AML-jurister från Morling Consulting omsätter penningtvättsregelverket till rutiner och kundkännedom
Penningtvättsregelverket ställer krav på att ansvariga enheter (företagen under penningtvättsregelverket) bedriver ett strukturerat och riskbaserat AML/CTF-arbete som går att följa upp och förklara vid granskning. Morling Consultings AML-jurister hjälper företag att omsätta penningtvättslagen och EU:s AML-förordning (AMLR) till styrning, processer och kontroller som håller vid intern revision och extern granskning. För verksamheten handlar det om att få rätt nivå på styrning, ansvarsfördelning och kontrollmiljö – utan att skapa onödig intern belastning. Vi bistår med juridisk rådgivning och genomförandestöd utifrån svensk rätt och förordningen från EU, med fokus på lösningar som fungerar. Leveransen utformas så att den blir tydlig för ledning och verksamhet, och enkel att dokumentera.
EU:s AML-förordning (AMLR) innebär en mer enhetlig reglering på EU-nivå och kommer att påverka hur ansvariga enheter planerar och driver sitt AML-arbete. Det är särskilt viktigt för verksamheter med gränsöverskridande verksamhet, höga transaktionsvolymer eller beroenden av externa leverantörer för exempelvis onboarding, screening och transaktionsmonitorering. För många medelstora bolag handlar förberedelserna om att identifiera vad som behöver förstärkas, vilka processer som behöver ses över och hur arbetet ska förankras i ledningen. Vi hjälper er att bryta ned kraven till en hanterbar åtgärdsplan, med prioriteringar som är lätta att följa.
Regelefterlevnaden avgörs i praktiken av samspelet mellan den allmänna riskbedömningen, interna styrdokument och hur kontrollerna fungerar i kundkännedom (KYC), PEP- och sanktionsscreening samt löpande uppföljning och hantering av avvikelser. Vi kan stötta i hela kedjan, från gap-analys och uppdatering av policys och rutiner till kravställning mot system och leverantörer samt förberedelse av dokumentation inför granskning. Arbetet bedrivs i nära dialog med verksamheten för att säkra tydliga roller, spårbarhet och en rimlig kontrollnivå utifrån risk. Målet är en AML-funktion som är stabil, proportionerlig och möjlig att driva över tid.
Vi börjar med att identifiera vilka delar av verksamheten som omfattas och hur nuvarande arbetssätt faktiskt ser ut i processer, system och ansvar. Resultatet blir en gemensam spelplan för vad som ska bedömas och vilken dokumentation som ska kunna visas upp.
Vi bryter ned relevanta krav till praktiska kontrollpunkter och kopplar dem till er riskprofil med fokus på kunder, produkter, distributionskanaler och geografi. Det gör det tydligt vilken värdering av risk som styr nivån på kontroller och var underlaget behöver stärkas.
Vi jämför nuläget med förväntad nivå i styrning, rutiner och kontroller och identifierar skillnader mellan dokument och operativt genomförande. Därefter sorteras åtgärderna efter effekt på kontrollmiljön och genomförbarhet i verksamheten.
Vi stöttar i uppdatering av styrdokument och operativa rutiner samt att få roller, beslutspunkter och uppföljning att fungera i vardagen. Samtidigt byggs en dokumentationsstruktur så att bedömningar, beslut och kontrollresultat går att följa över tid.
Vi etablerar en praktik för löpande revidering, utbildning och uppföljning som fångar avvikelser och förändrade risker. Det ger ledningen ett stabilt underlag för styrning och gör arbetet mindre personberoende mellan granskningarna.
När regelverket översätts till interna styrdokument och kontroller är det detaljerna som avgör om upplägget håller. Fördjupa er via länkarna i hur riskbedömning och kundkännedom kan kopplas till rätt krav och bevisning. Om ni verkar i eller mot fintech är det även värt att läsa sektorsperspektivet för att få rätt kalibrering.
AML i praktiken handlar om att omsätta penningtvättslagens och AMLR:s krav till ett arbetssätt som är proportionerligt, konsekvent och spårbart. För ansvariga enheter är målet att intern kontroll, processer och system hänger ihop så att verksamheten kan visa hur risker identifieras, hanteras och följs upp över tid.
