Guide för verksamhetsutövare om penningtvätt

Penningtvätt och finansiering av terrorism är allvarliga hot mot både det finansiella systemet och samhället i stort. För att minska riskerna är ett stort antal aktörer – banker, revisorer, redovisningskonsulter, advokater, fastighetsmäklare, spelbolag, vissa varuhandlare m.fl. – skyldiga att följa penningtvättslagen.

Syftet med denna guide är att ge en övergripande och praktisk vägledning till vad lagen kräver av verksamhetsutövare, oavsett bransch. Guiden beskriver de centrala skyldigheterna och förklarar hur de kan omsättas i praktiken. Den är avsedd att fungera som:

  • Ett praktiskt stöd i det dagliga arbetet, både för ledning och personal.
  • En struktur för hur företag kan bygga upp sitt systematiska arbete.
  • En kvalitetssäkring inför tillsyn eller intern kontroll.

Texten bygger på penningtvättslagen och de myndighetskrav som gäller i Sverige, men är omskriven och anpassad för att vara lättare att förstå och använda än lagtexten i sig.

I slutet av varje avsnitt hänvisas till dokumentmallar och verktyg som kan användas för att uppfylla skyldigheterna.

Innehållsförteckning
      Visa mer/mindre

      Penningtvätt är de åtgärder som syftar till att dölja eller förändra det ekonomiska utbytet av brottslig verksamhet, så att tillgångarna framstår som lagliga. Processen sker ofta i tre steg:

      • Placering – pengar förs in i det finansiella systemet (insättningar, köp av varor eller värdepapper).
      • Skiktning – pengarna flyttas, delas upp eller omvandlas genom olika transaktioner.
      • Integrering – medlen återförs till ekonomin i form av till synes legitima tillgångar.

      Även det omvända förekommer, när vita pengar görs om till svarta genom t.ex. osanna fakturor för att kunna betala svarta löner.

      Vad är finansiering av terrorism?

      Här handlar det om att tillgångar – legala eller illegala – används eller är avsedda att användas för att stödja terrorverksamhet. Det kan ske genom insamling, överföring eller tillhandahållande av medel. Till skillnad från penningtvätt kan alltså även fullt lagliga pengar användas för detta syfte.

      Varför omfattas verksamhetsutövare?

      Kriminella aktörer behöver en ”kanal” för att flytta sina pengar. Banker, advokater, redovisningskonsulter, mäklare, spelbolag och andra kan utnyttjas. Därför har lagstiftaren lagt ett ansvar på verksamhetsutövare att agera som en första försvarslinje.

      Konsekvenser av bristande arbete

      Om ett företag inte följer penningtvättslagen kan det leda till:

      • Sanktionsavgifter och förelägganden från tillsynsmyndigheter.
      • Avregistrering eller indraget tillstånd.
      • Straffrättsligt ansvar.
      • Allvarliga skador på anseendet.

      Tillsyn och sanktioner

      Vilken myndighet som utövar tillsyn beror på verksamhetens art:

      • Finansinspektionen: banker, betalningsinstitut, kreditmarknadsföretag, försäkringsbolag.
      • Länsstyrelsen: bland annat pantbanker, redovisningskonsulter, skatterådgivare, oberoende jurister som erbjuder vissa tjänster, postboxföretag, bolagsbildare, företagsmäklare och trustförvaltare
      • Revisorsinspektionen: revisorer och revisionsföretag.
      • Advokatsamfundet: advokater och advokatbyråer.

      Sanktioner kan vara förelägganden, höga sanktionsavgifter, indraget tillstånd – och i värsta fall straffrättsligt ansvar.

      • Word Policy mot penningtvätt 2025
        Ladda ner
      • Word Policy mot penningtvätt Engelsk 2025
        Ladda ner
      • Word Policy samt rutiner och riktlinjer mot penningtvätt 2025
        Ladda ner
      • Word Policy samt rutiner och riktlinjer mot penningtvätt Engelsk 2025
        Ladda ner

      Alla verksamhetsutövare som omfattas av penningtvättslagen måste införa ett systematiskt och dokumenterat arbete för att minska risken att utnyttjas för penningtvätt eller finansiering av terrorism. Detta arbete vilar på följande huvudpelare:

      1. Riskbaserat arbetssätt

      Allt arbete ska utgå från en riskbedömning. Det innebär att åtgärderna ska anpassas efter hur stor risken är i just den egna verksamheten, hos den enskilda kunden eller i den specifika transaktionen.

