I skuggan av AML
(Anti Money Laundering Act)
En studie om hur lokala kontorsenheter i Sveriges storbanker förhåller sig till risk och regelefterlevnad vid AML-implementering.
In the shadow of AML
(Anti Money Laundering Act)
A study on how local branches within the major banks in Sweden approach risk and compliance in relation to AML-implementation.
Författare:
Hoda Yusuf 950708 Cidona Yonas 961113
HT 2019
Examensarbete: Självständigt arbete, 30 hp Huvudområde: Företagsekonomi
Handelshögskolan vid Örebro universitet Handledare: Kristian Kallenberg Examinator: Tobias Johansson
Abstract
Title:
Authors: Cidona Yonas och Hoda Yusuf Supervisor: Kristian Kallenberg
Background:
One of the main objectives for a bank is to assist a nation’s financial growth through an even distribution of capital in society. Money Laundering is a crime against the welfare system that exists in a nation. This ultimately undermines the trust in the financial system, which in the long run risks damaging a democratic and law-based society. Maintaining trust in the banking sector is thus crucial in order to guarantee financial stability. The scandals that have occurred in recent times suggests that there are huge deficiencies in the review process and that there is uncertainty regarding how statutory guidelines are to be interpreted post implementation.
Purpose:
The study aims to contribute with an understanding of how the major banks in Sweden are fighting money laundering from a local perspective with regards to the risk framework Three Lines of Defence. Furthermore, the study aims to create a deeper understanding of the interactions that take place between the first line of defence as well as units located on the remaining defence lines based on an agent-principal relationship. Finally, the study also aims to investigate which factors challenge compliance with regulations that have been developed within AML.
Method:
The study is based on a deductive approach and the choice of methodology is a qualitative research method. Semi-structured interviews have been conducted with employees who hold some form of managerial position in local branches of the major banks in Sweden.
Result:
The results of the study show that employees in local branches are familiar with the theoretical model which is highlighted in the purpose and that they are also aware of their own role with regards to risk management. The results also indicate that there is a knowledge gap between local branches and centralized units as well as internal units within the bank. Lastly, several factors have been identified which are deemed to prevent maintenance of compliance. These include limited resources in the form of insufficient staffing and lack of competence as well as maintenance of banking secrecy between the banks, which is said to prevent cooperation in the fight against money laundering.
Sammanfattning
Titel:
Författare: Cidona Yonas och Hoda Yusuf Handledare: Kristian Kallenberg
Bakgrund:
Ett av bankens grundläggande syften är att bidra till den finansiella tillväxten genom en effektiv fördelning av kapital i samhället. Penningtvätt är ett brott mot välfärden som underminerar tilltron till det finansiella systemet, vilket i längden riskerar att skada det demokratiska och rättsbaserade samhället. Förtroende för banksektorn utgör således en avgörande förutsättning för att garantera finansiell stabilitet. De skandaler som har inträffat under den senaste tiden talar för att det föreligger enorma brister i granskningsarbetet och att det råder oklarhet kring hur lagstadgade riktlinjer skall tydas vid implementering.
Syfte:
Studien ämnar bidra med en förståelse för hur de svenska storbankerna ur ett lokalt perspektiv bekämpar penningtvättbrott med utgångspunkt i riskverktyget Three Lines of Defence. Vidare syftar studien till att skapa en djupare förståelse för interaktionerna som sker mellan första försvarslinjen och enheter som befinner sig på resterande två försvarslinjer i Three Lines of Defence med utgångspunkt i agentteorin och dess grundantaganden. Slutligen syftar studien även till att utreda vilka faktorer som utmanar efterlevnad av regelverk som har framtagits inom AML.
Metod:
Studien tar sin utgångspunkt i en deduktiv ansats och tillvägagångssättet som ligger till grund för studien utgör en kvalitativ forskningsmetod i form av semi-strukturerade intervjuer genomförda med anställda som innehar någon form av chefsbefattning inom kontorsrörelser tillhörande Sveriges storbanker.
Resultat:
Studiens resultat påvisar att medarbetare inom lokala kontorsrörelser är bekanta med den teoretiska modellen som framgår av syftet och att dessa är även medvetna om deras egen roll vid riskhantering. Resultaten indikerar även att det råder ett kunskapsgap mellan lokala bankkontor och enheter som arbetar centralt och internt inom banken. Slutligen har ett antal faktorer som försvårar upprätthållande av hög regelefterlevnad identifierats. Dessa omfattar främst begränsade resurser i form av otillräcklig personalstyrka och kompetensbrist samt bibehållande av banksekretess mellan bankerna som förhindrar ömsesidigt samarbete vid kampen mot penningtvätt.
Förord
Vi vill rikta ett stort tack till samtliga intervjudeltagare som har medverkat i denna studie och bidragit till vårt arbete med värdefulla reflektioner. Utan er skulle detta aldrig vara möjligt att genomföra.
Örebro, 2020
Innehållsförteckning
1. Inledning ... 1
1.1 Problematisering ... 3
1.2 Teoretiska och praktiska bidrag... 5
1.3 Syfte ... 5
1.4 Forskningsfråga ... 5
2. Teoretisk referensram ... 6
2.1 COSO- Framework & Three lines of Defence ... 6
2.1.1 First line of defence ... 7
2.1.2 Second line of defence... 8
2.1.3 Third line of defence ... 8
2.2 Agentteori ... 10 2.2.1 Informationsasymmetri... 10 2.2.2 Ekonomiska Incitament ... 10 2.2.3 Självreglering ... 12 2.3 Riskbedömning ... 13 2.4 Övervakning ... 15 2.5 Rapportering ... 16
2.6 Sammanfattning och tillämpning av teoretisk referensram ... 17
3. Metod ... 18
3.1 Forskningsansats ... 18
3.2 Forskningsstrategi ... 18
3.3 Litteraturgenomgång och forskningsdesign ... 19
3.4 Insamling av data ... 20 3.5 Semi-strukturerade intervjuer ... 20 3.6 Genomförande ... 21 3.7 Urval av intervjudeltagare ... 22 3.8 Analysmetod ... 22 3.9 Etiska överväganden ... 23 3.10 Reliabilitet ... 23 3.11 Validitet ... 24 3.12 Generalisering ... 24 3.13 Metodreflektion ... 25 4. Empiri ... 26 4.1 Bakgrundsinformation ... 26 4.1.1 Handelsbanken ... 26
4.1.2 Nordea ... 26
4.1.3 SEB ... 27
4.1.4 Swedbank ... 27
4.2 Three Lines of Defence ... 28
4.3 Informationsasymmetri ... 30 4.4 Ekonomiska incitament ... 32 4.5 Självreglering ... 33 4.6 Riskbedömning ... 34 4.7 Övervakning ... 36 4.8 Rapportering ... 37
4.9 Reflektioner kring rådande regelverk ... 38
5. Analys ... 41
5.1 Three Lines of Defence ... 41
5.2 Ekonomiska incitament ... 43 5.3 Informationsasymmetri ... 44 5.4 Självreglering ... 45 5.5 Riskbedömning ... 46 5.6 Övervakning ... 47 5.7 Rapportering ... 48
5.8 Reflektioner kring rådande regelverk ... 49
6. Slutsats ... 50
7. Förslag till vidare forskning ... 52
1
1. Inledning
Studiens inledande kapitel påbörjas med en sammanställning av aktuell bakgrundsinformation kring ämnet där både statistik och aktuella regelverk presenteras. Därefter följer en djupare problematisering innan inledningen
avslutas med en presentation av teoretiska och praktiska bidrag, avgränsningar, syfte samt forskningsfrågor.
År 2018 lanserade FN Principles for Responsible Banking (PRB) som avser en global referensram som sammanför olika banker för en gemensam ståndpunkt kring samhällsansvar (Unep Finance Initiative, 2019). Nordea var en av aktörerna som var medgrundare vid införandet (Nordea, 2018) men resterande tre storbanker har under innevarande år valt att ställa sig bakom samma hållbarhetsinitiativ genom att ansluta sig till FN:s principer för ansvarsfull bankverksamhet (Handelsbanken, 2019; SEB, 2019; Swedbank, 2019).
Bara några månader innan ovannämnda händelse inträffade, offentliggjordes uppgifter under februari 2019 om att en av Sveriges ledande storbanker varit involverade i en penningtvätthärva där det misstänks att närmare 40 miljarder kronor har förts över mellan bankkonton under det senaste årtiondet (Sveriges Television, 2019).
