<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">
Granskingsbloggen

Granskingsbloggen Gransking, varsling, økonomisk
kriminalitet og anti-korrupsjon

Granskingsbloggen Gransking, varsling, økonomisk
kriminalitet og anti-korrupsjon

AML Risikoanalyse for dummies

Av Henning Gravklev , 15. oktober 2018

Fra og med i dag gjelder ny hvitvaskingslov. De som nettopp har kommet hjem fra et lengre opphold hos en stamme i jungelen i Brasil vil tro at dette ikke er så viktig. Andre, som jobber med hvitvasking i en eller annen sammenheng vil vite at her blir det endel mer å gjøre, og at konsekvensene av å ikke strekke seg vil kunne være tunge å bære.

Header-photo

Så derfor skriver vi om AHV Risikoanalyse i dag. Alt arbeidet som gjøres for å sikre at en rapporteringspliktig «holder seg innafor» bygger på denne. Det betyr endel nye krav, men også en mulighet; gjennomfører du denne riktig, er faktisk mye av grunnlaget lagt for å gjøre resten riktig. Risikoanalysen er fundamentet som helhetlig etterlevelse bygger på.


Gjort riktig vil en AHV-risikoanalyse sikre etterlevelse på mange nivåer, og fungere som dokumentasjonsgrunnlag ved tilsyn. For eksempel vil den kunne fungere som dokumentasjon på at “virksomheten skal kunne påvise at omfanget av tiltakene er tilpasset den aktuelle risikoen” (§9), at “risikovurderingen er tilpasset virksomhetens art og omfang” og er “dokumentert og oppdatert” (§7) og at den rapporteringspliktige har “internkontroll i virksomheten som sørger for at loven overholdes” (§35).

Siden PwC bistår rapporteringspliktige virksomheter av alle typer å gjennomføre risikoanalyser har vi noen innsikter som kan være til hjelp ved gjennomføringen av en risikovurdering.

1: Ta en ting av gangen

Risikovurderingen bør deles inn i tydelige steg; Iboende risiko, vurdering av tiltak, fastsettelse av restrisiko.

Også i loven av 2009 het det at «Virksomheten skal kunne påvise at omfanget av tiltakene er tilpasset den aktuelle risikoen», men kravene til risikobasert tilnærming er vektlagt enda sterkere i ny lov. Risikoanalysen som er det helt sentrale verktøyet for å kunne dokumentere virksomhetens risikobaserte tilnærming. Den blir tydelig bare hvis man tar en ting av gangen, slik at det er mulig for en utenforstående å følge resonnementet. Det gjør det også enklere å strukturere selve analyseprosessen. Dette betyr å lage faser i analysen.

Først: Iboende risiko betyr risikoen sånn den fremstår, uten at det er lagt inn risikoreduserende tiltak. Hva kan skje om en kunde sender penger til Iran uten at du har noen kontroller? Hva kan skje om en PEP blir kunde uten at du vet om det?

Dernest: Vurdere tiltakene som er etablert for å vurdere hvor effektive disse er i å ta ned risiko. Mange opplever dette som den vanskeligste delen av risikoanalysen. Dette fordi en risiko (For eksempel PEP risiko) håndteres av flere kontroller samtidig, som kan ha ulik risikoreduserende innvirkning. Men det er den samlede effekten på risikoen som skal vurderes.

Til sist: Fastsette restrisiko. Restrisiko følger ofte av seg selv når iboende risiko og kvaliteten på tiltak er definert. Foreligger det høy iboende risiko, og kvaliteten på tiltakene er lav vil restrisiko være høy. Og motsatt: lav iboende og høy kvalitet på tiltak vil gi lav restrisiko.

Definer risikonivåer og kvalitet på tiltak

I praksis har det vært en svært skjønnsmessig vurdering hos rapporteringspliktige hva som er høy, lav og medium risiko. Mange har heller ikke hatt klart for seg forskjellen på iboende risiko og restrisiko.

For at risikoanalysen skal fungere som forutsatt er det viktig at det er tydelige kriterier for vurdering av risiko og kvaliteten på tiltak. Se eksempel nedenfor.

IBOENDE RISIKO

nivaa-iboende

TILTAK

nivaa-kontroller

RESTRISIKO

nivaa-restrisiko

Tallfest risiko

Djevelen finnes i detaljene, som det heter. I risikoanalysen kan man kanskje si den finnes i tallene. Ihvertfall er det helt nødvendig å tallfeste risiko hvis man skal ha håp om å etterleve hvitvaskingsloven av 2018. Det ligger i begrepet “virksomhetens art og omfang” som gjentas flere steder. Dette peker mot en systematisk avdekking og tallfesting av risiko.

Tallene besvarer egentlig spørsmål som dukker opp når listen over risikodrivere produseres. Hvor mange PEP kunder finnes i virksomheten? Hvor går egentlig swiftbetalingene, og hvor store er de? Hvordan svarer eiendomsmeglerkunder på spørsmålet om hvor egenkapitalen til boligkjøpet kommer fra i kunderegistreringsskjemaene?

Implikasjonen av dette er også at risikovurderingen krever en forberedelsesfase hvor nødvendige tall identifiseres og hentes frem.

Og hva så?

En godt gjennomført risikoanalyse skal munne ut i et tydelig bilde av restrisiko. Så komplekst og dynamisk risikobildet nå er blitt, vil det mest sannsynlig være restrisiko igjen som må adresseres. En risikoanalyse bør derfor munne ut i en handlingsplan med tiltak som reduserer denne. Det kan være policy endringer eller prosjekter som øker kvaliteten på kontrolltiltak, re-legitimering av deler av kundeporteføljen eller andre grep.

Lykke til!

 

 

 

Interesseområder: Antihvitvask, Forensics, Hvitvasking, operasjonell risiko, compliance, Forsikring og pensjon, Bank og finans, Regeletterlevelse (Compliance)

Dele artikkelen:

Henning Gravklev

Henning Gravklev
Jeg heter Henning Gravklev og er direktør i PwCs Granskingsenhet. For det meste arbeider jeg med tilretteleggelse av programmer for compliance og svindeldeteksjon.Jeg hjelper kunder å etterleve komplekse regelverk og risikofelt på en riktig og effektiv måte. Jeg har 20 års erfaring med operasjonell risiko, og har lang erfaring med oppsett av systemer for å fange opp svindel, anti-hvitvasking, terrorfinansiering og sanksjonsbrudd. I tillegg til å jobbet i finansforetak har jeg også jobbet som leverandør av deteksjonssystemer og i betalingsindustrien. Før PwC jobbet jeg i DNB, KPMG, Experian Decision Analytics, SEB, Europay og MasterCard International. Jeg har jobbet store deler av min karriere utenfor Norge. Jeg er samfunnsøkonom fra Universitetet i Oslo, med fordypelse i økonometri og med internasjonal rett som sidefag. Jeg har også tilleggsfag fra London School of Economics. Anti- hvitvasking og svindeldeteksjon har fått form av et våpenkappløp i et samfunn i stadig og rask utvikling. Risikobildet endrer seg, men også mulighetene til å håndtere risiko - det foregår en rivende teknologisk utvikling på området. Gode Compliance- programmer settes opp i krysspunktet mellom jus, risiko, teknologi og forretningsforståelse og må alltid tilpasses den enkelte organisasjon og menneskene som jobber der. Med fare for å virke nerdete, vil jeg si dette alltid er interessant og givende. Ta gjerne kontakt dersom du har noen spørsmål eller kommentarer til blogginnleggene mine.
henning.graklev@pwc.com
Du finner meg på:

Kommentere