Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Ett riskbaserat förhållningssätt Fredric Lundén & Max
Ivarsson,
SEB Group Compliance
Seminarieledare
Fredric Lundén, Head of Group Compliance Office, SEB
Tidigare:
- Compliance Specialist, SEB Group Compliance
- Bankjurist, SEB Juridik kontorsrörelsen
- Jurist, Finansinspektionen, Rättsavdelningen
- Hovrättsassessor i Svea hovrätt
Max Ivarsson, ansvarig för Compliance inom SEB Kort
Tidigare:
- Compliance officer inom SEB Baltic Division och SEB
Kapitalförvaltning
- Biträdande jurist, Gernandt & Danielsson Advokatbyrå
2
3 2015-03-19 Konferens om aktuella penningtvättsfrågor
Ett riskbaserat förhållningssätt Fredric Lundén
Ett riskbaserat förhållningssätt
• Ett strukturerat och
systematiskt sätt att hantera
risk förknippad med
penningtvätt och finansiering
av terrorism.
• Omfattningen av åtgärder,
processer och interna
kontroller samt allokering av
resurser – utifrån relevanta
lag- och föreskriftskrav –
anpassas utifrån risk.
2015-03-19 Konferens om aktuella penningtvättsfrågor 5
Ett riskbaserat förhållningssätt
• Principen har växt fram
genom flera samverkande
faktorer, t.ex.
a) Internationell best
practice/normgivning (FATF,
Basel Committee, EU etc)
b) Nationell normgivning (t.ex.
2005 års version av
penningtvättslagen/FFFS
2005:5)
c) CRM, kundskydd
2015-03-19 Konferens om aktuella penningtvättsfrågor 6
Nuvarande reglering
• Principen lagstadgades 15 mars 2009 i och med den nuvarande
penningtvättslagen (PTL):
- 5 kap 1 § PTL: ”Verksamhetsutövaren ska ha riskbaserade rutiner för att
förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av
terrorism”
- 2 kap 1 § PTL: ”En verksamhetsutövare ska vidta åtgärder för att uppnå
kundkännedom. Omfattningen av dessa åtgärder ska anpassas efter
risken för penningtvätt eller finansiering av terrorism.”
2015-03-19 Konferens om aktuella penningtvättsfrågor 7
Nuvarande reglering
• Finansinspektionens föreskrifter och allmänna råd – FFFS 2009:1
2 kap. 1 §: ”Ett företag ska vidta åtgärder som syftar till att förhindra att det
utnyttjas för penningtvätt och finansiering av terrorism. Åtgärderna ska
anpassas efter risken för att verksamheten utnyttjas för penningtvätt och
finansiering av terrorism.”
2 kap 2 §: ”För att uppfylla kravet i 1 § ska ett företag
1. göra en riskbedömning enligt 3 §,
2. ha rutiner m.m. i enlighet med 3 kap. och
3. löpande se över och uppdatera riskbedömningen samt när det behövs
revidera rutinerna m.m.
Företaget ska löpande beakta information om nya trender och mönster som
används samt metoder som kan användas vid penningtvätt och finansiering
av terrorism. Företaget ska även ta del av annan information från
organisationer, myndigheter och andra organ inom området.”
2015-03-19 Konferens om aktuella penningtvättsfrågor 8
Nuvarande reglering
• Finansinspektionens föreskrifter och allmänna råd – FFFS 2009:1
2 kap. 3 §: ”Ett företag ska bedöma risken för att verksamheten utnyttjas för
penningtvätt och finansiering av terrorism. Riskbedömningen ska göras på
lämpligt sätt med hänsyn till företagets storlek och komplexitet. Den ska
innehålla en analys av företagets kunder, produkter, tjänster samt andra för
verksamheten relevanta faktorer såsom distributionskanaler och geografiska
områden.”
2015-03-19 Konferens om aktuella penningtvättsfrågor 9
Nuvarande reglering
• Finansinspektionens föreskrifter och allmänna råd – FFFS 2009:1
Rutiner som ska vara riskbaserade:
1. rutiner avseende åtgärder för kundkännedom
2. system eller rutin för att löpande följa upp affärsförbindelser
3. rutiner för att bevara handlingar eller åtgärder som har vidtagits för att
uppnå kundkännedom
4. system eller rutin för granskningsskyldigheten
5. rutiner för uppgiftsskyldigheten till Rikspolisstyrelsen
6. Utbildningsprogram
7. rutiner för att skydda anställda från hot eller fientliga åtgärder, och
8. riktlinjer för internkontroll, regelefterlevnad och intern information.
