Beslut: Revisorsinspektionen ger registrerade revisionsbolaget A-Bolaget AB en varning.

1 Inledning

Som ett led i arbetet mot penningtvätt och finansiering av terrorism gjorde Revisorsinspektionen under år 2023 en riktad satsning på området inom ramen för den riskbaserade tillsynsverksamheten.

Revisorsinspektionen valde med anledning av detta ut en revisor anställd vid det registrerade revisionsbolaget A-Bolaget AB (A-Bolaget) och gjorde i det ärendet vissa iakttagelser som har föranlett inspektionen att öppna detta ärende.

I ärendet behandlas frågan om A-Bolaget har uppfyllt sina skyldigheter enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).

2 Penningtvättsregelverket

Penningtvättslagen gäller för fysiska och juridiska personer som driver vissa i lagen uppräknade verksamheter, däribland sådan verksamhet som en auktoriserad eller godkänd revisor eller ett registrerat revisionsbolag bedriver, och annan yrkesmässig verksamhet som avser revisionstjänster (se 1 kap. 2 § första stycket 18 och 19). Det innebär att såväl enskilda revisorer som juridiska personer som bedriver revisionsverksamhet är skyldiga att följa lagens bestämmelser och de föreskrifter som har meddelats på området.

Det förhållandet att penningtvättslagen är tillämplig på revisionsverksamhet medför att det inom ramen för revisionsverksamheten måste göras en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning; se 2 kap. 1 § penningtvättslagen). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som förekommer. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.

Den som bedriver revisionsverksamhet ska vidare ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter (se 2 kap. 8 § penningtvättslagen). Dessa ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism.

Enligt 4 § penningtvättsföreskrifterna ska revisionsbolaget, på grundval av en riskbedömning men minst en gång per år, utvärdera och vid behov uppdatera den allmänna riskbedömningen och sina rutiner och riktlinjer.

Av 2 kap. 3 § penningtvättslagen följer att en revisor ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden. Lagen förutsätter att verksamhetsutövaren vidtar åtgärder för att skaffa sig kundkännedom (se närmare 3 kap. 7–13 §§).

Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.

3 Åtgärder enligt penningtvättsregelverket

Eftersom A-Bolaget är ett registrerat revisionsbolag, är bolaget en verksamhetsutövare i penningtvättslagens mening. Revisorsinspektionen utövar därför tillsyn över att bolagets verksamhet som omfattas av penningtvättslagen utövas enligt lagens regler. Vid A-Bolaget arbetade hösten 2024 sex personer. Två av dessa var auktoriserade revisorer som i huvudsak arbetade med revisionsverksamhet. Övriga fyra i personalen hade titeln revisor. Också den verksamhet som dessa personer utförde omfattas av penningtvättslagen. Det ankommer på Revisorsinspektionen att vid utövandet av tillsyn över A-Bolaget beakta om bolaget fullgör sina skyldigheter enligt penningtvättslagen även i den del som inte utgör revisionsverksamhet, jfr 3 a § första stycket revisorslagen (2001:883).

3.1 Allmän riskbedömning

A-Bolaget gav i november 2023 in sin allmänna riskbedömning till Revisorsinspektionen. I en bilaga till dokumentet anges att senaste genomgång och uppdatering av dokumentet skedde i oktober 2022.

I revisionsbolagets riskbedömning av sina tjänster har angetts följande.

Vi utför bokslut (låg), skattekonsultationer (medel), deklarationsombud (låg) och revision (låg).

För revision kan det finnas en viss risk att dessa tjänster används för att ge verksamheter ökad trovärdighet utåt. Det kan finnas risk för att det saknas underlag eller att underlag är falska för att dölja att medel förs in eller ut ur verksamheten i penningtvättssyfte eller för finansiering av terrorism.

I kolumnen bredvid denna redogörelse, betecknad Riskbedömning, har bolaget dokumenterat att det bedömer risken till ”Låg risk”.

Riskbedömningen av bolagets tjänster fortsätter enligt följande.

Vid rådgivning rörande redovisning, pensioner och skatter bedöms risken för att de medel som rådgivningen avser, kan härröra från brottslig verksamhet som något högre, varför viss ökad vaksamhet krävs för dessa tjänster.

I kolumnen bredvid; Riskbedömning, har bolaget dokumenterat att det bedömer risken till ”Normal risk”. Dokumentet anger att, baserat på de tjänster som utförs, bedöms den allmänna inneboende risken som normal.

A-Bolaget har ombetts ange vilka överväganden som låg till grund för att risken för att tjänsten Revision utnyttjas för penningtvätt eller finansiering av terrorism var låg.

Under rubriken Kunder finns en uppräkning av de flesta företagsformer som förekommer i Sverige och den sammanvägda risken har satts till normal.

