringen om ansträngda resurser återkommit. Den särskilt utsedde befattningshavaren har så sent som i december 2018 rapporterat att banken har en resurssituation som ligger långt ifrån andra storbanker när det gäller transaktionsmonitorering. Banken har anfört att den särskilt utsedde befattningshavarens rapport om resurssituationen i banken, jämförd med situationen i vissa andra banker, är behäftad med så pass många osäkerhetsfaktorer att den inte kan ligga till grund för några iakttagelser eller slutsatser. Finansinspektionen konstaterar dock att den särskilt utsedde befattningshavaren har tillmätt uppgifterna i denna rapport så stor betydelse att denne har valt att rapportera siffrorna som gäller situationen i andra banker till verkställande direktören och koncernledningen. Till det kommer även det faktum att SEB AB:s verkställande direktör, med bland annat dessa siffror som underlag, därefter fattade beslut om ett kraftigt resurstillskott till funktionen för regelefterlevnad.
Vidare framgår att det har skett kraftfulla ökningar av resurserna som har varit dedikerade till arbetet mot penningtvätt inom funktionen för regelefterlevnad. Sedan början av undersökningsperioden är ökningen flera hundra procent.
Finansinspektionen bedömer det som uteslutet att externa faktorer ökat behovet av resurser i den omfattningen utan bedömer, mot bakgrund av den återkommande rapporteringen, att resurserna har varit otillräckliga under undersökningsperioden och framförallt under 2016, 2017 och del av 2018. En annan omständighet som står ut är att det till och med den sista december 2018 har funnits mellan en och två årsarbetskrafter totalt inom funktionen för regelefterlevnad som varit dedikerade till arbetet mot penningtvätt inom de baltiska dotterbankerna och som inte arbetat med transaktionsmonitorering.
Den kraftiga resursökningen i slutet av 2018 visar också att det besked som lämnades till styrelsen revisions- och regelefterlevnadsutskott i januari 2018 med stor sannolikhet inte gett en fullständig bild av resursbehovet.
Vad SEB AB har anfört om att det ansträngda resursläget hänger samman med att nya och omfattande regler infördes under perioden befriar inte banken från sitt ansvar. Enligt Finansinspektionens uppfattning måste hänsyn tas till sådana faktorer som nya regelverk vid resurssättningen av funktionen för regelefterlevnad.
Det framgår av 6 kap. 3 § SRK att en kontrollfunktion ska ha de resurser som krävs och tillgång till den information som behövs för att den ska kunna fullgöra sina uppgifter.
Det går inte att i absoluta tal ange vad som utgör tillräckliga resurser för första försvarslinjen eller funktionen för regelefterlevnad i en bank. Det varierar beroende på vilken typ av bank det rör sig om och hur banken ifråga har valt att organisera sig. En bedömning måste således göras utifrån bland annat bankens storlek och vilken typ av verksamhet banken bedriver.
Det är SEB AB som har disponerat över vilka resurser som försvarslinjerna ska ha. SEB AB har valt att inte tillräckligt eller snabbt nog förstärka funktionen för regelefterlevnads resurser trots att det har funnits påtagliga behov av det och trots ett flertal påpekanden. Finansinspektionen har konstaterat att SEB AB inte i tillräcklig utsträckning har identifierat och inte heller hanterat de förhöjda penningtvättsriskerna (se avsnitt 4.2.1). Det ligger nära till hands att koppla samman det med förhållandet att SEB AB inte har avdelat tillräckliga resurser för den regelefterlevnadskontroll som är särskilt viktig när bankens verksamhet i de baltiska länderna präglas av den förhöjda penningtvättsrisken. Mot denna bakgrund finner Finansinspektion att SEB AB på gruppnivå när det gäller funktionen för regelefterlevnad inte har uppfyllt kraven i 6 kap. 3 § SRK, jämfört med 1 kap. 1 § fjärde stycket samma föreskrifter.
