Risk för gräsbrand i Jönköpings länLäs mer på SMHI:s webbplats om aktuell vädervarning.

Gå till innehåll
Sök

Gör en allmän riskbedömning

Du som är verksamhetsutövare ska göra en så kallad allmän riskbedömning. Det betyder att du ska bedöma hur de produkter och tjänster som du erbjuder i din verksamhet kan utnyttjas för penningtvätt och finansiering av terrorism. Du ska också bedöma hur stor risken är för att det sker.

Att identifiera risker och sårbarheter är avgörande för att skydda verksamheten och förhindra att den utnyttjas för penningtvätt eller finansiering av terrorism.

Med din allmänna riskbedömning lägger du grunden till och säkerställer det riskbaserade förhållningsättet i din verksamhet. Du ska dela den med alla som har en roll i att skydda verksamheten.

Utifrån den förståelse som din allmänna riskbedömning ska ge dig kan din verksamhet sedan lägga rätt resurser på rätt plats för att motverka, upptäcka och rapportera de som kan försöka utnyttja verksamheten för penningtvätt och finansiering av terrorism.

Innehållet i din allmänna riskbedömning har också betydelse för dina övriga åtgärder enligt penningtvättslagen. Din riskbedömning ska utformas så att den kan ligga till grund för din verksamhets rutiner och riktlinjer för att hantera de risker som du bedömer att din verksamhet behöver skyddas mot.

Är det krav på att din verksamhet har en dokumenterad allmän riskbedömning?

Ja, alla verksamhetsutövare som omfattas av penningtvättslagen är skyldiga att ha en dokumenterad allmän riskbedömning. Du ska utvärdera den minst en gång per år och uppdatera den vid behov.

Om din verksamhet saknar en allmän riskbedömning har du inte förutsättningar att ha användbara och verksamhetsanpassade rutiner och riktlinjer och övriga åtgärder för att motverka att din verksamhet utnyttjas för penningtvätt och finansiering av terrorism.

Vilka delar ska en allmän riskbedömning innehålla?

Din allmänna riskbedömning ska vara dokumenterad och verksamhetsanpassad, men det är upp till dig att bestämma i vilken ordning och hur du redovisar följande delar.

Riskbedömningen för din verksamhet ska beskriva

  • produkter och tjänster som du erbjuder i din verksamhet
  • hot som finns för att din verksamhet ska utnyttjas
  • sårbarheter som gör det möjligt att din verksamhet utnyttjas
  • risknivåer och motivering.

Produkter och tjänster

Du ska identifiera vilka produkter och tjänster som du tillhandahåller i din verksamhet. Denna redogörelse behöver vara tillräckligt specifik för att du i övriga delar av riskbedömningen ska kunna bedöma hur respektive tjänst eller produkt kan utnyttjas för penningtvätt och finansiering av terrorism.

Hur vet du vad som är hot för din verksamhet?

Hot är olika sätt som din verksamhets produkter och tjänster kan användas för att tvätta pengar eller finansiera terrorism. Du ska identifiera och analysera hot som är relevanta för de produkter och tjänster som du tillhandahåller i din verksamhet.

När det gäller penningtvätt behöver du ha förståelse både för de brott som genererar brottsvinster och för processen att tvätta brottsvinster. När det gäller terrorfinansiering behöver du ha förståelse både för pengarnas ursprung och för hur de kan användas för att finansiera terrorism.

För att du ska kunna identifiera och analysera relevanta hot behöver du hålla dig uppdaterad om kända tillvägagångssätt för penningtvätt och finansiering av terrorism som myndigheter lämnar. Det kan exempelvis vara information från Finanspolisen om att en viss tjänst ofta blir använd i syfte att få en legitim stämpel på en transaktion som en del av ett penningtvättsupplägg. Du behöver sedan knyta denna information till din egen verksamhet genom att exempelvis analysera om du tillhandahåller den aktuella tjänsten, och under vilka förutsättningar samt till vilka typer av kunder som du i sådana fall tillhandahåller den.

