Finansinspektionen förtydligar definitionen av modell – vad innebär det i praktiken för arbetet mot penningtvätt?

Max Knape
av
Max Knape

Modellriskhantering på agendan

I takt med att begrepp som ”validering av modeller” och ”rutiner för modellriskhantering” figurerar alltmer frekvent i Finansinspektionens (FI:s) undersökningar och sanktionsbeslut, ökar också medvetenheten och nedlagda resurser i branschen. Det tilltagande intresset för modellriskhantering har i sin tur ökat kraven på tydligare riktlinjer från FI. Detta exemplifieras kanske tydligast av att FI så sent som förra året tvingades gå ut med ett förtydligande av själva definitionen av modell, och vad som faktiskt utgör en modell i en AML-kontext.Risken för ytterligare sanktioner kopplade till området förefaller påtaglig – i sanktionsbeslutet för Trustly[1] läses exempelvis att det vid granskning visats att betalningsinstitutet saknat rutiner för modellriskhantering och validering. Så sent som ifjol inledde FI tre ytterligare undersökningar, då av storbanker, med fokus på transaktionsövervakning[2]. Därtill har det hittills i år inletts undersökningar av Klarna och Loomis, där just riskbedömning av kunder[3] varit ett av tre huvudområden.Utöver risken för en eventuell sanktion och försämrat rykte, inser också allt fler bolag fördelarna kopplade till effektiv modellriskhantering ur ett affärsperspektiv. Verkningsfulla system och modeller kan ofta kapa såväl handläggningskostnader som leda till en förbättrad risköversikt och insyn i verksamheten.

Otydlighet kring modelldefinitionen

Även om det är först på senare tid som modellriskhantering blivit ett hett ämne har lagen varit tydlig sedan lång tid tillbaka; om en verksamhetsutövare använder modeller för riskbedömning, riskklassificering, övervakning eller andra förfaranden, ska verksamhetsutövaren ha rutiner för modellriskhantering (6 kap §1, Lag (2017:630).Trots att lagstiftningen kan förefalla okomplicerad har den något diffusa och breda definitionen av vad som faktiskt är att anse som en modell i en AML-kontext lett till att allt fler bolag börjat inse utmaningarna som uppstår när paragrafen ska omsättas i praktiken.I sökandet efter en tydlig definition av vad som är att betrakta som en modell kunde verksamhetsutövare tidigare hitta stöd i SIMPT:s (Svenska Institutet Mot Penningtvätt) vägledning. Denna innehöll resonemang vars innebörd gav utrymme för en viss distinktion mellan en modell och ett så kallat ”sorteringsverk”. Något förenklat lyftes förekomsten av kvantitativa och statistiska element fram som attribut centrala för att förknippa något med just begreppet modell.I fjol kom dock FI med förtydliganden av modelldefinitionen, vilket resulterade i att SIMPT tvingades återkalla sin vägledning. Detta då klargörandet explicit motsätter sig stora delar av de tidigare förda resonemangen. Dessvärre har förtydligandet gått under radarn för många verksamhetsutövare – texten är svår att hitta och dyker inte upp vid enklare sökningar som ”modelldefinition” och ”modellriskhantering” på FI:s hemsida.

Förtydligandet från Finansinspektionen

Att övervakning och kundriskklassificering ska betraktas som modeller har varit tydligt i förarbeten under många år. Otydligheten har framför allt utgjorts av frågan kring vilka andra processer som skulle kunna definieras som modeller. I förarbetena framgår att det med modell avses förfaranden som syftar till att automatisera eller standardisera de bedömningar och andra förfaranden som verksamhetsutövare har för att uppfylla olika krav i penningtvättslagen (Prop. 2016/17:173, s. 547). Detta har nu förtydligats ytterligare på FI:s hemsida genom ett tillägg av meningen:

”(.…) En modell behöver alltså inte använda algoritmer som beräknas på statistiska och kvantitativa metoder.”[4]

Detta innebär att det inte längre är möjligt att avfärda AML-processer som ickemodeller enbart på grund av avsaknaden av statistiska eller kvantitativa metoder. Förtydligandet innebär vidare att det finns anledning att inventera vilka förfaranden och bedömningar verksamhetsutövaren har och huruvida dessa bör definieras som modeller. Om det finns sådana som i någon grad är standardiserade eller automatiserade bör det åtminstone finnas dokumenterat hur bolaget resonerat för att landa i beslutet att dessa inte betraktas som modeller.

Exempel på förfaranden som bör övervägas

  • Automatiserad PEP/RCA-screening
  • Allmän riskbedömning (alternativt delar av den)
  • Enklare regler för monitorering av transaktioner
  • Larmprioriteringsmodell
  • Automatiserade kundkännedomstriggers

Observera att ovan endast ska ses som exempel och att det är graden av automatisering och standardisering som bör avgöra huruvida dessa betraktas som modeller eller inte.

Vad innebär detta för verksamhetsutövare?

  1. Gör en inventering av automatiserade och standardiserade lösningar
  2. Besluta om vad som är modell respektive inte och dokumentera resonemangen
  3. Säkerställ att det finns robusta rutiner för modellriskhantering (modelldokumentation, uppföljning, optimering etc.) och validering

Rekommendationer från Frank Penny AML Risk & Analytics

  1. Undvik gråzoner
  2. Ta det säkra före det osäkra - vid gränsfall är det säkraste alternativet att klassa en lösning eller ett förfarande som en modell
  3. Se till att ha rätt kompetens på plats för att få ut det mesta av arbetet

[1]Beslut Trustly Group AB (fi.se)

[2]FI granskar stora bankers transaktionsövervakning | Finansinspektionen

[3]FI undersöker Klarna och Loomis | Finansinspektionen

[4]Frågor och svar | Finansinspektionen

Max Knape

Max Knape

Director
max.knape@frankpenny.se+46 700 749 759

With a mind that's a mix of a chess grandmaster and a startup guru, Max transforms challenges into opportunities with finesse like no one else. Combined with his passion for arts, Max ensures a touch of creativity is added to every data-driven decision and project he manages.

  • CET
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Read more