Ett effektivt arbete mot penningtvätt och finansiering av terrorism (AML/CFT) bygger inte på enskilda kontroller, utan på en sammanhängande och dokumenterad riskmodell. I centrum för detta arbete står AML-riskmatrisen, som i praktiken avgör hur varje kund klassificeras, följs upp och övervakas över tid. Men riskklassificering är inte statisk. Den måste uppdateras, motiveras och – inte minst – loggas.
KYC-svar är hypoteser.
Transaktioner är fakta.
AML-risk är dynamisk.
Vad är en AML-riskmatris?
En AML-riskmatris är ett strukturerat ramverk där olika riskfaktorer vägs samman för att beräkna en samlad kundrisk. Vanliga riskdimensioner är:
- Kundrisk
Exempel: privatperson/företag, PEP-status, ägarstruktur, bransch - Geografisk risk
Exempel: bosättningsland, verksamhetsländer, högriskjurisdiktioner - Produkt- och tjänsterisk
Exempel: kontotyper, investeringsprodukter, transaktionsmöjligheter - Beteenderisk
Exempel: transaktionsmönster, förändringar i kunduppgifter
Varje faktor tilldelas en poäng eller vikt, och den sammanlagda poängen placeras i en AML-riskklass, exempelvis:
- Låg risk
- Medelhög risk
- Hög risk
Sambandet mellan riskmatris och AML-riskklass
AML-riskklassen är inte ett manuellt antagande – den är resultatet av riskmatrisen. Det innebär att:
- varje riskklass måste kunna återledas till underliggande poäng
- förändringar i kunddata måste kunna förklara varför riskklassen ändras
- två kunder i samma riskklass kan ha olika riskprofiler, men samma samlade bedömning
Detta är avgörande vid både intern kontroll och extern tillsyn.
Dynamisk risk – därför måste varje ändring loggas
En kunds AML-risk förändras över tid. Exempel på händelser som påverkar riskpoängen:
- kunden svarar på en ny eller uppdaterad KYC
- kunden byter adress eller får nytt hemvistland
- ändrad verklig huvudman eller ägarstruktur
- ny PEP-klassificering
- nya produkter eller tjänster aktiveras
Varje sådan förändring påverkar en eller flera riskfaktorer – och därmed den totala poängen.
AML-riskmatrisen i praktiken – från riskmodell och poäng till transaktionsmonitorering och FI-tillsyn
Ett fungerande AML-ramverk börjar och slutar inte med KYC. Kärnan i ett tillsynssäkert AML-arbete är en konsekvent tillämpad AML-riskmatris som kopplar samman:
- identifierade riskfaktorer
- poängsättning
- AML-riskklass
- faktisk kundaktivitet
- och dokumenterade beslut över tid
Det är denna helhet Finansinspektionen granskar.
På Metafore hjälper vi redan flera av våra kunder att bygga, implementera och operativisera AML-riskmatriser som inte bara ser bra ut i policy – utan håller vid tillsyn.
AML-riskmatrisen – grunden för hela AML-arbetet
Lagrum: Penningtvättslagen (2017:630), 2 kap. 1 §
EU-rätt: AMLD4, artikel 8
AML-riskmatrisen är den centrala modellen för hur en verksamhet omsätter ett riskbaserat förhållningssätt i praktiken.
Den ska:
- definiera vilka risker som finns
- beskriva hur de mäts
- visa hur de vägs samman
- och ligga till grund för alla kundrelaterade AML-beslut
Utan en fungerande riskmatris finns:
- ingen jämförbarhet mellan kunder
- ingen konsekvent riskklassificering
- inget försvar vid tillsyn
Riskdimensioner – hur AML-riskmatrisen byggs upp
Lagrum: Penningtvättslagen, 2 kap. 3–4 §§
Föreskrift: FFFS 2017:11, kap. 2
En AML-riskmatris ska minst omfatta följande riskdimensioner:
- Kundrisk – kundtyp, ägarstruktur, PEP-status
- Geografisk risk – bosättning, verksamhetsländer, högriskjurisdiktioner
- Produkt- och tjänsterisk – vilka produkter kunden faktiskt använder
- Beteenderisk – transaktionsvolymer, frekvens och avvikelser
Varje dimension ska vara:
- tydligt definierad
- poängsatt
- dokumenterad
Exempel på AML-riskmatris med poäng (förenklat)
| Riskfaktor | Bedömning | Poäng |
| Kundtyp | Privatperson | 1 |
| PEP-status | Ej PEP | 0 |
| Geografi | Sverige | 1 |
| Produkt | Basalt konto | 1 |
| Antal insättningar/år | 0–10 | 0 |
| Antal insättningar/år | 11–20 | 1 |
| Antal insättningar/år | 21+ | 3 |
Från riskpoäng till AML-riskklass
Lagrum: Penningtvättslagen, 2 kap. 5 §
EU-rätt: AMLD4, artikel 13
AML-riskklassen är inte ett subjektivt omdöme – den är ett matematiskt och metodiskt resultat av riskmatrisen.
