Risico’s en IT-maatregelen bij sanctiewetgeving
Afstudeerscriptie FEWEB IT Audit Vrije Universiteit Amsterdam Datum: Door : Bedrijfscoach
09 april 2009 F. Falix en M. Gils (Team 918) dhr. M.F. van der Meijden Ernst & Young Accountants
VU Coach
dhr. E. Koning De Nederlandse Bank
Risico’s en IT-maatregelen bij sanctiewetgeving
1 1.1 1.2 1.3 1.4
Inleiding Probleemstelling Onderzoeksgrenzen Onderzoeksaanpak Resultaten van het onderzoek
4 4 5 5 5
2 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9
Theoretisch kader: Inleiding tot sanctiewetgeving Definitie van belangrijke begrippen bij sanctiewetgeving Achtergrond sanctiewetgeving UN-sanctiewetgeving EU-sanctiewetgeving Nederlandse sanctiewetgeving OFAC-sanctiewetgeving Overeenkomsten en verschillen tussen onderzochte sanctiewetgeving Problemen bij de uitvoering van sanctiewetgeving Samenvattende beschouwing van sanctiewetgeving
6 6 7 7 8 9 10 11 12 12
3 3.1 3.2 3.3
Risico’s en IT-maatregelen vanuit IT-audit perspectief Aanpak van het onderzoek naar risico’s en IT-maatregelen vanuit IT-audit perspectief Risicoanalyse bij sanctiewetgeving IT-maatregelen bij sanctiewetgeving
13 13 13 15
4 4.1 4.2 4.3
Sanctiewetgeving: Risico’s en IT-maatregelen volgens literatuur Aanpak van het literatuuronderzoek Risico’s ten aanzien van sanctiewetgeving volgens de literatuur Sanctiewetgeving IT-maatregelen volgens de literatuur
17 17 17 19
5 5.1 5.2 5.3
Sanctiewetgeving: Risico’s en IT-maatregelen in de praktijk Aanpak van het praktijkonderzoek Risico’s ten aanzien van sanctiewetgeving volgens de praktijk Sanctiewetgeving IT-maatregelen in de praktijk
20 20 20 22
6 6.1 6.2 6.3
Vergelijking tussen risico’s en IT-maatregelen volgens de literatuur en waargenomen uit de praktijk 24 Verschillen tussen onderkende risico’s volgens de literatuur en de praktijk 24 Verschillen tussen onderkende IT-maatregelen volgens literatuur en de praktijk 25 Beschouwing van de volledigheid van risico’s en IT-maatregelen uit de literatuur en de praktijk 26
7 7.1
Rol van de IT-auditor ten aanzien van transactiemonitoring en sanctiewetgeving Rollen IT-auditor bij sanctiewetgeving
27 27
8 8.1 8.2 8.3
Conclusie, aanbeveling en reflectie Conclusies Aanbeveling en vervolgonderzoek Reflectie
30 30 32 32
Literatuurlijst
33
Lijst met gebruikte afkortingen
35
2
Risico’s en IT-maatregelen bij sanctiewetgeving Bijlage A: Overzicht van OFAC programma’s en gerelateerde wetgeving
36
Bijlage B: Risico’s volgens het FFIEC-manual
37
Bijlage C: Gespreksverslagen praktijkonderzoek
41
Bijlage D: Overzicht van risico’s en IT-maatregelen vanuit IT-auditperspectief, sanctiewetgeving en vanuit de praktijk 50
3
Risico’s en IT-maatregelen bij sanctiewetgeving
1
Inleiding
Diverse grote banken hebben hoge boetes opgelegd gekregen, omdat zij sanctiewetgeving overtraden. Op de website van één van deze banken troffen wij het volgende citaat aan van een topbestuurder1: "De toezichthouders hebben ons hierop terecht aangesproken. We hebben eerder dit jaar uitgebreide maatregelen getroffen om de tekortkomingen grondig recht te zetten. Het verder verbeteren van onze compliance functie heeft de hoogste prioriteit binnen de bank". Het bovenstaande citaat is uiteraard slechts illustratief voor één bank. Echter, hierdoor is bij ons wel de vraag ontstaan welke maatregelen de sanctiewetgeving voorschrijft en hoe deze zijn vertaald naar concrete maatregelen in de beheersomgeving van een bank. Meer concreet vragen wij ons af welke risico’s onderkend worden en welke IT-maatregelen getroffen zijn. Het doel van deze scriptie is een vergelijking te maken tussen maatregelen die wij verwachten aan te treffen vanuit IT-auditperspectief met risico’s en IT-maatregelen die wij op basis van een literatuur- en praktijkonderzoek verwachten aan te treffen. In dit inleidende hoofdstuk definiëren wij onze probleemstelling, onderzoeksgrenzen, de onderzoeksaanpak en het eindresultaat van het onderzoek.
1.1
Probleemstelling
Voorafgaande aan het hoofdonderzoek hebben wij een vooronderzoek uitgevoerd. Met de uitvoering van het vooronderzoek hebben wij beoordeeld welke bancaire processen het meest relevant zijn voor nader onderzoek. Hierbij zijn wij tot de conclusie gekomen dat maatregelen getroffen dienen te worden rond de processen ‘aannemen en beheren van klanten’, alsmede ‘het uitvoeren van transacties’.2 Op basis hiervan hebben wij de volgende hoofdvraag geformuleerd: Welke IT-maatregelen dienen banken vanuit de sanctiewetgeving te implementeren bij het aannemen van klanten en het beheren van het klantenbestand, alsmede bij het uitvoeren van transacties en welke mogelijke rollen zou een IT-auditor hierbij kunnen vervullen?
Naar onze mening bestaat een lacune tussen de richtlijnen opgenomen in de verschillende sanctiewetgeving en de vertaling van wetgeving naar IT-maatregelen. Met de beantwoording van bovenstaande onderzoeksvraag willen wij deze lacune opvullen. Om de hoofdvraag te kunnen beantwoorden, hebben wij de volgende deelvragen geformuleerd: 1 Welke sanctiewetgeving is voor Nederlandse banken relevant? (hoofdstuk 2) 2 Welke risico’s en IT-maatregelen verwachten wij vanuit IT-audit perspectief aan te treffen bij de implementatie van sanctiewetgeving? (hoofdstuk 3) 3 Welke risico’s ten aanzien van sanctiewetgeving zijn in de literatuur bekend en welke IT-maatregelen worden in de literatuur voorgesteld? (hoofdstuk 4) 4 Welke risico’s ten aanzien van sanctiewetgeving hebben banken onderkend en welke IT-maatregelen hebben zij getroffen? (hoofdstuk 5) 5 Wat zijn de belangrijkste verschillen en overeenkomsten tussen risico’s en IT-maatregelen uit de literatuur in vergelijking met de praktijk en is het totaal aan onderkende risico’s en maatregelen naar onze mening volledig? (hoofdstuk 6) 6 Gegeven de bevindingen, welke rol heeft de IT- auditor ten aanzien van filteren en monitoren van het klantenbestanden en transacties bij banken? (hoofdstuk 7) In het bovenstaande overzicht hebben wij hoofdstuknummers achter de deelvragen vermeld. Hiermee duiden wij aan in welk hoofdstuk de betreffende deelvragen worden beantwoord. De beantwoording van de hoofdvraag is opgenomen in hoofdstuk 8. 1 2
www.group.abnamro.com/pressroom/pressreleasedetail.cfm?ReleaseID=278325 Vooronderzoek “risico’s en IT-maatregelen bij sanctiewetgeving”, 2008
4
Risico’s en IT-maatregelen bij sanctiewetgeving
1.2
Onderzoeksgrenzen
Bij uitvoering van dit onderzoek hebben wij de volgende onderzoeksgrenzen gehanteerd: 1 Het onderzoek beperkt zich tot de bancaire sector. 2 Het onderzoek beperkt zich tot risico’s en IT-maatregelen bij het proces van het aannemen en het accepteren van nieuwe klanten, alsmede het uitvoeren van transacties. 3 Het onderzoek is uitsluitend gericht op sanctiewetgeving ter voorkoming van de financiering van terrorisme. 4 Het onderzoek beperkt zich tot UN-, EU-, NL- en OFAC–sanctiewetgeving. 5 Wij beschouwen het als een gegeven dat banken aan sanctiewetgeving dienen te voldoen; wij zullen niet ingaan op afwegingen voor banken bij het bepalen of aan de sanctiewetgeving voldaan dient te worden. 6 Het onderzoek is gericht op generieke IT-maatregelen, onafhankelijk van de gekozen IT-architectuur en computersystemen.
1.3
Onderzoeksaanpak
Bij uitvoering van het hoofdonderzoek dient onderstaand conceptueel model als basis (zie figuur 1). Opstellen IT-audit raamwerk (hoofdstuk 3)
Risico’s en IT-maatregelen volgens de literatuur (hoofdstuk 4)
Risico’s en IT-maatregelen uit de praktijk (hoofdstuk 5)
IST – SOLL (hoofdstuk 6) Verschillen tussen risico’s en IT-maatregelen volgens literatuur en risico’s en ITmaatregelen uit de praktijk. Beoordeling van de volledigheid van risico’s en maatregelen op basis van eigen analyse. Rol IT-auditor ten aanzien van transactiemonitoring en sanctiewetgeving (hoofdstuk 7)
Figuur 1. Conceptueel model bij het onderzoek naar IT-maatregelen voor transactiemonitoring en sanctiewetgeving.
1.4
Resultaten van het onderzoek
Het resultaat van ons onderzoek is een rapport waarin wij onze onderzoeksbevindingen presenteren. Dit rapport stellen wij beschikbaar aan banken die meegewerkt hebben aan de uitvoering van ons praktijkonderzoek. Wij streven geen uitputtendheid na ten aanzien van geïdentificeerde risico’s en ITmaatregelen. Tevens onderkennen wij dat de in de praktijk getroffen maatregelen afhankelijk zijn van het ambitieniveau van banken om risico’s te beperken. Naar onze mening kan het totaaloverzicht van risico’s en IT-maatregelen dat in dit rapport is opgenomen gebruikt worden om de eigen risico’s en maatregelen te toetsen. Daarbij onderstrepen wij dat het geldigheidsbereik van de resultaten van ons praktijkonderzoek beperkt is tot IT-maatregelen ten aanzien van sanctiewetgeving bij de banken die in onze deelwaarneming zijn meegenomen. Omdat risico’s voor sanctiewetgeving en mogelijke IT-maatregelen generiek van aard zijn, verwachten wij echter dat de beschreven maatregelen toegepast kunnen worden binnen ondernemingen die wel aan sanctiewetgeving gehouden zijn, maar actief zijn buiten de bancaire sector.
5
Risico’s en IT-maatregelen bij sanctiewetgeving
2
Theoretisch kader: Inleiding tot sanctiewetgeving
In dit hoofdstuk formuleren wij een antwoord op de eerste deelvraag: Welke sanctiewetgeving is voor Nederlandse banken relevant? Het onderzoeksveld hebben wij geconcretiseerd door in paragraaf 2.1 de belangrijkste begrippen te definiëren. De verplichting om te voldoen aan sanctiewetgeving komt voort uit diverse (internationale) wetten, verdragen en richtlijnen. Daarom definiëren beschouwen wij in hoofdstuk 2.2 de achtergrond van de sanctiewetgeving. Paragraaf 2.3 beschrijft de UN-sanctierichtlijnen, terwijl in paragraaf 2.4 ingegaan wordt op EU- sanctiewetgeving. In paragraaf 2.5 wordt ingegaan op de Nederlandse wetgeving ten aanzien van sanctiewetgeving. De OFAC-richtlijnen worden tenslotte behandeld in paragraaf 2.6. Zoals in dit hoofdstuk zal blijken, schrijven diverse regulerende instanties voor dat een risicogeoriënteerde aanpak gebruikt dient te worden bij de implementatie van sanctiewetgeving. In paragraaf 2.7 hebben we een samenvatting van de overeenkomsten en verschillen tussen de diverse sanctiewetten opgenomen. In paragraaf 2.8 wordt een beschouwing van de specifieke problematiek voor sanctiewetgeving uiteen wordt gezet. Het hoofdstuk wordt afgesloten In paragraaf 2.9 waarin wij een samenvattende beschouwing van sanctiewetgeving hebben opgenomen.
2.1
Definitie van belangrijke begrippen bij sanctiewetgeving
Voordat wij ingaan op de specifieke sanctiewetgeving die van belang is voor Nederlandse banken, definiëren wij het begrip ‘Sanctiewetgeving’ en de belangrijkste begrippen die hieraan gerelateerd zijn. Het gaat hierbij om de volgende begrippen: Sanctiemaatregelen- en wetgeving3: De AFM definieert sanctiemaatregelen als ‘politieke instrumenten in het buitenland- en veiligheidsbeleid van de Verenigde Naties en de Europese Unie. Het zijn dwingende instrumenten die worden ingezet als reactie op schendingen van o.a. het internationaal recht of mensenrechten’. Sanctiewetgeving definiëren wij daarmee als wetgeving gericht op de inzet van politieke instrumenten als reactie op schendingen van internationaal recht en mensenrechten. Financieren terrorisme4: ‘(1) Opzettelijk verwerven of voorhanden hebben van voorwerpen met geldswaarde, bestemd tot het begaan van een misdrijf als bedoeld in artikel 83 van het Wetboek van Strafrecht. (2) het opzettelijk verschaffen van middelen met geldswaarde tot het plegen van een misdrijf als bedoeld in artikel 83 van het Wetboek van Strafrecht. (3) het verlenen van geldelijke steun, alsmede het opzettelijk verwerven van geld ten behoeve van een organisatie die tot oogmerk heeft het plegen van een misdrijf als bedoeld in artikel 83 van het Wetboek van Strafrecht’. Bevriezing van middelen5: ‘Het voorkomen van het op enigerlei wijze muteren, overmaken, corrigeren, gebruiken of omgaan met middelen met als gevolg wijzigingen van hun omvang, bedrag, locatie, eigenaar, bezit, onderscheidende kenmerken, bestemming, of andere wijzigingen waardoor het gebruik van bedoelde middelen, inclusief het beheer van een beleggingsportefeuille, mogelijk zou worden gemaakt’;
3
afm.nl Staatsblad 2008 303 5 Sanctieregeling terrorisme 2007, via www.afm.nl 4
6
Risico’s en IT-maatregelen bij sanctiewetgeving Filteren: Het filteren van gegevens in het kader van sanctiewetgeving bestaat uit het vergelijken van deze gegevens met sanctielijsten. Monitoren: Het door mensen laten beoordelen van personen en transacties die door het filter zijn aangemerkt als mogelijk verdacht. De literatuur leert ons dat de processen voor sanctiewetgeving in grote mate zijn geïntegreerd met processen die gericht zijn tegen het witwassen van geld6. Diverse internationale autoriteiten die belast zijn met de formulering en het ten uitvoering brengen van sanctiewetgeving, beschouwen de genoemde processen in samenhang. Toch bestaan belangrijke verschillen. Karakteristiek voor de financiering van terrorisme is dat de bedragen die hiermee gemoeid gaan relatief klein zijn in vergelijking met de bedragen voor het witwassen van geld. Daarnaast is het lastig om vooraf vast te stellen of financiële middelen voor terroristische activiteiten gebruikt zullen worden. Ten slotte zijn geldstromen ter financiering van terrorisme niet noodzakelijkerwijs afkomstig uit illegale activiteiten, maar is het waarschijnlijk dat geldstromen uit een legitieme bron afkomstig zijn7.
2.2
Achtergrond sanctiewetgeving
Van oorsprong zijn sanctierichtlijnen gericht tegen landen of regimes die de internationale rechtsorde schenden. Deze richtlijnen waren er vaak op gericht om de economie van het betreffende land te ontwrichten in de hoop dat de bevolking van het land in opstand zou komen tegen het regime. De internationalisering van de wereldhandel maakt het in toenemende mate lastig om landen effectief buiten te sluiten. De tendens is om ‘slimme’ regels in te voeren om overtreders direct te raken. Het betreft hier maatregelen die niet uitsluitend gericht zijn tegen landen en regimes, maar zich richten op specifieke personen of organisaties. De financiële sector speelt hierin een grote rol, omdat veel van de maatregelen uit de sanctiewetgeving betrekking hebben op het bevriezen van financiële tegoeden en tegenhouden van financiële transacties8. Sanctiewetgeving heeft het meeste effect op het moment dat deze op globaal niveau gecoördineerd en bekrachtigd wordt. De internationale gemeenschap heeft dit onderkend, zoals blijkt uit de sanctierichtlijnen die door de Verenigde Naties (hierna: UN) zijn opgesteld. De UN-sanctierichtlijnen vormen de kern van belangrijke internationale santwetgeving, zoals de OFAC-richtlijnen uit de Verenigde Staten van Amerika (hierna: VS) en EU-sanctierichtlijnen die van kracht zijn voor de landen die verenigd zijn in de Europese Unie (hierna: EU). De Nederlandse sanctierichtlijnen zijn een implementatie van de EU-sanctierichtlijnen al zullen wij later toelichten dat het mogelijk is dat de Nederlandse wetgeving op bepaalde onderdelen afwijkt van Europese richtlijnen. In het vervolg van dit hoofdstuk wordt ingegaan op de diverse sanctiewetten.
2.3
UN-sanctiewetgeving
In hoofdstuk 7 van het VN-handvest wordt vermeld dat de veiligheidsraad verantwoordelijk is voor de handhaving van internationale vrede en veiligheid9. Hierbij is vastgelegd dat de veiligheidsraad via militaire en niet-militaire maatregelen over kan gaan tot handhaving van de internationale vrede en veiligheid. Reeds voor de aanslagen op de VS in 2001 heeft de internationale gemeenschap onderkend dat terrorisme een wereldwijd probleem is dat een potentieel gevaar vormt voor de mondiale vrede en veiligheid. De veiligheidsraad heeft daartoe een aantal resoluties aangenomen, waarvan de belangrijkste
6
AML; Anti-money laundring richtlijnen FATF GAFI, Juni 2007, p.8 8 Banking Review, april 2007, p. 43 9 http://www.un.org/sc/committees/ 7
7
Risico’s en IT-maatregelen bij sanctiewetgeving drie in dit kader besproken zullen worden10. UN-sanctiewetgeving is van toepassing op alle naties die UNresoluties ondertekend hebben, waaronder Nederland. In 1999 is resolutie 1267 aangenomen. Deze resolutie is gericht tegen Al-Qaida en de Taliban, alsmede gerelateerde individuen en entiteiten. De resolutie wordt ten uitvoer gebracht door een sanctielijst met ongeveer 500 namen van personen en entiteiten die aan de genoemde organisaties gelieerd zijn. Voor de personen op deze lijst gelden sanctiemaatregelen die voorschrijven dat bezittingen van deze personen bevroren dienen te worden (‘assets freeze’), dat deze personen niet mogen reizen (‘travel ban’) en dat het strafbaar gesteld moet worden om deze personen van wapens te voorzien (‘arms embargo’). Het gaat om een set van preventieve maatregelen. De UN heeft uitsluitend maatregelen uitgevaardigd, zonder daarbij specifieke richtlijnen uit te vaardigen ten aanzien van de aanpak en implementatie. Dit wordt overgelaten aan nationale- en internationale overheden. Het 1267 Sanction Committee (hierna:UNSC) van de UN ziet toe op naleving van de resolutie. Na de terroristische aanslagen op de VS van 11 september 2001, heeft de Veiligheidsraad resolutie 1373 aangenomen. Deze resolutie dwingt af dat soevereine staten wetten en richtlijnen aannemen en samenwerken in de strijd tegen het terrorisme. Voorbeelden hiervan zijn juridische, institutionele en praktische maatregelen zoals het aannemen van wetgeving gericht op het tegengaan van terrorisme en wetgeving om de financiering van terrorisme tegen te gaan. Tevens is een Counter Terrorism Committee (hierna: CTC) ingesteld. Het CTC is een orgaan dat aan de Veiligheidsraad gelieerd is en dat toeziet op de implementatie van de verplichte wet- en regelgeving door individuele staten. Daarbij heeft het CTC mandaat om met soevereine staten in debat te gaan en te ondersteunen bij de implementatie van richtlijnen. In 2004 is resolutie 1540 aangenomen waarmee staten verplicht worden om nationale maatregelen in te stellen om te voorkomen dat niet-staten toegang verkrijgen tot massavernietigingswapens.
