Beslut: Revisorsinspektionen ger godkände revisorn A-son en varning förenad med en sanktionsavgift på 60.000 kr.

1 Inledning

A-son har varit föremål för Revisorsinspektionens kvalitetskontroll och har då bedömts inte bedriva sin revisionsverksamhet enligt god revisionssed och god revisorssed. Detta har föranlett inspektionen att öppna detta ärende.

Revisorsinspektionen har utrett A-sons revision i tre aktiebolag, här benämnda omvårdnadsbolaget, schaktbolaget och livsmedelsbolaget. Samtliga bolag tillämpade Bokföringsnämndens allmänna råd (BFNAR 2016:10) Årsredovisning i mindre företag (K2) vid upprättandet av årsredovisningen.

Bolagens omsättning och balansomslutning för de av Revisorsinspektionen granskade räkenskapsåren framgår av nedanstående uppställning (belopp i mnkr).

Bolag

Räkenskapsår

Omsättning

Balansomslutning

Omvårdnadsbolaget

2021/22

25,9

19,0

Schaktbolaget

2022

12,9

16,0

Livsmedelsbolaget

2021/22

27,6

4,9

Revisionsberättelserna för bolagen är utan modifieringar, anmärkningar eller upplysningar.

Utöver revisionen av bolagen har Revisorsinspektionen utrett hur A-son fullgjort sina skyldigheter enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen) i det egna revisionsföretaget och vid utförandet av revisionen i de här aktuella uppdragen. Revisorsinspektionen har också utrett hur A-son, i egenskap av ensam företrädare för det egna revisionsföretaget, har utformat, genomfört och använt ett kvalitetsstyrningssystem.

2 Rutiner och riktlinjer i revisionsföretagets kvalitetsstyrningssystem

Av utredningen i ärendet framgår att A-son, som ett led i övervakningen av revisionsföretagets kvalitetsstyrningssystem under åren 2019 och 2020 försökte få till stånd en inspektion av avslutade revisionsuppdrag genom att kontakta andra revisionsföretag. Han hittade dock inte någon som ville åta sig ett sådant uppdrag.

A-son har uppgett följande.

Under år 2019 tog han kontakt med ett annat revisionsföretag i syfte att se om någon från detta kunde åta sig att kvalitetsgranska några av hans revisionsuppdrag. Han fick dock aldrig något svar på sin förfrågan. Under år 2020 kontaktade han två revisionsföretag i samma ärende men inga representanter från dessa revisionsföretag åtog sig att kvalitetsgranska några av hans revisionsuppdrag. Inga andra granskningar av hans revisionsuppdrag, förutom Revisorsinspektionens periodiskt återkommande kvalitetskontroll, förekom före år 2019.

Revisorsinspektionen gör följande bedömning.

I 21 § första stycket 8 Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet (verksamhetsföreskrifterna) finns ett krav på att ett revisionsföretag ska inrätta ett system för intern kvalitetskontroll som bl.a. säkerställer hög kvalitet i lagstadgad kvalificerad revision. Enligt 21 § första stycket 12 ska ett revisionsföretag övervaka och utvärdera lämpligheten och effektiviteten i sina riktlinjer, system och övriga rutiner samt vidta lämpliga åtgärder för att avhjälpa eventuella brister. I 21 § femte stycket ställs krav på en årlig utvärdering av det interna kvalitetskontrollsystemet.

Mera detaljerade riktlinjer för den interna kvalitetsstyrningen finns i International Standard on Quality Management (ISQM) 1 Kvalitetsstyrning för revisionsföretag som utför revision och översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster. Av p. 14 följer att kvalitetsstyrningssystemet ska ge rimlig säkerhet att revisionsföretaget och dess personal fullgör sitt ansvar i enlighet med standarder för yrkesutövningen och tillämpliga krav i lag och annan författning. Systemet ska också ge rimlig säkerhet om att rapporter som utfärdas av revisionsföretaget eller en uppdragsansvarig är lämpliga under omständigheterna.

I ISQM 1 p. 35 anges att ett revisionsföretag i sitt kvalitetsstyrningssystem ska etablera en övervaknings- och åtgärdsprocess. Processen ska dels tillhandahålla relevant och tillförlitlig information om utformningen, implementeringen och användningen av kvalitetsstyrningssystemet, dels möjliggöra lämpliga åtgärder för att hantera identifierade brister. Enligt p. 36 ska revisionsföretaget utforma och utföra övervakningsaktiviteter som en grund för identifieringen av brister. Av p. 38 framgår att ett revisionsföretag ska inkludera inspektion av slutförda uppdrag i sådana övervakningsaktiviteter i kvalitetsstyrningssystemet. Inom ramen för detta ska revisionsföretaget bl.a. välja ut minst ett slutfört uppdrag för varje uppdragsansvarig på en cyklisk basis som bestäms av revisionsföretaget.1 Detta exemplifieras i tillämpningsanvisningarna till ISQM 1, p. A 156. Där anges att det kanske under vissa omständigheter, t.ex. i fallet med ett mindre komplext revisionsföretag, inte finns personal som har den objektivitet som krävs för att utföra övervakningsaktiviteterna. I så fall kan revisionsföretaget använda sig av bl.a. en tjänsteleverantör för att utföra övervakningsaktiviteterna.

