Due diligence uppfattas fortfarande av många som en punktinsats vid företagsförvärv eller en juridisk formalitet. Det är en missuppfattning som kostar organisationer dyrt. Roll av due diligence i compliance handlar om något betydligt mer strategiskt: ett kontinuerligt system för att identifiera, hantera och dokumentera risker i linje med gällande regelverk. Den här guiden ger dig som företagsledare inom juridik och compliance en konkret genomgång av vad en effektiv due diligence-process kräver, hur den integreras i din compliance-strategi och vilka fallgropar som är vanligast att undvika.
Innehållsförteckning
- Viktiga lärdomar
- Komponenter av due diligence i compliance-processen
- Riskhantering och due diligence i EU:s nya regelverk
- Implementera en effektiv due diligence-process
- Vanliga fallgropar i due diligence och compliance
- Min reflektion om due diligence och framtiden
- Så kan Trustview stärka din compliance och due diligence
- FAQ
Viktiga lärdomar
| Punkt | Detaljer |
|---|---|
| Due diligence är strategisk | Processen är inte enbart juridisk kontroll utan ett verktyg för riskhantering och affärsbeslut. |
| Dokumentation är avgörande | Bristfällig dokumentation vid SDD och EDD är en vanlig orsak till sanktioner vid tillsyn. |
| Riskbaserad tillämpning krävs | Nya EU-regler som AMLR och CSDDD ställer krav på riskbedömning och löpande övervakning. |
| Digitala verktyg ökar träffsäkerheten | Automatiserade kontroller och realtidsdata minskar manuella fel och säkerställer aktualitet. |
| Samordning är nyckeln | Juridik, compliance och verksamhet måste samarbeta under tydligt definierade ansvarsroller. |
Komponenter av due diligence i compliance-processen
Due diligence är inte ett enda dokument eller en enstaka granskning. Det är ett samlingsbegrepp för systematiska kontroller som täcker juridiska, finansiella, operativa och compliance-specifika dimensioner av en verksamhet eller ett affärsförhållande.
Juridisk due diligence granskar avtal, pågående tvister, immaterialrätt, anställningsförhållanden och fastighetsägande. Finansiell due diligence analyserar balansräkningar, kassaflöde och värdering. Men det är compliance-dimensionen som ofta underskattas, trots att den rymmer de mest regeltunga och snabbt föränderliga kraven.
Compliance-fokuserad due diligence inkluderar bland annat:
- GDPR och dataskydd: Granskning av behandlingsaktiviteter, dataskyddsavtal och incidenthistorik
- AML och penningtvättsregler: Kundkännedomsåtgärder, riskklassificering och verifiering av verkliga huvudmän
- Hållbarhet och leverantörskedjan: Kontroll av sociala och miljömässiga risker enligt CSDDD och OECD:s riktlinjer
- Sektorspecifika krav: Finansiella tillstånd, medicinska certifieringar eller säkerhetskrav beroende på bransch
Due diligence vid företagsförvärv täcker alla dessa områden, och brist på dokumentation fördröjer regelmässigt affärer. Det gäller inte minst i transaktioner där compliance-brister dyker upp sent i processen och skapar osäkerhet om värderingen.
Förenklad och fördjupad due diligence
Inom AML-regelverket görs en central distinktion mellan förenklad due diligence (SDD) och fördjupad due diligence (EDD). SDD är ett riskbaserat undantag som tillåter färre åtgärder vid bedömd låg risk. Men SDD kräver dokumenterad riskbedömning och är inget generellt undantag från identifieringskravet. EDD tillämpas däremot när riskfaktorer som komplex ägarstruktur, politiskt exponerade personer eller högriskjurisdiktioner är aktuella.
Att blanda ihop dessa nivåer, eller tillämpa SDD utan tillräcklig dokumentation, är en vanlig brist vid revisioner och kan leda till kännbara sanktioner.
Proffstips: Skapa en intern due diligence-matris som mappar vilka kontrollnivåer som gäller för olika motparter och produkter. Det ger ett skalbart system som följer med när verksamheten växer och regelverket förändras.
Riskhantering och due diligence i EU:s nya regelverk
Riskhantering och due diligence är inte separata spår. De är beroende av varandra. En due diligence-process utan riskanalys är en dokumentationsövning. En compliance-strategi utan due diligence saknar empirisk grund.
EU:s nya regelverk ställer detta samband i skarp relief. AMLR reglerar riskbaserad kundkännedom från 2027 med krav på identifiering, verifiering och löpande övervakning. Det innebär att kundkännedom inte längre är en engångsåtgärd vid avtalsingående. Risknivåer förändras. En kund som bedömdes som lågrisk vid onboarding kan två år senare ha fått ny ägare, verksamhet i en högriskjurisdiktion eller kopplingar till sanktionerade parter.
