FAR har kommenterat detta disciplinärende. Kommentaren återges sist i ärendet.
Beslut: Revisorsinspektionen ger det registrerade revisionsbolaget A-bolaget en varning förenad med en sanktionsavgift på 250.000 kr.
1 Inledning
Revisorsinspektionen har underrättats om att det registrerade revisionsbolaget A-bolaget (nedan A-bolaget) har underkänts i FAR:s kvalitetskontroll och har därför öppnat detta ärende.
I ärendet behandas frågan om A-bolaget uppfyllt sina skyldigheter enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).
2 Penningtvättsregelverket
Registrerade revisionsbolag (nedan revisionsbolag) är enligt 1 kap. 2 § 18 penningtvättslagen s.k. verksamhetsutövare enligt lagen och har därmed en skyldighet att följa lag och föreskrifter på området.
Allmän riskbedömning
Verksamhetsutövare ska enligt 2 kap. 1 § penningtvättslagen göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som är för handen. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsbolagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.
Rutiner och riktlinjer
Enligt 2 kap. 8 § penningtvättslagen ska en verksamhetsutövare ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Rutinerna och riktlinjerna ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism.
Kundens riskprofil
En verksamhetsutövare ska enligt 2 kap. 3 § penningtvättslagen bedöma den risk för penningtvätt och finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och verksamhetsutövarens kännedom om kunden. Lagen förutsätter att verksamhetsutövaren vidtar åtgärder för att skaffa sig kundkännedom (se närmare 3 kap. 7–13 §§). Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.
Om en verksamhetsutövare är anställd hos en juridisk person, är det enligt 2 kap. 16 § den juridiska personen – i det här fallet revisionsbolaget – som ansvarar för att kraven i penningtvättslagen avseende allmän riskbedömning samt rutiner och riktlinjer uppfylls.
3 Åtgärder enligt penningtvättsregelverket
Eftersom A-bolaget är ett registrerat revisionsbolag, är det en verksamhetsutövare i penningtvättslagens mening. Revisorsinspektionen utövar därför tillsyn över att bolaget tillser att verksamhet som omfattas av penningtvättslagen utövas enligt lagens regler. Vid A-bolaget arbetade vid tidpunkten för den senaste årsstämman 16 personer. Några av dessa var auktoriserade revisorer1 som i huvudsak arbetade med revisionsverksamhet. Den övriga personalen hade arbetsuppgifter inom revision, redovisning och skatt. Också den verksamhet som dessa personer utför omfattas av penningtvättslagen. Det ankommer på Revisorsinspektionen att vid utövandet av tillsyn över A-bolaget beakta om bolaget fullgör sina skyldigheter enligt penningtvättslagen även i den verksamhet som inte utgör revisionsverksamhet (se 3 a § revisorslagen, [2001:883]).
Fram till årsskiftet 2023/2024 arbetade två auktoriserade revisorer i bolaget. Sedan början av år 2024 har ytterligare en auktoriserad revisor anställts.
3.1 Allmän riskbedömning
Vid tidpunkten för kvalitetskontrollen, som genomfördes hösten 2022, saknade A-bolaget en allmän riskbedömning. I april 2023 skickade revisionsbolaget in en sådan till FAR och uppgav följande.
De påbörjade arbetet med framtagandet av en allmän riskbedömning i samband med att de nya reglerna genomfördes. De samlade in information från diverse publikationer och uppgifter som lämnades vid FAR:s utbildningsdagar, men höll inte detta i ordnad form. De hade en sorts kartotek med lösa blad på respektive område och kompletterade uppgifterna allt eftersom. De var inte medvetna om de stränga formella krav som ställs i detta hänseende. Vid kvalitetskontrollantens besök blev de medvetna om kraven och sammanställde därefter uppgifterna samlat i en följd. De har sedan dess uppdaterat dokumentet.
Revisorsinspektionen gör följande bedömning.
