Beslut: Revisorsinspektionen ger auktoriserade revisorn A-son en varning.
1 Inledning
Som ett led i arbetet mot penningtvätt och finansiering av terrorism gjorde Revisorsinspektionen under år 2023, utifrån ett riskbaserat urval, en riktad satsning på området inom ramen för den riskbaserade tillsynsverksamheten.
Revisorsinspektionen valde med anledning av detta ut A-son i hans egenskap av auktoriserad revisor samt ställföreträdare för det revisionsbolag där han är verksam och öppnade därför detta tillsynsärende. Han förelades inledningsvis att ge in dokumentationen av åtgärder avseende kundkännedom, riskprofil och övervakning enligt penningtvättslagen samt revisionsdokumentationen för två revisionsuppdrag. Dessa uppdrag avsåg ett aktiebolag som bedrev hotellverksamhet (räkenskapsåret 2021-05-01–2022-04-30) och ett bolag som bedrev städ- och caféverksamhet (räkenskapsåret 2022). Dessa benämns i detta beslut hotellbolaget respektive städ- och cafébolaget.
2 Penningtvättsregelverket
Auktoriserade och godkända revisorer är enligt 1 kap. 2 § 18 penningtvättslagen s.k. verksamhetsutövare i lagens mening och ska därmed följa lag och föreskrifter på området.
Kundens riskprofil
Av 2 kap. 3 § penningtvättslagen framgår att en verksamhetsutövare ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden. När det behövs för att bestämma kundens riskprofil ska verksamhetsutövaren beakta bl.a. omständigheter som avses i 2 kap. 4 och 5 §§ penningtvättslagen och andra omständigheter som i det enskilda fallet påverkar risken som kan förknippas med kundrelationen. Kundens riskprofil ska följas upp under pågående affärsförbindelser och ändras när det finns anledning till det.
Kundkännedom
En verksamhetsutövare – och därmed också en revisor – ska i enlighet med 3 kap. 4 § penningtvättslagen vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse. Verksamhetsutövaren får enligt 3 kap. 1 § över huvud taget inte etablera eller upprätthålla en affärsförbindelse om han eller hon inte har tillräcklig kännedom om kunden för att kunna hantera den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen och för att övervaka och bedöma kundens aktiviteter och transaktioner. Enligt 3 kap. 7 § ska verksamhetsutövaren identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska verksamhetsutövaren kontrollera den personens identitet och behörighet att företräda kunden. Enligt 3 kap. 8 § penningtvättslagen ska verksamhetsutövaren utreda om kunden har en verklig huvudman. En sådan utredning ska avse åtminstone sökning i det register över verkliga huvudmän som Bolagsverket för enligt lagen (2017:631) om registrering av verkliga huvudmän. Om kunden är en juridisk person, ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska verksamhetsutövaren vidta åtgärder för att kontrollera den verkliga huvudmannens identitet. Enligt 1 kap. 3 § lagen om registrering av verkliga huvudmän avses med en verklig huvudman en fysisk person som, ensam eller tillsammans med någon annan, ytterst äger eller kontrollerar en juridisk person, eller en fysisk person till vars förmån någon annan handlar. En fysisk person ska, enligt 1 kap. 4 § samma lag, antas utöva den yttersta kontrollen över en juridisk person, om han eller hon
på grund av innehav av aktier, andra andelar eller medlemskap kontrollerar mer än 25 procent av det totala antalet röster i den juridiska personen,
har rätt att utse eller avsätta mer än hälften av den juridiska personens styrelseledamöter eller motsvarande befattningshavare, eller
på grund av avtal med ägare, medlem eller den juridiska personen, föreskrift i bolagsordning, bolagsavtal och därmed jämförbara handlingar, kan utöva kontroll enligt 1 eller 2.
Enligt 3 kap. 9 § penningtvättslagen ska kontrollen av kundens och den verkliga huvudmannens identitet slutföras innan en affärsförbindelse etableras.
En verksamhetsutövare ska vidare enligt 3 kap. 10 § penningtvättslagen bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning eller en familjemedlem eller känd medarbetare till en sådan person. Verksamhetsutövaren ska enligt 3 kap. 13 § löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.
Övervakning
En verksamhetsutövare ska – enligt vad som närmare utvecklas i 4 kap. 1 § penningtvättslagen – övervaka pågående affärsförbindelser och bedöma enstaka transaktioner.
Inriktningen och omfattningen av övervakningen ska bestämmas med beaktande av de risker som har identifierats i den allmänna riskbedömningen, den risk för penningtvätt och finansiering av terrorism som kan förknippas med kundrelationen och annan information om tillvägagångssätt för penningtvätt eller finansiering av terrorism.
