Risikoappetitt – hvor sultne kan vi være?

Risikoappetitt er et velkjent konsept innenfor risikostyring. Det er et uttrykk for viljen til å gjennomføre risikofylte aktiviteter for å oppnå verdier. Sagt på en annen måte: risikoappetitt er det aggregerte nivået på, og typer av risiko en institusjon er villig til å ta, innenfor sin risikokapasitet og i samsvar med sin forretningsmodell. En god risikobasert tilnærming til implementeringen av hvitvaskingsregelverket forutsetter fastsettelsen av en risikoappetitt. Det er uttalt forventning av både EBA og Finanstilsynet at rapporteringspliktige setter en risikoappetitt på antihvitvask.

Fastsettelsen av risikoappetitt bør skje i forbindelse med utarbeidelsen og den senere oppdateringen av den virksomhetsinnrettede risikovurderingen (hvitvaskingsloven § 7). Rapporteringspliktige må vurdere og identifisere den iboende risikoen i virksomheten knyttet til produkter og tjenester, distribusjonskanaler, transaksjoner og kunder. Deretter må det måles hvordan identifisert risiko mitigeres ved å gjennomføre antihvitvaskingstiltak som risikobaserte kundetiltak, adverse media screening, transaksjonsovervåkning, produktkontroller osv. Man står så igjen med en restrisiko – som må ligge innenfor den fastsatte risikoappetitten. Dersom restrisikoen fortsatt ligger utenfor risikoappetitten, må ytterligere kontroller og tiltak implementeres.

Et spørsmål som ofte kommer er om man i det hele tatt har risikoappetitt på antihvitvask (underforstått: hvitvaskingsloven tillater ikke risiko). Hvitvaskingsloven fastlegger imidlertid ingen risikoappetitt – tvert imot står ikke rapporteringspliktige en gang fritt til å sette en for streng risikoappetitt av hensyn til finansiell inkludering og forbudet mot de-risking.

Fordelene med risikoappetitt

Fastsettelse av en veloverveid risikoappetitt på antihvitvask har mange fordeler. Det tilrettelegger for et mer bevisst forhold til risiko – vertikalt og horisontalt i virksomheten. Den gjør det mulig for alle risikoeiere i virksomheten å foreta bedre beslutninger ved at de har kunnskap om hvilke grenser de må holde seg innenfor. Bevisstheten og kunnskapen om iboende risiko og effekten av risikoreduserende tiltak blir ofte bedre. Den gjør det også mulig for virksomheten å definere grenser tidlig i utviklingen av nye produkter, tjenester og markedssegmenter. En veloverveid fastsatt risikoappetitt muliggjør skalering og scoping av de operative prosessene på antihvitvask på en bedre og mer effektiv måte, og fjerne utfordringer knyttet til case-by-case beslutninger om risiko i det daglige. Man unngår å måtte spekulere i hvor mye risiko bedriften kan tåle med hensyn til enkelte kunder og saker; risikoappetitten er allerede satt. En tydelig risikoappetitt gjør det også enkelt å raskt identifisere tilfeller hvor risikoappetitten er overskredet, slik at risikoreduserende tiltak raskt kan iverksettes.

Fastsettelse av risikoappetitt

Det finnes mange metoder og variasjoner for hvordan risikoappetitt fastsettes – og det finnes ikke et fasitsvar på hva som er riktig for alle rapporteringspliktige. Det som er viktig er at den metoden en velger for sin virksomhet er tilpasset virksomhetens profil, organisasjon og tilnærming til risikostyring.

Ofte ser man at risikoappetitt formuleres som en programuttalelse, gjerne inntatt i et overordnet strategidokument, for eksempel:

«Bank A har nulltoleranse for hvitvasking og terrorfinansiering, og for brudd på hvitvaskingsregelverket».

En slik programuttalelse gir et godt uttrykk for virksomhetens ønskelige tilnærming til antihvitvask. Det ser pent og pyntelig ut med en «null-toleranse» – appetitt og det kan fungere bra som en grunnholdning i virksomheten, men det fungerer svært dårlig som en risikoappetitt. En risikoappetitt formulert som en nulltoleranse er urealistisk. Sannsynligheten for å bli benyttet til hvitvasking og terrorfinansiering er for de fleste rapporteringspliktige – og særlig banker – svært høy. Hvitvasking skjer gjennom alle Norges banker hver dag, og den risikobaserte tilnærmingen er erkjennelse av dette omfanget: Det er ikke mulig å fange opp alt. Å tro at kundetiltak og kontroller vil kunne eliminere all risiko for hvitvasking og terrorfinansiering er utopisk. Ingen bedrift kan eksistere uten å ta risiko. Et hovedpoeng med å fastsette risikoappetitt er nettopp at risiko skal identifiseres og kvantifiseres på en strukturert måte som korrelerer med virksomhetens forretningsstrategi.

