LÄNSSTYRELSENS RAPPORTER

2026:14 Erfarenheter från länsstyrelsernas penningtvättstillsyn – Fokus den allmänna riskbedömningen

(2026)

? av ?

Förord

I denna publikation sammanfattar länsstyrelserna i Skåne, Stockholm och Västra Götaland några av de iakttagelser som vi har gjort under det senaste året i vår tillsyn enligt penningtvättslagen. Vi fokuserar denna gång på den allmänna riskbedömningen.

Informationen är tänkt att vara en vägledning för dig och din verksamhet. Vi vill öka förståelsen för regelverkets uppbyggnad och syftet med de olika åtgärderna som du och din verksamhet behöver göra för att minska riskerna för penningtvätt och finansiering av terrorism.

På länsstyrelsernas webb finns mer information, där kan du också ta del av beslut om ingripanden med mera.

Generellt om den allmänna riskbedömningen av verksamheten

Brist: Verksamhetsutövare saknar en dokumenterad allmän riskbedömning.

Den allmänna riskbedömningen har i dessa fall förväxlats med den bedömning som verksamhetsutövaren ska göra av den risk som kan förknippas med enskilda kundrelationer eller med verksamhetens rutiner och riktlinjer för att motverka penningtvätt och finansiering av terrorism.

Vägledning

Som verksamhetsutövare är du skyldig att ta fram en allmän riskbedömning. Målsättningen med den allmänna riskbedömningen är att du ska känna till och förstå riskerna för penningtvätt och finansiering av terrorism i din verksamhet. I riskbedömningen ska du också bedöma hur stor risken är för att de produkter och tjänster som du tillhandahåller i din verksamhet kan utnyttjas.

Med din allmänna riskbedömning lägger du grunden till och säkerställer det riskbaserade förhållningsättet i din verksamhet. Utifrån den förståelse som din allmänna riskbedömning ska ge dig kan din verksamhet sedan lägga rätt resurser på rätt plats för att motverka, upptäcka och rapportera de som kan försöka utnyttja verksamheten för penningtvätt och finansiering av terrorism.

Din allmänna riskbedömning ska vara dokumenterad och verksamhetsanpassad, men det är upp till dig att bestämma i vilken ordning och hur du redovisar nedanstående delar:

  • Produkter och tjänster

  • Hot

  • Sårbarheter

  • Risknivåer med motiveringar

Brist: Den allmänna riskbedömningen är inte anpassad efter den egna verksamheten utan är för generellt hållen.

Verksamhetsutövaren kan ha följt en mall utan att anpassa den till sin egen verksamhet.

Vägledning

Att använda en mall eller vägledning kan vara till hjälp när en verksamhetsutövare ska ta fram den allmänna riskbedömningen av sin verksamhet. Den kan hjälpa till i att förstå arbetsprocessen med att ta fram en allmän riskbedömning. Men det är viktigt att ta hänsyn till att alla verksamheter är unika och står inför olika situationer och förutsättningar.

Att enbart utifrån en mall ta fram ett heltäckande dokument som lagstiftningen kräver, utan att anpassa det till den egna verksamheten, är därför nästan omöjligt.

Verksamhetsutövaren har ansvar för att den allmänna riskbedömningen täcker alla de områden som penningtvättsregelverket kräver. Det innebär att verksamhetsutövarens analyser och bedömningar och handlingsalternativ som beskrivs måste grunda sig på den egna verksamheten och stämma överens med företagets egna förhållanden. Om en länsstyrelse till exempel granskat och godkänt en verksamhetsutövares allmänna riskbedömning innebär det inte att en annan verksamhetsutövare kan kopiera detta dokument, då varje verksamhet är unik.

Att analysera hot och sårbarheter

Brist: Verksamhetsutövarens identifiering och analys av hot och sårbarheter är otillräcklig.

Vägledning

Du ska identifiera och analysera vilka hot och sårbarheter som är relevanta för din verksamhet. Hot och sårbarheter kan påverka varandra och leda till att verksamhetens olika produkter eller tjänster kan bli utnyttjade för penningtvätt eller finansiering av terrorism. Det innebär att du behöver analysera varje enskild typ av produkt eller tjänst som din verksamhet erbjuder.

