Vi har sammanfattat sanktionsbeslutet, analyserat bristerna och tagit fram en mall som ger stöd vid gap-analys gentemot bristerna hos Goobit. Mallen för gapanalysen finns att ladda ned i slutet av artikeln!
”Verksamhetsutövare förväntas ta del av, analysera och bedöma varje sanktionsbeslut i syfte att identifiera liknande brister i den egna verksamheten. Min erfarenhet är att verksamheter som löpande genomför gap-analyser mot sanktionsbeslut också är de aktörer som faktiskt ligger bäst till i sitt AML-arbete.” säger Linn Sundström, Manager och senior AML-specialist.
Tre centrala brister i Goobits AML-arbete
I sanktionsbeslutet, som undersökte verksamheten för perioden januari – oktober 2021 , framkom tre huvudsakliga områden där Goobit brustit. Sammanfattat handlade det om den allmänna riskbedömningen, kundriskklassificeringsmodellen, samt kundkännedom. Nedan sammanfattas bristerna kortfattat tillsammans med våra reflektioner och erfarenheter av dessa:
1. Bristfällig allmän riskbedömning
Den allmänna riskbedömningen är avgörande vid besök av Finansinspektionen eftersom den utgör grunden för allt förebyggande arbete. Till följd av detta kan brister i denna process inte heller kompenseras med andra starka kontroller, vilket är något som särskiljer den från andra förebyggande åtgärder.
I Goobit-sanktionen framgår brister i den allmänna riskbedömningen där viktiga lärdomar kan dras. Bristerna som lyfts fram och analyseras ovan visar än en gång hur central den allmänna riskbedömningen är för verksamhetsutövaren, inte minst vid en inspektion. Att ha en tydlig koppling mellan den allmänna riskbedömningen och övriga processer i verksamheten är avgörande – det vill säga det som ofta benämns som ”den röda tråden” inom det förebyggande arbetet. Avsaknad av detta har upprepade gånger påpekats i Finansinspektionens sanktionsbeslut genom åren och det är högst troligt att vi kommer att se detta som en brist även i framtiden. Sammanfattningsvis är det minst sagt värt att satsa på en stark process och metod för allmän riskbedömning!
Klicka på rubrikerna nedan för en sammanfattning av de mest centrala bristerna, samt våra erfarenheter av dessa i praktiken:
1a. Bristande riskbedömning av produkter
I sanktionsbeslutet framgår att Goobit inte uppdaterade den allmänna riskbedömningen innan bolaget började handla med ether och att det därför saknats en riskbedömning av produkten. Därmed bedömdes den allmänna riskbedömningen inte vara heltäckande.
Bristen visar på vikten av att ha en tydlig brygga mellan produktutveckling och AML, där det behöver finnas en process för hur det ska säkerställas att den allmänna riskbedömningen alltid uppdateras innan nya produkter eller tjänster introduceras. Våra erfarenheter är att detta ofta kan säkerställas genom att se till att detta inkluderas som en nyckelkontroll i processer som NPAP (New Product Approval Process) exempelvis.
En annan brist som framkom var att Goobit inte hade bedömt risken för terrorfinansiering kopplat till bitcoin. Finansinspektionen har flertalet gånger påpekat vikten av att göra separata riskbedömningar för penningtvätt och terrorfinansiering då riskerna skiljer sig åt. Se därmed till att tydliggöra denna distinktion i den allmänna riskbedömningen och identifiera riskfaktorer separerat!
1b. Bristande riskbedömning av kundkategorier
Goobit hade i den allmänna riskbedömningen identifierat fem huvudsakliga syften med handel med digitala valutor. Eftersom dessa utgör kundkategorier borde Goobit också ha identifierat risker förknippade med varje kategori i den allmänna riskbedömningen, detta saknades dock. Dessutom påpekade Finansinspektionen att transaktionsmonitoreringsmodellen använde sig av ytterligare kundkategorier som hög ålder, student eller arbetslös. Dessa saknades helt i den allmänna riskbedömningen.
