FAR har kommenterat detta disciplinärende. Kommentaren återges sist i ärendet.
Beslut: Revisorsinspektionen ger auktoriserade revisorn A-son en varning förenad med en sanktionsavgift på 60.000 kronor.
1 Inledning
Som ett led i arbetet mot penningtvätt och finansiering av terrorism har Revisorsinspektionen under år 2023 gjort en riktad satsning på området inom ramen för den riskbaserade tillsynsverksamheten.
Revisorsinspektionen valde med anledning av detta ut A-son i egenskap av auktoriserad revisor samt ställföreträdare för ett revisionsföretag och öppnade detta tillsynsärende. A-son förelades inledningsvis att ge in revisionsföretagets allmänna riskbedömning, rutiner och riktlinjer för åtgärder enligt penningtvättslagen1 samt revisionsdokumentationen för två revisionsuppdrag. Uppdragen avsåg ett fastighetsbolag och ett bygghandelsbolag och gällde i båda fallen räkenskapsåret 2021.
2 Rättslig reglering
2.1 Revisorers dokumentationsskyldighet
En auktoriserad eller godkänd revisor ska enligt god revisionssed dokumentera dels sådana förhållanden som har betydelse för att ge bevis till stöd för uttalandena i revisionsberättelsen, dels sådana förhållanden som utgör bevis för att revisionen har planerats och utförts enligt god revisionssed. Bestämmelser om dokumentation finns i 24 § revisorslagen (2001:883) och 7–12 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet. Dessa kompletteras av International Standard on Auditing (ISA) 230 Dokumentation av revisionen. Dokumentationen ska vara tydlig och sammanställd på ett överskådligt sätt. Av dokumentationen ska framgå bl.a. hur granskningen har planerats, vilken granskning som har genomförts, när granskningen har utförts, vilka iakttagelser som har gjorts och vilka slutsatser som har dragits. Underlåtenhet att fullgöra dokumentationsskyldigheten på ett riktigt sätt bedöms som allvarlig, eftersom den försvårar en analys och en tillfredsställande bedömning av arbetet i efterhand.
Den omständigheten att en revisor inte dokumenterar sina granskningsåtgärder på ovan angivet sätt behöver i och för sig inte innebära att granskningsåtgärderna har varit otillräckliga. I ett sådant fall får dock Revisorsinspektionens bevisbörda anses övergå på revisorn. Det innebär att revisorn måste kunna redogöra för sin granskning på ett sådant sätt att det vid en helhetsbedömning framstår som sannolikt att de påstådda åtgärderna har utförts och att de har haft sådan inriktning och omfattning att de har kunnat tjäna som underlag för välgrundade slutsatser. Vid denna bedömning beaktar Revisorsinspektionen bl.a. hur detaljerade uppgifter revisorn har lämnat om sina granskningsinsatser. Om revisorn därvid inte förmår göra den påstådda granskningen sannolik, utgår Revisorsinspektionen från att någon tillfredsställande granskning inte har skett.
2.2 Penningtvättsregelverket
Auktoriserade och godkända revisorer är enligt 1 kap. 2 § 18 penningtvättslagen s.k. verksamhetsutövare enligt lagen och ska därmed följa lag och föreskrifter på området.
Allmän riskbedömning
Ett revisionsföretag ska – såsom verksamhetsutövare i penningtvättslagens mening – enligt 2 kap. 1 § penningtvättslagen göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som är för handen. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism, och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.
Rutiner och riktlinjer
Ett revisionsföretag ska vidare, enligt 2 kap. 8 § penningtvättslagen, ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Dessa ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism.
Kundens riskprofil
Av 2 kap. 3 § penningtvättslagen följer att en revisor ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen. Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden.
