Varning för otillräckliga kundkännedomsåtgärder enligt lagen om åtgärder mot penningtvätt och finansiering av terrorism samt underlåtelse att vidta åtgärder enligt ISA 315 för att få nödvändig förståelse för att bedöma risken för väsentliga fel i delar av kundens verksamhet.

FAR har kommenterat detta disciplinärende. Kommentaren återges sist i ärendet.

1 Inledning

Revisorsinspektionen har öppnat detta ärende efter att ha tagit emot information som avser A-sons uppdrag som revisor i ett aktiebolag, nedan kallat guldbolaget.

Bolagets omsättning, resultat och balansomslutning för räkenskapsåren 2014 och 2015 framgår av uppställningen nedan (belopp i mnkr).

Räkenskapsår

Omsättning

Resultat

Balansomslutning

2014

22,8

–1,5

7,4

2015

51,8

–1,4

11,1

Vid upprättande av årsredovisningen tillämpade bolaget Bokföringsnämndens allmänna råd (BFNAR 2012:1) Årsredovisning och koncernredovisning (K3). Revisionsberättelsen för båda räkenskapsåren är utan modifiering, upplysning eller anmärkning.

2 Revisorsinspektionens utredning

Revisorsinspektionen har granskat A-sons revision av guldbolaget för räkenskapsåret 2015.

Bolagets huvudsakliga verksamhet var handel med ädelmetaller, till stor del handel med guld som köptes in från privatpersoner eller via olika hemsidor. Under räkenskapsåret 2015 handlade bolaget också med platina. Den handeln skedde då bara med företag. Bolaget avyttrade metallerna till en enda kund, nedan kallad kundbolaget, med vilken guldbolaget delade kontor; för det tog guldbolaget ut hyra av kundbolaget. Under år 2015 sålde guldbolaget platina för 30,7 mnkr, medan kostnaden för inköp av platina uppgick till 29,6 mnkr. Platinan kom från fyra leverantörer. En av dessa, nedan kallad leverantörsbolaget, stod för 96 procent av leveranserna.

En fråga som behandlas i detta ärende rör A-sons åtgärder för att skaffa sig kundkännedom enligt penningtvättslagen. En annan fråga är om hon i sin granskning förhöll sig professionellt skeptisk och skaffade sig tillräcklig förståelse för revisionsklientens verksamhet. Vad som framgår av revisionsdokumentationen samt vad A-son har uppgett i sina yttranden behandlas i avsnitt 3. Revisorsinspektionens sammanfattande bedömning och frågan om disciplinär åtgärd redovisas i avsnitt 4.

3 Vidtagna åtgärder

Kundkännedom enligt penningtvättslagstiftningen

I revisionsdokumentationen finns ingen dokumentation av de åtgärder som A-son vidtog för att uppnå kundkännedom i uppdraget. Det framgår inte heller vad hon gjorde för att uppfylla en revisors skyldigheter enligt 3 kap. lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).1

Av årsredovisningen framgår att bolaget hade bytt verkställande direktör två gånger under räkenskapsåret 2015. Det går inte av revisionsdokumentationen att utläsa vilken kommunikation som A-son hade med bolagsledningen.

A-son har uppgett följande.

Hon hade löpande muntlig kommunikation med bolagets ledning. Protokoll från styrelsemöten och extra stämmor följdes upp löpande. Det förekom både planerade möten och spontana möten i samband med hennes löpande besök för granskning. Hon var sedan tidigare presenterad för personerna i bolagsledningen.

Tidigare verkställande direktörer slutade, som hon uppfattade det, av organisatoriska skäl. Den förste slutade pga. studier, den andre var tillförordnad under sökandet efter en ny verkställande direktör och den tredje är den nuvarande verkställande direktören. Hon bedömde det som ett naturligt förlopp med en naturlig övergång mellan de olika personerna.

Hon gjorde ingen ID-kontroll på styrelsens ledamöter. Hon var bekant med dem sedan tidigare, genom företagets eller närstående företags verksamhet. Hon hade varit bolagets revisor under ett antal år och tyckte sig ha kunskap om detta och dess handelsbruk när det gäller metallråvaror. I övrigt hänvisar hon till sin kundutvärdering, som hon gör årligen, och en bilaga om hennes förståelse av företaget.

