Beslut: Revisorsinspektionen ger det registrerade revisionsbolaget A-Bolaget AB en varning förenad med en sanktionsavgift om 100.000 kr.

1 Inledning

Revisorsinspektionen har underrättats om att det registrerade revisionsbolaget A-Bolaget AB (nedan A-Bolaget) har underkänts i FAR:s kvalitetskontroll och har därför öppnat detta ärende.

I ärendet behandas frågan om A-Bolaget har uppfyllt sina skyldigheter enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).

2 Penningtvättsregelverket

Registrerade revisionsbolag (nedan revisionsbolag) är enligt 1 kap. 2 § 18 penningtvättslagen s.k. verksamhetsutövare enligt lagen och har därmed en skyldighet att följa lag och föreskrifter på området.

Allmän riskbedömning

Verksamhetsutövare ska enligt 2 kap. 1 § penningtvättslagen göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som är för handen. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsbolagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.

Rutiner och riktlinjer

Enligt 2 kap. 8 § penningtvättslagen ska en verksamhetsutövare ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Rutinerna och riktlinjerna ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism.

Kundkännedom och kundens riskprofil

En verksamhetsutövare ska enligt 2 kap. 3 § penningtvättslagen bedöma den risk för penningtvätt och finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och verksamhetsutövarens kännedom om kunden. Lagen förutsätter att verksamhetsutövaren vidtar åtgärder för att skaffa sig kundkännedom (se närmare 3 kap. 7–13 §§). Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.

Om en verksamhetsutövare är anställd hos en juridisk person, är det enligt 2 kap. 16 § den juridiska personen – i det här fallet revisionsbolaget – som ansvarar för att kraven i penningtvättslagen avseende allmän riskbedömning samt rutiner och riktlinjer uppfylls.

Dokumentation

Av 11 § penningtvättsföreskrifterna framgår att revisorns dokumentationsskyldighet enligt 7 och 9 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet (verksamhetsföreskrifterna) gäller, i tillämpliga delar, även revisorns åtgärder enligt penningtvättslagen.

Enligt 7 § första stycket 2 verksamhetsföreskrifterna ska det av dokumentationen framgå vilka granskningsåtgärder som har utförts, vad granskningsåtgärderna har omfattat samt när och hur de har utförts. Av 9 § samma föreskrifter följer att dokumentationen ska vara så detaljerad att revisorns arbete kan bedömas i efterhand.

3 Åtgärder enligt penningtvättsregelverket

Eftersom A-Bolaget är ett registrerat revisionsbolag, är det en verksamhetsutövare i penningtvättslagens mening. Revisorsinspektionen utövar därför tillsyn över att bolaget tillser att verksamhet som omfattas av penningtvättslagen utövas enligt lagens regler. Vid A-Bolaget arbetade vid tidpunkten för den senaste årsstämman tre personer. En av dessa var en auktoriserad revisor som i huvudsak arbetade med revisionsverksamhet. Den övriga personalen hade arbetsuppgifter inom redovisning och affärsrådgivning. Också den verksamhet som dessa personer utför omfattas av penningtvättslagen. Det ankommer på Revisorsinspektionen att vid utövandet av tillsyn över A-Bolaget beakta om bolaget fullgör sina skyldigheter enligt penningtvättslagen även i den verksamhet som inte utgör revisionsverksamhet (se 3 a § revisorslagen, [2001:883]).

3.1 Allmän riskbedömning

Bolaget inledde sin verksamhet våren 2021. Vid tidpunkten för kvalitetskontrollen, som genomfördes hösten 2023, saknade A-Bolaget en allmän riskbedömning. Den första allmänna riskbedömningen upprättades den 13 oktober 2023, i samband med kvalitetskontrollen.

A-Bolaget har uppgett följande.

Det stämmer att den första versionen av den dokumenterade riskbedömningen upprättades i oktober 2023.

Revisorsinspektionen gör följande bedömning.

A-Bolaget hade vid tidpunkten för kvalitetskontrollen, hösten 2023, inte gjort någon sådan allmän riskbedömning som en verksamhetsutövare enligt 2 kap. 1 § penningtvättslagen är skyldig att göra och dokumentera. Den allmänna riskbedömningen ska ligga till grund för revisionsbolagets interna rutiner och riktlinjer enligt penningtvättslagen. Den är också en av förutsättningarna för att bolagets anställda ska kunna bedöma och hantera riskerna i enskilda uppdrag. Avsaknaden av en allmän riskbedömning står i strid med lag. A-Bolaget har därför, genom att fram till hösten år 2023 underlåta att upprätta en allmän riskbedömning, åsidosatt sina skyldigheter enligt penningtvättslagen. Att revisionsbolaget efter kontrollantens besök har upprättat en allmän riskbedömning föranleder ingen annan bedömning.

