Beslut: Revisorsinspektionen ger auktoriserade revisorn A-son en erinran.

1 Inledning

Som ett led i arbetet mot penningtvätt och finansiering av terrorism gjorde Revisorsinspektionen under år 2023 en riktad satsning på området inom ramen för den riskbaserade tillsynsverksamheten.

Revisorsinspektionen valde med anledning av detta ut A-son i hennes egenskap av auktoriserad revisor samt styrelseledamot i det registrerade revisionsbolag där hon är verksam och öppnade detta tillsynsärende. Hon förelades att ge in dokumentationen av åtgärder avseende kundkännedom, riskprofil och övervakning enligt penningtvättslagen samt revisionsdokumentationen för två revisionsuppdrag. Dessa uppdrag avsåg ett vårdbolag (räkenskapsåret 2022) och ett byggbolag (räkenskapsåret 2022).

2 Rättslig reglering

2.1 Revisorers dokumentationsskyldighet

En auktoriserad eller godkänd revisor ska enligt god revisionssed dokumentera dels sådana förhållanden som har betydelse för att ge bevis till stöd för uttalandena i revisionsberättelsen, dels sådana förhållanden som utgör bevis för att revisionen har planerats och utförts enligt god revisionssed. Bestämmelser om dokumentation finns i 24 § revisorslagen (2001:883) och 7–12 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet (verksamhetsföreskrifterna). Dessa kompletteras av International Standard on Auditing (ISA) 230 Dokumentation av revisionen. Dokumentationen ska vara tydlig och sammanställd på ett överskådligt sätt. Av dokumentationen ska framgå bl.a. hur granskningen har planerats, vilken granskning som har genomförts, när granskningen har utförts, vilka iakttagelser som har gjorts och vilka slutsatser som har dragits. Underlåtenhet att fullgöra dokumentationsskyldigheten på ett riktigt sätt bedöms som allvarlig, eftersom den försvårar en analys och en tillfredsställande bedömning av arbetet i efterhand.

Den omständigheten att en revisor inte dokumenterar sina granskningsåtgärder på ovan angivet sätt behöver i och för sig inte innebära att granskningsåtgärderna har varit otillräckliga. I ett sådant fall får dock Revisorsinspektionens bevisbörda anses övergå på revisorn. Det innebär att revisorn måste kunna redogöra för sin granskning på ett sådant sätt att det vid en helhetsbedömning framstår som sannolikt att de påstådda åtgärderna har utförts och att de har haft sådan inriktning och omfattning att de har kunnat tjäna som underlag för välgrundade slutsatser. Vid denna bedömning beaktar Revisorsinspektionen bl.a. hur detaljerade uppgifter revisorn har lämnat om sina granskningsinsatser. Om revisorn därvid inte förmår göra den påstådda granskningen sannolik, utgår Revisorsinspektionen från att någon tillfredsställande granskning inte har skett.

2.2 Penningtvättsregelverket

Auktoriserade och godkända revisorer är enligt 1 kap. 2 § 18 penningtvättslagen s.k. verksamhetsutövare i lagens mening och ska därmed följa lag och föreskrifter på området.

Kundens riskprofil

Av 2 kap. 3 § penningtvättslagen framgår att en verksamhetsutövare ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden. När det behövs för att bestämma kundens riskprofil ska verksamhetsutövaren beakta bland annat omständigheter som avses i 2 kap. 4 och 5 §§ penningtvättslagen och andra omständigheter som i det enskilda fallet påverkar risken som kan förknippas med kundrelationen. Kundens riskprofil ska följas upp under pågående affärsförbindelser och ändras när det finns anledning till det.

Kundkännedom

En verksamhetsutövare ska enligt 3 kap. 4 § penningtvättslagen vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse. Verksamhetsutövaren får enligt 3 kap. 1 § över huvud taget inte etablera eller upprätthålla en affärsförbindelse om revisorn inte har tillräcklig kännedom om kunden för att kunna hantera den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen och för att övervaka och bedöma kundens aktiviteter och transaktioner. Enligt 3 kap. 7 § ska verksamhetsutövaren identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska verksamhetsutövaren kontrollera den personens identitet och behörighet att företräda kunden. Enligt 3 kap. 8 § penningtvättslagen ska verksamhetsutövaren utreda om kunden har en verklig huvudman. En sådan utredning ska avse åtminstone sökning i det register över verkliga huvudmän som Bolagsverket för enligt lagen (2017:631) om registrering av verkliga huvudmän. Om kunden är en juridisk person, ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska verksamhetsutövaren vidta åtgärder för att kontrollera den verkliga huvudmannens identitet.

Enligt 3 kap. 9 § penningtvättslagen ska kontrollen av kundens och den verkliga huvudmannens identitet slutföras innan en affärsförbindelse etableras.

En verksamhetsutövare ska vidare enligt 3 kap. 10 § penningtvättslagen bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning eller en familjemedlem eller känd medarbetare till en sådan person. Verksamhetsutövaren ska enligt 3 kap. 13 § löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.

