Kartläggning och bedömning av risker

Från och med den 1 augusti 2015 ska alla verksamhetsutövare som omfattas av penningtvättslagen (2009:62) kartlägga och bedöma riskerna för penningtvätt och finansiering av terrorism i verksamheten.

Riskbedömningen ska dokumenteras och hållas uppdaterad.

Länsstyrelsens tillsyn
Riskbaserat förhållningssätt
God kundkännedom
Riskbedömning, modell och klassificering
Ny kundrelation - inför och fortlöpande under

Länsstyrelsens tillsyn

Länsstyrelsen har tillsyn över företag som är anmälda till Bolagsverkets register mot penningtvätt. Länsstyrelsen ska kontrollera att dessa företag skyddar sin verksamhet mot att utnyttjas för penningtvätt och finansiering av terrorism och vidtar vissa åtgärder för att förhindra att de utnyttjas.

Nedan följer en förklaring av hur en riskbedömning kan genomföras. Länsstyrelsen kan komma att begära in er skriftliga riskbedömning vid ett senare tillfälle.

Riskbaserat förhållningssätt

Samtliga företag som står under tillsyn enligt penningtvättslagen ska ha ett riskbaserat förhållningssätt. Ert företag ska vidta nödvändiga åtgärder för att förhindra att verksamheten utnyttjas för penningtvätt och/eller finansiering av terrorism.

Åtgärderna ska anpassas utifrån risken för att just er verksamhet skulle utnyttjas. Riskerna kan variera utifrån verksamhetsområde men även andra faktorer kan vara viktiga.

God kundkännedom

Ett led i arbetet med riskbedömning av er verksamhet är att ni har en god kundkännedom. Känner ni er kund och kundens verksamhet är det lättare att göra en verksamhetsanpassad riskbedömning och arbeta utifrån ett riskbaserat förhållningssätt.

När riskerna är dokumenterade och kundkännedomen är god så ska företaget ha fått en uppfattning om vilka kunder som utgör en högre risk respektive en lägre risk. Alla kunders risknivå ska dokumenteras, men för de kunder som utgör högre risk ska kontroller och uppföljning genomföras oftare än för dem med lägre risk.

Förändringar i till exempel en kunds produkter, tjänster, geografiska placering och transaktionsmönster kan innebära att en tidigare högriskkund flyttas ner i riskbedömningen till att anses som en lågriskkund och vice versa. Därför är att viktigt att fortlöpande följa upp kundrelationer och uppdatera riskbedömningen.

Riskbedömning

Man kan se en riskbedömning som två olika delar som båda påverkar varandra. Ena delen är att göra en riskbedömning utifrån vilken typ av verksamhet man själv bedriver med avseende på produkter, tjänster, geografiskt läge och så vidare. Den andra delen är att titta på sina kunder och deras verksamhet.  

Bedriver ni till exempel en redovisningsbyrå och har en stor del kontantintensiva företag som kunder så kan man dra slutsatsen att era kunder innebär en relativt hög risk. Däremot så kan risken vara relativt låg på de produkter och tjänster ni erbjuder. Eller bedriver ni en verksamhet som hyr ut postboxar som underlättar anonymitet så kan den största risken antas ligga i själva tjänsten/produkten. I ett sådant fall krävs väldigt god kundkännedom för att kunna säga att risken är låg.

Förenklad modell för riskbedömning

Modellen nedan visar förenklat hur en riskbedömning kan gå till. Den kan användas både för att bedöma riskerna i den egna verksamheten och för att göra en riskbedömning av företagets kunder och deras verksamhet.

Riskbedömning

Klassificering av risker

Nedan följer ett exempel på hur riskerna i en verksamhet kan kategoriseras och klassificeras utifrån dess kunder, produkter/tjänster, distributionskanaler, transaktioner, geografi och företag.  

Riskklassificering

 

Resurser och åtgärder

Utifrån verksamhetsutövarens riskbedömning ska resurser fördelas och åtgärder vidtas för att minska risken för att utsättas för penningtvätt och finansiering av terrorism.

Ny kundrelation – inför och fortlöpande under

Innan ni inleder en ny kundrelation behöver ni göra vissa kontroller för att få kundkännedom och kunna bedöma riskerna för penningtvätt och finansiering av terrorism.

När en kundrelation har riskbedömts och inletts är det viktigt att fortlöpande följa upp affärsförbindelsen och granska transaktionerna.

I figuren nedan ser ni ett exempel på hur en sådan process kan se ut.

 

Riskbedömningsprocessen

Dokumentation

Skriftliga rutiner ska finnas för dokumentationen av hur varje ovanstående steg har utförts. Utöver de områden som beskrivs i figuren ovan ska rutiner finnas för att bevara handlingar för de åtgärder som vidtagits för bland annat ID-kontroll och uppföljning av affärsrelationen. Det ska även finnas rutiner för att granska misstänkta transaktioner och för att kontakta Finanspolisen (FIPO) när oegentligheter uppmärksammas.  

Era anställda ska hållas uppdaterade om de risker som finns för penningtvätt och finansiering av terrorism så de kan upptäcka dem. Utbildning av anställda ska dokumenteras. En rutin för skydd av anställda krävs enligt lagen.

Funktionsansvarig

Varje företag ska ha en person som ansvarar för att ovanstående process fungerar, en så kallad centralt funktionsansvarig. Den personens uppgift är att se till att företaget följer den skriftliga riskbedömningen och rutinerna samt att företaget uppfyller de lagkrav som ställs i penningtvättslagen.

>> Se mer information om vilka krav som ställs på rutinerna