Finansinspektionen konstaterar vidare att SEB AB organisatoriskt har placerat transaktionsmonitoreringen i den andra försvarslinjen, inom funktionen för regelefterlevnad. Bankens bedömning är att transaktionsmonitoreringen med stöd av SRK ska vara placerad i den andra försvarslinjen och att det enligt banken därmed är naturligt att det inte finns tre försvarslinjer när det gäller kontroll av transaktionsmonitoreringen. SEB AB har även anfört att det är oerhört viktigt att det är en oberoende funktion som utreder och fattar beslut om vad som ska rapporteras samt rapporterar till Finanspolisen. Den organisationsstruktur som SEB AB har valt är enligt banken vanlig inom branschen, inte minst internationellt.
En kontrollfunktion ska enligt 6 kap. 6 § 1 och 2 SRK vara oberoende, och för att den ska anses vara det ska den bland annat vara organisatoriskt skild från de funktioner och områden som den ska övervaka och kontrollera. Dess personal ska inte utföra några uppgifter som ingår i verksamheten som personalen ska övervaka och kontrollera. Finansinspektionen konstaterar att SRK inte ställer något krav på att transaktionsmonitoreringen ska utföras av en funktion i andra försvarslinjen. Transaktionsmonitorering syftar inte till att övervaka och kontrollera om de transaktioner som genomförs efterlever regelverken, utan till att identifiera aktiviteter och transaktioner som kan utgöra misstänkt penningtvätt eller finansiering av terrorism. Om uppgiften utförs i funktionen för regelefterlevnad måste det finnas oberoende kontroller av detta arbete i den utsträckning som framgår av regelverket. Kravet på en bank att arbeta utifrån tre försvarslinjer omfattar alltså även transaktionsmonitoreringen. Vidare konstaterar Finansinspektionen att funktionen för regelefterlevnad inom den baltiska divisionen och på gruppnivå från 2015 till 2017 kontrollerat och övervakat arbetsuppgifter som funktionen själv har utfört då den rapporterat om brister inom transaktionsmonitoreringen. Mot bakgrund av detta bedömer Finansinspektionen att SEB AB inte har haft en regelefterlevnadsfunktion som
har varit oberoende eftersom den utfört uppgifter som ingår i verksamheten som den ska övervaka och kontrollera, i det här fallet transaktions- monitoreringen. Finansinspektionen finner därför att SEB AB på gruppnivå inte har sett till att funktionen för regelefterlevnad uppfyllt kravet på oberoende enligt 6 kap. 6 § SRK, jämförd med 1 kap. 1 § fjärde stycket samma föreskrifter.
5 Överväganden om ingripande
5.1 Tillämpliga bestämmelser
Av 15 kap. 1 § LBF framgår bland annat att Finansinspektionen ska ingripa om ett kreditinstitut har åsidosatt sina skyldigheter enligt den lagen, andra författningar som reglerar institutets verksamhet eller enligt interna instruktioner som har sin grund i författningar som reglerar institutets verksamhet. Finansinspektionen kan ingripa genom att förelägga ett institut att vidta rättelse eller genom att ge institutet en anmärkning. Om överträdelsen är allvarlig ska kreditinstitutets tillstånd återkallas eller, om det är tillräckligt, en varning meddelas.
Av 15 kap. 1 b § första stycket LBF framgår att Finansinspektionen vid valet av sanktion ska ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till överträdelsens art, överträdelsens konkreta och potentiella effekter på det finansiella systemet, skador som uppstått och graden av ansvar.
Enligt 15 kap. 1 b § andra stycket LBF får Finansinspektionen avstå från ingripande om en överträdelse är ringa eller ursäktlig, om kreditinstitutet gör rättelse eller om någon annan myndighet har vidtagit åtgärder mot institutet och dessa åtgärder bedöms tillräckliga.
