Erhvervs-, Vækst- og Eksportudvalget 2018-19 (1. samling)
ERU Alm.del Bilag 144
Offentligt
2007438_0001.png
Finanstilsynet
28. januar 2019
J.nr. 19186-0214
Redegørelse om Finanstilsynets tilsyn med
Danske Bank i forhold til Estland-sagen
Indholdsfortegnelse
Sammenfatning
Indledning
Kapitel 1: Beskrivelse af forløbet med Danske Banks estiske filial
Kapitel 2: Tilsynet med hvidvaskrisici i Danske Bank 2007-2018
Kapitel 3: Finanstilsynets tilsyn med Danske Bank i en bredere sammen-
hæng
Kapitel 4: Kritikpunkter i forhold til Finanstilsynets tilsyn med Danske Bank
Kapitel 5: Idékatalog
Bilag
1. Kammeradvokatens erklæring vedr. overensstemmelse mellem de of-
fentliggjorte og de fortrolige dele af redegørelsen
2. Kammeradvokatens analyse af ansvarsfordelingen mellem Finanstilsy-
net og EFSA
3. Fælles udtalelse fra EFSA og Finanstilsynet vedrørende tilsynet med
Danske Banks estiske filial
4. Uddybende om tilsynet med hvidvaskrisici i Danske Banks estiske filial
2007-2018 (Ikke offentliggjort)
5. Finanstilsynets afgørelse vedrørende Danske Bank af 3. maj 2018
6. PA Consults benchmarkanalyse af hvidvasktilsynet i forhold til andre
lande
7. Uddybende beskrivelse af Danske Bank-kollegiet (Ikke offentliggjort)
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0002.png
2/69
Sammenfatning
Der er i Danske Banks estiske filial sket væsentlige overtrædelser af de eu-
ropæiske og estiske hvidvaskregler. Ti tidligere medarbejdere i filialen er i de-
cember 2018 blevet anholdt i Estland. Ansatte i den estiske filial har efter alt
at dømme over en længere årrække aktivt udført og dækket over overtrædel-
serne i forhold til både bankens overordnede ledelse i København og i forhold
til det estiske finanstilsyn (EFSA).
En væsentlig årsag til, at overtrædelserne ikke tilstrækkeligt tidligt blev iden-
tificeret, var mangelfuld overordnet styring i Danske Bank fra hovedsædet i
København. Banken har således i perioden 2007-2015 truffet en række uhen-
sigtsmæssige beslutninger eller undladt at træffe nødvendige beslutninger,
hvilket har muliggjort hvidvask i bankens estiske filial for et potentielt meget
stort beløb. Banken fravalgte at integrere IT-systemerne i filialen med syste-
merne i resten af koncernen, hvilket besværliggjorde en effektiv overvågning
af forretningen i Estland. Dette fravalg blev ikke kompenseret af en stærkere
risikostyring. Kontrolsystemet opfangede ikke i tilstrækkelig grad og tilstræk-
keligt tidligt tegn på overtrædelser af lovgivningen.
Danske Bank lukkede i løbet af 2015 og frem til januar 2016 International
Banking-afdelingen i den estiske filial, som var det område, hvor overtrædel-
serne af hvidvaskreglerne primært skete. Nedlukningen skete i forlængelse
af påbud fra EFSA i 2015 efter
EFSA’s to hvidvaskinspektioner i 2014. Ban-
ken undlod dog i den forbindelse at undersøge transaktioner og kundeforhold
tilbage i tid for at fastslå, om der tidligere havde været transaktioner, der var
mistænkelige, og som derfor skulle indberettes til det estiske FIU
1
. Banken
besluttede først en sådan undersøgelse i efteråret 2017.
Ansvarsfordelingen mellem Finanstilsynet og EFSA
Ansvarsfordelingen mellem Finanstilsynet og EFSA med hensyn til Danske
Banks filial i Estland følger af EU-lovgivningen. Som værtslandstilsyn har
EFSA ansvaret for hvidvasktilsynet med den estiske filial. Dette fremgår af
hvidvaskdirektiverne, og denne ansvarsfordeling blev også fulgt i praksis.
EFSA gennemførte således fire hvidvaskinspektioner i filialen i 2007-2014,
analyserede filialens kundesammensætning, anmodede i en række tilfælde
filialen om oplysninger om kunder, der kunne være mistænkelige, førte dialo-
gen med banken om filialens hvidvaskrisici og gav påbud til banken vedrø-
rende filialens hvidvaskrisici. Mistænkelige transaktioner og aktiviteter skal
indberettes til det estiske FIU, som løbende har modtaget et stort antal indbe-
retninger om mistænkelige transaktioner fra filialen, og som selv løbende har
anmodet filialen om oplysninger om et stort antal kunder, der kunne være
mistænkelige.
Financial Intelligence Unit
svarende til Hvidvasksekretariatet hos Statsadvokaten for Særlig Øko-
nomisk og International Kriminalitet (SØIK) i Danmark. En FIU er den myndighed, der modtager un-
derretninger om mistænkelige transaktioner og gennemgår disse, blandt andet med henblik på at
sende dem videre til politi- og andre myndigheder for videre efterforskning og retsforfølgelse.
1
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
3/69
EFSA havde kompetencen til at stoppe lovovertrædelserne, da EFSA blev
opmærksom på dem ved inspektionerne i 2014. EFSA var ikke afhængig af
mulige tiltag fra hjemlandstilsynet (Finanstilsynet). Da problemernes omfang
blev klart for EFSA, lagde EFSA pres på Danske Bank, hvilket medvirkede til,
at banken i 2015 lukkede International Banking-afdelingen.
Finanstilsynets opgave i relation til hvidvasktilsynet med den estiske filial var,
som ansvarlig for tilsynet med Danske Bank-koncernen, at sikre integrationen
af det arbejde, som blev udført af EFSA, i det samlede tilsyn med Danske
Bank. Finanstilsynet besvarede alle henvendelser fra EFSA, og i ét tilfælde
fra den russiske centralbank, om hvidvaskrisici i den estiske filial.
I 2007 advarede den russiske centralbank Finanstilsynet om hvidvaskrisici
relateret til en række russiske kunder i Danske Banks nyerhvervede estiske
datterselskab. Finanstilsynet bad på baggrund af henvendelsen Danske Bank
om en redegørelse og drøftede sagen med Danske Banks chef for den juridi-
ske afdeling (som også var bankens hvidvaskansvarlige) og bankens revisi-
onschef. Fra begge var tilbagemeldingen, at der ikke var problemer i forhold
til hvidvaskrisici i det estiske datterselskab. Finanstilsynet meddelte dette til
EFSA og tog i den forbindelse også i betragtning, at EFSA havde fokus på
området, idet EFSA samme år havde gennemført en hvidvaskinspektion i det
estiske datterselskab. Her fandt EFSA mangler i forhold til datterselskabets
håndtering af hvidvaskrisici og gav på den baggrund datterselskabet påbud
om yderligere tiltag til at undersøge nye ikke-baltiske kunder (non-resident
kunder) og om at styrke de interne procedurer for forebyggelse af hvidvask.
Men hverken Danske Bank eller EFSA fandt problemer blot tilnærmelsesvis i
nærheden af det senere konstaterede omfang.
I 2009 gennemførte EFSA en opfølgende hvidvaskinspektion i filialen (det tid-
ligere datterselskab). EFSA fandt i den forbindelse, at filialen havde fulgt op
på påbuddet fra 2007 på passende vis.
I 2012 kontaktede EFSA Finanstilsynet vedrørende den estiske filial, da EFSA
var blevet bekymret over omfanget af non-resident kunder i filialen. Finanstil-
synet tog på den baggrund kontakt til Danske Bank og bad banken forholde
sig til EFSA’s bekymringer.
Chefen for den juridiske afdeling og chefen for
compliance og hvidvask svarede, at man var meget opmærksom på risici for-
bundet med filialens non-resident kunder, og at processerne i filialen tog sær-
ligt højde for disse risici. De oplyste også, at koncernens interne revision
havde vurderet processerne vedrørende forebyggelse af hvidvask i filialen i
efteråret 2011 og havde fundet disse tilfredsstillende.
Finanstilsynet fandt imidlertid ikke bankens forklaring tilfredsstillende og ud-
bad sig yderligere information. Chefen for compliance og hvidvask sendte på
den baggrund en detaljeret beskrivelse af den estiske filials håndtering af
hvidvaskrisici. Finanstilsynet orienterede EFSA om svaret og vedlagde de to
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
4/69
breve fra Danske Bank. Finanstilsynet konkluderede, at den store koncentra-
tion af kunder fra højrisikolande kunne være problematisk, men at Finanstil-
synets foreløbige konklusion, på baggrund af en gennemgang af forretnings-
gangene, var, at bankens procedurer og kontrolforanstaltninger var tilfreds-
stillende.
I 2013 tog EFSA igen kontakt til Finanstilsynet vedrørende hvidvaskrisici i den
estiske filial. Henvendelsen var baseret på en advarsel fra den russiske cen-
tralbank med en liste over en række af filialens russiske kunder, som den
russiske centralbank vurderede var mistænkelige,
og på EFSA’s egne analy-
ser af filialens kundesammensætning. Finanstilsynet bad Danske Bank for-
holde sig til EFSA’s henvendelse. Bankens fungerende chef for den juridiske
afdeling svarede, at den estiske filial havde et særligt setup i lyset af den for-
højede hvidvaskrisiko i filialen. Den fungerende chef for den juridiske afdeling
henviste desuden til den detaljerede beskrivelse af setuppet, som banken
havde sendt året før. Finanstilsynet orienterede EFSA herom.
EFSA orienterede efterfølgende Finanstilsynet om, at EFSA havde anmodet
filialen om materiale om de russiske kunder i filialen, som var omtalt i advars-
len fra den russiske centralbank, og havde foretaget en vurdering af dem.
EFSA havde ikke fundet væsentlige brud på interne procedurer eller lovkrav
og fandt generelt, at filialens hvidvaskprocedurer var i overensstemmelse
med kravene hertil. EFSA fandt også, at selvom EFSA fortsat var bekymret,
var der ikke grund til umiddelbare tilsynshandlinger. EFSA ville dog i de føl-
gende måneder beslutte, om der skulle gennemføres en inspektion i filialen,
og orientere Finanstilsynet herom.
Finanstilsynet fandt alligevel, at det kunne være relevant at gennemføre en
hvidvaskinspektion i filialen, og tilbød EFSA at deltage i en sådan inspektion,
hvis EFSA vurderede det hensigtsmæssigt. Finanstilsynet gentog tilbuddet
flere gange. EFSA gennemførte efterfølgende to hvidvaskinspektioner i 2014.
Finanstilsynet blev ikke bedt om at deltage. Inspektionerne viste store svag-
heder i filialens procedurer for forebyggelse af hvidvask og førte til påbud fra
EFSA og udskiftning af filialens lokale ledelse. De var også medvirkende til,
at banken i 2015 lukkede ned for filialens International Banking-afdeling.
Finanstilsynet har desuden sikret, at tilsynet med hvidvaskrisici i den estiske
filial har indgået i de årlige risikovurderinger, som er foretaget i 2013-2018 i
tilsynskollegiet for Danske Bank med deltagelse af tilsynsmyndighederne fra
lande, hvor Danske Bank har aktiviteter, samt Den Europæiske Banktilsyns-
myndighed (EBA).
Da det i løbet af 2017 blev klart, at omfanget af mistænkelige transaktioner i
den estiske filial var markant større, end banken hidtil havde fortalt Finanstil-
synet, igangsatte Finanstilsynet en undersøgelse af Danske Banks overord-
nede ledelse og styring i relation til hvidvaskrisici i filialen. Finanstilsynet traf
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
5/69
på den baggrund afgørelse i maj 2018 og gav Danske Bank otte påbud og
otte påtaler for mangler i bankens overordnede styring i relation til den estiske
filial. Afgørelsen blev truffet af Finanstilsynets bestyrelse. Bestyrelsen benyt-
tede sig i den forbindelse af muligheden for samråd med særligt indkaldte
sagkyndige eksperter, primært i relation til vurderingen af, om der var grund-
lag for at rejse sager efter fit & proper-reglerne mod bankens daværende le-
delse eller nøglepersoner.
Kritik af Finanstilsynet
Der har i forbindelse med sagen været rejst kritik af Finanstilsynet, og der er
sat spørgsmålstegn ved, om Finanstilsynet har levet op til sine tilsynsmæs-
sige forpligtelser. I redegørelsen adresseres nogle af de væsentligste kritik-
punkter.
De omfatter blandt andet spørgsmålet om, hvorvidt Finanstilsynet tidligere
skulle have opdaget
omfanget af mistænkelige transaktioner
i den estiske fi-
lial. Det fremgår af redegørelsen, at Finanstilsynet reagerede på den advar-
sel, der kom fra den russiske centralbank i 2007, og på henvendelserne fra
EFSA i 2012 og 2013, jf. også ovenfor. Finanstilsynet lagde de vurderinger,
der kom fra EFSA, og de oplysninger, banken gav, til grund. Danske Banks
egne undersøgelser har efterfølgende afdækket, at ansatte i den estiske filial
efter alt at dømme over en længere årrække aktivt har udført og dækket over
overtrædelserne i forhold til både bankens overordnede ledelse i København
og i forhold til EFSA.
Det har været fremført, at
Finanstilsynet i for høj grad stolede på oplysninger
modtaget fra Danske Bank,
og at Finanstilsynet i højere grad burde have kon-
trolleret oplysningerne.
Finanstilsynet bad om uddybende dokumentation i forskellig udstrækning af-
hængig af oplysningernes kvalitet og sammenholdt den med oplysningerne
fra EFSA’s hvidvasktilsyn med filialen,
jf. ovenfor. Det kan imidlertid konsta-
teres, at banken ikke i alle tilfælde gav Finanstilsynet retvisende oplysninger,
og at dette i flere tilfælde skyldtes, at banken ikke var tilstrækkelig grundig i
sin afdækning af de faktiske forhold forud for besvarelsen til Finanstilsynet.
Finanstilsynet stolede således ikke ukritisk på oplysningerne fra banken
hverken oplysninger om hvidvaskforebyggelse i filialen i Estland eller om de
danske aktiviteter.
Det må dog konstateres, at indsatsen med at spørge ind, inddrage oplysnin-
gerne fra EFSA’s hvidvasktilsyn med den estiske filial
og gå mere i detaljen
for at få retvisende oplysninger ikke gav det ønskede resultat, da oplysnin-
gerne i sidste ende alligevel ikke i alle tilfælde var retvisende. Finanstilsynet
har blandt andet af denne årsag påbudt banken at sikre, at Finanstilsynet
modtager fyldestgørende information, og at bestyrelse og direktion er tilstræk-
kelig involveret heri.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
6/69
Redegørelsen forholder sig desuden til, om Finanstilsynet i tilstrækkelig grad
har inddraget viden fra
den interne whistleblower
i Danske Bank. Finanstilsy-
nets overvejelser herom var på den ene side, om oplysninger fra whistleblo-
weren kunne give en bedre belysning af sagen, og på den anden side at det
forhold, at Finanstilsynet undersøgte Danske Bank, var en fortrolig oplysning,
som ville blive uberettiget videregivet, hvis Finanstilsynet henvendte sig til
whistlebloweren. Sagen var desuden tilstrækkeligt oplyst til, at Finanstilsynet
i maj 2018 kunne træffe afgørelse også uden yderligere oplysninger fra whist-
lebloweren, da Finanstilsynet havde modtaget whistleblowerens oplysninger
fra Danske Bank i 2017 og 2018 og i vid udstrækning lagt dem til grund i
afgørelsen.
Whistlebloweren blev i medierne citeret for, at der var fejl og mangler i sags-
fremstillingen i Finanstilsynets afgørelse, uden at han dog angav hvilke. Fi-
nanstilsynet tog derfor gentagne gange kontakt til ham. Dette har ikke ført til,
at whistlebloweren har ønsket at tale med Finanstilsynet.
Der har været rejst kritik af, at Finanstilsynet i forbindelse med afgørelsen i
maj 2018
ikke politianmeldte Danske Bank.
Efter almindelige forvaltningsret-
lige principper kan Finanstilsynet kun politianmelde en virksomhed eller en
person, når Finanstilsynet på baggrund af sit kendskab og sin faglige vurde-
ring af sagen sammenholdt med domstolspraksis anser det for sandsynligt,
at anmeldelsen kan føre til domfældelse. Det har i en række sager med dan-
ske pengeinstitutter i perioden efter finanskrisen i 2008 vist sig at være meget
vanskeligt at føre sager om mangelfuld ledelse til dom efter ledelsesreglerne
i lov om finansiel virksomhed. Trods bankens ledelsesmæssige svigt og sa-
gens alvor var det ikke sandsynligt, at en politianmeldelse for overtrædelse af
ledelsesreglerne i lov om finansiel virksomhed ville føre til domfældelse.
Finanstilsynet er også blevet kritiseret for
ikke at kræve medlemmer af Dan-
ske Banks ledelse fjernet fra deres poster.
I forbindelse med Finanstilsynets
undersøgelse af Danske Banks ledelse og styring i foråret 2018 vurderede
Finanstilsynet, om de involverede ledelsesmedlemmer som følge af deres
håndtering af Estland-sagen fortsat levede op til hæderlighedskravet. Der var
imidlertid ikke grundlag for at rejse fit & proper-sager.
Der har i pressen været rejst kritik af, at afgørelsen fra maj 2018 ikke omtaler
et møde i Danske Bank i oktober 2013,
hvor det blev drøftet, om banken skulle
nedskalere International Banking-afdelingen i den estiske filial som følge af
hvidvaskrisici. På mødet ønskede den administrerende direktør at finde en
middelvej og drøfte emnet i et andet forum. Finanstilsynet var bekendt med
udtalelsen, og den indgik dermed også i grundlaget for afgørelsen. Finanstil-
synet fandt det imidlertid mere relevant at medtage et tilsvarende citat fra be-
styrelsens strategiseminar i juni 2014, hvor strategien i Baltikum blev drøftet.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
7/69
Den administrerende direktør havde på dette tidspunkt en meget mere omfat-
tende viden end i oktober 2013 om manglerne ved hvidvaskforebyggelsen i
den estiske filial. Det var derfor betydeligt mere markant, at den administre-
rende direktør i juni 2014 advarede mod en hurtig afvikling af baltiske aktivi-
teter, end at han gjorde det i oktober 2013.
Der har været rejst kritik af, at
Finanstilsynets daværende bestyrelsesformand
i perioden 2016-2018 som tidligere direktionsmedlem i Danske Bank kan
have påvirket Finanstilsynets konklusioner i forbindelse med behandling af
afgørelsen til Danske Bank fra maj 2018. Den daværende bestyrelsesfor-
mand erklærede sig i hele perioden, hvor Finanstilsynets bestyrelse behand-
lede sagen mod Danske Bank, inhabil og deltog derfor ikke i møderne på
dette punkt. Der har således ikke været risiko for, at Finanstilsynets afgørelse
ville blive påvirket af den daværende bestyrelsesformands personlige interes-
ser i sagen. Dette understreges af, at Finanstilsynets afgørelse indeholder
væsentlig kritik af den daværende bestyrelsesformand i hans rolle som ban-
kens CFO og den ansvarlige i bankens direktion for compliance og forebyg-
gelse af hvidvask.
Idékatalog
Finanstilsynet har udarbejdet et idékatalog, der indeholder en række forslag
vedrørende skærpelser af lovgivningen, en styrkelse af hvidvasktilsynet og en
tilførsel af ekstra ressourcer til Finanstilsynet. Nogle af forslagene vedrører
tilsynsvirksomheden, hvor bestyrelsen fastsætter rammerne for Finanstilsy-
net. Det vil kræve politisk beslutning om at tilføre Finanstilsynet ressourcer,
hvis disse forslag skal gennemføres. Hvis der tilføres ressourcer, vil forsla-
gene kunne iværksættes relativt hurtigt. Andre forslag forudsætter lovændrin-
ger.
Forslagene sigter på at adressere forhold afdækket af forløbet, men der er
også forslag, som kan være med til at sikre Danmark en regulering og et tilsyn
på området, der er i europæisk topklasse. Forslagene grupperes i fire hoved-
områder og uddybes i kapitel 5:
A: Bedre og mere effektive forsvarslinjer i bankerne
B: Oplysningspligt og strafansvar samt bedre beskyttelse af whistleblo-
were
C: Hårdere konsekvenser, når bankledelsen svigter sit ansvar
D: Et hvidvasktilsyn i europæisk topklasse
Danske Bank er fortsat i gang med at afdække aktiviteterne i den estiske filial.
Finanstilsynet har også genåbnet sin undersøgelse af banken og undersøger
her, om bankens egne advokatundersøgelser giver nye oplysninger i forhold
til de oplysninger, der var grundlaget for Finanstilsynets afgørelse i maj 2018.
Herudover efterforskes sagen af SØIK og af myndighederne i både Estland
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
8/69
og USA. Forhold, der kan blive afdækket i disse processer, indgår ikke i re-
degørelsen.
Der er eller vil blive igangsat en række andre officielle undersøgelser af den
konkrete sag såvel som Finanstilsynets hvidvasktilsyn mere generelt. Den
Europæiske Banktilsynsmyndighed (EBA) er således i gang med at under-
søge bl.a. Finanstilsynets ageren i relation til den konkrete sag. Statsreviso-
rerne har desuden bedt Rigsrevisionen om at undersøge det danske hvid-
vasktilsyn mere generelt. Endelig har Finanstilsynet aftalt med IMF, at IMF
senere i år vil benchmarke både regulering og tilsyn på hvidvaskområdet mod
andre, relevante lande. Disse undersøgelser kan munde ud i yderligere for-
slag til områder, hvor hvidvasktilsynet og hvidvaskreguleringen kan styrkes.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
9/69
Indledning
Danske Banks overtrædelser af hvidvasklovgivningen omfattede meget store
beløb, og manglerne i bankens overordnede styring stod på i en årrække.
Sagen har haft alvorlige konsekvenser for banken, og den har skadet befolk-
ningens tillid til det finansielle system og Danmarks omdømme. Det er afgø-
rende, at der rettes op på disse forhold.
Sagen har medført, at der er rejst en række spørgsmål vedrørende Finanstil-
synets ansvar og ageren i sagen, herunder vedrørende Finanstilsynets sam-
arbejde med EFSA. Erhvervsministeren har på den baggrund anmodet Fi-
nanstilsynet om at klarlægge sagens faktiske forhold og beskrive Finanstilsy-
nets ageren i sagen.
Erhvervsministeren har desuden bedt Finanstilsynet se på behovet for æn-
dringer i lovgivningen i forlængelse af Estland-sagen og på behovet for at
styrke Finanstilsynet, herunder via ekstra ressourcer, så risikoen for genta-
gelser minimeres.
Finanstilsynet har i forbindelse med udarbejdelsen af redegørelsen konsulte-
ret Kammeradvokaten. Kammeradvokaten har bidraget i forhold til vurderin-
gen af ansvarsfordelingen på hvidvaskområdet og vurderingen af, hvilke op-
lysninger Finanstilsynets tavshedspligt muliggør at videregive, herunder of-
fentliggøre.
Estland-sagen er genstand for massiv omtale i medierne. Herudover er er-
hvervsministeren adskillige gange blevet kaldt i samråd i Folketingets Er-
hvervsudvalg om sagen. Både Danske Bank, det estiske finanstilsyn og whist-
lebloweren har givet omfattende og detaljerede oplysninger til offentligheden
om sagen. Finanstilsynets handlinger og undladelser er flere gange i den kraf-
tige debat blevet omtalt ukorrekt eller på en måde, der giver et misvisende
billede af kendsgerningerne. Finanstilsynet har i samråd med Kammeradvo-
katen vurderet, at Finanstilsynet kan offentliggøre de oplysninger, som ikke
er markeret med gråt, med respekt for tavshedspligten.
Finanstilsynets ansatte er under ansvar efter straffeloven forpligtet til at hem-
meligholde fortrolige oplysninger, som de får kenskab til gennem tilsynsvirk-
somheden. Loven giver Finanstilsynet en mulighed for at videregive fortrolige
oplysninger til ministeren som led i dennes overordnede tilsyn. Afsnit marke-
ret med gråt i redegørelsen indeholder fortrolige oplysninger, som Finanstil-
synet alene kan videregive til ministeren. Det samme gør sig gældende for
bilag 4 og 7, som ikke offentliggøres. De dele af bilag 4 og 7, der ikke er
fortrolige, er allerede afspejlet i redegørelsen. Tavshedspligten følger oplys-
ningerne, og Finanstilsynet skal gøre opmærksom på, at ministeren på den
måde bliver underlagt samme tavshedspligt som Finanstilsynet i forhold til de
oplysninger i redegørelsen, som er markeret med gråt. Det betyder, at de med
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
10/69
gråt markerede oplysninger ikke lovligt kan videregives, herunder offentliggø-
res. Også denne vurdering er foretaget i samråd med Kammeradvokaten.
Kammeradvokaten har afgivet en erklæring om, at de dele, som ikke kan of-
fentliggøres, ikke strider mod redegørelsens konklusioner. Erklæringen er
vedlagt redegørelsen som bilag 1.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0011.png
11/69
Kapitel 1: Beskrivelse af forløbet med Danske Banks estiske filial
Danske Bank erhvervede finske Sampo Bank i slutningen af januar 2007, her-
under bankens estiske datterselskab, AS Sampo Pank. Datterselskabet blev
i 2008 omdannet til en filial af Danske Bank A/S.
Datterselskabet i Estland havde ved erhvervelsen i 2007 adskillige såkaldte
non-resident kunder, det vil sige kunder, som ikke var fra de tre baltiske stater.
Heraf var størstedelen fra Rusland og andre tidligere sovjetstater.
I 2013 etablerede filialen International Banking-afdelingen, som førte lister
over non-resident kunderne i afdelingen. Bankens advokatundersøgelse fo-
retaget af Bruun & Hjejle er nået frem til, at der ved Danske Banks erhvervelse
i 2007 var 3.500 af den type kunder, som i 2013 kom i International Banking-
afdelingen.
Antallet af disse kunder steg ifølge advokatundersøgelsen til ca. 4.000 i 2012
for derefter at falde, indtil afdelingen blev lukket ned i 2015 med afvikling af
de sidste kunder i januar 2016, jf. figur 1. Der var en betydelig udskiftning af
non-resident kunder. Ifølge advokatundersøgelsen var der i perioden fra 2007
til januar 2016 i alt ca. 10.000 kunder af den type, som fra 2013 var i Interna-
tional Banking-afdelingen.
Figur 1: Udviklingen i non-resident porteføljen
Kilde: Bruun og Hjejles rapport om non-resident porteføljen i Danske Banks estiske filial, s. 24. Tallene
er opgjort ultimo året.
Der var også ikke-baltiske kunder udenfor International Banking-afdelingen,
og nogle kunder i International Banking-afdelingen blev inden lukningen af
denne overført til andre afdelinger i filialen. Samlet var der i perioden omkring
15.000 ikke-baltiske kunder i filialen, dvs. de 10.000 nævnt ovenfor og yderli-
gere 5.000. Disse 15.000 kunder stod for transaktioner på i alt omkring 1.500
mia. kr. i perioden 2007-2015, jf. figur 2. Eksterne parter har således overført
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0012.png
12/69
ca. 1.500 mia. kr. til non-resident kunder, og non-resident kunderne har vide-
resendt et stort set tilsvarende samlet beløb til eksterne modtagere.
Figur 2: Transaktionsflow for non-resident kunder
Kilde: Bruun og Hjejles rapport om non-resident porteføljen i Danske Banks estiske filial, s. 30.
Figur 3 viser den estiske filials indlån fra non-resident kunder set i forhold til
alle non-resident kunder i dels Estland, dels de baltiske lande som helhed.
Som det fremgår, er omfanget af indlån fra non-resident kunder stort i de bal-
tiske lande.
Figur 3: Den estiske filials indlån fra non-resident kunder set i forhold til alle
indlån fra non-resident kunder i Estland og i de baltiske lande som helhed
Kilde: Bruun og Hjejles rapport om non-resident porteføljen i Danske Banks estiske filial, s. 26. Tallene
er opgjort ultimo året.
Danske Bank havde siden erhvervelsen af det estiske datterselskab (senere
filial) i 2007 været opmærksom på den forøgede hvidvaskrisiko. Banken
havde derfor implementeret særlige procedurer for håndtering af disse risici i
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0013.png
13/69
filialen. Danske Banks ledelse blev tilsyneladende først opmærksom på de
mulige overtrædelser af hvidvaskreglerne i den estiske filial i andet halvår af
2013. Først meddelte en af filialens to korrespondentbanker
2
i juli 2013, at
den ønskede at afbryde samarbejdet med filialen som følge af hvidvaskrisici.
Dernæst henvendte chefen for markedsafdelingen (herefter
”whistleblowe-
ren”)
i filialen sig i december 2013 til et medlem af koncernens direktion og
andre ledende medarbejdere i hovedsædet i København og advarede om po-
tentiel hvidvask i den estiske filials International Banking-afdeling. Whistleblo-
weren kom derefter i januar 2014 med yderligere anklager, og han kom se-
nere flere gange med omfattende beskrivelser af betydelige problemer i filia-
len, herunder med relation til filialens ledelse og forretningsmodel.
På den baggrund undersøgte Danske Banks interne revision og et eksternt
konsulentfirma i 2014 hvidvaskrisici i filialen. Undersøgelserne bekræftede
betydelige mangler, som whistlebloweren havde påpeget. Banken iværksatte
på den baggrund interne tiltag. Tiltagene var dog utilstrækkelige. Først efter
pres fra EFSA og efter, at filialens ene daværende korrespondentbank helt
havde afbrudt samarbejdet, og den anden korrespondentbank delvis havde
gjort det, blev International Banking-afdelingen nedlukket i løbet af 2015 og
januar 2016. Forløbet er nærmere beskrevet i Finanstilsynets afgørelse af 3.
maj 2018 (bilag 5).
I løbet af 2017 var der i medierne omtale af den såkaldte Russian Laundro-
mat-sag, hvor der var klare tegn på hvidvask af penge fra Rusland og Moldova
gennem bl.a. Danske Banks estiske filial. Senere var der også medieomtale
af sandsynlig hvidvask gennem den estiske filial i relation til bl.a. kunder fra
Aserbajdsjan. Finanstilsynet bad på baggrund af disse sager Danske Bank
redegøre for de konkrete beskyldninger og for håndtering af hvidvaskrisici ge-
nerelt i den estiske filial. Finanstilsynets opfølgende spørgsmål førte til, at
banken leverede et omfattende skriftligt materiale på ca. 4.000 sider. Under-
søgelsen førte til en række påbud og påtaler til Danske Bank i maj 2018, jf.
nedenfor.
Danske Bank tog i september 2017 selv initiativ til en advokatundersøgelse
af de mistænkelige transaktioner i den estiske filial i perioden 2007-2015.
Banken besluttede senere, at undersøgelsen også skulle omfatte non-resi-
dent kunder i filialerne i Litauen og Letland. Senere i 2017 besluttede banken
også at iværksætte en advokatundersøgelse af potentielt institutionelt og in-
dividuelt ansvar som følge af handlinger og undladelser foretaget af personer
i banken. Bankens egne undersøgelser af de potentielt ulovlige transaktioner
blev således først igangsat ca. fire år efter whistleblower-henvendelsen og
efter eksternt pres på banken i forbindelse med omfattende medieomtale.
En korrespondentbank er en bank, som en anden bank anvender til at gennemføre betalinger og
kreditformidling til og fra udlandet. Eksempelvis vil en dansk bank have en amerikansk korrespon-
dentbank til et gennemføre US-dollarbetalinger for de af bankens kunder, der yder eller modtager
betalinger i US-dollar.
2
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
14/69
I september 2018 offentliggjorde Danske Bank en rapport om sine egne ad-
vokatundersøgelser. Rapporten konkluderede, at non-resident kunder havde
gennemført transaktioner på i alt omkring 1.500 mia. kr. gennem den estiske
filial i perioden 2007-2015, og at en stor andel var mistænkelige og dermed
potentielt ulovlige hvidvaskaktiviteter. Undersøgelserne bekræftede herud-
over generelt de konklusioner, der var indeholdt i Finanstilsynets afgørelse
fra maj 2018.
I afgørelsen fra maj 2018 vurderede Finanstilsynet, at det var særligt kritisa-
belt, at banken først i september 2017 tog initiativ til en undersøgelse af om-
fanget af mistænkelige transaktioner og kundeforhold fra den utilstrækkelige
hvidvaskforebyggelse i filialen.
Filialens tidligere indberetninger af mistænkelige aktiviteter til den estiske
hvidvaskmyndighed (FIU) var ikke tilfredsstillende, men der blev indberettet
nogle aktiviteter. Det fremgår af rapporten offentliggjort af banken, at for de
ca. 10.000 kunder, der hørte til i International Banking-afdelingen, indgav den
estiske filial i perioden 2007-2015 rapporter om mistænkelig aktivitet på 653
kunder. Desuden stillede den estiske hvidvaskmyndighed i denne periode
spørgsmål til filialen om 1.007 af de ca. 10.000 kunder.
Advokatundersøgelsen så også på yderligere ca. 5.000 kunder, som ikke
hørte til i International Banking-afdelingen, men som også var non-resident
kunder. Fra 2007-2015 var 107 af disse kunder genstand for en eller flere
rapporter om mistænkelig aktivitet indgivet af den estiske filial. 61 var gen-
stand for en forespørgsel fra den estiske hvidvaskmyndighed.
Af rapporten fremgår også, at banken ved undersøgelserne havde fundet, at
42 medarbejdere og agenter havde været involveret i mistænkelig aktivitet,
og at de blev indberettet til den estiske hvidvaskmyndighed i overensstem-
melse med estisk lovgivning. Desuden var otte tidligere ansatte blevet an-
meldt til estisk politi af Danske Bank. Banken fandt, at det var sandsynligt, at
der var begået kriminelle handlinger. Ti tidligere medarbejdere i filialen blev i
december 2018 anholdt i Estland.
Finanstilsynets undersøgelse viste også, at det var sandsynligt, at medlem-
mer af ledelsen og/eller medarbejdere i filialen havde begået kriminelle hand-
linger. I Finanstilsynets afgørelse fra 3. maj 2018 står der således følgende:
”Der var i perioden efter whistleblower-henvendelsen
flere indikationer
på, at medlemmer af ledelsen og/eller medarbejdere i filialen samarbej-
dede med non-resident kunder om kriminelle handlinger eller i hvert fald
kendte til dem. Banken undersøgte det dog ikke, og der var ingen le-
dere eller medarbejdere, som blev afskediget eller fik andre opgaver på
grund af en sådan mistanke.”
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0015.png
15/69
Denne observation gav anledning til dette påbud i afgørelsen:
”Finanstilsynet påbyder med henvisning til § 71, stk. 1, i lov om finansiel
virksomhed og § 17, stk. 1, i ledelsesbekendtgørelsen bestyrelsen og
direktionen at sikre, at når der er mistanke om bankens lederes eller
medarbejderes samarbejde med kunder om deltagelse i kriminalitet el-
ler kendskab til kunders kriminalitet, foretager banken tilstrækkelige un-
dersøgelser og tager højde for mistanken ved den løbende tildeling af
opgaver til disse ledere eller medarbejdere.”
Bankens advokatundersøgelse af de gennemførte transaktioner er ikke af-
sluttet. Der er dermed en række kunder, der ikke er gennemgået, bl.a. non-
resident kunder i filialerne i Litauen og Letland.
Xxxxxxxx xxxxxxxxxxxx
xxxxxx xxxxxxxxxxxx xxxxxx xxxxxxx xxxxxxx xxxxx xxxx xxx xxxxxxx
xxxxxxxx xxxxxx xxxxxx xxxxxx xxx.
Der pågår også stadig screeninger i for-
hold til sanktionslister.
Den administrerende direktør, andre ledende medarbejdere, bestyrelsesfor-
manden og formanden for bestyrelsens revisionsudvalg har efterfølgende for-
ladt deres positioner i banken. Dermed har alle ledende medarbejdere i Dan-
ske Bank, der har været involveret i sagen, forladt deres stillinger i banken
ved udgangen af 2018.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0016.png
16/69
Kapitel 2: Tilsynet med hvidvaskrisici i Danske Bank 2007-2018
I det følgende beskrives EFSA’s hvidvasktilsyn med Danske Banks estiske
filial i perioden 2007-2015, Finanstilsynets hvidvasktilsyn med Danske Banks
danske aktiviteter og Finanstilsynets tilsyn med Danske Banks overordnede
ledelse og styring. Der er en uddybende ikke-offentliggjort beskrivelse i bilag
4 med tilhørende underbilag. Forløbet er illustreret som en tidslinje i figur 4.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0017.png
17/69
2.1 Ansvarsfordelingen mellem Finanstilsynet og EFSA
I henhold til EU-reglerne er EFSA som værtslandstilsyn for Danske Banks
estiske filial ansvarlig for hvidvasktilsynet med filialens aktiviteter. Finanstilsy-
net er som hjemlandstilsyn for Danske Bank bl.a. ansvarlig for tilsynet med,
at koncernen har tilstrækkelig kapital og likviditet, og for tilsynet med koncer-
nens overordnede styring af sine aktiviteter. Finanstilsynet er også ansvarlig
for hvidvasktilsynet med Danske Banks danske aktiviteter. Denne ansvarsfor-
deling er uddybende beskrevet af Kammeradvokaten, jf. bilag 2.
Arbejdsdelingen mellem Finanstilsynet som ansvarlig for tilsynet med koncer-
nen og EFSA som ansvarlig for tilsynet med hvidvaskrisici i Estland er også
afspejlet i den tilsynspraksis, der har været siden 2007. EFSA gennemførte
således fire hvidvaskinspektioner i den estiske filial i perioden 2007-2014 og
havde også mellem inspektionerne en række tilsynsaktiviteter på hvidvask-
området i forhold til filialen. Finanstilsynet gennemførte tilsvarende hvidvask-
inspektioner af Danske Banks danske aktiviteter, jf. også beskrivelsen neden-
for.
Der er en tilsvarende arbejdsdeling på hvidvaskområdet i samarbejdet med
tilsynsmyndigheder i de andre lande, hvor Danske Bank har aktiviteter. Hvid-
vaskinspektionerne i Danske Banks datterselskaber og filialer i disse lande er
således gennemført af tilsynsmyndigheden i det pågældende land, der også
mellem inspektionerne har kontakten til datterselskabet eller filialen om hvid-
vaskforebyggelse. Finanstilsynet vurderer, at hvidvasktilsynet med den esti-
ske filial var mere omfattende end det tilsvarende tilsyn med Danske Banks
datterselskaber og filialer i de øvrige lande.
Ansvarsfordelingen er også fastslået i en fælles erklæring fra Finanstilsynet
og EFSA fra den 28. maj 2018:
3
Det estiske finanstilsyn, Finantsinspektsioon, og Finanstilsynet udtryk-
ker i denne udtalelse deres fælles forståelse af ansvarsfordelingen mel-
lem de to tilsynsmyndigheder som svar på en række forespørgsler fra
medierne.
Ifølge EU's bankdirektiver ligger det prudentielle
4
tilsynsansvar for
grænseoverskridende banker som udgangspunkt hos hjemlandets fi-
nanstilsyn.
I henhold til den europæiske hvidvaskregulering, særligt artikel 48 i det
fjerde europæiske hvidvaskdirektiv, varetages tilsynet med hvidvaskfo-
rebyggelse af værtslandets kompetente myndigheder. Hvis en bank dri-
ver virksomhed i en anden EU-medlemsstat, er hjemlandets kompe-
3
4
Den originale engelske version er vedlagt som bilag 3.
Det prudentielle tilsyn omfatter tilsynet med bankens kapital, likviditet mv.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0018.png
18/69
tente myndighed ansvarlig for tilsynet med den omfattede enheds kon-
cernpolitikker og -procedurer i forhold til at forebygge hvidvask og fi-
nansiering af terrorisme. Den kompetente myndighed i hjemlandet bør
samarbejde tæt med værtsmedlemsstatens kompetente myndighed og
underrette sidstnævnte om eventuelle problemer, der kan påvirke dens
vurdering af bankens overholdelse af værtslandets regler om forebyg-
gelse af hvidvask og finansiering af terrorisme.
Som
et eksempel på ansvarsfordelingen tilsynene imellem har Finans-
tilsynet for nylig foretaget en undersøgelse af Danske Banks ledelse og
styring vedrørende filialen i Estland, mens Finantsinspektsioon i Est-
land har gennemført undersøgelser i Danske Banks estiske filial af ban-
kens organisation og compliance på området for hvidvaskforebyggelse.
I Estland og Danmark varetages strafferetlige sager vedrørende hvid-
vaskning af penge og finansiering af terrorisme af politi og anklagemyn-
dighed. Finantsinspektsioon og Finanstilsynet er heller ikke hvidvask-
sekretariater. Finansielle tilsynsmyndigheder koncentrerer sig i over-
ensstemmelse med gældende lovgivning om tilsynet med de finansielle
virksomheders solvens og forretningsførelse.
Finantsinspektsioon og Finanstilsynet er begge dedikerede til at udføre
deres respektive tilsynsopgaver og til at samarbejde og dele informa-
tion.
2.2 Hvidvasktilsyn i praksis
Med hvidvask forstås, at man uberettiget modtager eller skaffer sig selv eller
andre et økonomisk udbytte, der er opnået ved en strafbar lovovertrædelse.
Der vil også være tale om hvidvask, hvis man skjuler eller på anden måde
sikrer det økonomiske udbytte fra en strafbar lovovertrædelse
5
.
Forebyggelsen af hvidvask sker primært ved, at virksomhederne, der er om-
fattet af lovgivningen, kender deres kunder og overvåger disses transaktioner.
