SolvencyTool logo
Home / Acts & Regulations / Solvency II Guidelines / Endelige retningslinjer

Endelige retningslinjer

Language: NL ES DA EN DE PT IT FR SV
Download PDF
JOINT COMMIT TEE OF THE EUROPEAN
SUPE RVISORY AUTHO RITIE S
JC 2017 37
04/01/2018

Endelige retningslinjer

De fælles retningslinjer i henhold til artikel 17 og 18, stk. 4, i direktiv (EU) 2015/849 om lempede og skærpede kundekendskabskrav og de faktorer, kredit- og finansieringsinstitutter bør overveje, når de vurderer risikoen for hvidvask af penge og finansiering af terrorisme i forbindelse med de enkelte forretningsforbindelser og lejlighedsvise transaktioner

Retningslinjer for risikofaktorer

Efterlevelses- og indberetningspligt

Status for disse fælles retningslinjer

Dette dokument indeholder fælles retningslinjer udstedt i medfør af artikel 16 og artikel 56, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/78/EF, forordning (EU) nr. 1094/2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger) og forordning (EU) nr. 1095/2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed) – “ESA-forordningerne”. I henhold til ESA-forordningernes artikel 16, stk. 3, skal de kompetente myndigheder og finansielle institutioner bestræbe sig på bedst muligt at efterleve disse retningslinjer.

Retningslinjerne beskriver ESA’ernes syn på passende tilsynspraksis inden for det europæiske finanstilsynssystem eller på, hvordan EU-retten bør anvendes inden for et bestemt område. Kompetente myndigheder, som er omfattet af de fælles retningslinjer, bør efterleve disse ved at indarbejde dem i deres tilsynspraksis på passende måde (f.eks. ved at ændre deres lovgivning eller tilsynsprocesser), også hvor de fælles retningslinjer primært er rettet mod institutter.

Indberetningspligt

I henhold til ESA-forordningernes artikel 16, stk. 3, skal de kompetente myndigheder underrette den relevante ESA om, hvorvidt de efterlever eller agter at efterleve disse fælles retningslinjer, eller angive en begrundelse for eventuel manglende efterlevelse [senest to måneder efter offentliggørelsen af alle oversættelser på ESA’ernes hjemmeside – 05/03/2018]. Hvis den relevante ESA ikke er blevet underrettet inden denne dato, anser den de kompetente myndigheder for ikke at efterleve retningslinjerne. Underretninger fremsendes til [compliance@eba.europa.eu, compliance@eiopa.europa.eu og compliance@esma.europa.eu] med referencen “JC/GL/2017/37”. En skabelon til brug ved underretning findes på ESA’ernes hjemmesider. Underretninger fremsendes af personer med behørig beføjelse til at indberette efterlevelse på vegne af deres kompetente myndigheder.

Underretninger offentliggøres på ESA’ernes hjemmesider i henhold til artikel 16, stk. 3.

Afsnit I – Emne, anvendelsesområde og definitioner

Emne

    1. I disse retningslinjer fastsættes de faktorer, selskaber bør overveje, når de vurderer risikoen for hvidvask af penge og finansiering af terrorisme (ML/TF) i forbindelse med forretningsforbindelser og lejlighedsvise transaktioner. Det fastsættes ligeledes, hvordan selskaber bør justere omfanget af deres kundekendskabsprocedurer på en måde, der står i et rimeligt forhold til den ML/TF-risiko, de har afdækket.
    1. I disse retningslinjer er der fokus på risikovurderinger af de enkelte forretningsforbindelser og lejlighedsvise transaktioner, men selskaber kan ligeledes anvende disse retningslinjer med de fornødne ændringer ved vurdering af ML/TF-risikoen for hele virksomheden i henhold til artikel 8 i direktiv (EU) 2015/849.
    1. De faktorer og foranstaltninger, der er beskrevet i disse retningslinjer, er ikke udtømmende, og selskaber bør tage andre relevante faktorer og foranstaltninger i betragtning.

Anvendelsesområde

    1. Disse retningslinjer er rettet til kredit- og finansieringsinstitutter som defineret i artikel 3, stk. 1 og 2, i direktiv (EU) 2015/849 og til kompetente myndigheder, der fører tilsyn med disse selskabers overholdelse af deres forpligtelser til at bekæmpe hvidvask af penge og finansiering af terrorisme (AML/CFT).
    1. De kompetente myndigheder bør anvende disse retningslinjer ved vurderingen af, hvorvidt selskabernes risikovurderinger og AML/CFT-politikker og -procedurer er tilstrækkelige.
    1. De kompetente myndigheder bør ligeledes overveje, i hvilket omfang disse retningslinjer kan anvendes ved vurderingen af ML/TF-risikoen relateret til deres sektor, hvilket indgår i den risikobaserede tilgang til tilsyn. ESA’erne har udstedt retningslinjer for risikobaseret tilsyn i henhold til artikel 48, stk. 10, i direktiv (EU) 2015/849.
    1. Retningslinjerne omfatter ikke overholdelse af de europæiske sanktionsordninger i den finansielle sektor.