Av 15 kap. 1 c § första stycket LBF framgår att, utöver det som anges i 1 b §, ska det beaktas i försvårande riktning om kreditinstitutet tidigare har begått en överträdelse. Vid denna bedömning bör särskild vikt fästas vid om överträdelserna är likartade och hur lång tid som har gått mellan de olika överträdelserna.
Enligt 15 kap. 1 c § andra stycket LBF ska det beaktas i förmildrande riktning om institutet i väsentlig mån genom ett aktivt samarbete har underlättat Finansinspektionens utredning och om institutet snabbt har upphört med överträdelsen sedan den anmälts eller påtalats av Finansinspektionen.
Finansinspektionen får enligt 15 kap. 7 § LBF förena en anmärkning eller varning med en sanktionsavgift.
I 15 kap. 8 § LBF anges gränserna för storleken på en sanktionsavgift. Enligt den lydelse som gällde före den 1 augusti 2017 ska sanktionsavgiften fastställas till högst
1. tio procent av kreditinstitutets omsättning närmast föregående räkenskapsår,
2. två gånger den vinst som institutet gjort till följd av regelöverträdelsen, om beloppet går att fastställa, eller
3. två gånger de kostnader som institutet undvikit till följd av regel- överträdelsen, om beloppet går att fastställa.
Den 1 augusti 2017 ändrades bestämmelsen genom att ett nytt, alternativt, tak för sanktionsavgiften lades till utöver punkterna 1–3 ovan, nämligen ett belopp motsvarande fem miljoner euro.
En ny ändring av bestämmelsen trädde i kraft den 2 augusti 2017. Punkten 1 ovan ändrades då på så sätt att det numera anges att sanktionsavgiften ska bestämmas till högst tio procent av kreditinstitutets omsättning eller, i förekommande fall, motsvarande omsättning på koncernnivå närmast föregående räkenskapsår. De övriga punkterna ändrades inte på något sätt som nu är av intresse.
Av övergångsbestämmelserna till de ändringar av 15 kap. 8 § LBF som nämns ovan, framgår att äldre bestämmelser gäller för överträdelser som ägt rum före ikraftträdandet av respektive lagändring.
Av 15 kap. 8 § LBF framgår vidare att sanktionsavgiften inte får bestämmas till ett lägre belopp än 5 000 kronor. Avgiften får inte vara så stor att institutet därefter inte uppfyller kraven enligt 6 kap. 1 § LBF, det vill säga att avgiften inte får vara så stor att institutets förmåga att fullgöra sina förpliktelser äventyras.
När sanktionsavgiften fastställs ska, enligt 15 kap. 9 § LBF, särskild hänsyn tas till sådana omständigheter som anges i 1 b och 1 c §§ samt till institutets finansiella ställning och, om det går att fastställa, till den vinst som institutet har gjort till följd av överträdelsen.
5.2 SEB AB:s yttrande
SEB AB har anfört att banken anser att Finansinspektionen saknar grund att ingripa mot banken med stöd av 15 kap. 1 § LBF.
SEB AB har under undersökningen uppgett att banken under ett flertal år har vidtagit en rad aktiviteter inom penningtvättsområdet för att åtgärda brister och förbättringsområden som banken har identifierat, och de sammantagna bristerna har därför minskat trots ökade regelverkskrav som införts i flera omgångar. Enligt banken har viktiga åtgärder bland annat varit den nya baltiska strategin för utländska kunder samt inrättandet av särskilda kundkännedoms- enheter för att hantera den periodiska uppföljningen av högriskkunder. Xxxxxx har även uppgett att den har vidtagit omfattande åtgärder för att uppdatera kundkännedomen på befintliga kunder samt att transaktionsmonitoreringen till
stor del har centraliserats för att öka kvaliteten och att nya scenarier för monitoreringen löpande har utvecklats.
