Varning för underlåtenhet att inrätta en övervakningsprocess för revisionsföretagets kvalitetskontrollsystem och för avsaknad av en allmän riskbedömning samt brist på rutiner för åtgärder enligt penningtvättslagen.

1 Inledning

Auktoriserade revisorn A-son har varit föremål för FARs kvalitetskontroll och har då bedömts inte bedriva sin revisionsverksamhet enligt god revisions- och revisorssed. Detta har föranlett Revisorsinspektionen att öppna detta ärende.

A-son bedriver revisionsverksamhet genom ett aktiebolag (i det följande benämnt revisionsföretaget). Detta beslut behandlar hans ansvar för revisionsföretagets kvalitetskontrollsystem och hans åtgärder enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).

2 Revisionsföretagets kvalitetskontrollsystem

International Standard on Quality Control (ISQC) 1 Kvalitetskontroll för revisionsföretag som utför revision och översiktlig granskning av finansiella rapporter samt andra bestyrkande uppdrag och näraliggande tjänster innehåller krav på att ett revisionsföretag ska inrätta en särskild övervakningsprocess, som bl.a. ska innefatta regelbundet återkommande inspektioner av minst ett avslutat uppdrag för varje ansvarig revisor (se vidare nedan). Krav vad gäller ett revisionsföretags antagande av riktlinjer och inrättande av rutiner för övervakning finns även i Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet (verksamhetsföreskrifterna).

Av dokumentationen från kvalitetskontrollen framgår att A-sons revisionsföretag inte har haft sådana inspektioner som avses i ISQC 1.

A-son har uppgett följande.

Han vidgår att revisionsföretaget inte haft någon inspektion. Detta är nu åtgärdat. Revisorsinspektionen gör följande bedömning.

I 21 § första stycket 8 i verksamhetsföreskrifterna finns ett krav på att ett revisionsföretag ska inrätta ett system för intern kvalitetskontroll som bl.a. säkerställer hög kvalitet i lagstadgad kvalificerad revision. Enligt 21 § första stycket 12 verksamhetsföreskrifterna ska ett revisionsföretag övervaka och utvärdera lämpligheten och effektiviteten i sina riktlinjer, system och övriga rutiner samt vidta lämpliga åtgärder för att avhjälpa eventuella brister. I 21 § femte stycket verksamhetsföreskrifterna ställs krav på en årlig utvärdering av det interna kvalitetskontrollsystemet.1

Mera detaljerade riktlinjer för den byråinterna kvalitetskontrollen finns i ISQC 1. Av p. 11 följer att kvalitetskontrollsystemet ska ge rimlig säkerhet för att revisionsföretaget och dess personal följer standarder för yrkesutövningen och tillämpliga krav i lagar och andra författningar. Systemet ska också ge rimlig säkerhet för att rapporter som revisionsföretaget eller ansvariga revisorer lämnar är korrekta. I p. 48 utvecklas att revisionsföretaget ska inrätta en övervakningsprocess, avsedd att ge rimlig säkerhet för att de riktlinjer och rutiner som rör kvalitetskontrollsystemet är relevanta, ändamålsenliga och fungerande. Denna process ska bl.a. innefatta fortgående överväganden och utvärderingar av revisionsföretagets kvalitetskontrollsystem, däribland en regelbundet återkommande inspektion av minst ett avslutat uppdrag för varje ansvarig revisor.

I tillämpningsanvisningarna till ISQC 1, p. A 68, anges att ett revisionsföretag med ett begränsat antal anställda kan välja att anlita en extern person med passande kvalifikationer eller ett annat revisionsföretag för att genomföra uppdragsinspektioner eller andra övervakningsåtgärder. Alternativt kan revisionsföretaget komma överens om att dela resurser med andra lämpliga organisationer.

I egenskap av företrädare för revisionsföretaget har A-son varit skyldig att inrätta en sådan övervakningsprocess som Revisorsinspektionens verksamhetsföreskrifter och ISQC 1 p. 48 förutsätter. Det har han inte gjort. Det finns ingenting som tyder på att han inte skulle ha kunnat inrätta exempelvis en sådan övervakningsprocess som ISQC 1 p. A 68 beskriver.