Motsvarande bestämmelser fanns före den 1 augusti 2017 i 2 kap. lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism (gamla penningtvättslagen).

Handel med platina

Enligt ett arbetspapper, betecknat Förståelse av företaget och all revisionsinformation, var bolaget verksamt inom guldbranschen och hade fortsatt stor försäljning av guld och inköp från privatpersoner. I arbetspapperet anges vidare att bolagets omsättning till största delen avsåg försäljning till ett namngivet bolag men att förändring hade skett av försäljning mellan olika produkter. Under rubriken Total riskbedömning anges att lager, försäljning och inköp var stora riskposter med ”högt värderade varor” som kunde sjunka i pris. A-son har också antecknat att planerade granskningsåtgärder för bolaget generellt sett skulle utgöras av analys av balans- och resultatposterna samt granskning av väsentliga poster och granskning av förvaltningen. Det framgår inte om hon hämtade in någon information med anledning av att bolaget hade påbörjat handel med platina till väsentliga belopp och etablerat nya affärsförbindelser.

Posten Nettoomsättning hade ökat med 29 mnkr i jämförelse med föregående räkenskapsår. I A-sons revisionsdokumentation finns ett dokument betecknat Försättsblad försäljning. Enligt dokumentet hade försäljningen av platina under räkenskapsåret ökat från 11 tkr till 30,7 mnkr. I samband med den löpande granskningen, den 16 oktober 2015, har en medarbetare till A-son antecknat att försäljningen hade skett till kundbolaget och att denna försäljning stickprovsvis hade granskats mot faktura. Underliggande dokumentation är utdrag ur en SIE-fil2 som skapades den 16 september 2015. Utdraget utvisar transaktioner mellan den 10 februari 2015 och den 7 augusti 2015 som var bokförda på huvudbokskontot för platinaförsäljningen. Dessutom finns en kopia av en kreditfaktura3 från kundbolaget med ett fakturabelopp på 366 tkr exklusive mervärdesskatt. Det framgår inte vilken inriktning och omfattning som granskningen av riktigheten och fullständigheten i bolagets intäktsredovisning hade.

Den bokförda kostnaden för råvaror och förnödenheter hade ökat med 28 mnkr i jämförelse med föregående räkenskapsår. I A-sons revisionsdokumentation finns en resultatrapport på kontonivå, utskriven den 26 februari 2016, av vilken framgår att kostnaden för såld platina hade ökat från noll till 29,7 mnkr. Det går inte att utläsa om A-son granskade denna post.

A-son har uppgett följande.

Hon tog in registreringshandlingar för den nya leverantören av platina, men dessa utvisade enbart att det var ett nystartat företag utan historik. Hon påtalade detta muntligen för ledningen, eftersom hon även ansåg att denna typ av affärer måste ses över pga. den låga vinstmarginalen.

Hon informerades om att guldbolaget hade inlett diskussioner om affärsutbyte med kundbolaget. Det framgick inte att bolagen skulle ha något större samarbete. Kundbolaget var helt nytt för henne och även för guldbolaget trodde hon. Hon gjorde undersökningar på kundbolaget men fann inget särskilt riskfyllt.

Försäljningen av platina började i februari, pågick t.om. augusti och omfattade ett relativt begränsat antal fakturor. Fakturorna granskades mot bokföringen och försäljningsjournalerna.

Förändringen av resultatposten Råvaror och förnödenheter hängde samman med försäljningen av platina. Inköpen och den för henne nya leverantören kontrollerades. Det var en stor försäljningsvolym med relativt få transaktioner. Fakturorna från leverantören var utan anmärkning vad gäller belopp och övriga fakta.

Den löpande granskningen gjordes i september. Hon granskade platinaförsäljningen särskilt. Denna försäljning ägde rum endast under en begränsad del av räkenskapsåret. Hon vidtog de åtgärder som hon har beskrivit ovan samt diskuterade med styrelsen. Det hela var dock historia vid hennes granskning hösten 2015, eftersom samarbetet med leverantörsbolaget då hade avslutats. Bolagsledningen anförde som skäl den dåliga lönsamheten på försäljningen, vilket hon noterade i sin granskningsdokumentation.

