Automatisering i AML: Derfor kan systemet ikke stå alene i din risikovurdering

Automatisering spiller i dag en central rolle i arbejdet med hvidvask-compliance (AML). Systemer kan effektivt håndtere kundedata, screening og dokumentation – men de kan ikke stå alene. Den endelige AML-risikovurdering kræver stadig menneskelig dømmekraft.

I denne artikel gennemgår vi, hvad du kan automatisere i din kundekendskabsprocedure, hvad du selv skal tage stilling til, og hvordan du laver en stærk og veldokumenteret risikovurdering af kundeforholdet – med konkrete eksempler på lav, mellem og høj risiko.

Når systemet arbejder for dig – men ikke gør hele arbejdet

Kan man automatisere sin hvidvask-compliance? Det korte svar er ja! Og det er der mange gode grunde til.

Det lidt længere svar er: ja, men ikke den del, der i sidste ende afgør risikoen.

De fleste, der arbejder med hvidvask, har i dag en systempartner ved deres side. En løsning, der hjælper med at indsamle kundedata, køre screening og holde styr på dokumentationen. Det sparer tid, skaber overblik og gør det langt nemmere at leve op til kravene.

Men der er en del af arbejdet, som ikke forsvinder uanset hvor god din løsning er: Den endelige vurdering af din kunde.

For selvom systemet kan samle data og pege på risikofaktorer, er det stadig dig, der skal forstå, hvad det hele betyder i praksis. Og det er netop her, balancen ligger.

Når automatisering gør det tunge arbejde lettere

En god systempartner overtager ikke dit ansvar – den fjerner friktion i din hverdag.

Den sørger for, at du ikke skal starte fra bunden hver gang, du onboarder en kunde. At du får de relevante oplysninger ind, at screening sker systematisk, og at din dokumentation ikke ender i forskellige mapper og noter.

Typisk kan du automatisere:

• Indsamling af kundedata (KYC)

• Screening mod PEP-, sanktions- og medielister

• Strukturering af din kundekendskabsprocedure

• Løbende CVR-overvågning og opdateringer

Det betyder, at du bruger mindre tid på det gentagende arbejde. Og mere tid på det, der faktisk kræver din faglighed.

For automatiseringen er rigtig god til at skabe struktur og sikre, at du har det nødvendige datagrundlag. Hos Creditro plejer vi at sige, at systemet skal give dig ro i maven omkring det, du ved, så du kan bruge din energi på det, du skal vurdere. Automatiseringen hjælper dig nemlig med at få data på plads, men data er ikke det samme som en vurdering.

Der, hvor systemet slipper og du tager over

På et tidspunkt i din kundekendskabsprocedure skifter opgaven karakter: du går fra at indsamle information til at skulle forstå den. Selv i et fuldt automatiseret setup er der nemlig to ting, du ikke kan læne dig tilbage fra:

1. At forstå din kunde
Onboarding er ikke bare en tjekliste. Det er her, du danner dig et billede af, hvem kunden er, hvad de laver, og hvordan deres forretning hænger sammen.

2. At fastsætte den endelige risikovurdering
Systemet kan vise dig risikofaktorer. Men det er dig, der vurderer, hvad de betyder i den konkrete sammenhæng.

To kunder kan godt ligne hinanden på papiret, men alligevel være vidt forskellige, når man ser på deres forretning i praksis. Systemet kan vise dig, hvad du skal være opmærksom på (dine risikofaktorer), men det kan ikke forklare sammenhængen mellem dem. Det er stadig din opgave.

Den største faldgrube: Når automatisering bliver en sovepude

De fleste har nok prøvet at kigge på en samlet vurdering i deres KYC-system og tænke: “Det ser fint ud.” Og ofte er det også fint.

Men det er en klassisk faldgrube at læne sig for meget op ad systemets scoringer, for virkeligheden er sjældent så simpel. Hvis din vurdering stopper der, bliver automatisering hurtigt til en sovepude og du risikerer:

• at overse nuancer i kundeforholdet

• at dokumentationen ikke hænger sammen

• at du ikke kan forklare din vurdering over for en tredjepart

En risikovurdering er ikke stærk fordi den lander på en klassificering. Den bliver først stærk, når du kan forklare hvorfor den er sat som den er.

Og det skal ikke kun kunne forklares til dig selv, men også for en kollega, en revisor eller i sidste ende tilsynet. Hvis andre ikke kan læse vurderingen og forstå rationalet bag den, så er den i praksis ikke i mål.

Sådan laver du en stærk endelig risikovurdering

En god risikovurdering behøver ikke nødvendigvis at være lang, men den skal være tydelig og præcis. Forestil dig, at du åbner den igen om et år, eller at en kollega overtager sagen: vil det være muligt at forstå kundeforholdet, uden at skulle lede efter ekstra noter eller forklaringer?

Hvis svaret er nej, er vurderingen ikke færdig endnu.

I praksis handler det om at tage det, systemet har samlet for dig, og gøre det til en sammenhængende vurdering. Ikke ved at gentage alle data, men ved at forklare, hvad de betyder samlet set. Tænk det som en kort fortælling om kundeforholdet.

En god risikovurdering samler de vigtigste observationer og forklarer, hvordan de påvirker risikoen. Den ender i en tydelig og begrundet konklusion, som:

• kan stå alene

• forklarer, hvorfor kunden har den givne risiko

• kan forstås af en kollega eller en tilsynsførende

• skaber en tydelig sammenhæng mellem data og konklusion

De fleste risikovurderinger bygger på de samme grundelementer: information om kundens type, ejerstruktur, branche, geografi og forventede aktivitet, samt kundens formål og tilsigtede beskaffenhed.

