FAR har kommenterat detta disciplinärende. Kommentaren återges sist i ärendet.
Revisorsinspektionen ger godkände revisorn A-son en varning.
1 Inledning
Som ett led i arbetet mot penningtvätt och finansiering av terrorism har Revisorsinspektionen under år 2023, utifrån ett riskbaserat urval, gjort en riktad satsning på området inom ramen för inspektionens riskbaserade tillsynsverksamhet.
Revisorsinspektionen valde med anledning av detta ut A-son i egenskap av godkänd revisor samt ställföreträdare för ett revisionsföretag och öppnade därför detta tillsynsärende. A-son förelades inledningsvis att ge in revisionsföretagets allmänna riskbedömning samt rutiner och riktlinjer för åtgärder enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen), dokumentationen av företagets utbildning inom området penningtvätt och terrorfinansiering samt revisionsdokumentationen för två revisionsuppdrag. Det ena av dessa uppdrag avsåg ett bil- och maskinbolag och gällde revisionen av räkenskapsåret 2021-09-01–2022-08-31.
Detta har föranlett inspektionen att granska A-sons tillämpning av penningtvättsregelverket. Inspektionen har även granskat hans revision av intäktsredovisningen i det revisionsuppdrag som avsåg bil- och maskinbolaget.
Bil- och maskinbolagets årsredovisning för räkenskapsåret 2021/2022 upprättades med tillämpning av Bokföringsnämndens allmänna råd (BFNAR 2016:10) Årsredovisning i mindre företag (K2). A-son anmärkte i revisionsberättelsen på att årsredovisningen inte var upprättad i sådan tid att årsstämman kunde hållas inom sex månader från räkenskapsårets utgång. I övrigt var revisionsberättelsen utan modifieringar och upplysningar.
2 Åtgärder enligt penningtvättslagen
2.1 Revisionsföretagets allmänna riskbedömning
I revisionsdokumentationen finns ett förtryckt dokument rubricerat Kontroll mot penningtvätt. A-son hänvisar i sitt yttrande till detta dokument som revisionsföretagets allmänna riskbedömning. Dokumentet är indelat i tre delar.
Den första delen avser uppgifter om verksamhet, beräknad omsättning, hemvist, huruvida ägaren är en person i politiskt utsatt ställning och uppgifter om verklig huvudman. Det innehåller även uppgifter om när kontrollen utfördes och av vem.
I den andra delen som är rubricerad ”allmän riskbedömning (2 kap. 1 §)” finns åtta frågor som A-son har besvarat.
Kan de produkter och tjänster som tillhandahålls i verksamheten utnyttjas för penningtvätt. Nej, se kommentar.
Hur stor är risken att detta sker? (Låg/Medel/Hög) Låg
Vilka produkter och tjänster tillhandahålls? Revision, redovisningstjänster och viss skatterådgivning.
Vilka kunder har verksamheten? Se Visma Byråstöd.
Vilka distributionskanaler finns? Enbart lokalt producerade tjänster.
Finns det geografiska riskfaktorer? (Interagerar kunden med länder med högre risk) Nej
Bedömning: Föreligger det risk för penningtvätt, Ja/Nej: Nej
Bedöm riskprofilen för kunden, Låg/Medel/Hög: Låg, se kommentar.
Den tredje delen av dokumentet innehåller avsnittet ”riskbedömningen av kunden (2 kap. 3 §)”. A-son har här fyllt enligt följande.
Har kunden sin hemvist i ett EES land: (Ja/Nej) Ja
Är ägarstrukturen ovanlig för verksamheten: (Ja/Nej) Nej
Hanterar verksamheten kontanter: (Ja/Nej) Nej
Om Ja, i vilken omfattning av omsättningen:
Ägs företaget/aktierna direkt av ägaren: (Ja/Nej) Ja
Förvaltar verksamheten en fysisk persons tillgångar: (Ja/Nej) Nej, inte på det sättet jag tolkar lagen på dvs. att förvalta någon annans tillgångar.
