The AML Compliance Book
Matis Mäeker, Andre Nõmm

07.04.2023

The AML Compliance Book kaas

224 lk
AML Publishing OÜ
2020
Osta

Elame kiiresti muutuval ajastul. Iseküsimus, kas mitte iga ajastu seda väita ei saa? Ühelt poolt lisandub uusi käitumisnorme, mida ühiskonnas peame normaalseks ja teisalt hinnatakse ümber vanu väärtusi ja tavasi. AML—anti-money laundering ning CFT—countering financing terrorism ehk rahapesu ja terrorismi tõkestamine on viimased 10 aastat pangatoimingutes järjest suurenevat rolli mänginud. Kuna finantsasutused ja nende kliendid on kahju saanud vaatamata sellele, et pangandus on väga reguleeritud ja kindlate protseduuridega valdkond.

Lisaks rahale saab kaotada kõige tähtsamat — usaldust. Ja kui see kadunud, siis võib kaasneda ka majandusliku stabiilsuse ja demokraatlike väärtushinnangute kadu. Omamoodi on tegu suletud ringiga, kus tavalised inimesed/ärid peavad läbima kadalipu, tõestamaks oma rahade ausust. Pangad omakorda hülgavad teatud kliendigruppe ja regulaatorid näitavad süüdistavalt pankade suunas.

Laiemale avalikkusele tuntud Panama paberid või näiteks Danske panga skandaal on ainult rahapesu jäämäe tipp. Miks rahapesu on nii levinud? Ilmselt on see kombinatsioon poliitikast, kasumiahnusest, kellegi õiguste piiramisest ja järelvalve ebapiisavusest.

Mis on rahapesu?

Mis tegelikult on rahapesu ja mis mitte, on raske määratleda. Rahapesu on kriminaalne tegu ja võrreldes teiste kriminoloogia harudega noor valdkond, seega pole ka piisavalt teaduslikke artikleid. Raamatus oli põhjusena huvitavalt ära märgitud, et kriminoloogiaga seostuv tugineb loodusteadustele või muule, millel pikk teoreetiline ajalugu. See loob kriminoloogiale hea alguspunkti, millele baseeruda - matemaatika, füüsika, arstiteadus, keemia/bioloogia, psühholoogia ehk kuidas tappa inimest või profileerida mõrvarit.

See, mis panga silmis on ebaseaduslik võib olla täiesti aktsepteeritav seaduse mõistes. Aga täna on lisandud siia ka sõnastamata ühiskondlikud ootused. Näiteks kellegi eetiline käitumine käib selle alla: altkäemaksu võtmine või maksude vältimine. Ja needki juhtumid saavad väga kergelt külge "rahapesu" sildi. Ehk pank teostas enda jaoks normaalset tegevust—tegi ülekande. Inimene käitus ebaeetiliselt. Aga ootusi oli, et pank oleks takistaksid sellist ülekannet või muid kriminaalseid tegusid, nt looduskaitse all olevat loomadega kauplemist või inimkaubandust. Saan aru, et siseringkondades käivad tulised arutlused, et mis on ja mis ei ole panga asi.

Enne kui lähen veidi spetsiifilisemaks, siis kirjeldan üldisi olulisi põhimõtteid, mis tegelikult kehtivad väga paljude nähtuste kohta igas organisatsioonis.

Kõik algab juhtkonnast

Rahapesu -skandaalist tuleb mõelda, et see juhtub ka meiega. Vastutajaid olgu juhtkonnast üks, aga rahapesu tõkestamine algab kogu juhtkonnast. Nemad kannavad ja edastavad organisatsioonile omaseid eetilisi ja moraalseid tõekspidamisi. Juhtkonnast vastutajal peab üldjoontes aimu olema sellest, mis on rahapesu ja mis selles valdkonnas toimub, et seda siis alluvateni viia. Detailid on juba spetsialisti rida. Hästi aitab kaasa mitteformaalne organisatsioonikultuur.

