eksempel, forslag til generalforsamling, guide, amaer, københavn

Ny risikoskala på hvidvaskområdet: Kan jeres virksomhed forklare sin egen risiko?

Relaterede nyheder

Læs mere

Kontakt os

+45 32 46 46 46 info@oadv.dk SKRIV TIL OS
Tilbage
1. januar 2026 · ESG – Bæredygtighed, hvidvask og legal compliance

Fra 1. april 2026 klassificerer Finanstilsynet virksomheder under hvidvasktilsyn efter en justeret skala for iboende hvidvaskrisiko.

Fremover anvendes fire niveauer: lav risiko, middel risiko, væsentlig risiko og høj risiko. Ændringen sker for at tilpasse Finanstilsynets skala til den kommende EU-regulering på hvidvaskområdet.

Selve ændringen i skalaen ændrer ikke i sig selv virksomhedernes forpligtelser efter hvidvaskloven. Men den understreger noget vigtigt: Virksomheder skal kunne forstå, vurdere og dokumentere deres hvidvaskrisiko på en måde, der hænger sammen med deres faktiske aktiviteter. For en risikovurdering bør ikke bare være et dokument, der ligger klar til tilsyn. Den bør være et praktisk styringsværktøj, som hjælper virksomheden med at træffe de rigtige beslutninger i hverdagen.

Hos ØENS Advokatfirma hjælper vi virksomheder med at skabe overblik over deres hvidvask-compliance og omsætte reglerne til konkrete arbejdsgange, der kan anvendes, forklares og dokumenteres i praksis.

Kontakt advokat Lisa Lykke for en uforpligtende drøftelse.

Hvad har Finanstilsynet ændret?

Finanstilsynet har oplyst, at virksomheder under hvidvasktilsyn fra 1. april 2026 får klassificeret deres iboende hvidvaskrisiko efter en justeret skala. Den nye skala består af fire niveauer: lav risiko, middel risiko, væsentlig risiko og høj risiko.

Finanstilsynet begrunder ændringen med, at den kommende regulering efter EU-direktiv 2024/1640 — også kendt som AMLD6 — forventeligt vil videreføre en praksis, som den europæiske banktilsynsmyndighed EBA allerede har i dag. Derfor tilpasses skalaen, så den følger de klassificeringsniveauer, der forventes at følge af den kommende regulering. Det betyder ikke, at alle virksomheder automatisk skal lave alt om. Men det betyder, at virksomheder bør bruge ændringen som anledning til at se kritisk på deres egen risikovurdering. For kan virksomheden forklare:

  • hvilke risici den har?
  • hvorfor den har vurderet dem sådan?
  • hvordan risikoen håndteres i praksis?
  • hvordan vurderingen er dokumenteret?
  • hvornår vurderingen sidst er opdateret?

Hvis svaret er uklart, er det et godt tidspunkt at få styr på det.

Hvad betyder “iboende hvidvaskrisiko”?

Iboende hvidvaskrisiko er den risiko, der følger af virksomhedens aktiviteter, før der tages højde for de kontroller, procedurer og foranstaltninger, virksomheden har sat i værk. Det kan for eksempel handle om:

  • hvilke ydelser virksomheden tilbyder
  • hvilke kundetyper virksomheden har
  • hvilke lande eller geografiske områder virksomheden har kontakt til
  • hvilke transaktioner virksomheden håndterer
  • om virksomheden arbejder med komplekse ejerstrukturer
  • om der indgår kontanter eller værdioverførsler
  • om der er risiko for brug af stråmænd eller uklare reelle ejere
  • om sagerne kan involvere højere anonymitet eller kompleksitet

En virksomhed kan altså godt have en iboende højere risiko, selvom den har stærke interne procedurer. Det afgørende er, at virksomheden forstår sin risiko og har passende foranstaltninger til at håndtere den.

Det er netop derfor, risikovurderingen er så central.

Hvorfor er risikovurderingen så vigtig?

Risikovurderingen er fundamentet for virksomhedens hvidvask-compliance.