A-son har till sitt yttrande till Revisorsinspektionen fogat ett utdrag ur en SIE-fil, skapad den 17 januari 2019 för huvudbokskonto 3236 Försäljning platina med moms. Utdraget avser transaktioner bokförda till och med den 29 oktober 2015. På utdraget har antecknats bockar vid sex verifikationer, motsvarande totalt 4,6 mnkr. A-son har uppgett att det av utdraget framgår vilka fakturor som granskats samt att dessa var utan anmärkning. Hon har även gett in ett utdrag ur en SIE-fil, skapad den 17 januari 2019 för huvudbokskonto 4024 Inköp platina. Detta utdrag avser transaktioner bokförda till och med den 25 augusti 2015. På utdraget har tretton verifikationer markerats, motsvarande totalt 5,9 mnkr.

En SIE-fil är ett svenskt standardformat för att utväxla bokföringsdata mellan olika ekonomiprogram.

S.k. självfakturering tillämpas, dvs. köparen ställer ut fakturor avseende leverantörens försäljning till bolaget.

4 Bedömning och val av disciplinär åtgärd

Förståelsen av det reviderade företagets verksamhet är av avgörande betydelse för revisorns möjligheter att försäkra sig om av att årsredovisningen inte innehåller några väsentliga fel. Enligt god revisionssed måste revisorn därför skaffa sig inblick i och kunskap om företaget. Den information om företaget som revisorn av revisionella skäl måste skaffa sig inom ramen för revisionsuppdraget kan även vara till hjälp vid fullgörandet av hans eller hennes skyldigheter enligt penningtvättslagen men är normalt inte tillräcklig för att revisorn ska kunna fullgöra dessa skyldigheter helt och fullt.

Tillämpliga bestämmelser

Kundkännedom enligt penningtvättslagen

En revisor omfattas av penningtvättslagens bestämmelser om ”verksamhetsutövare”. I 2 kap. 3 § penningtvättslagen anges att verksamhetsutövare ska bedöma risken för bl.a. penningtvätt i sina uppdrag.4 Av 3 kap. 1 § följer att verksamhetsutövaren inte får etablera eller upprätthålla en affärsförbindelse om han eller hon inte har tillräcklig kundkännedom för att kunna hantera den risk för penningtvätt som kan förknippas med kundrelationen eller för att kunna övervaka och bedöma kundens aktiviteter och transaktioner.5

Enligt 3 kap. penningtvättslagen ska verksamhetsutövaren vidta vissa åtgärder för att uppnå kundkännedom. I 3 kap. 7 § anges särskilt att kundens identitet ska kontrolleras genom identitetshandling eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Enligt 3 kap. 8 § ska det utredas om kunden har en verklig huvudman och om kunden är en juridisk person ska verksamhetsutövaren vidta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Har kunden en verklig huvudman, ska det vidtas åtgärder för att kontrollera dennes identitet. Enligt 3 kap. 10 § ska det göras en bedömning av om kunden eller dess verkliga huvudman är en person i politiskt utsatt ställning eller är en familjemedlem eller känd medarbetare till en sådan person.6

En verksamhetsutövare är enligt 3 kap. 13 § penningtvättslagen skyldig att löpande och vid behov följa upp pågående affärsförbindelser för att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt och finansiering av terrorism.7

Verksamhetsutövaren ska bevara handlingar och uppgifter om åtgärder som har vidtagits för att uppnå kundkännedom i minst fem år. Tiden ska enligt 5 kap. 3 § räknas från det att åtgärderna utfördes eller, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde.8

FAR har i sitt uttalande EtikU 11 Medlemmars tillämpning av lagen om åtgärder mot penningtvätt och finansiering av terrorism9 gett ytterligare vägledning och information om vilka överväganden som en revisor bör göra samt vilka åtgärder som bör vidtas för att uppfylla penningtvättslagens krav. Enligt uttalandet (p. 5.44)10 kan behov av uppdatering av riskbedömningen föreligga när det är fråga om ett nytt beteende hos kunden, t.ex. en ny verksamhetsinriktning eller när revisorn får kännedom om nya omständigheter som påverkar riskbedömningen. I bilaga 211 till uttalandet ges exempel på transaktioner eller omständigheter som kan motivera en närmare granskning och skärpta kundkännedomsåtgärder enligt penningtvättslagen. Omständigheter som inkluderas i uppräkningen är exempelvis transaktioner som är stora i förhållande till vad som normalt förekommer hos kunden, ett stort antal transaktioner under ett visst intervall som inte förefaller normala för kunden eller den kundkategori kunden tillhör samt att kunden använder nya produkter eller affärsmetoder. Vidare framgår att en situation där det typiskt sett kan vara motiverat med en närmare granskning och utredning är när kundens verksamhet byter ägare eller styrelse frekvent utan rimlig förklaring.

