Den allmänna riskbedömningen bör omfatta samtliga produkter eller tjänster som erbjuds och riskerna med det, vilka kunder man har, distributionskanaler och geografiska riskfaktorer. Det är också viktigt att ta med misstänkta aktiviteter och transaktioner som upptäcks över tid och myndigheters rapportering kring området. Den allmänna riskbedömningen ligger också till grund för vilka rutiner och riktlinjer som ska upprättas på byrån.
Penningtvättslagen ställer höga krav på den allmänna riskbedömningen. Förutom att den ska vara väl dokumenterad och anpassad efter byråns verksamhet, ska den också vara aktuell. Med det menar man att den regelbundet ska utvärderas och när det behövs uppdateras. En utvärdering ska ske minst årligen.
En viktig del i arbetet mot penningtvätt och finansiering av terrorism är att uppnå
kundkännedom, att lära känna sina kunder, innan transaktioner genomförs eller affärsförbindelser ingås. Du ska även utreda om kunden har en eller flera verkliga huvudmän. Med verklig huvudman menas någon eller några fysiska personer som ensam eller tillsammans med någon annan ytterst äger eller kontrollerar kunden.
En annan viktig kundkännedomsåtgärd är att ta reda på om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning (PEP) alternativt en familjemedlem eller en känd medarbetare till en sådan.
Omfattningen av kundkännedomsåtgärderna styrs av din riskbedömning av varje enskild kundrelation, vilket kallas kundens riskprofil. En kund kan bedömas med låg, normal och hög risk. På Länsstyrelsens webbsida kan du läsa mer om vilka åtgärder som krävs för respektive risk.
Tillräcklig kunskap om kunderna är en grundläggande förutsättning för verksamhetsutövarens möjligheter att försvåra och förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism och att kunna rapportera misstänkta aktiviteter och transaktioner till Polismyndigheten (Finanspolisen). Det handlar om sådant som när kundkännedomsåtgärder ska vidtas, vilka åtgärder som ska vidtas, hur omfattande åtgärder som krävs och hur verksamhetsutövaren avgör åtgärdernas omfattning i det enskilda fallet.