3.2 Rutiner och riktlinjer

A-Bolaget har av Revisorsinspektionen förelagts att ge in sina rutiner och riktlinjer enligt penningtvättslagen. Revisionsbolaget har som svar på detta gett in bolagets numera upprättade allmänna riskbedömning (framtagen den 13 oktober 2023, jfr avsnitt 3.1) med rutiner och riktlinjer.

Av avsnitt 4.1 i dessa rutiner och riktlinjer framgår följande om kundkännedomsåtgärder.

Inför varje uppdrag vidtas åtgärder för att uppnå kundkännedom och detta dokumenteras som utvärdering av nytt uppdrag eller utvärdering av befintligt uppdrag. Detta sker i enlighet med penningtvättslagen, samt EtikU 11.

Revisorsinspektionen har tagit del av den dokumentation över vidtagna kundkännedomsåtgärder som finns i två av revisionsbolagets revisionsuppdrag. Dokumentationen består av en checklista för penningtvätt och en checklista avseende utvärdering av nytt uppdrag eller utvärdering av befintligt uppdrag. I checklistorna har olika påståenden besvarats med ja eller nej, utan angivande av några motiveringar eller kommentarer. I den inskickade dokumentationen finns inte några underlag som visar hur verklig huvudman kontrolleras, vad som ligger till grund för bedömningen av om det finns en person i politiskt utsatt ställning (PEP) eller vilka övriga åtgärder som vidtas för att uppnå kundkännedom.

A-Bolaget har uppgett följande.

Rutiner och riktlinjer har funnits från det att bolaget startade, däremot har ett missförstånd skett och de har utgått ifrån det stöd som finns i revisionsverktyget (Hogia Audit).

En stor del av kundkännedomsåtgärderna kontrolleras genom en databas (Svensk Faktakontroll). Detta inkluderar PEP, verklig huvudman, registrerad styrelse, firmatecknare, betalningsanmärkningar, sanktioner m.m. Uppgifterna sparas inte i revisionsdokumentationen, utan kontrolleras enbart mot databasen. Det underlag som sparas är kopia av identitetshandling.

Allt revisionsarbete utförs av en person (den enskilde auktoriserade revisorn). I samband med planeringsarbetet där dessa moment ingår fylls checklistorna i samtidigt som kontrollerna sker mot databasen. Utifrån detta är bedömningen att revisionsbolagets rutin för att uppnå kundkännedom är tillräcklig. Eftersom de uppgifter som stäms av går att spåra historiskt, sparas inte handlingar från databasen. Revisionsprogrammet har dock en koppling till Bolagsverket, varför aktuell styrelse alltid uppdateras. Även detta sker i samband med planeringsarbetet när checklistorna fylls i. Uppgiften om verklig huvudman är inte kopplad till Bolagsverket utan uppdateras manuellt om en ändring skulle uppmärksammas vid kontroll.

Revisorsinspektionen gör följande bedömning.

Som redogjorts för i avsnitt 2 ska en verksamhetsutövare ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Dessa måste vara anpassade efter de riskindikatorer som har identifierats i den allmänna riskbedömningen. Det innebär bl.a. att ett revisionsbolag inte kan nöja sig med att tillhandahålla checklistor och liknande riktlinjer som har upprättats av utomstående och som därför inte är ägnade att ta hänsyn till det specifika revisionsbolagets förhållanden.

Det framgår inte närmare av penningtvättslagen hur ett revisionsbolags rutiner ska vara utformade. Det står emellertid klart att det av de dokumenterade rutinerna måste – på ett för revisionsbolaget heltäckande sätt – framgå exempelvis hur uppgifter för att uppnå kundkännedom ska inhämtas, vilka parametrar som ska beaktas vid bedömning av kundens riskprofil och när skärpta åtgärder för kundkännedom behöver vidtas. Det måste också framgå hur rapportering vid misstankar om penningtvätt och finansiering av terrorism ska gå till och hur bolagets anställda ska utbildas i penningtvättsfrågor. A-Bolaget har hänvisat till en checklista för åtgärder enligt penningtvättslagen. Denna checklista används i de enskilda kunduppdragen för att notera uppgifter och bedömningar som är kopplade till den enskilda kunden. Ett dokument av det slaget utgör dock inte en sådan övergripande beskrivning av revisionsbolagets rutiner som en verksamhetsutövare är skyldig att – med utgångspunkt i revisionsbolagets allmänna riskbedömning – upprätta.

Enligt Revisorsinspektionens bedömning hade därför A-Bolaget fram till oktober 2023 inte sådana rutiner och riktlinjer som föreskrivs i penningtvättslagen. A-Bolaget har härigenom åsidosatt sina skyldigheter enligt penningtvättslagen. Att A-Bolaget efter kontrollantens besök har upprättat rutiner och riktlinjer föranleder ingen annan bedömning.

