Den nye AML-pakke

I Implement har vi gennem en årrække rådgivet bestyrelser, direktioner og nøglepersoner i den finansielle sektor om forebyggelse af hvidvask. I den periode har fokus forskudt sig markant. Det er ikke længere tilstrækkeligt at have en overordnet politik for forebyggelse af hvidvask og terrorfinansiering; politikken skal indeholde klare, konkrete mål, og virksomhederne skal kunne dokumentere, at de efterleves i praksis.

Vores erfaring er, at mange virksomheder fortsat er udfordrede på netop dette punkt. Selve formuleringen af en politik er sjældent det svære. Udfordringen opstår, når politikken skal omsættes til konkrete, målbare målsætninger og en tydeligt defineret risikotolerance, der udspringer fra virksomhedens overordnede risikovurdering. Samtidig er det ofte vanskeligt at sikre, at politikken implementeres ensartet på tværs af organisationen. Det er netop i spændet mellem strategi og eksekvering, at de væsentligste mangler typisk opstår.

Dette billede understøttes af Finanstilsynets seneste ti inspektionsredegørelser, som tegner et bemærkelsesværdigt entydigt mønster. Næsten alle banker i undersøgelsen har behov for at revidere deres hvidvaskpolitik, mens omkring 80 % skal ajourføre deres kundekendskab og sikre, at risikoscoremodellerne er tilstrækkelige. Tilsvarende står mange over for at skulle styrke håndteringen af hvidvaskalarmer, både i forhold til rettidighed og kvalitet.

^{Kilde: Finanstilsynets offentliggjorte inspektionsredegørelser, sommer 2025 – primo 2026. 50 påbud i alt, fordelt på 10 inspektioner – gennemsnitligt 5 påbud pr. inspektion.}

Fem steder, hvor kæden ofte knækker

Finanstilsynet anlægger ikke en pragmatisk tilgang i sine inspektionsredegørelser. I praksis fungerer udtalelserne derimod som en slags facitliste for, hvad der forventes. Med den kommende AML-pakke skærpes kravene yderligere, og udviklingen bevæger sig i retning af mere bindende standarder. Samtidig oplever mange virksomheder fortsat betydelige udfordringer med at efterleve de gældende regler.

En kvalitativ gennemgang af Finanstilsynets ti inspektionsredegørelser peger på et gennemgående mønster: Udfordringer i arbejdet med anti-hvidvask opstår sjældent isoleret, men viser sig på tværs af flere indbyrdes forbundne led i værdikæden.

De fem centrale fokusområder, hvor der typisk opstår svagheder, er tæt forbundne. En isoleret indsats på ét område vil derfor sjældent være tilstrækkelig til at skabe en varig forbedring. Det understreger behovet for en helhedsorienteret tilgang, hvor følgende fem fokusområder bør indgå som et fast punkt på dagsordenen i bestyrelseslokalet.

#1 Politik uden konkrete mål

I mange virksomheder er hvidvaskpolitikken i praksis et formelt rammedokument uden reel operationalisering. Den beskriver overordnede intentioner frem for konkrete styringsmål og giver sjældent et klart billede af, hvad der faktisk forventes i praksis. For eksempel fremgår det ofte ikke, hvilken monitoreringsdækning der skal opnås, hvilke tærskelværdier der skal anvendes, eller hvilke krav der stilles til udvidet kundekendskab (EDD).

Samtidig mangler der i mange tilfælde en tydelig kobling til virksomhedens overordnede risikovurdering – et forhold, der er afgørende for en reelt risikobaseret tilgang. Når denne sammenhæng og konkrete målsætninger ikke er på plads, efterlades organisationen uden en klar strategisk retning for indsatsen.

