Merknader - endelig rapport Castelar Corporate Finance AS

SAKSBEHANDLER:
Elise Ødegård

VÅR REFERANSE:
15/5031

DATO:
03.02.2016

 

Merknader - endelig rapport

 

1 INNLEDNING

Finanstilsynet gjennomførte stedlig tilsyn hos Castelar Corporate Finance AS (Foretaket) den 12. juni 2015. Fra Finanstilsynet deltok spesialrådgiverne Margrete Øvrebø, Johan Aasen og Elise Ødegård.

Foretaket har tillatelse til å yte investeringstjenester som nevnt i verdipapirhandelloven (vphl.) § 2-1 (1) nr. 1, 2, 5 og 6, samt tilknyttede tjenester etter vphl. § 2-1 (2) nr. 3, 5 og 6. 

Foretaket har hovedkontor i Oslo, og filialer på Hamar, Gjøvik og Kongsvinger. På tidspunktet for det stedlige tilsynet var det totalt åtte ansatte i Foretaket, fem på hovedkontoret og tre i filialene. Foretaket har videre en tilknyttet agent i Kristiansand, Exordium Capital AS, med to ansatte. Exordium Capital AS er et søsterselskap av Foretaket. Foretakets etablering av filialer og inngåelse av avtale med tilknyttet agent ble gjennomført høsten 2014.

Virksomheten ved hovedkontoret var på tidspunktet for det stedlige tilsynet fokusert mot bistand ved omsetning av større poster i ulike alternative investeringsstrukturer, samt utførelse av ordre i unoterte produkter. Hovedkontoret yter i tillegg corporate finance tjenester, men dette har hatt et svært begrenset omfang det siste året. Filialene og den tilknyttede agenten driver virksomhet innenfor investeringsrådgivning og ordreformidling knyttet til andeler i verdipapirfond og aksjer i unoterte selskaper.

Foretaket mottok foreløpig rapport etter tilsynet i brev av 11. desember 2015 (Rapporten), og har gitt sine kommentarer til Rapporten i brev av 19. januar 2016 (Tilsvaret).

 

2 GOD FORRETNINGSSKIKK

2.1 Rettslig utgangspunkt
Verdipapirforetak skal utøve sin virksomhet i samsvar med kravene til god forretningsskikk, jf. vphl. § 10-11 (1). Kravet til god forretningsskikk innebærer blant annet at kunder skal gis "relevante opplysninger i en forståelig form om […] omkostninger og gebyrer", samt at foretaket skal påse at "all informasjon til kunder eller potensielle kunder er korrekt, klar og ikke villedende", jf. vphl. § 10-11 (2) og (3). Videre følger det av verdipapirforskriften (vpf.) § 10-15 (1) (a) at verdipapirforetak plikter å opplyse om "de samlede kostnader kunden skal betale for det enkelte finansielle instrumentet, investeringstjenesten eller tilknyttet tjeneste. […]".

 

2.2 Finanstilsynets vurdering i Rapporten
Finanstilsynet gjennomgikk i forbindelse med det stedlige tilsynet samtlige kundesamtaler for fem av Foretakets meglere/rådgivere, samt for de to rådgiverne i Foretakets tilknyttede agent, for uke 23 i 2015.

Ved gjennomgangen fant Finanstilsynet ett tilfelle hvor det gis upresis informasjon om kostnadene forbundet med den aktuelle investeringen.

Kunden i den aktuelle samtalen oppsummerer med at "[Forvaltningsselskapet] selv tar 1,2 i årlig forvaltning og så kommer 0,1 ikke sant, så da blir det 1,3", noe Foretakets rådgiver bekrefter. Faktum er imidlertid at investeringen vil påføre kunden en årlig forvaltningskostnad på 1,2 %, pluss månedlig gebyr på 0,1 %, noe som gir en årlig kostnad på 2,4 % av investert beløp.

Det var Finanstilsynets vurdering i Rapporten at Foretakets rådgiver ikke bidro til å oppklare overfor kunden hvilke kostnader som faktisk påløper ved den foreslåtte investeringen, og at rådgiveren dermed ikke har gitt klare og forståelige opplysninger om investeringens omkostninger og gebyrer i tråd med vphl. § 10-11 (2) og (3).