Hvis risikovurderingen er for generel, bliver resten af compliance-arbejdet også usikkert. Så bliver det vanskeligt at vurdere, hvilke kunder der kræver almindeligt kundekendskab, hvornår der er behov for skærpet kundekendskab, og hvordan virksomheden skal prioritere sine kontroller.

En god risikovurdering hjælper virksomheden med at svare på:

  • Hvor kan risikoen for hvidvask eller terrorfinansiering opstå hos os?
  • Hvilke kunder, sager eller transaktioner kræver særlig opmærksomhed?
  • Hvilke arbejdsgange skal vi have på plads?
  • Hvilke medarbejdere skal kende hvilke procedurer?
  • Hvordan dokumenterer vi vores vurderinger?
  • Hvordan følger vi op, når risikoen ændrer sig?

En risikovurdering bør derfor ikke kun være juridisk korrekt. Den bør også være konkret, praktisk og tilpasset virksomheden.

En standardskabelon er sjældent nok

Mange virksomheder starter med en skabelon. Det kan være et fint udgangspunkt. Men en skabelon er sjældent nok i sig selv. Problemet opstår, hvis risikovurderingen bliver så generel, at den kunne passe på næsten enhver virksomhed.

Hvis risikovurderingen ikke afspejler virksomhedens konkrete ydelser, kunder, markeder, transaktioner og arbejdsgange, bliver den svær at bruge i praksis. Og den bliver også svær at forklare, hvis der kommer spørgsmål. En risikovurdering bør derfor ikke kun beskrive reglerne. Den bør beskrive virksomheden. Det betyder, at virksomheden bør tage stilling til:

  • Hvilke dele af vores forretning er omfattet af hvidvaskreglerne?
  • Hvilke produkter, ydelser eller sager har størst risiko?
  • Hvilke kundetyper arbejder vi med?
  • Hvilke geografiske risici kan være relevante?
  • Hvilke transaktioner eller strukturer bør give anledning til ekstra opmærksomhed?
  • Hvordan håndterer vi højere risiko i praksis?
  • Hvordan kontrollerer vi, at procedurerne bliver fulgt?

Det er her, mange risikovurderinger bliver enten for tynde eller for tunge. De skal være præcise nok til at kunne bruges — men ikke så komplicerede, at ingen arbejder med dem.

Hvad bør en god hvidvask-risikovurdering indeholde?

Der findes ikke én standardmodel, der passer til alle virksomheder. Men en praktisk risikovurdering bør typisk forholde sig til en række centrale områder.

1. Virksomhedens aktiviteter

Risikovurderingen bør beskrive, hvilke ydelser virksomheden tilbyder, og hvilke af dem der kan være omfattet af hvidvaskreglerne. For advokatvirksomheder kan det for eksempel være relevant at se på sager om fast ejendom, selskabsoverdragelser, virksomhedsstiftelser, kapitalforhold, klientkonto, transaktioner og andre sagsområder, hvor hvidvaskloven kan blive relevant.

For andre virksomheder kan det handle om kundetype, betalingsstrømme, ejerstrukturer, formidling, finansielle produkter, rådgivning eller andre aktiviteter.

2. Kundetyper

Virksomheden bør vurdere, hvilke typer kunder eller klienter den arbejder med, og om nogle grupper indebærer højere risiko. Det kan for eksempel være kunder med komplekse ejerstrukturer, udenlandske selskaber, politisk eksponerede personer, nye kunder uden tidligere relation, eller kunder hvor formålet med relationen ikke er klart.

3. Geografiske forhold

Geografi kan have betydning for risikovurderingen. Finanstilsynet skriver i sin vejledning om risikovurdering af lande, at det er den samlede vurdering af alle risikofaktorer, der fastlægger risikoen i det enkelte kundeforhold. Det betyder, at geografisk risiko ikke bør vurderes isoleret. Den bør ses sammen med kundetype, ydelse, transaktion, ejerstruktur og formålet med relationen.

