– Nå reduseres det lokale handlingsrommet innen antihvitvask

– Dette handler om hvordan foretak blir målt og prioritert av tilsynet, sier partner Kjersti Aksnes Gjesdahl i en fersk rapport fra PwC. 

Norske finansforetak, regnskapsførere og revisorer må forberede seg på en ny hverdag når Anti-Money Laundering Authority (AMLA) setter sitt preg på tilsynslandskapet fra 2026. Organet, med base i Frankfurt, skal harmonisere hvordan nasjonale tilsyn opererer og føre direkte tilsyn med de største og mest risikoutsatte aktørene i EU. 

Overgang fra direktiv til forordning

Den viktigste endringen er overgangen fra direktiv til forordning, sier Gjesdahl: 

– Det betyr at reglene gjelder tilnærmet likt for alle land, med vesentlig mindre rom for nasjonale tilpasninger og skjønn. I praksis blir det striktere både hvilke datapunkter som skal innhentes og hvilket format de skal ha. Kundetiltakene standardiseres, kravene til identifisering av reelle rettighetshavere skjerpes, og hvitvaskingsarbeidet kobles tettere til sanksjonsregelverket.

Hun sier at virkeområdet utvides nå til flere aktørtyper, inkludert kryptoaktører, profesjonelle fotballklubber og deres agenter. Felles for disse er at generelle rutiner ikke lenger er tilstrekkelige. Kundeløpet må utformes etter standardiserte krav, noe som for mange vil kreve en betydelig omstilling i hvordan interne prosesser håndteres.

Regelverket er for tiden på høring i Norge. 

Et fundamentalt taktskifte

Som Økonomi24 tidligere har omtalt, har kravene til etterlevelse økt gradvis de siste årene. Nå skjer det et strukturelt skifte, ifølge Gjesdahl.

– Dette er ikke bare enda en regelendring. Det er en ny måte å føre tilsyn på. Når metodikken standardiseres på europeisk nivå, reduseres rommet for nasjonale tilpasninger betydelig, sier hun.

En sentral del av reformen er en felles europeisk modell for risikoklassifisering av foretak. Klassifiseringen skal bygge på et omfattende sett med strukturerte datapunkter, blant annet om kundetyper, geografisk eksponering og komplekse eierstrukturer. Analysen munner ut i en samlet vurdering av foretakets restrisiko.

Restrisikoen vil danne grunnlag for hvordan tilsynsmyndighetene prioriterer ressurser, hvor hyppig foretaket følges opp og hvor inngående kontrollen blir.

– Det viktige er ikke scoremodellen i seg selv, men hva den gjør med hverdagen tilrapporteringspliktige. Når alle skal rapportere mer likt på de samme risikofaktorene, endres prosessene og kundedialogen i praksis, sier Gjesdahl.

Enklere med datadeling på tvers av aktører

Nå må alle foretak, uavhengig av om de plukkes ut til direkte tilsyn fra AMLA, tilpasse systemer og rapporteringsprosesser for å matche de nye datapunktene det skal rapporteres på. Det betyr endringer i hvordan virksomheten man gjennomfører kundetiltak, dokumenterer risiko og følger opp løpende, sier hun.

– En positiv konsekvens er at standardiseringen kan gjøre datadeling på tvers av aktører enklere. Når alle opererer med samme datapunkter og format, senkes terskelen for samarbeid og informasjonsutveksling. Dette styrker igjen den samlede evnen til å fange opp mistenkelige forhold.

Samtidig betyr det at svak datakvalitet eller utydelige kontroller raskere kan slå ut i høyere restrisiko og tettere oppfølging fra tilsynet. Det holder ikke å vise til et rammeverk, foretaket må kunne demonstrere at kontrollene fungerer og er tilpasset den faktiske risikoen. Hun understreker at dette i praksis innebærer en forskyvning av makt fra dialogbasert skjønn til systematisk måling.

– Tilsynet vil i større grad støtte seg på sammenlignbare indikatorer. Det betyr at svak datakvalitet eller utydelige kontroller raskere kan slå ut i en høyere restrisiko og tettere oppfølging.

