Styrelsens 6 beviskrav inför tillsyn

Skrivet av Sofie Kulling

Under 2025 blev det tydligt att tillsynen inte längre stannar vid att granska ramverk, policyer eller rapporter. Finansinspektionen och andra europeiska tillsynsmyndigheter rör sig allt tydligare mot en annan fråga:

Kan styrelsen visa att den faktiskt har styrt verksamhetens risker? Det är en avgörande skillnad.

Många organisationer kan visa att de har strukturer på plats. Färre kan visa hur dessa strukturer har påverkat beslut, prioriteringar och utfall över tid. Och det är just där tillsynen nu lägger sitt fokus.

Inför 2026 kan styrelsens beredskap i praktiken testas mot sex konkreta beviskrav.

1. Att risker inte bara identifieras - utan styr beslut

Det räcker inte att organisationen har en riskbedömning. Styrelsen behöver kunna visa hur den faktiskt har använts.

När en risk har identifierats ska det gå att följa hur den har påverkat affärsbeslut, kundacceptans eller resursfördelning. Om riskklassningen lever i ett separat spår, utan tydlig koppling till beslut, uppfattas den som isolerad från styrningen.

Financial Action Task Force har i upprepade utvärderingar pekat på just detta: brister uppstår sällan i analysen av risk utan i hur den omsätts i praktiken.

2. Att beslutsprocesser är spårbara i efterhand

Tillsynen handlar i allt större utsträckning om spårbarhet. Styrelsen behöver kunna visa hur en fråga har rört sig genom organisationen: från identifierad risk, till beslutsunderlag, till fattat beslut och vidare till uppföljning. Det ska inte kräva manuell rekonstruktion. Det ska gå att visa direkt. Om beslutskedjan inte är tydlig framstår styrningen som reaktiv, även om arbetet i praktiken har genomförts.

3. Att identifierade brister leder till åtgärd och effekt

Det är vanligt att organisationer kan visa att brister har identifierats. Det som oftare saknas är bevis på vad som hände sedan.

Styrelsen behöver kunna visa att identifierade brister har:

  • prioriterats

  • åtgärdats

  • följts upp

Men också att åtgärderna faktiskt har haft effekt. Utan denna koppling riskerar arbetet att uppfattas som administrativt snarare än styrande.

4. Att ansvar och eskalering fungerar i praktiken

Inom områden som sanktioner och penningtvätt ligger fokus inte längre på systemens kapacitet, utan på organisationens förmåga att fatta och dokumentera beslut i komplexa situationer. Här förväntas styrelsen kunna visa att det finns tydliga ansvarsförhållanden och fungerande eskaleringsvägar och att dessa faktiskt används. Flera europeiska tillsynsmyndigheter, inklusive European Securities and Markets Authority, har pekat på att brister i praktiken ofta bottnar i otydligt ledningsansvar snarare än tekniska begränsningar.

5. Att kompetens och utbildning är riskbaserad och styrd

Utbildning betraktas inte längre som en isolerad aktivitet. Den ses som en del av kontrollsystemet.

Styrelsen behöver kunna visa att organisationens kompetensnivå:

  • är anpassad till identifierade risker

  • uppdateras i takt med förändringar i regelverk

  • följs upp på ett strukturerat sätt

Detta ligger i linje med riktlinjer från European Banking Authority om intern styrning:
https://www.eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-internal-governance

Om utbildningen inte är kopplad till risk och uppföljning saknar den i praktiken styrningsvärde.

6. Att styrningen håller i ett europeiskt perspektiv

Tillsynen är inte längre enbart nationell i praktiken.

Med etableringen av Authority for Anti-Money Laundering and Countering the Financing of Terrorism (AMLA) och ett mer harmoniserat regelverk via: https://eur-lex.europa.eu/ ökar kraven på jämförbarhet mellan medlemsländer.

Samtidigt är Financial Action Task Force tydlig i sin metodologi: effektivitet mäts i faktisk implementering:
https://www.fatf-gafi.org/en/publications/Mutualevaluations/Fatf-methodology.html

Det innebär att styrelsen måste kunna svara på en enkel men obekväm fråga: Skulle våra beslut och vår styrning hålla i en extern, gränsöverskridande granskning?

Det avgörande testet

Inför nästa tillsyn är den viktigaste frågan inte om compliancefunktionen fungerar.

Den är:

  1. Kan styrelsen visa att den har styrt?

  2. Organisationer som står starka behöver inte förklara i efterhand. De kan visa.

Och i den verkligheten är skillnaden mellan dokumenterad efterlevnad och faktisk styrning inte längre teoretisk.

Den är avgörande.

Sofie Kulling
Nästa

Regelefterlevnad är inte längre en stödfunktion, det är en ledningsfråga