FAR har kommenterat detta disciplinärende. Kommentaren återges sist i ärendet.

Beslut: Revisorsinspektionen ger auktoriserade revisorn A-son en varning förenad med en sanktionsavgift om 60.000 kr.

1 Inledning

Revisorsinspektionen har tagit emot en rapport från FAR om en utförd kvalitetskontroll. Av rapporten framgår att FAR:s kvalitetsnämnd för revisionsverksamhet har bedömt att A-son revisionsverksamhet inte uppfyller den kvalitetsnivå som förutsätts enligt god revisorssed och god revisionssed. FAR:s iakttagelser har föranlett inspektionen att öppna detta tillsynsärende.

Enligt rapporten från kvalitetskontrollen, som utfördes 9–29 november 2023, var revisionsföretagets kvalitetspolicy enligt International Standard on Quality Management (ISQM) 1 Kvalitetsstyrning för revisionsföretag som utför revision och översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster inte anpassad till den egna verksamheten. Det saknades också en allmän riskbedömning samt rutiner och riktlinjer enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).

A-son har under handläggningen av tillsynsärendet gett in flera uppdaterade dokument i dessa avseenden. Revisorsinspektionen tar emellertid i detta ärende endast ställning till de omständigheter som förelåg vid genomförandet av kvalitetskontrollen, varför de uppdaterade dokumenten inte är föremål för någon bedömning i ärendet.

2 Utredningen i ärendet

Av offentliga registeruppgifter framgår att revisionsföretaget, ett aktiebolag, där A-son är verksam bildades i november 2021. Hon har sedan bildandet varit ensam ställföreträdare för revisionsföretaget och har, såvitt kan utläsas av företagets årsredovisningar, även bedrivit revisionsverksamhet däri sedan dess. Såvitt har framgått av utredningen i ärendet finns det inga andra anställda i revisionsföretaget.

2.1 Revisionsföretagets åtgärder enligt penningtvättslagen

Revisionsföretagets första allmänna riskbedömning är daterad den 14 mars 2024 och de tidigast upprättade rutinerna och riktlinjerna för åtgärder enligt penningtvättslagen är daterade den 24 september 2024.

2.2 Revisionsföretagets kvalitetspolicy

Revisorsinspektionen har tagit del av revisionsföretagets kvalitetspolicy enligt ISQM 1 inklusive bilagorna ”[Revisionsföretagets] Riskbedömning” och ”Revisionsmanual [Revisionsföretaget] 2023-11-01”.

Av dokumenten framgår att revisionsföretaget har fastställt kvalitetsmål för verksamheten i revisionsföretaget avseende den komponent som i ISQM 1 benämns Styrning och ledarskap. Revisionsföretaget har också angett ett par kvalitetsmål för delkomponenten Personal avseende huvudkomponenten Resurser. I dokumentationen anges också risker som skulle kunna påverka kvalitetsmålens uppfyllelse negativt samt motåtgärder för att hantera dessa risker. De angivna riskerna och motåtgärderna är desamma som FAR har som inledande exempel i en mall avsedd som vägledning för revisionsföretag som ska dokumentera hela riskbedömningsprocessen i sitt kvalitetsstyrningssystem. Några kvalitetsmål, risker eller motåtgärder för andra komponenter enligt ISQM 1 anges inte.

2.3 Revisorns uppgifter

A-son har uppgett följande.

I revisionsföretagets kvalitetspolicy angav hon att enligt p. 17 och p. A29 är ett antal av kraven i ISQM 1 inte tillämpliga med hänsyn till att det inte finns några anställda utöver henne själv. Hon tog därför bort dessa punkter.

Efter kvalitetskontrollen har hon uppdaterat och anpassat kvalitetspolicyn och den allmänna riskbedömningen samt rutiner och riktlinjer enligt penningtvättslagen ännu mer till den egna verksamheten.

