av

Som rubriken antyder tänkte jag i denna artikel belysa riskbedömningen som är grundstommen för att utöva ett riskbaserat synsätt i AML sammanhang. Som bekant så bygger penningtvättslagstiftningen på detta synsätt som därmed är av central betydelse att förstå.

Anledningen till att jag valt att ta upp detta område är att jag tror att riskbedömningen och implementeringen av det riskbaserade synsättet inom den egna organisationen, ofta upplevs av många aktörer som ett svårt område att greppa. Att hamna rätt när det gäller riskbedömningen och implementering av dess resultat är för övrigt synnerligen viktigt eftersom detta är styrande för utformningen av det interna AML ramverket.

Andemeningen med det riskbaserade synsättet är att man ska riskbedöma sin egen verksamhet och i de fall bedömningen skulle peka på att hög risk föreligger så är man skyldig att vidta skärpta åtgärder. Med detta menas att man måste inhämta ytterligare information och handlingar från kunden till dess att man är säker på att man inte riskerar utsättas för penningtvätt eller finansiering av terrorism i den aktuella situationen.

I och med att det riskbaserade synsättet har en så central betydelse i penningtvättslagstiftningen så är detta naturligtvis i fokus ur tillsynsmyndighetens synvinkel. Kommer man fel inom detta område så riskerar man att hamna i ett mycket bekymmersamt läge vid en granskning. Några brister som jag själv har stött på i sammanhanget är exempelvis att riskbedömningen har saknat koppling till penningtvättsinstruktionen och interna processer. En annan brist jag har stött på är att man inte lyckats identifiera högrisksituationerna fullt ut samt vad de skärpta åtgärderna ska i praktiken består av.

Det man kan konstatera utifrån penningtvättslagen (lag 2009:62) samt Finansinspektionens föreskrifter och allmänna råd är att det inte ges särskilt mycket vägledning hur ett riskbaserat synsätt ska utformas. En av ganska få vägledningar är möjligen det som uttrycks i FFFS 2009:1 kap. 2, §3 d.v.s. ” Ett företag ska kartlägga och bedöma riskerna enligt 5 kap. 1 § lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism på lämpligt sätt med hänsyn till företagets verksamhet, omfattning och komplexitet. Riskbedömningen ska innehålla en analys av företagets kunder, produkter, tjänster och andra faktorer som är relevanta för verksamheten, såsom distributionskanaler och geografiska områden.”.

Hur gör man då i praktiken om man ska upprätta en riskanalys? I den följande texten ska jag försöka belysa denna fråga i all enkelhet kombinerat med några goda råd. Det bör dock poängteras att mitt inlägg i denna fråga inte ska ses som en fullständig belysning av området då detta inte låter sig göras här av utrymmesskäl och att artikeln speglar min uppfattning inom området.

Om man tittar i stort så torde det riskbaserade synsättet utifrån ett processperspektiv bestå av följande moment:

  • Inhämtning av information omkring identifierade riskområden
  • Genomförande av riskbedömningen tillsammans med verksamheten
  • Implementering av resultatet från riskbedömningen i verksamheten
  • Löpande riskhantering i verksamheten för att eliminera/minska risker
  • Årlig översyn och vid behov revidering av riskbedömningen

Innan man genomför själva riskbedömningen av den egna verksamheten så behöver man fastställa och beskriva riskklassificeringssystemet. Med det menar jag vilken ”måttstock” man ska använda sig av vid klassning av risk. Rekommendationen är undvika allt för många nivåer vid gradering av risk. Min uppfattning är att nivåerna låg, medel och hög vid klassning av risk är fullt tillräckligt dels för att fler nivåer blir svårt att hantera och dels för att dessa tre nivåer stämmer väl överens med penningtvättslagstiftningens utformning.

Riskbedömningen sker vanligen i form av en workshop där företrädare från verksamheten deltar från det område som ska riskbedömas. Inför en riskbedömning är det angeläget att ta fram en lämplig struktur att arbete efter under risk workshopen.

En dimension att utgå ifrån är de områden som nämns i lagen komplettera med egna riskområden. Utifrån en sådan uppställning görs sedan riskbedömningen för respektive produkt/tjänst som företaget tillhandahåller. Om företaget till exempel tillhandahåller sparkonto till privatpersoner och konsumentkrediter så ska riskbedömning ske för vart och ett av dessa produktområden.

En fråga är naturligtvis hur en sådan uppställning kan se ut. I nedanstående uppställning har jag ställt upp ett antal riskområden och riskfaktorer för en tänkt produkt/tjänst som kan vara aktuella att ta hänsyn till vid en riskbedömning. Det ska noteras att uppställningen endast ska ses som ett exempel på hur man kan resonera när man ska strukturera upp arbetet omkring riskbedömningen.

Geografi

  • Sverige
  • EU länder
  • Utanför EU
  • Högriskländer

Kunder

  • Svenska privatkunder
  • Svenska företagskunder
  • Företagskunder från riskbranscher
  •  Utländska kunder

Produkter & tjänster

  • Avtalade
  • Anonymiserade
  • Transaktioner & betalsätt
  • Girobetalningar
  • Överföringar
  • Kortbetalningar
  • Kontanthantering
  • Postväxlar

Distributionskanaler

  • Personligt möte
  • Distanskunder

Övriga riskfaktorer

  • PEP

Nedan följer några kommentarer till ovanstående riskområden och riskfaktorer.

Angående riskområdet geografi så kan man naturligtvis anta att det innebär en högre risk att bedriva verksamhet även utanför landets gränser. Högst torde risken vara om man bedriver verksamhet i så kallade högriskländer.

Om vi går från geografi till kunder så kan man ställa sig fråga om det skiljer i risk mellan privatkunder eller företagskunder. I sammanhanget bör man beakta vilka riskbranscher som finns inom företagssegmentet. Kontantintensiva branscher inom företagsområdet torde föra med sig en ökad risk. Även om man verkar endast på den svenska marknaden geografiskt så kan det vara så att man betjänar utländska kunder. Detta faktum gäller till exempel för valutaväxlingsbolag. Utländska kunder kan utgöra en högre risk beroende på varifrån man kommer och vilka ID-handlingar man kan uppvisa samt möjligheten att verifiera dessa. Man ska man också beakta svårigheten i att inhämta fler kundkännedomsuppgifter samt möjligheten att verifiera dessa.

Produkter och tjänster som går att anonymiserat utgör naturligtvis högre risk än sådana där kunden måste ingå ett avtal. Ett klassiskt exempel är valutaväxlingskunden som växlar ett belopp som inte kräver ID-kontroll och där ett varaktigt kundförhållande inte föreligger.

Kontanthantering i samband med att transaktioner utförs utgör naturligtvis högre risk än t ex kortbetalningar som avser pengar som redan är inne i banksystemet. Ett riskscenario i detta avseende är till exempel kunder som lämnar in sin dagskassa eller privatkunder som köper kapitalvaror eller antikviteter för stora belopp kontant.

Penningtvättslagen är tydlig i avseende att distanskunder alltid utgör hög risk. Dock om man kan identifiera dessa kunder med en tillräckligt säker autentiseringsmekanism (t ex BankID) så kan de behandlas som risknivå medel. Denna situation gäller ofta privatkunder där BankID och mobilt BankID får allt större spridning. Dock när det gäller företagskunder så sker ofta hela hanteringen på distans där handlingar och kopia på ID inhämtas postalt. I detta fall står man inför problematiken vad som kan anses vara tillräckligt säkert.

När det gäller s.k. PEP så är penningtvättslagen mycket tydlig att dessa alltid utan undantag utgör hög risk. Här måste därmed alltid skärpta åtgärder vidtagas.

Det ska poängteras att ovanstående kommentarer och riskfaktorer utgör endast några exempel som jag valt att resonera omkring. Beroende den verksamhet som man bedriver skiljer sig riskfaktorerna naturligtvis en del.

Om vi nu har lyckats identifiera riskerna i verksamheten så blir nästa steg att införliva detta resultat i den egna verksamheten för att kunna riskbedöma kunderna. Detta ska ske i samband med att de grundläggande kundkännedomsåtgärderna genomförs vid inledande av en ny affärsrelation. Denna process kallas vanligen för onboarding processen.

I det fall risken bedöms som hög i samband med onboarding processen så ska skärpta åtgärder vidtas vars syfte är att säkerställa att man inte är utsatt för penningtvätt eller finansiering av terrorism. Exakt vilka åtgärder som de skärpta åtgärderna består av är en problematik för sig som jag inte tänkte beröra i denna artikel. Dock är det fråga om att inhämta fler handlingar och information från kunden. Om det kvarstår misstanke om penningtvätt eller finansiering av terrorism efter att de skärpta åtgärderna genomförts så får inte en affärsrelation etableras.

Riskbaserat synsätt och riskbedömningen är i penningtvättssammanhang är som synes ett relativt komplext område som det finns mycket mer att säga om. Dock har förhoppningsvis min artikel bringat en smula ljus över området och kanske gett en del tips. I det 4:e penningtvättsdirektivet läggs ytterligare fokus från lagstiftarna på riskbedömningen och då förs krav in att även göra en sårbarhetsanalys.

Har du frågor runt riskbedömningen eller runt min tidigare artikel omkring screening och transaktionsmonitorering så är du naturligtvis välkommen att kontakta mig.

Bo Korposoff, Periculo AB