Datakvalitet blir styringsansvar

PwC har i sin analyse pekt på at de tekniske standardene (RTS) under AMLA vil stille mer detaljerte krav til blant annet identifisering av reelle rettighetshavere og dokumentasjon av kundetiltak.

Samtidig har arbeidsgruppen som har utredet gjennomføringen i norsk rett, lagt til grunn at AMLA skal utarbeide bindende tekniske standarder for risikoklassifisering og metodebruk innen 2026. Det innebærer at modellen ikke bare blir veiledende, men rettslig førende også for nasjonale tilsyn.

For virksomhetene betyr det at det ikke lenger er tilstrekkelig å ha generelle rutiner.

– Foretakene må kunne dokumentere at tiltakene er tilpasset den faktiske risikoen. Det holder ikke å vise til et rammeverk; man må kunne demonstrere at kontrollene fungerer og er risikoriktige, sier Gjesdahl.

Handler om hvordan virksomheten er rigget

Hun mener dette løfter AML-arbeidet fra operativ compliance til et spørsmål om styring.

– Når risikoklassifiseringen i økende grad bygger på strukturerte data og etterprøvbar metodikk, blir dette et styre- og ledelsesansvar. Det handler om hvordan virksomheten er rigget, ikke bare om hva compliance-avdelingen gjør.

– Hvilke investeringer vil de fleste rapporteringspliktige måtte gjøre i 2026 – systemer, integrasjoner, kompetanse eller organisering?

– Kort sagt, alle deler. Teknologiske systemer må oppgraderes for å håndtere nye datapunktkrav. Manuelle og automatiserte prosesser må gjennomgås og tilpasses. Kompetansen må heves slik at organisasjonen jobber med de reelle risikoene. Og ikke minst må AML-arbeidet forankres som et ledelsesansvar, ikke bare et compliance-spørsmål, sier Gjesdahl. 

Risikovurderinger som ferskvare

Rapporten trekker frem geopolitisk usikkerhet, sanksjonsregimer og presset økonomi som drivere for økonomisk kriminalitet. Ifølge Gjesdahl gjør dette risikobildet mer dynamisk enn tidligere.

– Risikovurderinger kan ikke lenger være en årlig øvelse. Trusselbildet endrer seg raskt, og virksomhetene må ha mekanismer for å fange opp nye risikofaktorer løpende.

Hun peker på at dette samtidig stiller høyere krav til styrets forståelse av virksomhetens samlede risikoprofil:

– Styret har allerede i dag et betydelig ansvar for antihvitvaskingsarbeidet for rapporteringspliktige foretak. Regelverket bygger på strukturerte, etterprøvbare datapunkter, og da må styret forstå hva som driver risikoene og hvilke konsekvenser dette har, blant annet for tilsynsoppmerksomhet, sanksjonsrisiko og omdømme. Man kan ikke slå seg til ro med å motta rapporter. Styret må sørge for at organisasjonen er på ballen ved raske endringer og løpende oppfølging.

Slutt på nasjonale smutthull

Et sentralt mål med AMLA er å tette regulatoriske hull som har oppstått når land har tolket regelverket ulikt. Harmonisering av metode og klassifisering skal gi mer ensartet håndheving på tvers av Europa.

For norske aktører innebærer det at «beste praksis» i mindre grad defineres lokalt. Hun legger til grunn at Finanstilsynet vil følge AMLAs metodikk og verktøy. 

– Hva skjer med virksomheter som ikke har begynt å tilpasse systemer og datagrunnlag?

– De vil stå dårligere rustet og være både det svakeste leddet som kan utnyttes av de som ønsker å misbruke aktørene og også tilsynsoppmerksomhet.

Hun legger til at dette også omfatter strengere kontroll med digitale verdier og grensekryssende transaksjoner, i takt med at EU har styrket regelverket for å hindre omgåelse av sanksjoner og misbruk av kryptoeiendeler.

Summen av dette er at tilsynet blir mer datadrevet, mer sammenlignbart og mindre tilgivende. Spørsmålet for norske virksomheter er ikke om endringen kommer, men om organisasjonen er rustet til å bli målt etter de nye standardene, sier Gjesdahl.