4. Transaktioner og betalingsmønstre

Hvis virksomheden håndterer transaktioner, betalinger eller værdioverførsler, bør risikovurderingen tage stilling til, hvilke typer transaktioner der kan være forbundet med øget risiko. Det kan for eksempel være usædvanligt store betalinger, betalinger fra tredjemand, komplekse betalingsstrømme, kontante betalinger eller transaktioner, der ikke passer med kundens profil.

5. Ejerstrukturer og reelle ejere

Virksomheden bør have en klar proces for at identificere og kontrollere reelle ejere, hvor det er relevant. Komplekse ejerstrukturer kan øge behovet for dokumentation og vurdering. Det samme gælder, hvis ejerskabet går gennem flere led, udenlandske selskaber eller strukturer, hvor det er vanskeligt at forstå, hvem der reelt kontrollerer kunden.

6. Leveringskanaler og kontaktform

Virksomheden bør vurdere, hvordan kundeforhold etableres og håndteres. Er der fysisk fremmøde? Foregår relationen digitalt? Bruges der fuldmægtige eller mellemmænd? Er der situationer, hvor virksomheden ikke møder kunden direkte? Det kan have betydning for, hvilke kontroller der bør være på plads.

7. Interne kontroller og foranstaltninger

Risikovurderingen bør også hænge sammen med de foranstaltninger, virksomheden har valgt. Hvis virksomheden har identificeret højere risiko på et område, bør det være tydeligt, hvordan risikoen håndteres. Det kan være gennem skærpet kundekendskab, ekstra dokumentation, ledelsesgodkendelse, intern eskalation, hyppigere opdatering eller andre kontroller.

Risikovurderingen skal hænge sammen med KYC

Risikovurderingen og KYC-processen bør ikke leve hver for sig. Risikovurderingen beskriver virksomhedens overordnede risici. KYC-processen omsætter vurderingen til konkrete handlinger i det enkelte kundeforhold. Hvis virksomheden for eksempel har vurderet, at visse kundetyper, lande eller transaktioner indebærer højere risiko, bør KYC-processen afspejle det.

Det bør være tydeligt:

  • hvornår der skal gennemføres almindeligt kundekendskab
  • hvornår der skal gennemføres skærpet kundekendskab
  • hvilke oplysninger der skal indhentes
  • hvordan oplysningerne skal kontrolleres
  • hvordan reelle ejere identificeres
  • hvornår der skal ske intern eskalation
  • hvordan vurderingen dokumenteres
  • hvornår kundeforholdet skal opdateres

Hvis KYC-processen ikke hænger sammen med risikovurderingen, bliver compliance-arbejdet hurtigt fragmenteret. Så risikerer virksomheden, at vurderingen siger ét, mens hverdagen fungerer på en anden måde.

Risikovurderingen skal kunne forklares

En risikovurdering er først rigtig stærk, når virksomheden kan forklare den. Det er ikke nok, at der står “middel risiko” eller “høj risiko” i et dokument. Virksomheden bør kunne forklare, hvorfor vurderingen er landet dér, og hvilke konsekvenser det har i praksis. Det gælder både på virksomhedsniveau og i konkrete kundeforhold.

En god test er at stille disse spørgsmål:

  • Kan vi forklare vores vigtigste hvidvaskrisici på fem minutter?
  • Kan vi vise, hvordan risikovurderingen påvirker vores KYC-proces?
  • Kan vi dokumentere, hvornår risikovurderingen sidst er opdateret?
  • Kan medarbejderne finde og forstå de relevante procedurer?
  • Kan vi vise eksempler på, at vurderingerne bruges i konkrete sager?
  • Kan vi forklare, hvordan vi håndterer højere risiko?

Hvis svaret er nej, er risikovurderingen måske ikke tilstrækkeligt forankret.

AMLA har også fokus på risikovurdering på virksomhedsplan

Det er ikke kun Finanstilsynets nye skala, der peger i retning af mere struktur på risikovurderingsområdet. Finanstilsynet omtaler også AMLA-høringer om risikovurdering på virksomhedsplan. Retningslinjerne har ifølge Finanstilsynet til formål at fastsætte minimumskrav, der er nødvendige for at kunne gennemføre en tilstrækkelig risikovurdering på virksomhedsplan. AMLA sendte udkastet i høring den 16. april 2026 med svarfrist den 15. juli 2026.

