Brister i grunden kan kosta tillståndet inom AML och regelefterlevnad
Brister i grunden kan inte kompenseras och det är här compliance börjar. Under det senaste året har Finansinspektionen i flera fall visat en tydligare linje i sin tillsyn: när bristerna rör bolagets grundläggande struktur räcker det inte med åtgärder. Då ifrågasätts själva tillståndet.
Ett aktuellt exempel är ett betalningsinstitut där FI valt att återkalla tillståndet. I beslutet pekar myndigheten på en kombination av oriktiga uppgifter i ansökan, brister i centrala kontrollfunktioner och otillräckligt skydd av kundmedel – brister som sammantaget gör att bolagets tillförlitlighet inte kan anses tillräcklig. Beslutet finns publicerat här: https://www.fi.se/sv/publicerat/beslut/
Var för sig är detta allvarligt och tillsammans pekar det på något mer avgörande:
Det gick inte att lita på bolaget.
Bristerna fanns inte i drift. De fanns i strukturen. Och det är just därför de inte gick att åtgärda.
När problemet inte är operativt
Många organisationer ser regelefterlevnad som något som uppstår i verksamheten, i kundkännedom, transaktionsövervakning och rapportering. Men tillsynsärenden inom både Sverige och EU visar ett annat mönster.
De mest allvarliga bristerna uppstår ofta tidigare. I bolagsstyrningen, ägarstrukturen och i hur information lämnas från början.
Styrelse och ledning ansvarar för att strukturen är robust, transparent och tillförlitlig från start. När den inte är det spelar det ingen roll hur mycket kontroller som byggs senare. De saknar grund att stå på.
Varför åtgärder inte räcker
Efter tillsynsbeslut är den naturliga reaktionen ofta att stärka det operativa arbetet genom fler kontroller, mer utbildning och tydligare processer. Men när bristerna rör korrekt och fullständig information i tillståndsprocessen, transparens kring ägande och ledning eller den grundläggande ansvarsfördelningen handlar det inte om att något saknas, utan om att det som finns inte går att lita på. Financial Action Task Force pekar i sin metodologi på just detta: brister uppstår inte främst i regelverk, utan i effektivitet och styrning: https://www.fatf-gafi.org/en/publications/Mutualevaluations/Fatf-methodology.html Och det är betydligt svårare att åtgärda i efterhand.
En signal till hela marknaden
Den här typen av beslut är inte isolerade händelser utan signaler om var tillsynen faktiskt börjar. Finansinspektionen har under senare år tydliggjort att regelefterlevnad inte bedöms som en separat funktion, utan som en del av bolagets styrning och kontrollmiljö. Det innebär att frågor som tidigare uppfattats som formella nu blir avgörande – som om informationen i tillståndsansökan är korrekt och verifierbar, om ägarbilden är transparent och begriplig samt om ansvarsfördelningen är tydlig och fungerar i praktiken. Denna utveckling ligger också i linje med EU:s ökade fokus på harmoniserad och jämförbar tillsyn: https://eur-lex.europa.eu/
För alla som arbetar med AML och regelefterlevnad innebär detta ett tydligt perspektivskifte. Compliance börjar inte i transaktionsövervakning eller i kundkännedom, utan redan innan verksamheten ens startar och i hur bolaget är uppbyggt, hur information dokumenteras och hur transparens säkerställs från början. Om dessa delar inte håller spelar det ingen roll hur avancerade system eller kontroller som införs senare, eftersom de i grunden vilar på något instabilt.
Den obekväma slutsatsen
Många organisationer investerar idag i att stärka sina AML-processer, vilket är nödvändigt men inte tillräckligt. Den verkliga frågan är inte hur bra processerna är, utan om grunden håller. Vad händer om tillsynen börjar i andra änden – inte i hur ni arbetar med risk, utan i om er struktur faktiskt är tillförlitlig? Det är där de mest avgörande bristerna finns, och det är också där de är svårast att rätta till.
Vad detta betyder framåt är att utvecklingen inom både Sverige och EU pekar i samma riktning. Tillsynen rör sig bort från att granska brister i drift till att ifrågasätta bolagets tillförlitlighet. När problem uppstår i styrning, ägarbild eller information handlar det inte längre om förbättringspotential, utan om förtroende, och när förtroendet brister räcker det inte med åtgärdsplaner – då ifrågasätts tillståndet. Det innebär en annan typ av risk än tidigare, inte operativ utan existentiell, och den avgörande frågan blir därför om ni faktiskt har byggt något som håller.