 

2.3 Foretakets kommentarer
Foretaket opplyser i Tilsvaret at det er enig i Finanstilsynets vurdering av den aktuelle samtalen.

Foretaket har nå presisert overfor samtlige ansatte at man skal opplyse kunden om de totale kostnader ved investeringer i fond, og at man i samtaler med kunder umiddelbart skal korrigere kundens oppfatning av kostnadsbildet dersom dette fremstår som uklart for kunden. Foretaket opplyser også at det vil tydeliggjøre totalkostnaden for kunden i den skriftlige dokumentasjonen som utleveres i forbindelse med fondsinvesteringer.

 

2.4 Finanstilsynets endelige merknader
Finanstilsynet tar Tilsvaret til etterretning.

Finanstilsynet vil presisere at Foretaket plikter å opplyse sine kunder om de samlede kostnader ved en investering, og at denne informasjonen skal gis i en i en klar og forståelig form, jf. vpf. § 10-15 (1) (a) og vphl. § 10-11 (2) og (3).

 

3 INTERESSEKONFLIKTER

3.1 Rettslig utgangspunkt
Det følger av vphl. § 10-10 at verdipapirforetak plikter å treffe alle rimelige forholdsregler med hensyn til å identifisere interessekonflikter mellom foretaket og kundene, og kundene imellom. Videre følger det av vpf. § 9-24 at verdipapirforetak skal ha skriftlige retningslinjer for håndtering av interessekonflikter. Retningslinjene skal som et minimum angi forhold som kan medføre interessekonflikter, samt rutiner som skal følges og tiltak som skal iverksettes for å håndtere slike interessekonflikter.

 

3.2 Finanstilsynets vurdering i Rapporten
I Foretakets kundeavtale ("Avtale om tjenester levert av Castelar Corporate Finance AS") opplyses det under punktet "Transaksjonsavgift fondsplasseringer" at "[…] Castelar mottar i tillegg fra 30 % til 50 % av avtalt returprovisjon mellom forvaltningsselskapene og fondsplattformen".

Finanstilsynet tok under det stedlige tilsynet opp at Foretakets praksis med mottak av returprovisjon som varierer i størrelse fra de ulike fondsforvalterne reiser åpenbare interessekonflikter knyttet til fondsseleksjon. Dette da Foretaket kan ha incentiver til å anbefale kundene å tegne i produktene med høyest returprovisjon. Foretakets instruks for interessekonflikter identifiserte imidlertid ingen interessekonflikter knyttet til Foretakets mottak av returprovisjon.

I etterkant av det stedlige tilsynet stilte Finanstilsynet ytterligere spørsmål knyttet til Foretakets fondsseleksjon. Foretaket skrev i sitt svar at det ser at størrelsen på returprovisjonen kan medføre potensielle interessekonflikter i fondsutvelgelsesprosessen. Foretaket opplyste at det heretter ville inkludere informasjon om størrelsen på returprovisjonen for hvert enkelt fond i sine fondsanbefalinger, og at dette skal inngå som en del av dokumentasjonen som utleveres til kunder. Foretaket oversendte samtidig en nyopprettet prosessbeskrivelse (datert 5. august 2015) kalt "Prosess for fondsseleksjon og anbefalt fondsutvalg". Av denne beskrivelsen fremgår det blant annet at compliance skal gjennomføre kontroll av prosessen rundt endringer i Foretakets fondsseleksjon og fondsanbefalinger. 

Finanstilsynet la i Rapporten til grunn at også Foretakets instruks for interessekonflikter vil bli oppdatert i denne forbindelse.

 

3.3 Foretakets kommentarer
Foretaket opplyser i Tilsvaret at det har revidert sin instruks for identifisering og håndtering av interessekonflikter, slik at denne nå også adresserer interessekonflikter knyttet til Foretakets mottak av returprovisjon. Finanstilsynet har mottatt Foretakets oppdaterte instruks.

