Merknader - endelig rapport Sparebank 1 Markets AS
Tilsynsrapporter og vedtak
Publisert: 28. februar 2017
Sparebank 1 Markets AS
VÅR REFERANSE:
16/4999
SAKSBEHANDLER:
Elise Ødegård og Johan Aasen
DATO:
15.02.2017
Merknader - endelig rapport
1 INNLEDNING
Finanstilsynet gjennomførte stedlig tilsyn hos Sparebank 1 Markets AS (Foretaket) den 14. juni 2016.
Foretaket har tillatelse til å yte investeringstjenestene 1, 2, 3, 4, 5 og 6 som nevnt i verdipapirhandelloven (vphl.) § 2-1 (1), og samtlige tilknyttede tjenester som nevnt i vphl. § 2-1 (2). Foretaket tilbyr tjenester innen analyse, finansiell rådgivning, kapitalinnhenting og megling av aksjer, fremmedkapital og renteprodukter. På tilsynstidspunktet var det 106 ansatte i Foretaket.
Foretakets hovedaksjonær er Sparebank 1 SMN.
Foretaket mottok foreløpig rapport etter tilsynet i brev av 9. desember 2016 (Rapporten), og ga sitt svar til denne i brev av 18. januar 2017 (Tilsvaret).
2 EGNETHETSSKJEMA – RISIKO OG AVKASTNING
2.1 Rettslig utgangspunkt
Det følger av vphl. § 10-11 (2) nr. 2 og verdipapirforskriften (vpf.) § 10-13 (1) at verdipapirforetak skal gi kunder og potensielle kunder relevante opplysninger i en forståelig form om finansielle instrumenter og foreslåtte investeringsstrategier, herunder hensiktsmessig veiledning og advarsel om risiko forbundet med investeringer i de aktuelle instrumenter eller de foreslåtte strategier, slik at kunden i rimelig grad er i stand til å forstå arten av og risikoen knyttet til investeringstjenesten og de finansielle instrumentene som tilbys, og således i stand til å fatte en informert investeringsbeslutning.
2.2 Finanstilsynets vurdering i Rapporten
I Foretakets egnethetsskjema skal kunden oppgi sin risikovillighet ved å krysse av for Lav, Middels, Høy eller Meget Høy risiko. De ulike risikokategoriene ble beskrevet som følger av Foretaket:
- Lav risiko: Kunden ønsker lav risiko for tap av investeringen. Eksempler er norske statsobligasjoner, bankinnskudd og sikringsforretning.
- Middels risiko: Kunden er villig til å ta noe risiko for å øke mulighetene for avkastning. Eksempler er noterte aksjer og investment-grade obligasjoner.
- Høy risiko: Kunden ønsker høy avkastning, og tåler store verdisvingninger. Eksempler er unoterte aksjer, derivater og high yield obligasjoner.
- Meget høy risiko: Kunden ønsker høy avkastning og tåler særlig store verdiendringer, herunder å tape hele investeringen. Eksempler er utstedelse av derivater, handel i utenlandske derivater og trading i valuta- og rentederivater.
Finanstilsynet skrev i Rapporten at det, slik Foretaket beskriver risikokategoriene, synes å være et stort sprang fra lav (norske statsobligasjoner og bankinnskudd) til middels risiko (noterte aksjer). Finanstilsynet stilte også spørsmål ved at Foretaket synes å likestille risikoen forbundet med investering i noterte aksjer med risikoen i investment-grade obligasjoner, og ba Foretaket redegjøre for ovennevnte risikokategorisering.
Foretakets kunder skal også oppgi mål for forventet avkastning i forbindelse med utfylling av egnethetsskjemaet. Finanstilsynets gjennomgang av egnethetsskjema for et utvalg kunder viste at enkelte kunder hadde oppgitt en forventet avkastning som var urealistisk høy i forhold til kundens risikovillighet. Når det ikke er samsvar mellom kundens oppgitte avkastningsmål og risikovillighet, er det Finanstilsynets vurdering at det påligger Foretaket å gi veiledning i forhold til at høy forventet avkastning generelt forutsetter en høy risikopremie, jf. vphl. § 10-11 (2) og vpf. § 10-13 (1).
