Baksidan av ökad automatisering

Arbete mot penningtvätt och terrorismfinansiering automatiseras i hög takt. Nya och effektivare lösningar för riskbedömning, kundriskklassificering och övervakning avlöser varandra och trenden ser ut att hålla i sig. Medan detta är både välkommet och nödvändigt för att hålla jämna steg med brottsligheten, inser allt fler verksamhetsutövare att den ökade automatiseringen har en baksida. Lösningarna tenderar nämligen att falla under begreppet modell, vilket ofta introducerar nya utmaningar (läs FI:s förtydligande av modelldefinitionen – vad innebär det?).
I takt med att användandet av modeller ökar i både antal och omfattning, blir styrning och kontroll över helheten allt viktigare. Följande symptom är ofta direkta resultat av bristande styrning och kontroll över modellfloran:

• modeller vars risktäckning, syfte eller utformning överlappar varandra
• modeller med inbördes beroenden som inte är förstådda och kartlagda
• modeller som inte används, följs upp och valideras ändamålsenligt

För att komma till bukt med utmaningar som dessa krävs en grundlig genomgång av verksamhetens modellflora, det vill säga av samtliga modeller som används i arbetet mot penningtvätt och terrorismfinansiering.

Kartläggning av modellfloran och hur det kan gå till i praktiken

Trots att rutiner och instruktioner för modellriskhantering är viktiga delar av det övergripande arbetet, ger dokumenten sällan en bra bild av hur det faktiskt står till med arbetet i verksamheten. Om en tydlig modelldefinition är ett naturligt första steg i modellriskhantering, kan en kartläggning av den befintliga modellfloran vara ett lämpligt nästa steg.

Ett konkret verktyg som ofta underlättar kartläggningen är det så kallade modellregistret, som ofta används som ett komplement till instruktionen. I praktiken är ett modellregister en förteckning av alla verksamhetens modeller (exempelvis de som används i övervakningen, kundriskklassificeringen, allmänna riskbedömningen och screeningen). Utöver dess roll som visuellt hjälpmedel för översyn av verksamhetens modeller, främjar registret robust styrning och kontroll genom att:

1. Möjliggöra ett riskbaserat förhållningssätt i modellriskhanteringen
2. Belysa gap samt tydliggöra modellägandeskap och ansvar

Modellregistret möjliggör riskbaserad hantering av modellrisk

Precis som allt förebyggande arbete mot penningtvätt och terrorismfinansiering ska hanteringen av modellrisk vara riskbaserad. Att åstadkomma detta i praktiken underlättas genom möjlighet att sortera och gruppera modeller utifrån deras bedömda modellrisk. Modellrisken bör i sin tur vara guidande för hur modellerna ska hanteras i den löpande uppföljningen. Med andra ord – desto högre modellrisk, desto oftare och mer rigoröst bör en modell följas upp, bedömas, valideras och optimeras. Modellregistret underlättar således säkerställande av att mest resurser läggs där modellriskerna är som störst. För att uppfylla detta syfte bör det åtminstone innehålla:

1. En modellranking/kategorisering efter modellrisk. Modellrisken är den risk för felaktigheter som kan uppstå i tillämpningen av modellen.
2. Kontroller och deras frekvens. Med kontroller avses centrala processer i modellriskhanteringen som modelluppföljning, modelloptimering samt validering.

Modellregistret belyser gap och tydliggör ägandeskap

Ett väl utformat modellregister ger också ansvariga chefer möjligheten att få en överblick av hur verksamheten faktiskt ligger till med arbetet, utan att nödvändigtvis behöva sätta sig in i detaljerna. Anställda med operativt ansvar kan dessutom ta hjälp av modellregistret för att få påminnelser om aktiviteter som behöver utföras och när i tiden de ska ske för respektive modell. Därför bör modellregistret även inkludera:

1. Utförandedatum för kontrollerna. Datumen ska avse de senast genomförda uppföljningarna, optimeringarna och valideringarna för respektive modell.
2. Hänvisning till varje modells modelldokumentation, där bland annat modellens design, parametrar och vilka antaganden som gjorts i dess utformning framgår.
3. Modellägare. Modellägaren bör vara den person som är ytterst ansvarig för modellen och att den hanteras på ett korrekt och ändamålsenligt sätt.

Hur ett modellregister kan se ut i praktiken

Precis som allt annat arbete mot penningtvätt och terrorismfinansiering bör även modellregistrets utformning och komplexitet anpassas efter storleken, arten och den bedömda risken på verksamhetsutövaren. Detta innebär att registret hos större och mer komplexa bolag kan bestå av system med automatiserade uppdateringar och påminnelser till användare när det är dags att utföra kontrollaktiviteter. På mindre aktörer kan ofta samma syfte uppnås genom ett enkelt Excel-ark som uppdateras manuellt.

Slutsats

Som vid användning av många andra verktyg ligger det stora värdet av modellregistret i själva mappnings- och kartläggningsövningen, snarare än den färdiga slutprodukten. Registret hjälper mottagaren att på ett enkelt sätt komma till insikt med hur det ser ut i verksamheten, vilket ofta är det första (och största) steget mot förändring.

Rekommendationer från 421 AML Risk & Analytics

1. Se till att ha en tydlig modelldefinition
2. Undvik att behandla hela transaktionsövervakningen som en enda modell i modellriskhanteringen – design, logik och risk tenderar att skilja sig åt mellan olika regler/scenarier
3. Modellriskhantering ligger i skärningspunkten mellan dataanalys och regelefterlevnad – se till att ha kunskap inom bägge tillgänglig