2.4
EU-sanctiewetgeving
In artikel 11 van het ‘Verdrag betreffende de Europese Unie’ wordt de bestrijding van het internationale terrorisme als één van de doelstellingen van het gemeenschappelijke buitenland- en veiligheidsbeleid van de Europese Unie beschouwd11. De EU neemt in principe de UN-resoluties 1267 en 1373 over en ziet toe op de implementatie ervan door de individuele lidstaten. Daarnaast laat de EU normen en waarden, bijvoorbeeld ten aanzien van mensenrechten en democratie, tot uiting komen in sanctiewetgeving zonder dat hieraan een UN-resolutie ten grondslag hoeft te liggen. De sanctiewetgeving die gericht is tegen de financiering van terrorisme is vervat in Gemeenschappelijke Standpunten 1999/727/GBVB (Verordening 337/2000, UN resolutie 1267), 2001/931/GBVB (Verordening 2580/2001, UN resolutie 1373) en 2002/931/GBVB (Verordening 881/2002, UN resolutie 1390). De EU-sanctierichtlijnen bestaan uit een gebod tot het bevriezen van tegoeden van bepaalde personen en entiteiten waaronder vermeende terroristen en terreurorganisaties. Het bevriezen van tegoeden bestaat uit (1) het bevriezen van fondsen en economische tegoeden en (2) het tegengaan van de beschikbaarstelling van fondsen en tegoeden12. De EU-richtlijnen voorzien niet in het confisceren van economische tegoeden. De personen voor wie de genoemde maatregelen van kracht zijn, staan op de electronic Combined Targeted Financial Sanction List (hierna: e-CTFSL). Daarnaast bestaat een verbod op het verlenen van financiële diensten aan bepaalde personen en entiteiten. Deze personen en entiteiten hoeven niet noodzakelijkerwijs op de e-CTFSL te staan, maar kunnen daarnaast zijn opgenomen in Europese Verordeningen. De Autoriteit Financiële Markten (hierna: AFM) en De Nederlandse Bank (hierna: DNB)
10
Comparative Table regarding the United Nations Security Counsil Committees http://www.grondweteuropa.nl/9326000/1f/j9vvghpme8dg6oj/vh25de3z1qxm 12 11670/07, p.11 11
8
Risico’s en IT-maatregelen bij sanctiewetgeving informeren financiële instellingen regelmatig door middel van de 'Circulaire sanctieregelgeving en terrorisme' over aanpassingen en toevoegingen aan sanctielijsten.13. In het document 11670/07 van de EU worden best practises voor een effectieve implementatie van restrictieve sanctiemaatregelen beschreven14. Deze maatregelen zijn in lijn met de Financial Action Task Force (hierna: FATF) standaard ‘Special Recommendation 3 Terrorist Financing’15. Voorgesteld wordt om een risicogeoriënteerde aanpak te hanteren, teneinde de zwaarte van de te nemen maatregelen af te stemmen op het risicoprofiel van de betreffende klanten, producten, transacties en geografische gebieden. Het toezicht op de toepassing en naleving van EU-sanctiewetgeving is belegd bij nationale toezichthoudende instanties.
2.5
Nederlandse sanctiewetgeving
De Nederlandse wetgever volgt de Europese sanctiewetgeving en draagt zorg voor de vertaling in nationale wetgeving. Hierbij zijn de wet ter voorkoming van witwassen en financieren van terrorisme (hierna: Wwft) en de Sanctiewet 1977 van specifiek belang. Deze wetten zetten wij nader uiteen.
2.5.1 Wwft FATF heeft aanbevelingen en richtlijnen opgesteld die als basis hebben gediend voor de Wwft en UNrichtlijnen16. Wwft is van toepassing op financiële instellingen, maar bijvoorbeeld ook op advocaten, accountants en notarissen. Belangrijke maatregelen die voortkomen uit de Wwft bestaan uit het uitvoeren van een cliëntenonderzoek en de verplichting tot het melden van ongebruikelijke transacties. De Wwft voorziet in een risicogeoriënteerde aanpak, waardoor financiële instellingen de zwaarte van de te nemen maatregelen kunnen afstemmen op het risicoprofiel ten aanzien van klanten, diensten, transacties en gebieden. Harde richtlijnen ten aanzien van de uitvoering zijn door de wetgever achterwege gelaten. Toezicht op naleving van verplichtingen voortkomende uit de Wwft wordt uitgevoerd door de AFM en de DNB. Beide toezichthoudende instanties zijn daarnaast belast met het toezicht op en het bevorderen van een integere bedrijfsvoering van financiële instellingen.
2.5.2 Sanctiewet 1977 De Sanctiewet 1977 is gefundeerd op internationale sanctiemaatregelen. De wet schrijft voor welke maatregelen genomen dienen te worden, alsmede tegen welke landen, personen en entiteiten de te nemen sanctiemaatregelen zijn gericht17. Op basis van deze wet is het strafbaar gesteld om sanctiemaatregelen te overtreden. De Sanctiewet 1977 is van toepassing op in Nederland gevestigde financiële instellingen. Maatregelen bestaan uit een gebod op het bevriezen van tegoeden, alsmede een verbod op het verlenen van financiële diensten aan bepaalde entiteiten en personen. In principe worden hierbij UN-, en EUrichtlijnen gevolgd. De Nederlandse wetgever kan echter zelfstandige personen en entiteiten aan de sanctielijsten toevoegen die uitsluitend in Nederland van kracht zijn. Een voorbeeld hiervan is de Sanctieregeling terrorisme 2007. De wetgever heeft geen harde eisen gesteld aan de manier waarop financiële instellingen de regelgeving uit de Sanctiewet 1977 ten uitvoering brengen. De wet kent daarmee een principle-based karakter. DNB en AFM zijn belast met het toezicht op de uitvoering van de Sanctiewet 1977. Daarbij hebben zij de bevoegdheden om algemene maatregelen van bestuur op te leggen om daarbij eisen te stellen aan de bedrijfsvoering van financiële instellingen.
13
http://www.afm.nl/marktpartijen/default.ashx?olderId=1216 11679/07 EN 15 FATF is een internationaal samenwerkingsverband tussen 32 staten dat een leidende rol speelt bij de totstandkoming van internationaal beleid ter voorkoming van witwassen en de financiering van terrorisme. 16 http://www.afm.nl/marktpartijen/Default.ashx?FolderID=1216 17 http://www.dnb.nl/openboek/extern/id/nl/all/40-160353.html 14
9
Risico’s en IT-maatregelen bij sanctiewetgeving
2.6
OFAC-sanctiewetgeving
De Amerikaanse staatssecretaris van Treasury heeft aan OFAC de verantwoordelijkheid gedelegeerd voor het afkondigen, ontwikkelen en de wettelijke uitvoering van wetten die economische sancties afdwingen tegen vijandelijke doelen en mede gericht op het uitvoeren van het Amerikaanse buitenlands beleid en Amerikaanse veiligheidsdoelen18. Met het afdwingen van de OFAC-richtlijnen, wil de Amerikaanse overheid verhinderen dat terroristische activiteiten gefinancierd worden met Amerikaanse valuta. Voor de uitvoering van de richtlijnen, is OFAC afhankelijk van de medewerking van zowel Amerikaanse- als niet Amerikaanse financiële instellingen. De sancties die OFAC oplegt zijn deels gebaseerd op de sancties van de UN en andere internationale mandaten. Deze sancties vereisen een nauwe samenwerking met de regeringen van buitenlandse staten. Een ander deel van de sancties dienen specifieke belangen van de Amerikaanse overheid19. De te onderscheiden programma’s kennen een verschillende reikwijdte en doelstellingen20. OFAC maakt onderscheid in OFAC Country Sanctions Programs, OFAC List-based Sanction Programs en Specially Designated Persons (zie Bijlage A). Het eerste sanctieprogramma is gericht op specifieke landen (‘Country Sanctions Programs’). OFAC Country sanctiewetgeving is gebaseerd op individuele wetgeving. Het tweede sanctieprogramma is gericht op specifieke individuen of entiteiten (‘List Based Sanctions Programs’). Het derde sanctieprogramma bestaat uit een lijst met de zogeheten ‘Specially Designated Nationals and Blocked Persons’. Deze lijst bestaat uit meer dan 3500 organisaties en individuen die in verband gebracht worden met sanctiedoelen die over de gehele wereld gelokaliseerd kunnen worden. OFAC-maatregelen bestaan uit (1) het bevriezen van accounts en eigendommen van specifieke landen, entiteiten en individuen, evenals (2) het verbieden en het tegengaan (niet uitvoeren) van verboden handels- en financiële transacties met specifieke landen, entiteiten en individuen. Hiertoe dienen nieuwe en bestaande klanten beoordeeld te worden tegen de meest recente OFAC-sanctielijsten. Daarnaast dienen transacties gemonitored te worden tegen de OFAC-sanctielijsten. Onder bepaalde sanctieprogramma’s dienen banken transacties te bevriezen die worden uitgevoerd namens of door een geblokkeerde individu of entiteit of die een verband hebben met een transactie van een geblokkeerde individu of entiteit. Andere sanctieprogramma’s bestaan uit het niet uitvoeren van transacties. OFAC stemt ermee in dat een risicogeoriënteerde aanpak wordt gebruikt bij de implementatie van de OFACrichtlijnen21. Op haar website worden concrete aandachtsgebieden genoemd die financiële instellingen kunnen gebruiken bij het opstellen en reviewen van OFAC-procedures. Toezicht op de naleving van OFAC-richtlijnen is belegd bij het orgaan OFAC en ‘functionele toezichtorganen’. In Nederland ziet DNB toe op de naleving van OFAC-richtlijnen. OFAC beschikt daarnaast over de autoriteit om licenties toe te kennen waarmee transacties toegestaan worden die volgens OFAC-richtlijnen verboden zijn (‘exemptions’)22. Het toekennen van licenties wordt per geval beoordeeld. Indien een klant van een bank over een licentie beschikt, dient de bank de licentie te verifiëren en een kopie hiervan op te nemen bij de motivatie om de transactie uit te voeren. Daarnaast bezit OFAC over de autoriteit om algemene licenties toe te kennen om categorieën van transacties te autoriseren. Volgens diverse Amerikaanse wetten is OFAC geautoriseerd om organisaties en personen die richtlijnen overtreden, strafrechterlijk vervolgen. Dit is in het verleden diverse malen voorgekomen23. 18
OFAC is een afkorting voor ‘The Office Of Foreign Assets Control’ (Foreign Assets Control Regulations for the Financial Community, 2007), een overheidsorgaan dat onderdeel uitmaakt van het Amerikaanse Department of Treasury. OFAC is niet een zogeheten ‘bank credit union Financial Institutions regulator’, maar werkt samen met overheidsorganen om compliance af te dwingen (ACAMS TODAY, March / April 2008, p. 43). 19 FFIEC- manual, p. 137 20 ACAMS TODAY, March / April 2008, p. 43 21 http://www.treas.gov/offices/enforcement/ofac/faq/matrix.pdf 22 FFIEC-manual, 2007, p. 139 23 ACAMS TODAY, March / April 2008, p. 43
10
Risico’s en IT-maatregelen bij sanctiewetgeving
2.7
Overeenkomsten en verschillen tussen onderzochte sanctiewetgeving
In de onderstaande tabel hebben wij de belangrijkste overeenkomsten en verschillen tussen de beschouwde sanctiewetten opgenomen. OFAC-sanctiewetgeving Fundament
Gebaseerd op internationale verdragen, UNverdragen en specifieke Amerikaanse programma’s.
Doel
Tegengaan financiering van terrorisme, drugshandel, handel in massavernietigingswapens en enkele specifieke programma’s.
Gericht tegen
Landen, personen, organisaties. Risicogeoriënteerd. Alle staatsburgers van de VS, ongeacht de locatie waar zij werkzaam zijn. Alle banken uit de VS, bank holdings en nietbank subsidiaries, buitenlandse vestigingen van non-VS financiële instellingen, alle bedrijven die hun hoofdkantoor hebben in de VS en hun buitenlandse vestigingen. Klanten en transacties monitoren en blokkeren, tegoeden bevriezen, relatie beëindigen, rapportage van incidenten.
Aanpak Doelgroep
Maatregelen
Controle door
SEC, DNB (Nederland).
UNsanctiewetgeving Gebaseerd op internationale overeenkomsten en UN- handvesten.
EUsanctiewetgeving Gebaseerd op UNverdragen en het ondersteunen van Europese normen en waarden.
Tegengaan financiering van terrorisme, drugshandel, handel in massavernietigingswapens en enkele specifieke programma’s. Landen, personen, organisaties. Risicogeoriënteerd. Alle landen die sanctiewetgeving resoluties ondertekend hebben.
Tegengaan financiering van terrorisme, drugshandel, handel in massavernietigingswapens en enkele specifieke programma’s. Landen, personen, Organisaties. Risicogeoriënteerd. Personen en entiteiten die wonen en gevestigd zijn in de EU.
Klanten en transacties monitoren en blokkeren, tegoeden bevriezen, relatie beëindigen, rapportage van incidenten. UNSC, CTC.
Klanten en transacties monitoren en blokkeren, tegoeden bevriezen, relatie beëindigen, rapportage van incidenten. Nationale toezichthouders.
Nederlandse sanctiewetgeving Gebaseerd op UNverdragen, EUverordeningen en zelfstandige besluiten die van kracht zijn in Nederland. Tegengaan financiering van terrorisme, drugshandel, handel in massavernietigingswapens en enkele specifieke programma’s. Landen, personen, organisaties. Risicogeoriënteerd. Nederlandse financiële instellingen, vestigingen van buitenlandse banken in Nederland, specifieke beroepsgroepen als accountants, notarissen en advocaten. Klanten en transacties monitoren en blokkeren, tegoeden bevriezen, relatie beëindigen, rapportage van incidenten. AFM, DNB.
Tabel 1. Overzicht van belangrijkste overeenkomsten en verschillen tussen sanctiewetten.
11
Risico’s en IT-maatregelen bij sanctiewetgeving
2.8
Problemen bij de uitvoering van sanctiewetgeving
Diverse instanties wijzen op de problemen die banken ondervinden bij de uitvoering van sanctiewetgeving. Zo wijst de Nederlandse Vereniging van Banken (hierna: NVB) in haar jaarverslag 2007 erop dat de wetgeving voor sanctiewetgeving niet eenduidig is24. Een voorbeeld hiervan is dat artikel 52a van de Algemene Wet inzake Rijksbelastingen (AWR) harde eisen voorstelt, terwijl de Wwft een risicogeoriënteerde aanpak hanteert25. Daarnaast wordt gewezen op het feit dat banken geen toegang hebben tot gemeentelijke bevolkingsadministraties om identificatie van potentiële klanten te vereenvoudigen. De NVB is van mening dat dit probleem wordt verergerd door de waarneming dat gegevens op de sanctielijst niet altijd compleet zijn hetgeen het identificeren bemoeilijkt. De Wolfsberg Group merkt op dat banken moeilijkheden ondervinden bij de uitvoering van sanctiewetgeving, omdat de betalingsketen van leveranciers en banken gefragmenteerd is en uit meerdere partijen bestaat26. Karakteristiek hierbij is dat geen enkele partij in staat is om de gehele keten te overzien. Daarnaast zou niet altijd genoeg tijd bestaan om een gerichte beoordeling van betalingen of relaties uit te voeren. Ten slotte zouden niet alle werkzaamheden ten aanzien van sanctiewetgeving te automatiseren zijn, waardoor de kennis en kunde van de betrokken individuele bankmedewerkers van groot belang is27.
2.9
Samenvattende beschouwing van sanctiewetgeving
In dit hoofdstuk hebben wij de meest relevante mondiale, internationale en nationale sanctiewetgeving beschouwd. Alle in Nederland gevestigde banken dienen in beginsel aan deze sanctiewetgeving te voldoen. De mate waarin de individuele sanctiewetgeving van belang is, hangt mede af van strategische en beleidsmatige keuzes die individuele banken nemen. Als voorbeeld hiervan noemen wij de overweging om OFAC-risico’s te vermijden. Banken die bewust niet handelen in dollars en die zich daarnaast uitsluitend richten op lokale klanten, zullen minder kans op overtreding van OFAC-sanctiewetgeving hebben. Zij zullen daardoor minder stringente maatregelen treffen voor OFAC-sanctiewetgeving. Dit staat in contrast met banken met een internationale klantenkring die regelmatig dollartransacties verwerken. Deze banken zullen aanzienlijk meer risico’s lopen ten aanzien van OFAC-sanctiewetgeving
24
Jaarverslag Nederlandse Vereniging van Banken 2007, p.14 Position paper: Banken en burgerservicenummer, 01-09-2005 26 The Wolfsberg Trade Finance Principles, p.16 27 The Wolfsberg Trade Finance Principles, p.25 25
12
Risico’s en IT-maatregelen bij sanctiewetgeving
3
Risico’s en IT-maatregelen vanuit IT-audit perspectief
In het voorgaande hoofdstuk hebben wij een beschouwing gemaakt van de sanctiewetgeving die het meest relevant is voor in Nederland gevestigde banken. Daarbij hebben wij vastgesteld dat het klantenbestand gefilterd en gemonitored dient te worden, dat transacties beoordeeld dienen te worden en dat in voorkomende gevallen tegoeden bevroren dienen te worden. In dit hoofdstuk stellen wij een ITauditraamwerk op met hoofdrisico, subrisico’s, bedreigingen en concrete IT-maatregelen. Daarbij hanteren wij de volgende deelvraag: Welke risico’s en IT-maatregelen verwachten wij vanuit IT-auditperspectief aan te treffen bij de implementatie van sanctiewetgeving? (hoofdstuk 3) De beoordeling van deze onderzoeksvraag is van belang omdat wij hiermee een referentiekader scheppen waarmee wij de volledigheid van de risico’s en maatregelen uit de literatuur en de praktijk kunnen beoordelen. Deze beoordeling zal beschreven worden in hoofdstuk 6. In paragraaf 3.1 beschrijven wij de aanpak van de beoordeling van risico’s en maatregelen die wij vanuit IT-audit perspectief hebben opgesteld. In paragraaf 3.2 stellen wij een risicoanalyse voor sanctiewetgeving op vanuit IT-audit perspectief. Op basis van de onderkende risico’s inventariseren wij in paragraaf 3.3 welke IT-maatregelen getroffen kunnen worden.
3.1
Aanpak van het onderzoek naar risico’s en IT-maatregelen vanuit ITaudit perspectief
Om de tweede deelvraag te beantwoorden, hebben wij processen, gegevensgroepen en systemen onderzocht die belangrijke objecten van onderzoek zijn. Aansluitend daarop hebben wij kwaliteitscriteria onderzocht die in het kader van sanctiewetgeving het meest relevant zijn. Op basis hiervan hebben wij een risicoanalyse uitgevoerd die in paragraaf 3.2 van dit hoofdstuk gedocumenteerd is. In aansluiting daarop hebben wij onderzocht welke normen, richtlijnen en best practices bruikbaar zijn bij de formulering van concrete maatregelen, zoals die zijn opgenomen in paragraaf 3.3.
3.2
Risicoanalyse bij sanctiewetgeving
In hoofdstuk 2 hebben wij onderkend dat de belangrijke processen voor sanctiewetgeving bestaan uit het filteren en het monitoren van klant- en transactiegegevens tegen sanctielijsten. Aan deze processen hebben wij drie belangrijke gegevensgroepen toegewezen: klantgegevens, sanctie- en uitzonderingslijsten en transactiegegevens. Klantgegevens zijn alle relevante gegevens van nieuwe en bestaande klanten die banken vast dienen te leggen om klanten te identificeren en transacties te kunnen uitvoeren. Sanctielijsten zijn overzichten van personen, entiteiten en landen die vanuit enige sanctiewetgeving of interne bankrichtlijnen als verdacht zijn aangemerkt. Uitzonderingslijsten zijn lijsten met uitzonderingen en uitzonderingsregels op sanctielijsten. Het gaat hier vaak om overzichten van personen en entiteiten die gebruikt worden om grote hoeveelheden ‘false positives’ te voorkomen. Transactiegegevens zien wij ten slotte als gegevens over uit te voeren transacties tussen twee personen en entiteiten. Transacties worden vaak in een specifiek bestandsformaat vastgelegd met een vaste indeling van gegevens28. Deze gegevensgroepen zijn belangrijke objecten van onderzoek. Wij stellen vast dat banken intensief gebruik maken van informatietechnologie (hierna: IT) bij de registratie van klanten en het uitvoeren van transacties. Wij zijn van mening dat dit niet verrassend is gezien de grote hoeveelheden gegevens die verwerkt worden. Ook bij het monitoren van het klantenbestand en transacties maken banken intensief gebruik van IT. Een andere belangrijke groep van onderzoekobjecten wordt daarom gevormd door de bank- en monitoringsystemen die gebruikt worden voor de acceptatie en monitoring van klanten, alsmede het filteren en monitoren van transacties.
28
Een bekend voorbeeld is het SWIFT-formaat dat gebruikt wordt in het internationale betalingsverkeer.
