Penningtvättsregelverket (AMLR)

AMLR och penningtvättslagen: rådgivning & genomförande om penningtvättsregelverket

Penningtvättsregelverket ställer krav på att ansvariga enheter (företagen under penningtvättsregelverket) bedriver ett strukturerat och riskbaserat AML/CTF-arbete som går att följa upp och förklara vid granskning. Morling Consultings AML-jurister hjälper företag att omsätta penningtvättslagen och EU:s AML-förordning (AMLR) till styrning, processer och kontroller som håller vid intern revision och extern granskning. För verksamheten handlar det om att få rätt nivå på styrning, ansvarsfördelning och kontrollmiljö – utan att skapa onödig intern belastning. Vi bistår med juridisk rådgivning och genomförandestöd utifrån svensk rätt och förordningen från EU, med fokus på lösningar som fungerar. Leveransen utformas så att den blir tydlig för ledning och verksamhet, och enkel att dokumentera.

EU:s AML-förordning (AMLR) innebär en mer enhetlig reglering på EU-nivå och kommer att påverka hur ansvariga enheter planerar och driver sitt AML-arbete. Det är särskilt viktigt för verksamheter med gränsöverskridande verksamhet, höga transaktionsvolymer eller beroenden av externa leverantörer för exempelvis onboarding, screening och transaktionsmonitorering. För många medelstora bolag handlar förberedelserna om att identifiera vad som behöver förstärkas, vilka processer som behöver ses över och hur arbetet ska förankras i ledningen. Vi hjälper er att bryta ned kraven till en hanterbar åtgärdsplan, med prioriteringar som är lätta att följa.

Regelefterlevnaden avgörs i praktiken av samspelet mellan den allmänna riskbedömningen, interna styrdokument och hur kontrollerna fungerar i kundkännedom (KYC), PEP- och sanktionsscreening samt löpande uppföljning och hantering av avvikelser. Vi kan stötta i hela kedjan, från gap-analys och uppdatering av policys och rutiner till kravställning mot system och leverantörer samt förberedelse av dokumentation inför granskning. Arbetet bedrivs i nära dialog med verksamheten för att säkra tydliga roller, spårbarhet och en rimlig kontrollnivå utifrån risk. Målet är en AML-funktion som är stabil, proportionerlig och möjlig att driva över tid.

Top-down Material Design-illustration i ljusa toner av ett team jurister i kostym som samarbetar runt ett runt bord med ett cirkeldiagram för AML-styrning i mitten, med små orange/röda accentdetaljer och ansikten utan detaljer.

Penningtvättslagen i praktiken: Riskbaserat förhållningssätt och fungerande intern kontroll

AML i praktiken handlar om att omsätta penningtvättslagens och AMLR:s krav till ett arbetssätt som är proportionerligt, konsekvent och spårbart. För ansvariga enheter är målet att intern kontroll, processer och system hänger ihop så att verksamheten kan visa hur risker identifieras, hanteras och följs upp över tid.

  • Allmän riskbedömning: Den ska täcka verksamhetens kunder, produkter, kanaler och geografi.
  • Styrning och ansvar: Ska vara tydligt förankrat i ledningen, med klara roller och beslutspunkter.
  • Policys och operativa rutiner: De ger praktisk vägledning och kan följas upp i vardagen.
  • Kundkännedom (KYC): Bygger en sammanhållen kedja som inkluderar riskklassning, dokumentation och löpande uppdatering.
  • PEP- och sanktionsscreening: inkludera tydliga rutiner för hantering av träffar och utredning.
  • Uppföljning och avvikelsehantering: inklusive eskalering, utredning och rapportering.

 

När dessa delar hänger ihop blir AML-arbetet mer förutsägbart, lättare att leda och enklare att förklara vid intern revision eller extern granskning.
Vi bistår med att designa och kvalitetssäkra helheten: från riskbaserad metod och styrdokument till kontrollaktiviteter, uppföljning och dokumentation. Arbetet bedrivs strukturerat och nära verksamheten, så att lösningen blir praktiskt genomförbar och hållbar över tid. Där det är relevant tar vi fram tydliga beslutsunderlag för ledningen och en prioriterad åtgärdsplan som går att genomföra stegvis.