När dessa delar hänger ihop blir AML-arbetet mer förutsägbart, lättare att leda och enklare att förklara vid intern revision eller extern granskning.
Vi bistår med att designa och kvalitetssäkra helheten: från riskbaserad metod och styrdokument till kontrollaktiviteter, uppföljning och dokumentation. Arbetet bedrivs strukturerat och nära verksamheten, så att lösningen blir praktiskt genomförbar och hållbar över tid. Där det är relevant tar vi fram tydliga beslutsunderlag för ledningen och en prioriterad åtgärdsplan som går att genomföra stegvis.
Penningtvättsregelverket
AMLR och penningtvättslagen sätter kraven för hur verksamheterna ska förebygga och motverka penningtvätt och finansiering av terrorism. För många verksamheter är utmaningen inte att förstå enskilda regler, utan att skapa en sammanhängande struktur där styrning, processer och kontroller drar åt samma håll. EU:s AMLR innebär samtidigt en mer enhetlig reglering på EU-nivå, vilket påverkar hur arbetet behöver planeras och följas upp. Det gör det viktigt att i god tid skapa en tydlig bild av vad som krävs och var den egna verksamheten står i dag.
Ett effektivt sätt att börja är att kartlägga nuläget mot de krav som faktiskt styr verksamheten: riskbedömning, interna regler, kundkännedom och löpande uppföljning. Kartläggningen bör vara konkret och spårbar, med fokus på hur arbetet bedrivs i praktiken och vilken dokumentation som finns. Här blir det ofta tydligt var det finns gap mellan styrdokument och operativt genomförande, eller mellan systemstöd och förväntad kontrollnivå. Resultatet blir ett underlag som går att använda både för intern prioritering och för dialog med internrevision eller tillsyn.
För verksamheten är det ofta avgörande att välja rätt ordning: vilka förstärkningar som ger mest effekt i kontrollmiljön och vilka som kan genomföras stegvis utan att störa verksamheten. Prioriteringen bör också ta höjd för externa beroenden, exempelvis leverantörer för onboarding, screening eller transaktionsmonitorering, där kravställning och uppföljning behöver vara tydlig. En bra plan är kort sagt en plan som går att driva, mäta och uppdatera.
Implementering handlar sedan om att få helheten att fungera: tydliga roller, operativa rutiner, kontrollaktiviteter och en uppföljning som fångar avvikelser och förändrade risker. Arbetet behöver dessutom dokumenteras på ett sätt som gör att beslut, bedömningar och kontrollresultat går att spåra över tid. Vi bistår med att strukturera arbetet från kartläggning till åtgärdsplan och genomförande, med fokus på proportionerliga lösningar som håller vid granskning.
För att AML-arbetet ska vara hållbart över tid krävs mer än att “ha dokument” – det krävs dokumentation som går att använda, uppdatera och följa upp. Med EU:s AMLR och utvecklingen i svensk regulatorisk miljö ökar kraven på struktur, tydligt ansvar och spårbarhet i den interna styrningen. Därför behöver policy, rutiner och utbildning utformas som en sammanhängande leverans som passar er verksamhet och er regulatoriska miljö. Målet är att göra AML-kraven hanterbara i vardagen och möjliga att förvalta, även när organisation, produkter eller riskbild förändras.
En förvaltningsbar leverans minskar risken för att AML-arbetet blir personberoende eller tappar effekt mellan granskningarna. Den gör det också enklare för ledningen att följa upp status, fatta prioriterade beslut och visa att kontrollmiljön fungerar i praktiken. Vi tar fram underlagen i ett format som är lätt att besluta, kommunicera och implementera, och som går att uppdatera utan att starta om projektet varje år.
Begreppet avser de företag och yrkesutövare som omfattas av penningtvättslagen och AMLR och därmed måste tillämpa kraven i penningtvättsregelverken. Vilka som träffas styrs av verksamhetens typ, tjänster och i vissa fall hur produkter distribueras och till vem.
Penningtvättslagen är den svenska implementationen som sätter ramarna nationellt, medan AMLR är en EU-förordning som driver mot mer enhetliga krav och arbetssätt i hela EU. I praktiken kan bolag behöva mappa båda rättskällorna mot processer, roller, system och dokumentation. En fungerande modell är att dokumentera en gemensam kravbild där penningtvättslagen och AMLR:s krav identifieras.