Vad gäller innehållet i de numera framtagna rutinerna och riktlinjerna finns en rutin för inhämtande av dokumentation avseende vidtagna kundkännedomsåtgärder. Rutinen är utformad på ett sätt som medger att den enskilde revisorn inte sparar underliggande dokumentation för sina åtgärder. A-Bolaget har uppgett att endast en revisor utför alla sådana åtgärder och att dokumentationen går att följa. Enligt Revisorsinspektionen mening går det inte att bedöma revisorns arbete i efterhand på grundval av de uppgifter som noteras i checklistorna. Den utformade rutinen kan därför i denna del inte anses vara förenlig med de dokumentationskrav som finns i Revisorsinspektionens föreskrifter (se 11 § penningtvättsföreskrifterna och 7 och 9 §§ verksamhetsföreskrifterna).

4 Sammanfattande bedömning och val av disciplinär åtgärd

A-Bolaget hade vid tidpunkten för kvalitetskontrollen (hösten 2023) inte upprättat någon sådan allmän riskbedömning eller tagit fram sådana rutiner och riktlinjer som en verksamhetsutövare enligt 2 kap. 1 och 8 §§ penningtvättslagen är skyldig att upprätta.

Avsaknaden av en allmän riskbedömning och rutiner och riktlinjer fram till hösten 2023 har medfört att A-Bolagets anställda inte hade förutsättningar för att i de enskilda uppdragen vidta de övriga åtgärder som penningtvättslagen förutsätter. Dessa förhållanden har tillsammans medfört en väsentligt ökad risk för att revisionsbolagets tjänster skulle kunna användas som ett led i att genomföra eller dölja penningtvätt eller finansiering av terrorism.

De rutiner och riktlinjer som revisionsbolaget sedermera har tagit fram är delvis inte förenliga med de dokumentationskrav som gäller.

Sammantaget visar utredningen att A-Bolaget har brustit i sina skyldigheter enligt penningtvättsregelverket och därigenom har åsidosatt god revisorssed. A-Bolaget ska därför meddelas en disciplinär åtgärd.

Det rör sig om förhållandevis grundläggande och systematiska brister vid tillämpningen av regelverket mot penningtvätt. Bristerna har förelegat sedan verksamheten startade våren 2021. Den disciplinära åtgärden ska därför, med stöd av 32 § andra stycket och 34 § revisorslagen, bestämmas till varning.

Vid en samlad bedömning anser Revisorsinspektionen att det finns särskilda skäl för att, med stöd av 32 a § revisorslagen, förena varningen med en sanktionsavgift. Vid en överträdelse av penningtvättslagen gäller enligt 32 k § revisorslagen särskilda bestämmelser om sanktionsavgiftens storlek. Om det går att fastställa den vinst som har gjorts till följd av regelöverträdelsen, ska avgiften uppgå till högst två gånger denna vinst. I annat fall ska avgiften uppgå till högst ett belopp i kronor som motsvarar en miljon euro. Sanktionsavgiften ska enligt lagens förarbeten vara proportionell och avskräckande. När avgiften bestäms ska också de allmänna bestämmelserna om sanktionsavgifters storlek som finns i 32 d32 f §§ revisorslagen beaktas. Det innebär att avgiften ska stå i proportion till överträdelsens allvar, hur länge den har pågått och verksamhetsutövarens finansiella ställning samt den vinst som har gjorts eller de kostnader som har undvikits genom överträdelsen. Det är också naturligt att väga in i vilken grad försummelserna har äventyrat syftena bakom regleringen i penningtvättslagen.

Den eventuella vinst som A-Bolaget kan ha gjort till följd av den bristande efterlevnaden av penningtvättslagens krav går inte att fastställa. Revisorsinspektionen har därför att fastställa sanktionsavgiften till ett belopp i kronor som motsvarar högst en miljon euro (med dagens kurs ca 11,5 mnkr).

I detta fall beaktar Revisorsinspektionen – utöver bristernas art – att den verksamhet som A-Bolaget har bedrivit inte har varit ringa; omsättningen i bolaget var under räkenskapsåret 2022/23 6,9 mnkr. Inspektionen beaktar också att bolaget under det räkenskapsåret hade tre anställda. Även det förhållande att bristerna har förekommit under två och ett halvt år talar i viss mån för att sanktionsavgiften bör bestämmas till ett kännbart belopp. I förmildrande riktning bör dock beaktas att A-Bolaget nu av allt att döma har vidtagit åtgärder för rättelse genom att ta fram en allmän riskbedömning och rutiner och riktlinjer.

Vid fastställandet av sanktionsavgiften bör vidare beaktas att A-Bolaget finansiella ställning framstår som god med en soliditet om 73 procent.

Revisorsinspektionen anser vid en sammantagen bedömning av bristernas art, verksamhetens omfattning och bolagets finansiella ställning att sanktionsavgiften bör bestämmas till 100.000 kr. Sanktionsavgiften tillfaller staten och ska betalas när beslutet har vunnit laga kraft.