Generellt från sanktionsbeslutet
Vikten av omfattande informationsinhämtning
Omfattningen av den externa information som en verksamhet förväntas samla in och beakta vid bedömning av hot och risker förefaller vara bredare än vad många trott. Exempelvis ligger information från Europols årsrapporter 2015-2017 till grund för FIs bedömning av ”mobiltelefonbranschen” som högrisk, vilket de hävdar att Aros Kapital bör tagit hänsyn till i sin egen hot- och riskbedömning av branschen.
Detta visar på behovet av att inkludera omfattande och aktuell information från myndigheter som Skatteverket, Europol och Ekobrottsmyndigheten i förarbetet till riskbedömningen. En strukturerad och väl underhållen omvärldsbevakning som föder in i riskbedömningen är nyckeln här.
Tydlig hänvisning till EBA-riktlinjer
Finansinspektionen hänvisar också för första gången explicit till EBA risk factor guidelines i ett sanktionsbeslut rörande AML. Det är en bra påminnelse om att en verksamhetsutövare behöver beakta EBA Guidelines på samma sätt som FIs allmänna råd, enligt devisen ”följ eller förklara”. FI belyser vidare att verksamheter som bortser från vägledningen förväntas kunna förklara hur de, trots detta, uppfyller krav i lagar och föreskrifter.
Brister i Aros Kapitals AML-arbete
- Brister i allmän riskbedömning och riskanalys
Sanktionsbeslutet pekar på allvarliga brister i Aros Kapitals allmänna riskbedömning. Företaget har inte anpassat sin verksamhet för att upprätthålla tillräcklig kontroll över sina risker under en period av snabb expansion.
Aros Kapitals bedömning av riskerna förknippade med vissa branscher och kundgrupper har varit bristfällig. Finansinspektionen tar i denna del av beslutet upp Aros exponering mot ”mobiltelefonbranschen”, en bransch som Aros enbart behandlat som en del i en sammanfattande analys i sin allmänna riskbedömning. FI pekar på ”avsaknaden av en närmare analys av riskerna med kundgruppen” vilket kan tolkas som att FI betraktar vissa branscher som helt separata kundgrupper om verksamhetsutövaren har väsentlig exponering mot denna. Om man som verksamhetsutövare har en icke oväsentlig exponering mot en viss högriskbransch bör man alltså hantera branschen som en kundgrupp och analysera riskerna med denna mer djupgående än ändra branscher.
- Brister i allmän riskbedömning: hantering av intern information
Utöver bristande branschanalys har Aros Kapital inte heller kunnat påvisa hur de i sin allmänna riskbedömning tar hänsyn till och beaktar internt identifierade omständigheter, specifikt kopplat till de rapporter som bolaget själva skickat in till Finanspolisen. Det är tydligt i beslutet att FI både ser det som problematiskt att rapporteringen inte beaktats, men även i de perioder som rapporterna finns med i riskbedömningen, så har tillvägagångssättet för hur rapporterna beaktats varit bristfälligt. Den sammantagna bedömningen är att bristerna är av sådan art att Finansinspektionen inte anser att Aros Kapital ha uppfyllt kraven i 2 kap. 1 § penningtvättslagen.
Att inte ha tydliga metoder och processer för hur interna omständigheter ska beaktas i den allmänna riskbedömningen är en återkommande problematik vi möter hos våra kunder. Att ha en strukturerad metodik för hur denna information ska beaktas och att analysera denna enligt en satt process är en viktig faktor för att uppnå regelverkskraven och korrekt kunna beakta vad som rapporteras till Finanspolisen i den allmänna riskbedömningen.
- Brister i kundriskmodell: felaktig poängsättning och viktning
FI har identifierat problem med Aros Kapitals kundriskklassificeringsmodell, särskilt i fråga om viktningen och poängsättning av riskfaktorer. Aros Kapitals modell har enligt FI bestått av ett antal riskfaktorer som via olika typer av poängsättning antingen bidragit till en höjande eller sänkande effekt på kundens totala risknivå. En kunds slutgiltiga risknivå har sedan i modellen baserats på huruvida den sammanlagda riskpoängen (dvs. sammanlagda summan av alla enskilda riskfaktorpoäng) är högre eller lägre än de numeriska tröskelvärden som verksamheten satt. Så långt allt väl – denna uppbyggnad av en modell är vanligt förekommande i branschen.
Det som sedan följer i beslutet är ett välformulerat resonemang i vilket Finansinspektionen understryker betydelsen av att poängsättningen av olika riskfaktorer görs på ett korrekt och genomtänkt sätt.
Baserat på våra egna erfarenheter blir det här tydligt var Aros Kapital brustit i sin riskbedömning av kunder. FI pekar tydligt på hur modellens utformning och poängsättningslogik har lett till felaktiga klassificeringar av kunder. Vi har de senaste åren lagt särskilt fokus på att hjälpa flera av våra kunder med deras riskmodeller och själva sett att det är just i poängsättningen av riskfaktorer som en överväldigande majoritet av företag går fel.
Det är viktigt att poängsättningen av riskfaktorer görs korrekt och på basis av en välgrundad bedömning av deras betydelse. Generellt sett bör den poäng som sätts på en riskfaktor grunda sig i betydelsen av den bakomliggande risken, dvs den inneboende riskens storlek. Riskfaktorer förknippade med mer betydande risk för penningtvätt eller finansiering av terrorism bör poängsättas med högre numeriska värden än riskfaktorer förknippade med mindre betydande risk.
Utan en tydlig och genomtänkt metodik att hålla sig i blir både poängsättning och viktning av riskfaktorer en närmast omöjlig uppgift. I många fall resulterar ogenomtänkt poängsättningslogik i att modellens utfall får oväntade konsekvenser.
