Vanligaste KYC/AML-överträdelserna: Vad svenska företag gör fel och hur du undviker det
Under de senaste åren har svenska tillsynsmyndigheter slagit larm om omfattande brister i företags arbete mot penningtvätt. Länsstyrelsernas granskningar sedan 2020 har resulterat i sanktionsavgifter på sammanlagt över 70 miljoner kronor för omkring 100 företag, varav mer än hälften är redovisnings- och revisionsbyråer. De vanligaste överträdelserna handlar om grundläggande krav som har missats – från avsaknad av riskbedömning till bristfällig kundkännedom.
För en redovisningsbyrå eller konsult som omfattas av penningtvättslagen kan sådana misstag bli kostsamma, både ekonomiskt och ryktemässigt. Den goda nyheten är att dessa överträdelser oftast går att förebygga med rätt kunskap, rutiner och verktyg. Nedan går vi igenom de vanligaste KYC/AML-förseelserna bland svenska företag, varför de uppstår, exempel på konsekvenser – samt konkreta råd för hur du undviker att din verksamhet hamnar i samma fälla.
Bristfällig allmän riskbedömning
En allmän riskbedömning är grunden i hela AML-arbetet – en övergripande analys av risken för att din verksamhet kan utnyttjas för penningtvätt eller terrorismfinansiering. Trots detta saknar många byråer en dokumenterad riskbedömning eller har en version som är ofullständig och inaktuell. Om din byrå inte identifierar och analyserar alla relevanta riskfaktorer (till exempel era tjänster, kundtyper, geografier och transaktionsflöden) saknas kompass för resten av era åtgärder mot penningtvätt.
Varför händer det? Ofta underskattar små och medelstora företag sin egen risknivå – ”vi hanterar ju bara vanliga kunder” – och skjuter upp arbetet med riskbedömningen. Ibland saknas kompetens eller tid, och man vet inte hur man ska gå till väga. Resultatet blir att riskbedömningen antingen uteblir eller blir för generell för att vara användbar.
Konsekvenser: Myndigheterna ser allvarligt på detta. Till exempel fick redovisningsjätten Aspia en sanktionsavgift på 4 miljoner kronor år 2024 för brister i sin allmänna riskbedömning. Utan en ordentlig riskbedömning riskerar hela ert AML-program att bedömas som otillräckligt, vilket kan leda till höga böter eller i värsta fall förelägganden att upphöra med verksamheten.
Prioritera riskbedömningen: Avsätt tid och resurser för att göra en grundlig allmän riskbedömning minst en gång per år. Involvera nyckelpersoner i byrån och använd Länsstyrelsens vägledningar eller branschmallar som stöd.
Täck alla riskfaktorer: Gå systematiskt igenom vilka tjänster ni erbjuder, vilka typer av kunder ni har, hur ni får kunder (t.ex. digitalt eller personligen) och om ni verkar i riskfyllda branscher eller länder. Dokumentera hur varje faktor kan utnyttjas för penningtvätt och hur stor risken är.
Uppdatera regelbundet: Se till att riskbedömningen är ett levande dokument. Uppdatera den vid förändringar i verksamheten eller hotbilden, och minst årligen.
Avsaknad av tydliga rutiner och riktlinjer
Ett vanligt misstag är att företaget saknar skriftliga rutiner och riktlinjer för sitt AML-arbete, eller att de som finns är bristfälliga. Penningtvättslagen kräver att du som verksamhetsutövare har anpassade interna instruktioner för hur ni ska genomföra kundkännedom, riskklassificera kunder, upptäcka och rapportera misstankar, med mera. Utan tydliga rutiner riskerar medarbetare att agera olika eller missa viktiga moment.
Varför händer det? Mindre byråer kan tro att ”sunt förnuft” räcker eller att muntliga överenskommelser inom teamet är nog. Ibland kopieras en mallpolicy rakt av utan att anpassas till den egna verksamheten. Resultatet blir ett dokument som samlar damm och inte efterlevs i praktiken.
Konsekvenser: Länsstyrelsens granskningar rapporterar ofta att rutinerna inte är tillräckliga eller inte följs. Detta kan leda till varningar eller sanktionsavgifter även om inga direkta penningtvättsfall har upptäckts. Dessutom ökar risken att verkliga varningssignaler missas i det dagliga arbetet.
Upprätta skriftliga rutiner: Baserat på er allmänna riskbedömning, dokumentera steg-för-steg hur KYC-processen ska gå till på byrån – från identitetskontroll till när en rapport ska skickas. Använd tydligt språk.
Anpassa till er verksamhet: Säkerställ att riktlinjerna speglar just era tjänster och risker. Om ni till exempel mest hanterar svenska småföretag, fokusera på de risker som är relevanta för dem.
Utbilda och följ upp: Gå igenom rutinerna med all personal så att alla vet vad som gäller. Gör även stickprov eller interna kontroller för att se att rutinerna efterlevs i praktiken, och justera vid behov.
Bristande kundkännedom (KYC)
Kundkännedom innebär att känna din kund tillräckligt väl för att upptäcka avvikelser och bedöma risk. Här brister många företag. Vanliga fel är att inte verifiera kundens identitet ordentligt, att strunta i att utreda verklig huvudman (dvs vilka personer som ytterst äger kunden), eller att missa kontroll mot sanktionslistor och PEP (personer i politiskt utsatt ställning). Vissa byråer fortsätter till och med affärsrelationer trots att de inte fått in fullständiga kunduppgifter – vilket strider mot lagen.
Varför händer det? Ofta beror bristerna på tidsbrist eller en önskan att inte krångla till det för kunden. Man ”känner” kanske klienten sedan innan och hoppar över kontroller, eller utgår ifrån att små lokala kunder inte kan vara högrisk. Ibland saknas bra verktyg för att göra kontrollerna smidigt, vilket gör att man drar sig för att kolla t.ex. PEP-status.
Konsekvenser: Bristande kundkännedom är allvarligt eftersom det kan innebära att kriminella utnyttjar din byrå obemärkt. Om du missar att en kund är hög risk, PEP eller rentav står på en sanktionslista kan följderna bli katastrofala. Myndigheten kan utfärda kännbara böter; i ett fall fann Länsstyrelsen att ett företag inte följde penningtvättsreglerna ”i nästintill någon del” – risken för utnyttjande bedömdes som markant ökad.
Följ hela KYC-processen: Samla in och verifiera ID-handlingar för alla nya kunder (använd gärna BankID eller liknande för enkel e-legitimering). Identifiera och kontrollera alltid om kunden har en verklig huvudman.
Kontrollera PEP och sanktionslistor: Integrera kontroller mot uppdaterade PEP- och sanktionsregister i onboarding-processen. Detta kan automatiseras med digitala verktyg så att ingen match förbises.
Avbryt vid oklarheter: Om kunden inte lämnar tillräckliga uppgifter eller om något inte stämmer, ingå eller fortsätt inte affärsförbindelsen. Det är bättre att tacka nej än att riskera lagbrott.
Ingen fortlöpande uppföljning
Att skaffa kundkännedom är inte en engångsinsats. Fortlöpande uppföljning betyder att man löpande övervakar affärsförbindelsen och uppdaterar kundinformationen vid behov. Här misslyckas många genom att aldrig mer se över kunden efter onboarding. Kanske ändras kundens verksamhet eller riskprofil över tiden – men byrån upptäcker det inte eftersom ingen ansvarar för att göra regelbundna omprövningar.
Varför händer det? Det är lätt hänt att man tänker ”ingen nyhet är god nyhet” och prioriterar annat så länge kunden sköter sina betalningar. Utan automatiska system är det tidskrävande att manuellt bevaka alla kunder. Dessutom kan okunskap spela in – man kanske inte vet att penningtvättslagen kräver löpande uppdatering av kundkännedom.