Et system hjælper dig med at indsamle og strukturere alle grundelementerne, men det er først, når du binder det sammen, at det bliver din unikke vurdering af kundeforholdet.

Eksempler på AML-risikovurderinger

Nedenfor er tre eksempler, der viser forskellen på lav, mellem og høj risiko i praksis. Fælles for dem er, at de kan læses og forstås uden anden kontekst. Strukturen kan du med fordel følge og naturligvis tilføje flere detaljer omkring det specifikke kundeforhold, som du risikovurderer. Disse eksempler er generelle og til inspiration for din struktur.

Lav risiko

Kunden er en dansk ejet enkeltmandsvirksomhed, der leverer bogføringsydelser til mindre virksomheder. Virksomheden opererer udelukkende i Danmark og har ingen internationale aktiviteter eller forbindelser til højrisiko jurisdiktioner.

Ejerstrukturen er simpel og transparent, idet virksomheden ejes og drives af en fysisk person, som er identificeret og legitimeret. Der er ikke identificeret reelle ejere ud over indehaveren.

Kundens forretningsmodel vurderes som enkel og letforståelig, og de forventede transaktioner er begrænsede, stabile og i overensstemmelse med virksomhedens størrelse og aktivitet. Der er ingen brug af kontanter eller komplekse betalingsstrukturer.

Der er gennemført screening for PEP og negative medieomtaler uden fund, og der er ikke identificeret andre risikofaktorer relateret til kunden.

Branchen og ydelsen (bogføringsydelser) er vurderet til lav risiko i relation til Hvidvaskloven.

Samlet vurdering:
På baggrund af kundetype, geografisk eksponering, forretningsmodel og forventet transaktions adfærd, samt indgående kendskab til kunde vurderes kundeforholdet som lav risiko.

Mellem risiko

Kunden er et dansk ApS, der arbejder med import og salg af elektronik. Virksomheden har leverandører i både EU og Asien og opererer derfor internationalt.

Ejerstrukturen er forholdsvis enkel, og de reelle ejere er identificeret. Der er ikke tegn på brug af komplekse selskabskonstruktioner.

Forretningsmodellen er overordnet set nem at forstå, men den internationale handel medfører en øget risiko, især i forhold til betalingsstrømme og samarbejde med udenlandske leverandører. Transaktionerne forventes at variere i både størrelse og hyppighed, men hænger sammen med virksomhedens aktivitet.

Der er ikke fundet PEP-tilknytning eller negativ omtale, og der er ikke identificeret andre konkrete risikofaktorer ved kunden.

Den internationale eksponering, særligt uden for EU, samt branchens karakter gør, at risikoen samlet set er højere end lav. Vi har samarbejdet med kunden i en længere periode, og har et indgående kendskab, der gør, at vi ikke ser nogen risiko for hverken hvidvask eller terrorfinansiering.

Samlet vurdering:

Kunden vurderes som mellem risiko.

Høj risiko

Kunden er et holdingselskab med en kompleks ejerstruktur, herunder udenlandske ejere registreret i højrisikolande. Ejerforholdene fremstår mindre gennemsigtige, og det er vanskeligt at opnå fuldt overblik over den samlede ejerkreds.

Selskabet har oplyst, at formålet med kundeforholdet er at håndtere investeringer og kapital placering på tværs af flere jurisdiktioner. Den tilsigtede brug indebærer dermed internationale transaktioner og overførsler mellem koncernforbundne enheder.

Det oplyste formål er overordnet set forretningsmæssigt plausibelt for et holdingselskab, men medfører samtidig en øget risiko, da strukturen og de internationale aktiviteter kan vanskeliggøre gennemsigtighed i pengestrømme og reelt ejerskab.

Der er identificeret PEP-tilknytning i ejerkredsen, hvilket i sig selv indebærer en forhøjet risiko. Derudover foreligger negativ medieomtale relateret til tidligere forretningsaktiviteter, som yderligere skærper risikobilledet.

Den tilsigtede anvendelse af kundeforholdet, herunder internationale kapitalbevægelser, vurderes at være i overensstemmelse med kundens oplyste forretningsmodel, men bidrager samtidig til en øget kompleksitet og dermed forhøjet risiko.

Samlet vurdering:
På baggrund af kundens komplekse ejerstruktur, geografiske eksponering mod højrisikolande, PEP-relation, negativ omtale samt den tilsigtede anvendelse af kundeforholdet vurderes kunden som høj risiko.

Den rigtige balance giver dig bedre compliance

Det kan være fristende at tænke automatisering som en måde at “løse” compliance på. Men i praksis skal et system fjerne det tunge og gentagende arbejde og give dig bedre forudsætninger for at træffe de rigtige beslutninger.

Den gode løsning er derfor ikke enten system eller menneske, men kombinationen af begge. Det giver mening at automatisere din compliance, både for din tid og din kvalitet. Men du slipper ikke for at tage stilling. Og det er heller ikke meningen.

For i sidste ende er det ikke systemet, der kender din kunde – det er dig.

Hos Creditro gør vi det nemmere at samle det rigtige datagrundlag til dig, så du netop kan bruge din tid på selve vurderingen. Du kan blandt andet tilpasse spørsmålende i din egenvurdering, så du sørger for at få afdækket de vigtigste punkter til eksempelvis "formål og tilsigtet beskaffenhed", og sikrer dig det bedst mulige grundlag for en god endelig risikovurdering.

Hvis du vil se, hvordan det Creditro Comply fungerer i praksis, tager vi gerne en uforpligtende gennemgang med dig.