av

Som rubriken antyder så är det en större utmaning än många tror att implementera regelverket för penningtvätt i den egna organisationen. I denna artikel har jag valt att belysa denna problematik utifrån några olika perspektiv.

Innan jag fortsätter så kan jag konstatera att även om jag tar upp svårigheterna vid implementering av AML regelverket så kan man nog generalisera lite och konstatera att utmaningen ganska likartad för andra typer av regelverk.

Det 4:e penningtvättsdirektivet är i antågande med ytterligare skärpningar inom AML området. Detta aktualiserar naturligtvis behovet av att lyckas med att implementera det kommande regelverket på ett framgångsrikt sätt i den egna organisationen. Men att lyckas med regelverksimplementering är nog svårare än vad många inser. En fråga som man kan ställa sig är hur många som framgångsrikt lyckats implementera det 3:e penningtvättsdirektivet fullt ut i sin organisation.

Finansinspektionen har utdelat ett antal sanktioner under senare år inom AML området vilket ger en fingervisning om svårigheterna att lyckas. Det är nog knappast en överdrift att påstå att mer eller mindre alla utdelade sanktioner har haft sin grund i att man har i något avseende misslyckats med den egna implementationen i främst affärsledet.

Den tveklöst största utmaningen som man stöter på vid implementation av AML regelverket är att få affärsverksamheten att förstå och tillämpa regelverket. Eftersom AML regelverket ofta upplevs som ett hinder för affären så utgör affärskulturen ibland ett ”osynligt” hinder att ta hänsyn till vilket projektarbetet sällan tar höjd för. Frågor omkring företagskulturen kan dessutom vara ett känsligt kapitel att ta tag i.

Ett bristfälligt angreppssätt, som jag själv stött på, är att man försöker göra en IT fråga av problemet. Det innebär att projektet fokuserar så gott som enbart på utveckling av systemlösningar för exempelvis insamling av kundkännedomsinformation, screening kunder mot sanktionslistor etc. Sådana projekt blir sällan lyckade eftersom de endast löser en del av problemet.

Vilka områden bör då ett regelimplementeringsprojekt ta höjd för? Detta är kanske inte en helt enkel fråga att besvara men jag tänkte ta upp några exempel på områden i den följande texten som jag tycker är viktiga att ta hänsyn till.

 

Syfte & Mål

Alla projekt startar med att man ska definiera ett syfte och mål. Vad är det för något som projektet ska lösa? De regelimplementeringsprojekt som i huvudsak har blivit en IT fråga har förmodligen redan på detta stadium fått en felaktig inriktning eftersom regelimplementeringar knappast ensamt handlar om endast IT.

Det är viktigt att fundera över vilka kritiska framgångsfaktorer som krävs för att lösa problemet och tillse att dessa områden också inryms i projektet. En grundläggande framgångsfaktor är ledningens stöd och engagemang vid regelverksimplementationer. Ingen ledning säger väl att regelverk och lagar inte är det viktigaste men om företagskulturen är sådan att affären underförstått alltid kommer i första hand så har man kanske en osynlig fiende att kämpa emot.

En annan framgångsfaktor är att driva regelimplementationer med helhetssyn. Inte sällan drivs flera projekt med olika beställare och projektledare inom olika områden som IT, utbildning, processutveckling etc. En annan variant är att man driver projekt som omfattar vissa delar av AML området och att man sedan har delegerat åt verksamheten att driva övriga delar som en linjeaktivitet. Projektarbete och linjearbete är två vitt skilda angreppssätt på hur man tar sig an och löser en uppgift. Splittrar man ut implementationen i olika projekt eller i kombination med linjearbete så är det lätt att tappa kontrollen över slutresultatet. Även om respektive projekt eller linjeaktivitet kan enskilt uppfattas som framgångsrikt så behöver inte detta betyda att man har lyckats med sin regelimplementering som helhet.

