Revisorsinspektionen ger auktoriserade revisorn A-son en varning förenad med en sanktionsavgift på 60.000 kronor.
1 Inledning
Som ett led i arbetet mot penningtvätt och finansiering av terrorism gjorde Revisorsinspektionen under år 2023, utifrån ett riskbaserat urval, en riktad satsning på området inom ramen för den riskbaserade tillsynsverksamheten.
Revisorsinspektionen valde med anledning av detta ut A-son i hans egenskap av auktoriserad revisor samt ställföreträdare för det revisionsföretag där han är verksam och öppnade därför detta tillsynsärende. Han förelades inledningsvis att ge in revisionsföretagets allmänna riskbedömning samt rutiner och riktlinjer för åtgärder enligt penningtvättslagen,1 dokumentationen av företagets utbildning inom området penningtvätt och terrorfinansiering samt revisionsdokumentationen för två revisionsuppdrag. De båda uppdragen avsåg ett restaurangbolag (räkenskapsåret 2021-07-01–2022-06-30) och ett bolag som bedrev utbildningsverksamhet (”utbildningsbolaget”, räkenskapsåret 2021).
2 Rättslig reglering
2.1 Revisorns dokumentationsskyldighet
En auktoriserad eller godkänd revisor ska enligt god revisionssed dokumentera dels sådana förhållanden som har betydelse för att ge bevis till stöd för uttalandena i revisionsberättelsen, dels sådana förhållanden som utgör bevis för att revisionen har planerats och utförts enligt god revisionssed. Bestämmelser om dokumentation finns i 24 § revisorslagen (2001:883) och 7–12 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet. Dessa kompletteras av International Standard on Auditing (ISA) 230 Dokumentation av revisionen. Dokumentationen ska vara tydlig och sammanställd på ett överskådligt sätt. Av dokumentationen ska framgå bl.a. hur granskningen har planerats, vilken granskning som har genomförts, när granskningen har utförts, vilka iakttagelser som har gjorts och vilka slutsatser som har dragits. Underlåtenhet att fullgöra dokumentationsskyldigheten på ett riktigt sätt bedöms som allvarlig, eftersom den försvårar en analys och en tillfredsställande bedömning av arbetet i efterhand.
Den omständigheten att en revisor inte dokumenterar sina granskningsåtgärder på ovan angivet sätt behöver i och för sig inte innebära att granskningsåtgärderna har varit otillräckliga. I ett sådant fall får dock Revisorsinspektionens bevisbörda anses övergå på revisorn. Det innebär att revisorn måste kunna redogöra för sin granskning på ett sådant sätt att det vid en helhetsbedömning framstår som sannolikt att de påstådda åtgärderna har utförts och att de har haft sådan inriktning och omfattning att de har kunnat tjäna som underlag för välgrundade slutsatser. Vid denna bedömning beaktar Revisorsinspektionen bl.a. hur detaljerade uppgifter revisorn har lämnat om sina granskningsinsatser. Om revisorn därvid inte förmår göra den påstådda granskningen sannolik, utgår Revisorsinspektionen från att någon tillfredsställande granskning inte har skett.
2.2 Penningtvättsregelverket
Auktoriserade och godkända revisorer är enligt 1 kap. 2 § 18 lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen) s.k. verksamhetsutövare enligt lagen och ska därmed följa lag och föreskrifter på området.
Allmän riskbedömning
Revisionsföretaget ska – såsom verksamhetsutövare i penningtvättslagens mening – enligt 2 kap. 1 § penningtvättslagen göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som är för handen. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.
Rutiner och riktlinjer
Revisionsföretaget ska enligt 2 kap. 8 § penningtvättslagen ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Dessa ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism.
Utbildning
Revisionsföretaget ska enligt 2 kap 14 § penningtvättslagen se till att anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten och som utför arbetsuppgifter av betydelse för att förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism fortlöpande får relevant utbildning och information för att kunna fullgöra verksamhetsutövarens skyldigheter enligt lagen. Utbildningen ska åtminstone avse relevanta delar av innehållet i gällande regelverk, revisionsföretagets allmänna riskbedömning, rutiner och riktlinjer samt information som ska underlätta att upptäcka misstänkt penningtvätt och finansiering av terrorism. I 5 § penningtvättsföreskrifterna anges att ett revisionsföretag ska dokumentera den utbildning som avses i 2 kap. 14 § penningtvättslagen. Av dokumentationen ska utbildningens innehåll, namn på deltagare och datum för utbildningen framgå.
Kundens riskprofil
Av 2 kap. 3 § penningtvättslagen framgår att revisorn ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen. Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden. När det behövs för att bestämma kundens riskprofil ska verksamhetsutövaren beakta bland annat omständigheter som avses i 2 kap. 4 och 5 §§ penningtvättslagen och andra omständigheter som i det enskilda fallet påverkar risken som kan förknippas med kundrelationen. Kundens riskprofil ska följas upp under pågående affärsförbindelser och ändras när det finns anledning till det.
Kundkännedom
Enligt 3 kap. 4 § penningtvättslagen ska revisorn vid etableringen av en affärsförbindelse vidta åtgärder för kundkännedom. Revisorn får enligt 3 kap. 1 § över huvud taget inte etablera eller upprätthålla en affärsförbindelse om han eller hon inte har tillräcklig kännedom om kunden för att kunna hantera den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen eller för att kunna övervaka och bedöma kundens aktiviteter och transaktioner. Av 3 kap. 7 § följer att revisorn ska identifiera kunden och kontrollera dennes identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska revisorn kontrollera den personens identitet och behörighet att företräda kunden. Behörigheten ska enligt 7 § penningtvättsföreskrifterna kontrolleras genom fullmakt, förordnande eller motsvarande behörighetshandling. Enligt samma bestämmelse ska revisorn vid identitetskontrollen av en juridisk person kontrollera aktuellt registreringsbevis, registerutdrag eller uppgifter från andra tillförlitliga och oberoende källor samt bevara original eller kopia av den kontrollerade handlingen. Av dokumentationen ska framgå när kontrollen har utförts. Såsom följer av 3 kap. 8 § penningtvättslagen ska revisorn även utreda om kunden har en verklig huvudman. En sådan utredning ska åtminstone avse sökning i registret över verkliga huvudmän som Bolagsverket för enligt lagen (2017:631) om registrering av verkliga huvudmän. Om kunden är en juridisk person, ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska revisorn vidta åtgärder för att kontrollera den verkliga huvudmannens identitet. Enligt 3 kap. 9 § penningtvättslagen ska kontrollen av kundens och den verkliga huvudmannens identitet slutföras innan en affärsförbindelse etableras.
