Anti-hvitvasking og Elektronisk overvåking
Elektroniske overvåkingssystemer håndterer tre funksjoner rapporteringspliktige i henhold til hvitvaskingsloven:
- Transaksjonsovervåking
- Risikoklassifisering
- Screening mot sanksjons- og PEP- lister (PEP = Politisk Eksponerte Personer).
De spesifikke krav til bruk av slike systemer er hjemlet hvitvaskingsregelverket, og i flere internasjonalt utstedte veiledningsdokumenter. Utfordringen for de rapporteringspliktige er mangelen på konkrete og spesifikke veiledningsdokumenter som beskriver hvordan systemene skal settes opp, konfigureres og driftes.
Dette har endret seg i de siste to årene, ettersom lovverk og veiledninger fra verdenen rundt oss har etablert tydeligere styringsprinsipper. Mange av disse styringsprinsippene har vært etablert en stund som “Best Practice” i større finansmarkeder. Det er min oppfatning at disse prinsippene egentlig ikke innebærer en mye større arbeidsbyrde for den rapporteringspliktige, men det kreves mye mer tydelighet i hvordan AHV rammeverket er satt opp. Noe som strengt tatt følger av de lovforslag som nå foreligger, også for Norge sin del.
Juridiske bakgrunn
Utenfor Norsk lovverk finner man nedfelt konkrete beskrivelser av hvordan et elektronisk overvåkingsverktøy bør fungere i Basel- kommiteens veiledningsdokument for anti-hvitvasking og anti-terrorfinansiering, Wolfsberg- gruppens veiledninger samt nyere amerikansk lovgivning (Department of Financial Services, New York State, Part 504), for å nevne noen.
Det som blir tydeligere når man orienterer seg i denne dokumentasjonen er hvor IT- tungt compliancearbeidet er blitt. En compliance- avdeling som ikke har tilgang på dyp og tung IT- kompetanse vil fort få store utfordringer med å sikre etterlevelse, særlig hos de rapporteringspliktige med en mer sammensatt portefølje.
Jeg vil i dette blogginnlegget beskrive helt kort noen av de styringsprinsippene som kan hentes ut av de regelverk og veiledningsdokumenter som er nevnt over.
Hva må være på plass?
Risikobasert tilnærming
Det elektroniske overvåkingssystemet skal være satt opp på en risikobasert måte. For å få til det må særlig to ting gjøres:
- Måten alle scenarier, filtre, regler etc. er satt opp på skal henge sammen med risikoanalysen, og ha sin begrunnelse ut fra forhold identifisert der.
- Det elektroniske overvåkingssystemet ha en tydelig og klar innretning mot de forhold som innebærer høy risiko, slik dette er definert i risikoanalysen.
Sanksjonsetterlevelse
Også oppsett av liste-screening bør være risikobasert. Eksempelvis skal det detaljnivå navne- matchingen foregår på være bestemt av risikoen i transaksjonen.
Dataintegritet
Myndigheter i enkelte av Norges naboland har økt fokuset på datakvalitet i AHV- arbeidet, og dette er et regulatorisk krav som viser seg i stadig flere reguleringer på andre områder. Det er naturlig å forvente at også norske myndigheter vil komme til å stille krav til at de rapporteringspliktige har testet dataintegriteten til Norske rapporteringspliktiges AHV overvåkingssystemer.
Utredninger
Sporbarhet er et sentralt prinsipp i alt AHV - arbeide, også i utredninger, det vil si arbeidet med å analysere de varsler og unntaksmeldinger som det elektroniske overvåkingssystemet genererer. For å sikre sporbarhet i utredningsarbeidet er det særlig to elementer som må være på plass:
- Systematikk for å spore systemets alarmer og hvordan disse håndteres. Dette er typisk en beskrivelse
- Tydelige instrukser og rammeverk som angir hvordan utredning skal foregå, hvem som er ansvarlig, og hvilket beslutningsrom den enkelte har
Dokumentasjon
Dokumentasjonskravet ligger på to nivåer:
- En beskrivelse av de enkelte scenarier, filtre og regler. Denne beskrivelsen bør være på et enkelt nivå som identifiserer hva slags risiko de enkelte elementer adresserer
- Også systemdokumentasjon og hvordan det elektroniske overvåkingssystemet er integrert i den rapporteringspliktiges infrastruktur end-to-end bør være dokumentert
Styring, organisering og beslutning
Det bør være tydelig hvordan det elektroniske overvåkningssystemet følges opp og endres.
- Hvordan måles ytelsen til systemet? False-positiv tall, antall rapportering til økokrim etc.
- Hvordan og hvor ofte oppdateres systemets innstillinger, scenarier, filtre og regler?
- Hvem er det som har ansvar for å bestemme og følge opp disse systeminnstillingene?
Testing
Hva slags testregime foreligger for å sikre at systemet leverer som forventet? Har systemet blitt analysert av en uavhengig tredjepart?
Hva gjør jeg nå?
First things first: Vår erfaring er at den aller største, og umiddelbare, utfordringen rapporteringspliktige har i forhold til elektronisk overvåking er å sikre at den elektroniske overvåkingen er justert og oppdatert i forhold til risiko. Det er også her den største regulatoriske risikoen ligger. Hvordan rapporteringspliktige kan etablere et digitalt veikart for compliance generelt og for AHV spesielt vil jeg drøfte i mitt neste blogginnlegg.
Velkommen til frokostseminar
Vi utforsker temaet over på et frokostseminar 14. juni hvor vi vil fokusere på tre temaer:
- Hva kommer i ny hvitvaskingslov og hva er implikasjonene, vi har skrevet et blogginnlegg om temaet.
- Elektronisk AHV overvåking - hvordan sette det opp og hva bør være på plass
- Hvordan kan elektronisk AHV overvåking utvikles fremover med økte regulatorisk krav og bransjens kostnadsfokus
Meld deg på HER. Velkommen!
Legg igjen en kommentar