I dagsläget saknas det officiella uppgifter om hur mycket pengar som tvättas på årsbasis i Sverige. I en rapport utgiven år 2019 av Finansinspektionen framgår det dock att det troligtvis rör sig om minst flera miljarder svenska kronor per år. Penningtvätt utgör ett medel för kriminella aktörer att tjäna pengar och därefter omvandla dem till legitima rörelseinkomster. Metoderna för penningtvätt uppdateras och förfinas i takt med den tekniska utvecklingen som sker i samhället och bank-och finanssektorn är den branschen som löper störst risk att bli drabbad. Digitaliseringen av det svenska bankväsendet har introducerat nya former av finansiella möjligheter för kunden, bland annat självbetjäningstjänster, kryptovalutor och digitala betalningsmetoder. Bortsett från tidigare nämnda möjligheter har dessa tekniska lösningar även inneburit en förhöjd risk för sårbarhet som potentiellt kan utnyttjas för brottsliga ändamål. Det råder ingen tvekan om att den tekniska framfarten har resulterat i enorma fördelar för kunden som numera har flera valmöjligheter, lämpade för olika situationer, när hen ska utföra en betalning. Emellertid påverkar denna valfrihet bankernas möjligheter att spåra transaktioner, vilket skapar gynnsammare förutsättningar för kriminella att dölja pengarnas ursprung (Finansinspektionen, 2019).
Den teknologiska framfarten innebär även att aktörer i det svenska bankväsendet inom en snar framtid kommer att bedriva sina verksamheter i ett kontantlöst samhälle. Kriminella nätverk som ägnar sig åt organiserad brottslighet använder den strikta banksekretessen som existerar i banksektorn som för att dölja och förvara sina tillgångar inom bankernas system (Le Nguyen, 2018). Le Nguyen (2018) anger att uppgifterna som lagras i banksystemen utgör känslig information som potentiellt kan nyttjas av kriminella aktörer för att angripa förmögna individer och samtidigt dölja sina spår, vilket gör banksekretessen till ett effektivt verktyg för aktiviteter relaterade till penningtvätt. Studier har påvisat att upphävande av banksekretessen har skett under specifika omständigheter, exempelvis i samarbete med myndigheter med syftet att föra
2
kampen mot gränsöverskridande brottslighet (Le Nguyen, 2018). Förekomsten av luckor i lagstiftningen samt otydlighet i etablerade regelverk utgör även potentiella risker då aktörer inom organiserad brottslighet får möjligheten att kringgå lagen och därmed tjäna sitt levebröd genom att samhället förvaltar deras kriminella kapital åt dem (Finansinspektionen, 2019). Anti Money Laundering Act (AML) är det administrativa regelverket som har utarbetats för att reglera bekämpningen av penningtvätt. De föreskrifter som redovisas i regelverket återfinns i den svenska penningtvättslagen som stadgades år 2017 (Finansinspektionen, 2018). Lagstiftningen är baserad på EU:s fjärde penningtvättsdirektiv som vidare tar sin grund i de särskilda bestämmelserna som har tagits fram av Financial Action Task Force (FATF), en mellanstatlig organisation vars primära uppgift är att arbeta fram en internationell standard för kampen mot penningtvätt och terrorfinansiering (Svenska Bankföreningen, 2018).
AML används huvudsakligen i förebyggande syfte. Förhindrandet av att finansiella affärsverksamheter utnyttjas för penningtvätt sker genom att banken genomför en riskbedömning och den mottagna informationen används därefter som underlag vid framtagandet av interna rutiner för riskhantering (Svenska Bankföreningen, 2018).
Ett ytterligare aktuellt regelverk är Three Lines of Defence, ett riskverktyg som har framtagits av Federation of European Risk Managment Association (FERMA) i samarbete med European Confederation of Institutes of Internal Auditing (ECIIA) med syftet att illustrera samspelet mellan olika enheter inom en organisation vid riskhantering och intern kontroll (FERMA, 2019). Senare modell utgör en central del av studiens referensram och kommer att presenteras närmre under avsnitt 2.
Ett av bankens grundläggande syften är att bidra till den finansiella tillväxten genom en effektiv fördelning av kapital i samhället. Penningtvätt är ett brott mot välfärden som underminerar tilltron till det finansiella systemet, vilket i längden riskerar att skada det demokratiska och rättsbaserade samhället. Förtroende för banksektorn utgör således en avgörande förutsättning för att garantera finansiell stabilitet. Detta ställer krav på att den befintliga lagstiftningen som ligger till grund för AML-reglering är begriplig och möjlig att efterleva (Svenska Bankföreningen, 2019).
3
1.1 Problematisering
Ett flertal nationer har under de senaste åren ägnat stora mängder av resurser åt kampen mot penningtvätt inom den finansiella sektorn. Den rådande internationella standarden och huruvida den är verkningsfull kan dock diskuteras då ovissheten kring parametrar som kvalité och effektivitet vid AML-implementeringen kvarstår (Yepes, 2011). Viss kritik riktas mot konventionella tolkningar av befintliga regelverk som dominerar vid etableringen av organisatoriska kontrollfunktioner enligt Yepes (2011) som poängterar betydelsen av att beakta underliggande faktorer vid identifieringen av potentiella risker relaterade till penningtvätt. En liknande uppfattning uttrycks av Naheem (2015) som har utfört en fallstudie berörande storbanken HSBC:s schweiziska dotterbolag som agerade huvudrollsinnehavare i en penningtvättskandal som inträffade år 2014. Naheem (2015) inleder med att analysera händelseförloppet som ledde fram till avslöjandet och överväger dess implikationer för banksektorn, där utgångsläget är överensstämmelse enligt den rådande AML-standarden. Användandet av en så kallad ”Whistle Blower” för att åskådliggöra förekomsten av oegentligheter relaterade till penningtvätt jämställs dessutom med officiell rapportering som utgår från befintliga riktlinjer. Naheem (2015) hävdar, i likhet med Yepes (2011), att finansiella affärsverksamheter inte längre kan förlita sig blint på rapportering utefter nuvarande regelverk som medel för att bekämpa penningtvätt. Istället konstateras det att banker måste arbeta utifrån ett holistiskt synsätt, främst genom att integrera arbetet med AML i en proaktiv strategi för socialt ansvarstagande.
En studie som har genomförts i Belgien uppmärksammar de åtgärder som tillämpas i förebyggande syfte men även i denna artikel påpekas det att de synliga effekterna av AML-implementeringen i den inhemska finanssektorn är oproportionerligt låga i förhållande till antalet insatser som har genomförts under åren (Verhage, 2009). En alarmerande observation enligt Verhage (2009) som vidare understryker vikten av att införa ett åtgärdssystem som säkerställer att utvärdering samt uppföljning av AML-relaterade aktiviteter sker på kontinuerlig basis då dessa procedurer är av väsentlig betydelse för att uppnå optimering och effektivisering i verksamheten. Artikeln som publicerades i en tid då världsekonomin hanterade de omedelbara efterdyningarna av den ekonomiska krisen lyfter fram den ökade efterfrågan på medarbetare inom Compliance-enheten. En liknande trendutveckling som kan även påträffas för samma yrkeskategori i den svenska banksektorn under senare år enligt rapporter från nyhetsmedia (Sveriges Radio, 2018). Verhage (2009) konkluderar dessutom att insatser som berör AML och regelefterlevnad primärt hanteras på makro-och mikronivå. Makronivå, som termen antyder, redogör för bankens arbete med regelefterlevnad ur ett koncernperspektiv där särskild vikt fästs vid bolagsstyrningen och dess betydande roll vid framtagandet av interna rutiner och riktlinjer. Regelefterlevnad som förekommer på mikronivå återspeglas istället i det dagliga arbetet inom den lokala kontorsverksamheten. Personal ansvarar följaktligen för att upprätthålla de interna regelverken som har etablerats genom att implementera de instruktioner som har tilldelats dem av överordnade enheter inom banken (Verhage, 2009).