Revisorn ska vidare, enligt 3 kap. 10 och 11 §§ penningtvättslagen, bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning eller en familjemedlem eller känd medarbetare till en sådan person samt om kunden är etablerad i ett s.k. högrisktredjeland. Av 3 kap. 13 § följer att revisorn även löpande och vid behov ska följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.
Övervakning
En revisor ska – enligt vad som närmare utvecklas i 4 kap. 1 § penningtvättslagen – övervaka pågående affärsförbindelser och bedöma enstaka transaktioner i syfte att upptäcka aktiviteter och transaktioner som kan antas ingå som ett led i penningtvätt eller finansiering av terrorism. Inriktningen och omfattningen av övervakningen ska bestämmas med beaktande av de risker som har identifierats i den allmänna riskbedömningen, den risk för penningtvätt och finansiering av terrorism som kan förknippas med kundrelationen och annan information om tillvägagångssätt för penningtvätt eller finansiering av terrorism.
Utvärdering och dokumentation
Av 9 § penningtvättsföreskrifterna följer att en revisor under pågående uppdrag, på grundval av en riskbedömning men minst en gång per år, ska utvärdera kundkännedomen och kundens riskprofil samt vid behov uppdatera dessa. Enligt 5 kap. 3 § penningtvättslagen ska handlingar och uppgifter avseende åtgärder som har vidtagits för kundkännedom bevaras under fem år. Tiden ska räknas från det att åtgärderna utfördes eller, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde. Av dokumentationen ska framgå bl.a. vilka granskningsåtgärder som har utförts, vad dessa har omfattat samt när och hur granskningsåtgärderna har utförts (se 11 § penningtvättsföreskrifterna med hänvisning till 7 och 9 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet). Dokumentationen ska vara tydlig och strukturerad på ett överskådligt sätt. Den ska vara inriktad på väsentlig information men ändå så detaljerad att revisorns arbete kan bedömas i efterhand. Enligt 7 § penningtvättsföreskrifterna ska identitetskontroller dokumenteras genom en kopia av den kontrollerade handlingen eller, avseende fysiska personer, en anteckning av den kontrollerade handlingens nummer, giltighetstid och utfärdare.
3 Åtgärder enligt penningtvättsregelverket – det egna revisionsföretaget
3.1 Allmän riskbedömning
A-son har gett in ett dokument rubricerat ”Generell riskbedömning avseende penningtvätt och finansiering av terrorism”. I dokumentet anges att revisionsföretagets produkter och tjänster utgörs av redovisning, revision och rådgivning och att detta är sedvanliga tjänster där risken för att utnyttjas för penningtvätt eller finansiering av terrorism generellt presumeras vara låg. Det anges inledningsvis att olika risksituationer har identifierats men att risken reduceras genom att företaget inte tillhandahåller dessa tjänster i risksituationer utan noggranna överväganden och fördjupade riskbedömningar på kundrisknivå. Vad gäller kunder eller distributionskanaler anges att det rör sig om främst små och medelstora företag, att uppdragen uteslutande är återkommande och att den generella risken därmed minskas.
Dokumentet övergår sedan till att beskriva nio generella kundtyper eller kundkategorier som anges innebära hög risk. I anslutning till två av dessa kundriskbeskrivningar har A-son, utan att utveckla varför, skrivit in namnet på sex av sina kunder. Under övriga kundriskbeskrivningar har han skrivit ”Nej”. Uppräkningen avslutas med den sammanfattande bedömningen ”Normalt låg risk”. Därefter beskriver dokumentet sju generella kundtyper som anges innebära normal risk. Här anges att revisionsföretaget inte har någon kund som motsvarar dessa kriterier.
I riskbedömningen anges vidare följande.
Några särskilda rutiner utöver kundkännedom och byråns generella rutiner enligt kvalitetshandboken krävs inte när risken är normal. Den förhöjda risken i enskilda uppdrag hanteras genom kundkännedomsåtgärder i de enskilda uppdragen. Normala risker hanteras genom att riskerna utvärderas minst var sjätte månad i kombination med att endast särskilt erfarna medarbetare är ansvariga för högriskuppdragen. Om den generella risken är hög vidtas sker utvärdering av risker minst var tredje månad och endast särskilt erfarna medarbetare får arbeta med högriskuppdragen.
Dessutom vidtas följande åtgärder som tar sikte på uppdragen med förhöjd risk:
Några åtgärder listas inte i det efterföljande.
Slutligen anges i dokumentet att det finns ”lämpliga rutiner för att säkerställa kundkännedom och andra rutiner”, ”medarbetare som är lämpliga för att hantera tilldelade uppgifter”, ”regelbunden anpassad utbildning av medarbetare”, ”rutiner för övervakning och agerande vid avvikande transaktioner” samt ”lämplig uppföljning av regelefterlevnad”. Det anges att det inte finns ”skydd mot hot, hämnd och liknande”, eftersom det ännu aldrig har varit aktuellt, samt att revisionsföretaget inte har erbjudit kunder nya eller väsentligt förändrade tjänster som kan påverka riskbedömningen och inte heller har erbjudit tjänster till nya kundsegment eller geografiska områden.
Revisorsinspektionen gör följande bedömning.
I en allmän riskbedömning ska revisionsföretaget göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker. Vid den allmänna riskbedömningen ska särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns och vilka geografiska riskfaktorer som föreligger. Slutligen ska riskbedömningen innehålla en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet, tjänster eller produkter sårbara för försök till att utnyttja verksamheten för penningtvätt eller finansiering av terrorism.
Det nu aktuella revisionsföretagets allmänna riskbedömning saknar en bedömning av de risker som kan förknippas med de tjänster som revisionsföretaget erbjuder – såväl generellt som i revisionsföretagets specifika fall. I riskbedömningen anges endast att redovisning, revision och rådgivning presumeras innebära låg risk. Den bedömningen hade, mot bakgrund av att detta inte kan anses vara allmänt vedertaget, åtminstone behövt motiveras.
Dokumentet saknar vidare en beskrivning av vilka kunder och distributionskanaler som finns. Här anges endast att kunderna utgörs av ”främst små och medelstora företag”, vilket inte säger något om kundernas verksamhetsområden eller branscher. Detta gör det i sin tur svårt att i nästa steg göra en kundriskbedömning. Det anges att risken minskas eftersom det rör sig om återkommande uppdrag i små och medelstora företag. Denna formulering kan emellertid inte anses uppfylla lagens krav på dokumenterad riskbedömning. Revisionsföretaget har sedan placerat sex enskilda kunder i två kundkategorier och i övrigt listat vad man anser utgöra hög risk hos en presumtiv kund; i de flesta fall har man antecknat att det inte finns någon kund som motsvarar beskrivningen. Nu nämnda uppgifter har närmast karaktären av en kundriskbedömning som inte har sin plats i en allmän riskbedömning.
Utöver detta saknas en bedömning av geografiska riskfaktorer. I dokumentet anges i detta avseende endast att företaget inte erbjuder tjänster till nya geografiska områden, utan att befintliga geografiska områden specificeras.
Den allmänna riskbedömningen innehåller inte någon beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism. Bedömningen värderar inte heller de risker som är förenade med några beskrivna hot eller sårbarheter. Det ovan återgivna avsnittet om rutiner beskriver en kortfattad rutin men utgör knappast en allmän riskbedömning. Syftet med en allmän riskbedömning är bland annat att ange vad som utgör en normal eller förhöjd risk, inte att beskriva allmänt hållna rutiner kring vad som ska göras när ospecificerade normala eller förhöjda risker uppstår.
Slutligen anges i dokumentet att revisionsföretaget har lämpliga rutiner för att säkerställa kundkännedom och andra rutiner, regelbunden anpassad utbildning av medarbetare och rutiner för övervakning och agerande vid avvikande transaktioner. Några sådana rutiner har emellertid inte getts in; enligt A-son finns det inte heller några rutiner på området.
Sammantaget anser Revisorsinspektionen att den allmänna riskbedömning som A-son har gett in uppfyller endast ett fåtal av lagens och föreskrifternas krav. Genom att i egenskap av revisionsföretagets företrädare inte tillse att revisionsföretaget har en allmän riskbedömning som uppfyller kraven har A-son brustit i sina skyldigheter enligt penningtvättslagen.
3.2 Rutiner och riktlinjer
A-son har i egenskap av företrädare för revisionsföretaget förelagts att ge in företagets rutiner och riktlinjer. Han har med anledning av det gett in en fyrsidig utskrift från Finansinspektionens webbplats.
A-son har uppgett följande.
Han har inte upprättat några egna rutiner eller riktlinjer utan använder sig av Finansinspektionens checklista.
Revisorsinspektionen gör följande bedömning.
En verksamhetsutövares rutiner och riktlinjer på penningtvättsområdet måste vara anpassade efter de riskindikatorer som har identifierats i den allmänna riskbedömningen. Det innebär bl.a. att en revisor inte kan nöja sig med att tillämpa checklistor och liknande riktlinjer som har upprättats av utomstående, utan att ta hänsyn till det specifika revisionsföretagets förhållanden.
Genom att inte tillse att det inom revisionsföretaget upprättades egna rutiner och riktlinjer på penningtvättsområdet har A-son brustit i sina skyldigheter enligt penningtvättslagen.
3.3 Utbildning
A-son har förelagts att ge in dokumentationen av revisionsföretagets utbildning inom området penningtvätt och finansiering av terrorism. Han har inte gett in någon sådan dokumentation.
A-son har uppgett följande.
Den utbildning han har på detta område är den han har fått på de allmänna utlandskurser som han alltid går hos ett utbildningsföretag med inriktning på skattefrågor. Dessutom har han följt och läst på det som skrivs och tillhandahålls av Finansinspektionen. Han försöker därefter arbeta i linje med detta. Han har inte gått någon utbildning som är speciellt inriktad på penningtvättseller terrorismfinansieringsgranskning.
Revisorsinspektionen gör följande bedömning.
A-son har, av vad som framkommer av utredningen, inte genomgått någon utbildning med särskild inriktning på penningtvätt och finansiering av terrorism. Att han har genomgått andra mer allmänt hållna utbildningar förändrar inte denna bedömning. A-son har härigenom brustit i sina skyldigheter enligt penningtvättslagen.
4 Restaurangbolaget
A-son var år 2015 behjälplig med restaurangbolagets registrering som aktiebolag. Bolaget bedriver restaurangverksamhet i en av Sveriges större städer. Styrelsen består numera av ägaren, i det fortsatta benämnd A, och en suppleant. Fram till år 2018 ingick även ägarens bror i styrelsen. För räkenskapsåret 2021/2022 var nettoomsättningen 4,7 mnkr, vilket innebar en ökning med 1,7 mnkr eller knappt 55 procent jämfört med föregående räkenskapsår. A-son lämnade en revisionsberättelse som var utan modifieringar, upplysningar eller anmärkningar.