  • Lähtuda põhimõttest, et erandeid ei ole—järjepidetus ja kaksipidine suhtumine on rahapesu suurimad magnetid.
  • Kõik me teeme vigu.
  • Usalda alluvaid ja lase neil oma tööd teha.
  • Kõik on kirja pandud.
  • Kuid kas kirjapandu kehtib peegeldavad igapäeva tegevused.
  • Läbipaistvus igal tasandil.
  • Iga sõltumatu ekspert, keda kaasatakse, olgu tõesti sõltumatu.

Skandaali puhkedes ehk kriisikäitumine

Igasugused skandaalid juhtuvad ootamatult ja tihti jõuavad need avalikkuse ette meedia kaudu. Paremini valmistuda aitavad erinevaid kriisisituatsioonide läbimängud. Tegelikult saab nii testida ka olemasolevaid süsteeme. Näiteks andmed, mida me arvame olemas olevat, kas need tõesti on kiiresti ja kergelt kättesaadavad? Samuti lihvi kriisikommunikatsiooni.

  • Loo kriisimeeskond; keegi juhtkonnast, juriidikast, HR, kasutajatoest, kommunikatsioonist, AML/CTFist, operatsioonide eest vastutaja, vajadusel kaasa ekspert lisaks.
  • Kriisi ajal tegeleb kriisimeeskond ainult kriisiga. Eesmärgiks on vältida kahjustusi ärile.
  • Proovi läbi mõelda kõik osapooled, kes võiksid kriisist kahju saada või on sellest mõjutatud: järelevalve, kliendid, teised pangad jne. Kuidas kriis neid mõjutab ja millal nad tegevustesse kaasata?
  • Kõige tõenäolisem, mis juhtub on nii nimetatud "bank-run" ehk hoiustajad ei soovi oma raha enam hoida pangas. Raamatus oli toodud näide ühest Läti ühest pangast, kus võttis minuti, et pank polnud seaduste järgi enam pank ehk raha ülekanded võtavad väga vähe aega. Sama tõestas ka hiljutine Silicon Valley Banki juhtum.
  • Kommunikatsioon on otsustav. Kokkulepitud isik korduvalt ettevalmistatud teksti kindlalt edastamas.
  • Sõnum olgu lihtne ja järjepidev.
  • Samamoodi on ettevalmistatud sõnum kõnekeskusele, sest nemad on tulejoonel.
  • Vali kanalid, milles adekvaatset infot edastad.
  • Monitoori, mis toimub ajakirjanduses, sotsiaalmeedias, vajadusel reageeri.
  • Ole aus kõikide osapoolte vastu, ära valeta.
  • Info olgu kiire, aga täpne.
  • Igasugune ebatäpsus, valeinfo paranda kohe! Ka enda tekitatud!
  • Arvesta, et pressil võib olla palju rohkem infot, kui nad avalikustanud on.
  • Ära jäta töötajaid üksi! Kas nende töö jätkub, mis selles ohustatud on— ka see vajab kommunikeerimist.
  • Ära alahinda ühtki vihjet. Parem tuua kriisimeeskond mängu varem või tühise asja peale.
  • Jälgi teisi pangaskandaale meedias, teosta kontroll oma asutuse sees. Jälgi ka järelevalve, muude oluliste asutuste infot (RIA, politsei jm) teavet.
  • Pärast kriisi kohandused, õppetunnid ja muud vajalikud muudatused. Võimalikult kohe, sest järgmine skandaal ei jää tulemata ning vana on veel värskelt meeles.

Vastavuskontrolli (Compliance) printsiibid

Kuigi teemade kattuvusi on juriidika, riskihalduse ja sisekontrolliga, on vastavuskontroll siiski täiesti eraldiseisev üksus. Siia alla käivad protseduurid, põhimõtted (policies), süsteemid ja kontrollid, et kõik ikkagi vastaks reguleerivatele standarditele. Lähemalt saab lugeda lk 38–39.