A-bolaget hade vid tidpunkten för kvalitetskontrollen, hösten 2022, inte gjort någon sådan allmän riskbedömning som en verksamhetsutövare enligt 2 kap. 1 § penningtvättslagen är skyldig att göra och dokumentera. Framtagandet av enskilda kunders riskprofiler ska utgå från de riskindikatorer som har identifierats vid den allmänna riskbedömningen och bedömningen ska även ligga till grund för revisionsbolagets interna rutiner och riktlinjer enligt penningtvättslagen. Den är också en av förutsättningarna för att bolagets anställda ska kunna bedöma och hantera riskerna i enskilda uppdrag. Avsaknaden av en allmän riskbedömning står i strid med lag och A-bolaget har genom att, fram till hösten år 2022, underlåta att upprätta en sådan åsidosatt sina skyldigheter enligt penningtvättslagen. Att bolaget efter kontrollantens besök har upprättat en allmän riskbedömning föranleder ingen annan bedömning.
3.2 Rutiner och riktlinjer
A-bolaget har av Revisorsinspektionen förelagts att ge in sina rutiner och riktlinjer enligt penningtvättslagen. Bolaget har som svar på detta gett in och hänvisat till bolagets numera upprättade (jfr avsnitt 3.1) allmänna riskbedömning, revisionsprogrammet samt dokumentet Handling förståelse av företag. Den allmänna riskbedömningen anger att varje kund ska tilldelas en riskprofil och anger kriterier att ta hänsyn till när detta görs, men innehåller i övrigt inga rutiner. Revisionsprogrammet består av mallar som kan fyllas i. Dokumentet Handling förståelse av företag består av 19 rubriker2 under vilka en beskrivning och bedömning av risk ska lämnas.
A-bolaget har under ärendets utredning gett in ett dokument rubricerat Intern kontroll för A-bolaget. Dokumentet, daterat den 17 oktober 2022, består av åtta punkter som berör bl.a. oberoende och klagomål. I en av punkterna anges följande.
Medarbetaren är medveten om reglerna och företagets rutiner för att förhindra penningtvätt och terrorism. Vid iakttagelser skall omgående kontakt tas med någon av revisorerna på byrån.
Ytterligare ett dokument, utan datering, med rubriken Vad behöver man veta ang övervakning av penningtvättslagen har getts in under utredningen. Dokumentet består av en halv sida med fem punkter:
Identifiera verklig huvudman Det första steget är att ta reda på vilka personer som står bakom kunden. Det som krävs är att ta reda på verklig huvudman, dvs. den som kontrollerar mer än 25% av bolaget samt vilka som företräder bolaget och sitter i styrelsen.
Verifiera kundens identiteter När man har identifierat dessa personer måste du först ta reda på att det verkligen är dessa individer man har att göra med.
Screening och kontroll mot sanktions och PEP-listor När personerna är identifierade måste du göra en första kontroll mot sanktions- och PEP (politiskt exponerade personer) Vid PEP-matchning åläggs krav på ytterligare undersökningar.
Löpande kontrollen 2 ggr/år. Kontrollerna mot Bolagsverket och UC sanktions- och PEP.
En verksamhetsutövare skall även årligen göra en allmän riskanalys av den egna verksamheten samt löpande utbilda sin personal på Penningtvättslagen. Detta sker vid utvecklingssamtalen varje år.
Utbilda sin personal då penningtvättslagen kräver att man utbildar sin personal kring grunderna i regelverket. Din personal kan själv utbilda sig online och genomföra tester för att hålla sig utbildade. Mycket av den riskbedömning som lagen kräver gör man som verksamhetsutövare själv genom att ta ställning, utreda och hålla sig uppdaterad. Till stöd för att underlätta arbetet finns riskbedömningsmallar som bygger på generella rekommendationer och krav i Penningtvättslagen, men också utifrån branschstandarder.
Löpande övervakning och rapportering. Vid varje måndagsmöte gå igenom med personalen punkterna löpande övervakning och rapportering.
A-bolaget har uppgett följande.
De har, utöver de kontrollfunktioner som finns i revisionsprogrammet, ett internt dokument som de går igenom med sin personal årsvis i samband med utvecklingssamtalen. Hela deras personal har deltagit internt vid genomgång av penningtvättsutbildningen som FAR har tillhandahållit digitalt. De har även haft en genomgång med ett externt företag3. Utöver detta har de haft interna genomgångar vid sina årliga konferenser. Deras bedömning är att personalen känner till regelverket och är medvetna om vart de ska vända sig vid eventuella iakttagelser och funderingar. Det har varit två kvalificerade revisorer på byrån som går igenom samtliga uppdrag innan officiella handlingar skickas till myndighet.
