Dnr 2025-1362

2.1 Allmän riskbedömning

Revisionsföretagets allmänna riskbedömning är daterad den 1 oktober 2025. Av denna framgår att företaget tillhandahåller tjänster inom områdena revision, redovisning och rådgivning. Någon närmare beskrivning av tjänsterna finns inte. Frånsett en uppgift om att företaget totalt har 25 revisionsuppdrag finns ingen information om hur verksamheten är fördelad på de olika områdena.

Den allmänna riskbedömningen innehåller ingen bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism. Det finns inte heller någon beskrivning av de egenskaper som kan göra företagets verksamhet eller tjänster sårbara för att utnyttjas för penningtvätt eller finansiering av terrorism.

I ett avsnitt i dokumentet anges att viktning har gjorts av de branscher där revisionstjänster tillhandahålls utifrån en skala 1–10 där 1 innebär låg risk, 5 medel risk och 10 hög risk. Någon förklaring eller motivering till de olika viktningarna och hur dessa används finns inte. Det finns inte någon motsvarande viktning för de övriga tjänster som företaget tillhandahåller. Det finns ett avsnitt för kategorisering av affärsförbindelser och enstaka transaktioner men det förklaras inte vad kategoriseringen innebär.

Den allmänna riskbedömningen innehåller inte någon sammantagen riskvärdering av verksamheten. Den innehåller inte heller någon uppgift om när och hur utvärdering och uppdatering av den allmänna riskbedömningen ska ske.

A-son har uppgett följande.

Den tillhandahållna versionen (daterad 1 oktober 2025) är företagets första allmänna riskbedömning.

Av den allmänna riskbedömningen framgår inte i detalj hur revisionsföretagets tjänster kan utnyttjas för penningtvätt eller finansiering av terrorism. Däremot används revisionsprogrammets dokument för revisorns prövning enligt penningtvättslagen. Kundens riskprofil fastställs genom de tre nivåerna låg, normal och hög. Från den 1 november 2025 används ett webbaserat verktyg för kundkänndomsåtgärder för samtliga kunder. I dessa dokument och system görs en bedömning på kundnivå av om och hur tjänster kan utnyttjas för penningtvätt och finansiering av terrorism.

Viktning har tidigare gjorts utifrån den skala som beskrivs men den har varit svår att få till. Den görs därför nu enligt beskrivningen ovan om kundriskprofil. Kategorisering ska nu ske utifrån respektive tjänsteområde – revision, redovisning, rådgivning samt årskunder. Det innebär att en ändring ska göras i dokumentet allmän riskbedömning.

Vad gäller de olika tjänsteområdena ska samtliga kunders riskprofil och riskbedömning uppdateras minst en gång per år eller vid förändringar i exempelvis ägande, styrelse och firmateckning.

2.2 Rutiner och riktlinjer

Revisionsföretagets allmänna riskbedömning innehåller avsnitt som har karaktären av handlingsdirektiv.

Under rubriken 4 Riskhantering finns underrubrikerna 4.2 Förenklade åtgärder för kundkännedom och 4.3 Skärpta åtgärder för kundkännedom. Av texterna under dessa framgår att förenklade åtgärder för kundkännedom får vidtas i situationer där risken för penningtvätt och finansiering av terrorism i samband med en affärsförbindelse har bedömts vara låg. Det anges vidare att förenklade åtgärder för kundkännedom inte innebär att undantag görs från någon av åtgärderna för kundkännedom, utan att dessa kan anpassas i omfattningen, typ eller tidpunkt. Det framgår även att revisionsföretaget ska vidta skärpta åtgärder för kundkännedom i situationer med högre risk för att kunna hantera och minska dessa risker samt att skärpta åtgärder för kundkännedom inte kan ersätta normala åtgärder för kundkännedom, utan ska vidtas som ett komplement till dessa. Därutöver anges några specifika fall som alltid ska anses innebära hög risk. Någon beskrivning av vilka anpassningar som kan göras vid låg risk eller vilka tillkommande åtgärder som ska vidtas vid hög risk finns inte.

Under rubriken 5 Övervakning och översyn anges att företaget ska följa upp dels sina bedömningar av den risk för penningtvätt och finansiering av terrorism som sammanhänger med enskilda affärsförbindelser och enstaka transaktioner, dels de bakomliggande faktorerna, i syfte att säkerställa att bedömningar av risken för penningtvätt och finansiering av terrorism är aktuella och relevanta. Det uppges vidare att uppföljning ska ske minst en gång per år eller när förändringar sker som kan påverka tidigare bedömning samt att företaget bör bedöma den information som inhämtas i samband med den fortlöpande övervakningen av affärsförbindelserna och överväga om den påverkar riskbedömningen. Det anges också att löpande/fortlöpande kontroller sker genom erhållen information genom ett namngivet webbaserat verktyg eller direkt från kund.

