Riskbedömning

Vi läste 27 tillsynsbeslut så du slipper

Därför gjorde vi den här genomgången

Penningtvättsregelverket har blivit ett av de tyngsta operativa ansvaren en redovisningsbyrå bär idag. Den allmänna riskbedömningen, hädanefter AR, är hjärtat i det ansvaret och samtidigt det dokument där tillsynsmyndigheten i praktiken fäller sina avgöranden. Under det senaste året har Länsstyrelserna fattat sanktionsbeslut mot byrå efter byrå med praktiskt taget identisk motivering: den allmänna riskbedömningen brister.

Det är en obekväm situation för branschen. Inte för att de bötfällda byråerna är slarviga, utan för att tillsynsmyndighetens förväntningar har skärpts snabbare än branschens dokumentation hängt med. När vi pratat med kollegor från olika delar av landet möter vi samma fråga om och om igen: “Vad letar Länsstyrelsen egentligen efter, och hur kan jag veta om mitt eget dokument klarar en granskning?”

För att kunna ge ett evidensbaserat svar på den frågan har vi gjort något som hittills inte funnits offentligt tillgängligt i strukturerad form. Vi har systematiskt gått igenom de faktiska tillsynsärendena. Inte sammanfattningar, inte branschanekdoter, utan de fullständiga beslutsdokumenten med motiveringar, anmärkningar och underliggande bedömningar.

Den här artikeln är resultatet av den genomgången. Den är skriven för dig som arbetar med AR på en redovisningsbyrå och vill förstå vad som faktiskt skiljer en godkänd riskbedömning från en bötfälld. Vi delar fynden generöst eftersom branschen som helhet vinner på att standarden höjs. När varje byrå bygger en AR som håller minskar risken att hela vår yrkeskår dras med i den misstro mot redovisningsbranschen som flera myndigheter signalerat de senaste två åren.

Så här gick forskningen till

Med stöd av offentlighetsprincipen begärde vi ut det fullständiga underlaget bakom Länsstyrelsernas tillsynsbeslut mot redovisningsbyråer. Vi har gått igenom beslut spridda över flera år och olika delar av landet för att fånga den faktiska bredden i hur tillsynsmyndigheten resonerar.

Materialet vi fick ut omfattar två kategorier dokument. Den första är sanktionsbeslut med tillhörande tillsynsdokumentation, det vill säga ärendena där byråer fått sanktionsavgift för brister i sin AR. Den andra är avskrivningsbeslut, det vill säga ärendena där tillsynen efter en initial begäran om komplettering kommit fram till att riskbedömningen håller måttet. Den andra kategorin är minst lika lärorik som den första, eftersom den visar vad som faktiskt godkänts.

Sammanlagt har vi analyserat över 27 sanktionsbeslut och flera godkända allmänna riskbedömningar för perioden 2022 till februari 2026. Det mest detaljerade godkända fallet är det avskrivningsbeslut Länsstyrelsen Skåne fattade i ärende 209-14958-2023, där byrån fick både ett uttalat godkännande och en explicit anmärkning som vi återkommer till.

Forskningsprocessen i fem steg

  1. Begäran. Offentlighetsprincipen tillämpad mot Länsstyrelserna.
  2. Insamling. Över 27 sanktionsbeslut samt flera godkända riskbedömningar och avskrivningsbeslut, många hundra sidor beslutsdokumentation.
  3. Strukturering med Claude. Systematisk kodning av strukturella element, formuleringar och metodik enligt en gemensam analysram.
  4. Manuell validering. Varje fynd granskat mot källmaterialet av AML-sakkunnig.
  5. Syntes. Mönster destillerade till fem operativa lärdomar för branschen.

Det samlade materialet omfattar flera hundra sidor text. För att kunna identifiera mönster systematiskt lät vi Claude koda materialet enligt en gemensam analysram: vilka strukturella element fanns med eller saknades, vilka formuleringar återkom i sanktionsbesluten, hur riskmetodiken var uppbyggd, hur inneboende risk och residualrisk behandlades, samt hur finansiering av terrorism analyserades separat från penningtvätt.