"Politikkerne fastsætter ikke tilstrækkelige strategiske mål. Når politikken ikke er tydelig, mangler den strategiske retning for både risikostyring og drift."
– Finanstilsynet

Tilsynets vurdering er entydig: Når den strategiske retning ikke omsættes til konkret praksis, mister bestyrelse og direktion i realiteten muligheden for at styre den faktiske effekt af indsatsen. Det gør det nødvendigt, at centrale KPI’er, både for design og drift, integreres direkte i bestyrelsesrapporteringen med klart definerede tærskler og tilhørende handlepligter, hvis resultaterne ikke er tilfredsstillende.

Bestyrelsen bør løbende have indsigt i, hvorvidt virksomheden opererer inden for den fastsatte risikotolerance. Det omfatter blandt andet status på alarmbehandling samt kundekendskabsprocesser (ODD/OEDD) og øvrige centrale interne kontroller. I de tilfælde, hvor virksomheden bevæger sig uden for den definerede risikotolerance, bør bestyrelsen orienteres uden unødig forsinkelse.

#2 KYC i fritekst er ikke KYC

Det andet hovedfokus er hullet mellem KYC og løbende overvågning. Monitoreringen står uden referencepunkt, når formålet er utydeligt, kundens forventede transaktioner ikke er angivet, og midlers oprindelse ikke er dokumenteret i strukturerede datafelter. Dermed bliver det mønstergenkendelse uden mønster.

"Kundekendskabet er fundamentet for effektiv overvågning. Uden robust og ajourført KYC kan ingen transaktionsmonitorering være effektiv."
– Finanstilsynet

Løsningen forudsætter et grundlæggende skifte fra fritekst til strukturerede datafelter. Formål, tilsigtet forretningsmæssig karakter, forventede beløbsstørrelser, transaktionsfrekvens, geografi og modpartstyper bør registreres som faste datafelter frem for fritekstbeskrivelser.

Samtidig er der en tydelig forventning om et lukket feedback-loop mellem behandling af hvidvaskalarmer og opdatering af KYC-oplysninger. Det er ikke tilstrækkeligt, at væsentlige kundeoplysninger alene fremgår af tidligere behandlede alarmer – disse oplysninger skal systematisk overføres og være tilgængelige i kundens KYC-materiale.

#3 Risikomodeller med blinde vinkler

Risikomodellerne er i mange tilfælde enten ufuldstændige eller ikke tilstrækkeligt datadrevne. Centrale risikofaktorer som kontanthåndtering, udenlandske transaktioner, produkt- og kanalrisici, PEP-relaterede forbindelser, negative mediedata samt geografiske eksponeringer er ikke konsekvent indarbejdet i bankernes risikoscoringsmodeller.

Det er afgørende, at der er en klar sammenhæng mellem virksomhedens overordnede risikovurdering – som bør baseres på relevante og officielle datakilder – og den måde, risikoscoren er konstrueret på. I mange modeller ses desuden en grundlæggende svaghed: Når data ikke er tilgængelige, bliver dette ikke håndteret som en risikoforhøjende faktor, men derimod ofte ignoreret. Det skaber reelt blinde vinkler i risikobilledet.

"Når alle relevante risikofaktorer ikke inddrages, svækker det både due diligence og den løbende monitorering."
– Finanstilsynet

Med AML-pakken bliver risikomodellerne i sig selv et egentligt tilsynsobjekt. Det stiller skærpede krav til både modelvalidering, datagovernance og validering, der kan dokumentere, at modellerne reelt identificerer de relevante højrisikokunder. Samtidig er det et grundlæggende princip, at manglende data ikke må føre til stilstand eller neutral behandling. Tværtimod skal datamangler som udgangspunkt indgå som en risikoforhøjende faktor og dermed afspejles i den samlede risikoscore – aldrig ignoreres.

#4 Monitorering, der producerer støj frem for værdi

Det fjerde område, hvor der typisk opstår brud, er kløften mellem ambition og den faktiske drift. I mange tilfælde er scenarierne i transaktionsmonitoreringen ikke tilstrækkeligt kalibreret i forhold til virksomhedens reelle forretnings- og risikoprofil.