      1. Allmän riskbedömning

      Varje verksamhet måste analysera hur dess tjänster, produkter, distributionskanaler och kundgrupper kan utnyttjas för penningtvätt eller terrorfinansiering. Denna bedömning ska dokumenteras och hållas uppdaterad.

      1. Rutiner och riktlinjer

      Företaget måste ha skriftliga rutiner för:

      • Hur kundkännedom ska uppnås.
      • Hur kunder riskklassificeras.
      • Hur transaktioner övervakas.
      • Hur misstankar rapporteras.
      • Hur personuppgifter behandlas.
      • Hur personal utbildas.
      • Hur interna kontroller och uppföljning sker.
      1. Kundkännedom (KYC)

      Ingen affärsrelation får inledas utan att kunden identifierats, kontrollerats och riskklassificerats.

      1. Kundriskprofil

      Varje kund ska bedömas individuellt. Riskprofilen ska utgå från den allmänna riskbedömningen och påverkar omfattningen av åtgärder för kundkännedom och övervakning.

      1. Löpande övervakning

      Relationen till kunden får inte ”glömmas bort” efter etableringen. Transaktioner och beteenden måste löpande följas för att upptäcka avvikelser.

      1. Rapportering

      Misstankar om penningtvätt eller finansiering av terrorism ska omedelbart rapporteras till Finanspolisen. Det är förbjudet att informera kunden om detta (meddelandeförbud).

      1. Dokumentation och bevarande

      Alla riskbedömningar, kundkännedomsåtgärder, beslut om riskklassificering och rapporteringar måste dokumenteras och sparas i minst fem år.

      1. Utbildning och skydd för personal

      Alla anställda som kan påverka arbetet ska utbildas regelbundet. Företaget ska också skydda personal från hot eller repressalier kopplat till penningtvättsarbetet.

      1. Intern kontroll och ansvarsfördelning

      Företaget ska löpande utvärdera och kontrollera att rutinerna fungerar. I större företag ska särskilda roller finnas: centralt funktionsansvarig, särskilt utsedd befattningshavare och ibland oberoende granskningsfunktion.

      • Word Allmän riskbedömning - penningtvätt 2025
        Ladda ner
      • Word Checklista motverka penningtvätt 2025
        Ladda ner
      • Word Policy samt rutiner och riktlinjer mot penningtvätt 2025
        Ladda ner
      • Word Policy samt rutiner och riktlinjer mot penningtvätt Engelsk 2025
        Ladda ner
      • Word Varningssignaler penningtvätt 2025
        Ladda ner

      Syfte

      Den allmänna riskbedömningen är grunden för hela AML-arbetet. Den ska visa vilka risker just denna verksamhet kan utsättas för, och hur stora de är.

      Vad ska bedömningen omfatta?

      • Kundkategorier – privatpersoner, företag, stiftelser, föreningar, internationella kunder.
      • Produkter och tjänster – vilka är mest attraktiva för penningtvättare?
      • Distributionskanaler – fysiska möten, digitala plattformar, via ombud.
      • Geografi – kundernas hemvist, högrisktredjeländer, korruptionsnivåer.
      • Historik – tidigare observationer i företaget.
      • Myndighetsinformation – vägledningar och tillsynsrapporter.

      Praktiskt genomförande

      1. Kartlägg riskfaktorer.
      2. Bedöm sannolikhet och konsekvens.
      3. Dra slutsatser om vilka risker som är störst.
      4. Beskriv åtgärder för att hantera dem.
      5. Dokumentera tydligt.
      6. Uppdatera årligen eller vid väsentliga förändringar.

      Nationell riskbedömning (NRA)

      Utöver den egna analysen ska företaget alltid väga in den nationella riskbedömningen (NRA) som tas fram av svenska myndigheter. Den anger områden som i Sverige bedöms särskilt riskfyllda. Företaget ska dokumentera hur NRA påverkar den egna riskbedömningen och uppdatera analysen när NRA revideras.