En ytterligare studie genomförd år 2016 analyserar den interna revisionsenheten och dess övervakande ställning inom banken vid granskning av AML-rapportering i en global kontext
4
(Naheem, 2016). Utöver tidigare nämnda arbetsuppgift påpekas det att revisionsenheten primärt arbetar för att fungera som ett stöd till ledningen vid förvaltningsarbete. Naheem (2016) hävdar dock att enheten är för nära integrerad med styrningen, vilket begränsar möjligheterna till att upprätthålla oberoende och objektivitet genom granskningen. Artikelns teoretiska utgångspunkt är agentteori och resultaten indikerar att det föreligger en möjlig intressekonflikt mellan internrevisionsenheten och ledningsgruppen som tilldelas det övergripande ansvaret att leda granskningsarbetet. Detta trots att internrevisionsavdelningen ur ett teoretiskt perspektiv dels betraktas som en agent som huvudsakligen agerar på begäran av styrelsen men även anses vara en samarbetspartner till ledningsgruppen. Naheem (2016) menar att detta kan medföra en viss problematik då styrelsen ansvarar för att formulera strategiska mål som syftar till att generera hög avkastning under tiden som ledningsgruppen strävar efter att uppnå hög regelefterlevnad med hjälp av operativt arbete. Den traditionella synen på relationen som utspelar sig mellan tidigare nämnda parter kritiseras för att vara föråldrad då internrevisionsenheten numera tvingas svara inför två olika enheter vars intressen riskerar att kollidera med varandra (Naheem, 2016). Angell & Demetis (2007) dekonstruerar Risk Based Approach, som grundar sig i en uppsättning olika infallsvinklar som centrerar kring begreppet risk. Angreppsättet har tagits fram för att komplettera de särskilda bestämmelserna som reglerar den befintliga AML-standarden. I artikeln studeras förhållandet som existerar mellan olika riskfaktorer och AML i relation till direktiven som redovisas av Europaparlamentet och rådet. Artikeln uppmärksammar de brister som förekommer när rapporteringen av misstänkta transaktioner skall kontrolleras av tillsynsmyndigheter som utgår från ett riskbaserat angreppsätt. Angell & Demetis (2007) menar på att finansiella institutioners arbetssätt vid mottagandet av finansiell rapportering stundtals genomsyras av osäkerhet och passivitet. Enligt författarna beror detta fenomen på att aktörerna ifråga ofta har svårigheter att avgöra huruvida deras egna syn på risk är kompatibel med förväntningarna som har ställts på den lagstadgade regleringen. Även om det råder någorlunda konsensus om att en riskbaserad strategi utgör ett steg framåt i utvecklingen av AML-systemet förklarar Angell & Demetis (2007) att den höga graden av komplexitet i vissa fall kan resultera i oönskade effekter.
Efterlevnad av EU:s regelverk samt den svenska penningtvättslagen utgör viktiga förutsättningar för att garantera integritet och stabilitet i det finansiella systemet. Penningtvätt kan ta uttryck i olika former och därigenom existerar möjligheten för kriminella aktörer att infiltrera olika sektorer av ekonomin bakom legitima fasader. De skandaler som har inträffat under den senaste tiden talar för att det föreligger enorma brister i granskningsarbetet och att det råder oklarhet kring hur lagstadgade riktlinjer skall tydas vid implementering. Detta är i linje med tidigare forskning som bekräftar att överensstämmelse enligt de befintliga AML-regelverken, trots de satsningar som har genomförts inom Compliance-enheten, generellt sett har varit låg under de senaste åren. Nyhetsmedia rapporterar därtill att 6 775 penningtvättbrott anmäldes år 2018 i Sverige, visserligen en ökning i jämförelse med föregående år (SvD, 2019), men när endast 261 av dessa resulterar i fällande domslut enligt statistik från Brå (2019) samtidigt som det uppskattas att mångmiljardbelopp tvättas årligen (Finansinspektionen, 2019) återstår frågan: Vad är det egentliga syftet med det administrativa regelverket som reglerar bekämpningen av penningtvätt?
5
Regelefterlevnad vid implementering av Anti Money Laundering (AML) har fått stor uppmärksamhet på senare år. Om den senaste tidens skandaler tas i beaktande är det tydligt att banksektorn och statliga myndigheter riskerar att stå inför en förtroendekris om dessa institutioner inte ser över de rådande regelverken. Efter att ha studerat tidigare forskning har det framkommit att ett antal studier har angripit problematiken med AML-efterlevnad ur olika teoretiska utgångspunkter med fokusering på olika institutioner och deras funktioner. En grundlig kartläggning av det nuvarande forskningsläget har utförts och det kan konstateras att det lokala perspektivet som förekommer på kontorsnivå saknas i forskningssammanhang där AML omnämns eller studeras. Att majoriteten av studierna genomförts i utomnordiska europeiska länder indikerar att det fortfarande finns en hel del kunskap att inhämta inom forskningsområdet ur en nordisk kontext. En avgränsning kommer även att ske då enbart affärsbanker som är marknadsledande inom svensk banksektor är av intresse i detta sammanhang. I studien utgörs dessa av de fyra storbankerna; Handelsbanken, SEB, Nordea och Swedbank.
1.2 Teoretiska och praktiska bidrag
Studiens teoretiska bidrag är att tillföra mer kunskap om svenska bankers medvetenhet samt hantering av risker relaterade till penningtvätt ur ett lokalt perspektiv. Vidare är ambitionen att identifiera faktorer som försvårar upprätthållande av regelverk som har tagits fram med syftet att bekämpa penningtvättbrott. Vad gäller det praktiska bidraget är ambitionen att studiens resultat skall kunna användas som referensinformation i samband med framtida forskning inom AML-området som bedrivs i en skandinavisk kontext.
1.3 Syfte
Studien ämnar bidra med en förståelse för hur de svenska storbankerna ur ett lokalt perspektiv bekämpar penningtvättbrott med utgångspunkt i riskverktyget Three Lines of Defence. Vidare syftar studien till att skapa en djupare förståelse för interaktionerna som sker mellan första försvarslinjen och enheter som befinner sig på resterande två försvarslinjer i Three Lines of Defence med utgångspunkt i agentteorin och dess grundantaganden. Slutligen syftar studien även till att utreda vilka faktorer som utmanar efterlevnad av regelverk som har framtagits inom AML.
1.4 Forskningsfråga
1. Hur förhåller sig lokala bankkontor till enheter på andra och tredje försvarslinjen ur ett agent-och principalperspektiv?
2. Vilka risker relaterade till penningtvätt uppstår på en lokal kontorsenhet och hur hanteras dessa risker av kontorsmedarbetare?
3. Vilka faktorer utmanar regelefterlevnad av penningtvättslagen på ett lokalt bankkontor?
6
2. Teoretisk referensram
I den teoretiska referensramen redogörs de teorier som kommer tillämpas i studien. I detta avsnitt presenteras agentteorin, Three Lines of Defence samt de kapitel från AML-regelverket som är av central relevans för
studiens syfte. Kapitlet avslutas med en sammanfattning av den teoretiska referensramen.
2.1 COSO- Framework & Three lines of Defence
Varje organisation bör sträva efter att uppnå sin målsättning för att skapa och maximera sitt värde. Detta strävande sker genom att omfamna möjligheter, driva tillväxt, ta risker och därefter handskas med dessa risker. Att underlåta att hantera och kontrollera de risker som har tagits inom verksamheten kan förhindra att organisationen når upp till de målen som har formulerats (COSO, 2015). Committee of Sponsoring Organizations (COSO) är ett ramverk vars syfte är att tillhandahålla vägledning för företag vid riskhantering, intern kontroll samt förebyggande av ekonomisk brottslighet (COSO, 2019). Ramverket som har tagit fram utgör således en grund för att utvärdera risk samt kontroll i syfte att säkerställa att dessa blir hanterade på ett korrekt och lämpligt sätt (COSO, 2015).
Enligt Lam (2017) kan organisationer använda modellen Three Lines of Defence som utgångspunkt vid hantering av risk som uppstår i verksamheten. Modellen redogör för en organisationsstruktur som kan implementeras vid riskhantering och syftar samtidigt till att öka förståelsen för risk och kontroll genom en tydlig rollfördelning för medarbetarna inom en organisation (COSO, 2015).
Den första försvarslinjen avser den dagliga verksamheten som ansvarar för att minimera risker som uppstår inom respektive affärsområde. Den andra försvarslinjen utgörs av affärsenheter som ansvarar för regelefterlevnad och riskhantering. Den tredje försvarslinjen utgörs av internrevision, en oberoende affärsenhet som tillhandahåller årliga granskningar av interna kontrollprocesser som förekommer inom verksamheten (Lam, 2017). För att effektivisera hanteringen av risk och kontroll kan Three Lines Of Defence således inkorporeras in i COSO’s ramverk (COSO, 2015).