Det betyder, at scenarierne ikke i tilstrækkelig grad rammer de relevante risikoområder, samtidig med at de genererer et stort antal falsk-positive alarmer. Det er både ressourcekrævende og kan få den samlede alarmmængde til at udvande fokus i sagsbehandlingen. I sidste ende kan det medføre, at sensitiviteten reduceres, så reelle risikosignaler og advarselstegn risikerer at blive overset.

"Transaktionsovervågningen skal være kalibreret til at fange mønstre i realiteten – ikke på papiret."
– Finanstilsynet

Det er afgørende, at virksomheder løbende analyserer og vurderer, om scenarier i transaktionsmonitoreringen er effektive og tilstrækkeligt dækkende i forhold til den aktuelle risikoprofil. Samtidig bør nye trends og typologier løbende indarbejdes, så relevante risikoområder identificeres og adresseres gennem nye eller justerede scenarier.

Processerne er ofte både manuelle og ressourcekrævende, hvilket også øger risikoen for fejl. Derfor er der et stigende behov for mere datadrevne og automatiserede løsninger, der kan understøtte en mere løbende og systematisk opdatering af overvågningen. Disse områder forstærkes under det skærpede europæiske tilsyn fra 2027.

#5 Alarmhåndtering uden spor og rettidighed 

Det femte led i kæden er selve alarmhåndteringen. Både ift. at få behandlet alarmer rettidigt og med en tilfredsstillende kvalitet. Derudover er der ofte ikke fastsat konkrete SLA’er ift. kundens risikoscoring. Flere oplever ofte at have backlogs, og ofte glemmer virksomhederne at orientere Finanstilsynet efter §49 i hvidvaskloven. Disse områder går mere eller mindre igen i næsten alle ti inspektionsredegørelser.

"Undersøgelses- og noteringspligten er central. Uden fyldestgørende sagsnotater taber virksomheden historik, læring og grundlag for korrekt underretning."
– Finanstilsynet

I praksis kræver det en struktureret tilgang til sagsbehandlingen: risikobaseret prioritering af alarmer, automatisk berigelse med relevante data, brug af standardiserede beslutningsskabeloner og kontrolmekanismer som 4-øjne-princippet. Når sagerne er veldokumenterede, styrkes ikke kun kvaliteten af underretningerne; det skaber også et bedre grundlag for løbende læring og forbedring af modeller og scenarier.

Hvad der skal til: Design og implementering af et robust FCP

En stærk indsats mod økonomisk kriminalitet er ikke et compliance-projekt, der kører sideløbende med driften. Det er en kerneopgave, som skal være designet rigtigt fra start, fungere i praksis og løbende udvikles og forbedres.

Her er de seks hovedelementer der kan styrke indsatsen:

1. Politik som styringsdokument, ikke hyldevare

Hvidvaskningspolitikken skal baseres på bankens risikovurdering og fastlægge konkrete og målbare krav til bl.a. transaktionsmonitorering, KYC/ODD og EDD-krav samt mål for at sikre en effektiv model governance. Kort sagt, politikken skal fastsætte konkrete strategiske mål og fastsætte bankens risikotolerance. Bestyrelsen bør derfor også løbende få information om, hvorvidt politikken overholdes i praksis. Det betyder bl.a. oplysninger om andel af ajourførte kunder, alarmbehandlingstider, false positive-rate og aldersprofil på åbne sager (både alarmer og ODD) samt resultaterne af de interne kontroller. Uden disse tal styrer banken sin hvidvaskforebyggelse på en mavefornemmelse i stedet for konkret viden.

2. KYC – fra dokument til data

KYC skal struktureres som konkrete datafelter: kundens formål, forventede transaktioner, hyppighed og geografi. Kun på den måde kan systemerne opdage, når noget er atypisk for den konkrete kunde. Ændrer en kunde adfærd, skal systemet automatisk markere det. Dette stiller også krav om, at kundens oplysninger løbende opdateres (feedback-loop fra alarmbehandling til KYC-informationer). For højrisikokunder skal godkendelse være sporbar, hvem godkendte hvad og hvornår. Én ting er ufravigelig: mangler der data, skal det udløse en højere risikovurdering.