Den sätter logiken för vilka risker verksamheten faktiskt har och hur kontrollnivån ska dimensioneras över kunder, produkter, distributionskanaler och geografi. Utan en korrekt riskbedömning blir policy, KYC-rutiner och kontroller lätt inkonsekventa och svåra att försvara vid granskning. Den allmänna riskbedömningen:
Det är en strukturerad jämförelse mellan kravbilden och hur företaget arbetar i praktiken, inklusive styrdokument, processer, systemstöd och utfall. Leveransen blir ett konkret beslutsunderlag som pekar ut brister, beroenden och prioriterade åtgärder.
En hanterbar åtgärdsplan bryter ned kraven i tydliga leverabler med ansvariga roller, beslutspunkter och milstolpar. Den är skriven så att ledningen kan styra genom prioriteringar, inte genom detaljfrågor.
Planen prioriterar de åtgärder som ger störst effekt i kontrollmiljön och minskar därmed faktisk risk, innan man lägger tid på finjusteringar. Den tar också höjd för resursläge och genomförande i etapper, så att verksamheten inte tappar tempo.
Kravställningen bör översätta regulatoriska krav till tydliga kontrollkrav: vilka kontroller som ska finnas, hur de fungerar, och vilken dokumentation (loggar, spårbarhet och rapporter) som ska kunna tas fram. Det ska också framgå hur incidenter hanteras, hur förändringar kommuniceras och hur kvalitet följs upp.
Samtidigt behöver ansvarsfördelningen vara kristallklar: vad leverantören gör, vad ni ansvarar för och hur ni behåller styrning över processen. Målet är att ni kan visa hur leverantören styrs och kontrolleras över tid, inte bara att ett avtal finns.
En sammanhållen KYC-kedja är ett end-to-end-flöde där riskklassning, identitet och ägarstruktur, syftet med affären, dokumentationskrav och beslutspunkter hänger ihop utan glapp. Varje steg ska ha en tydlig logik som går att följa och revidera.
Kedjan ska dessutom vara konsekvent och spårbar, med en tydlig koppling mellan risk och vilka åtgärder som faktiskt vidtas. På så sätt blir KYC både enklare att leda och enklare att förklara vid granskning.
Rutinerna ska beskriva ett tydligt flöde från initial match till utredning, beslut, eventuell eskalering och dokumentation, med klara roller och tidslinjer. Fokus är att beslut ska kunna motiveras och följas i efterhand.
För att hålla vid granskning behöver processen vara repeterbar och kvalitetssäkrad, så att bedömningar inte blir ad hoc eller personberoende. Det ska också framgå hur man hanterar falska positiva, när man behöver kompletterande information och hur beslut dokumenteras.
Ni behöver definiera vad som är en avvikelse, hur den fångas, vem som utreder, vilka beslut som fattas och hur åtgärder följs upp. En robust avvikelseprocess ger ledningen styrbarhet och gör kontrollmiljön mätbar över tid.
Typiskt efterfrågas den allmänna riskbedömningen, policy och rutiner, roll- och ansvarsfördelning, kontrollplaner, utbildningsunderlag samt spårbar dokumentation från genomförda kontroller och beslut. Poängen är att verksamheten ska kunna visa både “design” och “drift”, alltså vad ni har bestämt och hur det faktiskt fungerar.
Utbildningen bör vara rollbaserad med tydliga lärandemål, dokumenterat genomförande och deltagande samt en definierad cykel för uppdatering och återkommande genomförande. Den ska dessutom kopplas till era rutiner så att den stödjer utmaningar i vardagen, inte bara kunskap i teorin.
Vi jobbar strukturerat i nära dialog med verksamheten och levererar beslutsunderlag, prioriterad åtgärdsplan och uppdaterade styrdokument som går att implementera stegvis. Målet är en proportionerlig, stabil och spårbar AML-funktion som är möjlig att driva och förklara över tid.
Behöver ni omsätta penningtvättsregelverket till fungerande rutiner? Hör av er så tar vi det vidare.
”*” anger obligatoriska fält