Samtliga medarbetare inom en organisation bär ett ansvar för att säkerställa att deras tilldelade arbetsuppgifter utförs enligt fastställda riktlinjer (COSO, 2015). Var och en av de tre försvarslinjer som har presenterats tidigare spelar således en inflytelserik roll inom organisationens styrningsram. När dessa försvarslinjer fullföljer sina skyldigheter och utför sina tilldelade arbetsuppgifter är det mer troligt att organisationen lyckas med att uppnå sin övergripande målsättning (COSO, 2015).
7 2.1.1 First line of defence
Medarbetare med chefsbefattning inom första försvarslinjen bär ett övergripande ansvar för flera av verksamhetens affärsområden. Om dessa medarbetare då är välutbildade i att identifiera annorlunda mönster som anses vara misstänksamma kan de använda sina kompetenser för att upptäcka misstänksam aktivitet i kundbasen. Med hjälp av kundprofilen som utformas av kundkännedom bör utbildade affärsansvariga kunna särskilja avvikande kundbeteenden genom att jämföra transaktionshändelser per transaktionsdag med tidigare tidsperioder (Axelrod & Ross, 2012). Den första försvarslinjen som ingår i Three Lines Of Defence avser i första hand kontorsrörelsen inom en bank. Denna försvarslinje riktar sig åt de affärsenheter som verksamheten ägnar sig åt dagligen samtidigt som första försvarslinjen även beaktar andra enheter än de som endast syftar till att generera vinst. Exempel på dessa är back-office funktioner, IT och övriga personalresurser (Lam, 2017).
Med vinstgenerande enheter syftar Lam (2017) på de enheter där själva försäljningen sker, exempelvis kundtjänstteam.Genom att implementera interna kontrollförfaranden kontinuerligt kan medarbetare inom den första försvarslinjen handskas med de risker som uppstår i det dagliga arbetet. Detta kräver dock att olika affärschefer i organisationen ansvarar för att identifiera kontrollstörningar och bristfälliga processer men även att rätta till de problem som uppstår. Bortsett från affärschefer gäller detta även för de anställda som bemöter kunden, exempelvis försäljnings- och kundservicepersonal men även för banktjänstemän. För att ständigt kunna hålla sig på samma nivå eller till och med bli ännu starkare på att motverka hot krävs det att konstant förbättra sina processer och anpassa sig till nya förutsättningar och situationer som uppkommer (Lam, 2017).
För att kunna förhindra att ekonomisk brottslighet inträffar finns det två kriterier som organisationer bör uppfylla; fördelning av arbetsuppgifter och fördelning av auktoritet. Att dela upp arbetsuppgifterna innebär i detta fall en omfördelning av anställdas roller, ansvar, tillgång till system mm. Exempelvis kan en anställd på en ekonomiavdelning bokföra kommande betalningar från en kund medan en annan medarbetare registrerar betalningen i företagets register. Således kan verksamheten minimera risken för felaktigheter då en jämförelse mellan dessa poster kan visa att inbetalningen registreras korrekt. När en anställd signerar och ger sitt medgivande på en annan medarbetares arbete sker en fördelning av auktoritet. Detta innebär att en ytterligare person med en viss behörighet godkänner en medarbetares utbetalning till kund, alltså registrerar en anställd en utbetalning medans en övervakare godkänner utbetalningen (Lam, 2017). Emellertid påpekar Axelrod & Ross (2012) att affärschefer har det svårt att ta sig an uppdrag som tilldelas från Compliance-enheten på grund av institutionella hinder. Ett exempel på detta är den existerande konflikten mellan regelefterlevnadsmål och vinstmotivationer. Det föreligger ett stort fokus på att skapa intäkter och tjäna provision då affärschefer utlovar detta till sina anställda samtidigt som det finns uppsatta finansiella mål för varje affärsområde. Drivkraften som existerar hos anställda vad gäller viljan att generera vinst tillsammans med den aktiva affärsmiljön kan få vissa medarbetare att bortprioritera det kortsiktiga målet om att betjäna kunden och därmed nedprioritera sina efterlevnadsskyldigheter (Axelrod & Ross, 2012).
8 2.1.2 Second line of defence
En organisation bör ständigt försäkra sig om att den inte exploateras av vinstcentrerade företagsledare eller av ny personal. Detta sker genom att söka efter olika tillvägagångssätt som kan driva fram en avdelning för efterlevnad inom organisationen. En avdelning som inriktar sig på efterlevnad bidrar med andra fördelar än enbart ett skydd. Exempelvis fungerar den som ett stöd för resterande affärsenheter genom att upprätthålla öppna kommunikationslinjer när det sker förändringar vad gäller arbetssätt (Axelrod & Ross, 2012).
Den engelska termen för regelefterlevnad är Compliance. I praktiska termer syftar begreppet till en affärsfunktion som primärt arbetar med efterlevnad av lagar och regelverk i finanssektorn. Compliance-enheten instruerar företagsledare till att uppskatta information avseende deras befintliga kundstock då denna procedur medför en ökad kännedom om företagets kunder, en nödvändig förutsättning vid hantering av risk (Axelrod & Ross, 2012). Riskfunktionen arbetar huvudsakligen med risköversyn, vilket sker genom framtagandet av riktlinjer och procedurer som skall säkerställa att organisationen jobbar mot att uppfylla de uppställda målen vad gäller övervakning av verksamhetens riskprofil. Funktionen skall även bidra med att rekommendera vilka åtgärder som behöver vidtas när identifierade risker hamnar utanför de toleransnivåer som har fastställts av verksamhetens styrelse och ledning (Lam, 2017).
2.1.3 Third line of defence
Internrevisionsenheten har som uppgift att rapportera vidare problem som har identifierats under granskningen till både ledningen och revisionskommittén (Lam, 2017).
Att testa AML kan emellertid utgöra en utmaning då internrevisonsenheten vanligtvis ansvarar för att granska en rad olika affärsenheter sant riskområden utöver AML. Det förekommer även att en del institutioner inte har ett tillräcklig stort segment av internrevisorer som enbart bedriver AML-revision. Avsaknaden av expertis inom AML kan resultera i svårigheter att formulera en riskbaserad plan som är effektiv och ändamålsenlig (Axelrod & Ross, 2012). Lam (2017) hävdar dock att det existerar andra affärsenheter inom organisationen som innehar expertis inom AML. Dessa enheter kan därmed assistera internrevision med att utreda om personalen inom Compliance-enheten får tillräckligt med stöd från resterande stödenheter inom första försvarslinjen och om systemen som används av organisationen för att hantera risk är rimliga att använda.
9 Källa: Sketchbubble, 2020
Three Lines of Defence har dock fått utstå kritik för att lägga alltför stor vikt på hur samtliga försvarslinjer i modellen förhåller sig till varandra vid riskhantering. Detta för att interaktionerna som sker mellan respektive försvarslinje i praktiken ofta är svåra att observera och mäta (Davies & Zhivitskaya, 2018). Boughey (2017) förklarar att modellen på grund av dess begränsningar har kritiserats för att inte vara universellt tillämpbar. Anhängare till teorin invänder dock mot kritiken som har framförts då de menar att Three Lines of Defence i själva verket har stärkts efter den globala finanskrisen. Internationella tillsynsmyndigheter använder fortsatt modellen och dess byggstenar som numera utgör ett självskrivet verktyg för riskhantering. Kritiken besvaras även genom att påpeka att Three Lines of Defence är ett ramverk som är under ständig utveckling, vilket successivt ökar modellens effektivitet.
10
2.2 Agentteori
Boatright (2010) klassificerar agentteori som en variant av spelteori med följande definition: ”…ett metodiskt angreppssätt som kan tillämpas för att analysera en specifik kategori av sociala interaktioner som förekommer mellan olika individer.”
Dessa interaktioner uppstår när en så kallad agent blir tilldelad ett uppdrag, vars primära syfte är att främja en principals intressen. Med begreppet agent avses således en individ som agerar på begäran av en uppdragsgivare. Eftersom principalen saknar förmågan att hantera den operativa delen av sin verksamhet på egen hand, anlitas en agent som för principalens räkning som skall arbeta för att maximera organisationens värde (Frostenson, 2011). Shapiro (2005) nämner att relationen som utspelar sig mellan tidigare nämnda parter initieras genom att principalen efterfrågar och söker efter en agent som innehar en specifik kompetens.