3 Revisorsinspektionens bedömning

3.1 Revisionsföretagets åtgärder enligt penningtvättslagen

Tillämpliga bestämmelser

Penningtvättslagen gäller för fysiska och juridiska personer som driver vissa i lagen uppräknade verksamheter, däribland sådan verksamhet som en auktoriserad eller godkänd revisor eller ett registrerat revisionsbolag bedriver och annan yrkesmässig verksamhet som avser revisionstjänster (se 1 kap. 2 § första stycket 18 och 19). Det innebär att såväl enskilda revisorer som juridiska personer som bedriver revisionsverksamhet är skyldiga att följa lagens bestämmelser och de föreskrifter som har meddelats på området. I den utsträckning verksamheten bedrivs i en juridisk person har den juridiska personens ställföreträdare som utgångspunkt ett personligt ansvar för att verksamheten är inrättad så att penningtvättsregelverket kan följas.

Den som bedriver revisionsverksamhet ska – i egenskap av verksamhetsutövare i penningtvättslagens mening – enligt 2 kap. 1 § penningtvättslagen göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Den som bedriver revisionsverksamhet ska vidare, enligt 2 kap. 8 § penningtvättslagen, ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering och för behandling av personuppgifter. Enligt 4 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) ska utvärdering av den allmänna riskbedömningen och rutinerna och riktlinjerna göras minst årligen.

Bedömningen i detta fall

Av utredningen framgår att det revisionsföretag där A-son bedriver sin revisionsverksamhet, och som hon är ställföreträdare för, vid tidpunkten för kvalitetskontrollen inte hade gjort någon sådan allmän riskbedömning som en verksamhetsutövare enligt 2 kap. 1 § penningtvättslagen är skyldig att göra och dokumentera. Det fanns vid denna tidpunkt inte heller sådana rutiner och riktlinjer avseende revisionsföretagets åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter som 2 kap. 8 § förutsätter.

A-son har i dessa avseenden brustit i sina skyldigheter enligt penningtvättslagen och har därigenom åsidosatt god revisorssed.

3.2 Revisionsföretagets kvalitetsstyrningssystem

Tillämpliga bestämmelser

Enligt 21 § första stycket 8 i Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet (verksamhetsföreskrifterna) ska ett revisionsföretag, med beaktande av den egna verksamhetens omfattning och komplexitet, inrätta ett system för intern kvalitetskontroll.

I ISQM 1, som trädde i kraft den 15 december 2022, finns mer detaljerade riktlinjer för revisionsföretagens interna kvalitetsstyrning. Enligt p. 19 i standarden ska ett revisionsföretag utforma, implementera och använda ett kvalitetsstyrningssystem. När detta görs ska revisionsföretaget vidta en professionell bedömning med beaktande av revisionsföretagets karaktär och omständigheter. Av p. 14 följer att kvalitetsstyrningssystemet ska ge rimlig säkerhet att revisionsföretaget och dess personal fullgör sitt ansvar i enlighet med standarder för yrkesutövningen och tillämpliga krav i lag och annan författning. Systemet ska också ge rimlig säkerhet om att rapporter som utfärdas av revisionsföretaget eller en uppdragsansvarig är lämpliga under omständigheterna.

Enligt ISQM 1 p. 23 ska revisionsföretaget utforma och implementera en riskbedömningsprocess för att fastställa kvalitetsmål, identifiera och bedöma kvalitetsrisker samt utforma och implementera motåtgärder för att hantera kvalitetsriskerna. I ISQM 1 finns obligatoriska kvalitetsmål som revisionsföretaget ska etablera. Dessutom ska revisionsföretaget etablera alla eventuella ytterligare kvalitetsmål som anses nödvändiga av revisionsföretaget för att uppnå målen med kvalitetsstyrningssystemet.1

Enligt ISQM 1 ska revisionsföretaget etablera kvalitetsmål för följande komponenter i ett kvalitetsstyrningssystem:

  • Styrning och ledarskap

  • Relevanta yrkesetiska krav

  • Acceptera och behålla kundrelationer och uppdrag

  • Uppdragets utförande

  • Resurser (personal, tekniska resurser, intellektuella resurser och tjänsteleverantörer)

  • Information och kommunikation

Revisionsföretaget ska dessutom, enligt ISQM 1 p. 35, etablera en övervaknings- och åtgärdsprocess inom ramen för kvalitetsstyrningssystemet för att dels tillhandahålla relevant och tillförlitlig information om utformningen, implementeringen och användningen av kvalitetsstyrningssystemet, dels vidta lämpliga åtgärder för att hantera identifierade brister så att brister åtgärdas i rätt tid.

Se ISQM 1 p. 24.

Bedömningen i detta fall

De kvalitetsmål som i detta fall har upptagits i revisionsföretagets riskbedömning motsvarar de exempel för en komponent (styrning och ledarskap) och en delkomponent (personal) i ISQM som FAR:s mall för dokumentation av riskbedömningsprocessen tar upp. Den som bedriver revisionsverksamhet kan emellertid vid upprättandet av den egna verksamhetens kvalitetspolicy inte nöja sig med ett mall- eller exempeldokument som inte tar hänsyn till det specifika revisionsföretagets förhållanden. Exemplen i FAR:s mall är inte heller uttömmande. Detta innebär att den kvalitetspolicy som revisionsföretaget hade vid tidpunkten för kvalitetskontrollen, förutom att den inte var anpassad till verksamheten, inte heller identifierade kvalitetsrisker för samtliga de kvalitetsmål som är obligatoriska enligt ISQM 1.

Revisionsföretagets kvalitetsstyrningssystem uppfyllde alltså inte gällande kvalitetsnormer. Detta gäller även med beaktande av att A-son var den enda verksamma personen i revisionsföretaget.

Genom att inte inrätta ett kvalitetsstyrningssystem i sitt revisionsföretag som uppfyller gällande kvalitetsnormer har A-son åsidosatt god revisorssed.

3.3 Sammanfattande bedömning och val av disciplinär åtgärd

A-son har i egenskap av ställföreträdare för ett revisionsföretag brustit i sina skyldigheter enligt såväl Revisorsinspektionens verksamhetsföreskrifter och ISQM 1 som penningtvättslagen. Hon har därigenom åsidosatt god revisorssed och ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), meddelas en disciplinär åtgärd.

Vid valet av disciplinär åtgärd beaktar Revisorsinspektionen följande.

Det som ligger A-son till last är allvarligt och kan inte föranleda någon lindrigare åtgärd än varning. Det är fråga om allvarliga brister som har avsett de skyldigheter som hennes revisionsföretag har enligt penningtvättsregelverket. Omständigheterna är därmed så besvärande att det finns särskilda skäl för att, med stöd av 32 a § revisorslagen, förena varningen med en sanktionsavgift. De dokument som A-son har gett in under ärendets handläggning föranleder ingen annan bedömning.

En sanktionsavgift ska enligt 32 b § revisorslagen för en fysisk person fastställas till minst 5.000 kronor och högst en miljon kronor. Vid en överträdelse av penningtvättslagen gäller enligt 32 k § revisorslagen särskilda bestämmelser om sanktionsavgiftens storlek. Om det går att fastställa den vinst som har gjorts till följd av regelöverträdelsen, ska avgiften uppgå till högst två gånger denna vinst. I annat fall ska avgiften uppgå till högst ett belopp i kronor som motsvarar en miljon euro. Sanktionsavgiften ska enligt lagens förarbeten vara proportionell och avskräckande. När avgiften bestäms ska också de allmänna bestämmelserna om sanktionsavgifters storlek som finns i 32 d32 f §§ revisorslagen beaktas. Det innebär bl.a. att avgiften ska stå i proportion till överträdelsens allvar, hur länge den har pågått, graden av ansvar för den som har begått överträdelsen och revisorns finansiella ställning. I detta ligger, enligt Revisorsinspektionens bedömning, att det bör vägas in bl.a. vilka slag av företag som revisorn har granskat – varvid det finns anledning att se mer allvarligt på försummelser som avser större företag eller företag av allmänt intresse – och vilken omfattning som revisionsverksamheten har haft.

Revisorsinspektionen anser vid en sammantagen bedömning att sanktionsavgiften för A-son bör bestämmas till 60.000 kr. Sanktionsavgiften tillfaller staten och ska betalas när beslutet fått laga kraft.

FAR:s kommentar

Revisorn har använt FAR:s exempelmall för riskbedömning enligt ISQM utan att göra egna anpassningar. FAR vill poängtera vikten i att anpassa de exempel FAR tillhandahåller till den egna verksamheten.