Exempel på myndigheter och organisationer som du kan använda som källor:

Nationell samordning mot penningtvätt och finansiering av terrorism, Polisen Länk till annan webbplats.

Säkerhetspolisen Länk till annan webbplats.

Finanspolisen, Polisen Länk till annan webbplats.

Ekobrottsmyndigheten Länk till annan webbplats.

Skatteverket Länk till annan webbplats.

Financial Action Task Force, FATF Länk till annan webbplats.

Europol Länk till annan webbplats.

EU-kommissionen Länk till annan webbplats.

Brottsförebyggande rådet Länk till annan webbplats.

Ange i din riskbedömning vilka källor som du använder som underlag.

Du ska också väga in vad din verksamhet har rapporterat till Finanspolisen angående misstänkta transaktioner och aktiviteter. Det kan även finnas andra omständigheter i din verksamhet som kan göra att verksamheten kan utsättas för hot.

Hur identifierar du sårbarheter?

Du ska identifiera och analysera sårbarheter som kan innebära att de produkter och tjänster som du tillhandahåller i din verksamhet utnyttjas för penningtvätt och finansiering av terrorism. Sårbarheter är svagheter eller brister i din verksamhet som kan utnyttjas för att genomföra penningtvätt eller finansiering av terrorism. Det kan exempelvis avse svagheter i verksamheten eller egenskaper hos produkter eller tjänster.

Vid din bedömning av sårbarheter ska du särskilt ta hänsyn till riskfaktorer, men även andra omständigheter kan vara relevanta för dig att ta hänsyn till. Du behöver analysera samtliga riskfaktorer eftersom det till exempel kan finnas en tjänst som i sig innebär en begränsad risk men där de kundtyper som köper tjänsten innebär en hög risk. Den sammanvägda risken för att dina tjänster kan utnyttjas för penningtvätt och finansiering av terrorism skulle i ett sådant exempel kunna innebära en medelhög risk.

Riskfaktorer

  • Vilka kundtyper som finns i din verksamhet. Finns det omständigheter hos dina kunder, dina kunders verksamheter och branscher som kan innebära risker för din verksamhet? I penningtvättslagen (kapitel 2, paragraf 4 och 5) finns exempel på omständigheter som kan tyda på låg eller hög risk. Observera! Exemplen i de två lagparagraferna är inte heltäckande och du måste utgå från relevanta omständigheter hos kundtyperna i din verksamhet.
  • Distribution eller leveranssätt. Erbjuder din verksamhet produkter och tjänster som gör det svårare för dig att överblicka hur och vad kunden använder produkter och tjänster till? Det handlar om vilken kontroll du har över din verksamhets produkter och tjänster när du tillhandahåller dem till kunden. Till exempel om tjänsten erbjuds på distans, genom en tredje part eller via ett webbaserat forum. Det kan vara så att du erbjuder en produkt som i sig innebär en låg risk, men ditt leveranssätt innebär en hög risk, vilket i kombination kan göra att risken för att produkten kan utnyttjas blir högre. Om du använder en extern tjänsteleverantör för olika delar av dina skyldigheter avseende bekämpning av penningtvätt och finansiering av terrorism kan det också innebära risker, och ett sådant system är inte en ersättning för personalens vaksamhet.
  • Geografiska förhållanden. Du behöver ha kunskap om de länder och områden som du och dina kunder är verksamma eller bosatta i, eller har anknytning till, och relevanta förhållanden kopplade till dessa länder och områden som kan leda till att dina produkter och tjänster utnyttjas. Du kan erbjuda en tjänst som i sig innebär en låg risk, men risken för att tjänsten kan utnyttjas blir högre när du till exempel erbjuder tjänsten i ett land där det förekommer korruption, det saknas ett effektivt regelverk mot penningtvätt, eller som är ett högrisktredjeland enligt EU-kommissionen.
  • Verksamhetsspecifika omständigheter. Finns det specifika omständigheter i din verksamhet? Det handlar alltså inte om sårbarheter i allmänhet, utan du behöver analysera din egen verksamhet. Till exempel din verksamhets storlek eller hur komplex organisationen är.