En annan aspekt att beakta är vem man sätter som projektledare. Det är en stor skillnad på att vara en duktig IT projektledare jämfört med att vara verksamhetsprojektledare med kompetens omkring regelimplementering.

 

Processer

Regelimplementering innebär vanligen ett förändringsarbete och då kommer existerande processer att påverkas i verksamheten. I AML sammanhang är det dessutom viktigt att ha strömlinjeformade och effektiva processer som fungerar att arbeta utifrån och också uppfattas av kunderna som väl fungerade.

Det man kanske först tänker på i processammahang är onboarding processen för nya kunder. AML regelverket ställer långtgående krav på informationsinhämtning och kontroller innan en affärsrelation får inledas vilket gör att denna process blir ganska omfattande.

Vid all IT utveckling så borde det vara en självklarhet att projektet också innefattar processutveckling som en del av projektet då IT förändringar vanligen har en stor påverkan på processen. Trots detta faktum glöms detta området bort ibland eller åtminstone inte får den uppmärksamhet som det förtjänar.

 

Organisation, ansvar, roller

Ovanstående rubrik innefattar ett ganska stort område som vid regelimplementationer är viktigt att beakta. Organisatoriska frågor såväl som frågor omkring roller och ansvar kan i vissa organisationer vara känsligt att ha synpunkter på. Dock kommer frågor inom detta område att dyka upp vid en regelimplementering. Exempel på frågeställningar som kan ha en påverkan på detta område är:

  • Hur ska ärenden med hög risk som ska hanteras med skärpta åtgärder kanaliseras för vidare utredning?
  • Vem fattar beslut omkring en PEP innan en affärsförbindelse får inledas?
  • Hur ser samspelet ut mellan första linjen och compliance funktionen i andra linjen?
  • Vem utreder verklig huvudman, ev. träffar mot sanktionslistor?
  • Hur sker samspelet mellan affärsansvariga och ”first line compliance” i det fall man har inrättat en sådan funktion?

Som synes så stöter man på en rad olika frågeställningar som kan ha en påverkan på hur man organiserar sig eller frågor omkring roller och ansvar. Vid en regelimplementering som innebär förändring av något slag så är risken stor för att det aktualiserar frågor under detta avsnitt. Innefattar inte projektet att fånga upp organisatoriska eller ansvarsfrågor så lämnas dessa frågor till verksamheten att själv lösa vilket vanligen resulterar i problem och mindre optimala lösningar.

 

Utbildning

Vid alla regelimplementationer så är utbildning en nyckel till framgång. AML regelverket är inget undantag i detta avseende och det är dessutom långt ifrån enkelt att förstå och tillämpa utan goda kunskaper vilket vanligen kräver stora utbildningsinsatser. Det kommande 4:e penningtvättsdirektivet gör knappast saken enklare i detta perspektiv.

Det är viktigt att lägga upp en praktisk utbildning som scenario-anpassas d.v.s. utformas utifrån hur regelverk påverkar medarbetarnas dagliga verksamhet. Om utbildningen läggs upp enbart ur ett teoretiskt perspektiv så blir det mycket svårt för medarbetarna att omsätta detta i praktiken.

I sammanhanget är det inte sällan som penningtvättsutbildningar utformas ganska generellt med ett litet mått av företagsanpassning. Efter en sådan utbildning brukar frågan fortfarande vara obesvarad hur penningtvättsregelverket påverkar och vilka risksituationer som är aktuella för den enskilda medarbetaren i det dagliga arbetet.

 

IT-infrastruktur

Vid regelverksimplementationer så finns det ofta en övertro på IT som problemlösare. Dock är det viktigt att ta tag i frågorna omkring bland annat en väl fungerande informationsarkitektur då man inte ska underskatta problemet med att lagra kundkännedomsinformation. Bekymret som de flesta råkar på är att man inte har endast ett system utan en mängd system som vart och ett i allmänhet innehåller kundinformation.