2015-03-19 Konferens om aktuella penningtvättsfrågor 10
FATF
• FATF Recommendation 1, Assessing risks and applying a risk-based
approach: ”Countries should require financial institutions to identify,
assess and take effective action to mitigate their money laundering and
terrorist financing risks.”
• FATF Recommendation 10, Customer Due Diligence: ”Financial
institutions should be required to apply each of the CDD measures under
(a) to (d) above, but should determine the extent of such measures using
a risk-based approach”
2015-03-19 Konferens om aktuella penningtvättsfrågor 11
FATF
FATF Interpretive notes:
• “Countries should take appropriate steps to identify and assess the
money laundering and terrorist financing risks for the country”
• “Supervisors should review the money laundering and terrorist financing
risk profiles and risk assessments prepared by financial institutions, and
take the result of this review into consideration.”
• “Financial institutions should document those assessments in order to be
able to demonstrate their basis, keep these assessments up to date, and
have appropriate mechanisms to provide risk assessment information to
competent authorities.”
• “Financial institutions should be required to have policies, controls and
procedures that enable them to manage and mitigate effectively the risks
that have been identified. They should be required to monitor the
implementation of those controls and to enhance them, if necessary.”
2015-03-19 Konferens om aktuella penningtvättsfrågor 12
The 4th EU Money Laundering Directive…
• Artikel 6 – EBA, EIOPA, ESMA ska göra en riskbedömning
• Artikel 7 – Alla medlemsstater ska göra en riskbedömning
• Artikel 8 – Verksamhetsutövarna ska göra sin egen riskbedömning.
Riskbedömningarna ska ”dokumenteras, uppdateras och tillhandahållas
behöriga myndigheter”. Riskbedömningen ska ta hänsyn till de risker som
belagts på unions- och medlemsstatsnivå samt inom
verksamhetsutövarens egen verksamhet.
• Åtgärderna för att hantera identifierade risker ska omfatta åtminstone
följande:
• (a) Utveckling av interna policies, rutiner och kontroller, inbegripet
kundkontroll, rapportering, dokumentation, internkontroll,
efterlevnadskontroll (inbegripet utnämning av en efterlevnadsansvarig på
ledningsnivå om det motiveras av verksamhetens storlek och natur) m.m.
• (b) En oberoende granskningsfunktion för att granska interna policies,
rutiner och kontroller, om detta är lämpligt med hänsyn till företagets
storlek och verksamhet.
2015-03-19 Konferens om aktuella penningtvättsfrågor 13
Svensk reglering m.m.
• Augusti 2013 ”Penningtvätt, en nationell riskbedömning”
• Mars 2014 ”Finansiering av terrorism, en nationell riskbedömning”
• En nationell strategi för en effektiv regim för bekämpning av penningtvätt
och finansiering av terrorism, skr. 2013/14:245
• Lagrådsremiss av den 12 februari 2015. Föreslaget ikraftträdande 1
augusti 2015. Tillägg till 5 kap 1 § PTL föreslås:
”Verksamhetsutövare ska kartlägga och bedöma riskerna för penningtvätt
och finansiering av terrorism i verksamheten. Riskbedömningen ska
dokumenteras och hållas uppdaterad.”
2015-03-19 Konferens om aktuella penningtvättsfrågor 14
Allmänna näringsrättsliga krav på riskhantering i
finansiella institut
T.ex. FFFS 2014:1, Finansinspektionens föreskrifter och allmänna råd
om styrning, riskhantering och kontroll i kreditinstitut
• 5 kap. 1 §: Ett företag ska ha ett ramverk för riskhantering som innehåller
de strategier, processer, rutiner, interna regler, limiter, kontroller och
rapporteringsrutiner som behövs för att säkerställa att företaget löpande
kan identifiera, mäta, styra, internt rapportera och ha kontroll över de
risker som det är eller kan förväntas komma att bli exponerat för.
