CM1 Den fullständiga lösningen för 3:e penningtvättsdirektivet

Transkript

1 CM1 Den fullständiga lösningen för 3:e penningtvättsdirektivet

2 Softronic är ett konsultbolag inom IT och management. Vår verksamhet spänner från rådgivning och nyutveckling till förvaltning och drift. Kunderna är främst medelstora och större företag och organisationer i Sverige. Softronic grundades 1984 och är börsnoterat. Mer information finns på Softronic.se

3 Compliance Manager 1 (CM1) CM1 är en del av Modul 1s strategiska statsning på tjänster kring compliance. CM1 är förutom en fullständig lösning för det 3:e penningtvättsdirektivet en plattform av växa vidare i. CM1 ger företag möjlighten att skapa en överblick över hur organisationen efterlever olika tvingande regelverk. CM1 kan utnyttjas som en informationsnod (CM1i) för att få tillgång till externa informationskällor från vilka företaget vill kunna söka och hämta information från. CM1i ger i sitt grundutförande tillgång till bl. a. identitetskontroll, adressinformation, och information från bolagsverket. CM1 innehåller även en avancerad analysplattform för att betrakta och analysera olika typer av information. Med hjälp av analysplattformen kan bl. a. frågeställningar kring en ökad effektivitet i korsförsäljning eller risker för bedrägerier hanteras.

4 BAKGRUND CM1 är ett svenskt system framtaget speciellt för att möta de krav som den svenska lagstiftningen ställer kring hantering av det 3:e penningtvättsdirektivet. CM1 är en fullständig lösning med stöd för såväl operationella som administrativa rutiner. Systemet är roll- och modulbaserat och innehåller stöd för bl.a. Informationsinhämtning Identitetskontroll Kontroll mot PEP- och sanktionslistor Monitorering Riskanalys Ärendehantering Administration av riskpolicy Administration av utbildningsinsatser Gallringsrutiner Juridikinformation Rapportering (Intern och extern) Spårbarhet och historik Det 3:e penningtvättsdirektivet har ett mer uttalat riskbaserat förhållningssätt jämfört med tidigare direktiv. Risker ska bedömas och olika situationer skall hanteras olika beroende på risken för penningtvätt eller finansiering av terrorism. Mer detaljerade krav ställs på att Känna sin kund. Centrala begrepp är identitetskontroll, kontinuerlig uppföljning och utbildning av personal. Kundkännedom En av de större nyheterna i direktivet rör skyldigheten att utröna identiteten hos den verkliga kunden samt att inhämta information om affärsförbindelsens syfte och art. I de fall kundens identitet eller transaktionens syfte och art inte kan fastställas skall affärsförbindelsen ej genomföras vilket är en skärpning mot tidigare direktiv. CM1 har fullständigt stöd för kundkännedomsprocessen och informationsinhämtning av bl.a. Adressuppgifter Information från Bolagsregistret Information om affärens syfte och art Personuppgifter & Identitetskontroll Taxeringsinformation CM1 ger dig även möjligheten att ansluta andra externa eller interna källor av information i det fall mer information krävs för att genomföra en riskbaserad kontroll. Som penningtvättsarkiv har CM1 även funktioner för elektronisk lagring av identitetshandling, gallring av kundinformation (enligt den kommande lagen) samt spårbarhet kring hantering av ärenden och information. Pep och sanktionslistor De kanske mest kontroversiella bestämmelserna rör affärsförbindelser med personer som är eller har en relation till personer i politiskt utsatt ställning, PEP (Politiskt Exponerade Personer). Kraven innebär bl. a. rutiner för att fånga upp dessa personer och därefter tillämpa skärpt övervakning och beslutsfattande på en högre nivå än annars. Även om Personuppgiftslagen (PUL) är undantaget till viss del i relation till penningtvättsfrågor så ställerhanteringen av PEP och sanktionslistor stora krav kring datatvätt. Detta är för att undvika hantering av olaglig information så som brottsmisstanke eller ryktesspridning som ofta är förekommande i utländska listor och register.

