Beslut: Revisorsinspektionen ger den godkände revisorn A-son en varning förenad med en sanktionsavgift om 60.000 kr.
1 Inledning
A-son har varit föremål för FAR:s kvalitetskontroll och har då bedömts inte bedriva sin revisionsverksamhet enligt god revisionssed och god revisorssed. Detta har föranlett inspektionen att öppna ett ärende inom ramen för den riskbaserade tillsynen.
Revisorsinspektionen har i ärendet utrett hur A-son har fullgjort sitt revisionsföretags skyldigheter enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).
2 Åtgärder enligt penningtvättsregelverket
2.1 Tillämpliga bestämmelser
Penningtvättslagen gäller för fysiska och juridiska personer som driver vissa i lagen uppräknade verksamheter, däribland sådan verksamhet som en auktoriserad eller godkänd revisor eller ett registrerat revisionsbolag bedriver och annan yrkesmässig verksamhet som avser revisionstjänster (se 1 kap. 2 § första stycket 18 och 19). Det innebär att såväl enskilda revisorer som juridiska personer som bedriver revisionsverksamhet är skyldiga att följa lagens bestämmelser och de föreskrifter som har meddelats på området. I den utsträckning verksamheten bedrivs i en juridisk person har den juridiska personens ställföreträdare som utgångspunkt ett personligt ansvar för att verksamheten är inrättad så att penningtvättsregelverket kan följas.
Härav följer att det inom ramen för revisionsverksamheten måste göras en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning; se 2 kap. 1 § penningtvättslagen).
Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som förekommer. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna), som trädde i kraft den 1 januari 2022, ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.
Den som bedriver revisionsverksamhet ska vidare ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter (se 2 kap. 8 § penningtvättslagen). Dessa ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism. I 4 § penningtvättsföreskrifterna anges att revisionsföretaget, på grundval av en riskbedömning och minst en gång per år, ska utvärdera och vid behov uppdatera den allmänna riskbedömningen och sina rutiner och riktlinjer. Datum för utvärderingen och eventuell uppdatering ska dokumenteras.
2.2 Utredningen i ärendet
Allmän riskbedömning
A-son har i december 2023 i samband med FAR:s kvalitetskontroll upprättat ett dokument rubricerat allmän riskbedömning. Dokumentet har lagts som bilaga till revisionsföretagets kvalitetspolicy.
I bilagan till kvalitetspolicyn anges följande.
Jag säljer tjänsten revision till företag. Hela grunden för revisionsbyrån bygger på att alla bolagets kunder är ägarledda kunder, dvs. har liknande risk för penningtvätt och finansiering för terrorism. Således kan jag utnyttja min kunskap på hela kundstocken. Jag har identifierat att risk för att mina tjänster utnyttjas för penningtvätt och finansiering av terrorism kan vara genom att kunderna felaktigt använder utlandsbetalningar, lån från fysiska personer och fakturor som kan vara osanna. Jag har medvetet inte tagit kunder inom vissa branscher tex restaurangbranschen Jag har även med dessa frågor i min normala revisionsgranskning samt att jag fortsätter att träffa kunden trots att årsredovisningen skrivs på digitalt. Jag anser att det är låg risk att bolaget utnyttjas för penningtvätt och finansiering av terrorism. Dock måste man var observant på förändringar hos kunderna och inta en professionell skepsis. Geografiskt finns mina kunder i stockholmstrakten.
I bilagan görs även hänvisningar till själva kvalitetspolicyn. Kvalitetspolicyn innehåller utöver nämnda bilaga inga bedömningar eller analyser avseende risken för att företaget utnyttjas för penningtvätt och finansiering av terrorism.
Revisorsinspektionen har under utredningens gång tagit del av ett nytt separat dokument för allmän riskbedömning som har upprättats under år 2024. I den har bl.a. ytterligare tjänster som företaget tillhandahåller riskbedömts, såsom deklarationstjänster och rådgivningstjänster.
Rutiner och riktlinjer
Vid tidpunkten för FAR:s kvalitetskontroll hade revisionsföretaget en kvalitetspolicy i vilken det fanns ett avsnitt om accept och behållande av kunder och uppdrag. I policyn anges att penningtvättslagen och FAR:s uttalande i etikfrågor (EtikU) 11 alltid ska beaktas. Vidare anges att grundinformation, såsom kreditupplysning, senaste årsredovisningen och information från Bolagsverket om verklig huvudman, ska inhämtas. Vid bedömningen av om kund ska accepteras ska, enligt policyn, bl.a. beaktas vilken typ av bransch som kunden är verksam i. Även kundens egenskaper ska beaktas, exempelvis organisationsstruktur, ägarskap, finansiering, om kundriskprofilen bedöms vara hög samt övrig information.
