Dnr 2023-650

1 Inledning

Som ett led i arbetet mot penningtvätt och finansiering av terrorism gjorde Revisorsinspektionen under år 2023, utifrån ett riskbaserat urval, en riktad satsning på området.

Revisorsinspektionen valde med anledning av detta ut A-son i egenskap av auktoriserad revisor samt ställföreträdare för ett revisionsföretag och öppnade detta tillsynsärende. A-son förelades inledningsvis att ge in revisionsföretagets allmänna riskbedömning samt rutiner och riktlinjer för åtgärder enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen), dokumentationen av företagets utbildning inom området penningtvätt och terrorfinansiering samt revisionsdokumentationen för två revisionsuppdrag.

I detta ärende behandlas A-sons tillämpning av penningtvättsregelverket och hans revision i ett av uppdragen. Det sistnämnda uppdraget avsåg ett mobilbolag och gällde räkenskapsåret 2020-09-01–2021-12-31.

Mobilbolagets årsredovisning för det aktuella räkenskapsåret upprättades med tillämpning av Bokföringsnämndens allmänna råd (BFNAR 2012:1) Årsredovisning och koncernredovisning (K3). A-sons revisionsberättelse innehöll inga anmärkningar, modifieringar eller upplysningar.

2 Revisorers dokumentationsskyldighet

En auktoriserad eller godkänd revisor ska enligt god revisionssed dokumentera dels sådana förhållanden som har betydelse för att ge bevis till stöd för uttalandena i revisionsberättelsen, dels sådana förhållanden som utgör bevis för att revisionen har planerats och utförts enligt god revisionssed. Bestämmelser om dokumentation finns i 24 § revisorslagen (2001:883) och 7–12 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet. Dessa kompletteras av International Standard on Auditing (ISA) 230 Dokumentation av revisionen. Dokumentationen ska vara tydlig och sammanställd på ett överskådligt sätt. Av dokumentationen ska framgå bl.a. hur granskningen har planerats, vilken granskning som har genomförts, när granskningen har utförts, vilka iakttagelser som har gjorts och vilka slutsatser som har dragits. Underlåtenhet att fullgöra dokumentationsskyldigheten på ett riktigt sätt bedöms som allvarlig, eftersom den försvårar en analys och en tillfredsställande bedömning av arbetet i efterhand.

Den omständigheten att en revisor inte dokumenterar sina granskningsåtgärder på ovan angivet sätt behöver i och för sig inte innebära att granskningsåtgärderna har varit otillräckliga. I ett sådant fall får dock Revisorsinspektionens bevisbörda anses övergå på revisorn. Det innebär att revisorn måste kunna redogöra för sin granskning på ett sådant sätt att det vid en helhetsbedömning framstår som sannolikt att de påstådda åtgärderna har utförts och att de har haft sådan inriktning och omfattning att de har kunnat tjäna som underlag för välgrundade slutsatser. Vid denna bedömning beaktar Revisorsinspektionen bl.a. hur detaljerade uppgifter revisorn har lämnat om sina granskningsinsatser. Om revisorn därvid inte förmår göra den påstådda granskningen sannolik, utgår Revisorsinspektionen från att någon tillfredsställande granskning inte har skett.

3 Rutiner och riktlinjer i det egna revisionsföretaget

I revisionsföretagets rutiner och riktlinjer avseende åtgärder mot penningtvätt och finansiering av terrorism anges under steget avseende accept av uppdraget, under rubriken Undantag, att ingen åtgärd för att uppnå kundkännedom behöver göras, ”då risken per definition är låg”. Vidare anges att åtgärder för att uppnå grundläggande kundkännedom inte alls behöver vidtas beträffande svenska myndigheter (statlig, kommunal eller regional nivå). Slutligen anges att handläggande medarbetare vid uppdragregistrering ska – för de fall att ingen åtgärd för att uppnå kundkännedom behövs – motivera varför ingen åtgärd har vidtagits (kunden är känd sedan tidigare, etc.).

A-son har uppgett följande.

