明確なポリシーでIWTへの取り組みに対する組織の対応を定めます。こうしたポリシーを支えるのが、組織がIWTのリスクに対するコントロールをどのようにオペレーションモデルに組み込むかを明示した手順(procedures)です。
- 3つの防衛線:ポリシーは組織全体をカバーする必要がありますが、シニアマネジメント、最前線のビジネスチーム、リスク&コンプライアンス、オペレーション、調達&人事など、組織内のさまざまなビジネスラインまたはグループごとに特定の手順を作成することが推奨されます。
- デューディリジェンス:顧客、スタッフ、第三者サプライヤー、投資、投資家に対するデューデリジェンスを通じて、IWTに直接的/間接的に加担するリスクを軽減します。
- 継続的なモニタリング:ビジネスの関係先を該当するIWTデータベースに対してスクリーニングして、顧客のオンボーディング時、および継続的に、犯罪につながるかもしれない潜在的なリンクを特定する必要があります。
- リスク選好:IWTへの取り組みに対する組織の対応とリスク選好、およびIWTに関わるリスクが最も高いビジネスや顧客に対する許容度を設定すること。
- 範囲:ポリシーは何をカバーし、誰に適用されるか。内部スタッフと外部の利害関係者(クライアント、サプライヤー、第三者など)のポリシーを分けることを検討する。
- 法的枠組み:関連する地域の規制要件、国際基準、およびベスト・プラクティス(関連するIWT、金融犯罪、ESGの推奨事項を盛り込んだもの)を概説する。
- 定義:ポリシーの対象となる重要な用語と関連する用語(例:IWT、マネー・ローンダリングおよびその他の重大な組織犯罪(Serious and Organised Crime: SOC)。
- 主な原則:自身のビジネスがさらされる、または関連する主なリスク領域はどこか(例:クライアント、投資、サプライチェーン、人、投資家)。
- システムとコントロール:IWTに関わる潜在的なリンクを検出してレポートするために導入するリスクベースのアプローチと主要なコントロールの要約。
- 役割と責任:ガバナンスと説明責任(IWTのリスクに対して組織を保護する責任を負う者(通常はすべてのスタッフまたはすべての最前線のスタッフ)および専任の説明責任のある幹部と報告責任者)を含む、3つの防衛線。
- ポリシー発効日および改訂履歴。