Source: OJ L, 2024/1624, 19.6.2024

Current language: SV

Artikel 10 Verksamhetsomfattande riskbedömning

Summary What does Article 10 of the Anti-money laundering regulation (AMLR) say?

This article establishes the requirement for obliged entities to conduct a business-wide risk assessment covering their exposure to money laundering, terrorist financing, and the risks of non-implementation or evasion of targeted financial sanctions.

It feeds directly into Article 9, which requires obliged entities to have internal policies, procedures and controls in place, as the risk assessment underpins and informs those controls.

The article sets out the sources of information that must be fed into the assessment — ranging from Union-level and national risk assessments to international standards and the entity's own customer base — and critically requires that a new risk assessment be conducted before launching new products, services, or entering new markets.

The resulting document must be approved by management, kept current, and made available to supervisors on request.

Important points:

  • Conduct and document a business-wide risk assessment covering money laundering, terrorist financing, and sanctions evasion risks, drawing on a defined set of external and internal sources.
  • Carry out a specific risk assessment before launching new products, services, business practices, or expanding into new customer segments or geographical areas.
  • Supervisors may waive the requirement for individual documented risk assessments for certain non-financial sector obliged entities where sector-specific risks are already clear and understood.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Ansvariga enheter ska vidta lämpliga åtgärder som står i proportion till typen av verksamhet, inbegripet dess risker och komplexitet, och deras storlek för att identifiera och bedöma riskerna för penningtvätt och finansiering av terrorism, samt riskerna för att riktade ekonomiska sanktioner kringgås eller inte genomförs, med beaktande av åtminstone

      1. de riskvariabler som anges i bilaga I och de riskfaktorer som anges i bilagorna II och III,

      2. resultaten av den riskbedömning på unionsnivå som kommissionen gjort enligt artikel 7 i direktiv (EU) 2024/1640,

      3. resultaten av de nationella riskbedömningar som medlemsstaterna gjort i enlighet med artikel 8 i direktiv (EU) 2024/1640 samt av eventuell relevant sektorsspecifik riskbedömning som utförts av medlemsstaterna,

      4. relevant information som offentliggjorts av internationella normgivare inom området för bekämpning av penningtvätt och finansiering av terrorism eller, på unionsnivå, relevanta publikationer av kommissionen eller Amla,

      5. information från behöriga myndigheter om risker för penningtvätt och finansiering av terrorism,

      6. information om kundbasen.

    2. Innan ansvariga enheter lanserar nya produkter, tjänster eller affärsmetoder, inbegripet användningen av nya distributionskanaler och ny teknik eller teknik under utveckling, i kombination med nya eller befintliga produkter och tjänster eller innan de börjar tillhandahålla en befintlig tjänst eller produkt till ett nytt kundsegment eller i ett nytt geografiskt område, ska de särskilt identifiera och bedöma relaterade risker för penningtvätt och finansiering av terrorism och vidta lämpliga åtgärder för att hantera och minska dessa risker.

    1. Den verksamhetsomfattande riskbedömning som görs av den ansvariga enheten enligt punkt 1 ska dokumenteras samt hållas uppdaterad och regelbundet ses över, inbegripet om interna eller externa händelser i betydande omfattning påverkar riskerna för penningtvätt och finansiering av terrorism i samband med den ansvariga enhetens verksamhet, produkter, transaktioner, distributionskanaler, kunder eller geografiska verksamhetsområden. Den ska på begäran göras tillgänglig för tillsynsorganen.

    2. Den verksamhetsomfattande riskbedömningen ska utarbetas av den regelefterlevnadsansvariga och godkännas av ledningsorganet i dess ledningsfunktion och, om ett sådant organ finns, meddelas ledningsorganet i dess tillsynsfunktion.

    1. Med undantag för kreditinstitut, finansiella institut, leverantörer av gräsrotsfinansieringstjänster och förmedlare av gräsrotsfinansiering får tillsynsorgan besluta att enskilda dokumenterade verksamhetsomfattande riskbedömningar inte krävs, när de specifika risker som är förenade med sektorn är uppenbara och väl kända.

    1. Senast den 10 juli 2026 ska Amla utfärda riktlinjer om minimikraven för innehållet i den verksamhetsomfattande riskbedömning som den ansvariga enheten ska göra enligt punkt 1 och om de ytterligare informationskällor som ska beaktas vid utförandet av den verksamhetsomfattande riskbedömningen.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod