Dnr 2022-328

2.1 Revisionsdokumentationen

I dokumentet Engagement Acceptance för 2018 anges att bolaget eller närstående bolag till bolaget inte står under Finansinspektionens tillsyn. Riskbedömningen har angetts som låg. Dokumentet Engagement Acceptance för 2019 har en liknande utformning.

Av dokumentet Client Continuance för 2018 framgår att den beräknade riskgraderingen är låg. Frågan om det har framkommit något som tyder på att kunden, dess ägare eller medlemmar i företagsledningen brutit mot lagar eller förordningar eller är involverade i penningtvätt, bedrägeri eller annan oegentlig medelshantering har besvarats med nej. I dokumentet har frågan om den verksamhet som kunden bedriver är förenad med hög risk/väsentlig osäkerhet besvarats med nej. Även frågan om den bransch som kunden verkar inom är förenad med hög risk eller är etiskt tveksam har besvarats med nej. Dokumentet Client Continuance för 2019 har en liknande utformning. I dokumentet Client Evaluation Report 2020 har den slutliga riskbedömningen satts till låg.

Den allmänna riskbedömning som har upprättats inom det revisionsföretag där A-son är verksam är daterad den 13 juli 2022. Det framgår att det är den andra versionen av dokumentet och att den första upprättades den 8 april 2021. Revisionsföretaget har gjort en riskgradering till utgångspunkt för riskbedömningen inom olika branscher. Tabellen tar sin utgångspunkt i en bedömning av EU-kommissionen och det anges att om revisionsföretaget gör en annan riskbedömning ska skälen för detta anges i processen för att acceptera och behålla kundrelationer. Den ändrade riskbedömningen och skälen för denna ska granskas av Quality & Risk Management Partner före ett beslut om att anta klienten som kund. Av dokumentet framgår att valutaväxlare enligt kommissionen har riskbedömningen ”Significant”. I dokumentet har revisionsföretaget åsatt valutaväxlare hög risk. Revisionsföretaget har även åsatt sitt tjänsteutbud olika riskbedömningar. Revision har åsatts normal risk.

Dokumentet Interna regler och riktlinjer för bekämpande av penningtvätt och finansiering av terrorism är upprättat av bolaget och daterat den 3 december 2018. Originalversionen anges vara daterad den 1 augusti 2017.

Dokumentet Instruktioner för övervakning och rapportering är upprättat av bolaget och daterat den 3 december 2018. Av dokumentet framgår bl.a. att det ska ske en löpande uppföljning av alla aktiva affärsförbindelser. Beroende på riskbedömningen av affärsförbindelserna ska uppföljning ske med viss periodicitet (Låg= var 12:e månad, Medel= var 6:e månad, Hög= var 3:e månad). Misstänkta transaktioner ska rapporteras.

I dokumentet AML Status update Appendix/Åtgärdsplan – som är daterat den 18 december 2019 – anges bl.a. att gällande bolagets övervakning kommer det att införas en automatiserad funktion för transaktionsscreening för bolagets kunder som är valutaväxlarföretag som är klassade som hög risk, detta för att kunna upptäcka ovanliga transaktionsmönster. Denna mjukvarufunktion kommer att utvecklas under år 2020. Det handlar om att upptäcka avvikelser i förväntade beteenden; det kontrolleras om en transaktion som kunden försöker göra utgör ett avvikande beteende från kundens normala mönster när det gäller till exempel transaktionens syfte, art, affärsmässiga värde samt betalningsmetod. Bolaget har antecknat att ovan ska vara åtgärdat den 31 december 2020. Av dokumentet framgår att det togs emot av revisionsteamet den 9 mars 2021.

Bolaget var under räkenskapsåren 2018–2020 föremål för ett tillsynsärende hos Finansinspektionen. Av Finansinspektionens slutskrivelse, daterad den 4 mars 2020, framgår att Finansinspektionen hade vissa synpunkter på bolagets processer för att motverka penningtvätt (AML-processer). Ärendet ledde dock inte till några sanktioner och kunde avslutas. Bolaget hade gått med på att vidareutveckla sina processer på området och var på väg att införa ytterligare kontroller på området. Revisionsföretaget hade inte identifierat något som föranledde förändringar i revisionsansatsen. Finansinspektionens undersökning avsåg enbart bolagets verksamhet med valutaväxling.

I dokumentationen finns också ett dokument som är betecknat Yttrande efter oberoende granskning 2020 och daterat den 28 december 2020. I dokumentet som härrör från en juristbyrå och avser bolagets förhållanden anförs bl.a. att införandet av en automatiserad funktion för transaktionsscreening inte hade genomförts utan att bolaget i stället hade valt att tillämpa en manuell rutin för de kunder som var valutväxlingsföretag och att denna rutin innefattade manuell transaktionsscreening/löpande övervakning av dessa kunder.