Vi vill vara tydliga med att Claude inte fattat några bedömningar åt oss. Det har strukturerat underlaget så att mönstren blir synliga, varefter varje fynd manuellt validerats mot källmaterialet av oss som har sakkunskap i AML-frågor. Den principen följer den modellriskhantering som tillsynsmyndigheten själv förväntar sig av verksamhetsutövare enligt 6 kap. 1 § penningtvättslagen, ett krav vi återkommer till längre fram.

Underlaget kompletterades med Polismyndighetens uppdaterade vägledning från mars 2025, Ekobrottsmyndighetens redovisningskonsultrapport från oktober 2025, Samordningsfunktionens nationella riskbedömning, samt den sjätte upplagan av Simpts vägledning från november 2025. Den sistnämnda är särskilt viktig eftersom den introducerat begrepp som riskexponering och riskaptit som tillsynsmyndigheten nu förväntar sig att moderna AR innehåller.

Fynden presenteras anonymiserat. Samtliga sanktionsbeslut är publika och finns att läsa på respektive länsstyrelses webbplats för den som vill verifiera.

Mönstret bland de byråer som fick sanktion

Det första som slår oss när vi läser sanktionsbesluten i följd är hur lika de är. En redovisningsbyrå i Stockholmsregionen fick under 2025 en sanktionsavgift om 120 000 kronor med motiveringen att den allmänna riskbedömningen var bristfällig på ett sätt som markant ökade risken för att verksamheten kunde utnyttjas för penningtvätt eller finansiering av terrorism. En byrå i Skåne fick samma år 250 000 kronor med praktiskt taget identisk motivering. Ytterligare en byrå i Skåne fick 70 000 kronor, en mindre byrå i samma län 25 000 kronor, och en annan Stockholmsbyrå 300 000 kronor.

När man rensar bort variationerna i belopp och datum framträder samma kärnformulering i samtliga beslut: bristfällig dokumenterad allmän riskbedömning som inte uppfyller de krav som penningtvättsregelverket ställer.

Tillsynsmyndigheten har inte underkänt dessa byråer på operativa detaljer i deras kundkännedom. De har underkänt själva grunddokumentet.

Och eftersom grunddokumentet brustit har samtliga övriga skyldigheter ansetts vara byggda på sand. När vi gick igenom besluten i detalj framträdde fem konkreta brister som återkom i nästan samtliga ärenden.

Fem återkommande brister

  1. Mall utan anpassning. Dokumentet beskriver byråns verksamhet i generiska termer som hade kunnat passa vilken redovisningsbyrå som helst. Inga procentsatser per bransch i kundstocken, inga konkreta tjänster med specifika risker, ingen analys av byråns lokala geografiska kontext. Texten är väl formulerad men säger ingenting om just denna byrå.
  2. Tjänster listas utan analys. “Vi erbjuder löpande bokföring, bokslut och deklaration.” Det är inte en riskanalys, det är en innehållsförteckning. Varje tjänst ska beskrivas i termer av vilka informationsflöden den hanterar, vilka transaktionstyper som passerar genom byrån och var sårbarheten ligger.
  3. Saknad eller ytlig hantering av finansiering av terrorism. Det vanligaste mönstret är att terrorfinansiering nämns i rubriken, i lagcitatet och i avslutningen, men aldrig som separat analys i någon dimension. Detta är inte längre acceptabelt.
  4. Sammantagen risknivå utan underlag. Dokumentet sätter en risknivå i slutet, ofta “normal” eller “medel”, utan att det går att följa hur den nivån räknats fram. Tillsynsmyndighetens fråga är enkel: varför just den nivån?
  5. Inneboende risk och åtgärder blandade. Den enskilt mest underskattade strukturella bristen, och samtidigt den som tillsynsmyndigheten varit mest explicit om. Vi återkommer till den.

