Riktlinjer med faktisk riktning. Om AMLA's senaste publikation kring löpande kundövervakning

Sebastian Nordli
av
Sebastian Nordli

Det finns mycket att analysera i den senaste riktlinjen ute för konsultation från AMLA, avseende riktlinjer för löpande övervakning och monitorering av affärsförbindelser. Den är omfattande och innehåller mycket information med detaljer om egentligen alla olika delar av den löpande övervakningen. En del är komplext, en del är tvetydigt men en stor del är bra riktlinjer som ger konkret vägledning.

Riktlinjen är uppdelad i två – en riktlinje för löpande uppdatering av kundkännedom (”Keeping customer documents, data or information up to date”) och en riktlinje för transaktions- och aktivitetsövervakning (”Transaction and activity monitoring framework”)

Det finns många olika medtag från båda riktlinjerna och det finns säkert hundra olika vinklar att analysera och skriva om. Men inom ramen för denna text tänkte vi stanna vid riktlinjen avseende transaktions- och aktivitetsmonitorering och de delar som handlar om modellriskhantering inklusive validering, ett Frank Penny kärt ämne.  

Innan den här riktlinjen har det inte varit tydligt om krav på modellriskhantering och/eller validering skulle finnas kvar i samband AMLR. Efter denna riktlinje är det nu tydligt att det kommer finnas kvar, i form av mer explicita krav och detaljer inom modellriskhantering, dock utan att det benämns modellriskhantering.  

Riktlinjen ställer krav på flera nyckelaktiviteter inom modellriskhantering, vi har gjort ett urval på några av dessa som är återkommande i riktlinjen, vilket är följande:  

• Dokumentation
• Uppföljning
• Styrning
• Validering


Dokumentation

I Sverige har vi idag krav på modellriskhantering och validering vilket i sin tur ofta leder till höjd nivå på dokumentation av modeller, ofta benämnt modelldokumentation. Modelldokumentation har dock inte varit ett krav tidigare, vilket det i praktiken och med den nya riktlinjen nu blir. Ordet modelldokumentation används inte och det finns generellt inga krav på format eller struktur på dokumentationen, men det finns flera punkter i riktlinjen som tydligt beskriver vad som behöver dokumenteras och det är mycket.  

I punkt 42 framgår att verksamhetsutövare ska dokumentera skälen till det valda ramverket för monitorering, dess utformning och, när applicerbart, förändringar. Verksamhetsutövare ska kunna visa hur monitoreringen fungerar, varför den fungerar som den gör och dess effektivitet. Vidare framgår det i punkt 45 att monitoreringsramverket ska dokumenteras och att verksamhetsutövare vid förfrågan från tillsynsmyndighet ska förklara förändringar i utfallet från monitoreringen utifrån både förändringar i beteende och förändringar hur monitoreringen fungerar. I punkt 49 framgår det att verksamhetsutövare ska dokumentera och testa monitoreringens logik och underliggande konfiguration. Det finns även explicita skrivningar kring dokumentation av data och att verksamhetsutövare ska säkerställa att data har tillräcklig kvalitet och integritet för effektiv monitorering, samt att eventuella begränsningar i data och hur dessa påverkar monitoreringen ska dokumenteras.  

En annan intressant del som riktlinjen lyfter är avseende dokumentation vid användning av förkonfigurerade eller externt utvecklade verktyg för monitorering. I punkt 50 lyfts dels att verksamhetsutövare ska granska och bedöma lämpligheten av standardinställningar (eng: default settings) och att standardinställningar inte bör användas utan en dokumenterad bedömning av dess lämplighet.  

Utifrån riktlinjen är det tydligt att kraven på dokumentation av monitoreringen är höga, ovan är bara ett urval av alla punkter som explicit tar upp dokumentation. För de verksamheter som redan idag har gedigen modelldokumentation bör de flesta nya krav vara uppfyllda. För verksamheter som inte har det finns risk för att bli ett omfattande dokumentationsarbete.  


Uppföljning

Att periodisk och löpande följa upp hur monitoreringen presterar är en av de viktigaste aktiviteterna för att förbättra monitoreringen och säkerställa att den fungerar som den ska. Detta är särskilt tydligt i riktlinjen och återkommer i flera punkter utifrån olika perspektiv.

