Nya krav på sanktionsriskbedömning – hur bedömer man geografisk risk?

SannaMari Bölenius
Albin Eriksson
av
SannaMari Bölenius
Albin Eriksson

Finansinspektionen har bekräftat att de kommer att följa EBA:s nya riktlinjer för restriktiva åtgärder som börjar gälla i Sverige den 30 december 2025. En viktig nyhet: sanktionsriskbedömning blir ett uttryckligt krav. Inom sanktionsområdet är geografisk riskbedömning helt central och används i såväl sanktionsriskbedömningen som i sanktionsutredningar. Den här artikeln går igenom hur geografisk sanktionsrisk och exponering bedöms.

Sedan Rysslands fullskaliga invasion av Ukraina i februari 2022 har antalet sanktionerade parter ökat dramatiskt. I takt med detta har också risken för sanktionsöverträdelser ökat markant, vilket har gjort sanktioner – också benämnt restriktiva åtgärder – till ett allt mer centralt område för både tillsynsmyndigheter, finansiella institut och andra verksamhetsutövare.

Även om ansvaret för sanktionsefterlevnad alltid har legat på varje enskild verksamhet, har det länge funnits ett relativt stort tolkningsutrymme kring hur det förebyggande arbetet ska bedrivas – exempelvis vilka kontroller som bör finnas på plats och hur riskbedömningar ska utformas. Det har med andra ord inte funnits uttryckliga krav på vare sig en verksamhetsanpassad sanktionsriskbedömning eller en formellt utsedd ansvarig person för sanktionsområdet.

Det förändras nu. Från och med december 2025 träder nya riktlinjer från EBA i kraft: Riktlinjer för interna strategier, förfaranden och kontroller för att säkerställa genomförandet av unionens restriktiva åtgärder och nationella restriktiva åtgärder. Dessa riktlinjer – som följer principen ”comply or explain” – ställer tydliga krav på hur sanktionsarbetet ska organiseras, riskbedömas och fördelas i verksamheten. Kraven förstärks ytterligare 2027 när det nya AML-paketet börjar gälla, där även sanktioner omfattas av det förebyggande regelverket.

Ett centralt nytt krav: den verksamhetsanpassade sanktionsriskbedömningen

Det kanske mest påtagliga nya kravet – som återkommer både i EBA:s riktlinjer och i det kommande AML-paketet – är att organisationer ska ha en verksamhetsanpassad sanktionsriskbedömning på plats. Denna kallas ibland även ”exponeringsanalys för sanktioner”.

Även om vissa organisationer redan idag har en sådan bedömning, är det också många som nu behöver ta sig an detta arbete för första gången. I grunden liknar kravet det som gäller för allmän riskbedömning inom arbetet mot penningtvätt och terrorfinansiering: verksamheten ska identifiera relevanta sanktionsrisker, bedöma var i organisationen man är exponerad för dem, och därefter utforma proportionerliga och effektiva kontroller.

Men det finns också viktiga skillnader – och det är just dessa som ofta är avgörande för att riskbedömningen ska bli meningsfull och användbar i praktiken.

Sanktionsriskbedömning kontra AML/CFT – olika krav, olika fokus

En av de fundamentala skillnaderna mellan sanktionsområdet och AML/CFT är hur regelverken är utformade. Inom AML/CFT bygger mycket av arbetet på att identifiera, förebygga och rapportera risk – det finns ingen förväntan på att en verksamhet ska förhindra all penningtvätt eller finansiering av terrorism. Sanktionsregelverket ställer däremot krav i absoluta termer. I praktiken innebär det att varje tillgängliggörande av medel till en sanktionerad part, eller transaktion som bidrar till att kringgå ett sanktionsförbud, i sig utgör en överträdelse.

Sanktionsregelverkets utformning skapar en annan typ av dynamik i riskbedömningen. Där AML/CFT ofta bygger på ett riskbaserat förhållningssätt, har sanktionsriskbedömning ett starkare fokus på exponering. Risken för en sanktionsöverträdelse ska uttryckas i explicita termer avseende såväl risken för direkta överträdelser som indirekta överträdelser genom exempelvis kringgående av sanktioner. Det handlar med andra ord om att förstå om, hur och i vilken utsträckning verksamheten kan vara kopplad till sanktionerade parter, flöden eller geografier.

Varför geografisk exponering spelar en större roll

En annan tydlig skillnad vid sanktionsriskbedömning är att geografisk risk spelar en betydligt mer framträdande roll jämfört med inom AML/CFT. Det beror på att den i sig driver en mycket större risk i förhållande till andra faktorer som exempelvis är relaterade till kunder, produkter, tjänster eller distributionskanaler.

Ett konkret exempel är gränsöverskridande transaktioner: allt annat lika innebär de en väsentligt högre sanktionsrisk än inhemska betalningar. Även risken för penningtvätt eller terrorfinansiering ökar i dessa fall – men i AML/CFT-bedömningen vägs fler faktorer samman och deras vikt sätts i relation till varandra, vilket gör att den geografiska risken får ett mindre genomslag i den totala bedömningen.

Det är värt att nämna att sanktionsregelverket i sig inte skiljer på inhemska och gränsöverskridande transaktioner – en överträdelse är en överträdelse oavsett. Men i praktiken innebär gränsöverskridande transaktioner en betydligt högre risk och potentiell exponering, vilket gör att geografi blir en central komponent i riskanalysen.