Det framgår inte av dokumentet huruvida det har gjorts någon bedömning av vilka slag av verksamhet som revisionsbolagets nuvarande eller framtida kunder bedriver och vad risken är i relation till dessa.

Under rubriken Distributionsformer anges i den allmänna riskbedömningen Genom digitala lösningar finns möjligheten till distanskunder baserade utanför närområdet (högre risk då personliga möten inte äger rum).

A-Bolaget har bedömt denna omständighet som ”Normal hög risk” och anger följande åtgärder och rutiner i anslutning till risken. Skärpta åtgärder för att uppnå kundkännedom vidtas för distanskunder. Om identifiering kan ske via e-legitimation bedöms risken som normal.

Under rubriken Distributionsformer anges A-Bolaget AB är en mindre verksamhet med personlig kontakt med samtliga kunders företrädare (med undantag för digitala distanskunder). Denna omständighet har fått normal risk.

Under rubriken Geografisk anknytning anges Kunderna finns främst i närområdet, vilket har fått riskbedömningen ”Låg Normal risk”. Bedömningen fortsätter Några få kunder har anknytning till verksamhet utanför Sverige. Detta har fått riskbedömningen ”Normal hög risk”. I anslutning till detta anges följande åtgärder och rutiner. Kundkännedomskontroll sker av alla kunder. Om kund har etablering utomlands sker kontroll av om det är fråga om högriskland. Om så är fallet ska rapportering ske till PTL-ansvarig och skärpta åtgärder för kundkontroll vidtas.

A-Bolaget har förelagts att ange var det i den allmänna riskbedömningen finns en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism.

A-Bolaget har uppgett följande.

A-Bolaget erbjuder inte redovisningstjänster utan tjänsteutbudet innefattar främst revision samt revisionsnära rådgivning. I branschorganisationen FAR:s utbildningar i penningtvätt och i det utbildningsmaterial som A-Bolaget har fått del av har kursledare i alla sammanhang framfört att riskerna att förknippas med företag där det finns penningtvättstransaktioner är högre för tjänster där revisionsbolaget bokför transaktionerna än för sådana tjänster där det enbart är revisorer. Skälet till det ska vara att en redovisningsbyrå behandlar varje enstaka verifikat, medan en revisor arbetar utefter risk och väsentlighet. A-Bolaget beskriver också i den allmänna riskbedömningen följande omständighet. ”För revision kan det finnas viss risk att dessa tjänster används för att ge verksamheter ökad trovärdighet utåt.” Den risken är dock inte lika stor som för redovisningstjänster och därför har bolaget valt risknivån låg, eftersom det anser att riskerna är lägre för revisionstjänster än det normala i branschen.

Av FAR:s mall för allmän riskbedömning är denna standardtext tillämplig för tjänsten revision: Byrån bedömer att risken för att byrån ska utnyttjas för själva genomförandet av penningtvätt eller finansiering av terrorism är begränsad när revisionstjänster tillhandahålls eftersom revision innebär en granskning av transaktioner i efterhand. Revisionstjänster kan dock utnyttjas som kvalitetsstämpel av finansiella rapporter i syfte att ge sken av en trovärdighet för verksamheter som används som led i upplägg för att tvätta pengar eller finansiera terrorism. A-Bolaget har utgått från att bolaget kan förlita sig på FAR:s beskrivning att i normala revisionstjänster är riskerna begränsade och att detta är att likställa med bolagets val av risknivå som ”Låg”.

Bolaget har inte någon sammanställd statistik över olika företagsformer eller branscher som kan vara underlag för en mer detaljerad bedömning i år, eftersom en ägare under hösten 2023 lämnade bolaget och tog med sig sitt kundunderlag. A-Bolaget planerar att sammanställa detta när bolaget har tillförlitliga data i samband med detta räkenskapsårs utgång.

Bolaget har upprättat sin allmänna riskbedömning utifrån en mall som är framtagen av FAR. Den beskrivning som finns i mallen för riskfaktorer i revisionsbolagets allmänna riskbedömning, såsom kunder, geografisk anknytning och distributionskanaler, motsvarar penningtvättsföreskrifternas krav på att återge de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism.

Revisorsinspektionen gör följande bedömning.

I den allmänna riskbedömningen ska ett revisionsbolag ange i vilka branscher som kunderna verkar, vilka geografiska omständigheter, risker och riskbeteenden som vid varje given tidpunkt är aktuella samt hur sårbar verksamheten är. Målet med en allmän riskbedömning är att komma fram till vilka risker och sårbarheter som finns i revisionsbolagets verksamhet. Denna kunskap kan sedan användas för att identifiera vilka typer av åtgärder som bör vidtas i de enskilda uppdragen. En allmän riskbedömning för ett revisionsbolag kan därför ofta skilja sig från den allmänna riskbedömning som ett annat revisionsbolag upprättar.