Transaktionsovervågningen skal ske helt tæt på kunderne, og den skal ske
løbende, for at virksomhederne kan reagere hurtigt.
Det er en kompliceret opgave at identificere de mistænkelige transaktioner,
da det samlede transaktionsomfang, der omfatter mistænkelige såvel som
helt almindelige transaktioner, er særdeles stort. I Danmark er der transakti-
oner for over 500 mia. kr. pr. bankdag, alene igennem de centrale betalings-
systemer.
Definitionen følger af hvidvasklovens § 3: Ved hvidvask forstås i denne lov:
1) Uberettiget at modtage eller skaffe sig eller andre del i økonomisk udbytte eller midler, der er opnået
ved en strafbar lovovertrædelse.
2) Uberettiget at skjule, opbevare, transportere, hjælpe til afhændelse eller på anden måde efterføl-
gende virke til at sikre det økonomiske udbytte eller midlerne fra en strafbar lovovertrædelse.
3) Forsøg på eller medvirken til sådanne dispositioner.
Stk. 2. Stk. 1 omfatter også dispositioner foretaget af den, der har begået den strafbare lovovertræ-
delse, som udbyttet eller midlerne hidrører fra.
5
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
19/69
Finanstilsynet fører tilsyn med de ca. 1.400 finansielle virksomheder, der er
omfattet af hvidvaskloven. Andre danske myndigheder fører tilsyn med et
stort antal andre virksomheder, der også er omfattet af loven.
Finanstilsynet fører tilsyn med, om de finansielle virksomheder overholder
lovgivningen, herunder om de har procedurer, systemer og en organisation,
der sikrer, at de kender kunderne, overvåger deres transaktioner og under-
retter Hvidvasksekretariatet hos SØIK om mistænkelige transaktioner og mis-
tænkelig adfærd.
Finanstilsynet skal ikke føre tilsyn med eller gennemgå de enkelte transakti-
oner, da den forpligtelse ligger hos virksomhederne. I forbindelse med en in-
spektion vil Finanstilsynet dog som regel udtage en eller flere stikprøver af
kunderne med henblik på at teste, om virksomhedens interne procedurer og
systemer fungerer i praksis.
2.3 Tilsynet med hvidvaskrisici i Danske Banks estiske filial
Den russiske centralbank advarede i juni 2007 Finanstilsynet om hvidvaskri-
sici relateret til en række russiske kunder i Danske Banks nyerhvervede esti-
ske datterselskab, der på det tidspunkt ikke var omdannet til en filial. Forhol-
det mellem Rusland og Estland var i 2007 anspændt. Finanstilsynet bad på
baggrund af henvendelsen Danske Bank om en redegørelse og drøftede sa-
gen med Danske Banks chef for den juridiske afdeling (som også var bankens
hvidvaskansvarlige) og bankens revisionschef. Fra begge var tilbagemeldin-
gen, at der ikke var problemer i forhold til hvidvaskrisici i det estiske dattersel-
skab. Finanstilsynet meddelte dette til EFSA. Finanstilsynet modtog desuden
på nogenlunde samme tidspunkt
konklusionerne fra EFSA’s egen hvidvask-
undersøgelse i datterselskabet samme år, jf. nedenfor.
EFSA var både før Danske Banks køb af aktiviteterne i Estland og i perioden
fra 2007 og frem opmærksom på filialens store omfang af non-resident kunder
og risikoen for, at der kunne ske hvidvask gennem filialen. EFSA gennemførte
således i marts-april 2007 en hvidvaskinspektion i det estiske datterselskab
og fandt mangler i forhold til datterselskabets håndtering af hvidvaskrisici.
EFSA gav på den baggrund datterselskabet påbud om at indføre yderligere
tiltag til at undersøge nye non-resident kunder og om at styrke de interne pro-
cedurer for forebyggelse af hvidvask. Danske Bank forpligtede sig til at fore-
tage de krævede forbedringer i den nyerhvervede datterbank.
I 2009 gennemførte EFSA en opfølgende hvidvaskinspektion i filialen (det tid-
ligere datterselskab). EFSA fandt i den forbindelse, at filialen havde fulgt op
på påbuddet fra 2007 på passende vis. EFSA konkluderede bl.a., at filialen
var opmærksom på hvidvaskrisici og havde iværksat tiltag til at håndtere hvid-
vaskrisici, der var på linje med de højeste internationale standarder og pas-
sende i forhold til at opretholde non-resident kunderne. EFSA konkluderede
også, at EFSA havde konstateret nogle svagheder, men ikke fundet alvorlige
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0020.png
20/69
mangler eller problemer. Finanstilsynet blev orienteret af EFSA om konklusi-
onerne.
Estlands hvidvaskregulering og -tilsyn evalueres af Moneyval, der er en over-
vågningsenhed under Europarådet
6
. Evalueringen sker i forhold til de interna-
tionale standarder for hvidvasktilsyn (FATF-standarderne). Moneyval konklu-
derede i 2008, at:
”Det
tyder på, at Estland nu har et sundt lovgivningsmæssigt og institu-
tionelt system til forebyggelse af hvidvask og terrorfinansiering, og at
de opnåede resultater på basis af den tidligere lovgivning er anerken-
delsesværdige. Denne vurdering er også støttet af det faktum, at der
var en god forståelse af forholdene omkring forebyggelse af hvidvask
og terrorfinansiering hos repræsentanter fra den private sektor, som
vurderingsteamet [fra Moneyval] mødte” (Finanstilsynets oversæt-
telse)
7
.
I 2014 konkluderede Moneyval, at Estland havde taget adskillige vigtige skridt
til at forbedre overholdelsen af FATF’s anbefalinger og havde vist fremskridt
på flere områder siden vurderingen i 2008. En del ny lovgivning var vedtaget,
og nye lovgivningsmæssige instrumenter og vejledninger var udstedt for at
opfylde mangler i 2008
8
.
Finanstilsynet har fra oversættelser af inspektionsrapporter udarbejdet af
EFSA indtryk af, at EFSA’s hvidvaskinspektioner
var omfattende og grundige,
og at inspektionsrapporterne indeholdt detaljerede beskrivelser af grundlaget
for EFSA’s konklusioner.
Mens Finanstilsynet således, i overensstemmelse med ansvarsfordelingen på
området, ikke har foretaget hvidvaskinspektioner i den estiske filial, gennem-
førte Finanstilsynet i 2009 og 2011 kreditinspektioner i den estiske filial som
led i hjemlandstilsynets samlede solvenstilsyn med Danske Bank-koncernen.
Finanstilsynets tilgang er at vurdere både første og anden forsvarslinje mod
tab på kreditrisici, når sådanne forebyggende inspektioner udføres.
Ved inspektionen i foråret 2009 vurderede Finanstilsynet, at der var behov for
en betydelig stigning i nedskrivningerne på filialens udlån. Filialen blev også
påbudt at forbedre sine nedskrivningsberegninger. I forbindelse med den op-
følgende inspektion i oktober 2011 fandt Finanstilsynet, at nedskrivningerne
var steget markant siden foråret 2009, og at nedskrivningsberegningerne var
forbedret. Derfor konkluderede Finanstilsynet, at banken havde levet op til
6
7
Estland er ikke medlem af den internationale hvidvaskorganisation, FATF.
Committee of experts on the evaluation of anti-money laundering measures and the financing of
terrorism (Moneyval), third round detailed assessment report on Estonia, 8-12 December 2008.
8
Committee of experts on the evaluation of anti-money laundering measures and the financing of
terrorism (Moneyval), Report on fourth assessment visit on Estonia, 18 September 2014.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0021.png
21/69
resultaterne fra inspektionen i 2009. På baggrund af inspektionen i 2011 kon-
kluderede Finanstilsynet, at filialens kreditstyring var tilfredsstillende.
I januar 2012 kontaktede EFSA Finanstilsynet vedrørende den estiske filial,
da EFSA var blevet bekymret over omfanget af non-resident kunder i filialen.
Finanstilsynet tog på den baggrund kontakt til Danske Bank og bad banken
forholde sig til EFSA’s bekymringer.
Chefen for den juridiske afdeling og che-
fen for compliance og hvidvask svarede, at man var meget opmærksom på
risici forbundet med filialens non-resident kunder, og at processerne i filialen
tog højde for disse risici. De oplyste også, at non-resident kunder havde været
en målgruppe for den estiske bank i mange år, og at banken havde særlige
kompetencer med hensyn til håndteringen af disse kunder. Desuden oplyste
de, at koncernens interne revision havde vurderet processerne vedrørende
forebyggelse af hvidvask i filialen i efteråret 2011 og havde fundet disse til-
fredsstillende.
Finanstilsynet fandt imidlertid, at bankens forklaring var for overordnet, og ud-
bad sig yderligere information. Chefen for compliance og hvidvask sendte på
den baggrund en detaljeret beskrivelse af den estiske filials håndtering af
hvidvaskrisici. Finanstilsynet orienterede EFSA om svaret og vedlagde de to
breve fra Danske Bank. Finanstilsynet fandt, at den store koncentration af
kunder fra højrisikolande kunne være problematisk, men at Finanstilsynets
foreløbige konklusion, på baggrund af en gennemgang af bankens forret-
ningsgange, var, at bankens procedurer og kontrolforanstaltninger var til-
fredsstillende.
9
I marts 2013 tog EFSA igen kontakt til Finanstilsynet vedrørende hvidvaskri-
sici i den estiske filial. Henvendelsen var baseret på en advarsel fra den rus-
siske centralbank med en liste over en række af filialens russiske kunder, som
den russiske centralbank vurderede var mistænkelige,
og på EFSA’s egne
analyser af filialens kundesammensætning. Finanstilsynet bad Danske Bank
forholde sig til EFSA’s henvendelse.
Bankens fungerende chef for den juridi-
ske afdeling svarede, at den estiske filial havde et særligt setup i lyset af den
forhøjede hvidvaskrisiko i filialen. Den fungerende chef for den juridiske afde-
ling henviste desuden til den detaljerede beskrivelse af setuppet, som banken
havde sendt året før, jf. ovenfor. Finanstilsynet orienterede EFSA herom i april
2013.
EFSA holdt i forlængelse heraf et møde med chefen for den estiske filial. Af
et referat fra mødet fremgår det, at EFSA havde fokus på hvidvaskrisici i fili-
alen og vurderede, at dens risikoappetit lå over gennemsnittet for den estiske
9
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx xxxxxxxxxxxxxxxxx x xxx
x xxx xxxxx xxxxxxxx xxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx xxxxxxxxx xxxxx xxxx xxx xx
xxxxxxxxxx xxxxxx xxxxxx xxxx xxxxx xxxxx xxxxxxxxx xxx xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxxxxx
xxxxxx xxx xxxxxxx xxxxxxxxxxx xxxxx xxxxxxxx xxxxxxxxxx xxxxxxx.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
22/69
banksektor. Af referatet fremgår også, at EFSA fandt, at filialens hvidvaskpro-
cedurer var i overensstemmelse med kravene hertil. EFSA understregede, at
det var vigtigt, at filialens forretningsgange for hvidvaskforebyggelse blev fulgt
i praksis. Følgende fremgår af referatet:
”Raul Malmstein og Kaido Tropp [EFSA’s ledelse]
anerkendte de fore-
lagte oplysninger og påpegede, at EFSA har meget stort fokus på hvid-
vaskforebyggelsen i banker og betalingsinstitutter. De bekræftede, at
samarbejdet med banken har været effektivt og konstruktivt. EFSA ind-
rømmer, at bankens interne hvidvaskprocedurer er i overensstemmelse
med de fastsatte krav om forebyggelse på et tilfredsstillende niveau,
men påpegede, at EFSA mente, at risikoappetitten i filialen virkede over
gennemsnittet, sammenlignet med den generelle estiske banksektor.
Der er ingen bebrejdelser mht. niveauet af retningslinjer i banken. EFSA
understreger, at »Kend din kunde«-politikken skal overholdes, ikke blot
i skriftlige procedurer, men også i de daglige aktiviteter. Det er vigtigt at
vide, hvor og hvordan kunden gør forretning, og at dette bør være i
overensstemmelse med transaktionerne på bankkontoen” (Finanstilsy-
nets oversættelse).
EFSA orienterede efterfølgende Finanstilsynet om mødet med filialens le-
delse og
EFSA’s opfølgning på den russiske advarsel.
EFSA havde anmodet
filialen om materiale om de russiske kunder i filialen, som var omtalt i advars-
len fra den russiske centralbank, og havde foretaget en vurdering af dem.
EFSA havde ikke fundet væsentlige brud på interne procedurer eller lovkrav.
EFSA fandt også, at selvom EFSA fortsat var bekymret, var der ikke grund til
umiddelbare tilsynshandlinger. EFSA ville dog i de følgende måneder be-
slutte, om der skulle gennemføres en inspektion i filialen, og orientere Finans-
tilsynet herom.
Finanstilsynet fandt alligevel, at det kunne være relevant at gennemføre en
hvidvaskinspektion i filialen, og tilbød EFSA at deltage i en sådan inspektion,
hvis EFSA vurderede det hensigtsmæssigt. Finanstilsynet gentog tilbuddet
flere gange. EFSA gennemførte efterfølgende to hvidvaskinspektioner i 2014.
Finanstilsynet blev ikke bedt om at deltage.
EFSA’s hvidvaskinspektioner
i 2014 afslørede store svagheder i filialens pro-
cedurer for forebyggelse af hvidvask. Filialen fulgte ikke de interne procedu-
rer, og der blev ikke lavet den nødvendige kontrol af særligt non-resident kun-
derne. I 2015 gav EFSA på den baggrund filialen en række påbud. Dette var
medvirkende til, at Danske Bank i 2015 lukkede ned for filialens International
Banking-afdeling, og det førte til, at den lokale ledelse i filialen blev udskiftet.
Afdelingen var helt nedlukket i starten af 2016. Banken valgte dog at overføre
nogle af kunderne til andre afdelinger i filialen.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
23/69
På baggrund af EFSA’s konklusioner inddrog Finanstilsynet bankens håndte-
ring af sin estiske filial i en hvidvaskinspektion af Danske Banks danske akti-
viteter, der blev gennemført i 2015 og afrapporteret i 2016. Finanstilsynet gav
Danske Bank en påtale for mangler i bankens overordnede håndtering af
hvidvaskrisici i den estiske filial, jf. også nedenfor.
2.4 Tilsynet med hvidvaskrisici i Danske Banks aktiviteter i Danmark
Parallelt med processen omkring hvidvaskrisici i den estiske filial førte Finans-
tilsynet tilsyn med hvidvaskrisici i Danske Banks danske aktiviteter. Dette in-
debar hvidvaskinspektioner i henholdsvis 2010 og 2011. Finanstilsynet fandt
ved begge inspektioner, at koncernen på en række punkter ikke havde til-
strækkelige procedurer for forebyggelse af hvidvask. Finanstilsynet gav på
baggrund af inspektionerne Danske Bank en række påbud, hvoraf påbuddene
efter inspektionen i 2011 blev offentliggjort i 2012.
Finanstilsynet påbød Danske Bank, at:
udarbejde tilstrækkelige skriftlige interne regler om kontrol af, at undervis-
ningsprogrammerne overholdes, herunder på lederniveau, konsekven-
serne af manglende deltagelse, samt om og hvornår der skal ske ajour-
føring af undervisningsmaterialet
indføre procedurer med henblik på at sikre, at banken med passende in-
tervaller gennemfører relevante uddannelses- og instruktionsprogram-
mer, der er tilpasset medarbejdere, som beskæftiger sig med særlige for-
retningsområder, herunder Danske Markets, Trade Finance, Financial In-
stitutions og Transaction Services
sikre, at der ikke sker udvidelse af engagementet med de eksisterende
kunder, der ikke er tilstrækkeligt legitimerede, og at eksisterende engage-
menter afvikles, hvis det ikke er muligt at indhente den fornødne legitima-
tion inden for en af banken fastsat kortere frist
indføre tilstrækkelige procedurer i relation til oprettelse af kunder uden
CPR-nummer, idet banken skal sikre, at disse kunder, foruden legitime-
ring af navn og nationalt identitetsnummer, også legitimeres med adresse
indføre procedurer, således at det ved oprettelse af privatkunder doku-
menteres, om kunden har været fysisk tilstede for at legitimere sig eller
ej, og at tilrette sine skriftlige interne regler, så det klart fremgår, hvad der
er bankens politik for accept af distancekunder, samt dokumentationskrav
i forbindelse hermed
sikre, at bankens forretningsgange for virksomhedskunder, herunder in-
stitutionelle kunder, i tilstrækkeligt omfang beskriver krav til legitimation af
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
24/69
udenlandske kunder, klarlæggelse af ejer- og kontrolstruktur og skær-
pede krav til legitimation, og at der på sagerne er dokumentation for ban-
kens oplysninger om ejer- og kontrolstruktur og legitimation af reelle ejere
sikre, at der på sagerne registreres tilstrækkelige oplysninger om formålet
med forretningsforbindelsen og det tilsigtede omfang heraf for virksom-
hedskunder, herunder institutionelle kunder, som grundlag for den lø-
bende overvågning af kundens transaktioner. Det er Finanstilsynets op-
fattelse, at påbud meddelt herom i undersøgelsesrapport af 23. septem-
ber 2010 ikke er opfyldt i tilstrækkelig grad
indføre tilstrækkelige procedurer med henblik på at sikre, at banken over-
holder hvidvasklovens regler om grænseoverskridende korrespondent-
bankforbindelser
indføre procedurer, der sikrer tilstrækkelig overvågning af værdipapirhan-
delstransaktioner i Danske Markets, kundetransaktioner i Trade Finance
og transaktioner i relation til grænseoverskridende korrespondentbankfor-
bindelser.
De identificerede mangler vedrørte ikke samme type mangler ved håndterin-
gen af hvidvaskrisici, som senere blev identificeret i den estiske filial. Finans-
tilsynet fulgte op på påbuddene fra 2011-inspektionen ved en opfølgningsin-
spektion den 12. november 2012 og fandt, på baggrund af bankens oplysnin-
ger, at Danske Bank levede op til alle påbuddene.
Danske Bank havde på dette tidspunkt ansøgt den amerikanske centralbank
om tilladelse til at åbne en filial i New York. Den amerikanske centralbank var
bekymret over Finanstilsynets påbud til banken i juni 2012. Påbuddene var
ikke relateret til forholdene i den estiske filial. Finanstilsynet sendte den 30.
november 2012 et brev til Danske Bank i en dansk og en engelsk version,
hvori Finanstilsynet, baseret på oplysningerne fra Danske Bank, bekræftede,
at Danske Bank havde efterlevet påbuddene på hvidvaskområdet. Formålet
med den engelske version af brevet var, at det kunne videregives til den ame-
rikanske centralbank.
På en opfølgende inspektion i 2015 fandt Finanstilsynet, modsat hvad Danske
Bank havde oplyst i november 2012, at banken ikke i tilstrækkelig grad havde
levet op til flere af påbuddene fra 2012, herunder særligt påbuddet vedrø-
rende overvågning af transaktioner i relation til korrespondentbankforbindel-
ser, og at væsentlige risikooplysninger i rapporten fra 2012 fortsat var aktu-
elle. Finanstilsynet meldte på den baggrund banken til politiet, hvilket førte til,
at banken i 2017 accepterede en bøde på 12,5 mio. kr. Ud over politianmel-
delsen gav Finanstilsynet også Danske Bank en række påbud for øvrige
mangler i bankens procedurer for forebyggelse af hvidvask.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0025.png
25/69
Finanstilsynet så ved inspektionerne i 2010, 2011 og 2015 ikke på hvidvask-
risici i den
estiske filial, da tilsynet hermed som beskrevet var EFSA’s ansvar.
Politianmeldelsen havde derfor heller ikke nogen forbindelse til mistænkelige
transaktioner i den estiske filial. Finanstilsynet valgte dog som nævnt i 2016 i
rapporten om inspektionen i 2015 at give banken en påtale for mangler i den
overordnede styring af hvidvaskrisici i koncernen med henvisning til proble-
merne i den estiske filial. Finanstilsynet fandt således, at bankens bestyrelse
ikke havde identificeret og håndteret de risiko- og compliancerelaterede fejl
og mangler på behørig vis, hvilket havde skabt forøget omdømmerisiko for
banken.
Ved høringen i Folketingets skatteudvalg om Panama Papers i april 2016
havde banken ved sine foreløbige undersøgelser kun fundet syv kunder med
selskaber registreret af det panamanske advokatfirma Mossack Fonseca, og
alle syv kunder var overtaget fra andre banker, efter at kunderne havde haft
kontakt til advokatfirmaet. Banken måtte senere oplyse, at filialen i Estland
havde haft mere end ti gange så mange kunder med selskaber stiftet af Mos-
sack Fonseca.
I 2017 gennemførte Finanstilsynet en ny hvidvaskinspektion i Danske Bank
med henblik på at følge op på undersøgelsen i 2015-2016, som havde resul-
teret i en række påbud til banken. Inspektionen blev afsluttet i marts 2018
med konklusion om, at banken havde efterlevet alle påbuddene på nær en
del af et påbud vedrørende korrespondentbanker, hvor rapporteringen til ban-
kens ledelse fortsat ikke var tilfredsstillende.
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx xxxxxxxxx
xxxxx xxxx xxx xx xxxxxxxxxx xxxxxx xxxxxx xxxx xxxxx xxxxx xxxxxxxxx xxx
xxxxxxxx xxxxxx xxxxx xxxxxxxxxxxxxxxx xxxxxx xxx xxxxxxx xxxxxxxxxxx
xxxxx xxxxxxxx xxxxxxxxxx xxxxxxx xxxxxxxx xxxxxxxxxxx xxxxxxxx xxxxxx
xxx.
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx xxxxxxxxx
xxxxx xxxx xxx xx xxxxxxxxxx xxxxxx xxxxxx xxxx xx
Det bemærkes, at Finanstilsynet i forbindelse med de beskrevne hvidvaskin-
spektioner af Danske Banks danske aktiviteter ikke har identificeret konkrete
hvidvaskproblemer.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
26/69
2.5 Tilsyn med den overordnede ledelse og styring (governance) af Danske
Bank
Russian Laundromat-sagen, der også kaldes Moldova-sagen, kom i medier-
nes søgelys i marts 2017. Det fremgik, at Danske Banks estiske filial havde
en betydelig rolle i forbindelse med et stort omfang af mistænkelige transak-
tioner. Finanstilsynet modtog derfor på forespørgsel i april 2017 kopi af en del
skriftligt materiale fra banken om hvidvaskhåndteringen i filialen fra perioden
2011-2015.
Foranlediget af medieomtalen af Aserbajdsjan-sagen i september 2017, hvor
den estiske filial også havde en betydelig rolle i forbindelse med mistænkelige
transaktioner, vurderede Finanstilsynet, at der var behov for en egentlig un-
dersøgelse af bankens styring af forholdene i filialen i Estland. Finanstilsynet
bad derfor i september bankens bestyrelse og direktion om en skriftlig rede-
gørelse for denne sag og mere generelt for håndteringen af hvidvaskområdet
i filialen. Banken sendte redegørelsen i oktober 2017.
I de følgende måneder stillede Finanstilsynet en række spørgsmål til bankens
bestyrelse, direktion og revisionschef om ledelse og styring i forbindelse med
den estiske filial og anmodede om et omfattende materiale. I alt modtog Fi-
nanstilsynet ca. 4.000 sider, herunder beslutningsoplæg, mødereferater, re-
visions- og compliancerapporter, et stort antal interne e-mails og svar på Fi-
nanstilsynets spørgsmål.
I overensstemmelse med forvaltningsloven sendte Finanstilsynet som led i
sagsforberedelsen udkast til afgørelse i partshøring til bankens bestyrelse,
direktion og revisionschef. De afgav i den forbindelse flere høringssvar, som
indgik i afklaringen af sagen.
Denne omfattende undersøgelse førte til, at Finanstilsynet den 3. maj 2018
traf en afgørelse om Danske Banks ledelse og styring i hvidvasksagen i den
estiske filial. Her gav Finanstilsynet Danske Bank otte påbud og otte påtaler
som følge af manglende overordnet styring af banken i relation til forholdene
i den estiske filial. Afgørelsen, som blev offentliggjort samme dag, er vedlagt
som bilag 5.
Det følger af Finanstilsynets afgørelse, at omfanget af mistænkelige transak-
tioner kunne være meget stort, skønt afgørelsen i modsætning til rapporten
fra Danske Banks advokatundersøgelser ikke indeholder tal for transaktions-
omfanget. Det fremgik således af afgørelsen, at der var meget alvorlige mang-
ler i forebyggelsen af hvidvask, samtidig med at indtjeningen fra non-resident
porteføljen var høj. I 2013 gav den som nævnt i afgørelsen et overskud på
325 mio. kr. svarende til 99 pct. af overskuddet før nedskrivninger i filialen i
Estland.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
27/69
Afgørelsen indeholder Finanstilsynets vurderinger af Danske Banks ledelses
og ledende medarbejderes rolle i hvidvasksagen i den estiske filial. Finanstil-
synet tog stilling til, om reglerne om ledelse og styring af banken og andre
relevante danske regler var overholdt.
Derimod tog Finanstilsynet ikke stilling til overholdelse af regler om forebyg-
gende foranstaltninger mod hvidvask af penge. Det skyldes, at det i henhold
til EU-reguleringen som nævnt er EFSA, som påser filialer i Estlands overhol-
delse af disse regler.
Finanstilsynet ventede ikke med at træffe sin afgørelse, til bankens advokat-
undersøgelser var afsluttet. Sagen var ifølge Finanstilsynets vurdering til-
strækkeligt oplyst til, at Finanstilsynet kunne træffe afgørelse. Finanstilsynet
fandt derfor ikke, at der var grundlag for at afvente bankens egne undersø-
gelser, men fandt det derimod væsentligt at få effektueret en afgørelse hur-
tigst muligt. Det var vigtigt at få givet bestyrelsen og direktionen de relevante
påbud, så banken kunne foretage de nødvendige forbedringer i ledelse og
styring samt forøge det opgjorte solvensbehov for koncernen.
Af afgørelsen fremgår, at Finanstilsynet vurderede det særligt kritisabelt:
at der i filialen i Estland var så store mangler i alle tre forsvarslinjer, at
kunder havde mulighed for at bruge filialen til kriminalitet for store beløb
at banken først i september 2017 tog initiativ til en undersøgelse af om-
fanget af mistænkelige transaktioner og kundeforhold fra den utilstrække-
lige håndtering af hvidvaskrisici i filialen, dvs. godt fire år efter filialens ene
korrespondentbanks afbrydelse af korrespondentbankforbindelsen og
knap fire år efter whistleblower-henvendelsen
at banken bortset fra ophør af samarbejdet med russiske mellemmænd
udskød beslutningen om nedlukning af den del af non-resident porteføl-
jen, hvor kunderne ikke havde en personlig eller forretningsmæssig til-
knytning til Baltikum, til januar 2015, og at nedlukningen først var afsluttet
i januar 2016
at bankens governance i form af intern rapportering, beslutningsproces-
ser og virksomhedskultur ikke sikrede, at problemerne med non-resident
porteføljen blev tilstrækkeligt klarlagt og håndteret på betryggende vis,
herunder ved indberetninger om mistanke om kriminalitet til relevante
myndigheder. Det gælder både under forløbet frem til nedlukningen primo
2016 og i forløbet siden begyndelsen af 2017
at banken ikke orienterede Finanstilsynet om de konstaterede hvidvask-
problemer, selvom det i starten af 2014 burde have stået klart for nogle
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
28/69
direktører og øvrige ledende medarbejdere, at bankens tidligere oplysnin-
ger fra 2012 og 2013 til Finanstilsynet og EFSA var misvisende, og at det
burde have stået klart for dem, at tilsynsmyndighederne havde fokus på
området
at bankens orientering af Finanstilsynet i forløbet siden begyndelsen af
2017 har været mangelfuld.
Finanstilsynet påbød bankens bestyrelse og direktion at:
styrke direktionens governance med kompetencer på compliance-områ-
det og samtidig sikre, at der i direktionen er en tilstrækkelig uafhængighed
i områdeansvaret for compliance i forhold til forretnings- og rentabilitets-
mæssige interesser
revurdere bankens og bankkoncernens solvensbehov med henblik på at
sikre en tilstrækkelig kapitalmæssig afdækning af compliance- og om-
dømmerisici som følge af svagheder i bankens governance. Finanstilsy-
net skønnede, at solvensbehovet som minimum skulle hæves med 5 mia.
kr.
sikre, at når der er mistanke om bankens lederes eller medarbejderes
samarbejde med kunder om deltagelse i kriminalitet eller kendskab til kun-
ders kriminalitet, foretager banken tilstrækkelige undersøgelser og tager
højde for mistanken ved den løbende tildeling af opgaver til disse ledere
eller medarbejdere
styrke bankens governance med henblik på at sikre, at der sker en retvi-
sende og rettidig rapportering til bestyrelsen og direktionen om mulige
problemsager
styrke bankens governance med henblik på at sikre, at beslutningsgrund-
lag, drøftelser på møder og trufne beslutninger er dokumenteret fyldest-
gørende, og at der er tilstrækkelig opmærksomhed på bankens overhol-
delse af relevant lovgivning
vurdere ledelse og styring i filialen i Estland
sikre, at banken giver Finanstilsynet fyldestgørende information
styrke bestyrelsens og direktionens governance med henblik på at sikre
en tilstrækkelig involvering i skriftlige besvarelser af henvendelser fra Fi-
nanstilsynet til bestyrelsen eller direktionen.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
29/69
Finanstilsynet påtalte følgende forhold:
at bankens direktion ikke i tilstrækkelig grad har varetaget sit ansvar, da
direktionen ikke:
o
sikrede en tilstrækkelig fokus på hvidvaskrisici for højrisikokunder
i filialen i Estland og i overvågningen af filialen i Business Banking
i København
sikrede integration af den baltiske compliance og hvidvaskfore-
byggelse i koncernfunktionerne og sikrede en tilstrækkelig kvalitet
sikrede tilstrækkelig opfølgning på whistleblowerens beskyldnin-
ger og sikrede undersøgelse af mistanker om medarbejderes
samarbejde med kunder eller viden om kunders kriminelle hand-
linger og sikrede omplacering af mistænkte medarbejdere
sikrede, at Finanstilsynet blev orienteret om sagen før i januar
2015
orienterede bestyrelsen tilstrækkeligt om sagens alvor og sikrede
en hurtig nedlukning af den del af non-resident kundeporteføljen,
hvor kunderne ikke havde en personlig eller forretningsmæssig
tilknytning til Baltikum
o
o
o
o
at bestyrelsen ikke i tilstrækkelig grad har varetaget sit ansvar, da den
ikke:
o
på møder i bestyrelsen og i bestyrelsens revisionsudvalg drøftede
bankens overholdelse af lovgivningen i filialen i Estland, baseret
på rapporteringen fra intern revision og Group Compliance and
AML, eller ikke sikrede, at sådanne drøftelser fremgik af mødere-
feraterne
sikrede en tilstrækkelig hurtig nedlukning af den del af non-resi-
dent kundeporteføljen, hvor kunderne ikke havde en personlig el-
ler forretningsmæssig tilknytning til Baltikum, baseret på den rap-
portering, som bestyrelsen modtog fra intern revision og Group
Compliance and AML, og i lyset af direktionens manglende be-
slutning
o
at Group Internal Audit ikke før whistleblower-henvendelsen fik sikret den
tilstrækkelige integration og kvalitet af intern revision i Baltikum og efter
whistleblower-henvendelsen ikke fik direktionen til at sikre, at bestyrelsen
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
30/69
og bestyrelsens revisionsudvalg fik en dækkende rapportering om hvid-
vaskforebyggelse i filialen, eller gjorde bestyrelsen og revisionsudvalget
opmærksom på manglerne
at Group Compliance and AML og Group Legal ikke i tilstrækkelig grad
varetog deres ansvar i forbindelse med hvidvaskforebyggelse i filialen i
Estland i perioden før whistleblower-henvendelsen og i forbindelse med
at begrænse følgerne af den utilstrækkelige indsats i forbindelse med
hvidvaskforebyggelse
at banken fra slutningen af 2012 til 7. november 2013 ikke havde udnævnt
nogen hvidvaskansvarlig, og at banken først orienterede om dette den 7.
februar 2018, efter at Finanstilsynet havde spurgt bestyrelsen og direkti-
onen
manglerne i alle tre forsvarslinjer i filialen i Estland frem til whistleblower-
henvendelsen i december 2013
at banken først udskiftede ledelsen i Estland mere end halvandet år efter
whistleblower-henvendelsen
at bestyrelsen og direktionen ikke sikrede tilstrækkelige, rettidige under-
søgelser af forholdene i filialen for at begrænse følgerne af den utilstræk-
kelige håndtering af hvidvaskrisici og skabe overblik over det passerede.
Banken iværksatte først fire og et halvt år efter filialens ene korrespon-
dentbanks afbrydelse af forbindelsen, fire år efter whistleblower-henven-
delsen, to og et halvt år efter en anden korrespondentbanks afbrydelse af
forbindelsen og efter eksternt pres en undersøgelse af omfanget af mis-
tænkelige transaktioner og kundeforhold fra den utilstrækkelige håndte-
ring af hvidvaskrisici i filialen.
Finanstilsynet fulgte op på påbuddene i oktober 2018 og gav i den forbindelse
banken påbud om at forhøje solvensbehovet med minimum 10 mia. kr. (i ste-
det for de minimum 5 mia. kr., der blev påbudt i afgørelsen i maj 2018) som
følge af forøgede compliance- og omdømmemæssige risici for Danske Bank
på grund af hvidvasksagen.
Finanstilsynet fandt også, at banken ikke fuldt ud opfyldte påbuddet om at
styrke bankens governance med henblik på at sikre, at beslutningsgrundlag,
drøftelser på møder og trufne beslutninger dokumenteres fyldestgørende.
Bankens bestyrelse og direktion blev derfor pålagt at redegøre nærmere for
iværksatte tiltag med henblik på generelt at styrke governance omkring be-
slutningsprocesser. Finanstilsynet vurderede, at banken for de øvrige påbud
enten opfyldte påbuddene eller havde iværksat egnede tiltag med henblik på
at opfylde dem.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
31/69
I september 2018 offentliggjorde Danske Bank en rapport om sine egne ad-
vokatundersøgelser af bankens håndtering af mulig hvidvask gennem den
estiske filial. Finanstilsynet besluttede på den baggrund
som allerede an-
nonceret i forbindelse med afgørelsen i maj 2018
at genåbne sin undersø-
gelse med henblik på at afklare, om der forelå ny information, som kan give
anledning til yderligere tilsynsreaktioner. Denne undersøgelse pågår fortsat.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0032.png
32/69
Kapitel 3: Finanstilsynets tilsyn med Danske Bank i en bredere sammen-
hæng
Finanstilsynets hvidvasktilsyn med Danske Bank og hvidvasktilsynet mere
generelt, herunder samarbejdet med andre landes myndigheder, skal ses i
lyset af følgende forhold, der sætter tilsynet ind i en bredere sammenhæng:
kritikken i 2017
fra den internationale hvidvaskorganisation FATF’s side
af den danske hvidvasklovgivning og hvidvasktilsynet
hvordan hvidvasktilsynet er organiseret i andre lande
Finanstilsynets varetagelse af rollen som koncerntilsynsmyndighed i hen-
hold til EU-reglerne
undersøgelsen, som Den Europæiske Banktilsynsmyndighed (EBA) fore-
tager af det estiske og det danske finanstilsyns tilsyn med hvidvaskfore-
byggelse.
Dette er uddybet i afsnit 3.1-3.4.
3.1
FATF’s kritik af den danske hvidvasklovgivning
og hvidvasktilsynet
Den internationale samarbejdsorganisation vedrørende hvidvaskregulering
og hvidvasktilsyn (FATF) evaluerede i 2006 de danske regler og det danske
tilsyn på hvidvaskområdet
10
. Rapporten konkluderede bl.a., at Danmark har
solide rammer for bekæmpelsen af hvidvask og terrorfinansiering, og at de
nyligt var blevet opdateret med en ny hvidvasklov, der skulle give et godt
grundlag for et effektivt regime til bekæmpelsen af hvidvask og terrorfinansie-
ring. I 2010 var der en opfølgning på denne evaluering
11
.
FATF’s vurdering i
2010 var positiv, og det blev konstateret, at Danmark havde gjort store frem-
skridt siden evalueringen i 2006.
I 2016-17 var der en ny evaluering af Danmark
12
. Udgangspunktet for FATF’s
evaluering i 2016-17 var de nu 42 standarder og 11 effektivitetsmål. Standar-
der og effektivitetsmål vedtages af FATF’s medlemmer, og de omfatter alle
aspekter af et lands indsats på tværs af hvidvaskområdet og alle de involve-
rede nationale myndigheder. FATF’s standarder og effektivitetsmål
var blevet
væsentligt ændret i 2012, og det er disse nye standarder, som
EU’s fjerde
hvidvaskdirektiv især baserer sig på.
Vurderingerne, som FATF giver, er C (Compliant, dvs. opfyldt), LC (Largely
Compliant, dvs. næsten opfyldt), PC (Partly Compliant, dvs. delvis opfyldt) og
Third Mutual Evaluation Report on Anti-Money Laundering and Combating the Finance of Terrorism,
Kingdom of Denmark, 22 June 2006.
11
Mutual Evaluation Third Follow-Up Report Anti-Money Laundering and Combating the Financing of
Terrorism, Kingdom of Denmark, 22 October 2010.
12
Anti-money laundering and counter-terrorist financing measures, Mutual Evaluation Report, Den-
mark, August 2017.
10
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
33/69
NC (Non Compliant, dvs. ikke opfyldt). Danmark fik kritik (bedømmelsen del-
vis opfyldt eller PC) på 19 af de 42 standarder, og mindre kritik (næsten op-
fyldt eller LC) på 17 af de 42 punkter. PC regnes ikke for at være tilfredsstil-
lende. Danmark fik desuden større kritik for at have lav effektivitet på 2 af
FATF’s 11 effektivitetsmål, og middel kritik på 6 af effektivitetsmålene.
I Danmark omfattede evalueringen tre tilsynsmyndigheder, Finanstilsynet, Er-
hvervsstyrelsen og Spillemyndigheden, samt Advokatrådet. De væsentlige
konklusioner var:
at Danmark havde et moderat niveau for forståelse af risikoen for hvid-
vask og terrorfinansiering
at Danmark ikke havde nationale strategier eller politikker for hvidvaskfo-
rebyggelse, og at de individuelle kompetente myndigheders mål og akti-
viteter beroede på disses egne prioriteter og ikke var koordinerede. Koor-
dinering og samarbejde havde en tendens til at forekomme uformelt og
på ad hoc-basis
at en effektiv funktion af Hvidvasksekretariatet i SØIK hindredes af man-
gel på ressourcer og operationel uafhængighed
at Danmark ikke havde en straf for selvhvidvask
at Danmark havde et robust system til efterforskning og retsforfølgelse af
terrorfinansiering
at der samlet set var en utilstrækkelig forståelse af risiko samt svag im-
plementering af hvidvasktiltag i næsten alle segmenter af den finansielle
sektor
at anvendelsen af en risikobaseret tilgang til hvidvasktilsyn
med undta-
gelse af kasinosektoren
var begrænset, og de steder, hvor en sådan
tilgang eksisterede, var den i de tidlige stadier af implementering. Desu-
den var hyppigheden, omfanget og intensiteten af tilsyn utilstrækkelig
at der også var alvorlige betænkeligheder med hensyn til den store man-
gel på tilgængelige ressourcer for tilsynet med hvidvask i Danmark. Ræk-
ken af tilsynsbeføjelser til håndhævelse af brud på compliance samt sank-
tioner var utilstrækkelig, og anmeldelser til politiet i forbindelse med efter-
forskning og retsforfølgelse var den primært anvendte metode til sikring
af finansielle virksomheders compliance. De indførte sanktioner var ikke
proportionale med problemets størrelse, og de fungerede ikke afskræk-
kende
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0034.png
34/69
at Danmark havde en solid juridisk ramme for alle typer internationalt
samarbejde. De steder, hvor der ikke fandtes en juridisk ramme for ydel-
sen af juridisk bistand, anvendte myndighederne den danske lovgivning
analogt.
På baggrund af kritikken fra FATF er der politisk taget en række initiativer til
at styrke hvidvaskreguleringen og hvidvasktilsynet i Danmark.
Der blev således i juni 2017 indgået en politisk aftale mellem regering og stør-
stedelen af partierne i Folketinget
13
. Aftalen omfattede flere væsentlige initia-
tiver til styrkelse af indsatsen mod hvidvask og finansiering af terrorisme, her-
under:
en betydelig forøgelse af de ressourcer, der er afsat til hvidvasktilsyn i
Finanstilsynet. Antallet af ansatte på hvidvaskområdet er steget fra 3 til 4
medarbejdere før juli 2017 og til 15 medarbejdere efter juli 2017. Denne
stigning i bemandingen har muliggjort en væsentlig forøgelse af antallet
af hvidvaskinspektioner, som er gået fra i gennemsnit 7,6 pr. år i 2012-
2016 til 45 i 2018
en betydelig forhøjelse af de mulige straffe for hvidvask. Den maksimale
fængselsstraf blev forlænget fra 6 til 8 år. Der blev desuden indført en ny
bestemmelse i straffelovens § 290a om hvidvask (pengehæleri), der i
visse tilfælde også omfatter handlinger foretaget af gerningsmanden til
forbrydelsen (selvhvidvask)
mulighed for, at Finanstilsynet kan tilbagekalde tilladelser givet til finan-
sielle virksomheder i tilfælde af lovbrud relateret til hvidvask. Dette lov-
forslag blev vedtaget i Folketinget i juni 2018
indførelse af en særskilt bestemmelse om hvidvask i straffeloven
et krav om, at firmaer, der driver valutavekslingsvirksomhed, skal have en
tilladelse. Dette har efterfølgende medført, at halvdelen af valutaveks-
lingsvirksomhederne ikke har fået en tilladelse, da Finanstilsynet har af-
gjort, at de ikke kunne overholde kravene
udarbejdelse af en ny og meget omfattende vejledning, der dækker hele
hvidvaskloven, er blevet udarbejdet. Vejledningen blev udarbejdet sam-
men med branchen og offentliggjort i oktober 2018. Den udgør et vigtigt
bidrag til rådgivning af de forpligtede virksomheder i at følge loven
13
Aftale mellem regeringen (Venstre, Liberal Alliance og Det Konservative Folkeparti) og Socialde-
mokratiet, Dansk Folkeparti, Det Radikale Venstre og Socialistisk Folkeparti om styrket indsats mod
hvidvask mv. i den finansielle sektor, 21. juni 2017.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0035.png
35/69
at tilsynsmyndighederne årligt skal foretage risikovurderinger af virksom-
hederne og udføre tilsynet på baggrund heraf.