Bristerna kopplade till kundkategorier visar på vikten av förståelse för hur kundstocken tenderar att segmenteras i verksamheten. Ofta används ett flertal kundkategorier/riskfaktorer i exempelvis kundkännedomsformulär, i övervakningen eller kanske vid utförande och godkännande av utökad kundkännedom. Vår erfarenhet är att dessa ofta felaktigt utelämnas från den allmänna riskbedömningen. Dessa kategorier behöver dock beskrivas, analyseras och riskbedömas, precis som andra kundfaktorer som är mer självklara (PEP/RCA/rapporterad till FIPO/etablerad i högrisktredjeland etc.)
1c. Bristande riskbedömning av geografi
Goobit saknade beskrivningar eller analyser av geografiska riskfaktorer och hur dessa påverkar risken som kan associeras med produkter. I praktiken innehåller beskrivningar och analyser av geografiska riskfaktorer ofta en landriskbedömning (alternativt landriskmodell) som viktar olika riskindex (EU, FATF, Transparency International etc.) och landar i en risk. Denna landriskbedömning ska därefter vägas in i produktriskbedömningen, där det ska tas hänsyn till hur den geografiska riskexponeringen ser ut.
Vid bedömning av geografisk exponering bör det exempelvis tas hänsyn till var produkten erbjuds, men även huruvida betalningar kopplat till produkten tenderar att vara internationella och var kunder och/eller motparter befinner sig.
I Goobits fall erbjöds produkten främst till kunder inom EU/EES, däremot är ofta transaktioner med digitala valutor internationella och kunder eller motparter kan i praktiken befinna sig var som helst. Vår tolkning är att detta alltså på ett tydligt sätt borde vägts in i produktriskbedömningen.
2. Bristfällig kundriskklassificeringsmodell
Med avstamp i den allmänna riskbedömningen ska en design för kundriskklassificeringsmodell tas fram som styr prioritering i verksamheten. Mer tid och resurser ska läggas på högriskkunder och mindre för lågriskkunder. Syftet med en bra kundriskklassificering är ofta att till så stor grad som möjligt kunna replikera en manuell expertbedömning på ett automatiserat sätt. Vår erfarenhet av bristerna som beskrivs och analyseras nedan är att de nästintill alltid kan hänföras till bristande rutiner för modellriskhantering. Om det finns en tydlig rutin för hur detta ska gå till hos verksamhetsutövaren kommer brister i modellen att upptäckas och också rättas till i tid. Med rutiner för modellriskhantering avses processer som beskriver hur modelldesign, datahantering, parameter- och tröskelvärdessättning, testning, optimering, modelldokumentation, validering, implementation, modelluppföljning och modellförändring ska genomföras i praktiken. I Goobits fall fanns två centrala brister i modellen – klicka på rubrikerna nedan för att läsa mer om dessa:
2a. Bristande modelldesign
Ingen del av kundriskklassificeringsmodellen tog hänsyn till de risker som tagits upp i den allmänna riskbedömningen, vilket utgör en kritisk brist. I praktiken är det ofta bra om den allmänna riskbedömningen utöver att beskriva olika riskfaktorer också ger stöd för hur dessa ska viktas gentemot varandra. Ska till exempel samtliga riskfaktorer direkt leda till en högriskklassificering, eller ska vissa enbart göra det i kombination med andra?
Kopplat till ovan är våra erfarenheter att lågriskfaktorer används i mycket begränsad omfattning i designen av modellen. För att modellen ska vara ändamålsenlig och styra prioriteringen är det dock ytterst viktigt att även lågriskfaktorer som identifieras i den allmänna riskbedömningen också implementeras i designen av kundriskklassificeringsmodellen.
2b. Ej genomförd validering
Goobit hade implementerat kundriskklassificeringsmodellen utan att först validera den. Vid en validering hade troligtvis den tidigare punkten kring bristfällig design också uppmärksammats, likväl som andra eventuella brister som generellt sätt är vanliga.
