Rådgivare och VD
AML Audit & Advisory AB
Carl-Fredrik Hedengren är en mycket erfaren AML-rådgivare och VD för AML Audit & Advisory AB, specialiserad på att tillhandahålla helhetslösningar för verksamheter som påverkas av AML-regelverket. Med över ett decennium av expertis har Hedengren fungerat som en betrodd rådgivare inom AML och andra regulatoriska frågor, med omfattande erfarenhet inom FinTech och kapitalförvaltning. Hans djupa kunskap och engagemang för regelefterlevnad gör honom till en go-to expert för företag som navigerar AML-komplexitet.
Svenska tillsynsmyndigheter avslöjar ofta brister i företagens riskklassificering av kundrelationer och dokumentationen av dessa.
Många företag har svårt att bestämma hur riskklassificeringen av enskilda kundrelationer ska gå till i praktiken. Osäkerheten gäller både metoderna och vilka riskfaktorer som behöver beaktas.
I den här artikeln navigerar vi genom PTL-reglerna för att ge dig praktiska råd om hur du klassificerar dina kunders riskprofiler.
De enkla situationerna: faktorer att hålla utkik efter för att bestämma risknivån direkt
I vissa situationer är det enkelt att klassificera kundens risk.
Kunder som är PEP eller etablerade i ett högrisktredjeland bör klassificeras som en högriskkund. Då behövs inte ytterligare bedömningar, såvida inte vissa snäva undantag i penningtvättslagen ger utrymme för en annan bedömning.
Metoder för riskklassificering
I andra situationer än de ovannämnda ska alla relevanta riskfaktorer vägas samman för att klassificera kundens risk. Lagar och föreskrifter klargör dock inte hur det ska gå till, utan anger bara att risken måste bedömas
.
Därför kan riskfaktorer antingen tilldelas olika viktklasser och beräknas matematiskt, eller så kan en skönsmässig bedömning göras, vilket är acceptabelt om resonemanget bakom bedömningen är vederhäftigt och dokumenterat.
Företag med ett mycket stort antal kunder väljer ofta att fastställa riskklassificeringen med hjälp av algoritmer – ett system som automatiskt tilldelar varje kund en riskklass baserat på olika viktningar av de riskfaktorer som identifierades under KYC-processen. I sådana situationer behöver PTL:s regler om modellriskhantering
tillämpas.
Vanligare är att företag utför en manuell (icke-matematisk) bedömning av varje ny kund som registreras.
Vilka faktorer bör beaktas när riskbedömningen görs?
För att bedöma kundrelationens risknivå bör företagen börja med att ta hänsyn till sin egen interna allmänna riskbedömning samt erfarenheterna från transaktionsövervakningen. Detta innebär att vissa situationer och transaktioner kan kräva en högriskklassificering av en kundrelation utan att kunden själv nödvändigtvis förknippas med specifika högriskfaktorer.
Lagstiftningen (2 kap. 4-5 §§ PTL) ger endast några exempel på de faktorer som kan tyda på en låg eller hög risk för penningtvätt och finansiering av terrorism, vilket inte är tillräckligt för att bedöma kundrelationens risknivå. Dessutom kan vissa av de omständigheter som anges till och med vara vilseledande, t.ex. PTL:s antagande om en låg risknivå för företag som är etablerade inom EES (vissa EES-länder är förknippade med hög risk).
Ytterligare riskfaktorer kan härledas från andra officiella källor, såsom Europeiska bankmyndighetens riktlinjer, EU:s fjärde penningtvättsdirektiv, rekommendationerna från Samordningsfunktionen och FATF samt beslut från Finansinspektionen och länsstyrelserna.
Baserat på dessa kompletterande källor följer nedan en (icke-uttömmande) lista över frågor som du bör tänka på när du bedömer en kunds risknivå:
- Är kunden en person i politiskt utsatt ställning (PEP)??
- Har kunden en komplex ägar- eller kontrollstruktur?
- Har kunden ett s.k. negativt anseende, dvs. kopplingar till brott, brottsmisstankar eller t.ex. extremism?
- Verkar kunden i en högriskbransch?
- Utgör den tjänst som tillhandahålls kunden en högrisksituation (t.ex. en komplex fastighetsaffär)?
- Är kundens verkliga huvudmän etablerade i ett högriskland?
- Verkar de kanaler genom vilka de första och löpande kontakterna med kunden sker misstänkta?
För att säkerställa efterlevnad av KYC-kraven måste CDD och riskbedömning gå hand i hand
Många företag misslyckas med att uppfylla KYC-kraven eftersom de inte tar hänsyn till alla relevanta riskfaktorer.
De kan till exempel få information om företagets verkliga huvudmän men inte om dess ägar- och kontrollstruktur, vilket kan innebära en högrisksituation.
Ett annat exempel är när företag hämtar information från företagsregister och folkbokföring, men de misslyckas med att samla in information om kundernas medborgarskap och transaktioner – vilket är relevant för att bedöma geografisk risk.
För att undvika dessa situationer måste åtgärder för kundkännedom och riskbedömning vara nära kopplade till varandra.
Dessutom ska riskklassificeringarna för varje enskild kundrelation hållas uppdaterade. Denna uppdatering kan göras i samband med den periodiska uppdateringen av KYC-information – eller när specifika händelser utlöser behovet av att utföra en ny riskbedömning och klassificering.
Vägen framåt
Du utför sannolikt redan riskbedömningen och riskklassificeringen baserat på en lista över faktorer att ta hänsyn till.
För att uppnå full efterlevnad av penningtvättslagen uppmuntrar vi dig att se till att din nuvarande riskbedömningsprocess inkluderar riskfaktorer relaterade till din egen interna riskbedömning, såväl som de andra faktorerna som anges ovan.
Om du har några frågor, tveka inte att kontakta oss!
Uppfyll AML-kraven med hjälp av Penneo KYC
Undertecknad har samarbetat med Penneo i utvecklingen av det legala ramverket för deras KYC-mjukvara, som är anpassat till de svenska AML-kraven.
Penneo KYC är nu tillgängligt i Sverige. Boka en personlig session med våra KYC-experter.
Friskrivningsklausul: Ansvarsfriskrivning: Denna artikel gäller AML-uppdateringar i Sverige. Var medveten om att landsspecifika skillnader finns om du har att göra med AML-efterlevnad i ett annat land än Sverige.
