Az utóbbi időben a pénzügyi bűnözés elleni küzdelem jövőbeli keretrendszerének alapjaként, az információ-vezérelt kockázatkezelés kiemelten fontossá vált. A hagyományos kockázatkezelési módszerek elavultak, nem megfelelő eredményt hoznak és így komoly kockázatokat jelentenek a szervezeteknek – állapítja meg a Deloitte friss tanulmánya.
A kockázatértékelés kulcsfontosságú eszköz, amelynek a pénzügyi szolgáltató intézmények pénzügyi bűnözés elleni kontrollkeretrendszerének középpontjában kell állnia. A kockázatértékelést azonban gyakran csak a szabályozás által vezérelt gyakorlatnak tekintik, amelynek eredménye az intézményt fenyegető pénzügyi bűncselekményekkel kapcsolatos sebezhetőségek általános értékelése.
„Az általános értékelések eredményei azonban csak korlátozottan nyújtanak olyan használható információt, amely lehetővé tenné a pénzügyi bűnözés elleni kontrollok megfelelő finomhangolását. Mivel a pénzügyi bűnözéssel kapcsolatos fenyegetések folyamatosan változnak és egyre összetettebbé válnak, ezt a megközelítést tovább kell fejleszteni” – mondta Horváth Csaba a Deloitte Pénzügyi Bűnözéssel foglalkozó csapatának szakértője.
A kockázatértékeléseknél jellemzően több korlátozó tényező is van. Az egyik ilyen, hogy a fenyegetésekről szóló információk elavultak, illetve nem elég részletesek és pontosak ahhoz, hogy megfelelő támogatást nyújtsanak. Ez azt eredményezi, hogy a szervezetet fenyegető pénzügyi bűnözési kockázatok pontos azonosítása, értékelése és rangsorolása nem eléggé specifikus. Ráadásul nem lehet megállapítani, hogy a fenyegetések az intézmény ügyfelei, földrajzi érintettsége és termékei szempontjából relevánsak-e. Felmerül még az azonosított kockázatok és fenyegetések egyértelmű és megfelelő időben történő összekapcsolásának hiánya is. További problémát jelent, hogy a dokumentáció statikus, csak évente vagy félévente kerül frissítésre, és ebből kifolyólag jelentős az időeltolódás a kockázatértékelést befolyásoló változások és az ellenőrzési keretrendszer finomhangolása között. A még széleskörűen alkalmazott manuális folyamatok nem az aktuális képet tükrözik, így a kockázatokat nem következetesen számszerűsítik, illetve nem dinamikusan mérik relatív valószínűség és hatás alapján.
Nem meglepő, hogy a szabályozói elvárások is változnak. Az elmúlt években a szabályozói ellenőrzések egyre nagyobb hangsúlyt fektettek annak értékelésére, hogy a kockázatértékelés mennyire ismeri fel a pénzügyi intézményt fenyegető konkrét veszélyeket, és mennyire hatékonyan értékeli az alapul szolgáló, kockázatcsökkentő kontrollokat. Mindkettő fontos szerepet játszik a kockázatalapú megközelítés megvalósításában, de szabályozó által történő kikényszerítésre is láthatunk példát.
A kockázatértékelés és a ellenőrzési moduláció dinamikusabb és integráltabb megközelítésének elfogadása, kulcsfontosságú a kockázatértékelések korlátainak kezeléséhez, és a változó szabályozási elvárásoknak való megfeleléshez. A változás lehet fokozatos, míg a konkrét megoldások az egyes pénzügyi szolgáltatóknál eltérőek ágazat, érettség, termék és ügyfélkör alapján. A Deloitte szakértői szerint több területen is szükség lesz változtatásokra:
A proaktív kockázatértékelési megközelítésre való áttérés egyesíti a belső forrásokból származó információkat a nyílt forrásból származó, ill., a köz- és magánszféra közötti információmegosztó platformokon elérhető információkkal. Ezen túlmenően a magánszférán belüli információmegosztási funkciók fejlesztése és használata kulcsfontosságú a mindenkor jelenlévő kockázatok folyamatos értékelése és a szervezetet fenyegető konkrét veszélyek azonosítása szempontjából. Kritikus fontosságú ebben a pénzügyi információs egység szerepe.
Egy továbbfejlesztett módszertan bevezetése a fenyegetések változó környezetének kezelésére. Ez magában foglalja az eredendő kockázat értékelését és számszerűsítését, valamint a jelenlegi kontrollok és azok hatékonyságának értékelését, a fennmaradó kockázat dokumentálása céljából – ahol lehetséges, ott kvantitatív mérések alkalmazásával.
A kockázatértékelés nagyobb mértékű integrálása a kontrollkeretrendszerhez közvetlenül kapcsolt dinamikus értékeken keresztül. Például dinamikus kapcsolódás az ügyfél átvilágítási pontszámához vagy az integrált nyomon követésben és szegmentálásban használt pontozáshoz annak érdekében, hogy a kockázatok változásakor felgyorsítsuk az újraértékelés folyamatát. Ez segít csökkenteni a kockázatok kezelésével és a változásokra való reagálással kapcsolatos (gyakran jelentős) költségeket.
Nagyobb pénzügyi intézmények esetében a kockázatértékelést és a kontroll könyvtárat olyan megfelelő platformon kell megvalósítani, amely közvetlenül integrálható a kontrollkörnyezetbe, és bizonyíthatóan teszi láthatóvá a kockázatokat és a kontrollokat. A változtatásoknak több pozitív hatása is van: lehetővé válik a hatóság, vagy más érdekelt felek felé annak bizonyítása, hogy a kockázatalapú módszer sikeresen be lett vezetve, mely jobb kontrolltervezést, menedzsmentet és versenyelőnyt eredményez.
„A kifinomult, proaktív és információ-vezérelt kockázatkezelés képes azonosítani a pénzügyi bűnözés eltérő formákat öltő kockázatait. Dinamikusan finomhangolja a legmagasabb prioritású kockázatmérséklő kontrollokat, ezzel pedig lehetővé teszi a nem kritikus területek erőforrásfelhasználásának csökkentését. A kockázatértékelési és kontrollkeretrendszer fejlődése alapvető fontosságú a pénzügyi bűnözéssel szembeni jövőbeli hatékony fellépéshez, de további változtatások is szükségesek lesznek. Ilyen a jelenleg alkalmazott átvilágítási módszernek egy dinamikusabb ügyféléletciklus-menedzsmentet elősegítőre történő megváltoztatása, és a pénzügyi műveletek megfigyelési szabályozásának egyszerűsítése és racionalizálása.” – emelte ki S. Nagy Krisztina, a Deloitte Kockázatkezelési Tanácsadás Vezető Partnere.