• 8 kap. 1 §: Ett företag ska ha aktuella och lämpliga interna regler och
rutiner för att kunna identifiera vilka risker som finns för att företaget inte
fullgör sina förpliktelser enligt dels lagar, förordningar och andra regler
som gäller för den tillståndspliktiga verksamheten, dels interna regler.
2015-03-19 Konferens om aktuella penningtvättsfrågor 15
Slutsatser
• Riskerna ska identifieras
• Riskerna ska analyseras
• Riskerna ska adekvat hanteras/mitigeras
• Bedömningarna och åtgärderna ska dokumenteras
• Riskbedömningen ska ständigt hållas aktuell/uppdaterad
• Omfattningen av riskbedömningen bör anpassas efter verksamhetens art
och omfattning
• Riskbedömningen ska utgå från verksamhetens art, t.ex. kunder,
produkter, tjänster, distributionskanaler och jurisdiktioner
• Internationell/EU, nationell och egen riskbedömning ska beaktas
• Riskbedömningen ska vid behov kunna tillhandahållas
tillsynsmyndigheten
• Flexibilitet för verksamhetsutövaren men denne har bevisbördan för att de
riskmitigerande åtgärder som vidtas är adekvata och tillräckliga
2015-03-19 Konferens om aktuella penningtvättsfrågor 16
Slutsatser, forts.
• Stringent och flexibel riskhanteringsprocess/ramverk måste tas fram
• Strikta rutiner för att säkerställa dokumentation är nödvändiga; i
verksamhet av större omfattning/ komplexitet krävs förmodligen IT-system
stöd
• Lämpligt att samordna riskhanteringsprocessen avseende penningtvätt
och finansiering av terrorism med processen för bedömning och hantering
av compliance risker
• Viktigt att säkerställa effektiv rapportering och uppföljning
2015-03-19 Konferens om aktuella penningtvättsfrågor 17
Hur arbetar vi i SEB?
2015-03-19 Konferens om aktuella penningtvättsfrågor 18
19
Processen för riskhantering
Informations-
inhämtning
Risk-
bedömning
Risk-
hantering
Rapportering
Dokumentation
Uppföljning
Extern information
– FATF, Wolfs-berg, Basel, Transparency International, Nationell riskbedömningFinanspolisen, EBM, BRÅ, Finans-inspektionen, Bransch-organisationer, etc
Intern information
– PT-register, incidenter, compliance, intern revision, erfarenheter i affären, etc
Vilka risker är relevanta utifrån den verksamhet som drivs?
Är relevanta risker hanterade på ett adekvat sätt?
Intern styrning och kontroll
Kundkännedoms-processens konstruktion
– Rutiner för id.kontroll och verklig huvudman
– Syfte och art
– Sanktionslistor
– Fördjupad kundkännedom
– Eskalering/kund-kommitté
– Fortlöpande uppföljn.
– Insaml.& lagring av KYC-info
Riskindikatorer
Rapportering till och förankring hos ledningen
Dokumentation av gjorda bedömningar och vidtagna åtgärder
Uppdatering årligen/vid behov
2013-03-13 Compliance Forum
Compliance and ML Risk Assessment process
2015-03-19 Konferens om aktuella penningtvättsfrågor 20
Informationsstruktur
2015-03-19 Konferens om aktuella penningtvättsfrågor 21
(Risk) Scenario ----------------------------- Description Pre - Defined/Additional Minimum req.