Hot är olika tillvägagångssätt (kallas ibland ”modus” av brottsbekämpande myndigheter) som kan göra att produkten eller tjänsten kan utnyttjas för penningtvätt och finansiering av terrorism. När det gäller penningtvätt behöver du ha förståelse både för de brott som genererar brottsvinster och för processen att tvätta brottsvinster. När det gäller terrorfinansiering behöver du ha förståelse både för medlens ursprung och för hur de kan användas för att finansiera terrorism.

Sårbarhet är olika egenskaper eller omständigheter i din verksamhet som kan utnyttjas så att ett hot kan bli en realitet. I analysen ska du utgå ifrån din verksamhets produkter och tjänster och särskilt ta hänsyn till:

  • Kunder (förhållanden hos de typer av kunder som finns i verksamheten)

  • Distribution eller leveranssätt (på vilket sätt du tillhandahåller verksamhetens produkter och tjänster)

  • Geografiska riskfaktorer (förhållanden relaterade till de länder eller områden där du tillhandahåller dina produkter och tjänster eller där dina kunder finns)

  • Verksamhetsspecifika omständigheter (relevanta förhållanden i verksamheten)

Ett hot eller en sårbarhet kan för sig själv innebära en begränsad risk, men i kombination med ett eller flera andra hot eller sårbarheter kan den innebära en ökad risk för ett utnyttjande.

Ett exempel på hur sårbarhet och hot kan samverka och leda till risk för ett utnyttjande är att tjänsten att genomföra eller bokföra gränsöverskridande transaktioner används av en kund som utför utlandstransaktioner till högriskländer och att personalen som utför transaktionen eller tjänsten saknar utbildning om penningtvätt och finansiering av terrorism. Denna kombination är ett exempel som kan leda till ett utnyttjande genom att utlandstransaktioner i syfte att tvätta pengar eller finansiera terrorism inte upptäcks.

Det är viktigt att du dokumenterar vad som ligger till grund för din analys, vad du har identifierat och varför. Din bedömning av risken för ett utnyttjande ska vara motiverad.

Brist: Verksamhetsutövare som fokuserar på endast ett eller ett fåtal hot (tillvägagångssätt) och som inte uppmärksammar nya hot som kan vara relevanta för verksamhetens produkter och tjänster.

Vägledning

Det är viktigt att du har en egen omvärldsbevakning och håller dig uppdaterad om olika relevanta hot för din verksamhet genom att läsa olika rapporter och informationsmaterial från brottsbekämpande myndigheter och tillsynsmyndigheter. Samordningsfunktionen mot penningtvätt och finansiering av terrorism har nyhetsbrev och digitala seminarium.

Länsstyrelserna publicerar exempelvis löpande under året nyhetsbrev på vår webbplats med tips om viktiga rapporter med mera. Branschspecifika organisationer kan också ha information inom området.

Identifiering av tjänster och produkter

Brist: Verksamhetsutövaren identifierar sina tjänster och produkter på ett allmänt plan utan att anpassa det till den egna verksamheten.

Det saknas ofta en tydlig beskrivning av de nämnda tjänsterna och produkterna för att på ett tillfredsställande sätt kunna bedöma hur de kan utnyttjas och hur stor risken är.

Tjänster eller produkter beskrivs tillsammans och saknar individuell analys och bedömning.

Vägledning

Olika tjänster och produkter kan vara utsatta för olika hot som sedan kan påverkas av olika sårbarheter. Det är därför viktigt att du som verksamhetsutövare identifierar din verksamhets olika produkter och tjänster för att sedan kunna göra en analys och bedömning per produkt eller tjänst. Exempelvis kan bokföring av kundfakturor och bokföring av utlandstransaktioner vara föremål för olika hot, liksom försäljning av personbilar och lastbilar.

Sårbarheter kopplade till kunder

Brist: Verksamhetsutövare kategoriserar sina kunder till exempel utifrån bransch utan att förklara hur respektive kundkategori kan innebära en risk för att verksamhetens produkter eller tjänster utnyttjas för penningtvätt eller finansiering av terrorism.

Det kan också handla om att verksamhetsutövaren, vid en nära relation med en kund, missar eller förbiser sårbarheten som kan vara kopplad till relationen till kunden i fråga. Verksamhetsutövaren har exempelvis inte tagit med risken att inte vara lika uppmärksam vid granskning av transaktioner och att inte vidta tillräckliga kundkännedomsåtgärder med anledning av den nära relationen till en kund.

Sårbarheter kopplade till distribution och leveranssätt

Brist: Verksamhetsutövare identifierar inte på vilka sätt de erbjuder kunderna sina produkter eller tjänster.

Den allmänna riskbedömningen saknar även analys och motiverad bedömning av hur de distributionskanaler och leveranssätt som verksamhetsutövaren använder kan innebära att verksamhetens produkter eller tjänster utnyttjas.

Vägledning

Distributionskanaler och leveranssätt är det sätt som din verksamhet tillhandahåller produkter och tjänster till sina kunder på. Exempel kan vara digital kontakt med kunden utan fysisk närvaro eller att verksamheten använder en tredje part som mellanhand för att leverera produkter eller tjänster.

Det handlar om vilken kontroll du har över din verksamhets produkter och tjänster när du tillhandahåller dem till kunden. Till exempel om tjänsten erbjuds på distans, genom en tredje part eller via ett webbaserat forum. Det kan vara så att du erbjuder en produkt som i sig innebär en låg risk, men ditt leveranssätt innebär en hög risk, vilket i kombination kan göra att risken för att produkten kan utnyttjas blir högre. Om du använder en extern tjänsteleverantör för olika delar av dina skyldigheter avseende bekämpning av penningtvätt och finansiering av terrorism kan det också innebära risker, och ett sådant system är inte en ersättning för personalens vaksamhet.

Sårbarheter kopplade till geografi

Brist: Verksamhetsutövaren kopplar geografiska riskfaktorer bara till sanktionslistor.

Vägledning

Det handlar om förhållanden relaterade till de länder eller områden där din verksamhet tillhandahåller sina produkter och tjänster, där dina kunder har sin verksamhet, är bosatta eller har relevant anknytning till. Du behöver ha kunskap om de länder och områden som du och dina kunder är verksamma, bosatta eller har anknytning till, och relevanta förhållanden kopplade till dessa länder och områden som kan leda till att dina produkter och tjänster utnyttjas.

Du kan erbjuda en tjänst som i sig innebär en låg risk, men risken för att tjänsten kan utnyttjas blir högre när du till exempel erbjuder tjänsten i ett land:

  • där det förekommer korruption, eller

  • det saknas ett effektivt regelverk mot penningtvätt, eller

  • som är ett högrisktredjeland enligt EU-kommissionen.

Brist: När verksamhetsutövaren anser att det inte finns några geografiska riskfaktorer saknas en analys och motiverad bedömning för detta.

Till exempel, om en verksamhetsutövare uppger att den endast är verksam i Sverige och att detta inte är förenat med några risker eftersom verksamheten inte tillhandahåller de relevanta produkterna och tjänsterna utomlands behöver verksamhetsutövaren förklara och analysera vad den bedömningen grundar sig i. I de fall verksamhetsutövare enbart har kunder i Sverige har de inte analyserat vilka geografiska riskfaktorer som verksamheten ändå kan utsättas för. Exempelvis kan en varuhandlare som hanterar kontanter ha en butikslokal i ett utsatt område i Sverige, vilket kan innebära en geografisk riskfaktor och här blir verksamheten i kombination med platsen en risk.

Sårbarheter kopplade till verksamhetsspecifika omständigheter

Brist: Beskrivning av verksamhetsspecifika omständigheter saknas helt eller är bristfälliga.

I de fall verksamhetsutövaren identifierar att det finns en risknivå kopplad till verksamhetsspecifika omständigheter saknas analys och motiverad bedömning för detta.

Vägledning

Verksamhetsspecifika omständigheter är sådana faktorer som kan påverka just i din verksamhet, till exempel hur din verksamhet är organiserad, ansvarsfördelning etcetera. Ett exempel kan vara en butik som har missat att utbilda extrapersonal om penningtvätt vilket leder till att de inte utför tillräckliga kundkännedomsåtgärder när de är i tjänst.