Definitioner

  1. I disse retningslinjer finder følgende definitioner anvendelse:
  • “kompetente myndigheder”: de myndigheder, der har ansvaret for at sikre, at selskaber overholder kravene i direktiv (EU) 2015/849 som omsat i national lovgivning1
  • “selskaber”: kredit- og finansieringsinstitutter som defineret i artikel 3, stk. 1 og 2, i direktiv (EU) 2015/849.
  • “jurisdiktioner, som er forbundet med en højere ML/TF-risiko”: lande, der udgør en højere ML/TF-risiko baseret på en vurdering af de risikofaktorer, der er fastsat i afsnit II i disse retningslinjer. Denne definition omfatter, men er ikke begrænset til, “højrisikotredjelande”, der er identificeret som lande, der har strategiske mangler i deres AML/CFT-ordninger, som udgør betydelige trusler mod Den Europæiske Unions finansielle system (artikel 9 i direktiv (EU) 2015/849).
  • “lejlighedsvis transaktion”: en transaktion, som ikke foretages som led i en forretningsforbindelse som defineret i artikel 3, stk. 13, i direktiv (EU) 2015/849.
  • “klientkonto”: en bankkonto, der er oprettet af en kunde, f.eks. en advokat eller notar, til opbevaring af deres klienters penge. Klienternes penge samles, men klienterne kan ikke give banken direkte instrukser om at foretage transaktioner.
  • “risiko”: sandsynligheden for, at hvidvask af penge (ML) og finansiering af terrorisme (TF) finder sted, og virkningerne heraf. Ved risiko forstås den iboende risiko, dvs. risikoniveauet før begrænsning. Det omfatter ikke den resterende risiko, dvs. risikoniveauet efter begrænsende foranstaltninger.
  • “risikofaktorer”: variabler, som enten alene eller i kombination kan øge eller mindske ML/TF-risikoen i forbindelse med en enkelt forretningsforbindelse eller lejlighedsvis transaktion.
  • “risikobaseret tilgang”: en tilgang, hvorved kompetente myndigheder og selskaber afdækker, vurderer og forstår de ML/TF-risici, selskaber er eksponeret for, og træffer de AML/CFT-foranstaltninger, som står i forhold til de pågældende risici.
  • “indtægtskilder”: oprindelsen af de midler, der er omfattet af en forretningsforbindelse eller lejlighedsvis transaktion. Det omfatter både den aktivitet, der har genereret midlerne anvendt i forretningsforbindelsen, f.eks. kundens løn, samt metoderne for overførsel af kundens midler.
  • “formuekilder”: oprindelsen af kundens samlede formue, f.eks. arv eller opsparing.

1 Artikel 4, stk. 2, nr. ii), i forordning (EU) nr. 1093/2010, artikel 4, stk. 2, nr. ii), i forordning (EU) nr. 1094/2010 og artikel 4, stk. 3, nr. ii), i forordning (EU) nr. 1095/2010.

Afsnit II – Vurdering og forvaltning af risici: generelt

    1. Disse retningslinjer er opdelt i to dele. Afsnit II er et generelt afsnit, der gælder for alle selskaber. Afsnit III er sektorspecifik. Afsnit III kan ikke stå alene og bør læses i sammenhæng med afsnit II.
    1. Selskabers tilgang til vurdering og forvaltning af ML/TF-risikoen i forbindelse med forretningsforbindelser og lejlighedsvise transaktioner bør omfatte følgende:
    • Samlede risikovurderinger for virksomheden

En samlet risikovurdering for virksomheden skal hjælpe selskaberne med at afdække, indenfor hvilke forretningsområder de er eksponeret for ML/TF-risici, og hvilke af deres forretningsaktiviteter de bør prioritere i bekæmpelsen af ML/TF. Selskaberne bør, i overensstemmelse med artikel 8 i direktiv (EU) 2015/849, identificere og vurdere den ML/TF-risiko, der er forbundet med tilbudte produkter og tjenesteydelser, de jurisdiktioner, selskaberne opererer i, deres kunder, samt de transaktions- eller leveringskanaller, selskaberne anvender til at betjene deres kunder. De skridt, som selskaberne tager for at identificere og vurdere virksomhedens ML/TF-risiko, bør stå i rimeligt forhold til det enkelte selskabs karakter og størrelse. Selskaber, der ikke tilbyder komplekse produkter eller tjenesteydelser, og som ikke eller kun i begrænset omfang er internationalt eksponeret, har muligvis ikke behov for en kompleks eller sofistikeret risikovurdering.

Kundekendskabsprocedurer

Selskaberne bør anvende resultaterne af deres samlede risikovurdering for virksomheden som grundlag for fastsættelsen af et passende niveau for de kundekendskabsprocedurer, som de vil anvende i forbindelse med enkelte forretningsforbindelser og lejlighedsvise transaktioner.