Category ------------------
Sub - Category -------------------
1
*
1 *
Sub - area ------------------
1
*
Requirements/Legislation
as base for risk scenarios
Requirements/Legislation
as base for risk scenarios
Treatment action ------------------------ Scenario Legal entity Business unit Treatment actions Responsible Due date Test execution Follow - up Status
Monitoring activity -------------------- Scenario Legal entity Business unit Activity Frequency Responsible Follow - up
SEB CRA model
(Risk) Area ------------------
Organization Legal Entities Management Structure (Divisions)
(Risk) Scenario Assessment ----------------------------- Scenario Comment Legal entity Business unit Risk owner Impact Probability Inherent risk (derived) Control description Control effectiveness Residual risk (derived) Trend Reason for change Treat risk Improvement required Improvement status Attachments
*
1
*
Rapporterande organisatoriska enheter
2015-03-19 Konferens om aktuella penningtvättsfrågor 22
Top-down, bottom-up approach
2015-03-19 Konferens om aktuella penningtvättsfrågor 23
IT System
2015-03-19 Konferens om aktuella penningtvättsfrågor 24
IT System
2015-03-19 Konferens om aktuella penningtvättsfrågor 25
Scenarios – compliance risks, ML risks
2015-03-19 Konferens om aktuella penningtvättsfrågor 26
Compliance risk scenario, example
2015-03-19 Konferens om aktuella penningtvättsfrågor 27
Compliance risk scenario, example
2015-03-19 Konferens om aktuella penningtvättsfrågor 28
Compliance Risk Assessment, example
2015-03-19 Konferens om aktuella penningtvättsfrågor 29
Compliance Risk Assessment, example
2015-03-19 Konferens om aktuella penningtvättsfrågor 30
Treatment Action, example
2015-03-19 Konferens om aktuella penningtvättsfrågor 31
Monitoring Activity, example
2015-03-19 Konferens om aktuella penningtvättsfrågor 32
Analys
2015-03-19 Konferens om aktuella penningtvättsfrågor 33
Rapportering…
2015-03-19 Konferens om aktuella penningtvättsfrågor 34
•
•
•
| GROUP COMPLIANCE 36
•
•
•
•
•
•
| GROUP COMPLIANCE 37
Grundläggande
kundinformation
Kontroll mot PEP
och
sanktionslistor
Normal
kundkännedom
Fördjupad
kundkännedom
Förenklad
kundkännedom
Riskbedömning
Kund-
kommitté
Tacka
Nej
Tacka
Ja
Fortlöpande
uppföljning
En samlad
riskbedömning
Grundläggande
kundinformation
Kontroll mot PEP
och
sanktionslistor
Normal
kundkännedom
Fördjupad
kundkännedom
Förenklad
kundkännedom
Riskbedömning
Kund-
kommitté
Tacka
Nej
Tacka
Ja
Fortlöpande
uppföljning
En samlad
riskbedömning
•
•
•
•
•
| GROUP COMPLIANCE 40
Grundläggande
kundinformation
Kontroll mot PEP
och
sanktionslistor
Normal
kundkännedom
Fördjupad
kundkännedom
Förenklad
kundkännedom
Riskbedömning
Kund-
kommitté
Tacka
Nej
Tacka
Ja
Fortlöpande
uppföljning
En samlad
riskbedömning
•
•
•
| GROUP COMPLIANCE 42
Grundläggande
kundinformation
Kontroll mot PEP
och
sanktionslistor
Normal
kundkännedom
Fördjupad
kundkännedom
Förenklad
kundkännedom
Riskbedömning
Kund-
kommitté
Tacka
Nej
Tacka
Ja
Fortlöpande
uppföljning
En samlad
riskbedömning
•
•
•
44
•
•
•
•
•
•
| GROUP COMPLIANCE 45
•
•
•
•
•
•
•
•
•
| GROUP COMPLIANCE 46
•
•
•
•
•
| GROUP COMPLIANCE 47
•
•
| GROUP COMPLIANCE 48
•
•
•
•
•
•
•
| GROUP COMPLIANCE 49
•
•
•
•
| GROUP COMPLIANCE 50
Grundläggande
kundinformation
Kontroll mot PEP
och
sanktionslistor
Normal
kundkännedom
Fördjupad
kundkännedom
Förenklad
kundkännedom
Riskbedömning
Kund-
kommitté
Tacka
Nej
Tacka
Ja
Fortlöpande
uppföljning
En samlad
riskbedömning
•
•
•
52
•
•
•
•
•
53
•
•
•
54
Fortlöpande uppföljning av kundrelationen
Grundläggande
kundinformation
Kontroll mot PEP
och
sanktionslistor
Normal
kundkännedom
Fördjupad
kundkännedom
Förenklad
kundkännedom
Riskbedömning
Kund-
kommitté
Tacka
Nej
Tacka
Ja
Fortlöpande
uppföljning
En samlad
riskbedömning
Löpande uppföljning av kundrelationen
• Känn Din Kund informationen ska
fortlöpande hållas uppdaterad.
• Transaktioner och beteenden
monitoreras löpande – både
manuellt och m h a systemstöd
(och centrala specialister)
• Löpande kontroll mot sanktions-
och PEP-listor
56
•
•
•
•
•
57
•
•
•
•
58
•
•
•
59
60