Fredric Lundén & Max Ett riskbaserat förhållningssätt Ivarsson, … · 2015-04-01 · Nuvarande reglering • Finansinspektionens föreskrifter och allmänna råd – FFFS 2009:1

Ett riskbaserat förhållningssätt Fredric Lundén & Max

Ivarsson,

SEB Group Compliance

Seminarieledare

Fredric Lundén, Head of Group Compliance Office, SEB

Tidigare:

- Compliance Specialist, SEB Group Compliance

- Bankjurist, SEB Juridik kontorsrörelsen

- Jurist, Finansinspektionen, Rättsavdelningen

- Hovrättsassessor i Svea hovrätt

Max Ivarsson, ansvarig för Compliance inom SEB Kort

Tidigare:

- Compliance officer inom SEB Baltic Division och SEB

Kapitalförvaltning

- Biträdande jurist, Gernandt & Danielsson Advokatbyrå

2

3 2015-03-19 Konferens om aktuella penningtvättsfrågor

Ett riskbaserat förhållningssätt Fredric Lundén

Ett riskbaserat förhållningssätt

• Ett strukturerat och

systematiskt sätt att hantera

risk förknippad med

penningtvätt och finansiering

av terrorism.

• Omfattningen av åtgärder,

processer och interna

kontroller samt allokering av

resurser – utifrån relevanta

lag- och föreskriftskrav –

anpassas utifrån risk.

2015-03-19 Konferens om aktuella penningtvättsfrågor 5

Ett riskbaserat förhållningssätt

• Principen har växt fram

genom flera samverkande

faktorer, t.ex.

a) Internationell best

practice/normgivning (FATF,

Basel Committee, EU etc)

b) Nationell normgivning (t.ex.

2005 års version av

penningtvättslagen/FFFS

2005:5)

c) CRM, kundskydd


Nuvarande reglering

• Principen lagstadgades 15 mars 2009 i och med den nuvarande

penningtvättslagen (PTL):

- 5 kap 1 § PTL: ”Verksamhetsutövaren ska ha riskbaserade rutiner för att

förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av

terrorism”

- 2 kap 1 § PTL: ”En verksamhetsutövare ska vidta åtgärder för att uppnå

kundkännedom. Omfattningen av dessa åtgärder ska anpassas efter

risken för penningtvätt eller finansiering av terrorism.”


Nuvarande reglering

• Finansinspektionens föreskrifter och allmänna råd – FFFS 2009:1

2 kap. 1 §: ”Ett företag ska vidta åtgärder som syftar till att förhindra att det

utnyttjas för penningtvätt och finansiering av terrorism. Åtgärderna ska

anpassas efter risken för att verksamheten utnyttjas för penningtvätt och

finansiering av terrorism.”

2 kap 2 §: ”För att uppfylla kravet i 1 § ska ett företag

1. göra en riskbedömning enligt 3 §,

2. ha rutiner m.m. i enlighet med 3 kap. och

3. löpande se över och uppdatera riskbedömningen samt när det behövs

revidera rutinerna m.m.

Företaget ska löpande beakta information om nya trender och mönster som

används samt metoder som kan användas vid penningtvätt och finansiering

av terrorism. Företaget ska även ta del av annan information från

organisationer, myndigheter och andra organ inom området.”


Nuvarande reglering


2 kap. 3 §: ”Ett företag ska bedöma risken för att verksamheten utnyttjas för

penningtvätt och finansiering av terrorism. Riskbedömningen ska göras på

lämpligt sätt med hänsyn till företagets storlek och komplexitet. Den ska

innehålla en analys av företagets kunder, produkter, tjänster samt andra för

verksamheten relevanta faktorer såsom distributionskanaler och geografiska

områden.”


Nuvarande reglering


Rutiner som ska vara riskbaserade:

1. rutiner avseende åtgärder för kundkännedom

2. system eller rutin för att löpande följa upp affärsförbindelser

3. rutiner för att bevara handlingar eller åtgärder som har vidtagits för att

uppnå kundkännedom

4. system eller rutin för granskningsskyldigheten

5. rutiner för uppgiftsskyldigheten till Rikspolisstyrelsen

6. Utbildningsprogram

7. rutiner för att skydda anställda från hot eller fientliga åtgärder, och

8. riktlinjer för internkontroll, regelefterlevnad och intern information.


FATF

• FATF Recommendation 1, Assessing risks and applying a risk-based

approach: ”Countries should require financial institutions to identify,

assess and take effective action to mitigate their money laundering and

terrorist financing risks.”

• FATF Recommendation 10, Customer Due Diligence: ”Financial

institutions should be required to apply each of the CDD measures under

(a) to (d) above, but should determine the extent of such measures using

a risk-based approach”


FATF

FATF Interpretive notes:

• “Countries should take appropriate steps to identify and assess the

money laundering and terrorist financing risks for the country”

• “Supervisors should review the money laundering and terrorist financing

risk profiles and risk assessments prepared by financial institutions, and

take the result of this review into consideration.”