I september 2018 blev regeringen og størstedelen af partierne i Folketinget
desuden enige om at lancere en national hvidvaskstrategi og indføre yderli-
gere foranstaltninger på hvidvaskområdet
14
.
Formålet med den nye nationale hvidvaskstrategi er blandt andet at sikre, at
myndighederne samarbejder på den mest effektive måde, så risikoen for hvid-
vask bliver væsentligt reduceret.
De yderligere foranstaltninger til bekæmpelse af hvidvask i den politiske aftale
omfatter bl.a.:
større bøder for manglende overholdelse af hvidvaskreglerne. For store
banker kan bødestørrelsen forøges med op til 700 pct.
en udvidelse af egnethedskravene, som nu også vil omfatte medarbej-
dere med lederbeføjelser, som er ansvarlige for overholdelsen af hvid-
vaskreglerne
forøgede ressourcer til SØIK.
På baggrund af implementeringen af fjerde hvidvaskdirektiv i hvidvaskloven
samt den indsats, der er gjort siden FATF’s evaluering, søgte Danmark
i ok-
tober 2018 om opgradering af 12 af de standarder, hvor Danmark havde fået
kritik. Danmark fik opgradering på de 10, hvilket vidnede om betydelige frem-
skridt. Danmark fik desuden ros af FATF for sin indsats med forbedringer på
hvidvaskområdet. Frem til og med 2020 vil Danmark arbejde på at forbedre
indsatsen og søge opgradering på de resterende 9 anbefalinger, der kun er
vurderet som delvist opfyldt, og i muligt omfang de, der er næsten opfyldt.
Finanstilsynet har i en toårig periode udstationeret en
medarbejder i FATF’s
sekretariat, dels for at bidrage til arbejdet i FATF, dels for at opbygge eksper-
tise på området. Der lægges imidlertid i stigende grad vægt på, at alle med-
lemmerne af FATF bidrager til alle dele af arbejdet i organisationen, hvilket vil
stille stigende krav, herunder også til Danmark, til at afsætte ressourcer hertil.
Finanstilsynet arbejder ligesom andre danske myndigheder fokuseret på at
implementere de mange opfølgende tiltag på hvidvaskområdet.
Det er dog vigtigt at fremhæve, at kritikken fra FATF ikke indebærer, at hvid-
vasktilsynet med netop Danske Bank har været mangelfuldt i perioden siden
Aftale mellem regeringen (Venstre, Liberal Alliance og Det Konservative Folkeparti) og Socialde-
mokratiet, Dansk Folkeparti, Radikale Venstre og Socialistisk Folkeparti om yderligere initiativer til
styrkelse af indsatsen mod hvidvask og terrorfinansiering, 19. september 2018.
14
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
36/69
2007. Som beskrevet ovenfor har Finanstilsynet i perioden gennemført fem
hvidvaskinspektioner i Danske Bank i henholdsvis 2010, 2011, 2012 (mindre
opfølgningsinspektion), 2015 og 2017. Finanstilsynet har i forbindelse med
disse inspektioner givet Danske Bank en lang række påbud og i ét tilfælde
også politianmeldt banken. Finanstilsynet anlagde i perioden en risikobaseret
tilgang til hvidvasktilsynet, hvor fokus naturligt var på at føre hvidvasktilsyn
med de største danske banker, herunder særligt Danske Bank.
3.2 Benchmarkanalyse af hvidvasktilsynet
PA Consult har gennemført en benchmarkanalyse af Finanstilsynets aktuelle
hvidvasktilsyn med hvidvasktilsynet i en række relevante europæiske lande
Sverige, Norge, Finland, Holland, Tyskland, UK, Belgien og Spanien. Herud-
over er inddraget enkelte erfaringer fra USA.
Analysen er vedlagt som bilag 6.
Den identificerer en række trends i andre lande, herunder:
de fleste af de omfattede tilsynsmyndigheder er aktivt i færd med at gå
over til stadigt mere sofistikerede, risikobaserede tilgange til tilsyn vedrø-
rende bekæmpelse af hvidvask af penge og finansiering af terrorisme
alle de omfattede tilsynsmyndigheder er i færd med både at udvide og
opkvalificere deres enheder for tilsyn og håndhævelse vedrørende be-
kæmpelse af hvidvask og terrorfinansiering, og de fleste tilsynsmyndighe-
der prioriterer det højt at få teknologisk ekspertise, når de rekrutterer med-
arbejdere
hos de omfattede tilsynsmyndigheder var håndhævelsen noget forskellig-
artet, især hvad angår de håndhævelsesmekanismer, der er til rådighed,
og tilsynsmyndighedernes evne til direkte at gennemføre håndhævelses-
foranstaltninger
selv i tilfælde hvor tilsynsmyndighederne helt tydeligt har eneansvaret for
tilsyn og håndhævelse vedrørende bekæmpelse af hvidvask af penge og
finansiering af terrorisme, er der en klar tendens til, at der bliver nedsat
koordinerende organer med henblik på bedre at kunne yde støtte til fore-
byggelsesaktiviteter med hensyn til bekæmpelse af hvidvask og terrorfi-
nansiering,
f.eks. UK’s etablering
af National Economic Crime Centre
(NECC)
der er stigende brug af efterretninger (herunder oplysninger fra virksom-
hederne selv) til at informere både tilsyns- og håndhævelsesfunktionen
hos en række af de omhandlede tilsynsmyndigheder.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
37/69
Analysen påpeger desuden en række forhold vedrørende det danske hvid-
vasktilsyn og hvidvaskregulering set i lyset af udviklingen i andre lande, her-
under:
de tilgange til tilsyn vedrørende bekæmpelse af hvidvask af penge og fi-
nansiering af terrorisme, der er valgt i Danmark, er stort set på linje med
eller sammenlignelige med de, der bruges hos andres landes tilsyn, men
de kræver betydelig forbedring, hvis Finanstilsynet skal blive den bedste
i klassen i Europa
bemandingen inden for dette område i Finanstilsynet er
efter en stor
udvidelse
i store træk på linje med mange andre europæiske lande, hvis
man ser i forhold til sektorens størrelse (samlede aktiver under tilsyn).
Men bemandingen er stadig ikke nær så høj som i f.eks. Storbritannien.
Hvis Danmark skal blive bedst i klassen, vil der sandsynligvis være behov
for yderligere ressourcer med specifik teknisk ekspertise, især da andre
lande vil fortsætte med at udvide deres afdelinger
den danske ordning med koordinering i HvidvaskForum (og systemet om-
kring den finansielle kriminalitetsforebyggelse helt generelt) bør formali-
seres yderligere og styrkes for at kunne svare til best practice
tilgangen til risikobaseret tilsyn i Danmark kan styrkes. Her kan indsam-
ling og analyse af flere data blive en vigtig komponent, og dette anvendes
i stigende grad af andre tilsynsmyndigheder
for at bringe Danmark på niveau med andre tilsynsmyndigheder i forhold
til håndhævelse, så vil man skulle anvende en bredere vifte af mulige
håndhævelsesbeføjelser for at skabe mulighed for mere proportionale og
effektive interaktioner med regulerede virksomheder, der skal sanktione-
res.
Finanstilsynet har på baggrund af benchmarkanalysen overvejet, hvilke best
practices fra andres landes hvidvasktilsyn der med fordel kan overføres til
Danmark.
Finanstilsynet foreslår på den baggrund, at Finanstilsynet intensiverer sit ar-
bejde med at etablere et datadrevet risikobaseret hvidvasktilsyn, at Finanstil-
synets indgrebsbeføjelser styrkes i form af hjemmel til at give administrative
bødeforlæg, og at samarbejdet mellem de relevante myndigheder på hvid-
vaskområdet formaliseres yderligere. Herudover er der behov for flere res-
sourcer til hvidvasktilsynet. Forslagene uddybes i kapitel 5.
Det vil være hensigtsmæssigt, at der gennemføres en efterfølgende bench-
markanalyse, når der er vedtaget yderligere initiativer på hvidvaskområdet,
så det kan vurderes, om der herved vil blive opnået en hvidvaskbekæmpelse
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0038.png
38/69
(regulering og tilsyn) i europæisk topklasse. Det er derfor aftalt med IMF, at
IMF kan gennemføre en benchmarkanalyse af det danske hvidvasktilsyn i lø-
bet af 2019. I foråret 2019 undersøges tilsynsindsatsen og i efteråret 2019
lovgivningens overholdelse af internationale standarder.
IMF forventes desuden indenfor de kommende et til to år at gennemføre en
dybdegående analyse af hvidvaskregulering og -tilsyn i de nordiske lande,
hvilket vil kunne give yderligere input fra en gruppe meget sammenlignelige
lande i forhold til kvaliteten af den danske hvidvaskregulering og hvidvasktil-
synet og samarbejdet med de øvrige nordiske lande.
Endelig har Finanstilsynet og det svenske finanstilsyn aftalt, at de to tilsyn i
fællesskab vil arbejde for et øget samarbejde og erfaringsudveksling mellem
de nordiske og baltiske tilsynsmyndigheder. I første omgang skal der arran-
geres en workshop, hvor tilsynene kan udveksle konkrete erfaringer med hen-
syn til hvidvasktilsynet. Finanstilsynet har tilbudt at være vært for arrange-
mentet og foreslået, at det bliver afholdt i marts 2019.
3.3 Finanstilsynets varetagelse af rollen som koncerntilsynsmyndighed
Der var i perioden 2007-2015, som tilfældet også er i dag, en klar arbejdsde-
ling mellem Finanstilsynet og EFSA på hvidvaskområdet, jf. kapitel 2. EFSA
er ansvarlig for hvidvasktilsynet med den estiske filial, mens Finanstilsynet er
ansvarlig for hvidvasktilsynet med Danske Banks danske aktiviteter og for til-
synet med koncernens ledelse og styring generelt.
Finanstilsynet vurderer, at tilsynsintensiteten fra EFSA over for Danske Banks
filial i perioden har svaret til generelle danske tilsynsstandarder på andre om-
råder end tilsynet med forebyggelse af hvidvask, hvor inspektioner generelt
er blevet gennemført med intervaller på 1-6 år afhængig af risici og størrelsen
af instituttet
15
. Efter en inspektion i 2007, hvor EFSA konstaterede nogle
mangler, gennemførte EFSA således i 2009 en ny inspektion. EFSA konsta-
terede ikke væsentlige problemer ved denne, og de to næste inspektioner
blev derfor gennemført i 2014.
Hertil kommer EFSA’s
omfattende indsats på
hvidvaskområdet i forhold til filialen mellem inspektionerne.
Finanstilsynet havde ikke grundlag for at betvivle EFSA’s indsats i forhold til
den estiske filial. Som nævnt har Finanstilsynet fra oversættelser af inspekti-
onsrapporter udarbejdet af EFSA fået
indtryk af, at EFSA’s hvidvaskinspekti-
oner var omfattende og grundige, og inspektionsrapporterne indeholdt detal-
jerede beskrivelser af grundlaget for EFSA’s konklusioner.
Med den seneste revision af EU’s hvidvaskdirektiv, der blev implementeret i
Danmark i 2017, har Finanstilsynet som ansvarlig for tilsynet med Danske
Bank nu fået et udvidet ansvar for at føre tilsyn med, at moderselskabet sikrer,
15
På hvidvaskområdet er der historisk gennemført færre inspektioner, dog blev de tilgængelige res-
sourcer i stort omfang anvendt på hvidvasktilsyn med Danske Bank.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0039.png
39/69
at bankens enheder i udlandet har passende procedurer til at håndtere hvid-
vaskrisici. Denne forpligtelse for Finanstilsynet var der ikke tidligere. Det er
dog Finanstilsynets opfattelse, at Finanstilsynets praksis allerede før denne
udvidelse af ansvaret i al væsentlighed levede op til de nye krav.
Finanstilsynet tog i perioden fra Danske Banks overtagelse af de estiske ak-
tiviteter en række tiltag med henblik på at sikre, at hvidvaskrisici blev håndte-
ret på passende vis i den estiske filial,
og at EFSA’s vurderinger indgik
i det
samlede risikobillede for Danske Bank. Finanstilsynet bad således i flere om-
gange de ansvarlige for hvidvaskområdet i Danske Bank om at forholde sig
til henvendelser og/eller advarsler fra EFSA og den russiske centralbank og
formidlede de modtagne oplysninger til EFSA. Finanstilsynet sikrede sig
også, at der ikke var krav fra EFSA, som banken ikke ville opfylde. Herudover
tilbød Finanstilsynet flere gange i 2013 at deltage i en inspektion i den estiske
filial, hvis EFSA fandt behov herfor, jf. beskrivelsen ovenfor og i bilag 4 (ikke
offentliggjort).
Finanstilsynet etablerede i 2009
i overensstemmelse med EU-reglerne
et
såkaldt tilsynskollegie for Danske Bank. I kollegiet deltager tilsynsmyndighe-
der fra de lande, hvor Danske Bank har aktiviteter, med henblik på at drøfte
relevante tilsynsmæssige problemstillinger i relation til Danske Bank. Finans-
tilsynet leder kollegiet som den ansvarlige myndighed for Danske Bank. Fra
2012 deltager også den europæiske banktilsynsmyndighed, EBA, i kollegiet.
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx xxxxxxxxx
xxxxx xxxx xxx
Tilsynskollegier har bl.a. en vigtig opgave i årligt at foretage risikovurderinger
af en række områder bl.a. med henblik på at vurdere den pågældende banks
kapital- og likviditetsforhold. I de risikovurderinger, som er foretaget i 2013-
2018 i Danske Bank-kollegiet, har der indgået beskrivelser af status for tilsy-
net med hvidvaskhåndteringen i den estiske filial. Beskrivelserne er udarbej-
det af repræsentanterne for det danske og det estiske finanstilsyn. Danske
oversættelser af disse beskrivelser fremgår af bilag 7 (ikke offentliggjort).
Før risikovurderingerne godkendes, skal høringsprocesser sikre, at alle invol-
verede
tilsynsmyndigheder og EBA’s repræsentant i kollegiet
får taget stilling
til dem. Det sikres derved, at alle de involverede deltagere i tilsynskollegiet
kan acceptere risikovurderingen.
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxx xxx
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0040.png
40/69
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxxxxxxx .
I 2015 blev der etableret et separat hvidvaskkollegie under tilsynskollegiet
alene med fokus på hvidvaskrisici i Danske Bank
16
. EBA har også deltaget i
hvidvaskkollegiet siden 2018.
Hvidvaskinspektionerne i Danske Banks datterselskaber og filialer i de øvrige
lande, hvor koncernen har aktiviteter, er ligesom for filialen i Estland gennem-
ført af tilsynsmyndigheden i det pågældende land, der også mellem inspekti-
onerne har kontakten til datterselskabet eller filialen om hvidvaskforebyg-
gelse. Finanstilsynet vurderer, at hvidvasktilsynet med den estiske filial var
mere omfattende end i de øvrige lande.
For at illustrere de udenlandske myndigheders hvidvaskundersøgelser af
Danske Banks udenlandske enheder er der nedenfor oplistet, i hvilke lande
myndighederne gennemførte inspektioner i Danske Banks filialer og/eller dat-
terselskaber i perioden 2015-2017. Hertil kommer myndighedernes øvrige
hvidvasktilsyn mellem inspektionerne, herunder ad-hoc undersøgelser som
f.eks. i forbindelse med Panama Papers.
Xxxxxxxxxxxxxx xxxxxxxxxxx
Xxxxxxxxxxxxxx xxxxx
Xxxxxxxxxxxxxx xxxxxxxxxxxx
På disse inspektioner blev der identificeret nogle af de tilsvarende mangler i
hvidvaskforebyggelsen, som er blevet identificeret i Danmark, og de pågæl-
dende tilsynsmyndigheder fulgte op på dem i overensstemmelse med an-
svarsfordelingen. Der blev ikke identificeret konkrete hvidvaskproblemer på
disse inspektioner.
Den samme ansvarsfordeling gør sig gældende i de øvrige tilsynskollegier,
som Finanstilsynet deltager i som værtslandstilsyn. Det væsentligste er til-
synskollegiet for Nordea, som Finanstilsynet deltager i som følge af Nordeas
store filial i Danmark og det danske realkreditinstitut Nordea Kredit. Finanstil-
synet fører her hvidvasktilsynet med Nordeas danske aktiviteter. Det svenske
finanstilsyn var indtil efteråret 2018 ansvarlig for det overordnede tilsyn med
Nordea, herunder for tilsynskollegiet. Nordea har i efteråret 2018 flyttet sit
hovedkvarter til Finland, så det nu er det finske finanstilsyn, der er ansvarlig
for hvidvasktilsynet med Nordea-koncernen. Det fælles tilsyn (SSM) i regi af
bankunionen, som Finland er en del af, er overordnet ansvarlig for det øvrige
tilsyn med Nordea. Det fælles tilsyn fører ikke hvidvasktilsyn.
16
Finanstilsynet var et af de første tilsyn, der etablerede et hvidvaskkollegie. Kollegiet har været en
undergruppe under tilsynskollegiet og som sådan haft en mere løs struktur end traditionelle tilsyns-
kollegier, og formaliseringen har ikke samme karakter, som det vil have i den kommende regulering
på området. Hvidvaskkollegiet har således ikke foretaget risikovurderinger, truffet andre beslutninger
eller foretaget indstillinger til tilsynskollegiet.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0041.png
41/69
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx xxxxxxxxx
xxxxx xxxx xxx Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx Xxxxxxxxxxxxxx
xxxxxxxxxxxxx xxxxxxxx
Selvom det internationale samarbejde ikke har været problemet i denne sag,
så er det relevant at se på, om samspillet mellem tilsynsmyndighederne i
lande, hvor grænseoverskridende koncerner som Danske Bank er aktive, kan
styrkes yderligere. Der er på den baggrund i kapitel 5 en række forslag til,
hvordan det grænseoverskridende samarbejde og informationsudvekslingen
mellem myndighederne kan styrkes,
herunder via en styrkelse af EBA’s rolle
på området.
3.4
EBA’s undersøgelse af
EFSA og Finanstilsynet
I forlængelse af offentliggørelsen af rapporten fra Danske Banks egne advo-
katundersøgelser henvendte EU-Kommissionen sig den 21. september 2018
til formanden for EBA og bad EBA undersøge det danske henholdsvis det
estiske finanstilsyns rolle i forhold til hvidvasksagen i Danske Bank. Kommis-
sionen bad særligt EBA undersøge, om det danske og/eller det estiske finans-
tilsyn havde brudt EU-retten ved ikke at føre et tilstrækkeligt tilsyn med Dan-
ske Bank på hvidvaskområdet.
EBA besøgte Finanstilsynet den 25.-26. oktober 2018, hvor man drøftede det
materiale,
som Finanstilsynet havde sendt forud for mødet, og EBA’s uddy-
bende spørgsmål til sagen. Finanstilsynet svarede efterfølgende skriftligt på
en række yderligere spørgsmål fra EBA.
Resultatet af EBA’s overvejelser kendes endnu ikke.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
42/69
Kapitel 4: Kritikpunkter i forhold til Finanstilsynets tilsyn med Danske
Bank
Der har i forbindelse med Estland-sagen været rejst kritik af Finanstilsynets
ageren, og der er sat spørgsmålstegn ved, om Finanstilsynet har levet op til
sine tilsynsmæssige forpligtelser. Væsentlige kritikpunkter relateret til den
konkrete sag er adresseret i det følgende.
4.1 Opdagelse af mistænkelige transaktioner i den estiske filial
Finanstilsynet har forholdt sig til, om Finanstilsynet burde have opdaget om-
fanget af mistænkelige transaktioner i den estiske filial tidligere end, før sagen
kom frem i medierne i løbet af 2017.
Finanstilsynet reagerede i perioden på den advarsel, der kom fra den russiske
centralbank i 2007 og på henvendelserne fra EFSA i 2012 og 2013. Finans-
tilsynet lagde de vurderinger, der kom fra EFSA i 2007, 2009, 2012 og 2013,
og de oplysninger, banken gav, til grund. Finanstilsynet havde således ikke
før
efter EFSA’s inspektioner i
2014 indikationer fra Danske Banks hoved-
sæde eller fra EFSA på alvorlige brud på hvidvaskreglerne.
Danske Banks egne undersøgelser har efterfølgende afdækket, at ansatte i
den estiske filial efter alt at dømme over en længere årrække aktivt har udført
og dækket over overtrædelserne i forhold til både bankens overordnede le-
delse i København og i forhold til EFSA. 10 tidligere medarbejdere i filialen
blev i december 2018 anholdt i Estland.
Danske Banks ledelse blev i begyndelsen af 2014 opmærksom på store pro-
blemer med foranstaltningerne mod hvidvask i den estiske filial, men oriente-
rede ikke Finanstilsynet herom før i begyndelsen af 2015. Dette på trods af,
at EFSA som nævnt i 2012 og 2013 henvendte sig til Finanstilsynet om mulige
hvidvaskproblemer i filialen, og at ledende medarbejdere i Danske Bank der-
for sendte Finanstilsynet detaljerede beskrivelser af filialens tilsyneladende
udmærkede hvidvaskforanstaltninger.
I begyndelsen af 2014 burde det have stået klart for nogle direktionsmedlem-
mer og øvrige ledende medarbejdere i banken, at forretningsgangene ikke
blev fulgt, og at bankens detaljerede oplysninger fra 2012 og 2013 til Finans-
tilsynet og EFSA derfor var misvisende. Det må også have stået klart, at det
var et væsentligt fokusområde for tilsynsmyndighederne i både Estland og
Danmark.
En bank har pligt til efter anmodning at give Finanstilsynet de oplysninger, der
er nødvendige for tilsynets virksomhed. Lovens ord foreskriver dog ikke pligt
til efterfølgende at orientere Finanstilsynet, hvis det senere viser sig, at oplys-
ningerne var forkerte. Det vil i praksis forudsætte, at der er klarhed over, hvad
der tidligere er meddelt. Manglende berigtigelse af forkerte oplysninger til Fi-
nanstilsynet kan derfor ikke straffes.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
43/69
Det vil kunne styrke tilsynet, hvis bankerne forpligtes til af egen drift at under-
rette og berigtige oplysningerne overfor Finanstilsynet i tilfælde, hvor banken
har afgivet oplysninger til Finanstilsynet, der senere viser sig ikke at give et
retvisende billede af forholdene. Manglende berigtigelse bør kunne føre til
straf for banken. Tilsvarende vil det kunne styrke tilsynet, hvis bankerne får
pligt til af egen drift at give Finanstilsynet besked, når de identificerer proble-
mer, som bankerne må indse er af væsentlig betydning for Finanstilsynets
tilsyn med virksomheden.
Det foreslås på den baggrund i kapitel 5, at der ved lov indføres en pligt for
finansielle virksomheder til hurtigst muligt og af egen drift at underrette Fi-
nanstilsynet om forhold, som virksomhederne må indse er væsentlige for Fi-
nanstilsynets tilsynsvirksomhed. Der foreslås desuden en pligt til hurtigst mu-
ligt at berigtige oplysninger, som virksomheden har afgivet til Finanstilsynet,
og som virksomheden efterfølgende konstaterer giver et misvisende billede
af væsentlige, aktuelle forhold. Det foreslås også, at mulighederne for at på-
lægge juridiske personer strafansvar for afgivelse af urigtige oplysninger fast-
sættes i lov om finansiel virksomhed, hvorved forældelsesfristen samtidig for-
længes.
4.2 Om Finanstilsynet stolede for meget på Danske Bank
Det har været fremført, at Finanstilsynet i for høj grad stolede på oplysninger
modtaget fra Danske Bank, og at Finanstilsynet i højere grad burde have kon-
trolleret oplysningerne. Denne kritik vedrører både bankens oplysninger om
hvidvaskforebyggelsen i filialen i Estland og de danske aktiviteter.
Udgangspunktet for al tilsynsvirksomhed er, at de oplysninger og den doku-
mentation, som Finanstilsynet modtager fra virksomhederne under tilsyn, er
korrekt. Som et led i tilsynet kontrollerer Finanstilsynet oplysningerne og be-
der om uddybende dokumentation i forskellig udstrækning afhængig af oplys-
ningernes kvalitet. Det er også den tilgang, EFSA anlagde overfor Danske
Banks estiske filial, og som Finanstilsynet anlagde i forhold til de oplysninger,
Finanstilsynet fik fra Danske Banks hovedkvarter.
Finanstilsynet har selv givet udtryk for, at de oplysninger, Finanstilsynet mod-
tog fra banken og baserede sine beslutninger på, efterfølgende har vist sig
ikke at være til at stole på.
Banken gav således ikke i alle tilfælde Finanstilsynet retvisende oplysninger.
Dette skyldes i flere tilfælde, at banken ikke var tilstrækkelig grundig i sin af-
dækning af de faktiske forhold forud for besvarelsen til Finanstilsynet.
Finanstilsynet modtog i 2007, 2012 og 2013 oplysninger fra Danske Banks
hovedsædes ansvarlige for forebyggelse af hvidvask om, at hvidvaskforebyg-
gelsen i den estiske filial på tilfredsstillende måde tog højde for den særlige
risiko ved filialens non-resident kunder.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
44/69
I 2007 drøftede Finanstilsynet en advarsel fra den russiske centralbank med
Danske Banks chef for den juridiske afdeling, som også var bankens hvid-
vaskansvarlige, og med bankens revisionschef. Finanstilsynet modtog desu-
den konklusionerne fra EFSA’s hvidvaskundersøgelse og lagde vægt på
EFSA’s konklusioner og påbud til banken. I 2009 orienterede EFSA Finans-
tilsynet om, at filialen havde fulgt op på påbuddet fra 2007 på passende vis.
I 2012 var EFSA blevet bekymret for filialens hvidvaskforebyggelse og tog
kontakt til Finanstilsynet. Finanstilsynet syntes, at det første svar fra chefen
for den juridiske afdeling og chefen for compliance og hvidvask var for over-
ordnet. Chefen for compliance og hvidvask sendte derfor en detaljeret beskri-
velse af filialens håndtering af hvidvaskrisici, som Finanstilsynet delte med
EFSA.
I 2013 henvendte EFSA sig igen baseret på en advarsel fra den russiske cen-
tralbank. Finanstilsynet tog kontakt til banken, og den fungerende chef for den
juridiske afdeling svarede, at filialen havde et særligt setup i lyset af den for-
højede hvidvaskrisiko i filialen. Den fungerende chef for den juridiske afdeling
henviste også til den detaljerede beskrivelse fra året før, som Finanstilsynet
havde delt med EFSA. EFSA gennemgik materiale fra filialen om de russiske
kunder i filialen, som var nævnt i advarslen fra den russiske centralbank.
EFSA oplyste til Finanstilsynet, at EFSA ikke havde fundet væsentlige brud
på interne procedurer eller lovkrav. Finanstilsynet fandt, at det kunne være
relevant, at EFSA gennemførte en hvidvaskinspektion i filialen, og tilbød flere
gange at deltage i en sådan inspektion, hvis EFSA fandt det hensigtsmæssigt.
EFSA valgte i stedet selv at gennemføre to hvidvaskinspektioner i 2014. De
viste store svagheder i filialens procedurer for forebyggelse af hvidvask og
førte til påbud fra EFSA og udskiftning af filialens lokale ledelse. De var også
medvirkende til, at banken i 2015 lukkede ned for filialens International Ban-
king-afdeling.
I 2007, 2012 og 2013 fik Finanstilsynet således oplysninger fra de ansvarlige
i Danske Banks hovedsæde for forebyggelse af hvidvask. Oplysningerne gik
i alle tre tilfælde ud på, at hvidvaskforebyggelsen i filialen var tilfredsstillende.
Finanstilsynet fik i alle tre tilfælde også oplysninger fra EFSA, som var an-
svarlig for tilsynet med filialens hvidvaskforanstaltninger. I 2007 var det om
resultaterne
fra EFSA’s inspektion samme år. I 2012 og 2013 fandt EFSA ikke
behov for at foretage en hvidvaskinspektion.
Finanstilsynet foretog inspektioner af Danske Banks forebyggelse af hvidvask
i bankens danske enheder i 2010, 2011, 2012 (en begrænset opfølgningsin-
spektion), 2015 og 2017. Ved opfølgningsinspektionen i 2012 fik Finanstilsy-
net oplysninger af banken om håndteringen af korrespondentbanker, som
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
45/69
ikke var retvisende. Finanstilsynet konstaterede dette ved den næste inspek-
tion i 2015, hvor Finanstilsynet meldte banken til politiet. Det førte til, at ban-
ken i 2017 accepterede en bøde på 12,5 mio. kr.
Finanstilsynet stolede altså ikke ukritisk på oplysningerne fra banken
hver-
ken oplysninger om hvidvaskforebyggelse i filialen i Estland eller om de dan-
ske aktiviteter. Det må dog konstateres, at indsatsen med at spørge ind, ind-
drage
oplysningerne fra EFSA’s hvidvasktilsyn med den estiske filial
og gå
mere i detaljen for at få retvisende oplysninger ikke gav det ønskede resultat,
da oplysningerne i sidste ende alligevel ikke i alle tilfælde var retvisende. Fi-
nanstilsynet har blandt andet af denne årsag påbudt banken at sikre, at Fi-
nanstilsynet modtager fyldestgørende information, og at bestyrelse og direk-
tion er tilstrækkelig involveret heri.
4.3 Håndtering af henvendelse fra whistleblower
Det har også været nævnt, at Finanstilsynet ikke i tilstrækkelig grad har ind-
draget viden fra den interne whistleblower i sit tilsyn med Danske Bank, her-
under at Finanstilsynet ikke har taget kontakt til whistlebloweren. Det bemær-
kes hertil, at Finanstilsynet overvejede, om Finanstilsynet skulle tage kontakt
til whistlebloweren inden afgørelsen fra maj 2018. I marts 2018 fik Finanstil-
synet whistleblowerens e-mail adresse fra EFSA.
I den forbindelse skulle Finanstilsynet på den ene side afveje, om oplysninger
fra whistlebloweren kunne give en bedre belysning af sagen, og på den anden
side at det forhold, at Finanstilsynet undersøgte Danske Bank, var en fortrolig
oplysning, som ville blive uberettiget videregivet til tredjemand, hvis Finanstil-
synet henvendte sig til whistlebloweren. Også andre forhold, såsom whist-
leblowerens mulige selvinkriminering, indgik i overvejelserne.
Konklusionen var, at sagen var tilstrækkeligt oplyst til, at Finanstilsynet kunne
træffe afgørelse, også uden yderligere oplysninger fra whistlebloweren, da
Finanstilsynet havde modtaget de relevante oplysninger fra Danske Bank i
2017 og 2018.
Finanstilsynet havde således efter anmodning til Danske Bank fået:
alle whistleblowerens henvendelser til banken
den e-mail korrespondance mellem ham og direktører og øvrige medar-
bejdere i banken, henvendelserne gav anledning til
bankens interne notater og interne rapportering som følge af henvendel-
serne.
Whistleblowerens henvendelser og bankens håndtering af dem er derfor ud-
førligt beskrevet i afgørelsen fra maj 2018 og indgår som en del af grundlaget
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0046.png
46/69
for Finanstilsynets konklusioner. Efter afgørelsen fra maj 2018 er der ikke
kommet oplysninger frem, som tyder på, at en henvendelse fra Finanstilsynet
til whistlebloweren ville have fremkaldt yderligere relevante oplysninger, hvis
yderligere oplysninger overhovedet var opnået ved en sådan henvendelse.
Derimod kunne det have ført til en tidligere tilsynsreaktion, hvis whistleblowe-
ren i december 2013 eller den følgende periode havde henvendt sig til estiske
eller danske tilsynsmyndigheder, og ikke kun til bankens ledelse.
Efter offentliggørelsen af Finanstilsynets afgørelse i maj 2018 var det ikke
længere en fortrolig oplysning, at Finanstilsynet havde undersøgt Danske
Bank. Finanstilsynet kunne derfor tage kontakt til whistlebloweren uden pro-
blemstillinger omkring fortrolighed.
Samtidig var whistlebloweren i medierne citeret for, at der var fejl og mangler
i sagsfremstillingen i Finanstilsynets afgørelse. Finanstilsynet var meget inte-
resseret i at få det belyst og tog derfor kontakt til ham. Whistlebloweren oply-
ste til Finanstilsynet, at han ikke havde mulighed for at give oplysninger til
Finanstilsynet, da han var bundet af en tavshedsklausul fra Danske Bank.
Han ønskede heller ikke at give Finanstilsynet oplysninger, selvom Danske
Bank gav bankens samtykke hertil i forhold det danske og det estiske finans-
tilsyn.
Finanstilsynet vurderede også, at selv uden bankens ophævelse af tavsheds-
klausulen var der ikke noget i den danske finansielle lovgivning, der var til
hinder for, at han gav Finanstilsynet de relevante oplysninger. Finanstilsynet
skrev således til whistlebloweren i juli 2018, at Finanstilsynet vurderede, at
det ikke efter dansk ret ville være en overtrædelse af klausulen, hvis han øn-
skede at informere Finanstilsynet
eller andre danske myndigheder
om
mulige strafbare forhold. Dette har ikke ført til, at whistlebloweren har ønsket
at tale med Finanstilsynet.
Whistlebloweren afviste igen at tale med Finanstilsynet på baggrund af en
fornyet henvendelse i december 2018.
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx xxx
Sagen er et eksempel på, at effekten af en whistleblowerhenvendelse kan
være større, hvis whistlebloweren henvender sig direkte til Finanstilsynet i
første omgang, fremfor alene til virksomhedens ledelse. Kapitel 5 indeholder
forslag om at overveje, om der generelt er behov for at styrke beskyttelsen af
whistleblowere med henblik på at øge sandsynligheden for, at medarbejdere
med kendskab til overtrædelser eller potentielle overtrædelser af den finan-
sielle lovgivning henvender sig til myndighederne.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
47/69
4.4. Finanstilsynets afgørelse af 3. maj 2018
Som beskrevet ovenfor traf Finanstilsynet i maj 2018 afgørelse om en række
påbud og påtaler til Danske Bank for mangler i bankens overordnede styring
i relation til håndtering af hvidvaskrisici i den estiske filial.
Der har efterfølgende været sat spørgsmålstegn ved, om Finanstilsynet i for-
bindelse med afgørelsen fuldt ud udnyttede sine muligheder for at sanktionere
Danske Bank i lyset af sagens omfang og alvorlige karakter. Dette vedrører
særligt, at Finanstilsynet ikke politianmeldte Danske Bank, og at Finanstilsy-
net ikke fandt grundlag for at kræve ledelsen i Danske Bank fjernet fra deres
poster på baggrund af fit & proper-reglerne.
Politianmeldelse
Finanstilsynet politianmeldte ikke Danske Bank i forbindelse med afgørelsen
af 3. maj 2018. En politianmeldelse ville skulle have relateret sig til ledelses-
mæssige svigt efter lov om finansiel virksomhed, afgivelse af urigtige oplys-
ninger til Finanstilsynet eller overtrædelse af hvidvaskreglerne. Efter alminde-
lige forvaltningsretlige principper, herunder princippet om saglig forvaltning,
kan Finanstilsynet kun politianmelde en virksomhed eller en person, når Fi-
nanstilsynet på baggrund af sit kendskab og sin faglige vurdering af sagen
sammenholdt med domstolspraksis anser det for sandsynligt, at anmeldelsen
kan føre til domfældelse. Dette skal bl.a. også ses i lyset af de vidtgående
regler om offentliggørelse af bl.a. politianmeldelser.
Det har i en række sager med danske pengeinstitutter i perioden efter finans-
krisen i 2008 vist sig at være meget vanskeligt at føre sager om mangelfuld
ledelse til dom efter ledelsesreglerne i lov om finansiel virksomhed. Trods
bankens ledelsesmæssige svigt og sagens alvor anså Finanstilsynet det der-
for ikke for sandsynligt, at en politianmeldelse for overtrædelse af ledelses-
reglerne i lov om finansiel virksomhed ville føre til domfældelse.
SØIK har efterfølgende givet udtryk for, at man var enig i Finanstilsynets vur-
dering, og fandt på den baggrund heller ikke tilstrækkeligt grundlag for af egen
drift at indlede en undersøgelse af, om Danske Bank har overtrådt ledelses-
reglerne i lov om finansiel virksomhed.
I forhold til om Danske Bank bevidst havde vildledt Finanstilsynet, var der i
enkelte tilfælde afgivet oplysninger, som kunne være af urigtig eller vildle-
dende karakter. Finanstilsynet havde dog ikke dokumentation for, at oplysnin-
gerne på daværende tidspunkt var afgivet mod bedre vidende. Der var derfor
ikke tilstrækkeligt bevismæssigt grundlag for at politianmelde hverken banken
eller dens medarbejdere for afgivelse af urigtige eller vildledende oplysninger.
Finanstilsynet finder, at der er grundlag for at overveje justeringer af de eksi-
sterende retsregler på det finansielle område, så der bliver lettere adgang til
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
48/69
at føre sager til dom baseret på reglerne om ledelse og styring i lov om finan-
siel virksomhed. Finanstilsynet foreslår derfor, jf. kapitel 5, at der nedsættes
en arbejdsgruppe, der skal se på dette. Finanstilsynet foreslår også at gen-
nemføre en analyse af mulighederne for at styrke sagkundskaben i domstols-
behandlingen af civile sager på det finansielle område. Herudover foreslår
Finanstilsynet, at der etableres hjemmel til, at Finanstilsynet kan udstede ad-
ministrative bødeforelæg i konkrete hvidvasksager.
Finanstilsynet vil i øvrigt i forlængelse af erfaringerne fra afgørelsen til Danske
Bank fremadrettet have øget fokus på at forpligte bestyrelse og direktion til at
stå på mål for de oplysninger, finansielle virksomheder giver til Finanstilsynet,
så Finanstilsynet i højere grad vil kunne stille bestyrelse og direktion til ansvar
for fejlagtige eller mangelfulde oplysninger.
Afgørelsen af 3. maj 2018 er truffet på baggrund af en undersøgelse af Dan-
ske Banks ledelse og styring i den estiske filial. Undersøgelsen omfattede
ikke bankens overholdelse af hvidvaskreglerne, da tilsynet med og anmel-
delse af overtrædelser af hvidvaskreglerne i Estland som beskrevet ovenfor
hører under de estiske myndigheder. Der var derfor heller ikke anledning til
at politianmelde banken for overtrædelse af de danske hvidvaskregler.
Afgrænsningen af Finanstilsynets tilsynskompetence og SØIK’s mulighed for
at efterforske og rejse tiltale i en straffesag er ikke identiske.
SØIK’s mulighed
for at efterforske og føre en straffesag afhænger bl.a. af, om der er dansk
straffemyndighed. SØIK kan af egen drift vælge at iværksætte efterforskning
af, om overtrædelsen af hvidvaskreglerne i Estland kan have medført over-
trædelse af den danske hvidvasklov, når SØIK anser sig som kompetent her-
til. SØIK har som bekendt i efteråret 2018 sigtet Danske Bank for fire forhold
efter hvidvaskloven. Finanstilsynets afgørelse af 3. maj 2018 og sagsmateri-
alet indgår i SØIK’s efterforskning.
Der er ikke knyttet særlige retsvirkninger
til, at en politianmeldelse indgives af Finanstilsynet, fremfor af andre, eller at
en sag tages op af SØIK.
Fit & proper
Finanstilsynet er blevet kritiseret for ikke at kræve medlemmer af Danske
Banks ledelse, dvs. bestyrelsesmedlemmer, direktører eller andre ledende
medarbejdere (nøglepersoner), fjernet fra deres poster efter fit & proper-reg-
lerne.
Finanstilsynet kan påbyde en bank at afsætte et ledelsesmedlem, hvis perso-
nen ikke længere lever op til kravene til egnethed og hæderlighed (fit & pro-
per). Et ledelsesmedlem er ikke hæderlig efter fit & proper-reglerne, hvis per-
sonen på baggrund af sin adfærd kan antages ikke at ville varetage sin ledel-
sespost i banken forsvarligt. I forbindelse med Finanstilsynets undersøgelse
af Danske Banks ledelse og styring i foråret 2018 var der grundlag for nær-
mere undersøgelser af, om de involverede ledelsesmedlemmer som følge af
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0049.png
49/69
deres håndtering af Estland-sagen fortsat levede op til hæderlighedskravet.
Finanstilsynet igangsatte på den baggrund fit & proper-undersøgelser af le-
delsen i Danske Bank.
