Centraliserade mekanismer och informationsdelning enligt AMLR – riskbedömning, regelefterlevnad och organisation

Se som Markdown
9 minuter läsning • Simona Tvärnstedt • MOTVERKANDE AV PENNINGTVäTT • 27 januari 2026
  1. Artikel 10 AMLR – Verksamhetsomfattande riskbedömning
  2. Artikel 11 AMLR – Funktioner för regelefterlevnad
  3. Artikel 12 AMLR – Medvetenhet om kraven
  4. Formalia till governance: vad AMLR 10–12 kräver i praktiken

Den fjärde delen i Morling Consultings bloggserie om EU:s nya AMLR täcker artikel 10-12. På Morling Consulting bistår våra AML-jurister med ett specialiserat stöd i penningtvättsregelverket för företag och organisationer med att tolka, implementera och omsätta det nya regelverket i praktiken, bland annat genom stöd vid den allmänna riskbedömningen, organisation av regelefterlevnadsfunktioner och uppbyggnad av interna styr- och kontrollstrukturer. I det första inlägget behandlades de centrala definitionerna i AML-regelverket, vilket utgör en nödvändig utgångspunkt för att förstå förordningens systematik, räckvidd och begreppsanvändning. För den som vill börja i grunderna rekommenderas därför att ta del av blogginlägg nummer ett.

I detta blogginlägg analyseras artiklarna 10–12 i AMLR, som reglerar hur ansvariga enheter ska organisera sitt interna arbete och de centraliserade mekanismerna. Det ska ske genom den allmänna riskbedömningen, tydliga funktioner för regelefterlevnad samt åtgärder för att säkerställa medvetenhet och kompetens hos personal och andra berörda aktörer. Ett återkommande fokus i detta arbete är hur centraliserade AML-mekanismer och strukturerad informationsdelning kan användas för att stärka styrning, transparens och regelefterlevnad inom organisationen. Tillsammans utgör artiklarna en viktig del av AMLR:s krav på styrning, intern kontroll och ansvarsfördelning, och de är nära kopplade till utvecklingen av centraliserade mekanismer och informationsdelning inom AMLR.

Artikel 10 AMLR – Verksamhetsomfattande riskbedömning

Artikel 10 i förordningen fastslår att varje ansvarig enhet ska genomföra en verksamhetsomfattande riskbedömning. En riskbedömning innebär att de ansvariga enheterna är skyldiga att vidta åtgärder för att identifiera och bedöma riskerna inom verksamheten för penningtvätt och terrorismfinansiering, men även riskerna för att ekonomiska sanktioner kringgås eller inte genomförs. Riskbedömningen ska vara proportionerlig i förhållande till verksamhetens art, storlek, komplexitet och riskprofil, men samtidigt vara tillräckligt heltäckande för att identifiera dessa risker.

Bestämmelsen anger uttryckligen vilka faktorer och information som ska beaktas av de ansvariga enheterna. Hit hör de riskvariabler och riskfaktorer som anges i bilagor till AMLR, men även resultaten av riskbedömningar som utförts på unionsnivå och nationell nivå samt sektorsspecifika riskbedömningar där sådana finns. Relevant information från internationella normgivare, behöriga myndigheter och den egna kundbasen ska integreras i analysen.

En särskilt viktig del av artikel 10 är kravet på en uppdatering av riskbedömningen vid förändringar i verksamheten. Innan nya produkter, tjänster, affärsmetoder, distributionskanaler eller tekniska lösningar lanseras, eller innan redan befintliga produkter och tjänster erbjuds till nya kundsegment eller i nya geografiska områden, ska de risker som är förenade med lanseringen eller utökningen identifieras och bedömas. Detta innebär att riskbedömningen ska fungera som en aktiv styrmekanism som ska användas under verksamhetens gång.

Artikel 10 ställer också tydliga krav på dokumentation och löpande uppdatering av riskbedömningen. Det innebär att riskbedömningen ska dokumenteras, hållas aktuell och regelbundet ses över av de ansvariga enheterna. Det ska inte endast ske periodiskt, utan även när interna eller externa händelser i betydande omfattning påverkar riskbilden. Det kan exempelvis röra sig om förändringar i kundstruktur, transaktioner, ändrad geografisk exponering eller produkter. Om tillsynsorganen kräver det, ska även riskbedömningen tillhandahållas och göras tillgänlig för tillsynsorganet.

