FAR har kommenterat detta förhandsbesked. Kommentaren återges sist i ärendet.
Beslut: Revisorsinspektionen ger auktoriserade revisorn A-son en varning.
1 Inledning
Revisorsinspektionen har tagit del av information rörande auktoriserade revisorn A-sons uppdrag som revisor i ett aktiebolag (nedan bolaget). Informationen har gett inspektionen anledning att öppna detta ärende.
Detta beslut behandlar frågor om A-sons efterlevnad av penningtvättslagen vid revisionen av bolaget för räkenskapsåret 2018.1
Bolaget bedrev handel med valutor, betalningsförmedling, överföringar och andra finansiella tjänster, såsom förmedling av pengar till andra länder samt betalning av räkningar. Bolaget stod under Finansinspektionens tillsyn. Bolaget redovisade för det aktuella räkenskapsåret en nettoomsättning om 167,2 mnkr, ett resultat om 890 tkr och en balansomslutning om 6,7 mnkr. Årsredovisningen upprättades med tillämpning av Bokföringsnämndens allmänna råd (BFNAR 2016:10) Årsredovisning i mindre företag (K2). A-sons revisionsberättelse är daterad den 11 april 2019 och är utan modifiering, upplysning eller anmärkning.
Lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.
2 Utredningen i ärendet
2.1 Revisionsdokumentationen
I den allmänna riskbedömningen för det revisionsföretag där A-son är verksam, daterad den 15 mars 2018, anges bl.a. följande. Valutaväxlingsföretag utgör en högriskbransch. Risken för att revisionsverksamheten ska kunna utnyttjas för penningtvätt eller finansiering av terrorism bedöms vara låg. Kundacceptansprocessen, löpande uppföljning och tillämpning av rutiner sker främst genom klienthanteringssystemet. Det anges vidare att kompletterande instruktioner och policydokument finns att tillgå på revisionsbyråns intranät eller hos Risk Management samt att medarbetarna löpande utbildas i penningtvättsfrågor.
I dokumentationen finns en kopia av en identitetshandling för företrädaren för bolaget. Det finns även ett dokument, daterat den 9 oktober 2018, som listar bolagets verkliga huvudmän enligt uppgifter ur Bolagsverkets register.
I ett dokument betecknat Riskanalys, daterat den 9 oktober 2018, har A-son angett att risken är normal vad gäller penningtvätt samt att uppdragsrisken är låg.
I ett dokument, daterat den 4 mars 2019, har räkenskapspåståendena existens och värdering av varulager samt hanteringen av kontant kassa bedömts innehålla betydande risker.
2.2 Revisorns uppgifter
A-son har uppgett följande.
Revisionsklienten antogs första gången med honom som ansvarig revisor år 2011. Han har löpande under åren utvärderat och vid behov uppdaterat riskbedömningarna.
Han hämtade in tillräckliga kunskaper om företrädare och verklig huvudman för att kunna anta uppdraget och fortsätta med det. Identitetskontroll gjordes i anslutning till att uppdraget inleddes.
Inom ramen för planeringen av revisionen inhämtade han en förståelse av revisionsklientens hantering av penningtvättslagen samt säkerställde att rutinerna inte hade ändrats jämfört med tidigare år. Bolaget hade tidigare år med hjälp av en advokatbyrå säkerställt att utformade rutiner levde upp till de krav som ställs enligt penningtvättslagen och han hade tidigare kunnat konstatera att utformade rutiner säkerställde en god intern kontroll. Hans övergripande uppfattning var därför att det fanns lämpliga rutiner hos bolaget med beaktande av dess storlek och verksamhet.
Han var medveten om att det fanns en förhöjd risk för penningtvätt på grund av bolagets verksamhet. Detta framgår av granskningsinsatsen, där det var ett fokus på bolagets rutiner kring hantering av penningtvättsrisken samt ett fokus på kassaredovisning och varulager. Han var också medveten om att revisionsklienten hade erforderliga tillstånd hos Finansinspektionen. Detta bedömde han borde minska risken för penningtvätt, eftersom detta torde innebära ett större fokus hos revisionsklienten kring rutiner och processer för att efterleva regler.