Kan kundens identitet säkerställas: (Ja/Nej) Ej tillämpligt
Vem genomför betalningarna för kunden: N.N. genomför betalningarna
Bedömning: Föreligger det risk för penningtvätt: (Ja/Nej) Nej
I checklistan finns det en kommentar i vilken följande anges:
Om vi luras finns det en risk att de tjänster vi tillhandahåller hjälper till att dölja att en viss egendom har samband med brott. Trovärdigheten i de handlingar som lämnas till myndigheter som Skatteverket, Bolagsverket etc. ökar då de sker i tid, är fullständiga och framstår som trovärdiga.
Blir kunderna utsatta för påtryckningar – vilket är en situation vi inte kan påverka – bör märkas på ett förändrat beteende hos kunderna. Risken bedöms som låg då bolagen till största delen saknar omfattande kontanthandel, de branscher som förekommer inte bedömts som branscher med hög risk och personerna bakom företagen till övervägande del är kända sedan länge.
Byrån har inga kunder med ursprung från andra länder. Risken för att våra tjänster kan användas som en del i att samla eller vidarebefordra pengar eller annan egendom till en terroristorganisation bedöms som låg. De ut- eller inbetalningar som sker till eller från utlandet handlar om köp eller försäljning av maskiner eller inventarier alternativt köp av datorprogram. Den övervägande delen av betalningarna till utlandet går till andra EU-länder. Vi har inte observerat att några kunder gett uttryck för radikala politiska åsikter som kan kopplas samman med inhemska terroristorganisationer (typ NMR).
Samma förtryckta dokument som A-son har hänvisat till som sin allmänna riskbedömning har han använt i respektive kunduppdrag. Samtliga punkter i listan, dvs. även de som rör den allmänna riskbedömningen, har där fyllts i med utgångspunkt i den enskilda kundens uppgifter.
A-son har uppgett följande.
Han har utfört en allmän riskbedömning. Bedömningen av verksamheten görs löpande, senast den 3 april 2023. Den allmänna riskbedömningen genomförs av honom i egenskap av godkänd revisor och ägare av revisionsföretaget. Bedömningen dokumenteras genom att en individuell bedömning görs av var och en av de frågor som uppställs i handlingen Kontroll mot penningtvätt. Svaren skattas i form av Ja eller Nej, gradering utifrån risk (Låg/Normal/Hög) alternativt fritextsvar. Utöver den allmänna riskbedömning har även en riskbedömning enligt 2 kap. 3 § penningtvättslagen utförts där frågor om hemvist, ägarstruktur, kontanthantering, ägande, förvaltning av tillgångar, identitet, betalningsansvarig och en riskbedömning framgår. Både avsnittet avseende den ”Allmänna riskbedömningen” och ”Riskbedömning av kund” har ett förtryckt kommentarsfält i det fall det bedöms nödvändigt att avge ett mer utvecklat svar. För ökad läsbarhet har ett sammanfattande och mer utvecklat svar lämnats avseende båda dessa avsnitt. Bedömningen har genomförts enligt rutinbeskrivningen. Den allmänna riskbedömningen och den utförda riskbedömningen av verksamheten följer de krav som uppställs i penningtvättslagen. Av frågeformuläret i dokumentet följer att han i egenskap av verksamhetsutövare har beaktat vilka slags produkter och tjänster bolaget tillhandahåller, vilka kunder och distributionskanaler som finns och vilka geografiska riskfaktorer som föreligger i verksamheten.
