Modelldokumentation inom AML – hur gör man i praktiken?

Max Knape
SannaMari Bölenius

Modelldokumentation är en viktig del av arbetet med modellriskhantering inom AML. Trots att begreppet inte finns konkret utskrivet i vare sig lag eller föreskrifter, bör modelldokumentation betraktas som en nödvändig förutsättning för att kunna uppfylla andra mer konkreta lagkrav. Begreppet har blivit en form av branschpraxis som främst används i samband med valideringsprocessen och dess förarbete.

Bakgrund

Ordet modelldokumentation fungerar idag som paraplybegrepp för de underlag som är nödvändiga för att en validering ska kunna genomföras. Det är ofta i samband med just valideringsprocessen som verksamhetsutövare upptäcker att modelldokumentationen är bristfällig eller saknas helt.

Introduktion till modelldokumentation

Både behovet av modelldokumentation och omfattningen av dess innehåll grundar sig i lagstiftningens krav på validering. Genom att bryta ned beståndsdelarna i valideringsprocessen och använda dessa som utgångspunkt, kan vi härleda och identifiera vilka typer av underlag som i praktiken behöver finnas med som en del av modelldokumentation.

Validering som utgångspunkt

Enligt lagen ska validering åtminstone:

  • Säkerställa att en modell är ändamålsenlig för sitt syfte
  • Granska att antaganden är lämpliga och relevanta
  • Granska att data och parametrar är korrekta och fullständiga

Även om ovan är lagkraven, tenderar validering i praktiken allt som oftast att även innefatta andra kontroller. För att på ett effektivt sätt kunna utmana antaganden, bedömningar och aktiviteter som gjorts vid framtagandet av en modell inkluderas därför ofta även att:

  • Granska att tillräcklig testning har genomförts av modellen och systemet där denna ska implementeras
  • Granska att det finns processer för effektiv styrning, modelluppföljning och ändringar av modellen

När vi nu konkretiserat vad som förväntas ingå i en validering, är det möjligt att identifiera vilken typ av dokumentation som behöver finnas på plats för att praktiskt genomföra valideringen.

Modelldokumentationens innehåll

Precis som med allt inom AML, ska omfattningen av valideringsprocessen och således även modelldokumentationen anpassas efter varje unik verksamhets storlek och art. Trots detta, finns det vissa centrala delar som modelldokumentation alltid bör innefatta. Anledningen är att penningtvättslagens kravbild på kontrollerna som ska genomföras i valideringsprocessen i viss mån omfattar samtliga företag, oavsett vilken typ av verksamhet som bedrivs. Det sammantagna innehållet i de dokument och underlag som går under samlingsbegreppet modelldokumentation ska, med andra ord, alltid kunna besvara frågorna som ställs i valideringsprocessen. Och eftersom frågorna som ställs i valideringsprocessen till viss del är universella, ska även innehållet i modelldokumentationen till viss del vara desamma. För att kunna besvara de tidigare nämnda frågorna som ställs under valideringsprocessen ska modelldokumentationen av ett scenario eller annan typ av modell åtminstone innefatta följande centrala delar:

1. Bakgrund och syfte med modellen

Innehållet i denna del ska ligga till grund för att valideringen ska kunna säkerställa att modellen är ändamålsenlig för sitt syfte. Således handlar det i modelldokumentationen främst om att konkretisera kopplingen mellan modell och allmänna riskbedömningen samt om att beskriva bakgrunden till varför ett visst scenario eller en viss modell behöver implementeras.

Det kan exempelvis handla om att nya scenarion behöver implementeras för att täcka en viss typ av nya risker i den allmänna riskbedömningen. Riskerna kan i sin tur vara resultat av nya modus som identifierats i omvärldsbevakningen eller nya misstänkta transaktionsbeteenden som upptäcks vid rapportering till Finanspolisen.

2. Modellbeskrivning där samtliga antaganden bakom valda parametrar och tröskelvärden är beskrivet

För att valideringen ska kunna säkerställa att de antagen som gjorts i modellen är lämpliga och relevanta bör denna del innehålla en gedigen beskrivning av modellen. En heltäckande förteckning, beskrivning och motivering av samtliga parametrar som ingår i modellen bör således vara en del av modellbeskrivningen. Med andra ord bör det framgå varför just de valda parametrarna används. Parametrar för ett scenario kan handla om antal, belopp, avvikelse i procent, exekveringsfrekvens, eller regelintervall, medan de för en kundriskklassificering kan handla om kundriskfaktorer.

Modellbeskrivningen bör även innehålla motiveringar, antaganden, resonemang och eventuella analyser bakom tröskelvärden som satts för de valda parametrarna. Analyser skulle kunna handla om kalibreringar som gjorts genom att se hur modellens utfall påverkas av tröskelvärdesjusteringar.