Genom att inte inrätta någon övervakningsprocess har A-son åsidosatt god revisorssed.

Kraven infördes den 17 juni 2016 genom dåvarande Revisorsnämndens föreskrifter (RNFS 2016:1) om ändring i Revisorsnämndens föreskrifter (RNFS 2001:2) om villkor för revisorers och registrerade revisionsbolags verksamhet.

3 Åtgärder enligt penningtvättslagen

A-son har förelagts att skicka in revisionsföretagets allmänna riskbedömning och rutiner enligt 2 kap. penningtvättslagen samt sin fullständiga dokumentation avseende vidtagna åtgärder (t.ex. avseende kundkännedom, riskprofil och övervakning) i ett specificerat uppdrag.

Vad gäller den allmänna riskbedömningen har A-son skickat in ett dokument som är rubricerat 3 Acceptera och behålla kundrelationer och särskilda uppdrag. I dokumentet finns en hänvisning till att FARs uttalande i etikfrågor, EtikU 11 Medlemmarnas tillämpning av lagen om åtgärder mot penningtvätt och finansiering av terrorism, alltid ska beaktas samt en punkt i en lista som anger att det när ett uppdrag ska accepteras eller behållas alltid ska beaktas om det finns tecken på kriminell aktivitet. Dokumentet innehåller ingen bedömning av risken för att produkter och tjänster som tillhandahålls i revisionsföretagets verksamhet kan utnyttjas för penningtvätt eller finansiering av terrorism. Där anges inte heller några ytterligare rutiner och riktlinjer avseende åtgärder enligt penningtvättslagen.

I den insända dokumentationen avseende det specifika uppdraget finns för räkenskapsåret 2017 ett utdrag från Bolagsverket samt ett dokument rubricerat Utvärdering av befintligt uppdrag med två kryssfrågor avseende penningtvättslagen. Det finns också ett dokument rubricerat Riskhantering: Allmänna revisionshandlingar, Penningtvätt. I det senare dokumentet är den sammanfattande slutsatsen att inget tyder på penningtvätt eller finansiering samt att risken fortfarande är mycket låg. A-son har även skickat in exempel på liknande dokument avseende tidigare räkenskapsår. Dokumentationen innehåller inga beskrivningar av eventuellt förekommande kontroller av exempelvis identiteter, verkliga huvudmän eller personer i politiskt utsatt ställning. Det finns inte heller några handlingar som bestyrker att sådana kontroller har skett.

A-son har uppgett följande.

Revisionsföretaget gör en allmän riskbedömning enligt ISQC och går igenom FARs checklistor för kundkännedom. Han anser att kapitel 3 i riskbedömningen enligt ISQC 1 faller in under allmän riskbedömning. I det kapitlet hänvisas till att FARs uttalande EtikU 11 alltid ska beaktas. I en punkt hänvisas också till huruvida det finns tecken på kriminell aktivitet.

Dokumentet ”Väsentliga händelser” faller, enligt hans bedömning, in under kundkännedom, riskprofil och övervakning. När uppdraget i det specifika ärendet togs, kontrollerade han körkort och han har sedan dess träffat huvudmannen säkert 15–20 gånger och känner honom alltså väl och vet att han inte är en person i politisk utsatt ställning. Han har bedömt risken för penningtvätt som minimal, eftersom kunden erhåller nästan alla sina intäkter från kommunen och alla affärer görs i Sverige. Han har också bedömt att risken för finansiering av terrorism har varit minimal, eftersom inga betalningar gått till utlandet eller till svårkontrollerbara mottagare.

Revisorsinspektionen gör följande bedömning.

