Hva er PEP? En PEP er en politisk eksponert person, eller en naer relasjon knyttet til en slik offentlig rolle, som kan kreve skjerpet risikovurdering i AML-arbeidet. Det blir relevant ved onboarding, periodisk gjennomgang og nye opplysninger som endrer risikobildet for en person, en representant eller en eierstruktur. Lagre kilde + tidspunkt + begrunnelse + policyversjon + ansvarlig rolle for hvert vesentlige utfall.

Kort svar

• Det gjelder når dere identifiserer en kunde, reell rettighetshaver, styremedlem eller annen representant som kan omfattes av PEP-kontroll.
• Lagre grunnlaget som viser hvilke identitetsopplysninger som ble brukt, hvilken kilde som ble kontrollert, hvordan treffet ble verifisert, og hvem som eide vurderingen.
• En vanlig fallgruve er å behandle et mulig PEP-treff som en ferdig beslutning i stedet for som et signal som fortsatt må vurderes i kontekst.
• Tydelig håndtering av PEP gjor risikoklassifisering, oppfolging og senere ny vurdering lettere å forklare.

Underlag å lagre (for sporbar kontroll)

• Identitetsopplysninger brukt i soket: Viser hvilke data kontrollen bygget på — Spara som: Sokelogg med navn, fodselsdato og eventuell identitetsreferanse
• Datakilde og kontrolltidspunkt: Gjor det tydelig hvilken registerkontroll som ble gjennomfort og når — Spara som: Kildereferanse med tidsstempel
• Treffverifisering og begrunnelse: Forklarer hvorfor treffet ble vurdert som relevant eller avvist — Spara som: Gjennomgangsnotat med begrunnelsesfelt
• Ansvarlig rolle og beslutningsdato: Viser ansvar og tidspunkt for risikoklassifiseringen — Spara som: Beslutningsrad med eier og dato

Definition og scope

PEP står for politisk eksponert person. Begrepet brukes når en person har, eller nylig har hatt, en offentlig rolle som kan gi hoyere risiko for korrupsjon, bestikkelser eller utilborlig påvirkning.

For risiko- og compliance-team betyr det ikke at personen automatisk skal avvises. Det betyr at forholdet kan kreve skjerpet gjennomgang, tydeligere begrunnelse eller tettere oppfolging i AML-kontroller.

Omfanget kan også gjelde naere relasjoner og medhjelpere der koblingen påvirker risikovurderingen. Derfor må identitetsdata, kildehenvisning og treffverifisering holdes sammen med den faktiske beslutningen.

Hvorfor det betyr noe

PEP-kontroller påvirker risikoklassifisering, onboarding og senere oppfolging. De brukes for å avgjore om en kunde eller representant trenger forsterkede tiltak, dypere gjennomgang eller tettere oppfolging i AML-arbeidet.

Svak dokumentasjon skaper raskt usikkerhet. Hvis en gjennomgang ikke viser hvilken person som ble kontrollert, hvilken kilde som ble brukt, om treffet ble verifisert eller hvorfor utfallet ble vurdert som rimelig, blir beslutningen vanskelig å forsvare senere.

Det påvirker også konsistensen mellom team. To like treff bor ikke lede til ulike utfall bare fordi identitetsgrunnlag, kildekontroll og begrunnelse ble dokumentert forskjellig.

Hva kontrollen dekker operativt

Arbeidet starter med å identifisere riktig person. For nordiske kontroller kan presisjonen avhenge av om dere bruker personnummer eller kombinasjonen navn og fodselsdato, mens globale registre ofte bygger på navn- og datomatching som krever mer verifisering.

Deretter må selve treffet settes i kontekst. Et mulig treff er ikke det samme som en ferdig beslutning, men et grunnlag som må knyttes til riktig person, riktig rolle og riktig risikovurdering.

Kontrollen må også kunne åpnes igjen når fakta endrer seg. Hvis en person får en ny offentlig rolle, går ut av vervet eller får en ny relasjon som påvirker risikobildet, bør samme logikk for gjennomgang og dokumentasjon brukes på nytt.

Vanlige risker og fallgropar

• Et mulig treff behandles som ferdig risikoklassifisering for identiteten er verifisert ordentlig.
• Teamet lagrer treffet, men ikke hvorfor det ble vurdert som relevant eller irrelevant.
• Soket kjores med for få identitetsopplysninger, noe som skaper unodig usikkerhet.
• PEP-kontrollen dokumenteres ved onboarding, men folges ikke opp når rollen eller relasjonen endrer seg.
• Kilder, treffbilde og beslutning havner i ulike systemer slik at neste gjennomgang ikke ser hele kjeden.

Disse problemene er som regel operative. Sporsmålet er sjelden om teamet vet at en PEP-kontroll er nødvendig, men om kontrollen kan gjennomfores og forklares på en konsekvent måte.

En praktisk process

1) Samle riktige identitetsopplysninger

Start med navn, fodselsdato og lokale identitetsdata der de finnes. Bedre input gjor det lettere å vurdere om treffet gjelder riktig person.

2) Verifiser treffet mot riktig individ

Hold registertreffet adskilt fra det endelige utfallet. Kontroller om resultatet gjelder riktig person, riktig rolle og riktig tidsperiode for dere går videre.

3) Dokumenter begrunnelse og ansvar

For hvert vesentlige utfall må dere kunne vise hvilken kilde som ble brukt, hvordan treffet ble verifisert, hvilken risikovurdering som ble gjort, og hvem som eide beslutningen.

4) Kjor oppfolging når forhold endrer seg

PEP-håndtering er ikke bare onboarding. Hvis en persons offentlige rolle endrer seg, nye relasjoner oppdages eller andre risikofakta kommer til, bør samme oppfolgingslogikk kjorers på nytt.

Roaring field guide

• Definer hvilke roller, relasjoner og treffbilder som skal utlose skjerpet gjennomgang eller ny kontroll.
• Lagre identitetsopplysninger, kildehenvisning, kontrolltidspunkt og beslutningsnotat slik at utfallet kan spilles tilbake senere.
• Hold treffet, verifiseringen og beslutningen adskilt slik at risikoklassifisering ikke hviler på et ubekreftet resultat.
• Send usikre treff til riktig team eller prosess med nok kontekst til å stotte en rimelig vurdering.
• Folg endringer i roller, relasjoner og annen risikoinformasjon over tid i stedet for å stole på en engangskontroll.

How Roaring can help

• Integration Suite kan fore PEP-kontroller inn i eksisterende AML-flyter slik at identitetsdata, treffbilde og beslutningsstotte holdes sammen i samme prosess.
• Lookup kan fungere som inngangsport for team som vil se hvordan PEP-data ser ut for de bygger en integrasjon.
• Monitoring og webhooks kan stotte oppfolging når en risikoprofil endrer seg etter onboarding.
• Nordiske og globale PEP-kilder kan gi bedre stotte til risikoklassifisering når treff må verifiseres mot riktig person og riktig rolle.