• “Financial institutions should document those assessments in order to be

able to demonstrate their basis, keep these assessments up to date, and

have appropriate mechanisms to provide risk assessment information to

competent authorities.”

• “Financial institutions should be required to have policies, controls and

procedures that enable them to manage and mitigate effectively the risks

that have been identified. They should be required to monitor the

implementation of those controls and to enhance them, if necessary.”


The 4th EU Money Laundering Directive…

• Artikel 6 – EBA, EIOPA, ESMA ska göra en riskbedömning

• Artikel 7 – Alla medlemsstater ska göra en riskbedömning

• Artikel 8 – Verksamhetsutövarna ska göra sin egen riskbedömning.

Riskbedömningarna ska ”dokumenteras, uppdateras och tillhandahållas

behöriga myndigheter”. Riskbedömningen ska ta hänsyn till de risker som

belagts på unions- och medlemsstatsnivå samt inom

verksamhetsutövarens egen verksamhet.

• Åtgärderna för att hantera identifierade risker ska omfatta åtminstone

följande:

• (a) Utveckling av interna policies, rutiner och kontroller, inbegripet

kundkontroll, rapportering, dokumentation, internkontroll,

efterlevnadskontroll (inbegripet utnämning av en efterlevnadsansvarig på

ledningsnivå om det motiveras av verksamhetens storlek och natur) m.m.

• (b) En oberoende granskningsfunktion för att granska interna policies,

rutiner och kontroller, om detta är lämpligt med hänsyn till företagets

storlek och verksamhet.


Svensk reglering m.m.

• Augusti 2013 ”Penningtvätt, en nationell riskbedömning”

• Mars 2014 ”Finansiering av terrorism, en nationell riskbedömning”

• En nationell strategi för en effektiv regim för bekämpning av penningtvätt

och finansiering av terrorism, skr. 2013/14:245

• Lagrådsremiss av den 12 februari 2015. Föreslaget ikraftträdande 1

augusti 2015. Tillägg till 5 kap 1 § PTL föreslås:

”Verksamhetsutövare ska kartlägga och bedöma riskerna för penningtvätt

och finansiering av terrorism i verksamheten. Riskbedömningen ska

dokumenteras och hållas uppdaterad.”


Allmänna näringsrättsliga krav på riskhantering i

finansiella institut

T.ex. FFFS 2014:1, Finansinspektionens föreskrifter och allmänna råd

om styrning, riskhantering och kontroll i kreditinstitut

• 5 kap. 1 §: Ett företag ska ha ett ramverk för riskhantering som innehåller

de strategier, processer, rutiner, interna regler, limiter, kontroller och

rapporteringsrutiner som behövs för att säkerställa att företaget löpande

kan identifiera, mäta, styra, internt rapportera och ha kontroll över de

risker som det är eller kan förväntas komma att bli exponerat för.

• 8 kap. 1 §: Ett företag ska ha aktuella och lämpliga interna regler och

rutiner för att kunna identifiera vilka risker som finns för att företaget inte

fullgör sina förpliktelser enligt dels lagar, förordningar och andra regler

som gäller för den tillståndspliktiga verksamheten, dels interna regler.


Slutsatser

• Riskerna ska identifieras

• Riskerna ska analyseras

• Riskerna ska adekvat hanteras/mitigeras

• Bedömningarna och åtgärderna ska dokumenteras

• Riskbedömningen ska ständigt hållas aktuell/uppdaterad

• Omfattningen av riskbedömningen bör anpassas efter verksamhetens art

och omfattning

• Riskbedömningen ska utgå från verksamhetens art, t.ex. kunder,

produkter, tjänster, distributionskanaler och jurisdiktioner

• Internationell/EU, nationell och egen riskbedömning ska beaktas

• Riskbedömningen ska vid behov kunna tillhandahållas

tillsynsmyndigheten

• Flexibilitet för verksamhetsutövaren men denne har bevisbördan för att de

riskmitigerande åtgärder som vidtas är adekvata och tillräckliga


Slutsatser, forts.

• Stringent och flexibel riskhanteringsprocess/ramverk måste tas fram

• Strikta rutiner för att säkerställa dokumentation är nödvändiga; i

verksamhet av större omfattning/ komplexitet krävs förmodligen IT-system

stöd

• Lämpligt att samordna riskhanteringsprocessen avseende penningtvätt

och finansiering av terrorism med processen för bedömning och hantering

av compliance risker

• Viktigt att säkerställa effektiv rapportering och uppföljning


Hur arbetar vi i SEB?


19

Processen för riskhantering

Informations-

inhämtning

Risk-

bedömning

Risk-

hantering

Rapportering

Dokumentation

Uppföljning

Extern information

– FATF, Wolfs-berg, Basel, Transparency International, Nationell riskbedömningFinanspolisen, EBM, BRÅ, Finans-inspektionen, Bransch-organisationer, etc

Intern information

– PT-register, incidenter, compliance, intern revision, erfarenheter i affären, etc

Vilka risker är relevanta utifrån den verksamhet som drivs?

