Koncernomfattande riskhantering enligt AMLR och verksamhet i tredje land

Se som Markdown
8 minuter läsning • Simona Tvärnstedt • MOTVERKANDE AV PENNINGTVäTT • 9 februari 2026
  1. Artikel 16 AMLR – Krav på penningtvättsarbetet på koncernnivå
  2. Artikel 17 AMLR – Filialer och dotterföretag i tredjeländer
  3. Tekniska standarder och framtida utveckling
  4. Praktiska konsekvenser i koncerner av artikel 16 och 17 AMLR

Välkommen till den sjätte delen i Morling Consultings bloggserie om EU:s AMLR. I det föregående blogginlägget behandlades anställdas integritet, visselblåsning och intern kontroll, med fokus på organisatoriska krav för att efterleva penningtvättsregelverket. För den som vill fördjupa sig ytterligare i de organisatoriska kraven rekommenderas att ta del av det tidigare inlägget. I denna del flyttas fokus från den enskilda ansvariga enheten till koncernstrukturer och gränsöverskridande verksamhet, där frågor om tredje länder med lägre krav på motverkande av penningtvätt och finansiering av terrorism får en särskilt central betydelse. Morling Consulting bistår ansvariga enheter med juridiskt stöd i AML-arbetet, bland annat genom tolkning av AMLR:s koncernregler och utformning av koncernomfattande riskbedömningar och riktlinjer.

Artiklarna 16 och 17 i AMLR utgör kärnan i förordningens reglering av koncernomfattande åtgärder mot penningtvätt och finansiering av terrorism. Bestämmelserna tar sikte på hur moderföretag ska säkerställa en enhetlig och effektiv riskhantering inom hela koncernen, inklusive filialer och dotterföretag i andra medlemsstater och i tredjeländer. Genom dessa artiklar tydliggörs att den riskbaserade ansatsen i AMLR inte kan begränsas till nationella eller organisatoriska gränser, utan måste tillämpas konsekvent i hela koncernens verksamhet.

Artikel 16 AMLR – Krav på penningtvättsarbetet på koncernnivå

Artikel 16 i förordningen bygger vidare på den allmänna riskbedömning som behandlats i det tidigare blogginlägget som täckte riskbedömning, regelefterlevnad och organisation. Det är i artikel 16 som kravet på en koncernomfattande riskbedömning introduceras. Denna ska utföras av moderföretaget och beakta de allmänna riskbedömningar som genomförs av samtliga filialer och dotterföretag inom koncernen. Moderföretaget har ansvaret att säkerställa att samtliga filialer och dotterföretag i koncernen i medlemsstaterna uppfyller krav på interna förfaranden, personal och riskbedömning. För koncerner med huvudkontor i unionen omfattas även verksamhet i tredjeländer.

Riskbedömningen ska ligga till grund för koncernomfattande riktlinjer, förfaranden och kontroller, inklusive regler för dataskydd och informationsutbyte inom koncernen. Dessa ska säkerställa att samtliga anställda, oavsett geografisk placering, är medvetna om och agerar i enlighet med AMLR:s krav. Informationsdelning är en förutsättning för effektiv riskhantering, men måste ske inom ramen för tillämpliga dataskyddsregler och med tillräckliga garantier för konfidentialitet. Detta är särskilt relevant när information rör misstänkta transaktioner eller kunder med koppling till högriskländer, där felaktig hantering kan medföra risker. Artikel 16 klargör också att koncernens riktlinjer och riskbedömningar ska omfatta samma innehåll som krävs enligt artiklarna 9 och 10 i AMLR, det vill säga regler om intern styrning, riskhantering och verksamhetsomfattande riskbedömning.

Den koncernomfattande riskbedömningen ska inte förstås som en parallell eller en fristående analys, utan som ett sammanhållande ramverk. Detta innebär att moderföretaget måste analysera hur specifika riskfaktorer, såsom kundstruktur, produkter, distributionskanaler och geografisk exponering, samverkar på koncernnivå. Särskilt betydelsefullt är detta när koncernen är verksam i flera jurisdiktioner med skilda riskprofiler.

Om koncernen är etablerad i flera medlemsstater, och i förekommande fall i tredjeländer om huvudkontoret är beläget i unionen, ska moderföretaget beakta den information som offentliggjorts av behöriga myndigheter i samtliga berörda jurisdiktioner. Detta innebär att koncernens riskanalys inte får begränsas till enbart interna bedömningar, utan även måste integrera nationella och internationella riskbilder. En central aspekt av den koncernomfattande riskbedömningen är hanteringen av geografiska risker, särskilt i relation till länder med lägre krav på att motverka penningtvätt och finansiering av terrorism. Även om begreppet högriskländer utvecklas närmare i andra delar av AMLR, är det tydligt att artikel 16 förutsätter att moderföretag beaktar information som offentliggjorts av myndigheter i samtliga medlemsstater och även i tredjeländer.

Artikel 16.2 inför ett uttryckligt krav på funktionerna för regelefterlevnad på koncernnivå. Detta innebär att det ska finnas en chef över regelefterlevnad på koncernnivå och, om det är motiverat, även en regelefterlevnadsansvarig. Det finns även ett dokumenteringskrav för beslutet om funktionernas omfattning, vilket understryker vikten av transparens och spårbarhet i styrningen. Den koncernövergripande chefen ska regelbundet rapportera till moderföretagets ledningsorgan och minst en gång per år lämna en samlad rapport om genomförandet av de koncernomfattande riktlinjer, förfaranden och kontroller samt vidta åtgärder för att avhjälpa eventuella brister. Härigenom skapas ett tydligt samband mellan riskbedömning, operativ efterlevnad och strategiskt ansvar på högsta nivå.