Auktoriserade och godkända revisorer samt registrerade revisionsbolag utgör verksamhetsutövare i penningtvättslagens mening (se 1 kap. 2 § 17 i den lagen). I enlighet med 2 kap. 1 § penningtvättslagen ska de därför göra en bedömning av hur den bedrivna revisionsverksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker, en så kallad allmän riskbedömning. Vid denna bedömning ska särskilt beaktas exempelvis hur tjänsterna tillhandahålls, vilka kunder man har och vilka geografiska riskfaktorer som finns (2 kap. 1 § andra stycket). Revisorer ska också, med utgångspunkt i den allmänna riskbedömningen och sin kännedom om kunden, bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med en specifik kundrelation, kundens riskprofil (se 2 kap. 3 §).

Revisorn ska vidare för varje uppdrag utföra åtgärder för kundkännedom. Dessa ska baseras på kundens riskprofil. Med åtgärder för kundkännedom avses identifiering av kunden och kontroll av dennes identitet genom t.ex. identitetshandlingar (se 3 kap. 7 § penningtvättslagen). Detta ska enligt 3 kap. 4 § ske redan vid etableringen av en affärsförbindelse, men affärsförbindelsen ska sedan, enligt 3 kap. 13 §, löpande följas upp för att säkerställa att kundkännedomen är tillräcklig och aktuell.

Av 2 kap. 8 § penningtvättslagen följer att revisorer ska ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Om en revisor bedriver sin verksamhet som anställd hos ett registrerat revisionsbolag, ska skyldigheten att upprätthålla rutiner gälla revisionsbolaget (jfr 2 kap. 16 §).

Det dokument som A-son har skickat in och hänvisat till såsom revisionsföretagets allmänna riskbedömning innehåller överhuvudtaget inte någon individualiserad utvärdering av revisionsföretagets verksamhet. Det finns till exempel ingen bedömning av om – och i så fall hur – revisionsföretagets olika tjänster kan användas för att dölja förekomsten av penningtvätt eller finansiering av terrorism och inte heller någon prövning av riskfaktorer kopplade till den kundstock revisionsföretag har. Eftersom dokumentet alltså varken identifierar eller analyserar risken för att revisionsföretaget och dess verksamhet kan utnyttjas för penningtvätt eller finansiering av terrorism, utgör det inte en sådan allmän riskbedömning som penningtvättslagen kräver.

Framtagandet av enskilda kunders riskprofiler ska utgå från de riskindikationer som har identifierats i den allmänna riskbedömningen och förutsätter dessutom att revisorn har tydliga interna rutiner och riktlinjer för att bedöma och hantera riskerna i enskilda uppdrag. Avsaknaden av en allmän riskbedömning – tillsammans med bristen på tydliga rutiner vad gäller behovet av åtgärder enligt penningtvättslagen – har därför medfört att A-son inte har kunnat göra någon egentlig bedömning av hur den enskilda kundens riskprofil ser ut. De bedömningar avseende risken för penningtvätt eller finansiering av terrorism på kundnivå som han har uppgett sig ha gjort kan inte anses motsvara en sådan kundriskprofil som penningtvättslagen kräver.

Avsaknaden av en kundriskprofil får i sin tur till följd att det inte går att bedöma om A-son har vidtagit tillräckliga och ändamålsenliga åtgärder för kundkännedom och övervakning i förhållande till den enskilda kunden.

Sammantaget visar Revisorsinspektionens utredning att A-son i flera avseenden har brustit i förhållande till sina skyldigheter enligt penningtvättslagen. Genom att inte vidta de åtgärder som han är skyldig att vidta har han handlat i strid med lag och därigenom åsidosatt sina skyldigheter som revisor.

4 Sammanfattande bedömning och val av disciplinär åtgärd

A-son har försummat att i sitt revisionsföretag inrätta en övervakningsprocess i enlighet med kraven i Revisorsinspektionens verksamhetsföreskrifter och ISQC 1. Han har vidare i flera avseenden brustit i sina skyldigheter enligt penningtvättslagstiftningen. I nu nämnda avseenden har han åsidosatt god revisorssed och sina skyldigheter som revisor. Han ska därför meddelas en disciplinär åtgärd.

Det som läggs A-son till last är sammantaget allvarligt. Han ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), ges en varning.