En vanlig missuppfattning är att validering framför allt handlar om data-/systemmässiga kontroller och att processen liknar validering som görs för andra modeller på finansiella institut. AML-modeller skiljer sig dock från andra modeller på ett flertal sätt och det är viktigt att ha koll på vilka kontroller som är relevanta att genomföra och inte.
3. Bristfällig kundkännedom
Inom ramen för kundkännedomskontrollen inhämtades rutiner, samt togs stickprov på ett urval av kunder. Vid utformning av en rutin för kundkännedom är det viktigt att dessa är heltäckande samt beskriver vad som bör inhämtas och kontrolleras initialt och löpande. Därefter är det viktigt att dessa rutiner också följs och att de stickprov som inhämtas innehåller kundkännedom på det sättet som beskrivits i rutinen.
Bristerna nedan visar tydligt på att frågor om affärsförbindelsens art inte kan exkluderas från KYC-formulären. Vår erfarenhet är att det ibland används felaktiga argument för att exkludera frågor. Argumentet kan exempelvis vara att kunder kan ljuga när de svarar på KYC-frågor eller att kunder ofta är dåliga på att uppskatta antal transaktioner och volym. Till följd av dessa argument är det inte ovanligt att verksamhetsutövare söker andra kreativa lösningar för att inhämta denna information, exempelvis att arten inhämtas av kundens faktiska beteende efter att affärsförbindelsen inletts. Beslutet visar dock tydligt att Finansinspektionen förväntar sig att dessa frågor inkluderas och är besvarade – likväl som de förväntar sig att det finns scenarier i transaktionsmonitoreringen för att upptäcka avvikelser från svaren på dessa frågor (vilket förtydligades i sanktionsbeslutet till LF Bank i december 2022). Klicka på rubrikerna nedan för att läsa mer om de två huvudsakliga brister som identifierades inom området:
3a. Bristande rutioner för kundkännedom
Goobits rutin för kundkännedomsåtgärder saknade information om hur affärsförbindelsens art skulle inhämtas.
I praktiken innebär ”affärsförbindelsens art” inom kundkännedom bland annat frågor om hur många transaktioner som ska göras, samt transaktionernas förväntade storlek. Det kan även handla om vem som kommer att utföra transaktioner till ett konto, samt huruvida exempelvis utlandsbetalningar kan förväntas eller inte. Sammanfattningsvis ska arten sätta grunden för vad som kan förväntas inom ramen för affärsförbindelsen.
Anledningen till att frågor om affärsförbindelsens art är kritiska är för att det bland annat ska användas för att bedöma risken för affärsförbindelsen och hur mycket kundkännedom som därmed ska inhämtas. Detta går att påvisa genom ett enkelt exempel med två i övrigt likadana kunder:
- Ny kund A: säger att den ska genomföra få transaktioner av låga belopp
- Ny kund B: säger att den ska genomföra många transaktioner av höga belopp
I enlighet med det riskbaserade förhållningssättet bör kund B som svarar att den ska genomföra många och stora transaktioner genomgå en mer gedigen kundkännedomsprocess än kund A. Det kan exempelvis handla om ytterligare eller djupare frågor kring pengarnas ursprung.
3b. Brsiter i inhämtad kundkännedom
Vid granskningen av stickproven framgick att uppskattad transaktionsvolym inte hade inhämtats från kunderna. I och med att Goobit saknade information om detta i rutinen är det inte förvånande att det heller inte inhämtades. Implikationen av detta är dock att Goobit inte kunnat bedöma risken med den individuella affärsförbindelsen och därav inte heller kunnat övervaka avvikelser från förväntat beteende.
Slutsats
Precis som med så mycket annat är ofta hälften vunnit genom att helt enkelt se till att ha en process för genomförande av en gap-analys efter ett sanktionsbeslut, samt att också faktiskt genomföra själva övningen. Utöver att detta är en förväntning på verksamhetsutövare – är det också en otroligt enkel och tacksam kontroll för att säkerställa att de brister som funnits hos någon annan inte någon gång framåt resulterar i en sanktion i din verksamhet!