Skillnaden mellan KYC och AML handlar om omfattning: KYC fokuserar på att identifiera och förstå kunden, medan AML omfattar hela arbetet med kundkännedom, screening, uppföljning och nya beslut när riskfakta ändras. Det blir relevant vid onboarding, periodisk översyn och när ett tidigare utfall behöver öppnas igen. Spara källa + tidpunkt + motivering + policyversion + ansvarig roll för varje väsentligt utfall.

Snabbt svar

• KYC är delen av AML-arbetet som gäller kundidentitet, syfte med relationen och grundläggande riskförståelse.
• AML är bredare och omfattar också sanktionskontroller, PEP-bedömning, owner-relaterade frågor, uppföljning och beslut över tid.
• En vanlig fallgrop är att behandla KYC och AML som synonymer och därför tappa bort vad som är källdata, vad som är screening och vad som är själva beslutet.
• Tydlig gränsdragning gör det lättare att samla rätt underlag, jämföra ärenden och öppna upp tidigare beslut när riskbilden förändras.

Underlag att spara (för spårbar kontroll)

• Kund- eller motpartsdata och tidsstämpel: Visar vilka grundfakta som bedömningen byggde på — Spara som: Källista med tidsstämpel
• Kontrollöversikt för KYC och AML: Visar vilka kontroller som kördes och när arbetsflödet gick från kundkännedom till bredare AML-granskning — Spara som: Kontrolljournal med stegmarkering
• Resultat och motivering: Förklarar hur screeningutfall och riskfakta tolkades i den enskilda bedömningen — Spara som: Granskningsnotering med motiveringsfält
• Beslut eller eskalering: Visar vad teamet gjorde med utfallet och om ärendet accepterades, följdes upp eller skickades vidare — Spara som: Beslutsrad med statuskod
• Ansvarig roll och datum: Gör det tydligt vem som ägde utfallet och när det fattades — Spara som: Beslutslogg med ägare och datum

Vad skillnaden mellan KYC och AML betyder

KYC och AML används ofta tillsammans, men de beskriver inte samma sak. KYC avser arbetet med att veta vem kunden är, förstå relationens syfte och samla det underlag som behövs för en första riskbedömning. AML är det bredare ramverket där kundkännedom ingår tillsammans med screening, uppföljning och de beslut som måste kunna förklaras senare.

För risk- och compliance-team spelar den skillnaden roll eftersom olika steg i processen kräver olika typer av underlag. KYC ger basfakta och kontext om kunden. AML använder sedan de fakta som samlats in för att avgöra om fler kontroller, djupare granskning eller ny uppföljning behövs.

När de två begreppen blandas ihop blir det lätt att ett screeningutfall behandlas som om hela AML-arbetet redan vore färdigt. Då blir det svårare att visa både vad som samlades in först och varför ett senare beslut fattades.

Vad AML omfattar

AML omfattar hela arbetet med att förebygga och följa upp risk kopplad till penningtvätt och relaterade frågor i kundrelationen. Det inkluderar kundkännedom, men också sanktionskontroller, PEP-bedömning, owner-relaterade frågor, uppföljning och nya beslut när förutsättningarna ändras.

I praktiken betyder det att AML sträcker sig längre än första bedömningen. Teamet behöver kunna avgöra när nya fakta ska leda till förnyad granskning, när ett tidigare utfall inte längre håller och hur samma logik ska tillämpas över tid.

AML är därför både ett kontrollområde och ett dokumentationsområde. Det räcker inte att köra rätt kontroller om det inte går att återskapa vilka uppgifter som användes, vilken policy som gällde och vem som ansvarade för det slutliga utfallet.

Vad KYC omfattar

KYC omfattar identifiering av kunden, verifiering av uppgifter, förståelse för relationens syfte och en första bedömning av risknivån. Det är startpunkten som gör senare AML-arbete möjligt, eftersom screening och uppföljning blir svåra att tolka om grundfakta om kunden är för svaga.

Det betyder också att KYC måste vara mer än en ID-kontroll. För företagssaker kan det handla om att förstå vem som kontrollerar bolaget eller vilken roll olika personer har i relationen. För individer handlar det om att få tillräckligt tillförlitlig information för att senare kunna bedöma nya riskfakta mot samma baslinje.