I henhold til artikel 13, stk. 1, litra a), b) og c), og artikel 14, stk. 4, i direktiv (EU) 2015/849 skal selskaber gennemføre indledende kundekendskabsprocedurer før etableringen af en forretningsforbindelse eller udførelsen af en transaktion. De indledende kundekendskabsprocedurer bør som minimum indeholde risikobaserede foranstaltninger til at:

  • i. Identificere kunden og eventuelt kundens reelle ejer eller retlige repræsentanter.
  • ii. Kontrollere kundens identitet på grundlag af pålidelige og uafhængige kilder og i påkommende tilfælde kontrollere den reelle ejers identitet, således at selskabet er sikker på, at det ved, hvem den reelle ejer er.
  • iii. Fastslå forretningsforbindelsens formål og tilsigtede karakter.

Selskaberne bør justere omfanget af de indledende kundekendskabsprocedurer på et risikobaseret grundlag. Når risikoen forbundet med en forretningsforbindelse er lav, kan selskaberne anvende lempede kundekendskabsprocedurer, i det omfang det er tilladt i henhold til national ret. Når risikoen forbundet med en forretningsforbindelse er høj, skal selskaberne anvende skærpede kundekendskabsprocedurer.

Anvendelse af en holistisk tilgang

Selskaberne bør indsamle tilstrækkelige oplysninger, om nødvendigt ved gennemførelse af yderligere kundekendskabsprocedurer, således at de er sikre på, at de har identificeret alle relevante risikofaktorer, hvorefter disse risikofaktorer skal vurderes for at opnå en holistisk tilgang til risikoen i forbindelse med en bestemt forretningsforbindelse eller lejlighedsvis transaktion. Selskaberne bør være opmærksom på, at de anførte risikofaktorer i disse retningslinjer ikke er udtømmende, og at det ikke forventes, at selskaberne tager alle risikofaktorerne i betragtning i enhver situation.

Overvågning og gennemgang

Selskaberne skal løbende opdatere og gennemgå deres risikovurderinger2 . Selskaberne skal overvåge transaktionerne for at sikre, at de er i overensstemmelse med kundens risiko- og forretningsprofil, og om nødvendigt undersøge midlernes oprindelse for at afdække eventuel ML/TF. Selskaberne skal ligeledes ajourføre dokumenter, data eller oplysninger for at vurdere, om risikoen i forbindelse med forretningsforbindelsen har ændret sig3 .

Risikovurderinger: metode og risikofaktorer

    1. En risikovurdering bør bestå af to særskilte, men forbundne trin:
    • a. afdækning af ML/TF-risikoen
    • b. vurdering af ML/TF-risikoen.

Afdækning af ML/TF-risikoen

    1. Selskaberne bør undersøge, hvilke ML/TF-risici de er eller vil blive udsat for som følge af etableringen af en forretningsforbindelse eller udførelsen af en transaktion.
    1. Ved afdækningen af ML/TF-risici i forbindelse med en forretningsforbindelse eller lejlighedsvis transaktion bør selskaberne tage relevante risici i betragtning, herunder hvem deres kunde er, hvilke lande eller geografiske områder, kunden opererer i, de særlige produkter, tjenesteydelser og transaktioner, kunden ønsker, og de kanaler, som selskabet anvender til at levere disse produkter, tjenesteydelser og transaktioner.

2 Artikel 8, stk. 2, i direktiv (EU) 2015/849.

3 Artikel 13, stk. 1, litra d), i direktiv (EU) 2015/849.

Informationskilder

    1. Information om disse ML/TF-risikofaktorer bør om muligt komme fra forskellige kilder, uanset om der er individuel adgang hertil, eller om der er adgang via kommercielt tilgængelige redskaber eller databaser, der samler information fra flere kilder. Selskaberne bør bestemme typen og antallet af kilder på et risikobaseret grundlag.
    1. Selskaberne bør altid anvende følgende informationskilder:
    • Europa-Kommissionens supranationale risikovurdering.
    • Information fra regeringen såsom regeringens nationale risikovurderinger, politiske erklæringer og advarsler og begrundelser til relevant lovgivning.
    • Information fra lovgivere såsom vejledning og begrundelser angivet i bøder for overtrædelser af lovgivningen.
    • Information fra finansielle efterretningsenheder (FIU’er) og retshåndhævende myndigheder såsom trusselsrapporter, indberetninger og typologier.
    • Information indhentet som led i den indledende kundekendskabsprocedure.
    1. Andre informationskilder, som selskaberne kan anvende i denne forbindelse, kan bl.a. omfatte:
    • Selskabets egen viden og faglige ekspertise.
    • Information fra erhvervsorganisationer såsom typologier og oplysninger om risici i fremvækst.
    • Information fra civilsamfundet såsom indekser for korruption og landerapporter.
    • Information fra internationale standardiseringsorganer såsom rapporter om gensidige evalueringer eller sortlister, som ikke er retligt bindende.
    • Information fra troværdige og pålidelige offentligt tilgængelige kilder, f.eks. rapporter i ansete aviser.
    • Information fra troværdige og pålidelige kommercielle organisationer såsom risiko- og efterretningsrapporter.
    • Information fra statistiske organisationer og den akademiske verden.