  • Pealkirja test—kui meie tegu pannakse pealkirjaks, kas see kõlaks kummalise või kahtlasena?
  • Proportsionaalsus—kliendile mõistetavalt seletamine, miks ja mida kontrollitakse.
  • De-risking: keeldutakse ühe kliendigrupi teenindamisest. De-riskingu ja riskihalduse piir on hägune, tihti jääb pankadel puudus teadmistest, IT-lahendustest ja samas võib nõuda seda järelevalve. Kas ja kuivõrd jõuliselt peaks seadusandlik järelvalve sekkuma uute ärimudelite esile kerkimisse? Näitena uus kapital, mille päritoluks ongi tehnoloogia.
  • Selged rollimudelid: ärivõimaluste ja riskihaldusega tegelegu erinevad inimesed.
  • Kaasaegsed IT-süsteemid, mis aitavad ka panga sees tuvastada vastuolulisi otsuseid.
  • Vilepuhumine on normaalne tegevus.

Mitmekülgne töö

Tavaliselt on pangas kolm kaitsevalli, mis aitavad riske märgata. Reaalne töö võib hõlmata väga erinevaid tahke. Ettevõtte väidab, et ostab materjali— kas selline materjal eksisteerib? Mida saab koguse kohta öelda? Kas transportimine nõuab eritingimusi? Dual-use goods on kaubad, mida võib tavakodanik osta-müüa, kuid samas kasutatakse neid ka sõja- või relvatööstuses. Nüüd tulevad mängu nüansid. Metalli puhtusest oleneb, kas langeb dual-use'i alt välja või vastupidi sinna sisse.

Valdkonnast huvituja peaks olema mitmekülgne. Valdkondlikele teadmistele lisaks veel manageerimisoskus + uurimishimu. Spetsiifilisemaks minnes näiteks poliitilised ja religioossed eripärad, maksukeskkond, terrorismi altimad piirkonnad jne. Peab armastama lugemist ja ka enda harimist. Raamatus oli toodud väide, et olemasolevad teadmised on asjakohased paar kuud, parimal juhul aasta. Märgata ka vihjeid, mida jagab järelevalve, isegi kui see on artikkel ajakirjandus või konverents tavakuulajale. Kontrollküsimused ja soovituslik lugemismaterjal algajale on leitav lk 82–83.

Meie asutus

Kuidas läbi meie asutuse on võimalik rahapesu? Riski moodustavad ohud, haavatavus ja tagajärjed. Ohud tulenevad keskkonnast, ehk kus ja kuidas võiks keegi raha pesta. Haavatavus tuleneb klientidest, teenustest või toodetest, kanalitest ja geograafilisest asukohast. Tagajärjed - finantsasutus võiks läbi mõelda, et mis need võiks siiski olla ning mõnel juhul tõesti ongi ennustamatud. Risk appetit—mil määral asutus on valmis riski võtma

Riskihaldusdokumendi esimene lehekülg määratleb ära kõige riskantsemad teenused, kliendid, kanalid ja geograafilised tegurid. Ja seda peaksid kõik pangatöötajad teadma une pealt. Lk 91 leiab ühe näite, kuidas üles ehitada lihtsat riskihalduse dokumenti.

Dokumendi keel olgu lihtne, ilma liigse juriidikata ning läbivalt sõnavara kasutav. Et dokument oleks ajakohane, siis seab selle uuenduste ja täienduste eest vastutav omanik asuma majas sees. Vastama peab kolmele küsimusele: miks—mida—kuidas?

Andmed

AML/CFT saab alguse andmete kvaliteedist. Andmed peavad olema olulised, täpsed, järjepidevad/ühtsed, täielikud, asjakohased, usaldusväärsed ja kättesaadavad (relevance, accuracy, consistency, completeness, validity, reliability, availability). Suurim probleem on viimane, andmed on küll olemas, aga need pole masinloetaval kujul.

Rahapesuga seotud isikute eluiga pankade andmebaasides on 1,5 aastat. Tegelikult peaks nimega olema kõik seotud—IP, ärisidemed, kasusaajad, esindajad, registreeringu koht jne. Et sama kasutaja ei saaks uuesti ennast registreerida. Ja tähele panna ka erisusi: perekonnanimi, eesnimi/ Ltd, Ltd, Limited/ tähestiku erinevused

Kuidas ära tunda kahtlast pangaklienti?

