Checklista för att vara compliant enligt penningtvättslagen
Varför behöver ni en AML compliance checklist?
Många redovisningsbyråer och konsultfirmor kämpar med frågan: Är vi verkligen helt compliant med penningtvättslagen? Kraven inom anti-penningtvätt (AML) är omfattande och regelverket uppdateras ständigt. Utan en tydlig strategi är det lätt att missa kritiska moment. Konsekvensen av brister kan bli kännbara – allt från sanktionsavgifter till skadat anseende om tillsynsmyndigheten upptäcker att ni inte fullgjort era skyldigheter.
En checklista för AML-efterlevnad hjälper er att arbeta systematiskt och säkert. Istället för att förlita er på minnet eller spridda anteckningar ser en checklista till att varje steg i processen följs. Ni sparar tid genom att ha en färdig plan och minskar stressen kring efterlevnad. Framför allt skapar det trygghet; ni kan med gott samvete visa upp för en revisor eller Länsstyrelsen att ni metodiskt checkar av alla krav – från kundkännedom till rapportering.
Vad kräver penningtvättslagen egentligen?
Penningtvättslagen (2017:630) ställer tydliga krav på alla verksamheter som omfattas. I korthet måste ni vidta åtgärder för att förhindra att er verksamhet utnyttjas för penningtvätt eller terrorismfinansiering. Det innebär bland annat att ni ska:
Utför en allmän riskbedömning av er verksamhet: Kartlägg de risker och sårbarheter som finns för att ni skulle kunna utnyttjas för penningtvätt. Riskbedömningen ska dokumenteras skriftligt och täcka era tjänster, kunder, distributionskanaler och geografiska riskfaktorer.
Ta fram interna rutiner och riktlinjer: Baserat på riskbedömningen behöver ni utforma skriftliga policys, kontroller och rutiner för kundkännedom, övervakning, rapportering och hantering av personuppgifter. Rutinerna ska vara riskbaserade, dvs. anpassade efter de risker ni identifierat.
Utse ansvariga personer: Utse en särskild person i ledningen som ansvarig för AML-arbetet (AML-ansvarig). I större organisationer krävs även en centralt funktionsansvarig och ibland en oberoende granskningsfunktion för AML. Dessa roller ska se till att riskbedömningen uppdateras, att rutiner efterlevs samt rapportera till högsta ledningen.
Kontrollera kundens identitet och syfte (KYC): Vid varje ny kundrelation måste ni uppnå kundkännedom. Identifiera kunden och kontrollera deras identitet med tillförlitliga handlingar. Ta reda på om kunden är en juridisk person, vem som är verklig huvudman och om kunden eller dess företrädare är en PEP (person i politiskt utsatt ställning). Förstå också syftet och naturen med affärsförbindelsen – varför söker kunden era tjänster?
Riskklassificera kunden: Baserat på informationen ska ni bedöma kundens risknivå (låg, normal eller hög risk). En högre riskprofil (t.ex. om kunden har komplex bolagsstruktur eller kopplingar till högriskländer) innebär att fördjupade åtgärder krävs, såsom extra ID-kontroller, närmare analys av transaktioner och tätare uppföljning.
Utför löpande övervakning: Det räcker inte att kontrollera kunden vid onboarding – ni måste löpande ha koll på kundens aktiviteter. Transaktioner som avviker från det normala ska granskas närmare. Håll kundinformation uppdaterad och gör om KYC-kontroller om förhållandena ändras.
Rapportera misstänkta aktiviteter utan dröjsmål: Om ni får skälig anledning att misstänka penningtvätt ska ni omedelbart rapportera detta till Finanspolisen. Det krävs inga bevis för brott – redan en misstankegrad innebär rapporteringsplikt. Tänk på att ni inte får röja för kunden att en rapport skickats (s.k. meddelandeförbud).
Bevara dokumentation: All dokumentation kring kundkännedom och åtgärder för efterlevnad ska sparas i minst fem år. Det inkluderar kopior på ID-handlingar, utdrag ur register, riskbedömningar, utbildningsintyg m.m. (i vissa fall upp till tio år). Dokumentationen ska kunna visas upp vid en tillsyn eller utredning.
Notera att för att bedriva vissa verksamheter krävs även registrering hos myndighet. Till exempel måste redovisnings- och bokföringsbyråer anmäla sig till Bolagsverkets penningtvättsregister. Att vara registrerad är en förutsättning för att lagligt få erbjuda sådana tjänster inom Sverige.
Som ni märker är kraven många – därav behovet av en strukturerad checklista. Nedan följer en komplett AML-checklista att följa för att uppfylla penningtvättslagens krav.