En av de mest långtgående bestämmelserna i artikel 16 är kravet på informationsutbyte inom koncernen. Kontrollerna, förfarandena och riktlinjerna för informationsutbyte ska ställa krav på ansvariga enheter att, inom koncernen, utbyta information. Informationen i fråga ska vara relevant för kundkännedom och riskhantering när det gäller att motverka penningtvätt och finansiering av terrorism. Information som omfattas av artikel 16 är bland annat uppgifter om kundens identitet, verkliga huvudmän, affärsförbindelsens syfte samt misstankar som rapporterats till Finanspolisen (FIU).

Detta informationsutbyte är avgörande för att identifiera och hantera specifika riskfaktorer som kan uppstå i komplexa koncernstrukturer. Exempelvis kan en kundrelation i ett dotterföretag i ett tredjeland vara av begränsad risk ur ett lokalt perspektiv, men få en helt annan betydelse när den sätts i relation till andra affärsförbindelser inom koncernen. Genom ett strukturerat informationsutbyte kan sådana mönster identifieras och analyseras i ett tidigt skede.

Samtidigt ställer AMLR krav på att moderföretaget ska införa riktlinjer och kontroller för att informationen ska omfattas av tillräckliga garantier för konfidentialitet och dataskydd. Detta innebär att koncerner måste utveckla tekniska och organisatoriska lösningar som möjliggör informationsdelning utan att äventyra rättssäkerhet eller integritet.

Artikel 17 AMLR – Filialer och dotterföretag i tredjeländer

Artikel 17 AMLR fokuserar särskilt på filialer och dotterföretag i tredjeländer. Utgångspunkten är att om minimikraven i tredjelandet är mindre stränga än AMLR:s krav på att motverka penningtvätt och finansiering av terrorism, ska moderföretaget säkerställa att verksamheten ändå uppfyller kraven som fastställs av AMLR. Bestämmelsen omfattar även kraven som gäller för dataskydd eller liknande krav.

Om lagstiftningen i ett tredjeland inte medger full efterlevnad av förordningen ska moderföretaget vidta ytterligare åtgärder för att säkerställa att filialer och dotterföretag i tredjelandet hanterar risken som finns för penningtvätt eller terrorismfinansiering. Dessa åtgärder ska rapporteras till tillsynsmyndigheterna i hemmedlemsstaten. Om åtgärderna bedöms som otillräckliga kan tillsynsmyndigheterna kräva att ytterligare tillsynsåtgärder ska vidtas. Det kan innebära långtgående ingripanden, inklusive att koncernen inte ska ingå några affärsförbindelser, att affärsförbindelser avbryts eller att verksamheten i tredjelandet avvecklas.

Bestämmelsen får särskild praktisk betydelse när verksamheten bedrivs i högriskländer, där rättsliga, institutionella eller politiska förhållanden kan försvåra efterlevnaden av AMLR. Artikel 17 tydliggör att sådana svårigheter inte befriar koncernen från ansvar, utan tvärtom kan motivera skärpta krav och tillsynsåtgärder.

Tekniska standarder och framtida utveckling

Både artikel 16 och 17 innehåller bemyndiganden för AMLA att ta fram tekniska standarder för tillsyn, som därefter ska antas av kommissionen. Dessa standarder kommer att ange minimikrav för koncernomfattande riktlinjer, informationsutbyte och ytterligare åtgärder i tredjeländer. För ansvariga enheter innebär detta att regelverket kommer att konkretiseras ytterligare över tid, vilket ställer krav på löpande uppdatering av koncernens riskhantering. Genom dessa standarder stärks förutsättningarna för en mer enhetlig tillsyn av koncerner med gränsöverskridande verksamhet inom unionen.

Praktiska konsekvenser i koncerner av artikel 16 och 17 AMLR

Sammantaget visar artiklarna 16 och 17 AMLR tydligt att effektiv bekämpning av penningtvätt och finansiering av terrorism förutsätter ett koncernperspektiv som även tar hänsyn till i vilka länder konvernen är verksam. Den koncernomfattande riskbedömningen är en naturlig förlängning av den allmänna riskbedömningen och kräver integrerad styrning, omfattande informationsutbyte och tydligt ansvar på ledningsnivå. För koncerner med gränsöverskridande verksamhet innebär detta även ökade krav på analys och kontroll.

Nästa komponent i AMLR behandlas här: Utkontraktering enligt AMLR artikel 18

Porträtt av Simona Tvärnstedt – författare till inlägget.

Artikel skriven av:

Simona Tvärnstedt

Senaste inlägg

En jurist och en företagsledare sitter och diskuterar juridiska frågor.

11 mars 2026

Juridisk rådgivning vs. juridisk konsult – vad är skillnaden?
Läs mer
Illustration av tredjelandsrisker enligt AMLR med förenklad EU-karta, kontrollsymboler och geografisk triggerpunkt som kopplar EU till tredjeländer för skärpt kundkännedom (KYC).

10 mars 2026

Tredjelandsrisker enligt AMLR: Artiklarna 29–31 och deras betydelse för kundkännedom
Läs mer
Illustration av juridiska experter i ett konsultföretag som strukturerar komplexa affärsjuridiska frågor inom avtal, dataskydd, regulatoriska krav och interna processer.

9 mars 2026

Vi är ett konsultföretag med juridiska experter
Läs mer