2.3 Foretakets kommentarer
Foretaket opplyser at det vil endre sin beskrivelse av risiko i egnethetstestene ved at noterte aksjer heretter vil kategoriseres i henholdsvis middels og høy risiko. Noterte aksjer med god likviditet og regelmessig handel vil fortsatt klassifiseres som middels risiko. Foretaket vurderer det slik at selv om risiko- og avkastningsprofilen ikke vil være identisk for slike noterte aksjer og investment-grade obligasjoner, så vil den samlede risikoen i slike obligasjoner og i godt likvide aksjer være sammenliknbare og gi grunnlag for samme risikoklassifisering. Øvrige noterte aksjer vil fremover kategoriseres som høy risiko. Gjennom denne endringen legger Foretaket til grunn at spennet mellom finansielle instrumenter/investeringer i kategoriene lav og middels risiko reduseres.
Foretaket opplyser videre at det har en klar forventning om at Foretakets meglere skal veilede kunden om sammenhengen mellom forventet avkastning og nødvendig risikotoleranse. Foretaket vil presisere rutinen i tråd med dette, og Foretakets compliancefunksjon vil følge opp dette særskilt.
2.4 Finanstilsynets endelige merknader
Foretaket opplyser i Tilsvaret at det har endret sin beskrivelse av risikokategoriene i egnethetsskjemaet, men fastholder at aksjer med høy likviditet og regelmessig handel fortsatt skal klassifiseres under kategorien middels risiko.
Etter Finanstilsynets syn vil investeringer i enkeltaksjer ha høy risiko. Det kan heller ikke på generelt grunnlag legges til grunn at noterte aksjer har mindre risiko enn high yield obligasjoner. Selv om aksjer har høy likviditet vil det normalt være slik at tapspotensialet er større for egenkapital enn for fremmedkapital. Det er dermed Finanstilsynets syn at det ville være mer korrekt å kategorisere aksjer som høy risiko i Foretakets risikobeskrivelse.
Finanstilsynet tar videre til etterretning at Foretaket vil følge opp at det er samsvar mellom kundens oppgitte avkastningsmål og risikotoleranse, og sørge for nødvendig veiledning i denne forbindelse.
3 KUNDEKONTROLL OG TILTAK MOT HVITVASKING MV.
3.1 Rettslig utgangspunkt
Det følger av lov om tiltak mot hvitvasking og terrorfinansiering mv. (hvvl.) at de i loven definerte rapporteringspliktige, herunder verdipapirforetak, skal foreta kundekontroll etter hvvl. §§ 6 til 13 og løpende oppfølging etter hvvl. § 14, jf. hvvl. § 5. Kundekontroll og løpende oppfølging skal foretas på grunnlag av en vurdering av risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 131 – 136 a, jf. hvvl. § 5. Risikoen skal vurderes utfra type kunde, kundeforhold, produkt eller transaksjon, jf. hvvl. § 5. I situasjoner som etter sin art innebærer høy risiko skal verdipapirforetaket ut fra en risikovurdering anvende andre kontrolltiltak i tillegg til de "ordinære" tiltakene som følger av hvvl. §§ 5 til 14, jf. hvvl. § 15. Verdipapirforetaket skal kunne påvise at omfanget av utførte tiltak er tilpasset den aktuelle risiko.
Kundekontroll skal som hovedregel gjennomføres før etablering av kundeforhold eller utføring av transaksjon, jf. hvvl. § 9.
I henhold til hvvl. § 7 (1) omfatter kundekontrollen (i) registrering av kundeopplysninger som nevnt i hvvl. § 8, (ii) bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon, (iii) bekreftelse av identiteten til reelle rettighetshavere på grunnlag av egnede tiltak, og (iv) innhenting av opplysninger om kundeforholdets formål og tilsiktede art.
3.2 Finanstilsynets vurdering i Rapporten
Finanstilsynet har gjennomgått Foretakets rutiner for hvitvaskingskontroll, samt dokumentasjon på kundekontroll for et utvalg av Foretakets kunder. I Rapporten beskrev Finanstilsynet en rekke mangler og svakheter ved Foretakets kundekontroll herunder i) mangler ved innhentet legitimasjon, ii) manglende eller mangelfull firmaattest, iii) manglende informasjon om reelle rettighetshavere og iv) manglende dokumentasjon av risikovurderingsprosessen. Finanstilsynet stilte også spørsmål ved at flere kunder registrert i utlandet eller med utenlandske rettighetshavere tilsynelatende var underlagt normal hvitvaskingskontroll, til tross for at det etter Finanstilsynets vurdering kunne være grunnlag for å vurdere forsterket kontroll i disse tilfellene.
Basert på ovennevnte funn var det Finanstilsynets foreløpige vurdering at Foretakets kundekontroll ikke fullt ut har vært i samsvar med hvitvaskingsloven, hvitvaskingsforskriften og Foretakets egne rutiner.