Enligt policyn accepteras inga uppdrag om det finns misstanke om att revisionsföretaget kan användas för penningtvätt eller finansiering av terrorism. Vidare anges att revisionsföretaget har en dokumenterad allmän riskbedömning som ska beaktas.
Av policyn framgår även att A-son under pågående kundrelationer och uppdrag ska vara uppmärksam på omständigheter, såsom ändrade ägarförhållanden eller transaktioner, som kan indikera att revisionsföretaget utnyttjas. Vid skälig grund för misstanke ska rapportering göras till finanspolisen.
Bedömning av om kundrelationen kan behållas ska göras löpande och vid behov.
Revisorsinspektionen har under utredningens gång tagit del av ett nytt separat dokument för rutiner och riktlinjer som upprättats under år 2024.
2.3 Revisorns uppgifter
A-son har uppgett följande.
Allmän riskbedömning
Såväl den allmänna riskbedömningen som rutiner och riktlinjer ingick vid tidpunkten för kvalitetskontrollen i den revisionsdokumentation som han hade för respektive uppdrag. Dokumenten består av bilagorna 1–10 i den inskickade revisionsdokumentationen.
Kundkännedom, dokument som ligger i grundakten, bilaga 1.
Utdrag ur kundutvärdering, övergripande information, bilaga 2.
Avvikelser från byråns normala rutiner för denna typ av företag, bilaga 3.
Kontrollista penningtvätt som fylls i för alla klienter och omfattar uppgifter om inhämtande av identitetshandlingar, kundriskprofil och vilken övervakning som är utförd, bilaga 4.
Sekvenskontroller så man ser att alla transaktioner är med, bilaga 5.
Kontroll av kundfakturor avseende existens och värde samt rörelsetillhörighet i frågebatteriet, bilaga 6.
Kontroll av att ej avdragsgillt är upptaget i deklarationen samt att transaktionerna har rörelsetillhörighet och bokförs rätt, dvs. att inga rörelsefrämmande kostnader tas upp, bilaga 7.
Leverantörsskulder, att det inte finns misstankar om att väsentliga leverantörsfakturor inte finns med, bilaga 8.
Kostnader rätt redovisade, rörelsetillhörighet, bilaga 9.
Frågebatteriet som ligger till grund för vad han får ut i substansgranskningen, dvs. vilka verifikationer som är lite mer intressanta, bilaga 10.
Han hade en diskussion med FAR:s kvalitetskontrollant om huruvida han var tvungen att ha separata dokument avseende åtgärder enligt penningtvättslagen eller om dessa kunde vara integrerade i den vanliga kontrollen av bolagen som han reviderade, (dvs. integrerad i revisionsdokumentationen). De kom fram till att eftersom han bedrev verksamheten själv och var ansvarig för att rapportera allt behövdes inget separat dokument för byråns verksamhet.
När FAR:s kvalitetsnämnd underkände honom, trots kontrollantens besked om godkännande, fick han lämna sina synpunkter och upprättade då ett separat dokument för penningtvätt och finansiering av terrorism för revisionsföretaget. FAR:s kvalitetsnämnd tyckte alltjämt inte att det uppfyllde kravet. Han fick därefter rådet av FAR att inte vara så kortfattad i sin beskrivning.
Han upprättade därför de nya dokumenten avseende allmän riskbedömning och rutiner och riktlinjer som är daterade i år (2024) och avser att uppdatera dessa löpande i takt med att ny information och nya lagar i branschen uppdagas.
När det gäller hans tidigare gjorda riskbedömning hade han först läst penningtvättslagen och konstaterat att han har hemvist i EES, att hemvisten är i en stat som har bestämmelser och åtgärder mot penningtvätt och terrorism och att det är en stat som har en låg nivå av korruption. Han uppfyller alltså tre av fem kriterier för låg risk som pekas ut i bestämmelsen.
