1 (6) RISKBEDÖMNINGAR Som verksamhetsutövare ska du göra både en riskbedömning av din egen verksamhet och en riskbedömning av varje enskild kund. Den allmänna riskbedömningen Du som verksamhetsutövare är skyldig att göra en bedömning av vilka risker som finns för att ditt företag utnyttjas för att tvätta pengar eller finansiera terrorism. Den allmänna riskbedömningen ska dokumenteras och den utgör grunden för ditt fortsatta arbete med rutiner, riktlinjer och övriga åtgärder för att förhindra att din verksamhet utnyttjas i dessa illegala syften. Hur omfattande den allmänna riskbedömningen måste vara beror på din verksamhets storlek och art. Med storlek avses exempelvis omsättning samt antalet anställda och verksamhetsställen. Med art avses till exempel vilken typ av verksamhet som drivs och vilka varor eller tjänster som erbjuds samt deras komplexitet. De risker som du har identifierat i verksamheten påverkar också hur omfattande den allmänna riskbedömningens kommer att bli. När du gör den allmänna riskbedömningen är det första steget att identifiera vilka risker som finns för att din verksamhet skulle kunna utnyttjas för penningtvätt och terrorismfinansiering. När du har vägt samman samtliga omständigheter ska du i ett andra steg bedöma hur stor risken är för att din verksamhet utnyttjas för penningtvätt eller finansiering av terrorism.
2 (6) Den allmänna riskbedömningens steg illustreras i denna figur. Identifiera risker och riskfaktorer i verksamheten Det första steget är att kartlägga och identifiera på vilka sätt de produkter och tjänster som erbjuds i verksamheten skulle kunna utnyttjas för penningtvätt eller finansiering av terrorism. Du ska också kartlägga och identifiera faktorer som påverkar risken för detta. När du identifierar och kartlägger riskerna med att produkterna eller tjänsterna utnyttjas för att tvätta pengar och finansiera terrorism bör följande frågor ställas. Hur skulle ett utnyttjande kunna gå till och vad skulle faktiskt kunna inträffa? Vilka egenskaper i produkterna eller tjänsterna gör dem sårbara för försök till penningtvätt eller finansiering av terrorism? Hur användbara är produkterna eller tjänsterna för detta ändamål? Är det exempelvis möjligt att använda produkterna eller tjänsterna för att dölja viss egendoms samband med brott eller för att samla in eller vidarebefordra pengar eller annan egendom till en terroristorganisation?
3 (6) Du är också skyldig att kartlägga och identifiera faktorer som påverkar risken för att produkterna eller tjänsterna utnyttjas för penningtvätt eller finansiering av terrorism. Du ska särskilt beakta riskfaktorer kopplade till: Kunder Distributionskanaler Geografiska riskfaktorer Med riskfaktorn kunder avses huvudsakligen sådana generella risker som är förknippade med de kundkategorier som verksamhetsutövaren riktar sina produkter eller tjänster till. Det kan exempelvis röra sig om kontantintensiva kunder eller kunder från en specifik bransch. När du bedömer riskfaktorn kunder kan du bland annat utgå ifrån vad som är allmänt känt om den aktuella kundkategorin och din kunskap om de risker som är förknippade med dina egna kundrelationer. Faktorer avseende distributionskanaler tar sikte på hur produkterna eller tjänsterna levereras till kunden. Det kan till exempel röra sig om produkter eller tjänster som levereras genom en tredje person eller via ett webbaserat forum. Användandet av sådana distributionskanaler kan exempelvis innebära att det blir svårare för dig som verksamhetsutövare att överblicka hur produkterna eller tjänsterna används av kunden. Risken kan därmed vara högre för att produkterna eller tjänsterna utnyttjas för penningtvätt eller finansiering av terrorism. Geografiska faktorer är sådana som relaterar till förhållanden i de länder där produkterna eller tjänsterna erbjuds eller där kunderna har sin verksamhet. Exempel på risker förknippade med geografiska faktorer är kunder i länder med hög korruption eller som saknar ett fungerande penningtvättsregelverk. Din kunskap om de risker som kan förknippas med det aktuella landet är avgörande för att du ska kunna identifiera riskerna. Även andra verksamhetsspecifika omständigheter kan beaktas i bedömningen, exempelvis verksamhetens storlek och organisatoriska komplexitet. När du bedömer riskerna i din verksamhet ska du ta hänsyn till följande. Uppgifter som har kommit fram vid rapportering av misstänkta transaktioner och aktiviteter till Finanspolisen. Information från andra tillsynsmyndigheter och brottsbekämpande myndigheter om aktuella tillvägagångssätt beträffande penningtvätt och finansiering av terrorism. Information från din branschorganisation Det som är allmänt känt och din egen erfarenhet. Du har även ett eget ansvar att genom omvärldsbevakning vara uppmärksam på nya risker och tillvägagångssätt för penningtvätt och terrorfinansiering.
4 (6) Hur stor är risken? När du har identifierat riskerna i verksamheten behöver du ta ställning till hur stor risken är för att företagets verksamhet utnyttjas för penningtvätt eller finansiering av terrorism. Risknivåerna kan delas in i hög, förhöjd, normal eller låg risk. I din bedömning bör du ställa dig följande frågor. Vilken risknivå är förknippad med produkterna eller tjänsterna låg, normal eller hög? Hur sannolikt är det att de identifierade faktorerna kunder, geografiska faktorer, distributionsfaktorer eller andra verksamhetsspecifika omständigheter påverkar risken för att de identifierade produkterna eller tjänsterna skulle kunna utnyttjas för penningtvätt eller terrorismfinansiering? Centralt i bedömningen är din förståelse för produkterna och tjänsterna samt riskfaktorerna var för sig och i förhållande till verksamheten i stort. Exempelvis kan en faktor innebära en låg risk om den ses för sig, men en högre risk om den kombineras med andra faktorer. Nedan är ett schema över hur de risker som är förknippade med företaget produkter och tjänster kan påverkas av olika riskfaktorer i verksamheten samt vilken risknivå den sammantagna bedömningen kan leda till. En pågående process Riskerna för att verksamheten i ditt företag utnyttjas för att tvätta pengar och finansiera terrorism kan öka eller minska beroende på förändringar i såväl verksamheten som omvärlden. Arbetet med att identifiera och kartlägga riskerna är därför en pågående process. Tänk på följande! Du har en skyldighet att utvärdera den allmänna riskbedömningen regelbundet och minst en gång per år. Du ska alltid utvärdera den allmänna riskbedömningen innan ditt företag erbjuder nya eller väsentligt förändrade produkter eller tjänster, riktar sig
5 (6) till nya marknader eller gör andra förändringar som är relevanta för verksamheten. Du ska anteckna datumet för varje utvärdering. Om du efter din utvärdering anser att riskerna i verksamheten har förändrats, ska du uppdatera riskbedömningen med de nya omständigheterna och slutsatserna. Riskbedömning av kunden - kundens riskprofil Du har en skyldighet att bedöma riskerna för penningtvätt och finansiering av terrorism som kan förknippas med varje kundrelation, vilket innebär att kunden tilldelas en riskprofil. Din riskbedömning av kunden sker med utgångspunkt i den allmänna riskbedömningen till exempel utifrån vilken risk som finns för den aktuella kundkategorin samt din kunskap om den aktuella kunden. Din bedömning av kundens riskprofil styr vilka åtgärder som du ska vidta för att uppnå kundkännedom. Utgångspunkten är de åtgärder som du måste vidta när det rör sig om en kund som är förknippad med normal risk. Om du bedömer att det rör sig om en lågriskkund räcker det med förenklade kundkännedomsåtgärder. Om det däremot rör sig om en högriskkund krävs skärpta åtgärder för att uppnå kundkännedom. Låg risk Omständigheter som enligt penningtvättslagen kan tyda på att risken för penningtvätt och finansiering av terrorism är låg kan bland annat vara att kunden är en stat eller en kommun, har hemvist i ett land med låg korruption eller är börsnoterat inom EES. Hög risk Omständigheter som enligt penningtvättslagen kan tyda på att risken för penningtvätt och finansiering av terrorism är hög kan bland annat vara: Kundens ägarstruktur framstår som ovanlig eller alltför komplicerad för dess verksamhet. Kunden bedriver kontantintensiv verksamhet. Kunden är en juridisk person, en trust eller en liknande juridisk konstruktion som har till syfte att förvalta en viss fysisk persons tillgångar. Kunden har hemvist i en stat med betydande korruption eller som saknar effektiva system för bekämpning av penningtvätt eller finansiering av terrorism. Affärsrelationer eller transaktioner sker på distans. Betalning av varor eller tjänster görs av någon som är okänd eller saknar koppling till kunden.
6 (6) Hög risk eller misstanke om brott? Det är inte förbjudet att genomföra en transaktion eller ingå en affärsförbindelse med en kund som förknippas med hög risk under förutsättning att du har vidtagit skärpta åtgärder för att uppnå kundkännedom. Om du i samband med dessa kontroller misstänker att transaktioner eller aktiviteter har en koppling till penningtvätt eller finansiering av terrorism är du skyldig att rapportera detta till Finanspolisen. Detsamma gäller om dina misstankar väcks i samband med att du följer upp kundrelationen. Uppföljning av kundens riskprofil Under pågående affärsförbindelser har du en skyldighet att löpande följa upp kunden. Om du får kännedom om omständigheter som ger anledning till en annan risknivå ska riskprofilen uppdateras. Ett exempel på en sådan situation kan vara om en kund med låg riskprofil efterfrågar en ny tjänst som du har bedömt innebär en högre risk för penningtvätt. Kundens riskprofil ska då uppdateras till en högre risk.