Noen foretak har fastsatt kvantifiserte risikoappetitter på antihvitvask. Dette kan ha fordeler ved seg ved at det brukes målbare data og tall som er kjent i virksomheten. For eksempel kan risikoappetitten sette en grense for hvor mange kunder med bosted eller virksomhet i et høyrisiko-land som aksepteres, eller hvor mange bedrifter som driver innenfor en høyrisikobransje som får bli kunde. Det bør utvises varsomhet ved å kvantifisere risikoappetitter. Kvantifisering kan være særlig problematisk i forhold til forbudet mot de-risking. Det er ikke tillatt å utelukke hele bransjer og kundegrupper utelukkende grunnet hvitvaskingsrisiko: Risiko skal håndteres. Og det oppstår vanskelige problemstillinger knyttet til når man skal stanse å ta inn en bestemt høyrisikogruppe av kunder: Når det totale antall høyrisiko-kunder er oppnådd, hvordan skal avvisningen av videre kundestrøm skje?

Det viktigste når risikoappetitt skal fastsettes, er at den er realistisk og mulig å omsette – operasjonalisere i virksomheten. En bedre måte å fastsette en aggregert risikoappetitt på kan for eksempel være å sette en risikoappetitt for operasjonell risiko og en for compliance, for eksempel:

«Styret i Bank A har fastsatt moderat risikoappetitt for operasjonell risiko på antihvitvask og lav risikoappetitt for compliance med hvitvaskingsregelverket.»

Dette gjør det mulig å ha et realistisk risikorammeverk å forholde seg til på den operasjonelle siden. Deretter bør det illustreres hvordan den aggregerte risikoappetitten skal brytes ned og operasjonaliseres for de ulike risikofaktorene. Det bør illustreres hvordan risikoappetitten forholder seg på sannsynlighetssiden og konsekvenssiden av risiko. Når det gjelder risikoappetitt for kunder virksomheten tar inn, vil det ofte kunne være tilfeller hvor sannsynligheten for hvitvasking ikke i stor grad kan reduseres – den kan kun håndteres gjennom forsterkede kundetiltak, oppfølging, undersøkelse og rapportering til Økokrim. Så lenge disse tiltakene er tilstrekkelig implementert vil imidlertid konsekvenssiden kunne være lav, fordi hvitvaskingsregelverket er overholdt. Risikoen for straffansvar vil også reduseres så lenge virksomheten har rammeverk og kontroller i henhold til hvitvaskingsregelverket. Risikoappetitten på sannsynlighetssiden kan dermed settes som for eksempel moderat-høy, mens appetitten på konsekvenssiden kan settes til lav. Produktet av dette blir en moderat risikoappetitt – i tråd med den aggregerte risikoappetitten. Slik kan risikoappetitten operasjonaliseres skjematisk og strukturert for hver risikofaktor. For eksempel kan risikoappetittens omsetning for risikofaktorene virksomhet og produkter struktureres slik:

Strategisk og operativ tilnærming til risikoappetitt

Det finnes to måter å tilnærme seg risikoappetitten på: top-down og bottom-up. Hovedtilnærmingen til fastsettelse av risikoappetitt bør være top-down, ved at styret sammen med ledelsen fastsetter risikoappetitten i et overordnet strategidokument – eller i et overordnet dokument som inngår i den virksomhetsinnrettede risikovurderingen. Risikoappetitten settes da gjerne på grunnlag av en av de metodene vi har gjennomgått og illustrert, eller en kombinasjon av dem.

Bottom-up tilnærming vil i denne sammenheng si at virksomhetens retningslinjer for eksempelvis kunderisikoscoring, transaksjonsovervåkning, samt KPIer forholder seg til den aggregerte risikoappetitt ved at det settes parametere som forholder seg til denne. Bottom-up tilnærming er en operasjonalisering av risikoappetitten, ved at ulike områder i organisasjonen og systemer for risikohåndtering opererer med egen risikoappetitt som til enhver tid ligger innenfor den aggregerte.

Virksomheten bør jevnlig gjennomgå og vurdere risikoappetitten – for å sikre at den møter endringer i både virksomheten selv og relevante risikofaktorer. I krisetider – for eksempel finanskriser eller sykdomsepidemier, som nåværende Covid19-pandemi, endres interne og eksterne omstendigheter dramatisk, og det vil ofte kunne fordre en ned – eller oppskalering av risikoappetitten for å være i stand til å ta inn over seg det det endrede landskapet. 

Legg igjen en kommentar

Varen er lagt i handlekurven.
0 items - kr