      Vanliga brister

      • För generella analyser (”inga risker i vår verksamhet”).
      • Ingen koppling till NRA.
      • Brist på motiveringar och dokumentation.

      Branschspecifika risker

      Olika verksamheter har olika riskprofiler. Några exempel:

      • Finansiella institut: internationella betalningar, komplexa produkter.
      • Redovisningskonsulter: osanna fakturor, ”fakturakedjor”.
      • Revisorer: risk att revision används för att legitimera oegentligheter.
      • Advokater: bolagsbildningar, förvaltningstjänster, klientmedelskonton.
      • Mäklare: kontantinsatser, köpare från högrisktredjeland.
      • Spelbolag: insättningar med brottspengar som tas ut som ”vinster”.
      • Varuhandlare: köp av klockor, bilar, konst för att omvandla pengar.

      Att reflektera över sina egna branschspecifika risker är viktigt för att riskbedömningen ska vara trovärdig och användbar.

      • Word Allmän riskbedömning - penningtvätt 2025
        Ladda ner

      Syfte

      Rutiner och riktlinjer ska omvandla riskbedömningen till praktiskt genomförande. De är företagets interna manual för hur man arbetar systematiskt mot penningtvätt och terrorfinansiering.

      Vad ska de innehålla?

      Rutiner och riktlinjer ska vara:

      • Riskbaserade – utgå från riskerna i just er verksamhet.
      • Tydliga och praktiska – ge klara instruktioner för personalen.
      • Dokumenterade – skriftliga och tillgängliga för alla relevanta anställda.
      • Anpassade till storlek och komplexitet – en liten redovisningsbyrå kan ha enklare rutiner än en bank, men kärnan är densamma.

      De bör omfatta minst följande områden:

      1. Kundkännedom – hur identifiering och kontroll av kunder ska ske.
      2. Riskklassificering – hur kundriskprofilen bestäms.
      3. Löpande övervakning – hur transaktioner och beteenden följs upp.
      4. Rapportering – vem som ansvarar för rapportering till Finanspolisen, och hur den praktiskt går till.
      5. Dokumentation och bevarande – hur handlingar sparas och skyddas.
      6. Utbildning – hur och när personal utbildas.
      7. Intern kontroll – hur företaget granskar och förbättrar sitt eget arbete.
      8. Särskilda funktioner (vid större verksamheter): centralt funktionsansvarig, särskilt utsedd befattningshavare, oberoende granskningsfunktion.
      9. Behandling av personuppgifter – se särskilt avsnitt nedan.

      Behandling av personuppgifter

      Varför krävs detta?

      AML-arbetet innebär alltid att verksamhetsutövaren behandlar personuppgifter, ofta av känslig karaktär (t.ex. identitetshandlingar, uppgifter om verkliga huvudmän och politiskt utsatta personer). Enligt penningtvättslagen ska rutinerna därför också omfatta hur dessa uppgifter behandlas.

      Vad ska rutinerna reglera?

      Rutiner för personuppgifter bör beskriva:

      • Vilka uppgifter som behandlas – t.ex. namn, personnummer, adress, ID-handling, ägarstruktur, riskklassificering, uppgifter om verklig huvudman, uppgifter om PEP.
      • Varför de behandlas – rättslig grund är alltid en lagstadgad skyldighet, inte samtycke.
      • Hur länge de sparas – minst fem år efter avslutad affärsförbindelse eller utförd transaktion.
      • Gallring – tydliga rutiner för hur uppgifter raderas eller anonymiseras när bevarandetiden gått ut.
      • Åtkomst och säkerhet – endast behörig personal får tillgång, och loggning ska ske i IT-system.
      • Kundinformation – kunder ska få tydlig information om varför deras uppgifter behandlas, vilka rättigheter de har och vilka begränsningar som gäller (t.ex. att de inte kan motsätta sig AML-behandlingen).

      Vanliga fallgropar

      • Att samla in mer information än nödvändigt (”överinsamling”).
      • Att förvara kopior på ID-handlingar i oskyddade mappar eller e-post.
      • Att inte ha rutiner för att gallra efter fem år.
      • Att felaktigt be om kundens ”samtycke” till AML-behandling.

      Särskilt om modellrisk

      Många företag använder IT-stöd eller modeller för riskklassificering av kunder. Dessa måste kvalitetssäkras och valideras regelbundet. Rutinerna ska beskriva hur modellerna fungerar, vilka antaganden de bygger på och hur de följs upp.

      Skillnad små/stora verksamheter

      • Små företag: kan ofta hantera rutinerna i enklare dokument och med samma person i flera roller (t.ex. både funktionsansvarig och särskilt utsedd befattningshavare).
      • Stora företag: behöver mer avancerade rutiner, särskilda roller och ofta koncerngemensamma riktlinjer.

      Vanliga brister

      • Att rutinerna är kopierade från en mall utan anpassning.
      • Att rutinerna inte följs upp i praktiken.
      • Att det inte framgår vem som ansvarar för vad.
      • Att personuppgiftsbehandling inte alls regleras, trots att det är ett krav.

      Rutinerna måste leva i verksamheten – inte bara finnas i en pärm.

      • Word Checklista motverka penningtvätt 2025
        Ladda ner
      • Word Policy samt rutiner och riktlinjer mot penningtvätt 2025
        Ladda ner
      • Word Policy samt rutiner och riktlinjer mot penningtvätt Engelsk 2025
        Ladda ner

      Syfte

      Utbildning är en av de mest avgörande delarna i arbetet mot penningtvätt och finansiering av terrorism. Även de mest välskrivna rutinerna blir värdelösa om personalen inte vet hur de ska tillämpas i praktiken.

      Vad krävs?

      Alla som kan påverka arbetet mot penningtvätt – anställda, uppdragstagare och ibland även konsulter – ska få regelbunden och dokumenterad utbildning. Detta gäller oavsett om man har direkt kundkontakt eller arbetar i stödjande funktioner som IT, ekonomi eller intern kontroll.

      Utbildningens innehåll

      En bra utbildning ska täcka:

      • Lagstiftningen: vad penningtvättslagen innebär och varför den finns.
      • Företagets egna rutiner: hur kundkännedom, riskbedömning, rapportering och dokumentation ska ske i praktiken.
      • Varningssignaler: typiska beteenden och transaktioner som kan indikera penningtvätt.
      • Aktuella trender och metoder: nya sätt som kriminella använder för att utnyttja verksamheter.
      • Skydd för personal: hur företaget skyddar anställda från hot eller repressalier.

      När och hur ofta?

      • Introduktion: Alla nyanställda ska få utbildning innan de börjar hantera kunder eller transaktioner.
      • Löpande: Utbildningen ska hållas regelbundet, minst en gång per år.
      • Vid förändringar: Om nya produkter, tjänster eller rutiner införs ska utbildning hållas omgående.

      Dokumentation

      Företaget måste dokumentera:

      • Utbildningens innehåll.
      • Vilka som deltagit.
      • När den genomfördes.

      Vanliga brister

      • Att utbildningen bara är teoretisk och inte kopplad till den egna verksamheten.
      • Att den hålls för sällan eller inte dokumenteras.
      • Att bara ledningen utbildas, medan de i första linjen (som möter kunderna) lämnas utanför.

      Syfte

      Kundkännedom (KYC – Know Your Customer) är kärnan i arbetet mot penningtvätt. Utan att veta vem kunden är, vem som kontrollerar kunden och syftet med relationen kan företaget varken göra en korrekt riskbedömning eller upptäcka misstänkta transaktioner.

      När krävs kundkännedom?

      Kundkännedom ska alltid inhämtas:

      • Innan en affärsrelation etableras.
      • Vid enstaka transaktioner som uppgår till 15 000 euro eller mer (eller motsvarande).
      • Vid misstanke om penningtvätt eller terrorfinansiering, oavsett belopp.
      • När det finns osäkerhet kring tidigare inhämtade uppgifter.

      Åtgärder som måste vidtas

      1. Identifiering av kunden
      • Fysisk person: namn, personnummer/födelsedatum, adress, identitetshandling.
      • Juridisk person: organisationsnummer, registreringsbevis, bolagsordning eller stadgar.
      1. Kontroll av identitet

      Kontrollen ska göras med tillförlitliga och oberoende källor – pass, nationellt ID-kort, utdrag från Bolagsverket, elektronisk identifiering (BankID m.fl.).