2.2.1 Informationsasymmetri
Agentteori vilar på antagandet att relationen mellan principal och agent karaktäriseras av informationsasymmetri, en avsaknad av information om vad agenten har för arbetsuppgifter, samt kunskapsasymmetri, en avsaknad av information om hur agenten utför sina arbetsuppgifter. Den begränsade tillgången till information, för principalen, innebär en reducerad förmåga att utvärdera kompetensen hos agenten (Shapiro, 2005). Begränsningen medför även att principalen saknar möjligheten att säkerställa att agenten presterar som utlovat. Principalen blir därmed tvungen att godta informationen som senare part tillhandahåller (Tore, 2017).
Shapiro (2005) påpekar att övervakningsenheter såsom Compliance och internrevision själva ingår i ett principal-och agent förhållande då dessa agerar på uppdrag av en överordnande avdelning. I teorin innebär detta att enheter som ansvarar för övervakning och granskning löper samma risk för att missköta sina arbetsuppgifter eller drabbas av korruption som de individer som de skall ha uppsikt över.
Förekomsten av flera agenter och principaler som samspelar med varandra inom en organisation innebär således en viss problematik. Enligt Shapiro (2005) riskerar agenter att hamna i besvärliga situationer när de delegeras arbetsuppgifter och förväntas utföra dem när motstridiga instruktioner erhålls av flera principaler, vilket ökar informationsasymmetrin ytterligare. 2.2.2 Ekonomiska Incitament
Noreen (1988) hävdar att regelefterlevnad främjar ekonomisk tillväxt och genom att belöna efterlevnad och bestraffa individer som begår överträdelser cementeras även den etiska koden inom en organisation enligt traditionell agentteori.
Enligt (OECD, 2000) skall följande tre kriterier uppfyllas för att tillförsäkra efterlevnad: 1) målgruppen skall ha kännedom och förståelse kring befintlig reglering
2) målgruppen skall vara villiga till att följa befintlig reglering 3) målgruppen skall vara i stånd att följa befintlig reglering
11
Ett grundantagande i agentteori är att det föreligger en målkonflikt i relationen som existerar mellan principal och agent. Teorin förutsätter även att senare part agerar utifrån sitt egenintresse och därmed avviker från att efterfölja principalens uppställda mål (Shapiro, 2005). Enligt Tore (2017) uppstår denna problematik när de involverande parterna har olika inställningar till risk. För att avstyra agenten från att agera egennyttigt erbjuds ekonomiska incitament, exempelvis i form av ackordslön. Att uppdragstagaren erhåller en ersättning som är prestationsbaserad innebär således att dennes intresse justeras utefter uppdragsgivarens önskemål (Shapiro, 2005). Enligt Boatright (2010) beror detta på att agenter alltid kommer att uppträda opportunistiskt när möjligheten väl uppstår. Opportunism definieras i bokstavlig mening som exploatering av de rådande omständigheterna för maximering av egennytta. Ett exempel på en situation som är vanligt förekommande i interaktionerna mellan principal och agent är senare parts ovilja till att upprätthålla sin del av samarbetsavtalet som har ingåtts. Ett opportunistiskt beteende är således i grund och botten ett agerande utan hänsyn till befintliga principer. Det antas att individer alltid kommer att anpassa sina intressen efter förändrade omständigheter och återigen beakta tidigare förpliktelser när det ligger i deras intresse att göra det. Möjligheten att avstå helt från opportunism saknas således för en agent såvida det inte existerar ett incitamentsprogram som uppmanar till prestation (Boatright, 2010).
Agentteori behandlar i huvudsak problematiken kring hur principalen skall få sina intressen tillgodosedda trots tidigare nämnda hinder. Relationen som råder mellan principal och agent regleras i ett kontrakt med särskilda bestämmelser (Frostenson, 2011). Kontraktsförhållandet ger upphov till transaktionskostnader som till stor del förknippas med upprättandet av organisationsenheter som skall säkerställa att agenten fullföljer sin plikt genom övervakning och granskning (Frostenson, 2015). Även om det ligger i principalens intresse att reducera dessa kostnader i den mån det går enligt Frostensson (2015) hävdar Shapiro (2005) att transaktionskostnader alltid kommer att öka då organisationer är utformade för att minimera opportunism. Detta sker genom införandet av rapporteringskrav samtidigt som rotation av anställda och uppsägningar genomförs med jämna mellanrum. Tidigare studier inom organisationsteori har dock visat att det ibland kan krävas att agenter behöver böja på reglerna för att uppnå kostnadsminimering och därigenom tjäna principalens intressen (Shapiro, 2005). Agentteorin har kritiserats under åren för att vara för snäv och samtidigt uppvisa en negativ människosyn som i stora delar präglar teorin (Heracleous & Lan, 2010). Wiseman, Cuevas-Rodríguez & Gomez-Mejia (2012) menar dock att agentteorin och dess beståndsdelar fortfarande kan appliceras i ett flertal sammanhang med villkoret att forskaren utvidgar sin syn kring centrala begrepp inom teorin. Detta innebär således att de grundantaganden som ligger till grund för teorin förblir oförändrade och kan därmed tillämpas oavsett kontext.
12 2.2.3 Självreglering
Avsaknaden av information som karaktäriserar ett principal-och agentförhållande innebär ofta svårigheter i att upprätta ett övervakningsprogram som effektivt följer upp beteendet hos senare part. Därav rekommendationen att implementera självreglering som ett hjälpmedel då detta koncept tar sin utgångspunkt i expertis och information som återfinns internt inom organisationen snarare än externa regelverk (Shapiro, 2005).
Självreglering hör till ”mjuk lagstiftning” och baseras på frivilligt antagna riktlinjer som förekommer inom en organisation. Denna form av reglering skiljer sig avsevärt från lagstadgad reglering, i den bemärkelsen att standarden består av en uppsättning olika uppförandekoder som har förhandlats fram på informell väg. Således innebär detta att implementering av självreglering inte omfattas av de restriktioner som uppkommer till följd av strikt lagstiftning. För att då säkerställa att standarden är effektiv och att de antagna reglerna efterlevs krävs det att verksamheten genomsyras av en hög grad av självdisciplin (Marcinkowska, 2013).
Marcinkowska (2013) nämner att införandet av reglering inte alltid är verkningsfullt för att uppnå hög regelefterlevnad, därav behovet av att tillämpa självreglering. Dessutom konstaterar Marcinkowska (2013) att den etiska koden samt sociala normer som existerar i en organisation ofta utgör ett mer effektivt styrmedel vid framtagandet av interna riktlinjer i jämförelse med tvingande reglering. Marcinkowska (2013) identifierar fyra varianter av självreglering:
- Ren självreglering:
Medarbetare skapar egna regelverk och följer dessa av fri vilja utan att förhålla sig till någon annan form av reglering.
- Självreglering på organisationsnivå:
Organisationer ansvarar för att upprätthålla de riktlinjer och principer som har arbetats fram i verksamheten. Det existerar även en tillsynsfunktion som arbetar med att fastställa uppförandekoder och rekommendationer som skall tillämpas på en övergripande sektornivå. De ramverk som implementeras inom en organisation legitimeras av tidigare nämnda funktion som även fungerar som ett komplement till lagstiftning.
- Självreglering på branschnivå:
Aktörer inom sektorn bidrar till utvecklingen av befintlig lagstiftning genom att delta i samråd.
- Självreglering ingår som ett led i lagstiftning:
Etisk kod och standarder inkluderas i formella regelverk för att uppfylla lagkrav. Självreglering utgör ett outforskat och tämligen missförstått område, vilket gör att självreglering som koncept ofta förväxlas med avreglering i forskningssammanhang (Walsh, Magnuszewski, & Slodka-Turner, 2012). Lokanan (2017) hävdar dock att ett självreglerande ramverk fungerar bäst i en kontext där det existerar ett regelverk och utgör således ett särskilt effektivt verktyg för att motverka situationer där medarbetare upprätthåller ett beteende som strider mot de regler och förordningar som utgör de juridiska grunden för ramverket (Lokanan, 2017).
13
2.3 Riskbedömning
Distansidentifierade kunder, vilande bankkonton och ofullständig kundkännedom utgör endast ett fåtal exempel på höga risker som omnämns i sammanhang där bakomliggande faktorer till kriminell aktivitet inom banksektorn diskuteras (Cox, 2014).
