Fondbolagens förening har beretts möjlighet att lämna synpunkter på rubricerat föreskriftsförslag och vill framföra följande.
Inledningsvis kan konstateras att ändringar har gjorts i proposition 2016/17:173 i förhållande till föregående lagrådsremiss som föranleder ändringar av både text och laghänvisningar i föreskriftsförslaget. Föreningen utgår ifrån att nödvändiga ändringar kommer att göras och påtalar inte detta särskilt, såvida det inte är nödvändigt för att förklara en viss synpunkt.
Årlig uppdatering av riskbedömning
I 2 kap. 1 § anges att den sårbarhetsanalys och riskanalys (i lagförslaget i propositionen ändrat till ”allmän riskbedömning”) som ett företag ska ta fram ska utvärderas minst årligen. Hur ofta riskbedömningen ska utvärderas anges inte i direktivet. Bemyndigandet till Finansinspektionen avser att meddela föreskrifter om innehållet i och omfattningen av den allmänna riskbedömningen. Omfattningen av den allmänna riskbedömningen ska bestämmas med hänsyn till verksamhetsutövarens storlek och art och de risker för penningtvätt eller finansiering av terrorism som kan antas föreligga, vilket inte specificeras i föreskrifterna. Bemyndigandet framstår dock inte avse att specificera hur ofta den allmänna riskbedömningen ska utvärderas. Hur ofta riskbedömningen bör utvärderas kan dessutom variera beroende på verksamhet. Ytterligare krav i det svenska penningtvättsregelverket skapar konkurrenshinder samt problem vid gränsöverskridande verksamhet och bör därför undvikas. Föreningen anser att ”minst årligen” bör strykas.
Lämplighetsbedömning av anställda
I remisspromemorian s. 10 anges att det att det finns en mängd varierande funktioner som hanterar olika frågor som berör åtgärder mot penningtvätt och finansiering av terrorism, som exempel nämns styrelseledamöter. Lagtexten talar dock om anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten. Styrelseledamöter har inte den karaktären. Av propositionen framgår att med uppdragstagare och andra som på liknande grund deltar i verksamheten avses bl.a. personer som är inhyrda från ett bemanningsföretag för att arbeta hos verksamhetsutövaren eller praktikanter som deltar i arbetet som en del av sin utbildning. Även deltagare i s.k. arbetsmarknadspolitiska program kan omfattas under förutsättning att de, i det enskilda fallet, kan anses delta i arbetet på liknande grund som den som är anställd (prop. 2016/17:173 s. 219). Föreningen vill framhålla att styrelseledamöter svårligen kan ha avsetts och föreslår att exemplet stryks ur remisspromemorian.
Utbildning
I 2 kap. 5 § föreskriftsförslaget anges att ”Ett företags utbildning…” ska utformas utifrån identifierade risker i verksamheten. Formuleringen i paragrafen kan uppfattas som att utbildningen alltid ska vara internt organiserad. Föreningen vill framhålla att det måste vara möjligt, åtminstone för mindre företag, att uppfylla utbildningskravet genom att delta vid externa kurser, utbildningar och seminarier. Varken direktivtexten eller lagtexten anger att utbildning skulle behöva vara internt organiserad. Föreningen anser att paragrafen bör utformas direktivkonformt i enlighet med artikel 46.1.
Åtgärder för att kontrollera identitet
FI:s föreskriftsförslag upprätthåller inte den åtskillnad mellan identifiering och kontroll som direktivet och propositionen (s. 237) föreskriver. Föreningen anser att föreskriftsförslaget bör göras om med hänsyn härtill.
När det gäller identifiering och kontroll av juridiska personer på distans (3 kap. 7 §) tycks kravet i det andra stycket, om att kontakta kunden genom att skicka en bekräftelse till den juridiska personens registrerade adress eller vidta motsvarande åtgärd, inte vara i linje med artikel 13.1.a i direktivet. Direktivet anger att åtgärder för kundkännedom ska innefatta identifiering av kunden och kontroll av dennes identitet utifrån handlingar, uppgifter eller information som erhållits från en tillförlitlig och oberoende källa. Att skicka en bekräftelse kan inte anses som en åtgärd som omfattas av direktivet och bör därför strykas för en direktivkonform implementering.
Kontroll och identifiering av verklig huvudmans identitet
I 3 kap. 10 § föreskriftsförslaget skriver FI att vissa identitetskontroller ska ske om en verklig huvudman är en juridisk person. Eftersom en verklig huvudman bör vara en fysisk person utgår föreningen ifrån att paragrafen är felformulerad och att FI med juridisk person egentligen avser kunden.
