Penningtvättsregelverket bygger på ett riskbaserat förhållningssätt och ställer höga krav på verksamhetsutövarens egna bedömningar. Det stora tolkningsutrymmet gör därmed Finansinspektionens kommunikation och tillsynsbeslut särskilt viktiga att analysera: de tydliggör hur regelverket tillämpas i praktiken och var gränserna går.
I Intergiros fall handlar det om återkommande och allvarliga brister inom tre grundläggande områden: allmän riskbedömning, kundkännedomsåtgärder och rapportering av misstänkta transaktioner. I två separata artiklar sammanfattas och analyseras beslutet, samtidigt som praktiska rekommendationer ges avseende hur bristerna hade kunnat åtgärdas i praktiken.
Den första delen fokuserar på Intergiros allmänna riskbedömning. Tre centrala lärdomar lyfts: tydlighet i dokumentationen, användning av kvantitativa data och behovet av en tydlig metod för analys av kunder och geografier.
Utgångspunkten: Hög risk innebär höga krav
Tidigt i beslutet lyfter Finansinspektionen fram en utgångspunkt som är central för att förstå både myndighetens tolkningar och varför ingripandet blev så långtgående att det i praktiken innebär en total avveckling av verksamheten. Avsnittet har rubriken ”Risken för att Intergiros verksamhet utnyttjas för penningtvätt eller finansiering av terrorism är hög” och innehåller flera argument för varför FI bedömer att Intergiros verksamhet är särskilt sårbar. Fyra omständigheter lyfts särskilt fram:
- verksamheten som bedrivs är tekniskt komplex
- affärsförbindelser etableras helt utan fysisk kontakt med kunden
- betydande exponering mot en högriskbransch i form av kryptotillgångsbranschen
- gränsöverskridande betalningar utgör en mycket stor andel av den totala transaktionsvolymen
Särskilt den tredje punkten – exponering mot en högriskbransch – är värd att stanna upp vid. För Intergiro avsåg detta kryptotillgångsbranschen, för Aros Kapital var det exponering mot mobilhandelsplattformar och i Loomisbeslutet låg fokus på exponeringen mot bolagets kontantintensiva kundbas. Det gemensamma i samtliga fall är att verksamheten har tydliga sårbarheter kopplat till dess faktiska exponering.
Många verksamheter har någon form av särskild exponering mot högrisksektorer, särskilt när det kommer till företagskunder. Frågorna som då bör ställas är: vilka är just våra sårbarheter – och har vi gjort tillräckligt för att förstå, kvantifiera och hantera dessa?
Att Intergiros verksamhet bedöms vara förknippad med hög risk är heller inte en sidonotering – det är en avgörande del av beslutets logik. Det är denna bedömning som sätter ribban för vad FI anser vara ett tillräckligt förebyggande arbete. Det myndigheten i praktiken säger är: kraven på er är högre än på andra – och ni kommer att bedömas därefter. Ni måste vara särskilt träffsäkra och genomtänkta i ert arbete, eftersom ni också är särskilt exponerade för risk.
En allmän riskbedömning där kraven är höga – hur ser det ut i praktiken?
FI pekar i beslutet ut ett flertal brister i Intergiros allmänna riskbedömning. Vi lyfter tre särskilt centrala lärdomar: tydlighet i dokumentationen, kvantitativ förankring och en konkret analys av kundrisker och geografisk exponering.
1. Tydlighet i dokumentationen – var explicit och ge exempel
Enligt FI:s bedömning brister Intergiros allmänna riskbedömning genomgående i tydlighet – exempelvis avseende beskrivningen av produkter och detaljeringen av riskfaktorer. Nedan sammanfattas våra lärdomar avseende just tydligheten
Beskriv produkterna detaljerat – gärna tillsammans med produktspecialister
FI anmärker på att Intergiro – likt Klarna i ett tidigare beslut – på ett alltför översiktligt sätt beskriver sina produkters egenskaper och hur dessa kan vara sårbara för olika typer av brottsupplägg.
För att lyckas i praktiken är vår erfarenhet att AML-funktionen inte ensamt kan bära ansvaret för utförandet av den allmänna riskbedömningen. För att riskbedömningen ska bli både verklighetsförankrad och ändamålsenlig krävs oftast att flera funktioner och avdelningar involveras, exempelvis produktägare och utvecklare. De besitter den detaljerade kunskapen om hur produkterna faktiskt fungerar, vilka begränsningar som och kan ofta också hjälpa till med tillgång till relevant data och statistik.
Var noggrann med källorna för att identifiera samtliga relevanta riskfaktorer och tillvägagångssätt
Även om Intergiro hade identifierat riskfaktorer (relevanta tillvägagångssätt för penningtvätt eller terrorfinansiering) utifrån myndighetsrapporter, förefaller det som att FI dels har ansett att dessa var för få i vissa fall, dels att dessa inte var tillräckligt tydligt ankrade och relevanta för verksamheten. Det framgick exempelvis inte hur relevanta tillvägagångssätten var utifrån vad Intergiro rapporterat till Finanspolisen.