Även omfattningen av den allmänna riskbedömningen torde vara tillräcklig. Han driver ett litet företag med ett fåtal anställda som tillhandahåller revisionstjänster till i huvudsak mindre lokala bolag av enklare karaktär, såsom lokala lantbruk, entreprenadföretag och hantverkare, utan koppling till utlandet. Därmed torde inte verksamhetens storlek och art i sig påkalla en mer omfattande riskbedömning än den som utförs enligt gällande rutiner. Inte heller bör omfattningen av den allmänna riskbedömningen påverkas utifrån de risker för penningtvätt eller finansiering av terrorism som kan antas föreligga. Som anges i den allmänna riskbedömningen består den största risken i att de kan bli lurade, dvs. att kunderna vilseleder dem genom att uppge felaktig information eller tillhandahåller falsifierade handlingar av olika slag. En sådan risk kan av naturliga skäl aldrig helt uteslutas. I denna del har de dock bedömt risken som låg, bl.a. med hänsyn till att bolagen till största delen saknar omfattande kontanthandel, att de branscher som förekommer inte bedömts som branscher med hög risk och att personerna bakom företagen till övervägande del är kända sedan länge. Revisionsföretaget har inga kunder med ursprung i andra länder och han har inte observerat att några kunder har gett uttryck för radikala politiska åsikter som kan kopplas samman med inhemska terroristorganisationer. Eftersom den allmänna riskbedömningen uppfyller både de formella och de ändamålsenliga krav som följer av penningtvättslagen och då den finns dokumenterad och utvärderas årligen, kan den på ett fullgott sätt ligga till grund för verksamhetens rutiner och riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism.
2.2 Revisionsföretagets rutiner och riktlinjer
A-son har gett in ett dokument med revisionsföretagets rutiner och riktlinjer avseende åtgärder mot penningtvätt och finansiering av terrorism. Av dokumentet kan utläsas att kontroll av kundens identitet kan ske genom identitetshandling som kopieras och sätts in i kundpärmen alternativt inhämtande av underlag från den redovisningsbyrå som förmedlar kontakten. Det framgår inte vilken grund A-son har ansett sig ha för att förlita sig på underlag som inhämtats av en redovisningsbyrå och som alltså inte grundar sig på revisionsföretagets egna kontroll av kundens identitet. Det framgår inte heller om han vid sådant inhämtande har vidtagit några egna kompletterande kundkännedomsåtgärder.
A-son har uppgett följande.
Revisionsföretaget samarbetar med ett fåtal redovisningsbyråer. De ansvariga redovisningskonsulterna är i flera fall certifierade av branschorganisationen Srf konsulterna. Kontakterna med byråerna etablerades mellan år 1990–2012 och han har personlig kännedom om de ansvariga redovisningskonsulterna och om deras kompetens och integritet. När bedömningen är att risken för penningtvätt är låg, kan förenklade åtgärder för kundkännedom som står i proportion till risken vidtas. Enligt instruktion från länsstyrelsen kan identiteten verifieras genom elektronisk legitimation eller genom kontroll av andra dokument och uppgifter från oberoende och tillförlitliga källor. Redovisningskonsulten agerar som deklarationsombud för bolaget mot Skatteverket och andra offentliga myndigheter och är även till övervägande del deklarationsombud för delägarna. Ombudsbehörigheten verifieras med bank-ID. Hans bedömning är att han kan förlita sig på underlag inhämtade från de redovisningskonsulter som han har en upparbetad och långvarig kontakt med avseende företrädarens identitet. Revisionsföretaget baserar inte sin kundkännedomsprövning enbart på uppgifter från den refererande redovisningsbyrån. Han arbetar på en liten lokal marknad. I de fall han inte har direkt eller indirekt personlig kundkännedom vidtar han alltid ytterligare kundkännedomsåtgärder. Informationen kan inhämtas på olika sätt, exempelvis via samtal med andra näringsidkare, redovisningskonsulter, rent skvaller osv. Därutöver kontrolleras tillgängliga offentliga register via sökning på allabolag.se där registrering för F-skatt och mervärdesskatt, eventuell koncernstruktur samt andra styrelseuppdrag för kunden framgår. Om något uppfattas som avvikande hämtas företagsuppgifter istället från Skatteverkets webbplats eller från Bolagsverkets näringslivsregister där uppgifter om näringsförbud eller konkurser framgår. En sökning görs även på internet och sociala medier efter bolaget och dess företrädare för att skapa en bredare bild av verksamheten.