Revisorsinspektionen gör följande bedömning.
Som redogjorts för i avsnitt 2 ska en verksamhetsutövare ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Ett revisionsbolags rutiner och riktlinjer på penningtvättsområdet måste vara anpassade efter de riskindikatorer som har identifierats i den allmänna riskbedömningen. Det innebär bl.a. att ett revisionsbolag inte kan nöja sig med att tillhandahålla checklistor och liknande riktlinjer som har upprättats av utomstående och som inte tar hänsyn till det specifika revisionsbolagets förhållanden.
Det framgår inte av penningtvättslagen hur ett revisionsbolags rutiner ska vara utformade. Revisorsinspektionen konstaterar emellertid att det enda ingivna dokument som, utan att vara en del av revisionsprogrammet, listar några åtgärder enligt penningtvättslagen är det som A-bolaget har uppgett att man går igenom med personalen vid de årliga medarbetarsamtalen. Det framgår inte av bolagets yttranden om dokumentet också är tillgängligt för personalen vid andra tillfällen, men formuleringarna i dokumentet, framför allt punkterna 4 och 5, tyder på att det vänder sig till bolagets chefer.
Dokumentet behandlar i punkten 1 identifieringen av kundens verkliga huvudman men nämner inget om den lagstadgade kontrollen i Bolagsverkets register. Det anges inte heller när kontrollen senast ska vara utförd och dokumenterad. Verifieringen av fysiska personers identitet behandlas i punkten 2 men det anges inte hur eller när dessa kontroller ska utföras eller dokumenteras. Det omnämnds inte heller hur identitetskontrollen av kunden – dvs. den juridiska personen – ska gå till.
I punkten 3 behandlas screening mot sanktions- och ”PEP-listor”. Det anges inte var dessa listor finns. Det anges endast att medarbetaren vid en ”PEP-matchning” måste vidta ytterligare åtgärder, utan att det anges vilka dessa är.
Dokumentet behandlar exempelvis inte rutiner för kontroll av behörighet, åtgärder om kunden inte har en verklig huvudman, kontroll av koppling till högrisktredjeland, skärpta åtgärder för kundkännedom, övervakning, åtgärder vid misstankar samt rapportering till finanspolisen.
Bolagets rutiner måste mot den nu angivna bakgrunden betecknas som bristfälliga.
Revisorsinspektionen finner att revisionsbolaget genom dessa brister i rutinerna har åsidosatt sina skyldigheter enligt penningtvättslagen.
2 Exempel på rubriker är Allmänna samhällsekonomiska faktorer, Branschen – viktiga förhållande som påverkar företagets affärer och Företagsledning och ägande - viktiga karakteristika.
Företaget erbjuder enligt sin webbplats ”verktyg för penningtvättskontroller, KYC och riskbedömningar enligt penningtvättslagen” [Revisorsinspektionens kom.].
4 Sammanfattande bedömning och val av disciplinär åtgärd
A-bolaget hade vid tidpunkten för kvalitetskontrollen inte gjort någon sådan allmän riskbedömning som en verksamhetsutövare enligt 2 kap. 1 § penningtvättslagen är skyldig att göra och dokumentera.
Avsaknaden av en allmän riskbedömning fram till hösten 2022 – tillsammans med bristen på tillräckliga rutiner avseende åtgärder enligt penningtvättslagen – har medfört att A-bolagets anställda inte har haft förutsättningar för att i de enskilda uppdragen vidta de övriga åtgärder som penningtvättslagen förutsätter. Dessa förhållanden har tillsammans medfört en väsentligt ökad risk för att revisionsbolagets tjänster skulle användas som ett led i att genomföra eller dölja penningtvätt eller finansiering av terrorism.
Sammantaget visar utredningen att A-bolaget i detta och andra avseenden har brustit i sina skyldigheter enligt penningtvättslagen. A-bolaget har därigenom åsidosatt god revisorssed och ska därför meddelas en disciplinär åtgärd.