Utvärdering och dokumentation
Av 9 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism följer att en revisor under pågående uppdrag, på grundval av en riskbedömning men minst en gång per år, ska utvärdera kundkännedomen och kundens riskprofil samt vid behov uppdatera dessa. Enligt 5 kap. 3 § penningtvättslagen ska verksamhetsutövaren bevara handlingar och uppgifter avseende åtgärder som har vidtagits för kundkännedom i fem år. Tiden ska räknas från det att åtgärderna utfördes eller, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde. Enligt 7 § första stycket 2 och 9 § Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet ska det av revisorns dokumentation framgå bl.a. vilka granskningsåtgärder som har utförts, vad dessa har omfattat samt när och hur granskningsåtgärderna har utförts. Dokumentationen ska vara tydlig och strukturerad på ett överskådligt sätt. Den ska vara inriktad på väsentlig information men ändå så detaljerad att revisorns arbete kan bedömas i efterhand.
3 Åtgärder i revisionsuppdragen
3.1 Hotellbolaget
A-son har varit hotellbolagets revisor i åtskilliga år. Det senast upprättade uppdragsbrevet är daterat den 27 oktober 2021. I detta anges att uppdraget löper tills vidare.
Ett dokument i akten rubricerat PTL-Rapport får förstås så att det den 13 september 2023 gjordes en sökning avseende person i politiskt utsatt ställning (PEP).
Kundens riskprofil är satt till ”Normal”. A-sons riskbedömning av kunden består av en anteckning i arbetsbladet Penningtvätt där han har skrivit ”Inga transaktioner eller indikationer på penningtvätt har påträffats. Bedöms som normal risk enligt byråpolicy.” I dokumentet PTL-Rapport har inte gjorts några markeringar avseende ett antal förtryckta riskhöjande omständigheter.
A-son har förelagts att redogöra för om han bedömde att det fanns några risker kopplade till bolagets verksamhet (hotellverksamhet i en av Sveriges största städer).
A-son har uppgett följande.
Kontrollen av person i politiskt utsatt ställning utfördes för första gången den 13 september 2023. Tidigare hade revisionsbyrån inte som rutin att göra denna kontroll på samtliga kunder. Numera har byrån den rutinen.
Han grundade sin bedömning att risken i bolaget var normal på att bolaget hade en obetydlig kontanthandel och att han hade en god kund- och verksamhetskännedom sedan tidigare revisioner. Bolaget har bra rutiner och intern kontroll och använder sig av ett speciellt ekonomisystem som är anpassat för branschen. Han har varit revisor i bolaget i drygt 10 år, vilket innebär att han har mycket god kännedom om bolaget och dess verksamhet.
Revisorsinspektionen gör följande bedömning.
En verksamhetsutövare ska vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse. En av dessa åtgärder är att bedöma om kunden eller dess verkliga huvudman är en person i politiskt utsatt ställning eller en familjemedlem alternativt känd medarbetare till en sådan. När A-son den 13 september 2023 kontrollerade förekomsten av personer i politiskt utsatt ställning hade affärsförbindelsen pågått i åtskilliga år. Bedömningen av förekomsten av personer i politiskt utsatt ställning gjordes alltså för sent.
När det sedan gäller riskbedömningen av kunden kan A-sons slutsats att risken var normal mycket väl stämma. Slutsatsen kunde emellertid inte grundas enbart på det förhållandet att A-son inte hade sett några transaktioner eller indikationer som tydde på penningtvätt i uppdraget. Vid riskbedömningen ska revisorn beakta de omständigheter som höjer eller sänker risken i det enskilda uppdraget. I detta fall rörde det sig om hotellverksamhet som bedrevs centralt i en storstad och innefattade serveringstillstånd. Det förelåg därmed omständigheter som i normalfallet ökar risken för penningtvätt. Det som A-son har uppgett om hotellbolagets rutiner, intern kontroll och ekonomisystem förändrar inte denna bedömning.
Revisorsinspektionen anser sammanfattningsvis att A-sons åtgärder enligt penningtvättslagen i uppdraget har varit bristfälliga.
3.2 Städ- och cafébolaget
Enligt ett i revisionsakten för städ- och cafébolaget sparat utdrag från en bolagsdatabas tillträdde A-son som revisor i bolaget den 19 januari 2021. Detta var också den tidpunkt då han registrerades som bolagets revisor hos Bolagsverket. Uppdragsbrevet är daterat den 30 juni 2021. I akten finns kopior av två identitetshandlingar avseende bolagets företrädare men det framgår inte när kontrollerna utfördes.
I arbetsbladet Revisorns prövning av penningtvättslagen (2017:630) ställs frågan om revisorn har inhämtat information om verklig huvudman i Bolagsverkets register. Den frågan har A-son besvarat med ”ja”. Akten saknar dock dokumentation av denna kontroll och information om när kontrollen gjordes.
I samma dokument har A-son antecknat att kundens företrädare eller verkliga huvudman inte är en person i politiskt utsatt ställning. Det framgår inte av dokumentationen när eller hur detta kontrollerades.
A-son har satt kundens riskprofil till ”Normal” med motiveringen ”Inga indikationer som tyder på penningtvätt. ID-kontroll i grundakt”.
Även i denna del har A-son uppmanats att redogöra för om han bedömde att det fanns några risker kopplade till bolagets verksamhet (städ- och caféverksamhet).
A-son har uppgett följande.