En sak vi vill påpeka som kollegor: återkontroller är nu på gång. Länsstyrelserna har aviserat att verksamhetsutövare som tidigare granskats kommer att granskas igen, och brister som kvarstår från tidigare ingripanden beaktas som försvårande omständighet vid förnyad tillsyn. En byrå som klarat sig undan en tidigare anmärkning utan att åtgärda dokumentet löper därför nu en högre risk än vid det första besöket.

Mönstret bland de byråer som klarade granskningen

Det som gör de godkända AR intressanta är inte att de är längre eller mer ambitiösa, utan att de är systematiskt strukturerade. När vi läste dem efter att ha läst sanktionsbesluten såg vi tydligt hur en relativt liten uppsättning strukturella val skiljer en godkänd byrå från en bötfälld.

Fem strukturella val som återkommer

  1. Separation av risk och åtgärd. De godkända byråerna har en tydlig separation mellan vad branschen, tjänsten och kundtypen i sig medför av risk, och vad byråns egna åtgärder gör åt den risken. Det första står i ett avsnitt för sig, det andra i ett annat avsnitt för sig. Detta är inget kosmetiskt val, det är ett direkt svar på en explicit strukturell anmärkning som tillsynsmyndigheten lämnat.
  2. Separat TF-behandling i varje dimension. Inte bara en summerande paragraf i slutet, utan en kort paragraf om TF i tjänsteavsnittet, en i kundtypsavsnittet, en i geografiavsnittet och en i distributionskanalsavsnittet.
  3. Femgradig riskskala. Låg, Normal, Förhöjd, Hög, Oacceptabel. En tregradig skala tvingar en byrå med varierande kundstock att klumpa ihop kunder som faktiskt har olika riskprofil. Den femgradiga tillåter differentiering.
  4. S×K-metodiken. Varje enskild risk i tjänsteavsnittet får ett sannolikhetsvärde 1 till 5 och ett konsekvensvärde 1 till 5. Produkten ger ett tal mellan 1 och 25 som klassas som Låg (1 till 5), Medel (6 till 12) eller Hög (13 till 25). Metoden gör det möjligt att skilja mellan två risker som båda är “medel” men där en är 2×3 (sex) och en annan 3×4 (tolv).
  5. Tidigt definierade riskklasser. Senast på sida fyra ska läsaren veta vad “förhöjd” respektive “hög” innebär i operativa termer. Om definitionerna kommer senare, eller saknas helt, kan resten av dokumentet inte tolkas.

Lärdom ett: separationen mellan inneboende risk och residualrisk

Av allt vi sett i empirin är det här den lärdom som har störst praktisk betydelse, och samtidigt den som de flesta byråer underskattar. Tillsynsmyndigheten har formulerat den explicit i ett av de fall vi gått igenom. Översatt till en operativ regel lyder den ungefär så här: det vore tydligare om byrån helt bortsåg från interna rutiner, arbetssätt och kontroller i analysen av inneboende risk, och lade dessa delar i ett separat avsnitt under rubriken “Fördjupad riskanalys och residualrisk per tjänst”.

Innebörden är följande. Den inneboende risken beskriver vad branschen, tjänsten eller kundtypen i sig medför av risk, innan byrån vidtagit några åtgärder. Det är en bedömning av sårbarheten, inte av byråns skicklighet i att hantera den. Residualrisken är den risk som kvarstår efter att byråns kontroller införts. Skillnaden är åtgärdernas effekt.

När dessa två blandas ihop i samma stycke uppstår tre problem för läsaren. Det första är att tillsynsmyndigheten inte kan verifiera vilken effekt byråns åtgärder faktiskt har, eftersom utgångsläget och slutläget redovisas som ett enda värde. Det andra är att byrån själv inte längre kan följa upp om en åtgärd förändrar riskbilden, eftersom det inte finns något att jämföra mot. Det tredje är att hela poängen med en allmän riskbedömning, som är att skapa underlag för proportionerlig kontroll, går förlorad.