2.3 Identitetskontroll (bil- och maskinbolaget)
I revisionsakten finns ett dokument avseende riskbedömning av kunden. Av detta kan utläsas att A-son tagit ställning till frågor som kundens hemvist, ägarstruktur, kontanthantering, ägande etc. När det gäller kundens identitet framgår det att han verifierade redovisningskonsultens rätt att agera ombud för kunden. Därtill antecknade han att han hade för avsikt att begära in identitetskopia från företrädaren ”vid tillfälle”. I revisionsakten finns inga sådana kopior. Det kan av underlaget inte utläsas om A-son gjorde en kontroll av företrädarens identitet vid något möte med denne. Dokumentationen innehåller inte heller någon beskrivning av de kundkännedomsåtgärder som redovisningskonsulten skulle ha vidtagit. Det framgår därför inte hur A-son ansåg sig ha uppnått den grundläggande kundkännedom som krävdes för att han skulle kunna åta sig uppdraget eller hur han senare uppdaterade sin kundkännedom för att kunna behålla uppdraget.
A-son har uppgett följande.
Han träffade kunden i mars 2023 i samband med överlämnandet av årsredovisningen. Det fanns dock inte kopieringsmöjligheter, eftersom mötet inte skedde på kontoret. Han känner bolagets företrädare sedan år 1997 och har varit revisor i hans bolag sedan dess. I och med detta saknades det anledning att kontrollera företrädarens identitet närmare i samband med mötet i mars. Kopior på identitetskort och körkort har han senare fått per post.
Bolagiseringen av den enskilda firman skedde 1997. Vid den tidpunkten arbetade han i ett registrerat revisionsbolag och följde de rutiner som var rådande där. Det innebar en rutinkartläggning av redovisningen, upprättandet av en översikt över bolagets interna kontroller, upprättande av strategi- och planerings-PM samt efter avslutad revision ett slutrevisions-PM. Kundkännedomen bibehölls därefter genom samtal och besök hos kunden samt genom samtal med den ekonomiansvariga och med redovisningskonsulten som hade upprättat bokslut och årsredovisningar.
2.4 Revisorsinspektionens bedömning
Tillämpliga bestämmelser
Auktoriserade och godkända revisorer är enligt 1 kap. 2 § 18 penningtvättslagen s.k. verksamhetsutövare och ska därmed följa lagens bestämmelser och de föreskrifter som har meddelats på området.
Ett revisionsföretag ska – såsom verksamhetsutövare i penningtvättslagens mening – enligt 2 kap. 1 § penningtvättslagen göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som finns. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna), som trädde i kraft den 1 januari 2022, ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism, och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.
Ett revisionsföretag ska vidare, enligt 2 kap. 8 § penningtvättslagen, ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Dessa ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism. I 4 § penningtvättsföreskrifterna anges att revisionsföretaget, på grundval av en riskbedömning, men minst en gång per år, ska utvärdera och vid behov uppdatera den allmänna riskbedömningen och sina rutiner och riktlinjer. Datum för utvärderingen och eventuell uppdatering ska dokumenteras.
Av 2 kap 3 § penningtvättslagen följer att en revisor ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden. Som omständigheter som kan tyda på att risken för penningtvätt eller finansiering av terrorism är hög kan revisorn, enligt 2 kap. 5 § 9 penningtvättslagen, beakta bl.a. att affärsrelationer sker på distans, utan användning av metoder som på ett tillförlitligt sätt kan säkerställa kundens identitet.
En revisor ska i enlighet med 3 kap. 4 § penningtvättslagen vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse. Han eller hon får enligt 3 kap. 1 § över huvud taget inte etablera eller upprätthålla en affärsförbindelse om revisorn inte har tillräcklig kännedom om kunden för att kunna hantera risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen, samt övervaka och bedöma kundens aktiviteter och transaktioner.