Kundkännedom
En revisor ska i enlighet med 3 kap. 4 § penningtvättslagen vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse. Han eller hon får enligt 3 kap. 1 § över huvud taget inte etablera eller upprätthålla en affärsförbindelse om revisorn inte har tillräcklig kännedom om kunden för att kunna hantera den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen, eller för att kunna övervaka och bedöma kundens aktiviteter och transaktioner. Av 3 kap. 7 § följer att en revisor ska identifiera kunden och kontrollera dennes identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska revisorn kontrollera den personens identitet och behörighet att företräda kunden. Behörigheten ska enligt 7 § penningtvättsföreskrifterna kontrolleras genom fullmakt, förordnande eller motsvarande behörighetshandling. Enligt samma bestämmelse ska revisorn vid identitetskontrollen av en juridisk person kontrollera aktuellt registreringsbevis, registerutdrag eller uppgifter från andra tillförlitliga och oberoende källor, samt bevara original eller kopia av den kontrollerade handlingen. Av dokumentationen ska det framgå när kontrollen har utförts. Såsom följer av 3 kap. 8 § penningtvättslagen ska revisorn utreda om kunden har en verklig huvudman. En sådan utredning ska avse åtminstone sökning i det register över verkliga huvudmän som Bolagsverket för enligt lagen (2017:631) om registrering av verkliga huvudmän. Om kunden är en juridisk person ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska revisorn vidta åtgärder för att kontrollera den verkliga huvudmannens identitet. Enligt 3 kap. 9 § penningtvättslagen ska kontrollen av kundens och den verkliga huvudmannens identitet slutföras innan en affärsförbindelse etableras.
Revisorn ska vidare, i enlighet med 3 kap. 10 och 11 §§ penningtvättslagen, bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning samt om kunden är etablerad i ett så kallat högrisktredjeland. Av 3 kap. 13 § följer att revisorn även löpande och vid behov ska följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.
Övervakning
En revisor ska – enligt vad som närmare utvecklas i 4 kap. 1 § penningtvättslagen – övervaka pågående affärsförbindelser och bedöma enstaka transaktioner som kan antas ingå som ett led i penningtvätt eller finansiering av terrorism. Inriktningen och omfattningen av övervakningen ska bestämmas med beaktande av de risker som har identifierats i den allmänna riskbedömningen, den risk för penningtvätt och finansiering av terrorism som kan förknippas med kundrelationen och annan information om tillvägagångssätt för penningtvätt eller finansiering av terrorism.
Utvärdering och dokumentation
Av 9 § penningtvättsföreskrifterna följer att en revisor under pågående uppdrag, på grundval av en riskbedömning, men minst en gång per år, ska utvärdera kundkännedomen och kundens riskprofil samt vid behov uppdatera dessa. Enligt 5 kap. 3 § penningtvättslagen ska handlingar och uppgifter avseende åtgärder som har vidtagits för kundkännedom bevaras under fem år. Tiden ska räknas från det att, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde. Av dokumentationen ska framgå bl.a. vilka granskningsåtgärder som har utförts, vad dessa har omfattat samt när och hur granskningsåtgärderna har utförts (se 11 § penningtvättsföreskrifterna med hänvisning till 7 och 9 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet). Dokumentationen ska vara tydlig och strukturerad på ett överskådligt sätt. Den ska vara inriktad på väsentlig information men ändå så detaljerad att revisorns arbete kan bedömas i efterhand. Enligt 7 § penningtvättsföreskrifterna ska identitetskontroller av fysiska personer dokumenteras genom en kopia av den kontrollerade handlingen eller en anteckning av den kontrollerade handlingens nummer, giltighetstid och utfärdare.
3 Åtgärder enligt penningtvättslagstiftningen
3.1 Allmän riskbedömning
A-son har förelagts att ge in revisionsföretagets allmänna riskbedömning. Någon sådan har inte getts in. I revisionsdokumentationen finns allmänna avsnitt ur revisionsprogrammet som har rubrikerna Intern kontroll, Risker för oegentligheter och Penningtvätt och ID-kontroll.
A-son har uppgett följande.
Vid antagandet av eventuella nya klienter används mallarna i revisionsprogrammet för nya uppdrag och bland annat identitetshandlingar kontrolleras. Vid återkommande uppdrag kontrolleras årligen register avseende personer i politiskt utsatt ställning. Han anser att revisionsföretaget har en egen allmän riskbedömning i och med att han fyller i riskbedömningen i revisionsprogrammets mallar.
Revisorsinspektionen gör följande bedömning.
