Dnr 2023-652

Allmän riskbedömning

Ett revisionsföretag ska – såsom verksamhetsutövare i penningtvättslagens mening – enligt 2 kap. 1 § penningtvättslagen göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som är för handen. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism, och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.

Rutiner och riktlinjer

Ett revisionsföretag ska vidare, enligt 2 kap. 8 § penningtvättslagen, ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Dessa ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism.

Kundens riskprofil

Av 2 kap. 3 § penningtvättslagen följer att en revisor ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen. Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden.

Kundkännedom

En revisor ska i enlighet med 3 kap. 4 § penningtvättslagen vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse. Han eller hon får enligt 3 kap. 1 § över huvud taget inte etablera eller upprätthålla en affärsförbindelse om revisorn inte har tillräcklig kännedom om kunden för att kunna hantera den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen, eller för att kunna övervaka och bedöma kundens aktiviteter och transaktioner. Av 3 kap. 7 § följer att en revisor ska identifiera kunden och kontrollera dennes identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska revisorn kontrollera den personens identitet och behörighet att företräda kunden. Behörigheten ska enligt 7 § penningtvättsföreskrifterna kontrolleras genom fullmakt, förordnande eller motsvarande behörighetshandling. Enligt samma bestämmelse ska revisorn vid identitetskontrollen av en juridisk person kontrollera aktuellt registreringsbevis, registerutdrag eller uppgifter från andra tillförlitliga och oberoende källor, samt bevara original eller kopia av den kontrollerade handlingen. Av dokumentationen ska det framgå när kontrollen har utförts. Såsom följer av 3 kap. 8 § penningtvättslagen ska revisorn utreda om kunden har en verklig huvudman. En sådan utredning ska avse åtminstone sökning i det register över verkliga huvudmän som Bolagsverket för enligt lagen (2017:631) om registrering av verkliga huvudmän. Om kunden är en juridisk person ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska revisorn vidta åtgärder för att kontrollera den verkliga huvudmannens identitet. Enligt 3 kap. 9 § penningtvättslagen ska kontrollen av kundens och den verkliga huvudmannens identitet slutföras innan en affärsförbindelse etableras.

Revisorn ska vidare, i enlighet med 3 kap. 10 och 11 §§ penningtvättslagen, bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning samt om kunden är etablerad i ett så kallat högrisktredjeland. Av 3 kap. 13 § följer att revisorn även löpande och vid behov ska följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.

Övervakning

En revisor ska – enligt vad som närmare utvecklas i 4 kap. 1 § penningtvättslagen – övervaka pågående affärsförbindelser och bedöma enstaka transaktioner som kan antas ingå som ett led i penningtvätt eller finansiering av terrorism. Inriktningen och omfattningen av övervakningen ska bestämmas med beaktande av de risker som har identifierats i den allmänna riskbedömningen, den risk för penningtvätt och finansiering av terrorism som kan förknippas med kundrelationen och annan information om tillvägagångssätt för penningtvätt eller finansiering av terrorism.

Utvärdering och dokumentation

Av 9 § penningtvättsföreskrifterna följer att en revisor under pågående uppdrag, på grundval av en riskbedömning, men minst en gång per år, ska utvärdera kundkännedomen och kundens riskprofil samt vid behov uppdatera dessa. Enligt 5 kap. 3 § penningtvättslagen ska handlingar och uppgifter avseende åtgärder som har vidtagits för kundkännedom bevaras under fem år. Tiden ska räknas från det att, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde. Av dokumentationen ska framgå bl.a. vilka granskningsåtgärder som har utförts, vad dessa har omfattat samt när och hur granskningsåtgärderna har utförts (se 11 § penningtvättsföreskrifterna med hänvisning till 7 och 9 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet). Dokumentationen ska vara tydlig och strukturerad på ett överskådligt sätt. Den ska vara inriktad på väsentlig information men ändå så detaljerad att revisorns arbete kan bedömas i efterhand. Enligt 7 § penningtvättsföreskrifterna ska identitetskontroller av fysiska personer dokumenteras genom en kopia av den kontrollerade handlingen eller en anteckning av den kontrollerade handlingens nummer, giltighetstid och utfärdare.

Fastighetsbolaget

Fastighetsbolaget hade som angivet verksamhetsändamål att äga, förvalta och sälja fastigheter samt därmed förenlig verksamhet.

Uppdragsbrevet är undertecknat den 10 oktober 2021. Det rörde sig om ett förstagångsuppdrag.

A-son har antecknat att det finns en verklig huvudman, A, som inte är styrelseledamot. Det finns emellertid ingen dokumentation av att han har gjort någon kontroll i Bolagsverkets register över verkliga huvudmän. I akten finns en kopia av A:s identitetshandling. I akten, i dokumentet Revisorns/konsultens prövning av penningtvättslagen (2017:630), har A-son svarat nej på frågan om kundens företrädare eller den verkliga huvudmannen är personer i politiskt utsatt ställning. Sedan anges ”Inga träffar i PEP-registret”. Det finns emellertid ingen dokumentation av denna kontroll.

