En bedre risikovurdering

I årets første måned publiserte Finanstilsynet en rekke tilsynsrapporter knyttet til temaet hvitvasking og terrorfinansiering. Felles for tilsynene var nærmere undersøkelser av foretakenes virksomhetsinnrettede risikovurdering (jf. hvitvaskingsloven § 7), foretakenes rutiner (§ 8), og foretakenes plan for opplæring (§ 36).

For de som har fulgt med på Finanstilsynets hjemmesider eller hørt på tilsynets foredrag på den årlige Hvitvaskingskonferansen, burde ikke disse fokusområdene komme som noen overraskelse. Gjeldende hvitvaskingslov kom i 2018, og tilsynet har publisert to separate veiledere der de har skrevet mye om kundetiltak samt disse tre temaene. For å kunne etterkomme lovens krav om en risikobasert tilnærming i arbeidet, dvs. at man legger inn størst innsats på de områdene hvor det er identifisert høyest risiko, er det en forutsetning at foretaket har laget en systematisk virksomhetsinnrettet risikovurdering, som ser kritisk både på foretaket i seg selv, dets størrelse og type virksomhet, men også foretakets kunder, inkludert blant annet hvor kundene er geografisk tilhørende og hvilke av foretakets produkter / tjenester de benytter. Dette skaper så utgangspunkt for rutinene og hvilke opplæringstiltak som igangsettes.

Fra siste måneds publikasjoner kan man imidlertid lese kommentarer som «manglende etterlevelse av krav til relevant risikovurdering», «beskrivelse, ikke en vurdering», «svært kortfattet», «foretaket kunne ikke dokumentere en risikobasert tilnærming», «på tilsynstidspunktet ikke hadde en tilfredsstillende risikovurdering», samt mye annet. 

Hva skal til for å oppfylle forventningene til risikovurdering? Historisk har man fokusert på at risikovurderingen skal inneholde følgende tre elementer;

• iboende risiko,
• risikoreduserende tiltak, og
• restrisiko.

Veiledningen til hva en risikovurdering skal inneholde er klart mest fyldig i behandlingen av iboende risiko. Det ligger eksplisitte krav om hva som skal behandles, men kort fortalt er dette steget hovedsakelig en kombinasjon av eksterne kilder og en beskrivelse av foretaket og dets kunder. Når det eksempelvis tas opp i ØKOKRIMs Nasjonale Risikovurdering fra 2022 at det jevnt stigende prisnivået og praksis rundt eierforhold innen eiendomssektoren er en indikasjon på at det «kan finnes aktører som har interesse av å skjule og hvitvaske ulovlig opptjente verdier blant eierne (…)», da bør dette også nevnes hos rapporteringspliktige som har eiendomsforetak som sine kunder. Det forventes samtidig at de ulike risikoelementene vurderes over to akser. Disse er sannsynlighet for at en trussel vil inntreffe, og konsekvensen dersom trusselen faktisk inntreffer.

«Risikoreduserende tiltak» er et paraplybegrep. Herunder ligger organisering (eksempelvis om et verdipapirforetak har tilfredsstillende skille mellom meglere og de som gjennomfører oppgjør), opplæring, transaksjonsmonitorering, scenarier for overvåking av kundeporteføljen, og manuelle kontroller.

Når man så til sist vurderer iboende risiko minus effekten av de ulike tiltakene, sitter man igjen med en restrisiko. Forventningen er at denne skal være på et akseptabelt nivå i forhold til ledelsens uttalte risikoappetitt, og om den ikke er det må det legges en konkret plan for hvordan risikoen kan håndteres.

På et grunnleggende nivå virker det som det største forbedringspunktet er å gjøre risikovurderingen mer konkret og spisset til det enkelte foretaket. Dette er kanskje også det vanskeligste punktet, da man må gå fra det å simpelt hen beskrive til å vurdere.

KPMG har hjulpet flere kunder med deres risikovurderinger, og peker her på noen punkter som kan bidra til et bedre sluttresultat:

• Først av alt, få oppdateringen inn i bedriftens årshjul. Selv om det ikke er lovbestemte krav til hvor ofte risikovurderingen skal oppdateres (unntatt dersom det kommer inn nye produkter eller tjenester), er det en forventning om «jevnlig» oppdatering. I bransjen har dette stort sett blitt tolket til å bety «minst årlig».

• Bruk tid på forberedelsene. Sett opp møter med de ulike seksjoner eller forretningsområder for å sikre involvering og at alle deler av foretakets oppsett er forstått. Under disse møtene, gjennomgå hvilke produkter og tjenester seksjonen leverer, og hvordan disse kan brukes i hvitvaskingssammenheng.

• Innhent data om kundeporteføljen, både ulike kundetyper, hvor lenge de har vært kunder av foretaket, hvilke kanaler og kontaktflater de gjør forretningene sine i, og hvilke produkter eller tjenester de benytter seg av.

• Bruk dataen! Vurder om det er hensiktsmessig å gjøre en vekting av den iboende risikoen for å si noe om viktigheten av en risikodriver. Om man eksempelvis har ett produkt som anses som høyrisiko, men kun 10 av 10.000 kunder benytter seg av det, kan det være man heller skal fokusere på tjenesten med litt lavere risiko men som halvparten av kundemassen bruker.

• Kapittelet om risikoreduserende tiltak har lett for å bli en oppramsing av hvilke kontroller et foretak har på et overordnet nivå. Knytt hver enkelt kontroll til en av de identifiserte risikodriverne, og synliggjør der manuelle kontroller er lagt på for å kompensere for en manglende elektronisk.

• Vet man egentlig om kontrollen eller scenariet treffer slik den er ment? En ting er å sjekke av at man har en kontroll på plass, det er noe helt annet å systematisk gjennomgå kontrollene for å se om de treffer slik tenkt.

• Konkretiser hva restrisiko egentlig betyr for det enkelte foretaket. Å si at restrisiko er «lav» eller «middels» gir svært lite uten kontekst.

• Sett opp konkrete planer for implementering av forbedringspunkter mot slutten av dokumentet, som for eksempel at det skal legges på en ny kontroll på et høyrisikoprodukt. Alle tiltak må ha en ansvarlig person og en frist. Skriv også kort om hvordan dette forventes å påvirke risikoen. 

Glem avslutningsvis ikke at når den nye risikovurderingen er godkjent i styret, må kunnskapen spres utover i organisasjonen, altså via oppdatering av rutinene, og i opplæringen som gjøres.