Revisorsinspektionens verksamhetsföreskrifter och ISQM 1 ger uttryck för god revisorssed. A-son har därför varit skyldig att följa de bestämmelser om övervakning som finns där. Det har inneburit en skyldighet att, där detta behövs, ta hjälp av en extern part.

I ärendet har framkommit att A-son inte har inrättat någon sådan övervakningsprocess som Revisorsinspektionens verksamhetsföreskrifter och ISQM 1 p. 35 förutsätter. Av utredningen framgår att han har gjort vissa försök att anlita något annat revisionsföretag för att utföra övervakningen men att han vid dessa tillfällen inte fick till stånd någon övervakningsaktivitet. Skyldigheten att följa Revisorsinspektionens föreskrifter och ISQM 1 gäller dock alltjämt. Revisorsinspektionen anmärker att det enligt inspektionens mening inte finns anledning att anta annat än att ytterligare försök att anlita ett annat revisionsföretag för övervakningen skulle ha fått framgång.

Genom att inte inrätta någon övervakningsprocess i revisionsföretaget har A-son åsidosatt god revisorssed.

Före den 15 december 2022 fanns motsvarande bestämmelse i International Standard on Quality Control (ISQC) 1 Kvalitetskontroll för revisionsföretag som utför revision och översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster p. 48.

3 Åtgärder enligt penningtvättsregelverket

3.1 Tillämpliga bestämmelser

Penningtvättslagen gäller för fysiska och juridiska personer som driver vissa i lagen uppräknade verksamheter, däribland sådan verksamhet som en auktoriserad eller godkänd revisor eller ett registrerat revisionsbolag bedriver och annan yrkesmässig verksamhet som avser revisionstjänster (se 1 kap. 2 § första stycket 18 och 19). Det innebär att såväl enskilda revisorer som juridiska personer som bedriver revisionsverksamhet är skyldiga att följa lagens bestämmelser och de föreskrifter som har meddelats på området. I den utsträckning verksamheten bedrivs i en juridisk person har den juridiska personens ställföreträdare som utgångspunkt ett personligt ansvar för att verksamheten är inrättad så att penningtvättsregelverket kan följas.

Härav följer att det inom ramen för revisionsverksamheten måste göras en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning; se 2 kap. 1 § penningtvättslagen).

Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns och vilka geografiska riskfaktorer som förekommer. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna), som trädde i kraft den 1 januari 2022, ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism, och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.

Den som bedriver revisionsverksamhet ska vidare ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter (se 2 kap. 8 § penningtvättslagen). Rutinerna och riktlinjerna ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism. I 4 § penningtvättsföreskrifterna anges att revisionsföretaget, på grundval av en riskbedömning, och minst en gång per år, ska utvärdera och vid behov uppdatera den allmänna riskbedömningen och sina rutiner och riktlinjer. Datum för utvärderingen och eventuell uppdatering ska dokumenteras.

Av 2 kap. 3 § penningtvättslagen följer att en revisor ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden. När det behövs för att bestämma kundens riskprofil ska verksamhetsutövaren beakta bl.a. de omständigheter som avses i 4 och 5 §§ och andra omständigheter som i det enskilda fallet påverkar den risk som kan förknippas med kundrelationen. Kundens riskprofil ska följas upp under pågående affärsförbindelser och ändras när det finns anledning till det.

Som omständigheter som kan tyda på att risken för penningtvätt och finansiering av terrorism är låg kan beaktas bl.a. att kunden är en stat, en region, en kommun eller motsvarande eller en juridisk person över vilken en stat, en region, en kommun eller motsvarande, var för sig eller tillsammans, har ett direkt eller indirekt rättsligt bestämmande inflytande (2 kap. 4 § 1 penningtvättslagen).