Vidare driver han sitt revisionsföretag själv och kan alltså själv välja sina kunder. Han har medvetet valt att inte ha några kunder som han inte kan lita på. Om han upptäcker att en kund inte har samma värderingar som han, avslutas samarbetet efter genomförd revision. Detta har aldrig varit något bekymmer, eftersom klienten förmodligen känner att han är för noggrann.
Mot denna bakgrund ansåg han att det var låg risk för att revisionsföretaget utnyttjas för penningtvätt eller finansiering av terrorism. Ju mer han läst om ämnet har han förstått att det är ytterst sällsynt att det finns låg risk och att Revisorsinspektionen tolkar penningtvättslagen på ett annat sätt än han först gjorde. I den nya allmänna riskbedömningen bedöms risken som normal.
Rutiner och riktlinjer
Han gör revisionerna för alla sina kunder, eftersom han inte har några andra på revisionsföretaget som kan göra det. Vid tidpunkten för FAR:s kvalitetskontroll hade han rutinerna inbakade i sin granskning för respektive uppdrag. Han tolkade penningtvättslagen så att eftersom han driver en enmansbyrå så skulle det räcka att han hade rutinerna och riktlinjerna dokumenterade i sin granskning av kunderna. Han hade alltså rutinerna dokumenterade men inte i ett eget dokument. Han tog fram ett eget mer detaljerat dokument först när FAR:s kvalitetsnämnd inte godkände det som han hade på plats.
2.4 Revisorsinspektionens bedömning och val av disciplinär åtgärd
Allmän riskbedömning
A-son har uppgett att han tidigare, fram till tidpunkten för FAR:s kvalitetskontroll, hade alla dokumenterade åtgärder enligt penningtvättslagen, dvs. även allmän riskbedömning och rutiner och riktlinjer, integrerade i revisionsakterna för respektive kund. Den dokumentationen som han härvid har pekat ut som rör penningtvätt är bilagorna 1–10. Dessa finns i respektive kunduppdrag och innehåller uppgifter och bedömningar som är kopplade till den enskilda kunden. Den bilaga som kan sägas mer specifikt röra penningtvätt är bilaga 4. Den bilagan utgör en kontrollista med uppgift om kundens namn och adress, huruvida kopia av identitetshandling har inhämtats, kundriskprofil och åtgärder som vidtagits i övervakningen. Ingen av bilagorna, inte heller bilaga 4, innehåller emellertid någon värdering av revisionsföretagets identifierade hot och sårbarheter. Bilagorna innefattar därmed, enligt Revisorsinspektionens bedömning, inte någon sådan allmän riskbedömning som ett revisionsföretag ska upprätta.
Den bilaga som A-son upprättade i december 2023 i samband med FAR:s kvalitetskontroll är allmänt hållen och innehåller inga detaljerade uppgifter. I bilagan anges att han identifierade en risk för att tjänsterna kunde utnyttjas för penningtvätt och finansiering av terrorism genom att kunderna felaktigt använde utlandsbetalningar, lån från fysiska personer och fakturor som var osanna. För att motverka risken tog han inte kunder inom vissa branscher och han såg till att alltid träffa sina kunder. Eftersom alla hans kunder var ägarledda bolag, ansåg han att han kunde applicera sin kunskap på hela kundstocken. Hans bedömning var att risken för att revisionsföretaget utnyttjades var låg.
Revisorsinspektionen konstaterar att bilagan från december 2023 inte innehåller någon redogörelse för övriga tjänster som tillhandhålls i verksamheten. Behovet av en sådan redogörelse togs inte om hand förrän i den allmänna riskbedömning som kom på plats år 2024. I bilagan från december 2023 saknas alltså en bedömning avseende risker kopplade till alla olika tjänster som tillhandahålls i verksamheten. Bilagan innehåller inte heller någon beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök att utnyttja verksamheten för penningtvätt eller finansiering av terrorism. Det finns inte heller någon värdering av identifierade hot och sårbarheter. Bilagan uppfyller därför inte de krav som måste ställas på en allmän riskbedömning. Den uppfyller inte heller det krav på datering som anges i penningtvättsföreskrifterna.