3. Risikomodeller med fuld governance

Fra 2027 skal man kunne dokumentere, hvilke modeller man bruger, hvordan de er valideret, hvornår de sidst er opdateret, og hvem der godkendte ændringerne. Man skal kunne dokumentere, hvordan data er indsamlet, og hvordan de anvendes i den endelige risikovurdering, trin for trin. Derudover skal man løbende dokumentere, at modellerne faktisk virker efter hensigten, og at alle relevante risikofaktorer indgår i modellen. Derfor er det også essentielt, at der er en rød tråd fra virksomhedens risikovurdering til virksomhedens modeller. Beslutninger skal træffes i faste fora, dokumenteres og følges op.

4. Intelligent monitorering og sagsbehandling

Når en alarm udløses, skal virksomheden påbegynde behandlingen med det samme. En medarbejder undersøger kundens historik, seneste transaktioner, geografisk placering og eventuelle negative medieomtaler. Sager over en vis risikogrænse gennemgås af to personer. De scenarier, der anvendes i overvågningssystemet, skal løbende kalibreres, og kalibreringerne skal ske på et veldokumenteret grundlag. Derudover skal virksomhederne løbende være opmærksomme på nye risikoområder og eventuelt implementere nye scenarier, såfremt risikoen ikke er tilstrækkeligt afdækket. Målet er ikke færre alarmer, men alarmer af høj kvalitet.

5. Styrket 2. linje og intern kontrol

Virksomhederne skal have kontroller, der tester, om deres hvidvaskningspolitikker reelt virker og ikke bare om reglerne er fulgt på papiret. Der skal være klare principper for, hvem der må se hvad, og at to par øjne godkender vigtige beslutninger. De skal foretage stikprøver med fast dokumentation og have en fast praksis for at orientere Finanstilsynet i tide, frem for at vente til tilsynet selv opdager mistænkelige forhold.

6. Kultur for kontinuerlig forbedring

En effektiv AML-indsats forudsætter en kultur for vedvarende forbedring, hvor virksomhederne ikke betragter arbejdet med at implementere ALM-tiltagene som et projekt med en slutdato, men som en integreret del af den daglige drift. Det indebærer faste rytmer for opfølgning – løbende vurdering af, om systemer og kontroller fungerer efter hensigten, periodiske evalueringer af, om indsatsen skaber de ønskede resultater, samt systematisk læring fra konkrete sager. Samtidig er det afgørende, at AML forankres bredt i organisationen og ikke alene i en specialistfunktion. Videndeling, sparring og erfaringsudveksling på tværs styrker både kvaliteten og konsistensen i ALM-indsatsen. Har virksomhederne en struktureret tilgang til forandringsledelse, understøtter dette, at forbedringer faktisk bliver implementeret og fastholdt.

Endelig bør der være et vedvarende fokus på effektivisering – herunder hvordan data og nye teknologier som AI-baserede værktøjer kan anvendes til at reducere manuelle processer og styrke en mere risikobaseret og fremadskuende overvågning.

Konklusion

Det centrale spørgsmål er ikke længere, om der er etableret processer til at understøtte en effektiv AML-indsats, men om de faktisk virker i praksis – og om det kan dokumenteres over for både Finanstilsynet og evt. AMLA.

De seneste inspektionsredegørelser viser tydeligt, at udfordringen sjældent ligger ét sted, men opstår i samspillet mellem governance, data og drift. Når de tre områder hænger sammen, forbedres kvaliteten i detektion, mængden af falske positiver falder, og dialogen med tilsynet bliver mere konkret og robust.

Billedet i dag er imidlertid, at de fleste banker fortsat ikke er tilstrækkeligt forberedte på kravene i den kommende AML-pakke. Det er dog ikke et udtryk for, at omstillingen er uopnåelig, snarere at den kræver et mere målrettet og datadrevet løft af den måde, AML-indsatsen er bygget op og styres på.