4.1 Åtgärder enligt penningtvättsregelverket
A-son har tillfrågats om när han inledde affärsförbindelsen. Det registreringsbevis som finns i hans dokumentation är utskrivet år 2015 och sedan dess har ändringar skett i bolagets styrelse. Det finns ingen dokumentation av att han efter detta datum har följt upp identitetskontrollen genom att inhämta ett nytt registreringsbevis. I akten finns en kopia av företrädarens identitetshandling. Kopian av identitetshandlingen är odaterad, men handlingen är utfärdad år 2018.
Det finns ingen dokumentation av att A-son har utrett eller kontrollerat bolagets verkliga huvudman. I årsakten finns en utskrift av en webbsida hos Finansinspektionen, daterad 2022-10-10. På utskriften har A-son skrivit ”[A] 100 %”. I grundakten finns inte heller någon dokumentation av att han har kontrollerat huruvida företrädarna var personer i politiskt utsatt ställning, familjemedlemmar eller nära medarbetare till en sådan person. I årsakten har han antecknat ”Kundkännedom och PEP granskning UA”. På utskriften från Finansinspektionens webbplats har han med penna noterat ”Ingen PEP person i [restaurangbolaget]”. Det saknas vidare dokumentation av att han har kontrollerat om kunden var etablerad i ett högrisktredjeland. I utskriften av webbsidan hos Finansinspektionen har han under rubriken ”Högrisktredjeland” med penna skrivit ”Ej aktuellt”.
I årsakten finns en utskrift av företagets allmänna riskbedömning, med penna daterad 2022-10-10, där restaurangbolaget har angetts som ett exempel på en kund med hög risk. Anledningen till den höga risken anges vara att det är en kontantintensiv verksamhet där byrån bistår med fakturaservice och medelsförvaltning. A-son har med penna skrivit in att ”endast 2,6 av fsg betalar kontant”. I årsakten finns vidare en utskrift av kundens huvudbok mellan 2021-07-01 och 2022-06-30 där följande slutsats med penna är antecknad ”Av AB fsg avser endast 150 tkr eller 2,6 % kontant betalt. Slutsats = Risken för penningtvätt = minimal”. A-son har tillfrågats om vad de två riskbedömningarna avseende restaurangbolaget innebar. Han har också förelagts att inkomma med dokumentationen av eventuella tidigare riskbedömningar.
A-son har uppgett följande.
Han inledde affärsförbindelsen hösten 2015. Han kontrollerar styrelsen varje år när det är dags för påskrift av årsredovisningen, så att han vet att det är korrekt styrelse som skriver under den. Denna kontroll sker genom att han ringer Bolagsverket och kontrollerar att bolagets organisationsnummer hänger ihop med korrekt bolag och namn samt att rätt personer skriver under årsredovisningen. Ägaren A:s bror var delägare och styrelseledamot under några år i början av bolagets verksamhet men lämnade bolaget år 2018. Han har fortlöpande kontrollerat A:s identitet. Det finns ingen osäkerhet kring A:s identitet. Redovisningskonsulten känner A personligen och är mycket väl insatt i turerna kring bolaget och styrelseförändringen. Han har regelbunden kontakt med redovisningskonsulten kring A och bolaget.
Det kan inte anses råda någon tvekan om att det är A som är bolagets verkliga huvudman. Bolaget bildades genom att A:s enskilda firma omvandlades till ett nybildat aktiebolag. Detta gjordes av honom själv och bolagets redovisningskonsult. Han har stort förtroende för redovisningskonsulten och han känner sig fullkomligt trygg i förvissningen att A är bolagets verkliga huvudman. När det gäller frågan om att det inte finns någon dokumentation av att han har kontrollerat förekomsten av person i politiskt utsatt ställning, har han vid flera tillfällen diskuterat detta med A som inte har gett honom några indikationer på att han eller någon i hans familj skulle vara en person i politiskt utsatt ställning. Han kontrollerade om kunden hade någon koppling till ett högrisktredjeland hösten 2022 genom samtal med A.
Initialt såg det ut som att bolagets verksamhet kunde innebära hög risk. Han mötte denna risk genom att kontrollera hur stor del av försäljningen som skedde kontant. Han gjorde kundriskbedömningen första gången år 2020.
Revisorsinspektionen gör följande bedömning.
A-son har inte dokumenterat när han kontrollerade företrädarens identitet och behörighet. Han har inte heller hållit sin kundkännedom om kunden – restaurangbolaget – uppdaterad, eftersom han inte har begärt in något aktuellt registreringsbevis, vilket borde ha gjorts åtminstone i samband med förändringar i bolaget. Att ringa till Bolagsverket kan inte anses uppfylla kraven på dokumenterade och uppdaterade åtgärder enligt penningtvättslagen eller penningtvättsföreskrifterna. En revisor kan inte heller förlita sig enbart på den kundkännedom som en redovisningskonsult har uppnått, eftersom en redovisningskonsult inte är en sådan person vars åtgärder och uppgifter en revisor äger förlita sig på enligt 3 kap. 21 § penningtvättslagen.
A-son kan inte heller anses ha vidtagit tillräckliga åtgärder för att kontrollera vem som var bolagets verkliga huvudman. Revisorsinspektionen noterar att en revisor i detta avseende är skyldig att åtminstone kontrollera registret om verkliga huvudmän hos Bolagsverket samt dokumentera denna kontroll. Det har A-son inte gjort. Den information som han inhämtat från bolagets redovisningskonsult kan inte – lika lite som i fråga om allmän kundkännedom – ersätta dessa kontrollåtgärder.
Också A-sons kontroll av om någon med anknytning till bolaget var en person i politiskt utsatt ställning har varit bristfällig. Vid en sådan kontroll kan en inledande åtgärd i vissa fall vara att fråga kunden om saken, men detta – liksom eventuella slagningar i register eller på internet – ska i så fall dokumenteras. Att endast skriva "ingen PEP person" i bolaget på en utskriven webbsida eller "Kundkännedom och PEP granskning UA" uppfyller inte kraven på dokumentation.