I praktiken betyder det här att en korrekt strukturerad AR har de fyra obligatoriska analysavsnitten (tjänster, kundtyper, geografi, distributionskanaler) skrivna helt utan referens till byråns egna rutiner. Orden “vi har rutin”, “byrån kontrollerar”, “attestflöde”, “bankbehörighet” får inte förekomma där. Först i avsnittet om residualrisk, ofta sektion 20 eller motsvarande, introduceras kontrollerna och deras effekt på den inneboende risken via en ny S×K-bedömning.

En utomstående granskare ska kunna läsa enbart inneboende risk-avsnittet och kunna beskriva byråns risk utan att se några hänvisningar till byråns interna processer. Om granskaren börjar sin sammanfattning med “med tanke på byråns rutiner…”, är separationen redan bruten.

Vi nämner detta först eftersom det är den lärdom som kräver mest omarbetning för byråer som redan har en AR på plats. Många av oss har skrivit dokumenten i en logik där åtgärder och risker hör ihop, vilket intuitivt känns rätt men strukturellt är fel. Det är värt att lägga några timmar på att separera de två avsnitten innan nästa årliga översyn.

Lärdom två: finansiering av terrorism som egen analys

Den näst viktigaste empiriska lärdomen är att terrorfinansiering inte längre accepteras som en bisak. Den explicita anmärkningen från Länsstyrelsen Skåne i avskrivningsbeslutet 2023 (“byrån skulle kunna förtydliga sin analys av risker kopplade till finansiering av terrorism”) var en föraning. I senare sanktionsbeslut är frånvaron av separat TF-analys ofta nämnd som en del av motiveringen till underkännandet.

Praktiskt innebär det att TF ska behandlas separat i varje av de fyra analysdimensionerna:

  • I tjänsteavsnittet ska en egen paragraf förklara varför PT-analysen är tillräcklig för respektive tjänst, eller specificera unika TF-varningssignaler.
  • I kundtypsavsnittet ska ideella föreningar och insamlingsorganisationer hanteras som egen kategori (de saknar de strukturella ägarkrav som finns i aktiebolag och utgör enligt nationell riskbedömning förhöjd TF-risk).
  • I geografiavsnittet ska kontroll inte bara ske mot EU:s lista över högrisktredjeländer, utan också mot EU:s konsoliderade sanktionslista, FN:s sanktionslista samt FATF:s svarta lista (Nordkorea, Iran och Myanmar per februari 2026) och FATF:s grå lista.
  • I distributionskanalsavsnittet ska distansrelationer analyseras särskilt för TF, eftersom de gör det svårare att identifiera mottagare av medel.

Det enkla testet är att söka efter ordet “terrorism” i hela dokumentet. Om det förekommer enbart i rubriker, lagcitat och summering är analysen för tunn. Den ska finnas på minst fem till tio ställen, med konkreta scenarier eller varningssignaler.

PT handlar om härkomsten av medlen, det vill säga var de kommer ifrån. TF handlar om destinationen och mottagaren, det vill säga vart de tar vägen och till vem. Det är två olika analyser, och en byrå som bara genomför härkomstanalys missar hela TF-dimensionen.

För många kollegor i branschen är det här den lärdom som väcker mest funderingar, eftersom TF i praktiken känns avlägset från en typisk svensk redovisningsbyrås verksamhet. Vi förstår intuitionen. Men tillsynsmyndighetens position är klar: avstånd från risken är inte samma sak som frånvaro av risken, och dokumentet ska analysera möjligheten, inte sannolikheten i lekmannamening.

Lärdom tre: metodiken som tillsynsmyndigheten förväntar sig 2026

De godkända byråerna under perioden 2022 till 2026 har en gemensam metodisk kärna som är värd att lyfta fram, eftersom den nu i praktiken är förväntad. Den består av fyra komponenter.

Den första är den femgradiga riskskalan, som vi nämnt ovan. Den andra är S×K-metodiken, även den nämnd. Den tredje, som är ny i 2026 års förväntningar, är användningen av begreppen riskexponering och riskaptit, introducerade i Simpts vägledning sjätte upplagan från november 2025.