Han hade tagit del av revisionsföretagets allmänna riskbedömning. Den togs i sin första version fram i samband med att penningtvättslagen ställde sådana krav. Det innebar dock ingen förändring då han redan hade bedömt risken för penningtvätt som hög och beaktat detta i revisionen.
Den allmänna riskbedömningen är publicerad på revisionsföretagets intranät och tas upp i interna utbildningar. Den är också numera beaktad i de penningtvättsriskfrågor som dokumenteras i samband med riskanalysen i klienthanteringssystemet, på så sätt att en fråga har tagits med om verksamheten omfattar någon av de branscher som angetts som förknippad med högre risk för penningtvätt. Frågan lyder: Finns det anledning, utifrån kundens bedrivna verksamhet, att bedöma uppdraget som högrisk för penningtvätt eller terrorfinansiering? Om svaret är ja, ska skälet för bedömningen anges.
Hans uppfattning är att han hade som utgångspunkt i revisionen av bolaget att det kunde användas för penningtvätt. Dess verksamhet var valutaväxling och i den allmänna riskbedömningen är det en bransch där förhöjd risk för penningtvätt finns. Det framgår också av den allmänna riskbedömningen att tjänsten revision i sig är en tjänst där låg inneboende risk anses finnas för att den utnyttjas för penningtvätt eller finansiering av terrorism. Han anser att de åtgärder som han vidtog i revisionen var tillräckliga för att följa god revisionssed och god revisorssed när det avser ett företag verksamt i denna bransch.
När det gäller kundkännedomen anser han att han fullgjorde sina åtaganden för att identifiera kunden. Han hade utfört identitetskontroll och följt upp att verklig huvudman inte var en person i politisk utsatt ställning. Det förelåg inte skäl att utföra utökade åtgärder för att uppnå kundkännedom. Inte heller har det senare framkommit att det funnits några brister när det gäller hans kundkännedom, utan verklig huvudman har varit de personer som också är registrerade som verkliga huvudmän hos Bolagsverket och de som angetts i aktieboken som han tog del av.
Han skapade sig en förståelse för bolagets rutiner kopplade till att hantera efterlevnaden av kraven som en valutaväxlare har avseende penningtvättsreglerna i sin egenskap av verksamhetsutövare. Han gjorde bedömningen att dessa rutiner i allt väsentligt uppfyllde kraven och uppmärksammade även att bolaget hade anlitat en advokatbyrå för att förbättra rutinerna. Detta sammantaget fick honom att dra slutsatsen att bolaget tog sina åtaganden enligt reglerna på stort allvar.
Inom ramen för förvaltningsrevisionen bedömde han även, beträffande de rutiner som bolaget hade infört, om det fanns några indikationer som föranledde rapportering enligt penningtvättsreglerna. Några sådana indikationer identifierade han inte.
När det gäller kundriskprofilen ur ett penningtvättshänseende angav han risken som normal, även om han var medveten om att bolag som är valutaväxlare har en högre inneboende risk för penningtvätt. Detta beror på ett förbiseende i hans arbete. Att bedöma risken som hög vid klientaccept eller re-accept innebär att godkännande ska erhållas från regional verkställande direktör för att arbeta med klienten samt att utökade kundkännedomsåtgärder ska utföras. Godkännande av uppdraget hade dock inhämtats i samband med att han började arbeta på revisionsbyrån, eftersom den verkställande direktören vid det tillfället godkände att han hade detta uppdrag med sig. Det fanns inte skäl att utföra utökade kundkännedomsåtgärder, eftersom han ändå hade skaffat sig tillräcklig kundkännedom. Korrekt verklig huvudman, rätt företrädare för bolaget samt även korrekt verksamhet hade identifierats. Ytterligare åtgärder för att erhålla kundkännedom hade inte föranlett något annat ställningstagande eller att någon ytterligare information hade kunnat inhämtas.