Utvärdering och dokumentation

Av 9 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) följer att en revisor under pågående uppdrag, på grundval av en riskbedömning men minst en gång per år, ska utvärdera kundkännedomen och kundens riskprofil samt vid behov uppdatera dessa. Enligt 5 kap. 3 § penningtvättslagen ska verksamhetsutövaren bevara handlingar och uppgifter avseende åtgärder som har vidtagits för kundkännedom i fem år. Tiden ska räknas från det att åtgärderna utfördes eller, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde. Enligt 7 § 2 och 9 § verksamhetsföreskrifterna ska det av revisorns dokumentation framgå bl.a. vilka granskningsåtgärder som har utförts, vad dessa har omfattat samt när och hur granskningsåtgärderna har utförts. Dokumentationen ska vara tydlig och strukturerad på ett överskådligt sätt. Den ska vara inriktad på väsentlig information men ändå så detaljerad att revisorns arbete kan bedömas i efterhand.

3 Åtgärder i revisionsuppdragen

3.1 Kundens riskprofil – vårdbolaget

I ett dokument i akten för vårdbolaget, rubricerat PTL-Rapport, anges flera åtgärder vara utförda den 31 maj 2023, bland annat bedömningen av kundens riskprofil. A-son har gett in ett dokument, som är rubricerat Kundkännedom och daterat den 20 oktober 2021. Under rubriken Verifikation av identitet och personuppgifter har styrelseledamoten fyllt i namn, personnummer, adress, telefon och e-post. Under rubriken Personer i politiskt utsatt ställning (PEP) har han besvarat frågor om huruvida han är person i politiskt utsatt ställning eller närstående till eller känd medarbetare till en sådan person. Under rubriken Verklig huvudman har styrelseledamoten besvarat frågor om verklig huvudman.

Dokumentationen av bedömningen av kundens riskprofil är daterad i maj 2023. Revisorsinspektionen har efterfrågat dokumentationen av A-sons initiala bedömning av kundens riskprofil. A-son har gett in ett protokoll från ett styrelsemöte i revisionsbolaget från den 11 oktober 2021. I protokollet anges följande.

8 Nya uppdrag

A-son: [vårdbolaget].

NN: [X-bolaget] samt [Y-bolaget].

A-son har uppgett följande.

Hon blev registrerad som revisor i bolaget den 17 november 2021. Kontakten kom via ett affärsnätverk i vilket hon och revisionsbolagets övriga ägare har varit medlemmar i flera år. Företrädaren var känd av henne sedan tidigare. Hon hade ett möte med företrädaren den 20 oktober 2021. Inför detta möte hade hon tagit ut information om bolaget från Bolagsverket som skannades in i hennes grundakt dagen efter, den 21 oktober. Vid mötet fick företrädaren också fylla i ett kundkännedomsdokument.

Bedömningen av kundens riskprofil skedde inför mötet med företrädaren, vid styrelsemötet i revisionsbolaget den 11 oktober 2021.

Revisorsinspektionen gör följande bedömning.

Det som går att utläsa ur dokumentationen om vidtagna initiala åtgärder enligt penningtvättslagen rör kundkännedom. I det protokoll från den 11 oktober 2021, som har getts in till styrkande av hur kundens riskprofil bedömdes, sägs inte något om hur den bedömningen gjordes eller vilken slutsats A-son drog. Revisorsinspektionen drar av detta slutsatsen att någon sådan riskbedömning som penningtvättslagen kräver inte kom till stånd.

Revisorsinspektionen finner att A-son har brustit i sina åtgärder enligt penningtvättslagen i samband med att hon ingick affärsförbindelsen.

3.2 Kundkännedom – byggbolaget

I revisionsdokumentationen för byggbolaget finns en odaterad kopia av företrädarens, tillika den verklige huvudmannens, identitetshandling. Denna är utfärdad den 19 september 2023.

I det registrerade revisionsbolagets kundkännedomsprogram finns en sida med rubriken Riskbedömning. Här anges 14 omständigheter som användaren kan bocka för. En av dessa är ”Svårigheter i samband med identifieringen av klienten”. Även i revisionsbolagets rutiner och riktlinjer anges svårighet att uppnå kundkännedom som en indikator på hög risk i uppdraget. A-son har satt normal risk för uppdraget. I kundkännedomsprogrammet har hon angett ”Risknivå: Normal, Bedömning utifrån byråns interna dokument, Motivering/Noteringar risknivå – fortsatt utredning”. I arbetsbladet Uppdragsbedömning, daterat den 7 februari 2023, har hon antecknat följande.

