EBA: Banker mangler kompetanse til å bruke AML-verktøyene sine
Bankene kjøper god RegTech for å hindre hvitvasking og terrorfinansiering, men sliter med å bruke det effektivt, slår en ny EBA-rapport fast. – Klassisk problem, sier Rikke Øksnes i Deloitte om konklusjonene i EBAs rapport.
Bruken av RegTech – altså teknologi som støtter compliance, rapportering og kontroll – har et betydelig potensial i kampen mot økonomisk kriminalitet. Det gjelder alt fra å effektivisere arbeidsflyter, skape dynamiske risikoprofiler til å gjøre det mulig for virksomheter å håndtere store datamengder på en effektiv måte.
Men: Brukerne av RegTech mangler ofte kompetanse og tilpasser ikke bruken til egen situasjon, og FinTech-selskapene som lager programvaren setter vekst, innovasjon og kundeopplevelser foran sikkerhet. Det mener Europas tilsynsmyndighet for banker (EBA). Finanstilsynet ber norske aktører følge opp.
– Rapporten er basert på observasjonene til finanstilsyn i hele Europa, og de har et skarpt blikk. Det de ofte ser, er at brukerne av de digitale verktøyene mangler teknisk kompetanse og at bruken i liten grad er tilpasset hver enkelt banks unike utfordringer og deres prosesser for risikostyring.
Det sier senior manager Rikke Øksnes i Deloitte Forensic og FinCrime. Onsdag under Arendalsuka leder hun en debatt med deltakere fra finanssektoren, Stortinget og Økokrim, hvor hun stiller spørsmål om vi vinner eller taper kampen mot økonomisk kriminalitet.
Annonse
Dårlig implementering står i veien for å lykkes
På RegTech-området fremhever EBA at dårlig implementering står i veien for å realisere potensialet for bedre kontroll:
Hver tredje tilsynsmyndighet i Europa rapporterer om at institusjoner implementerer RegTech uten tilstrekkelig testing, uten å sikre transparens og forklarbarhet, og uten å kunne dokumentere at løsningene faktisk fungerer.
I tillegg mener 36 prosent at mange institusjoner mangler intern kompetanse og erfaring til å bruke RegTech effektivt.
– Konsekvensene av å bruke RegTech ukritisk og uten tilpasning kan være alvorlige. Mer enn en tredjedel av tilsynsmyndighetene rapporterer om betydelige risikoer knyttet til løsninger for onboarding, kundetiltak (CDD), transaksjonsovervåking og screening, sier Øksnes.
– Rapporten trekker også frem at mer enn halvparten av innrapporteringene til EBAs EuReCA-database viser at alvorlige brudd på regelverket i stor grad skyldes feil bruk av RegTech-løsninger for hvitvasking og terrorfinansiering. Dette er en konkretisering av at Teknologi er et verktøy – ikke løsningen. Mange rapporteringspliktige har ikke knekt koden på hvordan de skal implementere verktøyene på en effektiv måte. Selv om det tekniske mulighetsrommet er stort, så er dette et komplekst fagområde med omfattende prosesser og utfordringer med datakvalitet, sier hun.
Et annet problem som trekkes frem, er at mange finansinstitusjoner benytter løsninger fra et lite antall leverandører, ofte standardprodukter som ikke er tilpasset virksomhetens behov. Dette forsterker sårbarheten, særlig i kreditt- og betalingssektoren.
Annonse
Ikke alt er like svart: Nesten en tredjedel av de nasjonale tilsynsmyndighetene som EBA har snakket med, rapporterer om gode eksempler på sikker og effektiv deling av informasjon mellom institusjoner.
FinTech vil vokse, ikke drive med sikkerhet og compliance
EBA-rapporten har også en fyldig seksjon om FinTech, bransjen som stort sett lager RegTech. EBA begynner med å rose bransjen for å styrke innovasjon i finanssektoren, utvide tilgangen til finansielle tjenester samt forbedre kundeopplevelsen. Deretter kommer bekymringen:
– 70 prosent av tilsynsmyndighetene i EU rapporterer om høye eller økende risikoer for hvitvasking og terrorfinansiering i denne sektoren. Bekymringen er at den raske veksten ikke nødvendigvis er fulgt av robuste tiltak mot økonomisk kriminalitet, og at enkelte FinTech-aktører kan sette kundevekst høyere enn etterlevelse av regelverk, skriver de.
Blant de mest sårbare områdene trekker EBA frem eksponering for nettkriminalitet, bruk av outsourcing uten tilstrekkelig kontroll, og mangelfulle systemer for kundekontroll (CDD). De følgende punktene fremheves særlig:
svake systemer for transaksjonsovervåking (52 prosent),
mangelfulle kundetiltak (48 prosent, opp fra 34 prosent i 2023) og
generelt lav forståelse for hvilke hvitvaskings- og terrorfinansieringsrisikoer som følger med FinTech-produkter og -tjenester (52 prosent, opp fra 35 prosent i 2023).
Annonse
Videre vurderer 55 prosent at komplekse interne strukturer, spesielt avhengighet av utstrakt outsourcing, utgjør betydelige risikoer. Totalt mener 69 prosent av myndighetene at risikoen i FinTech-sektoren har holdt seg høy eller økt.
– Mange FinTech-selskaper mangler både kompetansen og styringsstrukturene som kreves for å identifisere og håndtere risikoer knyttet til hvitvasking og terrorfinansiering på en effektiv måte. Dette er viktig for myndighetene å ta hensyn til når de utformer sine tilsynsplaner, slik at kontroll og etterlevelse kan holde tritt med innovasjonstakten i sektoren, skriver EBA.
Dette påpeker EBA er særlig relevant ettersom tradisjonelle finansinstitusjoner i økende grad kjøper opp FinTech-aktører, og dermed risikerer å overføre sårbarhetene videre inn i egne virksomhetsområder.
– Antihvitvaskingsarbeid blir ofte sett på som kostnadsdrivende compliance-arbeid, så det kan være utfordrende å få prioritert investeringer i teknologi og ressurser. Mange har allikevel gjort store investeringer de siste årene, men opplever at regelverk og tilsynspraksis gjør det utfordrende å jobbe risikobasert og effektivt. Dagens etterlevelsesinnsats er kostbar, ineffektiv og gir misfornøyde kunder. Hvis vi skal lykkes i kampen mot økonomisk kriminalitet må rapporteringspliktige benytte mulighetsrommet i dagens teknologi og tørre å jobbe mer risikobasert for å faktisk forebygge og avdekke økonomisk kriminalitet, sier Øksnes.