13
Risico’s en IT-maatregelen bij sanctiewetgeving Belangrijke kwaliteitscriteria binnen het vakgebied IT-auditing zijn beschikbaarheid, integriteit (onder te verdelen in de deelaspecten juistheid, volledigheid en tijdigheid) en vertrouwelijkheid29. Beschikbaarheid is in het kader van dit onderzoek van belang gezien het feit dat wettelijk is bepaald dat banken in principe alle transacties zonder onderbreking dienen te monitoren. Bovendien moeten banken in staat zijn om monitoring- en filteringresultaten achteraf te reproduceren met behulp van historische transacties en sanctielijsten. Integriteit is van belang gezien het feit dat transactie- en klantgegevens juist en volledig dienen te zijn om betrouwbare resultaten op te leveren. Het deelaspect tijdigheid is van belang omdat transacties en klanten tijdig gemonitored dienen te worden. Daarnaast dienen wijzigingen aan sanctielijsten tijdig doorgevoerd te worden, omdat rapportages van mogelijke hits binnen een gestelde tijdslimiet aan toezichthoudende instanties gerapporteerd dienen te worden. Vertrouwelijkheid is van belang omdat ongeautoriseerde personen niet over de mogelijkheid mogen beschikken om klant- en transactiegegevens en filter- en monitoringresultaten in te zien of te wijzigen. Bij het uitvoeren van de risicoanalyse hebben wij onderkend dat de volgende risico’s ten aanzien van sanctiewetgeving evident zijn: het aannemen en het beheren van klanten die op sanctielijsten zijn geplaatst, alsmede het uitvoeren van transacties van personen en entiteiten die op sanctielijsten zijn geplaatst. Dit niveau van risicobeschrijving is in het kader van dit onderzoek niet bruikbaar, omdat deze weinig concrete aanknopingspunten met risico’s voor het gebruik van informatietechnologie kent. In het kader van dit onderzoek hebben wij de onderkende hoofdrisico’s daarom verder onderverdeeld in subrisico’s en concrete bedreigen. Dit heeft geleid tot de onderstaande tabel met hoofdrisico’s en subrisico’s. Bedreiging zijn uitgewerkt in bijlage D. Proces A. Know Your Customer. Hoofdrisico: Het accepteren en beheren van klanten die gelieerd zijn aan personen, organisaties of landen opgenomen in sanctielijsten.
B. Gebruik en beheer van sanctielijsten, uitzonderingslijsten en monitoringprogrammatuur. Hoofdrisico: Het gebruik van onjuiste of onvolledige sanctielijsten of uitzonderingslijsten.
C. Filteren en monitoren van transactiegegevens. Hoofdrisico: Het uitvoeren van transacties van personen of entiteiten die in sanctielijsten zijn opgenomen of waarvan tegoeden bevroren dienen
29
Risico Subrisico: Ongeautoriseerde personen hebben toegang tot systemen waardoor zij klanten kunnen accepteren of beheershandelingen kunnen uitvoeren waarvoor zij niet bevoegd zijn. Subrisico: Het uitvoeren van ongeautoriseerde wijzigingen bij het accepteren en beheren van klanten in het bestand. Subrisico: Sanctiewetgeving is op onjuiste of onvolledige wijze vertaald naar maatregelen en procedures ten aanzien van het accepteren en beheren van klanten. Subrisico: Klantgegevens zijn niet beschikbaar. Subrisico: Ongeautoriseerde personen hebben toegang tot sanctie- en uitzonderingslijsten waardoor zij wijzigingen kunnen aanbrengen. Subrisico: Het uitvoeren van ongeautoriseerde wijzigingen aan sanctie- en uitzonderingslijsten, alsmede monitoringen filteringsystemen. Subrisico: Sanctiewetgeving is op onjuiste of onvolledige wijze vertaald naar sanctie- en uitzonderingslijsten. Subrisico: Sanctie- en uitzonderingslijsten zijn niet beschikbaar. Subrisico: Ongeautoriseerde personen hebben toegang tot transactiegegevens en transactiemonitoringsystemen. Subrisico: Het uitvoeren van ongeautoriseerde transacties en ongeautoriseerde wijzigingen aan transactiegegevens en transactiemonitoringsystemen. Subrisico: Sanctiewetgeving is op onjuiste of onvolledige wijze vertaald naar maatregelen en procedures ten aanzien van het filteren en monitoren van transacties.
Kwaliteitscriteria Vertrouwelijkheid Integriteit
Integriteit Integriteit
Beschikbaarheid Vertrouwelijkheid Integriteit Integriteit
Integriteit Beschikbaarheid Vertrouwelijkheid Integriteit Integriteit
Integriteit
Grondslagen it-auditing, p. 37
14
Risico’s en IT-maatregelen bij sanctiewetgeving te worden.
Subrisico: Transactiegegevens kunnen niet gefilterd en Beschikbaarheid gemonitored worden doordat gegevens of monitoringsystemen niet beschikbaar zijn.
Tabel 2. Overzicht van processen, doelstellingen, hoofdrisico’s en subrisico’s en bij sanctiewetgeving.
3.3
IT-maatregelen bij sanctiewetgeving
Om risico’s ten aanzien van sanctiewetgeving te beheersen, dienen organisaties beheersingsmaatregelen te nemen. Het resultaat zou een beheersbare organisatie moeten zijn met een adequate informatievoorziening30. Het COSO-rapport hanteert bij het definiëren van het begrip ‘beheersingsmaatregelen’ een onderverdeling naar plaats. Daarnaast kan een onderverdeling gemaakt worden naar aard. Van Praat en Suerink onderscheiden daarbij technische, organisatorische en procedurele beheersingsmaatregelen31. Een andere mogelijke onderverdeling van maatregelen is een onderverdeling naar preventieve, repressieve of correctieve maatregelen. Preventieve maatregelen zijn gericht op het voorkomen van het verworden van risico’s tot ongewenste incidenten. Repressieve maatregelen zijn erop gericht om tijdig incidenten te onderkennen zodat deze onderdrukt kunnen worden voordat zij tot schade leiden. Correctieve maatregelen bestaan uit het verminderen van schade die ontstaan is. In bijlage D hebben wij per bedreiging één of meerdere preventieve, repressieve of correctieve IT-maatregelen toegekend. Daarbij hebben wij ons gebaseerd op de Code voor Informatiebeveiliging (o.a. logische toegangsbeveiliging, wijzigingsbeheer en continuïteit). In dit onderzoek richten wij ons uitsluitend op de beschouwing van IT-maatregelen. IT-maatregelen worden in dit kader gedefinieerd als maatregelen in applicaties en procedures in de IT-organisatie gericht op het detecteren, voorkomen en manifest worden van risico’s bij sanctiewetgeving. Een binnen de IT-auditing algemeen aanvaarde onderverdeling van maatregelen maakt onderscheid tussen IT General controls (hierna: ITGC) en application controls. ITGC zijn algemene beheersmaatregelen rond de toepassing van IT32. ITGC vormen belangrijke maatregelen om de in paragraaf 3.2 onderkende risico’s te beheersen. In het kader van ons onderzoek is het belangrijk dat minimaal de ITGC wijzigingsbeheer, logische toegangsbeveiliging en back-up en recovery van aanvaardbaar niveau zijn. Hiermee dient minimaal gegarandeerd te worden dat: Uitsluitend geautoriseerde wijzigingen aan klant- en transactiegegevens, sanctie- en uitzonderingslijsten, alsmede IT-systemen uitgevoerd worden (bedreigingen A.2.3, B.2.1 en C.2.3); Uitsluitend geautoriseerde personen toegang tot klant- en transactiegegevens, sanctie- en uitzonderingslijsten, alsmede IT-systemen hebben (bedreigingen A.1.1, B.1.1 en C.1.1) ; Klant- en transactiegegevens, sanctie- en uitzonderingslijsten, alsmede IT-systemen beschikbaar zijn (bedreiging A.4.1, B.4.1 en C.4.1). Het onderscheid tussen IT-maatregelen en niet-geautomatiseerde maatregelen is niet altijd scherp en bovendien bestaan onderlinge relaties (zie figuur 2). Zo wordt dikwijls gebruik gemaakt van lijstwerk (rapportages) uit systemen die handmatig opgevolgd worden, maar waarvan de betrouwbaarheid af hangt van effectieve ITGC. Deze maatregelen bevatten zowel een handmatige, als een IT-component. In het kader van dit onderzoek zullen wij in dergelijke gevallen uitsluitend de IT-component beschouwen. Een belangrijk voorbeeld hiervan is de betrouwbaarheid van rapportages over aantallen verwerkte transacties, ‘hits’ en ‘false positives’ (bedreiging C.2.5, bijlage D). In bijlage D hebben wij een compleet overzicht opgenomen van beheersmaatregelen.
30
Inleiding EDP-Auditing, p.39 Inleiding EDP-Auditing, p. 40 32 Grondslagen IT-auditing, p. 85 31
15
Risico’s en IT-maatregelen bij sanctiewetgeving
User Organization
IT Organization
Segregation of of Duties
General General Controls
User User Controls
Application Controls
Figuur 2. Onderlinge afhankelijkheid ITGC, Application Controls, Seggregation of duties en user controls.
Ter afsluiting van dit hoofdstuk merken wij op dat wij relatief veel preventieve maatregelen en relatief weinig repressieve en correctieve maatregelen onderkend hebben. Wij kunnen dit verklaren gezien het feit dat éénmaal uitgevoerde transacties niet terug te draaien zijn en het uitvoeren van correcties daarom niet mogelijk is. Omdat het begrip ‘materialiteit’ minder van belang is bij sanctiewetgeving, zal iedere overtreding direct gevolgen hebben. Het is daarom logisch preventieve maatregelen te effectueren voordat overtredingen worden begaan.
16
Risico’s en IT-maatregelen bij sanctiewetgeving
4
Sanctiewetgeving: Risico’s en IT-maatregelen volgens literatuur
In hoofdstuk 2 hebben wij de voor in Nederland gevestigde banken meest relevante anti-terrorisme sanctiewetgeving beschreven. Wij merken op dat de diverse wetgeving onderling afwijkt wat betreft reikwijdte, toezicht en doelgroep. De doelstellingen en voorgestelde aanpak zijn echter identiek: het tegengaan van de financiering van terrorisme door het monitoren van het klantenbestand en transacties op basis van een risicogeoriënteerde aanpak. In hoofdstuk 4 beschouwen wij de in de literatuur onderkende risico’s die banken lopen ten opzichte van deze doelstelling, alsmede een nadere beschouwing van de in de literatuur onderkende IT-maatregelen. Daarmee willen wij een antwoord formuleren op deelvraag 3 van ons onderzoek: Welke risico’s ten aanzien van sanctiewetgeving zijn in de literatuur bekend en welke IT-maatregelen worden in de literatuur voorgesteld? Met de beantwoording van deze vraag willen wij onderzoeken in welke mate risico’s en IT-maatregelen beschreven zijn in de literatuur en in welke mate deze bruikbaar zijn voor een IT-auditor. In paragraaf 4.1 beschrijven wij op welke wijze wij het literatuuronderzoek hebben aangepakt. In paragraaf 4.2 hebben wij de belangrijkste risico’s ten aanzien van sanctiewetgeving beschreven. In paragraaf 4.3 stellen wij een overzicht op van IT-maatregelen die in de literatuur beschreven worden.
4.1
Aanpak van het literatuuronderzoek
In ons vooronderzoek hebben wij kennisdomeinen onderkend die relevant zijn voor de beantwoording van deelvraag drie. Per kennisdomein hebben wij vervolgens relevante literatuur verzameld op basis van vraaggesprekken met materiedeskundigen, een inventarisatie van bronnen op Internet en door bronvermeldingen van reeds verzamelde literatuur te raadplegen. Aansluitend daarop hebben wij de verzamelde literatuur gescand op bruikbaarheid (relevantie en deugdelijkheid). Indien de literatuur bruikbaar bleek te zijn, hebben wij de essentie daarvan gebruikt. Indien dit niet het geval bleek te zijn, hebben wij aanvullende literatuur gezocht.
4.2
Risico’s ten aanzien van sanctiewetgeving volgens de literatuur
Risico’s worden in dit verband gedefinieerd als kansen op het optreden van ongewenste gebeurtenissen met enige impact ten aanzien van sanctiewetgeving33. Het FFIEC-manual34 vermeldt een risicomatrix die door toezichthouders gebruikt kan worden bij het analyseren van de mate waarin een bank is blootgesteld aan het risico dat sanctierichtlijnen overtreden worden. Deze matrix benoemt geen concrete risico’s, maar geeft wel een indicatie van aandachtspunten die voor toezichthoudende instanties van belang zijn. In dit kader worden zeven risicocategorieën onderscheiden. Aan een ieder van deze risicocategorieën wordt een classificatie toegekend, waarbij onderscheid gemaakt wordt in ‘Lage’, ‘Gemiddelde’ en ‘Hoge’ risico’s. De volgende risicocategorieën worden onderscheiden; 1. Customer base; 2. Amount of high risk customers; 3. Number of overseas branches; 4. Offering of electronic banking; 5. Amount of funds transfers; 6. Amount of intenational transactions; 7. History of OFAC actions.
33 34
Inleiding EDP-auditing, p. 39 FFIEC-manual, p. 145
17
Risico’s en IT-maatregelen bij sanctiewetgeving OFAC onderkent aanvullende risicofactoren die in overweging genomen dienen te worden35. Wederom worden risicocategorieën voorgesteld en geen concrete risico’s. Aan ieder van deze risicocategorieën wordt een classificatie toegekend, waarbij onderscheid gemaakt wordt in ‘Lage’, ‘Gemiddelde’ en ‘Hoge’ risico’s. De volgende aanvullende risicocategorieën worden onderscheiden; Level of risk assessment; Existence of an approved compliance program; Staffing levels; Designation of a qualified OFAC officer; Training; Employment of quality maatregelen; Compliance considerations; Policies for screening transactions; Ability to effectively identify violations; Checking of accounts on a periodical basis; Changes to systems; Independent testing; Problem management; Compliance problems. FATF hanteert een onderverdeling van risico’s in: customer types, products and services, accounts and transaction parties, locations or involved geographies36. Daarbij gaat dit orgaan niet concreet in op specifieke IT-risico’s, maar vermeldt slechts dat ‘een framework van adequate interne controlemaatregelen ingericht dient te worden voor risico’s ten aanzien van customer types, products and services, accounts and transaction parties, locations or involved geographies. De Wolfsberg Group maakt een onderverdeling in post-event risico indicatoren en pre-event risico indicatoren (The Wolfsberg Trade Finance Principles, p.20). Hierbij worden maatregelen gecategoriseerd in (1) due diligence, (2) reviewing, (3) screening en (4) monitoring. Specifieke IT-maatregelen zijn hierbij niet benoemd buiten het hanteren van een sanctielijst. Bakkers beschrijft in zijn artikel een risicogeoriënteerd AML-raamwerk dat dient ter ondersteuning van de implementatie van AML-wetgeving37. Hij beschouwt hierbij het tegengaan van de financiering van terrorisme als onderdeel van de AML-wetgeving. In het artikel worden enkele IT gerelateerde risico’s benoemd: Het eigenaarschap van het monitoring- en betalingssysteem is niet belegd; Toegangsrechten tot het monitoring- en betalingssysteem worden niet beheerst; Onduidelijkheid ten aanzien van het bepalen en het gebruik van de screeningcriteria; Wijzigingen aan het monitoring- en betalingssysteem worden niet op een aantoonbaar beheerste wijze uitgevoerd; Klantgroepen die gemonitored worden buiten de bestaande systemen om; Onduidelijkheid ten aanzien van de manier waarop ‘hits’ worden gecreëerd? Onduidelijkheid bij het escalatieproces voor uitstaande ‘hits’ en ‘alerts’; De ratio achter het sluiten van ‘alerts’ en ‘hits’ is onjuist en onvolledig gedocumenteerd. AML gerelateerde gegevens (klantdata, monitoringswerkzaamheden, rapportages aan het management) worden niet voor langere tijd bewaard. Het ontbreken van een contractuele overeenkomst met de partij waaraan het monitoren van transacties door een bank is uitgevoerd (bijvoorbeeld een SAS70-verklaring).
35
http://www.ustreas.gov/offices/enforcement/ofac/faq/matrix.pdf ACAMS TODAY, March / April 2008,p. 36 37 Tijdschrift voor compliance nr 4, juli / augustus 2007, p.104 36
18
Risico’s en IT-maatregelen bij sanctiewetgeving
4.3
Sanctiewetgeving IT-maatregelen volgens de literatuur
In het COSO-rapport38 wordt een model gepresenteerd waarbij het verband wordt gelegd tussen de beheersomgeving, het uitvoeren van een risicoanalyse, het nemen van beheersingsmaatregelen en het toezicht dat hierop dient te bestaan39. Reeds eerder hebben wij aangegeven dat wij ons bij deze scriptie beperken tot het beschouwen van sanctiewetgeving risico’s en IT-maatregelen bij van het aannemen en beheren van klanten, alsmede het uitvoeren van transacties. In het kader van dit onderzoek bestaat de beheersomgeving naar onze mening dan ook uit de genoemde bankprocessen. In de vorige paragraaf hebben wij vastgesteld dat de geraadpleegde literatuur risicocategorieën beschrijft zonder daarbij in te gaan op concrete IT-risico’s ten aanzien van sanctiewetgeving. In aanvulling daarop hebben wij vastgesteld dat de geraadpleegde literatuur over het algemeen maatregelen op een hoog niveau beschrijft. Deze maatregelen zijn voor een IT-auditor niet bruikbaar, omdat deze weinig concrete aanknopingspunten met IT kent. Daarbij stellen wij vast dat nagenoeg voorbij wordt gegaan aan specifieke IT-maatregelen. Dit vinden wij opmerkelijk, omdat banken intensief gebruik maken van IT bij de implementatie van sanctiewetgeving. Wij vinden het belangrijk dat minimaal concreet wordt ingegaan op de ITGC, meer specifiek wijzigingsbeheer, logische toegangsbeveiliging en back-up en recovery. Nu wordt volstaan met de vermelding dat ‘adequate controls’ ingericht dienen te zijn. Anderzijds vinden wij het gebrek aan de beschrijving van concrete IT-maatregelen in de literatuur begrijpelijk. Immers, de wetgever heeft een risicogeoriënteerde aanpak voor de implementatie van sanctiewetgeving voorgeschreven. Aangezien het risicoprofiel per bank verschilt, is het moeilijk om concrete IT-maatregelen voor te schrijven die universeel toepasbaar zijn zonder afbreuk te doen aan het risicogeoriënteerde karakter van de wetgeving. Naar onze mening is het echter mogelijk om aanvullende zekerheid te verkrijgen binnen het risicogeoriënteerde karakter van sanctiewetgeving. Het FFIEC-manual beschrijft dat ‘independent testing’ uitgevoerd dient te worden op basis van een risicoprofiel dat afhangt van producten, diensten, klanten en geografische locaties waar de bank actief is40. Gezien de grote afhankelijkheid van IT, ligt het voor de hand om ook interne IT-processen en systemen integraal mee te nemen bij de bepaling van het risicoprofiel van een bank.
38
Het COSO-rapport is beschrijft een uniform referentiekader voor interne controle en is bedoeld om het van een management van een organisatie te ondersteunen bij de verbetering van het interne controlesysteem 39 Inleiding EDP-Auditing, p.38 40 FFIEC-manual, p. 145
19
Risico’s en IT-maatregelen bij sanctiewetgeving
5
Sanctiewetgeving: Risico’s en IT-maatregelen in de praktijk
In dit hoofdstuk gaan wij in op de IT-maatregelen die wij door de uitvoering van een praktijkonderzoek binnen de bancaire sector hebben aangetroffen. De volgende deelvraag is daarbij onze leidraad: Welke risico’s ten aanzien van sanctiewetgeving hebben banken onderkend en welke IT-maatregelen hebben zij getroffen? De aanpak die wij bij ons praktijkonderzoek gehanteerd hebben, zetten we uiteen in paragraaf 5.1. Zoals in de voorafgaande hoofdstukken is vermeld, schrijft de onderzochte sanctiewetgeving voor dat een risicogeoriënteerde aanpak gehanteerd dient te worden bij de implementatie van sanctiewetgeving die afhankelijk is van de producten, diensten, klanten en geografische aanwezigheid van banken. Omdat de risico’s per bank hiermee in belangrijke mate verschillen (en daarmee de getroffen maatregelen), beschrijven wij in paragraaf 5.2 de risico’s die door de onderzochte banken onderkend worden. In paragraaf 5.3 beschouwen wij de IT-maatregelen die banken getroffen hebben om de onderkende risico’s te beheersen.
5.1
Aanpak van het praktijkonderzoek
In ons vooronderzoek hebben wij aangegeven minimaal vijf banken te onderzoeken, maar uiteindelijk hebben wij praktijkinformatie over vier banken verzameld. Daarbij vonden wij het belangrijk dat onze onderzoekspopulatie zou bestaan uit banken met een verschillend risicoprofiel. Bank 1 is een middelgrote bank die actief is in Europa en haar producten voornamelijk via Internet aanbiedt. De producten bestaan ondermeer uit spaarrekeningen en hypotheken. Het klantenbestand is relatief stabiel. Bank 2 is een wereldwijd opererende bank die voornamelijk zaken doet met grote beursgenoteerde bedrijven. De bank is ondermeer actief in het deelnemen en verzorgen van leningen aan grote ondernemingen. Bank 3 en 4 zijn internationaal opererende banken die hun klanten voorzien van een uiteenlopend scala van financiële producten. Klanten zijn in potentie wereldwijd actief. Bij bank 1 en bank 2 hebben wij interviews met compliance officers afgenomen. Tijdens de interviews hebben wij open vragen gesteld om te voorkomen dat wij de antwoorden te veel zouden beïnvloeden. Na afloop van beide interviews hebben wij gespreksverslagen opgesteld die zijn afgestemd met de geïnterviewde personen. Een totaaloverzicht van risico’s en IT-maatregelen die tijdens de interviews benoemd zijn, hebben wij opgenomen in Bijlage D. Bij bank 3 en bank 4 hebben wij een dossierreview uitgevoerd op twee sanctiewetgevingsonderzoeken waaraan wij zelf hebben meegewerkt. De gegevens uit de dossierreview hebben wij aangevuld met eigen ervaringen. Voorafgaand hieraan hebben wij toelichting op de dossiers gekregen van de persoon die als listmanager bij de betreffende onderzoeken betrokken was41. Wij hebben de dossiers onderzocht op risico’s en IT-maatregelen. Onze bevindingen hebben wij vastgelegd in onderzoeksverslagen die naderhand zijn afgestemd met de listmanager. De risico’s en IT-maatregelen uit de onderzoeksverslagen zijn opgenomen in Bijlage D.
5.2
Risico’s ten aanzien van sanctiewetgeving volgens de praktijk
Bij de bepaling van risico’s en IT-maatregelen vanuit IT-auditperspectief hebben wij onderkend dat risico’s onderverdeeld dienen te worden naar subrisico’s en bedreigingen. Ook bij de uitvoering van het praktijkonderzoek bleek deze onderverdeling bruikbaar, omdat risico’s op verschillende aggregatieniveaus onderkend werden (zie Bijlage D). In deze paragraaf bespreken wij eerst de belangrijkste risico’s, subrisico’s en bedreigingen (hierna te benoemen als: risico’s) zoals die per bank onderkend zijn. Daarna zullen wij de belangrijkste risico’s bespreken die voor de totale onderzoekspopulatie van kracht zijn. Wij benadrukken dat het geldigheidsbereik van onderzoeksbevindingen beperkt is tot de banken die aan het praktijkonderzoek meegewerkt hebben. 41
Een listmanager is aangesteld om sanctie- en uitzonderingslijsten samen te stellen en te beheren. Deze persoon is verantwoordelijk voor de juistheid en volledigheid van sanctie- en uitzonderingslijsten.
20
Risico’s en IT-maatregelen bij sanctiewetgeving
5.2.1 Beschouwing van in de praktijk onderkende risico’s per bank Bank 1 is een middelgrote bank die voornamelijk spaarproducten aanbiedt in Europa. Tijdens het praktijkonderzoek bleek dat deze bank risico’s ten aanzien van sanctiewetgeving als ‘laag’ inschat. De belangrijkste motivatie hiervoor is dat de bank relatief veilige bankproducten aanbiedt aan een vaste klantengroep. Omdat de bank voornamelijk actief is in Europa, wordt ook het landenrisico als ‘laag’ ingeschat. De belangrijkste onderkende IT-risico’s zijn gerelateerd aan het gebruik en beheer van sanctielijsten. Wij stellen vast dat weinig IT-risico’s zijn benoemd en dat voornamelijk hoofd- en subrisico’s onderkend worden. Wij gaan er van uit dat dit deels te wijten is aan het feit dat de betalingsprocessen uitbesteed zijn aan een derde partij. Wij zijn van mening dat de verantwoordelijkheid voor het beheersen van sanctiewetgevingsrisico’s niet verlegd kan worden. Bank 2 is een bank die wereldwijd actief is en voornamelijk corporate customers bedient. Door de wereldwijde activiteiten is het ‘landenrisico’ relatief gezien een belangrijke risicofactor. Het is hiermee van eminent belang dat wereldwijd juiste en volledige sanctielijsten gebruikt worden. Deze bank onderkent als enige bank in de onderzoekspopulatie expliciet de risico’s die gepaard gaan met het samenvoegen en beheren van verschillende (nationale) sanctielijsten tot één uniform sanctiefilter. Dit vinden wij opmerkelijk, omdat wij meerdere banken onderzocht hebben die wereldwijd actief zijn. Bank 3 is een grote wereldwijd opererende bank met een breed scala aan klanten, producten en diensten. Op basis van onze onderzoekswerkzaamheden constateren wij dat deze bank voornamelijk aandacht besteedt aan risico’s die samenhangen met het gebruik en beheer van wijzigingen aan sanctielijsten. Dit is begrijpelijk gezien het feit dat de bank over wereldwijde activiteiten beschikt. Tijdens onze onderzoekswerkzaamheden hebben wij niet kunnen vaststellen dat specifieke risico’s ten aanzien van het beheer van klanten en klantgegevens worden onderkend. Het is opvallend dat bank 3 als enige het risico onderkend dat transactiegegevens op onjuiste of onvolledige wijze worden omgezet in een ander bestandsformaat (ten behoeve van de leesbaarheid voor het monitoringsystemen), terwijl het waarschijnlijk is dat meerdere banken transactiegegevens converteren. Ten slotte beschouwen wij de door bank 4 onderkende risico’s. Bank 4 bedient een wereldwijd klantbestand met uiteenlopende diensten en producten. De potentiële risico’s ten aanzien van sanctiewetgeving zijn hoog, omdat deze bank een breed scala van producten en diensten aanbiedt aan klanten die wereldwijd actief zijn. Wij zijn van mening dat dit de reden is dat de bank daarom over de meest uitgebreide risicoanalyse en set van maatregelen binnen de onderzoekspopulatie beschikt. Risico’s zijn hierbij op meerdere aggregatieniveaus beoordeeld. Op basis van onze onderzoekswerkzaamheden constateren wij dat relatief veel risico’s onderkend worden ten aanzien van sanctielijsten en transactiegegevens, maar minder risico’s onderkend worden ten aanzien van het beheren van klantgegevens.
5.2.2 Beschouwing van in de praktijk onderkende risico’s voor de totale onderzoekspopulatie Ten eerste constateren wij dat de hoofdrisico’s ten aanzien van sanctiewetgeving door alle banken in de onderzoekspopulatie worden benoemd, maar dat niet alle banken op alle aggregatieniveaus (hoofdrisico, subrisico, bedreiging) risico’s onderkend hebben. Dit kunnen wij verklaren doordat banken onderling verschillende maatregelen treffen om risico’s bij sanctiewetgeving tegen te gaan. Immers, voor banken die slechts incidenteel dollartransacties uitvoeren, zal het minder efficiënt zijn om geautomatiseerde controlemaatregelen te treffen voor OFAC-sanctiewetgeving. Voor banken die veel dollartransacties verwerken is het juist efficiënter om geautomatiseerde maatregelen te treffen. Ten tweede constateren wij dat banken in de onderzoekspopulatie minder concrete risico’s voor het accepteren van klanten en het beheren van het klantenbestand benoemen. Dit vinden wij opmerkelijk, omdat in het verleden is gebleken dat deze risico’s zich gemanifesteerd hebben42. De verminderde aandacht voor concrete risico’s bij het
42
http://www.finfacts.com/irelandbusinessnews/publish/article_10004310.shtml
21
Risico’s en IT-maatregelen bij sanctiewetgeving beheren van klantgegevens is wellicht te verklaren gezien de grote aandacht voor ‘sanctielijsten’ bij sanctiewetgeving en de mogelijkheid dat tijdens de interviews hiervoor de meeste aandacht bestond. Ten derde hebben wij op basis van onze onderzoekswerkzaamheden niet kunnen vaststellen dat één van de banken het volledige pallet van risico’s heeft gedocumenteerd. De vierde constatering is dat tijdens de interviews geen risico’s benoemd zijn dat sanctiewetgeving op onjuiste wijze vertaald is naar maatregelen en procedures voor beheer van klanten. Ten slotte constateren wij dat slechts één bank de risico’s voor het gebruik van ‘fuzzy logic’43 onderkent, ondanks het feit dat drie van de vier banken in de onderzoekspopulatie gebruik maken van ‘fuzzy logic’ bij de beoordeling van klanten en het monitoren van transacties. Het risico van ‘fuzy logic’ is gelegen in het feit dat bij onjuiste parametrisering afwijkingen en schrijffouten als nog niet worden gedetecteerd. Wij benadrukken dat onze constateringen slechts van toepassing zijn op de banken binnen de onderzoekspopulatie. Daarnaast benadrukken wij dat ons onderzoek een beperkte scope en diepgang kent.
5.3
Sanctiewetgeving IT-maatregelen in de praktijk
In deze paragraaf beschouwen wij de IT-maatregelen die in de praktijk zijn onderkend in relatie tot sanctiewetgeving. Als eerste beschouwen wij per bank welke maatregelen genomen zijn. Aanvullend daarop zullen wij een uitspraak doen over maatregelen in relatie tot de totale onderzoekspopulatie.
5.3.1 IT-maatregelen per bank In paragraaf 5.2.1 hebben wij aangegeven dat bank 1 voornamelijk hoofdrisico’s onderkent en weinig concrete IT-risico’s. In aanvulling daarop constateren wij op basis van onze onderzoekswerkzaamheden dat twee IT-maatregelen onderkend worden: het tijdig actualiseren van sanctielijsten en het opslaan van transactiegegevens volgens een back-upprocedure. De bank heeft haar betalingsprocessen uitbesteed aan een derde partij. Deze partij heeft een SAS70-verklaring op laten stellen waarin IT-maatregelen worden beschreven. Deze hebben wij niet ingezien in het kader van onze onderzoekswerkzaamheden. Bank 2 heeft voornamelijk preventieve maatregelen genomen die gericht zijn op het gebruik en het beheer van sanctielijsten- en uitzonderingslijsten. Ook beoordeelt de bank actief of fouten zijn opgetreden bij de samenvoeging van sanctielijsten. Op basis van onze onderzoekswerkzaamheden zijn geen maatregelen geïdentificeerd die gericht zijn tegen risico’s bij het accepteren van klanten en het beheren van het klantenbestand. Bij bank 3 is geen expliciete aandacht besteed is aan ongeautoriseerde wijzigingen van klantgegevens. Deze bank heeft preventieve maatregelen getroffen die gericht zijn op het gebruik en het beheer van sanctielijsten. In paragraaf 5.2.1. hebben wij aangegeven dat bank 3 risico’s ten aanzien van de conversie van transactiegegevens heeft onderkend. Op basis van onze onderzoekswerkzaamheden hebben wij echter geen concrete IT-maatregelen geïdentificeerd die op dit risico gericht zijn. Wij constateren dat bank 4 van alle banken in de onderzoekspopulatie de meeste maatregelen heeft getroffen. Daarbij constateren wij dat de bank een gebalanceerde mix van preventieve en repressieve maatregelen heeft samengesteld die echter hoofdzakelijk zijn gericht op risico’s ten aanzien van het gebruik en beheer van sanctielijsten. Tijdens onze werkzaamheden hebben wij minder maatregelen geïdentificeerd gericht tegen het wijzigen van het klantenbestand en transactiegegevens. Een belangrijke uitzondering hierop is de bevinding dat bank 4 gebruik maakt van data-analyse om de volledigheid van transactiegegevens vast te stellen. Ondanks het feit dat bank 4 wereldwijd actief is, hebben wij geen maatregelen geïdentificeerd die gericht zijn op de samenvoeging van sanctielijsten. Ten slotte hebben we geconstateerd dat bank 4 de enige bank is die een preventieve maatregel heeft genomen die gericht is tegen foutief gebruik van ‘fuzzy logic’.
43
Fuzzy logic is een technologie die ingezet wordt om kleine afwijkingen aan klant- of transactiegegevens te vinden (de termen op sanctielijsten). Door gebruik te maken van ‘fuzzy logic’ worden niet alleen klant- en transactiegegevens gevonden die exact overeenkomen met gegevens op sanctielijsten, maar worden ook kleine afwijkingen opgemerkt.
22
Risico’s en IT-maatregelen bij sanctiewetgeving
5.3.2 IT-maatregelen in relatie tot de totale onderzoeksrelatie Op basis van onze onderzoekswerkzaamheden constateren wij ten eerste dat geen enkele bank binnen de onderzoekspopulatie IT-maatregelen heeft getroffen om alle onderkende risico’s te beheersen. Met name IT-maatregelen tegen ongeautoriseerde wijzigingen en ongeautoriseerde toegang tot klant- en transactiegegevens werden niet altijd benoemd. Wij achten het desondanks toch zeer waarschijnlijk dat banken IT-maatregelen rond het beheer van klant- en transactiegegevens hebben genomen in het kader van de interne controle zonder dat deze specifiek zijn benoemd tijdens onze onderzoekswerkzaamheden. In ons onderzoek bleken voornamelijk banken met een grote blootstelling aan sanctiewetgevingsrisico’s (gezien de samenstelling van het klantenbestand en aard van producten) relatief veel gebruik te maken van data-analyse om aanvullende zekerheid te verkrijgen (repressieve maatregelen). Dit is niet vreemd gezien de grote hoeveelheden gegevens die door deze banken verwerkt dienen te worden.
23
Risico’s en IT-maatregelen bij sanctiewetgeving
6
Vergelijking tussen risico’s en IT-maatregelen volgens de literatuur en waargenomen uit de praktijk
In dit hoofdstuk onderzoeken wij welke verschillen bestaan tussen risico’s en maatregelen uit de literatuur en de praktijk. Daarmee beantwoorden wij de volgende deelvraag: Wat zijn de belangrijkste verschillen en overeenkomsten tussen risico’s en IT-maatregelen uit de literatuur in vergelijking met de praktijk en is het totaal aan onderkende risico’s en maatregelen naar onze mening volledig? Wij beoordelen in dit hoofdstuk verschillen tussen risico’s en maatregelen per bank en voor de totale onderzoekspopulatie. Het hoofdstuk wordt afgesloten met een beschouwing van de volledigheid van de in de literatuur en praktijk onderkende risico’s en set van IT-maatregelen.
6.1
Verschillen tussen onderkende risico’s volgens de literatuur en de praktijk
6.1.1 Beschouwing van verschillen in risico’s tussen de literatuur en individuele banken Bank 1 gaat voorbij aan het risico dat ongeautoriseerde personen toegang verkrijgen tot klantengegevens. Daarnaast wordt niet ingegaan op het aanbrengen van ongeautoriseerde wijzigingen aan sanctielijsten, alhoewel dit risico in de literatuur wel besproken wordt. Bij het praktijkonderzoek is bovendien naar voren gekomen dat het risico dat ongeautoriseerde personen toegang hebben tot transactiegegevens en transactiemonitoringsystemen niet wordt onderkend. Bank 2 heeft alle risico’s onderkend die in de literatuur benoemd zijn, met uitzondering van het risico dat ongeautoriseerde personen toegang hebben tot sanctie- en uitzonderingslijsten waardoor zij ongeautoriseerde wijzigingen kunnen aanbrengen. Bank 3 en 4 lopen in potentie de meeste risico’s ten aanzien van sanctiewetgeving (zie paragraaf 5.2.1). Wij hebben geconstateerd dat deze banken meer subrisico’s en bedreigingen hebben onderkend dan in de literatuur onderkend zijn.
6.1.2 Beschouwing van de verschillen in risico’s tussen de literatuur en totale onderzoekspopulatie van banken De literatuur beschrijft risico’s op een hoog aggregatieniveau. Het gaat hier om het risico dat klanten worden aangenomen die op sanctielijsten staan, het risico dat onjuiste of onvolledige sanctielijsten gebruikt worden en het risico dat transacties uitgevoerd worden van personen of entiteiten die op sanctielijsten vermeld zijn. In de praktijk worden ook subrisico’s en bedreigingen onderkend, alhoewel hierbij onderlinge verschillen bestaan tussen banken. Constatering 1: Risico’s ten aanzien van sanctiewetgeving worden in de literatuur op een hoog aggregatieniveau beschreven. In de praktijk worden risico’s op een lager niveau benoemd die beschreven kunnen worden als subrisico’s en bedreigingen. Op basis van ons onderzoek constateren wij dat zowel in de literatuur, als in de praktijk beperkt wordt ingegaan op risico’s die betrekking hebben op het uitvoeren van ongeautoriseerde wijzigingen aan het klantenbestand. Dit is opmerkelijk, omdat in de literatuur gevallen zijn beschreven waarbij ongeautoriseerde wijzigingen zijn aangebracht om te voorkomen dat dit in ‘hits’ zou resulteren. Constatering 2: Zowel in de literatuur als in de praktijk wordt weinig ingegaan op het risico dat ongeautoriseerde wijzigingen worden aangebracht aan het klantenbestand.
24
Risico’s en IT-maatregelen bij sanctiewetgeving
6.2
Verschillen tussen onderkende IT-maatregelen volgens literatuur en de praktijk
In hoofdstuk 4 hebben wij opgemerkt dat de literatuur weinig concrete IT-maatregelen vermeldt. Dit is verklaarbaar gezien het risicogeoriënteerde en principle based karakter van sanctiewetgeving, maar is opmerkelijk gezien het grote belang van IT bij de uitvoering van sanctiewetgeving. Afgezien van een verwijzing naar ‘adequate interne maatregelen’ hebben wij niet kunnen constateren dat in de geraadpleegde sanctiewetgevingsliteratuur wordt ingegaan op het grote belang van het beheren van wijzigingen aan systemen en sanctielijsten. De maatregelen die in de literatuur onderkend worden, zijn op een hoog niveau beschreven. Dit heeft ertoe geleid dat een vergelijking van IT-maatregelen volgens de literatuur en de praktijk grote verschillen oplevert. Uit ons onderzoek is gebleken dat de maatregelen die in de literatuur zijn beschreven ook daadwerkelijk in de praktijk zijn genomen. Uit ons onderzoek is gebleken dat transacties en klantgegevens gemonitored dienen te worden. Deze maatregelen zijn in de praktijk ook daadwerkelijk ingevoerd. Waar uit ons praktijkonderzoek is gebleken dat voor de meeste belangrijke risico’s beheersmaatregelen zijn geformuleerd, laat de literatuur veel ruimte over tot interpretatie van personen die belast zijn met de vertaling van sanctiewetgeving naar maatregelen. Constatering 3: In de literatuur wordt uitsluitend vermeld dat ‘adequate maatregelen’ genomen dienen te worden. Het is aan individuele banken om een vertaling naar concrete IT-maatregelen te maken.
Verder valt op dat in de literatuur vermelding wordt gemaakt van het feit dat ongeautoriseerde personen wijzigingen hebben aangebracht aan klant- en transactiegegevens waardoor deze geen hit hebben opgeleverd bij het filteren. Zowel in de praktijk als in de literatuur is geen IT-maatregel benoemd om dit risico af te dekken. Dat is opvallend omdat dit probleem in het verleden ertoe heeft geleid dat banken boetes opgelegd kregen. Constatering 4: In de literatuur is beschreven dat wijzigingen aan klant- en transactiegegevens zijn aangebracht om te voorkomen dat het filteren van deze gegevens in een hit zou resulteren. Zowel uit ons literatuuronderzoek als uit het praktijkonderzoek zijn geen IT-maatregelen benoemd om dit risico te beheersen.
Een andere tekortkoming van de literatuur bestaat uit het feit dat vaak individuele sanctiewetgeving wordt beschreven, terwijl banken in de praktijk maatregelen treffen om diverse mondiale, internationale en nationale sanctiewetten samen te voegen tot één centrale sanctielijst. In bijlage D hebben wij een overzicht opgenomen van de belangrijkste verschillen tussen maatregelen uit de literatuur en maatregelen uit de praktijk. Constatering 5: De literatuur gaat voorbij aan het feit dat banken te maken hebben met sanctiewetgeving uit verschillende landen. Dit betekent dat in de praktijk meerdere lijsten samengevoegd moeten worden.
25
Risico’s en IT-maatregelen bij sanctiewetgeving
6.3
Beschouwing van de volledigheid van risico’s en IT-maatregelen uit de literatuur en de praktijk
Ons onderzoek heeft uitgewezen dat de hoofdrisico’s die in de literatuur beschreven worden bij alle banken uit de onderzoekspopulatie zijn onderkend. Constatering 6: Op basis van onze onderzoekswerkzaamheden komen wij tot de conclusie dat de hoofdrisico’s die in de literatuur onderkend worden, ook in de praktijk onderkend worden.
Wij hebben geconstateerd dat in de literatuur voor sanctiewetgeving geen concrete IT-maatregelen worden benoemd. Daarmee wordt het aan individuele banken overgelaten om deze eisen te vertalen naar concrete IT- of handmatige maatregelen. In de praktijk stellen wij vast dat banken een risicogeoriënteerde aanpak hanteren bij de keuze van IT-maatregelen. Binnen de onderzoekspopulatie bestaan hierdoor grote verschillen tussen de getroffen maatregelen en de maatregelen die wij vanuit IT-auditperspectief zouden verwachten aan te treffen. Op basis van onze onderzoekswerkzaamheden constateren wij dat geen van de banken in de onderzoekpopulatie alle door ons onderkende risico’s hebben afgedekt met ITmaatregelen. Dit kan betekenen dat banken er voor kiezen om handmatige controles te gebruiken in plaats van geautomatiseerde controles. Het is ook mogelijk dat de geïnterviewde compliance officers niet volledig op de hoogte zijn van de getroffen IT-maatregelen. Constatering 7: Vanuit IT-auditperspectief hebben wij risico’s en IT-maatregelen onderkend die niet in de literatuur of het praktijkonderzoek onderkend worden. Geen van de banken in de onderzoekspopulatie heeft alle door ons onderkende risico’s afgedekt met IT-beheersmaatregelen. Wanneer wij de risico’s uit te literatuur en praktijk vergelijken met de risico’s die wij vanuit IT-audit perspectief verwachten aan te treffen, valt op dat zowel de literatuur als de praktijk, weinig risico’s onderkend worden bij het aannemen en het beheren van klanten. Zie constatering 2. Ook worden geen risico’s onderkend bij het gebruik van ‘fuzzy logic’. Wij zijn mening dat dit een belangrijke constatering is, omdat in de praktijk gebruik wordt gemaakt van deze technologie. Ten slotte merken wij op dat geen enkele bank een volledig uitgewerkte risicoanalyse van sanctiewetgeving heeft overlegd. Constatering 8: Zowel in de sanctiewetgevingsliteratuur, als in de praktijk, is gebleken dat risico’s ten aanzien van het gebruik van ‘fuzzy logic’ niet altijd onderkend worden.
26
Risico’s en IT-maatregelen bij sanctiewetgeving
7
Rol van de IT-auditor ten aanzien van transactiemonitoring en sanctiewetgeving
Op basis van het uitgevoerde literatuur- en praktijkonderzoek zijn wij tot de conclusie gekomen dat IT een belangrijke rol speelt bij het monitoren van het klantenbestand, alsmede het monitoren van transacties. Dat is niet verwonderlijk gezien de grote hoeveelheid gegevens die in korte tijd beoordeeld moeten worden en het feit dat een groot deel van de bancaire processen sterk geautomatiseerd is. De wetgever schrijft een risicogeoriënteerde aanpak voor die banken dienen te volgen bij de implementatie van sanctiewetgeving. In deze aanpak wordt weinig aandacht besteed aan IT- risico’s en maatregelen. De wetgever stelt daarbij echter als voorwaarde dat te allen tijde aangetoond moet kunnen worden dat een beheerste aanpak is gebruikt. Een gecontroleerde inzet van IT is hiermee een randvoorwaarde. Wij hebben op basis van ons praktijkonderzoek vastgesteld dat banken inderdaad gebruik maken van deze risicogeoriënteerde aanpak en de te nemen IT-maatregelen stemmen ze ook hierop op af. Wij zijn van mening dat de IT-auditor hieraan een belangrijke bijdrage kan leveren en stellen daarbij de volgende vraag: Gegeven de bevindingen, welke rol heeft de IT-auditor ten aanzien van filteren en monitoren van het klantenbestanden en transacties bij banken? Voordat wij ingaan op de mogelijke rollen van de IT-auditor bij sanctiewetgeving is het van belang de definitie van deze rol en de werkzaamheden van de IT-auditor te beschrijven. Met rol wordt in dit kader bedoeld een samenhangende verzameling van kennis en vaardigheden die een persoon, in dit geval de IT-auditor in zich moet verenigen om een activiteit te kunnen uitvoeren.44 Deze werkzaamheden van een IT-auditor kunnen worden omschreven als het verschaffen van zekerheden en advies over alle soorten ITobjecten binnen een organisatie. IT-objecten zijn in informatiesystemen, onderdelen daarvan, of aan informatiesystemen gerelateerde entiteiten. In dit kader hebben wij IT-objecten vertaald als sanctiegegevens, klantgegevens, transactiegegevens en bank- en monitoringsystemen. Op grond van zijn opleiding en praktijkervaring beschikt de IT-auditor over deskundigheid op het gebied van IT, bestuurlijke informatievoorziening en organisatiekunde. Tevens heeft een IT-auditor kennis van methoden en technieken voor onderzoek, toetsing en risicoafweging.45
7.1
Rollen IT-auditor bij sanctiewetgeving
In deze paragraaf gaan wij in op de mogelijke rollen van de IT-auditor in relatie tot onze bevindingen opgenomen in hoofdstuk 6. Dit doen wij op basis van IT-objecten die wij hebben onderkend in onze risicoanalyse uit hoofdstuk 3. Het betreft de objecten klantgegevens, transactiegegevens, sanctielijsten en uitzonderingslijsten en bank- en monitoringsystemen die gebruikt worden voor de acceptatie en monitoring van klanten, alsmede het filteren en monitoren van transacties. Per IT-object geven wij de relatie met onze bevindingen aan en de daarbij mogelijke rollen van de IT-auditor. Voor de rollen van de IT-auditor maken we gebruik van de onderverdeling adviseur, facilitator en auditor.46 Daarnaast hebben wij een aantal generieke bevindingen onderkend die niet direct gerelateerd kunnen worden aan één van de bekende IT-objecten. Ook voor deze generieke bevindingen hebben wij de rol van de IT-auditor beschouwd..
44
http://www.brzo99.nl RE gids, 2008/2009 46 Risk management: business meets audit risk, 2008 45
27
Risico’s en IT-maatregelen bij sanctiewetgeving Klantgegevens De volgende bevindingen zijn relevant voor dit object: Zowel in de literatuur als in de praktijk wordt weinig ingegaan op het risico dat ongeautoriseerde wijzigingen worden aangebracht aan het klantenbestand. In de literatuur is beschreven dat wijzigingen aan klant- en transactiegegevens zijn aangebracht om te voorkomen dat het filteren van deze gegevens in een hit zou resulteren. Zowel uit ons literatuuronderzoek als uit het praktijkonderzoek zijn geen IT-maatregelen benoemd om dit risico te beheersen. Rol IT-auditor Naar aanleiding van bovenstaande bevindingen kan de IT-auditor in de rol van adviseur meedenken en adviseren met betrekking tot het opzetten van procedures voor wijzigings- en toegangsbeheer ten aanzien van de klantgegevens. Als auditor kan hij deze procedures in opzet, bestaan en werking beoordelen.
Transactiegegevens De volgende bevinding is relevant voor dit object: In de literatuur is beschreven dat wijzigingen aan klant- en transactiegegevens zijn aangebracht om te voorkomen dat het filteren van deze gegevens in een hit zou resulteren. Zowel uit ons literatuuronderzoek als uit het praktijkonderzoek zijn geen maatregelen benoemd om dit risico te beheersen. Rol IT-auditor Naar aanleiding van bovenstaande bevinding kan de IT-auditor in de rol van adviseur meedenken en adviseren met betrekking tot het opzetten van procedures voor wijzigings- en toegangsbeheer ten aanzien van de transactiegegevens. Als auditor kan hij deze procedures in opzet, bestaan en werking beoordelen. Tevens kan hij doormiddel data analyse bij de volledigheid vaststellen.
Sanctielijsten en uitzonderingslijsten De volgende bevinding is relevant voor dit object: De literatuur gaat voorbij aan het feit dat banken te maken hebben met sanctiewetgeving uit verschillende landen. Dit betekend dat in de praktijk meerdere lijsten samengevoegd moeten worden. Rol IT-auditor Naar aanleiding van bovenstaande bevinding kan de IT-auditor in de rol van adviseur meedenken en adviseren met betrekking tot het opzetten van een beheersprocedure voor sanctielijsten, en uitzonderingslijsten. Hierbij kan gedacht worden aan het decentraal of centraal gebruiken van de sanctielijsten en uitzonderingslijsten. Tevens dient hierbij rekening gehouden te worden met de lokale vereisten, centrale vereisten en conversie. Als auditor kan hij de beheersprocedure voor sanctielijsten en uitzonderingslijsten in opzet, bestaan en werking beoordelen. Ook kan hij door middel van data analyse de volledigheid van de samengevoegde lijsten vaststellen.
28
Risico’s en IT-maatregelen bij sanctiewetgeving
Bank- en monitoringsystemen De volgende bevinding is relevant voor dit object: Zowel in de sanctiewetgevingsliteratuur, als in de praktijk, is gebleken dat risico’s ten aanzien van het gebruik van ‘fuzzy logic’ niet altijd onderkend worden. Rol IT-auditor Naar aanleiding van bovenstaande bevinding kan de IT-auditor in de rol van adviseur meedenken en adviseren met betrekking tot het verantwoord gebruik van ‘fuzzy logic’ bij het filteren van transactie- en klantgegevens. Denk bijvoorbeeld aan het voorstellen van maatregelen en het gebruiken van een testset. Als auditor kan hij maatregelen voor het verantwoord gebruik van ‘fuzzy logic’ bij het filteren van transactie- en klantgegevens beoordelen.
Generieke bevindingen De volgende bevindingen hebben wij gekenmerkt als generiek: Risico’s ten aanzien van sanctiewetgeving worden in de literatuur op een hoog aggregatieniveau beschreven. In de praktijk worden risico’s op een lager niveau benoemd die beschreven kunnen worden als subrisico’s en bedreigingen. In de literatuur wordt uitsluitend vermeld dat ‘adequate maatregelen’ genomen dienen te worden. Het is aan individuele banken om een vertaling naar concrete IT-maatregelen te maken. Op basis van onze onderzoekswerkzaamheden komen wij tot de conclusie dat de hoofdrisico’s die in de literatuur onderkend worden, ook in de praktijk onderkend worden. Vanuit IT-auditperspectief hebben wij risico’s en IT-maatregelen onderkend die niet in de literatuur of het praktijkonderzoek onderkend worden. Geen van de banken in de onderzoekspopulatie heeft alle door ons onderkende risico’s afgedekt met IT-maatregelen. Rol IT-auditor Naar aanleiding van bovenstaande bevindingen kan de IT-auditor in de rol van adviseur meedenken en adviseren met betrekking tot de vertaalslag van sanctiewetgeving naar ITmaatregelen. Denk hierbij aan het opstellen van risico’s en IT-maatregelen op zowel hoog als laag niveau ten aanzien van sanctiewetgeving. Deze rol kan van groot belang zijn aangezien geen van de banken in onze onderzoekspopulatie alle door ons onderkende risico’s heeft afgedekt. De ITauditor kan op grond van zijn kennis en kunde en door samenwerking met bijvoorbeeld de compliance organisatie ingezet worden om deze lacune te vullen. In de rol van adviseur kan hij tevens ook meedenken en adviseren met betrekking tot de IT-architectuur (pakketselectie), Het technisch-, functioneel-, versie- en distributiebeheer. Als auditor kan hij de risico’s en maatregelen in opzet, bestaan en werking beoordelen ten aanzien van sanctiewetgeving.
Op basis van het praktijkonderzoek hebben wij geconstateerd dat de rol en meerwaarde van de inzet van de IT-auditor ten aanzien van sanctiewetgeving niet altijd zichtbaar is bij compliance officers. Tijdens het afnemen van de interviews is dan ook niet duidelijk naar voren gekomen in welke mate de IT-auditor samenwerkt met andere partijen zoals bijvoorbeeld de compliance organisatie. Tevens merken wij op dat hij niet altijd zichtbaar wordt betrokken bij het leveren van een bijdrage aan het opstellen en beheersen van risico’s. Terwijl het waarschijnlijk is dat de IT-auditor hier een belangrijke bijdrage aan kan leveren omdat hij kennis heeft van de totale set van IT-maatregelen binnen banken. Wij zijn van mening dat het begrip materialiteit bij sanctiewetgeving minder van belang is, omdat iedere directe gevolgen kan hebben. Hierdoor is het belangrijk om een hoog minimum niveau van beheersmaatregelen te formuleren. De ITauditor kan op grond van zijn kennis en kunde hierbij een belangrijke rol kan spelen. Wij benadrukken dat hij in de praktijk zijn zichtbaarheid dient zichtbaarheid dient te vergroten en open dient te staan voor samenwerking met andere partijen.
29
Risico’s en IT-maatregelen bij sanctiewetgeving
8
Conclusie, aanbeveling en reflectie
8.1
Conclusies
In deze scriptie hebben wij onderzoek gedaan naar risico’s en IT-maatregelen die banken dienen treffen voor de implementatie van sanctiewetgeving die gericht is op het voorkomen van de financiering van terrorisme. Daarbij hebben wij de volgende onderzoeksvraag gedefinieerd: Welke IT-maatregelen dienen banken vanuit de sanctiewetgeving te implementeren bij het aannemen van klanten en het beheren van het klantenbestand, alsmede bij het uitvoeren van transacties en welke mogelijke rollen zou een IT-auditor hierbij kunnen vervullen? Een samenvattend antwoord op deze hoofdvraag is dat banken maatregelen moeten treffen die bestaan uit het beheersen van ongeautoriseerde toegang tot en wijzigingen aan de IT-objecten klantgegevens, sanctielijsten, transactiegegevens en monitoringsystemen. Daarnaast dient aandacht te bestaan voor de beschikbaarheid van de genoemde IT-objecten. Bij de implementatie van maatregelen maken banken in geruime mate gebruik van informatietechnologie, alhoewel wij vaststellen dat zowel in de literatuur als de praktijk niet alle risico’s en IT-maatregelen onderkend zijn die wij vanuit IT-auditperspectief zouden verwachten aan te treffen. Met name risico’s ten aanzien van het beheersen van klant- en transactiegegevens, het gebruik van ‘fuzzy logic’ en het integreren van meerdere sanctielijsten blijven onderbelicht. De IT-auditor kan een belangrijke rol spelen bij de beoordeling van risico’s en het vertalen van risico’s, die in de literatuur op een hoog niveau zijn beschreven, naar een set van concrete IT-maatregelen. Omdat materialiteit van minder belang is bij sanctiewetgeving dient de IT-auditor zich hierbij te realiseren dat een hoog minimum niveau van ITmaatregelen vereist is. Daarnaast dient de IT-auditor zijn zichtbaarheid te vergroten en samen te werken met andere beroepsgroepen.
Het antwoord op de hoofdvraag is gebaseerd op de beantwoording van zes deelvragen. Deze beantwoording zetten wij nader uiteen: Deelvraag 1: Welke sanctiewetgeving is voor Nederlandse banken relevant? (hoofdstuk 2) Sanctiewetgeving is risicogeoriënteerd en ‘principle-based’ van karakter, waardoor het mogelijk is dat de meeste tijd, middelen en energie gericht kan worden op die klanten, diensten, transacties en producten die de meeste risico’s ten aanzien van sanctiewetgeving kennen. Omdat Nederland het UN-Handvest heeft ondertekend en diverse UN-sanctiewetten ter voorkoming van de financiering van terrorisme heeft geratificeerd, dienen Nederlandse banken te voldoen aan UN-sanctiewetgeving. In aanvulling daarop dienen banken aan EU-richtlijnen te voldoen. De EU ziet het tegengaan van terrorisme als één van haar belangrijkste taken en heeft daartoe EU-sanctiewetgeving opgesteld waaraan ook Nederlandse banken zich dienen te houden. De Nederlandse sanctiewetgeving is grotendeels gebaseerd op de EUsanctiewetgeving, maar kent ook enkele specifieke bepalingen die uitsluitend voor banken van kracht zijn die in Nederland actief zijn. Ten slotte is OFAC-sanctiewetgeving van belang op het moment dat dollartransacties worden afgehandeld, de betreffende bank over een Amerikaanse bankvergunning beschikt en Amerikaanse staatsburgers in dienst heeft. Deelvraag 2: Welke risico’s en maatregelen verwachten wij vanuit IT-audit perspectief aan te treffen bij de implementatie van sanctiewetgeving? (hoofdstuk 3) Vanuit IT-audit perspectief verwachten wij preventieve, repressieve en correctieve maatregelen aan te treffen om de beschikbaarheid, integriteit en vertrouwelijkheid van klantgegevens, sanctie- en uitzonderingslijsten en transactiegegevens, alsmede monitoringsystemen te garanderen. In het kader van sanctiewetgeving is het van belang om maatregelen te treffen die gericht zijn tegen het voorkomen van ongeautoriseerde toegang tot systemen en gegevens, het voorkomen van ongeautoriseerde wijzigingen
30
Risico’s en IT-maatregelen bij sanctiewetgeving aan gegevens en systemen en die ervoor zorgdragen dat de beschikbaarheid van monitoringsystemen, gegevens en sanctielijsten gegarandeerd wordt. Deelvraag 3: Welke risico’s ten aanzien van sanctiewetgeving zijn in de literatuur bekend en welke ITmaatregelen worden in de literatuur voorgesteld? (hoofdstuk 4) De door ons onderzochte literatuur gaat uitgebreid in op risicocategorieën bij sanctiewetgeving. Deze risicocategorieën zijn richtinggevend, maar laten naar onze mening veel ruimte voor eigen interpretatie. De IT-auditor zal een vertaling moeten maken van deze risico’s naar concrete risico’s en IT-maatregelen. Omdat autoriteiten eisen dat banken te allen tijde aan moeten kunnen tonen dat ze ‘in control’ zijn, eisen autoriteiten dat ‘adequate controls’ getroffen moeten worden. Ook deze term zou naar onze mening nader gespecificeerd moeten worden. Naar onze mening is dit mogelijk zonder de risicogeoriënteerde en principle based aanpak in gevaar te doen komen. Ten slotte merken wij dat weinig aandacht wordt besteed aan IT-maatregelen en risico’s ondanks het feit dat banken zwaar gebruik maken van informatietechnologie bij het monitoren van het klantenbestanden en transacties. Deelvraag 4: Welke risico’s ten aanzien van sanctiewetgeving hebben banken onderkend en welk ITmaatregelen hebben zij getroffen? (hoofdstuk 5) Wij hebben vastgesteld dat banken gebruik maken van een risicogeoriënteerde aanpak en de te nemen IT-maatregelen hierop af stemmen. De aard van de aangeboden producten en diensten, het soort klanten, de geografische gebieden waar de bank actief is en het ambitieniveau van de bank ten aanzien van sanctiewetgeving zijn veelgenoemde risico-overwegingen. Deze zijn dan ook bepalend voor de getroffen maatregelen en systeeminrichting. Alle banken hebben hoofdrisico’s ten aanzien van sanctiewetgeving benoemd, maar niet alle banken hebben deze risico’s vertaald naar risico’s met een lager aggregatieniveau (bedreigingen). Banken beschrijven voornamelijk bedreigingen ten aanzien van sanctielijsten en transactiegegevens. Bedreigingen in relatie tot ongeautoriseerde toegang tot klantgegevens worden minder frequent benoemd. Geen van de banken heeft alle risico’s benoemd die wij geïnventariseerd hebben. Daarnaast heeft geen enkele bank IT-maatregelen getroffen om de onderkende risico’s te beheersen. Ten slotte is gebleken dat banken met een relatief grote blootstelling aan sanctiewetgevingsrisico’s gebruik maken van data-analyse om aanvullende zekerheid te verkrijgen. Deelvraag 5: Wat zijn de belangrijkste verschillen en overeenkomsten tussen risico’s en IT-maatregelen uit de literatuur in vergelijking met de praktijk en is het totaal aan onderkende risico’s en maatregelen naar onze mening volledig? (hoofdstuk 6) Een belangrijk verschil tussen de literatuur en de praktijk is de constatering dat risico’s ten aanzien van sanctiewetgeving in de literatuur op een hoog aggregatieniveau worden beschreven, terwijl in de praktijk ook risico’s op een lager niveau worden beschreven. In de literatuur wordt hoofdzakelijk vermeld dat ‘adequate’ maatregelen genomen dienen te worden, terwijl in de praktijk concrete IT-maatregelen worden vermeld. In de onderzochte literatuur wordt geen aandacht geschonken aan het feit dat banken meerdere sanctielijsten dienen te integreren tot één totaallijst. Het praktijkonderzoek wijst juist uit dat banken hiermee te maken hebben. Een derde belangrijk verschil is dat in de praktijk gebruik wordt gemaakt van ‘fuzzy logic’ om op een effectievere wijze transacties en klantenbestanden te kunnen doorzoeken. In de praktijk is er in beperkte mate oog voor de risico’s die hiermee gepaard gaan. In de literatuur hebben wij geen risico’s aangetroffen met betrekking tot ‘fuzzy logic’. Een belangrijke overeenkomst tussen de literatuur en de praktijk is dat de belangrijkste hoofdrisico’s in beide gevallen benoemd zijn. Daarnaast wordt in beide gevallen geen melding gemaakt van risico’s en maatregelen die gerelateerd zijn aan het wijzigen van transactiegegevens. Vanuit IT-audit perspectief is de set van risico’s en maatregelen die in de literatuur en de praktijk zijn onderkend niet volledig. Geen van de banken heeft ons voorzien in een uitgewerkte risicoanalyse met daaraan gekoppelde IT-maatregelen. Deelvraag 6: Gegeven de bevindingen, welke rol heeft de IT- auditor ten aanzien van monitoren en beheersen van het integrale betalingsproces bij banken? (hoofdstuk 7) De IT-auditor kan een belangrijke rol spelen bij de implementatie van sanctiewetgeving bij banken. Hij kan als auditor een rol spelen bij de beoordeling van risico’s en het vertalen van risico’s, die in de literatuur op een hoog niveau zijn beschreven, naar een set van concrete IT-maatregelen. Omdat materialiteit van
31
Risico’s en IT-maatregelen bij sanctiewetgeving minder belang is bij sanctiewetgeving dient de IT-auditor zich hierbij te realiseren dat een hoog minimum niveau van IT-maatregelen vereist is. Daarnaast dient de IT-auditor zijn zichtbaarheid te vergroten en samen te werken met andere beroepsgroepen.
8.2
Aanbeveling en vervolgonderzoek
Tijdens de uitvoering van dit onderzoek hebben wij vastgesteld dat eisen die vanuit sanctiewetgeving aan processen worden gesteld, grotendeels overeenkomen met de eisen die vanuit AML-wetgeving gesteld worden. Hierdoor bestaat een grote overlap tussen de te treffen maatregelen en inrichting van processen. Wij bevelen aan vervolgonderzoek uit te voeren om vast te stellen welke verschillen en overeenkomsten bestaan tussen de maatregelen vanuit sanctiewetgeving en AML-wetgeving. De reikwijdte van ons afstudeeronderzoek is beperkt geweest tot de bancaire sector. Echter, omdat sanctiewetgeving universeel van karakter is en niet altijd uitsluitend van toepassing is op financiële instellingen, bevelen wij aan te onderzoeken welke impact uitgaat van sanctiewetgeving op de bedrijven in andere sectoren. Voorbeelden hiervan zijn buitenlandse vestigingen van Amerikaanse bedrijven.
8.3
Reflectie
Voordat wij zijn gestart met het afstudeeronderzoek, hadden wij reeds als IT-auditor praktijkervaring opgedaan met sanctiewetgevingsprojecten. Terugkijkend op dit afstudeeronderzoek, zijn wij van mening dat wij een diepgaander inzicht hebben gekregen in sanctiewetgeving en overwegingen van banken bij de vertaling van wetgeving naar concrete IT-maatregelen. Deze inzichten zijn toe te schrijven aan het feit dat wij de mogelijkheid hebben gekregen om bij meerdere banken ‘een kijkje in de keuken te mogen nemen’. Ook het feit dat wij gedwongen werden meer afstand te nemen van de daadwerkelijk uit te voeren werkzaamheden en expliciete toepassing van theoretische concepten, heeft tot aanvullende inzichten geleid die verder reiken dan de werkzaamheden die wij eerder hadden uitgevoerd. Daarnaast heeft het onderzoek bijgedragen aan de vorming van een breder perspectief dat verder gaat dan uitsluitend het perspectief van een IT-auditor. Met name de bedrijfseconomische afwegingen die banken nemen bij de vertaling van sanctiewetgeving naar beheersingsmaatregelen heeft hieraan meegedragen. Dit zal ons helpen bij de formulering van beter begrijpelijke bevindingen en aanbevelingen die beter aansluiten bij de verwachtingen van te auditen organisaties en daarmee mogelijk tot een hogere acceptatiegraad zullen leiden.
32
Risico’s en IT-maatregelen bij sanctiewetgeving
Literatuurlijst Artikelen, onderzoeken en wetteksten 11679/07 EN Restrictive Measures / - EU Best Practices For The Effective Implementation Of Restrictive Measures, Secretariat Counsil Of The European Union, 2007 Bakkers, R.W.A., Risk-based AML-wetgeving Roept Om Een Robuust AML-raamwerk, Tijdschrift Voor COMPLIANCE, Juli / Augustus 2007. Comparative Table regarding the United Nations Security Counsil Committees Established Pursuant To Resolutions 1267(1999), 1373(2001) and 1540(2004). Dijk, S. Van, Het Bevriezen Van Tegoeden In Het Kader Van De Bestrijding Van De Financiering Van Het Terrorisme En De Geboden Rechtsbescherming, Open Universiteit Nederland, 2007 Dossier bank 3 Dossier bank 4 FATF standaard Special Recommendation 3 Terrorist Financing Guidance On The Risk-Based Approach To Combating Money Laundring And Terrorist Financing – High Level Principles And Procedures June 2007, FATF GAFI, 2007. Grant, H., White, T. R., Establishing A Sound Ofac Program – Assessing And Defining Ofac Risk, ACAMS TODAY, Maart / April 2008. Jaarverslag Nederlandse Vereniging van Banken 2007, Nederlandse Vereniging van Banken, 2007. Mehra, K.D., Understanding OFAC compliance – Regulatory Assesment, ACAMS TODAY, Maart / April 2008. Milliano, R. de, Versteegh, E., Slimme Financiële Maatregelen Effectiever Dan Internationale Boycots – Financiele sector speelt steeds belangrijkere rol in internationale sanctiewetgeving, Banking Review, april 2007 Nota Integriteit Financiële Sector en Terrorismebestrijding, 16 november 2001 Position paper: Banken en burgerservicenummer (BSN), Nederlandse Vereniging van Banken, 2005. The Eu List Of Persons, Groups And Entities Subject To Specific Measures To Combat Terrorism, European Union Factsheet, 2008 Vooronderzoek “risico’s en IT-maatregelen bij sanctiewetgeving”, 2008 Wet van 15 juli 2008, houdende samenvoeging van de Wet identificatie bij dienstverlening en de Wet melding ongebruikelijke transacties (Wet ter voorkoming van witwassen en financieren van terrorisme), Staatsblad 2008 303 The Wolfsberg Trade Finance Principles, The Wolfsberg Group, 2008.
33
Risico’s en IT-maatregelen bij sanctiewetgeving Boeken Fijneman, R., Roos Lindgren, E., Veltman, P., Grondslagen IT-auditing, Academic Service, 2005 Praat, J. Van, Suerink, H., Inleiding EDP-Auditing, Ten Hagen & Stam, 2004. Bank Secrecy Act / Anti-Money Laundring Examination Manual, Federal Financial Institutions Examination Counsil: Board of Governors of the Federal Reserve System, Federal Deposit Insurance Corporation, National Credit Union Administration, Office of the Comptroller of the Currency, Office of Thrift Supervision, and State Liaison Committee. Norea-geschrift nr. 1, IT-auditing aangeduid, NOREA, 1998. RE gids, 2008/2009. Risk management: business meets audit risk, 2008. Websites http://www.afm.nl/marktpartijen/default.ashx?FolderId=1216 http://www.brzo99.nl/aspx/get.aspx?xdl=/ http://www.dnb.nl/openboek/extern/id/nl/all/40-160353.html http://www.grondweteuropa.nl/9326000/1f/j9vvghpme8dg6oj/vh25de3z1qxm http://www.group.abnamro.com/pressroom/pressreleasedetail.cfm?ReleaseID=278325 Sanctieregeling terrorisme 2007, via www.afm.nl http://www.treas.gov/offices/enforcement/ofac/faq/matrix.pdf http://www.un.org/sc/committees/ http://www.ustreas.gov/offices/enforcement/ofac/regulations/facbk.pdf
34
Risico’s en IT-maatregelen bij sanctiewetgeving
Lijst met gebruikte afkortingen AML / CTF
Anti-money laundring / Counter-Terrorism Financing
CDD
Customer Due Dilligence
e-CTFSL
electronic-Consolidated Targeted Financial Sanctions List, the database supports the application of financial restrictions that are crucial to help prevent the financing of terrorism and support the EU's Common Foreign and Security Policy
FATF
Financial Action Taks Force, an inter-governmental body whose purpose is the development and promotion of national and international policies to combat Money laundring and terrorist financing.
OFAC
Office of Foreign Assetts Control
KYC
Know Your Customer, een set van processen en activiteiten om gegevens ten aanzien van klanten te verzamelen en vast te leggen.
The Wolfsberg Group
Een samenwerkingsverbang van elf internationaal toonaangevende banken.
UNSC
United Nations Sanction Committee
Wwft
Wet ter voorkoming van witwassen en financiering terrorisme
35
Risico’s en IT-maatregelen bij sanctiewetgeving
Bijlage A: Overzicht van OFAC programma’s en gerelateerde wetgeving OFAC Country Sanctions Programs Balkan Sanctions Belarus Sanctions Burma Sanctions Cote d’Ivoire (Ivoorkust) Cuba Sanctions Democratic Republic of the Congo Sanctions Iran Sanctions Irak Sanctions Liberia Sanctions Libya Sanctions North Korea Sanctions Sudan Sanctions Syria Sanctions Zimbabwe Sanctions Tabel A.1. Overzicht van OFAC Country Sanctions Programs.
OFAC List-based Sanction Programs Anti-Terrorism Sanctions Counter Narcotics Trafficking Sanctions Non-proliferation Sanctions Diamond Trading Sanctions Persons Undermining The Sovereignty Of Lebanon Or Its Democrating Processes And Institutions Tabel A.2. Overzicht van OFAC List-based Sanction Programma’s.
Specially Designated Persons Specially Designated Terrorists Specially Designated Global Terrorists Specially Designated Narcotics Traffickers Specially Designated Kingpins Foreign Terrorist Organizations Non-Specially Designated Palestinian Legislative Counsel
Afkorting SDT’s SDG’s SDNT’s SDNTK’s FTO’s NS-PLC (Establishing a sound OFAC program)
Tabel A.3. Overzicht van categorien en afkortingen van Specially Designated Nationals and Blocked Persons.
36
Risico’s en IT-maatregelen bij sanctiewetgeving
Bijlage B: Risico’s volgens het FFIEC-manual Risk category Customer base
Low Stable, well-known customer base in a localized environment.
Amount of high-risk customers
Few high-risk customers; these may include nonresident aliens, foreign customers (including accounts with U.S. powers of attorney) and foreign commercial customers. No overseas branches and no correspondent accounts with foreign banks. No electronic banking (e-banking) services offered, or products available are purely informational or non-transactional.
Number of overseas branches Offering of electronic banking
Amount transfers
of
Amount international transactions History actions.
of
funds
of
OFAC
Limited number of funds transfers for customers and non-customers, limited third-party transactions, and no international transfers. No other types of international transactions, such as trade finance, cross-border ACH, and management of sovereign debt. No history of OFAC actions. No evidence of apparent violation or circumstances that might lead to a violation.
Moderate Customer base changing duet o branching, merger or acquisition in the domestic market. A moderate number of high-risk customers.
High A large, fluctuating client base in an international environment.
IT-relevantie Nihil
A large number of high-risk customers.
nihil
nihil
A moderate number of funds transfers, mostly for customers. Possibly, a few international funds transfers from personal or business accounts. Limited other types of international transactions.
Overseas branches or multiple correspondent accounts with foreign banks. The bank offers a wide array of e-banking products and services(i.e. account transfers, ebill payment, or accounts opened via the Internet). A high number of customer and non-customer funds transfers, including international funds transfers. A high number of other types of international transactions.
A small number of recent actions (i.e. actions within the last five years) by OFAC, including notice letters, or civil money penalties, with evidence that the bank addressed the issues and is not at
Multiple recent actions by OFAC, where the bank has not addressed the issues, thus leading to an increased risk of the bank undertaking similar
Overseas branches or correspondent accounts with foreign banks The bank offers limited products and services.
e-banking
medium
nihil
nihil
nihil
37
Risico’s en IT-maatregelen bij sanctiewetgeving Risk category
Low
Moderate risk of similar violations in the future.
High violations in the future.
IT-relevantie
Table 12. Quantity of Risk Matrix—OFAC Procedures. Subject Level of risk assessment
Low Management has fully assessed the bank’s level of risk base don its customer base and product lines. This understanding of risk and strong commitment to OFAC compliance is satisfactorily communicated throughout the organization.
Designation of a qualified OFAC officer
Authority and accountability for OFAC compliance are clearly defined and enforced, including the designation of a qualified OFAC officer.
Moderate Management exhibits a reasonable understanding of the key aspects of OFAC compliance and its commitment is generally clear and satisfactorily communicated throughout the organization, but it may lack a program appropraitely tailored to risk. The board has approved an OFAC compliance program that includes most of the appropriate policies, procedures, maatregelen and information systems necessary to ensure compliance, buts ome weaknesses are noted. Staffing levels appear generally adequate, but some deficiencies are noted, Authority and accountability are defined, buts ome refinements are needed. A qualified OFAC officer has been designated.
Existence of an approved compliance program
The board of directors, or board committee, has approved an OFAC compliance program that includes policies, procedures, controls and information systems that are adequate, and consistent with the bank’s OFAC risk profile. Staffing levels appear adequate to properly execute the OFAC compliance program.
Training
Training is appropriate and effective base don the bank’s risk profile, covers applicable personnel, and provides necessary up-to-date information and resources to ensure compliance. The institution employs strong quality
Training is conducted and management provides adequate resources given the risk profile of the organization; however, some areas are not covered within the training program. The institution employs limited quality
Staffing levels
Employment of
High Management does not understand, or has chosen to ignore, key aspects of OFAC compliance risk. The importance is not emphasized or communicated throughout the organization. The board ha snot approved an OFAC compliance program, or policies, procedures, maatregelen, and information systems are significabtly deficiënt.
IT-relevantie nihil
Management has failed to provide appropriate staffing levels to handle the workload. Authority and accountability for compliance have not been clearly established. No OFAC compliance officer, or an unqualified one, has been appointed. The role of the OFAC officer is unclear. Training is sporadic and does not cover important regulatory and risk areas.
Kundigheid IT-afdeling
Training in gebruik van systemen
The institution does not employ
Nihil
nihil
IT-kennis en kunde OFAC officer
38
Risico’s en IT-maatregelen bij sanctiewetgeving Subject quality maatregelen Compliance considerations
Low control methods.
Moderate control methods.
High quality control methods.
IT-relevantie
Compliance considerations are incorporated into all products and areas of the organization.
Compliance considerations are overlooked, but in high-risk areas, and management promised corrective action when deficiencies were identified.
Nihil
Policies for screening transactions
Effective policies for screening transactions and new accounts for Specially Designated Nationals and Blocked Persons (SDNs) and sanctioned countries is in place. These policies take into account the level of risk of the type of transaction being screened. Compliance systems and maatregelen effectively identify and appropriately report potential OFAC violations. Compliance systems are commensurate with risk. Records are retained that document such reporting. On a periodic basis, determined by the bank’s level of risk, all existing accounts are checked to ensure that problem accounts are properly blocked or restricted, depending on the requirements of the relevant sanctions program. Compliance systems and maatregelen quickly adapt to changes in the OFAC SDN list and country programs, regardless of how fequently or infrequently those changes occur. Independent testing of a compliance program’s effectiveness is in place. An
Policies for screening transactions and new accounts exist but are not properly aligned with the bank’s level of risk.
Compliance considerations are not incorporated into numerous areas of the organization, or do not adequately cover high-risk areas. Policies for screening transactions and new accounts do not exist.
Compliance systems and maatregelen generally identify potential OFAC violations, but the systems are not comprehensive based on risk or have some weaknesses that allow inaccurate reporting. Accounts are periodically checked to ensure that problem accounts are properly blocked or restricted, but this does not occur often enough based on the bank’s level of risk.
Compliance systems and maatregelen are ineffective in identifying and reporting OFAC violations and are not commensurate with the bank’s level of risk. Existing accounts are not reviewed to ensure that problem accounts are properly blocked or restricted.
Back-ups, reporting reliability, filtering software.
Compliance systems and maatregelen are generally adequate and adapt to changes in the OFAC SDN list and country programs.
Compliance systems and maatregelen are not current and are inadequate to comply to the changes to the OFAC SDN list and country programs. Independent testing is not in place or is ineffective. Testing
Change management
Ability effectively identify violations
to
Checking of accounts on a periodical basis
Changes systems
Independent testing
to
Overall, independent testing is in place and effective, buts ome weaknesses are
Monitoring systemen
Data analyse, monitoring systemen
39
Risico’s en IT-maatregelen bij sanctiewetgeving Subject
Problem management
Compliance problems
Low independent audit function tests OFAC compliance with regard to systems, training and use. Problems and potential problems are quickly identified, and management promptly implements meaningful corrective action.
Overall, appropriate compliance maatregelen and systems have been implemented to identify compliance problems and assess performance.
Moderate noted.
High performed is independent.
IT-relevantie
Problems are generally corrected in the normal course of business without significant investment of money or management attention. Management is reasonably reponsive when deficiencies are identified. In general, no significant shortcomings are evident in compliance maatregelen or systems.
Errors and weaknesses are not self-identified. Management is dependent on regulatory findings or responds only when violations are cited or penalties assessed.
ITmanagement procedures
Significant problems are evident. The likelihood of continued compliance violations or noncompliance is high because a corrective action program does not exist, or extended time is needed to implement such a program.
Juiste implementatie van systemen
not
considered
Table B.1. Additional factors to consider (bron: http://www.treas.gov/offices/enforcement/ofac/faq/matrix.pdf)
40
Risico’s en IT-maatregelen bij sanctiewetgeving
Bijlage C: Gespreksverslagen praktijkonderzoek Gespreksverslag Bank1 d.d. 23-02-2009 Aan: Van: Datum:
interviewee Feroz Falix, Martijn Gils 23 februari 2009
In het kader van ons afstudeeronderzoek hebben wij op persoonlijke titel een bespreking gevoerd met persoon x en persoon y van bank1. Binnen binnen bank1 Nederland dragen zij de verantwoordelijkheid vanuit Compliance voor de inrichting van wet- en regelgeving, het organiseren van bewustwordingssessies, opstellen van handleidingen en het monitoren van het personeel en uitgaande documenten. In dit document zijn de belangrijkste besproken onderwerpen opgenomen. 1 Achtergrond en organisatie van compliance binnen bank1 Nederland Binnen bank1 Nederland zijn twee integrity officers die leiding geven aan de verschillende divisies. Elke divisie heeft op zijn beurt twee compliance officers. Bij de divisie bank1 Nederland zijn dit persoon x en persoon y. Bank1 houdt zich binnen Nederland alleen bezig met het betalingsverkeer van eigen producten zoals hypotheken, internet- sparen .en beleggen. 2 Risico analyse Bank1 Nederland heeft de volgende risico’s onderkend ten aanzien van sanctiewetgeving: Het accepteren van klanten die op sanctielijsten staan Het accepteren van medewerkers die op de sanctielijst staan Het leveren van diensten aan klanten die op sanctielijsten staan Het onjuist verwerken van transacties door eigen personeel (onder meer door hoog verloop onder personeel) Het leveren van diensten die ten behoeve van witwassen, financiering van terroristen worden gebruikt. Bank1 Nederland heeft een risico-afweging gemaakt ten aanzien van de risico’s die zij lopen voor sanctiewetgeving. Gezien het feit dat zij ‘lage risico producten’ voeren (dus bijvoorbeeld geen rekening courantproducten) boekingen altijd naar één tegenrekening is DLB van mening dat de risico’s voor sanctiewetgeving laag zijn. Hun controleomgeving is navenant ingericht.
41
Risico’s en IT-maatregelen bij sanctiewetgeving 3
Interne controle
3.1 Proces aannemen en periodiek beoordelen van klanten Wij hebben vernomen dat bank1 Nederland gebruikt maakt van een handleiding voor klantacceptatiebeleid. Monitoring van het klantenbestand vindt periodiek plaats en is uitbesteed aan de firma x. Bij de monitoring wordt gebruik gemaakt van de EU- sanctielijsten (e-CTFSL database van De Nederlandse Vereniging van Banken / ECB). Op het moment dat een nieuwe lijst beschikbaar is, ontvangt bank1 Nederland een email met daarin de melding dat nieuwe sanctielijsten beschikbaar zijn. Deze lijsten worden vervolgens handmatig door bank1 Nederland geïnstalleerd. Door middel van een log bestand kan aangetoond worden dat dit ook daadwerkelijk heeft plaatsgevonden. Logbestanden worden voor een periode van 10 jaar bewaard, waarvan 7 jaar direct ontsloten en beschikbaar zijn voor de compliance officer op zijn werkplek. Bank1 Nederland heeft verder geen maatregelen ter borging van de volledigheid van de gebruikte lijsten (bijvoorbeeld gebruik van hash-totals). 3.2 Proces uitvoeren van betalingen Wij hebben vernomen dat bank1 Nederland betalingen uitvoert volgens een procedure. Een voorbeeld hiervan is dat geen buitenlandse betaling plaats mag vinden zonder fiattering van de compliance officer. Wegens de geringe omvang van bank1 Nederland en het feit dat alleen betalingsverkeer van professionele cliënten en ( treasury ) voor de eigen producten plaatsvindt, is geen volledig geautomatiseerde transactiemonitoring- systeem aanwezig. Wel vinden er plausibiliteitcontroles plaats op transacties door middel van een zelfgebouwde applicatie (queries). Voorbeelden hiervan zijn: Soort transacties versus dienst Trends in transacties op omvang, hoeveelheid, etc. Wat betreft de monitoring op transacties door middel van sanctielijsten hebben wij vernomen dat dit door bank x wordt uitgevoerd. Dit vanwege het feit dat al het betalingsverkeer van bank1 Nederland via bank x loopt. Ook is vernomen dat bank x alleen de buitenlandse betalingen beoordeelt. Binnenlandse betalingen worden dus niet gecontroleerd op sanctielijsten. Daarnaast hebben wij vernomen dat bank1 en bank x een SLA zijn overeengekomen en jaarlijks een SAS70 zullen krijgen. 3.3 Filterlijsten Bank1 Nederland gebruikt voor monitoring van het klanten bestand de EU-sanctielijsten. De monitoring op het transactiebestand vindt plaats door bank x (alleen de buitenlandse betalingen). Het is niet duidelijk welke sanctielijsten bank x hierbij gebruikt. Verder hebben wij vernomen dat bank1 Nederland geen maatregelen heeft ter borging van de juistheid, volledigheid en tijdigheid van de gebruikte lijsten (bijvoorbeeld bij het ophalen en installeren van nieuwe of gewijzigde lijsten). Dient wel tot uitdruking te komen in de SAS70 verklaring.
42
Risico’s en IT-maatregelen bij sanctiewetgeving Wij hebben vernomen dat bank1 Nederland geen uitzonderingen op sanctielijsten (‘exemptions’) registreert, omdat slechts twee banken in Nederland hierin faciliteren. Daarnaast hebben wij begrepen dat filterlijsten decentraal (dus per divisie) worden geïnstalleerd, zonder dat hierover bedrijfsbrede afstemming bestaat. 4 Independent testing De Compliance Officers van bank1 Nederland voeren periodiek deelwaarnemingen uit ter controle van de naleving van o.a. sanctie wet- en regelgeving conform een monitorings programma. Het is ons nog niet duidelijk waarop precies wordt beoordeeld bij deelwaarnemingen op het transactie- of klantenbestand. Verder hebben wij vernomen dat de interne accountants(met inbegrip van IT-auditors) dienst door middel van operational audits de werking van de processen te testen. Wat en wanneer er getest wordt is ons niet duidelijk. 5 Responsible individual Melding naar de juiste autoriteiten vindt plaats door de Compliance afdeling ( Wwft ). Het is ons hierbij niet duidelijk welke procedures worden gevolgd en op welke wijze gerapporteerd wordt. Ingeval ongebruikelijke transacties worden geïdentificeerd door bank1 Nederland vindt er melding plaats aan de Financial Inteligence Unit (FIU) en niet naar de betreffende klant. In geval het een melding betreft ten aanzien van de sanctie- lijsten vindt melding plaats aan De Nederlansche Bank (DNB). De Compliance Officers rapporteren daarnaast periodiek (maandelijks, per kwartaal en per jaar) over incidenten ten aanzien o.a. sanctiewetgeving aan het management van bank1 Nederland. 6 Training Training van het personeel vindt jaarlijks plaats. Hierbij worden bewustwordingsessies georganiseerd door de Compliance Officers. Het is ons niet duidelijk op welke wijze de training zijn vormgegeven en op wat voor manier de kennis en kunde van het personeel wordt gemeten.
43
Risico’s en IT-maatregelen bij sanctiewetgeving
Gespreksverslag Bank2 d.d. 02-03-2009 Aan: persoon x Van: Feroz Falix, Martijn Gils Datum: 2 maart 2009 In het kader van ons afstudeeronderzoek hebben wij op persoonlijke titel een bespreking gevoerd met persoon x, compliance officer bij Bank2. Bank2 is onderdeel van de Japanse financiële instelling “Bank2 Financial Group” en draagt zorg voor de buitenlandse activiteiten in Nederland, België en Spanje waarbij het merendeel van de klanten beursgenoteerde bedrijven zijn. De heer x is in zijn rol als compliance officer verantwoordelijk voor onder andere het inrichten van wet- en regelgeving binnen Bank2. In dit document zijn de belangrijkste besproken onderwerpen opgenomen. 1 Proces aannemen en periodiek beoordelen van klanten Bank2 heeft een inventarisatie gemaakt van de risico’s voor sanctiewetgeving die zij lopen bij het aannemen van klanten. Gezien het feit dat het merendeel van de klanten beursgenoteerde onderneming zijn, is Bank2 van mening dat de risico’s ten aanzien van de klanten, verleende diensten en gevoerde producten voor sanctiewetgeving laag zijn. Bank2 is van mening dat het ‘landenrisico’ het meest relevante risico is ten aanzien van sanctiewetgeving. Wij hebben vernomen dat binnen Bank2 een Know-Your-Customer-check (hierna: KYC) wordt uitgevoerd voor nieuwe klanten door middel van een Lotus Notes applicatie (er loopt een project om dit proces via Fircosoft te laten verlopen). Hierbij wordt gebruikt gemaakt van sanctielijsten die zijn samengesteld en worden beheerd in Londen (zie hoofdstuk 3 “Filterlijsten”.) Het aanpassen van deze lijst in de Lotus Notes applicatie vindt dagelijks plaats of op het moment dat belangrijke wijzigingen aan sanctielijsten worden doorgevoerd door de wetgever. Op basis van de volgende gegevens vindt in de applicatie een risicocalculatie plaats: Klantnamen (belanghebbenden) Bedrijfsnaam Producten van de klant Geografische activiteiten Te leveren diensten Hierbij worden de volgende classificaties zijn te onderkend: Laag Gemiddeld Hoog
44
Risico’s en IT-maatregelen bij sanctiewetgeving Bij een risicoclassificatie van laag wordt deze klant eens in de drie jaar gereviewed. Bij een gemiddelde classificatie eens per jaar en bij een hoge classificatie elk halfjaar. 2 Uitvoeren van transacties Bank2 heeft een risico- afweging gemaakt ten aanzien van de sanctiewetgeving- risico’s die zij lopen bij het uitvoeren van transacties. Gezien het feit dat het merendeel van de transacties betrekking hebben op beursgenoteerde bedrijven (weinig particuliere klanten) is Bank2 van mening dat de risico’s voor sanctiewetgeving laag zijn. Monitoring op transacties vindt centraal in Londen plaats door middel van sanctielijsten via een volledig geautomatiseerd systeem (Fircosoft). Alle transacties (Equens en SWIFT berichten) gaan dus ook via Londen. Bank2 heeft aangegeven dat de kans klein is dat betalingen buiten Equens of SWIFT worden uitgevoerd. Hierdoor is de kans klein dat transacties niet gescand worden tegen de sanctielijsten. Hits op betalingen worden geadministreerd in de applicatie Fircosoft. Hierbij wordt gebruik gemaakt van ‘fuzzy logic’. Doordat Mizuho de applicatie pas twee maanden in gebruik heeft, wordt de fuzzy logic momenteel getest in Londen. Hierbij wordt een afweging gemaakt tussen de match percentages en het aantal hits. Het is echter onduidelijk of hierbij een standaard test set wordt gebruikt. Daarnaast maakt Mizoho gebruik van uitzonderingslijsten met namen en woorden die tot false positives kunnen leiden. Wij hebben vernomen dat het beheer van deze lijsten in overeenstemming is met de manier waarop sanctielijsten worden beheerd. Back-up van de transactiemonitoring- omgeving vindt periodiek plaats. Ook is een Disaster-and- Recovery Plan (hierna: DRP) aanwezig. 3 Filterlijsten Bank2 gebruikt voor monitoring op het klanten- en transactiebestand de UN, EU, NL, OFAC en MOF-sanctielijsten. Dit vindt centraal in Londen plaats. Wij hebben vernomen dat Bank2 de juistheid, volledigheid en tijdigheid van de gebruikte lijsten door middel van de volgende maatregelen borgt: Lijsten worden centraal aangepast in Londen waarbij decentrale terugkoppeling plaatsvindt vanuit nationale kantoren. Er vindt logging plaats van de update. Hierdoor is vast te stellen op welk moment, welke wijzigingen worden doorgevoerd door welke persoon. Update mails van de Nederlandse Vereniging van Banken (hierna: NVB) en E-CTFSL ter controle op de update uitgevoerd door Londen. Hierbij wordt hetgeen is aangepast door de compliance officer van Bank2 aangesloten met de lijsten in de software. Lokale updates worden door de compliance officer van Bank2 gecommuniceerd aan Londen. Na verwerking door Londen vindt terugkoppeling plaats. Dit wordt vervolgens weer beoordeeld door de compliance officer. Beperkte toegang op de transactiemonitoringomgeving (logische toegangsbeveiliging procedures). Wijzigingen op de transactiemonitoringomgeving worden beheerst in productie gebracht (change management procedures).
45
Risico’s en IT-maatregelen bij sanctiewetgeving Back-up van de transactiemonitoringomgeving (inclusief de lijsten en logging vindt periodiek plaats). Ook is een DRP aanwezig. Het is onduidelijk welke eisen gesteld worden ten aanzien van de beveiliging van betaalbestanden en logfiles van betaalbestanden. 4 Independent testing Wij hebben vernomen dat periodiek independent testing plaatsvindt door de interne accountants dienst van Bank2. Wij hebben begrepen dat de interne accountsdienst een aantal controls heeft gedefinieerd. Het is ons echter onduidelijk hoe en welke componenten van de transactiemonitoringomgeving worden getest en welke controls gedefinieerd zijn.
46
Risico’s en IT-maatregelen bij sanctiewetgeving
Gespreksverslag Bank3 d.d. 08-03-2009 Aan: Van: Datum:
List manager Feroz Falix, Martijn Gils 8 maart 2009
In het kader van ons afstudeeronderzoek hebben wij op persoonlijke titel een bespreking gevoerd met de heer ‘list manager’ van Ernst & Young Advisory (hierna: EY). De list manager heeft deelgenomen aan verscheidene compliance projecten ten aanzien transactiemonitoring en sanctiewetgeving en was tijdens deze projecten onder andere verwantwoordelijk voor het opstellen en implementeren van beheerprocedures ten aanzien van sanctielijsten in transactiemonitoring- omgevingen. Tijdens de bespreking is alleen ingegaan op de IT- risico’s en daaruit voortvloeiende maatregelen. Tevens is tijdens het gesprek het betreffende dossier besproken. In dit document zijn de belangrijkste besproken onderwerpen opgenomen. De besproken onderwerpen hebben wij aangevuld met eigen kennis van risico’s en IT-maatregelen die wij op dit project opgedaan hebben. 1 Geïdentificeerde risico’s Het niet consistent en efficiënt beheren van verschillende sanctielijsten is bij Bank3 door EY geïdentificeerd als het belangrijkste IT- risico. Een voorbeeld situatie dat zich heeft afgespeeld bij Bank3 is dat de scanning tool niet overweg kan met ‘Stelink’ betaalbestanden (gebruikt in de UK en Zwitserland). Hierdoor is het nodig de betaalbestanden om te zetten in RJE formaat. Het risico bestaat hierbij dat betaalbestanden onjuiste of onvolledige inhoud bevatten. Een ander risico die we hebben geïdentificeerd is het ongeautoriseerde toegang tot monitoringsystemen. 2 Geïdentificeerde IT-maatregelen Het belangrijkste risico “Het niet consistent en efficiënt beheren van verschillende sanctielijsten” is bij Bank3 afgedekt door middel van de volgende ITmaatregelen: Wijzigingen aan de transactiemonitoring- omgeving en sanctielijsten worden beheerst in productie gebracht. Toegang tot de transactiemonitoring- omgeving en sanctielijsten is afgeschermd door middel van een gebruikersnaam met bijbehorend wachtwoord. Updates aan de sanctielijsten en onderdrukkingslijsten(good guy lists) worden in een logboek vastgelegd en opvolgend genummerd. Dit wordt door de applicatie Fircosoft ondersteund. Controle tussen interne(toevoegingen aan good guy lists) en externe(toevoegingen sanctiewetgeving- autoriteiten) -updates en het logboek. Dit om periodiek de volledigheid van de interne en externe updates vast te stellen. Het beschikken over een procedure van logische toegangsbeveiliging.
47
Risico’s en IT-maatregelen bij sanctiewetgeving
Gespreksverslag Bank4 d.d. 08-03-2009 Aan: Van: Datum:
List manager Feroz Falix, Martijn Gils 8 maart 2009
In het kader van ons afstudeeronderzoek hebben wij op persoonlijke titel een bespreking gevoerd met de heer ‘list manager’ van Ernst & Young Advisory (hierna: EY). De list manager heeft deelgenomen aan verscheidene compliance projecten ten aanzien transactiemonitoring en sanctiewetgeving en was tijdens deze projecten onder andere verwantwoordelijk voor het opstellen en implementeren van beheerprocedures ten aanzien van sanctielijsten in transactiemonitoring- omgevingen. Tijdens de bespreking is alleen ingegaan op de IT- risico’s en daaruit voortvloeiende IT- maatregelen. Tevens is tijdens het gesprek het betreffende dossier besproken. In dit document zijn de belangrijkste besproken onderwerpen opgenomen. De besproken onderwerpen hebben wij aangevuld met eigen kennis van risico’s en IT-maatregelen die wij op dit project opgedaan hebben. 1
Geïdentificeerde risico’s Wij hebben de volgende IT- risico’s geïdentificeerd bij Bank4 op basis van de bespreking met de list manager en ons uitgevoerde dossier review: Het niet integer en consistent beheren van de sanctielijsten en uitzonderingslijsten. Het niet integer en consistent verlopen van het data filtering proces. Het niet één op één importeren van sanctielijsten in de filtersoftware. Verlies van data is hierdoor mogelijk. Het niet tijdig updaten van filters. Ongeautoriseerde personen hebben toegang tot transactiegegevens en transactiemonitoringsystemen. Ongeautoriseerde wijzigingen aan transactiegegevens of niet alle transacties worden gefilterd. Ongeautoriseerde personen hebben toegang tot systemen waarmee klantgegevens worden beheerd. Toegang tot sanctielijsten en uitzonderingslijsten is niet beperkt tot geautoriseerde personen. Het ongeautoriseerd aanpassen van te filteren gegevens. Niet volledig veiligstellen van data voor een loop- back project. Het niet juist opzetten en beheren van een loop- back omgeving. Onjuist gebruik en parametrisering ‘fuzzy logic’. Het onterecht goedkeuren van hits. Integriteit transactiegegevens is niet vast te stellen. Hits worden niet juist, tijdig of volledig gerapporteerd. Transactiegegevens worden onjuist geconverteerd voor gebruik in monitoringsystemen. Variaties van termen op sanctielijsten worden niet opgemerkt tijdens het filterproces. Transactiegegevens zijn niet beschikbaar / worden niet voor langere tijd bewaard.
48
Risico’s en IT-maatregelen bij sanctiewetgeving
2
Geïdentificeerde IT-maatregelen Wij hebben de onderstaande IT- maatregelen aangetroffen die door Bank4 zijn geïmplementeerd ter afdekking van bovenstaande IT- risico’s. Controle door een medewerker die een aansluiting maakt tussen de Fircosoft Logboeken en de wijzigingslijst. Gericht op efficiency van filtering: het gebruik van repressieve lijsten ter voorkoming van foutieve hits. Gebruik md5-hash om integriteit van de inhoud van data te bepalen. Gebruik van wijzigingsverzoeken bij het wijzigingen van sanctielijsten en repressieve lijsten. Het gebruik van een wachtwoord procedure voor toegang tot monitoringsystemen. Het loggen van aanlogpogingen op monitoringsystemen Het periodiek beoordelen van gebruikersrechten. Via data analyse onderzoeken of wijzigingsverzoeken aan sanctielijsten daadwerkelijk zijn geïmplementeerd in de filtersoftware. Het centraal beheren van de sanctielijsten en repressieve lijsten. Hierbij wordt de nodige aandacht besteed aan beveiliging waaronder logische toegangsbeveiliging. Het vergelijken van sanctie en uitzonderingslijsten met de in gebruikzijnde filters. Gebruikte sanctielijsten hebben een oplopend versienummer. Tevens wordt een hash van de betreffende sanctielijst berekend. Het tijdig wijzigen van sanctielijsten. Het reguleren van toegang tot de monitoringsystemen door middel van een procedure voor logische toegangsbeveiliging (gebruik van gebruiksaccount met wachtwoord, afdwingen wachtwoordeisen en periodiek beoordelen autorisaties) Het vaststellen van de volledigheid van transacties bij het uitvoeren van een loop- back project. Het vaststellen van de betrouwbaarheid van de gebruikte filters bij het uitvoeren van een loop- back project. (Het scannen met filters die op dat moment in de tijd van toepassing waren) Het beheren van een loop-back omgeving. Hierbij wordt specifieke aandacht besteed aan wijzigingsbeheer, toegangsbeveiliging. Met data analyse vaststellen hoeveel transacties gefilterd en gemonitored zijn en deze vergelijken met aantal uitgevoerde betalingen. Gebruik van standaard testset van transactiegegevens bij ‘gebruik fuzzy logic’. Toepassen vier ogen principe bij het beoordelen van hits. Met data analyse vaststellen of hits ten onrechte worden goedgekeurd. Bijvoorbeeld een controle op de beoordelingsnelheid. Transactiegegevens versleuteld opslaan en checksum van transactiebestanden maken. Voorkomen dat hits verwijderd kunnen worden door ongeautoriseerde personen en het gebruik van een workflow management systeem. Met data analyse vaststellen of transactie gegevens juist en volledig zijn geconverteerd. Het beschikken over een back-up & recovery procedure.
49
Risico’s en IT-maatregelen bij sanctiewetgeving
Bijlage D: Overzicht van risico’s en IT-maatregelen vanuit IT-auditperspectief, sanctiewetgeving en vanuit de praktijk Het onderstaande overzicht bevat per hoofdproces een overzicht van hoofdrisico’s en daarvan afgeleide subrisico’s en bedreigingen die vanuit IT-audit perspectief zijn onderkend. De geformuleerde risico’s en bedreigingen zijn het resultaat van een door onszelf uitgevoerde risicoanalyse (zie hoofdstuk 3). Op basis van de onderkende bedreigingen hebben wij preventieve, repressieve en correctieve IT-maatregelen toegekend. Ten slotte hebben wij de in de literatuur en praktijk onderkende risico’s en maatregelen in de tabel opgenomen.
A Hoofdrisico: Het accepteren en beheren van klanten die gelieerd zijn aan personen, organisaties of landen opgenomen in sanctielijsten.
A.1 Subrisico: Ongeautoriseerde personen hebben toegang tot systemen waardoor zij klanten kunnen accepteren of beheershandelingen uit kunnen voeren waarvoor zij niet bevoegd zijn. A.1.1 Ongeautoriseerde personen verlenen zich toegang tot banksystemen om klanten te accepteren die op sanctielijsten voorkomen. Preventieve maatregel: Het toekennen van rechten geschiedt volgens een procedure voor logische toegangsbeveiliging die onder meer voorziet in functiescheiding tussen het aanvragen, goedkeuren, registreren en doorvoeren van gebruikersrechten. Een beperkt aantal beheerders zijn in staat om rechten toe te kennen aan gebruikers. Preventieve maatregel: Toegang tot banksystemen is afgeschermd met een persoongebonden gebruikersaccount en wachtwoord.
Bank 4
Omschrijving risico’s, bedreigingen en maatregelen
Bank 3
Praktijk Bank 1
Nr.
Bank 2
Literatuur
Banken totaal
Met deze tabel wordt het mogelijk om een vergelijking te maken tussen de risico’s, bedreigingen en maatregelen die wij vanuit IT-audit perspectief zouden verwachten aan te treffen, de risico’s, bedreigingen en maatregelen die in de literatuur onderkend zijn en de risico’s en maatregelen die in de praktijk zijn getroffen. Tijdens de uitvoering van ons praktijk onderzoek zijn risico’s en bedreigingen onderkend waarvoor geen IT-gerelateerde maatregel geformuleerd kon worden. Deze zijn niet in de onderstaande tabel opgenomen.
A Proces: Know Your Customer: het beoordelen van klanten tegen sanctielijsten.
50
Risico’s en IT-maatregelen bij sanctiewetgeving
Bank 4
Bank 3
Praktijk
Bank 2
Literatuur
Bank 1
Omschrijving risico’s, bedreigingen en maatregelen
Banken totaal
Nr.