Risikofaktorer

  1. Selskaberne bør være opmærksom på, at følgende liste over risikofaktorer ikke er udtømmende, og at det heller ikke forventes, at selskaberne tager alle risikofaktorerne i betragtning i enhver situation. Selskaberne bør anlægge en holistisk tilgang til risikoen i den pågældende situation, og medmindre andet er angivet i direktiv (EU) 2015/849 eller i national ret, rykker forretningsforbindelsen ikke nødvendigvis op i en højere eller lavere risikokategori på grund af tilstedeværelsen af isolerede risikofaktorer.

Kunderisikofaktorer

    1. Ved afdækningen af risikoen forbundet med deres kunder, herunder deres kunders reelle ejere4 , bør selskaberne overveje risikoen forbundet med:
    • a. Kundens og kundens reelle ejers professionelle eller erhvervsmæssige aktivitet.
    • b. Kundens og kundens reelle ejers omdømme.
    • c. Kundens og kundens reelle ejers karakter og adfærd.
    1. Risikofaktorer, der kan være relevante ved vurderingen af risikoen forbundet med en kundes og en kundes reelle ejers professionelle eller erhvervsmæssige aktivitet:
    • Har kunden eller den reelle ejer forbindelser til sektorer, der ofte er forbundet med en højere korruptionsrisiko, f.eks. bygge- og anlægssektoren, lægemiddelindustrien og sundhedsvæsenet, våbenhandel og forsvar, udvindingsindustrien eller sektoren for offentlige indkøb)?
    • Har kunden eller den reelle ejer forbindelser til sektorer, der er forbundet med en højere ML/TF-risiko, f.eks. visse vekselkontorer, kasinoer eller forhandlere af ædelmetaller?
    • Har kunden eller den reelle ejer forbindelser til sektorer, hvor der er betydelige kontante beløb i omløb?
    • Hvis kunden er en juridisk person eller et juridisk arrangement, hvad er da formålet med etableringen? Hvori består deres virksomhed f.eks.?
    • Har kunden politiske forbindelser? Er kunden f.eks. en politisk eksponeret person, eller er den reelle ejer en politisk eksponeret person? Har kunden eller den reelle ejer andre relevante forbindelser til en politisk eksponeret person? Er nogle af kundens direktører f.eks. politisk eksponerede personer, og udøver disse politisk eksponerede personer i så fald væsentlig kontrol over kunden eller den reelle ejer? Hvis kunden eller dennes reelle ejer er en politisk eksponeret person, skal selskabet altid gennemføre skærpede kundekendskabsprocedurer i overensstemmelse med artikel 20 i direktiv (EU) 2015/849.
    • Har kunden eller den reelle ejer en fremtrædende stilling, eller er denne højt profileret i offentligheden, og er der en risiko for, at den pågældende misbruger denne stilling for egen vindings skyld? Er der f.eks. tale om ledende lokale eller regionale embedsmænd, der kan påvirke tildelingen af offentlige kontrakter, beslutningstagende medlemmer i højtprofilerede sportsorganer eller enkeltpersoner, som vides at påvirke regeringen og andre ledende beslutningstagere?
    • Er kunden en juridisk person, som er underlagt retskraftige oplysningskrav, der sikrer, at pålidelige oplysninger om kundens reelle ejer er offentligt tilgængelige, f.eks. børsnoterede selskaber, hvor fremlæggelsen af oplysninger er en betingelse for notering?

4 Der er opstillet retningslinjer om risikofaktorer i relation til begunstigede i forbindelse med livsforsikringspolicer i afsnit III, kapitel 7.