I praktiken tillämpas aldrig låg risk på revisionsföretagets uppdrag, varför detta inte är eller har varit en fråga som uppkommit. Samtliga uppdrag klassificeras som normal eller hög risk. Låg risk gäller alltså enbart svenska myndigheter (kommuner, regioner, staten). Det är ganska naturligt att de myndigheter som har utformat regelverket kring penningtvätt och finansiering av terrorism skulle ha en låg risk. Vad gäller frågan om kundkännedomsåtgärder inte alls behöver vidtas så genomförs självklart dessa kontroller ändå, annars kan de inte utföra revisionen. De måste bl.a. veta att det är rätt företrädare (styrelsen i praktiken) som de arbetar mot. För att nå den kännedomen behöver de exempelvis alltid ta in en identitetshandling eller på annat sätt styrka företrädarens identitet. Detta görs oavsett reglerna kring penningtvätt och finansiering av terrorism. Vid granskningen av exempelvis en kommun är det också relativt lätt att se vilka som är företrädare, eftersom samtliga är offentliga personer.

Revisionsföretagets penningtvättspolicy är uppdaterad sedan den 1 januari 2024. Även om de inte har klienter med låg risk har de valt att ta bort undantaget för dessa klienter i revisionsföretagets rutin och penningtvättspolicy.

Revisorsinspektionen gör följande bedömning.

Penningtvättslagen gäller för fysiska och juridiska personer som driver vissa i lagen uppräknade verksamheter, däribland sådan verksamhet som en auktoriserad eller godkänd revisor eller ett registrerat revisionsbolag bedriver och annan yrkesmässig verksamhet som avser revisionstjänster (se 1 kap. 2 § första stycket 18 och 19). Det innebär att såväl enskilda revisorer som juridiska personer som bedriver revisionsverksamhet är skyldiga att följa lagens bestämmelser och de föreskrifter som har meddelats på området. I den utsträckning verksamheten bedrivs i en juridisk person har den juridiska personens ställföreträdare som utgångspunkt ett personligt ansvar för att verksamheten är inrättad så att penningtvättsregelverket kan följas.

Den som bedriver revisionsverksamhet ska därför enligt 2 kap. 8 § penningtvättslagen ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Rutinerna och riktlinjerna ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism. I 4 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) anges att revisionsföretaget, på grundval av en riskbedömning, men minst en gång per år, ska utvärdera och vid behov uppdatera den allmänna riskbedömningen och sina rutiner och riktlinjer.

Av 2 kap. 3 § penningtvättslagen framgår att en verksamhetsutövare – och därmed också en revisor – ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden. När det behövs för att bestämma kundens riskprofil ska verksamhetsutövaren beakta bl.a. omständigheter som avses i 4 och 5 §§ och andra omständigheter som i det enskilda fallet påverkar risken som kan förknippas med kundrelationen. Kundens riskprofil ska följas upp under pågående affärsförbindelser och ändras när det finns anledning till det.

I 2 kap. 4 § 1 penningtvättslagen anges bl.a. som omständigheter som kan tyda på att risken för penningtvätt och finansiering av terrorism är låg kan verksamhetsutövaren beakta bl.a. att kunden är en stat, en region, en kommun eller motsvarande eller en juridisk person över vilken en stat, en region, en kommun eller motsvarande, var för sig eller tillsammans, har ett direkt eller indirekt rättsligt bestämmande inflytande.

En verksamhetsutövare – och därmed också en revisor – ska enligt 3 kap. 4 § penningtvättslagen vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse. Verksamhetsutövaren får enligt 3 kap. 1 § över huvud taget inte etablera eller upprätthålla en affärsförbindelse om han eller hon inte har tillräcklig kännedom om kunden för att kunna hantera den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen och för att övervaka och bedöma kundens aktiviteter och transaktioner.

Enligt 3 kap. 7 § penningtvättslagen ska verksamhetsutövaren identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska verksamhetsutövaren kontrollera den personens identitet och behörighet att företräda kunden. Behörigheten ska enligt 7 § penningtvättsföreskrifterna kontrolleras genom fullmakt, förordnande eller motsvarande behörighetshandling. Enligt samma bestämmelse ska en revisor vid identitetskontrollen av en juridisk person kontrollera aktuellt registreringsbevis, registerutdrag eller uppgifter från andra tillförlitliga och oberoende källor samt bevara original eller kopia av den kontrollerade handlingen. Av dokumentationen ska det, enligt samma paragraf i penningtvättsföreskrifterna, framgå när kontrollen utfördes.

Enligt 3 kap. 8 § penningtvättslagen ska en verksamhetsutövare utreda om kunden har en verklig huvudman. En sådan utredning ska avse åtminstone sökning i det register över verkliga huvudmän som Bolagsverket för enligt lagen (2017:631) om registrering av verkliga huvudmän. Om kunden är en juridisk person, ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska verksamhetsutövaren vidta åtgärder för att kontrollera den verkliga huvudmannens identitet. Enligt 3 kap. 9 § penningtvättslagen ska kontrollen av kundens och den verkliga huvudmannens identitet slutföras innan en affärsförbindelse etableras.