Av 3 kap. 7 § följer att en revisor ska identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska revisorn kontrollera den personens identitet och behörighet att företräda kunden. Behörigheten ska enligt 7 § penningtvättsföreskrifterna kontrolleras genom fullmakt, förordnande eller motsvarande behörighetshandling. Enligt samma bestämmelse ska revisorn vid identitetskontrollen av en juridisk person kontrollera aktuellt registreringsbevis, registerutdrag eller uppgifter från andra tillförlitliga och oberoende källor, samt bevara original eller kopia av den kontrollerade handlingen. Av dokumentationen ska det framgå när kontrollen har utförts. Såsom följer av 3 kap. 8 § penningtvättslagen ska revisorn utreda om kunden har en verklig huvudman. En sådan utredning ska avse åtminstone en sökning i det register över verkliga huvudmän som Bolagsverket för enligt lagen (2017:631) om registrering av verkliga huvudmän. Om kunden är en juridisk person, ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska revisorn vidta åtgärder för att kontrollera den verkliga huvudmannens identitet. Enligt 3 kap. 9 § penningtvättslagen ska kontrollen av kundens och den verkliga huvudmannens identitet slutföras innan en affärsförbindelse etableras.
Revisorn ska vidare, enligt 3 kap. 10 och 11 §§ penningtvättslagen, bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning samt om kunden är etablerad i ett så kallat högrisktredjeland. Av 3 kap. 13 § följer att revisorn även ska löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.
Av 3 kap. 21 § penningtvättslagen följer att en revisor vid tillämpningen av 3 kap. 7, 8 och 12 §§ får förlita sig på åtgärder som har utförts av en utomstående som anges i 3 kap. 22 § om revisorn utan dröjsmål får del av de uppgifter som den utomstående har inhämtat, och på begäran kan få del av den dokumentation som ligger till grund för uppgifterna. Revisorn svarar dock för att de åtgärder för kundkännedom som har vidtagits av utomstående är tillräckliga. De uppräknade verksamhetsutövarna i 22 § utgörs av fysiska eller juridiska personer med verksamhet som anges i 1 kap. 2 § första stycket 1–3, 5–8 och 10–15 penningtvättslagen samt auktoriserade eller godkända revisorer och advokater.
En revisor ska enligt 3 kap. 13 § penningtvättslagen löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism.
Av 9 § penningtvättsföreskrifterna följer att en revisor under pågående uppdrag, på grundval av en riskbedömning, men minst en gång per år, ska utvärdera kundkännedomen och kundens riskprofil samt vid behov uppdatera dessa. Enligt 5 kap. 3 § penningtvättslagen ska handlingar och uppgifter avseende åtgärder som har vidtagits för kundkännedom bevaras under fem år. Tiden ska räknas från det att, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde. Av dokumentationen ska framgå bl.a. vilka granskningsåtgärder som har utförts, vad dessa har omfattat samt när och hur granskningsåtgärderna har utförts (se 11 § penningtvättsföreskrifterna med hänvisning till 7 och 9 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet). Dokumentationen ska vara tydlig och strukturerad på ett överskådligt sätt. Den ska vara inriktad på väsentlig information men ändå så detaljerad att revisorns arbete kan bedömas i efterhand. Enligt 7 § penningtvättsföreskrifterna ska identitetskontroller av fysiska personer dokumenteras genom en kopia av den kontrollerade handlingen eller en anteckning av den kontrollerade handlingens nummer, giltighetstid och utfärdare.
Bedömningen i detta fall
A-son har skickat in ett dokument betecknat Kontroll mot penningtvätt vilket han har uppgett utgör revisionsföretagets allmänna riskbedömning. Revisorsinspektionen har därför att bedöma huruvida dokumentet kan anses innefatta en sådan allmän riskbedömning som penningtvättslagen och penningtvättsföreskrifterna kräver..
