Precis som med all kommunikation från FI, ger sanktionsbeslutet oss en möjlighet att få insyn i och dra lärdomar av de resonemang som förts, bedömningar som gjorts och de slutsatser som dragits. Vi har granskat sanktionsbeslutet och de huvudsakliga brister som identifierats, samt hur FI bedömt och vägt information och omständigheter för LF Bank. I denna artikel delar vi med oss av våra slutsatser och tolkningar av beslutet som publicerades 2022-12-14.

De tre största bristerna i LF Banks monitorering

FI lyfter i beslutet upp tre huvudsakliga brister med den automatiska monitorering LF Bank har använt sig av. Sammanfattat kan man säga att modellerna i transaktionsmonitoreringen på olika sätt ansetts varit otillräckliga för att täcka alla de risker banken identifierat. Bristerna presenteras var för sig tillsammans med våra tolkningar och erfarenheter av brister i praktiken, samt hur de skulle kunna angripas.

1. Otillräcklig monitorering av avvikelser

Avvikelser bör generellt sett monitoreras utifrån tre konkreta aspekter. Följande tre typer av avvikande beteende behöver finnas på plats:

• Avvikelser från förväntat beteende: monitorering av beteende som avviker från den kundkännedomsinformation kunden lämnat till banken lyfts fram som en central brist i beslutet. Denna typen av monitorering är ofta utmanande eftersom kundkännedomsinformation sällan är fullt digitaliserad. Vår erfarenhet är att åtgärder kopplade till denna typen av avvikelsemonitorering således är starkt beroende av tillgänglig och högkvalitativ data.
• Avvikelser från eget historiskt beteende: monitorering av beteende som avviker från kundens tidigare transaktioner/beteende – detta är en förhållandevis lättåtgärdad brist. En förutsättning är naturligtvis att kunden varit kund länge nog för att ha tillräckligt med historisk data, varpå det är möjligt att monitorera avvikande individuella belopp, sammanlagda belopp, antal, frekvens, etc.
• Avvikelser från jämförelsegrupps historiska beteende: monitorering av beteende som avviker från transaktionsbeteenden hos bankens övriga kunder inom samma segment (peer group). LF Bank hade enbart segmentering på fysisk/juridisk person, vilket inte ansågs tillräckligt. I praktiken förefaller FI förvänta sig mer granulär segmentering, vilket ofta går att åstadkomma genom att använda sig av en segmenteringsmodell, alternativt genom en mer manuell segmentering på branschkod eller dylikt.

För att lyckas med ovan i praktiken behöver verksamheten först och främst utveckla modelltyper som är designade för att klara av den här typen av avvikelsemonitorering, givet att sådana inte redan finns. Man behöver också säkerställa att all nödvändig information finns tillgänglig i det system som används för monitoreringen. Baserat på våra erfarenheter är det ofta just här som vi sett stora brister hos många aktörer.

2. Kundens riskklass har inte beaktats i transaktionsmonitoreringen

Som många redan vet ska transaktionsmonitoreringen vara riskbaserad vilket i praktiken betyder att dess omfattningen anpassas efter kundens riskklass, det vill säga den risk som förknippas med affärsrelationen. Generellt sett bör toleransen för vad som är avvikande minska i takt med att kundrisken ökar. Ett konkret exempel på hur detta ofta appliceras i praktiken är helt enkelt att ha högre tröskelvärden för lågriskkunder, och lägre för högriskkunder. Givetvis kräver detta systemstöd, datahantering och anpassning av befintliga regler.

3. Alla risker som identifieras i den allmänna riskbedömningen täcks inte

Precis som för alla andra processer för att motverka penningtvätt och terrorismfinansiering, är det riskerna som identifierats i den allmänna riskbedömningen som ska diktera och genomsyra monitoreringen. Dessa risker är ofta utformade som modus, typologier eller transaktionsriskindikatorer i den allmänna riskbedömning. Oavsett dess utformning, behöver specifika modelltyper utvecklas för att täcka alla identifierade risker. Utöver detta, påpekar FI även att:

• Reglerna har varit för snarlika varandra – vilket förefaller vara ytterligare bevis för att modellfloran förväntas vara komponerad på ett sätt som möjliggör monitorering av en mängd olika typer av aktiviteter, transaktioner och beteende som kan vara avvikande.
• Banken inte har haft något scenario som specifikt avsett täcka risken för finansiering av terrorism – även om detta inte uttryckligen beskrivs som en isolerad brist, är avsaknaden av ett sådant scenario att betrakta som en brist om specifika modus för terroristfinansiering finns beskrivna i den allmänna riskbedömningen.

De tre största bristerna i LF Banks modellriskhantering & validering

Det här sanktionsbeslutet sticker ut genom att det för första gången innehåller modellriskhantering och validering som ett eget avsnitt - även om brister inom detta även noterats i andra beslut, exempelvis i sanktionsbeslutet för Trustly tidigare i år. Utan rutiner och processer för detta, och inte minst utan att ha genomfört dessa nyckelprocesser – har verksamhetsutövare i praktiken ingen aning om vad som fångas, och inte fångas, i deras modeller.