Av utredningen i ärendet framgår att det revisionsföretag som A-son är ställföreträdare för inte har genomfört och dokumenterat någon allmän riskbedömning. Det finns inte heller någon annan form av individualiserad utvärdering av revisionsföretagets verksamhet och inte heller någon bedömning av om revisionsföretagets olika tjänster kan användas för att dölja förekomsten av penningtvätt eller finansiering av terrorism. De allmänna avsnitten i revisionsprogrammets mallar som finns i revisionsdokumentationen – och som enligt A-son utgör den allmänna riskbedömningen – är allmänt hållna och rör enskilda kunder. Mallar av dessa slag kan inte anses utgöra en sådan allmän riskbedömning som penningtvättslagen kräver.
Genom att försumma att göra en allmän riskbedömning för verksamheten i revisionsföretaget har A-son brustit i sina skyldigheter enligt penningtvättslagen.
3.2 Rutiner och riktlinjer
A-son har förelagts att ge in revisionsföretagets rutiner och riktlinjer enligt penningtvättslagen, men har inte gett in några sådana.
A-son har uppgett följande.
Han har inte några egna rutiner eller riktlinjer, utan följer revisionsprogrammets mallar.
Revisorsinspektionen gör följande bedömning.
Det revisionsföretag som A-son driver saknar sådana dokumenterade rutiner och riktlinjer som penningtvättslagen kräver. Det revisionsprogram som han har hänvisat till kan inte jämställas med rutiner och riktlinjer av det slag som avses i penningtvättslagen.
Genom att, i egenskap av revisionsföretagets företrädare, underlåta att upprätta de rutiner och riktlinjer på penningtvättsområdet som han hade en skyldighet att upprätta har A-son brustit i sina skyldigheter enligt penningtvättslagen.
3.3 Åtgärder på uppdragsnivå
Fastighetsbolaget
Fastighetsbolaget hade som angivet verksamhetsändamål att äga, förvalta och sälja fastigheter samt därmed förenlig verksamhet.
Uppdragsbrevet är undertecknat den 10 oktober 2021. Det rörde sig om ett förstagångsuppdrag.
A-son har antecknat att det finns en verklig huvudman, A, som inte är styrelseledamot. Det finns emellertid ingen dokumentation av att han har gjort någon kontroll i Bolagsverkets register över verkliga huvudmän. I akten finns en kopia av A:s identitetshandling. I akten, i dokumentet Revisorns/konsultens prövning av penningtvättslagen (2017:630), har A-son svarat nej på frågan om kundens företrädare eller den verkliga huvudmannen är personer i politiskt utsatt ställning. Sedan anges ”Inga träffar i PEP-registret”. Det finns emellertid ingen dokumentation av denna kontroll.
A-son har i sin dokumentation angett kundens riskprofil som låg, med motiveringen att det inte fanns några större likvida medel i bolaget och att tillgångarna bestod av aktier i dotterbolag.
A-son har tillfrågats om när och hur han kontrollerade A:s identitet och om vilket register han sökte i och när den kontrollen skedde. Han har också ombetts utveckla varför han bedömde att risken blev låg och vilka omständigheter som skulle tillkomma för att han skulle ha bedömt risken som normal.
A-son har uppgett följande.
Representanterna i fastighetsbolaget, som var kända för honom sedan 15 år, tog år 2021 kontakt med honom när de skulle förvärva ett bolag. Företrädarnas identiteter kontrollerades sedan vid ett personligt möte under hösten 2021. Han skrev inte ut resultatet av den kontroll han gjorde i Bolagsverkets register över verkliga huvudmän. Kontrollen av A:s identitet skedde vid ett personligt möte. För att kontrollera om någon företrädare var person i politiskt utsatt ställning tittade han i ett register, men skrev inte ut dokumentationen.
Skälen till att han satte kundens riskprofil som låg var följande. Bolaget bedrev ingen egen verksamhet. Risknivån bestämdes därför av värdet på dotterbolaget. Dotterbolaget hade investerat i mark och det fanns stor potential i investeringen. Dessutom hade ägarbolagen cirka 400 mnkr i eget kapital, vilket gjorde att investeringen var låg, ca. 5 procent av bolagens egna kapital. För att risknivån skulle sättas till ”mellan” skulle en nedskrivning kunna vara aktuell, vilket inte är fallet i dag och inte skulle påverka ägarbolagen nämnvärt. Det råder fortsatt bostadsbrist på orten och även om dotterbolaget inte skulle utveckla projektet, så kommer mark ändå att vara säljbar i framtiden.
Revisorsinspektionen gör följande bedömning.