Det viser, at risikovurderingen bliver et endnu tydeligere omdrejningspunkt i det kommende compliancearbejde. Derfor bør virksomheder ikke vente med at se på deres risikovurdering til 2027. De bør bruge tiden nu på at få styr på struktur, metode, dokumentation og praktisk forankring.

Typiske fejl i virksomheders risikovurderinger

Der er nogle fejl, der går igen, når virksomheder arbejder med hvidvask-risikovurdering.

  • 1. Risikovurderingen er for generel: Hvis vurderingen kunne passe på enhver virksomhed, er den sjældent god nok. Den skal afspejle den konkrete forretning.
  • 2. Den er ikke opdateret: Virksomheder ændrer sig. Der kan komme nye ydelser, kundetyper, markeder, systemer eller arbejdsgange. Risikovurderingen bør følge med.
  • 3. Den bruges ikke i hverdagen: En risikovurdering, som ingen bruger, har begrænset værdi. Den bør påvirke KYC, procedurer, kontroller og undervisning.
  • 4. Den hænger ikke sammen med konkrete sager: Hvis medarbejderne ikke kan se, hvordan den overordnede risikovurdering påvirker deres konkrete arbejde, bliver compliance for abstrakt.
  • 5. Der mangler dokumentation for valg og fravalg: Det er vigtigt ikke kun at beskrive, hvad virksomheden gør. Den bør også kunne forklare, hvorfor den har valgt sin tilgang.
  • 6. Ansvar og opfølgning er uklart: Det bør være tydeligt, hvem der ejer risikovurderingen, hvem der opdaterer den, og hvornår den skal genbesøges.

Hvad bør virksomheder gøre nu?

Finanstilsynets nye skala er en god anledning til at gennemgå virksomhedens risikovurdering. Det behøver ikke være et stort og uoverskueligt projekt. Men det bør være grundigt nok til, at virksomheden får et reelt billede af sin risiko.

Et praktisk forløb kan se sådan ud:

  • 1. Afklar om virksomheden er omfattet: Start med at afklare, hvilke dele af virksomheden der er omfattet af hvidvaskreglerne. Det er især vigtigt, hvis virksomheden har flere forretningsområder.
  • 2. Kortlæg virksomhedens aktiviteter: Gennemgå ydelser, kunder, transaktioner, geografiske forhold, ejerstrukturer og arbejdsgange.
  • 3. Identificér risikofaktorer: Se på, hvor risikoen kan opstå. Det kan være i bestemte kundetyper, sagstyper, transaktioner, lande eller processer.
  • 4. Vurdér risikoen: Vurdér risikoen på en måde, der er konkret og begrundet. Det bør fremgå, hvorfor risikoen vurderes som lav, middel, væsentlig eller høj på de relevante områder.
  • 5. Kobl vurderingen til konkrete foranstaltninger: Hvis et område har højere risiko, bør det fremgå, hvordan virksomheden håndterer det. Det kan være gennem skærpet kundekendskab, ekstra kontrol, intern godkendelse eller hyppigere opfølgning.
  • 6. Opdater procedurer og KYC: Sørg for, at virksomhedens interne procedurer og KYC-processer afspejler risikovurderingen.
  • 7. Dokumentér og forankr: Sørg for, at vurderingen er dokumenteret, godkendt, kendt af relevante medarbejdere og planlagt til løbende opdatering.

Særligt for advokatvirksomheder

For advokatvirksomheder er risikovurderingen særlig vigtig, fordi hvidvaskreglerne ikke nødvendigvis rammer alle sager ens. Nogle sager falder uden for hvidvasklovens anvendelsesområde. Andre kræver almindeligt kundekendskab. Andre igen kan give anledning til skærpet opmærksomhed.