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx
xXxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxx
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx
xXxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxxx x
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx
xXxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxx Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx
xXxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx
xXxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxx Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx
xXxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0050.png
50/69
Xxxxxxxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx
xXxxxxxxxxx
Finanstilsynet har besluttet at genåbne undersøgelserne af, om der foreligger
grundlag for yderligere hæderlighedsvurderinger af de involverede ledelses-
medlemmer efter offentliggørelsen af Bruun & Hjejles advokatundersøgelse
på foranledning af Danske Bank.
Alle ledende medarbejdere i Danske Bank, der har været involveret i sagen,
har ved udgangen af 2018 forladt deres stillinger i banken. De ledende med-
arbejderes adfærd i Danske Bank vil kunne indgå i fit & proper-vurderingen i
relation til eventuelle ledelsesposter i andre finansielle virksomheder.
Xxxxx
xxxxxxxxx xxxxxxxxxxxxx xxxxxxxx xxx x x x x x x x xxxxxxxxx
xxxxxxxxxxxxxxxxx
x xxx x xxx xxxxx xxxxxxxx
xxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxxxxx
xxxxxxxxxxxxxxxx
xxxxxxxxxxxx xxxxxx xxxxxxxxx xxxxxxx xxxxxxx xx xxxxxx xxxxx
xXxxxxxxxxxx
Estland-sagen viste, at der i banken var uklarhed om ansvarsfordelingen mel-
lem de ledende medlemmer i banken. Med henblik på at skærpe fit & proper-
reglerne yderligere og klargøre ansvarsområder nedsætter Finanstilsynet et
fagudvalg, som skal udarbejde anbefalinger vedrørende kompetence- og er-
faringskrav samt ansvarsområder for bl.a. direktionsmedlemmer og nøgleper-
soner i pengeinstitutter.
Øvrige forhold
Der har i pressen været rejst kritik af, at afgørelsen fra maj 2018 ikke omtaler
et møde i Danske Bank i oktober 2013, hvor det blev drøftet, om banken skulle
nedskalere International Banking-afdelingen i den estiske filial som følge af
hvidvaskrisici. På mødet ønskede den administrerende direktør at finde en
middelvej og drøfte emnet i et andet forum. I stedet for et citat er der i afgø-
relsen denne beskrivelse:
”Den ene af filialens to korrespondentbankers afbrydelse
af samarbej-
det med den estiske filial i juli 2013 pga. bekymring ved non-resident
kunder førte til en gennemgang af aktiviteterne i filialen. Den blev fore-
taget af den estiske/baltiske ledelse og med involvering af medarbej-
dere fra hovedsædet i København. Gennemgangen førte til, at Danske
Banks direktion og de involverede medarbejdere forventede en beslut-
ning om nedbringelse af non-resident porteføljen, men direktionen traf
ikke beslutninger om ændringer i aktiviteterne inden henvendelsen fra
en whistleblower
i december 2013.”
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
51/69
Finanstilsynets afgørelse af 3. maj 2018 var baseret på et meget omfattende
materiale, og afgørelsens konklusioner blev truffet ud fra en samlet vurdering
af sagens materiale. Afgørelsens beskrivelse af hændelsesforløbet er derfor
en sammenfatning, som i sagens natur ikke eksplicit nævner alle enkeltbilag.
Forvaltningsretligt skal en afgørelse kun indeholde de oplysninger, der er sag-
lige og nødvendige for at begrunde afgørelsens resultat. Bl.a. som følge af
det omfattende materiale i sagen rådførte Finanstilsynet sig forinden afgørel-
sen med Kammeradvokaten om de retlige rammer for offentliggørelse af af-
gørelsen, herunder detaljeringsgraden af oplysninger i afgørelsen.
Finanstilsynet var bekendt med den administrerende direktørs udtalelse, og
den indgik dermed også i grundlaget for afgørelsen. Finanstilsynet fandt det
imidlertid mere relevant at medtage et tilsvarende citat fra den administre-
rende direktør fra bestyrelsens strategiseminar i juni 2014, hvor strategien i
Baltikum blev drøftet. I afgørelsen står der således dette:
”Ved strategiseminaret i juni 2014 pegede bankens CEO overfor besty-
relsen på, at en fremskyndet nedlukning af baltiske aktiviteter ville re-
ducere værdien ved et eventuelt salg, uden at pege på, at dette ikke
var en relevant betragtning for non-resident porteføljen.
(”Further,
[udeladt] found it unwise to speed up an exit strategy as this might sig-
nificantly impact any sales price.”).
Bestyrelsen blev heller ikke gjort op-
mærksom på, at det med de store udfordringer med AML-håndteringen
var vigtigt at få lukket non-resident porteføljen ned hurtigt og få indbe-
rettet mistænkelige transaktioner til relevante myndigheder.”
Valget af citatet fra juni 2014 skyldes, at den administrerende direktør på dette
tidspunkt havde en meget mere omfattende viden end i oktober året før om
manglerne ved hvidvaskforebyggelsen i den estiske filial efter henvendelsen
fra whistlebloweren, og efter, at intern revision og et konsulentfirma havde
gennemgået den estiske filials hvidvaskprocedurer og fundet store mangler.
Det var derfor betydeligt mere markant, at den administrerende direktør i juni
2014 advarede mod en hurtig afvikling af baltiske aktiviteter, end at han gjorde
det i oktober 2013. Da citatet fra juni 2014 samtidig underbyggede de nød-
vendige påbud og påtaler i tilstrækkelig grad, var det ikke nødvendigt at om-
tale mødet i oktober 2013 i afgørelsens sagsfremstilling.
4.5 Inhabilitet i forhold til 3. maj-afgørelsen
Der har været rejst kritik af, at Finanstilsynets daværende bestyrelsesformand
i perioden 2016-2018 som tidligere direktionsmedlem i Danske Bank kan
have påvirket Finanstilsynets konklusioner i forbindelse med behandling af
afgørelsen til Danske Bank fra maj 2018. Kritikken har bl.a. gået på, at den
daværende bestyrelsesformand først trak sig fra sin post samme dag, som
Finanstilsynet offentliggjorde sin afgørelse.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
52/69
Den daværende bestyrelsesformand erklærede sig inhabil og deltog derfor
ikke i møderne på dette punkt i hele perioden, hvor Finanstilsynets bestyrelse
behandlede sagen mod Danske Bank. Han modtog heller ikke det materiale
om sagen, som tilgik de øvrige bestyrelsesmedlemmer.
Finanstilsynets afgørelse indeholder væsentlig kritik af den daværende besty-
relsesformand i hans rolle som bankens CFO, der også var den ansvarlige i
direktionen for hvidvaskforebyggelse og compliance. I afgørelsen fremgår der
bl.a. dette:
”I
hvert fald fire medlemmer af bankens direktion, direktøren for Busi-
ness Banking og bankens CRO, CFO og CEO, havde hver især mod-
taget oplysninger om, at der var problemer i Estland, herunder at det
ikke alene var et spørgsmål om mangler i processer, men at der også
var mistænkelige kunder. Der blev iværksat en gennemgang i filialen af
kendskabet til kunderne og deres aktiviteter, men filialens egen opfølg-
ning viste sig utilstrækkelig. Således sikrede banken ikke en dækkende
undersøgelse af omfanget af mistænkelige transaktioner og kundefor-
hold som følge af den utilstrækkelige håndtering af AML i filialen for at
begrænse skaderne ved dem og foretage indberetninger til myndighe-
derne, heller ikke i forbindelse med konsulentfirmaets undersøgelse i
februar-april 2014.”
”De
manglende overvejelser gælder desuden for den hvidvaskansvar-
lige, der også var leder af Group Compliance and AML, for lederen af
Group Legal og den ansvarlige i direktionen for disse områder. De
havde således ingen dokumenterede overvejelser om, hvordan banken
bedst bidrog til at begrænse de følger, som dens medvirken til kunders
mulige kriminalitet havde haft.”
”Group
Compliance and AML, den hvidvaskansvarlige, Group Legal og
bankens CFO, der var den ansvarlige for området i direktionen, iværk-
satte ikke selv tilstrækkelige aktiviteter med hensyn til AML i Estland,
hverken før eller efter whistleblower-henvendelsen i december 2013.
De fulgte alene med i undersøgelser fra GIA, konsulentfirmaet og filia-
lens egen gennemgang af porteføljen.
De tog bl.a. ikke op, at det burde undersøges, hvordan banken bedst
bidrog til at begrænse de følger, som dens medvirken til kunders mulige
kriminalitet kunne have haft, herunder ved at undersøge behovet for
yderligere indberetninger af mistænkelige transaktioner til relevante
myndigheder.
De problematiserede heller ikke 1st line of defences manglende under-
søgelser eller manglende håndtering af ledere og medarbejdere, som
var involveret i sagen.”
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
53/69
Alle regler om håndtering af inhabilitet af et medlem af et kollektivt forvalt-
ningsorgan er nøje iagttaget. Det tilføjes for god ordens skyld, at den davæ-
rende bestyrelsesformand fuldt ud har respekteret inhabiliteten og ikke på no-
gen måde har forsøgt at øve indflydelse på sagens behandling eller afgørelse,
heller ikke i relation til sin personlige involvering som tidligere direktionsmed-
lem i banken.
Der har ikke været medarbejdere eller øvrige bestyrelsesmedlemmer, der
blev anset for at være inhabile i forhold til behandlingen af sagen. Der er heller
ikke senere fremkommet oplysninger, der giver anledning til tvivl om delta-
gende medarbejderes eller bestyrelsesmedlemmers habilitet.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
54/69
Kapitel 5: Idékatalog
Erhvervsministeren har på baggrund af Estland-sagen bedt Finanstilsynet se
på behovet for ændringer i lovgivningen og på behovet for at styrke Finanstil-
synet, herunder via ekstra ressourcer.
Hensigten er, at Danmark får et hvidvasktilsyn i europæisk topklasse. Dette
vil i sagens natur indebære skærpede krav til de virksomheder, der opererer
i Danmark, og til de danske bankers overordnede styring af deres udenland-
ske filialer og datterselskaber.
Finanstilsynet kommer på den baggrund med en række forslag vedrørende
skærpelser af lovgivningen, en styrkelse af hvidvasktilsynet og en tilførsel af
ekstra ressourcer til Finanstilsynet. Forslagene sigter på at adressere forhold
afdækket af forløbet, men der er også forslag, som mere generelt kan være
med til at sikre Danmark en regulering og et tilsyn på hvidvaskområdet, der
er i europæisk topklasse.
Nogle af forslagene vedrører tilsynsvirksomheden, hvor bestyrelsen fastsæt-
ter rammerne for Finanstilsynet. Det vil kræve politisk beslutning om at tilføre
Finanstilsynet ressourcer, hvis disse forslag skal gennemføres. Hvis der tilfø-
res ressourcer, vil forslagene kunne iværksættes relativt hurtigt. Andre forslag
forudsætter lovændringer.
Finanstilsynet har allerede taget en række initiativer på baggrund af Estland-
sagen. Danske Bank har således i forbindelse med Finanstilsynets afgørelse
af 3. maj 2018 fået en række påbud om at styrke sin interne governance,
herunder i forhold til rapportering til bestyrelse og direktion, uafhængighed af
complianceområdet og sikring af, at der er tilstrækkelig dokumentation af be-
slutningsgrundlag, drøftelser og beslutninger på møder.
Herudover har Finanstilsynet væsentligt forøget bemandingen på hvidvask-
området, og der er på den baggrund allerede igangsat en væsentlig styrkelse
af hvidvasktilsynet.
Forslagene kan overordnet kategoriseres indenfor følgende fire hovedområ-
der, som uddybes i det følgende:
A: Bedre og mere effektive forsvarslinjer i bankerne
B: Oplysningspligt og strafansvar samt bedre beskyttelse af whistleblo-
were
C: Hårdere konsekvenser, når bankledelsen svigter sit ansvar
D: Et hvidvasktilsyn i europæisk topklasse.
A: Bedre og mere effektive forsvarslinjer i bankerne
Mange banker arbejder med risikostyring i form af tre såkaldte forsvarslinjer.
Første forsvarslinje er selve forretningen, der skal sikre en korrekt, lovlig og
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
55/69
hensigtsmæssig drift. I anden forsvarslinje er der en risikostyringsfunktion,
der skal identificere og begrænse risici, og en compliancefunktion, der skal
kontrollere overholdelse af regler. Tredje forsvarslinje udgøres af den interne
revision, der skal holde øje med, om de to første forsvarslinjer identificerer
problemerne. Ledelsen modtager løbende rapportering fra de tre forsvarslin-
jer.
Estland-sagen illustrerede, hvordan alle tre forsvarslinjer i Danske Bank svig-
tede i forhold til at identificere de væsentlige brud på hvidvaskreglerne, der
skete i den estiske filial.
På den baggrund er det relevant at se på, hvordan bankernes interne kontrol-
systemer kan styrkes, herunder om der er tilstrækkelig uafhængighed i de tre
forsvarslinjer. Finanstilsynet vil derfor styrke tilsynet med bankernes gover-
nance og interne kontrolsystemer, herunder ved i løbet af 2019 at vurdere
behovet for supplerende regler eller vejledning på baggrund af de danske
SIFI’ers organisering og udenlandske erfaringer på området.
Finanstilsynet vil desuden se på, om man kan skærpe tilsynet i forbindelse
med en banks etablering og drift af aktiviteter i udlandet. Det kan f.eks. om-
fatte en uddybende beskrivelse af forretningsformålet eller krav om styrket
ledelsesforankring fra hovedsædets ledelse i forhold til den udenlandske en-
hed.
1: Finanstilsynet vil styrke tilsynet med bankernes governance, interne
kontrolsystemer og udenlandske enheder, herunder ved i løbet af 2019
at vurdere behovet for supplerende regler eller vejledning på baggrund
af de danske SIFI’ers organisering og udenlandske erfaringer på områ-
det.
Finanstilsynet vurderer, at pengeinstitutterne over de seneste år har øget ind-
satsen med henblik på at forbedre såvel kundekendskab som kundeovervåg-
ning og underretning af Hvidvasksekretariatet i SØIK.
Danmark har to styrkepositioner, der kan bringes i spil i relation til at skabe
en bedre og mere effektiv proces for bankernes kundekendskab. For det før-
ste har de danske banker tradition for at udvikle fælles infrastruktur, f.eks. på
betalingsområdet. For det andet har Danmark en veludviklet registrering af
både individer og virksomheder.
En fælles infrastruktur kan lette de finansielle virksomheder i arbejdet med at
leve op til kravene i hvidvasklovgivningen. Finanstilsynet er bekendt med, at
pengeinstitutterne har taget de første skridt til at opnå dette.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
56/69
En sådan indsats kan eventuelt også omfatte, at de finansielle virksomheder
råder over et register over nærtstående til politisk eksponerede personer. Ind-
satsen kan desuden omfatte muligheden for at dele oplysninger om kunder,
der har vist sig at være risikofyldte, så sådanne kunder ikke kan shoppe rundt
mellem bankerne.
2: Myndighederne vil understøtte den finansielle sektors igangværende
bestræbelser på at opbygge en fælles infrastruktur i forhold til at styrke
de finansielle virksomheders processer for kundekendskab.
Som supplement til en fælles dansk infrastruktur bør der på europæisk plan
ses på, om der kan udvikles nye systemer, nye platforme e.l., som kan bi-
drage til, at bankerne får mest muligt ud af de ressourcer, de anvender på
hvidvaskområdet. Dertil kommer, at der i EU vil være behov for at skabe ram-
mer, der kan lette implementeringen af både nationale og europæiske plat-
forme. Der vil bl.a. være behov for beslutninger, der afvejer hensyn til hvid-
vaskbekæmpelse overfor hensyn til databeskyttelse og konkurrenceforhold.
Det vil være relevant, at EBA igangsætter en afdækning af dette område, og
at Kommissionen siden inddrages.
3: Finanstilsynet vil arbejde for, at der i EBA igangsættes et arbejde
med at afdække mulighederne for og restriktionerne på at udvikle nye
systemer, nye platforme o.l., som kan styrke bankernes hvidvaskind-
sats.
Det er de finansielle virksomheders ansvar at overvåge deres kunder og ind-
berette mistænkelige transaktioner til Hvidvasksekretariatet i SØIK. De dan-
ske virksomheder indberettede i 2018 knap 36.000 mistænkelige transaktio-
ner til Hvidvasksekretariatet i SØIK relateret til hvidvask- og terrorfinansie-
ringsrisici. Det er afgørende, at indberetningerne har en høj kvalitet og lø-
bende forbedres. Det kan være uklart for den enkelte medarbejder og den
enkelte virksomhed, i hvilket omfang indberetningerne fører til konkrete resul-
tater. Benchmarkanalysen fra PA Consult viser, at andre lande er langt
fremme med at sikre en effektiv erfaringsudveksling mellem myndigheder og
virksomheder på dette område, herunder sikre høj kvalitet af indberetningerne
og optimal anvendelse af oplysningerne blandt de relevante myndigheder.
4: Med henblik på at forbedre virksomhedernes løbende indberetninger
til myndighederne vil Finanstilsynet tage initiativ til, at det med delta-
gelse af Hvidvasksekretariatet i SØIK vurderes, hvordan der kan sikres
en løbende tilbagemelding på underretningerne til de finansielle virk-
somheder. Herudover skal der ses på, hvordan virksomhedernes un-
derretninger kan anvendes mere i myndighedernes arbejde. Erfarin-
gerne fra relevante andre lande vil blive inddraget i arbejdet.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
57/69
B: Oplysningspligt og strafansvar samt bedre beskyttelse af whistleblowere
Finanstilsynets tilsynsvirksomhed er afhængig af informationer fra virksomhe-
derne. Det er derfor afgørende, at Finanstilsynet modtager relevante oplys-
ninger fra virksomhederne, at oplysningerne er retvisende, og at oplysnin-
gerne kommer til Finanstilsynets kendskab i tide. Bankers manglende eller
mangelfulde orientering af Finanstilsynet skal kunne sanktioneres for at sikre
et effektivt tilsyn.
I Danske Banks estiske filial gjorde en lille gruppe medarbejdere deres for at
dække over aktiviteter forbundet med hvidvask. Det gjorde det vanskeligt for
både hovedsædet i København og EFSA at få indblik i forretningen. Derfor fik
Finanstilsynet flere gange misvisende svar på konkrete og gentagne fore-
spørgsler. I tillæg undlod banken selv at informere Finanstilsynet, når banken
opdagede, at tidligere givne oplysninger ikke var retvisende. Bankens for-
svarslinjer fejlede som nævnt også ved for sent at opdage problemerne.
Danske Bank-sagen viser vigtigheden af, at bankerne underretter Finanstil-
synet i tilfælde, hvor oplysninger, som banken har afgivet til Finanstilsynet,
senere viser sig at give et misvisende billede af forholdene. Bankerne bør
desuden af egen drift give Finanstilsynet besked, hvis de identificerer væsent-
lige problemer, som kan have betydning for Finanstilsynets tilsyn med virk-
somhederne. Det vil understøtte Finanstilsynets arbejde, hvis der indføres et
lovkrav om, at finansielle virksomheder har pligt til hurtigst muligt og af egen
drift at underrette Finanstilsynet om forhold, som virksomhederne må indse
er af væsentlig betydning for Finanstilsynets tilsynsvirksomhed. Tilsvarende
vil det understøtte Finanstilsynets arbejde, hvis der indføres en eksplicit pligt
i loven til at berigtige tidligere afgivne oplysninger overfor Finanstilsynet.
Manglende overholdelse af pligterne skal kunne sanktioneres strafferetligt.
5: Finansielle virksomheder skal pålægges pligt til hurtigst muligt og af
egen drift at underrette Finanstilsynet om forhold, som virksomhederne
må indse er af væsentlig betydning for Finanstilsynets tilsynsvirksomhed.
Hvornår Finanstilsynet skal underrettes
og om hvilke forhold
vil blive
præciseret i lovgivningsprocessen og beskrevet i en vejledning. Finan-
sielle virksomheder skal pålægges pligt til at berigtige oplysninger afgivet
til Finanstilsynet, i det omfang virksomheden efterfølgende konstaterer,
at oplysningerne giver et misvisende billede af væsentlige, aktuelle for-
hold. Virksomhedernes manglende overholdelse af oplysnings- og berig-
tigelsespligterne skal være strafbelagt.
De nuværende regler om urigtige oplysninger indebærer risiko for, at perso-
ner, der er knyttet til den finansielle virksomhed, i højere grad end selve den
finansielle virksomhed vil kunne blive stillet strafferetligt til ansvar for afgivelse
af mangelfulde, urigtige eller vildledende oplysninger til Finanstilsynet. Der er
således forskel på, om der skal være tale om en bevidst eller blot uagtsom
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
58/69
handling. Forældelsesfristen er desuden kun to år for den finansielle virksom-
hed som juridisk person, hvor den for fysiske personer er fem år.
Dette finder Finanstilsynet er uhensigtsmæssigt. Mulighederne for at straffe
fysiske og juridiske personer for afgivelse af urigtige og vildledende oplysnin-
ger til Finanstilsynet bør være ens.
6: Finansielle virksomheders overtrædelse af oplysningspligten strafbe-
lægges efter lov om finansiel virksomhed. Forældelsestidspunktet for
det strafferetlige ansvar for finansielle virksomheders oplysningspligt
overfor Finanstilsynet ændres dermed fra to til fem år.
Hvis der er konkret mistanke om, at en person eller en virksomhed har begået
en lovovertrædelse, der kan medføre straf, gælder bestemmelser i lovgivnin-
gen om pligt til at meddele oplysninger til myndigheder ikke i forhold til den,
der er mistænkt. Reglerne indebærer en ret for personen eller virksomheden
til ikke at inkriminere sig selv. For offentlige myndigheder betyder det et forbud
mod at kræve oplysninger, der kan føre til selvinkriminering. Det forekommer
på den baggrund, at Finanstilsynet i forbindelse med indhentning af oplysnin-
ger fra finansielle virksomheder må vejlede om retten til ikke at give selvinkri-
minerende oplysninger til Finanstilsynet. Det betyder, at Finanstilsynet i visse
sager ikke har adgang til virksomhedens samlede materiale, selvom Finans-
tilsynet som følge af de finansielle virksomheders samfundsmæssige betyd-
ning har en meget bred adgang til oplysninger fra virksomhederne.
Finanstilsynet finder, at der kan være grundlag for at overveje en lempelse af
selvinkrimineringsforbuddet for finansielle virksomheder under Finanstilsy-
nets tilsyn (juridiske personer), der ikke ligesom fysiske personer risikerer
fængselsstraf. Det vil navnlig være relevant, hvor den lovbestemte oplys-
ningspligt er formuleret sådan, at den påhviler virksomheden som juridisk per-
son og ikke fysiske personer i virksomheden. Forslaget skal ses i sammen-
hæng med forslaget om udvidet oplysningsforpligtelse, som vil skulle gælde
indenfor rammerne af forbuddet mod selvinkriminering.
7: Det kan overvejes, om selvinkrimineringsforbuddet skal lempes for
finansielle virksomheder under Finanstilsynets tilsyn, der er juridiske
personer, navnlig hvor lovbestemte oplysningspligter er rettet mod virk-
somheden som juridisk person.
Whistleblowerordninger er en mulighed for at få lovovertrædelser og potenti-
elle lovovertrædelser op til overfladen. Det har siden 2014 været et lovkrav,
at finansielle virksomheder skal have en whistleblowerordning for virksomhe-
dens ansatte. De ansatte kan desuden gøre brug af Finanstilsynets whist-
leblowerordning. Whistleblowere er imidlertid udsatte personer, som bør have
en høj grad af beskyttelse. Det er på den baggrund Finanstilsynets opfattelse,
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
59/69
at der er grund til at se nærmere på, om beskyttelsen af whistleblowere og
potentielle whistleblowere generelt kan styrkes.
I Estland-sagen har whistlebloweren været hyppigt omtalt i medierne. Der har
været rejst spørgsmål om beskyttelsen af whistleblowere, og om finansielle
virksomheder kan omgå whistleblowerordningens formål ved at indgå tavs-
hedsklausuler med deres ansatte. Der må ikke være tvivl om, at man som
whistleblower er sikret mod ansættelsesretlige følger af en indberetning.
Det er Finanstilsynets opfattelse, at en tavshedsklausul, som fører til, at en
ansat eller tidligere ansat ikke kan indberette lovovertrædelser til en whist-
leblowerordning, ikke vil være i overensstemmelse med intentionerne bag
kravet om en whistleblowerordning, og at klausulen ikke vil være gyldig efter
dansk finansiel lovgivning. Estland-sagen har imidlertid skabt tvivl om retstil-
standen på dette område. Denne usikkerhed kan afholde ansatte, der har fået
kendskab til lovovertrædelser i virksomheden, fra at bruge whistleblowerord-
ningen. Det er vigtigt, at der skabes klarhed om den enkelte ansattes retstil-
stand i forhold til tavshedsklausuler, og Finanstilsynet foreslår derfor, at der
indføres forbud mod tavshedsklausuler, der begrænser ansattes mulighed for
at indberette lovovertrædelser til whistleblowerordninger eller i øvrigt at gå til
Finanstilsynet med lovovertrædelser.
Også andre initiativer til styrkelse af beskyttelsen af whistleblowere kan over-
vejes, eksempelvis omvendt bevisbyrde. Det vil betyde, at det er virksomhe-
den, der skal bevise, at en opsigelse ikke er begrundet i den ansattes indbe-
retning til en whistleblowerordning. Det kan også overvejes at styrke beskyt-
telsen af whistlebloweres identitet i forbindelse med civile retssager i form af
navneforbud mv. eller ved at stille krav om, at henvendelser til virksomhedens
whistleblowerordning skal administreres af en uafhængig, ekstern part, f.eks.
en advokat.
Finanstilsynet foreslår, at der ses på behovet for en whistleblowerpakke, der
skal styrke beskyttelsen af whistleblowere for derved at øge sandsynligheden
for, at medarbejdere med kendskab til overtrædelser eller potentielle overtræ-
delser af den finansielle lovgivning indberetter til whistleblowerordningerne.
8: Det fastsættes ved lov, at det ikke skal være muligt for en arbejdsgi-
ver at indrette ansættelsesforholdene for virksomhedens medarbejdere
på en måde, der begrænser medarbejdernes mulighed for at indberette
oplysninger om virksomhedens overtrædelser eller potentielle overtræ-
delser af den finansielle regulering til whistleblowerordninger eller i øv-
rigt at gå til Finanstilsynet med sådanne oplysninger. Det skal desuden
overvejes, om der er behov for en større whistleblowerpakke, der yder-
ligere skal styrke beskyttelsen af whistleblowere.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
60/69
C: Hårdere konsekvenser, når bankledelsen svigter sit ansvar
Finanskrisen har vist, at det kan være meget svært for myndighederne inden-
for lovgivningens rammer at drage bankledelser til ansvar, selv når der er sket
åbenlyse fejl og taget åbenlyst dårlige beslutninger i driften af en bank.
Finanstilsynet har i tidligere sager indgivet en række politianmeldelser om
navnlig overtrædelse af bestemmelser i lov om finansiel virksomhed om bl.a.
mangel på effektiv virksomhedsstyring. I en stor del af sagerne har anklage-
myndigheden fundet, at der ikke forelå tilstrækkeligt bevismæssigt grundlag
for at rejse tiltale. Domstolene har desuden frifundet de tiltalte i de sager, hvor
anklagemyndigheden har valgt at rejse tiltale. Det er således vanskeligt in-
denfor de eksisterende regler på det finansielle område at få pålagt ledelses-
medlemmer et strafferetligt ansvar. Der må på den baggrund vurderes at
være vanskeligheder med opfyldelsen af de høje bevismæssige krav, der stil-
les for en domfældelse i en straffesag for overtrædelse af straffebestemmel-
ser i lov om finansiel virksomhed.
Finansiel Stabilitet har herudover anlagt en række erstatningssager mod de
tidligere ledelser i de overtagne pengeinstitutter på baggrund af vurderinger
af, at ledende personer havde handlet ansvarspådragende. Der er sket frifin-
delse for næsten samtlige påstande om erstatning. Sagerne har foreløbig vist,
at reglerne i den finansielle lovgivning om ledelsesansvar er vanskelige at
håndhæve i praksis.
Højesteret har for nylig afsagt dom i Capinordic-sagen, hvor tre ledelsesmed-
lemmer ikke blev fundet erstatningsansvarlige for uforsvarlig styring og drift
af banken, men alene for nogle specifikke låneengagementer. Højesteret
fandt, at et ledelsesmedlems tilsidesættelse af grundlæggende regler om ind-
retning og drift af en bank i §§ 70 og 71 i lov om finansiel virksomhed ikke i
sig selv er tilstrækkeligt til at anse ledelsesmedlemmet for erstatningsansvar-
lig. Dommen kan give anledning til at overveje, om der er behov for at se
nærmere på regelgrundlaget for ledelse af virksomhederne, herunder hvilke
opgaver de enkelte ledelsesmedlemmer er ansvarlige for i henhold til lovgiv-
ningen.
Diskussionen om manglende konsekvens findes også i andre lande. I Storbri-
tannien har det ledt til indførelsen af det såkaldte ”senior manager regime”,
hvor ansvaret for det enkelte ledelsesmedlem er blevet udspecificeret.
9: Der nedsættes en arbejdsgruppe, der på baggrund af bl.a. doms-
praksis om strafferetligt og erstatningsretligt ledelsesansvar undersø-
ger behovet for at ændre regelgrundlaget, herunder om der er behov
for yderligere eller skærpede regler om ledelsens pligter i erhvervsdri-
vende virksomheder i og udenfor den finansielle sektor.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
61/69
I forlængelse af lovændringerne som følge af den politiske hvidvaskaftale fra
september 2018 skal Finanstilsynet fastsætte regler, der stiller krav om en
virksomhedspolitik, der sikrer og fremmer en sund virksomhedskultur, som
kan forebygge hvidvask og anden økonomisk kriminalitet. Ansvaret for kultu-
ren skal forankres i bestyrelsen og direktionen med mulighed for at afsætte
disse, hvis de ikke opfylder deres forpligtelser.
Estland-sagen viste, at der i banken var uklarhed om ansvarsfordelingen mel-
lem de ledende medlemmer i banken.
Finanstilsynet nedsætter et fagudvalg, som skal udarbejde anbefalinger ved-
rørende kompetence- og erfaringskrav samt ansvarsområder for nøgleperso-
ner i pengeinstitutter mv. Finanstilsynet vurderer, at fit & proper-reglerne med
de allerede aftalte initiativer bliver skærpet væsentligt, men finder samtidig, at
det ikke kan afvises, at der kan være grundlag for yderligere skærpelser, her-
under af kompetencekrav til direktionsmedlemmer. Fagudvalgets arbejde vil
derfor også omfatte direktionsmedlemmer.
10: Finanstilsynet nedsætter et fagudvalg, som skal udarbejde anbefa-
linger vedrørende kompetence- og erfaringskrav samt ansvarsområder
for nøglepersoner og direktionsmedlemmer i pengeinstitutter mv.
Finanstilsynets vurdering af mulighederne for at gøre ansvar gældende af-
hænger ikke alene af ansvarsbestemmelserne i lovgivningen, men også af
behandlingen ved domstolene. Sager om finansiel virksomhed er komplice-
rede og vil ofte forudsætte indgående forståelse for drift, styring og ledelse af
finansielle virksomheder. I en række lande har man derfor overladt behand-
lingen af sådanne sager til specielt kvalificerede og/eller givet tilsynsmyndig-
hederne mulighed for at udstede bøder.
Finanstilsynet finder på den baggrund, at det bør undersøges, om domstolene
ved behandlingen af civile sager på det finansielle område skal suppleres med
sagkyndig viden om det finansielle område, herunder hvordan en sådan even-
tuel styrkelse vil kunne ske.
11: Der igangsættes en analyse, der skal undersøge, om domstolene
ved behandlingen af civile sager på det finansielle område skal supple-
res med sagkyndig viden om det finansielle område.
PA Consult anfører i deres benchmarkanalyse, at Finanstilsynet har snævre
håndhævelsesmuligheder. Den manglende mulighed for at udstede bøder
står i stærk kontrast til tilsynsmyndighederne i øvrige EU-lande. For eksempel
har det svenske finanstilsyn fået mulighed for at udstede bøder på op til 10
pct. af omsætningen og har tidligere udstedt en bøde på 50 mio. SEK. I Frank-
rig har tilsynsmyndigheden et uafhængigt sanktionsråd, der kan udstede ad-
ministrative bøder på op til 100 mio. EUR.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
62/69
Finanstilsynet har i dag adgang til på visse retsområder at udstede admini-
strative bødeforelæg, når betingelserne herfor er opfyldt. I hvidvaskloven har
Finanstilsynet dog ikke hjemmel til at udstede administrative bødeforelæg for
overtrædelser af loven, heller ikke for mindre alvorlige overtrædelser.
Hjemmel til at udstede administrative bødeforelæg i konkrete hvidvasksager
vil kunne smidiggøre straffesagsbehandlingen og væsentligt forkorte den
samlede sagsbehandlingstid fra lovovertrædelse til bødestraf. En adgang til
at udstede administrative bødeforelæg, der er begrænset til forhold, der alene
straffes med mindre bøder, vurderes dog ikke at udgøre nogen styrkelse af
hvidvasktilsynet, da der i sådanne sager ikke vil kunne spares væsentlige
ressourcer. Samtidig vil en adgang til alene at udstede mindre bøder ikke æn-
dre på den stærke kontrast, der i dag er til udenlandske tilsynsmyndigheders
bødesanktionsmuligheder.
En bred adgang til at udstede administrative bødeforelæg vil samtidig med-
føre, at Finanstilsynet vil kunne følge hvidvasksager til deres afslutning, og at
en sag dermed ikke skal behandles på ny hos anklagemyndigheden med der-
tilhørende samlet forlænget sagsbehandlingstid. Der vil derfor også kunne
være et ressourcebesparende element.
Det er en forudsætning for brug af administrative bødeforelæg, at pågæl-
dende har tilstået lovovertrædelsen. De berørte finansielle virksomheder i de
konkrete sager, der afsluttes med et bødeforelæg, vil derfor ofte have en in-
teresse i sagens hurtigere afgørelse og ikke i, at samme sag først skal be-
handles ved Finanstilsynet, hvorefter den skal undergå delvis fornyet behand-
ling ved anklagemyndigheden.
12: Finanstilsynet gives bred adgang til at udstede administrative bø-
deforelæg for overtrædelser af hvidvaskloven.
Finanstilsynet har vide beføjelser til at gribe ind overfor finansielle virksomhe-
der, som ikke overholder hvidvaskreglerne. I visse tilfælde kan der dog være
tale om overtrædelser af hvidvaskloven, der er meget alvorlige, men ikke så
alvorlige, at der er grundlag for at lukke virksomheden. I PA Consults bench-
markanalyse anføres det, at tilsynsmyndighederne i visse lande har mulighed
for at forbyde en virksomhed at indgå nye kundeforhold, indtil virksomheden
har rettet op på nærmere angivne alvorlige forhold. Denne reaktionsmulighed
har Finanstilsynet ikke i dag.
Finanstilsynet vurderer, at det vil styrke hvidvasktilsynet med virksomhe-
derne, hvis Finanstilsynet får mulighed for at give påbud om midlertidigt stop
for nye kunder ved alvorlige overtrædelser af hvidvaskreglerne. Det vil be-
tyde, at Finanstilsynet vil kunne træffe afgørelse om, at en virksomhed, der
groft overtræder eksempelvis kundekendskabskrav, ikke må påtage sig nye
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
63/69
kundeforhold indenfor udvalgte kundesegmenter, før virksomheden kan do-
kumentere, at den overholder reglerne. Et sådant påbud vurderes at ville
styrke incitamentet for virksomhederne til at få rettet hurtigt op på overtrædel-
sen, ligesom risikoen for at få et sådant påbud må antages at have en fore-
byggende effekt på virksomhedernes overholdelse af hvidvaskregler.
13: Finanstilsynet får hjemmel til at udstede påbud om, at en virksom-
hed ikke må påtage sig nye kundeforhold indenfor udvalgte kundeseg-
menter, før der er rettet op på alvorlige overtrædelser af hvidvaskreg-
lerne.
D: Et hvidvasktilsyn i europæisk topklasse
Der er ca. 1.400 finansielle virksomheder under hvidvasktilsyn af Finanstilsy-
net. Der er tale om meget forskellige typer og størrelser på virksomheder, og
risikoen for, at deres indsats til forebyggelse af hvidvask er utilstrækkelig, eller
at de søges brugt til hvidvask, er særdeles forskellig. Finanstilsynet fører som
andre tilsynsmyndigheder et risikobaseret tilsyn. Det indebærer, at ressour-
cerne allokeres dertil, hvor risikoen er størst.
I relation til Danske Banks estiske filial blev der af EFSA allokeret betydelige
ressourcer til tilsynet med filialen. Tilsvarende har Finanstilsynet historisk
brugt en stor del af sine ressourcer på hvidvaskområdet på Danske Bank. Det
er vanskeligt at vurdere, om flere ressourcer ville have gjort en forskel i den
konkrete sag. I Danmarks tilfælde viser FATF-eksaminationen imidlertid, at vi
sammen med de øvrige nordiske lande
ikke har været placeret der, hvor
vi ønsker at være placeret.
Finanstilsynet har på baggrund af PA Consults benchmarkanalyse og erfarin-
gerne med det hidtidige hvidvasktilsyn overvejet, hvilke best practices fra an-
dres landes hvidvasktilsyn der med fordel kan overføres til Danmark, og om
der i øvrigt er områder, hvor tilsynet på hvidvaskområdet kan styrkes kvalita-
tivt eller kvantitativt. Desuden har Finanstilsynet vurderet, om der er områder,
hvor de finansielle virksomheders opgave med at overholde lovgivningen i
øvrigt kan styrkes.
Finanstilsynet er ved at opbygge et system til registrering og analyse af risici-
ene for hvidvask i de enkelte virksomhedstyper. Hvis systemet skal leve op til
best practice i Europa, skal det dels være ret omfattende (ret datamæssigt)
og have løbende (mindst årlige) indberetninger af en række oplysninger fra
virksomhederne og muligvis også oplysninger fra andre myndigheder, især
Hvidvasksekretariatet i SØIK. Der skal også være tale om et system, der kan
håndtere datamængderne og præsentere dem i en form, der gør det muligt at
basere de tilsynsmæssige beslutninger herpå.
For at systemet kan komme hurtigt op at stå, dvs. inden udgangen af 2019,
og for at systemet kan få den fornødne kvalitet, er der formentlig behov for, at
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
64/69
Finanstilsynet køber sig til bistand fra et konsulentfirma til at bygge systemet
op mht. de oplysninger, der skal indberettes og indhentes, og mht. behand-
lingen af oplysningerne.
14: Finanstilsynet intensiverer sit arbejde med at etablere et datadrevet
risikobaseret hvidvasktilsyn.
Et sideprodukt af etableringen af et system til risikovurdering vil være, at der
fastlægges en række parametre, der er nyttige eller nødvendige for en virk-
somhed at kende, når den skal vurdere sin egen risiko for at blive brugt til
hvidvask eller terrorfinansiering. De vil dog ikke nødvendigvis være fuldt dæk-
kende for den konkrete virksomhed, da særlige forhold kan gøre sig gæl-
dende. Disse parametre kan med fordel offentliggøres som best practice. De
vil desuden
bygge på EBA’s såkaldte Risk Factor Guidelines.
15: Finanstilsynet vejleder om god praksis for måling af risici for hvid-
vask og terrorfinansiering.
Erhvervsministeren har bedt om Finanstilsynets syn på, hvordan dets virke
kan styrkes ressourcemæssigt med henblik på at øge tilliden til det finansielle
system. Finanstilsynet ser fortsat bekæmpelse af hvidvask som et fokusom-
råde, men har nødvendigvis samtidig blikket rettet mod andre alvorlige risici i
det finansielle system.
Der er pt. kun mulighed for at foretage hvidvaskinspektion i ca. 35 virksomhe-
der årligt, svarende til ca. 2,5 pct. af det samlede antal virksomheder, hvis
inspektionerne skal have en tilstrækkelig dybde og kvalitet. Finanstilsynet
skønner, at denne andel skal øges, f.eks. til 4 pct. svarende til ca. 55 inspek-
tioner årligt.
For at kunne leve op til kravene i lovgivningen skal de finansielle virksomhe-
der i vid udstrækning anvende IT-systemer i alle leddene i kundeovervågnin-
gen. Disse systemer bliver
og skal blive
stadig mere omfattende og kom-
plekse. Det kræver særlig ekspertise at kunne føre tilsyn med disse systemer.
Det skønnes derfor, at der er behov for, at Finanstilsynet på inspektionerne
gennemgår disse systemer kritisk. Benchmarkanalysen fra PA Consult viser
også, at dette er et fokusområde hos mange tilsyn.
16: Finanstilsynet øger omfanget af hvidvasktilsynet, og der kommer
øget fokus på virksomhedernes anvendelse af IT-systemer.
Det vil være hensigtsmæssigt, at der gennemføres en benchmarkanalyse, så
det kan vurderes, om der vil blive opnået en hvidvaskbekæmpelse (regulering
og tilsyn) i europæisk topklasse. Det er derfor aftalt med IMF, at IMF kan gen-
nemføre en benchmarkanalyse af det danske hvidvasktilsyn i løbet af 2019. I
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
65/69
foråret 2019 undersøges tilsynsindsatsen og i efteråret 2019 lovgivningens
overholdelse af internationale standarder.
IMF forventes desuden indenfor de kommende 1-2 år at gennemføre en dyb-
degående analyse af hvidvaskregulering og -tilsyn i de nordiske lande, hvilket
vil kunne give yderligere input fra en gruppe meget sammenlignelige lande i
forhold til kvaliteten af den danske hvidvaskregulering og hvidvasktilsynet.