A-son har i flera avseenden inte dokumenterat underlaget för de kontroller som han har uppgett sig ha gjort. Dokumentationen av gjorda kontroller är alltså bristfällig.
När en revisor bedömer risken för penningtvätt eller finansiering av terrorism bör han eller hon normalt utgå från att risken är i vart fall normal.2 Särskilda omständigheter kan medföra att risken i det enskilda fallet i stället bedöms som hög eller låg. Några sådana omständigheter (indikatorer) anges i 2 kap. 4 och 5 §§ penningtvättslagen. Ledning kan också hämtas i myndighetsinformation hos exempelvis Samordningsfunktionen mot penningtvätt och finansiering av terrorism. Enligt Revisorsinspektionens mening kan risken för penningtvätt och finansiering av terrorism inte anses vara låg enbart därför att värdet på ett dotterföretag eller förevarande investeringar är lågt. De uppgifter om kunden som A-son i övrigt hade tillgång till gav honom inte grund för att bedöma risken som låg.
Till detta kommer följande. En kundriskbedömning ska utgå från de riskindikatorer som har identifierats vid den allmänna riskbedömningen och den förutsätter även att revisionsföretaget har tydliga interna rutiner och riktlinjer för att bedöma och hantera riskerna i enskilda uppdrag (se ovan). Genom att inte göra någon allmän riskbedömning och inrätta rutiner och riktlinjer enligt penningtvättslagen i revisionsföretaget satte sig A-son alltså ur stånd att göra de kundriskbedömningar som ålåg honom. Han saknade därmed möjlighet att göra en tillförlitlig kundriskbedömning.
Sammantaget finner Revisorsinspektionen att A-son vid sin revision av fastighetsbolaget har brustit i sina skyldigheter enligt penningtvättslagen.
Jfr 10 § andra stycket penningtvättsföreskrifterna.
Bygghandelsbolaget
Bygghandelsbolaget hade som verksamhetsändamål att bedriva joint-venture-projekt i Polen samt import och exporthandel mellan Sverige och Polen företrädesvis av trävaruprodukter och industriverktyg. Därtill bedrev bolaget konsultverksamhet, främst med inriktning på undersökningar av olika projekt för Polen.
I revisionsdokumentationen finns registreringsbevis för bolaget. Dessa är utskrivna åren 2012, 2018, 2019 och 2020. Det finns också en kopia av en identitetshandling för bolagets styrelseordförande och verkställande direktör. Kopian är odaterad, men det framgår att identitetshandlingen är utfärdad år 2018. Uppgiften om identitetskontrollen är i arbetsprogrammet daterad den 8 april 2022. På ett annat ställe i dokumentationen finns en anteckning, daterad den 29 mars 2021, om utförd identitetskontroll.
Det finns vidare en anteckning om att A-son kontrollerade uppgiften om verklig huvudman i Bolagsverkets register den 8 april 2022. Ett bilagt bevis från Bolagsverket om innehållet i registret om verkliga huvudmän är dock daterat först den 3 maj 2023.
Dokumentationen innehåller också en anteckning från den 8 april 2022 om att A-son hade kontrollerat förekomsten av personer i politiskt utsatt ställning enligt följande: ”Nej inga träffar i PEPregistret.” Kontrollen är inte dokumenterad på något annat sätt. A-son har tillfrågats om vilket register han sökte i och när kontrollen skedde.
A-son har i revisionsdokumentationen bedömt riskprofilen för bygghandelsbolaget som låg. Som skäl för detta har han angett att det inte fanns några större likvida medel i bolaget och att tillgången utgjordes av aktier i dotterbolag. I revisionsdokumentationen har A-son antecknat att bolagets verksamhet bedrivs antingen från företrädarens bostad i Sverige eller från Polen.
A-son har tillfrågats om när företrädarens identitet kontrollerades, när detta gjordes första gången och huruvida kontrollen skedde vid ett personligt möte eller på distans. Han har också har ombetts utveckla skälen till att han bedömde kundens riskprofil som låg.
A-son har uppgett följande.
Revisionsföretaget har haft bolaget som klient i 23 år och han träffar bolagets företrädare två till tre gånger per år. Han kontrollerade styrelseordförandens identitet under år 2022 vid ett personligt möte. Han vet inte när företrädarens identitet kontrollerades första gången, men det var länge sedan. Det finns inte någon ytterligare dokumentation av identitetskontroller utöver den som finns i revisionsdokumentationen.