Det rör sig om förhållandevis grundläggande och systematiska brister vid tillämpningen av regelverket mot penningtvätt. Bristerna har förelegat under en längre tid, av allt att döma åtminstone sedan nuvarande penningtvättslag trädde i kraft år 2017. Den disciplinära åtgärden ska därför, med stöd av 32 § andra stycket och 34 § revisorslagen, bestämmas till varning.
Vid en samlad bedömning anser Revisorsinspektionen att det finns särskilda skäl för att, med stöd av 32 a § revisorslagen, förena varningen med en sanktionsavgift. Vid en överträdelse av penningtvättslagen gäller enligt 32 k § revisorslagen särskilda bestämmelser om sanktionsavgiftens storlek. Om det går att fastställa den vinst som har gjorts till följd av regelöverträdelsen, ska avgiften uppgå till högst två gånger denna vinst. I annat fall ska avgiften uppgå till högst ett belopp i kronor som motsvarar en miljon euro. Sanktionsavgiften ska enligt lagens förarbeten vara proportionell och avskräckande. När avgiften bestäms ska också de allmänna bestämmelserna om sanktionsavgifters storlek som finns i 32 d – 32 f §§ revisorslagen beaktas. Det innebär att avgiften ska stå i proportion till överträdelsens allvar, hur länge den har pågått och verksamhetsutövarens finansiella ställning samt den vinst som har gjorts eller de kostnader som har undvikits genom överträdelsen. Det är också naturligt att väga in i vilken grad försummelserna har äventyrat syftena bakom regleringen i penningtvättslagen.
Den eventuella vinst som A-bolaget kan ha gjort till följd av den bristande efterlevnaden av penningtvättslagens krav går inte att fastställa. Revisorsinspektionen har därför att fastställa sanktionsavgiften till ett belopp i kronor motsvarande högst en miljon euro (med dagens kurs ca 11,3 mnkr).
I detta fall beaktar Revisorsinspektionen – utöver bristernas art – att den verksamhet som A-bolaget har bedrivit har varit förhållandevis omfattande; omsättningen i bolaget var 22 mnkr under räkenskapsåret 2022/23 och bolaget hade under räkenskapsåret i genomsnitt 16 anställda. Även det förhållande att bristerna har förekommit under flera år talar för att sanktionsavgiften bör bestämmas till ett kännbart belopp. I förmildrande riktning bör dock beaktas att A-bolaget nu av allt att döma har vidtagit åtgärder för rättelse.
Vid fastställandet av sanktionsavgiften bör vidare beaktas att A-bolagets finansiella ställning framstår som god med en soliditet om 71 procent.
Revisorsinspektionen anser vid en sammantagen bedömning av bristernas art, verksamhetens omfattning och bolagets finansiella ställning att sanktionsavgiften bör bestämmas till 250.000 kr. Sanktionsavgiften tillfaller staten och ska betalas när beslutet har vunnit laga kraft.
FARs kommentar
Efter underrättelse om att det registrerade revisionsbolaget underkänts i FAR:s kvalitetskontroll har RI öppnat ett tillsynsärende rörande efterlevnaden av Lag (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (PTL). Vid kvalitetskontrollen framkom att bolaget helt saknade en allmän riskbedömning.
RI förelade bolaget att inkomma med sina rutiner och riktlinjer enligt PTL. De dokument som har ingetts av bolaget har bedömts bristfälliga. RI bedömde att avsaknaden av en allmän riskbedömning och de bristande rutinerna uppvisade grundläggande och systematiska brister under en längre tid vid tillämpningen av PTL, mest troligt sedan lagens tillkomst 2017, och att detta har medfört en väsentligt ökad risk för att bolagets tjänster skulle kunna användas som ett led i att genomföra eller dölja penningtvätt eller finansiering av terrorism. bolagets verksamhet har dessutom varit relativt omfattande med i snitt 16 personer anställda under räkenskapsåret 2022/23. RI utdömde en varning samt en sanktionsavgift på 250.000 kr, den näst högsta hittills, för ett registrerat revisionsbolag.