En verksamhetsutövare ska vidare enligt 3 kap. 10 § penningtvättslagen bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning eller en familjemedlem eller känd medarbetare till en sådan person. Verksamhetsutövaren ska enligt 3 kap. 13 § löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.

Av 3 kap. 15 § penningtvättslagen följer att om risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen bedöms som låg, får verksamhetsutövaren tillämpa förenklade åtgärder för kundkännedom. Förenklade åtgärder för kundkännedom innebär att kontroller, bedömningar och utredningar som följer av 7, 8 och 10-13 §§ kan vara av mer begränsad omfattning och vidtas på annat sätt.

I de rutiner och riktlinjer som A-son har gett in till Revisorsinspektionen anges att kundkännedomsåtgärder inte behöver vidtas när kundrisken bedöms som låg.

Penningtvättslagen ger förvisso revisorer möjligheten att vidta förenklade kundkännedomsåtgärder vid låg risk, men detta befriar inte revisorn från skyldigheten att vidta åtgärder för att skaffa sig kundkännedom. Mot denna bakgrund strider de rutiner och riktlinjer som revisionsföretaget hade intill utgången av år 2023 mot penningtvättslagen. Den omständigheten att revisionsföretaget inte hade kunder med risknivån låg liksom A-sons uppgift att viss kundkännedom ändå skulle ha inhämtats ändrar inte den bedömningen.

Genom att före utgången av år 2023 inte säkerställa att revisionsföretaget hade rutiner och riktlinjer som var förenliga med penningtvättslagen har A-son i egenskap av ställföreträdare för revisionsföretaget åsidosatt sina skyldigheter som revisor.

4 Kundriskprofil

I A-sons dokumentation avseende mobilbolaget finns en checklista som avser åtgärder enligt penningtvättslagen. I den finns en anteckning om att han hade uppmärksammat att det hade förekommit momsbedrägerier i branschen men att hans bedömning var att det inte fanns någon risk i detta uppdrag. Bedömningen motiverades med att det inte fanns några incitament för bedrägerier, eftersom det var ett stort stabilt bolag som tjänade pengar på laglig verksamhet och hade varit med och startat upp många kända varumärken. Av dokumentationen kan utläsas att bolaget hade försäljning till utlandet och bankkonton i flera utländska valutor. Vidare framgår av dokumentationen att det fanns en ny majoritetsägare i bolaget och att de båda verkliga huvudmännen var bosatta i Schweiz. A-son satte den samlade bedömningen av kundens riskprofil till normal nivå.

A-son har uppgett följande.

Att det hade förekommit oegentligheter i mobilbranschen kopplade till momsbedrägeri var något som han hade kunnat se i media. I detta fall hade det bolag som ägde mobilbolaget drivit upp flera kända e-handelsvarumärken och bolag. De hade haft en hög lönsamhet i sin ordinarie verksamhet under många år. Det fanns, som han bedömde det, helt enkelt inga incitament för den här väl etablerade och väldigt lönsamma koncernen att plötsligt börja arbeta med momsbedrägerier. Han hade också haft samtal med ledningen, som han bedömde var mycket professionell. Detta skedde inledningsvis i samband med att ett större etablerat bolag förvärvade mobilbolaget; han såg att den nya ledningen hade en god integritet och var ytterst noggrann med att allt skulle vara till punkt och pricka korrekt. En konkurs som i normalfallet skulle krävas för att kunna fullfölja bedrägeriet är inte heller något som han bedömde att de involverade skulle vilja företa sig, inte sedan de precis hade förvärvat företaget för tiotals miljoner kronor. Härtill kom att det från och med den 1 april 2021 gällde krav på omvänd momsskyldighet på mobiltelefoner, vilket i praktiken omöjliggör den här sortens bedrägerier. Detta minskade självklart risken. Förekomsten av mobiltelefonbedrägerier var dock något som han hade i bakhuvudet vid den ordinarie granskningen när han bedömde förekomsten av avvikelser. Några sådana fann han inte. Han genomförde en analys av mervärdesskatten med inriktning på ovanliga belopp, såsom ovanligt hög ingående skatt och liknande avvikelser. Den vanliga kontrollen på helår vad gäller avvikelser bedömdes som tillräcklig för detta ändamål.

