Kapitalforvaltning | Klarna ilagt gebyr på SEK 500 millioner for svakheter i anti-hvitvaskingsarbeidet: lærdommer og muligheter for norske forvaltere

Den svenske Finansinspektionen offentliggjorde i dag at bankforetaket Klarna Bank AB (Klarna) ilegges overtredelsesgebyr på SEK 500 millioner for brudd på svenske hvitvaskingsregler. Gebyret mot Klarna føyer seg inn i rekken av saker, både i Norge og andre skandinaviske land, hvor tilsynsmyndigheter reagerer på svake interne rutiner og risikovurderinger. Sakene har visse likhetstrekk med hensyn til hvor det går galt. For norske forvaltere er det nyttige lærdommer å ta med seg fra tilsynet mot Klarna.

Kort om sakens bakgrunn

Et av Klarnas viktigste produkter er å tilby en «checkout»-løsning i forbindelse med handel på nett, hvor kunder kan betale gjennom faktura eller ved avbetaling. Det er særlig faktura-løsningen og Klarnas rutiner for dette produktet som er bakgrunnen for Finansinspektionens vedtak. Som et foretak underlagt den svenske hvitvaskingsloven er Klarna pålagt å gjennomføre en virksomhetsinnrettet risikovurdering, som blant annet skal ta konkret for seg den risikoen som foretaket utsettes for gjennom sine produkter og tjenester. På tilsvarende vis som etter norske regler skal risikovurderingen danne grunnlaget for de AML-tiltak som foretaket utfører overfor sine kunder. Det er derfor sentralt at risikovurderingen er grundig og tilpasset den faktiske virksomheten.

Overordnet risikovurdering og feil vurdering av hvem som er Klarnas «kunder»

Hovedbegrunnelsen i Finansinspektionens vedtak er at Klarnas risikovurdering ikke var tilstrekkelig spesifikk for de produkter og tjenester foretaket tilbyr. Risikovurderingen var overordnet og generell, uten å analysere hvilke risikomomenter som er av særlig betydning for Klarnas virksomhet. En sentral svakhet var Klarnas vurdering av hvem foretakets «kunder» egentlig er i tilknytning til bruk av Klarnas faktura-tjeneste. Konkret var dette et spørsmål om nettbutikkene vs. konsumentene (som handler i nettbutikkene).

  • Klarnas vurdering var at nettbutikkene, som foretaket har avtale med, var foretakets kunde. Konsumentene ble derimot ansett som «kunders kunder», med den konsekvens at Klarna ikke hadde utarbeidet rutiner og retningslinjer for å gjennomføre AML-tiltak overfor disse.
  • Finansinspektionen var ikke enig i dette. Etter tilsynets vurdering hadde konsumentene, som rent faktisk bruker faktura-løsningen, en slik tilknytning til Klarna og deres produkttilbud at foretaket måtte gjennomføre AML-tiltak overfor disse.

Klarna-saken gir et godt bilde på at foretak må forstå hva «kundene» i sin virksomhet er, og andre foretak må stille seg det samme spørsmålet – og vurdere dette nøye.

I utmålingen av gebyret la Finansinspektionen vekt på at Klarnas overtredelse gjaldt nettopp foretakets risikovurdering, som er en av de mest sentrale deler av hvitvaskingsregelverket. Klarna argumenterte med at det ikke var påvist noen konkrete skader eller negative konsekvenser som følge av overtredelsene, uten at dette førte frem.

BAHR mener

Saken viser hvor sentralt det er at foretak gjør en innsats for å analysere hvordan, og i hvilken grad, foretaket er utsatt for hvitvaskingsrisiko. Særlig viktig er det å finne ut hvilke situasjoner loven krever at foretaket må gjøre tiltak, og å utarbeide rutiner som er tilpasset disse situasjonene. For kapitalforvaltere vil eksempelvis investorene i fond under forvaltning være «kunder», selv om forvalter ikke «selger» noe til investorene eller yter tjenester direkte til disse.

Vår erfaring er at mange foretak stadig blir sitt ansvar mer bevisst, som gjenspeiles i at risikovurderingene deres blir mer omfattende og detaljerte i takt med at kildetilfanget øker (nasjonale og internasjonale risikovurderinger, landvurderinger, bransjespesifikke risikovurderinger, for å nevne noe). Dette utgjør gode rammer for den jobben foretaket må gjøre med å analysere sin egen virksomhet.

Klarna-saken er likevel et tydelig eksempel på at tilsynsmyndigheter ikke er tilfreds alene ved at et foretak har utarbeidet en risikovurdering. Det er nemlig ikke alle risikoer som er (like) relevant for ethvert foretak. Det «skjemavelde» som preger mange foretak kan på den ene siden bidra til god informasjonsinnhenting, men er kostbart og tidkrevende. Ved å utarbeide en god, virksomhetsinnrettet risikovurdering kan foretak med «loven i hånd» prioritere og nedprioritere hvilke tiltak som gjennomføres, og enkelt sagt hvor dypt man må grave, gjennom en risikobasert tilnærming. Slik vil også foretaket bli best mulig utrustet for å beskytte virksomheten mot økonomisk kriminalitet, og for å etterleve legale krav.

Det er med andre ord ikke nok å «bestille» en risikovurdering som inneholder mange gode kilder og generelle vurderinger. For kapitalforvaltere er det sentralt at risikovurderingen ikke må puttes i skuffen, men brukes aktivt for å styre anti-hvitvaskingsarbeidet. Ikke minst må risikovurderingen oppdateres i takt med at virksomheten utvikler seg, eksempelvis ved etablering av nye fond, investeringer i nye jurisdiksjoner og sektorer, onboarding av ulike investortyper, og så videre.

Vi minner om at Finanstilsynet forventer at risikovurderingen oppdateres minimum årlig.

Download / Les Finansinspektionens rapport
Share aticle to
Loading video ...
close