Är relevanta risker hanterade på ett adekvat sätt?

Intern styrning och kontroll

Kundkännedoms-processens konstruktion

– Rutiner för id.kontroll och verklig huvudman

– Syfte och art

– Sanktionslistor

– Fördjupad kundkännedom

– Eskalering/kund-kommitté

– Fortlöpande uppföljn.

– Insaml.& lagring av KYC-info

Riskindikatorer

Rapportering till och förankring hos ledningen

Dokumentation av gjorda bedömningar och vidtagna åtgärder

Uppdatering årligen/vid behov

2013-03-13 Compliance Forum

Compliance and ML Risk Assessment process


Informationsstruktur


(Risk) Scenario ----------------------------- Description Pre - Defined/Additional Minimum req.

Category ------------------

Sub - Category -------------------

1

*

1 *

Sub - area ------------------

1

*

Requirements/Legislation

as base for risk scenarios

Requirements/Legislation

as base for risk scenarios

Treatment action ------------------------ Scenario Legal entity Business unit Treatment actions Responsible Due date Test execution Follow - up Status

Monitoring activity -------------------- Scenario Legal entity Business unit Activity Frequency Responsible Follow - up

SEB CRA model

(Risk) Area ------------------

Organization Legal Entities Management Structure (Divisions)

(Risk) Scenario Assessment ----------------------------- Scenario Comment Legal entity Business unit Risk owner Impact Probability Inherent risk (derived) Control description Control effectiveness Residual risk (derived) Trend Reason for change Treat risk Improvement required Improvement status Attachments

*

1

*

Rapporterande organisatoriska enheter


Top-down, bottom-up approach


IT System


IT System


Scenarios – compliance risks, ML risks


Compliance risk scenario, example


Compliance risk scenario, example


Compliance Risk Assessment, example


Compliance Risk Assessment, example


Treatment Action, example


Monitoring Activity, example


Analys


Rapportering…


•

•

•

| GROUP COMPLIANCE 36

•

•

•

•

•

•


Grundläggande

kundinformation

Kontroll mot PEP

och

sanktionslistor

Normal

kundkännedom

Fördjupad

kundkännedom

Förenklad

kundkännedom

Riskbedömning

Kund-

kommitté

Tacka

Nej

Tacka

Ja

Fortlöpande

uppföljning

En samlad

riskbedömning

Grundläggande

kundinformation

Kontroll mot PEP

och

sanktionslistor

Normal

kundkännedom

Fördjupad

kundkännedom

Förenklad

kundkännedom

Riskbedömning

Kund-

kommitté

Tacka

Nej

Tacka

Ja

Fortlöpande

uppföljning

En samlad

riskbedömning

•

•

•

•

•


Grundläggande

kundinformation

Kontroll mot PEP

och

sanktionslistor

Normal

kundkännedom

Fördjupad

kundkännedom

Förenklad

kundkännedom

Riskbedömning

Kund-

kommitté

Tacka

Nej

Tacka

Ja

Fortlöpande

uppföljning

En samlad

riskbedömning

•

•

•


Grundläggande

kundinformation

Kontroll mot PEP

och

sanktionslistor

Normal

kundkännedom

Fördjupad

kundkännedom

Förenklad

kundkännedom

Riskbedömning

Kund-

kommitté

Tacka

Nej

Tacka

Ja

Fortlöpande

uppföljning

En samlad

riskbedömning

•

•

•

44

•

•

•

•

•

•


•

•

•

•

•

•

•

•

•


•

•

•

•

•


•

•


•

•

•

•

•

•

•


•

•

•

•


Grundläggande

kundinformation

Kontroll mot PEP

och

sanktionslistor

Normal

kundkännedom

Fördjupad

kundkännedom

Förenklad

kundkännedom

Riskbedömning

Kund-

kommitté

Tacka

Nej

Tacka

Ja

Fortlöpande

uppföljning

En samlad

riskbedömning

•

•

•

52

•

•

•

•

•

53

•

•

•

54

Fortlöpande uppföljning av kundrelationen

Grundläggande

kundinformation

Kontroll mot PEP

och

sanktionslistor

Normal

kundkännedom

Fördjupad

kundkännedom

Förenklad

kundkännedom

Riskbedömning

Kund-

kommitté

Tacka

Nej

Tacka

Ja

Fortlöpande

uppföljning

En samlad

riskbedömning

Löpande uppföljning av kundrelationen

• Känn Din Kund informationen ska

fortlöpande hållas uppdaterad.

• Transaktioner och beteenden

monitoreras löpande – både

manuellt och m h a systemstöd

(och centrala specialister)

• Löpande kontroll mot sanktions-

och PEP-listor

56

•

•

•

•

•

57

•

•

•

•

58

•

•

•

59

60

Documents

Fredric Lundén & Max Ett riskbaserat förhållningssätt Ivarsson, … · 2015-04-01 · Nuvarande reglering • Finansinspektionens föreskrifter och allmänna råd – FFFS 2009:1