Enligt SEB AB har den nya organisationsstrukturen för penningtvätt möjliggjort för banken att utveckla verksamheten mer samlat och koordinerat inom gruppen, i syfte att skapa bättre möjligheter att uppnå önskad effekt av de åtgärder verksamheten vidtar och harmonisera kundkännedomsprocessen globalt. I december 2018 fattade verkställande direktören beslut om att ytterligare resurser skulle tillsättas inom detta område. Genom dessa ytterligare resurser, både inom första och andra försvarslinjen, kunde flera initiativ startas under kvartal 1 2019. Arbetet inkluderar både förbättring av datakvalitet och förstärkning av bankens verktyg för att hantera risker relaterade till penningtvätt. Utvecklingsarbetet inom SEB har fortsatt även efter undersökningsperioden.
SEB AB har också uppgett att bankens framåtblickande förbättringsarbete inom penningtvättsområdet i dag primärt består av fem huvudsakliga områden varav ett är ett program som gäller screening och transaktionsmonitorering.
Bankens verkställande direktör beslutade om programmet som formaliserades under våren och sommaren 2019.
5.3 Bedömning av överträdelserna
Finansinspektionens undersökning visar att det har funnits brister i SEB AB:s styrning och kontroll av åtgärder mot penningtvätt i de baltiska dotterbankerna. De konstaterade bristerna har inneburit att SEB AB har åsidosatt sina skyldigheter enligt LBF och SRK.
Överträdelserna kan inte anses som ringa eller ursäktliga. Finansinspektionen anser inte att den omständigheten att SEB AB numera har vidtagit, och planerar att vidta, åtgärder för att komma tillrätta med bristerna kan medföra att myndigheten ska avstå från att ingripa mot banken. Inte heller har någon annan myndighet vidtagit tillräckliga åtgärder mot SEB AB på grund av överträdelserna. Sammanfattningsvis anser Finansinspektionen alltså att de konstaterade överträdelserna har varit sådana att det finns skäl att ingripa mot SEB AB.
5.4 Val av ingripande
Vid valet av ingripande ska Finansinspektionen bland annat ta hänsyn till hur allvarliga överträdelserna har varit och hur länge de har pågått. Särskild hänsyn ska tas till överträdelsernas art, deras konkreta och potentiella effekter på det finansiella systemet, skador som har uppstått och graden av ansvar.
När det gäller hur länge överträdelserna har pågått konstaterar Finansinspektionen att bristerna, i varierande omfattning, har funnits under hela undersökningsperioden, det vill säga under drygt fyra år. Detta måste i sammanhanget i och för sig anses vara en förhållandevis lång tid. Det är
försvårande att bristerna har funnits så länge, särskilt som de kontinuerligt har rapporterats till såväl den verkställande direktören som styrelsen i SEB AB och då denna rapportering, tillsammans med rapporteringen om att den kvarvarande regelefterlevnadsrisken på penningtvättsområdet bedömdes som hög, borde ha uppfattats som oroväckande. Samtidigt måste det vägas in att i de delar av den baltiska verksamheten där exponeringen mot utländska kunder var som högst i början av undersökningsperioden har den också gradvis minskat väsentligt.
SEB AB har även vidtagit andra åtgärder under undersökningsperioden genom att exempelvis anta en konsoliderad allmän riskbedömning och en reviderad baltisk strategi för utländska kunder. Även om Finansinspektionen har bedömt att dessa åtgärder var sent påkomna och inte tillräckliga för att rätta till problemet, har de inneburit att omfattningen av bristerna har varit som störst i början av undersökningsperioden.
I fråga om överträdelsernas art anser Finansinspektionen att brister i styrning och kontroll i och för sig i vissa fall kan få så stora konsekvenser för en banks möjligheter att leva upp till kravet på att motverka penningtvätt att överträdelserna måste betraktas som allvarliga. I det aktuella fallet anser dock Finansinspektionen att bristerna inte har varit av den arten.
Överträdelserna har i detta fall inte lett till några konkreta effekter på det finansiella systemet. De har dock haft vissa potentiella effekter. Bristerna i styrning och kontroll av verksamheten i de baltiska dotterbankerna har medfört att såväl SEB AB som dotterbankerna har exponerats för risker. Vidare har bristerna kunnat leda till att det finansiella systemet i ökad omfattning utnyttjas för penningtvätt och finansiering av terrorism. Dessutom kan de leda till att förtroendet för systemet skadas.