A-son har i sin dokumentation angett kundens riskprofil som låg, med motiveringen att det inte fanns några större likvida medel i bolaget och att tillgångarna bestod av aktier i dotterbolag.

A-son har tillfrågats om när och hur han kontrollerade A:s identitet och om vilket register han sökte i och när den kontrollen skedde. Han har också ombetts utveckla varför han bedömde att risken blev låg och vilka omständigheter som skulle tillkomma för att han skulle ha bedömt risken som normal.

A-son har uppgett följande.

Representanterna i fastighetsbolaget, som var kända för honom sedan 15 år, tog år 2021 kontakt med honom när de skulle förvärva ett bolag. Företrädarnas identiteter kontrollerades sedan vid ett personligt möte under hösten 2021. Han skrev inte ut resultatet av den kontroll han gjorde i Bolagsverkets register över verkliga huvudmän. Kontrollen av A:s identitet skedde vid ett personligt möte. För att kontrollera om någon företrädare var person i politiskt utsatt ställning tittade han i ett register, men skrev inte ut dokumentationen.

Skälen till att han satte kundens riskprofil som låg var följande. Bolaget bedrev ingen egen verksamhet. Risknivån bestämdes därför av värdet på dotterbolaget. Dotterbolaget hade investerat i mark och det fanns stor potential i investeringen. Dessutom hade ägarbolagen cirka 400 mnkr i eget kapital, vilket gjorde att investeringen var låg, ca. 5 procent av bolagens egna kapital. För att risknivån skulle sättas till ”mellan” skulle en nedskrivning kunna vara aktuell, vilket inte är fallet i dag och inte skulle påverka ägarbolagen nämnvärt. Det råder fortsatt bostadsbrist på orten och även om dotterbolaget inte skulle utveckla projektet, så kommer mark ändå att vara säljbar i framtiden.

Revisorsinspektionen gör följande bedömning.

A-son har i flera avseenden inte dokumenterat underlaget för de kontroller som han har uppgett sig ha gjort. Dokumentationen av gjorda kontroller är alltså bristfällig.

När en revisor bedömer risken för penningtvätt eller finansiering av terrorism bör han eller hon normalt utgå från att risken är i vart fall normal.2 Särskilda omständigheter kan medföra att risken i det enskilda fallet i stället bedöms som hög eller låg. Några sådana omständigheter (indikatorer) anges i 2 kap. 4 och 5 §§ penningtvättslagen. Ledning kan också hämtas i myndighetsinformation hos exempelvis Samordningsfunktionen mot penningtvätt och finansiering av terrorism. Enligt Revisorsinspektionens mening kan risken för penningtvätt och finansiering av terrorism inte anses vara låg enbart därför att värdet på ett dotterföretag eller förevarande investeringar är lågt. De uppgifter om kunden som A-son i övrigt hade tillgång till gav honom inte grund för att bedöma risken som låg.

Till detta kommer följande. En kundriskbedömning ska utgå från de riskindikatorer som har identifierats vid den allmänna riskbedömningen och den förutsätter även att revisionsföretaget har tydliga interna rutiner och riktlinjer för att bedöma och hantera riskerna i enskilda uppdrag (se ovan). Genom att inte göra någon allmän riskbedömning och inrätta rutiner och riktlinjer enligt penningtvättslagen i revisionsföretaget satte sig A-son alltså ur stånd att göra de kundriskbedömningar som ålåg honom. Han saknade därmed möjlighet att göra en tillförlitlig kundriskbedömning.

Sammantaget finner Revisorsinspektionen att A-son vid sin revision av fastighetsbolaget har brustit i sina skyldigheter enligt penningtvättslagen.

Bygghandelsbolaget

Bygghandelsbolaget hade som verksamhetsändamål att bedriva joint-venture-projekt i Polen samt import och exporthandel mellan Sverige och Polen företrädesvis av trävaruprodukter och industriverktyg. Därtill bedrev bolaget konsultverksamhet, främst med inriktning på undersökningar av olika projekt för Polen.

I revisionsdokumentationen finns registreringsbevis för bolaget. Dessa är utskrivna åren 2012, 2018, 2019 och 2020. Det finns också en kopia av en identitetshandling för bolagets styrelseordförande och verkställande direktör. Kopian är odaterad, men det framgår att identitetshandlingen är utfärdad år 2018. Uppgiften om identitetskontrollen är i arbetsprogrammet daterad den 8 april 2022. På ett annat ställe i dokumentationen finns en anteckning, daterad den 29 mars 2021, om utförd identitetskontroll.

Det finns vidare en anteckning om att A-son kontrollerade uppgiften om verklig huvudman i Bolagsverkets register den 8 april 2022. Ett bilagt bevis från Bolagsverket om innehållet i registret om verkliga huvudmän är dock daterat först den 3 maj 2023.

