Vad är PEP? PEP är en person i politiskt utsatt ställning, eller en närstående med koppling till en sådan roll, som kan kräva skärpt riskbedömning i AML-arbetet. Det blir relevant vid onboarding, periodisk översyn och när nya uppgifter ändrar riskbilden för en individ, en företrädare eller en ägarstruktur. Spara källa + tidpunkt + motivering + policyversion + ansvarig roll för varje väsentligt utfall.

Snabbt svar

• Det gäller när ni identifierar en kund, verklig huvudman, styrelseperson eller annan företrädare som kan omfattas av PEP-kontroll.
• Spara underlaget som visar vilka identitetsuppgifter som användes, vilken källa som kontrollerades, hur träffen verifierades och vem som ägde bedömningen.
• En vanlig fallgrop är att behandla en PEP-träff som färdigt beslut i stället för som en signal som måste bedömas i sitt sammanhang.
• Tydlig hantering av PEP gör riskklassning, uppföljning och senare omprövning lättare att förklara.

Underlag att spara (för spårbar kontroll)

• Identitetsuppgifter som användes i sökningen: Visar vilka uppgifter kontrollen byggde på — Spara som: Söklogg med namn, födelsedatum och eventuell identitetsreferens
• Datakälla och kontrolltidpunkt: Gör det tydligt vilken registerkontroll som genomfördes och när — Spara som: Källreferens med tidsstämpel
• Träffverifiering och motivering: Förklarar varför träffen bedömdes som relevant eller avfärdades — Spara som: Granskningsnotering med motiveringsfält
• Ansvarig roll och beslutsdatum: Visar ansvar och tidpunkt för riskklassningen — Spara som: Beslutsrad med ägare och datum

Vad PEP betyder

PEP står för person i politiskt utsatt ställning. Begreppet används när en person har, eller nyligen har haft, en offentlig funktion som kan innebära högre risk för korruption, otillbörlig påverkan eller intressekonflikter.

För risk- och compliance-team betyder det att kontrollen inte handlar om att någon automatiskt ska avvisas. Den handlar om att förstå om relationen kräver skärpt granskning, tydligare motivering eller tätare uppföljning.

Det gäller också närstående och nära medarbetare där kopplingen kan påverka riskbedömningen. Därför behöver identitet, datakälla och verifiering hållas ihop med själva beslutet.

Varför det spelar roll

PEP-kontroller påverkar riskklassning, onboarding och senare uppföljning. De används för att avgöra om en kund eller företrädare kräver skärpta åtgärder, fördjupad granskning eller tätare uppföljning i AML-arbetet.

Bristande dokumentation skapar snabbt osäkerhet. Om en granskare inte kan se vilken person som kontrollerades, vilken källa som användes, om träffen verifierades eller varför utfallet blev rimligt blir det svårt att försvara beslutet senare.

Det påverkar också konsekvensen mellan team. Två liknande träffar ska inte leda till olika utfall bara för att identitetsunderlag, källor och motivering dokumenterades olika.

Vad kontrollen täcker operativt

Arbetet börjar med att identifiera rätt person. För nordiska kontroller kan träffsäkerheten bero på om ni använder personnummer eller kombinationen namn och födelsedatum, medan globala register ofta bygger på namn- och datumkombinationer som kräver mer verifiering.

Därefter behöver själva träffen sättas i kontext. En möjlig träff är inte samma sak som ett färdigt beslut, utan ett underlag som måste knytas till rätt person, rätt roll och rätt riskbedömning.

Kontrollen behöver också kunna öppnas igen. Om en person får en ny offentlig funktion, lämnar sin roll eller om relationen förändras ska samma logik för uppföljning och dokumentation kunna användas på nytt.

Vanliga fallgropar

• En träff behandlas som färdig riskklassning innan identiteten har verifierats ordentligt.
• Teamet sparar träffen men inte varför den bedömdes som relevant eller irrelevant.
• Sökningen görs med för få identifierande uppgifter, vilket skapar onödiga osäkerheter.
• PEP-kontrollen dokumenteras vid onboarding men följs inte upp när relationen eller personens roll förändras.
• Källor, träffbild och beslut hamnar i olika system så att nästa granskare inte ser hela kedjan.

De här problemen är normalt operativa. Frågan är sällan om teamet känner till att PEP-kontroll behövs, utan om kontrollen går att genomföra och förklara på ett konsekvent sätt.

En praktisk process

1) Samla rätt identifierande uppgifter

Utgå från namn, födelsedatum och lokala identitetsuppgifter där de finns. Ju bättre indata ni har, desto lättare blir det att bedöma om träffen gäller rätt person.

2) Verifiera träffen mot rätt person

Separera själva registerträffen från den slutliga bedömningen. Kontrollera om träffen avser rätt individ, rätt roll och rätt tidsperiod innan ni går vidare.

3) Dokumentera motivering och ansvar

För varje väsentligt utfall behöver ni kunna visa vilken källa som användes, hur träffen verifierades, vilken riskbedömning som gjordes och vem som ansvarade för beslutet.

4) Följ upp när förhållanden ändras

PEP-hantering är inte bara onboarding. Om en persons offentliga roll förändras, om nya relationer upptäcks eller om annan riskinformation tillkommer behöver samma logik för uppföljning användas igen.

Roaring field guide

• Definiera vilka roller, relationer och träffbilder som ska trigga skärpt granskning eller ny kontroll.
• Spara identitetsuppgifter, datakälla, kontrolltidpunkt och beslutsnotering så att utfallet går att återskapa senare.
• Håll isär träff, verifiering och beslut så att riskklassningen inte byggs direkt på ett obekräftat resultat.
• Skicka osäkra träffar till rätt team eller process med tillräcklig kontext för en rimlig bedömning.
• Följ förändringar i roll, relationer och annan riskinformation över tid i stället för att lita på en engångskontroll.

Hur Roaring kan hjälpa

• Integration Suite kan föra in PEP-kontroller i befintliga AML-flöden så att identitetsdata, träffbild och beslutsstöd kan hållas ihop i samma process.
• Lookup kan fungera som inkörsport för team som vill testa hur PEP-data ser ut innan en integration byggs.
• Bevakning och webhooks kan stödja uppföljning när en riskprofil förändras efter onboarding.
• Nordiska och globala PEP-källor kan ge bättre stöd för riskklassning när träffar behöver verifieras mot rätt person och rätt roll.