belso-ellenorzes-penzugyi-szektor-prioritasok-szabalyozasi-kornyezet-2022

Elemzések

Szabályozási környezet

Belső Ellenőrzés a pénzügyi szektorban – Tervezési prioritások 2022-ben

1.1. A csaláskockázat kezelése

Miért fontos?

A COVID-19 világjárvány következtében a távmunkára való széles körű áttérés lehetőségével a külső csalások és átverések száma is megugrott, kezdve a személyazonossággal való visszaéléstől a kibercsalásokon át a járvánnyal kapcsolatos kormányzati támogatási rendszerek manipulálásáig, ami számos szervezetnek okoz jelentős pénzügyi és erkölcsi kárt. Mindezek fényében a szabályozó hatóságok egyre nagyobb hangsúlyt fektetnek arra, hogy megerősítsék a gazdasági szereplők vezető tisztségviselőinek felelősségét és elszámoltathatóságát a csalások megelőzése és felderítése terén.

Mi változott?

A COVID-19 világjárvány hatásai: A jelenlegi környezetben a pénzügyi vállalkozások mind a belső-, mind pedig a külső csaláskockázatra egyre érzékenyebbek lehetnek, hiszen egyrészt a munkavállalók a világjárvány ideje alatt is egyéni teljesítményük növelésére- és tervszámaik elérésére törekszenek, míg a szervezeten kívüli csalók egyre kifinomultabbak a gyanútlan fogyasztók átverésében. A csalás kockázata a pandémia következtében szükségessé vált megváltozott munkakörülmények és a távmunka eredményeképpen is megnőtt. Ezen kívül jelentős aggodalomra ad okot a világjárványhoz kapcsolódó kormányzati támogatásokkal összefüggésben esetlegesen felmerülő nagymértékű csalások kockázata. A vállalkozásoknak e hatások figyelembevételével érdemes fejleszteniük a csaláskockázat-csökkentő stratégiáikat.

Mi a belső ellenőrzés feladata?

Fókuszterület

Kockázatértékelés áttekintése

Ismertető

Az lényeges csaláshoz vezető kockázatokat azonosító folyamatos kockázatértékelés kulcsfontosságú folyamat a vállalatok csaláskockázat-csökkentési rendszerében. A belső ellenőrzésnek meg kell vizsgálnia, hogy milyen folyamatok révén azonosítják a releváns csalás-kockázatokat és az e folyamatba épített kontrollokat; hogyan végzik el következetesen a kockázatértékelést valamennyi üzleti területen és helyszínen; hogyan vezethet a jelenlegi és jövőbeli üzleti környezet új típusú csaláskockázatokhoz; továbbá, hogy milyen irányítási folyamatot alkalmaz a szervezet a kockázatértékelések naprakészségének biztosítása érdekében. Tekintettel arra, hogy a világjárvány e Hírlevél szerkesztésekor is tart, a belső ellenőrzésnek azt is meg kell vizsgálnia, hogy a vezetőség miként igazította a kockázatértékelést az esetlegesen felmerült új kockázatok figyelembevétele érdekében.

A keretrendszer kialakításának értékelése

A kockázatértékelésen felül a robosztus csaláskockázat-megelőző keretrendszerek több kulcsfontosságú pillérre kell, hogy épüljenek annak érdekében, hogy sikeresen és hatékonyan működjenek. Ez magában foglalja a csaláskockázat-értékelés eredményének felhasználását a megfelelő üzletpolitikák (belső szabályzatok), folyamatok és ellenőrzések meghatározásához annak érdekében, hogy az azonosított csalás-kockázatokat az tágabb értelmében vett kockázatvállalási hajlandóságon belül mérsékeljék. Bizonyos területeken csalásmegelőzés-specialista szakemberek igénybevételére-, automatizált ellenőrzések bevezetésére-, valamint az azonosított csalási események kivizsgálására és megoldására szolgáló kiterjedt és megbízható folyamatok létrehozására- és alkalmazására van szükség.

A belső ellenőrzés mérlegelheti a meglévő ellenőrzések kialakításának és működési hatékonyságának-, valamint annak vizsgálatát, hogy ezek hogyan működtek csaláskísérlet/felderítés esetén. A belső ellenőrzésnek azt is meg kell vizsgálnia, hogy a keretrendszer kialakítását hogyan igazították a környezet változásaihoz, például a világjárványhoz.

A vállalatirányítás és fenntarthatóság felülvizsgálata​

A visszaélési taktikák folyamatosan változnak: egyre kifinomultabbak lesznek, és újabb módszereket találnak a csalások elkövetésére. Ezért a szervezetek csaláselhárítási keretrendszerük szükséges fejlesztését követően sem dőlhetnek hátra. A csalási módszerek fejlődésével párhuzamosan a vállalatoknak javasolt gyengepontjaik gyakori elemzése és a hiányosságok orvoslása, melyek során az első vonalbeli belső ellenőrzési funkciók és külső szakértői csoportok segítségével folyamatosan figyelemmel kísérik a keretrendszer teljesítményét, és azonosítják a hiányosságokat vagy a nem hatékony folyamatokat. A belső ellenőrzésnek vizsgálnia kell azokat a folyamatokat, melyek segítségével a vállalkozás ezt a tevékenységet végzi és az alkalmazott vállalatirányítási módokat. A keretrendszer naprakészen tartása valószínűleg kulcsfontosságú terület lesz a jövőben, és szükségessé teheti a külső szolgáltató által nyújtott bizonyosságot.

1.2. A mesterséges intelligencia etikus és felelős alkalmazása

Miért fontos?

A COVID-19 után a mesterséges intelligencia (a továbbiakban: AI) használata a pénzügyi szolgáltatásokban várhatóan növekedni fog, amit az ügyfelek digitális szolgáltatások iránti igénye, amit költségek optimalizálásának- és a működési hatékonyság növelésének szükségessége vezérel. A Bank of England (BoE) felmérése szerint például a brit bankok 50%-a számít arra, hogy a COVID-19 eredményeképpen a jövőbeni műveletek szempontjából megnő a mesterséges intelligencia jelentősége. A világjárvány azonban arra is rávilágított, hogy a mesterséges intelligenciának a pénzügyi szolgáltatásokban való elterjedésével párhuzamosan a kockázatok is növekednek. A COVID-19 például kiemelte a modellek sodródását (azaz degradációját), mint az egyik legfontosabb kihívást, amellyel a cégeknek modell-kockázatkezelési keretrendszerük részeként foglalkozniuk kell. Ezen túlmenően, ahol az AI-alkalmazások közvetlenül befolyásolják az ügyfelek eredményeit és/vagy személyes adatokat használnak fel, adatvédelmi, magatartási és etikai kockázatokat eredményezhetnek. Ennek eredményeképpen az uniós hatóságok és felügyeletek továbbra is arra koncentrálnak, hogy a mesterséges intelligencia alkalmazása megbízható legyen: azaz robusztus, könnyen értelmezhető, szabályszerű és etikus.

Mi változott?

2021. április végén az EU közzétette a mesterséges intelligenciáról szóló rendeletet, amely átfogó jogszabályi keretre vonatkozó javaslatot fogalmaz meg a megbízható magas kockázatú AI-rendszerek szolgáltatói és felhasználói számára, akiknek szigorú szabályoknak kell majd megfelelniük az AI-rendszerek forgalmazása vagy használata előtt és után. Ezenfelül a megfelelőségértékelés, regisztrációs követelmények és a szabályok be nem tartása esetén jelentős pénzbírságok is vonatkozhatnak rájuk. A pénzügyi szolgáltatásokban használt egyes AI-rendszerek hatálya alá tartoznak majd, és magas kockázatú rendszerként kezelik őket, például azokat, amelyeket egy személy hitelképességének értékelésére, valamint a munkateljesítmény és -magatartás nyomon követésére és értékelésére használnak. Az AI-törvény az EU-n kívüli székhelyű, AI-rendszereket nyújtó vagy használó szervezetekre is vonatkozik majd, amennyiben AI-rendszereik az EU-ban élő személyeket érintik. Az EU várhatóan a 2024-ig véglegesíti a részletszabályokat.

Végül 2021 júniusában az Európai Biztosítás- és Foglalkoztatói nyugdíj-hatóság (EIOPA) konzultatív szakértői csoportja jelentést tett közzé az európai biztosítási ágazatban az etikus és megbízható mesterséges intelligenciát támogató AI irányítási elvekről. Az elvek: az arányosság, a méltányosság és a megkülönböztetésmentesség, az átláthatóság és a megmagyarázhatóság, az emberi felügyelet, az adatkezelés és nyilvántartás, valamint a robusztusság és a teljesítmény.

Mi a belső ellenőrzés feladata?

Fókuszterület

AI-irányítás, kockázatkezelés és etikai szabályrendszerek

Ismertető

A belső ellenőrzés feladatai:

  • annak értékelése, hogy a cég rendelkezik-e a mesterséges intelligencia egyértelmű meghatározásával, és folyamatosan naprakész leltárt vezet-e az összes AI-rendszeréről;
  • annak ellenőrzése, hogy a cég rendelkezik-e hatékony etikai szabályrendszerrel a mesterséges intelligencia azonosítására, értékelésére és a megfelelő cselekvési mód kiválasztására a mesterséges intelligencia által felvetett kockázatok, lehetőségek és erkölcsi kérdések tekintetében (pl. az egyének magánélete és a mesterséges intelligencia pontosságának növeléséhez szükséges adatok széles köre közötti kompromisszumok);
  • annak ellenőrzése, hogy a cég kockázati hajlandósága, irányítási és kockázatkezelési keretei és gyakorlatai figyelembe veszik-e az egyes egyedi AI felhasználási esetekhez kapcsolódó konkrét összefüggéseket és kockázatokat (azaz létezik-e meghatározott módszer a mesterséges intelligencia szervezeten belüli bevezetésére és menedzselésére);
  • és annak értékelése, hogy a vezetőségek és a megfelelési és AI tervezési csoportok készségei, ismeretei és sokszínűsége elegendő-e a szabályozási követelményeknek való megfelelés felülvizsgálatához és megállapításához, az etikai megítélések alkalmazásához és az ügyfelek eredményeinek megértéséhez.

Átfogó és integrált megközelítés, az adatvédelem és az etika terén

A belső ellenőrzés feladatai:

  • annak ellenőrzése, hogy a cég szerep- és felelősségi körei, valamint modell- és kockázatkezelési gyakorlatai támogatják-e a magatartási és adatvédelmi követelmények átfogó megközelítését és betartását az AI-rendszer teljes életciklusa során;
  • annak ellenőrzése, hogy a magatartási, adatvédelmi és a mesterséges intelligencia etikai követelményeit figyelembe veszik-e az egyes AI-rendszerek tervezési szakaszában;
  • és annak értékelése, hogy a mesterséges intelligencia technikai és üzleti követelményei összeegyeztethetőek-e a vonatkozó szabályozási kötelezettségekkel, valamint a cég etikai elveivel és kockázatvállalási hajlandóságával.

1.3. Pénzügyi bűncselekmények

Miért fontos?

A COVID-19 világjárvány mind a szektor szereplői-, mind a jogalkotók számára jelentős kihívást jelentett, ideértve azt is, hogy a bűnelkövetők a körülményeket kihasználva továbbfejleszthették és tökéletesíthették a pénzügyi bűncselekmények elkövetésére irányuló módszereiket. Jelentősen megnőtt a csalások száma, mivel sok cégnek gyorsan át kellett állnia a digitális csatornákra, miközben a személyes interakciók száma a kormányzati korlátozások és iránymutatások miatt jelentősen csökkent. A közelmúltbeli pénzügyi bűncselekményekkel kapcsolatos botrányok megmutatták, hogy az új technológiákba való beruházás és a szakértői csapatok kialakítása és bővítése ellenére a cégek még mindig elkövetik ugyanazokat a hibákat, beleértve a nem megfelelő irányítást és nyilvántartást, illetve a magas kockázatú ügyfelekkel kapcsolatos kockázati kitettség nem teljes körű felmérését. Emellett a kripto-eszközök is egyre inkább teret nyertek az elmúlt néhány évben, és ma már könnyebben hozzáférhetőek, mivel számos kripto-platform az iOS és az Android alkalmazásboltokban is általánossá vált. Ezekkel a közelmúltbeli változásokkal a bűnözők a pénzmosás más módszereihez, valamint a kripto-eszközök használatához vagy a kereskedelem alapú pénzmosáshoz nyúltak.

Mi változott?

  • Miközben a pénzügyi vállalkozások folyamatosan reagálnak az üzleti feltételek jelentős változásaira, és továbbra is alkalmazkodnak a COVID-19 világjárványhoz, a pénzügyi bűnözés kockázatának mérséklésére tett erőfeszítésekkel kapcsolatos szabályozói elvárások a korábbi évekhez hasonlóak maradtak. Továbbá az újonnan felmerülő kockázatok (mint például a csalás és a pénzügyi bűncselekmények növekedése a világjárvány idején, a kripto-eszközökkel kapcsolatos megnövekedett kockázat, valamint a szankciórendszerben a Brexit után és újabban Kínával és Oroszországgal kapcsolatban bekövetkezett változások nagyobb figyelmet igényeltek.
  • Az 5. uniós pénzmosás elleni irányelv (5MLD) alkalmazása, a pénzmosásról és a terrorizmus finanszírozásáról szóló 2019. évi (módosító) rendeletek (MLR19) révén az EU-ban új szabályozási követelményeket vezetett be a tiltott tevékenységek visszaszorítása érdekében, és ezen túlmenően iránymutatást tartalmaz az ügyfél-átvilágítási (CDD) követelményekre vonatkozóan további, a hatálya alá tartozó területekre, például (többek között) a kriptovaluták, kriptovaluta-platformok és pénztárcák terén. A kriptovaluták az elmúlt néhány évben jelentősen elterjedtek, ami a pénzmosás kockázatának növekedéséhez vezetett, amelyet világszerte számos pénzügyi szolgáltatási szabályozó hatóság felismert. Az 5MLD azt is tisztázza, hogy mikor elfogadható a CDD mellőzése az elektronikuspénz-ügyfelek esetében, így nagyobb szabályozási lefedettséget és iránymutatást nyújt a szélesebb pénzügyi szektor számára.
  • A műtárgypiac az 5MLD bevezetése óta a pénzmosási rendelet hatálya alá tartozik. Több nemzeti szabályozó hatóság is kiemeli, hogy a műtárgypiac kockázatai és sebezhető pontjai nem eléggé ismertek, amit a bűnözők kihasználhatnak a pénzügyi szolgáltatások csatornáin belüli hagyományos ellenőrzések megkerülésére. A szektor kockázatai az elmúlt években megnövekedtek a tranzakciók anonimitása, a határokon átnyúló hordozhatóság, a magas kockázatú joghatóságok és az ágazatban használt készpénz mennyisége által okozott sebezhetőség miatt, ami a műtárgykereskedőket vonzóvá teszi a bűnözők számára. A pénzügyi szolgáltató intézményektől elvárják, hogy aktualizálják ellenőrzéseiket, hogy teljes mértékben megértsék és ellenőrizzék ügyfeleik vagyonának forrását, valamint minden olyan kapcsolódó kockázatot, ha az ügyfél vagyona az ebben az ágazatban folytatott kereskedésből származik.

Mi a belső ellenőrzés feladata?

Fókuszterület

Kockázatelemzés

Ismertető

A belső ellenőrzésnek értékelnie kell, hogy a pénzügyi bűnözés valamennyi kockázati területét - beleértve a csalást és az adócsalást is - a lehető legnagyobb mértékben integrálják-e a kockázatkezelési keretrendszerbe. A kockázatértékelés például továbbra is számos piaci szereplő esetében gyenge pontnak számít, például az alábbi esetekben:

  • A vállalati szintű kockázatértékelést (ERA) gyakran figyelmen kívül hagyják és alulértékelik. Ennek következtében általában nem eléggé kidolgozott, és nem használják a cég pénzügyi bűnözéssel kapcsolatos rendszereinek és ellenőrzési keretrendszerének irányítására;
  • A tranzakciók nyomon követésének (TM) kockázatértékelései gyakran általános forgatókönyvekre korlátozódnak, és nem mindig az iparágra szabottak;
  • Az ügyfélkockázat-értékeléseket (CRA) elszigetelten végzik, és nem mindig ezek szabják meg az ügyfélre vonatkozó folyamatos átvilágítási követelményeket és nyomon követést, ahogyan azt a rendeletek előírják; és
  • A vállalati kockázatértékelés elvégzésével kapcsolatos tapasztalat hiánya az első és a második védelmi vonalakon belül zavarhoz vezethet a kötelező kockázati iránymutatások alkalmazásával kapcsolatban, és akadályozhatja a megbízható vállalati kockázatértékelés módszertan végrehajtását.

Irányítás és felügyelet

A belső ellenőrzés az irányítási és felügyeleti intézkedések mérlegelésével támogathatja a pénzügyi bűncselekmények hatékony kockázatkezelését. Ez magában foglalhatja a következőket:

  • Amennyiben a kulcsfontosságú feladatokat, például a CDD-t és az átvilágítást kiszervezett szolgáltatók végzik, a következő intézkedéseket megtették-e
    • A kiszervezési megállapodás megkezdése előtti átvilágítás, a kiszervezett feladatra vonatkozó folyamatok értékelése érdekében;
    • A kiszervezőtől származó rendszeres vezetői tájékoztatás nyújtása arról, hogy a kiszervezett feladatokat hogyan végzik; és
    • A kiszervezett feladatok teljesítésének nyomon követése és minőségellenőrzése.
  • Léteznek-e egyértelmű eszkalációs folyamatok az olyan ügyekre, amelyek a felső vezetés vagy a pénzügyi bűnözéssel foglalkozó csoport általi felülvizsgálatot igényelnek, pl. CDD kivételek és magas kockázatú ügyfelek, amelyek a felső vezetés jóváhagyását igénylik. Ezeknek a folyamatoknak tartalmazniuk kell az ügyek eszkalálásának világosan meghatározott kritériumait, valamint az azt követő döntések ellenőrzési nyomvonalának követését.

Az 5MLD alkalmazása

A belső ellenőrzésnek továbbra vizsgálnia kell az első és a második vonal által az 5MLD kihívásaira válaszul végrehajtott változtatások működési hatékonyságát. Ez többek között a következőket foglalja magában:

  • Az elfogadási folyamat során használt listák teljességének felülvizsgálata az 1) magas kockázatú országok; és 2) a politikai közszereplők (PEP) elleni szűrés tekintetében;
  • Az átvilágítások elvégzésére vonatkozó aktualizált politikák és eljárások felülvizsgálata a végső tulajdonosi nyilvántartások alapján; és
  • Az elektronikus azonosítás és ellenőrzés elvégzésére szolgáló új technológiák és adatmegoldások használatának értékelése a megfelelőség és hatékonyság szempontjából.

Képzett erőforrások hiánya mindhárom védelmi vonalon

A cégeknek új, alternatív pénzügyi bűncselekmények elleni ellenőrzéseket kell bevezetniük, miközben gyorsan alkalmazkodniuk kell a jelentős, folyamatban lévő üzleti feltételek változásaihoz. E változások jellegéből adódóan a változásokra válaszul bevezetett új technológiák és átviteli csatornák miatt szükség van a tudás bővítésére, különösen mivel ezek nem feltétlenül vannak teljes mértékben tesztelve vagy „kalibrálva”. A belső ellenőrzésnek meg kell bizonyosodnia, hogy az ellenőrzési módszert a cégük kockázatvállalási hajlandóságának vagy az ellenőrzési időszakban alkalmazandó kockázati kapacitásnak megfelelően alakítják ki. A belső ellenőrzésnek meg kell vizsgálnia, hogy a problémák "gyökerei" a következőkre vezethetők-e vissza:

  • A költségcsökkentés miatti forráshiány és/vagy az erőforrások felhígulása az új követelmények miatt, ami csökkentheti az első és második védelmi vonal tudásbázisát;
  • Rendszeres vagy átmeneti üzleti feltételek;
  • A cég kockázattűrő képességének vagy kockázatvállalási hajlandóságának túllépése

Költségcsökkentés / fenntarthatóság
  • A belső ellenőrzésnek felül kell vizsgálnia a pénzügyi bűncselekményeknek való megfelelést befolyásoló esetleges költségcsökkentési stratégiák irányítási szabályait. A belső ellenőrzésnek meg kell vizsgálnia, hogy a költségcsökkentési stratégiák eredményesek-e a kívánt/következetes megfelelési eredmények elérésében, és hogy ez fenntartható-e. Amennyiben ezt a tevékenységet kiszervezik, úgy meg kell győződni róla, hogy megfelelő irányítás, nyilvántartás, vezetői tájékoztatás és felügyelet tartozik-e a kiszervezett tevékenységhez.
Hasznosnak találta?
Fókuszban a belső kontrollok: a kontrollkörnyezet kiemelt területei a válságkezelésben

Kapcsolódó témák