Varning för underlåtenhet att upprätta en allmän riskbedömning för revisionsföretagets verksamhet i enlighet med lagen om åtgärder mot penningtvätt och finansiering av terrorism samt underlåtenhet att vidta åtgärder för kundkännedom för enskilda kunder; även kritik för bristfällig granskning av ett bolags varulager.
FAR har kommenterat detta disciplinärende. Kommentaren återges sist i ärendet.
1 Inledning
Auktoriserade revisorn A-son har varit föremål för Revisorsinspektionens kvalitetskontroll och har då bedömts inte bedriva sin revisionsverksamhet enligt god revisions- och revisorssed. Detta har föranlett Revisorsinspektionen att öppna detta ärende.
A-son bedriver revisionsverksamhet genom ett aktiebolag (i det följande benämnt revisionsföretaget) som ägs av honom och en annan revisor. Detta beslut behandlar A-sons åtgärder enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen). Beslutet omfattar även granskningen av varulagret i ett revisionsuppdrag (nedan benämnt maskinbolaget). Maskinbolagets årsredovisning för räkenskapsåret 2018 upprättades med tillämpning av Bokföringsnämndens allmänna råd (BFNAR 2012:1) Årsredovisning och koncernredovisning (K3).
2 Revisorers dokumentationsskyldighet
En auktoriserad eller godkänd revisor ska enligt god revisionssed dokumentera dels sådana förhållanden som har betydelse för att ge bevis till stöd för uttalandena i revisionsberättelsen, dels sådana förhållanden som utgör bevis för att revisionen har planerats och utförts enligt god revisionssed. Bestämmelser om dokumentation finns i 24 § revisorslagen (2001:883) och 7–12 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet.1 Dessa kompletteras av International Standard on Auditing (ISA) 230 Dokumentation av revisionen. Dokumentationen ska vara tydlig och sammanställd på ett överskådligt sätt. Av dokumentationen ska framgå bl.a. hur granskningen har planerats, vilken granskning som har genomförts, när granskningen har utförts, vilka iakttagelser som har gjorts och vilka slutsatser som har dragits. Underlåtenhet att fullgöra dokumentationsskyldigheten på ett riktigt sätt bedöms som allvarlig, eftersom den försvårar en analys och en tillfredsställande bedömning av arbetet i efterhand.
Den omständigheten att en revisor inte dokumenterar sina granskningsåtgärder på ovan angivet sätt behöver i och för sig inte innebära att granskningsåtgärderna har varit otillräckliga. I ett sådant fall får dock Revisorsinspektionens bevisbörda anses övergå på revisorn. Det innebär att revisorn måste kunna redogöra för sin granskning på ett sådant sätt att det vid en helhetsbedömning framstår som sannolikt att de påstådda åtgärderna har utförts och att de har haft sådan inriktning och omfattning att de har kunnat tjäna som underlag för välgrundade slutsatser. Vid denna bedömning beaktar Revisorsinspektionen bl.a. hur detaljerade uppgifter revisorn har lämnat om sina granskningsinsatser. Om revisorn därvid inte förmår göra den påstådda granskningen sannolik, utgår Revisorsinspektionen från att någon tillfredsställande granskning inte har skett.
Motsvarande bestämmelser fanns före den 1 juli 2018 i 2–4 §§ Revisorsnämndens föreskrifter (RNFS 2001:2) om villkor för revisorer och registrerade revisionsbolags verksamhet.
3 Åtgärder enligt penningtvättslagen
A-son har förelagts att skicka in revisionsföretagets allmänna riskbedömning och rutiner enligt 2 kap. penningtvättslagen.
Han har skickat in ett dokument rubricerat Riktlinjer i enlighet med 2 kap. lag 2017:30 (penningtvättslagen). I dokumentet anges att en checklista baserad på FAR:s handledning lämpligen ska användas som stöd i det löpande arbetet samt att ytterligare stöd vid behov finns att hämta i FAR:s uttalande i etikfrågor, EtikU 11 Medlemmarnas tillämpning av lagen om åtgärder mot penningtvätt och finansiering av terrorism, och RevU 4 Revisorns åtgärder vid misstanke om brott respektive penningtvätt. Därutöver anges endast att vid övervägande om att agera i enskilt ärende ska bedömning göras tillsammans med kollega och vid behov extern expertis.
Dokumentet innehåller inte någon bedömning av risken för att produkter och tjänster som tillhandahålls i revisionsföretagets verksamhet kan utnyttjas för penningtvätt eller finansiering av terrorism.