Omständigheter som kan tyda på att risken är hög kan vara att kundens ägarstruktur framstår som ovanlig eller alltför komplicerad för dess verksamhet, att kunden bedriver kontantintensiv verksamhet, att kunden är en juridisk person som har nominella aktieägare eller andelar utställda på innehavaren, att kunden är en juridisk person, en trust eller en liknande juridisk konstruktion som har till syfte att förvalta en viss fysisk persons tillgångar, att kunden har hemvist i en stat som saknar effektiva system för bekämpning av penningtvätt eller finansiering av terrorism, att kunden har hemvist i en stat med betydande korruption och annan relevant brottslighet, att kunden har hemvist i en stat som är föremål för sanktioner, embargon eller liknande åtgärder, att kunden har hemvist i en stat som finansierar eller stöder terroristverksamhet eller där terroristorganisationer är verksamma, att affärsrelationer eller transaktioner sker på distans, utan användning av metoder som på ett tillförlitligt sätt kan säkerställa kundens identitet och att betalning av varor eller tjänster görs av någon som är okänd eller saknar koppling till kunden (2 kap. 5 § penningtvättslagen).

En revisor ska vidare vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse (se 3 kap. 4 § penningtvättslagen). Revisorn får över huvud taget inte etablera eller upprätthålla en affärsförbindelse, om han eller hon inte har tillräcklig kännedom om kunden för att kunna hantera risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen samt övervaka och bedöma kundens aktiviteter och transaktioner (se 3 kap. 1 §).

Av 3 kap. 7 § följer att revisorn ska identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska revisorn kontrollera den personens identitet och behörighet att företräda kunden. Behörigheten ska enligt 7 § penningtvättsföreskrifterna kontrolleras genom kontroll av fullmakt, förordnande eller motsvarande behörighetshandling. Enligt samma paragraf ska revisorn vid identitetskontrollen av en juridisk person kontrollera aktuellt registreringsbevis, registerutdrag eller uppgifter från andra tillförlitliga och oberoende källor samt bevara original eller kopia av den kontrollerade handlingen. Av dokumentationen ska framgå när kontrollen har utförts.

Revisorn ska också utreda om kunden har en verklig huvudman (se 3 kap. 8 § penningtvättslagen). En sådan utredning ska avse åtminstone en sökning i det register över verkliga huvudmän som Bolagsverket för enligt lagen (2017:631) om registrering av verkliga huvudmän. Om kunden är en juridisk person, ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska revisorn vidta åtgärder för att kontrollera den verkliga huvudmannens identitet. Kontrollen av kundens och den verkliga huvudmannens identitet ska slutföras innan en affärsförbindelse etableras (se 3 kap. 9 §).

Revisorn ska vidare enligt 3 kap. 10 § penningtvättslagen bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning eller en familjemedlem eller känd medarbetare till en sådan person. Han eller hon ska också, enligt 3 kap. 13 §, löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.

Enligt 5 kap. 3 § penningtvättslagen ska handlingar och uppgifter avseende åtgärder som har vidtagits för kundkännedom bevaras under fem år. Tiden ska räknas från det att, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde. Av dokumentationen ska framgå bl.a. vilka granskningsåtgärder som har utförts, vad dessa har omfattat samt när och hur granskningsåtgärderna har utförts (se 11 § penningtvättsföreskrifterna med hänvisning till 7 och 9 §§ Revisorsinspektionens föreskrifter [RIFS 2018:2] om villkor för revisorers och registrerade revisionsbolags verksamhet). Dokumentationen ska vara tydlig och strukturerad på ett överskådligt sätt. Den ska vara inriktad på väsentlig information men ändå så detaljerad att revisorns arbete kan bedömas i efterhand.

3.2 Utredningen i ärendet

Allmän riskbedömning samt rutiner och riktlinjer

Revisorsinspektionen har förelagt A-son att ge in revisionsföretagets allmänna riskbedömning samt rutiner och riktlinjer enligt penningtvättslagen. Några sådana dokument har inte getts in.

I A-sons övergripande granskningsplan, i respektive kunduppdrag, finns ett avsnitt rubricerat Penningtvättslagen 2017:630. Under rubriken Allmän riskbedömning har han i granskningsplanen angett följande. Revisionsföretagets verksamhet består huvudsakligen av revisionstjänster och stiftelser där han är vald revisor. Revisionstjänsterna skulle kunna användas för att dölja egendoms samband med brottslig verksamhet. Utöver bokföringspärmar förvarar han inget åt kunderna. Han har bedömt att risken för att de produkter och tjänster som tillhandahålls i revisionsföretaget utnyttjas för penningtvätt eller finansiering av terrorism är normal.

Av granskningsplanen kan inte utläsas vad som legat till grund för den riskbedömning som där görs. I dokumentet listas sju egenskaper som kan göra revisionsföretaget sårbart för att utnyttjas för penningtvätt eller finansiering av terrorism. Samtliga beskrivna egenskaper utgör faktorer som är kopplade till kunderna, exempelvis om kunden bedriver kontantintensiv verksamhet, gör onödiga transaktioner med utlandet, är en person i politiskt utsatt ställning (PEP) eller är etablerad i ett högrisktredjeland. Därutöver anges att samtliga kunder till revisionsföretaget har hemvist i Sverige. A-sons slutsats är att inga av de listade egenskaperna föreligger hos revisionsföretagets kunder varför risken bedöms som normal.