Bedömning av geografisk sanktionsrisk

Precis som att sanktionsriskbedömning skiljer sig från AML/CFT-bedömningar i stort, skiljer sig också hur man bedömer risknivån för olika länder. Anledningen till skillnaden är att sanktionerade parter ofta försöker kringgå reglerna genom att använda mellanliggande länder som inte själva är sanktionerade. Länder med starka handelsrelationer till sanktionerade jurisdiktioner, geografisk närhet eller svaga kontrollsystem kan därför fungera som transitländer – och därmed utgöra en förhöjd risk trots att de inte omfattas direkt av sanktioner.

Detta innebär att en landriskbedömning för sanktioner måste ta hänsyn till faktorer som ett lands kopplingar till sanktionerade jurisdiktioner och dess geografiska närhet till dessa – något som sällan vägs in i landriskbedömningar för AML/CFT. Med andra ord behöver man bedöma både externa beroenden och internationella flöden (det vill säga indirekt exponering och risken för kringgående av sanktioner) – inte bara ett lands inneboende svagheter. Det är här behovet av en separat och sanktionsspecifik landriskbedömning blir tydligt.

Att bedöma geografisk sanktionsrisk – i praktiken

Att återanvända en AML- eller CFT-baserad landriskbedömning för sanktionssyften innebär flera utmaningar. Oftast är riskfaktorer för AML och CFT fler, mer väldefinierade och lättare att kvantifiera än sanktionsspecifika riskfaktorer (speciellt kopplat till kringgående). Detta leder till att AML- och CFT-relaterade faktorer i många fall styr det slutgiltiga utfallet och att sanktionsrisken därmed felaktigt kan bedömas som för låg eller för hög.

En sanktionsspecifik geografisk riskbedömning bör därför utgå enbart från i vilken utsträckning ett land är föremål för sanktioner eller har strukturella kopplingar till kringgående. EBA:s riktlinjer understryker att geografisk sanktionsrisk ska spegla i vilken utsträckning en jurisdiktion antingen är exponerad för restriktiva åtgärder, eller är känd för att användas för att kringgå dem (avsnitt 4.2, riktlinje 23).

Nedan är exempel på relevanta indikatorer vid bedömningen (ej uttömmande lista):

  • Landet är föremål för sanktioner från tillämpliga organ (EU, FN, OFAC, OFSI)
  • Geografisk närhet till sanktionerade länder
  • Hög finansiell sekretess (exempelvis Financial Secrecy Index)
  • Handelsrelation med sanktionerade jurisdiktioner, exempelvis i form av frihandelsavtal

Genom att separera och vikta dessa faktorer separerat från AML och CFT-riskerna får man en mer träffsäker och ändamålsenlig landriskbedömning – som sedan kan ligga till grund för exponeringsanalys och utformning av kontroller.

Verksamhetens egen exponering – nästa steg i sanktionsriskbedömningen

När en geografisk sanktionsbedömning är genomförd behöver verksamheten analysera sin egen exponering mot de identifierade högriskländerna. Det är här riskbedömningen blir verkligt verksamhetsanpassad.

EBA framhåller att detta bör inkludera:

  • Var verksamheten är etablerad eller aktiv
  • Transaktionsflöden – från och till vilka länder medel skickas och tas emot

Därutöver rekommenderar vi även att beakta:

  • Kundernas geografiska etablering, baserat på kunddata som exempelvis adressland, skatteland och medborgarskap

Exempel på sanktionsanpassade kontroller

Baserat på resultatet av exponeringsanalysen i riskbedömningen bör sedan kontrollerna anpassas, detta gäller vanligtvis:

  • Transaktionsscreening: Blockera eller granska transaktioner till/från högriskländer
  • Transaktionsmonitorering: Larma vid flöden från kunder med kopplingar till högriskländer
  • Kundscreening: Utöka vilka parter som screenas vid geografisk koppling till högriskjurisdiktioner
  • Kundriskklassificering: Justera kunders riskklasser baserat på kopplingar till sanktionerade länder
  • Dynamiska KYC-formulär: Följdfrågor vid identifierad geografisk sanktionsrisk
  • Skärpta åtgärder: Vid faktorer som indikerar hög sanktionsrisk (exempelvis geografiska kopplingar)

Sammanfattning – och vad händer härnäst?

En verksamhetsanpassad sanktionsriskbedömning är inom kort avgörande inte bara för verklig riskkontroll, utan även för regelefterlevnad. För att stödja detta arbete har Frank Penny utvecklat en landriskmodell som redan idag omfattar risker kopplade till penningtvätt och terrorfinansiering – och som inom kort även kommer att inkludera en särskild bedömning av sanktionsrisker kopplade till länder.  

Modellen genererar separata risknivåer för sanktioner, penningtvätt och terrorfinansiering, och ger också en samlad bedömning baserat på den högsta risken av dessa. Varje bedömning är dessutom spårbar – så att det är tydligt varför ett land har en viss risknivå.  

I höst kommer Frank Penny att hålla ännu en utbildning med fullt fokus på sanktioner, sist blev kursen fullbokad på 1 vecka, signa upp på vårt nyhetsbrev för att inte gå miste om nästa tillfälle!

SannaMari Bölenius

SannaMari Bölenius

Senior Manager
sannamari.bolenius@frankpenny.se+46 762 143 611

SannaMari is nothing short of a superstar. She’s a great leader and consultant with unmatched AML expertise. If it was possible to buy stock and bet on a single human being, the whole Frank Penny team would’ve loaded up on SannaMari shares a long time ago.

Albin Eriksson

Albin Eriksson

Associate Manager
albin.eriksson@frankpenny.se+46 738 038 999

Albin works as an Associate Manager at Frank Penny. He has extensive experience across all areas of AML and possesses deep knowledge of banks' practical efforts to prevent money laundering and the financing of terrorism. Over the years, Albin has primarily worked with customer due diligence, transaction monitoring, customer risk classification, and general risk assessment.

  • CET
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Read more