Vanliga brister i den allmänna riskbedömningen och hur redovisningsbyråer kan agera

Se som Markdown
6 minuter läsning • Felix Morling • MOTVERKANDE AV PENNINGTVäTT • 2 april 2026
  1. Varför den allmänna riskbedömningen är så viktig
  2. Vanliga brister som redovisningsbyråer bör känna till
  3. Skillnaden mellan allmän riskbedömning och kundriskbedömning
  4. Vad en verksamhetsanpassad riskbedömning bör innehålla
  5. Praktiska fallgropar i redovisningsbyråers vardag
  6. Så kan redovisningsbyråer arbeta mer robust
  7. Vi hjälper till med den allmänna riskbedömningen

För redovisningsbyråer är den allmänna riskbedömningen en central del av arbetet mot penningtvätt och finansiering av terrorism. Den ska inte bara finnas på plats som ett formellt dokument. Den ska hjälpa verksamheten att förstå var riskerna faktiskt finns, vilka tjänster som kan utnyttjas och hur resurserna bör styras i praktiken.

Det är också viktigt att skilja mellan allmän riskbedömning och kundriskbedömningen. Den allmänna riskbedömningen avser verksamheten som helhet. Kundriskbedömningen avser den enskilda kundrelationen. Om dessa två nivåer blandas ihop ökar risken för brister i både styrning och efterlevnad.

För redovisningsbyråer är frågan affärskritisk. En svag eller alltför generell riskbedömning kan leda till felprioriteringar, otillräcklig kundkännedom och svårigheter att visa för tillsynsmyndigheter hur verksamheten arbetar riskbaserat.

Varför den allmänna riskbedömningen är så viktig

Den allmänna riskbedömningen är grunden för ett riskbaserat arbetssätt enligt penningtvättsregelverket. Syftet är att identifiera hur verksamhetens tjänster, kundtyper, arbetssätt och geografiska kopplingar kan utnyttjas för penningtvätt eller finansiering av terrorism.

För en redovisningsbyrå handlar det om mer än att konstatera att verksamheten “har låg risk”. Bedömningen behöver visa varför risken bedöms på ett visst sätt, vilka faktorer som påverkar risken och hur olika omständigheter samverkar.

Det är först när den övergripande risken är analyserad som byrån kan bygga relevanta rutiner för kundkännedom, övervakning, rapportering, utbildning och intern kontroll.

Vanliga brister som redovisningsbyråer bör känna till

Länsstyrelsernas penningtvättstillsyn har lyft flera återkommande brister i den allmänna riskbedömningen. Ett tydligt mönster är att dokumentationen ofta är för generell, för mallstyrd eller otillräckligt kopplad till den egna verksamheten.

Några vanliga problem är följande:

  • Den allmänna riskbedömningen förväxlas med kundriskbedömningen. Det gör att verksamhetsnivån inte analyseras ordentligt.
  • Bedömningen är för allmänt hållen. En mall har fyllts i, men utan verklig anpassning till byråns tjänster, kunder och arbetsformer.
  • Tjänsterna analyseras inte var för sig. Löpande bokföring, lönehantering, bokslut, rådgivning och hantering av utlandstransaktioner kan innebära olika riskbilder.
  • Hot och sårbarheter kopplas inte ihop. Det räcker inte att lista riskfaktorer. Verksamheten behöver visa hur de kan leda till faktiskt utnyttjande.
  • Geografiska risker bedöms för snävt. Det är inte tillräckligt att bara konstatera att kunderna finns i Sverige.
  • Risknivåer saknar motivering. Att ange “låg”, “medel” eller “hög” utan analys är inte tillräckligt.

Skillnaden mellan allmän riskbedömning och kundriskbedömning

En återkommande fallgrop är att byrån lägger för stort fokus på den enskilda kunden och för lite på verksamhetens övergripande riskbedömning.

Den allmänna riskbedömningen ska besvara frågor som:

  • Vilka tjänster erbjuder byrån och hur kan de missbrukas?
  • Vilka kundtyper eller branscher innebär förhöjd risk?
  • Hur påverkar digital onboarding, distanskontakt eller användning av tredje part riskbilden?
  • Finns det geografiska kopplingar som påverkar risknivån?
  • Finns det interna sårbarheter, exempelvis bristande utbildning eller otydlig ansvarsfördelning?

Kundriskbedömningen kommer efter den allmänna riskbedömningen och använder den övergripande förståelsen som grund. Om den allmänna riskbedömningen är svag blir också kundriskbedömningarna osäkra eller inkonsekventa.