Uppdragsbrevet skrevs under i samband med revisionen. Identitetskontrollerna utfördes första gången den 30 juni 2021 i samband med undertecknandet av årsredovisningen.
Städ- och cafébolaget var ett helägt dotterbolag till A-bolaget. Underlaget för kontrollen av verklig huvudman har inhämtats i A-bolaget. Kontrollen avseende verklig huvudman gjordes den 14 juni 2021 och den 3 maj 2023 och de verkliga huvudmännen var X och Y.
Även kontrollen avseende person i politiskt utsatt ställning är utförd i A-bolaget. Kontrollen gjordes via revisionsföretagets AML-program den 21 juni 2021 och den 3 maj 2023.
Anledningen till att revisionsbyrån bedömde risken i uppdraget till normal var följande. Bolagets totala omsättning uppgick år 2022 till ca 1,5 mnkr, varav ca 400 tkr avsåg caféverksamheten och resten städning. I caféverksamheten uppgick kontantförsäljningen till ca 5 tkr per månad. Den kontanta försäljningen var en obetydlig del av den totala verksamheten. Hans tidigare revisionsmässiga erfarenhet är att bolaget har god intern kontroll, särskilt kopplat till avstämningar och kontanthantering.
Revisorsinspektionen gör följande bedömning.
A-son registrerades som bolagets revisor den 19 januari 2021. Hans affärsförbindelse med bolaget får därför anses ha ingåtts senast detta datum.
Identitetskontrollen av bolagets företrädare, tillika uppgivna verkliga huvudmän, utfördes i detta fall knappt fem och en halv månad efter det att affärsförbindelsens inleddes. Detta är inte förenligt med penningtvättslagen där det anges att kontrollen ska slutföras innan en affärsförbindelse etableras.
Revisorsinspektionen har efterfrågat dokumentation av kontrollen av bolagets verkliga huvudman. Någon sådan dokumentation har inte getts in och Revisorsinspektionen utgår därför från att kontrollen av verklig huvudman inte är dokumenterad. Det innebär att A-son inte iakttagit de särskilda bestämmelser som gäller för dokumentation (se 7 § 2 Revisorsinspektionens föreskrifter [RIFS 2018:2] om villkor för revisorers och registrerade revisionsbolags verksamhet (verksamhetsföreskrifterna).
A-son har uppgett att kontrollen av verklig huvudman gjordes i städ- och cafébolagets moderbolag. Bestämmelserna om verklig huvudman i 1 kap. 3–6 §§ lagen om registrering av verklig huvudman innebär att verksamhetsutövaren för varje juridisk person måste identifiera eller kontrollera verklig huvudman. Ett moderbolag och ett dotterbolag i en koncern har vanligtvis samma huvudman men det är inte uteslutet att olika bolag i en koncern har olika verkliga huvudmän. En kontroll av verklig huvudman endast i moderbolaget var därför inte tillräckligt. Kontrollen av verklig huvudman i moderföretaget gjordes dessutom först den 14 juni 2021. Detta var fem månader för sent, eftersom kontrollen ska slutföras innan affärsförbindelsen etableras.
I detta fall gjordes kontrollen av personer i politiskt utsatt ställning först den 21 juni 2021, dvs. efter det att A-sons affärsförbindelse med bolaget hade inletts. Vid den tidpunkt då affärsförbindelsen inleddes hade han därmed inte den kundkännedom som krävdes för att hantera risken för penningtvätt eller finansiering av terrorism (jfr 3 kap. 1 § penningtvättslagen). Den aktuella kontrollen gjordes därmed för sent.
A-sons riskbedömning av kunden – att risken var normal – synes ha grundats enbart på det förhållandet att han inte hade sett några indikationer på penningtvätt eller finansiering av terrorism i uppdraget. En riskbedömning kräver emellertid mera ingående bedömningar än så, inbegripet en bedömning av de omständigheter som kan påverka risken i det enskilda fallet. I detta fall rörde det sig om café- och städverksamheter, vilket är branscher som ofta har lyfts fram som särskilt utsatta. Att, som A-son anger i sitt yttrande, kontanthanteringen i caféverksamheten var obetydlig var enligt Revisorsinspektionens mening inte tillräckligt för att ge honom grund för sin riskbedömning. Den riskbedömning av kunden som han gjorde var således inte motiverad på ett tillfredsställande sätt.
4 Sammanfattande bedömning och val av disciplinär åtgärd
Revisorsinspektionen har funnit flera brister i A-sons fullgörande av sina skyldigheter enligt penningtvättslagen i de två revisionsuppdrag som är aktuella i detta ärende. Han har i ett av de granskade uppdragen inte kontrollerat företrädarens identitet i tid. I båda uppdragen har det funnits brister i hans kundkännedomsåtgärder avseende personer i politiskt utsatt ställning liksom i hans riskbedömning av kunderna. I städ- och cafébolaget har han även brustit i sin kontroll av verklig huvudman.
A-son har i nu nämnda avseenden åsidosatt sina skyldigheter som revisor och ska därför meddelas en disciplinär åtgärd. Det som ligger honom till last är allvarligt. Han ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), meddelas en varning.