  • Er kunden et kredit- eller finansieringsinstitut, der handler på egne vegne i en jurisdiktion med en effektiv AML/CFT-ordning, hvor der føres tilsyn med kundens overholdelse af de lokale AML/CFT-forpligtelser? Er der dokumentation for, at kunder er blevet pålagt tilsynseller håndhævelsesforanstaltninger på grund af manglende overholdelse af AML/CFTforpligtelser eller mere generelle krav til forretningsadfærd gennem de senere år?
  • Er kunden en offentlig myndighed eller virksomhed fra en jurisdiktion med et begrænset omfang af korruption?
  • Er kundens eller den reelle ejers baggrund forenelig med det, selskabet ved om deres tidligere, nuværende eller planlagte forretningsaktiviteter, om deres omsætning, indtægtskilder og kundens og den reelle ejers formuekilder?
    1. Følgende risikofaktorer kan være relevante ved vurderingen af risikoen forbundet med en kundes og den reelle ejers omdømme:
    • Er der skadelig omtale i medierne eller i andre relevante informationskilder om kunden, f.eks. påstande om kriminalitet eller terrorisme rettet mod kunden eller den reelle ejer? Er disse i så fald pålidelige og troværdige? Selskaberne bør bl.a. ud fra informationskildens kvalitet og uafhængighed vurdere, om påstandene er pålidelige, ligesom det har betydning, hvis påstandene er vedvarende. Selskaberne bør være opmærksom på, at det forhold, at der ikke er afsagt dom i en straffesag, muligvis ikke er tilstrækkeligt til at tilsidesætte påstande om overtrædelser.
    • Har kunden, den reelle ejer eller enhver, der vides at have tætte forbindelser til kunden eller ejeren, fået deres aktiver indefrosset på baggrund af administrative eller strafferetlige procedurer eller påstande om terrorisme eller finansiering af terrorisme? Har selskabet en rimelig begrundet mistanke om, at kunden, den reelle ejer eller enhver, der vides at have tætte forbindelser til kunden eller ejeren, på et tidligere tidspunkt har fået indefrosset aktiver?
    • Ved selskabet, om der er foretaget en indberetning af mistænkelige transaktioner vedrørende kunden eller den reelle ejer?
    • Er selskabet i besiddelse af interne oplysninger om kundens eller den reelle ejers integritet, der f.eks. er opnået på baggrund af en langvarig forretningsforbindelse?
    1. Følgende risikofaktorer kan være relevante ved vurderingen af risikoen forbundet med en kundes eller en reel ejers karakter og adfærd. Selskaberne bør være opmærksomme på, at nogle af de følgende risikofaktorer ikke vil være åbenlyse fra starten, da de muligvis først viser sig efter etableringen af en forretningsforbindelse:
    • Har kunden en legitim begrundelse for ikke at være i stand til at fremlægge solid dokumentation for sin identitet, måske fordi denne er asylansøger?5

5 EBA har udstedt en udtalelse med titlen “Opinion on the application of Customer Due Diligence Measures to customers who are asylum seekers from higher risk third countries or territories”, se https://www.eba.europa.eu/documents/10180/1359456/EBA-Op-2016-07+%28Opinion+on+Customer+Due+Diligence+on+Asylum+Seekers%29.pdf.

  • Er selskabet i tvivl om pålideligheden eller nøjagtigheden af kundens eller den reelle ejers identitet?
  • Er der tegn på, at kunden muligvis forsøger at undgå at etablere en forretningsforbindelse? Ønsker kunden f.eks. at udføre en transaktion eller flere enkeltstående transaktioner, hvor det muligvis ville give mere mening rent økonomisk at etablere en forretningsforbindelse?
  • Er kundens ejer- og kontrolstruktur gennemsigtig og fornuftig? Hvis kundens ejer- og kontrolstruktur er kompleks eller uigennemsigtig, er der da en åbenlys eller lovlig begrundelse herfor?
  • Udsteder kunden ihændehaveraktier eller har kunden proformaaktionærer?
  • Er kunden en juridisk person eller et arrangement, som kan anvendes som et formueforvaltningsselskab?
  • Er der gode grunde til ændringer i kundens ejer- og kontrolstruktur?
  • Ønsker kunden, at der foretages transaktioner, som er komplekse, usædvanlige eller uventet store og har et usædvanligt eller uventet mønster uden et klart økonomisk eller påviseligt lovligt formål eller en sund kommerciel begrundelse? Er der grundlag for at mistænke kunden for at forsøge at undgå specifikke tærskler såsom tærsklerne fastsat i artikel 11, litra b), i direktiv (EU) 2015/849 og i national ret, hvor det er relevant?
  • Anmoder kunden om en unødvendig eller urimelig høj grad af tavshedspligt? Er kunden f.eks. tilbageholdende med at fremlægge kundekendskabsoplysninger, eller synes kunden at ville skjule virksomhedens sande karakter?
  • Kan kundens eller den reelle ejers formue- og indtægtskilder let forklares, f.eks. ved deres beskæftigelse, arv eller investeringer? Er forklaringen plausibel?
  • Anvender kunden de produkter og tjenesteydelser, som kunden har købt, som forventet, da forretningsforbindelsen blev etableret?
  • Kan en kundes behov, hvis denne er bosiddende i en anden jurisdiktion, bedre imødegås et andet sted? Er der et sundt økonomisk og lovligt rationale for, at kunden ønsker den pågældende type finansielle tjenesteydelse? Selskaber bør være opmærksom på, at artikel 16 i direktiv 2014/92/EU giver kunder, der har lovligt ophold i EU, ret til at åbne en basal betalingskonto, men denne ret finder kun anvendelse, i det omfang kreditinstitutterne kan opfylde deres AML/CFT-forpligtelser6 .
  • Er kunden en nonprofitorganisation, hvis aktiviteter kan misbruges til finansiering af terrorisme?