Vad är ett högrisktredjeland?

Ett högrisktredjeland är ett land utanför europeiska ekonomiska samarbetsområdet (EES) som EU-kommissionen bedömt innebär en hög risk för penningtvätt eller finansiering av terrorism. EU-kommissionen har en lista över aktuella länder:

Anti-money laundering and countering the financing of terrorism at international level, European Commission Länk till annan webbplats.

Risknivåer med motiveringar

Du ska värdera riskerna för att de hot och sårbarheter som du bedömt kan göra att din verksamhets produkter och tjänster utnyttjas för penningtvätt och finansiering av terrorism. Du ska tilldela risknivåer för var och en av produkterna och tjänsterna. Det är viktigt att du motiverar de risknivåer du tilldelar.

Det är inte tillräckligt att du endast anger att en produkt eller tjänst innebär en viss risknivå utan att du tydligt redovisar din motivering för din bedömning.

Risken beskriver sannolikheten för att ett eller flera hot utnyttjar en eller flera sårbarheter med konsekvensen att produkten eller tjänsten utnyttjas.

Vid din värdering ska du även sammanväga och analysera hur samtliga riskfaktorer från den allmänna riskbedömningen påverkar den specifika produkten eller tjänsten. Det innebär att du behöver väga samman faktorer som kundtyper, geografiska riskfaktorer och distributionskanaler och bedöma hur de kan öka eller minska risken för ett utnyttjande.

Om du anser att det blir en tydligare bild kan du göra denna sammanvägning separat för respektive produkt eller tjänst så länge samtliga riskfaktorer ingår.

Var uppmärksam på att en sårbarhet ensam eller i kombination med en eller flera andra kan göra att ett eller flera hot blir verkligt. För att du ska kunna bedöma hur stor risken är behöver du förstå hur produkterna, tjänsterna och de olika riskfaktorerna påverkar varandra. Exempelvis kan en faktor utgöra en låg risk om den ses för sig, men en högre risk om den kombineras med andra faktorer.

I din bedömning kan du exempelvis ställa dig frågan hur sannolikt det är att de identifierade faktorerna – kundtyper, geografiska faktorer, distributionskanaler eller andra verksamhetsspecifika omständigheter – påverkar risken för att vardera produkt eller tjänst utnyttjas, och hur stora konsekvenserna skulle bli.

Till exempel kan risknivån öka för att en redovisningstjänst utnyttjas för att bokföra falska fakturor (hotet) om tjänsten utförs av en anställd som inte har kompetens att upptäcka falska fakturor (sårbarhet) eller om kunden som använder tjänsten är verksam i en bransch som innebär en betydande risk för penningtvätt (sårbarhet).

Nedan bild är ett exempel på visualisering av hur riskerna förknippade med produkter och tjänster påverkas av sannolikheten för olika riskfaktorer.

En tabell som visar en matris på nio rutor från låg risk till hög risk/misstanke. Den visar till exempel att en produkt eller tjänst med låg risk och låg sannolikhet för riskfaktorer hamnar i ett grönt fält där det står låg risk. Medan en produkt eller tjänst med hög risk och hög sannolikhet för riskfaktorer hamnar i ett rött fält där det står hög risk/misstanke.

Vad gäller angående riskreducerande åtgärder?

Om din verksamhet gör åtgärder för att minska riskerna kan du välja att dokumentera det när du gör din allmänna riskbedömning. Om du tar med dina riskreducerande åtgärder ska du även bedöma deras effektivitet, det vill säga utvärdera om vardera åtgärd i realiteten medverkat till att din verksamhet hanterat bedömda risker på ett mer effektivt sätt. Denna bedömning ska framgå av den allmänna riskbedömningen innan du sammanväger riskerna.