Uppgifterna som han har fyllt i för revisionsföretagets räkning rör bland annat person i politiskt utsatt ställning och vem den verkliga huvudmannen är. Trots att dokumentet har ett avsnitt rubricerat som ”allmän riskbedömning (2 kap. 1 §)” lämnar det endast knapphändig information om revisionsföretagets tjänster och identifierade hot och sårbarheter. Den information som har lämnats i form av svar innehåller inga motiveringar. Inte heller slutsatsen om att det är låg risk för att revisionsföretaget utnyttjas för penningtvätt har motiverats. Svaren är genomgående generiska och utvecklar inte de specifika omständigheterna i A-sons verksamhet. Avsnittet förefaller dessutom blanda in åsättandet av en kundriskprofil, trots att dettat inte är något som ska ingå i en allmän riskbedömning. Dokumentet innehåller sålunda ett avsnitt om ”riskbedömning av kunden (2 kap. 3 §)”. Dokumentet innehåller även en kortare analys, men inte heller denna ger en fullständig motivering till de svar som han har lämnat i checklistan avseende den allmänna riskbedömningen.
Den omständigheten att samma dokument har fyllts i för respektive kund, men då i ett kundperspektiv, indikerar att dokumentet i grunden utgör en mall för att hantera åtgärder enligt penningtvättslagen i enskilda kunduppdrag. Det sätt på vilket dokumentet är utformat och det sätt på vilket A-son har använt det tyder på att han har blandat ihop skyldigheten att göra en allmän riskbedömning med sin skyldighet att vidta kundkännedomsåtgärer och åsätta kundriskprofiler.
Omständigheterna tyder alltså på en bristande förståelse hos A-son för syftet med den allmänna riskbedömningen. Det dokument som han har hänvisat till som revisionsföretagets allmänna riskbedömning kan inte heller anses tillräckligt utförligt för att motsvara de krav som måste ställas på en sådan. Genom att i sin egenskap av revisionsföretagets företrädare underlåta att upprätta en ändamålsenlig allmän riskbedömning har han åsidosatt sina skyldigheter som revisor.
Av de rutinbeskrivningar och riktlinjer som A-son har gett in till Revisorsinspektionen framgår att kontroll av kundens identitet förutsattes kunna ske genom inhämtande av underlag från den redovisningsbyrå som hade förmedlat kontakten med kunden. A-son har som skäl för detta angett att han har personlig kännedom om de ansvariga redovisningskonsulterna, att de agerar som deklarationsombud för bolag mot olika offentliga myndigheter och att förenklade åtgärder för kundkännedom får vidtas vid låg risk. Han har tillagt att han i de fall då han inte har direkt eller indirekt personlig kundkännedom alltid vidtar ytterligare kundkännedomsåtgärder.
Revisorsinspektionen konstaterar att penningtvättslagen förvisso ger revisorer möjligheten att förlita sig på kundkännedom, inhämtad från andra verksamhetsutövare. Just redovisningskonsulter hör emellertid inte till de utomstående verksamhetsutövare vars åtgärder en revisor får förlita sig på. Revisionsföretagets rutinbeskrivningar och riktlinjer om hur kundens identitet kan kontrolleras är därför vilseledande. Det är inte heller tillräckligt att en identitetskontroll görs av redovisningskonsulten såsom ombud för kunden, eftersom revisorn då inte på egen hand kan säkerställa vem den faktiska kunden är.
A-son har alltså inte försäkrat sig om att revisionsföretaget har rutiner och riktlinjer som är förenliga med penningtvättslagen, något som han i egenskap av företrädare för revisionsföretaget varit skyldig att göra. Han har därigenom åsidosatt sina skyldigheter som revisor.
I revisionsdokumentationen för bil- och maskinbolaget finns inga kopior på identitetskort. Vad gäller kundens identitet har han dokumenterat att han verifierade redovisningskonsultens rätt att agera ombud för kunden. Han antecknade också att han hade för avsikt att begära in kopia av företrädaren identitetskort för bolaget ”vid tillfälle”. Han har i yttrande till Revisorsinspektionen uppgett att han kände bolagets företrädare sedan år 1997 då han åtog sig uppdraget som bolagets revisor. I och med detta saknades det enligt hans mening anledning att kontrollera företrädarens identitet i samband med överlämnandet av årsredovisningen år 2023. De identitetskort och körkort som har fogats till dokumentationen har inkommit under Revisorsinspektionens utredning.