I 2 kap. 1 § av Penningtvättslagen (2017:630) framgår följande:
”En verksamhetsutövare ska göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning).”
COSO (2017) definierar risk som sannolikheten för att en händelse inträffar som vidare har en negativ inverkan på uppnåendet av mål som har formulerats inom organisationen. Vid riskbedömning är det därför kritiskt att effekterna av möjliga förändringar som uppstår såväl internt samt externt tas i beaktande innan åtgärder för riskhantering tas fram (COSO , 2017). Enligt Cox (2014) bör varje organisation identifiera de riskfaktorer som är specifika för deras situation med hänsyn till de omständigheter som föreligger. Den allmänna riskbedömningen bör således beakta olika former av risk som möjligen kan uppstå i den dagliga verksamheten. Utöver riskfaktorer som relateras till produkt-och tjänstesortimentet som erbjuds skall även risk som förknippas med de kundrelationer som organisationen upprätthåller tas i beaktande. Emellertid påpekar Cox (2014) att risker relaterade till penningtvätt inte enbart har ursprung i illegala aktiviteter utan höga riskområden förekommer även internt, Dessa kan exempelvis utgöra bristfälliga arbetssätt och rutiner som riskerar att äventyra organisationens arbete med att bekämpa penningtvätt.
Det har tidigare påpekats att risk existerar i olika former, vilket innebär att riskhantering och riskrapportering genomförs på olika sätt beroende på vilken typ av risk som har identifierats (Cox, 2014).
Baselkommittén (2011) definierar operativ risk som följande:
”risken för förlust till följd av felaktiga och misslyckade interna processer, mänskliga fel, felaktiga system och externa händelser.”
Operativa risker uppstår i den dagliga driften av organisatoriska enheter. Arbetet med att förebygga penningtvätt inkluderar framtagandet av interna policyer och förfaranden som måste implementeras samt efterföljas (Cox, 2014). Operativa risker inbegriper således de övergripande affärsprocesserna som förekommer i en bankverksamhet och deras potentiella påverkan på efterlevnaden av interna policyer samt åtgärdssystem som har framtagits för att bekämpa finansiell brottslighet. Ytterligare parametrar som även omfattas är bankens organisationsstruktur, kunskapsutveckling samt hantering av interna resurser, exempelvis i form av personal (Ben, Ammi, & Levy, 2016).
Emellertid är det ett misstag för en organisation att endast förlita sig på att dessa förfaranden kommer att utrota samtliga risker som associeras med ekonomisk brottslighet. Istället torde organisationen sträva efter att minimera risknivån genom att implementera ett riskbaserat
14
förhållningssätt. Endast då kan organisationen säkerställa att fastställda riktlinjer och policyer dels är förenliga med direktiven som redovisas i lagstiftningen men även uppfyller branschkrav samt förväntningar som ställs från samhället (Cox, 2014).
Ammi, Ben & Levy (2016) kategoriserar operationell risk i fyra olika områden:
Risker relaterade till fysiskt kapital utgör sannolikheten för att det uppkommer en fysisk skada som kan resultera i tekniska systemfel och därmed problem med hanteringen av bankens interna processer. Mänskliga fel är en typ av risk som uppstår som följd av misstag som har begåtts av medarbetare inom en organisation. Den största risken ur ett juridiskt perspektiv är risken att en bank dras inför domstol av skäl som exempelvis dåligt kundbemötande, försäljning av bristfälligt produktsortiment mm. Risken för oegentligheter är den sista kategorin av operationella risker som Amni, Ben & Levy (2016) upplyser om och är även den varianten som denna studie kommer att avgränsa sig till.
Cox (2014) nämner vidare följande områden som är av väsentlig betydelse när man driver riskförebyggande arbete vid AML-implementering inom den operativa verksamheten.
- Inhämtning av kundkännedom
- Kontinuerlig övervakning av de affärsförbindelser som en organisation upprätthåller - Rapportering av misstänkta överträdelser till lämpliga myndigheter
Cox (2014) understryker vikten av att interagera ovannämnda processer då bristfällig och inadekvat kundkännedom vid upprättandet av en affärsförbindelse har en betydande inverkan på hur övervakning- och rapporteringsprocessen följer.
15
2.4 Övervakning
Att utreda vilka avsikter som föreligger när en ny affärsförbindelse skall etableras är en grundläggande förutsättning för att skilja mellan kunder som har legitima affärsintressen och kunder vars engagemang i banken endast existerar för att verka som en fasad för illegala aktiviteter. Identifikationsprocessen utgör således enbart ett steg i övervakningsarbetet som en organisation förväntas att genomföra för att förebygga och bekämpa penningtvätt. Övervakningsprocessen innefattar även inhämtningen av kundkännedom som sker under de inledande faserna av en affärsrelation. Insamlingen av information bör dock inte begränsas till ett enstaka tillfälle utan kundprofilen skall ständigt uppdateras och kompletteras med nödvändiga upplysningar (Cox, 2014).
Dock är förekomsten av ett effektivt monitoreringssystem och dess betydelse för att upprätthålla intern kontroll inte evident inom alla organisationer. Att flera organisationer brister när det kommer till att utnyttja övervakning till fullo vid hanteringen av risk är således vanligt förekommande (COSO, 2009).
I 4 kap. 1§ penningtvättslagen (2017:630) återfinns föreskrifter som fastslår att verksamhetsutövare enligt lag är skyldiga till att övervaka pågående affärsförbindelser. Enligt Cox (2014) är syftet med detta att identifiera ovanlig aktivitet som huvudsakligen hänför sig till transaktioner som avviker från de upplysningar som en kund har lämnat.
Generellt sett omfattas övervakningsprocessen av följande arbetsrutiner (Cox, 2014):
- kontinuerligt granska de transaktionsflöden som förekommer inom banken i syfte att bedöma om kunden bedriver ovanlig aktivitet utifrån befintlig kundkännedom.
- se till att de dokument som finns tillgängliga kompletteras med aktuell information då ofullständig kundkännedom försvårar för banken att identifiera vad som anses vara ovanlig aktivitet för en kund.
Intresset för kontinuerliga övervakningssystem härrör från att banker i dagsläget är i behov av att inhämta information om vad befintliga och potentiella kunder har för uppfattning kring deras produkt-och tjänsteutbudet. Denna information kan därefter utgöra beslutsunderlag vid frågor berörande produktutveckling (O'Leary & Spangler, 2018).
Utöver ovannämnda arbetsrutiner uppmärksammas även den betydelsefulla rollen som Customer Relationship Management (CRM) har ur ett övervakningsperspektiv. Med hjälp av kundvård får banken möjligheten att kategorisera en kund utifrån tidigare avtal som har tecknats till produkter och tjänster. Detta historiska informationsunderlag kan därefter användas för att skapa en kundprofil som är specifikt anpassad efter risknivå (Cox, 2014).
Personalens bidrag framhävs som en ytterligare viktig tillgång. Anställda som har mångårig erfarenhet inom att arbeta i en finansiell affärsverksamhet kan bidra enormt till att förbättra verksamhetens förmåga att fullgöra sina löpande övervakningsskyldigheter. Detta på grund av intuitionen som de besitter men även kompetensen som de har införskaffat under deras karriär, därav betydelsen av att tillhandahålla utbildningar som utrustar dem med lämpliga verktyg för att identifiera misstänkta överträdelser i mötet med kunden (Cox, 2014).
16
De åtgärder som har lyfts fram tidigare inkluderas i vad som benämns som manuell övervakning. Även om den större delen av granskningen numera uträttas via automatiserade övervakningssystem poängterar Cox (2014) vikten av att kombinera olika tillvägagångssätt för att maximera effektiviteten samt höja kvalitén i övervakningsarbetet.
2.5 Rapportering
Varje organisation bör tillhandahålla tydlig vägledning till sin personal för att möjliggöra och underlätta för dem att identifiera potentiella risker i det dagliga arbetet (Cox, 2014). Om en medarbetare avstår från att rapportera en misstänksam transaktion riskerar organisationen att utsättas för repressalier i form av straffrättsliga åtal (Axelrod & Ross, 2012). Att banken har ett välfungerande system för rapportering är således avgörande för att undvika rättsliga åtgärder och anklagelser om bristande efterlevnad från tillsynsmyndigheter (Cox, 2014). Om det föreligger misstankar kring en specifik transaktion är organisationen enligt 4 kap. 2–3§ penningtvättslagen skyldiga till att utföra en granskning för att utreda om det existerar skäl för misstänksamheten och därefter rapportera detta vidare till lämpliga myndigheter.