2.2 Revisorns uppgifter

A-son har uppgett följande.

Bolaget bedrev valutaväxling, valutahandel och handel med guld och silver. Det var ett registrerat valutaväxlingsföretag.

Det revisionsföretag där han är verksam har varit valt till revisor i bolaget sedan år 2013. Uppdraget har omfattat samtliga räkenskapsår från och med år 2012. Han utsågs till huvudansvarig revisor under år 2018.

Efterlevnaden av skyldigheterna enligt penningtvättslagen är en central fråga för företag som bedriver handel med ädelmetaller och valutaväxling. Registrering av företag som valutaväxlingsföretag får beviljas endast om det finns skäl att anta att verksamheten kommer att bedrivas på ett sätt som är förenligt med penningtvättslagen.

Frågor om bolagets efterlevnad av penningtvättslagen berördes inom ramen för förvaltningsrevisionen under de räkenskapsår som det nu är fråga om. Han tog del av bolagets interna regler och riktlinjer för bekämpande av penningtvätt och finansiering av terrorism samt bolagets instruktioner för övervakning och rapportering på penningtvättsområdet. Han gick vidare igenom styrelseprotokoll och intern rapportering i bolaget och hade samtal med företagsledningen.

Bolaget var under räkenskapsåren 2018–2020 föremål för ett tillsynsärende hos Finansinspektionen. Ärendet avsåg bolagets efterlevnad av penningtvättsregelverket i valutaväxlingsverksamheten. Under ärendets gång tog bolaget fram en åtgärdsplan som granskades av extern juridisk expertis som bolaget anlitade. Han tog löpande del av underlagen i ärendet och informerades muntligen av styrelsen vid flera tillfällen. Ärendet avslutades i början av år 2021 utan att några sanktioner meddelades. Finansinspektionen framhöll i sin slutskrivelse att bolaget löpande under undersökningen hade vidtagit åtgärder för flertalet av de brister som Finansinspektionen hade identifierat och att bolagets åtgärdsplan bedömdes vara tillräcklig för att komma till rätta med kvarstående brister.

Det är endast nettot eller bolagets förtjänst vid växlingstransaktionerna som redovisas som omsättning i bolagets valutaväxlingsverksamhet. Marginalen i växlingsrörelsen är låg. Även om växlingsverksamheten i och för sig hade en stor beloppsmässig omfattning utgjorde den endast en liten del, år 2020 mindre än fem procent, av bolagets redovisade omsättning. Omsättningen från valutaväxlingsverksamheten var alltså en oväsentlig del av bolagets omsättning.

Omsättningen har i stället till största delen utgjorts av handel med silver och guld. Detta förhållande påverkade omfattningen och inriktningen av granskningen av valutaväxlingsverksamheten vid planeringen av och vid utförandet av räkenskapsrevisionen.

Vid de diskussioner med företagsledningen som förekom under revisionen ställdes frågor om efterlevnaden av rutiner. Som nämnts fanns enligt granskningen inga indikationer om väsentliga brister i eller avvikelser från bolagets rutiner på penningtvättsområdet. Under år 2020 hade bolaget anlitat en extern jurist för att granska bolagets rutiner och regelefterlevnad på penningtvättsområdet.

Han var medveten om att bolaget stod under tillsyn av Finansinspektionen. De båda acceptance-dokument som finns i dokumentationen hade uppenbarligen fyllts i fel.

Revisionsföretagets allmänna riskbedömning kom vid revisionstidpunkterna till uttryck i den företagsgemensamma processen för prövning av kunder och uppdrag. Dokumentationen kring detta hanterades i separat ordning inom den processen. Slutsatserna finns i dokumenten Engagement Acceptance och Client Continuation för åren 2018, 2019 och 2020.

Han åsatte revisionsklienten låg risk, såsom hade varit fallet även tidigare år. Vid denna bedömning beaktade han sin kunskap och kännedom om bolagets processer och rutiner och affärsmässiga hantering givet legala krav på verksamheten. Eftersom det inte förelåg några förändrade förhållanden eller några indikationer om väsentliga avvikelser på penningtvättsområdet, lämnade han riskbedömningen oförändrad. Till detta kom att revisionsföretagets företagsgemensamma process för prövning av kunder och uppdrag, innefattande processen för identifiering av kunder och uppdrag med högre risk avseende penningtvätt och terrorismfinansiering, inte heller hade identifierat bolaget som ett bolag med förhöjd risk.

Revisionsföretagets Quality & Risk Management Partner kopplas in när revisionsklientens risk bedöms vara hög. Eftersom kunden åsattes låg risk, involverades Quality & Risk Management Partner inte i riskbedömningen.