En riskreducerande åtgärd kan exempelvis vara att din verksamhet väljer att inte erbjuda en specifik tjänst på distans, genom en tredje part eller via ett webbaserat forum. Det kan också vara särskilda frågor som du ställer till din kund som en del av din övervakning av en pågående affärsförbindelse eller enstaka transaktion. Dina frågor kan till exempel handla om pengars eller egendoms ursprung.

Ett exempel på hur du kan utvärdera effektiviteten av en riskreducerande åtgärd är att kontrollera om verksamheten har infört åtgärden på det sätt som var avsett och att åtgärdens utformning har varit ändamålsenlig. Om din utvärdering av åtgärdens effektivitet visar att åtgärden inte haft avsedd effekt, till exempel att antalet avvikande transaktioner inte minskat, kan du behöva ändra på åtgärden.

Vanliga frågor och svar

Det är förhållandena i din verksamhet som styr hur omfattande din allmänna riskbedömning ska vara. Det beror bland annat på din verksamhets storlek, art och riskerna i verksamheten. Eftersom olika verksamheter är av varierande storlek och art så behöver också omfattningen av den allmänna riskbedömningen variera beroende på vilken verksamhet den är till för.

Det ska framgå av din allmänna riskbedömning hur du bestämt omfattningen av riskbedömningen. Din allmänna riskbedömning måste dock alltid uppfylla de grundläggande kraven som gäller identifiering och bedömning av produkter och tjänster, hot, sårbarheter och risknivåer.

Vad menas med verksamhetens storlek och art?

Din verksamhets storlek beror på bland annat

  • omsättning
  • antal anställda
  • antal verksamhetsställen och liknande förhållanden.

Din verksamhets art bestäms av bland annat

  • vilken typ av verksamhet som du bedriver
  • vilka varor eller tjänster som du tillhandahåller
  • hur komplexa dessa varor och tjänster är och andra liknande omständigheter.

Ja. Risken för att din verksamhets produkter och tjänster utnyttjas för penningtvätt och finansiering av terrorism kan öka eller minska beroende på förändringar i din verksamhet och omvärlden.

Du ska utvärdera din riskbedömning regelbundet, minst en gång per år och uppdatera den vid behov. Om risken förändras på grund av ändringar i din verksamhet eller omvärlden, kan du behöva utvärdera och uppdatera din riskbedömning mer frekvent än en gång per år. Till exempel om du börjar erbjuda nya eller väsentligt förändrade produkter eller tjänster, eller riktar dig till nya marknader.

Din allmänna riskbedömning ska visa datum för när du utvärderat och eventuellt uppdaterat den.

Alla som har en funktion och utför arbetsuppgifter som skyddar din verksamhet från att utnyttjas ska ta del av riskbedömningen. De ska

  • veta hur ett utnyttjande skulle kunna gå till och hur stor risken är för att det sker
  • kunna motverka, upptäcka och rapportera om någon försöker utnyttja verksamheten för penningtvätt och finansiering av terrorism.

Länsstyrelsen kan på begäran ta del av den allmänna riskbedömningen.

Så kan du göra en allmän riskbedömning

Ta del av en film som ger dig en kort beskrivning om hur du kan göra en allmän riskbedömning.

Filmen är tänkt som ett stöd och komplement till regelverket om penningtvätt.

Filmer om penningtvätt, Polisen Länk till annan webbplats.

Relaterad information

Kontakt

Kontakta Länsstyrelsen Skåne

Dela sidan:

Landshövding

Brittis Benzler

Besöksadress

Hamngatan 4

Postadress

551 86 Jönköping

Telefon

Ring oss på 010-2236000

Skicka e-post till jonkoping@lansstyrelsen.se

Organisationsnummer

202100-2288

Följ oss

Följ oss på Facebook
Följ oss på LinkedIn
Tillbaka till toppen