I avsnitt 5.3 Registerhållning anges att företaget bör registrera och dokumentera sina åtgärder för att kunna visa Finansinspektionen och eventuella andra tillsynsmyndigheter att riskbedömningarna och åtgärderna är tillräckliga. Där anges också att dokumentation i dagsläget sker i revisionsprogrammet. I inledningen av dokumentet anges att ett visst namngivet dokument i revisionsprogrammet används för samtliga revisionskunder och redovisningskunder.

Dokumentet med den allmänna riskbedömningen innehåller inga rutiner eller riktlinjer avseende rapportering av misstänkta transaktioner och aktiviteter, behandling av personuppgifter eller intern kontroll av efterlevnaden av penningtvättsregelverket.

I revisionsföretagets kvalitetspolicy anges, både i en version som är upprättad den 25 augusti 2023 och en som är uppdaterad den 30 september 2025, under avsnittet Acceptera och bibehålla kunder att penningtvättslagen och FAR:s uttalande i etikfrågor EtikU 11 Medlemmars tillämpning av lagen om åtgärder mot penningtvätt och terrorism alltid ska beaktas vid accept och behållande av kunder. I den uppdaterade versionen finns därutöver en parentes med texten ”se även separat allmän riskbedömning penningtvättslagen för [revisionsföretaget.]”.

I kvalitetspolicyn finns, i båda versionerna, även ett avsnitt benämnt Åtgärder mot penningtvätt. I detta anges att A-son aldrig accepterar en kundrelation eller ett uppdrag om det finns misstanke om att revisionsföretaget kan komma att användas för penningtvätt eller finansiering av terrorism, att revisionsföretaget har en dokumenterad allmän riskbedömning som ska beaktas i samband med processen för att acceptera en ny kundrelation eller uppdrag, att han ska vara uppmärksam under pågående kundrelationer och uppdrag på omständigheter såsom förändrade ägarförhållanden, vissa transaktioner eller liknande som kan indikera att det finns en risk för att revisionsföretaget kan komma att användas för penningtvätt och finansiering av terrorism, och att han vid skälig grund för misstanke om att revisionsföretaget kan komma att utnyttjas för penningtvätt eller finansiering av terrorism utan onödigt dröjsmål ska rapportera omständigheterna till Finanspolisen och att han inte får röja att så kommer att ske för kunden.

I avsnittet Konsultationer anges, i båda versionerna, att konsultation med FAR eller erfarna specialister eller branschkollegor bör övervägas i situationer där det föreligger risk för att revisionsföretaget kan användas för penningtvätt eller finansiering av terrorism.

Några övriga rutiner och riktlinjer avseende åtgärder enligt penningtvättslagen har inte getts in till Revisorsinspektionen.

A-son har uppgett följande.

Fram till dess att det webbaserade verktyget infördes utgjorde vissa delar i den allmänna riskbedömningen revisionsföretagets samtliga riktlinjer och rutiner enligt penningtvättslagen. Revisionsprogrammets dokument avseende penningtvätt har använts.

Förenklade åtgärder kan exempelvis tillämpas för ett holdingbolag med mycket begränsat antal transaktioner, som sker inom Sverige och som enkelt kan kontrolleras, och där ägaren är en eller två personer vars identitet är lätt att styrka. Skärpta åtgärder vidtas när ett företag har många ägare där identitet ska styrkas i samtliga fall. I dessa fall ska också en utökad kontroll ske. Detta kan exempelvis vara sökningar på internet samt i webbaserade verktyg. I nuläget finns ingen kund med spritt ägande.

Utvärdering och eventuell uppdatering av kundkännedomen görs genom att dokumentet i revisionsprogrammet uppdateras minst årligen i samband med att tjänsten utförs. Från och med hösten/vintern 2025 används webbverktyget och systemet uppdateras minst en gång per år. Säkerställande kommer att ske genom årlig kontroll.

Att Finansinspektionen nämns är enbart ett exempel men det bör ändras så det exempelvis står FAR och Revisorsinspektionen.

2.3 Utbildning

A-son har förelagts att ge in dokumentation avseende genomgången utbildning inom området penningtvätt och terrorfinansiering.

