Granskingsbloggen

Granskingsbloggen Gransking, varsling, økonomisk
kriminalitet og anti-korrupsjon

Granskingsbloggen Gransking, varsling, økonomisk
kriminalitet og anti-korrupsjon

Anti-hvitvasking og Elektronisk overvåking

Av Henning Gravklev , 28. mai 2017

Elektroniske overvåkingssystemer håndterer tre funksjoner rapporteringspliktige i henhold til hvitvaskingsloven:

  • Transaksjonsovervåking
  • Risikoklassifisering
  • Screening mot sanksjons- og PEP- lister (PEP = Politisk Eksponerte Personer). 

PWC illustrasjon.jpg

De spesifikke krav til bruk av slike systemer er hjemlet hvitvaskingsregelverket, og i flere internasjonalt utstedte veiledningsdokumenter. Utfordringen for de rapporteringspliktige er mangelen på konkrete og spesifikke veiledningsdokumenter som beskriver hvordan systemene skal settes opp, konfigureres og driftes.

 

Dette har endret seg i de siste to årene, ettersom lovverk og veiledninger fra verdenen rundt oss har etablert tydeligere styringsprinsipper. Mange av disse styringsprinsippene har vært etablert en stund som “Best Practice” i større finansmarkeder. Det er min oppfatning at disse prinsippene egentlig ikke innebærer en mye større arbeidsbyrde for den rapporteringspliktige, men det kreves mye mer tydelighet i hvordan AHV rammeverket er satt opp. Noe som strengt tatt følger av de lovforslag som nå foreligger, også for Norge sin del.

Juridiske bakgrunn

Utenfor Norsk lovverk finner man nedfelt konkrete beskrivelser av hvordan et elektronisk overvåkingsverktøy bør fungere i Basel- kommiteens veiledningsdokument for anti-hvitvasking og anti-terrorfinansiering, Wolfsberg- gruppens veiledninger samt nyere amerikansk lovgivning (Department of Financial Services, New York State, Part 504), for å nevne noen.  

Det som blir tydeligere når man orienterer seg i denne dokumentasjonen er hvor IT- tungt compliancearbeidet er blitt. En compliance- avdeling som ikke har tilgang på dyp og tung IT- kompetanse vil fort få store utfordringer med å sikre etterlevelse, særlig hos de rapporteringspliktige med en mer sammensatt portefølje.

Jeg vil i dette blogginnlegget beskrive helt kort noen av de styringsprinsippene som kan hentes ut av de regelverk og veiledningsdokumenter som er nevnt over.

Hva må være på plass?

Risikobasert tilnærming

Det elektroniske overvåkingssystemet skal  være satt opp på en risikobasert måte. For å få til det må særlig to ting gjøres:

  • Måten alle scenarier, filtre, regler etc. er satt opp på skal henge sammen med risikoanalysen, og ha sin begrunnelse ut fra forhold identifisert der.
  • Det elektroniske overvåkingssystemet ha en tydelig og klar innretning mot de forhold som innebærer høy risiko, slik dette er definert i risikoanalysen.
Illustrasjon artikkel 2.jpg

Sanksjonsetterlevelse

Også oppsett av liste-screening  bør være risikobasert. Eksempelvis skal det detaljnivå navne- matchingen foregår på være bestemt av risikoen i transaksjonen.

Dataintegritet

Myndigheter i enkelte av Norges naboland har økt fokuset på datakvalitet i AHV- arbeidet, og dette er et regulatorisk krav som viser seg i stadig flere reguleringer på andre områder. Det er naturlig å forvente at også norske myndigheter vil komme til å stille krav til at de rapporteringspliktige har testet dataintegriteten til Norske rapporteringspliktiges AHV overvåkingssystemer.