17: Finanstilsynet har aftalt med IMF, at IMF gennemfører en bench-
markanalyse af det danske hvidvasktilsyn i løbet af 2019.
Den nordisk-baltiske region er meget eksponeret overfor hvidvask givet de
betydelige betalingsstrømme forbundet med Rusland. Der er desuden en
særdeles høj grad af grænseoverskridende virksomhed og etableringer på
tværs af grænserne i regionen. Der bør derfor ske en styrkelse af det interna-
tionale samarbejde, som afspejler den udsatte position, som den nordisk-bal-
tiske region har.
Finanstilsynet og det svenske finanstilsyn har derfor aftalt, at de to tilsyn i
fællesskab vil arbejde for et øget samarbejde og erfaringsudveksling mellem
de nordiske og baltiske tilsynsmyndigheder. I første omgang skal der arran-
geres en workshop, hvor tilsynene kan udveksle konkrete erfaringer med hen-
syn til hvidvasktilsynet. Finanstilsynet har tilbudt at være vært for arrange-
mentet og foreslået, at det bliver afholdt i marts 2019.
18: Der etableres et styrket samarbejde med de øvrige nordiske og bal-
tiske tilsynsmyndigheder med henblik på at udveksle konkrete erfarin-
ger med hensyn til hvidvasktilsynet.
Selvom den aktuelle sag har givet anledning til megen diskussion i medierne
af samarbejdet mellem Finanstilsynet og EFSA, så har der som beskrevet
ovenfor været et omfattende samarbejde mellem de to tilsynsmyndigheder.
Desuden har Danske Bank-tilsynskollegiet ved etableringen af det særlige
hvidvaskkollegie for Danske Bank været på forkant set i et internationalt per-
spektiv.
Givet at hvidvask og terrorfinansiering har en omfattende grænseoverskri-
dende natur, og da store finansielle virksomheder i stort omfang opererer på
tværs af grænserne, må det dog være målet fortsat at intensivere det interna-
tionale samarbejde på området.
EU-landene har i dag med hvidvaskdirektivet en fælles lovgivningsmæssig
ramme for bekæmpelse af hvidvask, som bygger på implementering af anbe-
falinger fra FATF. Hvidvaskdirektivet er blevet opdateret og skærpet flere
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
66/69
gange de seneste år, senest med AMLD4 i 2015 og AMLD5 i 2017. Sidst-
nævnte er ved at blive implementeret i dansk lovgivning. Ændringerne vil
træde i kraft i januar 2020, der er direktivets implementeringsfrist.
I FATF er der et stort og tæt internationalt samarbejde om fastlæggelse af
fælles standarder på området. Samarbejdet er imidlertid kendetegnet ved et
totalt fravær af operationelt samarbejde, dvs. samarbejde om tilsyn og rets-
håndhævelse. Dette skyldes ikke mindst, at FATF består af en række forskel-
lige typer af myndigheder, herunder ministerier, politimyndigheder og tilsyns-
myndigheder, med meget forskellige beføjelser.
Finanstilsynet vurderer derfor, at der er behov for yderligere tiltag og styrkelse
af regelsættet i EU. Konkret kunne dette være at indføre direktivkrav om:
hvidvaskkollegier for koncerner med aktiviteter i flere lande
samarbejde og udveksling af information mellem hjemland og værtsland
for grænseoverskridende koncerner, herunder præcisering af koncerntil-
synsmyndighedens ansvar samt forpligtelse for værtslandets kompe-
tente hvidvasktilsynsmyndighed om at informere hjemlandets tilsyns-
myndighed om risici, data etc.
at indberetninger skal gå til FIU i både hjemland og værtsland
styrket whistleblowerbeskyttelse
at bankerne, hvis det er muligt, skal advare den bank, der modtager en
kunde, når de opsiger kunder pga. mistanke om hvidvask, eller når en
kunde, der har foretaget mistænkelige transaktioner, selv flytter til en an-
den bank.
Kommissionen fremsatte den 12. september 2018 et forslag om at styrke Den
Europæiske Banktilsynsmyndigheds (EBA’s) beføjelser på hvidvaskområdet.
Her kan særligt fremhæves følgende elementer, som bør støttes fra dansk
side:
etablering af en EBA-database, der kan styrke overvågning af mistæn-
kelige transaktioner
øget informationsudveksling mellem EBA og tilsynsmyndigheder, bl.a.
tidligere drøftelser og advisering af mulige mistænkelige forhold
mere effektiv organisering af hvidvaskområdet med EBA som tovholder
og øget fokus hos de andre europæiske tilsynsmyndigheder.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
67/69
EU-tiltag bør bygge på og ikke overlappe med FATF-anbefalinger og -tiltag.
Som eksempel kan nævnes, at landene eksamineres af FATF i relation til
deres overholdelse af internationale standarder, så der ikke er behov for at
give EBA en undersøgelsesopgave i relation til Finanstilsynets hvidvasktilsyn.
19: Regeringen og Finanstilsynet (i EBA) arbejder for styrket europæisk
samarbejde i forhold til hvidvasktilsynet.
Finanstilsynet har i en toårig periode udstationeret en medarbejder i FATF’s
sekretariat, dels for at bidrage til arbejdet i FATF, dels for at opbygge eksper-
tise på området. De ledende lande lægger imidlertid i stigende grad vægt på,
at alle medlemmerne af FATF bidrager til alle dele af arbejdet i organisatio-
nen, hvilket vil stille stigende krav, herunder også til Danmark, til at afsætte
ressourcer hertil.
Finanstilsynet vurderer derfor, at der skal sættes yderligere ressourcer af til
en målrettet indsats i FATF.
20: Finanstilsynet styrker sin deltagelse i FATF-samarbejdet.
Samarbejdet mellem myndighederne i Danmark sker dels gennem Hvidvask-
Forum, dels bilateralt mellem de enkelte myndigheder. Det er et væsentligt
element i den nationale strategi, at myndighedernes strategiske fokus og
myndighedernes samarbejde, koordinering og vidensdeling er af central be-
tydning for at sikre en effektiv og målrettet indsats for at minimere omfanget
af hvidvask og finansiering af terrorisme. I strategien konstateres, at myndig-
hederne arbejder tæt sammen, men ikke har udnyttet det fulde potentiale af
samarbejdet. Derfor blev det fastslået, at myndighedernes hidtidige indsats
på dette område skal styrkes.
Den styrkede indsats skal tage sit udgangspunkt i det formaliserede samar-
bejde i HvidvaskForum. Finanstilsynet vil som formand arbejde for, at dette
samarbejde kan udbygges. Dette kræver, at de respektive myndigheder af-
sætter de fornødne ressourcer til arbejdet. Det fremgår desuden af den nati-
onale strategi på hvidvaskområdet, at myndighederne i HvidvaskForum skal
vurdere, hvordan oplysninger kan udveksles mellem medlemmerne af Hvid-
vaskForum.
Med hensyn til det bilaterale samarbejde bør det overvejes, om der skal ud-
arbejdes aftaler (såkaldte Memoranda of Understanding) mellem Finanstilsy-
net og de enkelte myndigheder, herunder Skattestyrelsen, og om eksiste-
rende aftaler skal styrkes, idet der i forvejen er en aftale mellem Finanstilsynet
og SØIK.
21: Finanstilsynet arbejder for, at samarbejdet mellem danske myndig-
heder på hvidvaskområdet styrkes i forhold til i dag.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
68/69
Erhvervsministeren har også bedt om Finanstilsynets syn på, hvordan dets
virke kan styrkes ressourcemæssigt med henblik på at øge tilliden til det fi-
nansielle system og gennemføre ovenstående forslag. Finanstilsynet ser fort-
sat bekæmpelse af hvidvask som et fokusområde, men har nødvendigvis
samtidig blikket rettet mod andre alvorlige risici i det finansielle system.
Finanstilsynet har følgende forslag til en samlet løsning (alle merbevillinger
finansieres af den finansielle sektor):
Finanstilsynets indsats mod bl.a. hvidvask styrkes med en ekstra bevilling
på 30 mio. kr. i 2019 og i de følgende år med 20 mio. kr. årligt. I 2019
benyttes bevillingen primært til en opfølgning på Estland-sagen. Den per-
manente merbevilling bruges til at øge intensiteten af hvidvasktilsynet og
tilsynet med governance mv. i Danske Bank og andre institutter, hvor ri-
sikoen på hvidvaskområdet og andre områder vurderes at være betydelig.
IT-investeringer fremskyndes og udbygges derudover med en øget per-
manent bevilling på ca. 20 mio. kr. årligt, så Finanstilsynet med øget
styrke og tidligere end planlagt implementerer og udbygger et datadrevet
tilsyn.
Der afsættes herudover ca. 10 mio. kr. årligt som en permanent forøgelse
af bevillingen til at styrke og udvikle de nødvendige kerne-IT-systemer,
der bl.a. skal udgøre et fundament for analysearbejdet og udveksling af
data med EU-myndighederne.
Der afsættes ca. 6 mio. kr. årligt til dækning af udgifter, som Finanstilsynet
skal afholde, men hvor bevillinger udestår. Det omfatter bl.a. Finanstilsy-
nets opgaver i forbindelse med den nationale IT-sikkerhedsstrategi og sti-
gende kontingenter til EU-myndigheder på det finansielle område.
Finanstilsynet får mulighed for større lønfleksibilitet for at kunne fastholde
og rekruttere medarbejdere i et stærkt konkurrencepræget marked. Det
vil bidrage til, at Finanstilsynet har medarbejdere med de fornødne kom-
petencer, herunder indenfor cybersikkerhed, der er nødvendige for at føre
et moderne og effektivt tilsyn.
Det sidste punkt vil forsøges finansieret indenfor Finanstilsynets eksisterende
budget ved at gennemføre de initiativer, som er blevet identificeret i en bud-
getanalyse af Finanstilsynet, som er udført efter aftale med Erhvervsministe-
riet og Finansministeriet. Målet er, at der i 2022 er gennemført besparelser på
20 mio. kr. på årsbasis.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0069.png
69/69
22: På baggrund af ovenstående foreslås det, at Finanstilsynet tilføres
66 mio. kr. i 2019 og 56 mio. kr. i de efterfølgende år. Det foreslås des-
uden, at Finanstilsynet gives væsentlig større fleksibilitet til indenfor sit
budget at fastsætte aflønningen af nøglemedarbejdere og nye medar-
bejdere, hvis kompetencer er særligt efterspurgte.
Forslaget er sammenfattet i tabel 1 nedenfor.
Tabel 1: Ressourcebehov for Finanstilsynet
Opgave /initiativ
1. Styrket indsats mod hvidvask mv.
2. IT-investeringer og øget data-drevet tilsyn fremskyndes
3. Styrke og udvikle kerne IT–systemer
4. Delstrategi cyber- og informationssikkerhed
5. EU-kontingenter
6.Bestyrelseshonorar
17
7. Kviklån
8. Budgetanalyse - Effektiviseringer og lønfleksibilitet
………..Effektiviseringer
………..Lønfleksibilitet
Bevillingsbehov i alt
Heraf lønsum
2019
30,0
22,0
8,0
2,2
1,6
1,0
0,7
0,0
-1,0
1,0
2020
20,0
19,0
11,0
2,2
1,6
1,0
0,7
0,0
-3,0
3,0
2021
20,0
19,0
11,0
2,2
1,6
1,0
0,7
0,0
-10,0
10,0
2022
20,0
19,0
11,0
2,2
1,6
1,0
0,7
0,0
-15,0
15,0
2023
20,0
19,0
11,0
2,2
1,6
1,0
0,7
0,0
-20,0
20,0
65,5
23,3
55,5
33,2
55,5
37,9
55,5
41,6
55,5
45,1
Gennemførelsen af forslagene, herunder tilførslen af nye ressourcer, fordrer
en tilpasning af Finanstilsynets organisation. De fleste af ressourcerne vil tilgå
Finanstilsynets nuværende juridiske søjle, herunder hvidvaskkontoret, det ju-
ridiske kontor og fintech-kontoret (hvor Finanstilsynets fit & proper-arbejde er
forankret). Søjlens organisering vil blive genbesøgt, og i lyset af de nye akti-
viteter vil
søjlen ændre navn til ”Finansiel kriminalitet og adfærdstilsyn”.
23: Finanstilsynet tilpasser sin organisation, så den fremadrettet består
af fire søjler: Pengeinstitut- og realkredittilsyn, Finansiel kriminalitet og
adfærdstilsyn, Tilsyn med forsikrings- og pensionsselskaber samt Ka-
pitalmarkedstilsyn.
17
I sommeren 2014 fik Finanstilsynet en bestyrelse. Bestyrelsesmedlemmernes honorar udbetales af
Finanstilsynet, men fastsættes af Erhvervsministeriet og udgør pt. ca. 1,5 mio. kr. pr. år. Finanstilsynet
fik ved nedsættelsen af bestyrelsen ikke samtidigt tilført bevilling til dækning af honorarbetalingen.
Budgettet til honorarerne til Det Finansielle råd, som bestyrelsen erstattede, udgjorde ca. 0,5 mio. kr.
og har dækket en del af honorarudgiften, mens den resterende del er taget ud af Finanstilsynets
almindelige budget, der således har været 1 mio. kr. lavere end ellers siden 2015. På den baggrund
ønskes bevillingen fremover øget tilsvarende.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
Redegørelse om Finanstilsynets tilsyn med Danske Bank i for-
hold til Estland-sagen
Bilag:
1. Kammeradvokatens erklæring vedr. overensstemmelse mellem de offentliggjorte og de
fortrolige dele af redegørelsen
2. Kammeradvokatens analyse af ansvarsfordelingen mellem Finanstilsynet og EFSA
3. Fælles udtalelse fra EFSA og Finanstilsynet vedrørende tilsynet med Danske Banks
estiske filial
4. Uddybende om tilsynet med hvidvaskrisici i Danske Banks estiske filial 2007-2018
(Ikke offentliggjort)
5. Finanstilsynets afgørelse vedrørende Danske Bank af 3. maj 2018
6. PA Consults benchmarkanalyse af hvidvasktilsynet i forhold til andre lande
7. Uddybende beskrivelse af Danske Bank-kollegiet (Ikke offentliggjort)
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0071.png
Bilag 1
28. JANUAR 2019
4004116 HED
Erklæring om Finanstilsynets rede-
gørelse til Erhvervsministeriet
Finanstilsynet har til brug for en redegørelse til Erhvervsministeriet om Finanstilsynets tilsyn
med Danske Bank A/S (”Banken”) i forhold til Estland-sagen anmodet mig om at afgive en
erklæring (”denne erklæring”) i relation til betydningen af visse faktiske oplysninger og do-
kumenter, som Finanstilsynet har været nødsaget til at ekstrahere eller undtage fra redegørel-
sen af hensyn til Finanstilsynets skærpede tavshedspligt, jf. lov om finansiel virksomhed §
354, stk. 1.
Redegørelsen er udarbejdet efter anmodning fra erhvervsministerens og med henblik på den-
nes udøvelse af det overordnede tilsyn med Finanstilsynets virksomhed.
Til brug for afgivelsen af denne erklæring har jeg modtaget Finanstilsynets endelige redegø-
relse af 28. januar 2019 med tilhørende bilag 1-7 i henholdsvis en fortrolig version og en
version, der er tilsigtet offentliggørelse, Finanstilsynets offentliggjorte afgørelser vedrørende
Estland-sagen, Bankens advokatundersøgelse samt selskabs- og pressemeddelelser fra Ban-
ken i anledning af Estland-sagen.
Erklæringen er afgivet på baggrund af de dokumenter og oplysninger, som jeg har modtaget
på tidspunktet for afgivelsen af denne erklæring, og erklæringen er udarbejdet i henhold til
gældende dansk lovgivning på samme tidspunkt.
Efter aftale med Finanstilsynet kan denne erklæring offentliggøres i forbindelse med afgivel-
sen af redegørelsen til Erhvervsministeriet samt indgå som bilag 1 til redegørelsen.
---o0o---
København
Vester Farimagsgade 23
DK-1606 København V
Aarhus
Åboulevarden 49
DK-8000 Aarhus
Telefon +45 33 15 20 10
Fax +45 33 15 61 15
www.kammeradvokaten.dk
15390859_1
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0072.png
28. JANUAR 2019
I henhold til lov om finansiel virksomhed § 354, stk. 6, nr. 3, er tavshedspligten i § 354, stk.
1, ikke til hinder for, at Finanstilsynet kan videregive fortrolige oplysninger til erhvervsmini-
steren som led i dennes overordnede tilsyn.
En fuldstændig og dækkende redegørelse vil nødvendigvis indeholde visse fortrolige oplys-
ninger. Den redegørelse, der er udarbejdet til erhvervsministeren, indeholder således fortro-
lige oplysninger, der er omfatte af Finanstilsynets tavshedspligt (”den fortrolige redegø-
relse”). Den fortrolige redegørelse kan ikke videregives til offentligheden grundet oven-
nævnte tavshedspligt.
Sagen vedrørende Bankens estiske filial har betydelig offentlig interesse. Med henblik på at
sikre en korrekt og fyldestgørende gengivelse af forløbet i relation til Finanstilsynets tilsyns-
virksomhed, herunder en beskrivelse af de foranstaltninger, som Finanstilsynet har foretaget
i forhold til Banken, den estiske tilsynsmyndighed m.fl., har Finanstilsynet valgt at udarbejde
en version af redegørelsen, der kan videregives til offentligheden (”den offentliggjorte rede-
gørelse”).
I den offentliggjorte version af redegørelsen har Finanstilsynet foretaget overstregninger af
visse passager (ekstrahering) indeholdende oplysninger, der grundet tavshedspligten ikke kan
videregives til offentligheden, og Finanstilsynet har ligeledes undtaget bilag 4 og 7 fra den
offentliggjorte redegørelse, idet disse bilag indeholder oplysninger omfattet af tavshedsplig-
ten.
Finanstilsynet har i redegørelsen - både i den fortrolige og den offentliggjorte redegørelse -
beskrevet det faktiske forløb i Estland-sagen og har på baggrund heraf foretaget en række
vurderinger af forløbet samt beskrevet de erfaringer og konklusioner, som efter Finanstilsy-
nets opfattelse kan udledes heraf.
Jeg har haft lejlighed til at gennemlæse endelige versioner af både den fortrolige og den of-
fentliggjorte redegørelse og har i den forbindelse sammenholdt de to redegørelser, herunder
henholdsvis beskrivelsen af de faktiske omstændigheder, Finanstilsynets vurderinger og er-
faringer samt ovennævnte konklusioner.
Jeg kan på denne baggrund erklære, at den eneste indholdsmæssige forskel på de to versioner
af selve redegørelsen er de ekstraheringer, som Finanstilsynet har foretaget, og som indehol-
der fortrolige oplysninger omfattet af Finanstilsynets særlige tavshedspligt, jf. lov om finan-
siel virksomhed § 354, stk. 1.
I relation til bilagsmaterialet til redegørelsen kan jeg erklære, at den eneste forskel på de to
versioner af redegørelsens bilagsmateriale er, at bilag 4 og 7 til den fortrolige redegørelse
ikke en del af den offentliggjorte redegørelse.
Side 2/3
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0073.png
28. JANUAR 2019
Jeg kan i den forbindelse tiltræde, at de ekstraherede oplysninger samt de oplysninger, der er
indeholdt i bilag 4 og 7 til redegørelsen, efter min vurdering med rette er anset for at være
fortrolige i henhold til lov om finansiel virksomhed § 354, stk. 1, og at de dermed korrekt er
henholdsvis ekstraheret og undtaget fra den offentliggjorte redegørelse.
Jeg erklærer endvidere, at hverken de ekstraherede passager i den offentliggjorte version af
redegørelsen eller indholdet af bilag 4 og 7 til redegørelsen ændrer på Finanstilsynets vurde-
ringer eller konklusioner i forhold til den fortrolige version af redegørelsen, og at hverken de
ekstraherede oplysninger eller indholdet af bilag 4 og 7 er i modstrid med Finanstilsynets
vurderinger eller konklusioner.
København, den 28. januar 2019
Kammeradvokaten
Peter Hedegaard Madsen
– Advokat, Partner (H)
Side 3/3
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0074.png
Bilag 2
19. DECEMBER 2018
4004116 HED
Ansvarsfordelingen mellem tilsyns-
myndigheder i hjemland og værts-
land på hvidvaskområdet
1.
INDLEDNING, BAGGRUND OG KONKLUSION
Finanstilsynet har til brug for en redegørelse til Erhvervsministeriet anmodet om en vurdering
af, hvilket lands tilsynsmyndighed der er kompetent i forhold til tilsynet med og sanktionering
af overtrædelser af hvidvasklovgivningen, når overtrædelserne sker i en filial etableret i et
andet EU-land end pengeinstituttets hjemland. Redegørelsen udarbejdes af Finanstilsynet til
Erhvervsministeriet og vedrører erfaringerne fra sagen vedrørende Danske Bank A/S’ (her-
efter ”Banken”) overholdelse af hvidvasklovgivningen i bankens estiske filial.
I relation til den estiske filials manglende overholdelse af hvidvaskreglerne i perioden 2007-
2015 er der opstået et spørgsmål om, hvorvidt håndteringen af og tilsynet med de kritisable
forhold rettelig henhørte under det danske eller det estiske finanstilsyn.
De faktiske forhold omfattet af Finanstilsynets afgørelse om Danske Banks ledelse og styring
i den estiske filial fandt sted, da 3. hvidvaskdirektiv
1
var i kraft. Såfremt de pågældende be-
givenheder havde fundet sted i dag, ville forholdene være omfattet af 4. hvidvaskdirektiv
2
.
Det er min vurdering og konklusion, at ansvarsfordelingen mellem to tilsynsmyndigheder
efter både 3. og 4. hvidvaskdirektiv har været – og fortsat er – således, at værtslandet har
tilsynsforpligtelsen til at sikre, at national hvidvasklovgivning overholdes i en filial fra et
pengeinstitut med hjemsted i et andet EU-land. Konkret indebærer dette, at tilsynsforpligtel-
sen på hvidvaskområdet i relation til Bankens estiske filial påhvilede – og aktuelt påhviler –
det estiske finanstilsyn.
1
2
Europa-Parlamentets
og Rådets direktiv (EU) 2005/60 af 26. oktober 2005 om forebyggende foranstaltninger mod anven-
delse af det finansielle system til hvidvaskning af penge og finansiering af terrorisme.
Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse
af det finansielle system til hvidvask af penge eller finansiering af terrorisme.
København
Vester Farimagsgade 23
DK-1606 København V
Aarhus
Åboulevarden 49
DK-8000 Aarhus
Telefon +45 33 15 20 10
Fax +45 33 15 61 15
www.kammeradvokaten.dk
15220472_1
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0075.png
19. DECEMBER 2018
2.
DET RETLIGE GRUNDLAG
2.1
3. hvidvaskdirektiv
Det fremgår ikke direkte af 3. hvidvaskdirektiv, hverken i præamblens betragtninger eller i
selve direktivteksten, hvorledes kompetencefordelingen mellem hjemlands- og værtslandstil-
syn er tænkt indrettet.
Dog fremgår det af artikel 22, stk. 1, (a), at institutter omfattet af direktivet er forpligtede til
at samarbejde fuldt ud ved omgående at underrette den finansielle efterretningsenhed (FIU)
ved mistanke om hvidvask.
Denne underretning skal efter art. 22, stk. 2, håndteres på følgende vis:
”De i stk. 1 omhandlede oplysninger fremsendes til den finansielle efterretningsenhed
i den medlemsstat, på hvis område det institut eller den person, der fremsender dem,
er beliggende.”
Det følger af forarbejderne til den dagældende hvidvasklov fra 2006,
3
der implementerede 3.
hvidvaskdirektiv, at loven finder anvendelse for udenlandske virksomheders filialer og agen-
ter her i landet, der udøver virksomhed efter nr. 1-8 og 10, jf. 2006-lovens § 1, stk. 1, nr. 9.
Af forarbejderne til § 1, stk. 1, nr. 9, fremgår i den forbindelse følgende:
”Bestemmelsen i nr. 9 gennemfører delvist direktivets artikel 2 (2), jf. artikel 3 (2) (f).
Ifølge direktivets artikel 3 (2) (f) omfatter direktivet filialer af virksomheder og per-
soner, der er finansieringsinstitutter efter artikel 3 (2) (a)-(e), herunder virksomhe-
der, der udøver virksomhed med valutaveksling og overførsel af penge og andre vær-
dier.
Lovforslaget omfatter imidlertid kun udenlandske virksomheders filialer her i landet,
der udøver virksomhed efter nr. 1-8. Baggrunden for dette er, at det inden for Den
Europæiske Union eller lande, som Fællesskabet har indgået aftale med på det finan-
sielle område, som udgangspunkt er hjem landets tilsynsmyndighed, der fører tilsyn
med en filial af en udenlandsk virksomhed, der udøver den i nr. 1-8 nævnte virksom-
hed.
Det er således ikke tilsynsmyndigheden i det land, hvor filialen udøver virksomhed,
der fører tilsyn med filialen. Hvis eksempelvis en engelsk bank etablerer en filial i
Danmark, er det som udgangspunkt den engelske tilsynsmyndighed, der fører tilsyn
med filialen.
3
Lov nr. 117 af 27. februar 2006 om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme.
Side 2/9
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0076.png
19. DECEMBER 2018
Bestemmelsen i nr. 9 fraviger dette udgangspunkt om hjemlandstilsyn i forhold til
virksomhederne i nr. 1-8, idet forslagets § 34 indebærer, at det er Finanstilsynet, der
fører tilsyn med, at filialer af ovennævnte virksomheder i Danmark overholder denne
lov.
Når direktivet fraviger princippet om hjemlandstilsyn, kan det ses som udtryk for nød-
vendigheden af, at jurisdiktionsområdet er den medlemsstat, hvor virksomheden ud-
øves (værtslandet).
En filial af en virksomhed uden for Den Europæiske Union eller et land, som Fælles-
skabet ikke har indgået aftale med på det finansielle område, er også omfattet af nr.
9.
Investeringsforeninger og specialforeninger, kollektive investeringsordninger, få-
mandsforeninger, innovationsforeninger samt hedgeforeninger, jf. bestemmelsens nr.
10, virksomheder, der udøver virksomhed med valutaveksling og overførsel af penge
og andre værdier, jf. nr. 11, og øvrige personer, der erhvervsmæssigt udøver en eller
flere af de i bilag 1 nævnte aktiviteter, jf. nr. 12, er ikke omfattet af et udgangspunkt
om hjem landstilsyn.
I det omfang andre udenlandske virksomheder end nævnt under nr. 1-8 efter anden
lovgivning har adgang til at etablere filialer i Danmark, vil den virksomhed, der ud-
øves gennem filialen med f.eks. pengeoverførsel, være omfattet af lovforslaget. Dette
indebærer, at den virksomhed, som filialen udøver i Danmark, er underlagt dansk
tilsyn.”
(min understregning)
Denne udlægning af kompetencefordelingen understreges af den danske implementering af
1. betalingstjenestedirektiv, som indebar ændringer i den daværende hvidvasklov. Med lov-
ændringen i 2012 indførtes således en ny bestemmelse i § 34, stk. 8,
4
i hvidvaskloven med
følgende ordlyd:
”Tilsynet med filialer af og agenter for betalingsinstitutter og e-penge-institutter med
hjemsted i et andet land inden for Den Europæiske Union eller i et land, som Unionen
har indgået aftale med på det finansielle område, udøves i samarbejde med tilsyns-
myndigheden i instituttets hjemland.”
(min understregning)
Af forarbejderne til 2012-lovens § 34, stk. 8, fremgår følgende:
4
Lov nr. 155 af 28. februar 2012
Side 3/9
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0077.png
19. DECEMBER 2018
”I henhold til § 34, stk. 1, fører Finanstilsynet tilsyn med virksomheder og personer
omfattet af § 1, stk. 1, nr. 12 (»Øvrige virksomheder og personer, der erhvervsmæs-
sigt udøver en eller flere af de i bilag 1 nævnte aktiviteter«) og filialer af udenlandske
virksomheder, der driver sådan virksomhed.
Imidlertid forudsætter Europa-Parlamentets og Rådets direktiv (2007/64/EF) af 13.
december 2007 om betalingstjenester i det indre marked, og direktiv (2009/110/EF)
om adgang til at optage og udøve virksomhed som udsteder af elektroniske penge,
som er gennemført i Danmark ved lov om betalingstjenester og elektroniske penge, at
hjemlandstilsynet med betalingsinstitutter og e-pengeinstitutter med hjemsted i et an-
det land inden for Den Europæiske Union eller i et land, som Unionen har indgået
aftale med på det finansielle område, også omfatter disse virksomheders filialer og
agenter i andre EU/EØS medlemsstater.
Betalingstjenestedirektivet har detaljerede regler om samarbejde mellem tilsynsmyn-
dighederne i hjemlandet og i værtslandet om tilsyn med filialer og agenter i værtslan-
det, men beføjelserne til at meddele og inddrage tilladelser m.v. henhører under hjem-
landsmyndighedens kompetence.
Det foreslås derfor i overensstemmelse hermed, at det i bestemmelsen præciseres, at
Finanstilsynets tilsyn med filialer og agenter af betalingsinstitutter og e-pengeinsti-
tutter med hjemsted i et andet EU/EØS land udøves i samarbejde med tilsynsmyndig-
heden i instituttets hjemland.”
(min understregning)
Endelig fremgår det af 3. præambelbetragtning til 2. hvidvaskdirektiv
5
, at:
”Det er ikke udtrykkeligt fastlagt i direktivet, til hvilken medlemsstats myndigheder
filialer af kredit- og finansieringsinstitutter med hovedsæde i en anden medlemsstat
skal indberette mistænkelige transaktioner, ej heller hvilken medlemsstats myndighe-
der, der er ansvarlige for, at sådanne filialer overholder direktivet.
Myndighederne i den medlemsstat, hvor filialen er beliggende, bør modtage sådanne
indberetninger og udøve ovennævnte ansvar.
(min understregning)
2.2
4. hvidvaskdirektiv
Det fremgår af præambelbetragtning 52 og 53 til 4. hvidvaskdirektiv, at det er værtslandet,
der er rette kompetente myndighed i forhold til overholdelse af direktivet, uanset at den på-
gældende finansielle virksomhed i øvrigt er underlagt tilsyn fra sit hjemlands tilsynsmyndig-
hed.
5
Europa-Parlamentets og Rådets direktiv 2001/97/EF af 4. december 2001om ændring af Rådets direktiv 91/308/EØF om
forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvaskning af penge.
Side 4/9
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0078.png
19. DECEMBER 2018
Hjemlandets tilsynsmyndighed er derimod ansvarlig for tilsynet med de koncernpolitikker
mv., som kræves i henhold til hvidvaskreglerne, jf. præambelbetragtning 52 og 53, der er
sålydende:
(52) Hvis en forpligtet enhed driver virksomheder i en anden medlemsstat, herunder
gennem et netværk af agenter, bør hjemlandets kompetente myndighed være ansvar-
lig for tilsynet med den forpligtede enheds anvendelse af koncernens politikker og
procedurer vedrørende bekæmpelse af hvidvask af penge og finansiering af terro-
risme. Dette vil kunne omfatte besøg på stedet i virksomheder, der er baseret i en
anden medlemsstat. Hjemlandets kompetente myndighed bør arbejde tæt sammen
med værtslandets kompetente myndighed og bør underrette denne om ethvert anlig-
gende, der kan påvirke dens vurdering af virksomhedens opfyldelse af værtslandets
bestemmelser om bekæmpelse af hvidvask af penge og finansiering af terrorisme.
(53) Hvis en forpligtet enhed driver virksomheder i en anden medlemsstat, herunder
gennem et netværk af agenter eller personer, der distribuerer elektroniske penge i
henhold til artikel 3, stk. 4, i direktiv 2009/110/EF, bevarer værtslandets kompetente
myndighed ansvaret for at håndhæve virksomhedens overholdelse af kravene vedrø-
rende bekæmpelse af hvidvask af penge og finansiering af terrorisme, herunder, hvor
det er hensigtsmæssigt, ved at udføre kontrolbesøg på stedet og ekstern overvågning
samt ved at træffe passende og forholdsmæssige foranstaltninger med henblik på at
tackle alvorlige overtrædelser af disse krav.
Værtslandets kompetente myndighed bør arbejde tæt sammen med hjemlandets kom-
petente myndighed og bør underrette denne om ethvert anliggende, der kan påvirke
dens vurdering af den forpligtede enheds anvendelse af koncernens politikker og pro-
cedurer vedrørende bekæmpelse af hvidvask af penge og finansiering af terrorisme.
For at sætte en stopper for alvorlige overtrædelser af bestemmelserne om bekæm-
pelse af hvidvask af penge og finansiering af terrorisme, der fordrer øjeblikkelige
retsmidler, bør værtslandets kompetente myndighed kunne anvende passende og for-
holdsmæssige midlertidige afhjælpende foranstaltninger, der under tilsvarende om-
stændigheder gælder for forpligtede enheder inden for deres kompetenceområde,
med henblik på i givet fald at afhjælpe sådanne alvorlige mangler med bistand fra
eller i samarbejde med hjemlandets kompetente myndighed.
(min understregning)
Artikel 2 i 4. hvidvaskdirektiv er implementeret i dansk ret ved § 1, stk. 1, nr. 9, i hvidvask-
loven, hvoraf fremgår, at hvidvaskloven finder anvendelse på udenlandske virksomheders
filialer her i landet, der udøver virksomhed som bl.a. pengeinstitut.
Side 5/9
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0079.png
19. DECEMBER 2018
I den forbindelse fremgår følgende af lovbemærkninger:
”Hvis etablering har fundet sted, har værtslandets myndigheder ansvaret for tilsynet
med filialen, distributøren eller agentens overholdelse af regler om forebyggende for-
anstaltninger mod hvidvask og finansiering af terrorisme, mens hjemlandet bevarer
tilsynet med den virksomhed, der udbyder den grænseoverskridende aktivitet, herun-
der at sikre at koncernen har politikker og procedurer, se herom i §§ 9 og 31 i lov-
forslaget. 4. hvidvaskdirektiv forudsætter i disse tilfælde et tæt samarbejde mellem
hjemlandets og værtslandets tilsynsmyndigheder, jf. betragtning 52 i 4. hvidvaskdi-
rektivs præambel.”
Tilsvarende fremgår det af bestemmelserne i hvidvasklovens § 47, stk. 3, at:
”Finanstilsynet skal samarbejde med de kompetente myndigheder i EU- eller EØS-
lande om at medvirke ved tilsynsaktiviteter, kontroller på stedet eller inspektioner her
i landet, når det gælder virksomheder og personer omfattet af § 1, stk. 1, nr. 9, der er
under tilsyn i et andet EU- eller EØS-land, eller en dansk virksomhed eller person
omfattet af § 1, stk. 1, nr. 1-13, der er underlagt dansk tilsyn, men opererer i andre
EU- eller EØS-lande.”
Denne bestemmelse er en implementering af artikel 48, stk. 5, i 4. hvidvaskdirektiv.
Som noget nyt er der i 4. hvidvaskdirektiv taget direkte stilling til, hvorledes national hvid-
vasklovgivning skal håndteres af koncerner med hjemsted i en medlemsstat og filialer i andre.
Det fremgår således af artikel 45, stk. 2, at:
”Medlemsstaterne pålægger forpligtede enheder, der driver virksomheder i en anden
medlemsstat, at sikre, at disse virksomheder overholder de nationale bestemmelser i
den pågældende medlemsstat, hvorved dette direktiv er gennemført.”
Med bestemmelsen er det således fastslået, at en koncern er forpligtet til at sikre, at filialerne
overholder de nationale hvidvaskregler i den medlemsstat, hvor filialen er beliggende. Da
tilsynet med overholdelse af anden lovgivning end dansk lovgivning alene tilkommer myn-
dighederne i den pågældende medlemsstat, er denne bestemmelse samtidig en understregning
af, at tilsynet med filialer tilkommer finanstilsynet i den pågældende medlemsstat.
Kravet om, at der skal udarbejdes egentlige politikker på hvidvaskområdet, er først indført
med 4. hvidvaskdirektiv, hvorfor der ikke er taget selvstændigt stilling til, hvilket lands til-
synsmyndigheder der måtte have ansvaret for politikker og dermed heller ikke for tilsynet
med koncernpolitikker mv. på hvidvaskområdet i henhold til 3. hvidvaskdirektiv.
Side 6/9
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0080.png
19. DECEMBER 2018
3.
VURDERING
3.1
Tilsynet med overholdelse af hvidvaskregler lokalt
Fordelingen af tilsynskompetence og -beføjelser i situationer, hvor en finansiel virksomhed
har etableret filialer i andre medlemsstater er reguleret i detaljer i EU-direktiverne, når det
kommer til f.eks. solvenstilsynet. En tilsvarende eksplicit regulering af ansvarsfordelingen er
kommet noget senere på hvidvaskområdet og således først blevet meget eksplicit med 4. hvid-
vaskdirektiv.
Selv om 3. hvidvaskdirektiv ikke eksplicit regulerer kompetencefordelingen mellem natio-
nale myndigheder, må konsekvensen af artikel 22, stk. 2, i 3. hvidvaskdirektiv imidlertid
være, at hvis det er den stedlige finansielle efterretningsenhed, der skal modtage underretnin-
ger om overtrædelser af hvidvaskloven, må det tilsvarende være tilsynsmyndigheden i den
medlemsstat, hvor en filial er beliggende, der er kompetent til at reagere over for filialens
overtrædelser af den nationale hvidvasklovgivning.
Dette forhold fører efter min vurdering til, at tilsynskompetencen på hvidvaskområdet inden
for rammerne af 3. hvidvaskdirektivet hører under tilsynsmyndigheden i den medlemsstat,
hvor filialen er beliggende, dvs. værtslandet. Denne forståelse af direktivet ses også meget
tydeligt gengivet i forarbejderne til den dagældende hvidvasklov fra 2006.
Tilsvarende er det min opfattelse, at ændringen til hvidvaskloven i 2012 som følge af imple-
menteringen af 1. betalingstjenestedirektiv er i tråd med denne opfattelse af kompetencefor-
delingen. Denne tilføjelse til hvidvaskloven om, hvorledes tilsynet med en filial af betalings-
institutter m.fl. skulle indrettes, havde således været overflødig, hvis ikke den hidtidige kom-
petencefordeling indebar, at filialtilsynet tilkom tilsynsmyndigheden i værtslandet.
Ved udarbejdelsen af 4. hvidvaskdirektiv er det tydeligt fremhævet i både præambelbetragt-
ninger og direktivbestemmelserne, hvorledes henholdsvis et hjemlands og et værtslands til-
synsmyndigheder hver især er kompetente.
Navnlig fremhæves det, at værtslandets tilsynsmyndighed skal sikre den fornødne kontrol
med overholdelse af hvidvasklovgivningen, blandt andet ved at foretage inspektioner på ste-
det. Dette er begrundet, i nødvendigheden af at jurisdiktionsområdet er den medlemsstat, hvor
virksomheden i praksis udøves, hvilket vil sige værtslandet.
På baggrund af ovenstående gennemgang af 3. og 4. hvidvaskdirektiv samt den danske im-
plementering af direktiverne er det derfor min vurdering, at det estiske finanstilsyn gennem
hele den periode, der er genstand for Finanstilsynets afgørelse, har haft ansvaret for at føre
tilsyn med Bankens estiske filials overholdelse af hvidvaskreglerne.
Side 7/9
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0081.png
19. DECEMBER 2018
Denne vurdering af ansvarsfordelingen mellem det danske og estiske finanstilsyn understøt-
tes af de to tilsyns fælles udtalelse af den 28. maj 2018.
6
Det fremgår således af udtalelsen, at begge tilsynsmyndigheder er enige om, at udgangspunk-
tet for pengeinstitutter med grænseoverskridende aktiviteter er, at den prudentielle tilsynsfor-
pligtelse påhviler hjemlandets tilsynsmyndighed.
Samtidig er det beskrevet i den fælles udtalelse, at det fremgår af 4. hvidvaskdirektiv, at det
er værtslandets tilsynsmyndighed, der bærer forpligtelsen til at føre tilsyn med en filials over-
holdelse af hvidvasklovgivningen, mens hjemlandets tilsynsmyndighed har ansvaret for at
føre tilsyn med, at hvidvasklovgivningen overholdes på koncernniveau.
Der tages ikke i den fælles udtalelse stilling til, hvorvidt forholdene skulle anskues anderledes
ved en vurdering efter 3. hvidvaskdirektiv. Som det fremgår ovenfor, er det min vurdering,
at det var den samme kompetencefordeling i relation til det konkrete tilsyn med filialer, der
gjaldt med 3. hvidvaskdirektiv.
3.2
Tilsynet med overholdelse af koncernpolitikker mv.
Der er som nævnt ovenfor ikke taget selvstændigt stilling til koncerntilsyn i 3. hvidvaskdi-
rektiv, og spørgsmålet er derfor, om det danske finanstilsyn via sin koncerntilsynsforpligtelse
over for bankens danske moderselskab på trods heraf var rette tilsynsmyndighed til at påtale
brud på hvidvaskreglerne i den estiske filial.
Det er min vurdering, at den overordnede ansvarsfordeling, som er gennemgående i både 3.
og 4. hvidvaskdirektiv, er, at tilsynet med filialer på hvidvaskområdet hører til hos det stedlige
finanstilsyn. Dette er i 4. hvidvaskdirektivs præambel, bemærkning 52 og 53, begrundet med,
at der netop kræves et lokalt tilsyn for at kunne kontrollere konkrete overtrædelser af hvid-
vasklovgivningen.