I praktiken kan identifieringen, utredningen och dokumentationen av misstänkta överträdelser vara en invecklad process (Cox, 2014). Anställdas betydelsefulla roll inom övervakningsarbetet har tidigare lyfts fram i studien men den praktiska erfarenheten som kontorsmedarbetare besitter är även användbar i situationer som kräver rapportering. De fysiska mötena som dessa individer deltar i dagligen parallellt med den personliga kunskapen som de har om olika kundbeteenden, möjliggör för dem att upptäcka misstänksam aktivitet samt identifiera avvikande mönster som annars skulle förbli oupptäckta med ett rapporteringssystem som är uteslutande digitalt (Cox, 2014).
Dock kan det förekomma barriärer som hämmar rapporteringsprocessen och därmed förhindrar att en utredning inleds. Identifieringen av en avvikande transaktion behöver nödvändigtvis inte innebära att den bakomliggande orsaken relateras till penningtvätt (Cox, 2014). Detta kan skapa en viss tveksamhet hos medarbetare då dessa individer tvingas utstå rädslan för att framstå som inkompetenta, besvärliga eller riskera att få rykte om att spionera och väcka onödiga misstankar. Det är således enklare att anpassa sig efter kollektivet och därmed underlåta att fullgöra sin rapporteringsskyldighet än att kräva kontroll och regelefterlevnad, vilka är åtgärder som underlättar för personal att upptäcka kriminella handlingar (Engdahl, 2010).
17
2.6 Sammanfattning och tillämpning av teoretisk referensram
För att få en inledande förståelse om ämnet presenteras en översikt över etablerade regelverk som berör riskhantering och intern kontroll. Studiens teoretiska referensram inleds med en översiktlig redogörelse av COSO- Internal Framework samt Three Lines of Defence. Även om studien enbart fäster vikt vid senare modell under fortsättningen av arbetet bedöms det vara relevant att översiktligt redogöra för båda modeller då dessa ofta associeras med varandra i forskningssammanhang. Avsnittet fortsätter vidare med en beskrivning av respektive försvarslinje inom Three Lines of Defence och deras roll vid riskhantering.
Därefter presenteras agentteorin och de antaganden som ligger till grund för teorin. I denna studie definieras en agent som medarbetare på första försvarslinjen, det vill säga kontorsmedarbetare och resterande två försvarslinjer agerar således i rollen som principal när de samverkar med förstnämnda part. En konceptualisering av teorin har sedan utförts som har mynnat ut i tre teoretiska utgångspunkter, vilka är av central betydelse för studiens problemformulering: ekonomiska incitament, informationsasymmetri samt självreglering. Ekonomiska incitament lyfts fram i referensramen för att utreda hur kontorsmedarbetare ställer sig till att införa ett bonussystem som belönar arbetstagare för att efterleva reglering. Av referensramen framgår det att införandet av ekonomiska incitament är avgörande för att säkerställa att en agent inte agerar utefter sitt egenintresse samt att regelefterlevnaden ökar som följd av att implementera tidigare nämnda lösning inom en organisation. Av den anledningen bedöms det som relevant att studera om senare åtgärdsförslag är applicerbar inom en kontorsrörelse. För att få en djup förståelse för samspelen som sker mellan försvarslinjerna kommer studien även utreda huruvida det existerar ett kunskapsgap mellan försvarslinjerna vid riskhantering inom banken. Detta för agentteorin förutsätter att distributionen av information inte är jämn mellan agent och principal. Därmed behandlas det andra teoretiska begreppet, vilket är informationsasymmetri. Till sist görs en utredning kring förekomsten av självreglering inom lokala kontorsenheter och om detta upplevs ha en effekt på upprätthållandet av hög regelefterlevnad då framtagen teori indikerar att ett självreglerande ramverk i en del sammanhang kan utgöra ett effektivt styrmedel för att tillförsäkra efterlevnad.
Referensramen avslutas med en redogörelse av kapitel 2 och 4 som återfinns i penningtvättslagen med särskild tonvikt på 2 kap. 1§ samt 4 kap. 1–3 § i penningtvättslagen som utgör det administrativa regelverket som har utarbetats för att reglera bekämpningen av penningtvätt, även benämnt som Anti Money Laundering Act (AML) som framgår av studiens inledande kapitel. Avgränsningen till ovanstående kapitel har gjorts med hänsyn till studiens syfte.
18
3. Metod
I detta avsnitt redovisas det metodvalet som gjorts för att inhämta data till undersökningen. Kapitlet fortsätter med resonemang kring valet av intervjurespondenter och en presentation av studiens tillvägagångssätt.
Diskussioner om etiska överväganden, validitet, reliabilitet och generalisering lyfts även fram.
3.1 Forskningsansats
Bryman & Bell (2017) lyfter fram tre typer av forskningssynsätt inom forskning.
Ett deduktivt synsätt ligger till grund för så kallad teoriprövande forskning, som inbegriper formulering av hypoteser utifrån befintliga teoretiska utgångspunkter. Dessa hypoteser skall sedan bekräftas eller förkastas vid undersökningens slut. Ett induktivt synsätt används istället i forskningssammanhang där syftet är att utveckla teori på ett datastyrt sätt genom användandet av empiriska data. Dock är det viktigt att beakta att tidigare nämnda forskningsansatser innehar sina respektive begränsningar. En svaghet som förknippas med en deduktiv forskningsansats är att forskaren blir tvungen att förlita sig på en strikt och logisk process för teoriprövning samt falsifiering av hypoteser, vilket kan ses som problematiskt vid sammanhang där valet av teori som skall prövas inte har fastställts. Induktivt tänkande kritiseras istället av dem som anser att ingen mängd empiriskt datamaterial kan möjliggöra teoribildning. För att undvika de begräsningar som associeras med deduktivt respektive induktivt tänkande kan forskaren istället anta ett abduktivt synsätt, som kan användas för att dra logiska slutsatser och vidareutveckla teori (Bryman & Bell, 2017).
Studien ämnar besvara forskningsfrågorna genom att utgå från en existerande teoretisk referensram, vilket innebär ett deduktivt synsätt. Användning av etablerad teori är centralt för studiens utformning då detta ger en viktig grundförståelse för undersökningsfenomenet som skall studeras. Vidare möjliggör den valda forskningsstrategin samt undersökningsmetoden att förståelse under studiens gång successivt kan växa fram (Bryman & Bell, 2013).
3.2 Forskningsstrategi
Bryman & Bell (2013) redogör för två forskningsstrategier som huvudsakligen tillämpas vid utövande av företagsekonomisk forskning; kvantitativ respektive kvalitativ forskning. Ett kännetecken som anses vara utmärkande inom kvantitativ forskning är att forskaren ofta utgår från ett deduktivt synsätt, det vill säga att utgångspunkten för studiens utformning är existerande teori. En objektiv verklighetssyn utgör en grundläggande premiss när en forskare skall genomföra en kvantitativ studie, i motsats till kvalitativ forskning där verkligheten istället betraktas som en social konstruktion under konstant förändring. Sistnämnda forskningsstrategi förknippas istället med ett induktivt synsätt där syftet är att generera nya teorier och modeller som kan användas vid framtida forskning (Bryman & Bell, 2013).
Enligt Denscombe (2016) bör ett antal aspekter tas i beaktande vid valet av forskningsstrategi. Dels anses det vara av yttersta vikt att forskaren tar hänsyn till forskningens mottagare, läsekrets samt den specifika forskningsgemenskap som forskaren arbetar inom när hen skall bedriva forskning, Förekomsten av olika ämnesområden tenderar att medföra uppkomsten av flera olika
19
perspektiv. I praktiska sammanhang betyder detta att en del forskningsstrategier föredras framför andra på grund av den redan etablerade strukturen som existerar inom ett visst forskningsområde (Denscombe, 2016).
I denna studie tillämpas en kvalitativ forskningsstrategi med en deduktiv ansats för att utreda hur chefer på en lokal kontorsenhet uppfattar och hanterar risk samt regelefterlevnad vid AML-implementering i det dagliga arbetet. En framtagen referensram innehållandes olika teorier och modeller som berör tidigare nämnda begrepp ligger således till grund för studien. Den teoretiska referensramen har i viss mån utformats med hänsyn till det rådande forskningsläget. Detta innebär att en del av teorierna som återfinns i denna studie har använts i tidigare forskningsstudier som behandlar AML, exempelvis agentteori, samtidigt som referensramen inkluderar andra teoretiska utgångspunkter som inte har varit lika förekommande i tidigare forskning inom detta område.