Det kom vid granskningen inte fram att det fanns några väsentliga brister i eller avvikelser från bolagets rutiner på penningtvättsområdet. Det gjordes inte inom ramen för revisionen några tester eller stickprov avseende efterlevnaden av bolagets rutiner på penningtvättsområdet. Granskningen bestod av diskussioner med företagsledningen, genomläsning av styrelseprotokoll, inhämtning av underlag för efterföljande händelser och inhämtning av legal letters. Vidare följde han det tillsynsärende på penningtvättsområdet som Finansinspektionen drev under perioden och de åtgärder som bolaget vidtog med anledning av det, bl.a. en utredning med stöd av en advokatbyrå.

Tillämpliga bestämmelser

Auktoriserade och godkända revisorer samt registrerade revisionsbolag utgör verksamhetsutövare i penningtvättslagens mening (se 1 kap. 2 § 18). I enlighet med 2 kap. 1 § penningtvättslagen ska en revisor därför göra en bedömning av om revisionsverksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker, en s.k. allmän riskbedömning.

En revisor ska också, med utgångspunkt i den allmänna riskbedömningen och sin kännedom om kunden, bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med en specifik kundrelation, kundens riskprofil (se 2 kap. 3 §). Revisorn ska vidare för varje uppdrag utföra åtgärder för kundkännedom (se kap. 3) och övervakning (se kap. 4). Dessa ska baseras på kundens riskprofil.

FAR har i sitt uttalande EtikU 11 Medlemmars tillämpning av lagen om åtgärder mot penningtvätt och finansiering av terrorism gett ytterligare vägledning och information om vilka överväganden som en revisor bör göra samt vilka åtgärder som bör vidtas för att han eller hon ska uppfylla penningtvättslagens krav. I bilaga 2 till uttalandet ges exempel på transaktioner och omständigheter som kan motivera en närmare granskning och skärpta kundkännedomsåtgärder enligt penningtvättslagen.3

Det ligger enligt Revisorsinspektionens uppfattning i sakens natur att revisorns åtgärder för övervakning enligt penningtvättslagen inte kan begränsas till hans eller hennes egna transaktioner med kunden utan måste avse allt det som revisionen omfattar. Övervakningen kan visserligen ske med utgångspunkt i de iakttagelser som görs vid den faktiska revisionen men revisorn måste i sammanhanget beakta den åsatta kundriskprofilen och de omständigheter som har föranlett denna. Han eller hon måste också vara särskilt uppmärksam på avvikande aktiviteter och transaktioner i kundens verksamhet. Identifierade risker måste vävas in i såväl revisionsplaneringen, riskbedömningen som granskningen. En revision, som uppfyller dessa kriterier, beaktar EtikU 11 och genomförs med professionell skepticism, får normalt anses innefatta tillräckliga övervakningsåtgärder enligt penningtvättslagen.

Bedömningen i detta fall

A-son angav vid sin planering och utvärdering av uppdraget att risknivån för uppdraget var låg. Av vad som framgår av hans dokumentation och yttranden gjorde han inte någon annan bedömning i fråga om just risken för penningtvätt.

En revisor ska vid sin granskning förhålla sig professionellt skeptisk.4 I detta ligger bl.a. att revisorn ska ha en ifrågasättande inställning och kritiskt bedöma den information som han eller hon får från företagsledningen.5 Det sagda gäller även vid utförande av kundkännedomsåtgärder, bedömning av kundriskprofil och övervakning enligt penningtvättslagen.

Bolaget bedrev bl.a. valutaväxling. Av den allmänna riskbedömningen framgår att valutaväxlingsföretag verkar i en högriskbransch. Finansinspektionen hade också granskat bolagets rutiner på penningtvättsområdet. Dessa omständigheter talade med styrka för att penningtvättsrisken i uppdraget skulle bedömas som hög.

Av A-sons dokumentation kan inte utläsas på vilka grunder som risken för penningtvätt skulle bedömas på annat sätt än det som revisionsföretagets allmänna riskbedömning angav i fråga om valutaväxlingsverksamhet, dvs. som hög. Det framgår inte heller att han faktiskt utformade sina granskningsinsatser med utgångspunkt i en hög risk för penningtvätt.

Den professionella skepticism som ska prägla en auktoriserad revisors arbete borde under förevarande omständigheter ha föranlett A-son att bedöma risken för penningtvätt som högre än låg (och även högre än medel). Detta skulle i sin tur föranlett honom att vidta skärpta kundkännedoms- och övervakningsåtgärder. Att bolaget i än större utsträckning än valutaväxling bedrev handel med silver och guld, en bransch som också innebär utmaningar på penningtvättsområdet, föranleder ingen annan bedömning. A-son har i dessa avseenden brustit i sina skyldigheter enligt penningtvättslagen och därigenom också åsidosatt sina skyldigheter som revisor.

Det som ligger A-son till last är allvarligt. Han ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), ges en varning.