Mot bakgrund av att affärsförbindelsen ingicks innan penningtvättslagen trädde i kraft ska A-son i detta sammanhang inte klandras för sitt agerande vid etableringen av kundrelationen. Efter penningtvättslagens ikraftträdande har han dock haft en skyldighet att fortlöpande säkerställa att den kundkännedom som han har är tillräcklig och aktuell. Som ovan har konstaterats är en identitetskontroll, utförd av en redovisningskonsult, inte tillräcklig för att A-son ska anses ha upprätthållit den kundkännedom som han var skyldig att ha. Det har inte heller framkommit några speciella omständigheter som medförde att han ägde förlita sig enbart på åtgärder som hade vidtagits av redovisningskonsulten. Något sådant underlag från redovisningskonsulten har för övrigt inte ingått i A-sons revisionsdokumentation. I stället skulle han ha företagit en egen identitetskontroll. Genom att inte göra det har han brustit i sin skyldighet enligt penningtvättslagen.
3 Intäktsredovisning (bil- och maskinbolaget)
Nettoomsättningen i bil- och maskinbolaget redovisades i årsredovisningen för det aktuella räkenskapsåret till 17 mnkr. Bolagets resultat före skatt uppgick till 208 tkr. A-son satte det övergripande väsentlighetstalet till 450 tkr och arbetsväsentligheten till 360 tkr. I huvudsak bestod omsättningen av varuförsäljning i form av jord- och skogsbruksmaskiner. Enligt dokumentet Riskbedömning av generell karaktär skedde försäljningen främst genom auktionssidor.
Av dokumentationen av A-sons förståelse för företaget och dess miljö framgår att det hade identifierats risk för oegentligheter i intäktsredovisningen. Av en anteckning framgår att han bedömde att risken för oegentligheter var reducerad, eftersom motparterna främst var företagare som måste ha fakturor för att få avdragsrätt samt att kontantaffärer förekom i liten omfattning.
Av arbetsprogrammet Övergripande analytisk granskning av årsredovisningen framgår att intäkterna granskades genom bruttovinstanalys och att årets bruttovinstmarginal då jämfördes med genomsnittet av de senaste fyra årens plus aktuellt års bruttovinstmarginal. Den avvikelse som uppstod sattes i relation till hälften av det beräknade arbetsväsentlighetstalet. Bruttovinstmarginalen hade, enligt dokumentationen, för åren 2018–2022 varierat mellan 15 och 22 procent i det genomsnitt som räknats fram och som i dokumentationen benämns prognos samtidigt som omsättningen hade varierat mellan 11 och 17 mnkr.
A-sons slutsats var att intäktsredovisningen kunde accepteras.
3.1 Revisorns uppgifter
A-son har uppgett följande.
Vid bedömningen av risken för oegentligheter i intäktsredovisningen sattes acceptabel avvikelse för bruttovinsten till halva arbetsväsentlighetstalet jämfört med prognos. Avvikelsen understeg arbetsväsentlighetstalet och intäktsredovisningen kunde därför accepteras.
Därutöver verifierades bruttovinsten – och därigenom indirekt även intäktsredovisningen – genom varulagergranskningen där marknadsvärdet (reducerat med försäljningskostnader) enligt auktionssidor och företagets värdering visade en kalkylerad bruttovinst som överensstämde med utfallet med en mindre avvikelse.
3.2 Revisorsinspektionens bedömning
Intäktsredovisningen är normalt ett väsentligt granskningsområde som revisorn har anledning att ägna särskild uppmärksamhet. I förevarande fall hade A-son identifierat risk för oegentligheter samtidigt som intäkterna var väsentliga. Han hade därför anledning att ägna posten särskild uppmärksamhet.