För att identifiera riskfaktorer till grund för den allmänna riskbedömningen behöver informationsinhämtningen som resulterar i riskfaktorer och tillvägagångssätt vara genomtänkt och involvera såväl interna källor (statistik på exponering i verksamheten, insikter från rapportering etc.) som externa källor (myndighetsrapporter, externa event, etc.). Det är därmed viktigt att ha en tydlig rutin för uppdatering av allmän riskbedömning som bl.a. klargör hur arbetet med källor ska gå till i praktiken i just er verksamhet.
Beskriv riskfaktorerna så att de kan omsättas i praktiken
En annan central brist i Intergiros allmänna riskbedömning är att flera riskindikatorer beskrivs med svepande termer, som ”stora” belopp, ”ovanliga” transaktioner eller transaktioner som ”snabbt” passerar konton – utan att definiera vad detta innebär i praktiken. Enligt FI borde sådana formuleringar konkretiseras, exempelvis genom att tydliggöra vad som utgör ett "stort” belopp.
För att åtgärda denna brist i praktiken skulle exempelvis ”stora transaktioner” kunna definieras som transaktioner som överstiger en viss percentil i bolagets transaktionsdata – och det bör då också anges vad det innebär i kronor. ”Ovanliga transaktioner” kan konkretiseras, exempelvis genom att ange om det är sådana som avviker från kundkännedom som inhämtats från kunden eller från tidigare transaktionsmönster, alternativt sådana som kommer från specificerade högriskjurisdiktioner. ”Snabba” kan i sin tur anges som ett tidsintervall i timmar eller dagar som gärna kan bygga på erfarenheter från rapporteringen till Finanspolisen. Genom att konsekvent detaljera riskfaktorerna på det här sättet kan informationen i nästa steg användas vid parameterutformning och tröskelvärdessättning i exempelvis transaktionsövervakning. Därmed skapas förutsättningar för en röd tråd från allmän riskbedömning till arbetet i praktiken.
Var tydlig med vilken risk som bedöms – är det PT eller TF?
FI konstaterar att det i flera fall är oklart om Intergiro bedömt risken för penningtvätt, terrorismfinansiering – eller helt andra risker, såsom juridiska påföljder, ryktesskada eller sanktionsavgifter. Enligt FI rör dessa resonemang alltså helt andra risker än de som ska bedömas i en allmän riskbedömning.
En allmän riskbedömning ska strikt fokusera på risken för att verksamheten utnyttjas för penningtvätt eller terrorismfinansiering – utgångpunkten bör vidare vara att dessa två risker bedöms var för sig, eftersom deras respektive riskindikatorer och tillvägagångssätt också skiljer sig åt väsentligt.
2. Kvantitativ data och erfarenheter från FIPO-rapporter – gör riskbedömningen verklighetsnära
FI konstaterar att Intergiros allmänna riskbedömningar i stor utsträckning saknat stöd i kvantitativ data och egna iakttagelser, vilket medför att den inte bedöms vara verksamhetsanpassad och relevant.
Använd data från den egna verksamheten
FI betonar att riskbedömningen ska grundas på faktisk statistik – inte bara antaganden. I Intergiros fall saknades exempelvis uppgifter om hur stor andel av kunderna som befinner sig utanför EES, trots att bolaget hade en tydlig internationell profil. Det saknades även kvantitativa bedömningar av hur stora volymer som passerade till och från högriskländer, samt hur stor deras faktiska exponering mot kryptotillgångsbranschen faktiskt är.
Vid utförandet av allmän riskbedömning är en bra riktlinje att de riskfaktorer som identifieras också ska kvantifieras. Det vill säga, har man en produkt-/kundriskfaktor ska man också kvantifiera hur relevant den är utifrån parametrar (antal, volym och frekvens där det är relevant). För att illustrera kan det exempelvis handla om:
- hur stor andel av transaktionerna som går till/från högriskjurisdiktioner,
- hur stor andel av transaktionsvolym och kundbasen som utgörs av specifika och relevanta högriskbranscher
- hur många kunder som har respektive produkt och information om genomsnittliga belopp
Ta vara på egna iakttagelser – särskilt från FIPO-rapportering
FI påpekar att Intergiro saknade analys av sina egna erfarenheter i den allmänna riskbedömningen. Enligt penningtvättslagen ska verksamhetsutövaren använda information från tidigare rapportering till Finanspolisen (FIPO) som underlag för sin riskbedömning.