Riskexponering är den sammantagna bedömningen av sannolikhet och konsekvens, det vill säga den samlade riskbild byrån faktiskt är exponerad för efter att alla riskfaktorer vägts samman. Riskexponeringen är inte statisk utan varierar över tid med kundstockens sammansättning, tjänsteportföljen och omvärldsfaktorer.

Riskaptit är den risknivå byrån är beredd att acceptera. Riskaptiten fungerar som spärr mot överdrivet risktagande och uttrycks i AR konkret genom tre element: den femgradiga riskskalan med definitioner per nivå, de absoluta gränser som anges i avståendepolicyn (“byrån åtar sig inte uppdrag där…”), samt de tröskelvärden som triggar omklassning eller skärpta åtgärder. När residualrisken faller utanför byråns riskaptit fattas beslut om att antingen vidta ytterligare åtgärder eller avstå från affärsförbindelsen.

Den fjärde komponenten, som specifikt aktualiseras för byråer som använder digitala verktyg eller AI i sitt arbete, är modellriskhantering. Enligt 6 kap. 1 § penningtvättslagen ska verksamhetsutövare som använder modeller för riskbedömning, riskklassificering eller övervakning ha rutiner för modellriskhantering. Det betyder konkret att byrån dokumenterar vilka modeller som används, hur de utvärderas och hur fel i modellutformning identifieras och korrigeras. För byråer som infört digitala stöd i delar av AML-processen är detta ett krav, inte ett val.

Den absoluta majoriteten av de bötfällda byråerna saknade den här metodiska kärnan helt. Den absoluta majoriteten av de godkända hade den. Sambandet är så starkt att man bör behandla det som orsakssamband snarare än korrelation.

Att flytta från en tregradig skala utan S×K till en femgradig med S×K är ett par dagars arbete för en byrå som redan har en grundstruktur. Avkastningen på det arbetet, mätt i sänkt sannolikhet för sanktionsavgift, är betydande.

Lärdom fyra: kombinationer slår dimensioner

De godkända byråerna har genomgående en formulering om hur olika riskfaktorer samverkar. Inte enskilda dimensioner, utan deras kombinationer. Formuleringen lyder ungefär: “I vår samlade riskvärdering beaktar vi även hur flera riskfaktorer kan samverka och förstärka varandra, exempelvis då kontantintensiv verksamhet kombineras med internationell exponering eller begränsad fysisk kontakt vid onboarding.”

Den här principen ser harmlös ut men har en stor praktisk konsekvens. I de godkända AR finns en kategori “riskhöjande kundtyper” som behandlas separat från huvudkundgrupperna. Här återfinns:

  • Kunder utan revisor
  • Kunder med kontanthantering
  • Kunder med utländska huvudmän
  • Kunder i PEP-ställning
  • Kunder i kända högriskbranscher

Var och en av dessa kategorier kan isolerat klassas som “normal”, men kombinationsregeln gör att en kund som tillhör två eller fler av dem omedelbart höjs till “hög” och får tätare omprövning än normalt.

Mallen behandlar varje riskfaktor som om den vore oberoende. Den analytiska byrån inser att risk är multiplikativ snarare än additiv, och bygger sin metodik kring den insikten.

En relaterad observation är att ärlighet om byråns begränsningar inte är en svaghet, det är en styrka. När en byrå skriver “byrån har begränsad kunskap om utländska regelverk, vilket leder till att risken bedöms som förhöjd”, värderar tillsynsmyndigheten den ärligheten högt. Det motsatta mönstret, där byrån implicit påstår sig kunna hantera alla typer av uppdrag oavsett kompetens, läses som en analytisk svaghet och en strukturell sårbarhet i kontrollerna.

Lärdom fem: levande dokument med versionslogik

De godkända byråerna behandlar AR som ett levande dokument med tydlig versionshantering. Försättsbladet anger versionsnummer, datum för senaste revidering och, viktigast, vilken trigger som föranlett den aktuella versionen. I ett av de granskade fallen lyftes en versionshöjning från 2.0 till 2.1 i samband med en ägarförändring 2 maj 2023, motiverad med att den avgående styrelseledamoten inte längre skulle underteckna och att översynen genomfördes samtidigt.