Den brist som eventuellt förelåg i riskbedömningen i dokumentationen påverkade inte uppdraget på något sätt, vare sig vad gäller att inneha det eller att ytterligare åtgärder skulle ha behövt vidtas.
Utöver att testa rutinerna testade han även manuella bokföringsorder/transaktioner 2018, i syfte att upptäcka ej rutinmässiga transaktioner i samband med upprättandet av bokslutet som kunde indikera på förekomst av oegentligheter. Några sådana indikationer framkom inte vid dessa granskningsåtgärder.
Bolaget anlitade en advokatbyrå för att uppdatera sin verksamhetsplan och sina rutiner avseende penningtvätt med start hösten 2018. Arbetet slutfördes under mars 2019. Han var medveten om att ett sådant arbete pågick och sammantaget var hans bedömning därför att bolaget tog arbetet med brottsbekämpning och motverkande av penningtvätt på största allvar.
3 Bedömning och val av disciplinär åtgärd
Förståelsen av det reviderade företagets verksamhet är av avgörande betydelse för revisorns möjligheter att försäkra sig om att årsredovisningen inte innehåller några väsentliga fel. Enligt god revisionssed måste revisorn därför skaffa sig inblick i och kunskap om företaget. Den information om företaget som revisorn av revisionella skäl måste skaffa sig inom ramen för revisionsuppdraget kan vara till hjälp vid fullgörandet av hans eller hennes skyldigheter enligt penningtvättslagen. Den är dock normalt inte tillräcklig för att revisorn ska kunna fullgöra dessa skyldigheter helt och fullt; han eller hon måste också utifrån omständigheterna i det enskilda uppdraget särskilt beakta riskerna för penningtvätt och finansiering av terrorism.
Tillämpliga bestämmelser
Auktoriserade och godkända revisorer samt registrerade revisionsbolag utgör verksamhetsutövare i penningtvättslagens mening (se 1 kap. 2 § 18).2 I enlighet med 2 kap. 1 § penningtvättslagen ska en revisor därför göra en bedömning av om revisionsverksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker, en s.k. allmän riskbedömning.
En revisor ska också, med utgångspunkt i den allmänna riskbedömningen och sin kännedom om kunden, bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med en specifik kundrelation, kundens riskprofil (se 2 kap. 3 §).
Revisorn ska vidare för varje uppdrag utföra åtgärder för kundkännedom (se kap. 3) och övervakning (se kap. 4). Dessa ska baseras på kundens riskprofil.
FAR har i sitt uttalande EtikU 11 Medlemmars tillämpning av lagen om åtgärder mot penningtvätt och finansiering av terrorism gett ytterligare vägledning och information om vilka överväganden som en revisor bör göra samt vilka åtgärder som bör vidtas för att han eller hon ska uppfylla penningtvättslagens krav. I bilaga 2 till uttalandet ges exempel på transaktioner och omständigheter som kan motivera en närmare granskning och skärpta kundkännedomsåtgärder enligt penningtvättslagen.3
Det ligger enligt Revisorsinspektionens uppfattning i sakens natur att revisorns åtgärder för övervakning enligt penningtvättslagen inte kan begränsas till hans eller hennes egna transaktioner med kunden utan måste avse allt det som revisionen omfattar. Övervakningen kan visserligen ske med utgångspunkt i de iakttagelser som görs vid den faktiska revisionen men revisorn måste i sammanhanget beakta den åsatta kundriskprofilen och de omständigheter som har föranlett denna. Han eller hon måste också vara särskilt uppmärksam på avvikande aktiviteter och transaktioner i kundens verksamhet. Identifierade risker måste vävas in i såväl revisionsplaneringen, riskbedömningen som granskningen. En revision, som uppfyller dessa kriterier, beaktar EtikU 11 och genomförs med professionell skepticism, får normalt anses innefatta tillräckliga övervakningsåtgärder enligt penningtvättslagen.