Det framgår vidare i beslutet att Aros tillämpat en modell som ”på ett närmast systematiskt sätt” medförde att kunder, som rimligen borde ansetts utgöra hög risk, inte kom att bedömas som högriskkunder. Förekomsten av fler olika högriskfaktorer förefaller dock inte vara den enda anledningen till den bedömningen. Istället pekar FI på att genomslaget av de riskhöjande faktorer som faktiskt förelåg till allt för stor del reducerats av modellens risksänkande faktorer.
Oaktat risksänkande faktorer bör verksamhetsutövare först och främst säkerställa att kunder som omfattas av högriskfaktorer inte klassificeras som lågriskkunder, även om det bara handlar om en enskild högriskfaktor. Exakt vad som gör och inte gör en kund till högrisk är svårt att generalisera. I vissa fall är det lämpligt att en kund som omfattas av en eller två högriskfaktorer klassas som en högriskkund. I andra fall kan tre eller fyra högriskfaktorer behövas. Allt beror på de enskilda högriskfaktorernas betydelse, lämpligheten i de bakomliggande antaganden som gjorts och på modellens utformning, poängsättning och logik.
Precis som FI själva pekar på är det centrala att man bedömer vad som utgör låg-, medel- och högriskkunder utifrån de faktiska risker som förknippade med den egna verksamheten och företagets kunder.
- Brister i kundriskmodell: koppling till allmän riskbedömning
Precis som i sanktionsbeslutet mot Goobit tidigare i år, understryker Finansinspektionen återigen betydelsen av att en verksamhetsutövares kundriskklassificeringsmodell kopplas till företagets allmänna riskbedömning. Riskfaktorer som identifierats i den allmänna riskbedömningen måste användas konsekvent i modellen för att undvika inkonsekventa bedömningar.
Det behöver med andra ord finnas en tydlig koppling och röd tråd mellan de riskfaktorer som identifieras i sin allmänna riskbedömning och de riskfaktorer som ingår i verksamhetsutövaren riskklassificeringsmodell för kunder.
Gällande Aros Kapital betonar Finansinspektionen att det både handlat om riskfaktorer i den allmänna riskbedömningen som bolaget inte använt i sin modell och om att vissa riskfaktorer som använts i modellen men inte funnits med i bolagets allmänna riskbedömning.
Denna del i beslutet tydliggör hur viktigt det är med en tydlig modelldokumentation som förklarar den röda tråden och gör att identifierade risker och riskindikatorer går att följa hela vägen från riskbedömning till dokumentation över mitigerande åtgärder.
- Brister i validering: Aros modeller har förvisso validerats – men inte good enough
Det är inte första gången Finansinspektionen påpekar brister i validering av modeller – men i tidigare beslut har problematiken helt enkelt bestått i att validering saknats. Här är validering av kundriskklassificeringsmodellen gjord, men den tycks ha missat målet: att bedöma om en modell är ändamålsenlig utifrån de faktiska risker som är förknippade med den egna verksamheten och bolagets kunder.
Aros har haft dokumentation framtagen för hur en valideringsprocess ska utföras, och en valideringsrapport har funnits att läsa för FI. Däremot saknar valideringsrapporten en analys av riskerna med Aros kunder, och valideringen har fallerat i att upptäcka felaktigheter i de antaganden som legat till grund för modellen. Bristen belyser vikten av att ha robusta valideringsrutiner på plats, samt att ha den interna kompetensen att kvalitetsgranska en genomförd validering i de fall den utförs av en extern part.
- Otillräckliga åtgärder för kundkännedom: vikten av uppföljning och väldokumenterade EDD-åtgärder
Aros Kapital har brustit i att följa upp affärsförbindelser i relation till larm i övervakningssystemet, och den koppling som här görs mellan larm i övervakningssystem och skyldigheten att följa upp affärsförbindelser är tydligare än i tidigare beslut.
Otillräckligt skärpta åtgärder för kundkännedom på Aros högriskkunder är en annan viktig del i beslutet. Finansinspektionen belyser vikten av att utföra dessa inom satta tidsramar och att dokumentera syfte och art tillfredsställande. Aros hade för flertalet av sina högriskkunder dokumenterat syfte och art med enskilda ord. Här är Finansinspektionen tydlig med att Aros inte uppfyller sina skyldigheter enligt 3 kap. 16 §.
Vidare belyser Finansinspektionen vikten av att verksamhetsutövaren inhämtar uppgifter om medlens ursprung för högriskkunder. För lån tydliggör FI att information kring medlens ursprung ska inhämtas rörande kundens egen delfinansiering och amortering. Verksamhetsutövaren bör också inhämta information om, förstå och dokumentera kundens affärsverksamhet och ekonomiska situation, mer än med bara enstaka ord. FI exemplifierar även dokument som bör inhämtas så som balans- och resultaträkning.
Dessa delar i beslutet är en bra påminnelse kring hur arbetet med ODD och EDD bör utföras och dokumenteras. Att tydligt dokumentera i vilka situationer en affärsförbindelse behöver uppdateras, både sett till periodisk uppdatering och event-triggad, till exempel i samband med vissa typer av avvikelser i övervakningen av transaktioner, är av vikt för att kunna beskriva hur man som verksamhetsutövare uppfyller kraven i 3 kap. 16 §. Att tillräckligt detaljerat beskriva kundkännedomen för en högriskkund är en annan problematik som inte är ovanlig hos verksamhetsutövare – denna behöver hanteras både genom tydliga rutiner och ett adekvat internkontrollramverk som säkrar att EDD-utförande och dokumentation uppfyller såväl interna som externa regelverk.