Komplett checklista för AML-efterlevnad
Här är en steg-för-steg checklista som er byrå kan använda direkt för att säkerställa efterlevnad av penningtvättslagen. Gå igenom varje punkt och bocka av dem en efter en:
Utför en allmän riskbedömning: Dokumentera era tjänster, kunder och övriga riskfaktorer. Identifiera var ni har störst risk att utnyttjas för penningtvätt. Se till att riskbedömningen är skriftlig och att ledningen godkänner den. Uppdatera den åtminstone årligen eller vid förändringar i verksamheten.
Upprätta AML-policy och rutiner: Skriv ner tydliga rutiner för hur ni ska gå tillväga i varje steg – från kundkännedom till rapportering. Policyn ska täcka hur ni verifierar kunder, hur ni hanterar olika risknivåer, hur ofta ni följer upp befintliga kunder och hur ni rapporterar misstankar. Inkludera också rutiner för lagring av dokumentation och skydd av kunddata (GDPR).
Utbilda er personal: Säkerställ att alla medarbetare som hanterar kundärenden förstår AML-regelverket och era interna rutiner. Planera in regelbunden utbildning – både introduktion för nya anställda och kontinuerlig fortbildning för befintlig personal. Anpassa utbildningen efter roll; den som möter kunder behöver till exempel känna igen varningsflaggor på plats.
Identifiera och verifiera kunder: Använd en KYC-checklista vid onboarding av varje ny kund. Samla in grundläggande uppgifter (namn, adress, personnummer/organisationsnummer). Kontrollera alltid kundens ID-handling (t.ex. via BankID eller passkopia) och verifiera att den är giltig. Om kunden är ett företag, hämta registreringsbevis och kontrollera firmatecknare.
Fastställ verklig huvudman: Ta reda på vem som äger eller kontrollerar kunden om det är en juridisk person. Hämta information från Bolagsverkets register över verkliga huvudmän och dokumentera vem/vilka som är huvudmän, eller om ingen kan identifieras (då ska en alternativ person utses och dokumenteras).
Kontrollera PEP- och sanktionslistor: Jämför kunden (och dess eventuella huvudmän) mot aktuella PEP-register och internationella sanktionslistor. Detta steg är kritiskt för att upptäcka politiskt utsatta personer eller personer som är föremål för sanktioner, vilket kräver skärpta åtgärder. Dokumentera att kontrollen gjorts och resultatet (t.ex. “PEP/Sanktion check – OK”).
Bedöm syfte och riskprofil: Ställ frågor för att förstå syftet med kundrelationen. Varför behöver kunden era tjänster, och hur ska de användas? Kartlägg förväntade transaktionstyper eller volymer. Sammanfatta sedan kundens riskprofil (låg/medel/hög) utifrån erhållen information. Om något verkar avvika eller komplext, markera kunden som högre risk och tillämpa extra försiktighet.
Utför fördjupad granskning vid hög risk: För högriskkunder, följ upp med extra åtgärder. Det kan inkludera att hämta ytterligare finansiella uppgifter, genomföra utökade bakgrundskontroller eller kräva mer frekventa uppföljningar. Se till att en senior person granskar och godkänner att ni överhuvudtaget inleder affärsförbindelsen om risknivån är hög.
Övervaka affärsförbindelsen löpande: Efter onboarding, övervaka kundens aktiviteter. Sätt upp rutiner för att granska transaktioner som sticker ut – t.ex. stora insättningar eller ovanliga betalningsmönster. För högre riskkunder bör ni göra regelbundna kontroller (t.ex. kvartalsvis genomgång av transaktioner och årlig uppdatering av kundkännedom). Håll örat mot marken för nya riskindikatorer.
Rapportera och dokumentera avvikelser: Om ni upptäcker något misstänkt, följ er rapporteringsprocess direkt. Fyll i en rapport till Finanspolisen (via goAML-systemet) med alla relevanta detaljer. Samtidigt, dokumentera internt vad som observerats och vilka åtgärder ni tagit. Detta är viktigt både för att uppfylla lagen och för att ni internt ska kunna följa upp ärendet.
Spara all dokumentation: För varje steg ovan, se till att dokumentation sparas ordentligt. Det innefattar riskbedömningsdokumentet, kopior på insamlade handlingar (ID, registerutdrag), checklistor som fyllts i för kunder, utbildningsmaterial och deltagarlistor, rapporteringskvitton, etc. Organisera dokumenten per kund och ämne, så att ni snabbt kan hitta och visa upp dem vid behov.
Genom att följa denna checklista punkt för punkt kan ni känna er trygga i att ni inte missar någon väsentlig skyldighet enligt penningtvättslagen.