Av särskild betydelse är att riskbedömningen ska utarbetas av den som är ansvarig för regelefterlevnad och därefter godkännas av ledningsorganet i dess ledningsfunktion. Om ett tillsynsorgan finns inom ledningsstrukturen ska detta också informeras. Härigenom finns det ett tydligt samband mellan riskbedömningen och bolagsstyrning samt ansvarsfördelning på högsta nivå. AMLR markerar därmed att ansvaret för riskhantering och regelefterlevnad ytterst vilar på ledningen.
Möjligheten för tillsynsorgan att undanta vissa sektorer från kravet på enskilda dokumenterade riskbedömningar är begränsad. Undantaget gäller nämligen inte kreditinstitut, finansiella institut eller leverantörer av gräsrotsfinansieringstjänster. En förutsättning för att en riskbedömning inte är ett krav är dessutom att sektorns risker ska vara uppenbara och väl kända. Huvudregeln är alltså fortsatt att varje ansvarig enhet ska genomföra en egen analys, i linje med den riskbaserade ansatsen.

Artikel 11 AMLR – Funktioner för regelefterlevnad

I artikel 11 regleras hur ansvariga enheter ska organisera sina funktioner för regelefterlevnad.

Artikeln fastställer att ansvariga enheter ska utse en regelefterlevnadschef, vilket ska vara en ledamot av ledningsorganet i ledningsfunktionen. Som regelefterlevnadschef ska efterlevnaden av AMLR, förordning (EU) 2023/1113 och samtliga förvaltningsakter av tillsynsorgan säkerställas. Detta innefattar ansvar för att den ansvariga enhetens interna riktlinjer, förfaranden och kontroller är anpassade till verksamhetens riskexponering och att tillräckliga mänskliga och materiella resurser avsätts för detta. Ansvaret sträcker sig även till att ta emot uppgifter om eventuella brister i riktlinjer, förfaranden och kontroller som är av väsentlig karaktär. Rollen är därmed strategisk och nära kopplad till ledningens övergripande ansvar för styrning och intern kontroll. Har ledningsorganet ett gemensamt ansvar för sina beslut ska regelefterlevnadschefen ha ansvar att bistå och rådge organet samt förbereda beslut enligt artikel 11.

Ledningsorganet i den ansvariga enheten ska även utse en regelefterlevnadsansvarig. Den regelefterlevnadsansvariga ska ha en tillräckligt hög ställning i organisationen och ansvara för det dagliga arbetet med AML-kraven, däribland riktlinjer, förfaranden och kontroll för att motverka penningtvätt och terrorismfinansiering. En ytterligare funktion med rollen som regelefterlevnadsansvarig är att den ansvarige ska utgöra en kontaktpunkt gentemot behöriga myndigheter och ansvara för rapportering av misstänkta transaktioner till finansunderrättelseenheten, i Sverige Finanspolisen (FIPO). AMLR lägger stor vikt vid att denna funktion inte bara finns formellt, utan har faktiska befogenheter och tillgång till nödvändig information.

Om företagsledningen eller den verkliga huvudmannen hos den ansvariga enheten omfattas av artikel 6 i direktiv (EU) 2024/1640 om kontroller av företagsledning och verkliga huvudmän i vissa ansvariga enheter, eller andra unionsrättsakter, ska kontroller utföras. Syftet är att kontrollera att regelefterlevnadsansvariga uppfyller kraven. Gällande koncerner kan en ansvarig enhet, som ingår i en koncern, utse en regelefterlevnadsansvarig hos en annan enhet inom samma koncern. Det förutsätter dock att den ansvariga enheten har en låg risknivå samt att enheten inte ska vara alltför stor.

När en regelefterlevnadsansvarig ska lämna uppdraget får det ske endast efter en förhandsanmälan till den ansvariga enhetens ledningsorgan i ledningsfunktionen. Den ansvariga enheten ska i sin tur informera tillsynsorganet om detta.

Artikel 11 innehåller även detaljerade krav på resurstilldelning för att uppgifterna ska kunna utföras så effektivt som möjligt. Ansvariga enheter ska säkerställa att efterlevnadsfunktionerna tilldelas tillräckliga mänskliga och tekniska resurser i proportion till verksamhetens storlek och risker. Vidare ska regelefterlevnadsansvariga skyddas mot repressalier, diskriminering och annan orättvis behandling. Besluten från regelefterlevnadsansvarig får inte undermineras eller otillbörligt påverkas av affärsintressen.