Det fremhæves hér eksplicit, at det er det nationale tilsyn, som er rette myndighed, ligesom
det fremhæves, at virksomheder er forpligtede til at overholde hvidvaskreglerne, i det land
hvor deres filialer er beliggende. Der ses derfor ikke at være rum for, at det danske finanstil-
syn også skulle kunne påtale konkrete overtrædelser foretaget af bankens estiske filial direkte
over for banken selv. En sådan adfærd ville bryde med princippet om, at tilsynet med hvid-
vaskreglerne er territorialt, og ville indebære en dobbelt tilsynsforpligtelse for samme for-
hold.
Reglen om, at hjemlandets tilsyn er forpligtet til at føre tilsyn med filialers overholdelse af
koncernpolitikker m.v., er først kommet med 4. hvidvaskdirektiv.
6
”Joint Statement by the Estonian FSA and the Danish FSA”, dateret 28. maj 2018. Udtalelsen er tilgængelig på Finanstilsy-
nets hjemmeside.
Side 8/9
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0082.png
19. DECEMBER 2018
En tilsvarende bestemmelse var således ikke gældende på tidspunktet for bankens overtræ-
delser af hvidvasklovgivningen via den estiske filial.
Spørgsmålet er dog, om det danske finanstilsyn desuagtet var forpligtet til at overvåge lov-
medholdeligheden i danske pengeinstitutters udenlandske filialer, set ud fra et koncernper-
spektiv. Dette vurderes ikke at være tilfældet, idet 3. hvidvaskdirektiv ikke tildeler hjemlan-
dets tilsynsmyndigheder en egentlig kompetence, hvorfor en aktiv handling fra hjemlandets
myndigheder ikke ses at være krævet.
Det er på ovenstående baggrund min konklusion, at tilsynet med en filials overholdelse af
hvidvaskreglerne henhører under det lokale finanstilsyn, dvs. værtslandets tilsynsmyndighed.
I den konkrete sag indebærer det, at det er det estiske finanstilsyn, der bærer forpligtelsen til
at kontrollere bankens estiske filials overholdelse af hvidvaskreglerne i Estland. Dette følger
af hvidvaskreglernes territoriale afgrænsning. Det er samtidig efter 4. hvidvaskdirektiv det
danske finanstilsyns forpligtelse som koncernansvarlig tilsynsmyndighed at kontrollere, at
kravene til hvidvaskpolitikker mv. overholdes.
Såfremt det danske finanstilsyn måtte blive opmærksom på, at der på koncernniveau ikke var
den fornødne overholdelse af hvidvaskreglerne, således at dette havde en afsmittende effekt
på bankens udenlandske filialers overholdelse af reglerne, indebar det en pligt for Finanstil-
synet til at underrette den kompetente tilsynsmyndighed for den pågældende banks filial, jf.
præambelbetragtning 52.
I forhold til den foreliggende hvidvasksag, som vedrører forhold, der har fundet sted i perio-
den
forud
for 4. hvidvaskdirektivs vedtagelse, indeholdt den daværende hvidvasklovgivning
ikke en sådan koncerntilsynsforpligtelse for hjemlandets tilsynsmyndighed. Det danske fi-
nanstilsyn havde således ikke efter de daværende hvidvaskregler pligt til at påtale forhold,
der angik bankens estiske filial, herunder i forhold til indholdet eller håndhævelsen af hvid-
vaskpolitikker mv.
Skulle en tilsvarende sag opstå i dag, vil Finanstilsynet som følge af sit koncerntilsyn være
forpligtet til at underrette nationale tilsynsmyndigheder om koncernforhold, der kan påvirke
udenlandske filialers overholdelse af de stedlige hvidvaskregler, såfremt Finanstilsynet måtte
være i besiddelse af sådanne oplysninger.
København, den 19. december 2018
Kammeradvokaten
Peter Hedegaard Madsen
– Advokat, Partner (H)
Side 9/9
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0083.png
Bilag 3
28. maj 2018
J.nr.
/SMC
Joint statement by the Estonian FSA and the
Danish FSA
The Estonian financial supervision and resolution authority
Finantsinspektsioon and the Danish FSA in this statement express their
shared understanding of the supervisory responsibilities between the
two regulators, as a response to numerous respective inquiries from
media.
According to the European Union banking directives, as a general rule, the
prudential supervising activity for cross-border operating banks lies with the
Financial Supervisory Authority of the home country.
According to the European AML regulation, specifically section 48 in the
Fourth European AML Directive, AML measures are supervised by the
competent authorities of the host country. Where the bank operates
establishments in another Member State, the competent authority of the home
Member State is responsible for supervising the obliged entity's application of
group-wide AML/CFT policies and procedures. The competent authority of the
home Member State should cooperate closely with the competent authority of
the host Member State and should inform the latter of any issues that could
affect their assessment of the establishment's compliance with the host
AML/CFT rules.
As an example of the division of the supervisory responsibilities, the Danish
FSA has recently conducted an investigation into Danske Bank’s
management and control related to the branch in Estonia, whereas
Finantsinspektsioon of Estonia has conducted investigations on AML
organization and compliance within Danske Bank’s Estonian branch. In
Estonia and Denmark, criminal law matters with regard to money laundering,
terrorist financing and respective criminal procedure is decided and carried
out by police and public prosecutor. Finantsinspektsioon and the Danish FSA
are not national FIUs either. Financial supervisory authorities concentrate on
prudential and conduct of business supervision of financial intermediaries,
according to applicable law.
Finantsinspektsioon and the Danish FSA are both committed to perform their
respective supervisory duties and to collaborate and share information.
Kontaktperson:
Søren Møller Christensen
Direkte tlf.nr.:
33 55 82 99
FINANSTILSYNET
Århusgade 110
2100 København Ø
Tlf.
33 55 82 82
Fax
33 55 82 00
CVR-nr. 10 59 81 84
[email protected]
www.finanstilsynet.dk
ERHVERVSMINISTERIET
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0084.png
Bilag 5
Bestyrelsen og direktionen for
Danske Bank A/S
Sendt pr. e-mail
cc. bankens revisorer
3. maj 2018
Ref. LS
J.nr. 529-0002
Danske Banks ledelse og styring i hvidvask-
sagen i den estiske filial
Denne afgørelse indeholder Finanstilsynets vurderinger af Danske Banks le-
delses og ledende medarbejderes rolle i hvidvask-sagen i bankens estiske
filial. Finanstilsynet har således taget stilling til, om reglerne om ledelse og
styring af banken og andre relevante danske regler er overholdt.
Derimod har Finanstilsynet ikke taget stilling til overholdelse af regler om fo-
rebyggende foranstaltninger mod hvidvask af penge (AML, Anti-Money Laun-
dering). Det skyldes, at det i henhold til EU-reguleringen er det estiske finans-
tilsyn, som påser filialer i Estlands overholdelse af disse regler.
Afgørelsen har været forelagt Finanstilsynets bestyrelse.
Vurderingerne er baseret på det materiale, som Finanstilsynet har fået fra
banken og fra tidligere direktører i banken, og på bankens svar på Finanstil-
synets spørgsmål. Undersøgelsen blev påbegyndt efter medieomtalen af
Aserbajdsjan-sagen i september 2017. Forløbet med materiale og svar er
nærmere beskrevet i afsnit 3 nedenfor.
Ved beskrivelsen i afgørelsen af enkeltpersoners viden, handlinger og undla-
delser har Finanstilsynet foretaget en afvejning af på den ene side hensynet
til enkeltpersoners interesse i ikke at få deres forhold vurderet i en sag, hvor
de ikke er part med de deraf følgende beføjelser, og på den anden side be-
hovet for, at grundlaget for påbud og påtaler overfor banken fremgår tilstræk-
kelig klart også af hensyn til sagens samfundsmæssige betydning.
Teknisk set er nogle betalinger afviklet via bankens centrale systemer i Kø-
benhavn. Men da kunderelationer og alle øvrige forhold angående gennem-
førelsen af transaktionerne ifølge banken blev varetaget af den estiske filial,
er den tekniske afvikling af transaktionerne ikke yderligere behandlet i denne
afgørelse.
FINANSTILSYNET
Århusgade 110
2100 København Ø
Tlf.
33 55 82 82
Fax
33 55 82 00
CVR-nr. 10 59 81 84
[email protected]
www.finanstilsynet.dk
ERHVERVSMINISTERIET
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2
Bankens bestyrelse og direktion har oplyst, at banken har igangsat to under-
søgelser, og at indtil de er afsluttet, vil bestyrelsens og direktionens svar på
specifikke spørgsmål om tidligere aktiviteter i Estland nødvendigvis være
ufuldstændige.
Finanstilsynet har vurderet, om der for den nuværende ledelse og ansatte i
banken er grundlag for at rejse sager efter fit & proper-reglerne. Finanstilsy-
net har på det foreliggende grundlag ikke fundet tilstrækkeligt grundlag for at
rejse sådanne sager.
Bankens igangværende undersøgelser kan tilvejebringe nye oplysninger,
som kan føre til nye vurderinger og tilsynsreaktioner.
Rapporten har følgende afsnit:
1.
2.
3.
4.
Sagens indhold og Finanstilsynets vurderinger
Påbud og påtaler
Finanstilsynets gennemgang af materiale og svar fra banken
Klagevejledning.
Undersøgelsen giver anledning til otte påbud og otte påtaler. Finanstilsynet
anerkender dog, at banken i de seneste år har foretaget forskellige forbedrin-
ger på AML- og compliance-området.
Banken har anført, at den har forøget antallet af medarbejdere, der arbejder
med AML i 1st og 2nd line of defence, fra færre end 200 til 550 sidste år og
næsten 900 i dag. Banken har også bl.a. udvidet og opdateret den interne
undervisning om AML, arbejdet med styrkelse af compliance-kulturen og fo-
retaget betydelige IT-investeringer på området.
1. Sagens indhold og Finanstilsynets vurderinger
Danske Bank har historisk ikke levet op til sine forpligtelser på hvidvaskom-
rådet. Det viste Finanstilsynets undersøgelse af området for bankens danske
aktiviteter i 2012. Den nu foretagne undersøgelse af bankens ledelse og sty-
ring i hvidvask-sagen i den estiske filial viser mere alvorlige problemer. De
identificerede problemer er særligt relateret til den estiske filial.
Størstedelen af kunderne i Danske Bank med relation til Moldova-sagen (The
Russian Laundromat Case), der kom frem i medierne i marts 2017, blev kun-
der i filialen i Estland i årene 2011-2013. I denne periode frem til juni 2012
var bankens nuværende CEO direktionsmedlemmet, der havde ansvaret for
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
3
filialen. Derefter overtog lederen af Business Banking som nyt medlem af di-
rektionen ansvaret.
Filialen havde en stor indtjening på russiske og andre ikke-baltiske kunder
(non-resident kunder), hvis samlede omfang af betalinger gennem filialen var
meget stort. For eksempel var 35 pct. af overskuddet i filialen i 2012 genereret
af russiske kunder, som udgjorde 8 pct. af kundemassen. Medarbejdere i
banken overvejede frem til juni 2013, at banken kunne få tilsvarende forret-
ninger med non-resident kunder i filialen i Litauen, men direktionen forka-
stede disse planer. I juli 2013 afbrød den ene af den estiske filials to korre-
spondentbankforbindelser til USD-betalinger efter dialog med banken samar-
bejdet med filialen pga. bekymring ved filialens non-resident kunder.
Danske Bank havde fra slutningen af 2012 til november 2013 ikke som kræ-
vet i den danske hvidvasklov udnævnt nogen hvidvaskansvarlig. Finanstilsy-
net blev først orienteret om dette i februar 2018 foranlediget af Finanstilsynets
uddybende spørgsmål. Bestyrelsen og direktionen har anført, at lederen af
Group Compliance and AML, der refererede til bankens CFO, i praksis fun-
gerede som hvidvaskansvarlig.
Banken havde og har organiseret sin styring med tre såkaldte forsvarslinjer.
1st line of defence er selve forretningen, der skal sikre en korrekt, lovlig og
hensigtsmæssig drift. I 2nd line of defence er der en risikostyringsfunktion,
der skal identificere og begrænse risici, og en compliancefunktion, der skal
kontrollere overholdelse af regler. Endelig har banken i 3rd line of defence
intern revision, der skal holde øje med, om de to første forsvarslinjer identifi-
cerer problemerne. Ledelsen modtager løbende rapportering fra de tre for-
svarslinjer.
Bestyrelsen og direktionen har anført, at det ved vurderingen af bestyrelsens
og direktionens indsats samt mængden af det skriftlige materiale til disse bør
indgå, at den estiske filial udgør en begrænset del af den samlede forretning
og de samlede risici. De har gjort gældende, at ledelsen her i høj grad må
basere sig på, at de forsvarssystemer, der er etableret, virker. Når der kom-
mer bekymrende oplysninger om forretningen og effektiviteten af forsvarssy-
stemerne, må ledelsens fokus imidlertid skærpes.
Filialens aktiver udgjorde ultimo 2013 ca. 0,5 pct. af koncernens samlede ak-
tiver, mens indtjeningen før nedskrivninger udgjorde ca. 2,0 pct. af koncern-
indtjeningen før nedskrivninger for året 2013.
I forbindelse med filialen i Estland var der mangler i alle tre forsvarslinjer. 1st
line of defence i filialen havde ikke fokus på effektivt at modgå involvering i
hvidvask af penge trods det store omfang af højrisiko non-resident kunder.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
4
Det blev ikke identificeret af 1st line of defence i Business Banking i Køben-
havn, der modtog en række rapporteringer om, at reglerne blev overholdt i
filialen. 2nd line-integrationen af de baltiske filialer i koncernens risikostyring,
herunder monitorering og rapportering, var svag. AML i filialerne i Baltikum
blev ikke nævnt som en compliancerisiko i bankens ledelsesrapportering. 3rd
line intern revision var en del af koncernens interne revision (Group Internal
Audit, GIA). Integrationen af filialens interne revision i koncernens interne re-
vision var også utilstrækkelig.
Flere dokumenter viser, hvordan ledelsen i København ikke integrerede den
estiske filial i bankens risikostyrings- og kontrolsystemer, men i stedet lod
filialen operere med væsentligt anderledes risikotagen, og hvor filialen i vidt
omfang kontrollerede sig selv. F.eks. fremgår det af kommentaren fra lederen
af Baltic Banking til Audit Letter af 1. april 2014 fra GIA. GIA bemærkede her:
“Group Risk Management has confirmed that the exception allowing Esto-
nian Branch to grant FX lines to non residents solely on cash collateral is not
in force since the approval of Group Credit Policy in May 2013.”
Lederen af Baltic Banking havde følgende kommentar:
“Estonian branch was let to know about new Credit Policy
(from May 2013)
only on 29 October and with notion that it is not for the circulation/implemen-
tation. New draft policies for BB/Baltics have now arrived (31/3/2014) but still
wait for formal implementation. Further, the credit staff here has not been
informed that the exemption not to have financial statements has been re-
voked.”
Hans kommentar om kreditpolitikken skyldtes, at bankens direktion tidligere
havde godkendt, at den estiske filial baseret på kontante sikkerheder kunne
etablere valuta-lines til non-resident kunder uden at have indsigt i kundens
finansielle forhold. Det var dog under den forudsætning, at der blev udført en
udvidet due diligence af kunden i forhold til viden om kundens selskaber og
ejerskabsstruktur. Dette fremgår af GIA’s revisionsrapport
af 10. marts 2014.
Filialens 2nd og 3rd line of defence var desuden organiseret, så de i praksis
rapporterede til filialdirektøren, og var dermed ikke tilstrækkeligt uafhængige.
Bankens bestyrelse og direktion argumenterer i deres svar til Finanstilsynet
for, at et sådan simultant sammenbrud af alle tre forsvarslinjer er en risiko,
der fra et ledelsesperspektiv må anses som en risiko med lav sandsynlighed.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
5
Organiseringen var imidlertid ikke effektiv som følge af den utilstrækkelige
uafhængighed. Den efterfølgende ressourcemæssige styrkelse af compli-
ance-området viser også, at banken kom for sent i gang med oprustningen
på området.
Det estiske finanstilsyn (EFSA) gennemførte i 2007 og 2009 AML-inspektio-
ner, men bestyrelsen og direktionen har oplyst, at de ikke er klar over, i hvilket
omfang konklusionerne fra disse rapporter er nået frem til ledelsen i Køben-
havn.
Den ene af filialens to korrespondentbankers afbrydelse af samarbejdet med
den estiske filial i juli 2013 pga. bekymring ved non-resident kunder førte til
en gennemgang af aktiviteterne i filialen. Den blev foretaget af den esti-
ske/baltiske ledelse og med involvering af medarbejdere fra hovedsædet i
København. Gennemgangen førte til, at Danske Banks direktion og de invol-
verede medarbejdere forventede en beslutning om nedbringelse af non-resi-
dent porteføljen, men direktionen traf ikke beslutninger om ændringer i akti-
viteterne inden henvendelsen fra en whistleblower i december 2013.
Korrespondentbanken blev erstattet af en anden bank, som i forvejen var kor-
respondentbank for andre dele af Danske Bank-koncernen.
I december 2013 modtog ledende medarbejdere i banken en whistleblower-
henvendelse om AML-problemer i relation til en kunde i den estiske filials
non-resident portefølje, dvs. russiske og andre ikke-baltiske kunder.
Whistlebloweren, som havde en central stilling i filialen, fremhævede, at han
så sig nødsaget til at henvende sig direkte til ledende medarbejdere i koncer-
nen, da filialens troværdighed kunne betvivles:
”It is not appropriate
to raise these issues within the branch due to their seri-
ous nature, that it is unclear at what level in the branch there was knowledge
of the incident and because of a general problem regarding confidentiality in
the branch.”
Helt konkret drejede sagen sig om et selskab registreret i Storbritannien som
”limited liability partnership company” (LLP). Whistlebloweren oplyste, at han
i sommeren 2012 blev opmærksom på, at kunden rapporterede falske oplys-
ninger om balancetal mv. til UK Companies House, der svarer til Erhvervs-
styrelsen i Danmark. Ved årsrapporteringen ultimo maj 2012 havde kunden
rapporteret, at selskabet var ”hvilende”. Faktum var, at selskabet havde ind-
lån i filialen på USD 965.418 pr. ultimo maj 2012 og desuden havde en om-
fattende transaktionshistorik.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
6
Whistlebloweren oplyste, at han havde videregivet denne viden til account
manageren og til Compliance Officer for International Banking, der begge ar-
bejdede i filialen, og som ville sørge for få bragt tingene i orden. Selskabet
skulle indgive en korrigeret rapportering. Filialens chef for International Ban-
king var på ferie, men whistlebloweren orienterede ham, da han kom tilbage.
Whistlebloweren oplyste i sin henvendelse, at han for nyligt fandt ud af, at
den korrigerede rapportering også tydeligvis var fejlagtig, idet de korrigerede
regnskabstal viste en kontantbeholdning på ca. USD 25.000 og ikke de USD
965.418, som fremgik af kontoen pr. ultimo maj 2012. Det var bl.a. denne
viden, som førte til indgivelsen af whistleblower-henvendelsen.
Han fremhævede selv følgende problemstillinger:
-
-
-
-
“The bank knowingly continued to deal with a company that had com-
mitted a crime (probably there is some tax fraud here too)
An employee of the bank co-operated with the company to fix the 'er-
ror'
The bank continued dealing with the company even after it had com-
mitted another crime by submitting amended false accounts
The bank in the first place managed to open an account for a dormant
company -
quite an achievement”.
Han opsummerede det sådan:
-
-
-
-
-
“The bank may itself have committed a criminal offence
The bank can be seen as having aided a company that turned out to
be doing suspicious transactions (helping to launder money?)
The bank has likely breached numerous regulatory requirements
The bank has behaved unethically
There has been a near total process failure”.
Til trods for kendskabet til kundens forkerte regnskabsrapportering opretholdt
filialen kundeforholdet i mere end et år. Først i september 2013 besluttede
filialens AML-afdeling ifølge whistlebloweren, at kundeforholdet skulle lukkes
ned og rapporteres til de lokale myndigheder pga. den potentielle risiko for
hvidvask, hvilket også skete.
Herom skrev whistlebloweren:
“I asked the Deputy Head of International
Banking, [udeladt], what the reason
for the closure was. He said that it was due to:
-
suspicious payments just under compliance control limits
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
7
-
-
the bank not knowing properly who the beneficial owners were - ap-
parently it was discovered that they included [udeladt]
the beneficial owners having been involved with several Russian
banks that had been closed down in recent years.
(I doubt it will be formally documented as such though).”
Whistlebloweren kom derefter i januar 2014 med anklager i forbindelse med
tre andre af filialens kunder, og han kom senere flere gange med omfattende
beskrivelser af betydelige problemer i filialen, herunder med relation til filia-
lens ledelse og forretningsmodel.
Efter whistleblower-henvendelsen reviderede Danske Bank-koncernens in-
terne revision (GIA) i 1. halvår 2014 i flere omgange AML i filialen, og revisi-
onerne bekræftede betydelige AML-mangler, som whistlebloweren havde på-
peget. I Audit Letter den 7. februar 2014 havde GIA således bl.a. disse kon-
klusioner:
-
-
Nogle kunder havde selskaber, der kun eksisterede i under to år for
derved at kunne undgå aflæggelse af regnskab.
Selskabskonstruktionerne var komplicerede med aktiviteter i lande fra
det tidligere Sovjetunionen og selskaber i andre lande, herunder skat-
tely-lande.
De reelle ejere af selskaber, der var kunder i filialen, var ikke kendt af
banken, eller også var de kendt, men ikke registreret i filialens rele-
vante systemer.
Filialledelsen oplyste, at årsagen til den manglende identifikation af
de reelle ejere var, at det kunne give problemer for kunderne, hvis
russiske myndigheder anmodede om oplysninger.
Filialen samarbejdede med ni uregulerede russiske mellemmænd om
kunders betalinger ud af Rusland, hvor filialen som en del af transak-
tionerne købte russiske obligationer og indgik valutaforretninger med
mellemmændene.
-
-
-
Der var i perioden efter whistleblower-henvendelsen flere indikationer på, at
medlemmer af ledelsen og/eller medarbejdere i filialen samarbejdede med
non-resident kunder om kriminelle handlinger eller i hvert fald kendte til dem.
Banken undersøgte det dog ikke, og der var ingen ledere eller medarbejdere,
som blev afskediget eller fik andre opgaver på grund af en sådan mistanke.
Som følge af whistleblower-henvendelsen
og GIA’s
Audit Letter fra 7. februar
2014 nedsatte banken samme dag en arbejdsgruppe med bl.a. to direktions-
medlemmer, revisionschefen og den compliance- og AML-ansvarlige. Ar-
bejdsgruppen besluttede øjeblikkeligt at lukke ned for samarbejdet med rus-
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
8
siske mellemmænd og at stoppe for etablering af nye non-resident kundefor-
hold, indtil der forelå en uafhængig vurdering af området. Derimod fortsatte
kundeforholdet for de eksisterende non-resident kunder indtil videre.
På baggrund af GIA’s revision
af et begrænset antal kunder besluttede ar-
bejdsgruppen at iværksætte en undersøgelse foretaget af en uafhængig tred-
jepart. [udeladt] gennemgik derfor filialens AML-procedurer i februar-april
2014. Konsulentfirmaets rapport fremførte 14 kritiske afvigelser og 9 væsent-
lige afvigelser mellem filialens praksis og gældende regler/best practice.
Direktøren for Business Banking, som var den ansvarlige i direktionen for den
estiske filial, orienterede direktionen og bestyrelsen om GIA’s og konsulent-
firmaets observationer. På de plancher, som han havde fået udarbejdet til
bestyrelsesmøderne, blev AML-problemerne betydeligt nedtonet, men besty-
relsen og direktionen har anført, at det må lægges til grund, at plancherne
hverken har været delt eller anvendt. Ifølge referaterne fra møder i bestyrel-
sen, i bestyrelsens revisionsudvalg og i direktionen var der her ingen væsent-
lige bemærkninger til hans fremlæggelse eller til de mere kritiske vurderinger
af AML i Baltikum i revisionsprotokollatet og i rapporteringen fra Group Com-
pliance and AML. Dog understregede et bestyrelsesmedlem på et møde be-
hovet for tæt overvågning i regioner som bl.a. Baltikum og Rusland, og at
banken skulle være positiv over for whistleblowere. Medlemmer af bestyrel-
sen og direktionen har også anført, at der var væsentlige bemærkninger, som
ikke er nævnt i referaterne.
I maj 2014 var banken ved at sætte et eksternt selskab til at undersøge og
tage stilling til whistleblowerens beskyldninger om betydelige problemer i fili-
alen. Tre involverede direktører vurderede dog, at det var tilstrækkeligt med
en intern undersøgelse, som i vidt omfang blev gennemført af den hvidvask-
ansvarlige, der også var leder af Group Compliance and AML.
Ifølge det materiale, som Finanstilsynet har modtaget, var undersøgelsen
overordnet. Der var således væsentlige oplysninger fra whistlebloweren, som
den hvidvaskansvarlige eller andre ikke fulgte op på eller ikke fulgte tilstræk-
keligt op på, og bestyrelsen og direktionen har i dag ikke overblik over hånd-
teringen af henvendelsen. Finanstilsynet finder bl.a., at det er kritisabelt, at
banken ikke fulgte op på alle whistleblowerens udsagn om de russiske mel-
lemmænds kunder.
Ud fra det modtagne materiale er det ikke muligt at vurdere, om whistleblo-
weren selv har været involveret i ulovlige eller andre uønskede aktiviteter i
filialen i et større omfang, og om han derfor eller af andre årsager har ønsket
at videregive forkerte oplysninger. Det viste sig dog hurtigt, at han havde ret
med hensyn til nogle af sine alvorlige beskyldninger. Der er heller ikke noget
i materialet, der viser, at banken på daværende tidspunkt havde mistanke
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
9
om, at han ønskede at give forkerte oplysninger. Direktøren for Business
Banking burde derfor som den direktionsansvarlige for filialen, som medlem
af arbejdsgruppen og som en af whistleblowerens kontaktpersoner have sik-
ret, at der blev fulgt bedre op og skaffet et bedre overblik.
Det var filialen selv, som fulgte op på
GIA’s og konsulentfirmaets bemærknin-
ger med en gennemgang af kendskabet i filialen til non-resident kunderne og
deres aktiviteter. Det burde have været en mere omfattende undersøgelse,
som filialen ikke selv stod for.
Efter ønske fra bankens CEO udarbejdede den hvidvaskansvarlige i maj
2014 en plan for et løft af AML-området i Baltikum. Planen blev fremlagt for
direktionen af lederen af Business Banking og bankens CFO, som var den
ansvarlige i direktionen for compliance og AML. Planen og filialens egen un-
dersøgelse løste ikke de betydelige problemer i filialen.
GIA havde i marts 2014 givet en række anbefalinger, som filialen skulle an-
vende i gennemgangen af non-resident porteføljen. Konsulentfirmaet havde
givet tilsvarende anbefalinger i april 2014. Ved en ny revision i juni 2014, hvor
gennemgangen af kunder var i gang i filialen, stødte GIA dog på en række
kunder, som til trods for at være blevet gennemgået og revurderet af filialen i
henhold til revisionens anbefalinger ikke burde have været accepteret som
fortsættende kunder i filialen. Ifølge bankens bestyrelse og direktion førte fili-
alens gennemgang, som blev afsluttet i slutningen af 2014, til en afvikling af
853 kunder.
I et udkast til GIA’s revisionsrapport fra 10.
marts 2014 anbefalede GIA en
undersøgelse af filialens kunders tidligere transaktioner. Denne anbefaling
var ikke med i den endelige udgave af revisionsrapporten. Banken tog først i
september 2017 initiativ til en undersøgelse af transaktionerne og først i no-
vember 2017 initiativ til en undersøgelse af sagsforløbet, og om ledere eller
medarbejdere i tilstrækkelig grad har levet op til deres ansvar. Banken enga-
gerede i december 2017 et advokatfirma til at lede og føre tilsyn med under-
søgelserne. Arbejdet med at undersøge non-resident kunder og transaktioner
foretages af bankens Compliance Incident Management Team og dennes
chef, som tiltrådte stillingen hos banken den 1. januar 2018.
Det estiske finanstilsyn (EFSA) gennemførte i marts og juni-juli 2014 hvid-
vaskinspektioner i filialen og var i sin rapportering meget kritisk. Af bankens
oversættelse
af EFSA’s foreløbige rapport fremgår
det blandt andet, at EFSA
i sin høring af banken i september 2014 konkluderede, at filialen
-
systematisk accepterede kunder, der var karakteriseret ved
en lang række forhold, som gav mistanke om hvidvask af
penge
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
10
-
-
-
-
havde mangler i forbindelse med identifikation af kundernes
midlers oprindelse og accepterede, at filialen ikke kunne leve
op til sin forpligtelse til at få oplysningerne
i strid med reglerne havde fået kunder til at afslutte forret-
ningsforbindelsen uden at underrette den estiske Financial In-
telligence Unit (FIU), som svarer til det danske SØIK
havde større fokus på sin indtjening end på sine forpligtelser
i henhold til AML-reglerne, selvom filialen opererede i et eks-
tremt risikabelt kundesegment i forhold til AML-risiko
ikke overholdt sine egne AML-retningslinjer og fejlagtigt vur-
derede, at dette var i overensstemmelse med lovgivningen.
En ledende medarbejder sendte på den baggrund den 25. september 2014
en e-mail til andre ledende medarbejdere i Group Legal og Group Compli-
ance and AML:
”The executive summary of the Estonian FSA letter is brutal to say the least
and is close to the worst I have ever read within the AML/CTF area (and I
have read some harsh letters). Besides being harsh, the letter also has a
slight sarcastic tone, which is not a good sign (this may be the translation).
I know we have a meeting on Friday, but I would like to check with you al-
ready now if business plan to notify/inform [udeladt] and [udeladt]. I beleive
this should be done asap and preferabbly by business them selves. If not I of
course will inform them.
[udeladt] and I will discuss next steps from an AML perspective (further con-
trols/remediation) and the need to send someone down there to support, how-
ever if just half of the executive summary is correct, then this is much more
about shutting all non-domestic business down than it is about KYC proce-
dures. I know this is in progress, but we should move much faster than 100
customer groups per month.”
EFSA’s udkast til rapport blev drøftet på et direktionsmøde den 7. oktober
2014 med deltagelse af bl.a. bankens CEO, CRO og CFO, direktøren for
Business Banking, lederen af Group Legal og den nye hvidvaskansvarlige og
leder af Group Compliance and AML. Om drøftelserne ved direktionsmødet
er der refereret følgende:
“The Bank has recently received a drafted report from the
Estonian FSA
where they point out significant challenges regarding non-resident customers.
According to [udeladt] there was no cause for panic as the findings have been
addressed in the ongoing process improvement. [udeladt] will travel to Esto-
nia and assist
the Estonian organisation.”
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
11
Ligesom GIA’s og
konsulentfirmaets observationer blev
EFSA’s
kritiske kon-
klusioner således alligevel nedtonet i direktionens refererede drøftelser og
den interne skriftlige rapportering til bestyrelsen.
Group Compliance and AML fremhævede i bankens årlige AML-rapport for
perioden oktober 2013 til september 2014 de AML-udfordringer, banken stod
med bl.a. i Estland. Rapporten blev forelagt for bestyrelsens revisionsudvalg
den 24. oktober 2014 og for bestyrelsen den 28. oktober 2014. I rapporten
stod følgende om AML-problemerne i Estland:
“Internal Audit has issued audit reports in 2014 related to the Baltic countries
requiring immediate efforts to improve the quality of especially the processes
for non-resident customers. In cooperation with local management Group
AML will initiate efforts to ensure that improvements and alignment to Group
standards will be obtained. This work has started in Estonia in late August
2014. Furthermore Danske Bank, Estonia has most recently received a
drafted report from the Estonian FSA, where they point out significant chal-
lenges regarding non-resident
customers.”
“In the beginning of 2014 Internal Audit issued critical AML reports in the Bal-
tic countries, especially related to Estonia and Lithuania. These reports re-
vealed that there are still major issues to be solved outside the scope of the
AML/KYC project. The audit recommendations will be handled on an ongoing
basis along with the findings from a Gap analysis performed by [udeladt] in
Estonia in April 2014 on non-resident customers. Furthermore, an alignment
of the Group solutions outside the Nordic countries and UK is now being pre-
pared as a separate task along with a comprehensive Gap analysis of the
existing procedures compared to the “Best-in-Class” requirements. Group
AML has performed the first review in Estonia and drawn up an agreed plan
together with local management of relevant improvements and alignment
needed. The next step will be to perform a Gap-analysis in Lithuania and
Latvia.”
“The Estonian FSA has completed an inspection on the topic “Analysis of the
activities of the FIU contact person”. A drafted report was received in Sep-
tember 2014 and an extract has now been translated into English. The drafted
report is very critical and confirms the findings reported by Internal Audit and
[udeladt] regarding non-resident customers. The inspection is based on the
facts as per 31 December 2013 and therefore do not take into account the
work performed in 2014.”
Bestyrelsen drøftede to gange i 2014 strategien i Baltikum generelt. Bankens
indtjening i Estland var høj pga. en meget høj indtjening på non-resident por-
teføljen med et meget lavt kapitalforbrug. Det lave kapitalforbrug skyldtes, at
kreditrisikoen ved non-residentporteføljen var meget lav, bl.a. som følge af,
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
12
at en stor del af forretningsomfanget bestod af betalinger, og som følge af
kundernes sikkerhedsstillelse i indlån.
Overskuddet før nedskrivninger på non-resident porteføljen i Estland i 2013
udgjorde 325 mio. kr. svarende til 99 pct. af overskuddet før nedskrivninger i
Estland og 77 pct. af det samlede overskud før nedskrivninger i filialerne i
Baltikum. Non-resident porteføljen gav et afkast på 402 pct. af bankens op-
gjorte kapitalbinding (ROAC) på kundesegmentet og et samlet ROAC for fili-
alen på 60 pct. For filialerne i Litauen og Letland var der i 2013 et ROAC på
henholdsvis 16 pct. og 7 pct.
I det materiale, som direktionen forelagde bestyrelsen om strategien, blev der
lagt op til en nedskalering af denne del af forretningen som følge af hvidvask-
risikoen i segmentet, og en reduktion af non-resident porteføljen blev påbe-
gyndt. Der blev imødeset en ikke ubetydelig reduktion i indtjeningen som
følge heraf.
Ved strategiseminaret i juni 2014 pegede bankens CEO overfor bestyrelsen
på, at en fremskyndet nedlukning af baltiske aktiviteter ville reducere værdien
ved et eventuelt salg, uden at pege på, at dette ikke var en relevant betragt-
ning for non-resident porteføljen.
(”Further,
[udeladt] found it unwise to speed
up an exit strategy as this might significantly impact
any sales price.”).
Besty-
relsen blev heller ikke gjort opmærksom på, at det med de store udfordringer
med AML-håndteringen var vigtigt at få lukket non-resident porteføljen ned
hurtigt og få indberettet mistænkelige transaktioner til relevante myndigheder.
Referaterne af møder i bestyrelsen og i bestyrelsens revisionsudvalg viser
interesse hos bestyrelsesmedlemmerne for indtjeningen i filialen, mens de
ikke er refereret for bemærkninger til de store AML-udfordringer. Medlem-
merne af bestyrelsen og af revisionsudvalget er således ved deres møder i
hele 2014 ikke refereret for væsentlige bemærkninger til AML i filialen i Est-
land, heller ikke når der blev fremlagt oplysninger om AML-problemer i filialen
i revisionsprotokollater, i rapporter fra Group Compliance and AML eller i op-
læg fra direktionen. Som nævnt ovenfor var der dog et bestyrelsesmedlem,
som på et møde understregede behovet for tæt overvågning i regioner som
bl.a. Baltikum og Rusland, og at banken skulle være positiv over for whist-
leblowere. Medlemmer af bestyrelsen og direktionen har også anført, at der
var væsentlige bemærkninger, som ikke er nævnt i referaterne.
Efter først at have forsøgt med et løft af AML-området i Baltikum, herunder
ved filialens gennemgang af kunder i 2014, besluttede direktionen at ned-
lukke non-resident porteføljen, evt. ved et salg af den eller dele af den. Det
var hensigten, at bestyrelsen skulle træffe en beslutning, men ved bestyrel-
sens øvrige beslutninger om strategien i Baltikum i oktober 2014 blev beslut-
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
13
ningen om non-resident porteføljen udskudt til senest januar 2015, dvs. halv-
andet år efter filialens ene korrespondentbanks opsigelse af samarbejdet
med filialen og godt et år efter whistleblower-henvendelsen.
I januar 2015 traf bestyrelsen ikke nogen beslutning, men noterede sig direk-
tionens forventede afvikling af den del af non-resident porteføljen, hvor kun-
derne ikke havde en personlig eller forretningsmæssig tilknytning til Baltikum.
Der gik yderligere et år, inden nedlukningen i januar 2016 var gennemført, på
trods af, at den i 3. kvartal 2015 blev fremskyndet på grund af pres fra EFSA
og af en anden korrespondentbanks afbrydelse af samarbejdet med filialen
som følge af bekymring ved filialens non-resident kunder.
Der gik mere end halvandet år fra whistleblower-henvendelsen, til ledelsen i
filialen blev udskiftet efter pres fra EFSA. Valget af den nye filialdirektør skete
uden, at bestyrelsen eller direktionen ifølge det oplyste gjorde sig overvejel-
ser om dennes hidtidige håndtering af opgaver med non-resident porteføljen,
og på trods af, at han havde arbejdet sammen med de øvrige medlemmer af
den hidtidige ledelse i filialen. Det skal ses i lyset af, at det var den normale
procedure i banken, at beslutninger om filialdirektører blev truffet uden ind-
dragelse af bestyrelsen eller den samlede direktion.
Ifølge det materiale, som Finanstilsynet har modtaget, var bankens CRO op-
mærksom på, at banken kunne have forpligtelser til at informere myndigheder
i Estland, Danmark og England. Men den hvidvaskansvarlige vurderede det
ikke nødvendigt med en sådan informering.
Banken orienterede først Finanstilsynet i januar 2015, da banken forventede,
at Finanstilsynet ville
blive orienteret om EFSA’s kritiske vurderinger.
I hvert fald fire medlemmer af bankens direktion, direktøren for Business Ban-
king og bankens CRO, CFO og CEO, havde hver især modtaget oplysninger
om, at der var problemer i Estland, herunder at det ikke alene var et spørgs-
mål om mangler i processer, men at der også var mistænkelige kunder. Der
blev iværksat en gennemgang i filialen af kendskabet til kunderne og deres
aktiviteter, men filialens egen opfølgning viste sig utilstrækkelig. Således sik-
rede banken ikke en dækkende undersøgelse af omfanget af mistænkelige
transaktioner og kundeforhold som følge af den utilstrækkelige håndtering af
AML i filialen for at begrænse skaderne ved dem og foretage indberetninger
til myndighederne, heller ikke i forbindelse med konsulentfirmaets undersø-
gelse i februar-april 2014.
Det fremgår ikke af det materiale, som Finanstilsynet har modtaget, at der
derudover blev gjort nogen overvejelser om, at banken kunne være forpligtet
til at undersøge omfanget af mistænkelige transaktioner eller kundeforhold
og foretage indberetninger til myndighederne. Dog var der som førnævnt en
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
14
anbefaling om en undersøgelse i et udkast til revisionsrapport fra GIA, men
anbefalingen blev ikke medtaget i den endelige udgave af revisionsrapporten
fra marts 2014.
De manglende overvejelser gælder desuden for den hvidvaskansvarlige, der
også var leder af Group Compliance and AML, for lederen af Group Legal og
den ansvarlige i direktionen for disse områder. De havde således ingen do-
kumenterede overvejelser om, hvordan banken bedst bidrog til at begrænse
de følger, som dens medvirken til kunders mulige kriminalitet havde haft.
I april 2017 satte banken selskabet [udeladt] til at undersøge, hvorfor bankens
kontroller havde svigtet. Derimod omfattede undersøgelsen ikke omfanget af
mistænkelige transaktioner og kundeforhold. Finanstilsynet vurderer, at der
er et misforhold mellem selskabets mandat og rapportering til banken efter
undersøgelsen. Mandatet krævede således en detaljeret analyse af, hvad der
gik galt med AML i Estland, men rapporteringen blev fremadskuende og over-
ordnet.
Banken tog som førnævnt først i september 2017 initiativ til en undersøgelse
af omfanget af mistænkelige transaktioner og kundeforhold som følge af den
utilstrækkelige håndtering af AML i filialen, og engagerede i december 2017
et eksternt advokatfirma til at lede og føre tilsyn med undersøgelsen, dvs.
først fire år efter whistleblower-henvendelsen og efter eksternt pres på ban-
ken.
Den ene af filialens to korrespondentbanker meddelte i maj 2015 banken, at
denne bank ikke længere ønskede at medvirke ved transaktioner med britiske
selskaber kontrolleret af filialens russiske kunder.
Den anden af de to korrespondentbanker afbrød samarbejdet med filialen i
september 2015 pga. bekymring ved filialens non-resident kunder. I den for-
bindelse vurderede en ledende medarbejder fra den pågældende korrespon-
dentbank, at ud af ti non-resident kunder fra den estiske filial ville korrespon-
dentbanken på grund af kundernes karakteristika kun være komfortabel med
at servicere en enkelt. Medarbejderen advarede også Danske Bank mod mol-
doviske kunder og kunder, som sendte penge til Moldova. Finanstilsynet har
ikke modtaget materiale, der viser, at Danske Bank foretog undersøgelser af
sine kunder med tilknytning til Moldova på baggrund af dette. Banken har
anført, at man først i foråret 2017 efter den årsagsanalyse, som selskabet
[udeladt] havde lavet til banken, blev klar over, at kunder og transaktioner fra
filialens non-resident portefølje indgik i en offentliggjort rapport om Russian
Laundromat i august 2014.