6 Se navnlig artikel 1, stk. 7, og artikel 16, stk. 4, i direktiv 2014/92/EF.

Lande og geografiske områder

    1. Ved afdækningen af risikoen forbundet med lande og geografiske områder bør selskaberne overveje risikoen forbundet med:
    • a. De jurisdiktioner, hvor kunden og den reelle ejer er baseret.
    • b. De jurisdiktioner, som er kundens og den reelle ejers hovedforretningssteder.
    • c. De jurisdiktioner, hvor kunden og den reelle ejer har relevante personlige forbindelser.
    1. Selskaberne bør være opmærksomme på, at forretningsforbindelsens karakter og formål ofte vil være afgørende for den relative betydning af de enkelte landerelaterede eller geografiske risikofaktorer (se også punkt 36-38). Eksempel:
    • Når de midler, der anvendes i forretningsforbindelsen, er blevet genereret i udlandet, vil omfanget af prædikatforbrydelser for hvidvask af penge og effektiviteten af et lands retssystem være særlig relevant.
    • Når midlerne modtages fra eller sendes til jurisdiktioner, hvor grupper, der begår terrorhandlinger, vides at operere, bør selskaberne overveje, i hvilket omfang dette kan forventes at eller kan give anledning til mistanke, ud fra selskabets oplysninger om forretningsforbindelsens formål og karakter.
    • Når kunden er et kredit- eller finansieringsinstitut, bør selskaberne være særlig opmærksomme på, om det pågældende lands AML/CFT-ordning er tilstrækkelig, og om AML/CFT-tilsynet er effektivt.
    • Når kunden er et juridisk arrangement eller en trust, bør selskaberne tage hensyn til, i hvilket omfang det land, hvor kunden – og i påkommende tilfælde den reelle ejer – er registreret, effektivt overholder internationale standarder for gennemsigtighed på skatteområdet.
    1. Risikofaktorer, som selskaberne bør overveje, når de identificerer effektiviteten af en jurisdiktions AM/CFT-ordning:
    • Har Kommissionen identificeret landet som havende strategiske mangler i sin AML/CFTordning i henhold til artikel 9 i direktiv (EU) 2015/849? Når selskaberne handler med fysiske eller juridiske personer, som har bopæl eller er etableret i tredjelande, som Kommissionen har identificeret som lande med en høj ML/TF-risiko, skal selskaberne altid anvende skærpede kundekendskabsprocedurer7 .
    • Er der oplysninger fra mere end én troværdig og pålidelig kilde om kvaliteten af jurisdiktionens AML/CFT-kontroller, herunder oplysninger om kvaliteten og effektiviteten af håndhævelsen af lovgivning og tilsyn? Eksempler på mulige kilder er rapporterne om gensidig evaluering udarbejdet af Den Finansielle Aktionsgruppe (FATF) eller af FATF-

7 Artikel 18, stk. 1, i direktiv (EU) 2015/849.

lignende regionale organer (FSRB’er) (et godt udgangspunkt er resuméet og de vigtigste resultater og vurderingen af efterlevelsen af anbefaling 10, 26 og 27 og “Immediate Outcomes” 3 og 4), FATF’s liste over højrisiko- og ikkesamarbejdsvillige jurisdiktioner, vurderinger fra Den Internationale Valutafond (IMF) og rapporter udarbejdet inden for rammerne af Financial Sector Assessment Programme (FSAP). Selskaberne bør være opmærksomme på, at medlemskab af FATF eller et FSRB (f.eks. MoneyVal) ikke i sig selv betyder, at jurisdiktionens AML/CFT-ordning er tilstrækkelig og effektiv.

Selskaberne bør være opmærksom på, at direktiv (EU) 2015/849 ikke anerkender tredjelandes ækvivalens, og at EU-medlemsstaternes lister over ækvivalente jurisdiktioner ikke længere ajourføres. I det omfang det er tilladt i henhold til national ret, bør selskaberne kunne identificere jurisdiktioner med lavere risiko i overensstemmelse med disse retningslinjer og bilag II til direktiv (EU) 2015/849.