Det betyder, at advokatvirksomheden bør have en praktisk proces for at afklare:

  • om sagen er omfattet af hvidvaskreglerne
  • hvilke oplysninger der skal indhentes
  • om klienten eller sagen indebærer øget risiko
  • hvordan reelle ejere identificeres
  • hvornår der skal ske skærpet kundekendskab
  • hvordan vurderingen dokumenteres
  • hvem der godkender eller eskalerer sager med højere risiko

Det er især relevant ved sager, der involverer fast ejendom, selskaber, transaktioner, klientkonto, virksomhedsoverdragelser eller komplekse ejerstrukturer. Hos ØENS Advokatfirma hjælper vi advokatvirksomheder med at gøre denne proces klar og anvendelig, så den ikke bliver tungere end nødvendigt, men stadig kan dokumenteres.

Særligt for virksomheder

For virksomheder omfattet af hvidvaskreglerne bør risikovurderingen være tæt koblet til den daglige kundehåndtering.

Det betyder, at risikovurderingen ikke kun skal ligge hos ledelsen eller complianceansvarlige. Den skal kunne omsættes til arbejdsgange for de medarbejdere, der sidder med kunder, dokumentation, betalinger eller sagsoprettelse. Virksomheden bør derfor sikre, at medarbejderne ved:

  • hvornår de skal gennemføre kundekendskab
  • hvad de skal indhente
  • hvor dokumentationen skal gemmes
  • hvad der tæller som usædvanlige forhold
  • hvornår de skal spørge internt
  • hvordan de skal håndtere højere risiko

Det er her, en god risikovurdering gør forskellen. Den skaber ikke bare overblik for ledelsen. Den gør det lettere for medarbejderne at handle rigtigt.

ØENS Advokatfirma hjælper med risikovurdering og hvidvask-compliance

Hos ØENS Advokatfirma hjælper vi virksomheder og advokatvirksomheder med at få styr på hvidvask-compliance i praksis. Vi kan blandt andet hjælpe med:

  • gennemgang af eksisterende risikovurdering
  • udarbejdelse af ny risikovurdering
  • tilpasning til virksomhedens konkrete aktiviteter
  • KYC og kundekendskabsprocedurer
  • interne politikker og arbejdsgange
  • identifikation af reelle ejere
  • løbende overvågning
  • intern kontrol
  • undervisning af medarbejdere
  • dokumentation og forankring
  • forberedelse til tilsyn eller kommende regelændringer

Vores tilgang er praktisk og jordnær. Vi forklarer reglerne, før vi anbefaler løsningen, og vi hjælper jer med at få et setup, der kan forstås og bruges i hverdagen.

Book en uforpligtende samtale med advokat og associeret partner Lisa Lykke her

Få et tjek af jeres risikovurdering

Er I i tvivl om, hvorvidt jeres risikovurdering er opdateret, konkret og tilstrækkeligt dokumenteret? Så kan en kort gennemgang være et godt sted at starte.

Vi hjælper jer med at afklare:

  • om risikovurderingen passer til jeres virksomhed
  • om den er konkret nok
  • om den hænger sammen med jeres KYC-processer
  • om der mangler dokumentation
  • om medarbejderne har klare arbejdsgange
  • hvad I bør prioritere først

Målet er at give jer ro, overblik og en klar plan for næste skridt.

Kontakt advokat og associeret partner Lisa Lykke for en uforpligtende drøftelse.

Lisa hjælper virksomheder med at omsætte reglerne til konkrete arbejdsgange, der kan anvendes og dokumenteres i praksis. I kan både kontakte Lisa Lykke direkte hos ØENS Advokatfirma for et forløb tilpasset jeres behov, eller tilmelde jer et åbent kursus via Danske Advokater, hvor Lisa også underviser i GDPR, hvidvask og KYC i praksis.

Lisa Lykke, advokat, ØENS advokatfirma, københavn, amager
Advokatfirma
Lisa Lykke
Advokat, associeret partner

FAQ: Risikovurdering på hvidvaskområdet

Nedenfor har vi samlet svar på de mest stillede spørgsmål om risikovurderinger på hvidvaskområdet

Hvad er en risikovurdering på hvidvaskområdet?

