FAR har kommenterat detta disciplinärende. Kommentaren återges sist i ärendet.
Beslut: Revisorsinspektionen ger det registrerade revisionsbolaget A-bolaget en varning.
1 Inledning
Som ett led i arbetet mot penningtvätt och finansiering av terrorism gjorde Revisorsinspektionen under år 2023, utifrån ett riskbaserat urval, en riktad satsning på området inom ramen för den riskbaserade tillsynsverksamheten.
Revisorsinspektionen valde med anledning av detta ut en revisor anställd på det registrerade revisionsbolaget A-bolaget och gjorde i det ärendet vissa iakttagelser som föranledde inspektionen att öppna detta tillsynsärende.
A-bolaget, med säte och verksamhet i Stockholm, ingår i en koncern. A-bolagets systerbolag är ett registrerat revisionsbolag med säte och verksamhet i Malmö (systerbolaget).
I ärendet behandas frågan om A-bolaget har uppfyllt sina skyldigheter enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).
2 Penningtvättsregelverket
Penningtvättslagen gäller för fysiska och juridiska personer som driver vissa i lagen uppräknade verksamheter, däribland sådan verksamhet som en auktoriserad eller godkänd revisor eller ett registrerat revisionsbolag bedriver samt annan yrkesmässig verksamhet som avser revisionstjänster (se 1 kap. 2 § första stycket 18 och 19). Det innebär att såväl enskilda revisorer som juridiska personer som bedriver revisionsverksamhet är skyldiga att följa lagens bestämmelser och de föreskrifter som har meddelats på området.
Det förhållandet att penningtvättslagen är tillämplig på revisionsverksamhet medför att det inom ramen för revisionsverksamhet måste göras en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning; se 2 kap. 1 § penningtvättslagen). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som förekommer. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism, och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.
Den som bedriver revisionsverksamhet ska vidare ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering och för behandling av personuppgifter (se 2 kap. 8 § penningtvättslagen). Rutinerna och riktlinjerna ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism. En verksamhetsutövare som är det yttersta moderföretaget i en koncern ska enligt 2 kap. 9 § penningtvättslagen fastställa gemensamma rutiner och riktlinjer för koncernen. Dessa ska åtminstone omfatta rutiner och riktlinjer för behandling av personuppgifter och informationsutbyte inom koncernen för att säkerställa att information om misstänkt penningtvätt och finansiering av terrorism och andra relevanta uppgifter vid behov sprids till berörda inom koncernen. Enligt 2 kap. 10 § ska en verksamhetsutövare som är det yttersta moderföretaget i en koncern se till att gemensamma rutiner och riktlinjer tillämpas inom koncernen.
Enligt 4 § penningtvättsföreskrifterna ska ett revisionsföretag, på grundval av en riskbedömning men minst en gång per år, utvärdera och vid behov uppdatera den allmänna riskbedömningen och sina rutiner och riktlinjer.
Av 2 kap. 3 § penningtvättslagen följer att en revisor ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden. Lagen förutsätter att verksamhetsutövaren vidtar åtgärder för att skaffa sig kundkännedom (se närmare 3 kap. 7–13 §§). Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.
I 4 kap. 3 § penningtvättslagen anges att om en verksamhetsutövare, efter en bedömning enligt 4 kap. 2 §, har skälig grund att misstänka penningtvätt eller finansiering av terrorism eller att egendom annars härrör från brottslig handling, så ska uppgifter om alla omständigheter som kan tyda på detta utan dröjsmål rapporteras till Polismyndigheten.
3 Åtgärder enligt penningtvättsregelverket
Eftersom A-bolaget är ett registrerat revisionsbolag, är bolaget en verksamhetsutövare i penningtvättslagens mening. Revisorsinspektionen utövar därför tillsyn över att den verksamhet som bolaget bedriver och som omfattas av penningtvättslagen utövas enligt lagens regler. Enligt uppgift på A-bolagets webbplats arbetade våren 2024 19 personer i bolaget. Sex av dessa var kvalificerade revisorer som i huvudsak arbetade med revisionsverksamhet. Den övriga personalen hade arbetsuppgifter inom revision, redovisning och skatt. Också den verksamhet som dessa personer utförde omfattas av penningtvättslagen och faller därmed under Revisorsinspektionens tillsyn, se 3 a § första stycket revisorslagen (2001:883).