I fråga om ”graden av ansvar” uttalas i förarbetena att det innebär en möjlighet för Finansinspektionen att i lindrande riktning beakta om en överträdelse beror på ett beteende som av särskilda omständigheter är att betrakta som mindre klandervärt än annars (prop. 2013/14:228 s. 240). Några sådana omständigheter finns inte i detta fall.
Sammantaget bedömer Finansinspektionen att överträdelserna inte kan anses allvarliga i den mening som avses i 15 kap. 1 § andra stycket LBF. Det är därför inte aktuellt att överväga att återkalla SEB AB:s tillstånd eller att meddela banken en varning. Finansinspektionen ger därför SEB AB en anmärkning, som ska förenas med en sanktionsavgift.
Finansinspektionen måste först fastställa det högsta belopp som sanktionsavgiften får uppgå till (”taket” för sanktionsavgiften). Det har inte gått att fastställa vilken vinst SEB AB har gjort, eller vilka kostnader banken har undvikit, till följd av regelöverträdelsen. Ett tak för sanktionsavgiften bestämt utifrån bankens, eller koncernens, omsättning (se nedan) kommer att överstiga ett belopp motsvarande fem miljoner euro. Taket för sanktionsavgiften ska därför bestämmas utifrån omsättningen.
Som framgår i avsnitt 5.1 ändrades en av beräkningsgrunderna för det högsta beloppet för en sanktionsavgift genom en lagändring som trädde i kraft den 2 augusti 2017. Medan sanktionsavgiften tidigare fick uppgå till högst tio procent av bankens omsättning närmast föregående räkenskapsår, får den numera, i förekommande fall, uppgå till högst tio procent av motsvarande omsättning på koncernnivå. Eftersom SEB AB ingår i en koncern är den nya lydelsen av bestämmelsen tillämplig.
Av övergångsbestämmelserna till lagändringen framgår emellertid att äldre bestämmelser gäller för överträdelser som har ägt rum före ikraftträdandet av ändringen.
Om överträdelsen hade upphört före ikraftträdandet skulle således taket för sanktionsavgiften ha bestämts av den tidigare lydelsen av 15 kap. 8 § LBF. När, som i detta fall, en överträdelse pågår under en längre tid och en lagändring som gör det möjligt att besluta om en strängare sanktion än tidigare träder i kraft under den tid som överträdelsen pågår, uppkommer frågan om hur sanktionen ska bestämmas med utgångspunkt i lagändringen.
Finansinspektionen har i tidigare beslut uttalat att om överträdelsen påbörjas strax före, eller avslutas strax efter, ikraftträdandet av lagändringen kan det finnas skäl att bestämma sanktionsavgiftens storlek med tillämpning av det regelverk som gällt under huvuddelen av den aktuella tiden (Finansinspektionens beslut den 13 september 2016 i FI Dnr 15-13887). I samma beslut fann Finansinspektionen att utgångspunkten i andra fall bör vara att ett tänkt tak för sanktionsavgiften bestäms utifrån hur stor del av överträdelsen som har skett före respektive efter lagändringen.
I det aktuella fallet har överträdelserna pågått under hela undersöknings- perioden, det vill säga från och med 2015 till och kvartal 1 2019.
Överträdelserna har således pågått något längre tid före lagändringen i augusti 2017 än efter den tidpunkten. Skillnaden är dock inte större än att Finansinspektionen finner att det är rimligt att bestämma taket till ett medelvärde av de högsta sanktionsavgifterna enligt de båda tillämpliga bestämmelserna.