Av särskild betydelse är kravet på direkta rapporteringsvägar. Regelefterlevnadsansvarig och ansvarig för revisionsfunktionen ska på ett oberoende sätt kunna rapportera exempelvis farhågor och varna för risker direkt till ledningsorganet i dess ledningsfunktion och, om ett sådant finns, till ledningsorganet i dess tillsynsfunktion. Detta är en viktig komponent i AMLR:s system för intern informationsspridning och stärker de centraliserade mekanismerna och informationsdelning inom organisationen.

Regelefterlevnadschefen ska dessutom kontinuerligt rapportera till ledningsorganet om genomförandet av interna riktlinjer och kontroller. Minst en gång per år ska en samlad rapport om genomförandet av interna riktlinjer lämnas, som ska vara baserad på underlag från den regelefterlevnadsansvariga. Eventuella brister som identifieras ska åtgärdas utan dröjsmål av regelefterlevnadschefen.

Det finns undantag då regelefterlevnadschefens och regelefterlevnadsansvariges arbete får utföras av en och samma person. Vid ett beslut om sådant undantag ska den ansvariga verksamhetens art, risk, komplexitet och storlek tas i beaktande.

Artikel 12 AMLR – Medvetenhet om kraven

Enligt artikel 12 i AMLR är ansvariga enheter skyldiga att vidta åtgärder för att säkra att anställda, ombud och distributörer är medvetna om kraven i AMLR, förordning (EU) 2023/1113, förvaltningsakter utfärdade av tillsynsorgan, den verksamhetsomfattande riskbedömningen och de interna riktlinjer som införts av den ansvariga enheten. Det omfattar även förståelse för hur personuppgifter får behandlas inom ramen för AML-regelverket. Artikel 12 AMLR lägger med andra ord fokus på den mänskliga faktorn i AML-arbetet.

Den utbildning som det ställs krav på enligt artikeln ska vara lämplig och proportionerlig i förhållande till verksamheten och verksamhetens risker för att bli utnyttjad för penningtvätt och finansiering av terrorism. Syftet med utbildningen är att ge berörda personer förmåga att identifiera transaktioner som kan vara kopplade till penningtvätt eller finansiering av terrorism och kunskapen om att veta hur de ska agera i sådana situationer. Det finns även krav på att utbildningen ska vara dokumenterad, vilket understryker att kompetensutveckling är en integrerad del av den interna kontrollen.

I ett bredare perspektiv bidrar dessa krav till att stärka de centraliserade mekanismerna och informationsdelning även på individnivå, genom att säkerställa att relevant information uppmärksammas, förstås och vidareförmedlas inom organisationen på ett strukturerat sätt.

Formalia till governance: vad AMLR 10–12 kräver i praktiken

Artiklarna 10–12 AMLR illustrerar tydligt hur EU:s nya regelverk flyttar fokus från formell regelefterlevnad till faktisk riskhantering, styrning och informationsflöden. Genom krav på verksamhetsomfattande riskbedömningar, tydliga och skyddade regelefterlevnadsfunktioner samt systematisk utbildning skapas förutsättningar för ett mer sammanhållet och effektivt AML-system.

I denna struktur spelar de centraliserade mekanismerna och informationsdelning en avgörande roll, både inom den enskilda organisationen och i samspelet mellan ansvariga enheter, tillsynsmyndigheter och på EU-nivå. För ansvariga enheter innebär detta ökade krav på analys, dokumentation och styrning, men också möjligheten att bygga mer robusta och långsiktigt hållbara system för att hantera risker kopplade till penningtvätt, finansiering av terrorism och efterlevnad av ekonomiska sanktioner.

För att förstå helheten rekommenderar vi nästa avsnitt: AMLR artiklarna 13–15: anställdas integritet, visselblåsning och intern kontroll.

Profilbild Simona Tvärnstedt

Artikel skriven av:

Simona Tvärnstedt

Senaste inlägg

Ljus dashboard med tre upphöjda kort som visualiserar tillsynens tre spår: systemstabilitet, ekonomisk brottslighet och konsumentskydd, med små accentdetaljer i orange.

6 februari 2026

Finansinspektionens tillsynsprioriteringar 2026 – detta behöver finansiella företag hantera nu
Läs mer
bilden visar två jurister och en checklista.

6 februari 2026

Juridiska fallgropar mindre organisationer
Läs mer
Illustration i Material Design som visar tre jurister framför symboler för AI-krets, lekplats och övervakning, som representerar IMY:s fokusområden offentlig AI, barns integritet och brottsbekämpning.

5 februari 2026

IMY:s prioriteringar 2026 – vad betyder de för din organisation?
Läs mer