3.1 Allmän riskbedömning
Den allmänna riskbedömning som A-bolaget har gett in till Revisorsinspektionen anger i sin rubrik att den gäller för bolaget samt systerbolaget i Malmö.
Under rubriken Ansvar för regelefterlevnad anges att en namngiven person, nedan kallad A, ansvarar för regelefterlevnad, utbildning, rapportering till finanspolisen, intern kontroll och rådgivning i enskilda uppdrag. A är, såvitt Revisorsinspektionen kan bedöma, anställd av systerbolaget och verksam i Skåne. Bolaget har ombetts redogöra för hur A:s ansvar verkställs i praktiken och vilka överväganden som ligger till grund för ansvarsfördelningen.
A-bolaget har avseende de tjänster som bolaget tillhandahåller gjort följande riskbedömning.
Vi utför bokföring (medium), bokslut (låg), löner (låg), rådgivning (medel), skattekonsultationer (medel), deklarationsombud (låg) och revision (låg). Baserat på de tjänster som utförs bedöms den allmänna inneboende risken som låg till medel.
För redovisningstjänster samt revision kan det finnas en viss risk att dessa tjänster används för att ge verksamheter ökad trovärdighet utåt. Det kan finnas risk för att det saknas underlag eller att underlag är falska för att dölja att medel förs in eller ut ur verksamheten i penningtvättssyfte eller för finansiering av terrorism. Baserat på de tjänster som utförs bedöms den allmänna inneboende risken som låg till medel.
Bolaget har ombetts redogöra för vilka överväganden som har legat till grund för bedömningen att risken avseende tjänsten revision har bedömts som låg.
Under rubriken Kunder räknas de flesta företagsformer som förekommer i Sverige upp och revisionsbolaget har satt den sammanvägda risken till ”låg till medel”. Det går inte att av dokumentet att utläsa någon bedömning av de faktiska risker som kan vara kopplade till bolagets kundkrets eller till de branscher där kunderna är verksamma. Under samma rubrik sägs att det längre ner i dokumentet finns information om branscher där revisionsbolagets kunder verkar. Någon sådan information återfinns dock inte i dokumentet.
Den allmänna riskbedömningen innehåller inte någon beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism.
A-bolaget har uppgett följande.
De båda systerbolagen samarbetar tätt och har löpande kontakt med varandra. I detta fall har de utsett A till ansvarig. A håller utbildningar för all personal och de har sett det som naturligt att han är ansvarig för detta. Uppkomna situationer hanteras av kontorsledningen på löpande basis. Vid situationer som kräver att A kopplas in har det geografiska avståndet inte utgjort något hinder.
När det kommer till riskbedömningen av tjänsten revision har de använt sig av FAR:s mall och har bedömt risken enligt följande. Risken för att de ska utnyttjas för själva genomförandet av penningtvätt eller finansiering av terrorism har bedömts som begränsad när det gäller tillhandahållande av revisionstjänster, eftersom revision innebär en granskning av transaktioner i efterhand. Dock kan vissa typer av revisionstjänster, som revisorsyttranden, utnyttjas som ett led i ett upplägg att tvätta pengar.
Även ifråga om risker förknippade med kunder och branscher har de använt sig av FAR:s mall. Vid revisionen görs det en individuell bedömning av risken, bl.a. genom kundkännedomskontroll. A genomför utbildningar med all personal. I samband med antagande av nya kunder har de som rutin att göra en utvärdering enligt FAR:s checklista. För samtliga nya kundengagemang ska klientanmälan, revisionsbolagets kundkännedomssystem, identitetskontroll samt utvärdering av FAR:s checklista upprättas och godkännas av kontorschefen. Vidare ska uppdragen som i den årliga utvärderingen bedöms innebära hög risk skickas till kontorschefen för godkännande. Om uppdraget inte kan godkännas, får den ansvariga revisorn inte biträda med revisionstjänster. Det stämmer att den information om branscher som det hänvisas till under rubriken Kunder saknas. Detta kommer att åtgärdas.