Den nuvarande lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism ersatte den 1 augusti 2017 den tidigare lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism.
EtikU 11 ändrades senast genom FAR N 2022:1, exemplifieringen i bilaga 2 är dock oförändrad sedan version EtikP 2018:9 av uttalandet.
Bedömningen i detta fall
A-son angav vid sin planering och utvärdering av uppdraget att risknivån för penningtvätt var normal och att risknivån för uppdraget var låg. Han har emellertid i sina yttranden till Revisorsinspektionen uppgett att han bedömde risken för penningtvätt som hög.
En revisor ska vid sin granskning förhålla sig professionellt skeptisk.4 I detta ligger bl.a. att revisorn ska ha en ifrågasättande inställning och kritiskt bedöma den information som han eller hon får från företagsledningen.5 Det sagda gäller även vid utförande av kundkännedomsåtgärder, bedömning av kundriskprofil och övervakning enligt penningtvättslagen.
Bolaget bedrev valutaväxling. I revisionsföretagets allmänna riskbedömning anges att valutaväxlingsföretag verkar i en högriskbransch. Det framgår också av utredningen att bolaget hade tagit hjälp av en advokatbyrå i arbetet med penningtvätt. Dessa omständigheter talade med styrka för att penningtvättsrisken i uppdraget skulle bedömas som hög.
Av A-sons dokumentation kan inte utläsas på vilka grunder som risken för penningtvätt skulle bedömas på annat sätt än det som revisionsföretagets allmänna riskbedömning anger, dvs. som hög. Inte heller framgår det av dokumentationen att – såsom han har uppgett till Revisorsinspektionen – hans granskningsinsats i själva verket gjordes med utgångspunkt i att det fanns en hög risk för penningtvätt. Inte heller hans yttranden till inspektionen ger något konkret stöd för att han vidtog de särskilda åtgärder som förekomsten av en hög sådan risk kunde föranleda.
Den professionella skepticism som ska prägla en auktoriserad revisors arbete borde under förevarande omständigheter ha föranlett A-son att bedöma risken för penningtvätt som högre än normalt. Detta skulle i sin tur föranlett honom att vidta skärpta kundkännedoms- och övervakningsåtgärder. A-son har i dessa avseenden brustit i sina skyldigheter enligt penningtvättslagen och därigenom också åsidosatt sina skyldigheter som revisor.
Det som ligger A-son till last är allvarligt. Han ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), ges en varning.
Jfr. t.ex. 9 kap. 3 § första stycket aktiebolagslagen (2005:551) och International Auditing Standard (ISA) 200
Jfr. t.ex. ISA 200 p. A 22.
FARs kommentar
Revisorn har av RI tilldelats en varning till följd av brister i efterlevnaden av penningtvättslagen i samband med revisionen av en kund. Kunden bedrev bl.a. handel med valutor och stod under Finansinspektionens tillsyn. Valutaväxlingsföretag hade i revisionsbyråns allmänna riskbedömning utpekats som en högriskbransch. Kundrelationens risknivå kopplat till penningtvätt och finansiering av terrorism i det aktuella ärendet hade av revisorn angetts vara normal.
Det framgår av RI:s bedömning att även om revisorn kan ha nytta av kundinformation och övervakning som inhämtats inom ramen för revisionsuppdraget så är det tydligt att riskbedömningen enligt penningtvättslagen kopplat till revisionsbyråns allmänna riskbedömning och för kunduppdraget i sig måste innefatta ett uppdrags samtliga delar. Det är därför viktigt att förstå och särskilja revisionsrisken och risken enligt penningtvättslagen.
FAR anser att det är oklart vad RI menar när de uttalar att revisorns professionella skepticism även ska tillämpas vid utförandet av vissa granskningsåtgärder enligt penningtvättslagen.