Revisorsinspektionen konstaterar slutligen att A-son har genomfört sin kundriskbedömning först år 2020, dvs. fem år efter det att han ingick affärsförbindelsen. Kundens eventuella koppling till ett högrisktredjeland utreddes först år 2022, sju år in i affärsförbindelsen. De åtgärder som har vidtagits har m.a.o. vidtagits alldeles för sent.
Vad som nu har sagts innebär att A-son på flera sätt har brustit i sina skyldigheter enligt penningtvättslagen och penningtvättsföreskrifterna.
4.2 Intäktsredovisningen
Restaurangbolaget redovisade en nettoomsättning på 4,7 mnkr. Föregående räkenskapsår hade nettoomsättningen uppgått till 3,0 mnkr. Av A-sons riskbedömning framgår att han bedömde att alla poster som skulle granskas var ”lågriskområden”. Vid sin granskning av resultaträkningens poster har han antecknat att denna bedömning grundades på tidigare erfarenheter och att bolagets redovisning var oproblematisk. Av revisionsdokumentationen kan vidare utläsas att endast 150 tkr, motsvarande 2,6 procent av den totala nettoomsättningen, kom från kontant försäljning. Det framgår dock också – av arbetsprogrammet ”Kundfordringar” och av ett av hans arbetspapper – att nästan alla intäkter i bolaget kom från kortbetalningar. I arbetsprogrammet för resultaträkningens poster har han antecknat att det p.g.a. coronapandemin var svårt att jämföra redovisad försäljning med tidigare perioder. I arbetsprogrammet finns också en planerad åtgärd som innebar att han skulle granska att det fanns betryggande säkerhet för att kontantförsäljningen var rätt redovisad, om denna var väsentlig. En hänvisning görs också till den granskning som erfordrades enligt ”penningtvätt och terroristregler” där genomgången av hur mycket som betalades med kort respektive kontant kartlades. Den enda anteckningen från granskningen, förutom en hänvisning till andra arbetsprogram, är ett ”ok”.
I arbetsprogrammet för posten Kassa och bank finns en anteckning om att det fanns ett godkänt kassaregister. Frågan om huruvida en beskrivning av hur kassaregistret fungerade hade bevarats har besvarats med ”ok”. I övrigt har Revisorsinspektionen inte kunnat finna någon dokumenterad granskning av intäktsredovisningen, inklusive åtgärder vad gäller kassaregistret m.m.
A-son har uppgett följande.
Hos de kunder som har en redovisningskonsult som han har en god och lång erfarenhet av granskar han huvudsakligen intäkterna genom en jämförelse med föregående år samt genom en genomgång och diskussion med redovisningskonsulten. Om konton väsentligt avviker mot föregående år, utför han detaljgranskning. Han noterade inte några sådana avvikelser i detta fall. Han ansåg att hans åtgärder gav honom grund för att godta den samlade intäktsredovisningen.
Revisorsinspektionen gör följande bedömning.
Intäktsredovisningen är normalt ett väsentligt granskningsområde som revisorn har anledning att ägna särskild uppmärksamhet. Enligt dokumentationen ansåg A-son att intäktsredovisningen var förknippad med låg risk för väsentliga felaktigheter. Oberoende av om denna bedömning var rimlig eller inte, utgjorde intäkterna ett sådant väsentligt transaktionsslag som enligt ISA 330 Revisorns hantering av bedömda risker p. 18 kräver att revisorn utformar och utför substansgranskning oavsett de bedömda riskerna för väsentliga felaktigheter.
Av A-sons dokumentation går inte att utläsa att han utförde några granskningsåtgärder som tog sikte på intäktsredovisningen. Av hans uppgifter har framgått att hans åtgärder begränsade sig till jämförelser med föregående år samt en genomgång och diskussion med bolagets redovisningskonsult. Dessa åtgärder gav honom enligt Revisorsinspektionens uppfattning inte tillräckliga och ändamålsenliga revisionsbevis avseende bolagets intäkter.
Sammanfattningsvis bedömer Revisorsinspektionen att den granskning som framgår av A-sons dokumentation och yttranden till inspektionen inte gav honom grund för att godta den samlade intäktsredovisningen för räkenskapsåret. Bristerna vid granskningen var sådana att han – med hänsyn till nettoomsättningens betydelse i bolaget – saknade grund för att tillstyrka fastställande av bolagets resultat- och balansräkningar. Genom att likväl göra det har han åsidosatt god revisionssed.
4.3 Kostnad för sålda varor och Övriga externa kostnader
Kostnaden för råvaror och förnödenheter redovisades i bolagets resultaträkning med 1,7 mnkr medan övriga externa kostnader redovisades med 1,3 mnkr. Av A-sons riskbedömning framgår att han bedömde att alla poster som skulle granskas var ”lågriskområden”. För resultaträkningens poster har han antecknat att denna bedömning grundades på tidigare erfarenheter och att bolagets redovisning var oproblematisk. Av arbetsprogrammet för resultaträkningens poster kan utläsas att han avsåg att jämföra kostnader med budget eller föregående års bokslut och att därvid analysera oväntade avvikelser. Han gjorde en hänvisning till bolagets resultatrapport för räkenskapsåret, antecknade att det inte fanns något som var uppseendeväckande och sammanfattade granskningen med ett ”ok”.