Han har gett in en specifikation avseende utbildningar som omfattar perioden november 2020 till oktober 2025. Av de 69 timmars utbildning som upptas i specifikationen avser endast ett tillfälle området penningtvätt och finansiering av terrorism. Denna utbildning omfattade fem timmar och genomfördes i oktober 2025.

3.1 Rättslig reglering

Penningtvättslagen gäller för fysiska och juridiska personer som driver vissa i lagen uppräknade verksamheter, däribland sådan verksamhet som en auktoriserad eller godkänd revisor eller ett registrerat revisionsbolag bedriver (se 1 kap. 2 § första stycket 18). Det innebär att såväl enskilda revisorer som juridiska personer som bedriver revisionsverksamhet är skyldiga att följa lagens bestämmelser och de föreskrifter som har meddelats på området.

3.2 Bedömningen i detta fall

A-son har i vart fall sedan år 2022 bedrivit revisionsverksamhet i ett företag som han under den perioden också har varit ensam ställföreträdare för. Fram till den 1 oktober 2025 bedrevs verksamheten utan att det hade upprättats någon allmän riskbedömning eller tagits fram några rutiner och riktlinjer på sätt som det åligger en verksamhetsutövare att göra enligt 2 kap. 1 och 8 §§ penningtvättslagen.

Genom att inte upprätta någon allmän riskbedömning eller ta fram rutiner och riktlinjer förrän i oktober 2025 har A-son åsidosatt sina skyldigheter enligt penningtvättslagen och därigenom sina skyldigheter som revisor.

Vad gäller den allmänna riskbedömning, med rutiner och riktlinjer, som A-son tog fram i oktober 2025 konstaterar Revisorsinspektionen att den inte innehåller allt det som en allmän riskbedömning och rutiner och riktlinjer ska innehålla. Den saknar exempelvis bedömningar av de tjänster som revisionsföretaget tillhandahåller och den ger enbart sparsam vägledning om hur penningtvättsfrågor ska hanteras inom verksamheten. Den uppfyller därmed inte de krav som gäller enligt penningtvättslagen och Revisorsinspektionens föreskrifter för en allmän riskbedömning och för rutiner och riktlinjer.

Varken de allmänt hållna beskrivningarna i revisionsföretagets kvalitetspolicy eller det som A-son har framfört i sina yttranden till Revisorsinspektionen angående kundkännedom, bedömning av kundriskprofil och om uppdatering föranleder någon annan bedömning. Revisorsinspektionen vill i sammanhanget understryka att den allmänna riskbedömningen ska utgöra en övergripande analys av den egna verksamhetens penningtvätts- och terroristfinansieringsrisker, något som inte ska förväxlas med, eller kan ersättas av, kundriskprofiler; de senare utgör bedömningar av risker förenade med en enskild kund och ett enskilt uppdrag.

Revisorsinspektionen konstaterar vidare att A-son fram till oktober 2025 inte hade genomgått den utbildning som krävs för att han skulle kunna fullgöra sina skyldigheter enligt penningtvättslagen. Också detta utgör en brist i hans efterlevnad av penningtvättsregelverket.

A-son har i de nu nämnda avseendena åsidosatt sina skyldigheter som revisor. Han ska därför meddelas en disciplinär åtgärd. Åsidosättandena avser allvarliga brister i fullgörandet av regelverket mot penningtvätt och finansiering av terrorism. Den disciplinära åtgärden ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), bestämmas till varning.

Eftersom bristerna har varit omfattande och förelegat under flera år, finns det särskilda skäl för att, med stöd av 32 a § revisorslagen, förena varningen med en sanktionsavgift.

Vid en överträdelse av penningtvättslagen gäller enligt 32 k § revisorslagen särskilda bestämmelser om sanktionsavgiftens storlek. Om det går att fastställa den vinst som har gjorts till följd av regelöverträdelsen, ska avgiften uppgå till högst två gånger denna vinst. I annat fall ska avgiften uppgå till högst ett belopp i kronor som motsvarar en miljon euro.

Sanktionsavgiften ska enligt lagens förarbeten vara proportionell och avskräckande. När avgiften bestäms ska också de allmänna bestämmelserna om sanktionsavgifters storlek som finns i 32 d–32 f §§ revisorslagen beaktas.

Revisorsinspektionen anser vid en sammantagen bedömning att sanktionsavgiften för A-son bör bestämmas till 60.000 kr. Sanktionsavgiften tillfaller staten och ska betalas när beslutet har vunnit laga kraft.