3.3 Foretakets kommentarer
Foretaket medgir i Rapporten at hvitvaskingskontrollen ikke har holdt nødvendig kvalitet. Compliance har rapportert svakhetene til styret og styret har som en følge av dette innhentet en risikoanalyse innen hvitvasking. Foretaket inngår også i Sparebank 1 SMN-konsernets pågående antihvitvaskingsprosjekt som i henhold til fremdriftsplan skal avsluttes første kvartal 2017. Det er også besluttet å gjennomføre en tredjelinjekontroll, ved internrevisor, av Foretakets antihvitvaskingsrutiner og praksis når dette prosjektet er ferdigstilt. Foretaket opplyser videre at styret og administrasjonen har fokus på å sikre Foretakets etterlevelse av antihvitvaskingsarbeidet og at de vil følge opp med løpende kontroller, opplæring, IKT-verktøy og andre relevante tiltak for å sikre dette, herunder en gjennomgang av tidligere kundekonto opprettelser.
3.4 Finanstilsynets endelige merknader
Finanstilsynets gjennomgang har avdekket flere mangler i hvitvaskingsdokumentasjonen som innhentes for den enkelte kunde i forbindelse med etablering av kundeforhold. Det fremstår videre som om Foretaket har hatt et lite bevisst forhold til risikoklassifisering og ikke i tilstrekkelig grad har vurdert og tatt hensyn til graden av risiko ved de ulike kundeforhold, jf. hvvl. §§ 5 og 15.
Det er Finanstilsynets konklusjon at Foretakets hvitvaskingsarbeid ikke har vært i samsvar med kravene i hvitvaskingsloven med forskrift. Finanstilsynet tar til etterretning de tiltak som er blitt igangsatt for å avhjelpe dette.
4 FORETAKETS IKT-VIRKSOMHET
4.1 Rettslig utgangspunkt
I henhold til "Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT)" (IKT-forskriften) § 12 (1) har foretaket ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av virksomheten er utkontraktert.
Det følger av IKT-forskriften § 5 at foretaket skal utarbeide prosedyrer som skal sikre beskyttelse av utstyr, systemer og informasjon av betydning for foretakets virksomhet, jf. IKT-forskriften § 1, mot skader, misbruk, uautorisert tilgang og endring, samt hærverk. Videre skal prosedyrene inneholde retningslinjer for tildeling, endring, sletting og kontroll med autorisasjon for tilgang til IKT-systemene. Kravene til IKT-sikkerhet skal så langt det er mulig være målbare.
4.2 Finanstilsynets vurdering i Rapporten
Foretaket avdekket i 2015 et potensiale for å forbedre kontrollene når det gjelder tilganger til systemer og data. Finanstilsynet har i forbindelse med det stedlige tilsynet sett nærmere på om forbedringene er hensiktsmessige og at de virker som forutsatt.
Finanstilsynet hadde i Rapporten flere spørsmål og kommentarer knyttet til rettigheter og tilganger. Videre skrev Finanstilsynet at Foretaket må ha rutiner for å kontrollere aktivitet knyttet til tilgang til markedssensitiv informasjon. Dette for å kartlegge formål og årsak, særlig rundt tidspunkter der informasjonen med høy sannsynlighet vil kunne utnyttes til egen vinning.
Finanstilsynet etterlyste i Rapporten en rutine som sikrer at e-post konfigurasjonen er satt opp slik at den støtter kryptering, og at sending ikke vil skje dersom konfigurasjonen på mottakersiden ikke støtter kryptering som anses som tilstrekkelig sikker. Finanstilsynet kommenterte også at rutinen bør inneholde prosedyrer for fornyelse av sertifikater.
4.3 Foretakets kommentarer
Foretaket gir i Tilsvaret en beskrivelse av tiltak som er iverksatt for å forhindre at sensitiv informasjon tilflyter uvedkommende, herunder logging av aksessering på relevante filområder, kryptering av informasjon, presisering av rutiner og tilgangskontroll.
4.4 Finanstilsynets endelige merknader
Finanstilsynet tar Foretakets redegjørelse til etterretning, herunder at Foretaket har aktivert logging på relevante filer i forhold til når filer aksesseres. Finanstilsynet legger til grunn at Foretaket analyserer loggene med tanke på å avdekke aktivitet rettet mot sensitiv markedsinformasjon.
Finanstilsynet tar videre til etterretning at Foretaket har besluttet å gjennomføre et internrevisjonsprosjekt av prosess og kvalitet innen IKT.
For Finanstilsynet
Geir Holen
seksjonssjef Elise Ødegård
spesialrådgiver
Abonner på nyheter
Registrer deg for å få nyhetsvarsling når Finanstilsynet publiserer saker du er interessert i.