En ytterligare aspekt som bör tas med i beräkning är forskarens möjlighet till att få tillträde till den typ av målgrupp, kontexter, och dokument som anses vara behövliga för att genomföra en framgångsrik studie (Denscombe, 2016). Detta har beaktats under urvalsprocessen och diskuteras mer ingående i avsnitt 3.5–3.7.
Till sist bör den givna tidsramen beaktas när forskaren skall avgöra om vilken forskningsstrategi som lämpar sig bäst för studiens ändamål. En del strategier är mer passande för projekt som har ett begränsat tidsomfång. Andra forskningsstrategier är inte lika förutsägbara när det gäller tidsuppskattning och tenderar istället att vara mer tidskrävande (Denscombe, 2016). Datainsamlingen i detta arbete sker utifrån semi-strukturerade intervjuer, vilket kommer bidra med en ytterligare dimension inom forskningsområdet ifråga. Enligt Christensen et al (2010) erbjuder en kvalitativ forskningsmetod i form av intervjuer enorma tidsfördelar, vilket motiverar valet av undersökningsmetod då skribenterna utför denna studie inom en mycket begränsad tidsram.
3.3 Litteraturgenomgång och forskningsdesign
Forskningsprocessen inleddes med att gå igenom existerande litteratur som behandlar AML, risk samt regelefterlevnad för att få en grundförståelse för respektive ämne. Tidigare forskningsmaterial inhämtades via databaserna Primo samt Google Scholar genom att använda följande sökord:
“AML”, “Compliance”, “internal audit”, “risk”, “risk management”, “risk assessment”, “internal control”, COSO, “money laundering”, “fraud”, “three lines of defence”, “first line”, “second line”, “third line”, “organized crime”, “banking”, “agency theory”, “agent”, “principal”, “asymmetric information”, “conflict of interest”.
Efter att litteraturgenomgången blivit avklarad framställdes tre frågeställningar som baserades på vad som bedömdes sakna inom den nuvarande forskningsprofilen. Tidigare forskningsbidrag samt den teoretiska referensram utgör tillsammans grunden för studiens kvalitativa undersökning som tar sin grund i en tvärsnittsansats. Enligt Christensen et al (2016) innebär senare ansats att ett representativt urval från en specifik utvald målpopulation studeras vid en
20
given tidpunkt. En av studiens ändamål är att få en bred översikt över hur lokala kontorsenheter förhåller sig till parametrar som risk och regelefterlevnad. Av den anledningen anses valet av att utgå från en tvärsnittsansats vara lämpligt med hänsyn till studiens utformning.
3.4 Insamling av data
Christensen, Engdahl, Grääs & Haglund (2010) förklarar att primärdata utgör den data som främst används att kunna besvara frågeställningen. Senare information samlas in på grund av att det inte förekommer empiriskt material sedan tidigare som kan användas för att besvara studiens problemformulering. Sekundärdata utgör istället information som redan existerar och kan således endast tillämpas som referensdata (Christensen et al, 2010). I denna studie utgörs primärdatan av det empiriska materialet som har erhållits från semi-strukturerade intervjuer. Christensen et al (2010) redogör för-och nackdelar som kan uppstå vid användandet av primärdata. En fördel anges vara möjligheten att vidare stärka den insamlade empirin på grund av dess aktualitet och även anpassa inhämtad information efter studiens forskningsfråga (Christensen et al, 2010). Trots fördelarna påpekar Christensen et al (2010) att processen för insamling av primärdata ofta är tids- och resurskrävande. Den sekundärdata som används i denna analys består av både vetenskapliga artiklar och elektroniska källor som i olika utsträckningar berör risk och regelefterlevnad vid AML-implementering.
3.5 Semi-strukturerade intervjuer
Studien syftar till att studera hur en lokal kontorsrörelse förhåller sig till enheter såsom, Compliance, riskfunktion och internrevision vid riskhantering. Studien ämnar även utreda vilka bakomliggande faktorer som utmanar regelefterlevnad på bankkontor vid AML-implementering. För att kunna besvara dessa frågeställningar kommer studien att tillämpa ett kvalitativt tillvägagångssätt i form av semi-strukturerade intervjuer. Christensen et al (2010) förklarar att tidigare nämnda undersökningsmetod är särskilt passande vid tillfällen där forskaren planerar att ställa frågor av komplex natur. Det semi-strukturerade formatet samt den personliga kontakten som kännetecknar studiens tillvägagångssätt gör det möjligt för forskaren att ställa eventuella följdfrågor utifrån de svaren som intervjurespondenten har lämnat. Således innebär detta att intervjuaren vid behov kan be respondenten att vidareutveckla sin tankegång och därmed säkerställa att svaren som har mottagits under samtalets gång är tydliga och relevanta till studiens frågeställning (Christensen et al, 2010).
Innan intervjuprocessen initierades formulerades frågor som baserades på studiens teoretiska referensram med följande delområden; Three Lines of Defence, agentteori, självreglering, riskbedömning, övervakning och till sist rapportering. Huvudfrågorna som ställdes under intervjuns gång var således förutbestämda och dessa ställdes även i samma följdordning till de deltagande. Författarna hade dessutom en intervjuguide till hands under tiden som konversationen pågick (Se bilaga 1). Detta för att bibehålla en struktur i samtalet men även för att förhindra att intervjun frångick sitt primära syfte.
Enligt Christensen et al (2010) bär intervjuaren samt intervjurespondenten ett gemensamt ansvar för att tillförsäkra att deras utbyte är givande. Därav vikten av att ständigt vara tydlig
21
när intervjufrågor ställs och dessutom vara lyhörd genom hela samtalet för att säkerställa att respondenten begriper sig på frågornas innebörd, vilket ökar trovärdigheten i studiens empiriska material. På grund av det studerade ämnet känsliga natur var det även oerhört viktigt att alla intervjudeltagare fick besvara frågorna i en avslappnad miljö. Samtliga intervjuer förutom två var personliga och genomfördes på respektive intervjudeltagares kontor. Två intervjudeltagare önskade att intervjun skulle genomföras via telefon då de saknade möjlighet till att träffas för ett personligt möte.
3.6 Genomförande
Innan undersökningsprocessen inleddes upprättades kontakt med samtliga banker som medverkar i studien via telefon samt mejl. Efter att kontakten etablerats informerades de tillfrågande om studiens syfte innan dessa individer fick avgöra om de ville deltaga i intervjun. Totalt sju personer godkände skribenternas förfrågan om intervjusamtal, varav en av dessa meddelade att ytterligare en kollega med chefsbefattning skulle ansluta sig till intervjusamtalet. Urvalet av intervjurespondenter uppgick således till sammanlagt åtta personer.
Varje intervjurespondent mejlades ett antal förslag om tid och datum och därefter bestämdes tid för intervjubesök. De kontor som intervjudeltagarna tillhör finns belägna på olika orter och regioner. Att ha ett brett och varierat urval av deltagare bedömdes vara en nödvändighet då skribenterna ville försäkra sig om att de erhållna resultaten inte påverkades av geografiska skillnader. Hela intervjuprocessen varade totalt fyra veckor och båda skribenter var närvarande vid samtliga intervjutillfällen.
Intervjun inleddes med en kort presentation av intervjuns upplägg och studiens syfte beskrevs en ytterligare gång. Samtalet fortsatte därefter med en genomgång av en checklista med villkor avseende intervjurespondenternas medverkan (Se bilaga 2). Dessa villkor är baserade på de fyra huvudkraven som Vetenskapsrådet (2002) har tagit fram vid utövande av etisk forskning; informationskravet, samtyckeskravet, konfidentialitetskravet och nyttjandekravet. Dessa presenteras närmre i avsnitt 3.9.
Respondenterna hade på förhand mejlats intervjuunderlag och tidigare nämnda checklista för att de skulle få en översikt över de områden som skulle diskuteras under konversationens gång. Innan intervjun avslutades tillfrågades varje intervjudeltagare om hen ville tillägga ytterligare reflektioner som inte hade framförts under samtalet för att säkerställa att skribenterna inte gick miste om värdefull information.
