Lärdomar och påminnelser från länsstyrelsernas sanktionsbeslut i Q3 2024

Nu har vi sammanställt synpunkterna från Q3 2024. Fokus är alltjämt på den allmänna riskbedömningen. 

Stäm av mot listan över synpunkterna att ni uppfyller kraven:

 Allmän riskbedömning: 

•  risker anknyter inte till konkreta situationer och tjänster
•  framgår inte hur tjänsterna kan utnyttjas
•  framgår inte hur företaget har beaktat och bedömt (analyserat och värderat) samtliga riskpåverkande faktorer kopplade till kunder, distributionskanaler, geografiska och verksamhetsspecifika förhållanden eller uppgifter som kommit fram vid eventuell rapportering av misstänkta aktiviteter och transaktioner
•  saknas en behövlig bedömning (analys och motiverad värdering) av effektivitet i ageranden och åtgärder, om företaget ska beakta dem som riskreducerande
•  inte helt tydligt vad företaget menar med ”normal till hög” och hur det konstaterandet används vid till exempel kundriskbedömningar
•  beskriver verksamheten med exempel i stället för med uttömmande beskrivningar
•  en tillräcklig bedömning och analys ska göras av identifierade risker innan företagets åtgärder ska vägas in
•  beskrivning och analys kring geografiska områden bedöms inte heller vara komplett då den beskriver en nulägesbild av verksamheten och inte hur företaget bör tänka kring risk kopplat till geografi
•  saknar analys och bedömning kring kundernas olika branscher 
•  gör ingen analys kring hur riskerna ser ut för respektive distributionskanal
•  bedömning och analys kring storlek på risk inte tillräckligt utförliga
•  saknas bedömning och analys för hur de olika kundtyperna påverkar risken för företaget. 
•  saknas analys utifrån kopplingen mellan tjänst och kund

 Riktlinjer och rutiner: 

•  I mallen för riskbedömning av kunder svarar företaget på ett antal frågor, som exempelvis om klienten är känd sedan tidigare, var klienten har sin hemvist och om klienten har anknytning till något högriskland samt sätter en risknivå. Dock saknas en analys kring hur risknivån tagits fram. 
•  Eftersom företaget inte har riskbedömt sin verksamhet, vilket de sedan ska utgå ifrån när omfattningen och innehållet i rutinerna och riktlinjerna bestäms, bedömer länsstyrelsen att företaget inte har förutsättningar för att skapa användbara och verksamhetsanpassade rutiner och riktlinjer