1. Avsaknad av rutiner för modellriskhantering och validering

Rutiner för modellriskhantering handlar i grunden om att verksamhetsutövare ska säkerställa att de modeller som används för att bekämpa penningtvätt och terroristfinansiering utvärderas och kvalitetssäkras, medan validering handlar om att säkerställa att en modell är lämplig för sitt ändamål.

2. Det har inte genomförts någon validering av monitoreringen

Alla förfaranden som syftar till att automatisera eller standardisera och faller in under FI:s modelldefinition (läs tidigare white paper om modelldefinitionen) ska valideras. Baserat på våra erfarenheter upplever många aktörer utmaningar med att genomföra validering i praktiken. En förutsättning för detta är att säkerställa att det finns modelldokumentation upprättat som innefattar alla resonemang och antaganden som ligger till grund för modelldesignen. Om allt detta inte finns tydligt dokumenterat blir det också svårt att validera om modellen är ändamålsenlig och huruvida den uppfyller sitt syfte.

3. Avsaknad av rutiner för modellanvändning

Trots att det i LF Banks fall har funnits vissa rutiner för modellanvändning inom monitoreringen, förefaller det inte som att samtliga steg varit dokumenterade och beskrivna vilket är viktigt för att säkerställa god styrning och kontroll. Vid hantering av larm finns flertalet moment som kräver, ibland svåra, enskilda avvägningar och bedömningar av anställda. Utan tydlig dokumentation på plats för dessa moment, är det i praktiken upp till den anställde att tolka fritt.

I sanktionsbeslutet för LF Bank framgår konkreta exempel på moment med höga krav på dokumentation. Det framgår bland annat att banken brustit i form av:

• Avsaknad av rutiner för kontroll av kvaliteten på utredningar av larm från monitoreringssystemet – exempelvis detaljerade instruktioner om vad banken ska göra och hur den ska bedöma enskilda moment

• Avsaknad av rutiner för hur hanteringen av larm ska gå till. Baserat på vår erfarenhet kan dessa rutiner kunna handla om vilken typ av utredningsåtgärder som ska göras baserat på larmtyp. Det kan även handla om stängningar, och att man använder tydliga stängningskoder för larmen så att arbetet går att följa upp.Bristfälliga rutiner för hur pågående utlandsbetalningar ska hanteras – exempelvis hur de stoppade transaktionerna ska hanteras.

Med andra ord är det inte själva utförandet av processerna utan dokumentationen av dessa som varit bristfällig. Både hanteringen av larm samt utförandet av stickprovsanalys förefaller ha varit korrekt på LF Bank – det var istället i själva dokumentationen av dessa processer som bristerna låg.

FI:s graverande omständigheter i sanktionsbeslutet

Utöver bristerna som pekas ut, innehåller sanktionsbeslutet även tydliga resonemang som förts kring graderingen av överträdelserna och storleken på boten. Genom att läsa och analysera även detta, kan vi få en unik inblick kring de omständigheter som FI ansett graverande – och kan på så vis i förlängningen få ytterligare input till prioritering av arbete under 2023. Dessa omständigheter avsåg: 1) att monitoreringen anses vara en mycket viktig del av bankens arbete, 2) att bristerna varit kända för banken utan att de skyndsamt åtgärdat dessa, samt 3) att vissa överträdelser har pågått under lång tid.Även om den nuvarande lagstiftningen med kraven på modellriskhantering och validering funnits sedan 2017, är kanske den krassa sanningen att detta område helt enkelt inte varit prioriterat. Med största sannolikhet är LF Bank inte heller ensamma i denna nedprioritering – det är inte någon hemlighet att det som i huvudsak styr verksamhetsutövares prioritering är just information och fokusområden i sanktionsbeslut. Även om FI i de senaste besluten nämnt såväl modellriskhantering som validering allt oftare, har brister i kundkännedom under en lång tid varit det centrala. Även om alla brister självklart alltid ska åtgärdas skyndsamt lever alla verksamhetsutövare i en vardag där prioriteringar behöver göras dagligen. Inte sällan kan ett sanktionsbeslut med tydliga fokusområden och formuleringar hjälpa till i att lyfta vikten av att rätta till bristen.

Hur ser vi på detta?

Vi har under de senaste fyra åren stöttat både storbanker och mindre finansiella institut i deras arbete med modellutveckling, modellriskhantering och validering. Vår erfarenhet är att området ofta upplevs som onödigt komplext eftersom det till en början kan vara svårt att komma i gång med arbetet i praktiken.För att kunna hantera utmaningarna krävs mångsidig kompetens inom dataanalys, regelverk och modeller, vilket många upptäcker i ett tidigt stadie av arbetet. I vissa fall är det förståelsen för hur dessa kompetenser ska kombineras i praktiken som saknas, i andra fall saknas själva kompetensen. Oavsett, är det inte sällan i just den här skärningspunkten vi går in och stöttar våra kunder.