Kartläggning och bedömning av risker

Som verksamhetsutövare ska du göra både en riskbedömning av din egen verksamhet och en riskbedömning av varje enskild kund.

Den allmänna riskbedömningen

Du som verksamhetsutövare är skyldig att göra en bedömning av vilka risker som finns för att ditt företag utnyttjas för att tvätta pengar eller finansiera terrorism. Den allmänna riskbedömningen ska dokumenteras och den utgör grunden för ditt fortsatta arbete med rutiner, riktlinjer och övriga åtgärder för att förhindra att din verksamhet utnyttjas i dessa illegala syften.

Hur omfattande den allmänna riskbedömningen måste vara beror på din verksamhets storlek och art. Med storlek avses exempelvis omsättning samt antalet anställda och verksamhetsställen. Med art avses till exempel vilken typ av verksamhet som drivs och vilka varor eller tjänster som erbjuds samt deras komplexitet. De risker som du har identifierat i verksamheten påverkar också hur omfattande den allmänna riskbedömningens kommer att bli.

När du gör den allmänna riskbedömningen är det första steget att identifiera vilka risker som finns för att din verksamhet skulle kunna utnyttjas för penningtvätt och terrorismfinansiering. När du har vägt samman samtliga omständigheter ska du i ett andra steg bedöma hur stor risken är för att din verksamhet utnyttjas för penningtvätt eller finansiering av terrorism.

Den allmänna riskbedömningens steg illustreras i denna figur.

Figur över riskbedömningens steg 

Identifiera risker och riskfaktorer i verksamheten

Det första steget är att kartlägga och identifiera på vilka sätt de produkter och tjänster som erbjuds i verksamheten skulle kunna utnyttjas för penningtvätt eller finansiering av terrorism. Du ska också kartlägga och identifiera faktorer som påverkar risken för detta. 

När du identifierar och kartlägger riskerna med att produkterna eller tjänsterna utnyttjas för att tvätta pengar och finansiera terrorism bör följande frågor ställas.

  • Hur skulle ett utnyttjande kunna gå till och vad skulle faktiskt kunna inträffa?
  • Vilka egenskaper i produkterna eller tjänsterna gör dem sårbara för försök till penningtvätt eller finansiering av terrorism?
  • Hur användbara är produkterna eller tjänsterna för detta ändamål?
  • Är det exempelvis möjligt att använda produkterna eller tjänsterna för att dölja viss egendoms samband med brott eller för att samla in eller vidarebefordra pengar eller annan egendom till en terroristorganisation?

Du är också skyldig att kartlägga och identifiera faktorer som påverkar risken för att produkterna eller tjänsterna utnyttjas för penningtvätt eller finansiering av terrorism. Du ska särskilt beakta riskfaktorer kopplade till:

  • Kunder
  • Distributionskanaler
  • Geografiska riskfaktorer

Med riskfaktorn kunder avses huvudsakligen sådana generella risker som är förknippade med de kundkategorier som verksamhetsutövaren riktar sina produkter eller tjänster till. Det kan exempelvis röra sig om kontantintensiva kunder eller kunder från en specifik bransch. När du bedömer riskfaktorn kunder kan du bland annat utgå ifrån vad som är allmänt känt om den aktuella kundkategorin och din kunskap om de risker som är förknippade med dina egna kundrelationer.

Faktorer avseende distributionskanaler tar sikte på hur produkterna eller tjänsterna levereras till kunden. Det kan till exempel röra sig om produkter eller tjänster som levereras genom en tredje person eller via ett webbaserat forum. Användandet av sådana distributionskanaler kan exempelvis innebära att det blir svårare för dig som verksamhetsutövare att överblicka hur produkterna eller tjänsterna används av kunden. Risken kan därmed vara högre för att produkterna eller tjänsterna utnyttjas för penningtvätt eller finansiering av terrorism.

Geografiska faktorer är sådana som relaterar till förhållanden i de länder där produkterna eller tjänsterna erbjuds eller där kunderna har sin verksamhet. Exempel på risker förknippade med geografiska faktorer är kunder i länder med hög korruption eller som saknar ett fungerande penningtvättsregelverk. Din kunskap om de risker som kan förknippas med det aktuella landet är avgörande för att du ska kunna identifiera riskerna.

Även andra verksamhetsspecifika omständigheter kan beaktas i bedömningen, exempelvis verksamhetens storlek och organisatoriska komplexitet.

När du bedömer riskerna i din verksamhet ska du ta hänsyn till följande.

  • Uppgifter som har kommit fram vid rapportering av misstänkta transaktioner och aktiviteter till Finanspolisen.
  • Information från andra tillsynsmyndigheter och brottsbekämpande myndigheter om aktuella tillvägagångssätt beträffande penningtvätt och finansiering av terrorism.
  • Information från din branschorganisation
  • Det som är allmänt känt och din egen erfarenhet.

Du har även ett eget ansvar att genom omvärldsbevakning vara uppmärksam på nya risker och tillvägagångssätt för penningtvätt och terrorfinansiering. 

Hur stor är risken?

När du har identifierat riskerna i verksamheten behöver du ta ställning till hur stor risken är för att företagets verksamhet utnyttjas för penningtvätt eller finansiering av terrorism. Risknivåerna kan delas in i hög, förhöjd, normal eller låg risk.

I din bedömning bör du ställa dig följande frågor.

  • Vilken risknivå är förknippad med produkterna eller tjänsterna – låg, normal eller hög?
  • Hur sannolikt är det att de identifierade faktorerna – kunder, geografiska faktorer, distributionsfaktorer eller andra verksamhetsspecifika omständigheter – påverkar risken för att de identifierade produkterna eller tjänsterna skulle kunna utnyttjas för penningtvätt eller terrorismfinansiering? 

Centralt i bedömningen är din förståelse för produkterna och tjänsterna samt riskfaktorerna var för sig och i förhållande till verksamheten i stort. Exempelvis kan en faktor innebära en låg risk om den ses för sig, men en högre risk om den kombineras med andra faktorer.  

Nedan är ett schema över hur de risker som är förknippade med företaget produkter och tjänster kan påverkas av olika riskfaktorer i verksamheten samt vilken risknivå den sammantagna bedömningen kan leda till.

 

​Produkter och tjänsterRiskfaktorer
​Låg sannolikhet​Medelstor sannolikhet​Hög sannolikhet
​Låg risk ​Låg risk ​Normal risk ​​Normal risk
​Normal risk​​Normal risk ​​Normal riskFörhöjd risk
​Hög risk​​Normal risk ​Förhöjd risk ​Hög risk

 

En pågående process

Riskerna för att verksamheten i ditt företag utnyttjas för att tvätta pengar och finansiera terrorism kan öka eller minska beroende på förändringar i såväl verksamheten som omvärlden. Arbetet med att identifiera och kartlägga riskerna är därför en pågående process.

Tänk på följande! 

  • Du har en skyldighet att utvärdera den allmänna riskbedömningen regelbundet och minst en gång per år.
  • Du ska alltid utvärdera den allmänna riskbedömningen innan ditt företag erbjuder nya eller väsentligt förändrade produkter eller tjänster, riktar sig till nya marknader eller gör andra förändringar som är relevanta för verksamheten.
  • Du ska anteckna datumet för varje utvärdering.
  • Om du efter din utvärdering anser att riskerna i verksamheten har förändrats, ska du uppdatera riskbedömningen med de nya omständigheterna och slutsatserna.