 

3.4 Finanstilsynets endelige merknader     
Det er Finanstilsynets endelige vurdering at Foretaket på tilsynstidspunktet ikke hadde identifisert interessekonflikter knyttet til Foretakets mottak av returprovisjon i tråd med vphl. § 10-10. Foretaket hadde videre ikke etablert skriftlige rutiner knyttet til verken fondsseleksjon eller håndtering av interessekonflikter forbundet med dette i tråd med vpf. § 9-24 (1). Finanstilsynet tar til etterretning at Foretaket har gjennomført tiltak for å bøte på dette, herunder utarbeidet rutiner for fondsseleksjon, oppdatert instruks for identifisering og håndtering av interessekonflikter og endret kundedokumentasjonen slik at kundene nå mottar en oversikt over størrelsen på returprovisjonen for hvert enkelt fond.

 

4 KUNDEKLASSIFISERING

4.1 Rettslig utgangspunkt
Verdipapirforetak skal klassifisere sine kunder som henholdsvis (a) ikke-profesjonelle kunder, (b) profesjonelle kunder, eller (c) kvalifiserte motparter, jf. vpf. § 10-1 (1). Fremgangsmåten og kriteriene for kundeklassifisering følger av vpf. §§ 10-1 til 10-6 og vphl. § 10-14.

 

4.2 Finanstilsynets vurdering i Rapporten
Finanstilsynet ba i forbindelse med tilsynet om grunnlaget for, og dokumentasjon på, klassifiseringen av et utvalg kunder som i Foretakets kunderegister var oppført som profesjonelle kunder/kvalifiserte motparter.

Det var Finanstilsynets vurdering i Rapporten at Foretaket i fem tilfeller feilaktig hadde klassifisert ikke-profesjonelle kunder som profesjonelle kunder/kvalifiserte motparter i strid med vilkårene i vpf. §§ 10-2 og 10-3, jf. vphl. § 10-14.

I etterkant av Finanstilsynets spørsmål om de fem ovennevnte kundene ble disse av Foretaket omklassifisert til ikke-profesjonelle. Finanstilsynet la til grunn at den feilaktige klassifiseringen først ble oppdaget av Foretaket i forbindelse med forespørselen fra Finanstilsynet. Det var Finanstilsynets syn at dette vitnet om lav bevissthet om kundeklassifisering i Foretaket.

 

4.3 Foretakets kommentarer
Foretaket skriver i Tilsvaret at det tar selvkritikk for at det har klassifisert kunder som profesjonelle kunder/kvalifiserte motparter i strid med vilkårene i vpf. §§ 10-2 og 10-3, jf. vphl. § 10-14. Foretaket er enig i Finanstilsynets vurderinger i Rapporten vedrørende feilklassifiseringene.

Foretaket opplyser at dette hovedsakelig har dreid seg om store/formuende kunder med erfaring fra investeringsområdet, som selv har uttrykt ønske om å bli behandlet som profesjonell, men hvor vilkårene for omklassifisering ikke var tilstede. I tre av de fem tilfellene oppgir Foretaket at hensiktsmessighetstest er gjennomført.

Foretaket opplyser at ingen kunde heretter skal godkjennes som profesjonell med mindre det foreligger en skriftlig søknad om omklassifisering fra kunden, og klassifiseringen er godkjent av compliance. Videre skal det, før en eventuell ny transaksjon, verifiseres at eksisterende kunder som allerede er klassifisert som profesjonelle kunder eller kvalifiserte motparter har korrekt klassifisering.

 

4.4 Finanstilsynets endelige merknader
Det er Finanstilsynets endelige vurdering at Foretaket i fem tilfeller feilaktig har klassifisert kunder som profesjonelle kunder/kvalifiserte motparter i strid med vilkårene i vpf. §§ 10-2 og 10-3, jf. vphl. § 10-14. Finanstilsynet ser alvorlig på feil i kundeklassifiseringen, da dette kan lede til at kunder ikke får tilstrekkelig grad av investorbeskyttelse, jf. vpf. § 10-7.   

Finanstilsynet tar til etterretning at Foretaket har iverksatt tiltak for å sikre korrekt kundeklassifisering.

 

5 KUNDEKONTROLL OG TILTAK MOT HVITVASKING MV.

5.1 Rettslig utgangspunkt
Det følger av lov om tiltak mot hvitvasking og terrorfinansiering mv. (hvvl.) at de i loven definerte rapporteringspliktige, herunder verdipapirforetak, skal foreta kundekontroll etter hvvl. §§ 6 til 13 og løpende oppfølging etter hvvl. § 14, jf. hvvl. § 5. Kundekontroll og løpende oppfølging skal foretas på grunnlag av en vurdering av risiko for transaksjoner med tilknytning til utbytte av straffbare handlinger eller forhold som rammes av straffeloven §§ 147 a, 147 b, 147 c eller 147 d, jf. hvvl. § 5. Risikoen skal vurderes utfra type kunde, kundeforhold, produkt eller transaksjon, jf. hvvl. § 5. I situasjoner som etter sin art innebærer høy risiko skal verdipapirforetaket ut fra en risikovurdering anvende andre kontrolltiltak i tillegg til de "ordinære" tiltakene som følger av hvvl. §§ 5 til 14, jf. hvvl. § 15. Verdipapirforetaket skal kunne påvise at omfanget av utførte tiltak er tilpasset den aktuelle risiko. Overfor særskilte kundegrupper og i særskilte tilfeller kan verdipapirforetaket gjennomføre forenklet kundekontroll, jf. hvvl. § 13 og hvitvaskingsforskriften (hvvf.) § 10. Verdipapirforetaket skal før anvendelse av denne unntaksbestemmelsen innhente tilstrekkelige opplysninger til å fastslå at forholdet dekkes av denne bestemmelsen.

Kundekontroll skal foretas ved bl.a. etablering av kundeforhold og ved transaksjon som gjelder 100 000 norske kroner eller mer, for kunde som verdipapirforetaket ikke har et etablert kundeforhold til, jf. hvvl. § 6. Kundekontroll skal som hovedregel gjennomføres før etablering av kundeforhold eller utføring av transaksjon, jf. hvvl. § 9.

I henhold til hvvl. § 7 (1) omfatter kundekontrollen (i) registrering av kundeopplysninger som nevnt i hvvl. § 8, (ii) bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon, (iii) bekreftelse av identiteten til reelle rettighetshavere på grunnlag av egnede tiltak, og (iv) innhenting av opplysninger om kundeforholdets formål og tilsiktede art. Kopier av fremlagte legitimasjonsdokumenter for fysiske og juridiske personer skal påføres "rett kopi bekreftes" med signaturen til den personen som har foretatt kundekontrollen samt dato for kontrollen, jf. hvvf. § 17.

For gjennomføring av kundekontrolltiltakene som nevnt i hvvl. § 7 nr. 2 til 4 ((i) bekreftelse av kundens identitet på grunnlag av gyldig legitimasjon, (ii) bekreftelse av identiteten til reelle rettighetshavere på grunnlag av egnede tiltak, og (iii) innhenting av opplysninger om kundeforholdets formål og tilsiktede art) kan rapporteringspliktige legge til grunn tiltak utført av enkelte tredjeparter, herunder finansinstitusjoner og verdipapirforetak, jf. hvvl. § 11 (1). Adgangen til å legge til grunn kundekontrolltiltak utført av tredjeparter medfører imidlertid ikke unntak fra den rapporteringspliktiges (i) plikt til å registrere kundeopplysninger som nevnt i hvvl. § 8 og oppbevare opplysninger og dokumenter som nevnt i hvvl. § 22, eller (ii) ansvar for at kundekontroll gjennomføres i samsvar med hvitvaskingsloven med forskrifter, jf. hvvl. § 11 (2).

 

5.2 Finanstilsynets vurdering i Rapporten
Finanstilsynet har gjennomgått Foretakets rutiner for hvitvaskingskontroll, samt kundedokumentasjon for et utvalg kunder. Finanstilsynet skrev i Rapporten at denne gjennomgangen avdekket flere mer eller mindre alvorlige mangler ved Foretakets kundekontroll. 

Foretakets "Instruks for legitimasjonskontroll og tiltak mot hvitvasking" (hvitvaskingsinstruksen) redegjør for Foretakets hvitvaskingskontroll. Finanstilsynet stilte spørsmål ved at Foretakets risikovurderingsprosess i forbindelse med kundekontroll etter hvitvaskingsloven ikke syntes å være beskrevet i hvitvaskingsinstruksen eller i annet fremlagt dokument. Finanstilsynet kunne heller ikke se at Foretakets risikovurdering av den enkelte kunde kom fram av den mottatte kundedokumentasjonen (med unntak av enkelttilfeller der det framkom at forenklet kundekontroll var gjennomført), og det var dermed uklart for Finanstilsynet hvilke vurderinger Foretaket hadde gjort av den enkelte kunde.

Basert på mottatt dokumentasjon fremsto det for Finanstilsynet som om seks kunder feilaktig var underlagt forenklet kontroll ved kundeetablering. Det fremkom i disse tilfellene verken at de aktuelle kundeforholdene var dekket av unntaksbestemmelsen om forenklet kundekontroll, eller at forenklet kundekontroll, i tråd med Foretakets hvitvaskingsinstruks, var godkjent av Foretakets hvitvaskingsansvarlige.

Øvrige mangler som ble tatt opp i Rapporten var typisk relatert til (i) manglende informasjon om reelle rettighetshavere, (ii) manglende datering/attestering av innhentet legitimasjon og (iii) dårlig kvalitet på kopier av legitimasjon. En av kundene der informasjon om reelle rettighetshavere ikke synes å være innhentet gjaldt et selskap registrert på Bermuda.

De påpekte forholdene vitnet etter Finanstilsynets syn om manglende bevissthet og prioritering av hvitvaskingskontrollarbeidet fra Foretakets side.

 

5.3 Foretakets kommentarer
Foretaket skriver i Tilsvaret at det erkjenner at dets rutiner knyttet til hvitvaskingskontroll ikke har vært gode nok, og at Foretakets risikovurderingsprosess etter hvitvaskingsloven ikke har fremgått av rutineverket. Foretaket opplyser at det har forbedret sin hvitvaskingsinstruks ved å identifisere tilfeller der det skal utføres forsterket kundekontroll.

Hva gjelder de seks kundene som etter Finanstilsynets vurdering i Rapporten feilaktig syntes å være underlagt forenklet kundekontroll, så opplyser Foretaket at dette var kjente kunder av rådgiver, og at rådgiver derfor trodde det var tilstrekkelig å gjennomføre forenklet kundekontroll i disse tilfellene. Foretaket opplyser at dette er brudd på Foretakets instruks om at ingen kunder skal underlegges forenklet hvitvaskingskontroll uten at det på forhånd er godkjent av Foretakets compliancefunksjon. Rutinene rundt dette er nå, i følge Foretaket, innskjerpet overfor samtlige rådgivere.

Foretaket skriver videre at Finanstilsynets observasjoner knyttet til dokumentasjon av Foretakets kundekontroll i hovedsak knytter seg til Foretakets utførelse av ordre for andre foretak, der Foretaket har utkontraktert kundekontrollen til de verdipapirforetakene Foretaket utfører ordre på vegne av. Foretaket skriver at det er kjent med at Foretaket har ansvar for at det gjennomføres kundekontroll i samsvar med regelverket, og at det etableres forsvarlige rutiner selv om oppgavene utkontrakteres. Foretaket opplyser at det vil forsterke sine rutiner og kontroll i forbindelse med dette.    

Foretaket har imidlertid gitt supplerende informasjon og fremlagt ny dokumentasjon som blant annet viser at det er innhentet informasjon om reelle rettighetshavere for flere av tilfellene der dette manglet i dokumentasjonen som opprinnelig ble oversendt Finanstilsynet. Finanstilsynet vil imidlertid bemerke at det i kundedokumentasjonen for tre av kundene der Foretaket har innsendt ny dokumentasjon fortsatt ikke fremgår eksplisitt hvem som er reelle rettighetshavere, og det er etter Finanstilsynets syn i disse tilfellene ikke dokumentert at opplysninger om reell rettighetshaver er innhentet.

Hva gjelder det Bermuda-registrerte selskapet hvor Finanstilsynet i Rapporten etterspurte informasjon om reelle rettighetshavere så opplyser Foretaket i Tilsvaret at dette er 100 % eiet av en stiftelse, og at det ikke var innhentet tilstrekkelig informasjon til å etablere reell rettighetshaver på tidspunktet for den aktuelle transaksjonen.