CSDDD ställer likartade krav på hållbarhetsdimensionen. CSDDD kräver riskbaserade due diligence-system med riskanalys, åtgärder och klagomålsmekanismer för stora företag, med implementering i Sverige senast den 26 juli 2028.
Riskfaktorer och hur de prioriteras
En strukturerad riskbedömning inom due diligence bör ta hänsyn till följande faktorer:
| Riskfaktor | Låg risk | Hög risk |
|---|---|---|
| Geografisk exponering | Etablerade EU-länder | Högriskjurisdiktioner, sanktionslistade länder |
| Ägarstruktur | Transparent, direktägt | Komplex, anonymiserad eller via skatteparadis |
| Transaktionsmönster | Förutsägbara och historiskt konsekventa | Ovanliga, stora eller frekventa kontanttransaktioner |
| Politisk exponering | Ej PEP-kopplad | PEP eller närstående till PEP |
| Leverantörskedja | Certifierade leverantörer i lågriskländer | Okontrollerade underleverantörer i högriskregioner |
Löpande monitoring är lika viktig som den initiala bedömningen. Automatiserade leverantörskontroller och löpande bevakning möjliggör reaktion på förändringar i realtid och minskar risken för att gamla data styr beslut. Det är här digitala verktyg gör störst skillnad jämfört med manuella processer.
Proffstips: Sätt tydliga tröskelvärden för när en motparts riskprofil automatiskt ska trigga en omprövning. Det behöver inte vara komplext. En ändring i ägarstruktur, en ny sanktionsträff eller ett förändrat transaktionsmönster kan räcka som utlösande faktorer.
Implementera en effektiv due diligence-process
En välstrukturerad due diligence-process kräver mer än goda intentioner. Den kräver tydlig ansvarsfördelning, systematiska arbetsflöden och verktyg som gör det möjligt att följa upp resultat på ett sätt som faktiskt håller vid en extern granskning.
Följ dessa steg för att bygga en process som fungerar i praktiken:
- Definiera scope och riskprofil. Avgränsa vilka motparter, transaktioner och avtal som omfattas. Koppla scope till verksamhetens riskaptit och gällande regelverk.
- Utse ansvariga per område. Due diligence blir mest effektiv när juridisk, finansiell och compliance-expertis samordnas under tydligt ansvar. En ansvarig per huvudområde skapar snabbare beslutsvägar och tydligare spårbarhet.
- Samla in och verifiera underlag. Använd en strukturerad due diligence checklist som täcker alla relevanta områden. Säkerställ att insamlad data är aktuell och kan verifieras mot oberoende källor.
- Analysera och riskklassificera. Tillämpa riskmatrisen på insamlad data. Identifiera röda flaggor och avgör om fördjupad utredning krävs.
- Dokumentera löpande. Varje steg ska dokumenteras med datum, ansvarig och resultat. Det gäller inte minst för SDD-beslut där dokumentationskravet är lika strängt som vid EDD.
- Omsätt resultat i åtgärdsplaner. Fynd utan uppföljning är meningslösa. Koppla varje identifierad risk till en konkret åtgärd, en ansvarig person och ett datum för uppföljning.
Kommunikationen med interna och externa intressenter är ett område som ofta glöms bort. Styrelse, affärsenheter och externa rådgivare behöver förstå scope, tidplan och vilka beslut som fattas baserat på due diligence-resultaten. Oklarheter här leder till förseningar och felaktiga affärsbeslut.
Digitala plattformar förändrar förutsättningarna markant. Med rätt verktyg kan du centralisera dokumentation, automatisera påminnelser om löpande kontroller och hålla alla intressenter uppdaterade i realtid. Det minskar den administrativa bördan och ökar spårbarheten. Läs mer om hur du hanterar åtgärdsuppföljning inom compliance för att se hur strukturerade processer ser ut i praktiken.
Vanliga fallgropar i due diligence och compliance
Det finns en utbredd uppfattning att due diligence är en bromskloss som fördröjer affärer och belastar organisationen. Den uppfattningen är både felaktig och kostsam. Due diligence kan vändas till en positiv drivkraft som skapar klarhet och trygghet i affärsbeslut. Identifierade avvikelser hanteras med garantier, prisjusteringar eller tydliga beslutskriterier. Det är ett starkare underlag, inte ett hinder.
De vanligaste fallgroparna är:
- Bristfällig dokumentation. Avsaknad av löpande dokumentation är den enskilt vanligaste bristen vid tillsyn. Det gäller särskilt SDD-beslut som fattas utan tillräckliga noteringar om den riskbedömning som motiverade det förenklade förfarandet.
- Svarsfördröjningar. Motparter som inte levererar underlag i tid skapar tryck att gå vidare utan fullständig information. Sätt tydliga deadlines och ha en eskaleringsrutin.
- Felaktig riskklassificering. Att utgå från schabloner snarare än en faktisk analys av motpartens riskprofil leder till att EDD tillämpas för sällan eller att SDD används utan giltig grund.
