av

I denna artikel har jag valt att göra en allmän belysning av det som i dagligt tal kallas för screening av kunder samt transaktionsmonitorering. Detta är ett område som torde vara välbekant för de flesta etablerade aktörerna inom finansområdet. Dock är denna problematik nog så viktig även för aktörer utanför detta område som inte står under tillsyn eftersom vi alla har ett ansvar att motverka penningtvätt och finansiering av terrorism.

Om vi tittar närmare på det som kallas screening så avser detta att matcha den egna kundinformationen mot EU:s och FN:s sanktionslistor som upptar kända terrorister samt personer som misstänkts för samröre med terroristverksamhet. Syftet med screeningen är naturligtvis att förvissa sig om att man inte inleder en affärsrelation med någon som är klassad som terrorist eller på något sätt har anknytning till sådan verksamhet.

Ett annat begrepp i samband med screening är PEP vilket står för Political Exposed Person och som på svenska betyder person i politiskt utsatt ställning. Inom denna kategori återfinns till exempel personer som är höga politiker, militärer, domare i högsta domstolen och ambassadörer etc. PEP begreppet har tillkommit eftersom man ansett att personer som ingår i denna kategori anses i kraft av sin ställning ha en högre risk för att kunna mutas eller vara inblandade i korruption. Därför är penningtvättslagen strängare på detta område och PEP personer betraktas alltid som hög risk och ska hanteras därefter med skärpta åtgärder.

Tidigare var enbart utländska medborgare föremål för PEP kontroll men från och med 1 augusti 2015 så har Sverige valt att även inkludera inhemska (svenska) PEP vilket har komplicerat problematiken omkring screeningen då kretsen av PEP har väsentligen utökats.

Om man studerar lagen om penningtvätt och finansiering av terrorism (lag 2009:62) så innebär den att företag måste vid inledandet av en ny affärsförbindelse genomföra grundläggande kundkännedomsåtgärder. Syftet är att ta ställning till om en affärsförbindelse kan inledas med kunden beroende på vad som framkommer. Företaget är likväl skyldigt att fortlöpande följa upp den löpande affärsförbindelsen för att kontrollera att de transaktioner kunden utför verkar stämma med den kunskap som finns om kundens förväntade beteende. Skulle beteende avvika signifikant så innebär detta en förhöjd risk och företaget är skyldigt att vidta skärpta åtgärder. Under den löpande affärsförbindelsen är företaget dessutom tvungen att göra förnyade screeningar av kunden för att fånga upp eventuella förändringar som till exempel att kunden byter status och blir en PEP som därmed innebär högre risk.

Både initial screening och den löpande uppföljningen av transaktioner samt omscreeningen medför ett betydande arbete för aktörerna på marknaden. Att göra denna screening mot sanktionslistorna och PEP samt uppföljningen manuellt är i princip endast möjligt för mycket små aktörer med begränsad verksamhet. För övriga aktörer krävs något typ av systemstöd som kan integreras i processen för kundkännedom och uppföljningen av den löpande affärsförbindelsen. På svenska marknaden finns det en handfull inhemska leverantörer som levererar färdiga systemlösningar för screening och transaktionsmonitorering.

Eftersom sanktionslistorna över kända terrorister av förklarliga skäl inte innehåller id begrepp som personnummer och ofta består av rätt knapphändiga uppgifter med stundtals dålig kvalitet, så ger detta till följd att man inte sällan erhåller träffar mot dessa listor som i själva verket inte avser riktiga träffar. Sådana träffar kallas ibland för ”falska positiva” träffar och innebär att någon del av den kundinformationen som företaget har skickat in för kontroll överensstämmer med någon del av informationen på sanktionslistan. Avsaknaden av id begrepp som personnummer innebär att man istället matchar informationen mot bland annat namn, nationalitet, födelsedatum och födelseort mot sanktionslistan. Denna typ av oprecisa matchningsprincip kommer att ge upphov till onödiga träffar.

Problemet med ”falska positiv” träffar är att dessa orsakar mycket merarbete då man tvingas att utreda sådant som faktiskt inte visar sig vara en riktig träff. För att komma tillrätta med detta är det viktigt att kalibrera screeninglösningen så att man måste uppnå en tillräcklig grad av överensstämmelse i matchningen innan den karaktäriseras som en sannolik träff som ska utredas. Åtminstone ett av systemen för screening som marknadsförs, har möjlighet till automatisk sållning där systemet själv utreder och dokumenterar sådant som uppenbart är ”falska positiva” träffar vilket kan spara mycket tid.

I samband med implementationen av en screeninglösning för sanktionslistor och PEP så uppstår även behovet att göra en screening av befintlig kundinformation. Detta är förvisso ett engångsproblem men för aktörer med en stor kundbas kan detta rendera till att bli ett anmärkningsvärt stort arbete att hinna ikapp för att sedan endast behöva screena nya kunder. En rekommendation är att låta denna aktivitet bli sitt eget projekt som bedrivs vid sidan av implementationsprojektet av screeninglösningen. Anledningen är att projektet att screena och utreda den befintliga kundinformationen ofta tenderar till att bli ett omfattande arbete som drar ut på tiden.