Eftersom transaktioner med utlandet i vissa fall kan vara mer riskfyllda än svenska transaktioner, var det en del i hans totala bedömning av risken för penningtvätt. I detta uppdrag satte han trots det en normal riskprofil genom att väga ihop alla risker och erfarenheter som han hade avseende bolaget. När det gäller majoriteten av kundens produkter, behövde en handel med utlandet ske för att kunden skulle kunna leverera och konkurrera med andra företag. Utlandshandeln var alltså en naturlig del av verksamheten.

Att det nya större och mer etablerade bolaget klev in som huvudägare minskade risken i uppdraget något. Dock kvarstod risknivån normal när det gällde penningtvätt. Engagemanget från det större och mer etablerade bolaget gjorde att mobilbolaget hamnade i en intern kontrollmiljö och en organisation som var förbättrad gentemot den tidigare mindre och lite mer entreprenöriella miljön. De kundkännedomsåtgärder som genomfördes var i huvudsak kontroller av de nya nyckelpersoner som nu hade blivit en del av företaget, både verkliga huvudmän och styrelseledamöter. För att uppnå kundkännedom kontrollerades identitetshandlingar, aktiebok och information om verklig huvudman. Även en bedömning av det övertagande bolaget gjordes, vilket noterades i planeringen.

Huvudmännen var bosatta i Schweiz men medborgare i Sverige. Han kontrollerade huvudägarna till ägarbolaget. Han gjorde även en kontroll av landet i fråga vad gäller korruptionsindex och det bedöms som ett lågriskland i fråga om penningtvätt. Huvudmännens bosättning hade alltså ingen särskild påverkan på riskbedömningen enligt resonemanget ovan. Transaktioner med utlandet kontrolleras dock i den vanliga granskningen. Granskning sker i den vanliga översiktliga kontrollen av ovanliga större transaktioner och närståendetransaktioner. Vid granskningen upptäcktes inga transaktioner med Schweiz.

Revisorsinspektionen gör följande bedömning.

Revisorsinspektionen har i avsnitt 3 redogjort för en revisors skyldighet att bedöma kundens riskprofil och att löpande följa upp denna bedömning.

I 2 kap 5 § penningtvättslagen anges omständigheter som kan tyda på att risken i kunduppdraget är hög. Verksamhetsutövaren kan exempelvis beakta att kundens ägarstruktur framstår som ovanlig eller alltför komplicerad för dess verksamhet, att kunden bedriver kontantintensiv verksamhet, att kunden är en juridisk person som har nominella aktieägare eller andelar utställda på innehavaren, att kunden är en juridisk person, en trust eller en liknande juridisk konstruktion som har till syfte att förvalta en viss fysisk persons tillgångar, att kunden har hemvist i en stat som saknar effektiva system för bekämpning av penningtvätt eller finansiering av terrorism, att kunden har hemvist i en stat med betydande korruption och annan relevant brottslighet, att kunden har hemvist i en stat som är föremål för sanktioner, embargon eller liknande åtgärder, att kunden har hemvist i en stat som finansierar eller stöder terroristverksamhet eller där terroristorganisationer är verksamma, att affärsrelationer eller transaktioner sker på distans, utan användning av metoder som på ett tillförlitligt sätt kan säkerställa kundens identitet, och att betalning av varor eller tjänster görs av någon som är okänd eller saknar koppling till kunden.

Av 3 kap. 16 § penningtvättslagen framgår att om risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen bedöms som hög, ska särskilt omfattande kontroller, bedömningar och utredningar enligt 7, 8 och 10-13 §§ göras. Åtgärderna ska i sådant fall kompletteras med de ytterligare åtgärder som krävs för att motverka den höga risken för penningtvätt eller finansiering av terrorism. Sådana åtgärder kan avse inhämtande av ytterligare information om kundens affärsverksamhet eller ekonomiska situation och uppgifter om varifrån kundens ekonomiska medel kommer.

A-son hade själv identifierat att företaget var verksamt inom en bransch där momsbedrägerier hade förekommit. Det förelåg därför en presumtion för att risken i uppdraget skulle bedömas som hög. Han hade även konstaterat att transaktioner med utlandet kunde utgöra en högre risk. Det fanns alltså flera omständigheter som sammantagna talade för att risknivån i uppdraget borde ha bedömts som hög. För att risknivån trots detta skulle bestämmas till normal måste det förutsättas att det förelåg andra riskreducerande omständigheter. I förevarande fall har A-son enbart hänvisat till att det enligt hans mening inte fanns incitament för bolaget att begå bedrägerier, eftersom det gick bra för bolaget och det nyligen hade gjort stora investeringar. Detta utgör enligt Revisorsinspektionens mening inte en riskreducerande omständighet.