    1. Risikofaktorer, som selskaberne bør overveje, når de afdækker risikoen for finansiering af terrorisme i en jurisdiktion:
    • Foreligger der f.eks. oplysninger fra de retshåndhævende myndigheder eller fra troværdige og pålidelige åbne mediekilder, der tyder på, at en jurisdiktion finansierer eller støtter terrorvirksomhed, eller at grupper, der begår terrorhandlinger, vides at operere i landet eller området?
    • Er jurisdiktionen omfattet af økonomiske sanktioner, embargoer eller foranstaltninger til bekæmpelse af terrorisme, finansiering af terrorisme eller spredning, udstedt af f.eks. FN eller EU?
    1. Risikofaktorer, som selskaberne bør overveje, når de afdækker en jurisdiktions gennemsigtighed og overholdelse af skattereglerne:
    • Foreligger der oplysninger fra mere end én troværdig og pålidelig kilde om, at landet anses for at overholde internationale standarder for gennemsigtighed på skatteområdet og for informationsudveksling? Er der dokumentation for, at relevante regler gennemføres effektivt i praksis? Eksempler på mulige kilder er rapporter fra Det Globale Forum for Gennemsigtighed og Informationsudveksling på Skatteområdet i Organisationen for Økonomisk Samarbejde og Udvikling (OECD), som bedømmer jurisdiktioner ud fra kriterier som gennemsigtighed på skatteområdet og informationsudveksling, vurderinger af jurisdiktionens tilsagn vedrørende automatisk udveksling af oplysninger baseret på den fælles indberetningsstandard, vurderinger af efterlevelsen af FATF’s anbefalinger 9, 24 og 25 og Immediate Outcomes 2 og 5 fra FATF eller FSRB, og IMF-vurderinger (f.eks. IMFvurderinger af offshorefinanscentre).
    • Har jurisdiktionen forpligtet sig til og effektivt gennemført den fælles indberetningsstandard for automatisk udveksling af oplysninger, som G20 vedtog i 2014?
    • Har jurisdiktionen etableret pålidelige og tilgængelige registre over reelt ejerskab?
    1. Risikofaktorer, som selskaberne bør overveje, når de afdækker risikoen forbundet med omfanget af prædikatforbrydelser for hvidvask af penge:
    • Foreligger der oplysninger fra troværdige og pålidelige offentlige kilder om omfanget af de prædikatforbrydelser for hvidvask af penge, der er anført i artikel 3, stk. 4, i direktiv (EU) 2015/849, f.eks. korruption, organiseret kriminalitet, skattekriminalitet og alvorlig svig? Blandt eksempler herpå kan nævnes indekser for iagttaget korruption, OECD’s landerapporter om gennemførelsen af OECD’s konvention om bekæmpelse af bestikkelse og “World drug report” fra FN’s Kontor for Bekæmpelse af Narkotika og Kriminalitet.
    • Foreligger der oplysninger fra mere end én troværdig og pålidelig kilde om jurisdiktionens efterforsknings- og retssystems kapacitet til effektivt at undersøge og retsforfølge disse lovovertrædelser?

Risikofaktorer i forbindelse med produkter, tjenesteydelser og transaktioner

    1. Ved afdækningen af risikoen i forbindelse med deres produkter, tjenesteydelser eller transaktioner bør selskaberne overveje risikoen forbundet med:
    • a. Produktets, tjenesteydelsens eller transaktionens grad af gennemsigtighed eller ugennemsigtighed.
    • b. Produktets, tjenesteydelsens eller transaktionens kompleksitet.
    • c. Produktets, tjenesteydelsens eller transaktionens værdi.
    1. Risikofaktorer, der kan være relevante ved vurderingen af risikoen forbundet med et produkts, en tjenesteydelses eller en transaktions gennemsigtighed:
    • I hvilket omfang sikrer produkter eller tjenesteydelser, at kunden eller den reelle ejer eller modtagerstrukturer kan forblive anonyme, eller at det er nemmere at skjule deres identitet? Eksempler på sådanne produkter og tjenesteydelser er ihændehaveraktier, deponeringsaftaler, offshore arrangementer og visse truster og juridiske enheder såsom fonde, der kan struktureres på en sådan måde, at de kan være anonyme og gøre det muligt at handle med skuffeselskaber eller selskaber med proformaaktionærer.
    • I hvilket omfang er det muligt for en tredjemand, der ikke er en del af forretningsforbindelsen, at give instrukser, f.eks. i forbindelse med visse korrespondentbankforbindelser?
    1. Risikofaktorer, der kan være relevante ved vurderingen af risikoen forbundet med et produkts, en tjenesteydelses eller en transaktions kompleksitet:
    • I hvilket omfang er transaktionen kompleks, og involverer den flere parter eller flere jurisdiktioner, f.eks. i forbindelse med visse handelsfinansieringstransaktioner? Er transaktionerne ligetil – foretages der f.eks. regelmæssige betalinger til en pensionsfond?

  • I hvilket omfang gør produkterne eller tjenesteydelserne det muligt at modtage betalinger fra tredjemand eller acceptere overbetalinger, hvor dette normalt ikke forventes? Når betalinger fra tredjemand forventes, kender selskabet da tredjemands identitet – er det f.eks. en statslig myndighed eller en garant? Eller finansieres produkter og tjenesteydelser udelukkende via pengeoverførsler fra kundens egen konto i et andet finansieringsinstitut, der er underlagt AML/CFT-standarder og tilsyn, der kan sammenlignes med dem, der kræves i henhold til direktiv (EU) 2015/849?