I punkt 45 framgår att monitoreringen periodiskt bör granskas internt och/eller externt för att säkerställa dess effektivitet. Vidare framgår det att verksamheter löpande ska kunna förklara större förändringar i beteende eller utfall från monitoreringen, inklusive sådana som är resultatet av förändringar i regler, tröskelvärden eller modeller.  

I punkt 49 framgår att verksamheter vid behov ska kalibrera monitoreringen för att säkerställa att den är effektiv och producerar meningsfulla utfall. Vidare framgår i punkt 81 att verksamheter periodiskt ska granska och testa sin monitorering för att säkerställa att den är effektiv och i linje med de risker som identifierats i den allmänna riskbedömningen. Granskningen ska syfta till att förbättra monitoreringen och bör beakta hur den presterar, utfallet från eskaleringar/fördjupade utredningar och rapporter till FIPO, nya ML/TF risker och annan relevant feedback.  

I punkt 84 framgår att verksamheter ska bedöma effektiviteten i övervakningen och till vilken grad övervakningen producerar meningsfulla utfall. Det framgår att effektiviteten inte bara ska utvärderas utifrån larm- och rapportvolymer eller typologitäckning utan i stället om larmen är relevanta, om det finns återkommande brister och om ramverket förmår att adressera ML och TF risker i tillräckligt hög grad.  

Att ha ett tydligt ramverk för hur uppföljningen av monitorering ska fungera och hur dess effektivitet och ändamålsenlighet säkerställs är en nyckel för att uppfylla kraven i riktlinjen. Detta är dock ofta lättare sagt än gjort. Att sätta upp tydliga kriterier för att bedöma huruvida monitoreringen är effektiv och ändamålsenlig är svårt, men AMLA lyfter en av de viktigaste aspekterna i riktlinjen, vilket är: hur relevanta larmen är och hur väl monitoreringen adresserar ML och TF risker.  


Styrning

Effektiv och tydlig styrning är centralt för robust modellriskhantering. Det sätter grunden för hela arbetet och är en förutsättning för att monitoreringen ska fungera ändamålsenligt, vilket också framhävs i riktlinjen.  

I riktlinjen är styrning ett genomgående koncept. Punkt 45, 86 och 94 nämner alla att det ska finnas tydlig styrning, inklusive policys och processer, för monitoreringen i olika avseenden. Dels utifrån att det ska finnas ett tydligt ansvar och ägarskap över att säkerställa att monitoreringen är ändamålsenlig, dels utifrån att det ska finnas tydlig styrning för att säkerställa att system och verktyg för monitoreringen effektivt ska kunna utmanas och kontrolleras

Det är blir lätt abstrakt och konceptuellt rörande styrning. Det är naturligt svårt att omsätta i praktiken och begrepp i riktlinjen som verksamheter ska säkerställa att deras ”monitoring framework operates in a controlled and sufficiently transparent manner, underpinned by clear governance arrangements” och ”governance arrangements should enable relevant staff to effectively understand and challenge monitoring tools and their outputs” blir lätt luddiga. Men i grunden handlar det om att det finns tydliga och explicita ansvar för både roller och personer och att det är rätt roller och personer som har ansvar både utifrån kompetens och ställning.  Ägarskapet över monitoreringen (ofta kallat ”modellägare”) bör innehas av en person och roll som har både kunskap om verksamhetens riskexponering samt mandat att ta beslut som påverkar riskexponeringen. För effektiv styrning av monitoreringen krävs det också att personer som ansvarar för utformningen av monitoreringen har både teknisk och regulatorisk kompetens.  

Rörande policyer och processer är det mycket mer än så och det är en egen whitepaper i sig, men verksamheter kommer väldigt långt med tydliga kontrollprocesser så som uppföljning som diskuterades tidigare och validering som behandlas nedan.  