A-son har genom sin felaktiga riskbedömning brustit i sina skyldigheter enligt penningtvättslagen.

5 Intäkter

Nettoomsättningen i mobilbolaget redovisades i årsredovisningen för det aktuella räkenskapsåret till 76 mnkr. Bolagets resultat före skatt uppgick till -566 tkr. A-son bestämde det övergripande väsentlighetstalet till 1 mnkr och arbetsväsentligheten till 850 tkr. Intäkterna bestod av försäljning av mobiltelefoner samt tillbehör och reservdelar via företagets webbplats.

I den övergripande riskanalysen identifierade A-son en risk avseende fullständigheten i intäkter som skulle hanteras i revisionen. Av granskningsprogrammet Rörelsens intäkter kan utläsas att fullständigheten i intäkterna granskades genom detaljgranskning och analytisk granskning. Detaljgranskningen omfattade ett stickprov om 16 kundfakturor som kontrollerades mot faktura och inbetalningsunderlag. Den analytiska granskningen bestod av en jämförelse av intäkter och kostnader för varje månad under året. Enligt en anteckning i dokumentationen hade marginalerna minskat från 13 procent föregående år till 7 procent innevarande år. Vidare finns en anteckning om att inga avvikelser hade identifierats och att posten accepterades.

Av granskningsprogrammet Kundfordringar framgår att A-son utförde bl.a. en betalningskontroll. Ett stickprov som omfattade de tio största obetalda kundfordringarna kontrollerades mot inbetalningsunderlag och faktura. De utvalda posterna kontrollerades även avseende felaktigt avklipp. Totalt granskades kundfordringar till ett belopp om 479 tkr.

A-son har uppgett följande.

Intäkterna granskades genom en substansinriktad analytisk granskning. Han utgick från hela populationen och försökte hitta en rimlighet i de totala sifforna. Han kontrollerade att intäkter och kostnader följde ett linjärt samband och utifrån sin analys kunde han påvisa en tydlig korrelation.

Han utförde även stickprovsgranskning av kundfakturor. Han gjorde ett revisionsmässigt urval där transaktioner som utgjorde väsentliga belopp valdes ut. Några enstaka mindre transaktioner valdes också ut för att få in ett mått av oförutsägbarhet i revisonen. Statistiskt brukar tio stickprov vara tillräckligt vid en förhöjd risk i posten för att uppnå en säkerhet på 80 procent vid substansinriktad analytisk granskning. Dessutom föreligger en minskad risk eftersom den beloppsmässiga variationen i intäkterna är liten, vilket medför att det statistiskt behöver göras ett mindre urval, s.k. stratifiering. Han kontrollerade totalt 16 kundfakturor till ett belopp om 1,8 mnkr, vilket motsvarade 2,4 procent av de totala intäkterna. Den otestade populationen uppgick till 74,6 mnkr eller 97,6 procent. Han noterade inga avvikande fluktuationer eller ovanliga transaktioner i stickprovet. Resultatet av granskningen extrapolerades till hela populationen.

Intäkterna granskades även i samband med kontrollen av kundfordringar. Kundfordringar som inte redovisades som osäkra kontrollerades mot betalningar på det nya året. I och med denna kontroll kunde han se att den löpande registreringen av intäkter hade skett korrekt. Stickprovet kontrollerades även med hänsyn till periodisering, dvs. att fakturadatum inte låg utanför räkenskapsåret. Inga indikationer på felaktig periodisering uppmärksammades.

Revisorsinspektionen gör följande bedömning.

Intäktsredovisningen är normalt ett väsentligt granskningsområde som revisorn har anledning att ägna särskild uppmärksamhet. I förevarande fall hade A-son identifierat en risk avseende fullständighet i intäkterna samtidigt som intäkterna var väsentliga.

Enligt ISA 330Revisorns hantering av bedömda risker p. 21 ska revisorn, när han eller hon har fastställt att en bedömd risk för väsentliga felaktigheter på påståendenivån är en betydande risk, utföra substansgranskning med särskild inriktning på den risken. När revisorn hanterar en betydande risk enbart genom substansgranskning, ska granskningen – enligt samma punkt – innefatta detaljgranskning.