Vad en verksamhetsanpassad riskbedömning bör innehålla

En bra allmän riskbedömning behöver vara konkret. Den ska spegla hur redovisningsbyrån faktiskt arbetar.

Det innebär att byrån behöver analysera:

  • vilka tjänster som erbjuds och hur varje tjänst kan utnyttjas,
  • vilka hotbilder som är relevanta för verksamheten,
  • vilka sårbarheter som finns,
  • hur tjänster levereras, exempelvis på distans eller genom digitala flöden,
  • vilka geografiska faktorer som är relevanta, och
  • vilka verksamhetsspecifika omständigheter som påverkar riskerna.

För en redovisningsbyrå kan det exempelvis vara relevant att bedöma risker kopplade till kunder med kontanthantering, kunder med internationella betalningsflöden, komplex ägarstruktur, företrädare med oklar bakgrund eller uppdrag där byrån bokför transaktioner som kan användas för att ge ett sken av legitimitet.

Praktiska fallgropar i redovisningsbyråers vardag

I praktiken uppstår brister ofta när den allmänna riskbedömningen behandlas som ett engångsdokument eller en mall. Regelverket bygger i stället på att bedömningen hålls aktuell och speglar verksamheten som den utvecklas över tid.

Typiska situationer där riskbilden kan behöva omprövas är:

  • när byrån börjar ta emot kunder i nya branscher,
  • när nya digitala arbetssätt införs,
  • när tjänsteutbudet utökas,
  • när byrån tar uppdrag med internationell anknytning,
  • när organisationen förändras eller personal med nyckelansvar byts ut.

En annan vanlig fallgrop är att interna sårbarheter underskattas. Det kan handla om otillräcklig utbildning, begränsad erfarenhet hos personalen, oklara vägar för eskalering eller att kundansvariga blir alltför beroende av etablerade relationer och därför missar varningssignaler.

Så kan redovisningsbyråer arbeta mer robust

För att den allmänna riskbedömningen ska fungera i praktiken bör den vara ett styrdokument som används och utvecklas, inte bara arkiveras.

  • Dela upp analysen per tjänst eller tjänstekategori i stället för att beskriva verksamheten i allmänna ordalag.
  • Motivera varje risknivå tydligt och koppla den till identifierade hot och sårbarheter.
  • Beskriv varför vissa kundtyper, leveranssätt eller geografiska kopplingar påverkar risken.
  • Säkerställ att riskbedömningen hänger ihop med rutiner för kundkännedom, utbildning och rapportering.
  • Uppdatera dokumentet när verksamheten förändras, inte bara inför tillsyn eller intern kontroll.
  • Undvik att använda mallar utan egen analys och anpassning.

En välgjord allmän riskbedömning gör det enklare att visa hur byrån prioriterar sina AML-åtgärder och varför vissa kunder eller tjänster kräver högre vaksamhet än andra.

Vi hjälper till med den allmänna riskbedömningen

För redovisningsbyråer är den allmänna riskbedömningen inte en formell bilaga till compliance-arbetet. Den är själva utgångspunkten för hur verksamheten ska förstå och hantera sina risker enligt penningtvättslagen.

När bedömningen är konkret, verksamhetsanpassad och tydligt skild från kundriskbedömningen blir det lättare att bygga ett proportionerligt och effektivt AML-arbete. När den däremot är alltför generell eller mallbaserad ökar risken för att viktiga sårbarheter förbises.

På Morling Consulting hjälper våra AML-jurister verksamheter att strukturera, granska och utveckla arbetet med allmän riskbedömning, kundkännedom och andra delar av penningtvättsregelverket.

Porträtt av Felix Morling, jurist och legal consultant – författare till inlägget.

Artikel skriven av:

Felix Morling

Relaterade inlägg

Illustration av jurister i ett nätverk med markerade noder som symboliserar PEP, familjemedlemmar, nära medarbetare och förhöjd kontroll enligt AMLR.

21 april 2026

Personer i politiskt utsatt ställning och viktiga offentliga funktioner – artiklarna 42 och 43 i AMLR
Läs mer
Material Design-illustration av en riskmätare inramad av en juridisk paragrafkontur, med diskreta röda accenter som markerar högre risk.

13 april 2026

Särskilda krav på riskdifferentiering och fristående adresser enligt AMLR
Läs mer
Jurist vid skrivbord med dokument, mappar och digital riskbedömning som illustrerar hur dokumentation fungerar som skydd vid granskning av bokföringsbyrå.

10 april 2026

När dokumentation av kundkännedom blir bevisning – risker och skydd för bokföringsbyrån
Läs mer