Preventieve maatregel: Het afdwingen van wachtwoordeisen ten aanzien van samenstelling, lengte en verversingsfrequentie. Repressieve maatregel: Het vastleggen en periodiek beoordelen van mislukte aanlogpogingen tot gebruikersaccounts. Repressieve maatregel: Het periodiek beoordelen van autorisaties van gebruikers. A.1.2 Geautoriseerde personen verlenen accountgegevens aan ongeautoriseerde personen zodat deze toegang tot banksystemen verkrijgen om klanten te beheren en te accepteren. Preventieve maatregel: Het opstellen en afdwingen van een informatiebeveiligingsbeleid waaraan medewerkers zich aantoonbaar geconformeerd hebben. In dit beleid dient te zijn opgenomen dat accountgegevens niet aan derden bekend gemaakt mogen worden. A.1.3 Terminals met actieve sessies worden onbeheerd achtergelaten, waardoor ongeautoriseerde personen klanten kunnen accepteren. Preventieve maatregel: Toegang tot terminals met actieve sessies worden na korte tijd automatisch geblokkeerd. A.1.4 Ongeautoriseerde personen verlenen zich toegang tot databases met klantgegevens om op deze wijze klantgegevens te wijzigen. Preventieve maatregel: De beveiligingsinstellingen op het besturingssysteem zijn juist geconfigureerd. Repressieve maatregel: Toegang tot de database en het wijzigen van belangrijke objecten of klantgegevens in de database dient te worden gelogd. Loggegevens worden periodiek beoordeeld. A.2 Subrisico: Het uitvoeren van ongeautoriseerde activiteiten en wijzigingen bij het accepteren en beheren van klanten in het bestand. A.2.1 Geautoriseerde personen voeren onjuiste of onvolledige klantgegevens in. Preventieve maatregel: Banksystemen bevatten invoercontroles om te voorkomen dat onjuiste of onvolledige klantgegevens ingevoerd worden. Repressieve maatregel: Ingevoerde gegevens in de database worden met data-analyse periodiek beoordeeld op juistheid en volledigheid. Correctieve maatregel: Indien vastgesteld is dat gegevens in de database onjuist of onvolledig zijn, dienen deze achteraf aangevuld te worden. A.2.2 Geautoriseerde personen merken ten onrechte klanten als uitzondering (exemption) aan in banksystemen.
51
Risico’s en IT-maatregelen bij sanctiewetgeving
Bank 4
Bank 3
Praktijk
Bank 2
Literatuur
Bank 1
Omschrijving risico’s, bedreigingen en maatregelen
Banken totaal
Nr.
Preventieve maatregel: Het aanbrengen van functiescheiding tussen het aanmerken en autoriseren van klanten als uitzondering in banksystemen. Repressieve maatregel: Het vastleggen van het aanmerken van klanten als uitzondering in logbestanden. A.2.3 Geautoriseerde personen brengen ongeautoriseerde wijzigingen in het klantenbestand aan. Preventieve maatregel: Wijzigingen aan banksystemen worden gereguleerd middels een procedure voor wijzigingsbeheer. Deze procedure voorziet minimaal in het formuleren van wijzigingsvoorstellen, het laten goedkeuren van wijzigingsverzoeken en het doorvoeren van functiescheiding tussen aanvraag, testen, goedkeuren en doorvoeren van wijzigingen. Hierbij dient tevens een scheiding te bestaan tussen de test- en productieomgeving. Repressieve maatregel: Wijzigingen aan klantgegevens worden vastgelegd in een logbestand. Het logbestand wordt periodiek beoordeeld op ongeautoriseerde activiteiten. A.3 Subrisico: Sanctiewetgeving is op onjuiste of onvolledige wijze vertaald naar maatregelen en procedures ten aanzien van het accepteren en beheren van klanten. A.3.1 Het tijdig (periodiek) filteren en monitoren van het klantenbestand wordt niet aantoonbaar uitgevoerd. Preventieve maatregel: Het periodiek filteren van het klantenbestand wordt afgedwongen doordat dit als job gescheduled is. Repressieve maatregel: Het vastleggen van monitoringactiviteiten in logbestanden zodat achteraf vastgesteld kan worden dat gegevens periodiek gemonitored worden. Repressieve maatregel: Het periodiek beoordelen van afwijkingen aan geschedulde jobs. A.4 Subrisico: Klantgegevens zijn niet beschikbaar. A.4.1 Klantgegevens zijn niet opgeslagen. Preventieve maatregel: De bank beschikt over een back-up en recovery procedure. Repressieve maatregel: Een medewerker beoordeelt dagelijks of de back-up van gegevens geslaagd is. Repressieve maatregel: Recovery van klantgegevens wordt periodiek beoordeeld. A.4.2 Het monitoringsysteem voor klantgegevens is niet beschikbaar.
52
B Hoofdrisico: Het gebruik van onjuiste of onvolledige sanctielijsten of uitzonderingslijsten.
B.1 Subrisico: Ongeautoriseerde personen hebben toegang tot sanctie- en uitzonderingslijsten waardoor zij wijzigingen kunnen aanbrengen. B.1.1 Ongeautoriseerde personen verlenen zich toegang tot monitoringsystemen om wijzigingen aan te brengen aan sanctie- en uitzonderingslijsten waardoor deze niet juist of volledig zijn.
Bank 4
Omschrijving risico’s, bedreigingen en maatregelen
Bank 3
Praktijk
Bank 1
Nr.
Bank 2
Literatuur
Banken totaal
Risico’s en IT-maatregelen bij sanctiewetgeving
Preventieve maatregel: De bank beschikt over een uitwijkplan dat periodiek getest wordt. B Proces: Gebruik en beheer van sanctielijst, uitzonderingslijsten en programmatuur.
Preventieve maatregel: Het toekennen van rechten geschiedt volgens een procedure voor logische toegangsbeveiliging die onder meer voorziet in functiescheiding tussen het aanvragen, goedkeuren, registreren en doorvoeren van gebruikersrechten. Een beperkt aantal beheerders zijn in staat om rechten toe te kennen aan gebruikers. Preventieve maatregel: Toegang tot gegevens en monitoringsystemen is afgeschermd met een persoongebonden gebruikersaccount en wachtwoord. Preventieve maatregel: Het afdwingen van wachtwoordeisen ten aanzien van samenstelling, lengte en verversingsfrequentie. Repressieve maatregel: Het vastleggen en periodiek beoordelen van mislukte aanlogpogingen tot gebruikersaccounts. Repressieve maatregel: Het periodiek beoordelen van autorisaties van gebruikers. B.2 Subrisico: Het uitvoeren van ongeautoriseerde wijzigingen aan sanctie- en uitzonderingslijsten, alsmede monitoring- en filteringsystemen. B.2.1 Geautoriseerde personen installeren onjuiste of onvolledige sanctie- en uitzonderingslijsten in filter- en monitoringsystemen. Preventieve maatregel: Wijzigingen aan monitoringsystemen worden gereguleerd middels een procedure voor wijzigingsbeheer. Deze procedure voorziet minimaal in het formuleren van wijzigingsvoorstellen, het laten goedkeuren van wijzigingsverzoeken en het doorvoeren van functiescheiding tussen aanvraag, testen, goedkeuren en doorvoeren van wijzigingen. Hierbij dient tevens een scheiding te bestaan tussen de test- en productieomgeving.
53
Risico’s en IT-maatregelen bij sanctiewetgeving
Bank 4
Bank 3
Praktijk
Bank 2
Literatuur
Bank 1
Omschrijving risico’s, bedreigingen en maatregelen
Banken totaal
Nr.
Repressieve maatregel: Van sanctie- en uitzonderingslijsten die in productie worden genomen wordt een checksum berekend en vastgelegd zodat de integriteit van deze bestanden achteraf geverifieerd kan worden. B.2.3 Het is achteraf niet vast te stellen welke versie van sanctielijsten wordt gebruikt.
Repressieve maatregel: De sanctie- en uitzonderingslijsten die in gebruik zijn, zijn voorzien van een oplopend versienummer waardoor versiebeheer mogelijk wordt. Repressieve maatregel: Van sanctie- en uitzonderingslijsten die in productie worden genomen wordt een checksum berekend en vastgelegd zodat de integriteit van deze bestanden achteraf geverifieerd kan worden. B.3 Subrisico: Sanctiewetgeving is op onjuiste, niet-tijdige of onvolledige wijze vertaald naar sanctie- en uitzonderingslijsten. B.3.1 Gegevens op sanctielijsten zijn onjuist of onvolledig waardoor filtering en monitoring bemoeilijkt wordt.
Repressieve maatregel: Onafhankelijke personen voeren met behulp van data-analyse periodieke vergelijkingen uit tussen de in gebruik zijnde sanctie- en uitzonderlingslijsten en de lijsten die ontvangen zijn van toezichthoudende instanties. B.2.2 Wijzigingen aan gebruikte sanctie- en uitzonderingslijsten worden niet beheerd, waardoor filter- en monitoringresultaten achteraf niet zijn te reconstrueren. Preventieve maatregel: Wijzigingen aan sanctie- en uitzonderingslijsten, worden gereguleerd middels een procedure voor wijzigingsbeheer. Deze procedure voorziet minimaal in het formuleren van wijzigingsvoorstellen, het laten goedkeuren van wijzigingsverzoeken en het doorvoeren van functiescheiding tussen aanvraag, testen, goedkeuren en doorvoeren van wijzigingen. Hierbij dient tevens een scheiding te bestaan tussen de test- en productieomgeving. Repressieve maatregel: De sanctie- en uitzonderingslijsten die in gebruik zijn, zijn voorzien van een oplopend versienummer waardoor versiebeheer mogelijk wordt.
Preventieve maatregel: Met behulp van data-analyse vaststellen of gegevens op sanctielijsten overeenkomen met van toezichthoudende instanties ontvangen gegevens. B.3.2 Sanctielijsten worden niet tijdig gewijzigd op het moment dat wijzigingen of aanvullingen beschikbaar zijn, waardoor met verouderde lijsten wordt gewerkt.
54
Risico’s en IT-maatregelen bij sanctiewetgeving
Preventieve maatregel: Toezichthoudende organisaties versturen op geautomatiseerde wijze een notificatie (email) op het moment dat wijzigingen of aanvullingen aan sanctielijsten beschikbaar zijn. Repressieve maatregel: Het aanbrengen van wijzigingen aan sanctielijsten wordt vastgelegd in logbestanden. Logbestanden worden periodiek beoordeeld op het tijdstip van het effectueren van wijzigingen. B.4 Subrisico: Sanctie- en uitzonderingslijsten zijn niet beschikbaar.
Bank 4
Bank 3
Praktijk
Bank 2
Literatuur
Bank 1
Omschrijving risico’s, bedreigingen en maatregelen
Banken totaal
Nr.
B.4.1 Sanctie- en uitzonderingslijsten worden niet opgeslagen en bewaard. Preventieve maatregel: Het opstellen, uitvoeren en testen van een procedure voor back-up en recovery. C Proces: Filteren en monitoren van transactiegegevens tegen sanctielijsten C Hoofdrisico: Het uitvoeren van transacties van personen of entiteiten die in sanctielijsten zijn opgenomen of waarvan tegoeden bevroren dienen te worden.
C.1 Subrisico: Ongeautoriseerde personen hebben toegang tot transactiegegevens en transactiemonitoringsystemen.
C.1.1 Ongeautoriseerde personen verlenen zich toegang tot monitoringsystemen en keuren hits ten onrechte goed. Preventieve maatregel: Het toekennen van rechten geschiedt volgens een procedure voor logische toegangsbeveiliging die onder meer voorziet in functiescheiding tussen het aanvragen, goedkeuren, registreren en doorvoeren van gebruikersrechten. Een beperkt aantal beheerders zijn in staat om rechten toe te kennen aan gebruikers. Preventieve maatregel: Toegang tot gegevens en monitoringsystemen is afgeschermd met een persoongebonden gebruikersaccount en wachtwoord. Preventieve maatregel: Het afdwingen van wachtwoordeisen ten aanzien van samenstelling, lengte en verversingsfrequentie. Repressieve maatregel: Het vastleggen en periodiek beoordelen van mislukte aanlogpogingen tot gebruikersaccounts. Repressieve maatregel: Het periodiek beoordelen van autorisaties van gebruikers. C.1.2 Ongeautoriseerde personen vernietigen transactiegegevens.
55
Risico’s en IT-maatregelen bij sanctiewetgeving
Bank 4
Bank 3
Praktijk
Bank 2
Literatuur
Bank 1
Omschrijving risico’s, bedreigingen en maatregelen
Banken totaal
Nr.
Preventieve maatregel: Uitsluitend geautoriseerde personen hebben toegang tot transactiegegevens en beschikken over rechten om gegevens te verwijderen. Repressieve maatregel: Transactiegegevens dienen te worden voorzien van een uniek en oplopend kenmerk. Met behulp van data-analyse kan vervolgens een beoordeling worden uitgevoerd op missende transacties (‘sequence check’). Repressieve maatregel: Het verwijderen van gegevens wordt vastgelegd in een logbestanden. Dit logbestand dient periodiek beoordeeld te worden zodat vastgesteld kan worden welke persoon, welke gegevens verwijderd heeft. C.1.3 Ongeautoriseerde personen wijzigen transactiegegevens waardoor deze geen hit opleveren door sanctiefilters.
Preventieve maatregel: Uitsluitend geautoriseerde personen hebben toegang tot transactiegegevens en beschikken over rechten om gegevens te verwijderen. Repressieve maatregel: Hashtotalen van transactiegegevens worden hashtotalen berekend en vastgelegd zodat achteraf vastgesteld kan worden of wijzigingen aan transactiegegevens zijn aangebracht. Repressieve maatregel: Het verwijderen van gegevens wordt vastgelegd in een logbestanden. Dit logbestand dient periodiek beoordeeld te worden zodat vastgesteld kan worden welke persoon, welke gegevens verwijderd heeft. C.1.4 Ongeautoriseerde personen zorgen ervoor dat transacties niet gefilterd worden, waardoor verdachte transacties niet opgemerkt worden. Repressieve maatregel: met behulp van data-analyse vaststellen hoeveel transacties gefilterd en gemonitored zijn. Deze resultaten dienen periodiek vergeleken te worden met het aantal uitgevoerd betalingen. Correctieve maatregel: Transacties die ten onrechte ten gefilterd en gemonitored zijn, dienen achteraf alsnog verwerkt te worden. C.2 Subrisico: Het uitvoeren van ongeautoriseerde transacties en ongeautoriseerde wijzigingen aan transactiegegevens en transactiemonitoringsystemen.
56
Risico’s en IT-maatregelen bij sanctiewetgeving
C.2.1 Door onjuist gebruik en parametrisering van ‘fuzzy logic’ in monitoringsystemen worden ten onrechte transacties uitgevoerd van personen of entiteiten die op sanctielijsten staan. Preventieve maatregel: Met behulp van een standaard test-set van transactiegegevens valideren of filterresultaten overeenkomen met het verwachte resultaat. Repressieve maatregel: Logbestanden van het filterproces vergelijken met sanctielijsten. Indien afwijkingen worden aangetroffen, worden instellingen opnieuw geparametriseerd. C.2.2 Door onjuiste of onvolledige samenvoeging van verschillende sanctielijsten, worden transacties uitgevoerd van personen of entiteiten die op sanctielijsten staan of worden bevroren tegoeden vrijgegeven.
Bank 4
Bank 3
Praktijk
Bank 2
Literatuur
Bank 1
Omschrijving risico’s, bedreigingen en maatregelen
Banken totaal
Nr.
Repressieve maatregel: Met behulp van data-analyse een vergelijking uitvoeren van individuele lijsten met de samengestelde lijst. Missende gegevens dienen aan te totaallijst toegevoegd te worden. Correctieve maatregel: Transacties die zijn gefilterd en gemonitored tegen onjuiste en onvolledige sanctielijsten dienen achteraf alsnog tegen gecorrigeerde lijsten gefilterd en gemonitored te worden.
C.2.3 Geautoriseerde personen zetten onjuiste of onvolledige persoonsgegevens of entiteitengegevens op de sanctie- of uitzonderingslijst.
Preventieve maatregel: Het effectueren van een wijzigingsbeheerprocedure die voorziet in het aanbrengen van functiescheiding tussen het voorstellen en autoriseren van wijziging, verwijdering of toevoeging van personen of entiteiten aan sanctie- of uitzonderingslijsten.
Repressieve maatregel: Wijzigingen aan sanctie- en uitzonderingslijsten wordt gelogd. Logbestanden worden periodiek beoordeeld. C.2.4 Geautoriseerde personen keuren hits ten onrechte goed waardoor deze niet gerapporteerd wordt. Preventieve maatregel: Toepassing van het 4-ogen principe bij het monitoren van potentiële hits.
Repressieve maatregel: Met behulp van data-analyse achteraf vaststellen welke personen welke hits hebben goedgekeurd. C.2.5 Bewaarde transactiegegevens zijn niet integer of de integriteit van transactiegegevens is achteraf niet vast te stellen.
57
Risico’s en IT-maatregelen bij sanctiewetgeving
Bank 4
Bank 3
Praktijk
Bank 2
Literatuur
Bank 1
Omschrijving risico’s, bedreigingen en maatregelen
Banken totaal
Nr.
Preventieve maatregel: Hitresultaten kunnen niet gewijzigd of verwijderd worden door ongeautoriseerde personen.
Preventieve maatregel: Bij de beoordeling en documentatie van alerts en hits wordt gebruik gemaakt van een workflow management systeem waarmee een juiste verwerking van hits afgedwongen wordt.
Preventieve maatregel: Transactiegegevens worden versleuteld opgeslagen en zijn met een wachtwoord beveiligd. Repressieve maatregel: Van opgeslagen bestanden worden een checksum (hash-total) gemaakt die wordt vergeleken met een van te voren vastgelegd checksum. C.2.6 Hits worden onjuist, onvolledig of niet tijdig gerapporteerd aan de toezichthoudende instantie.
Preventieve maatregel: Een onafhankelijke medewerker beoordeelt periodiek of hits gerapporteerd dienen te worden. C.2.7 Transactiegegevens worden onjuist of onvolledig geconverteerd naar een bestand dat leesbaar is voor monitoringsystemen. Repressieve maatregel: Met behulp van data-analyse vaststellen of transactiegegevens onjuist en volledig zijn geconverteerd. Correctieve maatregel: Data die onjuist of volledig is geconverteerd achteraf aanvullen met missende gegevens. C.2.8 Transactiegegevens worden onjuist of onvolledig ingevoerd door bankmedewerkers.
Preventieve maatregel: Het instellen van invoercontroles die gericht zijn op het vaststellen van de juistheid en volledigheid van transactiegegevens. Repressieve maatregel: Met behulp van data-analyse vaststellen of transactiegegevens juist en volledig zijn geconverteerd. C.3 Subrisico: Sanctiewetgeving is op onjuiste of onvolledige wijze vertaald naar maatregelen en procedures ten aanzien van het filteren en monitoren van transacties. C.3.1 Personen en entiteiten worden ten onrechte op uitzonderingslijsten gesplaatst door verkeerde vertaling van sanctiewetgeving
58
Risico’s en IT-maatregelen bij sanctiewetgeving
Bank 4
Bank 3
Praktijk
Bank 2
Literatuur
Bank 1
Omschrijving risico’s, bedreigingen en maatregelen
Banken totaal
Nr.
C.3.2 Synoniemen en variaties (o.a. spelfouten) worden niet opgemerkt tijdens het filterproces.
Preventieve maatregel: Gebruik van ‘fuzzy logic’ om afwijkingen en spelfouten te onderkennen.
C.4 Subrisico: Transactiegegevens kunnen niet gefilterd en gemonitored worden doordat gegevens of monitoringsystemen niet beschikbaar zijn. C.4.1 Transactiegegevens zijn verloren gegaan. Preventieve maatregel: De bank beschikt over een back-up en recovery procedure. Preventieve maatregel: Een medewerker van de bank stelt dagelijks vast of transactiegegevens juist en volledig gelogd zijn. Repressieve maatregel: Recovery van transactiegegevens wordt periodiek beoordeeld. C.4.2 Transactiemonitoringsystemen zijn niet beschikbaar. Preventieve maatregel: De bank beschikt over een uitwijkplan dat periodiek getest wordt. C.4.3 Transactiegegevens worden niet bewaard gedurende een periode van minimaal 7 jaar, waardoor de transactiefiltering- en monitoringresultaten niet achteraf gereconstrueerd kunnen worden. Preventieve maatregel: De bank beschikt over een back-up en recovery procedure.
Repressieve maatregel: Na het maken van een log wordt beoordeeld of logging juist en volledig heeft plaatsgevonden. Repressieve maatregel: Recovery van transactiegegevens wordt periodiek beoordeeld. C.4.4 Logbestanden worden niet bewaard waardoor achteraf niet vast te stellen is dat transacties gemonitored worden. Preventieve maatregel: De bank beschikt over een back-up en recovery procedure die mede gericht is op het bewaren van transactiemonitoringgegevens. Repressieve maatregel: Na het maken van een log wordt beoordeeld of logging juist en volledig heeft plaatsgevonden. Repressieve maatregel: Recovery van transactiemonitoringgegevens wordt periodiek beoordeeld.
59