      1. Företrädare

      Om kunden företräds av någon annan (t.ex. en styrelseledamot, advokat eller fullmaktshavare) måste både identiteten och behörigheten kontrolleras.

      1. Verklig huvudman

      Det måste alltid utredas om kunden har en verklig huvudman: den eller de personer som ytterst kontrollerar företaget.

      • Sökning ska göras i registret över verkliga huvudmän.
      • Om verklig huvudman finns ska identiteten kontrolleras.
      • Om ingen kan identifieras ska en ”alternativ” verklig huvudman utses (t.ex. styrelseordförande eller VD).
      • Kom ihåg att PEP-status (politisk utsatthet) även ska kontrolleras på verkliga huvudmän.
      1. Syfte och art med affärsförbindelsen

      Det räcker inte att veta vem kunden är – man måste också veta varför kunden vill använda tjänsten. Det innebär att man ska fråga:

      • Vad ska relationen användas till?
      • Vilka transaktioner kan förväntas?
      • Varifrån kommer medlen?
      1. Skärpta åtgärder

      Om risknivån är hög krävs skärpta åtgärder, till exempel:

      • Extra frågor om kundens ekonomiska situation.
      • Bevis på varifrån pengar kommer.
      • Godkännande från ledning innan relationen inleds.
      1. Sanktioner och högrisktredjeland

      Alla kunder måste kontrolleras mot EU:s sanktionslistor och mot listan över högrisktredjeländer. Om matchning sker krävs särskilda rutiner och ofta avbrytande av affärsförbindelsen.

      Vanliga brister

      • Att identitetskontrollen inte dokumenteras.
      • Att verklig huvudman inte utreds tillräckligt.
      • Att syfte och art med affärsförbindelsen inte dokumenteras.
      • Att kontroller mot sanktioner inte görs regelbundet.

      Koppling till riskprofil

      Kundkännedomen är grunden för att kunna sätta en korrekt kundriskprofil. Om KYC är svag blir riskklassificeringen fel, vilket i sin tur gör övervakningen ineffektiv.

      • Word Begäran om information från klient - penningtvätt 2025
        Ladda ner
      • Word Flödesschema för klientkännedomskontroll 2025
        Ladda ner
      • Word Frågeformulär fördjupad kundkännedom - juridisk person 2025
        Ladda ner
      • Word Frågeformulär kundkännedom - fysisk person 2025
        Ladda ner
      • PM Registrering av verkliga huvudmän 2025
        Ladda ner

      Syfte

      Kundriskprofilen är verksamhetsutövarens individuella riskbedömning av varje kundrelation. Där den allmänna riskbedömningen beskriver riskerna i verksamheten generellt, ska kundriskprofilen visa vilka risker just den här kunden innebär.

      En korrekt riskprofil är central eftersom den styr:

      • Hur omfattande kundkännedomsåtgärder som ska vidtas.
      • Hur löpande övervakning ska utföras.
      • Om affärsförbindelsen överhuvudtaget är möjlig.

      Hur bedöms riskprofilen?

      Bedömningen ska utgå från både:

      • Allmän riskbedömning (de faktorer företaget redan identifierat som riskabla i sin verksamhet).
      • Kundspecifika faktorer (sådant som framkommer i kundkännedomen).

      Exempel på faktorer att väga in

      • Kundtyp: fysisk person, juridisk person, trust eller stiftelse.
      • Ägarstruktur: enkel eller komplex? Nominella ägare? Ägarled i högrisktredjeland?
      • Verksamhetens art: kontantintensiv, svåröverskådlig eller kopplad till känsliga branscher.
      • Transaktionsmönster: avvikande betalningsströmmar, stora belopp utan affärsmässig förklaring.
      • Geografi: hemvist i högrisktredjeland, korruptionsutsatta stater eller sanktionerade länder.
      • Koppling till PEP: kund eller verklig huvudman med politiskt utsatt ställning.
      • Syfte och art: om syftet är oklart eller orimligt ökar risken.

      Risknivåer

      De flesta verksamheter använder tre nivåer:

      • Låg – endast när det finns tydliga skäl (t.ex. statliga myndigheter, börsbolag).
      • Normal – utgångspunkten för de flesta kunder.
      • Hög – när faktorer indikerar förhöjd risk, t.ex. PEP, komplexa ägarstrukturer, högrisktredjeland.

      Kunden får aldrig klassificeras som låg risk om det finns någon faktor som talar för normal eller hög risk.

      Dokumentation

      Alla överväganden ska dokumenteras:

      • Vilka faktorer som vägts in.
      • Vilken risknivå som satts.
      • Motivering till beslutet.

      Det räcker inte att kryssa i en ruta i en checklista – det måste framgå varför kunden bedömts på ett visst sätt.

      Uppföljning

      Riskprofilen är inte statisk. Den ska uppdateras:

      • Vid väsentliga förändringar i kundens verksamhet eller ägarstruktur.
      • När nya riskfaktorer framkommer.
      • Minst årligen för kunder i hög risk.

      Vanliga brister

      • Att alla kunder ges samma risknivå ”för enkelhetens skull”.
      • Att motiveringar till risknivån saknas.

      Att riskprofilen inte kopplas till åtgärder (t.ex. skärpt kundkännedom).

      Syfte

      Kundkännedom och riskprofilering är bara början. Verksamheten måste även följa kundrelationen löpande för att upptäcka avvikelser och misstänkta transaktioner. Detta kallas löpande övervakning.

      Utan övervakning finns risken att relationen ser korrekt ut vid etableringen men senare används för otillåtna syften.

      Vad innebär övervakning?

      Övervakning ska anpassas till kundens riskprofil. Den omfattar:

      • Transaktionsövervakning: följa betalningar, insättningar, uttag och andra rörelser för att se om de stämmer med kundens kända profil.
      • Beteendeövervakning: se om kunden beter sig på ett sätt som avviker från det förväntade.
      • Relationens syfte och art: stämmer kundens agerande över tid med det syfte som angetts vid etableringen?

      Exempel på avvikande beteenden

      • Stora transaktioner som saknar affärsmässig förklaring.
      • Betalningar från eller till högrisktredjeland.
      • Användning av bulvaner eller ombud utan logisk anledning.
      • Transaktioner i betydligt större omfattning än väntat.
      • Upprepade kontantinsättningar strax under rapporteringsgränser.

      Hur ska övervakning göras?

      • Systematiskt: antingen med manuella rutiner (i små företag) eller med särskilda IT-system (i större verksamheter).
      • Riskbaserat: kunder med hög risk ska följas upp tätare och med fler kontroller.
      • Dokumenterat: varje observation, utredning och åtgärd ska dokumenteras.

      Fördjupad granskning

      Om övervakningen visar avvikelser ska företaget vidta skärpta åtgärder, exempelvis:

      • Ställa fler frågor till kunden.
      • Begära in underlag för transaktioner.
      • Vid behov rapportera till Finanspolisen.

      Viktigt att tänka på

      • Det finns ingen beloppsgräns – även små transaktioner kan behöva rapporteras.
      • Väsentlighetstal (som används i redovisning/revision) får inte tillämpas här.
      • Övervakningen måste vara aktiv – det räcker inte att i efterhand notera att inget har hänt.

      Vanliga brister

      • Att övervakning sker slentrianmässigt, utan koppling till kundens riskprofil.
      • Att transaktioner bara granskas om de är stora belopp.

      Att dokumentationen är bristfällig eller obefintlig.

      Syfte

      Rapporteringsplikten är en av de mest centrala delarna i penningtvättslagen. Företaget är skyldigt att omedelbart rapportera misstankar till Finanspolisen.

      Vad innebär rapporteringsplikten?

      • Låg misstankegrad – det krävs inte bevis, bara skälig grund.
      • Snabbt agerande – rapport ska ske utan dröjsmål.
      • Ingen ”bevisprövning” – företaget ska inte avgöra om brott begåtts, bara rapportera misstanken.

      När ska rapportering ske?

      • Vid transaktioner som inte stämmer med kundens profil.
      • Vid osanna eller motsägelsefulla uppgifter.
      • När en presumtiv kund försöker använda verksamheten för tvätt.