Så implementerar ni checklisten steg för steg
Hur gör man då i praktiken för att införa denna checklista i sitt dagliga arbete? Börja med att förankra arbetet i ledningen – se till att chefer och ansvariga är medvetna om checklistan och varför den behövs. Utse sedan vem som äger ansvaret för att varje punkt utförs (till exempel kan en compliance-ansvarig hålla i riskbedömningen och en kundansvarig hantera KYC-kontroller för nya kunder).
Integrera checklistan i era processer. Det kan vara så enkelt som att skapa en standardiserad checklista-mall (digitalt eller på papper) som används vid varje kundonboarding. För varje ny kund bockar ni av alla KYC-moment innan kunden godtas. På så vis blir efterlevnad en naturlig del av onboardingflödet och inget steg glöms bort. Överväg att använda programvara som stödjer detta – många moderna system låter er bygga in kontrollpunkter som måste utföras innan ärendet kan gå vidare.
Se också till att samla in rätt dokumentation i realtid. När ni genomför kontrollstegen, passa på att spara ner bevis direkt: ta kopia på legitimationen, exportera företagsinformation från register, fyll i en digital KYC-blankett där allt lagras centralt. Att göra detta samtidigt som kundens uppgifter inhämtas sparar tid och försäkrar att inget missas.
För att följa upp progress och compliance kan ni införa interna revisioner eller avstämningar. Till exempel: en gång per kvartal kan ni slumpmässigt välja ett par kundakter och kontrollera att checklistans alla moment verkligen är utförda och dokumenterade. Denna typ av egenkontroll fångar upp eventuella förbiseenden och signalerar till teamet att AML-efterlevnad tas på allvar.
Dokumentation och bevisning
Dokumentationen är er bästa vän när ni ska bevisa att ni följt lagen. Tänk på att det som inte är dokumenterat anses inte gjort. Därför bör ni överdriva åt det säkra hållet: spara och logga allt som rör AML-åtgärder.
Se till att ni har en central plats (t.ex. en molnmapp, ett affärssystem eller ett compliance-verktyg) där ni lagrar:
Er allmänna riskbedömning (den senaste versionen och gärna historik över tidigare versioner).
Era interna AML-policydokument och rutiner.
Protokoll eller anteckningar från utbildningar samt vilka anställda som deltagit.
Kundkännedomsdokumentation för varje kund: ID-kopior, ifyllda checklistor, riskklassificeringar, eventuella fördjupade undersökningar för högriskkunder.
Loggar över transaktionsmonitorering, larm eller avvikelser som granskats.
Kopior på rapporter som skickats till Finanspolisen (samt tillhörande ärendekommunikation).
Ordning och reda underlättar enormt vid en granskning. Om Länsstyrelsen eller Revisorsinspektionen gör ett tillsynsbesök och frågar efter er riskbedömning eller en specifik kunds handlingar, ska ni snabbt kunna plocka fram dem. God dokumentation skyddar er också i efterhand – om något ifrågasätts kan ni visa exakt vilka åtgärder som vidtogs och när.
Kom ihåg att följa lagens krav på lagringstid: minst 5 år för kundkännedomsuppgifter, räknat från att kundrelationen avslutas. Förvara materialet säkert så att obehöriga inte kommer åt känslig information, men se också till att ni kan återsöka det vid behov. Att investera i ett system för digital arkivering av KYC-dokument kan vara värdefullt.
Kontinuerlig övervakning och uppdatering
Efter att grunden är lagd kan ni inte slå er till ro – AML-arbetet kräver kontinuerlig uppmärksamhet. Övervaka era kundrelationer löpande. Det betyder att ni bör ha processer för att upptäcka om kundens beteende förändras eller om nya riskfaktorer dyker upp. Till exempel: om en kund plötsligt börjar genomföra transaktioner utanför det mönster ni känner till, bör ni reagera och utreda vad som pågår.
Uppdatera kundinformation regelbundet. För många företag är det lämpligt att genomföra omprövningar: vid hög risk varje år, medelrisk kanske vartannat år och låg risk vid särskilda händelser. En omprövning innebär att ni kontaktar kunden för att bekräfta att tidigare lämnade uppgifter fortfarande stämmer, och gör nya sökningar i PEP- och sanktionsregister. Detta säkerställer att er kundkännedom hålls aktuell.
Håll också koll på regeländringar och nya hotbilder. Penningtvättslagar och föreskrifter kan uppdateras relativt ofta, och nya typer av upplägg för penningtvätt uppkommer ständigt. Prenumerera gärna på nyhetsbrev från Länsstyrelsen eller branschorganisationer för att få senaste nytt. När en förändring i regelverket sker – uppdatera er riskbedömning och rutiner så att de fortsatt är i linje med gällande krav.
Att ha en årlig intern genomgång av hela AML-programmet är en god idé. Gå igenom checklistan och fråga er: fungerar våra kontroller som tänkt? Behöver vi skruva på några rutiner baserat på det senaste årets erfarenheter? Involvera gärna flera medarbetare i denna utvärdering för att fånga upp olika perspektiv.