I den övergripande granskningsplanen finns även, såsom Revisorsinspektionen uppfattar det, revisionsföretagets rutiner och riktlinjer på området. I dokumentet anges tre åtgärder för att uppnå kundkännedom; 1) kontroll av identitet, 2) kontroll av ägarförhållanden och 3) utvärdering och uppdatering. Under punkten kontroll av identitet anges att registreringsbevis kontrolleras och arkiveras årligen för juridisk person samt att sökning av verklig huvudman görs i Bolagsverkets register. Ägarförhållanden i aktiebolag granskas genom aktieboken. Enligt rutinen ska den allmänna riskbedömningen uppdateras vid behov och vid ägarbyten. Sådan uppdatering ska dokumenteras.

Dokumentet innehåller i övrigt kortfattade uppgifter om rutiner avseende övervakning, utbildning och rapportering. Vad gäller övervakning anges att den tar sikte på förekomsten av avvikande transaktioner. I rutinen avseende rapportering anges att sådan ska göras till tillsynsmyndigheten.

Eftersom den allmänna riskbedömningen och revisionsföretagets rutiner och riktlinjer på området är insprängda i revisionsdokumentationen för varje uppdrag, framgår det inte när dessa upprättades eller senast uppdaterades.

Kundkännedom

A-son har för vart och att av de tre i ärendet aktuella uppdragen (omvårdnadsbolaget, schaktbolaget och livsmedelsbolaget) i den övergripande granskningsplanen beskrivit att verksamheterna inte uppfyller förutsättningarna för att vara registrerade i registret mot penningtvätt hos Bolagsverket, att inga utbetalade eller mottagna belopp i kontanter överstiger 5.000 euro och att bolagen inte har utfört ovanliga eller onödiga transaktioner med utlandet under räkenskapsåret. De beskrivna omständigheterna är identiska i alla uppdrag. Endast för omvårdnadsbolaget framgår det av penningtvättsdokumentationen vad bolaget faktiskt bedriver för verksamhet. Därutöver anges i de tre uppdragen att det finns en verklig huvudman och att bolagets identitet framgår av Bolagsverkets registreringsbevis. I fråga om samtliga uppdrag innehåller dokumentationen registreringsbevis, kopia på aktiebok och utdrag från Bolagsverkets register över verkliga huvudmän. Vidare finns hänvisning till 2 kap. 4 och 5 §§ penningtvättslagen med en anteckning om att de där listade egenskaperna avseende låg och hög risk inte föreligger hos kunden. Den bedömda kundriskprofilen för vart och ett av uppdragen är satt till normal.

3.3 Revisorns uppgifter

A-son har uppgett följande.

Den allmänna riskbedömningen har nu kompletterats med de övriga tjänster som tillhandahålls i revisionsföretaget. Dessa tjänster utgörs av deklarationstjänster som granskning av aktiebolagens och stiftelsernas inkomstdeklarationer, granskning av aktieägares K10-deklarationer, bokföring, granskning av fusioner, revisorsyttrande enligt aktiebolagslagen såsom yttrande över granskning av kontrollbalansräkning och yttrande vid beslut om utdelning på annan bolagsstämma än ordinarie bolagsstämma.

Den allmänna riskbedömningen har även uppdaterats med ytterligare ett exempel på egenskaper som gör revisionsföretaget sårbart för penningtvätt. Kompletteringen avser handlingar för aktieägartillskott där aktieägartillskottet skulle kunna utgöra penningtvätt.

Omständigheter på uppdragsnivå kan också föranleda uppdateringar av den allmänna riskbedömningen. Innan de nu angivna tilläggen gjordes uppdaterades den allmänna riskbedömningen senast i december 2023.

De branscher som han bedömer har en hög risk är sådana med kontantintensiv verksamhet, verksamhet med koppling till högrisktredjeland och verksamhet som företräds av en PEP. Men han har inga sådana uppdrag och alltså inga rutiner och riktlinjer avseende kundkännedomsåtgärder som tar sikte på sådana förhållanden. Han har inte heller några distanskunder.

När det gäller övervakning av avvikande aktiviteter i bolaget tittar han på förekomsten av ägarbyten eller ändrad verksamhet. Vid ägarbyten brukar dock ny revisor väljas. Vid ny verksamhet kan risken öka om t.ex. kontantintensiv verksamhet inleds.

Rapportering av misstänkt penningtvätt och finansiering av terrorism ska göras till finanspolisen vilka också är de som åsyftas med “tillsynsmyndigheten” i rutinen för rapportering.

Beträffande de i ärendet aktuella uppdragen kontaktade han den 8 mars 2024 respektive bolag och begärde att få in kopior av identitetshandlingar för styrelseledamöterna med fotografi. Uppgifter om verkliga huvudmän i uppdragen finns registrerade hos Bolagsverket.

När det gäller övriga vidtagna kundkännedomsåtgärder har han avseende livsmedelsbolaget besökt företaget årligen sedan år 2020 i samband med granskning av varulagret tillsammans med styrelseledamoten, aktieägaren och den ena företagsledaren. Hans bedömning är att kundkännedomen i detta avseende är tillräcklig.

Vidare har han varit revisor i omvårdnadsbolaget sedan år 2011. Han har haft årlig kommunikation via e-post och telefon med den som hos Bolagsverket är registrerad som verklig huvudman. Denne ansvarar för bolagets bokslut och årsredovisning samt gör alla löpande betalningar.

Vad gäller schaktbolaget har han varit bolagets revisor sedan år 2018. Han har haft telefonkontakt med styrelsen men huvudsaklig kontakt genom bolagets redovisningsbyrå.

3.4 Revisorsinspektionens bedömning

När det gäller revisionsföretagets allmänna riskbedömning har A-son hänvisat Revisorsinspektionen till de övergripande granskningsplanerna i respektive uppdrag. Frågan är därför om de dokumenten kan anses innefatta en sådan allmän riskbedömning som penningtvättslagen och penningtvättsföreskrifterna kräver.

I dokumenten anges att revisionstjänsterna skulle kunna användas för att dölja egendoms samband med brottslig verksamhet samt en slutlig bedömning om att risken för att företaget utnyttjas för penningtvätt eller finansiering av terrorism bedöms som normal. Dokumenten innehåller även några listade egenskaper som han anser kan göra revisionsföretaget sårbart för att utnyttjas. De listade riskindikatorerna avser emellertid egenskaper som bör läggas till grund för kundens riskprofil.

Enligt de aktuella dokumenten består revisionsföretagets tjänster i huvudsak av revisionstjänster. Av A-sons yttranden till Revisorsinspektionen framgår dock att även andra tjänster tillhandahålls i verksamheten. Det saknas alltså en bedömning avseende risker kopplade till alla olika tjänster som tillhandahålls i verksamheten. Vidare saknas en beskrivning av de hot som är relevanta för tjänsterna och produkterna i verksamheten. Dokumenten innehåller inte heller någon beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök att utnyttja verksamheten för penningtvätt eller finansiering av terrorism. De innehåller inte heller någon värdering av identifierade hot och sårbarheter. Det medför att dokumenten inte heller kan anses tillräckligt utförliga för att motsvara de krav som måste ställas på en allmän riskbedömning. De uppfyller inte heller det krav på datering som anges i penningtvättsföreskrifterna.

Det förhållandet att dokumenten har fyllts i inom ramen för respektive uppdrag, liksom A-sons uppgift att förhållanden i kunduppdraget kan få en påverkan på den allmänna riskbedömningen, indikerar att dokumenten utgör en del av hans hantering av enskilda kunduppdrag. Dokumentens utformning och det sätt på vilket A-son har använt dem tyder på att han inte har gjort åtskillnad på sin skyldighet att göra en allmän riskbedömning och sin skyldighet att vidta kundkännedomsåtgärder och åsätta kundriskprofiler i enskilda uppdrag.

De dokument som A-son har upprättat kan därför inte anses utgöra en sådan allmän riskbedömning som ett revisionsföretag ska upprätta.

När det gäller det dokument som Revisorsinspektionen har uppfattat utgör revisionsföretagets rutiner och riktlinjer på området är det knapphändigt och innehåller endast några få åtgärder för att uppnå kundkännedom. Dokumentet innehåller inga rutiner avseende kontroll av de fysiska företrädarnas identitet eller åtgärder för skärpt kundkännedom vid hög risk. Det saknas rutiner avseende distanskunder, bedömning av PEP och en lista på högriskbranscher som kan beaktas vid bedömning av kundens riskprofil. Revisionsföretaget har alltså inte haft några fullständiga – och därmed godtagbara – rutiner och riktlinjer. Den omständigheten att revisionsföretaget inte har haft några kunder inom högriskbranscher eller på distans förändrar inte den bedömningen.

A-sons revisionsdokumentation för respektive uppdrag består, såvitt avser vidtagna åtgärder enligt penningtvättslagen, av kortfattade anteckningar i den övergripande granskningsplanen jämte visst underlag i form av registreringsbevis, kopia på aktiebok och utdrag från Bolagsverkets register över verkliga huvudmän. Därtill finns en anteckning om att det inte föreligger några indikatorer för låg eller hög risk i något av kunduppdragen. Den bedömda kundriskprofilen är för vart och ett av uppdragen satt till normal.

I dokumentationen finns inga anteckningar om eller hänvisningar till annat underlag vilka kan uppfattas som att A-son vidtog ytterligare kundkännedomsåtgärder. Han har i sina yttranden till Revisorsinspektionen uppgett att han under utredningens gång inhämtade kopior på identitetshandlingar och att han hade varit revisor i uppdragen sedan år 2011, 2018 respektive 2020. Redan vid tiden för etableringen av respektive kundrelation förelåg ett krav på att han skulle skaffa sig grundläggande kundkännedom.2 Han har därefter varit skyldig att fortlöpande säkerställa att den kundkännedom som han förvärvat fortfarande är tillräcklig och aktuell. De löpande kontakter med bolagen som han har beskrivit utgör enligt Revisorsinspektionens mening inte tillräckliga och ändamålsenliga kundkännedomsåtgärder enligt penningtvättslagen.

A-son har alltså i ovan angivna avseenden åsidosatt sina skyldigheter enligt penningtvättslagen, både i egenskap av ställföreträdare för ett revisionsföretag (allmän riskbedömning och rutiner och riktlinjer) och som revisor (kundkännedomsåtgärder).

För tiden före 1 augusti 2017 fanns motsvarande bestämmelser om kundkännedomsåtgärder i lagen (2009:62) om åtgärder mot penningtvätt och finansiering av terrorism.

4 Kommunikation med dem som har ansvar för företagets styrning (schaktbolaget)

Av revisionsdokumentationen går det inte att utläsa om A-son under granskningen av schaktbolaget för det i ärendet aktuella räkenskapsåret hade någon kommunikation med bolagets styrelse.

A-son har uppgett följande.

Han hade ingen kontakt med styrelsen under detta räkenskapsår. Han kommunicerade med bolagets redovisningsbyrå under delar av april till och med juni 2023.

Revisorsinspektionen gör följande bedömning.

I International Standard on Auditing (ISA) 260 (omarbetad) Kommunikation med dem som har ansvar för företagets styrning p. 14–16 anges ett antal frågor som en revisor ska kommunicera med ett företags styrelse. Bland annat ska revisorn, enligt p. 15, informera styrelsen om en översikt över revisionens planerade omfattning och inriktning samt tidpunkt. Detta innefattar information om de betydande risker som revisorn har identifierat. Revisorn ska också enligt p. 16 kommunicera betydelsefulla iakttagelser från revisionen med styrelsen, bl. a. sin syn på betydelsefulla kvalitativa aspekter på företagets redovisningssätt, däribland redovisningsprinciper, uppskattningar i redovisningen och upplysningar i de finansiella rapporterna.

Som utredningen i ärendet har visat hade A-son överhuvudtaget inte någon kommunikation med bolagets styrelse vid granskningen av det aktuella räkenskapsåret. Han har härigenom åsidosatt god revisionssed.

5 Intäktsredovisning (omvårdnadsbolaget)

Omvårdnadsbolaget redovisade för det aktuella räkenskapsåret en nettoomsättning med 25,9 mnkr. Föregående räkenskapsår hade bolaget redovisat en nettoomsättning med 19,6 mnkr.

I A-sons övergripande granskningsplan räknade han ut vissa nyckeltal. Ett nyckeltal visade hur mycket nettoomsättningen hade ökat jämfört med föregående räkenskapsår. Ett annat nyckeltal visade hur stor andel av nettoomsättningen som personalkostnader respektive övriga externa kostnader motsvarade, med jämförelse med föregående räkenskapsår. Några slutsatser av de framräknade nyckeltalen finns inte dokumenterade.

Av den övergripande granskningsplanen framgår vidare att A-son bedömde den interna kontrollen i bolaget som begränsad. Vissa kontroller var inlagda i system och rutiner. Enligt granskningsplanen innebar detta att A-son skulle tillämpa substansgranskning som granskningsmetod. Vidare framgår att samtliga poster i resultaträkningen bedömdes vara förknippade med hög risk och hög väsentlighet. Det finns dock inga anteckningar om hur A-son bedömde risken för att det förelåg väsentliga felaktigheter i intäktsredovisningen som berodde på oegentligheter och hur hans bedömning av den saken påverkade inriktningen på och omfattningen av granskningen.

Av A-sons arbetsprogram för granskningen av posten Kundfordringar framgår att han stämde av kundreskontran per balansdagen mot i reskontran upptagna fakturor, att kundreskontran stämde överens med huvudboken per balansdagen, att han kontrollerade att i bokslutet upptagna kundfordringar hade betalts efter balansdagen, att han kontrollerade att avstämning av kundreskontran mot huvudboken hade gjorts månatligen, att han konstaterade att kundfordringar i bokslutet liksom föregående år motsvarade 10 procent av redovisad försäljning ochatt han för att granska fullständigheten i intäktsredovisningen utförde en periodiseringskontroll av kundfakturor kring balansdagen. Även av arbetsprogrammet för resultaträkningen framgår att han utförde en periodiseringskontroll kring balansdagen för att granska fullständigheten i redovisade intäkter. I arbetsprogrammet anges också hur stor nettoomsättningen hade varit för flera tidigare räkenskapsår samt att ökningen av nettoomsättningen mot föregående år uppgick till 32 procent. Det har också antecknats hur nettoomsättningen fördelade sig mellan de två vårdboenden som bolaget drev och hur många platser som fanns på varje boende. Enligt anteckningarna var vårdavgifterna som bolaget fakturerade jämnt fördelade över året och genomsnittlig nettoomsättning per månad var 2,1 mnkr jämfört med 1,6 mnkr föregående räkenskapsår. Det kan inte utläsas av dokumentationen om A-son utförde några ytterligare granskningsåtgärder i syfte att kontrollera fullständigheten i den samlade intäktsredovisningen.

A-son har uppgett följande.

Kontroll av nummerföljd i utgående fakturor i augusti månad 2022 i intervallet 6251–6290 gjordes och avsåg alla boenden inom omsorgsverksamheten. Alla fakturor var daterade den 31 augusti 2022. Utgående fakturor under efterföljande räkenskapsår, i september 2022, var i nummerföljdsintervallet 6291–6326 och daterade den 30 september 2022. Avgränsningen mellan räkenskapsåret 2021/22 och 2022/23 var riktig.

På grund av pandemin var nettoomsättningen lägre under det föregående räkenskapsåret, 2020/21. Enligt faktureringen för augusti månad 2022 var antalet vårdboende i omsorgsverksamheten 32 jämfört med 25 i augusti 2021.

Revisorsinspektionen gör följande bedömning.

Intäktsredovisningen är normalt ett väsentligt granskningsområde som revisorn har anledning att ägna särskild uppmärksamhet. Genom A-sons dokumentation har framkommit att han ansåg att nettoomsättningen var en väsentlig post att granska och att den var förknippad med hög risk.

När en revisor identifierar och bedömer riskerna för att intäktsredovisningen innehåller väsentliga felaktigheter som beror på oegentligheter, ska detta, enligt ISA 240Revisorns ansvar avseende oegentligheter i en revision av finansiella rapporter p. 27, göras på grundval av ett antagande om att det finns sådana risker. Revisorn kan visserligen komma till slutsatsen att detta grundantagande inte är tillämpligt under de omständigheter som gäller för uppdraget. I så fall ska han eller hon emellertid, enligt ISA 240 p. 48, ta med orsakerna till denna slutsats i revisionsdokumentationen. Om revisorn anser att grundantagandet är tillämpligt ska revisorn behandla denna risk som en betydande risk och följaktligen identifiera bolagets kontroller för att hantera dessa risker, utvärdera deras utformning och kontrollera huruvida de har införts.

A-son har i sin dokumentation antecknat att vissa kontroller var inbyggda i bolagets system och rutiner men att han skulle tillämpa substansgranskning som granskningsmetod för intäktsredovisningen. Varken av hans dokumentation eller hans yttranden till Revisorsinspektionen framgår dock om de kontroller hos bolaget som han hade identifierat var inrättade för att hantera risken för väsentliga felaktigheter i intäktsredovisningen som berodde på oegentligheter.

Enligt ISA 330Revisorns hantering av bedömda risker p. 21 ska revisorn, när han eller hon har fastställt att en bedömd risk för väsentliga felaktigheter på påståendenivån är en betydande risk, utföra substansgranskning med särskild inriktning på den risken. När revisorn hanterar en betydande risk enbart genom substansgranskning, ska granskningen enligt samma punkt innefatta detaljgranskning.

Varken av A-sons dokumentation eller av hans yttranden till Revisorsinspektionen framgår om han utformade sin granskning utifrån att det förelåg en betydande risk eller om han avvek från grundantagandet om förekomsten av risk för väsentliga felaktigheter i intäktsredovisningen som berodde på oegentligheter.

Revisorsinspektionen har därför att bedöma om A-sons granskning av fullständigheten i intäktsredovisningen var tillräcklig, oavsett hur han bedömde risken för oegentligheter.

Den periodiseringskontroll som han utförde gav honom revisionsbevis för att transaktioner kring balansdagen var bokförda på rätt räkenskapsår och att nummerföljden på fakturorna för dessa transaktioner var obruten. Den gav honom emellertid inte någon möjlighet att bedöma fullständigheten i den samlade intäktsredovisningen. Detsamma gäller de övriga åtgärder han vidtog vid granskningen av kundfordringarna i bokslutet. Inte heller anteckningarna om nettoomsättningens utveckling, om hur mycket som fakturerades i snitt per månad, hur kundfordringarna förhöll sig till intäkterna, hur många vårdboende som bolaget hade m.m. gav honom enligt Revisorsinspektionens bedömning tillräckliga och ändamålsenliga revisionsbevis för fullständigheten i intäktsredovisningen.

Sammanfattningsvis bedömer Revisorsinspektionen att den granskning som framgår av A-sons dokumentation eller hans yttranden till inspektionen inte gav honom grund för att godta fullständigheten i bolagets intäktsredovisning. Bristerna vid granskningen var sådana att han – med hänsyn till nettoomsättningens betydelse i bolaget – saknade grund för att tillstyrka fastställande av bolagets resultat- och balansräkningar. Genom att ändå göra det har han åsidosatt god revisionssed.

6 Sammanfattande bedömning och val av disciplinär åtgärd

Revisorsinspektionen har funnit flera brister i A-sons revisionsarbete. Han har inte infört en sådan övervakningsprocess i sitt revisionsföretag som han är skyldig att ha enligt Revisorsinspektionens verksamhetsföreskrifter och ISQM 1. I ett av de granskade bolagen har han inte haft den kommunikation med styrelsen som krävs enligt god revisionssed. Vidare har han i ett av bolagen inte utfört en tillräcklig granskning för att kunna godta den samlade intäktsredovisningen. Bristerna i granskningen har i detta avseende varit sådana att han saknade grund att tillstyrka bolagets resultat- och balansräkningar.

Han har därtill åsidosatt sina skyldigheter enligt penningtvättslagen, både i egenskap av ställföreträdare för ett revisionsföretag och som revisor. Den allmänna riskbedömningen i revisionsföretaget uppfyller inte penningtvättslagens och penningtvättsföreskrifternas krav. Revisionsföretaget saknar därtill fullständiga interna rutiner och riktlinjer enligt penningtvättslagen. Bristerna i fullgörandet av penningtvättslagens krav har sammantaget varit omfattande.

A-son har i ovan nämnda avseenden åsidosatt sina skyldigheter som revisor och ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), meddelas en disciplinär åtgärd.

Åsidosättandena avser allvarliga brister i fullgörandet av regelverket mot penningtvätt och finansiering av terrorism. Också bristerna i A-sons granskningsarbete framstår som allvarliga, särskilt med hänsyn till att han i ett fall tillstyrkt bolagets resultat- och balansräkningar utan att ha grund för det. Den disciplinära åtgärden ska därför, med stöd av 32 § andra stycket revisorslagen, bestämmas till varning.

Revisorsinspektionen finner att det, i synnerhet mot bakgrund av de omfattande och systematiska bristerna i A-sons åtgärder på penningtvättsområdet som förelegat under flera år, finns särskilda skäl för att, med stöd av 32 § a revisorslagen, förena varningen med en sanktionsavgift. Vid en överträdelse av penningtvättslagen gäller enligt 32 k § revisorslagen särskilda bestämmelser om sanktionsavgiftens storlek. Om det går att fastställa den vinst som har gjorts till följd av regelöverträdelsen, ska avgiften uppgå till högst två gånger denna vinst. I annat fall ska avgiften uppgå till högst ett belopp i kronor som motsvarar en miljon euro. Sanktionsavgiften ska enligt lagens förarbeten vara proportionell och avskräckande. När avgiften bestäms ska också de allmänna bestämmelserna om sanktionsavgifters storlek som finns i 32 d –32 f §§ revisorslagen beaktas. Det innebär att avgiften ska stå i proportion till överträdelsens allvar, hur länge den har pågått och verksamhetsutövarens finansiella ställning och den vinst som har gjorts genom överträdelsen. I detta ligger, enligt Revisorsinspektionens bedömning, att det bör vägas in bl.a. vilka slag av företag som revisorn har granskat – varvid det finns anledning att se mer allvarligt på försummelser som avser större företag eller företag av allmänt intresse – och vilken omfattning som revisionsverksamheten har haft. När det är fråga om försummelser som inte kan antas vara uppsåtliga och som avser revisionen av ett fåtal mindre privata aktiebolag bör enligt Revisorsinspektionens mening sanktionsavgiften normalt bestämmas inom den nedersta delen av sanktionsskalan.

Revisorsinspektionen anser vid en sammantagen bedömning att sanktionsavgiften för A-son bör bestämmas till 60.000 kr. Sanktionsavgiften tillfaller staten och ska betalas när beslutet vunnit laga kraft.