Revisorsinspektionen ger auktoriserade revisorn A-son en varning.
1 Inledning
Revisorsinspektionen har tagit del av information rörande den auktoriserade revisorn A-sons uppdrag som revisor i ett aktiebolag för räkenskapsåret 2017. Informationen har gett inspektionen anledning att öppna detta ärende.
2 Åtgärder enligt penningtvättslagen
A-son har förelagts att komma in med sin fullständiga dokumentation avseende de åtgärder som han vidtog i det aktuella uppdraget enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).
Av revisionsdokumentationen framgår att A-son bedömde kundens riskprofil som låg. Dokumentationen innehåller emellertid ingen redogörelse för vilka omständigheter eller överväganden som låg till grund för denna bedömning. Det kan inte heller utläsas vilka kundkännedoms- eller övervakningsåtgärder som A-son vidtog i uppdraget. Det finns inte heller några handlingar som tyder på att sådana åtgärder vidtogs, exempelvis kopior av id-handlingar, registerutdrag eller liknande.
A-son har uppgett följande.
Bolaget blev kund hos revisionsföretaget i augusti 2017, dvs. i nära anslutning till ikraftträdandet av nu gällande penningtvättslag den 1 augusti 2017. Åtgärderna för kundkännedom bör således rimligen bedömas utifrån skyldigheterna enligt den tidigare penningtvättslagen (2009:62). Händelserna i detta ärende ligger långt tillbaka i tiden och tillämpningen av penningtvättsregelverket har utvecklats och förfinats sedan den nya lagens ikraftträdande.
Det är riktigt att han inte efterfrågade en körskortskopia för den verkställande direktören. Han vill understryka att han innan han erhöll uppdraget hade träffat den verkställande direktören vid åtskilliga tillfällen inom ramen för ett affärsnätverk, där den verkställande direktören under en period även hade ingått i ledningsgruppen jämte honom själv. Oavsett tillgång till körkortskopia var den verkställande direktören känd för honom och han anser därför att överträdelsen borde ses som förhållandevis obetydlig.
Inom ramen för affärsnätverket har han regelbundet under flera år träffat tidigare styrelseledamöter i bolaget och ett flertal företrädare för dess factoringkunder.
Han hade alltså god kännedom om kunden och dess verksamhet. Kunskap fanns om ägarförhållandena, verklig huvudman, affärsförbindelserna samt syfte och art. Grundat på detta satte han risken för penningtvätt till låg.
3 Bedömning och val av disciplinär åtgärd
Tillämpliga bestämmelser
Auktoriserade och godkända revisorer samt registrerade revisionsbolag utgör verksamhetsutövare i penningtvättslagens mening (se 1 kap. 2 § 18). I enlighet med 2 kap. 1 § penningtvättslagen ska en revisor därför göra en bedömning av om revisionsverksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker, en s.k. allmän riskbedömning. En revisor ska också, med utgångspunkt i den allmänna riskbedömningen och sin kännedom om kunden, bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med en specifik kundrelation, kundens riskprofil (se 2 kap. 3 §). Revisorn ska vidare för varje uppdrag utföra åtgärder för kundkännedom (se 3 kap.) och övervakning (se 4 kap.). Dessa ska baseras på kundens riskprofil.
Med åtgärder för kundkännedom avses bland annat identifiering av kunden och kontroll av dennes identitet genom identitetshandlingar eller registerutdrag (se 3 kap. 7 § penningtvättslagen). Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska revisorn kontrollera den personens identitet och behörighet att företräda kunden. Det ska också göras en bedömning av om kunden eller dennes verkliga huvudman är en person i politiskt utsatt ställning eller är en familjemedlem eller känd medarbetare till en sådan person (se 3 kap. 10 §).
Åtgärderna för att uppnå kundkännedom ska enligt 3 kap. 4 § penningtvättslagen vidtas vid etableringen av en affärsförbindelse. Affärsförbindelsen ska sedan, enligt 3 kap. 13 §, löpande följas upp föra att säkerställa att kundkännedomen är tillräcklig och aktuell. Revisorn ska också, enligt 5 kap. 3 §, bevara dokument och uppgifter som avser de åtgärder som vidtas.