Penningtvättsregelverket

EU:s AMLR och penningtvättslagen – kartlägg, prioritera och implementera

AMLR och penningtvättslagen sätter kraven för hur verksamheterna ska förebygga och motverka penningtvätt och finansiering av terrorism. För många verksamheter är utmaningen inte att förstå enskilda regler, utan att skapa en sammanhängande struktur där styrning, processer och kontroller drar åt samma håll. EU:s AMLR innebär samtidigt en mer enhetlig reglering på EU-nivå, vilket påverkar hur arbetet behöver planeras och följas upp. Det gör det viktigt att i god tid skapa en tydlig bild av vad som krävs och var den egna verksamheten står i dag.

Ett effektivt sätt att börja är att kartlägga nuläget mot de krav som faktiskt styr verksamheten: riskbedömning, interna regler, kundkännedom och löpande uppföljning. Kartläggningen bör vara konkret och spårbar, med fokus på hur arbetet bedrivs i praktiken och vilken dokumentation som finns. Här blir det ofta tydligt var det finns gap mellan styrdokument och operativt genomförande, eller mellan systemstöd och förväntad kontrollnivå. Resultatet blir ett underlag som går att använda både för intern prioritering och för dialog med internrevision eller tillsyn.

För verksamheten är det ofta avgörande att välja rätt ordning: vilka förstärkningar som ger mest effekt i kontrollmiljön och vilka som kan genomföras stegvis utan att störa verksamheten. Prioriteringen bör också ta höjd för externa beroenden, exempelvis leverantörer för onboarding, screening eller transaktionsmonitorering, där kravställning och uppföljning behöver vara tydlig. En bra plan är kort sagt en plan som går att driva, mäta och uppdatera.

Implementering handlar sedan om att få helheten att fungera: tydliga roller, operativa rutiner, kontrollaktiviteter och en uppföljning som fångar avvikelser och förändrade risker. Arbetet behöver dessutom dokumenteras på ett sätt som gör att beslut, bedömningar och kontrollresultat går att spåra över tid. Vi bistår med att strukturera arbetet från kartläggning till åtgärdsplan och genomförande, med fokus på proportionerliga lösningar som håller vid granskning.

Stiliserad jurist i kostym håller ett förstorningsglas mellan två staplar som visar gap mellan krav och nuläge, med checklista för åtgärdsplan i förgrunden.

Policy, rutiner och utbildning: en förvaltningsbar AMLR-leverans

För att AML-arbetet ska vara hållbart över tid krävs mer än att “ha dokument” – det krävs dokumentation som går att använda, uppdatera och följa upp. Med EU:s AMLR och utvecklingen i svensk regulatorisk miljö ökar kraven på struktur, tydligt ansvar och spårbarhet i den interna styrningen. Därför behöver policy, rutiner och utbildning utformas som en sammanhängande leverans som passar er verksamhet och er regulatoriska miljö. Målet är att göra AML-kraven hanterbara i vardagen och möjliga att förvalta, även när organisation, produkter eller riskbild förändras.

  • Policy enligt penningtvättslagen och AMLR: omfattning, principer, roller och beslutsnivåer.
  • KYC-rutiner enligt penningtvättslagen: riskklassning, dokumentationskrav, uppdateringsintervall och beslutspunkter.
  • PEP- och sanktionsrutiner: hantering av träffar, utredning, beslut och spårbar dokumentation.
  • Uppföljning och avvikelsehantering: eskalering, utredning, rapportering och återkoppling.
  • Utbildning + förvaltning: utbildningsmaterial och dokumentation av genomförande och cykler för uppdatering samt ansvar för löpande revidering.

En förvaltningsbar leverans minskar risken för att AML-arbetet blir personberoende eller tappar effekt mellan granskningarna. Den gör det också enklare för ledningen att följa upp status, fatta prioriterade beslut och visa att kontrollmiljön fungerar i praktiken. Vi tar fram underlagen i ett format som är lätt att besluta, kommunicera och implementera, och som går att uppdatera utan att starta om projektet varje år.

Vanliga frågor och svar om penningtvättsregelverket

Begreppet avser de företag och yrkesutövare som omfattas av penningtvättslagen och AMLR och därmed måste tillämpa kraven i penningtvättsregelverken. Vilka som träffas styrs av verksamhetens typ, tjänster och i vissa fall hur produkter distribueras och till vem.

Penningtvättslagen är den svenska implementationen som sätter ramarna nationellt, medan AMLR är en EU-förordning som driver mot mer enhetliga krav och arbetssätt i hela EU. I praktiken kan bolag behöva mappa båda rättskällorna mot processer, roller, system och dokumentation. En fungerande modell är att dokumentera en gemensam kravbild där penningtvättslagen och AMLR:s krav identifieras.