Av ISA 520Analytisk granskning p. 5 framgår att en revisor vid utformningen och utförandet av substansinriktad analytisk granskning bl.a. ska avgöra hur passande en viss substansinriktad analytisk granskning är. Substansinriktad analytisk granskning är i allmänhet mer användbar när det rör sig som om stora transaktionsvolymer som tenderar att vara förutsägbara över tid (A 6). Metoden bygger på antagandet att det finns bestående samband mellan olika komponenter. En beräkning och jämförelse av bruttovinstmarginaler som metod att bekräfta en uppgift om försäljningsintäkter kan utgöra mindre övertygande bevis, men ändå ge användbart underlag om metoden används i kombination med andra granskningsåtgärder (A 8). En sådan jämförelse av intäkter och kostnader som A-son utförde för att bekräfta en uppgift om försäljningsintäkter kan alltså, även om den inte ger övertygande bevis, ändå ge användbart underlag, om metoden används i kombination med andra granskningsåtgärder. Enligt revisionsdokumentationen hade marginalen dock varierat väsentligt mellan åren och något bestående samband mellan intäkter och kostnader bedömdes inte föreligga varför den analytiska granskningen i detta fall inte utgjorde ett användbart underlag. A-son utförde inte heller någon närmare analys av orsakerna till förändringen i bruttovinstmarginalen mellan åren.

ISA 500Revisionbevis tar upp olika metoder som revisorn kan använda när han eller hon väljer poster att granska. En av metoderna som revisorn kan använda är att välja särskilda poster ur en population (A 53). Exempel på poster som väljs på detta sätt är beloppsmässigt stora poster eller viktiga poster, alla poster över ett visst belopp eller poster som revisorn väljer ut för att skaffa sig information (A 55). Resultaten av granskningsåtgärder på poster som väljs ut på detta sätt kan inte användas för skattning av hela populationen, och ger därför inte revisionsbevis rörande återstoden av populationen (A 56).

ISA 530Revisionsmässiga urval ger riktlinjer för hur revisorn bör utforma sitt urval av poster i en population för att kunna dra slutsatser om hela populationen. Enligt p. 7 ska urvalets storlek vara tillräckligt stort för att minska urvalsrisken1 till en godtagbar nivå. Via granskning av kontroller eller substansinriktad analytisk granskning kan urvalsstorleken vara något mindre, men ju mer revisorn förlitar sig på detaljgranskning desto större behöver urvalsstorleken vara.

Den substansinriktade analytiska granskning som A-son utförde gav honom inte tillräckliga revisionsbevis avseende riktigheten och fullständigheten i intäkterna. Han utförde även kompletterande detaljgranskning genom stickprovsgranskning av kundfakturor. Han utformade dock inte urvalet av poster på ett sätt som gjorde det möjligt för honom att dra några slutsatser om återstoden av populationen. Den detaljgranskning som utfördes hade dessutom en mycket begränsad omfattning i förhållande till de totala intäkterna. De vidtagna substansgranskningsåtgärderna gav därför inte A-son tillräckliga och ändamålsenliga revisionsbevis för att bedöma riktigheten och fullständigheten i intäktsredovisningen.

Mot denna bakgrund hade A-son inte grund för att tillstyrka ett fastställande av bolagets resultat- och balansräkningar. Genom att ändå göra det har han åsidosatt god revisionssed.

6 Skatter och avgifter

Av det arbetspapper för förvaltningsrevisionen som A-son använde framgår att han kontrollerade mobilbolagets skattekontoutdrag avseende kostnadsräntor och förseningsavgifter. Av en anteckning på arbetspapperet kan utläsas att mindre förseningar hade uppmärksammats vid granskningen vad gäller inbetalning till skattekontot men inga väsentliga förseningar som föranledde anmärkning i revisionsberättelsen. Enligt anteckningen hade A-son informerat klienten och den nya ägaren som skulle se över rutinen framåt.

Av det skattekontoutdrag som finns i revisionsdokumentationen framgår att bolaget vid sju tillfällen hade påförts konstnadsräntor. Skälet till kostnadsräntorna var att bolaget vid dessa tillfällen hade betalat skatter och avgifter för sent med mellan 2 och 24 dagar. De försenade skatteinbetalningarna uppgick till mellan 40 tkr och 278 tkr. I revisionsberättelsen har A-son inte gjort någon anmärkning avseende skatter och avgifter.

A-son har uppgett följande.

