Allmänna bestämmelser

1 §Dessa föreskrifter kompletterar bestämmelserna i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

2 §I dessa föreskrifter har begreppen revisor och revisionsföretag samma betydelse som i revisorslagen (2001:883). I övrigt har termer och uttryck som används samma betydelse som i lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Åtgärder som ska vidtas av revisionsföretaget

Allmän riskbedömning

3 §Den allmänna riskbedömningen ska innehålla

  1. en identifikation av verksamhetens tjänster och produkter,

  2. en beskrivning av de hot som är relevanta för tjänsterna och produkterna,

  3. en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism, och

  4. en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna.

Utvärdering och uppdatering

4 §Revisionsföretaget ska, på grundval av en riskbedömning men minst en gång per år, utvärdera och vid behov uppdatera den allmänna riskbedömningen och sina rutiner och riktlinjer.

Datum för utvärderingen och eventuell uppdatering ska dokumenteras.

Utbildning

5 §Ett revisionsföretag ska dokumentera den utbildning som avses i 2 kap. 14 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism. Utbildningens innehåll, namn på deltagare och datum för utbildningen ska framgå av dokumentationen.

Intern kontroll

6 §Revisionsföretaget ska, på grundval av en riskbedömning men minst vart tredje år, utföra periodiskt återkommande kontroller av revisorernas åtgärder i enskilda uppdrag för att säkerställa att lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, dessa föreskrifter och de interna riktlinjerna och rutinerna efterlevs.

Kontrollen ska ske genom att minst ett avslutat uppdrag för varje revisor granskas och ska åtminstone omfatta kontroll av åtgärder och dokumentation avseende kundkännedom, kundriskprofil och övervakning.

Datum för kontrollen, eventuella upptäckta brister samt planerade och genomförda förbättringsåtgärder ska dokumenteras.

Åtgärder som ska vidtas av revisorn

Kontroll av identitet

7 §Revisorns kontroll av fysiska och juridiska personers identitet ska göras genom att extern verifiering hämtas in och dokumenteras på det sätt som anges i tabellen nedan. Av dokumentationen ska även framgå när kontrollen har utförts.

Vid identitetskontroll på distans ska kopior vara bestyrkta.

Identitetskontroll ska genomföras även om kunden är en offentlig person eller är känd sedan tidigare.

Vem som kontrolleras

Vilken handling som kontrolleras

Dokumentation av kontrollen

Fysisk person

Elektronisk legitimation

eller

Kopia av bekräftelsen av den elektroniska legitimationen.

Giltigt pass eller annan giltig identitetshandling

Kopia av den kontrollerade handlingen eller anteckning av den kontrollerade handlingens nummer, giltighetstid och utfärdare

Juridisk person

Aktuellt registreringsbevis, registerutdrag eller uppgifter från andra tillförlitliga och oberoende källor

Original eller kopia av den kontrollerade handlingen

Företrädare, ombud eller motsvarande

Utöver identitetskontroll av fysisk person även fullmakt, förordnande eller motsvarande behörighetshandling

Kopia av den kontrollerade handlingen

Åtgärder vid låg respektive hög risk

8 §Även om revisorn vid låg risk tillämpar förenklade åtgärder för kundkännedom ska kundens identitet alltid kontrolleras på det sätt som följer av 7 §.

När revisorn vid hög risk vidtar skärpta åtgärder för kundkännedom ska ytterligare information om kundens ekonomiska situation och varifrån dennes ekonomiska medel kommer alltid hämtas in. För kunder som är etablerade i ett land som har identifierats som ett högrisktredjeland av Europeiska kommissionen, finns ytterligare krav på skärpta åtgärder i 3 kap. 17 § lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Utvärdering och uppdatering

9 §En revisor ska under pågående uppdrag, på grundval av en riskbedömning men minst en gång per år, utvärdera kundkännedomen och kundens riskprofil och vid behov uppdatera dessa.

Om kundkännedomen uppdateras eller om rapportering sker till Polismyndigheten ska beslut tas om huruvida riskprofilen ska ändras eller inte.

Datum, överväganden och slutsatser för utvärderingen, samt eventuell uppdatering, ska dokumenteras.

Särskilt om nivåer för riskbedömningar

10 §När revisionsföretaget gör sin allmänna riskbedömning och revisorn gör sin bedömning av kundens riskprofil ska minst tre nivåer, motsvarande normal, låg och hög risk, tillämpas.

Risknivån får bestämmas som låg om det finns specifika omständigheter som visar att risken för penningtvätt och finansiering av terrorism är lägre än normalt. Om det finns omständigheter som tyder på förhöjd risk för penningtvätt eller finansiering av terrorism ska risknivån bestämmas som hög.

Dokumentation av vidtagna åtgärder

Revisorns dokumentationsskyldighet

11 §Revisorns dokumentationsskyldighet enligt 7 och 9 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet gäller, i tillämpliga delar, även revisorns åtgärder enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism.

Hur dokumentationen ska bevaras och organiseras

12 §Dokumentationen av revisionsföretagets och revisorns vidtagna åtgärder ska under den tid som anges i 5 kap. 3 och 4 §§ lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism bevaras på det sätt som anges i 12 § första stycket Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet.

Dokumentationen ska vara organiserad på sådant sätt att uppgifter och handlingar är lätta att identifiera, ta fram och sammanställa på begäran av Polismyndigheten, Säkerhetspolisen eller Revisorsinspektionen.

Ikraftträdande- och övergångsbestämmelser

2021:1

Dessa föreskrifter träder i kraft den 1 januari 2022.