KYC slutar inte alltid vid onboarding. Om tidigare uppgifter inte längre räcker, eller om relationen ändrar karaktär, behöver samma kundkännedomsdel kunna öppnas igen.

De viktigaste operativa skillnaderna

Den viktigaste skillnaden är att KYC samlar och verifierar grundfakta, medan AML kopplar ihop grundfakta med screening, riskhändelser och uppföljning. KYC svarar på vem kunden är och varför relationen finns. AML svarar på hur relationen ska övervakas, bedömas och omprövas över tid.

En annan skillnad är tidsperspektivet. KYC är ofta tydligast i början av relationen, medan AML måste fungera både vid start och senare när sanktionsstatus, PEP-status, ägarbild eller andra riskfakta förändras. Därför blir AML mer beroende av beslutsnoteringar, triggerlogik och jämförbar dokumentation.

Slutligen skiljer sig utfallen. Ett KYC-steg leder ofta till att rätt underlag samlas in och verifieras. Ett AML-steg leder oftare till ett beslut: acceptera, eskalera, följ upp eller öppna upp ärendet igen.

Vanliga fallgropar

• KYC dokumenteras som om det vore hela AML-processen, vilket gör att senare screening och uppföljning saknar tydlig beslutslogik.
• Screeningutfall sparas, men kopplingen till kundens grundfakta och motiveringen för beslutet blir för svag.
• Teamet vet vem kunden är, men det går inte att se när relationen borde ha öppnats igen efter nya riskhändelser.
• Owner- eller kontrolluppgifter samlas in, men det framgår inte varför de var viktiga i just det här AML-ärendet.
• Ansvarig roll eller policyversion saknas, vilket gör det svårt att jämföra liknande fall över tid.

De här problemen uppstår oftast när KYC och AML behandlas som ett enda steg i stället för som olika delar i samma kontrollkedja.

En process för att skilja KYC från AML

1) Definiera vad som är kundkännedom

Beskriv vilka uppgifter som måste samlas in och verifieras för att KYC ska anses komplett. Då blir det tydligt vilken baslinje som senare AML-kontroller ska bygga på.

2) Håll screening och beslut åtskilda från grundfakta

Separera källdata, screeningutfall och slutligt beslut i varje materiellt ärende. Då går det att se när en träff bara är en signal och när den faktiskt förändrar AML-bedömningen.

3) Dokumentera när AML går vidare än KYC

Markera vilka steg som rör bredare AML-logik, till exempel sanktionskontroller, PEP-bedömning, owner-relaterade frågor eller triggerhändelser efter onboarding. Då blir det lättare att visa varför ett ärende öppnades igen.

4) Följ upp när riskfakta ändras

När nya fakta uppstår ska teamet kunna se om det räcker att uppdatera KYC-underlaget eller om hela AML-bedömningen behöver göras om. Den skillnaden måste finnas i både process och dokumentation.

Roaring field guide

• Definiera vilka datafält som krävs för KYC och vilka riskhändelser som ska trigga bredare AML-uppföljning innan levande ärenden når teamet.
• Spara källdata, tidpunkt, policyversion, beslutsmotivering och ansvarig roll så att det går att se var KYC slutar och AML-beslutet börjar.
• Håll isär screeningutfall och slutliga beslut så att liknande fall går att jämföra på samma grund.
• Routa nya riskhändelser till rätt team med tillräcklig kontext för att avgöra om KYC-underlaget fortfarande räcker.
• Behandla KYC som baslinjen och AML som den bredare bedömnings- och uppföljningsdisciplinen runt baslinjen.

Hur Roaring kan hjälpa

• API-plattformen kan föra in person- och företagsdata i befintliga arbetsflöden så att KYC-underlag, screening och senare beslut kan hållas ihop i samma process.
• Lookup kan fungera som inkörsport för team som vill testa data, förstå informationsbehovet eller manuellt verifiera uppgifter innan en integration byggs.
• Bevakning och webhooks kan routa nya händelser till befintliga processer när sanktionsstatus, ägarbild eller andra riskfakta förändras efter onboarding.
• Samma arbetsflöde kan användas för att skilja källdata från granskningsutfall och därmed göra skillnaden mellan KYC och AML tydligare i vardagen.

‍