| Total poäng | AML-riskklass |
| 0–5 | Låg |
| 6–10 | Medelhög |
| 11+ | Hög |
Det är denna klass som styr:
- graden av kundkännedom
- omfattningen av uppföljning
- kravet på manuell granskning
KYC-svar – startpunkt, inte facit
Lagrum: Penningtvättslagen, 3 kap. 1 §
Vid onboarding anger kunden:
”Jag kommer att göra max 10 insättningar per år.”
AML-riskmatrisen ger:
- Riskfaktor: antal insättningar
- Poäng: 0
Detta är en initial riskhypotes – inte ett permanent tillstånd.
Transaktionsmonitorering – där AML-riskmatrisen prövas
Lagrum: Penningtvättslagen, 3 kap. 1 och 3 §§
Föreskrift: FFFS 2017:11, kap. 4
Verksamheten måste löpande säkerställa att kundens faktiska beteende är förenligt med:
- KYC-uppgifter
- riskpoäng
- AML-riskklass
Exempel: Avvikelse
När kunden gör sin 11:e insättning:
- det kunden angav i KYC stämmer inte längre med verkligheten
Detta innebär:
- KYC-uppgiften är felaktig
- riskfaktorn ”antal insättningar” måste ompoängsättas
- AML-riskklassen är inte längre korrekt
Omräkning av poäng och riskklass
Lagrum: Penningtvättslagen, 2 kap. 5 §
| Före | Efter | |
| Antal insättningar | 0–10 | >10 |
| Poäng (beteenderisk) | 0 | 3 |
| Total poäng | 4 | 7 |
| AML-riskklass | Låg | Medelhög |
Detta ska ske när avvikelsen uppstår, inte vid nästa årsgenomgång.
Loggning – det FI alltid begär
Lagrum: Penningtvättslagen, 2 kap. 8 §
Loggningen ska visa:
- ursprungligt KYC-svar
- faktisk transaktionsdata
- när tröskelvärdet passerades
- poäng före och efter
- ändrad AML-riskklass
- vem/system som fattade beslutet
- eventuella uppföljande åtgärder
På Metafore hjälper vi våra kunder att bygga logg- och riskhistorik som är direkt svarbar vid FI-tillsyn.
När Finansinspektionen kommer på tillsyn – vad de frågar och vad ni måste kunna visa
FI frågar:
1) “Vilken AML-risk har den här kunden?”
Ni ska kunna svara:
- aktuell AML-riskklass
- datum för senaste omklassificering
- vad som triggat senaste ändringen (t.ex. monitoreringsutfall eller ny KYC)
2) “Vilken poäng har kunden enligt er AML-riskmatris?”
Ni ska kunna visa:
- total poäng
- uppdelning per riskfaktor
- vilka KYC-svar/transaktionsdata som gav poängen
3) “Ge oss alla kundens transaktioner de senaste 12 månaderna.”
Ni ska kunna lämna:
- fullständig transaktionshistorik
- koppling till monitoreringsregler (vilken regel fångade vad, när)
4) “Här ser vi 24 insättningar. Den 11:e insättningen kom 3 månader efter att ni satt AML-riskklassen. Enligt er riskmatris ger max 10 insättningar 0 poäng. Hur hanterade ni detta?”
Ni ska kunna visa:
- när avvikelsen identifierades (vid 11:e insättningen)
- vilken åtgärd som triggas (alert, utredning, ny KYC, riskomklassning)
- när poängen justerades
- vilken poäng/riskklass kunden hade innan
- vilken poäng/riskklass kunden fick efter
- vilka uppföljande åtgärder som vidtogs
5) “Var finns detta dokumenterat?”