3. Datadokumentation

Innehållet i denna del av modelldokumentationen ska ligga till grund för att valideringen ska kunna säkerställa att modellens data och parametrar både är korrekta och fullständiga. För att möjliggöra detta behöver datakällor, datapunkter och transformationer beskrivas och tydligt definieras.

Det kan handla om en beskrivning av de källsystem och databaser som data hämtas från samt hur detta görs i praktiken. Det kan också handla om att beskriva transformationer av exempelvis organisationsnummer eller NACE-koder till andra värden. Bristfällig datakvalitet samt omfattningen av saknade värden samt vad detta innebär, bör också vara en del av datadokumentationen.

4. Testing och implementation

Innehållet i denna del ska på ett tydligt sätt kunna demonstrera vilken testning som gjorts av modellen och systemet där denna ska implementeras. Dokumentation av denna del kan även användas för att styrka att data och parametrar faktiskt är korrekta och fullständiga, samt att de antaganden som görs också ger relevanta utfall.

För att uppfylla ovan syfte bör åtminstone nedan dokumenteras avseende testning och dokumentation:

  • De test som gjorts för att säkerställa att modellens beräkningar och utfall stämmer
  • De test som gjorts för att säkerställa att data i modellen stämmer
  • De kontroller som gjorts av att modellen faktiskt implementerats i systemet på det sätt som är avsett i modellbeskrivningen
5. Styrning, användning, uppföljningar och ändringar

Innehållet i denna del av modelldokumentationen ska användas för att styrka och säkerställa god styrning och kontroll av modellen. För att uppfylla detta syfte bör åtminstone nedan finnas dokumenterat:

  • Roller och ansvar
  • Process för eventuell manuell åsidosättning/nedtryckning
  • Process för modellanvändning av modellens utfall – exempelvis hur en alert ska utredas eller en högriskkund hanteras
  • Process för uppföljning av modellen
  • KPIer med målintervall för att kunna utvärdera om/hur modellen fungerar
  • Process för att genomföra förändringar av modellen
De ovanstående fem centrala aspekterna kan antingen samlas i ett huvuddokument som utgör modelldokumentationen, alternativt fördelas över flera dokument. Det primära målet är att säkerställa att informationen är lättillgänglig och kan fungera som underlag vid exempelvis validering eller annan form av kontroll. Modelldokumentationen ska således alltid vara uppdaterad och vara på en tillräckligt detaljerad nivå för att en person som inte sedan tidigare är bekant med modellen ska kunna förstå hur den fungerar och hur den appliceras i verksamheten.

Återkommande Utmaningar

Tyvärr är det mer av regel än undantag att huvudvärk uppstår när modelldokumentationen ska upprättas. Detta kan exempelvis handla om att det inte går att dokumentera en specifik aspekt av en modell.

Några av dom vanligaste frågor vi stöter på är:

  • Vad gör man om risken ett scenario ska täcka eller om riskfaktorer som beaktas i kundriskklassificeringen helt saknas i den allmänna riskbedömningen?
  • Vad gör man om man inte vet varför vissa parametrar används eller varför ett visst tröskelvärde är satt när personen som urpsrungligen utvecklade modellen inte jobbar kvar?
  • Vad gör man om jag man inte vet vilken data som modellen använder? Vad är ens en proxy eller datatransformation och hur ska man veta om det används av min organisation?
  • Vad gör man om det inte gjorts någon testning, då finns det ju inget att dokumentera kring det?
  • Vad gör jag om det inte används några KPIer för att säkerställa att modellen fungerar – hur ska jag bestämma KPIer och vilka målintervall för dessa som är rimliga?

Ibland kan frågor likt dessa skina ljus på andra utmaningar i verksamheten, exempelvis att det faktiskt saknas en metod för tröskelvärdessättning eller för mappning av risker mellan den allmänna riskbedömningen och transaktionsövervakningen. Oavsett fråga är det viktigt att vara uppmärksam på varför den uppstår, och se till att åtgärda även kärnan till problematiken och inte bara symptomet.

Max Knape

Max Knape

Director
max.knape@frankpenny.se+46 700 749 759

With a mind that's a mix of a chess grandmaster and a startup guru, Max transforms challenges into opportunities with finesse like no one else. Combined with his passion for arts, Max ensures a touch of creativity is added to every data-driven decision and project he manages.

SannaMari Bölenius

SannaMari Bölenius

Manager
sannamari.bolenius@frankpenny.se+46 762 143 611

SannaMari is nothing short of a superstar. She’s a great leader and consultant with unmatched AML expertise. If it was possible to buy stock and bet on a single human being, the whole Frank Penny team would’ve loaded up on SannaMari shares a long time ago.

  • CET
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.