- Silotänkande mellan juridik och compliance. När juridisk granskning och compliance-kontroller körs parallellt utan kommunikation uppstår luckor. Kompetensbehovet inom KYC och compliance kräver analytisk förmåga, juridisk kunskap och teknisk förståelse i kombination. Det förutsätter samordning.
- Statiska processer i ett dynamiskt regelverk. En due diligence-process som inte uppdateras när regelverket förändras ger falsk trygghet. AMLR 2027 och CSDDD 2028 ställer nya krav som måste återspeglas i processerna redan nu.
Proffstips: Genomför en intern revision av din due diligence-process minst en gång per år. Granska dokumentationskvaliteten, kontrollera att riskklassificeringar är aktuella och identifiera var i processen förseningar uppstår. Det ger ett faktabaserat underlag för prioriteringar.
Se även ansvarsfördelning vid compliance för en fördjupad genomgång av hur du undviker de vanligaste fallgroparna i organisatorisk styrning.
Min reflektion om due diligence och framtiden
Jag har följt hur organisationer arbetar med due diligence under lång tid, och det mönster jag ser tydligast är inte brist på vilja utan brist på system. De flesta juridik- och compliance-chefer vet vad som krävs. Problemet är att processerna är fragmenterade, dokumentationen lever i silos och uppföljningen beror på enskilda personers minne snarare än strukturerade arbetsflöden.
Det som förändrar bilden är inte ett nytt regelverk utan ett förändrat förhållningssätt. Regelefterlevnad är en färskvara som kräver ständig uppdatering för att vara giltig. En due diligence som genomfördes för arton månader sedan utan uppföljning ger dig en falsk bild av din riskexponering idag.
Det jag faktiskt tror på är att de organisationer som lyckas bäst är de som slutar betrakta due diligence som ett krav att bocka av och börjar behandla det som ett konkurrensfördelande verktyg. En välskött due diligence-process signalerar trovärdighet mot affärspartners, ger styrelsen ett korrekt beslutsunderlag och minskar risken för kostsamma sanktioner. Det är inte en kostnad. Det är en investering i organisationens förmåga att fatta rätt beslut under osäkerhet.
Min rekommendation till dig som leder ett compliance-team: börja med att kartlägga var i din nuvarande process dokumentationskvaliteten brister. Det är nästan alltid där de största riskerna gömmer sig.
— Jesper
Så kan Trustview stärka din compliance och due diligence
Att bygga och underhålla en strukturerad due diligence-process kräver mer än checklistor. Det kräver ett system som håller ihop juridik, riskbedömning, dokumentation och uppföljning i ett gemensamt arbetsflöde.
Trustview är en plattform för compliance-hantering som är byggd för att möta exakt den utmaningen. Med Trustview kan du centralisera dina due diligence-processer, tilldela ansvar per område, dokumentera riskbedömningar och följa upp åtgärder löpande. Det minskar den administrativa bördan och ger dig full spårbarhet vid extern granskning. Läs vår guide om att upprätta en åtgärdsplan för compliance för att förstå hur du omsätter due diligence-resultat i konkreta nästa steg. Vill du ha en bredare bild av vad verklig efterlevnad innebär, ta del av insikter om compliance i praktiken direkt på Trustview.
FAQ
Vad är due diligence i compliance?
Due diligence i compliance är en systematisk process för att identifiera, bedöma och dokumentera risker kopplade till juridiska, finansiella och regulatoriska krav. Det är ett verktyg för att säkerställa att din organisation följer gällande regelverk och fattar välgrundade affärsbeslut.
Vad är skillnaden mellan SDD och EDD?
SDD (förenklad due diligence) är ett riskbaserat undantag för motparter med låg riskprofil, medan EDD (fördjupad due diligence) tillämpas vid hög risk. Båda kräver dokumenterad riskbedömning. SDD är inte ett undantag från identifieringskravet utan ett alternativ till fullständig utredning när risken är motiverat låg.
Vilka nya EU-regler påverkar due diligence?
AMLR, som träder i kraft 2027, reglerar riskbaserad kundkännedom med krav på löpande övervakning. CSDDD ställer krav på hållbarhetsrelaterad due diligence i leverantörskedjor och ska implementeras i Sverige senast den 26 juli 2028.
Hur ofta bör due diligence-processer uppdateras?
Due diligence bör ses som en löpande process, inte en engångsåtgärd. Riskprofiler förändras och regelverket uppdateras. En intern revision av processerna minst en gång per år, kombinerat med händelsestyrd omprövning vid väsentliga förändringar hos motparten, är en lämplig miniminivå.
Varför är dokumentation så viktig i due diligence?
Tillsynsmyndigheter granskar dokumentation, inte intentioner. Bristfällig dokumentation av SDD-beslut och riskbedömningar är en av de vanligaste orsakerna till sanktioner vid revision. Fullständig och löpande dokumentation är det enda sättet att bevisa att processen faktiskt genomförts korrekt.