Enligt 7 § i Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna), som trädde i kraft 1 januari 2022, ska revisorn vid identitetskontrollen av en fysisk person kontrollera elektronisk legitimation, giltigt pass eller annan giltig identitetshandling. För en juridisk person ska kontrollen ske mot aktuellt registreringsbevis, registerutdrag eller uppgifter från andra tillförlitliga och oberoende källor. Av bestämmelsen framgår vidare att identitetskontroll ska genomföras även om kunden är en offentlig person eller är känd sedan tidigare. Revisorn ska enligt samma paragraf också bevara original eller kopia av den kontrollerade handlingen och det ska också framgå av dokumentationen när kontrollen har utförts.
Enligt 9 § i föreskrifterna ska en revisor minst en gång per år utvärdera såväl kundkännedomen som kundens riskprofil och vid behov uppdatera dessa. Datum, överväganden och slutsatser för utvärderingen samt eventuell uppdatering ska dokumenteras.
FAR har vidare i sitt uttalande EtikU 11 Medlemmars tillämpning av lagen om åtgärder mot penningtvätt och finansiering av terrorism gett vägledning och information om vilka överväganden som en revisor bör göra samt vilka åtgärder som bör vidtas för att han eller hon ska uppfylla penningtvättslagens krav.1
EtikU 11 ändrades senast genom FAR N 2022:1. Vägledning avseende åtgärder för kundkännedom, såsom identitetskontrollens genomförande, har emellertid funnits med sedan version EtikP 2017:15 av uttalandet.
Bedömningen i detta fall
När en revisor bedömer risken för penningtvätt eller finansiering av terrorism bör han eller hon normalt utgå från att risken är i vart fall normal.2 Särskilda omständigheter kan medföra att risken i det enskilda fallet i stället bedöms som hög eller låg.
Risknivån i en kundrelation får alltså bestämmas som låg endast om det finns specifika omständigheter som visar att risken för penningtvätt och finansiering av terrorism är lägre än normalt. Varken av A-sons dokumentation eller av hans yttranden kan utläsas att det förelåg några sådana omständigheter.
A-son har alltså, utan att ha identifierat några särskilda omständigheter som indikerade en reducerad risk, bedömt kundens riskprofil för penningtvätt och finansiering av terrorism som låg. Enligt Revisorsinspektionens mening hade han inte underlag för denna bedömning. Det som A-son har anfört om att bolaget, företrädarna och flera av dess kunder var kända av honom från ett lokalt affärsnätverk föranleder inte någon annan bedömning.
Det finns inte någon dokumentation som visar att A-son vidtog några som helst åtgärder för att uppnå kundkännedom i uppdraget. Inte heller hans yttranden till Revisorsinspektionen innehåller några uppgifter om sådana åtgärder.
A-son har som skäl till att kundkännedomsåtgärder inte vidtogs angett bland annat att den verkställande direktören och tidigare styrelseledamöter var kända av honom sedan tidigare och att kundförhållandet inleddes i nära anslutning till att den nu gällande penningtvättslagen trädde i kraft. Han har emellertid alltsedan han åtog sig revisionsuppdraget i augusti 2017 haft en skyldighet att fortlöpande skaffa sig aktuell kundkännedom om bolaget. Han borde alltså i vart fall i och med ikraftträdandet av Revisorsinspektionens föreskrifter ha uppdaterat och dokumenterat sin kundkännedom, inklusive identitetskontroller avseende bolaget, dess företrädare och eventuell verklig huvudman, på det sätt som penningtvättsregelverket kräver.
Revisorsinspektionen konstaterar dels att det förhållande att företrädarna var kända sedan tidigare inte gav honom den nödvändiga kundkännedomen, dels att den information som han har hänvisat till inte har dokumenterats och dels att tillgången till äldre information under alla förhållanden inte befriade honom från skyldigheten att fortlöpande vidta åtgärder för att hålla sin kundkännedom aktuell.
A-son har alltså varken genomfört en adekvat riskbedömning i det aktuella uppdraget eller vidtagit de åtgärder för att inhämta, dokumentera och uppdatera sin kundkännedom om bolaget som penningtvättslagen förutsätter. Härigenom har han brustit i sina skyldigheter som revisor och ska därför meddelas en disciplinär åtgärd.
Det som läggs A-son till last är sammantaget allvarligt. Han ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), ges en varning.
Jfr 10 § andra stycket penningtvättsföreskrifterna.