Övervakning och rapportering
I 4 kap. 1 § andra stycket föreskriftsförslaget specificeras hur ett system för uppgiftslämning, som ett företag är skyldigt att ha, ska säkerställa att uppgifterna lämnas genom säkra kanaler eller på annat säkert sätt samt att uppgifterna behandlas konfidentiellt. Föreningen anser att det bör framgå att det är företaget, inte systemet, som ska säkerställa att uppgifter lämnas genom säkra kanaler. Detsamma gäller för konfidentiell behandling av uppgifter.
Bevarande av handlingar eller uppgifter
Enligt 5 kap. 2 § föreskriftsförslaget ska handlingar bevaras i tio år om handlingarna eller uppgifterna kan tyda på penningtvätt, finansiering av terrorism eller att egendomen annars härrör från brottslig verksamhet och omständigheterna har rapporterats till Polismyndigheten. Av propositionen (s. 317) framgår att ett krav på en förlängd lagringstid endast bör komma i fråga när Polismyndigheten eller annan myndighet påtalar ett behov av en längre lagring. Kraven i föreskriftsförslaget framstår därmed som alltför betungande och bör omformuleras.
Krav på särskilt utsedd befattningshavare
Finansinspektionen föreslår i 6 kap. 1 § att ett företag som har fler än 50 anställda ska ha en särskilt utsedd befattningshavare. Bedömningen utgår enbart från antalet anställda, dvs. företagets storlek. Enligt 6 kap. 2 § 1 nya penningtvättslagen ska emellertid hänsyn tas till både verksamhetens storlek och art vid bedömning av om en särskilt utsedd befattningshavare ska inrättas. Finansinspektionen konstaterar i remisspromemorian (bl.a. s. 10) att ett stort antal företag, drygt 2 300 stycken, med vitt skilda verksamheter, står under myndighetens tillsyn. Föreningen anser att bedömningen även ska göras med hänsyn till verksamhetens art. Att enbart införa en gräns om 50 anställda skapar inte förutsättningar för detta. Vissa företag har många anställda som ägnar sig åt verksamhet där penningtvättsfrågor inte aktualiseras och endast ett fåtal berörs. Ett exempel kan vara ett fondbolag med flera anställda som ägnar sig åt fondförvaltning och endast ett fåtal anställda har kundkontakt och marknadsför fondbolagets produkter. Ytterligare åtgärder som lämpligen bör inrättas i situationer då ett företags storlek och art gör det särskilt utsatt för penningtvätt, bör inte aktualiseras i det fallet. Trots att företaget har fler än 50 anställda.
Av 6 kap. 2 § 1 lagtexten framgår att uppdraget som särskilt utsedd befattningshavare ska omfatta att ansvara för att verksamhetsutövaren genomför de åtgärder som krävs enligt lag och föreskrifter. Något krav på att den särskilt utsedda befattningshavaren ska göra en samlad riskbedömning finns inte i lagtexten. Kraven i föreskriftsförslaget bör därför ändras så att det framgår att den särskilda befattningshavaren ska tillse alternativt ansvara för att en samlad riskbedömning görs liksom att denna person ska ansvara för att företaget har interna och gemensamma rutiner och riktlinjer.
Krav på centralt funktionsansvarig
Finansinspektionen konstaterar i beslutspromemorian (s. 19) att myndigheten har fått bemyndigande att ta ställning till när det är motiverat av verksamhetens storlek och art att ha en centralt funktionsansvarig person, oberoende granskningsfunktion samt särskilt utsedd befattningshavare. Att proportionalitetsprincipen ska gälla vid bedömning av om ett företag ska inrätta en centralt funktionsansvarig framgår av artikel 8.4.a i direktivet samt av 6 kap. 2 § 2 i lagtexten. Trots detta väljer myndigheten att inte införa proportionalitet vid bedömningen av om en sådan funktion ska inrättas. Föreningen anser att en proportionalitetsbedömning måste medges även för att avgöra om ett företag ska inrätta en centralt funktionsansvarig för att undvika svensk gold plating.
Krav på oberoende granskningsfunktion
Finansinspektionen föreslår i 6 kap. 9 § att ett företag som har fler än 50 anställda ska ha en oberoende granskningsfunktion. Bedömningen utgår enbart från antalet anställda. Enligt artikel 8.4.b i direktivet och 6 kap. 2 § 3 nya penningtvättslagen ska hänsyn tas till både verksamhetens storlek och art vid bedömning av om en oberoende granskningsfunktion ska inrättas. Föreningen anser att bedömningen även ska inkludera kriterier för att bedöma om en oberoende granskningsfunktion ska införas med hänsyn till verksamhetens art.
Rutiner för modellriskhantering
I 6 kap. 13–16 §§ föreskriftsförslaget anges vad ett företags rutiner för modellriskhantering ska innehålla. Förslaget är mycket detaljerat och omfattande och omöjliggör i princip en proportionerlig tillämpning. Enligt 6 kap. 1 § tredje stycket i den nya penningtvättslagen ska omfattningen av och innehållet i rutinerna bestämmas med hänsyn till verksamhetsutövarens storlek och art samt den risk för penningtvätt och finansiering av terrorism som identifierats i den allmänna riskbedömningen. Föreningen anser att föreskriften bör utformas så att en proportionerlig tillämpning med hänsyn till detta möjliggörs.
