<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

AML Risikoanalyse for dummies

Header-photo ‹ Tilbake til artikler

Fra og med i dag gjelder ny hvitvaskingslov. De som nettopp har kommet hjem fra et lengre opphold hos en stamme i jungelen i Brasil vil tro at dette ikke er så viktig. Andre, som jobber med hvitvasking i en eller annen sammenheng vil vite at her blir det endel mer å gjøre, og at konsekvensene av å ikke strekke seg vil kunne være tunge å bære.

Så derfor skriver vi om AHV Risikoanalyse i dag. Alt arbeidet som gjøres for å sikre at en rapporteringspliktig «holder seg innafor» bygger på denne. Det betyr endel nye krav, men også en mulighet; gjennomfører du denne riktig, er faktisk mye av grunnlaget lagt for å gjøre resten riktig. Risikoanalysen er fundamentet som helhetlig etterlevelse bygger på.


Gjort riktig vil en AHV-risikoanalyse sikre etterlevelse på mange nivåer, og fungere som dokumentasjonsgrunnlag ved tilsyn. For eksempel vil den kunne fungere som dokumentasjon på at “virksomheten skal kunne påvise at omfanget av tiltakene er tilpasset den aktuelle risikoen” (§9), at “risikovurderingen er tilpasset virksomhetens art og omfang” og er “dokumentert og oppdatert” (§7) og at den rapporteringspliktige har “internkontroll i virksomheten som sørger for at loven overholdes” (§35).

Siden PwC bistår rapporteringspliktige virksomheter av alle typer å gjennomføre risikoanalyser har vi noen innsikter som kan være til hjelp ved gjennomføringen av en risikovurdering.

Ta en ting av gangen

Risikovurderingen bør deles inn i tydelige steg; Iboende risiko, vurdering av tiltak, fastsettelse av restrisiko.

Også i loven av 2009 het det at «Virksomheten skal kunne påvise at omfanget av tiltakene er tilpasset den aktuelle risikoen», men kravene til risikobasert tilnærming er vektlagt enda sterkere i ny lov. Risikoanalysen som er det helt sentrale verktøyet for å kunne dokumentere virksomhetens risikobaserte tilnærming. Den blir tydelig bare hvis man tar en ting av gangen, slik at det er mulig for en utenforstående å følge resonnementet. Det gjør det også enklere å strukturere selve analyseprosessen. Dette betyr å lage faser i analysen.

Først: Iboende risiko betyr risikoen sånn den fremstår, uten at det er lagt inn risikoreduserende tiltak. Hva kan skje om en kunde sender penger til Iran uten at du har noen kontroller? Hva kan skje om en PEP blir kunde uten at du vet om det?

Dernest: Vurdere tiltakene som er etablert for å vurdere hvor effektive disse er i å ta ned risiko. Mange opplever dette som den vanskeligste delen av risikoanalysen. Dette fordi en risiko (For eksempel PEP risiko) håndteres av flere kontroller samtidig, som kan ha ulik risikoreduserende innvirkning. Men det er den samlede effekten på risikoen som skal vurderes.

Til sist: Fastsette restrisiko. Restrisiko følger ofte av seg selv når iboende risiko og kvaliteten på tiltak er definert. Foreligger det høy iboende risiko, og kvaliteten på tiltakene er lav vil restrisiko være høy. Og motsatt: lav iboende og høy kvalitet på tiltak vil gi lav restrisiko.

Definer risikonivåer og kvalitet på tiltak

I praksis har det vært en svært skjønnsmessig vurdering hos rapporteringspliktige hva som er høy, lav og medium risiko. Mange har heller ikke hatt klart for seg forskjellen på iboende risiko og restrisiko.

For at risikoanalysen skal fungere som forutsatt er det viktig at det er tydelige kriterier for vurdering av risiko og kvaliteten på tiltak. Se eksempel nedenfor.

Iboende risiko

nivaa-iboende

Tiltak

nivaa-kontroller

Restrisiko

nivaa-restrisiko

Tallfest risiko

Djevelen finnes i detaljene, som det heter. I risikoanalysen kan man kanskje si den finnes i tallene. Ihvertfall er det helt nødvendig å tallfeste risiko hvis man skal ha håp om å etterleve hvitvaskingsloven av 2018. Det ligger i begrepet “virksomhetens art og omfang” som gjentas flere steder. Dette peker mot en systematisk avdekking og tallfesting av risiko.

Tallene besvarer egentlig spørsmål som dukker opp når listen over risikodrivere produseres. Hvor mange PEP kunder finnes i virksomheten? Hvor går egentlig swiftbetalingene, og hvor store er de? Hvordan svarer eiendomsmeglerkunder på spørsmålet om hvor egenkapitalen til boligkjøpet kommer fra i kunderegistreringsskjemaene?

Implikasjonen av dette er også at risikovurderingen krever en forberedelsesfase hvor nødvendige tall identifiseres og hentes frem.

Og hva så?

En godt gjennomført risikoanalyse skal munne ut i et tydelig bilde av restrisiko. Så komplekst og dynamisk risikobildet nå er blitt, vil det mest sannsynlig være restrisiko igjen som må adresseres. En risikoanalyse bør derfor munne ut i en handlingsplan med tiltak som reduserer denne. Det kan være policy endringer eller prosjekter som øker kvaliteten på kontrolltiltak, re-legitimering av deler av kundeporteføljen eller andre grep.

Lykke til!

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Unngå feilansettelser med enkle grep

Feilansettelser kan være svært kostbart og ressurskrevende for bedriften. Derfor handler rekrutteringsprosesser ikke bare om å finne den ...

Les artikkelen
Les artikkelen

Har du kontroll på dine leverandører?

Leverandøroppfølging vies stadig større oppmerksomhet, både som følge av nye nasjonale lovkrav og økte forventninger i samfunnet generelt. ...

Les artikkelen
Les artikkelen

Når er din virksomhet trygg?

Når vil din virksomhet være trygg mot cyberhendelser? Mest sannsynlig aldri. Men med god koordinering mellom cybersikkerhet og ...

Les artikkelen