En risikovurdering er virksomhedens vurdering af, hvor og hvordan risikoen for hvidvask og terrorfinansiering kan opstå i virksomhedens aktiviteter. Den bør være konkret, opdateret og tilpasset virksomhedens ydelser, kunder, transaktioner, geografiske forhold og interne arbejdsgange.

Hvad har Finanstilsynet ændret?

Fra 1. april 2026 klassificerer Finanstilsynet virksomheder under hvidvasktilsyn efter en justeret skala for iboende hvidvaskrisiko. Skalaen består af fire niveauer: lav risiko, middel risiko, væsentlig risiko og høj risiko.

Ændrer Finanstilsynets nye skala virksomhedens forpligtelser?

Selve skalaændringen ændrer ikke automatisk virksomhedens forpligtelser efter hvidvaskloven. Men den understreger behovet for, at virksomheden har en konkret, opdateret og dokumenteret risikovurdering, der hænger sammen med virksomhedens faktiske aktiviteter.

Hvad betyder iboende hvidvaskrisiko?

Iboende hvidvaskrisiko er den risiko, der følger af virksomhedens aktiviteter, før der tages højde for interne kontroller og foranstaltninger. Det kan for eksempel afhænge af ydelser, kundetyper, geografi, transaktioner og ejerstrukturer.

Hvor ofte bør en risikovurdering opdateres?

En risikovurdering bør opdateres løbende og altid, når der sker væsentlige ændringer i virksomhedens ydelser, kundetyper, geografiske aktiviteter, transaktioner, systemer, organisation eller lovgivning. Mange virksomheder vælger også en fast årlig gennemgang.

Hvad er forskellen på risikovurdering og KYC?

Risikovurderingen beskriver virksomhedens overordnede hvidvaskrisici. KYC-processen handler om kundekendskab i det konkrete kundeforhold. De to ting bør hænge tæt sammen, så virksomhedens KYC-arbejde afspejler de risici, der er identificeret i risikovurderingen.

Hvilke typiske fejl ses i risikovurderinger?

Typiske fejl er, at risikovurderingen er for generel, ikke opdateret, ikke koblet til KYC-processen, ikke anvendes i praksis, mangler dokumentation eller ikke har en tydelig ansvarsplacering.

Kan ØENS Advokatfirma hjælpe med risikovurdering?

Ja. ØENS Advokatfirma hjælper virksomheder og advokatvirksomheder med at gennemgå, udarbejde og opdatere risikovurderinger på hvidvaskområdet. Vi hjælper også med KYC, interne procedurer, undervisning og praktisk implementering.

Seneste nyt

SE ALLE NYHEDER
advokat børnesager, børnetestamente, børnesager advokat, københavn, amager, frederiksberg
16. juni 2026 • Familie- og arveret
Fra Familieretshuset til Familieretten – Sådan foregår en børnesag
forening, øens ejendomsadministration, juni
09. juni 2026 • Ejendomsadministration
Velkommen til nye foreninger i juni
fest hos øens
05. juni 2026 • Socialt
Sommerfest-mode: ON
kloak, skybrud, ejendom, regn, forening, københavn, danmark
30. maj 2026 • Ejendomsadministration
Skybrudssikring: 8 gode råd til at beskytte din ejendom mod vandskader efter skybrud
partnere, michael friis pedersen, johan iversen møller, øens advokatfirma, advokat
29. maj 2026 • Advokatfirma
ØENS Advokatfirma styrker partnerkredsen
Rådgivning om HR og personalejura for ledere
21. maj 2026 • Familie- og arveret
Gratis arrangement om demens, mental sundhed og fremtidsfuldmagter
medarbejdere, øens, maj
21. maj 2026 • Socialt
Velkommen til nye medarbejdere
ejendomsadministration, københavn, øens
20. maj 2026 • Fonds- og foreningsret
Nye regler for ladestandere i ejer- og andelsboligforeninger i 2026
andelshandel, andel salg, andelsoverdragelse
18. maj 2026 • Andelsboligforening
Andelsoverdragelse: Sådan foregår salg af en andelsbolig hos ØENS