Vid sin granskning uppmärksammade han två negativa saldon på skattekontot, varav den ena avsåg en försening på 7 dagar med cirka 120 tkr i snitt och den andra en försening på 24 dagar med cirka 200 tkr i snitt. Det satta väsentlighetstalet var 1 mnkr, vilket innebar att de uppmärksammade förseningarna inte avsåg väsentliga belopp. Inbetalning gjordes inom rimlig tid och det var fråga om ett begränsat antal tillfällen. Dessutom sammanhängde förseningarna med de administrativa utmaningarna under covid-19-pandemin, vilket skulle kunna motivera förseningar. Under övriga 16 månader fann han inte några förseningar. Hans slutliga bedömning var att förseningarna inte var så allvarliga att de skulle rendera en anmärkning i revisionsberättelsen.

Revisorsinspektionen gör följande bedömning.

Enligt 9 kap. 34 § aktiebolagslagen (2005:551) ska revisorn anmärka i revisionsberättelsen om han eller hon har funnit att bolaget inte har fullgjort sin skyldighet att i rätt tid betala skatter och avgifter som omfattas av skatteförfarandelagen (2011:1244).

Av ett förarbetsuttalande till motsvarande bestämmelse i tidigare gällande lagstiftning framgår att granskningen och rapporteringen av hur bolaget sköter sina åligganden enligt skatte- och avgiftsförfattningarna bör ske enligt samma principer som gäller för revisorns granskning i övrigt. Det innebär bland annat att vedertagna principer om väsentlighet och risk ska vara vägledande för revisorn också vid skatte- och avgiftsgranskningen.2

Beträffande väsentlighetstal bör följande framhållas. Enligt god revisionssed ska en revisor vid utförande av revisionen beakta principen om väsentlighet och dess samband med risken för att revisorn gör ett oriktigt uttalande i revisionsberättelsen (revisionsrisken). När revisorn planerar revisionen ska han eller hon beakta inte bara väsentlighet avseende årsredovisningen som helhet utan också väsentlighet med avseende på individuella saldon, grupper av bokföringsposter och tilläggsupplysningar. Väsentlighet kan påverkas av till exempel krav enligt lagar och föreskrifter. Denna process kan resultera i olika väsentlighetsnivåer.3

Av RevR4 209 Förvaltningsrevision p 4.2 framgår att vedertagna principer om väsentlighet och risk ska vara vägledande för revisorn också vid skatte- och avgiftsgranskningen. Detta innebär att granskningen inte behöver omfatta samtliga transaktioner utan kan baseras på relevanta stickprov och analyser. Om en avvikelse noteras, ska denna utvärderas för ställningstagande till om revisorn ska anmärka men kanske också utvidga granskningen. Dock är det i normalfallet så att kravet på väsentlighet ska sättas lägre vid denna granskning och rapportering än vad som är fallet vid räkenskapsrevisionen.

Under räkenskapsåret hade skatteinbetalningar gjorts för sent vid flera tillfällen. Det skattekontoutdrag som finns i A-sons revisionsdokumentation visar att det hade förekommit fler förseningar än de två tillfällen som han identifierade vid sin granskning. Med hänsyn till den särskilda rapporteringsskyldigheten avseende försenade skatter och avgifter skulle A-son inte ha satt väsentlighetstalet i denna del lika högt som han gjorde beträffande andra poster. Den omständigheten att det åsatta väsentlighetstalet översteg de uppmärksammade förseningsbeloppen utgjorde alltså inte grund för honom att bortse från förseningarna.

Förseningarna avsåg enligt Revisorsinspektionens mening väsentliga belopp och det rörde sig dessutom om upprepade försummelser.5 Bristerna i bolagets hantering av skatter och avgifter var därmed av sådan omfattning att A-son skulle ha anmärkt på dem i sin revisionsberättelse. Den omständigheten att han ansåg att bolaget slutligen betalade inom rimlig tid och att förseningarna avsåg ett begränsat antal tillfällen befriade honom inte från skyldigheten att anmärka på förhållandena.

Genom sin underlåtenhet att anmärka på bolagets hantering av skatter och avgifter i revisionsberättelsen har A-son åsidosatt god revisionssed.

7 Efterföljande händelser

I dokumentationen avseende A-sons granskning av efterföljande händelser finns en resultat- och balansrapport, daterad den 28 mars 2022. Dokumentationen innehåller i övrigt även ett uttalande från företagsledningen, daterat den 27 juni 2022, samma dag som revisionsberättelsen avlämnades.

A-son har uppgett följande.