Validering

Validering är ett av de viktigaste verktygen för att säkerställa att modeller fungerar ändamålsenligt och för att identifiera modellrisk. Det stora värdet av validering kommer från att personer med tillräcklig kompetens effektivt utmanar hur modeller fungerar och de olika antaganden som gjorts vid framtagandet av modeller. Vidare bidrar validering ofta med att dokumentationen förstärks. För att det ska vara möjligt att effektivt utmana krävs det ofta i stor utsträckning att antaganden, vägval och beslut tydligt motiveras och dokumenteras. I riktlinjen finns det både explicita skrivningar kring validering och implicita skrivningar så som att monitoreringen effektivt ska utmanas.  

I punkt 82 och 85 talas det explicit om validering men i olika avseenden. Punkt 82 lyfter att vid genomförande av testning och validering bör syntetiskt eller anonymiserade data användas när lämpligt. I punkt 85 lyfts att när verksamhetsutövare genomför väsentliga förändringar av monitoreringen ska de ha en dokumenterad övergång och ramverk för validering. Detta för att säkerställa att monitorering är effektiv och i linje med den allmänna riskbedömningen. I de fall verksamheter använder automatiserad stängning av larm framgår att periodisk validering genom stickprov och granskning av potentiella ärenden samt andra nödvändiga kontroller ska göras.  

Det framgår inte av riktlinjerna i detalj hur validering ska genomföras, vad som ska ingå, formatet för validering eller att det måste göras oberoende. Vidare framgår det inte explicit att monitoreringen måste valideras innan den tas i bruk, vilket är en stor skillnad från idag. Utifrån detta bör verksamheter fokusera på att implementera ramverk för validering som är riskbaserade sett till både hur och när validering ska genomföras med fokus där det finns komplexitet och modellrisk, snarare än att validering blir en check-box övning som måste göras för alla modeller likt idag.  


Sammanfattningsvis

Även om kraven på modellriskhantering inte är explicita i riktlinjen, ställs höga krav på processer och aktiviteter för monitoreringen som är inom modellriskhantering. Idag finns det redan tydliga krav på modellriskhantering och validering, men de nya riktlinjerna innebär att en ordentlig nivåhöjning krävs för de flesta verksamheter, banker inkluderat.  

En ska såklart komma ihåg att riktlinjerna följer principen ”comply or explain” och det är inte strikta regulatoriska krav, men inom bank och finans bör merparten beaktas och det kan vara svårt att förklara sig ur.

Vidare ska de också poängteras att riktlinjerna är under konsultation och det är inte klart hur den slutliga versionen kommer att se ut, men det går att anta att den slutliga versionen inte kommer vara väsensskild.  

Riktlinjerna börjar gälla i juli 2027, men det finns ingenting som hindrar verksamheter från att redan nu börja arbeta i linje med riktlinjerna och sätta en plan för att nå hela vägen. Mycket av det som står är best practice redan idag och kommer ge stort värde i form av förbättrad och mer effektiv monitorering.

Key takeaways

  • Rapportera på skälig grund – inte på bevis. Skyldigheten att rapportera uppstår vid en objektivt rimlig misstanke, inte först efter fullständig utredning.
  • Tänk på tiden – skyndsamhet gäller även utredningen. Både bedömning och rapportering ska ske utan dröjsmål. Invänta inte återkoppling från kund i flera veckor – sätt interna tidsgränser.
  • Medel som misstänks härröra från brott ska rapporteras – oavsett vem som begått det. Det är pengarnas ursprung som är i fokus – medel från misstänkt bedrägeri, marknadsmissbruk, narkotikahandel eller dylikt ska rapporteras till FIPO – oavsett om penningtvätt skett eller inte och om kunden misstänks ha varit delaktig eller inte.
  • Rätt rapport, rätt innehåll. Använd STR vid misstänkta transaktioner, SAR vid avvikande beteenden – och använd bara AIF när en sedan tidigare inlämnad rapport ska kompletteras.
Sebastian Nordli

Sebastian Nordli

Managing Partner
sebastian.nordli@frankpenny.se+46 769 428 826

Sebastian is not only an outstanding consultant, thought leader and subject matter expert, he is also our CEO. You might think that Sebastian, as CEO, is far removed from the nitty gritty details that we pride ourselves on being the best at. Well, if that’s the case, you couldn’t be more wrong. He continues to work hands-on with many of our clients on a daily basis.

  • CET
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Read more