I praktiken kan det handla om att analysera:
-
hur ofta verksamhetens produkter och tjänster förekommer i rapportering och på vilket sätt
-
vilka riskbeteenden och tillvägagångssätt som varit vanligast
- hur ofta verksamhetens kundriskfaktorer förekommer i rapportering och på vilket sätt
- vilka geografiska riskfaktorer som förekommer i rapportering
För att åstadkomma detta i praktiken krävs att varje rapport tydligt dissekeras och bryts ner i data som lätt går att kategorisera och filtrera och sammanställa utifrån produkter, tjänster, kundriskfaktorer och transaktionsvolymer.
3. Kund- och geografiska riskfaktorer – utgå från faktisk exponering och sårbarhet
En central uppgift i den allmänna riskbedömningen är att identifiera vilka delar av verksamheten som är mest sårbara för att utnyttjas för penningtvätt eller finansiering av terrorism. I Intergiros fall konstaterar FI att bolaget brustit i två avgörande delar: analysen av kundrelaterade risker och av geografiska riskfaktorer.
Separera riskbedömning av kunder i allmän riskbedömning från kundriskklassificering
När det gäller kundrisker hade Intergiro blandat ihop allmän riskbedömning med individuell kundriskklassificeringen. FI understryker att dessa är två skilda bedömningar med olika syften – där den allmänna riskbedömningen ska ligga till grund för kundriskklassificeringen, inte tvärtom.
Även om Intergiro redovisar vissa kundtyper saknas en analys av deras riskdrivande egenskaper och hur dessa påverkar bolagets sårbarhet.
FI konstaterar även att Intergiro brustit i sina allmänna riskbedömningar genom att inte ha analyserat vilka sektorer och branscher som bolagets företagskunder och handlare tillhör, de faktiska risker som kundernas verksamheter kan förknippas med, eller om vissa typer av företagskunder eller handlare står för särskilt stora transaktionsvolymer.
I praktiken bör metoden för riskbedömning av bolagets kunder inkludera en kartläggning av vilka kundsegment verksamheten faktiskt är exponerad mot med hjälp av verksamhetsspecifik data. Extern information från myndigheter bör beaktas för att fånga upp kundrisker som verksamheten kanske inte är medveten om. Därtill bör information från FIPO-rapporteringen analyseras, bland annat för att förstå om vissa kundtyper utnyttjar verksamheten på ett misstänksamt sätt i högre omfattning. Slutligen bör detta mynna ut i en sammanställning av relevanta riskfaktorer och kundsegment som kan bedömas vidare med hänsyn till vilka mitigerande åtgärder som finns på plats och hur effektiva de är.
Geografiska riskfaktorer – mer än bara en landriskbedömning
FI påpekade samma typ av strukturella brist avseende Intergiros bedömning av geografiska risker, där det fanns en bedömning av respektive lands risknivå, men där det saknades en bedömning av vilka länder bolaget var exponerat mot, vilka risker denna exponering medförde och hur detta påverkade verksamhetens faktiska risk. Detta trots att hela 86% av Intergiros transaktioner var gränsöverskridande. En annan brist var att bolaget inte angav hur många kunder som befann sig utanför EES, trots dess internationella profil.
För att få till detta i praktiken är det viktigt att koppla utfallet från landriskbedömningen till den faktiska exponeringen – det vill säga, var finns faktiskt våra kunder och verkliga huvudmän? Identifiera relevanta datapunkter som adressland, skatterättslig hemvist, och transaktioner till/från utlandet. Bedöm därefter vilka länder som sticker ut, antingen genom hög risk och/eller hög exponering och analysera vilka potentiella sårbarheter länderna och exponeringen medför. Väg därefter riskerna som identifierats mot era befintliga kontroller, som kundkännedomsåtgärder eller förstärkt övervakning, och bedöm sedan vilken faktisk risk som återstår. Det är i slutändan den kvarvarande risken som ska styra vilka åtgärder som prioriteras.
Sammanfattning
Den allmänna riskbedömningen är mer än ett formellt krav – den är grunden för hela det förebyggande arbetet. Beslutet mot Intergiro visar hur avgörande det är att riskanalysen bygger på faktisk exponering, är förankrad i verksamhetens realiteter och leder till tydliga prioriteringar. Det räcker inte med att beskriva risker abstrakt – de måste konkretiseras, kvantifieras och kopplas till åtgärder.
Flera av bristerna som FI pekar på i Intergiros fall är återkommande i andra beslut, men förstärks här av att bolaget verkar i en affärsmiljö som är särskilt sårbar. Det gör lärdomarna särskilt användbara för andra verksamhetsutövare med exponering mot högriskbranscher, digital distribution eller gränsöverskridande tjänster. Frågan är inte om risk finns – utan om man har förstått var den finns, hur stor den är och vad man gör åt den.
Nästa del i artikelserien fokuserar på rapporteringsskyldigheten till Finanspolisen. Vi utgår från FI:s kritik mot Intergiro för uteblivna rapporter och förklarar vad skyldigheten innebär, när den inträder och varför tidpunkten för rapportering är avgörande.