Bedömd risknivå

Brist: Verksamhetsutövare redogör för den sammantagna risken, men saknar en analys och motivering av hur de har kommit fram till att de specifika riskfaktorerna innebär en viss risk.

Verksamhetsutövaren har inte alls gjort en bedömning av hur och hur stor risken är att produkter eller tjänster utnyttjas för penningtvätt eller finansiering av terrorism.

Verksamhetsutövarens motiverade bedömning bygger inte på en identifiering och analys av alla relevanta sårbarheter (riskpåverkande faktorer) tillsammans med hot (tillvägagångssätt för penningtvätt och finansiering av terrorism) för produkten eller tjänsten.

Vid bedömning av en risknivå saknas motivering och beskrivning av hur verksamhetsutövaren har kommit fram till den risknivå som anges för respektive tjänst eller produkt och för de enskilda riskfaktorerna.

Vägledning

Länsstyrelserna har i flera fall uppmärksammat att verksamhetsutövare anger att risken för alla verksamhetens produkter eller tjänster är låg, men ofta utan att tydligt motivera sin bedömning. Teoretiskt sett kan det stämma att risken är låg, men länsstyrelserna bedömer att verksamhetsutövare ofta inte tagit hänsyn till de generella sektorsrisker som angetts i rapporten Nationell riskbedömning av penningtvätt och finansiering av terrorism i Sverige 2020/2021.

Var också uppmärksam på att en sårbarhet ensam eller i kombination med en eller flera andra kan göra att ett eller flera hot kan bli en realitet. För att kunna bedöma hur stor risken är behöver du förstå hur produkterna, tjänsterna och de olika riskfaktorerna påverkar varandra. Exempelvis kan en faktor utgöra en låg risk om den ses för sig, men en högre risk om den kombineras med andra faktorer.

I din bedömning kan du exempelvis ställa dig frågan hur sannolikt det är att de identifierade faktorerna – kundtyper, geografiska faktorer, distributionskanaler eller andra verksamhetsspecifika omständigheter – påverkar risken för att vardera produkt eller tjänst utnyttjas för penningtvätt och finansiering av terrorism, och hur stora konsekvenserna skulle bli.

Till exempel kan risknivån öka för att en redovisningstjänst utnyttjas för att bokföra falska fakturor (hotet) om tjänsten utförs av en anställd som inte har kompetens att upptäcka falska fakturor (sårbarhet) eller om kunden som använder tjänsten är verksam i en bransch som innebär en betydande risk för penningtvätt (sårbarhet).

Film om hur du gör en allmän riskbedömning

Samordningsfunktionen mot penningtvätt och finansiering av terrorism har tagit fram en film som ger dig en kort beskrivning om hur du kan göra en allmän riskbedömning. Filmen är tänkt som ett stöd och komplement till regelverket om penningtvätt. Filmer om penningtvätt, Polisen.

Aktörer som tillhandahåller information om penningtvätt

För att du ska kunna identifiera och analysera relevanta hot behöver du hålla dig uppdaterad om och ta särskild hänsyn till information om kända tillvägagångssätt för penningtvätt och finansiering av terrorism som myndigheter lämnar. Det kan exempelvis vara information från Finanspolisen om att en viss tjänst ofta blir använd i syfte att få en legitim stämpel på en transaktion som är en del av ett penningtvättsupplägg. Du behöver sedan knyta denna information till din egen verksamhet genom att exempelvis analysera om du tillhandahåller den aktuella tjänsten, och under vilka förutsättningar samt till vilka typer av kunder som du i sådana fall tillhandahåller den. Exempel på myndigheter och organisationer som du kan använda som källor:

  • Nationell samordning mot penningtvätt och finansiering av terrorism, Polisen

  • Säkerhetspolisen

  • Finanspolisen, Polisen

  • Ekobrottsmyndigheten

  • Skatteverket

  • Financial Action Task Force, FATF

  • Europol

  • EU-kommissionen

  • Brottsförebyggande rådet

Ange i din riskbedömning vilka källor som du använder som underlag.