Dokumentationen innehåller också en anteckning från den 8 april 2022 om att A-son hade kontrollerat förekomsten av personer i politiskt utsatt ställning enligt följande: ”Nej inga träffar i PEPregistret.” Kontrollen är inte dokumenterad på något annat sätt. A-son har tillfrågats om vilket register han sökte i och när kontrollen skedde.

A-son har i revisionsdokumentationen bedömt riskprofilen för bygghandelsbolaget som låg. Som skäl för detta har han angett att det inte fanns några större likvida medel i bolaget och att tillgången utgjordes av aktier i dotterbolag. I revisionsdokumentationen har A-son antecknat att bolagets verksamhet bedrivs antingen från företrädarens bostad i Sverige eller från Polen.

A-son har tillfrågats om när företrädarens identitet kontrollerades, när detta gjordes första gången och huruvida kontrollen skedde vid ett personligt möte eller på distans. Han har också har ombetts utveckla skälen till att han bedömde kundens riskprofil som låg.

A-son har uppgett följande.

Revisionsföretaget har haft bolaget som klient i 23 år och han träffar bolagets företrädare två till tre gånger per år. Han kontrollerade styrelseordförandens identitet under år 2022 vid ett personligt möte. Han vet inte när företrädarens identitet kontrollerades första gången, men det var länge sedan. Det finns inte någon ytterligare dokumentation av identitetskontroller utöver den som finns i revisionsdokumentationen.

Att anteckningen om kontrollen av verklig huvudman är daterad den 8 april 2022, medan utskriften från Bolagsverkets register är daterad den 3 maj 2023, kan förklaras av att han inte dokumenterade detta år 2022 utan först i maj 2023. Kontrollen av person i politiskt utsatt ställning skedde via gratisregister men han har inte någon dokumentation av detta. Kontrollen skedde emellertid under år 2022. Det hade också gjorts kontroller före år 2022. Även då hade han gått in på gratisregister. Inte heller dessa kontroller är dokumenterade.

Skälen till att han satte kundens riskprofil som låg är följande. Byggbolaget bedrev inte någon verksamhet. Det var dotterbolaget som beställde fönster och plywood från Polen efter det att svenska kunder hade gjort beställningar. Bolaget hade därmed inget varulager och följaktligen var försäljningarna säkra. Omsättningen varierade mycket över åren på grund av valutaförändringar. Bolaget befann sig i Polen för att kunna diskutera med leverantörerna. Detta utgjorde sammantaget en låg risk. Han skulle bedöma risken som ”normal” om valutakursen skulle förändras negativt från avtalstiden till leveransen.

Revisorsinspektionen gör följande bedömning.

Kravet på att en revisor ska skaffa sig grundläggande kännedom om sin kund gäller i princip redan i samband med att revisorn åtar sig ett uppdrag. Av utredningen framgår att A-son har varit bygghandelsbolagets revisor under ett stort antal år. I hans dokumentation finns inga uppgifter om att han kontrollerade identiteten hos bolagets företrädare förrän i mars 2021 och i april 2022. Han har i sitt yttrande till Revisorsinspektionen kortfattat uppgett att företrädarens identitet hade kontrollerats tidigare, men han har inte gjort denna uppgift sannolik. Revisorsinspektionen utgår därför från att en identitetskontroll kom till stånd först i mars 2021 (se den i avsnitt 2.1 återgivna bevisbörderegeln).

A-son har uppgett att han kontrollerade kundens verkliga huvudman i april 2022. Dokumentationen av denna kontroll – ett utdrag ur Bolagsverkets register över verkliga huvudmän – härrör dock från maj 2023. A-son har inte heller genom de uppgifter som han lämnat till Revisorsinspektionen gjort sannolikt att det förekommit en kontroll dessförinnan. Revisorsinspektionen drar av detta slutsatsen att den första kontrollen gjordes först i maj 2023, se den i avsnitt 2.1 återgivna bevisbörderegeln.

A-son har uppgett att han i april 2022 kontrollerade om någon bolagsföreträdare m.m. var person i politiskt utsatt ställning. Revisorsinspektionen godtar denna uppgift men – med tillämpning av den i avsnitt 2.1 återgivna bevisbörderegeln – inte hans allmänt hållna uttalanden om att sådana kontroller hade skett även tidigare.

Det som nu har sagts innebär att alla de tre typerna av kontrollåtgärder vidtogs alltför sent.

Härutöver anser Revisorsinspektionen att A-son inte hade grund för att bedöma kundrisken som låg. Inspektionen vill i denna del hänvisa till vad som har sagts ovan i anslutning till bedömningen av hans riskbedömning av fastighetsbolaget. Eftersom A-son som ett särskilt skäl till att bedöma kundrisken som låg har hänvisat till den ekonomiska säkerheten i den handel som bolagets dotterbolag bedrev, finns det anledning att framhålla att en sådan omständighet knappast är ägnad att påverka bedömningen av det slag av kundrisker som ska beaktas enligt penningtvättslagen.

Sammantaget finner Revisorsinspektionen att A-son har brustit i sina skyldigheter enligt penningtvättslagen.