Han gjorde en slutlig kontroll mot klientens system några dagar innan revisionsberättelsen skrevs under. Detta antecknades tyvärr inte i revisionsdokumentationen. Han kunde dock inte se att det fanns några risker avseende fortsatt drift. Bolaget hade ett eget kapital om 8 mnkr och omsättningstillgångar som översteg kortfristiga skulder. Dessutom hade bolaget starka ägare. Det var ytterst osannolikt att bolaget skulle hamna i svårigheter på tre månader.

Revisorsinspektionen gör följande bedömning.

Enligt ISA 560Efterföljande händelser p. 6 ska revisorn utföra granskningsåtgärder som ger honom eller henne tillräckliga och ändamålsenliga revisionsbevis för att han eller hon har uppmärksammat alla händelser som har inträffat mellan datumet för de finansiella rapporterna och datumet för revisors rapport och som kräver justering av eller upplysning i de finansiella rapporterna. Granskningsåtgärderna är avsedda att komplettera sådan granskning som har genomförts i syfte att få fram revisionsbevis för saldona på balansdagen, exempelvis avklippskontroller.

Av dokumentationen framgår att A-son granskade en resultat- och balansrapport daterad den 28 mars 2022. Hans revisionsberättelse undertecknades först i slutet av juni samma år, dvs. nästan tre månader efter den tidpunkt som resultat- och balansrapporten avsåg. Han borde ha utfört granskningsåtgärder fram till tidpunkten för revisionsberättelsens datering. Det uttalande från företagsledningen som han erhöll den 27 juni 2022 gav honom inte tillräckliga revisionsbevis i detta avseende. Han har lämnat uppgifter om en slutlig kontroll mot klientens system några dagar innan revisionsberättelsen skrevs under. Dessa uppgifter får dock inte något stöd av revisionsdokumentationen. Han har inte heller i sina yttranden till Revisorsinspektionen lämnat någon närmare redogörelse för den uppgivna kontrollen eller redovisat vilka revisionsbevis som kontrollen gav honom. Han har därmed inte gjort det sannolikt att han utförde en godtagbar granskning av händelser efter balansdagen. Revisorsinspektionen drar därför slutsatsen att hans granskning i denna del var otillräcklig (se den i avsnitt 2 beskrivna bevisbörderegeln).

Genom att inte granska efterföljande händelser på att godtagbart sätt har A-son åsidosatt god revisionssed.

8 Sammanfattande bedömning och val av disciplinär åtgärd

Revisorsinspektionen har funnit flera brister i A-sons revisionsverksamhet.

Han har inte genomfört en tillräcklig granskning av mobilbolagets intäkter. Han har inte heller gjort en godtagbar granskning av efterföljande händelser i bolaget. Han har underlåtit att anmärka på sena betalningar av skatter och avgifter. Därtill har han brustit i sina skyldigheter enligt penningtvättslagen.

A-son har i nu nämnda avseenden åsidosatt sina skyldigheter som revisor och ställföreträdare för ett revisionsföretag. Han ska därför meddelas en disciplinär åtgärd. Det som ligger honom till last är allvarligt, särskilt som han inte har haft grund för att tillstyrka fastställandet av mobilbolagets resultat- och balansräkningar. Han ska därför, med stöd av 32 § andra stycket revisorslagen, ges en varning.

FARs kommentar

Ärendet baseras på RI:s tillsyn av efterlevnaden av penningtvättslagen (PTL). RI behandlar i ärendet både den allmänna riskbedömningen och hanteringen av PTL på ett enskilt uppdrag. FAR kommenterar endast det enskilda uppdraget.

Revisorn har för uppdraget, trots att det fanns flera indikatorer på förhöjd risk för penningtvätt, bedömt risken på uppdragsnivå som normal. Ärendet visar i denna del på vikten av att beakta riskerna för penningtvätt utifrån indikationerna på förhöjd risk och att planera granskningen utifrån det. Granskning avseende risk för väsentliga fel i den finansiella rapporteringen kan vara annorlunda.

När det gäller granskning av intäkter är det viktigt att riskbedömningen avspeglas i den granskning som utförs. I ärendet hade revisorn bedömt risken för fullständighet som förhöjd. Trots detta utgick granskningen huvudsakligen från de transaktioner som var bokförda. Den analytiska granskning som utförts menar RI inte ger tillräckliga bevis för fullständighet i intäkter. I ärendet lyfts även vikten av att dokumentera granskningen av efterföljande händelser enligt ISA 560. Det framgår även att uttalandet från företagsledningen inte räcker som revisionsbevis avseende efterföljande händelser för en längre period.