Den sätter logiken för vilka risker verksamheten faktiskt har och hur kontrollnivån ska dimensioneras över kunder, produkter, distributionskanaler och geografi. Utan en korrekt riskbedömning blir policy, KYC-rutiner och kontroller lätt inkonsekventa och svåra att försvara vid granskning. Den allmänna riskbedömningen:

  • definierar riskprofilen (kunder, produkter, distributionskanaler och geografi) och ger en spårbar bedömning av risk,
  • dimensionerar kontrollnivån i praktiken med KYC-flöden, riskklassning, uppdateringsintervall, eskalering och dokumentationskrav,
  • styr prioriteringar och resurser så att kontrollmiljön blir proportionerlig och inte skapar onödig intern belastning, och
  • skapar en röd tråd i styrdokument och uppföljning, vilket gör arbetet lättare att leda och enklare att försvara vid intern revision eller extern granskning av tillsynsmyndigheten.

Det är en strukturerad jämförelse mellan kravbilden och hur företaget arbetar i praktiken, inklusive styrdokument, processer, systemstöd och utfall. Leveransen blir ett konkret beslutsunderlag som pekar ut brister, beroenden och prioriterade åtgärder.

En hanterbar åtgärdsplan bryter ned kraven i tydliga leverabler med ansvariga roller, beslutspunkter och milstolpar. Den är skriven så att ledningen kan styra genom prioriteringar, inte genom detaljfrågor.

Planen prioriterar de åtgärder som ger störst effekt i kontrollmiljön och minskar därmed faktisk risk, innan man lägger tid på finjusteringar. Den tar också höjd för resursläge och genomförande i etapper, så att verksamheten inte tappar tempo.

Kravställningen bör översätta regulatoriska krav till tydliga kontrollkrav: vilka kontroller som ska finnas, hur de fungerar, och vilken dokumentation (loggar, spårbarhet och rapporter) som ska kunna tas fram. Det ska också framgå hur incidenter hanteras, hur förändringar kommuniceras och hur kvalitet följs upp.

Samtidigt behöver ansvarsfördelningen vara kristallklar: vad leverantören gör, vad ni ansvarar för och hur ni behåller styrning över processen. Målet är att ni kan visa hur leverantören styrs och kontrolleras över tid, inte bara att ett avtal finns.

En sammanhållen KYC-kedja är ett end-to-end-flöde där riskklassning, identitet och ägarstruktur, syftet med affären, dokumentationskrav och beslutspunkter hänger ihop utan glapp. Varje steg ska ha en tydlig logik som går att följa och revidera.

Kedjan ska dessutom vara konsekvent och spårbar, med en tydlig koppling mellan risk och vilka åtgärder som faktiskt vidtas. På så sätt blir KYC både enklare att leda och enklare att förklara vid granskning.

Rutinerna ska beskriva ett tydligt flöde från initial match till utredning, beslut, eventuell eskalering och dokumentation, med klara roller och tidslinjer. Fokus är att beslut ska kunna motiveras och följas i efterhand.

För att hålla vid granskning behöver processen vara repeterbar och kvalitetssäkrad, så att bedömningar inte blir ad hoc eller personberoende. Det ska också framgå hur man hanterar falska positiva, när man behöver kompletterande information och hur beslut dokumenteras.

Ni behöver definiera vad som är en avvikelse, hur den fångas, vem som utreder, vilka beslut som fattas och hur åtgärder följs upp. En robust avvikelseprocess ger ledningen styrbarhet och gör kontrollmiljön mätbar över tid.

Typiskt efterfrågas den allmänna riskbedömningen, policy och rutiner, roll- och ansvarsfördelning, kontrollplaner, utbildningsunderlag samt spårbar dokumentation från genomförda kontroller och beslut. Poängen är att verksamheten ska kunna visa både “design” och “drift”, alltså vad ni har bestämt och hur det faktiskt fungerar.

Utbildningen bör vara rollbaserad med tydliga lärandemål, dokumenterat genomförande och deltagande samt en definierad cykel för uppdatering och återkommande genomförande. Den ska dessutom kopplas till era rutiner så att den stödjer utmaningar i vardagen, inte bara kunskap i teorin.

Vi jobbar strukturerat i nära dialog med verksamheten och levererar beslutsunderlag, prioriterad åtgärdsplan och uppdaterade styrdokument som går att implementera stegvis. Målet är en proportionerlig, stabil och spårbar AML-funktion som är möjlig att driva och förklara över tid.

Kontakt

Felix Morling

Kontakta oss

Om du föredrar telefon, välkommen att kontakta Felix Morling på +46 70 444 42 85

*” anger obligatoriska fält