En fråga som inställer sig är när man ska screena mot sanktionslistorna och PEP i sin kundkännedomsprocess? Ser man till lagen så är svaret självklart. Det ska ske i samband med etableringen av affärsrelationen. Dock så förekommer det att aktörer på marknaden screenar i nära anslutning efter affärsögonblicket. Anledningen till detta är att det av praktiska skäl kan vara svårt både tekniskt och ur processynpunkt att göra screeningen direkt vid affärsögonblicket.

De faktorer som huvudsakligen avgör när screening är möjlig är verksamhetens art och affärsprocessernas utformning. Om man jämför till exempelvis situationen med kunder som fysiskt expedieras över disk och där slutför sin affär jämfört med kunder som till exempel ansöker om ett konsumentlån på distans så inser man snabbt att förutsättningarna skiljer sig åt ganska mycket.

I det ena fallet måste hela processen att betjäna kunden och avsluta affären ske på några minuter medan man i fallet med konsumentkrediten i allmänhet har ett par dagar på sig innan kunden slutligen får lånebeloppet insatt på sitt konto. I det förstnämnda fallet när man möter kunden fysiskt i affärsögonblicket så försvårar detta screeningen om denna ska ske i realtid med risk att få ”falska positiva” träffar som kräver utredning. En försvårande omständighet är dessutom att enligt meddelandeförbudet i penningtvättslagen så får man inte upplysa kunden om att denna är under utredning i den händelse man skulle få en träff som måste utredas.

Om vi tar oss över till området transaktionsmonitorering så upplevs detta ofta som ett svårare område utifrån flera aspekter. Det som oftast uppfattas som komplext är arbetet med att definiera regler för att fånga upp misstänkta beteenden avseende den löpande affärsförbindelsen.

Utgångspunkten för regelverket för transaktionsmonitoreringen ska naturligtvis vara den riskanalys som man är skyldig att upprätta och som ligger till grund för ett riskbaserat synsätt. Det som många dock upptäcker i detta sammanhang är att riskanalysen inte alltid är utformad på så sätt att man kan utläsa detaljerade riskscenariers som sedan går att översätta till regler för transaktionsmonitoreringen. I sammanhanget är ett råd att inte se områdena för fraud hantering och monitorering av transaktioner ur AML synpunkt som isolerade företeelser. Skälet till detta är att bägge dessa områden syftar till att upptäcka onormala rörelser och beteenden som kan indikera på brottsrelaterade handlingar.

Vid framtagandet av regler för transaktionsmonitorering så upptäcker man även att det finns både ”enklare” och ”svårare” produkter att skapa regler för. En produkt som är enkel att ta fram monitoreringsregler för är konsumentlån. För denna produkt så är nog den vanligaste regeln att ge akt på lån som avslutas genom förtidslösen en kort tid efter att de beviljats och utbetalats till kund, vilket kan indikera på ett misstänkt beteende som bör utredas.

Andra relativt enkla produkter att ta fram monitoreringsregler för är transaktionskonton och sparkonto. För dessa produkter går det nog att relativt snabbt hitta 15 till 20 stycken olika regler att tillämpa i olika kombinationer. Några exempel på regler kan exempelvis vara:

  • Kunder som plötsligt avviker kraftigt jämfört med förväntat beteende utifrån lämnade uppgifter
  • Många mindre insättningar som sker på kontot och sedan följs av ett större uttag under en begränsad tidsperiod
  • Onormalt hög transaktionsfrekvens på ett sparkonto
  • Konton som avslutas kort efter att de har öppnats och haft en hög aktivitet under dess livstid
  • Beloppstransaktioner som är onormalt höga jämfört med genomsnittet för det övriga kontokollektivet

När regler för transaktionsmonitorering sjösätts så bör man vara beredd på att kunna justera reglerna ganska snabbt. Det som ibland händer är att man får ett för stort utfall om man har definierat för snäva regler och gränsvärden. Det kan naturligtvis även vara det omvända d.v.s. att man har definierat regler som inte visar sig fånga det man vill och som därmed måste stramas åt. Denna kalibrering ska ses som en lärande process att justera det interna regelverket och gränsvärdena för att nå en nivå där det som sållas ut är sådana ärenden som verkligen bedöms utgöra onormalt beteende och därmed behöver utredas vidare.

En viktig fråga i samband med screening och transaktionsmonitorering är att tydligt definiera eskaleringsvägarna och beslutsinstanser för ärenden som behöver utredas vidare. För att skapa större beslutskraft i affärsverksamheten så har flera större aktörer satsat på ”first line compliance” vilket innebär att man har valt att placera ut compliance-specialister i affärsverksamheten som ett stöd. Ärenden som inte affärsverksamheten bedömer att de kan hantera hamnar slutligen ofta för beslut hos centralt funktionsansvarig eller av denna delegerad instans.

Avslutningsvis kan man nog konstatera att problematiken omkring screening och transaktionsmonitorering är betydligt mer omfattande än vad många föreställer sig vilket inte minst kommer att visa sig i samband med en verksamhetsimplementation. I och med att kretsen av företag som väljer att aktivt arbeta med penningtvättsfrågorna breddas kommer många nya aktörer att stöta på dessa problem i samband med screeningen och transaktionsmonitoreringen.

Har du frågor eller funderingar omkring detta område så är du välkommen att kontakta mig.

Bo Korposoff, Periculo AB.