Bedömningen av revisionsbolagets sårbarhet finns i avsnittet Beskrivning av tjänster. Där anges bl.a att revisionstjänster kan användas för att ge verksamhet ökad trovärdighet utåt.
De ser inte det fysiska avståndet mellan Stockholm och Malmö som något hinder. De har löpande kontakt både fysiskt och genom digitala möten.
Revisorsinspektionen gör följande bedömning.
I den allmänna riskbedömning som A-bolaget har skickat in anges att den gäller för bolaget och för systerbolaget i Malmö. Enligt 2 kap. 9 och 10 §§ penningtvättslagen ska det yttersta moderföretaget i en koncern fastställa gemensamma rutiner och riktlinjer. Dessa bör sedan implementeras och anpassas för att passa de enskilda dotterbolagens omständigheter. Lagen ger däremot inte stöd för att två olika juridiska personer som är systerföretag och verksamma på olika orter – och ingen av dem koncernmoder till den andra – delar på de unika bedömningar av risker rörande företagsspecifika sårbarheter, geografiska och andra omständigheter, kunder och förutsättningar som en allmän riskbedömning ska innehålla.
Bolaget har uppgett att det bedömer risken för att det ska utnyttjas för själva genomförandet av penningtvätt eller finansiering av terrorism som begränsad när revisionstjänster tillhandahålls, eftersom revision innebär en granskning av transaktioner i efterhand. I den nationella riskbedömningen av penningtvätt och finansiering av terrorism i Sverige 2020/20211, gjordes följande bedömning.
Revisorer och advokater kan utnyttjas som möjliggörare då deras tjänster kan ge en kvalitetsstämpel på finansiella rapporter eller transaktioner som ingår i ett affärsupplägg. Detta innebär att sektorerna kan utnyttjas som dörröppnare och ge annars suspekta upplägg en synbar legitimitet. Verksamhetsutövarna vidtar dock generellt sett grundliga kundkännedomsåtgärder, vilket minskar sårbarheten. Risken att sektorerna utnyttjas för penningtvätt har bedömts till nivån medel.
Revisorsinspektionen anser mot denna bakgrund att bolaget inte har haft grund för att i den allmänna riskbedömningen bedöma risken hänförlig till tjänsten revision som låg.
Skyldigheten att bedöma en verksamhetsutövares risker ligger på verksamhetsutövaren själv och bedömningen måste grundas på de specifika förutsättningar som gäller för dennes verksamhet. Att A-bolaget vid bedömningen av verksamhetens risker har använt sig av en mall, upprättad av utomstående, saknar därför betydelse. I den utsträckning mallar används måste dessa anpassas till förhållandena i det enskilda fallet.
Revisorsinspektionen konstaterar vidare att A-bolagets allmänna riskbedömning saknar en genomgång av risker relaterade till kunder och deras branscher. När A-bolaget har tillfrågats om detta har bolaget hänvisat till sina rutiner, att de bedömer kundernas riskprofiler i enskilda uppdrag. Bedömningar i enskilda uppdrag är emellertid någonting annat än det som ska ingå i en allmän riskbedömning. Bolaget har även hänvisat till den utbildning som bolagets personal ges. Sådan utbildning kan emellertid inte ersätta en allmän riskbedömning.
I det dokument som innefattar A-bolagets allmänna riskbedömning saknas även en bedömning av de egenskaper som kan göra revisionsbolaget sårbart för försök att utnyttjas för penningtvätt eller finansiering av terrorism. Med sårbarheter avses de inre omständigheter i bolaget som kan göra det sårbart för försök att utnyttjas – personal, system, rutiner etc. Vad A-bolaget har uppgett i detta avseende rör revisionsbolagets tjänster och inte dess sårbarheter.
Sammanfattningsvis uppvisar A-bolagets allmänna riskbedömning flera brister.
Nationell riskbedömning av penningtvätt och finansiering av terrorism i Sverige 2020/2021, s. 27, avsnitt 4.1.5, Möjliggörare.
3.2 Rutiner och riktlinjer
A-bolaget har uppgett att bolaget och systerbolaget sedan fem år tillbaka ingår i samma koncern. Bolaget har tillfrågats om huruvida de gemensamma rutinerna för åtgärder mot penningtvätt och finansiering av terrorism tagits fram av moderbolaget i koncernen eller av A-bolaget tillsammans med systerbolaget.
I de gemensamma rutinerna anges, under rubriken Indikationer på hög risk, att en indikator på hög risk kan vara förekomsten av koppling till ett högrisktredjeland:
Kunden har koppling till ett högriskland (kontroller kan ske bl.a. gentemot Transparency Internationals uppgifter www.transparency.org).2
Inga övriga anvisningar eller hänvisningar lämnas.
Under rubriken Förenklade åtgärder vid låg risk anges att identitetskontrollen av den verkliga huvudmannen kan underlåtas. Revisionsbolaget har tillfrågats om vad grunden för denna rutin är.
Slutligen anges i rutinerna att en revisor ska överlämna till A att avgöra huruvida revisorn i sitt uppdrag har uppnått skälig misstanke och ska rapportera till finanspolisen. Detta uttrycks framför allt genom följande skrivning.
Vid observation av avvikelse som skulle kunna tyda på om penningtvätt eller finansiering av terrorism ska ansvarig för regelefterlevnad ([A]) vidtalas. Denne avgör huruvida skälig misstanke finns eller om ytterligare information behöver inhämtas. Vid skälig misstanke om penningtvätt eller finansiering av terrorism ska misstanken utan dröjsmål rapporteras till Finanspolisen. Ansvarig för regelefterlevnad avgör huruvida uppdraget kan behållas.
A-bolaget har uppgett följande.
Bolaget och systerbolaget har gemensamma rutiner.
Med rutinen om kontroll hos antikorruptionsorganisationen avses att man via organisationens webbplats har möjlighet att undersöka vilka länder som kan vara högriskländer. Numera görs den kontrollen via en programvara som bolaget har köpt.
Bolaget följer inte längre punkten om att identitetskontrollen av verklig huvudman kan underlåtas vid förenklade åtgärder för kundkännedom. Identitetskontroll ska göras av alla kunder, vilket personalen också har informerats om. Detta ska uppdateras i bolagets allmänna riskbedömning.
Det finns inga specifika rutiner för sekretess och tystnadsplikt mellan bolagen när det gäller penningtvätt och finansiering av terrorism. I dessa fall följs de allmänna bestämmelser som finns för revisorer avseende sekretess och tystnadsplikt. Bolagen lämnar därför aldrig ut någon klientspecifik information till varandra. A är kvalitetsansvarig och vid skälig misstanke ska den ansvariga revisorn själv anmäla misstanken till finanspolisen. Så är också praxis. Däremot ska den ansvariga revisorn kunna diskutera frågan med A. Det innebär inte att samtliga anmälningar ska gå via honom.
Revisorsinspektionen gör följande bedömning.
Av 3 kap. 11 § penningtvättslagen följer att det är Europeiska kommissionen som identifierar de stater som utgör högrisktredjeländer. Rutinen om vart medarbetaren ska vända sig för att kontrollera huruvida en stat utgör ett s.k. högrisktredjeland är därför inte korrekt utformad. Kommissionens lista över identifierade högrisktredjeländer uppdateras flera gånger per år och för information om vilka stater som omfattas bör verksamhetsutövaren därför vända sig till kommissionens webbplats. Att A-bolagets rutiner anger att kontrollen bland annat kan göras mot ett angivet privaträttsligt subjekt föranleder ingen annan bedömning, eftersom det inte anges några alternativ.
