1. Bakgrund
Enligt artikel 40.2 i direktiv (EU) 2024/1640 ska Amla utarbeta en metodologi som samtliga tillsynsmyndigheter ska använda för att bedöma den risk för penningtvätt och finansiering av terrorism som verksamhetsutövare är exponerade för. I utkastet till de tekniska standarderna ska Amla närmare ange hur tillsynsmyndigheterna ska bedöma och klassificera varje verksamhetsutövares inneboende och kvarvarande riskprofil samt hur ofta riskprofilerna ska
ses över.
Bakgrunden till detta är att tillsynsmyndigheternas metoder för att bedöma risker för penningtvätt och finansiering av terrorism hos enskilda verksamhetsutövare för närvarande skiljer sig åt mellan medlemsstaterna. Detta medför skilda resultat i riskbedömningarna och oproportionerliga kostnader för finansiella institut med gränsöverskridande verksamhet. Skillnaderna undergräver även effektiviteten i EU:s samlade ramverk mot penningtvätt och
finansiering av terrorism, eftersom en konsekvent tillsyn av finansiella institut inte kan säkerställas. Den nya rapporteringen ersätter den befintliga periodiska rapporteringen och träder i kraft den 1 januari 2027. Vissa frågeställningar kan däremot komma att ändras fram till ikraftträdandet.
2. Riskbedömningsmetodologin
2.1 Uppgifter som ska ligga till grund för bedömningen
Utkastet till de tekniska standarderna innehåller en gemensam metodologi för tillsynsmyndigheternas bedömning av risker för penningtvätt och finansiering av terrorism på verksamhertsutövarnivå. Metodologin ska tillämpas på ett konsekvent, jämförbart och effektivt sätt. Den ska även ligga till grund för tillsynsmyndigheternas tillsynsstrategier och inspektionsplaner samt skapa en gemensam förståelse för hur olika riskfaktorer påverkar verksamhetsutövarnas samlade riskexponering.
Metodologin innebär att en gemensam uppsättning uppgifter ska ligga till grund för bedömningen av såväl inneboende risker som kvaliteten på verksamhetsutövarnas kontroller. Uppgifterna ska tillämpas på samtliga verksamhetsutövare och kompletteras med uppgifter som är specifika för respektive sektor, vilket säkerställer att riskbedömningarna blir både riktade och meningsfulla. Användningen av en gemensam uppsättning uppgifter i samtliga
medlemsstater skapar även en operativ effektivitet för verksamhetsutövare med gränsöverskridande verksamhet och säkerställer att riskbedömningarna blir jämförbara.
Samtidigt begränsas uppgiftsbegäran till sådana uppgifter som är strikt nödvändiga för att bedöma risker för penningtvätt och finansiering av terrorism. Det innebär att de flesta verksamhetsutövare inte behöver lämna fler än 100-150 uppgifter, vilket är färre än vad de flesta tillsynsmyndigheterna kräver idag. Att begränsa uppgiftsinhämtningen på detta vis påverkar däremot inte tillsynsmyndigheternas rätt att inhämta uppgifter för tillsyn på plats
eller på distans.
Däremot anges det inte i utkastet till de tekniska standarderna varifrån de olika uppgifterna ska hämtas. Tillsynsmyndigheterna kan därför välja att använda information som redan finns tillgänglig, vilket i förlängningen kan minska rapporteringsbördan för verksamhetsutövarna. Kvantitativa uppgifter används där så är möjligt. Bedömningen ska grundas på objektiva kriterier eller evidensbaserade tillsynsbedömningar som vilar på en gemensam
tillsynsmetodlogi. Den ska inte bygga på verksamhetsutövarnas egna bedömningar av de risker för penningtvätt och finansiering av terrorism som de är exponerade för.
2.2. Bedömning av riskprofiler
Riskbedömningsmetodologin omfattar tre steg. I enlighet med internationella standarder för åtgärder mot penningtvätt och finansiering av terrorism kombineras bedömningen av en verksamhetsutövares inneboende riskprofil med bedömningen av effektiviteten i verksamhetsutövarens kontrollmiljö. Bedömningar ligger tillsammans till grund för fastställande av den kvarvarande risken, det vill säga den risk som återstår efter att kvaliteten på verksamhetsutövares system och kontroller för åtgärder mot penningtvätt och finansiering av terrorism har beaktats.
Värdet för den inneboende risken beräknas automatiskt, medan bedömningen av kontrollernas kvalitet sker i två steg. Skälet till detta är att automatiserade värden bidrar till operativ effektivitet, men kontrollmiljön kan inte bedömas tillförlitligt enbart på denna grund. Det automatiserade värdet ska därför kompletteras med en evidensbaserad professionell bedömning.
För att säkerställa ett enhetligt tillvägagångssätt och jämförbara resultat begränsas justeringar till en riskkategori per värde för inneboende risk eller kontrollernas kvalitet. Justeringar får endast göras under motiverade omständigheter, exempelvis när det bedöms nödvändigt för att återspegla särskilda nationella risker eller när inhämtad information tyder på att det automatiserade värdet inte är tillräckligt tillförlitligt. Vidare innehåller utkastet till
de tekniska standarderna inga tröskelvärden eller vikter, mot bakgrund av att riskerna varierar och utvecklas. I stället ska Amla fastställa dessa för varje översynscykel och övervaka att tillsynsmyndigheterna i samtliga medlemsstater tillämpar dem effektivt.
Riskbedömningar på verksamhetsutövarnivå ska genomföras med en frekvens som är proportionerlig i förhållande till verksamhetens art och storlek. För att säkerställa att tillsynsmyndigheternas förståelse är aktuell bör verksamhetsutövarnas inneboende och kvarvarande riskprofiler ses över en gång per år, i enlighet med nuvarande praxis. Om en verksamhetsutövare är liten eller bedriver verksamhet som medför mycket låg risk för
penningtvätt och finansiering av terrorism är en översyn var tredje år normalt tillräcklig.
Särskilda bedömningar ska genomföras om risker materialiseras eller väsentlig ny information framkommer. Så kan exempelvis vara fallet vid förändringar i en verksamhetsutövares ägarstruktur eller ägarmodell. Detsamma gäller brister i kontrollmiljön, vilka kan tyda på att de inneboende riskerna har ökat.
2.3. Tillämpningsområde och fortsatt process
Artikel 40.2 i direktiv (EU) 2024/1640 omfattar verksamhetsutövare inom både den finansiella och den icke-finansiella sektorn. Amla har valt ett etappvis tillvägagångssätt med hänsyn till sektorernas skilda affärsmodeller och olika grad av harmonisering.
Amla ska därför utarbeta två separata tekniska standarder, en för verksamhetsutövare inom den finansiella sektorn och en för verksamhetsutövare inom den icke-finansiella. Det aktuella utkastet till de tekniska standarderna omfattar således endast verksamhetsutövare inom den finansiella sektorn och de tillsynsmyndigheter som ansvarar för tillsynen över dessa.
Amla har bedömt EBA:s förslag och antagit dem som sina egna. Mindre ändringar har gjorts för att återspegla det etappvisa tillvägagångssättet och införa ett tillämpningsdatum. Utkastet till de tekniska standarderna ska överlämnas till Europeiska kommissionen för antagande innan de publiceras i Europeiska unionens officiella tidning.
HSA Söderqvist Advokatbyrås rekommendationer
Mot bakgrund av det ovan anförda rekommenderar HSA Söderqvist Advokatbyrå följande:
• Säkerställ att uppgifter om verksamheten, dess riskfaktorer samt system och kontroller för åtgärder mot penningtvätt och finansiering av terrorism är fullständiga, korrekta och tillgängliga. Uppgifterna bör kunna tas fram på ett strukturerat sätt, både i fråga om sådana uppgifter som är gemensamma för samtliga verksamhetsutövare och sådana som är specifika för den egna sektorn.
• Se över att den allmänna riskbedömningen och riskklassificeringen tydligt skiljer mellan inneboende risk och kvarvarande risk. Det bör även framgå hur verksamhetens system och kontroller har beaktats vid bedömningen av den
kvarvarande risken.
• Säkerställ att kontrollmiljön inte endast är beskriven i interna styrdokument, utan också kan styrkas genom dokumentation som visar hur kontrollerna har tillämpats och följts upp i praktiken. Detta är särskilt relevant eftersom tillsynsmyndigheternas bedömning av kontrollernas kvalitet ska kompletteras med en professionell tillsynsbedömning.
• Fastställ rutiner för att identifiera och dokumentera förändringar som kan påverka verksamhetens riskprofil. Det kan exempelvis avse förändringar i ägarstruktur, affärsmodell eller kontrollmiljö samt brister som kan innebära att den inneboende risken har ökat.
• Följ den fortsatta utvecklingen av de tekniska standarderna och säkerställ att verksamheten har förutsättningar att anpassa sina uppgifter, riskbedömningar och interna processer när Amla fastställer tröskelvärden och vikter för respektive översynscykel.
Har ni frågor med anledning av det ovanstående är ni välkomna att kontakta HSA Söderqvist Advokatbyrå.