Att anteckningen om kontrollen av verklig huvudman är daterad den 8 april 2022, medan utskriften från Bolagsverkets register är daterad den 3 maj 2023, kan förklaras av att han inte dokumenterade detta år 2022 utan först i maj 2023. Kontrollen av person i politiskt utsatt ställning skedde via gratisregister men han har inte någon dokumentation av detta. Kontrollen skedde emellertid under år 2022. Det hade också gjorts kontroller före år 2022. Även då hade han gått in på gratisregister. Inte heller dessa kontroller är dokumenterade.
Skälen till att han satte kundens riskprofil som låg är följande. Byggbolaget bedrev inte någon verksamhet. Det var dotterbolaget som beställde fönster och plywood från Polen efter det att svenska kunder hade gjort beställningar. Bolaget hade därmed inget varulager och följaktligen var försäljningarna säkra. Omsättningen varierade mycket över åren på grund av valutaförändringar. Bolaget befann sig i Polen för att kunna diskutera med leverantörerna. Detta utgjorde sammantaget en låg risk. Han skulle bedöma risken som ”normal” om valutakursen skulle förändras negativt från avtalstiden till leveransen.
Revisorsinspektionen gör följande bedömning.
Kravet på att en revisor ska skaffa sig grundläggande kännedom om sin kund gäller i princip redan i samband med att revisorn åtar sig ett uppdrag. Av utredningen framgår att A-son har varit bygghandelsbolagets revisor under ett stort antal år. I hans dokumentation finns inga uppgifter om att han kontrollerade identiteten hos bolagets företrädare förrän i mars 2021 och i april 2022. Han har i sitt yttrande till Revisorsinspektionen kortfattat uppgett att företrädarens identitet hade kontrollerats tidigare, men han har inte gjort denna uppgift sannolik. Revisorsinspektionen utgår därför från att en identitetskontroll kom till stånd först i mars 2021 (se den i avsnitt 2.1 återgivna bevisbörderegeln).
A-son har uppgett att han kontrollerade kundens verkliga huvudman i april 2022. Dokumentationen av denna kontroll – ett utdrag ur Bolagsverkets register över verkliga huvudmän – härrör dock från maj 2023. A-son har inte heller genom de uppgifter som han lämnat till Revisorsinspektionen gjort sannolikt att det förekommit en kontroll dessförinnan. Revisorsinspektionen drar av detta slutsatsen att den första kontrollen gjordes först i maj 2023, se den i avsnitt 2.1 återgivna bevisbörderegeln.
A-son har uppgett att han i april 2022 kontrollerade om någon bolagsföreträdare m.m. var person i politiskt utsatt ställning. Revisorsinspektionen godtar denna uppgift men – med tillämpning av den i avsnitt 2.1 återgivna bevisbörderegeln – inte hans allmänt hållna uttalanden om att sådana kontroller hade skett även tidigare.
Det som nu har sagts innebär att alla de tre typerna av kontrollåtgärder vidtogs alltför sent.
Härutöver anser Revisorsinspektionen att A-son inte hade grund för att bedöma kundrisken som låg. Inspektionen vill i denna del hänvisa till vad som har sagts ovan i anslutning till bedömningen av hans riskbedömning av fastighetsbolaget. Eftersom A-son som ett särskilt skäl till att bedöma kundrisken som låg har hänvisat till den ekonomiska säkerheten i den handel som bolagets dotterbolag bedrev, finns det anledning att framhålla att en sådan omständighet knappast är ägnad att påverka bedömningen av det slag av kundrisker som ska beaktas enligt penningtvättslagen.
Sammantaget finner Revisorsinspektionen att A-son har brustit i sina skyldigheter enligt penningtvättslagen.