Ved høringen i Folketingets skatteudvalg om Panama Papers i april 2016
havde banken ved sine foreløbige undersøgelser kun fundet syv kunder med
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
15
selskaber registreret af det panamanske advokatfirma Mossack Fonseca, og
hvor alle syv kunder var overtaget fra andre banker, efter at kunderne havde
haft kontakt til advokatfirmaet. Banken måtte senere oplyse, at filialen i Est-
land havde haft mere end ti gange så mange kunder med selskaber stiftet af
Mossack Fonseca.
GIA’s
og konsulentfirmaets gennemgange i januar til april 2014 viste store
AML-problemer, men banken orienterede ikke Finanstilsynet om dem. Det
skal ses i sammenhæng med, at EFSA i 2012 og 2013 henvendte sig til Fi-
nanstilsynet om mulige AML-problemer i filialen, og at ledende medarbejdere
i Group Legal og Group Compliance and AML derfor sendte Finanstilsynet
detaljerede beskrivelser af filialens AML-foranstaltninger. Ifølge disse beskri-
velser, som Finanstilsynet videresendte til EFSA, var der dækkende AML-
forretningsgange i filialen. I begyndelsen af 2014 burde det have stået klart
for nogle direktionsmedlemmer og øvrige ledende medarbejdere, at forret-
ningsgangene ikke blev fulgt, og at bankens detaljerede oplysninger fra 2012
og 2013 til Finanstilsynet og EFSA derfor var misvisende. Det må også have
stået klart for dem, at det var et væsentligt område for tilsynsmyndighederne.
Group Compliance and AML, den hvidvaskansvarlige, Group Legal og ban-
kens CFO, der var den ansvarlige for området i direktionen, iværksatte ikke
selv tilstrækkelige aktiviteter med hensyn til AML i Estland, hverken før eller
efter whistleblower-henvendelsen i december 2013. De fulgte alene med i
undersøgelser fra GIA, konsulentfirmaet og filialens egen gennemgang af
porteføljen.
De tog bl.a. ikke op, at det burde undersøges, hvordan banken bedst bidrog
til at begrænse de følger, som dens medvirken til kunders mulige kriminalitet
kunne have haft, herunder ved at undersøge behovet for yderligere indberet-
ninger af mistænkelige transaktioner til relevante myndigheder.
De problematiserede heller ikke 1st line of defences manglende undersøgel-
ser eller manglende håndtering af ledere og medarbejdere, som var involve-
ret i sagen.
Revisionschefen fik ikke direktionen til at sikre, at direktionen gav bestyrelsen
og bestyrelsens revisionsudvalg en dækkende skriftlig rapportering om AML
i filialen, eller gjorde bestyrelsen og revisionsudvalget opmærksom på mang-
lerne i rapporteringen.
Mulige problemer blev dermed ikke i tilstrækkeligt omfang rapporteret til ban-
kens bestyrelse og heller ikke rapporteret til Finanstilsynet.
I løbet af 2017 har banken i flere omgange orienteret eller indsendt materiale
om sagen. Finanstilsynet har måttet konstatere behov for at spørge ind til de
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
16
samme emner flere gange for at få fyldestgørende svar og spørge om ban-
kens kendskab til yderligere sager som følge af mangelfuld orientering. Det
gælder bl.a. redegørelsen den 16. oktober 2017, hvor Finanstilsynet skrev til
bestyrelsen og direktionen, men modtog et svar underskrevet af to ledende
medarbejdere. I enkelte tilfælde har banken ikke givet relevant information,
som Finanstilsynet har bedt om.
Finanstilsynets gennemgang af sagen har vist, at bestyrelsens, direktionens
og bankens øvrige beslutningsprocesser ikke har været tilstrækkeligt doku-
menteret i form af fyldestgørende skriftlige beslutningsoplæg, referater af
førte drøftelser og af trufne beslutninger. Vurderinger af compliancerisici har
desuden ikke været tilstrækkeligt inddraget eller været tillagt tilstrækkelig be-
tydning i beslutningsprocesserne.
Fraværet af tilstrækkeligt dokumenterede beslutningsprocesser har været
medvirkende til, at bankens bestyrelse og direktion på en række områder ikke
har været i stand til at besvare spørgsmål fra Finanstilsynet, men har henvist
til behov for nærmere interne undersøgelser. I kraft af en normal varetagelse
af ledelsens ansvar og opgaver burde bestyrelsen eller direktionen have den
nødvendige viden eller hurtigt kunne fremskaffe den. Det gælder særligt i en
sag som denne, hvor der har været stor ekstern fokus siden begyndelsen af
2017, og hvor banken derfor har haft god tid til at få overblik over de centrale
elementer.
Bankens rapporteringsprocedurer, beslutningsprocesser og virksomhedskul-
tur har ikke sikret, at problemerne med non-resident porteføljen blev tilstræk-
keligt klarlagt og håndteret på betryggende vis. Det gælder både under forlø-
bet frem til nedlukningen primo 2016 og i forløbet siden begyndelsen af 2017.
Bankens ledelse har ikke sikret tilstrækkelig fokus på compliance-området og
transparens om problemerne samt sikret en rettidig og betryggende håndte-
ring af mulige problemer med at overholde lovgivningen.
Ledelsens prioriteringer og handlemåde har skadet bankens troværdighed og
omdømme. Henset til bankens systemiske betydning og internationale tilste-
deværelse kan den danske pengeinstitutsektors omdømme tillige være ska-
det.
Finanstilsynets gennemgang giver anledning til otte påbud og otte påtaler,
som fremgår i afsnit 2 nedenfor.
Finanstilsynet vurderer det særligt kritisabelt:
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
17
-
-
-
-
-
-
At der i filialen i Estland var så store mangler i alle tre for-
svarslinjer, at kunder havde mulighed for at bruge filialen til
kriminalitet for store beløb.
At banken først i september 2017 tog initiativ til en undersø-
gelse af omfanget af mistænkelige transaktioner og kundefor-
hold fra den utilstrækkelige håndtering af AML i filialen, dvs.
godt fire år efter filialens ene korrespondentbanks afbrydelse
af korrespondentbankforbindelsen og knap fire år efter whist-
leblower-henvendelsen.
At banken bortset fra ophør af samarbejdet med russiske mel-
lemmænd udskød beslutningen om nedlukning af den del af
non-resident porteføljen, hvor kunderne ikke havde en per-
sonlig eller forretningsmæssig tilknytning til Baltikum, til ja-
nuar 2015, og at nedlukningen først var afsluttet i januar 2016.
At bankens governance i form af intern rapportering, beslut-
ningsprocesser og virksomhedskultur ikke sikrede, at proble-
merne med non-resident porteføljen blev tilstrækkeligt klar-
lagt og håndteret på betryggende vis, herunder ved indberet-
ninger om mistanke om kriminalitet til relevante myndigheder.
Det gælder både under forløbet frem til nedlukningen primo
2016 og i forløbet siden begyndelsen af 2017.
At banken ikke orienterede Finanstilsynet om de konstate-
rede AML-problemer, selvom det i starten af 2014 burde have
stået klart for nogle direktører og øvrige ledende medarbej-
dere, at bankens tidligere oplysninger fra 2012 og 2013 til Fi-
nanstilsynet og EFSA var misvisende, og at det burde have
stået klart for dem, at tilsynsmyndighederne havde fokus på
området.
At bankens orientering af Finanstilsynet i forløbet siden be-
gyndelsen af 2017 har været mangelfuld.
Sagen har således på en række områder afdækket alvorlige svagheder i ban-
kens governance. Finanstilsynet vurderer på baggrund af sagen, at banken
er eksponeret for væsentligt højere compliance- og omdømmerisici end hidtil
vurderet.
Finanstilsynet vil i samarbejde med de øvrige tilsynsmyndigheder involveret i
tilsynet med bankkoncernen vurdere størrelsen af et søjle II-tillæg til solvens-
behovet, der skal tage højde for compliance- og omdømmerisiciene. Finans-
tilsynet skønner umiddelbart, at et søjle II-tillæg som minimum bør udgøre 5
mia. kr. svarende til ca. 0,7 pct. af REA (Risk-weighted Exposure Amounts)
pr. ultimo 2017.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
18
2. Påbud og påtaler
Finanstilsynets vurderinger af Danske Banks ledelse og styring i hvidvask-
sagen i den estiske filial giver anledning til nedenstående påbud og påtaler.
De regler, der er henvist til i påbuddene og påtalerne, fremgår sidst i dette
afsnit.
Påbud:
Finanstilsynet har følgende påbud til banken.
1) Finanstilsynet påbyder med henvisning til § 71, stk. 1, i lov om finan-
siel virksomhed og § 2 i ledelsesbekendtgørelsen bestyrelsen og di-
rektionen at styrke direktionens governance med kompetencer på
compliance-området og samtidig sikre, at der i direktionen er en til-
strækkelig uafhængighed i områdeansvaret for compliance i forhold
til forretnings- og rentabilitetsmæssige interesser.
2) Finanstilsynet påbyder med henvisning til § 124, stk. 1-2, i lov om
finansiel virksomhed bestyrelsen og direktionen at revurdere bankens
og bankkoncernens solvensbehov med henblik på at sikre en tilstræk-
kelig kapitalmæssig afdækning af compliance- og omdømmerisici
som følge af svagheder i bankens governance.
3) Finanstilsynet påbyder med henvisning til § 71, stk. 1, i lov om finan-
siel virksomhed og § 17, stk. 1, i ledelsesbekendtgørelsen bestyrel-
sen og direktionen at sikre, at når der er mistanke om bankens lede-
res eller medarbejderes samarbejde med kunder om deltagelse i kri-
minalitet eller kendskab til kunders kriminalitet, foretager banken til-
strækkelige undersøgelser og tager højde for mistanken ved den lø-
bende tildeling af opgaver til disse ledere eller medarbejdere.
4) Finanstilsynet påbyder med henvisning til § 71, stk. 1, i lov om finan-
siel virksomhed og ledelsesbekendtgørelsens § 3, nr. 6, og § 8, stk.
3, bestyrelsen og direktionen at styrke bankens governance med hen-
blik på at sikre, at der sker en retvisende og rettidig rapportering til
bestyrelsen og direktionen om mulige problemsager.
5) Finanstilsynet påbyder med henvisning til § 71, stk. 1, i lov om finan-
siel virksomhed og §§ 2 og 14, stk. 1, i ledelsesbekendtgørelsen be-
styrelsen og direktionen at styrke bankens governance med henblik
på at sikre, at beslutningsgrundlag, drøftelser på møder og trufne be-
slutninger er dokumenteret fyldestgørende, og at der er tilstrækkelig
opmærksomhed på bankens overholdelse af relevant lovgivning.
6) Finanstilsynet påbyder med henvisning til § 71, stk. 1, i lov om finan-
siel virksomhed og § 2 i ledelsesbekendtgørelsen bestyrelsen og di-
rektionen at vurdere ledelse og styring i filialen i Estland.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
19
7) Finanstilsynet påbyder med henvisning til § 347, stk. 1, i lov om finan-
siel virksomhed bestyrelsen og direktionen at sikre, at banken giver
Finanstilsynet fyldestgørende information.
8) Finanstilsynet påbyder med henvisning til § 71, stk. 1, og § 347, stk.
1, i lov om finansiel virksomhed bestyrelsen og direktionen at styrke
deres governance med henblik på at sikre en tilstrækkelig involvering
i skriftlige besvarelser af henvendelser fra Finanstilsynet til bestyrel-
sen eller direktionen.
Bestyrelsen og direktionen skal senest den 30. juni 2018 give Finanstilsynet
en skriftlig tilbagemelding om, hvordan banken har sikret, at påbuddene er
efterlevet.
Tilbagemeldingen skal være vedlagt relevant dokumentation.
Når GIA har taget stilling til, om påbuddene er efterlevet, skal GIA orientere
Finanstilsynet med relevant dokumentation.
Påtaler:
Finanstilsynet har følgende påtaler til banken.
a) Finanstilsynet påtaler med henvisning til § 71, stk. 1, i lov om finansiel
virksomhed og § 8 i ledelsesbekendtgørelsen, at bankens direktion
ikke i tilstrækkelig grad har varetaget sit ansvar, da direktionen ikke
- sikrede en tilstrækkelig fokus på AML for højrisikokunder i fili-
alen i Estland og i overvågningen af filialen i Business Ban-
king i København
- sikrede integration af den baltiske compliance og AML i kon-
cernfunktionerne og sikrede en tilstrækkelig kvalitet
- sikrede tilstrækkelig opfølgning på whistleblowerens beskyld-
ninger og sikrede undersøgelse af mistanker om medarbejde-
res samarbejde med kunder eller viden om kunders kriminelle
handlinger og sikrede omplacering af mistænkte medarbej-
dere
- sikrede, at Finanstilsynet blev orienteret om sagen før i januar
2015
- orienterede bestyrelsen tilstrækkeligt om sagens alvor og sik-
rede en hurtig nedlukning af den del af non-resident kunde-
porteføljen, hvor kunderne ikke havde en personlig eller for-
retningsmæssig tilknytning til Baltikum.
b) Finanstilsynet påtaler med henvisning til § 71, stk. 1, i lov om finansiel
virksomhed og § 3 i ledelsesbekendtgørelsen, at bestyrelsen ikke i
tilstrækkelig grad har varetaget dens ansvar, da den
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
20
c)
d)
e)
f)
g)
h)
ikke på møder i bestyrelsen og i bestyrelsens revisionsudvalg
drøftede bankens overholdelse af lovgivningen i filialen i Est-
land, baseret på rapporteringen fra GIA og Group Compliance
and AML, eller ikke sikrede, at sådanne drøftelser fremgik af
mødereferaterne
- ikke sikrede en tilstrækkelig hurtig nedlukning af den del af
non-resident kundeporteføljen, hvor kunderne ikke havde en
personlig eller forretningsmæssig tilknytning til Baltikum, ba-
seret på den rapportering, som bestyrelsen modtog fra GIA
og Group Compliance and AML, og i lyset af direktionens
manglende beslutning, jf. påtale a.
Finanstilsynet påtaler med henvisning til § 24, stk. 1, i bekendtgørelse
om revisionens gennemførelse i finansielle virksomheder m.v. samt
finansielle koncerner, at Group Internal Audit ikke før whistleblower-
henvendelsen fik sikret den tilstrækkelige integration og kvalitet af in-
tern revision i Baltikum og efter whistleblower-henvendelsen ikke fik
direktionen til at sikre, at bestyrelsen og bestyrelsens revisionsudvalg
fik en dækkende rapportering om AML i filialen, eller gjorde bestyrel-
sen og revisionsudvalget opmærksom på manglerne.
Finanstilsynet påtaler med henvisning til den daværende hvidvask-
lovs § 25, stk. 2, ledelsesbekendtgørelsens § 17, stk. 1-2, og § 71,
stk. 1, i lov om finansiel virksomhed, at Group Compliance and AML
og Group Legal ikke i tilstrækkelig grad varetog deres ansvar i forbin-
delse med AML i filialen i Estland i perioden før whistleblower-hen-
vendelsen og i forbindelse med at begrænse følgerne af den util-
strækkelige indsats i forbindelse med AML.
Finanstilsynet påtaler med henvisning til den daværende hvidvask-
lovs § 25, stk. 2, at banken fra slutningen af 2012 til 7. november 2013
ikke havde udnævnt nogen hvidvaskansvarlig, og at banken først ori-
enterede om dette den 7. februar 2018, efter at Finanstilsynet havde
spurgt bestyrelsen og direktionen.
Finanstilsynet påtaler med henvisning til § 71, stk. 1, i lov om finansiel
virksomhed og § 18, stk. 1, i bekendtgørelse om revisionens gennem-
førelse i finansielle virksomheder m.v. samt finansielle koncerner
manglerne i alle tre forsvarslinjer i filialen i Estland frem til whistleblo-
wer-henvendelsen i december 2013.
Finanstilsynet påtaler med henvisning til § 71, stk. 1, i lov om finansiel
virksomhed og § 2 i ledelsesbekendtgørelsen, at banken først udskif-
tede ledelsen i Estland mere end halvandet år efter whistleblower-
henvendelsen.
Finanstilsynet påtaler med henvisning til § 71, stk. 1, i lov om finansiel
virksomhed og § 2 i ledelsesbekendtgørelsen, at bestyrelsen og di-
rektionen ikke sikrede tilstrækkelige, rettidige undersøgelser af for-
holdene i filialen for at begrænse følgerne af den utilstrækkelige
håndtering af AML og skabe overblik over det passerede. Banken
-
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
21
iværksatte først fire og et halvt år efter filialens ene korrespondent-
banks afbrydelse af forbindelsen, fire år efter whistleblower-henven-
delsen, to og et halvt år efter en anden korrespondentbanks afbry-
delse af forbindelsen og efter eksternt pres en undersøgelse af om-
fanget af mistænkelige transaktioner og kundeforhold fra den util-
strækkelige håndtering af AML i filialen.
Bestyrelsen og direktionen skal senest den 30. juni 2018 give Finanstilsynet
en skriftlig tilbagemelding om, hvad påtalerne har givet anledning til.
Hjemmelsgrundlag
I påbuddene og påtalerne er der henvist til følgende regler i lov om finansiel
virksomhed, bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
(ledelsesbekendtgørelsen), bekendtgørelse om revisionens gennemførelse i
finansielle virksomheder m.v. samt finansielle koncerner og den daværende
lov om forebyggende foranstaltninger mod hvidvask og finansiering af terro-
risme (hvidvaskloven), der gjaldt indtil juni 2017.
Lov om finansiel virksomhed:
§ 71, stk. 1:
”En finansiel virksomhed, en finansiel holdingvirksomhed og en
forsikrings-
holdingvirksomhed skal have effektive former for virksomhedsstyring, herun-
der
1) en klar organisatorisk struktur med en veldefineret, gennemskuelig og kon-
sekvent ansvarsfordeling,
2) en god administrativ og regnskabsmæssig praksis,
3) skriftlige forretningsgange for alle de væsentlige aktivitetsområder,
4) effektive procedurer til at identificere, forvalte, overvåge og rapportere om
de risici, som virksomheden er eller kan blive udsat for,
5) de ressourcer, der er nødvendige for den rette gennemførelse af dens virk-
somhed, og hensigtsmæssig anvendelse af disse,
6) procedurer med henblik på adskillelse af funktioner i forbindelse med hånd-
tering og forebyggelse af interessekonflikter,
7) fyldestgørende interne kontrolprocedurer,
8) betryggende kontrol- og sikringsforanstaltninger på it-området
…”.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
22
§ 124, stk. 1-2:
”Et pengeinstituts og et realkreditinstituts bestyrelse og direktion skal sikre, at
instituttet har et tilstrækkeligt kapitalgrundlag og råder over interne procedu-
rer til risikomåling og risikostyring til løbende vurdering og opretholdelse af et
kapitalgrundlag af en størrelse, type og fordeling, som er passende til at
dække instituttets risici. Disse procedurer skal underkastes regelmæssig in-
tern kontrol for at sikre, at de vedbliver at være fyldestgørende og stå i rimeligt
forhold til arten, omfanget og kompleksiteten af instituttets virksomhed.
Stk. 2. Et pengeinstituts og et realkreditinstituts bestyrelse og direktion skal
på baggrund af vurderingen efter stk. 1 opgøre instituttets individuelle sol-
vensbehov. Solvensbehovet opgøres som det tilstrækkelige kapitalgrundlag
i procent af den samlede risikoeksponering. …”
§ 347, stk. 1:
”De
finansielle virksomheder, finansielle holdingvirksomheder, forsikringshol-
dingvirksomhed, blandede holdingvirksomheder, leverandører og underleve-
randører skal give Finanstilsynet de oplysninger, der er nødvendige for tilsy-
nets virksomhed.
…”
Bekendtgørelse om ledelse og styring af pengeinstitutter m.fl. (ledelses-
bekendtgørelsen):
§ 2:
”Bestyrelsen
henholdsvis direktionen i de af § 1, stk. 1, omfattede virksomhe-
der skal træffe foranstaltninger, der er tilstrækkelige til, at virksomheden dri-
ves betryggende. Bestyrelsen henholdsvis direktionen skal herunder tage stil-
ling til, hvilke foranstaltninger, der er tilstrækkelige til, at bestemmelserne
overholdes. Hvilke foranstaltninger, der er tilstrækkelige, vil afhænge af virk-
somhedens forretningsmodel, herunder …
Stk. 3. Bestyrelsen henholdsvis direktionen i de af § 1, stk. 1, nr. 1, 2 og 4,
omfattede virksomheder, der i medfør af §§ 308 eller 310 i lov om finansiel
virksomhed er udpeget som systemisk vigtige finansielle institutter (SIFI) eller
globalt systemisk vigtige finansielle institutter (G-SIFI), skal ved vurderingen
efter stk. 1 inddrage hensynet til opretholdelsen af en stabil finansiel sektor
ved vurdering af risikostyringsområdet …”
§ 3:
”Bestyrelsen
skal som led i varetagelsen af den overordnede og strategiske
ledelse af virksomheden
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
23
1) træffe beslutning om virksomhedens forretningsmodel, herunder målsæt-
ninger for de forhold, der er nævnt under § 2, stk. 1, nr. 1-5,
2) på grundlag af forretningsmodellen træffe beslutning om virksomhedens
politikker, jf. § 4,
3) løbende, dog mindst én gang årligt, foretage en vurdering af virksomhe-
dens enkelte og samlede risici, jf. § 5, herunder tage stilling til, om risiciene
er acceptable,
4) vurdere og træffe beslutning om virksomhedens budgetter, kapital, likvidi-
tet, væsentlige dispositioner, særlige risici og overordnede forsikringsforhold,
5) vurdere, om direktionen varetager sine opgaver på en betryggende måde
og i overensstemmelse med den fastlagte risikoprofil, de fastlagte politikker
samt retningslinjerne til direktionen,
6) træffe beslutning om frekvensen for og omfanget af direktionens rapporte-
ring til og information af bestyrelsen således, at bestyrelsen har et indgående
overblik over virksomheden og dens risici, og at rapporteringen i øvrigt er
fyldestgørende for bestyrelsens arbejde,
7) løbende og mindst én gang årligt træffe beslutning om virksomhedens in-
dividuelle solvensbehov, jf. lov om finansiel virksomhed §§ 124, stk. 2, 125,
stk. 4, og § 126 a, stk. 1,
8) tilrettelægge sit arbejde således, at ledelsen af virksomheden er betryg-
gende, jf. bilag 6,
9) vurdere, om virksomheden har en betryggende offentliggørelses- og kom-
munikationsproces, og
10) godkende den rapport, som direktionen har pligt til at udarbejde med en
opgørelse og vurdering af virksomhedens likviditetsposition og likviditetsrisici,
jf. § 8, stk. 9.”
§ 8:
”Direktionen skal forestå
den daglige ledelse af virksomheden i overensstem-
melse med lovgivningens bestemmelser, herunder lov om aktie- og anparts-
selskaber (selskabsloven) og lov om finansiel virksomhed, de af bestyrelsen
vedtagne politikker, jf. § 4, de af bestyrelsen givne retningslinjer, jf. §§ 6 og
7, og eventuelle andre mundtlige eller skriftlige beslutninger og anvisninger
fra bestyrelsen.
Stk. 2. Direktionen skal sikre, at de af bestyrelsen vedtagne politikker og ret-
ningslinjer implementeres i virksomhedens daglige drift.
Stk. 3. Direktionen er forpligtet til at videregive information til bestyrelsen, som
bestyrelsen har anmodet om, samt information, som direktionen vurderer,
kan være af betydning for bestyrelsens arbejde.
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
24
Stk. 4. Direktionen er forpligtet til at videregive den information til den risiko-
ansvarlige og den complianceansvarlige, som direktionen vurderer, kan være
af betydning for disses arbejde.
Stk. 5. Direktionen har det daglige ledelsesmæssige ansvar for, at virksom-
heden kun træffer dispositioner, som direktionen og medarbejdere i fornødent
omfang kan vurdere risiciene ved og konsekvenserne af.
Stk. 6. Direktionen skal godkende virksomhedens forretningsgange, jf. § 13,
stk. 1, eller udpege en eller flere personer eller organisatoriske enheder med
den nødvendige faglige viden til at gøre dette.
Stk. 7. Direktionen skal sikre, at der er anvisninger for, hvilke tiltag der skal
iværksættes i forbindelse med alvorlige driftsforstyrrelser, it-nedbrud, øvrige
driftsforstyrrelser samt for nøglemedarbejderes fratræden.
Stk. 8. Direktionen skal godkende virksomhedens retningslinjer for udvikling
og godkendelse af nye tjenesteydelser og produkter, der kan medføre væ-
sentlige risici for virksomheden, modparter eller kunder, herunder ændringer
i eksisterende produkter, hvorved produktets risikoprofil ændres væsentligt.
…”
§ 14, stk. 1:
”Direktionen
skal sikre, at der er fornøden dokumentation for virksomhedens
aktiviteter ...”
§ 17, stk. 1-2:
”Virksomheden skal have metoder og procedurer, der er egnede til at opdage
og mindske risikoen for virksomhedens manglende overholdelse af den for
virksomheden gældende lovgivning, markedsstandarder eller interne regel-
sæt (compliancerisici).
Stk. 2. Virksomheden skal have en compliancefunktion, der fungerer uaf-
hængigt, og som skal kontrollere og vurdere, om metoderne og procedurerne
efter stk. 1 og de foranstaltninger, der træffes for at afhjælpe eventuelle
mangler, er effektive.”
Bekendtgørelse om revisionens gennemførelse i finansielle virksomhe-
der m.v. samt finansielle koncerner:
§ 18, stk. 1:
”Den interne revision skal fungere uafhængigt af den daglige ledelse.”
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
25
§ 24, stk. 1:
”I virksomheder henholdsvis koncerner, der har en intern revision, skal revi-
sionsarbejdet udføres i overensstemmelse med god revisorskik og i henhold
til en revisionsaftale mellem den eksterne revision og revisionschefen.
…”
Den daværende lov om forebyggende foranstaltninger mod hvidvask og
finansiering af terrorisme (hvidvaskloven), der gjaldt indtil juni 2017:
§ 25, stk. 2:
”Virksomheder og
personer omfattet af § 1, stk. 1, nr. 1-12, skal udpege en
person på ledelsesniveau, der skal sikre, at virksomheden eller personen
overholder pligterne efter loven, de regler, der er udstedt i medfør heraf, Eu-
ropa-Parlamentets og Rådets forordning om oplysninger, der skal medsen-
des om betaler ved pengeoverførsler, og forordninger indeholdende regler
om finansielle sanktioner mod lande, personer, grupper, juridiske enheder el-
ler organer.”
3. Finanstilsynets gennemgang af materiale og svar fra banken
Moldova-sagen kom i mediernes søgelys i marts 2017. Finanstilsynet modtog
derfor på forespørgsel i april 2017 kopi af en del skriftligt materiale fra banken
om hvidvaskområdet i bankens estiske filial fra perioden 2011-2015. Materi-
alet var udvalgt af banken ud fra en vurdering af, hvad der var relevant for at
belyse sagen. Det vedrører bestyrelsen, bestyrelsens revisionsudvalg, direk-
tionen, revisionsrapporter, compliancerapporter og interaktion med det dan-
ske og det estiske finanstilsyn.
Foranlediget af medieomtalen af Aserbajdsjan-sagen i september 2017 vur-
derede Finanstilsynet, at der var behov for en egentlig undersøgelse af for-
holdene i bankens filial i Estland. Finanstilsynet bad derfor den 25. september
bankens bestyrelse og direktion om en skriftlig redegørelse om denne sag og
mere generelt om håndteringen af hvidvaskområdet i filialen.
Finanstilsynet modtog en redegørelse fra banken den 16. oktober 2017.
Finanstilsynet sendte den 8. december 2017 en liste til bankens CEO med
yderligere ønsket materiale og modtog dette i dagene 12.-14. december.
Derefter sendte Finanstilsynet den 21. december 2017 notatet ”foreløbige
vurderinger af Danske Banks ledelses involvering i hvidvask-sagen i den esti-
ske filial”. Foruden en beskrivelse af sagen og Finanstilsynets
foreløbige vur-
deringer indeholdt notatet 32 spørgsmål til bestyrelsen og direktionen og 3
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
26
spørgsmål til revisionschefen. Revisionschefen svarede den 6. februar 2018,
mens bestyrelsen og direktionen svarede den 7. februar 2018. Svaret fra be-
styrelsen og direktionen omfattede godt 200 siders bilag.
Det fremgik af svaret fra bestyrelsen og direktionen, at de i videst muligt om-
fang havde søgt at besvare alle spørgsmålene inden for den fastsatte tidsfrist.
Det fremgik dog også, at bankens undersøgelser af, hvad der var foregået på
AML-området i Estland, var i en tidlig fase, og at svarene på specifikke
spørgsmål derfor nødvendigvis måtte være ufuldstændige. I en række til-
fælde forventede de, at bankens igangsatte undersøgelser vil give afklarin-
ger. Desuden fremgik det, at det ville være både forhastet og upassende
og potentielt vildledende for Finanstilsynet
på dette tidspunkt at udtrykke
synspunkter om enkeltpersoner.
Finanstilsynet sendte den 12. marts 2018 et udkast til nærværende afgø-
relse til bestyrelsen og direktionen og til revisionschefen. Finanstilsynet
modtog svar med en række overordnede bemærkninger den 26. marts
2018.
Svaret fra bestyrelsen og direktionen omfattede også mere end 600 siders
bilag, og bestyrelsen og direktionen skrev følgende om dem:
“The
Project [udeladt] Investigation and the Project [udeladt] Investigation
described in our Initial Reply are progressing according to plan, and with
this letter we share additional information uncovered or verified since our In-
itial Reply. Given that the Danish FSA is likely to act prior to the completion
of the investigations, we are including a number of documents and emails
with this letter. At the same time, we wish to stress that both the Project
[udeladt] Investigation and the Project [udeladt] Investigation are not yet
complete and consequently that the material shared is also not complete.
We expect the Project [udeladt] Investigation to be completed within two
months, and we note the reservation in the beginning of the Draft Decision
that “[t]he bank’s ongoing investigations may provide new information of sig-
nificance to the Danish FSA’s assessments and supervisory reactions”.”
Banken har valgt at lade advokaten, som leder bankens undersøgelser, re-
præsentere bestyrelsen i sagsforløbet i forhold til Finanstilsynet.
Det modtagne materiale omfatter ikke e-mails og lignende, der involverer
bestyrelsesmedlemmer. Bestyrelsen og direktionen har den 28. april 2018
anført følgende:
”Project
[udeladt] har adgang til emailkonti fra nuværende medarbejdere i
banken, heriblandt bankens CEO. Bestyrelsesmedlemmerne har ikke email-
konti i banken, men er blevet bedt om at dele materiale af relevans i deres
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
27
besiddelse. Bestyrelsens medlemmer kan kommunikere med medlemmer af
direktionen, men kun med formandens og CEO’ens viden. I udgangspunktet
ville sådan dialog være usædvanlig, og der er allerede af den grund en for-
modning i bankens governancemodel mod de ”e-mails og lignende”, som til-
synet synes at efterlyse.”
Banken har vist relevante dele af Finanstilsynets udkast af 12. marts 2018 til
nogle tidligere ansatte i banken. De tidligere direktionsmedlemmer, som var
direktøren for Business Banking og bankens CRO og CFO, har derefter
sendt bemærkninger til Finanstilsynet. I sammenhæng med bemærknin-
gerne sendte bankens advokater, som leder bankens undersøgelser, 265
sider e-mails og andre bilag.
Den 18. og 26. april 2018 sendte Finanstilsynet nye udkast til nærværende
afgørelse til bestyrelsen og direktionen og til revisionschefen.
Bestyrelsen og direktionen sendte den 22. april 2018 nogle bemærkninger
til udvalgte dele af udkastet.
De sendte derefter den 24. april 2018 kommentarer til konkrete formulerin-
ger i udkastet og godt 300 siders bilag.
Endelig sendte de den 25. april 2018 bemærkninger til offentliggørelsen af
afgørelsen og den 28. april og 1. maj 2018 yderligere bemærkninger til kon-
krete formuleringer.
Det har således været en langstrakt proces, hvor størstedelen af bestyrel-
sens og direktionens konkrete kommentarer først er afgivet i perioden fra og
med 22. april 2018. Finanstilsynets afgørelse er baseret på det meget om-
fattende materiale modtaget fra banken, herunder beslutningsoplæg, møde-
referater, revisions- og compliancerapporter, e-mails, svar på Finanstilsy-
nets spørgsmål og bemærkninger til Finanstilsynets udkast til afgørelse.
4. Klagevejledning
Finanstilsynets afgørelser kan, senest fire uger efter at banken har modta-
get dem, indbringes for Erhvervsankenævnet pr. e-mail til ean@naevnenes-
hus.dk eller pr. post til Toldboden 2, 8800 Viborg, jf. § 372, stk. 1, i lov om
finansiel virksomhed. Det er forbundet med et gebyr at klage til Erhvervsan-
kenævnet.
Med venlig hilsen
Jesper Berg
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0111.png
Bilag 6
DANISH FSA - STUDY ON
AML/CFT SUPERVISION AND
ENFORCEMENT
28 December 2018
Bringing Ingenuity to Life
paconsulting.com
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0112.png
Contents
Executive Summary
1
1.1
1.2
1.3
4
7
7
7
8
Introduction, Background and Scope
Background to the study
Scope of the study
General approach to the study
2
2.1
2.2
National AML/CFT supervisory landscape
National AML/CFT supervisory regimes
National AML/CFT cooperation and coordination
10
10
11
3
3.1
3.2
3.3
Regulatory operating model
Organisational structure
Competencies
Resourcing models
14
14
15
16
4
4.1
4.2
4.3
4.4
4.5
Regulatory approaches and tools
Risk-based approaches to supervision
Identification and assessment of ML/TF risks
Collection, development and use of financial intelligence
Approach to enforcement
Education in supervisory authorities
20
20
23
26
27
30
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
2
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
DISCLAIMER
This report has been prepared by PA Consulting Services Limited for Danish FSA and is confidential to Danish
FSA. Danish FSA may disclose this report, in whole or in part, to third parties in accordance with its statutory
powers. PA Consulting Services Limited has no duty of care and accepts no responsibility or liability to any third
party (including, but not limited to Danish FSA) for the contents of this report or our work in its preparation, and no
party should rely upon its contents.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
3
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
Executive Summary
This document contains PA Consulting’s study into Anti Money Laundering (AML) and
Countering the Financing of Terrorism (CFT) supervision and enforcement, prepared for the
Danish FSA. It is designed to provide a clear view of trends, divergences, and best practice in
AML/CFT supervision and enforcement across Europe and beyond.
The study consisted of a wide range of information gathering and analysis mechanisms,
including formal interviews and data requests with some regulators, informal discussions with
others, and a broad suite of desk-based research on information in the public domain.
During the study, we identified several key trends, including:
Most of the in-scope supervisors actively moving to increasingly sophisticated risk-based
approaches to AML/CFT supervision.
All in-scope regulators were both expanding and up-skilling their AML/CFT supervision
and enforcement teams, with the majority prioritizing technology capabilities in new hires.
Enforcement was an area of considerable divergence between the reviewed regulators,
especially in terms of the range of enforcement mechanisms available and the ability of
supervisors to directly enact enforcement measures.
Even where supervisors had clear sole responsibility for AML/CFT supervision and
enforcement, there was a clear trend towards coordinating bodies being appointed to
better support AML/CFT
prevention activities in a jurisdiction, such as the UK’s
introduction of the National Economic Crime Centre (NECC) and Spain’s increased role
of the Servicio Ejecutivo de la Comisión de Prevención del Blanqueo de Capitales e
Infracciones Monetarias (SEPBLAC).
Greater usage of intelligence (including in data provided by firms themselves) to inform
both supervision and enforcement was noted at a number of the regulators considered.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
4
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
Across the population of supervisors reviewed, there were both common trends and notable
divergences
particularly where regulators were undertaking new or innovative approaches to
supervision or enforcement; these have been called out throughout this document as items of
interest for the Danish FSA to consider.
Whilst a gap analysis was not in scope of this exercise, there are several potential areas of
inspiration for the Danish FSA to investigate further after this work:
The approaches to AML/CFT supervision chosen in Denmark are broadly in line with
comparable peers and require substantial further improvement to become best in class in
Europe.
The staffing of the Danish FSA in this area is (after a large increase), broadly comparable
with many other European jurisdictions, when normalized for bank assets supervised.
However, these staffing levels are still some way below jurisdictions such as the UK; for
Denmark to become best in class, additional resources with specific technical expertise
will likely be required, particularly as other jurisdictions will continue to expand their
teams.
The Danish set-up in relation to coordinating the Money Laundering Forum (and the
Financial Crime prevention ecosystem more broadly) should be formalized further and
strengthened to be aligned with best practice.
The approach to risk-based supervision in Denmark could be strengthened. The
gathering and analysis of more data could be an important component
one which is
being increasingly used by peers.
To bring Denmark at par with peers from an enforcement perspective it will be required to
leverage a wider range of potential enforcement powers, to enable more proportionate
and effective interactions with regulated institutions who require sanctioning.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
5
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0116.png
Section 1
INTRODUCTION,
BACKGROUND AND
SCOPE
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
6
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
1
Introduction, Background and Scope
1.1 Background to the study
In 2017, the Financial Action Task Force (FATF) issued severe criticism of the anti-money laundering and
countering the financial of terrorism (AML/CFT) supervisory authority in Denmark. The criticisms concerned the
scope, resource allocations, sanctions, and planning of the anti-money laundering supervision across the
geography.
The Danish FSA, Finanstilsynet, has stated a strategic ambition of strengthening and continuously improving the
Danish AML/CFT supervision and it is the ambition for the Danish FSA to become best in class in Europe when it
comes to AML supervision. In this context, the Danish FSA has appointed PA Consulting to carry out an analysis of
certain elements of AML/CFT supervision and enforcement across several specific jurisdictions to support them in
this ongoing development.
1.2 Scope of the study
The scope of the study was designed to cover the following areas of AML/CFT supervision:
The National AML/CFT Supervisory landscape, including the differing models of supervision and the
cooperation and coordination between bodies in the jurisdiction.
Regulatory operating models, including differing organisational structures, competencies of staff, and
resourcing models.
Regulatory approaches and tools, including:
o
o
o
o
o
Risk based approaches to supervision
The identification of ML/TF risks
The collection, development and usage of intelligence
Approaches to enforcement
Approaches to education
The study considered the AML/CFT supervisory functions of the following jurisdictions: Denmark, Sweden, Norway,
Finland, UK, Germany, Spain, Belgium, and the Netherlands, at the request of the Danish FSA. Other jurisdictions,
including the U.S., have been included partially where observations have been relevant to the study.
The observations articulated in this study are a result of interviews and document reviews across the in-scope
jurisdictions; detailed testing of these findings has not been undertaken and the study should not be considered a
comprehensive view of AML/CFT supervision or enforcement in the in-scope jurisdictions.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
7
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
1.3 General approach to the study
The study was undertaken during December 2018. It takes the form of an independent and descriptive view on
AML/CFT supervisory and enforcement functions in each of the in-scope jurisdictions, informed by interviews,
questionnaires and a review of documentation in the public domain.
This time-boxed exercise was designed to provide a high-level view of the differing approaches undertaken by a
number of European regulators; it is not a detailed comparison or analysis of these approaches.
We have identified several
areas of ‘good practice’
during this study; these represent approaches that are either
particularly innovative or were considered effective by a respondent in the study; these are designed to provide
interesting areas for consideration for the Danish FSA.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
8
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0119.png
Section 2
NATIONAL AML/CFT
SUPERVISORY
LANDSCAPE
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
9
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0120.png
2
National AML/CFT supervisory landscape
This section provides an overview of the different AML/CFT supervisory regimes across the in-scope jurisdictions,
as well as the extent of national AML/CFT cooperation and coordination within these jurisdictions.
2.1 National AML/CFT supervisory regimes
In seven of the in-scope jurisdictions, AML/CFT supervision falls under the responsibility of various supervisory
bodies depending on the sector; there are often separate supervisors for financial institutions, designated non-
financial business and professions (DNFBPs), legal and accountancy firms and gambling service providers,
respectively. For example, in the UK, the Financial Conduct Authority (FCA) supervises financial institutions, Her
Majesty’s Revenue and Customs (HMRC) supervises DNFBPs; there are 22 approved professional
body
supervisors responsible for the legal and accountancy sectors, and the Gambling Commission supervises casinos.
Good practice: UK FCA
OPBAS
The UK Government created an office for professional body anti-money laundering supervision
(OPBAS) to oversee professional body supervisors (PBSs) for AML. This recognised that having
several organisations supervising the same sectors and issuing guidance can create inconsistencies
which criminals may try to exploit.
OPBAS, housed within the FCA, supports a robust and consistently high standard of AML supervision
across the legal and accountancy sectors. It also promotes better collaboration through information and
intelligence sharing between professional body supervisors, statutory AML supervisors and law
enforcement agencies, such as the National Crime Agency.
In some jurisdictions, such as in other Nordic countries, the central bank participates in maintaining the reliability
and efficiency of payment and overall financial systems and is only very indirectly concerned with AML/CFT.