Utredninger

Sporbarhet er et sentralt prinsipp i alt AHV - arbeide, også i utredninger, det vil si arbeidet med å analysere de varsler og unntaksmeldinger som det elektroniske overvåkingssystemet genererer. For å sikre sporbarhet i utredningsarbeidet er det særlig to elementer som må være på plass:

  • Systematikk for å spore systemets alarmer og hvordan disse håndteres. Dette er typisk en beskrivelse
  • Tydelige instrukser og rammeverk som angir hvordan utredning skal foregå, hvem som er ansvarlig, og hvilket beslutningsrom den enkelte har

Dokumentasjon

Dokumentasjonskravet ligger på to nivåer:

  • En beskrivelse av de enkelte scenarier, filtre og regler. Denne beskrivelsen bør være på et enkelt nivå som identifiserer hva slags risiko de enkelte elementer adresserer
  • Også systemdokumentasjon og hvordan det elektroniske overvåkingssystemet er integrert i den rapporteringspliktiges infrastruktur end-to-end bør være dokumentert

Styring, organisering og beslutning

Det bør være tydelig hvordan det elektroniske overvåkningssystemet følges opp og endres.

  • Hvordan måles ytelsen til systemet? False-positiv tall, antall rapportering til økokrim etc.
  • Hvordan og hvor ofte oppdateres systemets innstillinger, scenarier, filtre og regler?
  • Hvem er det som har ansvar for å bestemme og følge opp disse systeminnstillingene?

Testing

Hva slags testregime foreligger for å sikre at systemet leverer som forventet?  Har systemet blitt analysert av en uavhengig tredjepart?

Hva gjør jeg nå?

First things first: Vår erfaring er at den aller største, og umiddelbare, utfordringen rapporteringspliktige har i forhold til elektronisk overvåking er å sikre at den elektroniske overvåkingen er justert og oppdatert i forhold til risiko. Det er også her den største regulatoriske risikoen ligger. Hvordan rapporteringspliktige kan etablere et digitalt veikart for compliance generelt og for AHV spesielt vil jeg drøfte i mitt neste blogginnlegg.

 

Velkommen til frokostseminar

Vi utforsker temaet over på et frokostseminar 14. juni hvor vi vil fokusere på tre temaer:

  • Hva kommer i ny hvitvaskingslov og hva er implikasjonene, vi har skrevet et blogginnlegg om temaet.
  • Elektronisk AHV overvåking - hvordan sette det opp og hva bør være på plass
  • Hvordan kan elektronisk AHV overvåking utvikles fremover med økte regulatorisk krav og bransjens kostnadsfokus


Meld deg på HER. Velkommen!






Interesseområder: Hvitvasking, Elektronisk overvåking

Dele artikkelen:

Henning Gravklev

Henning Gravklev
Jeg heter Henning Gravklev og er direktør i PwCs Granskingsenhet. For det meste arbeider jeg med tilretteleggelse av programmer for compliance og svindeldeteksjon.Jeg hjelper kunder å etterleve komplekse regelverk og risikofelt på en riktig og effektiv måte. Jeg har 20 års erfaring med operasjonell risiko, og har lang erfaring med oppsett av systemer for å fange opp svindel, anti-hvitvasking, terrorfinansiering og sanksjonsbrudd. I tillegg til å jobbet i finansforetak har jeg også jobbet som leverandør av deteksjonssystemer og i betalingsindustrien. Før PwC jobbet jeg i DNB, KPMG, Experian Decision Analytics, SEB, Europay og MasterCard International. Jeg har jobbet store deler av min karriere utenfor Norge. Jeg er samfunnsøkonom fra Universitetet i Oslo, med fordypelse i økonometri og med internasjonal rett som sidefag. Jeg har også tilleggsfag fra London School of Economics. Anti- hvitvasking og svindeldeteksjon har fått form av et våpenkappløp i et samfunn i stadig og rask utvikling. Risikobildet endrer seg, men også mulighetene til å håndtere risiko - det foregår en rivende teknologisk utvikling på området. Gode Compliance- programmer settes opp i krysspunktet mellom jus, risiko, teknologi og forretningsforståelse og må alltid tilpasses den enkelte organisasjon og menneskene som jobber der. Med fare for å virke nerdete, vil jeg si dette alltid er interessant og givende. Ta gjerne kontakt dersom du har noen spørsmål eller kommentarer til blogginnleggene mine.
henning.graklev@pwc.com
Du finner meg på:

Kommentere