Bedömningen utifrån revisionsbyråns allmänna riskbedömning är att bolaget har en normal risk avseende penningtvätt. detta trots att bolaget är verksamma inom en mer riskfylld bransch (byggbranschen) Bolaget är ett mindre företag med lokal förankring utan större UE och med en stabil verksamhet. Man anlitar en duktig redovisare med goda kontrollrutiner och vi har löpande kontakt och tillgång till redovisning. Bolaget är ej verksamma inom en kontantintensiv verksamhet och har inte någon komplicerad ägarstruktur, vi har träffat ägare och tillika huvudman.

A-son har uppgett följande.

Bolaget valde henne som revisor vilket registrerades hos Bolagsverket först den 25 oktober 2022.

Hon fick se en identitetshandling i samband med ett första möte inför granskningen av räkenskapsåret 2021. Hon begärde att få en kopia av legitimationen men fick inte det. Vid granskningen av räkenskapsåret 2022 genomfördes en kontroll i revisionsbolagets kundkännedomsprogram den 27 juni 2023. I samband med denna kontroll bad hon också om en bekräftelse av identitet, vilket hon inte erhöll då. Därför fick hon tjata om detta för sin dokumentation. Hon fick en kopia av legitimationen strax innan hon blev förelagd av Revisorsinspektionen att ge in den och hon lade då in kopian i grundakten. Hon har sannolikt en kopia av legitimationen bland sina foton; hon brukar ta ett kort vid första mötet med kund, i väntan på dokumentationen per e-post. Eftersom hon har bytt telefon ett antal gånger, har hon inte kvar detta underlag.

Hon har i sin uppdragsbedömning redovisat varför bolagets verksamhet anses innebära normal risk, trots att det enligt den allmänna riskbedömningen är en bransch med högre risk. Bedömningen utifrån revisionsbolagets allmänna riskbedömning är att byggbolaget har en normal risk avseende penningtvätt, trots att bolaget är verksamt inom en mer riskfylld bransch (byggbranschen). Byggbolaget är ett mindre företag med lokal förankring utan större underentreprenörer och med en stabil verksamhet. Det anlitar en duktig redovisare med goda kontrollrutiner och det har löpande kontakt och tillgång till redovisning. Det är inte verksamt inom en kontantintensiv verksamhet och har inte någon komplicerad ägarstruktur. Hon har träffat ägaren, som också är verklig huvudman.

Revisorsinspektionen gör följande bedömning.

Enligt 7 § penningtvättsföreskrifterna ska revisorns kontroll av fysiska och juridiska personers identitet göras genom att extern verifiering inhämtas och dokumenteras. För kontroll av en fysisk persons identitet innebär kravet att kontrollen av en giltig identitetshandling ska dokumenteras. Detta ska göras genom framtagandet av en kopia av den kontrollerade handlingen eller genom en anteckning av den kontrollerade handlingens nummer, giltighetstid och utfärdare. Av dokumentationen ska även framgå när kontrollen utfördes.

Det är den identitetshandling som revisorn har kontrollerat som ska dokumenteras. När revisorn ber en kund att komma in med en kopia av en identitetshandling vid ett senare tillfälle styrker detta, enligt Revisorsinspektionens mening, inte den lagstadgade, initiala kontrollen.

I detta fall registrerades A-son som byggbolagets revisor den 25 oktober 2022, vilket därmed är den tidpunkt då affärsförbindelsen senast får anses ha ingåtts. Det innebär att identitetskontrollerna i uppdraget skulle ha varit avslutade senast detta datum. A-sons dokumentation bestyrker inte att det skedde någon identitetskontroll i samband med att hon antog uppdraget; den identitetshandling för företrädaren som i kopia finns i A-sons dokumentation är utfärdad först i september 2023, dvs. nästan ett år senare. Hon har visserligen i sitt yttrande till Revisorsinspektionen uppgett att hon vid det första mötet inför granskningen av räkenskapsåret 2021 fick se en identitetshandling och att hon då också bad om en kopia av handlingen men att hon inte fick någon sådan. Hon har även uppgett att hon eventuellt tog ett foto av handlingen men att detta underlag inte finns kvar. Revisorsinspektionen anser emellertid inte att det genom dessa uppgifter har gjorts sannolikt att en vederbörlig identitetskontroll gjordes. Revisorsinspektionen drar av detta slutsatsen att identitetskontrollen inte utfördes i rätt tid (se den i avsnitt 2 beskrivna bevisbörderegeln).

Genom att inte utföra den identitetskontroll som lagen kräver har A-son åsidosatt sina skyldigheter enligt penningtvättsregelverket.

4 Sammanfattande bedömning och val av disciplinär åtgärd

Revisorsinspektionen har funnit att A-son i två fall har brustit i fullgörandet av sina skyldigheter enligt penningtvättslagen. I ett bolag har hon inte bedömt kundens riskprofil i tid. I fråga om ett annat bolag har hon inte i rätt tid utfört en kontroll av den verklige huvudmannens identitet. A-son har i nu nämnda avseenden åsidosatt sina skyldigheter som revisor och ska därför meddelas en disciplinär åtgärd. Hon ska, med stöd av 32 § andra stycket revisorslagen, meddelas en erinran.