Det går inte av revisionsdokumentationen för något de tre uppdrag som Revisorsinspektionen har granskat (nedan benämnda maskinbolaget, investmentbolaget och entreprenadbolaget) att utläsa vilka kundkännedomsåtgärder, riskbedömningar eller övervakningsaktiviteter som utförts. A-son har därför förelagts att skicka in sin fullständiga dokumentation avseende vidtagna åtgärder för dessa uppdrag. Någon sådan dokumentation har inte skickats in.
A-son har uppgett följande.
Han har varit revisor i maskinbolaget sedan 90-talet. Ägaren har varit densamme och han betraktar honom som mycket seriös. Bolaget bedriver försäljning i stort sett uteslutande till företagskunder och dess leverantörer är större namnkunniga verktygsleverantörer. De rena kassatransaktionerna är obetydliga. Företagets produktsortiment är inte heller av den art att stora kontantbetalningar är naturliga. Han har bedömt risken för penningtvättstransaktioner som mycket liten.
Ägaren till investmentbolaget är en i branschen känd finansman som bedriver investeringsverksamhet via ett antal bolag. Han har varit revisor i finansmannens bolag sedan 90-talet. Investmentbolaget äger och förvaltar långsiktiga innehav av värdepapper. Transaktioner av materiell art utgörs av förvärv eller avyttringar via bank. Han har bedömt risken för penningtvättstransaktioner som mycket liten.
Entreprenadbolaget har varit verksamt sedan 80-talet och han har varit revisor i ägarens bolag sedan år 2015. Han känner honom som en seriös ägare och företagsledare. Bolaget bedriver entreprenadverksamhet med större byggföretag som beställare. Kontanthantering förekommer i mycket liten omfattning (i bolagets butik) och företagets produktsortiment är inte heller av den art att stora kontantbetalningar är naturliga. Han har bedömt risken för penningtvättstransaktioner som liten.
Revisorsinspektionen gör följande bedömning.
Auktoriserade och godkända revisorer samt registrerade revisionsbolag utgör verksamhetsutövare i penningtvättslagens mening (se 1 kap. 2 § 17). I enlighet med 2 kap. 1 § penningtvättslagen ska de därför göra en bedömning av hur den bedrivna revisionsverksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker, en så kallad allmän riskbedömning. Vid denna bedömning ska särskilt beaktas exempelvis hur tjänsterna tillhandahålls, vilka kunder man har och vilka geografiska riskfaktorer som finns (2 kap. 1 § andra stycket). Revisorer ska också, med utgångspunkt i den allmänna riskbedömningen och sin kännedom om kunden, bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med en specifik kundrelation, kundens riskprofil (se 2 kap. 3 §).
Revisorn ska vidare för varje uppdrag utföra åtgärder för kundkännedom. Dessa ska baseras på kundens riskprofil. Med åtgärder för kundkännedom avses identifiering av kunden och kontroll av dennes identitet genom t.ex. identitetshandlingar (se 3 kap. 7 § penningtvättslagen). Detta ska enligt 3 kap. 4 § ske redan vid etableringen av en affärsförbindelse, men affärsförbindelsen ska sedan, enligt 3 kap. 13 §, löpande följas upp för att säkerställa att kundkännedomen är tillräcklig och aktuell.
Av 2 kap. 8 § penningtvättslagen följer att revisorer ska ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter.
Det dokument som A-son har gett in innehåller överhuvudtaget inte någon utvärdering av revisionsföretagets verksamhet. Det finns till exempel ingen bedömning av om – och i så fall hur – revisionsföretagets olika tjänster kan användas för att dölja förekomsten av penningtvätt eller finansiering av terrorism och inte heller någon prövning av riskfaktorer kopplade till den kundstock som revisionsföretag har. Eftersom dokumentet alltså varken identifierar eller analyserar risken för att revisionsföretaget och dess verksamhet kan utnyttjas för penningtvätt eller finansiering av terrorism, utgör det inte en sådan dokumenterad riskbedömning som penningtvättslagen kräver.
Framtagandet av enskilda kunders riskprofiler ska utgå från de riskindikatorer som har identifierats i den allmänna riskbedömningen och förutsätter dessutom att revisorn har tydliga interna rutiner och riktlinjer för att bedöma och hantera riskerna i enskilda uppdrag. Avsaknaden av en allmän riskbedömning – tillsammans med bristen på tydliga rutiner för att utröna behovet av åtgärder enligt penningtvättslagen – har medfört att A-son inte har kunnat göra någon egentlig bedömning av hur den enskilda kundens riskprofil ser ut. De bedömningar avseende risken för penningtvätt eller finansiering av terrorism på kundnivå som han har uppgett sig ha gjort kan inte anses motsvara en sådan kundriskprofil som penningtvättslagen kräver.