I fråga om posterna i balansräkningen framgår att A-son i samband med granskningen av dessa poster granskade att kostnaderna var periodiserade korrekt i bokslutet. Det framgår också att han i samband med denna granskning konstaterade att fakturorna uppfyllde bokföringslagens (1999:1078) krav, att kostnaderna var tillhöriga rörelsen och att det inte fanns något som påverkade penningtvätt eller terroristfinansiering. Perioden som han granskade var den 1 juni 2022 den 31 juli 2022, dvs. en månad före respektive efter balansdagen. Han gjorde också en anteckning om att företagsledaren hade ”stenkoll” på allt som skulle betalas och att bolagets redovisningskonsult hjälpte företagsledaren vid behov. I övrigt framgår inte av dokumentationen om han utförde någon granskning av kostnaden för sålda varor eller övriga externa kostnader.
A-son har uppgett följande.
Hos de kunder som har en redovisningskonsult som han har en god och lång erfarenhet av granskar han huvudsakligen kostnaderna genom en jämförelse med föregående år och genom en genomgång och diskussion med redovisningskonsulten. Om konton väsentligt avviker mot föregående år, utför han detaljgranskning. Han noterade inte några sådana avvikelser. Han ansåg att hans åtgärder gav honom grund för att godta den samlade kostnadsredovisningen.
Revisorsinspektionen gör följande bedömning.
Kostnaden för sålda varor och Övriga externa kostnader var väsentliga poster i resultaträkningen. Detta innebar att A-son behövde utforma och utföra substansgranskning av posterna i enlighet med ISA 330 p. 18 oavsett om han bedömde att posterna var förknippade med låg risk för väsentliga felaktigheter eller inte.
Av dokumentationen framgår att A-son gjorde en jämförelse av posterna mot föregående år och att denna jämförelse inte visade på något onormalt. Av dokumentationen framgår också att han kontrollerade fakturor en månad före respektive en månad efter balansdagen. Den periodiseringskontroll som han utförde gav honom vissa revisionsbevis för att transaktioner kring balansdagen var bokförda på rätt räkenskapsår. Enbart periodiseringskontrollen möjliggjorde dock inte några slutsatser om de samlade kostnadsposterna. Inte heller i kombination med den jämförelse som han gjorde av posterna mot föregående år var denna åtgärd tillräcklig.
Av A-sons uppgifter har inte framkommit mer än att han förutom ovanstående åtgärder också gick igenom och diskuterade posterna med bolagets redovisningskonsult.
Sammanfattningsvis bedömer Revisorsinspektionen att A-son inte utförde en tillräcklig granskning av bolagets kostnader för sålda varor eller övriga externa kostnader. Mot bakgrund av att posterna var väsentliga hade han inte grund för att tillstyrka fastställandet av bolagets resultat- och balansräkningar. Genom att ändå göra det har han åsidosatt god revisionssed.
4.4 Skatter och avgifter
I dokumentationen finns ett arbetsprogram för ”allmänna granskningsåtgärder” där planerade åtgärder anges vara bl.a. att kontrollera att mervärdesskatt, källskatt och sociala avgifter debiterades, redovisades och inbetalades korrekt. A-son har på arbetsprogrammet antecknat att han hade diskuterat detta med bolagets redovisningskonsult och att allt var korrekt enligt denne. Hans slutsats var ett ”ok”. Av övrig dokumentation kan utläsas att A-son gjorde en rimlighetsbedömning av kostnaderna för sociala avgifter i relation till lönesumman och att han stämde av i bokslutet bokförda skulder för källskatt, sociala avgifter och mervärdesskatt mot underlag. I övrigt har inte Revisorsinspektionen kunnat finna någon dokumenterad granskning av skatter och avgifter, med undantag för inkomstskatt.
A-son har uppgett följande.
Han granskar alltid löneskatterna genom att minst en lönekörning kontrolleras med avseende på att korrekt källskatteavdrag görs och att korrekta arbetsgivaravgifter betalas in. På samma sätt granskas en uppbördsmånad för mervärdesskatt. Han lutar sig också mot redovisningskonsultens arbete och kompetens. Baserat på detta ansåg han att han kunde godta bolagets hantering av skatter och avgifter.
Revisorsinspektionen gör följande bedömning.
Enligt 9 kap. 34 § aktiebolagslagen (2005:551) ska revisorn i revisionsberättelsen anmärka bl.a. om han eller hon har funnit att bolaget inte har fullgjort sin skyldighet att i rätt tid betala skatter och avgifter som omfattas av skatteförfarandelagen (2011:1244).
Av ett förarbetsuttalande till motsvarande bestämmelse i tidigare lagstiftning framgår att granskningen och rapporteringen av hur bolaget sköter sina åligganden enligt skatteoch avgiftsförfattningarna bör ske enligt samma principer som gäller för revisorns granskning i övrigt. Det innebär bland annat att vedertagna principer om väsentlighet och risk ska vara vägledande för revisorn också vid skatteoch avgiftsgranskningen.2
Såvitt framgår av dokumentationen begränsade sig A-sons granskning av bolagets betalningar av skatter och avgifter till dels förfrågningar hos bolagets redovisningskonsult, dels en rimlighetsbedömning av bokförda kostnader för sociala avgifter och dels en kontroll av i bokslutet bokförda skulder för källskatt, sociala avgifter och mervärdesskatt mot underlag. Genom hans yttranden till Revisorsinspektionen har framkommit att han också granskade en lönekörning och en redovisning av mervärdesskatt och därvid kontrollerade att rätt belopp hade redovisats och betalats in. Med hänsyn till den särskilda rapporteringsskyldigheten avseende försenade betalningar av skatter och avgifter som en revisor har var inte dessa åtgärder tillräckliga för att han skulle kunna ta ställning till om skatter och avgifter hade betalats i rätt tid. Genom att inte utföra en tillräcklig granskning i detta avseende har han åsidosatt god revisionssed.
Se prop. 1984/85:30 s. 22.