Rutiner och riktlinjer
A-son har uppgett att han tidigare, fram till tidpunkten för FAR:s kvalitetskontroll, hade redovisat även rutiner och riktlinjer på penningtvättsområdet i revisionsakterna för respektive kund. De handlingar som han har pekat på, och som rör penningtvätt, är bilagorna 1–10. Handlingarna finns i respektive kunduppdrag och innehåller uppgifter och bedömningar som är kopplade till den enskilda kunden. Som redan har konstaterats är det enbart bilaga 4 som kan sägas mer specifikt röra penningtvätt. Inga av de uppgifter som finns i bilaga 4 tar emellertid sikte på de rutiner och riktlinjer som revisionsföretaget behöver ta fram med utgångspunkt i den allmänna riskbedömningen.
Utöver den nämnda bilaga 4 innehåller A-sons kvalitetspolicy ett avsnitt om penningtvätt. Där anges vissa väsentliga rutiner avseende kundkännedom. Policyn innehåller också en riktlinje om när rapportering ska göras. Policyn innehåller dock inte några rutiner avseende kontroll av de fysiska företrädarnas identitet. Där saknas också uppgifter om hur personer i politiskt utsatt ställning (PEP) ska bedömas liksom en lista på högriskbranscher som kan beaktas vid bedömningen av kundens riskprofil. Vidare saknas rutiner avseende förenklade åtgärder, fördjupade åtgärder, indikationer på låg/hög risk, utbildning etc.
De rutiner och riktlinjer som revisionsföretaget hade före år 2024 var därför inte fullständiga och därmed inte heller godtagbara.
Val av disciplinär åtgärd
Det som nu har sagts innebär att A-son har åsidosatt sina skyldigheter enligt penningtvättslagen i egenskap av ställföreträdare för ett revisionsföretag i följande avseenden.
Fram till december 2023 hade han över huvud taget inte upprättat någon allmän riskbedömning för revisionsföretaget. Den allmänna riskbedömning som han upprättade i december 2023 uppfyllde inte penningtvättslagens och penningtvättsföreskrifternas krav. Han har inte heller, förrän under år 2024, upprättat fullständiga interna rutiner och riktlinjer enligt penningtvättslagen. Bristerna i fullgörandet av penningtvättslagens krav har sammantaget varit omfattande. Den omständighet att revisionsföretaget numera har genomarbetade och utförliga dokument för allmän riskbedömning och rutiner och riktlinjer föranleder ingen annan bedömning.
A-son har i ovan nämnda avseenden åsidosatt sina skyldigheter som revisor och ska därför meddelas en disciplinär åtgärd. Åsidosättandena avser allvarliga brister i fullgörandet av regelverket mot penningtvätt och finansiering av terrorism. Den disciplinära åtgärden ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), bestämmas till varning.
Revisorsinspektionen finner att det mot bakgrund av de omfattande och systematiska bristerna i A-sons åtgärder på penningtvättsområdet som förelegat under flera år finns särskilda skäl för att, med stöd av 32 § a revisorslagen, förena varningen med en sanktionsavgift. Vid en överträdelse av penningtvättslagen gäller enligt 32 k § revisorslagen särskilda bestämmelser om sanktionsavgiftens storlek. Om det går att fastställa den vinst som har gjorts till följd av regelöverträdelsen, ska avgiften uppgå till högst två gånger denna vinst. I annat fall ska avgiften uppgå till högst ett belopp i kronor som motsvarar en miljon euro. Sanktionsavgiften ska enligt lagens förarbeten vara proportionell och avskräckande. När avgiften bestäms ska också de allmänna bestämmelserna om sanktionsavgifters storlek som finns i 32 d–32 f §§ revisorslagen beaktas. Det innebär att avgiften ska stå i proportion till överträdelsens allvar, hur länge den har pågått och verksamhetsutövarens finansiella ställning och den vinst som har gjorts genom överträdelsen. I detta ligger, enligt Revisorsinspektionens bedömning, att det bör vägas in bl.a. vilka slag av företag som revisorn har granskat – varvid det finns anledning att se mer allvarligt på försummelser som avser större företag eller företag av allmänt intresse – och vilken omfattning som revisionsverksamheten har haft. När det är fråga om försummelser som inte kan antas vara uppsåtliga och som avser revisionen av ett fåtal mindre privata aktiebolag bör enligt Revisorsinspektionens mening sanktionsavgiften normalt bestämmas inom den nedersta delen av sanktionsskalan.
Revisorsinspektionen anser vid en sammantagen bedömning att sanktionsavgiften för A-son bör bestämmas till 60.000 kr. Sanktionsavgiften tillfaller staten och ska betalas när beslutet har vunnit laga kraft.