Alati on õigustatud küsimus, kui kaugele minna kliendi tundmisega?`Kliendi identiteet - kas pildiga dokument, kaugtuvastamine või piisab mõnest kommunaalarvest? Olulisem tegelikult on kliendi residentsus. Ka siin on mitmeid variante: maksuresidentsus, elamisresidentsus, kodakondsus, riik, sünniriik.

Lisaks kasusaajate identiteedid ja nende omavaheline seos ning ärisuhte eesmärk. Kas need inimesed on ka tegelikult olemas või eksisteerivad vaid paberil. Vajalik on mõista, miks teenust, mida klient osutab on vaja. Kas ärikogemust on, kui laialt on äri ajamine ette võetud jne. Ja kas see, mis äri ta ajab—kas seda toetab panka antud info ning ülekanded.

Kas peaks investeerima inimestesse või masinatesse? Kahte tüüpi algoritmid:

  1. Inimese poolt ette kirjutatud stsenaariumid, tavaliselt if-laused. Kui on see, siis tee nii.
  2. Luuakse kliendiprofiil ja analüüsitakse kogu kliendi käitumist.

Tehniline piirang hetkel, et info on limiteeritud ja piirdub tavaliselt SWIFTist välja loetavate andmetega.

Monitooring ja jälgimine

Monitooring— pärast ülekande tegemist hinnatakse kindlaks määratud tunnuste järgi, kas on kahtlane tehing või mitte. Jälgimine (screening) toimub reaalajas, vaadatakse selgitust, nimesid ning ärilisi seoseid. Kui midagi kahtlast, siis tehing peatatakse koheselt. Minutit jooksul võib raha teha ümber maailma mitu tiiru. Järgmine päev reageerida on juba lootusetult hilja.

Kui on tehing, siis võib see langeda järgmistesse kategooriatesse:

  • Positiivseks - kahtlane tehing.
  • Negatiivseks - normaalne tehing.
  • Väärpositiivne - normaalne tehing, mis määratletakse kui kahtlane tehing.
  • Väärnegatiivne - kahtlane tehing, mida määratletakse kui normaalne tehing.
Probleem on paljudes valepositiivsetes teadetes, raamatus oli välja toodud, et tihti ületab see 90% teadete arvust, mis on ülekoormus (lk 170). Uurida oleks vaja ka positiivseid juhtumeid, mis klassifitseeritud valedeks. Suured lootused ses osas on tehisintellektil ja masinõppel.

Koolitamine

Lisaks sellele, et koolitus toimub süstemaatiliselt kõigile seotud osakondadele, funktsioonidele ja töötajatele veel paar huvitavat märkust raamatust:

  • Töötajad peaksid märku andma nii kehvast koolitajast, kui ka nõudma endale kasulikke koolitusi, kui neid tööandja ei paku/ei oska pakkuda.
  • Samuti kumas läbi, et monotoonsed e-koolitused on jama, eriti kui kaalul eetilised probleemid, kus "jah" ja "ei" ei ole piisavad.
  • Kuulajate seast targutav mõttetu segaja tuleks korral kutsuda.
  • Osalemist distsiplineerida testi-hirmuga (lk 181).

Ja kui miski on kehvalt läinud, siis ära proovi situatsiooni ülekavaldada. Lehman Brothers ja FDX-i jm skandaalid, teadlikult petma ei läinud neist vist keegi. Aga kui oli viga tehtud, hakati seda kinni mätsima ja sealt hakkas probleemipundar ennast järjest kerima.

Lõppsõna

Üllatusin heas mõttes, "The AML Compliance Book" oli huvitav lugemine. Pean vabandust paluma, kuna mul puudub taust, siis kokkuvõttes sõnavara osas võin eksida. Aga inglise keeles lugeda ei olnud raske ja "The AML Compliance Book" on lisaks hästi struktureeritud. Kõik mis ei köida, võib vahele jätta. Ning nagu autorid ise ütlevad, et lugema on oodatud ka inimesed tänavalt (lk 21). Silmaringi laiendamiseks ja teemast huvitatule soovitan soojalt.

Loe tsitaate Matis Mäekeri ja Andre Nõmme raamatust "The AML Compliance Book" Lugemispäevikust.

AML—placement, layering, integration
terrorism—raising, movement and use

Raamatu kaanepilt pärineb Digarist