Många verksamhetsutövare brister i sina allmänna riskbedömningar enligt penningtvättslagen. Det visar en ny rapport från länsstyrelserna i Skåne, Stockholm och Västra Götaland. Nu pekar myndigheterna ut vanliga fel – och vad som krävs för att uppfylla regelverket.
Länsstyrelsernas tillsyn under det senaste året visar att den allmänna riskbedömningen ofta är ett problemområde. I flera fall saknas den helt, eller så förväxlas den med andra delar av penningtvättsarbetet, som kundriskbedömningar eller interna rutiner.
Den allmänna riskbedömningen ska enligt regelverket ge en samlad bild av verksamhetens risker för penningtvätt och finansiering av terrorism och ligga till grund för ett riskbaserat arbetssätt.
Rapporten Erfarenheter från länsstyrelsernas penningtvättstillsyn fokuserar på just den allmänna riskbedömningen. Länsstyrelserna kommer att publicera fler rapporter under 2026 med fokus på andra delar av regelverket.
FAR välkomnar initiativet
Pernilla Thelin, föreningsjurist på FAR, är positiv till länsstyrelsernas rapport och den vägledning som ges till verksamhetsutövarna.
– Vägledningar med konkreta exempel bidrar till en ökad och viktig förståelse för penningtvättsregelverken och, i det här fallet, den allmänna riskbedömningen. Tydlig och praktiskt inriktad vägledning från tillsynsmyndigheterna är efterfrågad av både FAR:s medlemmar och andra verksamhetsutövare. Den här rapporten är ett gott exempel på hur en sådan vägledning kan utformas.
Penningtvätt och finansiering av terrorism är nära kopplade till grov brottslighet, där redan utsatta människor ofta utnyttjas.
– I det sammanhanget har FAR:s medlemmar en viktig roll som så kallade ”gatekeepers”, både i att förebygga och motverka att verksamheter utnyttjas för brottsliga syften, säger Pernilla Thelin.
Brister i den allmänna riskbedömningen
Länsstyrelserna har bland annat identifierat följande brister i den allmänna riskbedömningen.
För generella riskbedömningar
En återkommande brist är att riskbedömningar inte är anpassade till den egna verksamheten. I stället används generella mallar utan tillräcklig analys av de faktiska riskerna.
Enligt länsstyrelserna är mallar ett stöd, men kan inte ersätta en verksamhetsspecifik analys. Varje företag måste identifiera och bedöma sina egna risker utifrån exempelvis produkter, tjänster och kundstruktur.
Bristande analys av hot och sårbarheter
Tillsynen visar att många verksamhetsutövare inte gör tillräckligt djupgående analyser av hot och sårbarheter. Ofta saknas förståelse för hur olika riskfaktorer samverkar.
Länsstyrelserna betonar att analysen ska utgå från verksamhetens produkter och tjänster. Analysen ska ta särskild hänsyn till kunder, distribution, geografiska riskfaktorer och verksamhetsspecifika omständigheter.
Otydlig beskrivning av produkter och tjänster
En återkommande brist är att verksamhetsutövaren identifierar sina tjänster och produkter på ett allmänt plan, utan att anpassa det till den egna verksamheten. Det är dessutom vanligt att det görs övergripande beskrivningar utan koppling till konkreta risker.
Enligt vägledningen är det avgörande att varje tjänst eller produkt analyseras individuellt, eftersom riskerna kan skilja sig åt väsentligt.
Bristande motivering av risknivåer
Många verksamhetsutövare brister i att analysera och motivera sina riskbedömningar. Ofta anges risknivåer utan att det framgår hur bedömningen har gjorts eller vilka faktorer som beaktats. För att uppfylla kraven behöver riskbedömningen bygga på en samlad analys av relevanta hot och sårbarheter samt hur dessa samverkar. Exempelvis kan risken öka om en redovisningstjänst utnyttjas för falska fakturor i kombination med bristande kompetens hos personalen eller kunder i högriskbranscher.