5 Dessa frågeställningar hanteras fullständigt av CM1 som ger åtkomst till Tvättade PEP och Sanktionslistor (s.k. terrorlistor ) Informationssökning kring Landrisker Kontinuerlig uppdatering av definitionen av PEP Kontinuerlig uppdatering av vilka sanktionslistor som ska genomsökas för att säkerställa efterlevnad Sökning på kända alias Alla sökningar och dess resultat lagras för spårbarhet samt möjligheten att kontrollera missbruk. Vidare har PUL beaktas under hela utvecklingsprocessen av CM1 Rapportering och riskanalys All riskanalys och övervakning i CM1 har ett riskbaserat förhållningssätt. Detta innebär att varje kund, produkt och transaktion riskvägs vid varje tillfälle. CM1 har ett antal olika typer av regler för att upptäcka transaktioner som bör granskas. Systemet skapar automatiskt ärenden när en regel bryts. Dessa ärenden presenteras översiktligt under Pågående ärenden. CM1 har ett enkelt och intuitivt gränssnitt för att lägga till nya versioner av reglerna eller modifiera befintliga regelparametrar. Genom CM1s risköversikt ges en tydlig bild över hur risksituationen ser ut på aggregerad nivå, per regel, eller över tiden. Utöver reglerna larmar även CM1 i det fall transaktioner avviker från det som upplevs som normalt baserat påkundens profil. Dessa transaktioner flaggas upp som misstänkta ärenden i CM1. CM1 har stöd för samtliga steg från initial identifiering av kunden till rapportering till Finanspolisen. För att hantera olika typer av rapporteringskrav har CM1 ett flertal färdiga rapporter för att underlätta sammanställningen i olika situationer. Exempel på rapporter är Kundsammanställning Ärendesammanställning Finanspolisens rapporteringsmall Handläggarrapporter Internrapportering Utbildningsuppföljning Som grund till de olika rapporterna ligger företagets genomförda riskanalys. Genom ett enkelt och intuitivt gränssnitt införs riskpolicyn i CM1. CM1 möjliggör Olika typer av kundkategorier Olika typer av produkter och tjänster Olika typer av riskklasser Administration av rutinfrågor och koppling till kund, produkt och risk Administration av regler och gränsvärden MONITORERING Det riskbaserade förhållningssättet kräver att fortlöpande övervakning och monitorering skall tillämpas när det föreligger förhöjd risk för penningtvätt. Förhöjd risk anses föreligga bl.a. i följande fall Distanskunder Politiskt Exponerade Personer (PEP) Visa typer av produkter eller länder Vissa verksamhetskritiska situationer

6 Utöver de fördefinierade rapporterna och reglerna har CM1 funktionalitet för att genomföra Ad hoc - analys. I ett modernt gränssnitt ges möjligheten att leta efter avvikande beteenden eller transaktioner. Misstänkta transaktioner kan läggas till en arbetslista för att vid ett senare tillfälle göra en djupare analys av transaktionerna eller för att hitta gemensamma samband mellan olika transaktionsserier. Mönsterigenkänningen i CM1 kan även appliceras ur ett proaktivt korsförsäljningssyfte. Efter genomförd kundkategorisering kan CM1 svara på frågor av typen Kunder som liknar dig har även köpt fonder av den här typen Följande kunder i denna kategori avviker genom att de inte har köpt produkter i alla våra segment Genom att analysera data på CM1s analysplattform erbjuds möjligheter att på ett bättre sätt förstå relationer eller hur kunder beter sig. CM1 presenterar detta visuellt och har funktioner för att finna de starkaste sambanden i det urval ur den totala informationen som betraktas. MÖNSTERIGENKÄNNING och FRAUD CM1 är även en plattform som kan hantera andra typer av regelverk och övervakning, t.ex. insiderhandel eller bedrägerier. I det fall som det finns information kring historiska transaktioner som resulterat i brott mot ett regelverk kan CM1 tränas för att känna igen denna typ av mönster eller beteende. CM1s plattform bygger på väl etablerade algoritmer och modeller för att upptäcka olika typer av mönster. I fallet bedrägerier kan mönsterigenkänning och dataanalys användas för att skydda sig mot fortsatta övergrepp. Genom att finna samband mellan de upptäckta transaktionerna kan orsaken bakom bedrägeriet spåras för att sedan åtgärdas. Ett exempel är korttransaktioner där det finns ett antal kända orsaker så som magnetspårskimmer, modifierad PED, Shoulder surfing, Lebanese Loop eller falska webbsidor. Genom användandet av CM1s analysplattform skapas möjligheten att på ett effektivt sätt skapa underlag för de motåtgärder som ska sättas in t.ex. Spärra kort Ringa kunder med onormalt beteende Byta ut misstänkta kort Införa tätare kontoutdrag Genom att studera olika modeller och träna dessa på känt data kan modellen sedan användas för förutsägelser på kommande transaktioner (av central betydelse i detta är tillgång till relevant testdata och personer med insikt kring de situationer som önskas beskrivas). För erhålla en effektiv modell är det av stor vikt att ha genomförda transaktioner som man vet har varit bedrägerier eller penningtvätt för att med hjälp av dessa träna den valda modellen.