Av 3 kap. 9 § penningtvättslagen följer att kontrollen av kundens och den verkliga huvudmannens identitet ska slutföras innan en affärsförbindelse etableras eller en enstaka transaktion utförs. Tidpunkten för kontrollen kan under vissa förutsättningar skjutas fram till tidpunkten för etableringen av affärsförbindelsen. Däremot saknas det rättsligt stöd för att underlåta kontrollen helt. Den anvisning som lämnas i A-bolagets rutiner och riktlinjer om att kontrollen av verklig huvudman i vissa fall kan underlåtas är alltså felaktig.
De aktuella rutinerna och riktlinjerna har upprättats för att användas av två olika bolag. Det finns ingenting som tyder på – och A-bolaget har inte heller påstått det – att rutinerna och riktlinjerna särskilt har anpassats till A-bolagets särskilda förhållanden. De uppfyller därmed inte de krav på sådan anpassning som följer av 2 kap. 8 § penningtvättslagen.
A-bolaget har till Revisorsinspektionen uppgett att den ansvariga revisorn själv, vid skälig misstanke, ska anmäla misstanken till finanspolisen och att detta är praxis men att ansvarig revisor har möjlighet att diskutera frågan med A. Detta kommer emellertid inte till uttryck i de skriftliga rutinerna. Där anges i stället att vid observation av avvikelse ska A vidtalas, att det är A som avgör huruvida skälig misstanke finns eller om ytterligare information behöver inhämtas och att A avgör huruvida uppdraget kan behållas. Vad som anges i de skriftliga rutinerna framstår enligt Revisorsinspektionens mening inte som lämpligt. Eftersom det är den enskilde revisorn som har bäst kunskaper om de risker som kan vara förknippade med kunden, bör det rimligen också vara denne som slutligen tar ställning till vilka åtgärder som bör vidtas.
A-bolagets rutiner och riktlinjer har sålunda i flera avseenden varit bristfälliga. Genom att inte tillhandahålla sina medarbetare godtagbara rutiner och riktlinjer har bolaget åsidosatt sina skyldigheter enligt penningtvättslagen.
Organisationen rankar stater efter ett korruptionsindex – CPI (Corruption Perceptions Index).
4 Sammanfattande bedömning och val av disciplinär åtgärd
Den allmänna riskbedömning som A-bolaget har upprättat har flera brister. Detsamma gäller de rutiner och riktlinjer som bolaget har använt sig av. Bolaget har därigenom i flera avseenden brustit i sina skyldigheter enligt penningtvättslagen och har därmed åsidosatt god revisorssed. Det ska därför meddelas en disciplinär åtgärd. Bristerna är allvarliga. Den disciplinära åtgärden ska därför, med stöd av 32 § andra stycket och 34 § första stycket revisorslagen (2001:883), bestämmas till en varning.
FARs kommentar
I ärendet har RI funnit allvarliga brister i byråns efterlevnad av penningtvättslagen vad avser den allmänna riskbedömningen och vad avser byråns rutiner och riktlinjer. Av byråns allmänna riskbedömning framgår bl.a. att denna delas med byråns systerbolag. RI finner att penningtvättslagen inte ger stöd för att två juridiska personer som är systerbolag kan dela på de risker som främst är kopplade till de s.k. riskfaktorerna såsom verksamhetsspecifika omständigheter och kunder. En allmän riskbedömning ska upprättas av verksamhetsutövaren för byrån och byråns unika risker att utnyttjas för penningtvätt eller terroristfinansiering. Moderbolaget i en koncern ska dock enligt penningtvättslagen fastställa gemensamma rutiner och riktlinjer för koncernen, men dessa ska alltjämt i sin tur implementeras och anpassas efter de enskilda juridiska personerna inom koncernen. Bland de brister i byråns rutiner och riktlinjer som RI har noterat så har byrån under rubriken Förenklade åtgärder vid låg risk uppgett att identitetskontroll av verklig huvudman kan underlåtas. RI framför att den enligt 3 kap. 9 § i penningtvättslagen saknar rättsligt stöd för att helt underlåta kontroll av verklig huvudman i vissa fall.