      Åtgärder vid misstanke (innan rapportering)

      Företaget får först utreda om misstanken kan förklaras affärsmässigt:

      • Ställa kompletterande frågor.
      • Begära in underlag.
      • Göra en intern analys.

      Om misstanken kvarstår ska rapportering ske omedelbart. Viktigt: en transaktion får inte utföras om det finns skälig misstanke.

      Hur görs rapporteringen?

      • Elektroniskt via Finanspolisens system goAML.
      • Rapporten ska vara konkret: vem, vad, när, hur.

      Meddelandeförbud

      Det är förbjudet att informera kunden om att en rapport har lämnats eller att misstanke finns.

      Interna rutiner

      Företaget ska ha tydliga rutiner för vem som rapporterar.

      Intern rapportering

      I större företag gör ofta medarbetare en intern rapport till den funktionsansvarige, som sedan beslutar om rapportering till Finanspolisen. Alla interna rapporter ska dokumenteras – även de som inte leder till extern rapport.

      Vanliga brister

      • Att misstankar diskuteras så länge internt att rapporten försenas.
      • Att små misstankar aldrig rapporteras.

      Att interna rapporteringskanaler inte finns på plats.

      Syfte

      Dokumentation är avgörande för att visa att verksamheten följer lagen i praktiken. Vid en tillsyn måste företaget kunna visa vad som har gjorts, när det gjordes och varför. Utan dokumentation anses åtgärderna inte ha vidtagits.

      Vad ska dokumenteras?

      • Allmän riskbedömning: både den ursprungliga och alla uppdateringar.
      • Kundkännedom: insamlade uppgifter, kopior på ID-handlingar, utredning av verklig huvudman, syfte och art.
      • Kundriskprofil: vilka faktorer som vägts in och hur risknivån fastställts.
      • Löpande övervakning: observationer, avvikelser, fördjupade granskningar.
      • Rapporter till Finanspolisen: vad som rapporterats och när.
      • Utbildning: innehåll, deltagare och datum.
      • Intern kontroll: kontroller och uppföljningar som gjorts.

      Behandling av personuppgifter

      Eftersom AML-arbetet bygger på insamling och lagring av personuppgifter (ID-handlingar, riskklassificeringar, uppgifter om verklig huvudman och ibland även PEP-status) ska dokumentationen också innehålla rutiner för hur dessa uppgifter hanteras och bevaras.

      • Rättslig grund: Behandlingen sker inte med stöd av samtycke, utan för att uppfylla en rättslig skyldighet enligt penningtvättslagen.
      • Bevarandetid: Uppgifter ska sparas i minst fem år efter att affärsförbindelsen avslutats eller transaktionen utförts.
      • Gallring: Företaget måste ha rutiner för hur uppgifter raderas eller anonymiseras när bevarandetiden passerat.
      • Skydd: Dokumentation ska förvaras säkert, med behörighetsstyrning och spårbarhet för åtkomst.
      • Information till kunder: Det ska framgå av integritetspolicy eller motsvarande att personuppgifter behandlas för AML-syften, samt vilka rättigheter som gäller och vilka begränsningar som finns (t.ex. att uppgifterna inte kan raderas i förtid).

      Vanliga brister

      • Att AML-relaterade personuppgifter blandas ihop med annan kunddokumentation och inte gallras.
      • Att företaget saknar tydliga rutiner för gallring.
      • Att kunder felaktigt ombeds ge ”samtycke” till AML-behandlingen.

      Bevarandetid

      • Minst fem år är obligatoriskt enligt lag.
      • I vissa branscher kan tillsynsmyndigheten kräva längre tid, men det ska då dokumenteras särskilt.

      Hur ska dokumentationen bevaras?

      • Säkerhet: Uppgifterna ska lagras så att obehöriga inte får tillgång till dem.
      • Tillgänglighet: Uppgifterna måste kunna tas fram snabbt vid tillsyn.

      Systematik: Det ska finnas en tydlig struktur (digital eller fysisk) så att inget faller mellan stolarna.