Vad göra om ni hittar luckor?
Det händer även de bästa att man upptäcker brister eller missade moment i efterlevnaden. Kanske insåg ni under en intern kontroll att vissa äldre kunder inte har genomgått full KYC enligt dagens standard, eller att er allmänna riskbedömning inte uppdaterats sedan flera år tillbaka. Vad gör man då?
Först och främst: agera skyndsamt men strukturerat. Gör en plan för att täppa till luckorna. Prioritera utifrån risk – åtgärda det mest kritiska först. Om ni till exempel upptäckt att ingen riskbedömning fanns, bör det stå högst på listan att få en sådan på plats omedelbart. Om ni har kunder med bristfällig kundkännedom, ta kontakt med dem snarast och samla in nödvändig information.
Var transparent inom organisationen om problemen. Involvera ledningen och förklara vilka åtgärder som kommer tas. Det kan också vara klokt att ta in extern hjälp, som en konsult eller att kontakta branschorganisationen, för att få råd om hur ni bäst rättar till bristerna. De flesta tillsynsmyndigheter ser positivt på att företag själva identifierar och åtgärdar problem – det visar på ansvarstagande.
Dokumentera även åtgärderna. När ni vidtar en sen åtgärd, anteckna skälet och vad som gjorts. Exempel: “2025-08-18 – Gjorde kompletterande ID-kontroll på Kund X då detta saknades i akten.” Om det trots allt inträffar att något allvarligt förbisågs (t.ex. att en misstänkt transaktion inte rapporterades i tid), kan självrapportering till Finanspolisen vara aktuellt. Hellre att ni meddelar sent än inte alls, om ett misstag uppdagas.
Lär av upptäckta luckor. Justera era rutiner eller checklistan om det behövs för att undvika liknande missar framöver. Kanske behövs tätare interna kontroller, mer utbildning för personalen eller att ni tar hjälp av digitala verktyg för att hålla reda på allt.
Hur Qapla hjälper er att implementera checklisten
Att hantera alla ovanstående moment manuellt kan vara tidskrävande och komplext. Här kommer Qapla in i bilden som en modern KYC- och AML-plattform. Qapla är utformad för att automatisera och förenkla hela processen – från kundonboarding till kontinuerlig övervakning.
Med Qapla kan ni exempelvis genomföra digitala ID-kontroller på några sekunder istället för att manuellt hantera kopior av pass eller körkort. Plattformen kopplar upp sig mot betrodda register och databaser, så att ni automatiskt kan hämta företagsinformation, kontrollera verkliga huvudmän och jämföra mot PEP- och sanktionslistor i realtid. Detta ersätter behovet av manuella KYC checklistor; systemet guidar er genom alla steg och ni kan inte gå vidare förrän all nödvändig information är insamlad.
Riskbedömning och riskklassificering blir också enklare. Qapla hjälper till att generera riskprofiler för varje kund baserat på deras svar och bakgrundskontroller. Högriskfaktorer flaggas automatiskt, vilket underlättar för er att fokusera på det viktigaste. Systemet påminner er om när det är dags för periodisk omprövning av kunden eller om några uppgifter blivit inaktuella.
En annan stor fördel är dokumentationen. All data och alla kontroller som genomförs i Qapla loggas och lagras centralt. Ni får ett digitalt arkiv över varje kunds KYC-dokumentation, uppdateringar och eventuella larm. Skulle ni behöva visa upp er AML-process för en extern granskare kan ni enkelt ta fram rapporter från Qapla som visar exakt vilka kontroller som gjorts och när.
Genom att använda en plattform som Qapla reducerar ni det manuella administrativa arbetet markant. Det minskar risken för mänskliga misstag – inga steg glöms bort eftersom verktyget ser till att alla krav uppfylls. Samtidigt frigörs tid för er att fokusera på kärnverksamheten och era kunder, istället för att lägga timmar på att dubbelkolla listor och fylla i papper. Kort sagt hjälper Qapla er att vara compliant på ett smidigt och effektivt sätt, samtidigt som ni håller er uppdaterade i en föränderlig regelvärld.
Boka en compliance review
Är ni osäkra på hur väl ert företag uppfyller penningtvättslagens krav idag? Boka en compliance review med Qapla Team. Våra experter går igenom er nuvarande KYC-process och ger konkreta rekommendationer på förbättringar. En genomgång kan identifiera eventuella luckor och visa hur en modern lösning som Qapla kan integreras för att stärka er AML-efterlevnad. Kontakta oss idag för att boka in en kostnadsfri compliance-review och ta första steget mot enklare och säkrare AML-hantering.