Hur du gör en korrekt AML-riskbedömning och riskklassificering av dina kunder

Carl-Fredrik Hedengren

Skrivet av Carl-Fredrik Hedengren,
Rådgivare och VD
AML Audit & Advisory AB

Svenska tillsynsmyndigheter avslöjar ofta brister i företagens riskklassificering av kundrelationer och dokumentationen av dessa.

Många företag har svårt att bestämma hur riskklassificeringen av enskilda kundrelationer ska gå till i praktiken. Osäkerheten gäller både metoderna och vilka riskfaktorer som behöver beaktas.

I den här artikeln navigerar vi genom PTL-reglerna för att ge dig praktiska råd om hur du klassificerar dina kunders riskprofiler.

De enkla situationerna: faktorer att hålla utkik efter för att bestämma risknivån direkt

I vissa situationer är det enkelt att klassificera kundens risk.

Kunder som är PEP eller etablerade i ett högrisktredjeland bör klassificeras som en högriskkund. Då behövs inte ytterligare bedömningar, såvida inte vissa snäva undantag i penningtvättslagen ger utrymme för en annan bedömning.

Metoder för riskklassificering

I andra situationer än de ovannämnda ska alla relevanta riskfaktorer vägas samman för att klassificera kundens risk. Lagar och föreskrifter klargör dock inte hur det ska gå till, utan anger bara att risken måste bedömas.

Därför kan riskfaktorer antingen tilldelas olika viktklasser och beräknas matematiskt, eller så kan en skönsmässig bedömning göras, vilket är acceptabelt om resonemanget bakom bedömningen är vederhäftigt och dokumenterat.

Företag med ett mycket stort antal kunder väljer ofta att fastställa riskklassificeringen med hjälp av algoritmer – ett system som automatiskt tilldelar varje kund en riskklass baserat på olika viktningar av de riskfaktorer som identifierades under KYC-processen. I sådana situationer behöver PTL:s regler om modellriskhantering tillämpas.

Vanligare är att företag utför en manuell (icke-matematisk) bedömning av varje ny kund som registreras.

Vilka faktorer bör beaktas när riskbedömningen görs?

För att bedöma kundrelationens risknivå bör företagen börja med att ta hänsyn till sin egen interna allmänna riskbedömning samt erfarenheterna från transaktionsövervakningen. Detta innebär att vissa situationer och transaktioner kan kräva en högriskklassificering av en kundrelation utan att kunden själv nödvändigtvis förknippas med specifika högriskfaktorer.

Lagstiftningen (2 kap. 4-5 §§ PTL) ger endast några exempel på de faktorer som kan tyda på en låg eller hög risk för penningtvätt och finansiering av terrorism, vilket inte är tillräckligt för att bedöma kundrelationens risknivå. Dessutom kan vissa av de omständigheter som anges till och med vara vilseledande, t.ex. PTL:s antagande om en låg risknivå för företag som är etablerade inom EES (vissa EES-länder är förknippade med hög risk).

Ytterligare riskfaktorer kan härledas från andra officiella källor, såsom Europeiska bankmyndighetens riktlinjer, EU:s fjärde penningtvättsdirektiv, rekommendationerna från Samordningsfunktionen och FATF samt beslut från Finansinspektionen och länsstyrelserna.

Baserat på dessa kompletterande källor följer nedan en (icke-uttömmande) lista över frågor som du bör tänka på när du bedömer en kunds risknivå:

  1. Är kunden en person i politiskt utsatt ställning (PEP)??
  2. Har kunden en komplex ägar- eller kontrollstruktur?
  3. Har kunden ett s.k. negativt anseende, dvs. kopplingar till brott, brottsmisstankar eller t.ex. extremism?
  4. Verkar kunden i en högriskbransch?
  5. Utgör den tjänst som tillhandahålls kunden en högrisksituation (t.ex. en komplex fastighetsaffär)?
  6. Är kundens verkliga huvudmän etablerade i ett högriskland?
  7. Verkar de kanaler genom vilka de första och löpande kontakterna med kunden sker misstänkta?

För att säkerställa efterlevnad av KYC-kraven måste CDD och riskbedömning gå hand i hand

Många företag misslyckas med att uppfylla KYC-kraven eftersom de inte tar hänsyn till alla relevanta riskfaktorer.

De kan till exempel få information om företagets verkliga huvudmän men inte om dess ägar- och kontrollstruktur, vilket kan innebära en högrisksituation.

Ett annat exempel är när företag hämtar information från företagsregister och folkbokföring, men de misslyckas med att samla in information om kundernas medborgarskap och transaktioner – vilket är relevant för att bedöma geografisk risk.

För att undvika dessa situationer måste åtgärder för kundkännedom och riskbedömning vara nära kopplade till varandra.

Dessutom ska riskklassificeringarna för varje enskild kundrelation hållas uppdaterade. Denna uppdatering kan göras i samband med den periodiska uppdateringen av KYC-information – eller när specifika händelser utlöser behovet av att utföra en ny riskbedömning och klassificering.

Vägen framåt

Du utför sannolikt redan riskbedömningen och riskklassificeringen baserat på en lista över faktorer att ta hänsyn till.

För att uppnå full efterlevnad av penningtvättslagen uppmuntrar vi dig att se till att din nuvarande riskbedömningsprocess inkluderar riskfaktorer relaterade till din egen interna riskbedömning, såväl som de andra faktorerna som anges ovan.

Om du har några frågor, tveka inte att kontakta oss!

Uppfyll AML-kraven med hjälp av Penneo KYC

Undertecknad har samarbetat med Penneo i utvecklingen av det legala ramverket för deras KYC-mjukvara, som är anpassat till de svenska AML-kraven.

Penneo KYC är nu tillgängligt i Sverige. Boka en personlig session med våra KYC-experter.

Ansvarsfriskrivning: Denna artikel gäller AML-uppdateringar i Sverige. Var medveten om att landsspecifika skillnader finns om du har att göra med AML-efterlevnad i ett annat land än Sverige.

Utforska våra resurser

Säkerhet och tillit: Hur vi säkerställer regelefterlevnad och skyddar data

Säkerhet och tillit: Hur vi säkerställer regelefterlevnad och skyddar data

LÄS MER

Att navigera i det komplexa landskapet av AML-efterlevnad i redovisningsbranschen

Att navigera i det komplexa landskapet av AML-efterlevnad i redovisningsbranschen

LÄS MER

9 expert tips for picking the perfect KYC solution

9 experttips för att välja den perfekta KYC-lösningen

LÄS MER