Foretaket har fremlagt gode kopier av de legitimasjonsdokumentene som i den opprinnelige oversendelsen var uleselige. 

 

5.4 Finanstilsynets endelige merknader
Basert på det ovennevnte er det Finanstilsynets konklusjon at Foretakets kundekontroll ikke har vært i samsvar med hvitvaskingsloven.

Når en kunde er registrert i en jurisdiksjon med begrenset innsyn gir dette etter Finanstilsynets syn en oppfordring til å foreta nærmere undersøkelser vedrørende denne kunden. I tilfelle med den ovennevnte Bermuda-registrerte kunden hadde Foretaket ikke engang gjennomført "ordinær kundekontroll" da informasjon om reelle rettighetshavere ikke var innhentet. Finanstilsynet er kritisk til dette.

Foretaket opplyser i Tilsvaret at det har identifisert en stiftelse som eier av det aktuelle selskapet. Finanstilsynet vil bemerke at det også må undersøkes hvem som i siste instans eier eller kontrollerer stiftelsen. Dersom en fysisk person (i) i følge vedtekter eller på annet grunnlag skal motta 25 % eller mer av formuesgodene i stiftelsen, (ii) har hovedinteressen av opprettelsen eller forvaltningen av stiftelsen, eller (iii) utøver kontroll over mer enn 25 % av formuesgodene i stiftelsen, skal den fysiske personen i alle tilfelle identifiseres som reell rettighetshaver, jf. hvvl. § 2 nr. 3 c, d og e.

Finanstilsynet tar til etterretning at Foretaket har endret sine rutiner for å klargjøre risikovurderingsprosessen etter hvitvaskingsloven ved å identifisere tilfeller der forsterket kundekontroll skal gjennomføres. Finanstilsynet presiserer at en vurdering av risiko skal bero på en skjønnsmessig helhetsvurdering av type kunde, kundeforhold, produkt og transaksjoner.

Finanstilsynet tar videre til etterretning at Foretaket vil forsterke sine rutiner og kontrolltiltak for tilfeller der hvitvaskingskontrollen er utkontraktert til et samarbeidende foretak, samt at Foretaket har innført månedlig compliancekontroll av hvitvaskingsarbeidet.

6 COMPLIANCE

6.1 Rettslig utgangspunkt
Verdipapirforetak skal ha en effektiv og uavhengig kontrollfunksjon (compliance) med nødvendig autoritet, ekspertise og ressurser, jf. vphl. § 9-11 (1) nr. 5 og vpf. § 9-8. Kontrollfunksjonen skal gjennom løpende kontroll, regelmessige vurderinger, iverksetting av eventuelle tiltak og løpende råd og veiledning sikre at foretaket oppfyller sine forpliktelser etter verdipapirhandelloven og forskrifter. Foretakets tiltak skal gjøre det mulig for Finanstilsynet å føre kontroll med foretaket. Foretaket skal tilpasse kravene til virksomhetens art, omfang og kompleksitet, jf. vpf. § 9-11 (1).

 

6.2 Finanstilsynets vurdering i Rapporten
Foretaket har inngått avtale om utkontraktering av compliance- og riskfunksjonen med sitt morsselskap Lister Forvaltning AS. Finanstilsynet skrev i Rapporten at utkontrakteringsavtalen ikke ga et fullstendig bilde av Foretakets tillatelser til å yte investeringstjenester.

Finanstilsynet har mottatt Foretakets complianceplaner for 2. halvår 2014 og 1. halvår 2015. Det fremgår av complianceplanene at de planlagte kontrollaktivitetene i stor grad ikke er gjennomført. Videre fremgår det av Foretakets fremlagte compliancerapporter at Foretaket over en lengre periode (8. desember – 13. april 2015) ikke har gjennomført noen compliancekontroller og stikkprøver av Foretakets virksomhet. Dette til tross for at Foretakets investeringsrådgivningsvirksomhet opplevde økt aktivitet i slutten av 2014, og at daglig leder i "Årlig lederbekreftelse av den interne kontroll – 2014" skrev at det var nødvendig med tett oppfølging av denne virksomheten fra compliance og ledelsens side.