Konsekvenser: Utan uppföljning kan viktiga varningssignaler missas. Till exempel kan en kund plötsligt börja göra stora ovanliga transaktioner eller byta ägare i det tysta. Om byrån inte märker detta uteblir både riskomklassning och eventuella rapporter till Finanspolisen. Vid en inspektion kommer avsaknad av fortlöpande kontroll att ses som en allvarlig brist och kan bidra till sanktioner.
Schemalägg kundgranskningar: Bestäm intervaller för när kunder ska ses över baserat på risknivå (t.ex. hög risk varje år, låg risk vart tredje år). Skapa påminnelser i ert system så det inte glöms bort.
Övervaka transaktioner: Om ni hanterar kunders betalningar eller bokföring, var uppmärksam på onormala transaktionsmönster. Definiera vad som skulle utlösa en närmare granskning, t.ex. plötsliga stora internationella överföringar.
Håll information uppdaterad: Be kunder meddela förändringar (ny ägarstruktur, nytt verksamhetsområde etc.). Uppdatera dokumentationen och riskprofilen när något ändras eller vid den årliga genomgången.
Underlåten rapportering av misstänkta transaktioner
Alla verksamheter som omfattas av penningtvättslagen är skyldiga att rapportera misstänkta aktiviteter och transaktioner till Finanspolisen. Trots detta lämnar många redovisningskonsulter aldrig några rapporter – ibland för att de inte stöter på något misstänkt, men ibland för att tecknen förblir oupptäckta eller för att man tvekar. Rädsla för att ”ha fel”, lojalitet mot kunden eller oklarhet kring vart man rapporterar kan ligga bakom att skyldigheten åsidosätts.
Varför händer det? Förutom ovanstående faktorer kan bristande utbildning göra att personal inte känner igen varningsflaggor för penningtvätt. Vissa kanske tror att det krävs bevis på brott för att rapportera, när det i själva verket räcker med misstanke. Tekniska hinder som krångliga rapporteringssystem (goAML-portalen) kan också avskräcka.
Konsekvenser: Underlåten rapportering är allvarligt. Om det skulle uppdagas att din byrå ignorerat tydliga tecken och inte rapporterat kan det leda till disciplinära åtgärder, böter eller till och med personligt ansvar. Dessutom missar man chansen att förhindra brott – syftet med lagen är ju att informationen ska nå myndigheterna i tid.
Inför tydliga rapporteringsrutiner: Bestäm internt hur misstankar ska hanteras: vem i teamet ska informeras, hur en bedömning ska göras och vem som ansvarar för att skicka rapporten via goAML.
Träna på red flags: Se till att alla medarbetare har grundläggande utbildning i vanliga varningssignaler på penningtvätt inom ert kundsegment. Ju tidigare ni upptäcker något skumt, desto bättre.
Rapportera vid minsta misstanke: Tveka inte att rapportera ”för säkerhets skull”. Ni har inget att förlora på en rapport i god tro – men mycket att förlora om en icke-rapporterad aktivitet senare visar sig vara brottslig.
Sammantaget visar dessa vanliga misstag att AML/KYC-efterlevnad måste vara en proaktiv och ständigt pågående process i din byrå. Genom att bygga in goda rutiner, hålla kunskapen färsk och utnyttja smarta verktyg kan du både spara tid och undvika dyra bakslag. Ingen byrå är ”för liten” för att utnyttjas för penningtvätt, och tillsynsmyndigheten förväntar sig att även mindre aktörer har koll på sina risker.
Nästa steg: Säkerställ att din byrå inte gör samma misstag. Överväg att modernisera ert KYC-arbete med automatiserade lösningar – till exempel genom att låta Qapla hantera rutinkontroller och bevakning åt er. Om du vill se hur det kan fungera i praktiken, boka en kostnadsfri demo med Qapla i dag. På så vis kan ni känna er trygga i att ni uppfyller kraven och kan fokusera på kärnverksamheten.