Beslutet mot LF Bank kan ses som en varningssignal för de potentiella konsekvenserna av en eftersatt och undermålig monitorering (här kan du läsa beslutet i sin helhet).
Vid en heltäckande genomgång av en organisations monitoreringsarbete får anställda möjligheten att utforska själva systemet och göra en grundlig analys av uppsatta regler, hur de faktiskt fungerar och hur de har presterat historiskt. Inte sällan leder detta till att frågor uppstår och att tidigare vedertagna sanningar om systemet börjar ifrågasättas. Varför kommer inga eller väldigt få larm på vissa regler? Varför larmar alla nya kunder? Varför larmar bara svenska kunder? Varför larmar samma kunder om och om igen?
Processer som idag är självklara fanns inte vid implementationen
Frågor likt de ovan kan användas för att identifiera problem och peka organisationer i rätt riktning mot problem som är enkla att åtgärda. Andra gånger kan svaren på frågorna indikera mer systematisk problematik. Exempelvis kan det röra sig om utmaningar som uppstått i samband med den ursprungliga implementationen av systemet, men som inte uppmärksammats och således aldrig åtgärdats.
Systembyten är ofta förknippade med stora resursbehov och kostnader. Ett system kan därför leva kvar i en organisation trots att det finns en medvetenhet om dess brister, och utan att någon omfattande genomlysning skett. Samtidigt har processer och rutiner avseende tröskelvärdessättning, testning, dokumentation och validering med största sannolikhet förändrats och är av högre kvalitet nu än vid den ursprungliga systemimplementationen.
Givet den generellt höga personalomsättning som råder inom AML-branschen är medarbetarna som ursprungligen implementerade monitoreringen och utvecklade reglerna ofta inte heller den samma. Plötsligt förefaller förekomsten av systematiska brister i övervakningen kanske vara något verksamhetsutövare borde förvänta sig – och ju snarare man åtgärdar dessa, alternativt utesluter dess relevans, desto bättre!
Tre vanliga fallgropar
I vårt arbete har vi identifierat tre vanliga misstag i övervakningen, som kan vara svåra att upptäcka utan en ordentlig genomgång av hela systemet och den data som skickas in. Vad som är positivt är att dessa inte behöver vara fel som är särskilt svåra att åtgärda, om man bara är medveten om att de finns!
För varje misstag ges en kort introduktion till problemet, ett konkret exempel, samt vad som behöver göras för att åtgärda det i praktiken.
Misstag 1: nya kunder exkluderas inte i regler som tittar på historiskt beteende
Regler som ämnar att identifiera avvikelser från kundens eget historiska beteende bör exkludera nya kunder. Att en viss grad av historisk transaktionsdata krävs för att denna typen av scenario ska ha något att jämföra kundens befintliga beteende emot kan låta som en självklarhet, men är enkelt att missa om det inte från början kravställdes och implementerades korrekt. Många system behandlar avsaknaden av kundhistorik som ett tecken på inaktivitet, vilket innebär att all typ av framtida beteende tolkas som avvikande. Innebörden blir att samtliga nya kunder larmar eftersom modellen tror att dessa ändrat beteende.
Misstag 2: oavsiktlig exkludering av transaktioner som registreras i negativa belopp eller i andra valutor
Beroende på vilka produkter och transaktioner som görs, är det inte ovanligt att utgående transaktioner, returer, eller exempelvis krediter både registreras och skickas till övervakningssystem i negativa belopp. Det kan dessutom vara så att transaktioner i olika valutor inte transformeras till ett gemensamt format på förhand, utan skickas in till övervakningssystemet i sin ursprungliga valuta.
Om detta inte beaktas i de regler som utformas i monitoreringen riskerar tröskelvärdessättningen att bli helt felaktig. Följdeffekten kan bli att samtliga negativa transaktioner/kontovolymer eller transaktioner i andra valutor oavsiktligen exkluderas, alternativt att utfallet inte blir i enlighet med modellens syfte.
Misstag 3. samma transaktion på samma kund genererar larm flera dagar i rad
Det är inte ovanligt att regler har utformats utan full förståelse för den underliggande beräkningslogiken och hur regeln fungerar i praktiken. Ofta har det att göra med att parametrarna som tittar på tidshorisont, exekvering och jämförelseperiod har en olämplig fördelning sinsemellan. Detta kan leda till att en kund som gör en ovanligt stor transaktion en dag larmar dagen för transaktionen, men också fortsätter att larma varje dag de efterföljande 10-15 dagarna, till följd av samma transaktion. Detta kan identifieras genom att titta på samtliga larm som genererats det senaste året exempelvis, och titta på fördelningen mellan kunder och larm.
Sammanfattning – Back to Basics
Sanktionsbeslutet till LF Bank förtydligar vikten av variation i modellfloran – monitoreringen behöver täcka avvikelser från inhämtad kundkännedom, historiskt beteende, samt från en relevant jämförelsegrupp. Tröskelvärdena måste dessutom vara anpassade efter kundens riskklass och ha en tydlig koppling till den allmänna riskbedömningen.Oavsett om denna variation finns, riskerar dock monitoreringen att vara undermålig om det finns en bristande förståelse för själva systemet, dess begränsningar, samt den data som kommer in och hur den hanteras. Se därmed till att de som arbetar med monitoreringen har både den AML-kunskap som krävs, men även förståelse för den infrastruktur som omger monitoreringen.
En regel i ett övervakningssystem kan aldrig vara bättre än den data den använder och det system den är byggd i!