In other jurisdictions, the supervision of financial institutions is structured according to the
‘Twin Peaks’
model, with
a central bank
that focuses on promoting the soundness of financial institutions
and a conduct regulator, that
focuses on the conduct of business objective of enhancing orderly and fair market practices. This is the model
adopted by Belgium, the Netherlands and the UK, amongst others. Unlike the UK, in Belgium and the Netherlands,
the AML/CFT supervision is performed by both the central bank and conduct regulator depending on the type of
strong entity. Coordination between these regulators is especially important in AML/CFT matters in cases where
the spheres of responsibility are shared. For example, in Belgium, where investment companies are concerned, the
Financial Services and Markets Authority (FSMA) supervises investment management and investment advisory
companies, while the National Bank of Belgium (BNB) supervises brokerage firms. It is also of importance that the
supervisory expectations of both authorities are defined consistently for being practicable in the cases where a
same financial group includes entities that respectively fall under the supervisory competences of the one and the
other of these authorities. Cooperation between the BNB and the FSMA is governed by a Protocol, which allows
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
10
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
them to exchange information so that they can co-ordinate their supervision policies, including in AML/CFT matters,
and ensure that they are implementing consistent supervision measures and procedures.
Spain
has a “dual-track” supervisory regime, with a single supervisor (SEPBLAC) responsible for AML/CFT
supervision in all financial and DNFBP sectors, in cooperation with sector-dedicated prudential supervisors. In the
banking sector, the Bank of Spain shares responsibility with SEPBLAC for AML/CFT inspections. In the securities
and insurance sectors, SEPBLAC carries out thematic AML/CFT inspections and directs the National Securities
Exchange Commission (CNMV) and the Directorate-General for Insurance and Pension Funds (DGSFP) to conduct
financial institution-specific inspections. In the DNFBP sectors, there is a range of other supervisors, professional
bodies, self-regulatory bodies (SRBs), and central prevention bodies. Despite the obvious risk of inconsistency in
supervision and the greater need for systematic cooperation between the supervisory bodies, Spain is considered
by the FATF to have a strong system of supervision.
It is evident that across the regulators interviewed there are significant variations in the AML/CFT supervisory
regimes, with no clear view that one model is more effective than the other.
2.2 National AML/CFT cooperation and coordination
This section outlines the level of and mechanisms for AML/CFT cooperation and coordination between the
supervisory authorities, as well as providing examples of good practice.
In all in-scope jurisdictions, there are established coordination mechanisms between supervisory authorities, the
FIU and law enforcement agencies (LEAs) at both a policy and operational level. This happens formally through
working groups and multiagency task forces, and informally through constructive personal relationships between
individuals from relevant agencies and private sector entities.
Cooperation amongst authorities in some jurisdictions largely exists through informal mechanisms. For example,
the dissemination of cases on an ad-hoc basis, the exchange of general information about ML trends, or
informal
meetings
on a bilateral basis. Such mechanisms do not necessarily mean that coordination is ineffective, but
weaknesses in coordination can lead to inadequate sharing of risk information and agencies pursuing their own
priorities rather than because of national AML/CFT risk. Similarly, there can be a lack of clarity around how LEAs
and supervisors should coordinate and handle AML/CFT compliance failures (e.g. through supervisory sanctions or
criminal enforcement action).
For this reason, most jurisdictions are taking steps to formalise and strengthen coordination mechanisms, for
example, by developing Memoranda of Understandings (MoUs) with both domestic and foreign authorities and
international bodies and establishing groups that bring together public and private sector representatives. These
groups often meet on a periodic basis to coordinate AML/CFT activities and exchange information and statistics,
clarify the allocation of tasks between authorities, and identify emerging risk areas. These groups are sometimes
underpinned by sub-groups focused on key risk areas identified in the national risk assessments. In Denmark, the
Money Laundering Forum, which was formerly established by law in 2017, consists of representatives from the
supervisory authorities, LEAs and the FIU, and the forthcoming Money Laundering Forum Plus will also include
representatives from the private sector.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
11
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0122.png
In general, FIUs, LEAs, the private sector and supervisory authorities are looking to establish new collaboration
mechanisms that are underpinned by more widespread sharing of data and deeper analysis of that data with more
sophisticated technology. As a global financial centre exposed to high risks from the laundering of foreign
predicates, organised crime proceeds and overseas corruption, the UK is a large provider and receiver of
international co-operation. The FCA itself participates in a range of regional networks and groups including the EU
Shared Intelligence System and Financial Information Network (FIN-NET),
the Basel Committee’s AML Expert
Group, and the AML Committee of the Joint European Supervisory Authorities. The FCA alone has over 40 MoUs
with 130 overseas authorities and international bodies. The UK also has several groups that bring together public
and private sector representatives, with the Joint Money Laundering Intelligence Taskforce considered to be a
strength of the UK system.
Good practice: UK AML/CFT cooperation & coordination
JMLIT helps agencies (and the private sector) gain access to financial intelligence from other selected
entities, enables inter-agency co-operation, and enhances education on AML/CFT. Since its inception,
JMLIT has supported and developed over 500 law enforcement investigations which has directly
contributed to over 130 arrests and the seizure or restraint of over £11m. Through this collaboration,
JMLIT private sector members have identified over 5,000 suspect accounts linked to money laundering
activity and commenced over 3,500 of their own internal investigations.
The UK has also taken another big step forward by launching the National Economic Crime Centre
(NECC). Partners from law enforcement, criminal justice, HM Revenue & Customs (HMRC), Serious
Fraud Office (SFO) and regulators will come together, co-ordinated by the NCA, in the joint effort
needed to
combat crime. Ultimately, the ambition is to draw on and pool different partners’ data more
extensively to understand the financial crime threat and plan the response.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
12
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0123.png
Section 3
REGULATORY
OPERATING MODEL
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
13
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
3
Regulatory operating model
This section describes the operating models within the supervisory and enforcement divisions across the
jurisdictions in scope; it provides a clear view of the operating models, competencies and resourcing approaches
used by the various regulators included in this study.
3.1 Organisational structure
In this section we outline the organisational structures used by the regulators considered in this study, as well as
the responsibilities owned by those organisations.
Organisational Model
We found considerable variety in the organisational models used by AML/CFT supervisory functions. These can,
broadly speaking, be divided into centralised and decentralised models. Only in Norway have they chosen a fully
decentralised model where the dedicated AML/CFT resources are distributed across 7 operational areas.
The dominating organisational model by far is having a single team with overall responsibility for AML/CFT
supervision, with clear specialisation of roles within the team, as is the structure at the Danish FSA. As the
exception, the UK has a clear specialisation of roles within the AML/CFT dedicated resources and, in addition, a
separate team solely focused on enforcement; this is partially driven by being a larger jurisdiction from a Financial
Services perspective.
Common for all jurisdictions is that supervisory activity on AML/CFT is, to some extent, integrated with the broader
supervision of a firm. This is done both by having AML/CFT competencies and/or roles built-in to broader
supervisory activities and by the AML/CFT dedicated resources supplying information, guidance and resources to
those teams undertaking broader inspections.
With the UK regulator being significantly larger, and the regulators in Spain and Belgium being highly influenced by
their more complex supervisory landscape, the Nordics form a more homogenous group among the jurisdictions in-
scope and are, as such, more suited for comparison with the Danish FSA.
Responsibilities:
The documented responsibilities of the dedicated AML/CFT supervisory teams are very similar across the
jurisdictions and generally cover the following activities:
Licencing, fit and proper testing for the entities under AML/CFT supervision
Risk assessments and risk classifications of entity and entity types under supervision
Preparing binding orders, guidance and information
Conducting on-site and off-site inspections
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
14
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
Conducting ongoing supervision
Participating in law and policy making
International cooperation
All the regulators considered in this study also identify and are involved in enforcement actions at some level.
However, this can vary enormously depending on legislative and organisational differences. For example, the UK
has established a separate enforcement unit
within the FCA’s Financial Crime team not only for AML/CFT
related
enforcement but across the Financial Crime spectrum. Having a separate enforcement unit gives both clearer
objectives and accountability, and further possibility to develop more specialised profiles and competencies. On the
other hand, the separation could increase risk of information loss and need for re-work during handover.
As with all other supervisory bodies in Denmark, the Danish FSA does not have the power to issue fines, and
instead refers the relevant cases to the relevant police authority under the MOJ. The Danish FSA can still issue
warnings, impose injunctions and, in severe cases, revoke licenses. In some jurisdictions, the dedicated AML/CFT
resource carries out the full range of enforcement activities, while other countries have placed some or all the
enforcement activities with a separate enforcement team or a separate authority.
It should be noted that the UK specialisation of profiles and competencies, and separation of supervision and
enforcement in two separate teams may not be universally appropriate; this approach requires a pool of resources
dedicated to AML/CFT far above the present levels of the other jurisdictions.
3.2 Competencies
This section outlines the key competencies and backgrounds commonly drawn upon by the regulators within the
scope of this study, across both the specific AML/CFT teams and more generic supervisory teams.
Competencies
In general, the AML/CFT competencies can be divided into competencies within the dedicated AML/CFT resources
and competencies within the broader supervisory organisation that the AM//CFT relies on.
All jurisdictions emphasise competencies within supervision, inspection and analysis as core to the dedicated
AML/CFT resource and have people with experience from the public sector within the AML/CFT dedicated
resources.
While some AML/CFT teams rely primarily on people with backgrounds from supervisory bodies or other areas
within the public-sector, most jurisdictions have people with a mix of backgrounds from regulators, law firms,
consulting, and the Financial Services sector. Notably, the greater size of the UK
regulator’s team means
that they
also have a relatively higher level of specialised competencies when compared to other jurisdictions.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
15
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0126.png
In general, the jurisdictions seek people with experience in similar roles at a mid- to senior level when recruiting
new staff. Only one jurisdiction has chosen the strategy to prioritise recruitment of university graduates, providing
all competency development themselves.
While some jurisdictions can recruit people with experience from other AML supervisory bodies, all countries rely
highly on their own development of the competencies need to support their activities as the many of the activities
are specific to the AML/CFT supervisory authority, especially where more seniority is needed. Therefore, the ability
to provide efficient internal training and to keep staff turnover at low rates will have a high impact on the
competency levels.
Good practice: We observed a trend to hire individuals with significant technological expertise
We have observed a broader trend across the jurisdictions covered by this study to hire individuals with
significant technological expertise, reflecting both the more advanced and technology-driven nature of
AML/CFT,
and well as the increasing complexity of firms’ compliance activities, particularly amongst
larger institutions.
Integration
Common for all jurisdictions is that supervisory activity on AML/CFT is, to some extent, integrated with the broader
supervision of a firm. This is done both by having AML/CFT competencies built-in to broader supervisory activities
and by the AML/CFT dedicated resources supplying information, guidance and resources to those teams
undertaking broader inspections. All jurisdictions emphasised that this integration, combining broader sector
supervisory insights with more specific AML/CFT supervisory insight, is essential to efficient supervision.
Only Norway has chosen to fully integrate the AML/CFT supervisory function fully with the prudential supervisory
function. The AML/CFT dedicated resource works closely together with the prudential supervisory function on
preparing, executing and following up on inspections, and across all the jurisdictions there is an expectation that
the prudential supervisors have some view of AML/CFT risk.
3.3 Resourcing models
In this section we outline the differences in resourcing between the various regulators considered, including in
terms of number of staff.
While all jurisdictions can provide an overview of resources dedicated to AML/CFT in terms of Full Time
Equivalents (FTEs), comparing the numbers is complicated by several factors, such as:
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
16
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0127.png
Where AML/CFT supervisory functions are decentralised and/or carried out as part time responsibilities, the
numbers are based on estimates - making it hard to compare with more fixed team structures
Work division between dedicated AML/CFT resources and contributing resources is based on inconsistent
definitions of activities, which gives an uncertainty about which resources should, and should not, be included in
the comparison of the number of dedicated AML/CFT resources
There are vast differences on number, type and composition of entities under supervision
Bearing these uncertainties in mind, there are three distinct groups in terms of number of FTEs dedicated to
AML/CFT supervision:
Small, being 5-10 FTEs
Medium at 10-30 FTEs
Large, with above 50 FTEs
However, as mentioned above, the landscape of entities (and the size of the overall sector) that the dedicated
AML/CFT resources are responsible for supervising, and thereby the potential workload, varies greatly from country
to country. While numbers on entities under supervision are available, they do not reflect the complexity of the
types of entities under supervision regarding e.g. product portfolio, customer portfolio and international
engagements.
In the absence of a more accurate measurement, the sum of banks assets can be used as a simplistic indicator of
the AML/CFT supervisory workload, at least when comparing countries that are broadly homogenous in terms of
financial activities, such as the four Nordic countries Denmark, Sweden, Norway, and Finland.
Below is an overview of the indexed AML dedicated resources against the total bank assets of the countries and
against the population size, with index 100 being the average of the study population. We have used these
comparative metrics at the request of the Danish FSA. While none of the indices reflect all relevant aspects, they
do give an indication of the relative levels of resources.
Resource index
Dedicated FTE's to population
300
250
200
Index
150
100
50
-
Denmark
Nordic average
All countries
average
UK
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
17
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
Data sources: GDP/Asset data 2016 from The International Monetary Fund. FTE data from interviews, UK estimated based on publicly available information
It is worth taking into consideration that:
Denmark has increased the size of their team recently
Finland has stated that they plan to increase number of dedicated resources significantly during 2019
For all countries, whatever size or complexity of entities under supervision, there is a similar basic workload of
the supervisory function that needs to be covered. This will, in smaller countries, cost more relative to the size of
population than in the larger countries.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
18
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0129.png
Section 4
REGULATORY
APPROACHES AND
TOOLS
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
19
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
4
Regulatory approaches and tools
This section provides an overview of the different regulatory approaches and tools that have been adopted by
AML/CFT regulators, with a focus on risk-based supervision, risk assessment, intelligence, enforcement and
education.
4.1 Risk-based approaches to supervision
This section provides an overview of how AML/CFT regulators conduct supervision on a risk-sensitive basis,
including different approaches to proactive, firm-specific supervision and how they adjust the intensity and scope of
inspections, as well as examples of thematic, multi-firm and reactive supervisory activities.
Proactive firm-specific supervision
Most of the regulators interviewed have identified a small population of firms that, based on factors such as size,
market presence and customer footprint, are subject to more frequent and intrusive supervision. Most regulators
proactively supervise these firms using a continuous assessment approach and, in some cases, allocate these
firms a dedicated supervision team or named individual supervisor. A few regulators undertake periodic risk
evaluations or inspections of firms in a cycle ranging from one to four years, depending on the scale of
the firm’s
activities and their own assessment of risk. These inspections
aim to provide a view of a firm’s ML/TF risk profile –
drawing on any findings from previous inspections, as well as any sector risk analysis and thematic work
and
enable a regulator
to develop a work programme for the firm’s next inspection cycle to mitigate these risks. This
may include regular meetings between the regulator’s supervisors and the firm’s Board or senior management,
regular reviews of the firm’s management information,
as well as additional inspections and the usual monitoring of
regulatory returns. Most of the regulators considered in this study have developed annual inspection plans rather
than having a cyclical inspection cycle, which sets out the sectors and firms and, in some cases, themes to be
inspected over the next year.
Most regulators adjust the nature and/or scope of their supervision at checkpoints during the inspection cycle and
on an ad-hoc basis when the risk profile changes. For example, some regulators adjust their focus to the
management of risks associated with specific products, or on specific aspects of the AML/CFT processes (e.g.
customer due diligence). Similarly, albeit less frequently, some adjust the nature of their supervision by changing
the ratio between off-site and on-site supervision.
Some regulators have recently completed a series of short, systematic inspections to gather more information
about the firms under their supervision and to refine their approach to supervision. These regulators have also
conducted or plan to conduct follow-up
inspections to assess how the individual firms’ financial crime controls have
changed, what improvements they have made and how they are implementing them.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
20
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0131.png
Good practice: UK FCA
Three-tiered supervision model
The FCA’s AML/CFT supervision was somewhat more sophisticated than
many other jurisdictions, and
is divided into three tiers:
Systematic Anti-Money Laundering Programme (SAMLP): The SAMLP, launched in 2012, is a
programme of regular, thorough scrutiny of 14 major retail and investment banks operating in the
UK. It also includes those overseas operations which have higher risk business models or are
strategically important.
Proactive Anti-Money Laundering Programme (PAMLP): The PAMLP focuses on an additional 156
firms from high risk sectors which are smaller than those under the SAMLP. Since 2014, the FCA
has undertaken a programme of regular AML inspections of other firms that present high inherent
risk of money laundering. The population of these firms continues to be dynamic, with firms moving
in and out of the programme depending on risk. The FCA use the NRA together with other
information, including the financial crime data returns, to assess the risk. The FCA then use the
findings from its visits to provide feedback to firms on the effectiveness of their systems and controls
and to carry out trend and sector analysis.
Financial Crime Risk Assurance Programme: This is the newest element in the FCA’s proactive AML
supervision. The FCA undertakes AML and sanctions visits to, or desk-based reviews of, 100 firms
each year from sectors that present a lower inherent money laundering risk. The programme
provides assurance that the FCA’s assessment
of risks in the sector is correct.
The FCA continues to expand its supervisory focus to ensure appropriate intensity of supervision for all
the different categories of its supervisory population from low risk to high risk.
Intensity and scope of inspections
As mentioned above, the regulators interviewed all proactively conduct inspections covering all or specific
supervised obligations. They also conduct ad-hoc inspections in response to an incident, information received from
another domestic or foreign authority or even media reports. These inspections are often in-depth assessments
examining risks that have been identified, as well as the root causes, and testing how firms manage and mitigate
those risks at every level of the business. Activities often involve desk-based analysis, on-site testing, walk-through
discussions and staff interviews at all levels, as well as interviews with senior management. If a new risk is
identified during on-site or off-site supervision, the regulators may amend the scope of the inspection to better
reflect the ML/TF risks to which the firm is exposed.
In general, regulators use a combination of off-site and on-site
supervision, with a focus on a firm’s governance,
management information, policies and procedures, risk assessments, staff training and suspicious activity
reporting. All regulators recognised that an inspection based only on an assessment of policies and procedures,
rather than on their implementation, is unlikely to be sufficient in higher risk situations. Most regulators are
therefore expanding their
inspections to also assess the functioning and effectiveness of firms’ financial crime
systems, for example, the calibration of transaction monitoring frameworks and the integration of these systems
with the broader AML/CFT controls that firms employ. Similarly, regulators are enhancing their approach so that
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
21
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0132.png
they can consistently determine, according to risk, the extent of customer file reviews and sample testing of
transactions and suspicious transactions reports.
Good practice: Norwegian FSA
Supervisory manuals
The Norwegian FSA has developed a series of supervisory manuals for different sectors to guide
information collection, risk assessment and prioritisation of supervision, including event driven. These
include a description of factors relevant to that consideration, including effectiveness of controls while
information to be collected from the obliged entity as part of the assessment is also included, including
questions to be considered such as the entity’s risk assessment, and internal procedures.
Thematic and multi-firm activities
Although it is understandable that regulators focus on the larger firms, it is recognised that more firms should be
subject to some form of supervision and there are several firms undertaking higher-risk activities that fall outside
the inspections cycles and plans. Most regulators are looking to expand their supervisory coverage to ensure
appropriate intensity of supervision for all categories of firms from low risk to high risk.
A few regulators supervise firms as members of a cluster or portfolio that share common characteristics and carry
out supervisory activities at the collective level of the portfolio, rather than at the level of each individual firm. These
firms are proactively supervised through a combination of multi-firm information requests and off-site inspections,
programmes of communication and education activity aligned with key risks, as well as regular baseline monitoring
of regulatory returns.
Good practice: UK FCA
Outbound call campaign
Since early 2017,
the FCA’s
Contact Centre has been asking smaller firms a series of questions to test
their understanding of their responsibilities on anti-money laundering and on countering the financing of
terrorism. They are using these discussions to identify where targeted communications may be needed
to help firms understand their AML/CFT risks and obligations.
Risk-based supervision is increasingly becoming the norm, with thematic reviews being used to ensure regulators
aren’t exclusively focused on ‘big-name’ institutions.
These range from large and detailed studies to smaller
sample-based work. Thematic reviews are used, albeit infrequently, to examine emerging risks and other issues
that are common to multiple firms or sectors. These are identified through analysis of each sector and sub-sector
and other ongoing proactive supervision work. Where a significant risk is identified, thematic work is carried out
with a variety of firms to assess the issues and respond appropriately. The scope and intensity of thematic work is
designed to be proportionate to the nature of the risk and may include assessment of a combination of firms with
different risk profiles to ensure appropriate coverage. The results of thematic work are often published and used to
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
22
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0133.png
highlight both good practices as well as areas of concern. In this way, the regulator can address issues and drive
improvements across the industry rather than concentrating on individual firms.
Good practice: SEPBLAC
Multi-firm work
SEPBLAC’s
inspection activities, in all sectors, are focused on thematic or topical issues identified by its
risk analysis. Rather than conduct comprehensive inspections covering all AML/CFT obligations,
SEPBLAC identifies several thematic issues for a sector and prepares a focused inspection programme
based on examination of specific indicators on those themes. The programme is then used as the basis
for a series of short, focused thematic inspections of selected firms in the relevant sector. This
supervisory model enables SEPBLAC to verify compliance of a broader range of firms with specific
AML/CFT obligations - in contrast with the comprehensive inspection approach of other supervisors,
which focuses on a small population of the largest firms.
Similarly, thematic reviews and multi-firm
work form a significant part of the FCA’s approach to
supervision. The FCA uses a thematic review to assess a current or emerging risk regarding a
concerning trend across a variety of firms in a sector or market. By focusing on emerging risks, the FCA
can undertake detailed work in supervising firms with higher risk profiles. The thematic teams deliver the
reviews through extensive desk-based review of information and site visits. The teams also work closely
with industry practitioners and trade/professional bodies, where appropriate.
4.2 Identification and assessment of ML/TF risks
This section provides an overview of the methods and tools AML/CFT regulators use to identify and assess ML/TF
risks, including the definition of sectoral and portfolio ML/TF risk profiles and the application of risk matrices to firms
under supervision, as well as the different approaches to monitoring and updating risk assessments.
Sector and portfolio risk analyses
The regulators interviewed all use the supranational risk assessment and national risk assessments to inform their
understanding of the risk factors that are relevant for each sector and sub-sector. They also use the FATF mutual
evaluations, information from industry bodies and other competent authorities (such as emerging risks and
typologies), and information obtained from firms in a sector or sub-sector.
As mentioned above, some regulators further divide each sector or sub-sector
into a series of ’clusters’ or
‘portfolios’, with each portfolio
comprising firms with similar business models or that share similar characteristics
and consider them as a single ‘subject of assessment’. As part of this, regulators look to understand how each sub-
sector is organised, and the ML/TF risks associated with shared features such as the type of products and services
offered, the delivery channels used, the type of customers they service and their geographic areas or activity.
These portfolios are therefore not static and adapt as business models and characteristics change. One of the
regulators uses a combination of business model analyses, firm regulatory histories and insights from this
supervisory work to develop these portfolio analyses. Regulators then identify the key ML/TF risks in each portfolio
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
23
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0134.png
and carry out supervisory activities at the collective level of the portfolio itself to mitigate risks, as well as identifying
individual outlier firms which may warrant direct supervisory engagement.
Firm-specific risk analyses
The regulators interviewed all determine the frequency and scope of on-site and off-site activities
based on a firm’s
risk profile, although firm-specific risk analyses are at various stages of development. Most regulators are in the
process of strengthening their risk matrices to develop a more accurate picture of risks at the firm-specific level and
inform their supervisory programmes. A few regulators have assigned a ML/TF risk profile to all firms under their
supervision. Other regulators have conducted risk assessments for the largest firms or firms within sectors with
higher inherent ML/TF risks.
These profiles are often the result of the combination of (1) an assessment of the ML/TF risks to which the
obligated entity is exposed, given the characteristics of its business sector, the geographical areas in which it
performs its activities, and its distribution channels; and (2) an assessment of its management of these risks,
including an assessment of the measures that it has taken to identify and mitigate these risks and an assessment
of its level of compliance with the applicable legal and regulatory obligations. These profiles determine the
supervisory priorities and intensity for both the individual institutions and the sector. The method used by some
regulators to assess the ML/TF risks of individual firms focuses on firm size or turnover, rather than an
understanding of the risks inherent in the firm’s activities or customer base. However,
the regulators interviewed
recognise that the size or systemic importance of a firm may not, by itself, be indicative of the extent to which it is
exposed to ML/TF risk; small firms that are not systemically important can nevertheless pose a high ML/TF risk.
Similarly, it may not be appropriate to draw conclusions, for AML/CFT supervisory purposes, from the prudential or
conduct risk profile, be it high or low. Other regulators have developed more sophisticated risk matrices, obtaining
and using information on the firm’s ownership and corporate structure,
the reputation and integrity of its senior
managers, the quality of internal governance arrangements and the prevailing ’corporate culture’, as well as
products and services, delivery channels, types of customers, and geographical exposure.
Good practice: SEPBLAC
Approach to ML / TF risk analyses
SEPBLAC takes a highly sophisticated risk-based approach to AML/CFT supervision across different
sectors and within each sector. SEPBLAC has developed a detailed risk analysis methodology for each
sector of obliged entities, drawing on a wide range of information (including strategic analysis by
SEPBLAC ‘s FIU function). The results of this analysis feed into its ongoing risk assessment process, as
well as the supervisory approach, which reflects the distribution of risks between different sectors, within
each sector, and across thematic activities. SEPBLAC inspections are then organised according to this
risk model, rather than a periodic cycle. It also shares the results of its risk assessments with other
supervisory authorities, which helps them adjust their focus and collaboratively develop supervision
plans to address identified risks and issues.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
24
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0135.png
Monitoring and updating risk analyses
The regulators interviewed generally carry out periodic reviews of their risk assessments to ensure that they remain
up-to-date
and relevant, but also when significant events occur that may affect the entity’s level of ML/TF risks or its
management of these risks. For higher-risk firms or those facing frequent changes in their activities and operating
in a fast-changing environment, reviews take place more frequently.
Ad-hoc reviews of the risk assessments and, where necessary, the supervisory strategy or plan also take place
following
significant changes affecting the portfolio’s or firm’s risk profile. This may include major external events,
emerging ML/TF risks, findings from off-site or on-site inspections. The regulators also consider whether changes
affecting one firm might affect other firms within the portfolio/sub-sector.
Regulators work to a growing extent on a data-driven basis and some regulators are exploring ways to make better
use of new technologies and to use increasingly more granular data. This approach is intended not only to identify
risk more quickly and effectively, but also to make more preliminary selections using new tools and technologies,
and to set better priorities in supervisory work. This will enable regulators to further strengthen their risk-based
supervision and to allocate their supervisory capacity to those areas with the highest risks.
Good practice: The central bank of the Netherlands
Data-driven supervision
The DNB is studying and prototyping the range of applications for new technologies and data sources,
with a view to incorporating them into their supervisory methodology. For example, the DNB has started
exploring the possibilities of natural language processing to analyse
pension funds’ reports
and the
application of algorithms to money service businesses’
transactions to detect transaction patterns that
could indicate money laundering or terrorist financing. This new data-driven approach has led to
supervisory action, with one MSB licence being revoked and 20 agents being closed, as well as to
various criminal prosecutions.
Similarly, advanced data analytics will provide a critical addition to the SARs regime. For example, the
Italian FIU analyses aggregate data on cash transactions and financial flows that financial institutions
are required to submit monthly. Using quantitative methods, the FIU has been able to detect anomalies
at the country- or province-level. These anomalies may point to potential cases of trade-based money
laundering, or
when compared with data on suspicious activity reports
cases of under-reporting. The
findings inform not only the FIU’s work but provide critical input to law enforcement and the financial
sector in their efforts to tackle financial crime.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
25
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0136.png
4.3 Collection, development and use of financial intelligence
This section provides an overview of how AML/CFT supervisory bodies use financial intelligence to inform their
risk-based supervision, including methods and tools to systematically collect intelligence, as well as examples of
how that intelligence is analysed, developed and used to anticipate and understand ML/TF risks.
Collection of intelligence
The regulators interviewed all built their understanding of ML/TF through a variety of sources, such as the
European Commission’s supranational risk assessment, the national risk assessments, and engagement with
policy and law enforcement officials. They also consider their own supervisory activities, as well as the actions of
other national and foreign supervisory authorities, including information gathered as part of the authorisation,
licensing or passporting process, off-site and on-site visits, and enforcement action.
The regulators in this study continue to ensure they have access to appropriate sources of information and take
steps to improve these. Specifically, several authorities have implemented or recently introduced periodic
questionnaires or supervisory returns to obtain specific, systematic information about ML/TF risks. In short, these
data returns are used to identify risks across and within different sectors and collect information about each
institution’s exposure to ML/TF risks and the effectiveness of the risk-mitigation
measures applied. This information
is then used as part of
regulators’ risk assessment processes and forms the basis of the risk classification of
regulated firms. This includes how regulators select firms for proactive inspection and for thematic and multi-firm
work. This also helps regulators to focus their visits on firms with higher inherent ML/TF risks, based on factors
such as the jurisdictions where they operate and those with a higher risk customer base. In some jurisdictions,
these data returns encompass all firms that are subject to AML/CFT supervision. In others, it is currently requested
of firms with higher inherent ML/TF risks, with a view to extending the application of the data return to a broader
range of firms or even the entire AML/CFT supervisory population in the future. Some regulators are also
considering varying the frequency of returns depending on the risks identified.
Good practice: UK Financial Conduct Authority
Financial crime data returns
The FCA introduced their annual financial crime data return at the end of 2016. Firms subject to the
money laundering regulations 2017, including all deposit takers but excluding all other firms with
revenue of less than £5m, must complete the return. The data collected through this exercise includes
information and statistics
on firms’ customer and geographic exposure, data on Suspicious Activity
Reports (SARs) and information on firms’ AML / CFT control frameworks. The integration of this data
has provided a greater sophistication and a more quantitative approach to
the FCA’s assessment of
risk at the individual firm level. The data also provides the FCA with an aggregated view of some key
metrics in over 2,000 of its largest firms; these include firms’ data on the percentage of internal
suspicions that are reported to the NCA, as well as data on the jurisdictions where they operate and
those with a higher risk customer base.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
26
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
Development and use of intelligence
The regulators interviewed all use available financial intelligence and analysis to identify risks and support
investigations of ML/TF. This often includes ML/TF typologies identified by the FIU, as well as qualitative and
quantitative information on SARs. In some jurisdictions, supervisory authorities and law enforcement agencies
have access to the national
FIU’s database, enabling them to apply their own resources to analyse the financial
intelligence from SARs, in line with their own operational needs. In others, the regulators receive limited risk
information from other authorities on prospective risks due to insufficient structures for information sharing between
authorities. This can weaken the regulator’s ability to anticipate and understand new and emerging risks.
Some regulators actively manage their intelligence requirements in line with their strategic objectives, setting out
what information they will always require from firms under their supervision, what information they will require for
different portfolios of comparable firms, and what information will trigger a more extensive information request. This
enables regulators to determine the extent to which existing data is being exploited and transformed into
intelligence to improve its risk understanding and drive its regulatory activities. Similarly, these regulators can then
systematically identify gaps in their strategic and tactical intelligence and take appropriate action to improve the
collection of data or quality of intelligence and, where relevant information is held by other competent authorities
either at home or abroad, ensure that gateways are available to make possible the exchange of that information.
4.4 Approach to enforcement
This section provides an overview of the powers and tools regulators use to enforce AML/CFT compliance, as well
as the different approaches to transitioning from supervision to enforcement. For the purposes of this study, we
consider enforcement to be the action or sanction imposed on an entity or individual to comply with AML/CFT
requirements following the outcome of supervisory activities. Many of the enforcement activities outlined below
overlap with supervisory activity and are often treated as such by regulators.
Types and severity of enforcement
The regulators interviewed all have a broad range of enforcement powers, remedial actions and sanctions, which
are applied against both firms and individuals following AML/CFT compliance failures. The types of powers and
tools include (but are not limited to):
Attestations, i.e. attestations by senior management that required improvements have been completed
Investigations, i.e. investigations into both firms and individuals of suspected breaches
Public censures, i.e. censuring firms and individuals through public statements
Fines, i.e. imposing financial penalties on a firm or individual
Individual prohibitions, i.e. prohibiting an individual from performing functions in relation to regulated activities,
such as directors or members of the board, where breaches raise questions as to their fitness and propriety
Injunctions, i.e. restricting or suspending a firm or individual from undertaking specific regulated activities
Suspensions of permission, i.e. revoking or suspending a firm’s licence (either voluntarily or through the use of
powers), or withdrawing a firm’s authorisation
Criminal prosecution, i.e. prosecuting firms and individuals who commit financial crime
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
27
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0138.png
Freezing assets, i.e. applying to court to freeze assets or confiscate the proceeds of crime
Good practice: UK
Unexplained wealth orders
The Criminal Finances Act 2017 built upon the UK’s existing
legal framework and extended the ability to
obtain civil recovery orders to HMRC and the FCA and introduced unexplained wealth orders. These
orders can be used to investigate funds from individuals reasonably suspected of involvement or
connection with serious crime and require an individual to explain the origin of their assets. Failure to
provide a full response could lead to or assist a civil recovery action or criminal conviction.
The below model demonstrates the perceived scale of severity of enforcement powers and tools:
While the types of enforcement powers and tools available to regulators are well documented, there is a lack of
available, up-to-date statistics on enforcement activity for the majority of jurisdictions in the study, making it difficult
to undertake a direct comparison of enforcement activity levels. When deciding whether to pursue enforcement
action and when determining the appropriate remedy or sanction to impose, the regulators interviewed consider a
number of factors, including the number, duration and impact of breaches, as well as any relevant aggravating or
mitigating factors. In general, most regulators use less severe powers and tools to enforce AML/CFT compliance,
such as attestations and improvement notices or orders, with some regulators taking more of an educational
approach to enforcing remedial actions to address identified deficiencies. The use of financial incentives, i.e.
financial penalties and fines, varies considerably across jurisdictions. One exception is the UK FCA, which
publishes its enforcement decisions and detailed statistics on sanctions issued each year: a total of £69,9 million in
fines and 269 final notices were issued in 2017/2018. It is clear that the FCA places an emphasis on targeted
enforcement across the full range of its powers, including financial penalties and fines, recognising its role as a key
driver of behaviours. Similarly, the US is also recognised for applying dissuasive and effective sanctions for
violations of AML/CFT and sanctions obligations. For example, BNP Paribas was fined USD 8.9 bn. for violating US
sanctions against blacklisted countries in 2014. This may be due in part to the fact that both the UK and US are
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
28
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
global financial centres exposed to higher risks from the laundering of foreign predicates, organised crime
proceeds and overseas corruption. Most regulators also highlighted that an important aspect of the enforcement
process is the public notice of enforcement decisions. This has a deterrent effect on both the individual firm and the
wider supervised sector, as well as signalling to firms the regulator’s expectations in terms of compliance.
The range of powers and tools available to the Danish FSA to enforce compliance are comparatively narrow. The
Danish FSA can issue orders to rectify violations and use other administrative reactions, namely “reprimands” and
“risk information”, to draw firms’ attention to elements that present significant and immediate risks. However, these
are not enforceable, other than through referral to police for investigation and prosecution. Administrative fines may
only be imposed in situations where a firm has not submitted documents requested by the supervisor. As such
there is a significant focus on referral to police for investigation and prosecution for breach of AML/CFT
requirements. The police may then choose whether to initiate a criminal investigation, at the end of which the
Prosecutor has discretion whether to open judicial proceedings, which could lead to a fine or imprisonment. This is
largely because the investigation and prosecution of serious economic and international crimes falls under the
responsibility of the State Prosecutor for Serious Economic and International Crime (SØIK). In other jurisdictions
such as the UK, the government has introduced new investigative powers and tools to enhance the ability of the
regulators to investigate and prosecute ML and TF, albeit in collaboration with other authorities.
Transition from supervision to enforcement
Rule breaches, big and small, do happen and can be a result of mistakes rather than malicious intent. The
regulators interviewed all have powers and tools to address specific risks and issues identified in firms, with a
range of powers transitioning from supervision to enforcement considered to be the most effective.
Where serious failings in a firm’s AML/CFT programme have been identified, most regulators enhance the level of
supervisory oversight, requiring an action plan for the firm to address root causes (including cultural failings),
supervisory monitoring
– overseen by the regulator’s senior management – of the firm’s action plan and progress,
and formal commitments from the Board or, at a minimum, requiring the Board to identify the senior individual(s)
responsible. Most regulators use attestations to ensure that firms
and senior managers within them
are clearly
accountable for taking the actions required on specific issues, without ongoing regulatory involvement. This
includes instances where regulators want a firm to take specific action within a timescale, to self-certify or to verify
that a specific issue or risk has been resolved or mitigated.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
29
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0140.png
Good practice: UK Financial Conduct Authority
External, independent reviews
The UK FCA has the power to obtain
a view from a third party (a ‘Skilled Person’) about aspects of a
regulated firm's activities if there are concerns or further analysis is needed. The FCA can appoint, or
require firms to appoint, a Skilled Person to carry out a review and provide a report to the FCA. To
enable the FCA to contract directly with the Skilled Person firm, they developed a Skilled Person Panel.
The panel is divided into 14 subject categories known as ‘Lots’,
one of which is Financial Crime. The
FCA commissioned 8 Skilled Person Reports under Lot E
Financial Crime in 2018/19.
Similarly, in the US, there has been a notable increase in the use of independent corporate monitors in
connection with the resolution of corporate criminal and regulatory investigations. Monitors typically help
to create and supervise the implementation of compliance and remediation programmes to address the
perceived deficiencies that gave rise to the wrongdoing. Institutions such as BNP Paribas and
Commerzbank have been ordered to install independent monitors in recent years for AML and
sanctions violations. In these cases, monitors were installed to help financial institutions implement
stronger AML systems and controls. They are usually enabled in combination with a deferred or non-
prosecution agreement with a mandate to assess, oversee and examine a financial institution’s
progress against the agreement, and to ensure compliance with laws and regulations.
4.5 Education in supervisory authorities
This section outlines the common education tools and compares regulatory involvement in education, specifically
concentrating on improvements made to guidance and training, highlighting any areas of best practice. It is
observed that supervisors in general are making improvements and developing new methods and tools to educate
and engage with regulated entities.
There are differences in how the countries balance resources between preventive measure as education and
control activities, such as inspections. Two countries (the Netherlands and Finland) have particularly strong
preventive activities while most of the countries have more resources allocated to the control activities rather than
to preventative measures.
Types of education utilised
There are several different types of education used across supervisors. One of the more common education tools
used in AML/CFT compliance is guidance and wider information materials. The majority of countries interviewed
mentioned guidance as a key education tool, such as that issued in the UK by the Joint Money Laundering Steering
Group (JMLSG) in recent years. This behaviour has also become increasingly prevalent in the Nordics.
There are also information tools wider than guidance, such as published AML/CFT articles. The Finnish FSA
publishes a KYC newsletter which provides information on preventing money laundering for its supervised entities,
as well as updated news on EU sanctions, FATF public statements and any other issues. Furthermore, the Finnish
FSA website provides guidance and information on AML/CFT compliance issues. Guidance combined with
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
30
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0141.png
published informative sites provides an effective platform to raise awareness of AML / CFT. In addition to guidance
and public information, the Finnish FSA provides its supervised entities with AML / CFT training, which encourages
knowledge sharing in the industry as well as acts as a preventative education measure. On a similar level, the
Swedish FSA published short training clips on YouTube and its website to encourage engagement, showing
initiative to drive awareness and prevention of ML/TF.
Industry events are another common educational tool cited by regulators, as these events can reach a wide
targeted audience in a short space of time. Norway, for example, utilises the annual AML/CFT conference as an
opportunity for education, which reaches around 600 individuals from relevant organisations. This event is co-
hosted by Finance Norway, the FIU and the FSA and is organised as a two-day conference relating to ML/TF
related trends, threats and risks, which is seen to be an effective educational tool and helps to promote AML/CFT
compliance across the jurisdiction.
Good Practice: the Netherlands’ approach to education
The Netherlands has taken a unique approach to AML/CFT education, encouraging entities to step up
and take responsibility. An example of good practice is its
initiative “naming and faming” entities who are
performing well in this area and publishing their own supervisory frameworks and development models.
The Dutch Authority for the Financial Markets (AFM) also hold educational seminars, round tables and
publish the measures imposed. This demonstrates an active and encouraging approach to education.
To conclude, several types of educational tools are available and being utilised by supervisors. More common tools
include industry events, which are perceived to be effective in reaching a wide but relevant audience, as well as
more formal informative tools such as guidance, which can be used as a handbook to further increase alignment
and ultimately enhance AML/CFT supervision.
DANISH FSA - STUDY ON AML/CFT SUPERVISION AND ENFORCEMENT 28 December 2018
Confidential between PA and Danish FSA © PA Knowledge Limited
31
 ERU, Alm.del - 2018-19 (1. samling) - Bilag 144: Redegørelse om Finanstilsynets tilsyn med Danske Bank i forhold til Estland-sagen, fra erhvervsministeren
2007438_0142.png
Copenhagen Office
Portland Towers
Göteborg Plads 1
2150 Nordhavn
Denmark
+45 39 25 50 00
paconsulting.com
This report has been prepared by PA
Consulting Group on the basis of
information supplied by the client, third
parties (if appropriate) and that which is
available in the public domain. No
representation or warranty is given as
to the achievability or reasonableness
of future projections or the assumptions
underlying them, targets, valuations,
opinions, prospects or returns, if any,
which have not been independently
verified. Except where otherwise
indicated, the report speaks as at the
date indicated within the report.
All rights reserved
© PA Knowledge Limited 2018
This report is confidential to the organisation
named herein and may not be reproduced,
stored in a retrieval system, or transmitted in
any form or by any means, electronic,
mechanical or otherwise, without the prior
written permission of PA Consulting Group. In
the event that you receive this document in
error, you should return it to PA Consulting
Group, Portland Towers, Göteborg Plads 1,
2150 Nordhavn, Denmark. PA Consulting
Group accepts no liability whatsoever should
an unauthorised recipient of this report act on
its contents.