7 MÖNSTERIGENKÄNNING och FRAUD De övergripande stegen för att skapa en modell som kan förutse penningtvätt eller bedrägerier genom mönsterigenkänning (ej regler) är: Analys av modell Träna modellen Testa modellen Använda modellen för förutsägelse Den praktiska handledningen baserar sig på riktlinjerna från de olika tillsynsmyndigheterna som kommer under våren Handledningen består av en praktisk inriktad redogörelse för hur reglerna om penningtvätt ska och kan tillämpas. Olika branschspecifika hänsyn kommer att tas och boken är tänkt att bl.a. innehålla checklistor. I fallet kortbedrägerier finns det ett flertal vanliga sätt som en bedragare kan komma över kortnummer, PIN och CVV2. För att finna den gemensamma nämnaren mellan olika rapporterade transaktioner finns det ett flertal olika aspekter att beakta där de vanligaste är Bedrägerisituationen - PED - Bankomat - Betalterminal - Butikskedja - Bank - Internetsida Kortanvändning på utsatta platser - Asien (främst Filipinerna) - Italien - Spanien - Rumänien Kortanvändningen - Geografisk skida platser samtidigt - Stora belopp Brevlådebedrägerier - Ort eller postnummer (vanligt i Malmö) CM1 LEVERANSSÄTT CM1 har en modern och tjänsteorienterad arkitektur vilket ger ett flertal fördelar. Nya informationskällor kan på ett enkelt sätt adderas till lösningen för de kunder som har specifika önskemål. Detta gäller såväl externa som interna källor. Den valda arkitekturen medför även att CM1 kan levereras på olika sätt beroende på kundens önskemål. CM1s olika funktioner kan levereras i huvudsak på tre olika sätt Som en prenumerationstjänst över Internet Se för mer information Som enstaka funktioner över Internet Software plus Services (S+S) Som en installerad kundanpassad applikation JURIDISKBASINFORMATION Genom CM1 ges även tillgång till juridiks information relaterad till penningtvätt. Innehållet är uppdelat i tre delar: Juridisk basinformation, Praktisk handledning och Nyhetsinformation. Den juridiska basinformationen består av vid var tid gällande Författningar Förarbeten Rättsfall Myndighetsbeslut Föreskrifter Allmänna PM från tillsynsmyndigheterna

8 CM1 Software as a Services Det snabbaste och enklaste sättet att få tillgång till all funktionalitet i CM1 är via prenumerationstjänsten. Detta genomförs via sex enkla steg 1. Gå till 2. Läs igenom och godkänn tjänsteavtalet 3. Uppdatera kund- och faktureringsprofil 4. Genomför första betalningen 5. Konfigurera CM1 via gränssnittet 6. Ladda upp befintligt kundregister Kostnaden för CM1 är uppdelad i en fast månadskostnad (baserad på antalet användare) plus kostnad för informationsinhämtningen. CM1 Software plus Services Tack vare sin moderna arkitektur möjliggör CM1 även att endast valda funktionella delar av systemet kan levereras över Internet och integreras med kundens befintliga affärssystem. Exempel på tjänster som levereras är Informationsinhämtning Kundkännedomsprocessen Tvättade PEP och sanktionslistor Rutinfrågor och dess administration Kostnaden beror på val av funktioner samt önskade tillgänglighetsnivåer. 1. Integrationsanalys Detta steg inleds med ett antal workshops för att tillsammans med kunden se över de olika delar som måste modifieras för att säkerställa att den slutliga lösningen möter verksamhetens krav. Under denna fas diskuteras Applikationsinförande - Import av transaktioner - Genomgång och import av kundregister - Förändringar av webbtjänster för integrera mot interna system Rapportering och regler - Anpassning av rapporter - Skapandet av nya rapporter - Införande av kundspecifika regler Mönsterigenkänning - Analysmodeller - Tidigare misstänkta transaktioner - Kvalité av data 2. Anpassningar Under detta steg genomförs de ändringar som överenskommits under Integrationsanalysen (i det fall de funktionella ändringarna blir så många att leveransdatum påverkas måste en prioritering av kunden genomföras för att uppnå önskat leveransdatum). Under denna fas ansvara kunden för att genomföra sina anpassningar samt sätta upp driftsmiljö och installera den mjukvara som CM1 kräver. CM1 LEVERANSSÄTT CM1 Kundanpassad lösning I det fall CM1 ska levereras som en kundanpassad lösning som ägs av kunden och installeras hos kunden kan detta genomföras på ett flertal sätt där de två vanligaste sätten är: Enterprise All CM1 funktionalitet + införandeprojekt Monitorering Endast monitoreringsrelaterade delar plus PEP och sanktionslistor CM1 Enterprise inkluderar fullständig funktionalitet samt ett införandeprojekt för att säkerställa att systemet integreras så sömlöst som möjligt med eventuella olika kanaler och interna system. Övergripande genomförs införandet av CM1 i följande fyra steg Integrationsanalys Anpassningar Införande av Riskpolicy Konfiguration CM1 LEVERANSSÄTT 3. Införande av riskpolicy I detta steg går vi igenom den av kunden framtagna riskpolicyn för att säkerställa att den går att omsätta i CM1. Större förändringar av CM1 hanteras som separata förändringsärenden. 4. Konfiguration & hantering av data Slutligen genomförs konfiguration av CM1. Under detta steg utbildas även kundens super-user. I detta steg genomförs även Genomgång av befintligkundregister Import av kundregister Klusteranalys av kunderna Uppsättning av import av transaktioner

9 Lagen förespråkar även viss form av retroaktivitet när det gäller kännedom av kunden. För att möta detta kan identitetskontroll, kontroll mot PEP- och sanktionslistor samt uppdatering av adressinformation genomföras i samband med importen av det befintliga kundregistret. Mönsterigenkänning Mönsterigenkänning ingår inte som en del av införandeprojektet då detta nära anknyter till kundens data och de frågeställningar som ska ställas vilket gör det svårt att ge en exakt uppskattning av tidsåtgången. Efter avslutad Integrationsanalys kan en uppskattning av kostnaden ges för detta delprojekt. CM1 FUNKTIONSSAMANSTÄLLNING Område Funktion SaaS Monitorering Enterprise Information Hantering av Know Your Customer -processen Hantering av transaktioner frikopplat från ärenden Identitetskontroll mot Spar* Taxeringsinformation* Identitetskontroll mot Bolagsverket Kontroll mot sanktionslistor** Kontroll mot PEP-listor Landrisker Administration Rutinfrågor Ärendetyper Riskklasser Kundtyper Produkter och tjänster Utbildning Monitorering Ad hoc analys Regelmotorn Risköversikt och administration av regler Införande och framtagning av enklare regler Rapportering Rapporter för ärende, handläggare,.. Anpassning av 2 st befintliga rapporter Skapandet av 4 st kundspecifika rapporter**** Anpassning av automatisk rapportering till FIPO Införande Genomgång av befintligt kundregister*** Genomförande av Integrationsanalys Anpassning av CM1 för sömlös integration**** Införande av importfunktionalitet av transaktioner Import av befintligt kundregister Kundklassificering via klusteranalys * Olika prisbild i de tre versionerna. *** Kostnadsfri hantering av PEP och sanktionslistor i Enterprise. ** Kostnadsfri slagning i Enterprise. **** Inom ramen för det som kommer överens om under Integrationsanalys.

10 SOFTRONIC AB Huvudkontor: Ringvägen Stockholm Tel: Fax: info@softronic.se SOFTRONIC DANMARK A/S Fruebergvej 3, boks DANMARK Ö Tel: Fax: SOFTRONIC AB Krokslätts Fabriker MÖLNDAL Tel: Fax: Östra Promenaden 7A Malmö Tel: Fax: Rådhusgatan SUNDSVALL Tel: Fax: Rattikvägen Arjeplog Tel: Fax: CONSULTUS AB Ringvägen Stockholm Tel: Fax: info@consultus.se Östra Promenaden 7A Malmö Tel: Fax: info@consultus.se Ringvägen 100, Stockholm Telefon: Fax: