Beslut: Revisorsinspektionen ger godkände revisorn A-son en varning.
1 Inledning
Som ett led i arbetet mot penningtvätt och finansiering av terrorism gjorde Revisorsinspektionen under år 2023, utifrån ett riskbaserat urval, en riktad satsning på området inom ramen för den riskbaserade tillsynsverksamheten.
Revisorsinspektionen valde med anledning av detta ut A-son i hans egenskap av godkänd revisor samt ställföreträdare för ett revisionsföretag.
A-son förelades inledningsvis att ge in dels revisionsföretagets allmänna riskbedömning, dels företagets rutiner och riktlinjer för åtgärder enligt penningtvättslagendels dokumentationen av företagets utbildning inom området penningtvätt och terrorfinansiering och dels revisionsdokumentationen för två revisionsuppdrag som avsåg räkenskapsåret 2022.
2 Utredningen i ärendet
2.1 Allmän riskbedömning
Revisorsinspektionen har tagit del av dokumentet Årlig utvärdering och uppdatering av den allmänna riskbedömningen. Dokumentet, som är daterat den 20 december 2022, omfattar två sidor.
Dokumentet innehåller en detaljerad beskrivning av A-sons kundstock. Det anges vidare att de enda tjänster som tillhandahålls är revision och revisionsnära tjänster.
I dokumentet anges därutöver att revisionsföretaget under december 2021 införde utökade rutiner och instruktioner om hur penningtvättslagens krav på åtgärder ska uppfyllas. Enligt dokumentet ska A-son och hans medarbetare årligen kontrollera verklig huvudman, etablering i högriskland och PEP.1 Det anges också att det i samband med bokslutsrevision ska ske en kundutvärdering med bedömning av kundriskprofil.
I dokumentet görs bedömningen att risken för att revisionsföretagets tjänster ska utnyttjas som ett led i penningtvätt eller finansiering av terrorism är låg. Bedömningen anges vara baserad på att A-son har en stabil kundkrets, att han träffar företrädarna för kunderna minst en gång per år och att han i flera år har arbetat med många av de redovisningsbyråer som kunderna anlitar.
A-son har uppgett följande.
Han anser inte att risken för penningtvätt och finansiering av terrorism i revisionsföretagets verksamhet är låg; risken bedöms som normal. Han upptäckte detta fel i den allmänna riskbedömningen när han genomförde den årliga utvärderingen den 4 januari 2024.
Det som har legat till grund för riskbedömningen är att:
Revisionsföretaget håller tillräcklig kvalitet i sina revisioner.
Han och personalen har tillräcklig kunskap om de lagar och regler som gäller.
IT-säkerheten är tillräcklig.
Revisionsföretaget har en tillräcklig ekonomi.
Tystnadsplikten följs.
Revisionsföretagets första allmänna riskbedömning upprättades år 2019. Därefter har den uppdaterats årligen kring jul och nyår.
Person i politiskt utsatt ställning.
2.2 Rutiner och riktlinjer
Revisorsinspektionen har tagit del av dokumentet Instruktion gällande penningtvätt och finansiering av terrorism för [Revisionsföretaget]). Dokumentet är daterat den 12 december 2021.
I instruktionen hänvisas till arbetsgången för planering i revisionsföretagets revisonsverktyg med tillhörande stöddokument.2 Där anges också att giltig ID-handling ska begäras för samtliga kunder. I en lista anges vilka ID-handlingar som normalt accepteras av banker och inom handeln. När det gäller e-legitimationer innehåller dokumentet en hänvisning till en webbplats som inte längre existerar.
Vidare anges i instruktionen att det i samband med planeringen ska inhämtas information om styrelse, adress och aktiekapital. Det anges också att funktionen i revisionsprogrammet för digital inlämning av årsredovisning ska användas och att det i denna finns en kontrollfunktion mot Bolagsverket avseende ändringar.
I instruktionen anges vidare att verklig huvudman ska kontrolleras mot Bolagsverkets register och att en utskrift ska göras och stämmas av mot respektive kunds aktiebok och eventuell koncernstruktur. Om uppgifterna i registret inte stämmer, ska kunden kontaktas och ombes att omedelbart uppdatera dessa.
Dokumentet innehåller också hänvisningar till länsstyrelsens allmänna råd (utan angivande av län och författningsnummer), FAR:s EtikU 11 (utan versionsuppgift) och FAR:s Handledning för att uppnå kundkännedom (omarbetad enligt 2017 års penningtvättslag i juni 2018). Det innehåller vidare en lista över 23 länder som uppges vara högriskländer enligt EU.
A-son har uppgett följande.
Enligt FAR:s EtikU 11 p. 9.3 ska rutinerna och riktlinjernas omfattning och innehåll bestämmas med hänsyn till verksamhetsutövarens storlek, art och de risker som identifierats i den allmänna riskbedömningen. Risken har bedömts vara normal och fram tills nu har inget indikerat att revisionsföretaget skulle ha utnyttjats i penningtvättssyfte eller för finansiering av terrorism. Det är ett väldigt litet revisionsföretag som inte tar in nya kunder om det inte finns en tidigare affärsrelation.
Han utvärderar instruktionen de gånger frågor uppstår och skriver då förtydliganden i kanten. Men det har inte skett att han har satt sig och bestämt att instruktionen ska utvärderas.
Listan över högriskländer uppdateras i samband med den årliga utvärderingen av den allmänna riskbedömningen. Sedan kontrollerar han också listan vid varje tillfälle som ett land som han är osäker på kommer på tal.
Revisionsföretaget har tillräcklig dokumentation av rutiner och riktlinjer för rapportering till finanspolisen. De anställda arbetar i ett standardiserat revisionsprogram och följer den arbetsprocess som finns i detta. Om det är en assistent som upprättar planeringen går han igenom planeringen och penningtvättsdokumentationen, och det är också han som gör bedömningar om misstanke om brott i steget för slutförande och rapportering.
Eftersom de arbetar enligt processerna i revisionsverktyget för varje kund, går det inte att missa efterlevnad.
Excel-dokument för kundutvärdering och revisorns prövning enligt penningtvättslagen.
2.3 Utbildning
I det dokument om utbildning, daterat den 10 november 2023, som har getts in till Revisorsinspektionen under ärendets utredning anges att den utbildning som har genomförts består i att läsa och gå igenom dokument på branschorganisationens medlemswebbplats och i revisionsverktyget. Det anges också att eftersom A-son är ensam påskrivande revisor i revisionsföretaget har han även haft mycket utbyte med andra revisorer och revisionsföretag, dock att han inte kan uttrycka omfattningen i timmar.
I utbildningsdokumentet anges vidare att de dokument som revisionsföretaget använder är FAR:s EtikU 11, FAR:s Handledning för att uppnå kundkännedom och FAR:s RevU 14 Revisorns åtgärder vid misstanke om brott respektive penningtvätt.
Till dokumentet är bilagt dels en skärmbild från revisionsverktyget som visar arbetsprocessen för planering av uppdraget med tillhörande bilagor och stöddokument, dels en utskrift av EtikU 11 från oktober 2018 och dels FAR:s handledning för att uppnå kundkännedom enligt den omarbetning som gjordes i juni 2018.
A-son har uppgett följande.
Han har läst de dokument som är uppräknade i utbildningsdokumentet och diskuterat med andra revisorer. Därefter har han utbildat sin personal utifrån detta. Han har ännu inte varit på någon extern utbildning, dels på grund av uppkopplingsproblem under pandemin, dels eftersom de utbildningar som har funnits till stor del också varit marknadsföring för produkter som ska hjälpa till att skydda revisionsföretaget. Han vet nu att branschorganisationen tillhandahåller två utbildningar som han ska lyssna på digitalt och han har även anmält sig till en utbildning från ett annat utbildningsinstitut hösten 2024.
3 Tillämpliga bestämmelser
Penningtvättslagen gäller för fysiska och juridiska personer som driver vissa i lagen uppräknade verksamheter, däribland sådan verksamhet som en auktoriserad eller godkänd revisor eller ett registrerat revisionsbolag bedriver och annan yrkesmässig verksamhet som avser revisionstjänster (se 1 kap. 2 § första stycket 18 och 19). Det innebär att såväl enskilda revisorer som juridiska personer som bedriver revisionsverksamhet är skyldiga att följa lagens bestämmelser och de föreskrifter som har meddelats på området. I den utsträckning verksamheten bedrivs i en juridisk person har den juridiska personens ställföreträdare som utgångspunkt ett personligt ansvar för att verksamheten är inrättad så att penningtvättsregelverket kan följas.
Allmän riskbedömning
Den som bedriver revisionsverksamhet ska – i egenskap av verksamhetsutövare i penningtvättslagens mening – enligt 2 kap. 1 § penningtvättslagen göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som finns.
Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna), som trädde i kraft den 1 januari 2022, ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism, och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna.
Den allmänna riskbedömningen ska enligt 2 kap. 1 § penningtvättslagen dokumenteras och hållas uppdaterad. I 4 § penningtvättsföreskrifterna anges att den allmänna riskbedömningen ska utvärderas och vid behov uppdateras minst en gång per år. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism.
Rutiner och riktlinjer
Den som bedriver revisionsverksamhet ska, enligt 2 kap. 8 § penningtvättslagen, ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering och för behandling av personuppgifter. Rutinerna och riktlinjerna ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism. Av 4 § penningtvättsföreskrifterna följer att rutinerna och riktlinjerna, liksom den allmänna riskbedömningen, ska utvärderas och vid behov uppdateras minst en gång per år.
Den som bedriver revisionsverksamhet ska vidare, enligt 6 kap. 1 § penningtvättslagen, ha rutiner och riktlinjer för intern kontroll för att se till att penningtvättslagen efterlevs, dvs. rutiner och riktlinjer för att upptäcka och korrigera brister i den egna verksamheten. Enligt 6 § penningtvättsföreskrifterna ska ett revisionsföretag därvid utföra periodiskt återkommande kontroller av revisorernas åtgärder i enskilda uppdrag för att säkerställa att penningtvättsregelverket och de interna riktlinjerna och rutinerna efterlevs. Kontrollerna ska enligt samma bestämmelse ske minst var tredje år och åtminstone omfatta åtgärder och dokumentation avseende kundkännedom, kundriskprofil och övervakning i ett avslutat uppdrag. Datum för kontrollen, eventuella upptäckta brister samt planerade och genomförda förbättringsåtgärder ska dokumenteras.
Utbildning
Av 2 kap. 14 § penningtvättslagen följer att den som bedriver revisionsverksamhet ska se till att anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten och som utför arbetsuppgifter av betydelse för att förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism fortlöpande får relevant utbildning och information för att kunna fullgöra verksamhetsutövarens skyldigheter enligt penningtvättslagen. Utbildningen ska avse åtminstone relevanta delar av innehållet i gällande regelverk, verksamhetsutövarens allmänna riskbedömning, rutiner och riktlinjer samt information som underlättar för personer att upptäcka misstänkt penningtvätt och finansiering av terrorism. Enligt 5 § penningtvättsföreskrifterna ska ett revisionsföretag dokumentera utbildningen. Utbildningens innehåll, namn på deltagare och datum för utbildningen ska framgå av dokumentationen.
4 Revisorsinspektionens bedömning
En verksamhetsutövares allmänna riskbedömning ska besvara frågan om och hur dess produkter eller tjänster kan användas för att exempelvis dölja brottsligt åtkommen egendoms samband med brott eller brottslig verksamhet. Vid bedömningen ska verksamhetsutövaren bl.a. beakta möjliga tillvägagångssätt för penningtvätt eller finansiering av terrorism. Det kan vara fråga om såväl sådana förfaranden som verksamhetsutövaren själv har uppmärksammat som förfaranden som verksamhetsutövaren har fått information om från tillsynsmyndigheter, brottsbekämpande myndigheter eller från den samordningsfunktion som inrättats. Förutom produkternas och tjänsternas egenskaper och sårbarheter ska det beaktas vilka kunder och distributionskanaler som finns, liksom geografiska riskfaktorer.
Vad gäller den allmänna riskbedömning som A-son upprättat konstaterar Revisorsinspektionen inledningsvis att identifieringen av de tjänster som tillhandahålls i revisionsföretagets verksamhet är allmänt hållen. Det anges endast att företaget tillhandahåller revision och revisionsnära tjänster; någon beskrivning av vilka typer av granskningsuppdrag som det är fråga om eller vad som i övrigt avses med revisionsnära tjänster finns inte. Det saknas också en beskrivning av de hot och sårbarheter som är förenade med revisionsföretagets verksamhet. Det kan därmed inte av den allmänna riskbedömningen utläsas vilka omständigheter och egenskaper kopplade till revisionsföretagets verksamhet som har legat till grund för slutsatsen att risken för att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism var låg.
Enligt A-sons yttrande till Revisorsinspektionen är den risknivå som har angetts i den allmänna riskbedömningen felaktig och hans bedömning är att risknivån är normal. Inte heller av yttrandet framgår emellertid vilka hot och sårbarheter som är förenade med de tjänster som tillhandahålls. Inte heller av A-sons uppgifter framgår således grunderna för den slutsats som han har dragit avseende den sammanvägda riskbedömningen.
Sammantaget anser Revisorsinspektionen att revisionsföretagets allmänna riskbedömning, oavsett om risken har bedömts vara låg eller normal, har varit bristfällig.
Ett revisionsföretags rutiner och riktlinjer på penningtvättsområdet måste vara anpassade efter de riskindikatorer som har identifierats i den allmänna riskbedömningen. Det innebär bl.a. att ett revisionsföretag inte kan nöja sig med att hänvisa till generiska processer och tillhandahålla checklistor som har upprättats av utomstående och som inte tar hänsyn till det specifika revisionsföretagets förhållanden.
Rutiner och riktlinjerna ska enligt penningtvättsföreskrifterna utvärderas, och vid behov uppdateras, minst en gång per år. Detta innebär att den som bedriver revisionsverksamhet åtminstone en gång om året ska göra en total och samlad översyn av rutinerna och riktlinjerna.
Den instruktion som i förevarande fall utgör revisionsföretagets rutiner och riktlinjer är upprättad den 12 december 2021. Instruktionen hänvisar bl.a. till äldre FAR-produkter, exempelvis till FAR:s RevU 4 som upphävdes den 1 januari 2021. Den innehåller också en fast lista över högrisktredjeländer. Listan överensstämmer med det utkast till förteckning över högriskländer som EU-kommissionen lade fram i februari 2019.3 Listan över högrisktredjeländer har uppdaterats flera gånger sedan dess.4 A-son har själv uppgett att revisionsföretaget visserligen inte gör någon årlig genomgång av instruktionerna men att han antecknar i marginalen om någon fråga uppstår. Revisorsinspektionen konstaterar dock att det inte finns några anteckningar i det aktuella dokumentet.
Revisorsinspektionen kan mot denna bakgrund inte dra någon annan slutsats än att det inte har skett någon sådan utvärdering och uppdatering av revisionsföretagets rutiner och riktlinjer som penningtvättsregelverket förutsätter.
Instruktionerna innehåller inte heller några rutiner och riktlinjer om rapportering, skydd för anställda eller intern kontroll. Det som A-son har uppgett om att revisionsföretaget följer processerna i revisionsprogrammet befriar inte revisionsföretaget från skyldigheten att följa de krav som penningtvättslagen och penningtvättsföreskrifterna uppställer i dessa avseenden.
Sammantaget måste också revisionsföretagets rutiner och riktlinjer betecknas som bristfälliga.
Av utredningen framgår vidare att A-son inte har genomgått någon utbildning inom penningtvättsområdet frånsett att han på egen hand har gått igenom vissa dokument; de dokument som han i sammanhanget har hänvisat till är dessutom flera år gamla. Han har uppgett att han har utbildat övrig personal utifrån den kunskap han själv har tillgodogjort sig. Några uppgifter om när utbildningen av personalen skedde, vilka som deltog eller vad utbildningen innehöll finns inte.
Revisorsinspektionen konstaterar mot denna bakgrund att varken A-son eller revisionsföretagets övriga anställda fortlöpande har genomgått sådan utbildning och fått sådan information som krävs för att de ska kunna fullgöra skyldigheterna enligt penningtvättslagen. Även detta är en brist i efterlevnaden av penningtvättsregelverket.
A-son har alltså handlat i strid med regelverket på penningtvättsområdet genom att i egenskap av ställföreträdare för revisionsföretaget dels inte se till att revisionsföretaget har en godtagbar allmän riskbedömning och relevanta och uppdaterade rutiner och riktlinjer, dels inte vidta de åtgärder som han har varit skyldig att vidta avseende såväl sin egen som sina anställdas utbildning. Han har härigenom åsidosatt sina skyldigheter som revisor och ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), meddelas en disciplinär åtgärd.
Det rör sig om förhållandevis grundläggande brister i efterlevnaden av penningtvättsregelverket. Bristerna har varit ägnade att öka risken för att revisionsföretagets tjänster används som ett led i att genomföra eller dölja penningtvätt eller finansiering av terrorism Det som ligger A-son till last är därför allvarligt och ska föranleda en varning.
Rådet förkastade dock denna i mars 2019, varefter kommissionen föreslog en ny lista i maj 2020. Se Europeiska Revisionsrättens särskilda rapport 13/2021: EU:s insatser för att bekämpa penningtvätt i banksektorn är fragmenterade och genomförandet är otillräckligt
För senaste versionen se https://finance.ec.europa.eu/financial-crime/high-risk-third-countries-andinternational-context-content-anti-money-laundering-and-countering_en