Motsvarande bestämmelser fanns före den 1 augusti 2017 i 1 kap. 2 § och 2 kap. 1 § gamla penningtvättslagen.

Motsvarande bestämmelse fanns före den 1 augusti 2017 i 2 kap. 11 § gamla penningtvättslagen.

Motsvarande bestämmelser fanns före den 1 augusti 2017 i 2 kap. 3 § gamla penningtvättslagen.

Motsvarande bestämmelse fanns före den 1 augusti 2017 i 2 kap. 10 § gamla penningtvättslagen.

Motsvarande bestämmelser fanns före den 1 augusti 2017 i 2 kap. 13 § gamla penningtvättslagen.

EtikU 11 ändrades senast genom EtikP 2018:9 då uttalandet genomgick större förändringar.

Motsvarande bestämmelse fanns tidigare i dåvarande p. 2.31–2.32.

Liknande exemplifiering fanns tidigare i dåvarande p. 3.5 och 3.6.

Professionell skepticism och förståelse för verksamheten

I International Standard on Auditing (ISA) 200 Den oberoende revisorns övergripande mål samt utförande av revision enligt ISA p. 15 anges att revisorn ska förhålla sig professionellt skeptisk när han eller hon planerar och utför en revision och vara medveten om att det kan finnas omständigheter som gör att de finansiella rapporterna innehåller väsentliga felaktigheter. En bestämmelse med liknande innebörd finns 9 kap. 3 § aktiebolagslagen (2005:551). I uttrycket ”att förhålla sig professionellt skeptisk” ligger bl.a. att revisorn ska bedöma revisionsbevis kritiskt och ifrågasätta tillförlitligheten i information som har inhämtats från företagsledningen och styrelsen (se ISA 200 p. A 22). Av p.17 samma ISA framgår att revisorn ska inhämta tillräckliga och ändamålsenliga revisionsbevis för att minska revisionsrisken till en godtagbar låg nivå för att därmed få möjlighet att dra rimliga slutsatser som grund för sitt uttalande.

I ISA 240 Revisorns ansvar avseende oegentligheter p. 23 sägs att revisorn ska utvärdera om ovanliga eller oväntade relationer som har identifierats vid den analytiska granskningen, däribland sådant som rör intäktskonton, kan tyda på risker för väsentliga felaktigheter som beror på oegentligheter.

Enligt ISA 315 Identifiera och bedöma riskerna för väsentliga felaktigheter p. 3 är revisorns mål att identifiera och bedöma risker för väsentliga felaktigheter, vare sig dessa beror på oegentligheter eller på fel genom att förstå företaget och dess miljö. Revisorn ska skaffa sig en förståelse av bl.a. företagets mål, strategier samt affärsrisker som sammanhänger med dem, som kan leda till risker för väsentliga felaktigheter (p. 11). Exempel på förhållande att beakta är nya varor och expansion av verksamheten. För att skaffa sig en bild av företagets karaktär kan revisorn behöva överväga frågor om viktiga kunder och leverantörer (p. A.32).

Bedömningen i detta fall

A-son hade – såsom verksamhetsutövare i penningtvättslagstiftningens mening – en skyldighet att fortlöpande skaffa sig aktuell kännedom om revisionsklienten (kundkännedom). Det ålåg henne också att dokumentera erhållen kundkännedom. Varken av hennes dokumentation eller av hennes yttranden till Revisorsinspektionen kan utläsas att hon vidtog några andra åtgärder i detta syfte än att hon återkommande pratade med bolagsledningen. Detta kan inte anses ha varit en tillräcklig åtgärd.