Även om ett revisionsbolag inte hanterar pågående transaktioner utan bedömer dem först i efterhand, kan dess tjänster användas för att dölja eller legitimera penningtvätt. I den nationella riskbedömningen av penningtvätt och finansiering av terrorism i Sverige 2020/20211 där den sammantagna sektorsrisken för verksamhet som auktoriserad eller godkänd revisor eller registrerat revisionsbolag bedömdes vara medel, gjordes även följande uttalande.

Revisorer och advokater kan utnyttjas som möjliggörare då deras tjänster kan ge en kvalitetsstämpel på finansiella rapporter eller transaktioner som ingår i ett affärsupplägg. Detta innebär att sektorerna kan utnyttjas som dörröppnare och ge annars suspekta upplägg en synbar legitimitet. Verksamhetsutövarna vidtar dock generellt sett grundliga kundkännedomsåtgärder, vilket minskar sårbarheten. Risken att sektorerna utnyttjas för penningtvätt har bedömts till nivån medel.

Det framgår inte i A-Bolagets allmänna riskbedömning varför de revisionstjänster som erbjuds har bedömts innebära enbart låg risk.

I A-Bolagets allmänna riskbedömning finns en uppräkning av olika företagsformer som förekommer i A-Bolagets kundkrets. Enbart en sådan uppräkning säger dock ingenting om de risker, kopplade till A-Bolagets kunder, som kan förekomma i verksamheten. Att bolaget planerar att utveckla detta avsnitt i dokumentet föranleder ingen annan bedömning.

En sårbarhet innebär en inre egenskap hos revisionsbolaget som kan öka risken för att bolaget ska utnyttjas för penningtvätt eller finansiering av terrorism – med andra ord en potentiellt svag punkt i bolaget. Allmänt kan sägas att det kan handla om inre egenskaper såsom personalens utbildning på penningtvättsområdet, korruptionsrisker, system och placering. Den allmänna riskbedömning som A-Bolaget har upprättat saknar analys och värdering av bolagets sårbarheter. De riskfaktorer under rubrikerna Kunder, Geografisk anknytning och Distributionskanaler, som A-Bolaget har hänvisat till, behandlar inte vilka sårbarheter som förekommer i revisionsbolagets verksamhet.

Sammanfattningsvis anser Revisorsinspektionen att A-Bolagets allmänna riskbedömning är bristfällig. A-Bolaget har därför åsidosatt sina skyldigheter enligt penningtvättsregelverket.

Nationell riskbedömning av penningtvätt och finansiering av terrorism i Sverige 2020/2021, s. 27, avsnitt 4.1.5 Möjliggörare.

3.2 Interna rutiner och riktlinjer

A-Bolaget gav i november 2023 in sina interna rutiner till Revisorsinspektionen. Dessa utgörs av ett dokument som finns i anslutning till bolagets allmänna riskbedömning. I en bilaga anges att dokumentet uppdaterades i oktober 2022. Revisionsbolaget har uppgett att det därefter uppdaterade sina riktlinjer och rutiner för penningtvätt i december 2023.

Under rubriken Indikationer på hög risk anges att en indikation på hög risk kan vara att kunden har koppling till ett högriskland. De anställda uppmanas att kontrollera detta ”bl.a. gentemot [en antikorruptionsorganisations] uppgifter2 [webbadress]”.

Under rubriken Förenklade åtgärder vid låg risk anges att kontrollen av identitet kan göras efter det att affärsförbindelsen har etablerats. Vidare anges att identitetskontrollen av den verkliga huvudmannen kan underlåtas.

A-Bolaget har uppgett följande.

Eftersom revisionsbolaget aldrig haft behov av att kontrollera om kunder har haft kopplingar till länder med högre risk, har bolaget aldrig använt den kontroll som återges i dokumentet. Antikorruptionsorganisationens webbplats synes innehålla en möjlighet att få en indikation på korruptionsnivån i olika länder vilket inte är detsamma som risken för penningtvätt eller finansiering av terrorism. Bolaget vill särskilt påtala att det är en lista över indikatorer på vad som kan vara hög risk och att det anges i rutinerna att medarbetarna kan göra kontroller.

I FAR:s senaste mall, som revisionsbolaget har använt för sin uppdaterade allmänna riskbedömning, har texten om kontroll mot antikorruptionsorganisationens uppgifter ersatts av följande text.

Kontroller kan ske bl.a. gentemot EU-kommissionens lista över högrisktredjeländer.

Bolaget förhåller sig till reglerna om skärpta åtgärder i 3 kap. 17 § penningtvättslagen. Detta innebär att bolaget för kunder som är etablerade i ett land som Europeiska kommissionen har identifierat som ett högrisktredjeland utför ytterligare skärpta kundkännedomsåtgärder.

