Regelefterlevnad är inte längre en stödfunktion, det är en ledningsfråga
Under 2025 blev det tydligt att regelefterlevnad inte längre bedöms som en separat kontrollfunktion. I sin tillsyn har Finansinspektionen (FI) markerat att ansvar för efterlevnad ytterst vilar hos styrelse och verkställande ledning. Det räcker inte att organisationen har policyer, ramverk och utbildningar – ledningen förväntas kunna visa hur regelkrav faktiskt påverkar beslut, prioriteringar och affärsbeteenden.
Denna förskjutning är inte unik för Sverige. Den ligger i linje med utvecklingen inom EU och med internationella tillsynsrekommendationer, där bristande styrning och svagt ledningsengagemang återkommande pekas ut som grundorsaker till allvarliga regelöverträdelser.
Från regeluppfyllelse till faktisk kontroll
FI:s tillsynsrapporter från 2025 visar ett tydligt mönster: myndigheten fokuserar allt mindre på formell efterlevnad och allt mer på faktisk kontroll. Styrelser och ledningsgrupper bedöms utifrån sin förmåga att förstå organisationens risker, ställa rätt frågor och säkerställa att beslut fattas på tillräckligt underlag.
Detta syns särskilt inom områden som penningtvätt, kundkännedom och sanktioner, där Financial Action Task Force (FATF) i flera utvärderingar pekat på bristande ledningsstyrning som en central svaghet hos finansiella institut. FATF:s grålistning av vissa jurisdiktioner under 2025 fick därför direkt genomslag i tillsynens förväntningar på hur riskbedömningar används i praktiken.
För styrelse och VD innebär detta att riskklassning inte längre är en teknisk eller operativ fråga. Den är ett styrningsinstrument som ska påverka affärsstrategi, kundacceptans och resursallokering.
Sanktionsrisker kräver aktivt ägarskap
Samma sak gäller sanktionsarbete. FI har under 2025 tydliggjort att sanktionsscreening inte bedöms utifrån systemkapacitet, utan utifrån organisationens förmåga att hantera träffar, fatta proportionerliga beslut och dokumentera dessa på ett sätt som tål extern granskning.
I praktiken innebär detta att styrelse och ledning förväntas säkerställa tydliga ansvarsförhållanden, fungerande eskaleringsvägar och tillräcklig kompetens i organisationen. Flera europeiska tillsynsmyndigheter har i gemensamma uttalanden pekat på att brister i sanktionshantering ofta bottnar i otydligt ledningsansvar snarare än tekniska begränsningar – en bild som delas av både EU-kommissionen och ESMA.
Ett europeiskt tillsynsperspektiv påverkar styrelseansvaret
Även om tillsynen formellt sker nationellt blir det europeiska perspektivet allt viktigare. Vägledning från European Securities and Markets Authority (ESMA) och EU-kommissionen påverkar hur FI bedömer styrning, riskhantering och intern kontroll.
Samtidigt etableras Authority for Anti-Money Laundering and Countering the Financing of Terrorism (AMLA) som central aktör inom EU:s AML-tillsyn. Även om AMLA:s direkta tillsynsansvar införs stegvis, är syftet tydligt: minska skillnader mellan medlemsländer och höja kraven på jämförbarhet och styrning.
För styrelse och VD innebär detta att efterlevnadsarbetet inte bara måste fungera lokalt, utan också hålla vid en europeisk jämförelse. Beslut som accepteras nationellt kan ifrågasättas i ett EU-perspektiv – särskilt i större eller gränsöverskridande verksamheter.
Vad styrelse och VD behöver säkerställa framåt
Utvecklingen under 2025 pekar mot ett tydligt ansvarsskifte. Styrelse och ledning förväntas inte detaljstyra compliance-arbetet, men de förväntas förstå riskerna, sätta riktningen och följa upp att organisationen faktiskt har förmåga att leva upp till regelverken.
De institut som stått starkast i tillsyn har haft ledningar som:
regelbundet diskuterar regelefterlevnad i affärstermer
kopplar riskbedömningar till strategiska beslut
efterfrågar spårbarhet, inte bara rapportering
De som betraktat compliance som en stödfunktion har i stället mött en betydligt mer kritisk tillsyn.
2025 blev året då detta blev tydligt.
2026 och framåt kommer det att bli avgörande.