SEB AB:s omsättning uppgick 2019 till 66,93 miljarder kronor, medan motsvarande omsättning på koncernnivå uppgick till 72,63 miljarder kronor. Taket för sanktionsavgiften enligt äldre bestämmelser uppgår därför till
6,69 miljarder kronor, och enligt de nya bestämmelserna uppgår det till
7,26 miljarder kronor. Medelvärdet av dessa belopp uppgår till 6,97 miljarder kronor, vilket Finansinspektionen alltså finner är taket för sanktionsavgiften.
Sanktionsavgiftens storlek ska ses som en gradering av överträdelserna. När Finansinspektionen bestämmer storleken på en sanktionsavgift ska myndigheten ta särskild hänsyn till sådana omständigheter som också ska beaktas vid valet av sanktion, samt till bankens finansiella ställning och, om det går att fastställa, den vinst som institutet gjort till följd av regelöverträdelsen.
Som framgår ovan har Finansinspektionen inte kunnat fastställa storleken på en sådan vinst.
En omständighet som Finansinspektionen ska beakta i försvårande riktning är om banken tidigare har begått en överträdelse.
Finansinspektionen har vid ett par tidigare tillfällen beslutat om en sanktion mot SEB AB. Det senaste av dessa beslut meddelades den 20 juni 2017 och gällde att banken under en längre tid hade rapporterat transaktioner felaktigt till Finansinspektionen.24 I beslutet fann Finansinspektionen vidare att de kontroller som banken hade vidtagit inte hade varit ändamålsenliga och tillräckliga och att banken därför inte hade levt upp till kraven på tillfredsställande intern kontroll i den del av verksamheten som transaktionsrapporteringen avsåg. Finansinspektionen gav i beslutet SEB AB en anmärkning som förenades med en sanktionsavgift på 12 miljoner kronor.
Finansinspektionen konstaterar att det bara är tre år sedan det senaste sanktionsbeslutet mot SEB AB meddelades. Även om också det beslutet delvis gällde intern kontroll så kan det inte anses ha varit fråga om en likartad överträdelse. Finansinspektionen anser därför att den tidigare överträdelsen endast i mindre utsträckning ska beaktas i försvårande riktning.
När det gäller de andra tidigare sanktionsbesluten mot SEB AB bedömer Finansinspektionen att det med hänsyn till vad de överträdelserna gällde och den tid som har gått sedan de ägde rum – senast 2011 – inte finns skäl att beakta dem när sanktionsavgiftens storlek bestäms.
I förmildrande riktning ska Finansinspektionen beakta om en bank i väsentlig mån har underlättat Finansinspektionens utredning genom ett aktivt samarbete och snabbt har upphört med överträdelsen sedan den anmälts till eller påtalats av Finansinspektionen. För att samarbete ska beaktas bör det enligt förarbetena (prop. 2013/14:228 s. 241) krävas att banken självmant för fram viktig information som Finansinspektionen inte själv redan förfogar över eller med lätthet kan få fram.
Enligt Finansinspektionens uppfattning har SEB AB:s samarbete under undersökningen inte varit mer aktivt än vad som rimligen kan förväntas av ett företag under tillsyn. Det har alltså inte varit av sådant slag att SEB AB i väsentlig mån kan anses ha underlättat Finansinspektionens utredning genom ett aktivt samarbete och bör därför inte i övrigt anses utgöra en förmildrande omständighet.
SEB AB har inte heller, givet omfattningen och komplexiteten av nödvändiga åtgärder, snabbt kunnat upphöra med överträdelsen sedan den anmälts till eller påtalats av Finansinspektionen. I övrigt har Finansinspektionen ovan redogjort
24 FI Dnr 16-4646.
för sin bedömning av överträdelserna. De omständigheter som där har anförts som grund för valet av sanktion är sådana som även bör beaktas vid bestämmande av sanktionsavgiftens storlek.
Som framgått tidigare har banken under undersökningsperioden vidtagit åtgärder som har lett till att bristerna i slutet av undersökningsperioden var påtagligt mindre än i början. Detta bör beaktas i förmildrande riktning. Det innebär att sanktionsavgiften kan bestämmas till ett måttligt belopp.