A-son har som skäl för att hon inte vidtog några ytterligare åtgärder hänvisat bl.a. till att personerna i bolagsledningen presenterades för henne personligen och att hon var bekant med styrelseledamöterna sedan tidigare. Det finns dock ingenting som tyder på att dessa omständigheter hade gett henne den kundkännedom som hon var skyldig att skaffa sig.

Revisorsinspektionen konstaterar mot denna bakgrund att A-son inte hade eller skaffade sig den grundläggande kundkännedom som penningtvättslagstiftningen kräver att en verksamhetsutövare skaffar sig.

Enligt aktiebolagslagen och ISA 200 åligger det en revisor att förhålla sig professionellt skeptisk i sin planering och sitt genomförande av granskningen. I detta fall redovisade guldbolaget en relativt kraftig omsättningsökning på grund av en väsentligt ökad handel med platina. Handeln med metallen präglades av en stor försäljningsvolym, en låg vinstmarginal och ett fåtal transaktioner och den skedde mot nya affärspartners. Leveranser skedde i stort sett uteslutande från en enda leverantör och försäljningen riktades till en enda kund med vilken man delade lokal. Leverantörsbolaget var nystartat utan historik. Var och en av dessa omständigheter borde enligt Revisorsinspektionens bedömning ha föranlett A-son att, i enlighet med ISA 315, vidta åtgärder för att skaffa sig en förståelse av denna i allt väsentligt nya del av bolagets verksamhet i syfte att kunna bedöma riskerna för väsentliga felaktigheter, inklusive sådana som skulle kunna bero på oegentligheter.

A-sons dokumentation och yttranden visar att hennes granskning av platinahandeln begränsades till att hon dels stickprovsvis kontrollerade sex kundfakturor och tretton inköpsfakturor, dels tog in registreringshandlingar för leverantörsbolaget. Därutöver påtalade hon för bolagsledningen att hon ansåg att bolagets affärer med platina behövde ses över pga. den låga vinstmarginalen. Revisorsinspektionen bedömer att dessa åtgärder inte kunde ge henne sådan förståelse av verksamheten som var nödvändig för att hon skulle kunna bedöma risken för väsentliga fel i förhållande till handeln med platina. Givet de omständigheter som redovisats i föregående stycke borde hon vidare ha gjort en uppdaterad bedömning enligt penningtvättslagen av vilken risk som var förknippad med kundens verksamhet. Dessa granskningsbrister medförde dessutom att hon inte heller kunde uppmärksamma avvikelser som hade kunnat föranleda skärpta kundkännedomsåtgärder enligt penningtvättslagen

Revisorsinspektionen anser att A-son – genom att inte vidta de åtgärder som enligt penningtvättslagen ålåg henne för att uppnå och upprätthålla kundkännedom – handlat i strid med lag och att hon därigenom åsidosatt sina skyldigheter som revisor. Hon har vidare åsidosatt god revisionssed genom att inte skaffa sig tillfredsställande förståelse för revisionsklientens verksamhet. Det som ligger henne till last är allvarligt. Hon ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), ges en varning.

FARs kommentar

Ärendet är särskilt intressant då det uppmärksammar kopplingen mellan revisorns granskning enligt god revisionssed och den riskbedömning av kunden som ska göras enligt penningtvättslagen. RI konstaterar i sin bedömning att den information om företaget som revisorn skaffar sig inom ramen för revisionsuppdraget kan vara till hjälp men är normalt inte tillräckligt för att revisorn ska kunna fullgöra skyldigheter enligt penningtvättslagen helt och fullt. Bristen att fullfölja skyldigheterna om att uppnå kundkännedom enligt penningtvättslagen kopplas i RIs bedömning samman med att det även förelåg omständigheter som kunde tyda på en förhöjd risk för penningtvätt eller finansiering av terrorism. Kritiken i denna del förefaller främst gälla att revisorn inte ens vidtagit grundläggande åtgärder för uppdaterad kundkännedom, samtidigt som det kan ha varit befogat att vidta skärpta åtgärder. Samtidigt pekar RI på att samma omständigheter borde ha föranlett revisorn att vidta revisionsåtgärder för att skaffa sig en förståelse för en del av bolagets verksamhet som var ny för bolaget.