FI inför även nya krav på validering av en modell samt rutiner för en valideringsprocess. I lagtexten och propositionen talas om att utvärdera och kvalitetssäkrade de modeller som verksamhetsutövaren använder. Föreningen anser att FI inte bör införa nya krav i föreskrifterna.
Visselblåsningssystemets egenskaper
6 kap. 17 § i föreskriftsförslaget tar upp visselblåsningssystemets egenskaper. Föreningen anser att det är angeläget att kraven harmoniseras med de krav som ställs på visselblåsningssystem i övrig finansiell lagstiftning.
Rapportering av uppgifter till Finansinspektionen
Förslaget om hur företag ska rapportera uppgifter till FI är mycket allmänt hållet och ger begränsad ledning kring vad rapporteringen ska innefatta, varför det är svårt att lämna synpunkter. Föreningen anser att föreskrifterna gällande periodisk rapportering bör utvecklas och förtydligas.
Filialer
Av 1 kap. 2 § föreskriftsförslaget framgår att föreskrifterna gäller för filialer i Sverige till utländska juridiska personer med huvudkontor i utlandet. Motsvarande framgår av 1 kap. 3 § förslag till ny penningtvättslag.
I propositionen anges att med ”koncern” avses i direktivet även verksamhetsutövare som bedriver verksamhet genom filialer (prop. 2016/17:173 s. 215). Vidare framgår att ”i fråga om gruppgemensamma rutiner ska koncerner med moder- och dotterbolag samt grupper med filialer i tillämplig utsträckning behandlas på samma sätt. Som Lagrådet anför utgör dock en utländsk filial till ett svenskt företag inte ett självständigt subjekt i förhållande till det företag som det hör till, utan omfattas av de interna rutiner som en verksamhetsutövare ska fastställa enligt avsnitt 7.2” (dvs. de interna rutinerna). Av sista stycket i avsnitt 7.3 i ovan angivna proposition framgår att ” I koncerner där verksamheten är likartad och bedrivs i samma land eller länder med en liknande risksituation kan det vara rationellt och effektivt att hela koncernen tillämpar gemensamt fastställda rutiner och riktlinjer. Att detta är en möjlighet följer av förslaget och behöver inte anges särskilt i lagen”.
Ovanstående skrivningar ger upphov till viss osäkerhet vad gäller hur svenska penningtvättsregler ska tillämpas på filialer i Sverige där verksamhetsutövaren har huvudkontor i ett annat land inom EES. Det som anges om utländsk filial till ett svenskt företag, bör även gälla för svensk filial till ett utländskt företag. Föreningen önskar att det tydliggörs vilket lands regler som i nämnda situation ska tillämpas för filialer. Härvid bör noteras att vissa av de föreslagna reglerna är hänförliga till organisatoriska krav, snarare än uppföranderegler. För organisatoriska krav gäller hemlandets regler. Vidare kan konstateras att om svenska regler, som genomför direktivet, ska gälla för svenska filialer till företag som i sitt hemland har att följa samma direktiv, är det nödvändigt att reglerna införs direktivkonformt. I annat fall blir det ett hinder för att etablera filialer på den inre marknaden.
Faktorer som tyder på hög respektive låg risk
I remisspromemorian (s. 7) skriver FI att man väljer att avvakta med att föreslå föreskrifter som kan tyda på låg eller hög risk. I bilaga II och III till direktivet finns exempel på faktorer och indikatorer som kan innebära högre eller lägre risk. Föreningen önskar att det tydliggörs i remisspromemorian att dessa exempel kan användas av bolagen för att få viss ledning.
Konsekvensanalys
Föreningen saknar en konsekvensanalys gällande fondbolag. Den konsekvensanalys som lämnas för storbanker, värdepappersbolag och registrerade betaltjänstleverantörer uppvisar dessutom stora brister. De beräkningsgrunder som anges i bilaga 1 kan svårligen användas som underlag för en rättvisande och fullgod konsekvensanalys. T.ex. anges för värdepappersbolag att genomsnittsbolaget inte har fler än 50 anställda varför krav på bl.a. särskild befattningshavare inte blir aktuellt. Med den utgångspunkten uppskattas kostnaden för särskilt utsedd befattningshavare till 0 kr (remisspromemorian s. 30). Personaltätheten är inte jämnt fördelad mellan alla värdepappersbolag i Sverige. FI har inte ens försökt uppskatta kostnaden för bolag med fler än 50 anställda. Motsvarande resonemang förs gällande oberoende granskningsfunktion, vilket likaså måste utredas.
Fondbolagens förening
Sigrid Hultman, jurist