Det här är operativt betydelsefullt av tre skäl:

  • För det första visar versionsloggen att byrån faktiskt utvärderar dokumentet löpande, vilket är ett krav enligt penningtvättslagen.
  • För det andra ger triggerangivelsen tillsynsmyndigheten möjlighet att förstå dokumentets utveckling över tid utan muntlig förklaring.
  • För det tredje skapar det en intern disciplin: varje gång byrån ändrar ägare, styrelse, namn, tjänsteportfölj eller väsentlig kundsammansättning, är AR det första dokumentet som ska uppdateras.

Triggers för omedelbar omklassning

De tydligaste triggers för omedelbar omklassning, sammanställda från de godkända fallen, är följande:

  • Byte av revisor eller styrelse hos kunden
  • Plötsliga större förändringar i bolagsstrukturen
  • Plötsliga eller större kontanttransaktioner
  • Företagsägare som saknar erfarenhet eller insyn i branschen
  • Anonymitet gentemot byrån eller andra externa parter
  • Återkommande byte av verklig huvudman
  • Företaget hamnar på varningslista eller annan offentlig sanktionskälla
  • Kund med koppling till land som tillkommit på EU:s eller FATF:s högriskländerlista sedan senaste översynen

Det regulatoriska landskapet 2026 till 2027

För kollegor som planerar AR-arbetet framåt är det värt att förstå vad som ändras under de närmaste två åren.

1 januari 2026: Subventionsbrottet träder i kraft. Kompletterar bidragsbrottet genom att ta sikte på bedrägerier mot statliga företagsstöd och EU-stöd. För byråer som hanterar uppdrag som omfattar biträde vid stödansökningar innebär det en ny dimension i sårbarhetsanalysen och skärpta rutiner för verifiering av underlag.

Pågående 2025 och 2026: AMLA-myndigheten etableras. Den nya EU-myndigheten AMLA (Anti-Money Laundering Authority) i Frankfurt började sin verksamhet 2025 och kommer att koordinera nationella tillsynsmyndigheter och säkerställa enhetlig tillämpning av EU:s AML-regler.

10 juli 2027: EU:s penningtvättsförordning (AMLR) blir direkt tillämplig. EU 2024/1624 träder i kraft i alla medlemsstater utan nationell implementering. Den medför skärpta krav på kundkontroll och rapportering, samt en kontantgräns på 10 000 euro.

2027: Sveriges nästa FATF-utvärdering. Utvärderingen kommer sannolikt att skärpa tillsynsmyndigheternas förväntningar ytterligare under perioden fram till dess. Den byrå som börjar arbeta enligt 2026 års nivå idag kommer att vara väl positionerad när nästa skärpning kommer.

Tio frågor att ställa till din nuvarande AR

För kollegor som vill testa om byråns nuvarande AR håller måttet utifrån de empiriska lärdomarna ovan, är följande tio frågor en rimlig snabbkontroll. De är formulerade exakt så som vi själva använt dem för att gradera de dokument vi gått igenom.