4 Sammanfattande bedömning och val av disciplinär åtgärd
A-son har som ställföreträdare för ett revisionsföretag försummat sina skyldigheter enligt penningtvättslagen. Revisionsföretaget har inte upprättat någon sådan allmän riskbedömning som en verksamhetsutövare enligt penningtvättslagen är skyldig att göra. Det har även saknats dokumenterade interna rutiner och riktlinjer enligt penningtvättslagen. Avsaknaden av en allmän riskbedömning – tillsammans med avsaknaden av rutiner avseende åtgärder enligt penningtvättslagen – har medfört att A-son inte har haft förutsättningar för att i de enskilda uppdragen vidta de övriga åtgärder som penningtvättslagen förutsätter. Detta har bekräftats av att det inte har gjorts några välgrundade bedömningar av kundernas riskprofiler i de enskilda uppdragen. Därutöver har kundkännedomsåtgärderna i ett av uppdragen vidtagits för sent.
A-son har alltså i flera avseenden brustit i sina skyldigheter enligt penningtvättslagen. Han har därigenom åsidosatt sina skyldigheter som revisor och ska därför meddelas en disciplinär åtgärd. Skyldigheten för ett revisionsföretag att upprätta en allmän riskbedömning, rutiner och riktlinjer samt, för en revisor, att vidta och dokumentera kundkännedomsåtgärder och att sedan hålla uppgifterna uppdaterade, har funnits i många år och det måste krävas av en revisor att han eller hon håller sig väl informerad om vad som gäller i detta hänseende. I A-sons fall rör det sig om förhållandevis grundläggande och systematiska brister i fullgörandet av hans skyldigheter enligt regelverket mot penningtvätt. Den disciplinära åtgärden ska därför, med stöd av 32 § andra stycket revisorslagen, bestämmas till varning.
Revisorsinspektionen finner att det – mot bakgrund av bristernas omfattning – finns särskilda skäl för att, med stöd av 32 a § revisorslagen, förena varningen med en sanktionsavgift. Vid en överträdelse av penningtvättslagen gäller enligt 32 k § revisorslagen särskilda bestämmelser om sanktionsavgiftens storlek. Om det går att fastställa den vinst som har gjorts till följd av regelöverträdelsen, ska avgiften uppgå till högst två gånger denna vinst. I annat fall ska avgiften uppgå till högst ett belopp i kronor som motsvarar en miljon euro. Sanktionsavgiften ska enligt lagens förarbeten vara proportionell och avskräckande. När avgiften bestäms ska också de allmänna bestämmelserna om sanktionsavgifters storlek som finns i 32 d – 32 f §§ revisorslagen beaktas. Det innebär att avgiften ska stå i proportion till överträdelsens allvar, hur länge den har pågått och verksamhetsutövarens finansiella ställning och den vinst som har gjorts genom överträdelsen. I detta ligger, enligt Revisorsinspektionens bedömning, att det bör vägas in bl.a. vilka slag av företag som revisorn har granskat – varvid det finns anledning att se mer allvarligt på försummelser som avser större företag eller företag av allmänt intresse – och vilken omfattning som revisionsverksamheten har haft. När det är fråga om försummelser som inte kan antas vara uppsåtliga och som avser revisionen av ett fåtal mindre privata aktiebolag bör enligt Revisorsinspektionens mening sanktionsavgiften normalt bestämmas inom den nedersta delen av sanktionsskalan. Revisorsinspektionen anser vid en sammantagen bedömning att sanktionsavgiften för A-son bör bestämmas till 60 000 kr. Sanktionsavgiften tillfaller staten och ska betalas när beslutet vunnit laga kraft.
FARs kommentar
Revisorn har av RI:s tillsynsnämnd tilldelats en varning samt en sanktionsavgift till följd av omfattande och systematiska brister rörande skyldigheterna enligt penningtvättslagen. Dessa brister rör bl.a. avsaknaden av allmän riskbedömning samt rutiner och riktlinjer såväl som bristande kundkännedomsåtgärder och dokumentation avseende penningtvätt i de två kunduppdrag som granskades av tillsynsnämnden. Ärendet visar dels på skyldigheten att ha en allmän riskbedömning samt rutiner och riktlinjer på plats för att kunna göra korrekta kundriskbedömningar dels vikten av att noggrant och i tid vidta och dokumentera utförda kundkännedomsåtgärder. Revisorn hänvisar till att de inte har några egna rutiner eller riktlinjer, utan följer revisionsprogrammets mallar. FAR vill betona vikten av att revisionsbyråer och revisorer tar ett eget ansvar när det gäller regelefterlevnad, i detta fall avseende penningtvätt, och inte enbart förlitar sig på system eller mallar.