Foretaket opplyste under det stedlige tilsynet at Foretaket, grunnet redusert forretningsmessig aktivitet og oppbygging av ny virksomhet, hadde hatt begrenset fokus på compliancekontroller det siste året. Kontroll av investeringsrådgivningen skal imidlertid i noen grad være gjennomført i den ovennevnte perioden av filialene og agenten selv. Dette vil i realiteten si de samme personene som har ytt investeringsrådgivningen, da det kun er en ansatt i hver av filialene, og to ansatte hos Foretakets agent. Foretaket opplyste i forkant av det stedlige tilsynet at det "er bevisst på at egne kontroller i filialer og tilknyttet agent ikke kan erstatte kontroller utført av compliance officer. I styremøte 15. april 2015 ble det besluttet at compliance skal gjennomføre en grundig kontroll av investeringsrådgivningsvirksomheten, herunder kundeetablering, egnethetsvurderinger og investeringsråd. […]. Arbeidet med kontrollen er påstartet, men ikke fullført enda."  Finanstilsynet ba i Rapporten om ytterligere dokumentasjon på Foretakets compliancearbeid, herunder rapport fra ovennevnte compliancegjennomgang, Foretakets compliancerapporter for perioden mai – oktober 2015, samt complianceplan for 2. halvår 2015.

Basert på det ovennevnte var det Finanstilsynets foreløpige vurdering at Foretaket ikke har hatt en tilstrekkelig effektiv compliancefunksjon, jf. vphl. § 9-11 (1) nr. 5 og vpf. § 9-8. Finanstilsynet presiserte at personer som er involvert i utøvelse av investeringstjenestene normalt ikke skal foreta compliancekontroller, og at kontroller utført av andre enn compliancefunksjonen – i dette tilfellet filialene og den tilknyttede agenten – ikke kan erstatte kontroller gjennomført av compliance. 

 

6.3 Foretakets kommentarer
Foretaket opplyser i Tilsvaret at det har oppdatert sin avtale om utkontraktering av compliance og risk-funksjonen, slik at avtalen nå gir et fullstendig bilde av Foretakets tillatelser til å yte investeringstjenester.

Hva gjelder manglende gjennomføring av compliancekontroller og stikkprøver av Foretakets virksomhet skriver Foretaket at det er "enig i Finanstilsynets vurdering av at Foretaket skulle påsett at kontrolloppgaver ble utført i perioden 8. desember til 13. april 2015. Manglende gjennomføring av planlagte kontroller var bakgrunnen for at styret i styremøte den 15. april 2015 ba om at det ble igangsatt kontroll av forretningsområdet investeringsrådgivning.

I forbindelse med oppbyggingen av forretningsområdet investeringsrådgivning ble arbeid med å bygge opp nye rutiner og opplæring av ansatte prioritert fremfor stikkprøvekontroller, og det har i perioden vært tett oppfølging av rådgiverne fra compliance. Selv om dette er viktige arbeidsoppgaver for compliance er Foretaket enig i at det burde vært gjennomført compliancekontroller i perioden." Foretaket skriver videre at det "erkjenner at compliancefunksjonen ikke har vært tilstrekkelig effektiv innenfor området investeringsrådgivning", og beskriver iverksatte og planlagte tiltak for å rette opp dette, herunder økt hyppighet på compliance-rapportering til styret, samt økt detaljeringsgrad i compliancerapportene.

Foretaket skriver i Tilsvaret at det ikke har vært intensjonen at internkontroller skal erstatte compliancekontroller, men ser at det faktum at internkontrollene har vært inntatt i compliancerapporten kan være egnet til å skape dette inntrykket.  

Foretaket har videre oversendt de complianceplaner og compliancerapporter som Finanstilsynet etterspurte i Rapporten. 