5 Åtgärder enligt penningtvättsregelverket – utbildningsbolaget
Utbildningsbolaget har sitt säte och bedriver sin verksamhet i S-stad, medan A-son och bolagets styrelseledamot är verksamma på orter knappt 50 mil därifrån. Uppdragsbrevet är daterat den 18 februari 2021. År 2019 lämnade en revisor sitt uppdrag i bolaget och år 2020 lämnade ytterligare en revisor sitt uppdrag. År 2021 utträdde tre ledamöter ur styrelsen och år 2023 även en suppleant. Styrelsen består numera endast av bolagets nuvarande ägare. För verksamhetsåret 2021 var omsättningen 9.217.910 kr, vilket innebar en ökning med 1.437.824 kr eller 18 procent sedan föregående räkenskapsår. A-son lämnade en revisionsberättelse som var utan modifieringar, upplysningar eller anmärkningar.
A-sons uppdragsbrev är daterat den 18 februari 2021. I akten finns inget registreringsbevis för bolaget. Det finns inte heller någon dokumentation som visar att han skaffade sig kundkännedom såvitt gäller de personer som år 2021 utträdde ur bolagets styrelse. Den enda dokumentation av identitetskontroll som finns i revisionsakten är en kopia av den nuvarande företrädarens identitetshandling. Kopian är daterad den 6 december 2017, dvs. vid en tidpunkt då A-son ännu inte var bolagets revisor.
Det finns ingen dokumentation av att A-son har utrett, bedömt eller kontrollerat bolagets verkliga huvudman. Det finns inte heller någon dokumentation av att han har kontrollerat huruvida bolagets företrädare var personer i politiskt utsatt ställning, familjemedlem eller nära medarbetare till en sådan person. Slutligen finns ingen dokumentation av att A-son har kontrollerat huruvida kunden var etablerad i ett högrisktredjeland.
I grundakten finns ett odaterat brev till den person som i dag är styrelseledamot. I brevet ifrågasätter A-son bland annat möjligheten för denne person att driva ett bolag (med adress i P-stad) med verksamhet och många anställda i S-stad (50 mil bort). A-son har tillfrågats om vilka slutsatser han drog om risker mot bakgrund av denna omständighet samt hur den omständigheten att kunden bedrev sin verksamhet i S-stad, medan A-son själv driver sin verksamhet i H-län (50 mil bort), påverkade hans riskbedömning.
I årsakten har A-son den 5 mars 2022 antecknat följande.
”Bolaget får 100 % av sina intäkter från staten via skolpeng. Penningtvätt är således tämligen uteslutet. Terrorist finansiering känns fullständigt orimligt. Jag har jobbat med kunden i mer än 25 år och ingenting tyder på ett sådant intresse!!! Ingen granskning utöver den generella bedöms behövas.”
Det finns i övrigt ingen dokumentation av att A-son har bedömt kundens riskprofil.
A-son har tillfrågats om den 5 mars 2022 var första gången som han utredde bolagets situation avseende penningtvättslagen. Han har också ombetts att utveckla sitt resonemang kring att penningtvätt skulle vara uteslutet i detta fall och förklara innebörden i skrivningen att ingen granskning utöver ”den generella” behövde göras.
I årsakten ställs frågan om företaget har en acceptabel intern kontroll för att uppnå riktig och fullständig redovisning. A-son har i mars 2022 besvarat detta med att ledamoten gör det allra mesta själv och att denne äger, driver och sköter pengarna i bolaget. Det finns ingen annan dokumentation av att han har utfört någon fortlöpande uppföljning av kunden.
A-son har uppgett följande.
Den person som sedan år 2019 driver bolaget har varit hans kund sedan år 1999. Han har tidigare dokumenterat en identitetskontroll av företrädaren genom en kopia av dennes pass men har inte gjort fler kontroller eftersom han känner företrädaren sedan en mängd år. Han har mött företrädaren personligen vid flera tillfällen och vet vem det är och det finns ingen rimlighet i att börja begära dokumentation av dennes identitet.
Han biträdde företrädaren vid dennes förvärv av utbildningsbolaget. Det är en brist att detta inte har dokumenterats med ett registreringsbevis men han kan inte se att det råder några tvivel om bolagets identitet eller företrädarens köp av bolaget. Anledningen till att han kontrollerade företrädarens identitet innan han var bolagets revisor var att kunden en period valde att ha en annan revisor. De gamla ägarna till bolaget satt under en period kvar i styrelsen. Han fick deras identitetshandlingar under processen när den nuvarande företrädaren köpte bolaget, så han vet väl vilka de är. Deras identitetshandlingar har dessvärre inte sparats i akten. Att den nuvarande företrädaren är bolagets verklige huvudman är för honom klarlagt – han deltog i processen när företrädaren köpte bolaget – men han borde ha dokumenterat det. De gamla företrädarna är bosatta mitt i Sverige men han kontrollerade inte huruvida de var personer i politiskt utsatt ställning. Han vet, eftersom han känt den nye företrädaren i mer än 30 år, att kunden inte har någon koppling till ett högrisktredjeland. Han borde dock ha dokumenterat det.
Risken för penningtvättsproblematik i denna kund var näst intill noll. Alla bolagets intäkter kom som insättning från staten för att driva skola. Han borde ha dokumenterat det. Det finns i och för sig ett stycke om riskbedömning i årsakten, så det tycker han att han har gjort även om det kanske inte uppfyller alla kriterier.
Brevet där han påpekar att bolaget driver verksamhet med många anställda 50 mil bort skrev han under företrädarens förvärvsprocess. Brevets syfte var att varna den blivande företrädaren för att det är svårt att bedöma ett bolags värde på detta sätt. Avståndet till hans egen verksamhetsort var också en av anledningarna till att han initialt inte ville vara bolagets revisor.
När han i mars 2022 skrev i akten att det var tämligen uteslutet samt orimligt med penningtvätt eller terrorismfinansiering i bolaget var detta inte första gången han bedömde bolagets situation på detta område. Det har emellertid inte känts rimligt att lägga någon större insats på denna typ av granskning när det är uppenbart att risken för problem var i stort sett noll. Med skrivningen att ingen annan granskning än den generella behövdes avsåg han inget utöver den normala revisionen. I bolaget fanns ingen arbetsfördelning att tala om och därmed dålig intern kontroll. Samtidigt är det ofta bra att ägaren engagerar sig och kämpar för bolagets utveckling och tillväxt.