      • Word Allmän riskbedömning - penningtvätt 2025
        Ladda ner
      • Word Frågeformulär fördjupad kundkännedom - juridisk person 2025
        Ladda ner
      • Word Frågeformulär kundkännedom - fysisk person 2025
        Ladda ner

      Syfte

      Ett systematiskt arbete mot penningtvätt och finansiering av terrorism kräver inte bara bra rutiner – det måste också finnas en tydlig organisation, ansvarsfördelning och intern kontroll. Syftet är att säkerställa att rutinerna inte bara finns på papper utan också fungerar i praktiken.

      Vad innebär intern kontroll?

      Intern kontroll handlar om att:

      • Kontinuerligt följa upp att lagkraven och företagets egna rutiner efterlevs.
      • Upptäcka och rätta till brister i tid.
      • Säkerställa att ansvaret är tydligt fördelat inom organisationen.

      Ansvarsfördelning i olika verksamheter

      Mindre företag

      I en mindre verksamhet (t.ex. redovisningsbyrå, mindre advokatbyrå, enmansbolag) är det vanligt att VD eller ägare själv ansvarar för alla delar. Det kan fungera, men ansvaret måste fortfarande vara dokumenterat – annars riskerar det att framstå som otydligt vid tillsyn.

      Större företag

      Större verksamheter behöver flera särskilda funktioner:

      1. Centralt funktionsansvarig
      • Ska alltid finnas i företag som omfattas av penningtvättslagen.
      • Har det övergripande ansvaret för att företaget följer lag och interna rutiner.
      • Ska vara oberoende i sin roll och inte själv arbeta operativt med de funktioner som kontrolleras.
      1. Särskilt utsedd befattningshavare
      • Utses i större organisationer.
      • Ansvarar för att den allmänna riskbedömningen genomförs och uppdateras.
      • Ska se till att rutiner och riktlinjer finns och fungerar i praktiken.
      • Rapporterar till styrelse eller VD.
      1. Oberoende granskningsfunktion
      • Krävs när verksamhetens storlek eller art motiverar det.
      • Uppgift: granska och utvärdera effektiviteten i företagets rutiner, riskhantering och interna kontroll.
      • Ska vara organisatoriskt skild från de funktioner som granskas och rapportera direkt till styrelsen.
      • Kan i vissa fall outsourcas, men företaget har alltid det slutliga ansvaret.

      Vad ska kontrolleras?

      Den interna kontrollen ska omfatta bl.a.:

      • Att riskbedömningar är uppdaterade och relevanta.
      • Att kundkännedomsåtgärder genomförs korrekt och dokumenteras.
      • Att rapporteringsskyldigheten fungerar i praktiken.
      • Att utbildning genomförs regelbundet och dokumenteras.
      • Att system och modeller för riskklassificering fungerar som de ska.
      • Att rutinerna är anpassade till förändringar i verksamheten och omvärlden.

      Uppföljning och rapportering

      • Resultatet av internkontrollen ska rapporteras till styrelse eller VD.
      • Identifierade brister ska åtgärdas omgående.
      • Alla kontroller och uppföljningar ska dokumenteras.

      Vanliga brister

      • Att internkontroll sker ”informellt” utan dokumentation.
      • Att det saknas oberoende i kontrollen – den som granskar är samma person som ansvarar för genomförandet.
      • Att små företag tror att de inte behöver dokumentera sitt ansvar.

      Varför är detta viktigt?

      Tillsynsmyndigheter (t.ex. Finansinspektionen, Länsstyrelsen, Revisorsinspektionen) tittar mycket på styrning och kontroll. En brist i intern kontroll ses ofta som en grundläggande svaghet – även om rutinerna i övrigt är bra.

      • Word Allmän riskbedömning - penningtvätt 2025
        Ladda ner
      • Word Checklista motverka penningtvätt 2025
        Ladda ner
      • Word Policy samt rutiner och riktlinjer mot penningtvätt 2025
        Ladda ner
      • Word Policy samt rutiner och riktlinjer mot penningtvätt Engelsk 2025
        Ladda ner
      Penningtvätt verksamhetsutövare - Vad säger lagen?
      Guide
      +
      Word
      31

      Specifikation

      • Guide för verksamhetsutövare om penningtvätt
      • 21
      • Guide
      • 31
      • Word
      Välj din plan

      Med vårt abonnemang får du obegränsad tillgång till alla våra dokument och guider