 

6.4 Finanstilsynets endelige merknader
Kontroller og stikkprøver av et verdipapirforetaks virksomhet er etter Finanstilsynets vurdering viktige virkemidler for å avdekke hendelser/avvik, for derav løpende kunne vurdere om foretakets prosesser og rutiner er tilfredsstillende, og for eventuelt å iverksette adekvate forebyggende og korrigerende tiltak. Finanstilsynet kan ikke se at Foretaket har vært løpende i stand til å sikre at lov og forskrifter etterleves når det over en lengre periode ikke har blitt gjennomført compliancekontroller og stikkprøver av Foretakets virksomhet.

Finanstilsynet tar til etterretning at Foretaket har iverksatt og planlagt ulike tiltak for å sikre en effektiv compliancefunksjon, jf. vphl. § 9-11 (1) nr. 5 og vpf. § 9-8. 

 

7 FORETAKETS IKT-VIRKSOMHET

7.1 Rettslig utgangspunkt
I henhold til "Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT)" (IKT-forskriften) § 12 (1) har foretaket ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. Dette gjelder også der hele eller deler av virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretak under tilsyn også gis rett til å kontrollere de av leverandørens aktiviteter som er knyttet til avtalen. Avtalen skal også sikre håndtering av taushetsbelagt informasjon.

 

7.2 Finanstilsynets vurdering i Rapporten
Foretaket utkontrakterer all sin IKT-virksomhet. Finanstilsynet har mottatt kopi av avtaler som omhandler Foretakets utkontraktering av IKT-tjenester. Disse avtalene er gjennomgått av Finanstilsynets seksjon for tilsyn med IT og betalingstjenester. Finanstilsynet viste i Rapporten til at Foretakets avtaler med to IKT-leverandører ikke syntes å inneholde lovpålagte klausuler som dekker IKT-forskriften § 12 om adgang til inspeksjoner hos leverandøren for å sikre Foretakets mulighet for styring og kontroll med data og systemer ved utkontraktering. 

 

7.3 Foretakets kommentarer
Foretaket skriver i Tilsvaret at det har vært i kontakt med sin ene leverandør av IKT-systemer ("leverandør 1"), og har revidert sin utkontrakteringsavtale for å sikre Foretaket rett til inspeksjoner hos leverandøren i henhold til kravene i IKT-forskriften § 12 (1). Revidert avtale er oversendt Finanstilsynet.

Hva gjelder utkontrakteringsavtalen med den andre leverandøren ("leverandør 2"), så viser Foretaket til en ytterligere avtale som ikke har vært oversendt Finanstilsynet tidligere. Foretaket skriver imidlertid at det ikke finner de aktuelle avtalene "tilstrekkelig i forhold til tilgang for Foretaket".

 

7.4 Finanstilsynets endelige merknader
IKT-forskriften § 12 (1) stiller eksplisitte krav til foretak under tilsyn når det gjelder utkontraktering av IKT-tjenester. Foretaket har ansvar for at IKT-virksomheten oppfyller alle krav som stilles etter denne forskrift. For å sikre at en IKT-tjenesteleverandør forplikter seg til å overholde det regelverket som Foretaket må forholde seg til, må dette reguleres i avtalen mellom partene.

Finanstilsynet tar til etterretning at Foretaket har revidert sin utkontrakteringsavtale med "leverandør 1". Hva gjelder Foretakets utkontrakteringsavtale med "leverandør 2" så finner Finanstilsynet at denne ikke tilfredsstiller kravene i IKT-forskriften § 12 (1) om mulighet for innsyn i egen IKT-virksomhet. Foretaket synes å være enige i dette i sitt Tilsvar, men gir ingen informasjon om hvordan forholdet skal håndteres. Foretaket har opplyst at det oppbevarer sensitive data under denne utkontrakteringsavtalen, og Finanstilsynet ser alvorlig på at Foretaket ikke har sikret tilstrekkelig avtalefestet styring og kontroll med disse dataene.

Finanstilsynet forventer at Foretaket gjennomfører egnede tiltak for å oppfylle IKT-forskriften § 12 (1) for samtlige utkontrakteringsavtaler. Finanstilsynet ber om at Foretaket oversender en redegjørelse for hvordan Foretaket vil håndtere det ovennevnte forholdet. Forholdet vil bli fulgt opp i egen sak.

 

For Finanstilsynet

Geir Holen
seksjonssjef                                                         Elise Ødegård
                                                                                   spesialrådgiver