Från policy till bevisbar kontroll: vad styrelse och ledning måste kunna visa 2026
Under 2025 blev det tydligt att regelefterlevnad inte längre bedöms som en isolerad kontrollfunktion. Finansinspektionen har i flera sammanhang understrukit att ansvaret ytterst vilar hos styrelse och verkställande ledning inte hos compliance som stödfunktion. Det räcker inte att ha policyer, utbildningar och system på plats. Ledningen förväntas kunna visa hur riskbedömningar påverkar faktiska beslut och hur kontrollen fungerar i praktiken.
Denna utveckling är inte unik för Sverige. Financial Action Task Force (FATF) har i sina ömsesidiga utvärderingar återkommande pekat ut bristande styrning och svagt ledningsengagemang som centrala orsaker bakom allvarliga penningtvättsbrister. FATF:s metodologi för hur effektiviteten i ett lands AML-system bedöms finns publicerad här:
https://www.fatf-gafi.org/en/publications/Mutualevaluations/Fatf-methodology.html
Samtidigt syftar EU:s omfattande AML-reform och etableringen av Authority for Anti-Money Laundering and Countering the Financing of Terrorism (AMLA) till att minska skillnader i tillsyn och höja kraven på jämförbarhet och styrning inom unionen.
För svenska banker och försäkringsbolag innebär detta en strukturell förskjutning. Regelefterlevnad bedöms inte längre främst utifrån om ett regelverk finns dokumenterat utan om organisationen kan visa att kontrollen är effektiv, levande och spårbar.
Från informationsinsats till styrningsverktyg
AML-utbildning har traditionellt behandlats som en årlig åtgärd. En kurs tilldelas, medarbetare genomför den och ett intyg sparas. I många organisationer har detta uppfattats som tillräckligt.
Men tillsynens fokus har förändrats.
Granskningar från Finansinspektionen av bankers sanktionsscreening visar tydligt att tekniska system i sig inte anses tillräckliga. Det är träffsäkerhet, hantering av träffar och dokumentation av beslut som bedöms. Samma logik gäller utbildning: det räcker inte att genomföra den utan organisationen måste kunna visa hur den är riskbaserad, hur den hålls uppdaterad och hur den är integrerad i styrningen.
Även European Banking Authority (EBA) betonar detta i sina riktlinjer om intern styrning. Styrelse och ledning ska säkerställa att kontrollfunktioner har tillräckliga resurser, rätt kompetens och tydliga rapporteringsstrukturer. Riktlinjerna finns publicerade här:
I det sammanhanget är utbildning inte en HR-fråga. Den är en del av riskhanteringsramverket.
Det innebär att utbildningen måste kunna svara på frågor som:
· Är den rollanpassad utifrån risk?
· Uppdateras den i takt med nya EU-förordningar och sanktionspaket?
· Kan genomförandegrad och kunskapsnivå rapporteras på aggregerad nivå?
· Är uppföljningen systematiserad eller beroende av manuella moment?
Här uppstår den avgörande skillnaden mellan formell och faktisk kontroll.
Ett europeiskt tillsynsperspektiv förändrar spelplanen
EU:s AML-paket från 2024 innebär en långtgående harmonisering. AMLA får från 2026 direkt tillsynsansvar över de mest riskutsatta finansiella grupperna och en samordnande roll för övriga.
Den nya lagstiftningen AMLR, AMLD6 och förordningen om AMLA finns publicerad via EU:s rättsdatabas EUR-Lex:
Den markerar en tydlig ambitionshöjning på unionsnivå.
För svenska aktörer innebär detta att bedömningar inte längre enbart sker i nationell kontext. En lösning som tidigare uppfattats som tillräcklig kan ifrågasättas i ett europeiskt perspektiv.
Samtidigt betonar FATF i sin metodologi att effektivitet mäts i faktisk implementering inte i dokumenterad ambition. En statisk utbildning som uppdateras sporadiskt riskerar därför att snabbt bli otillräcklig när nya sanktionspaket eller vägledningar införs.
Utbildning måste därmed integreras i organisationens övergripande kontrollsystem. Den kan inte existera vid sidan av det.
Vad tillsynen kommer att vilja se
Utifrån utvecklingen under 2025 är det rimligt att anta att tillsynen under 2026 och framåt kommer att fokusera på följande:
· Hur riskklassning påverkar utbildningsnivå och innehåll
· Hur styrelsen informeras och följer upp kompetensläget
· Hur identifierade brister hanteras och dokumenteras
· Hur genomförande och uppföljning kan verifieras utan manuell rekonstruktion
Det handlar inte om att varje styrelseledamot ska kunna återge detaljer i AML-lagstiftningen. Det handlar om att styrelsen ska kunna visa att den har etablerat en fungerande struktur och att den följs upp systematiskt.
Organisationer som står starka i tillsyn kännetecknas ofta av att de snabbt kan ta fram sammanhållen dokumentation. Inte genom spridda Excel-filer eller manuella sammanställningar, utan genom systemstöd där utbildning, genomförandegrad och testresultat är direkt tillgängliga.
Det är där skillnaden mellan administrativ hantering och strukturell kontroll blir tydlig.
En strategisk fråga och inte en utbildningsfråga
För compliance-ansvariga och riskchefer är det självklart att utbildning är ett lagkrav. Den frågan är avgjord.
Den verkliga frågan är strategisk:
Hur säkerställer vi att utbildningen fungerar som ett styrningsinstrument?
Svaret avgörs inte av pedagogisk kvalitet i sig, utan av tre faktorer:
· Är innehållet regulatoriskt uppdaterat och riskbaserat?
· Är uppföljningen automatiserad och revisionsbar?
· Är rapporteringen tillräckligt robust för styrelse och tillsyn?
Om någon av dessa komponenter saknas riskerar utbildningen att reduceras till det tillsynen kritiserar: ett dokumenterat åtagande utan bevisbar effekt.
När den största risken är att inte ompröva det som redan finns
I många banker och försäkringsbolag finns redan en utbildningslösning på plats. Den har fungerat i flera år och är en naturlig del av organisationens vardag. Det skapar stabilitet – men också tröghet.
Att ompröva en befintlig struktur kan uppfattas som kritik eller som ett onödigt projekt. Men i ett harmoniserat europeiskt tillsynslandskap är status quo inte neutralt. Det är ett aktivt val.
EU:s nya regelverk via (https://eur-lex.europa.eu/) och effektivitetskraven från Financial Action Task Force (https://www.fatf-gafi.org/en/publications/Mutualevaluations/Fatf-methodology.html) innebär att kontrollen bedöms mot en högre standard än tidigare.
En intern lösning kan fungera väl i vardagen men ändå visa sig sårbar i en granskning om riskkopplingen inte är systematiserad eller om dokumentationen inte är omedelbart tillgänglig.
Samtidigt är European Banking Authority tydlig i sina riktlinjer om intern styrning:
Ledningsorganet ansvarar för att säkerställa en effektiv kontrollstruktur. Det ansvaret kan inte delegeras bort. Den avgörande frågan blir därför:
Håller vår nuvarande utbildningsstruktur för 2026 års tillsynsnivå?
Organisationer som står starka är inte de som undviker förändring. Det är de som systematiskt prövar om befintliga strukturer är tillräckligt robusta för nya krav.
Regelefterlevnad 2026 handlar ytterst inte om fler dokument.
Den handlar om att kunna visa fungerande kontroll.
Och i den ekvationen är utbildning inte en stödfunktion den är en del av styrningsstrukturen.