Han inser att han måste göra ett rejält omtag i sin revisionsverksamhet och kommer att ta tag i en omplanering av samtliga revisionskunder.
Revisorsinspektionen gör följande bedömning.
A-son har i det nu aktuella uppdraget i flera avseenden brustit i sina skyldigheter enligt penningtvättslagen och penningtvättsföreskrifterna.
Han har underlåtit att inhämta ett registreringsbevis avseende kunden och har därmed inte uppnått kundkännedom på det sätt som lagen kräver. Han har inte kontrollerat verklig huvudman på det sätt som lagen förutsätter och har heller inte gjort någon kontroll av koppling till högrisktredjeland. Han har, enligt egen uppgift, inte kontrollerat huruvida någon i bolagets tidigare ledning var en person i politiskt utsatt ställning. Det saknas dokumentation av att han utförde någon sådan kontroll avseende den nuvarande företrädaren. Hans hantering och dokumentation av den kontroll av personer i politiskt utsatt ställning som det enligt penningtvättslagen ålåg honom att göra uppfyller därmed inte lagens krav. Den kundriskbedömning som finns, i form av en kort anteckning från år 2022 (drygt ett år efter att han ingick affärsförbindelsen), är allmänt hållen. Den kundriskbedömning som A-son har hänvisat till i årsakten – bolagets förmåga att fortsätta verksamheten etc. – utgör inte det slag av kundriskbedömning som ska göras enligt penningtvättslagen.
Bolaget hade sin verksamhet på en ort som låg ca 50 mil bort från såväl honom själv som bolagets företrädare. Detta borde ha föranlett honom att överväga behovet av särskilda kundriskåtgärder. Det finns inget i ärendet som tyder på att han gjorde några sådana överväganden.
A-son har genom bristerna i nu angivna avseenden åsidosatt sina skyldigheter enligt penningtvättslagen.
6 Sammanfattande bedömning och val av disciplinär åtgärd
A-son har som ställföreträdare för ett revisionsföretag försummat sina skyldigheter enligt penningtvättslagen och penningtvättsföreskrifterna. Den allmänna riskbedömning som revisionsföretaget har gjort uppfyller inte de krav som penningtvättslagen ställer. Revisionsföretaget saknar interna rutiner och riktlinjer enligt penningtvättslagen. Den bristfälliga allmänna riskbedömningen – tillsammans med avsaknaden av rutiner avseende åtgärder enligt penningtvättslagen – har medfört att A-son inte har haft förutsättningar för att i de enskilda uppdragen vidta de övriga åtgärder som penningtvättslagen förutsätter. Till detta kommer att han inte har sett till att skaffa sig den utbildning på penningtvättsområdet som lagen förutsätter. Bristerna i åtgärderna enligt penningtvättslagen och penningtvättsföreskrifterna i båda uppdragen har sammantaget varit omfattande.
Härutöver har A-sons granskning av intäktsredovisning och posten Kostnad för sålda varor i restaurangbolaget varit så bristfällig att han saknat grund för att tillstyrka bolagets resultat- och balansräkningar. Vidare har hans granskning av skatter och avgifter i det bolaget varit bristfällig.
A-son har härigenom åsidosatt sina skyldigheter som revisor och ska därför meddelas en disciplinär åtgärd.
Åsidosättandena avser framför allt förhållandevis grundläggande och systematiska brister i fullgörandet av regelverket mot penningtvätt och finansiering av terrorism. Det är fråga om allvarliga brister som har förelegat under flera år. Också bristerna i A-sons granskningsarbete framstår som allvarliga, särskilt med hänsyn till att han i ett fall tillstyrkt bolagets resultat- och balansräkningar utan att ha grund för det. Den disciplinära åtgärden ska därför, med stöd av 32 § andra stycket revisorslagen, bestämmas till varning.
Revisorsinspektionen finner att det mot bakgrund av de omfattande och systematiska bristerna i A-sons åtgärder på penningtvättsområdet finns särskilda skäl för att, med stöd av 32 § a revisorslagen, förena varningen med en sanktionsavgift. Vid en överträdelse av penningtvättslagen gäller enligt 32 k § revisorslagen särskilda bestämmelser om sanktionsavgiftens storlek. Om det går att fastställa den vinst som har gjorts till följd av regelöverträdelsen, ska avgiften uppgå till högst två gånger denna vinst. I annat fall ska avgiften uppgå till högst ett belopp i kronor som motsvarar en miljon euro.
Sanktionsavgiften ska enligt lagens förarbeten vara proportionell och avskräckande. När avgiften bestäms ska också de allmänna bestämmelserna om sanktionsavgifters storlek som finns i 32 d – 32 f §§ revisorslagen beaktas. Det innebär att avgiften ska stå i proportion till överträdelsens allvar, hur länge den har pågått och verksamhetsutövarens finansiella ställning och den vinst som har gjorts genom överträdelsen. I detta ligger, enligt Revisorsinspektionens bedömning, att det bör vägas in bl.a. vilka slag av företag som revisorn har granskat – varvid det finns anledning att se mer allvarligt på försummelser som avser större företag eller företag av allmänt intresse – och vilken omfattning som revisionsverksamheten har haft. När det är fråga om försummelser som inte kan antas vara uppsåtliga och som avser revisionen av ett fåtal mindre privata aktiebolag bör enligt Revisorsinspektionens mening sanktionsavgiften normalt bestämmas inom den nedersta delen av sanktionsskalan.
Revisorsinspektionen anser vid en sammantagen bedömning att sanktionsavgiften för A-son bör bestämmas till 60.000 kr. Sanktionsavgiften tillfaller staten och ska betalas när beslutet vunnit laga kraft.