  • Forstår selskabet de risici, der er forbundet med dets nye eller innovative produkt eller tjenesteydelse, især når det indebærer brug af nye teknologier eller betalingsmetoder?

    1. Risikofaktorer, der kan være relevante ved vurderingen af risikoen forbundet med et produkts, en tjenesteydelses eller en transaktions værdi eller størrelse:
    • I hvilket omfang er produkter eller tjenesteydelser kontantintensive ligesom mange betalingstjenester, men også visse løbende konti?
    • I hvilket omfang letter eller tilskynder produkter eller tjenesteydelser til høje transaktionsværdier? Er der lofter over transaktionsværdier eller præmieniveauer, som kan begrænse brugen af produktet eller tjenesteydelsen til ML/TF-formål?

Risikofaktorer i forbindelse med leveringskanaler

    1. Ved afdækningen af risikoen forbundet med den måde, hvorpå kunden opnår de ønskede produkter eller tjenesteydelser, bør selskaber overveje risikoen forbundet med:
    • a. Det omfang, i hvilket forretningsforbindelsen består uden direkte kontakt.
    • b. Eventuelle introducerende parter eller formidlere, selskabet bruger, og karakteren af deres forbindelse til selskabet.
    1. Ved vurderingen af risikoen forbundet med den måde, hvorpå kunden opnår produkterne eller tjenesteydelserne, bør selskaberne overveje en række faktorer, herunder:
    • Er kunden fysisk til stede med henblik på identifikation? Hvis det ikke er tilfældet, har selskabet da brugt en pålidelig form for kundekendskabsprocedurer uden direkte kontakt? Har selskabet taget skridt til at forhindre falsk identitet eller identitetssvindel?
    • Er kunden blevet introduceret af en anden part i samme finansielle koncern, og i hvilket omfang kan selskabet i så fald sætte sin lid til denne introduktion som en forsikring om, at kunden ikke vil udsætte selskabet for en overdreven ML/TF-risiko? Hvad har selskabet gjort for at sikre sig, at koncernenheden anvender kundekendskabsprocedurer, der opfylder standarderne i Det Europæiske Økonomiske Samarbejdsområde (EØS) i overensstemmelse med artikel 28 i direktiv 2015/849?
    • Er kunden blevet introduceret af tredjemand, f.eks. en bank, som ikke er del af den samme koncern, og er tredjemand et finansieringsinstitut, eller er dets hovedaktivitet uden tilknytning til levering af finansielle tjenesteydelser? Hvad har selskabet gjort for at sikre sig:

  • i. At tredjemand anvender kundekendskabsprocedurer og opbevarer registreringer i overensstemmelse med EØS-standarder, og at der føres tilsyn med, at tredjemand overholder sammenlignelige AML/CFT-forpligtelser i overensstemmelse med artikel 26 i direktiv (EU) 2015/849?

  • ii. At tredjemand omgående efter anmodning fremsender relevante kopier af identifikations- og kontroloplysninger, herunder i overensstemmelse med artikel 27 i direktiv (EU) 2015/849?

  • iii. At kvaliteten af tredjemands kundekendskabsprocedurer er pålidelig?

  • Er kunden blevet introduceret gennem en tilknyttet agent, dvs. uden direkte kontakt med selskabet? I hvilket omfang kan selskabet være sikker på, at agenten har indhentet tilstrækkelige oplysninger, således at selskabet kender sin kunde og risikoen forbundet med forretningsforbindelsen?

  • Hvis der anvendes uafhængige eller tilknyttede agenter, i hvilket omfang er de da involveret i den daglige drift af selskabet? Hvordan påvirker dette selskabets viden om kunden og den løbende risikostyring?

  • Når et selskab benytter sig af en formidler:

    • i. Er den pågældende en reguleret person underlagt AML-forpligtelser, der er i overensstemmelse med forpligtelserne i direktiv (EU) 2015/849?
    • ii. Er formidleren underlagt effektivt AML-tilsyn? Er der tegn på, at formidlerens overholdelse af gældende AML-lovgivning eller -regulering er utilstrækkelig – er formidleren f.eks. blevet idømt sanktioner for overtrædelser af AML/CFTforpligtelser?
    • iii. Er formidleren baseret i en jurisdiktion forbundet med en højere ML/TF-risiko? Når tredjemand er baseret i et højrisikotredjeland, som Kommissionen har identificeret som havende strategiske mangler, må selskaber ikke sætte deres lid til denne formidler. I det omfang det er tilladt i henhold til national ret, kan det imidlertid være muligt, forudsat at formidleren er en filial eller et datterselskab, hvor aktiemajoriteten ejes af et andet selskab, der er etableret i Unionen, og selskabet er sikker på, at formidleren fuldt ud overholder koncernens politikker og procedurer i overensstemmelse med artikel 45 i direktiv 2015/8498.

8 Artikel 26, stk. 2, i direktiv (EU) 2015/849.