Av dokumentationen framgår att intäkterna granskades genom analytisk granskning av bruttovinstmarginalen. Det framgår också att A-son kom till slutsatsen att intäktsredovisningen kunde accepteras, eftersom avvikelsen inte översteg halva arbetsväsentligheten. Det finns inga uppgifter om att han utförde någon ytterligare granskning av bolagets intäkter.
Enligt International Standard on Auditing (ISA) 330 Revisorns hantering av bedömda risker p. 21 ska revisorn, när han eller hon har fastställt att en bedömd risk för väsentliga felaktigheter på påståendenivån är en betydande risk, utföra substansgranskning med särskild inriktning på den risken. När revisorn hanterar en betydande risk enbart genom substansgranskning, ska granskningen – enligt samma punkt – innefatta detaljgranskning.
Av ISA 520 Analytisk granskning p. 5 framgår att en revisor vid utformningen och utförandet av substansinriktad analytisk granskning bl.a. ska avgöra hur passande en viss substansinriktad granskning är. Användningen av planerad analytisk granskning bygger på antagandet att det finns bestående samband mellan olika komponenter om det inte finns belägg för motsatsen (A.6). Beräkning och jämförelse av bruttovinstmarginaler som metod för att bekräfta en uppgift om försäljningsintäkter kan utgöra mindre övertygande bevis men ändå ge användbart underlag, om metoden används i kombination med andra granskningsåtgärder. Enligt A-sons revisionsdokumentation framstår det i detta fall som att bruttovinstmarginaler och försäljningsintäkter hade varierat väsentligt mellan åren. De kan därför inte sägas ha varit bestående. Han borde därför ha utfört andra kompletterande granskningsåtgärder. Några sådan granskningsåtgärder utfördes dock inte.
Enligt Revisorsinspektionens bedömning genomfördes alltså inte den analytiska granskningen på ett sådant sätt att den ensam gav rimlig säkerhet avseende intäktsredovisningens riktighet och fullständighet.
Mot denna bakgrund hade A-son inte heller grund för att tillstyrka ett fastställande av bolagets resultat- och balansräkningar. Genom att ändå göra det har han åsidosatt god revisionssed.
4 Sammanfattande bedömning och val av disciplinär åtgärd
A-son har som ställföreträdare för ett revisionsföretag försummat sina skyldigheter enligt penningtvättslagen. Han har sålunda försummat att tillse att revisionsföretaget upprättade en sådan allmän riskbedömning som en verksamhetsutövare enligt penningtvättslagen ska upprätta. Han har inte heller försäkrat sig om att revisionsföretagets interna rutiner och riktlinjer för kontroll av kundens identitet var tillräckliga. Han har dessutom, vid fullgörandet av ett revisionsuppdrag, försummat att kontrollera identiteten hos kundens ställföreträdare på det sätt som penningtvättslagen föreskriver. Han har därigenom åsidosatt sina skyldigheter enligt penningtvättslagen.
Därtill har hans granskning av intäkterna i bil- och maskinbolaget varit bristfällig. Bristerna har varit sådana att han inte haft grund för att tillstyrka fastställandet av bolagets resultat- och balansräkning. Genom att ändå göra det har han åsidosatt god revisionssed.
A-son har i nu nämnda avseenden åsidosatt sina skyldigheter som revisor och ställföreträdare för revisionsföretag och han ska därför meddelas en disciplinär åtgärd. Det som läggs honom till last är allvarligt och han ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), ges en varning.
FAR:s kommentar
Ärendet avser både åtgärder enligt penningtvättslagen och granskning av intäkter. FAR kommenterar här endast delen om granskning av intäkter.
Granskningen av intäkter har enligt beskrivningen av ärendet endast granskats genom analytisk granskning av bruttovinstmarginalen trots att risken i intäkter bedömts som betydande. FAR kan notera att RI även i andra ärenden påtalat brister i granskning av intäkter. Analys av bruttovinster kan utgöra en del av granskningen av intäkter men att den i normalfallet behöver kompletteras med ytterligare granskningsåtgärder (granskning av kontroller och/eller test av detaljer).