Avsaknaden av en kundriskprofil får i sin tur till följd att det inte går att bedöma om A-son har vidtagit tillräckliga och ändamålsenliga åtgärder för kundkännedom och övervakning i förhållande till den enskilda kunden. Några sådana åtgärder i penningtvättslagens mening är såvitt framgår av utredningen inte heller genomförda för de uppdrag som utredningen omfattar.
Sammantaget visar utredningen att A-son i flera avseenden har brustit i förhållande till sina skyldigheter enligt penningtvättslagen. Genom att inte vidta de åtgärder som han är skyldig att vidta har han handlat i strid med lag och därigenom åsidosatt sina skyldigheter som revisor.
4 Varulager (maskinbolaget)
För räkenskapsåret 2018 redovisades maskinbolagets omsättning till 151 mnkr och balansomslutningen till 89 mnkr. Posten Varulager redovisades med 33 mnkr, vilket motsvarade 38 procent av företagets totala balansomslutning. Av A-sons revisionsdokumentation för räkenskapsåret framgår att fel över 300 tkr skulle anses vara materiella.
Av dokumentation kan inte utläsas att A-son närvarade vid inventering någon gång under räkenskapsåret 2018.
A-son har uppgett följande.
Bolaget har ett lagersaldoredovisningssystem och genomför rullande inventeringar. Lagerredovisningssystemet innefattar automatiska beställningspunkter och uppdateras med leverantörens prislista så snart denne ändrar sina priser. Personalen är väl förtrogen med inventeringsrutinerna och systemet har använts under flera år.
Han har inte närvarat vid någon inventering under räkenskapsåret 2018. Den löpande granskningen, som utfördes november 2018, omfattade avstämning av lagerredovisningssystemet mot redovisningssystemet, analys av lagrets omsättningshastighet, analys av bruttovinstanalys, genomgång av inventeringsinstruktioner, jämförelse av totalt lagervärde samt förklaring av värdeförändring. Bokslutsgranskningen, som utfördes under mars och april 2019, omfattade bland annat avstämning av lagerredovisningssystemet mot redovisningssystemet, jämförelse av totalt lagervärde, pristest, bruttovinstanalys samt jämförelse av lagrets omsättningshastighet.
Revisorsinspektionen gör följande bedömning.
I ISA 501 Revisionsbevis – särskilda överväganden för vissa poster p. 4 anges att om varulagret är väsentligt för de finansiella rapporterna ska revisorn inhämta tillräckliga och ändamålsenliga revisionsbevis om lagrets existens och skick genom att bl.a. närvara vid lagerinventering. A-son närvarade inte vid lagerinventeringen för maskinbolaget, trots att varulagret var väsentligt och översteg hans övergripande väsentlighetstal. I revisionsdokumentationen kan inte heller utläsas att han genomförde alternativa granskningsåtgärder för att hämta in tillräckliga och ändamålsenliga revisionsbevis rörande varulagrets existens och skick. Såvitt dokumentationen utvisar utförde han inte heller någon granskning av internkontrollen avseende varulagret. Av dokumentationen går därmed inte att utläsa att A-son gjorde en tillräcklig granskning av lagrets existens och värde. Han har inte heller genom sina yttranden till Revisorsinspektionen gjort sannolikt att en sådan granskning kom till stånd. Inspektionen drar av detta slutsatsen att hans granskning av bolagens varulager var bristfällig (se den i avsnitt 2 angivna bevisbörderegeln).
A-son saknade därmed grund för att tillstyrka fastställande av bolagens resultat- och balansräkningar. Genom att ändå göra det har han åsidosatt god revisionssed.
5 Sammanfattande bedömning och val av disciplinär åtgärd
A-son har brustit i sina skyldigheter enligt penningtvättslagstiftningen. Vidare har, i ett av hans uppdrag, granskningen av varulagret varit otillräcklig. I nu nämnda avseenden har han åsidosatt god revisionssed och sina skyldigheter som revisor. Han ska därför meddelas en disciplinär åtgärd.
Det som läggs A-son till last är sammantaget allvarligt. Han ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), ges en varning.
FARs kommentar
Från detta och liknande ärenden som avgjorts på senare tid kan man dra slutsatsen att om RI finner brister i revisorns åtgärder för att uppnå kundkännedom enligt lagen om åtgärder mot penningtvätt och finansiering av terrorism så kommer RI att begära in och utvärdera revisionsföretagets allmänna riskbedömning. Det är viktigt för varje medlemsbyrå att ha dokumentation och rutiner enligt penningtvättslagen på plats.