Ni ska kunna peka på:
- loggposter (KYC + riskpoäng + beslut)
- riskhistorik (versioner över tid)
- beslutsanteckningar och eventuella utredningar
- datum, tid och ansvarig funktion/system
Om ni inte kan svara – vad händer då?
Om verksamheten inte kan visa:
- när avvikelsen upptäcktes
- när poängen ändrades
- vilken poäng kunden hade före
- varför riskklassen ändrades (eller inte ändrades)
Bedömer FI typiskt att:
- löpande uppföljning är bristfällig
- riskklassificeringen inte är tillförlitlig
- AML-riskmatrisen inte tillämpas i praktiken
Konsekvenser:
- anmärkning
- sanktionsavgift
- krav på åtgärdsplan
- fördjupad tillsyn
- ifrågasättande av hela AML-ramverket
I praktiken:
”Ni har en AML-modell – men ni använder den inte.”
Igen: Slutsats
KYC-svar är hypoteser.
Transaktioner är fakta.
AML-risk är dynamisk.
KYC, AML-riskmatrisen med Metafore – från kundens svar till tillsynssäker riskklass
KYC-formuläret är startpunkten för AML-riskbedömningen. Det är genom kundens svar som AML-riskmatrisen får sitt initiala underlag. För att AML-arbetet ska fungera i praktiken måste dessa svar vara direkt kopplade till riskmodellen, inte hanteras fristående.
Så kopplas KYC-svar till AML-riskmatrisen
Varje relevant fråga i KYC:
- mappas mot en definierad riskfaktor i AML-riskmatrisen
- tilldelas en förutbestämd poäng
- påverkar kundens sammanlagda AML-risk
Exempel: KYC-svar → riskpoäng
| KYC-fråga | Kundens svar | Riskfaktor | Poäng |
| PEP-status | Nej | PEP-risk | 0 |
| Kundtyp | Privatperson | Kundrisk | 1 |
| Bosättning | Sverige | Geografisk risk | 1 |
| Förväntade insättningar/år | Max 10 | Beteenderisk | 0 |
| Produkter | Basalt konto | Produkt-risk | 1 |
Total poäng: 3
AML-riskklass: Låg risk
AML-riskmatrisen styr KYC över tid
KYC-svar är antaganden om framtida beteende. Därför används AML-riskmatrisen för att styra hur ofta KYC ska uppdateras.
| AML-riskklass | När ny KYC ska inhämtas |
| Låg risk | Vart 3–5 år |
| Medelhög risk | Vart 1–2 år |
| Hög risk | Minst årligen eller oftare |
Om kundens risk ökar ska ny eller fördjupad KYC kunna triggas tidigare.
När verkligheten förändras – koppling till transaktionsmonitorering
När kundens faktiska beteende inte längre stämmer med KYC-svaren:
- uppdateras riskfaktorer i AML-riskmatrisen
- riskpoängen räknas om
- AML-riskklassen kan ändras
- uppföljning och KYC-intervall justeras
Loggning – den avgörande länken vid tillsyn
För varje KYC-svar och varje ändring måste det gå att visa:
- vilket svar som gav vilken poäng
- vilken riskfaktor som påverkades
- poäng och riskklass före och efter
- när och varför ändringen skedde
Vad Metafore levererar
På Metafore hjälper vi redan flera av våra kunder att få hela detta flöde att fungera i praktiken genom att:
- utforma KYC-formulär som är direkt kopplade till AML-riskmatrisen
- mappa varje KYC-svar till riskfaktorer och poäng
- beräkna och uppdatera AML-riskklass automatiskt
- styra när ny KYC ska inhämtas baserat på riskklass
- koppla riskmatrisen till transaktionsmonitorering
- genomföra PEP- och sanktionsslagningar integrerat i riskbedömningen
- säkerställa full loggning av KYC-svar, riskpoäng och beslut
- förbereda verksamheten för Finansinspektionens tillsyn
Kort sagt
KYC ger input.
AML-riskmatrisen räknar risk.
Transaktioner bekräftar verkligheten.
Loggning gör allt försvarbart.