Det är med andra ord viktigt att ha en strategi avseende var och hur man ska konsolidera och lagra kundinformation samt hur man ska hantera integrationsproblematiken i sammanhanget. När man tar del av penningtvättslagstiftningen så inser man också att ny information tillkommer som regelverket ställer krav på och som måste adderas till kundinformationen.

Ett exempel på ny information är riskklassningen av kunder som innebär att man måste kunna lagra respektive kunds riskklass och bevaka eventuella förändringar. Ett annat område är alla handlingar och information från kund som inhämtas bland annat vid den grundläggande kundkännedomsprocessen eller i samband med genomförande av transaktioner där man har begärt in kompletterade information.

Något som kan vara lockande i sammanhanget är att ha fritext fält där man kan skriva in kompletterade information som kunden angivit vid genomförande av en transaktion. Dessvärre så kan detta innebära stora problem när man sedan i efterhand ska genomsöka informationen och då upptäcker begränsningarna med att söka specifik information i fritext fält. En annan fälla är när man lagrar handlingar från kund i PDF format och sedan i efterhand ska återsöka någon del av den skannade informationen. Då upptäcker man snabbt att detta inte är möjligt och har i allmänhet endast indexeringen för dokumentet att tillgå vilket sällan räcker.

Ovanstående kan verka som triviala problem men har man en stor kundbas med omfattande kundkännedomsinformation och många transaktioner så blir problemet vid återsökning snabbt stort. Skulle man dessutom ha oturen att i framtiden få frågor från tillsynsmyndigheten på information som är lagrad på ett bristfälligt sätt enligt ovan så kan arbetsinsatsen bli mycket stor att lyckas prestera svar på sådana frågor.

 

Implementeringsplan

Slutligen så är det naturligtvis mycket viktigt att upprätta en plan för hur regelverks-implementeringen ska gå till i praktiken. I sammanhanget finns det väldigt många frågor att ta hänsyn till. Ett par exempel kan vara:

  • I vilken ordning ska införandet ske av exempelvis instruktioner, processförändringar och IT anpassningar implementeras?
  • Hur säkerställer man att förändrade styrdokument, instruktioner etc har förståtts och tillämpas av verksamheten?
  • Hur säkerställer man att eventuella processförändringar har slagit igen i verksamheten?
  • Hur åstadkommer man tillräcklig förankring hos linjecheferna för att säkerställa att de regulatoriska frågorna hamnar på deras agenda?

Som synes så finns det många olika frågeställningar att beakta vilka förvisso är representativa för regelverksimplementationer i stort och inte endast för AML.

Slutligen tänkte jag ge några goda råd vid regelverksimplementation av AML. Dessa råd får dock endast ses som ett par exempel på vad man bör tänka på.

  • Se till att få ledningens stöd och engagemang då detta är en kritisk framgångsfaktor
  • Lägg stor vikt vid förankringsarbetet för att få med dig verksamheten
  • Driv arbetet som ett sammanhållet projekt med helhetsperspektiv
  • Lägg kraft på informationsarkitektur och integrationsfrågorna avseende lagring av kundkännedomsinformation
  • Lägg stort fokus på utbildning då en lyckad implementation av AML bygger på att affärsverksamheten förstår regelverket och också kan tillämpa det
  • Överväg att inrätta ”First line compliance” som ett stöd åt affärsverksamheten
  • Att tillsätta en extern projektledare som inte har någon “intern belastning” kan vara klokt

Slutligen ska sägas att denna artikel utrycker min personliga erfarenhet av regelimplementationer och att det säkert finns mycket mer att tillägga. Förhoppningsvis kan det jag skrivit vara till hjälp när man står inför problemet att försöka implementera AML regelverk.

Har du frågor runt denna artikel eller mina tidigare artiklar omkring AML området avseende screening och transaktionsmonitorering eller riskanalysen så är du naturligtvis välkommen att kontakta mig.

Bo Korposoff, Periculo AB