Vad gäller den omständigheten att rutinerna anger att kontrollen av identitet vid låg risk kan göras efter det att affärsförbindelsen har etablerats, anser bolaget att ett initialt möte med en potentiell kund kan tas av varje enskild revisor på revisionsbolaget, eftersom bolaget inte är verksamt i en riskfylld bransch eller har transaktioner med ett högrisktredjeland. Det tas ingen identitetshandling vid detta möte där kunden kan komma att accepteras. Kunden informeras emellertid om att bolaget kommer att genomföra en granskning enligt penningtvättslagen som även inkluderar en verifiering av identiteten på styrelse, ägare och verklig huvudman. Om inga försvårande omständigheter framkommer, skickas därefter uppdragsbrev ut för påskrifter. Detta innebär att om bolaget bedöms vara ett lågriskbolag och tjänsten likaså (revision) kan de auktoriserade revisorerna på byrån själva acceptera en kund och därefter göra prövningen och avsluta uppdraget om så bedöms nödvändigt av styrelsen i A-Bolaget.

A-Bolaget har i den uppdaterade riskbedömningen ändrat rutinen för kontroll av verklig huvudman, eftersom det tidigare felaktigt har angetts att den verkliga huvudmannen inte måste kontrolleras vid låg bedömd risk. Bolaget hade tidigare missuppfattat lättnaderna avseende kundkännedomsåtgärder vid låg risk och noterar numera att det endast är tidpunkten för kundkännedomsåtgärderna som kan senareläggas vid låg bedömd risk. Bolaget har i sina interna arbetsrutiner inskrivet att kontroll mot register om verklig huvudman alltid ska göras i förvaltningsrevisionen.

Revisorsinspektionen gör följande bedömning.

Av 3 kap. 11 § penningtvättslagen framgår att det är Europeiska kommissionen som identifierar de stater som utgör högrisktredjeländer. Kommissionens lista över identifierade högrisktredjeländer uppdateras flera gånger per år och för information om vilka stater som omfattas vänder sig verksamhetsutövaren lämpligen till den EU-webbplats där informationen hålls uppdaterad. A-Bolagets tidigare rutin om vart medarbetaren ska vända sig för att kontrollera huruvida en stat utgör ett s.k. högrisktredjeland är därför missvisande. En kontroll mot antikorruptionsorganisationen kan i och för sig vara en relevant åtgärd vid bedömningen av en kunds riskprofil (jfr 2 kap. 5 § 6 penningtvättslagen) men utgör normalt inte en tillräcklig åtgärd vid kontroll av högrisktredjeland. Att A-Bolagets rutin har angett att kontroll bland annat kan göras mot antikorruptionsorganisationen föranleder ingen annan bedömning, eftersom några alternativ inte ges.

I 3 kap. 9 § penningtvättslagen anges att kontrollen av kundens och den verkliga huvudmannens identitet ska slutföras innan en affärsförbindelse etableras eller en enstaka transaktion utförs. Om det är nödvändigt för att inte avbryta verksamhetens normala gång, får identitetskontroll med anledning av en ny affärsförbindelse göras senare, dock senast när affärsförbindelsen etableras. Detta får emellertid tillämpas endast om risken för penningtvätt eller finansiering av terrorism är låg. Av detta följer att en identitetskontroll av kunden och kundens verkliga huvudman alltid måste göras, alldeles oavsett risknivån. Däremot kan tidpunkten för denna kontroll flyttas fram, som senast till etableringen av affärsförbindelsen. Något rättsligt stöd för att kontrollera kundens och den verklige huvudmannens identitet först efter etableringen av affärsförbindelsen – eller att underlåta kontrollen av den verkliga huvudmannen helt – finns inte.

A-Bolaget uppger att bolaget numera har ändrat sina rutiner och riktlinjer enligt penningtvättslagen. Revisorsinspektionens prövning i detta beslut omfattar emellertid de rutiner och riktlinjer som gavs in till inspektionen i november 2023.

Revisorsinspektionen finner sammanfattningsvis att A-Bolagets rutiner och riktlinjer enligt penningtvättslagen har varit bristfälliga. A-Bolaget har härigenom åsidosatt sina skyldigheter enligt penningtvättslagen.

Organisationen rankar stater efter ett korruptionsindex – CPI (Corruption Perceptions Index)

4 Sammanfattande bedömning och val av disciplinär åtgärd

Den allmänna riskbedömning som A-Bolaget har upprättat har flera brister. Detsamma gäller de rutiner som bolaget använde sig av fram till den uppgivna uppdateringen.

A-Bolaget har härigenom åsidosatt god revisorssed och ska därför med stöd av 32 § andra stycket och 34 § första stycket revisorslagen meddelas en disciplinär åtgärd.

Det som ligger A-Bolaget till last är allvarligt och ska föranleda en varning.