Virksomhetsinnrettet Risikoanalyse

Denne artikkelen beskriver fem mangler som går igjen i Finansstilsynets tilsynsrapporter. 

Mangler ved risikoanalysen går igjen i de aller fleste tilsynsrapporter uavhengig av bransje. Mange av disse er gjentagende, og ofte tydelig identifisert av Finanstilsynet i tilsynsrapporter. Du kan unngå å gå i disse fellene ved å følge rådene i våre artikkelserie om Virksomhetsinnrettet risikoanalyse. 

 

  1. Manglende rød tråd. Virksomheten skal identifisere risikoer og vurdere hvor godt risikoene reduseres av de tiltak som virksomheten har etablert. Det skal derfor være en sammenheng mellom nasjonalt identifiserte risikoer, iboende risikoer og vurderingen av tiltak og kontroller. Dersom et tiltak er beskrevet som ikke samsvarer med en iboende risiko vil det være en mangel som kan bli kritisert. Dersom en iboende risiko er beskrevet men mangler tiltak, vil det også være en mangel. Har bransjen en flagget risiko i nasjonal risikoanalyse eller i relevante tilsynsdokumenter bør det også beskrives.

    Tenk at det skal være en sammenheng gjennom hele vurderingen, fra risikoer til den plan for lukking av risikoer som finnes til slutt. Tenk også at det skal være mulig å følge denne fremstillingen i gjennom hele dokumentet. Sist men ikke minst: Den røde tråden, eller sammenhengen skal også omfatte rutinene. Har du identifisert en høy risiko, må du også i rutinene beskrive hvordan denne risikoen håndteres konkret.

  2. Bruk av mal. Det er vel og bra å la seg inspirere av hva andre har gjort. Mange bransjeforeninger og sammenslutninger har utarbeidet malverk som er distribuert til medlemmer. Men en mal kan i beste fall fungere som en arbeidsliste. Det er veldig konkrete krav til at risikoanalysen skal “utarbeides individuelt og konkret”.


  3. Lovsitater og avklaring av regulatoriske krav. Tenk på hvem risikoanalysen er skrevet for: For ansatte og styre, slik at de kan forstå hvordan risiko er identifisert og håndtert, og for finanstilsynet, slik at de også forstå hvordan virksomheten tenker om og håndterer risiko. Det er absolutt ikke noen vits i å ta med lovsitater eller lengre beskrivelser av hvordan virksomheten oppfatter lovkravene. Det vil i verste fall bare irritere leseren, og du vil ikke gjøre en bedre jobb enn dokumenter som allerede finnes i offentligheten. 

  4. Manglende oppdatering. Virksomhetsinnrettet risikoanalyse er i høy grad et levende dokument. Det bør alltid oppdateres ved viktige hendelser, inkludert disse: 

    a. Nye lover eller forskrifter trer i kraft
    b. Nye veilednings dokumenter eller rundskriv blir offentliggjort
    c. Nye nasjonale risikoanalyser offentliggjøres
    d. Virksomheten gjør strategiske eller taktiske endringer i hvordan de opptrer i markedet,          for eksempel lansering av nye produkter eller rekruttering av nye kundegrupper. Det kan        også være nødvendig med ny risikoanalyse dersom måten man arbeider med AML på              endres vesentlig, som for eksempel bruk av Kjenn Din Kunde.

     
  5. Mangler godkjenning av styret. Dette er et enkelt formalia-krav som bør ivaretas. HELE risikoanalysen bør legges frem for styret, som eksplisitt må vedta at den godkjennes av virksomhetens styre.

    Dette er mer en bare et formalia-krav, ettersom det innebærer at den virksomhetsinnrettede risikoanalysen må være utformet på en måte som er tilgjengelig også for personer som ikke er eksperter på AML.