Finansinspektionen fastställer sanktionsavgiften till 1 000 000 000 kronor. Denna sanktionsavgift är inte så stor att SEB AB på grund av avgiften inte uppfyller soliditets- och likviditetskraven enligt 6 kap. 1 § LBF. Bestämmelsen i 15 kap. 8 § tredje stycket LBF, som anger att en sanktionsavgift inte får vara så stor att banken därefter inte uppfyller kraven enligt 6 kap. 1 § samma lag, påverkar därför inte avgiftens storlek.
Sanktionsavgiften tillfaller staten och faktureras av Finansinspektionen när beslutet har vunnit laga kraft.
FINANSINSPEKTIONEN
Xxxx-Xxxx Xxxxxxxxx
Styrelseordförande
Xxx Xxxxxxxxx Xxxxxx Xxxxxxx
Senior rådgivare Rådgivare
Beslut i detta ärende har fattats av Finansinspektionens styrelse (Xxxx-Xxxx Xxxxxxxxx, ordförande, Xxxxx Xxxxxxxx Xxxxxxxxxx, Xxxxx Xxxxxxx, Xxxxx Xxxxx, Xxxxxx Xxxxxxx, Xxxx Xxxxxxx, Xxxxxxxxx Xxxxxxx och Xxxx Xxxxxxx, generaldirektör) efter föredragning av den seniora rådgivaren Xxx Xxxxxxxxx och rådgivaren Xxxxxx Xxxxxxx. I den slutliga handläggningen av ärendet har även avdelningschefen Xxx Xxxxxx och juristen Xxxxxx Xxxxxxxxxx deltagit.
Bilagor
Bilaga 1 – Hur man överklagar
Kopia: SEB AB:s verkställande direktör
D E L G I V N I N G S K V I T T O
FI Dnr 19-8698
Delgivning nr 1
Finansinspektionen
Box 7821
SE-103 97 Stockholm
[Xxxxxxxxxxx 0]
Tel x00 0 000 000 00
Fax x00 0 00 00 00
xxxxxxxxxxxxxxxxxx@xx.xx xxx.xx.xx
Anmärkning och sanktionsavgift
Handling:
Beslut avseende anmärkning och sanktionsavgift till Skandinaviska Enskilda Banken AB meddelat den 25 juni 2020
Jag har denna dag tagit del av handlingen.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DATUM NAMNTECKNING
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . NAMNFÖRTYDLIGANDE
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . EV. NY ADRESS
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Detta kvitto ska sändas tillbaka till Finansinspektionen omgående. Om kvittot inte skickas tillbaka kan delgivning ske på annat sätt, t.ex. genom stämningsman.
Om du använder det bifogade kuvertet är återsändandet gratis. Glöm inte att ange datum för mottagandet.
Bilaga 1
Hur man överklagar
Om ni anser att beslutet är felaktigt kan ni överklaga det genom att skriva till förvaltningsrätten. Ställ överklagandet till Förvaltningsrätten i Stockholm, men skicka det till Finansinspektionen, Box 7821, 103 97 Stockholm, eller till xxxxxxxxxxxxxxxxxx@xx.xx.
Ange följande i överklagandet:
• Namn, personnummer eller organisationsnummer, postadress, e-postadress och telefonnummer
• Vilket beslut ni överklagar och ärendets nummer
• Vilken ändring ni vill ha och varför ni anser att beslutet ska ändras.
Om ni anlitar ett ombud, ska ombudets namn, postadress, e-postadress och telefonnummer anges.
Överklagandet ska ha kommit in till Finansinspektionen inom tre veckor från den dag ni fått del av beslutet.
Om överklagandet har kommit in i rätt tid kommer Finansinspektionen att pröva om beslutet ska ändras och sedan skicka överklagandet, handlingarna i det överklagade ärendet och eventuellt nytt beslut till Förvaltningsrätten i Stockholm.