  1. Kan man läsa de fyra analysavsnitten (tjänster, kundtyper, geografi, distributionskanaler) utan att hitta ett enda ord om byråns egna rutiner och kontroller? Om inte, är separationen mellan inneboende risk och residualrisk inte gjord.
  2. Finns en separat paragraf om finansiering av terrorism i varje av de fyra analysdimensionerna? Om “terrorism” bara förekommer i rubrik och summering, är TF-analysen för tunn.
  3. Använder dokumentet en femgradig riskskala (Låg, Normal, Förhöjd, Hög, Oacceptabel)? Tre nivåer är inte längre tillräckligt för en byrå med varierande kundstock.
  4. Tillämpas S×K-metodiken (sannolikhet 1 till 5, konsekvens 1 till 5, produkt 1 till 25) på enskilda risker i tjänsteavsnittet? Inte lagkrav, men förväntad i moderna AR och syns i samtliga godkända fall.
  5. Förekommer begreppen riskexponering och riskaptit i metodikavsnittet, med definitioner i klartext? Nya i Simpts sjätte upplaga och förväntade från 2026.
  6. Finns en kombinationsregel som höjer en kund som tillhör flera “riskhöjande kundtyper” till hög risk, oavsett att varje enskild kategori klassats som normal?
  7. Behandlas ideella föreningar och insamlingsorganisationer som egen kundtyp med kopplad TF-analys? Den nationella riskbedömningen identifierar dem som förhöjd TF-risk, och bristen är ett återkommande underkännande.
  8. Är riskklasserna definierade senast på sida fyra i dokumentet? Om inte kan resten av dokumentet inte tolkas.
  9. Visar versionsloggen substantiella ändringar minst en gång per kalenderår, och anger triggers för icke-årlig översyn (ägarförändring, styrelseändring, namnbyte)? En statisk versionslogg signalerar att AR är ett dött dokument.
  10. Kan AML-ansvarig (PTA) öppna dokumentet vid ett oannonserat besök och förklara varje avsnitt utan förberedelse? Tillsynsmyndighetens uttryckliga kritik mot ett tidigare granskat fall var att dokumentet krävde muntlig förklaring för att tolkas korrekt.

Om svaret på fler än två av dessa frågor är “nej” eller “osäkert”, finns en konkret förbättringspunkt att adressera innan nästa tillsynsprocess kommer. Och med tanke på att Länsstyrelserna nu genomför återkontroller där brister från tidigare granskningar beaktas som försvårande omständighet, är fönstret för proaktiv åtgärd begränsat.

En avslutande reflektion

Den sammanlagda lärdomen från de granskade ärendena är, paradoxalt nog, både trösterik och oroväckande för branschen.

Den är trösterik eftersom skillnaden mellan en bötfälld byrå och en godkänd byrå inte handlar om byråns underliggande operativa kvalitet. De bötfällda byråerna är inte sämre redovisningskonsulter. De är byråer som inte har förstått vad tillsynsmyndigheten letar efter i dokumentet. Den brist som genererar sanktionsavgifter på allt från 25 000 till 300 000 kronor är inte en brist i kundkännedom, övervakning eller rapportering. Det är en brist i hur byråns existerande arbete dokumenteras.

Den är oroväckande eftersom mönstret är så uniformt. Praktiskt taget alla bötfällda byråer hade samma brister: mallbaserad text, ytlig TF-analys, sammanblandning av inneboende risk och åtgärder, samt risknivåer satta utan underlag. Det innebär att de generiska mallar som cirkulerar i branschen, oavsett källa, sannolikt producerar AR som inte håller måttet vid en seriös granskning. En byrå som idag förlitar sig på en sådan mall är i praktiken oförsäkrad mot tillsynsutfall.

Det handlar om att fånga arbetet i en dokumenterad form som tillsynsmyndigheten kan validera. Det är skillnaden mellan att vara compliant och att kunna bevisa det.

Det positiva svaret är att de fem strukturella lärdomarna i den här artikeln kan implementeras utan att fundamentalt förändra byråns operativa AML-arbete. Separation av risk och åtgärd, separat TF-analys, femgradig skala med S×K, riskaptit som operativ spärr, kombinationsregel. Fem grepp som tillsammans flyttar dokumentet från sårbart till försvarbart.

Vi delar den här forskningen eftersom branschen blir starkare när standarden höjs gemensamt. Om en kollega på en annan byrå läser detta och inser att det egna dokumentet behöver omarbetas, är artikeln värd den tid vi lagt på den. Och om du som läser har egna observationer från ditt eget AR-arbete eller från ett tillsynsärende du varit inblandad i, hör gärna av dig. Den empiriska basen för vad som faktiskt fungerar i tillsyn blir bättre ju fler erfarenheter som delas mellan kollegor.