FAR har kommenterat detta disciplinärende. Kommentaren återges sist i ärendet.
Beslut: Revisorsinspektionen ger auktoriserade revisorn A-son en varning förenad med en sanktionsavgift om 60.000 kr.
1 Inledning
A-son har varit föremål för FAR:s kvalitetskontroll och har då bedömts inte bedriva sin revisionsverksamhet enligt god revisionssed och god revisorssed. Detta har föranlett Revisorsinspektionen att öppna ett ärende inom ramen för den riskbaserade tillsynen.
Revisorsinspektionen har utrett A-sons revision av två aktiebolag, här benämnda snacksbolaget (räkenskapsår 2022) och blomsterbolaget (räkenskapsår 2021-07-01– 2022-06-30). A-son har bedrivit sin revisionsverksamhet som enskild näringsverksamhet sedan år 1994. Revisorsinspektionen har i ärendet även utrett hur han har fullgjort sina och revisionsföretagets skyldigheter enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen).
Snacksbolaget tillämpade Bokföringsnämndens allmänna råd BFNAR 2016:10 Årsredovisning i mindre företag (K2) vid upprättandet av årsredovisningen, medan blomsterbolaget tillämpade Bokföringsnämndens allmänna råd BFNAR 2012:1 Årsredovisning och koncernredovisning (K3).
Revisionsberättelserna för båda bolagen var utan modifieringar, upplysningar eller anmärkningar.
2 Åtgärder enligt penningtvättsregelverket
2.1 Rättslig reglering
Penningtvättslagen gäller för fysiska och juridiska personer som driver vissa i lagen uppräknade verksamheter, däribland sådan verksamhet som en auktoriserad eller godkänd revisor eller ett registrerat revisionsbolag bedriver (se 1 kap. 2 § första stycket 18). Det innebär att såväl enskilda revisorer som juridiska personer som bedriver revisionsverksamhet är skyldiga att följa lagens bestämmelser och de föreskrifter som har meddelats på området.
Allmän riskbedömning
Ett revisionsföretag ska – såsom verksamhetsutövare i penningtvättslagens mening – enligt 2 kap. 1 § penningtvättslagen göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som föreligger. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Riskbedömningen ska dokumenteras och hållas uppdaterad.
Rutiner och riktlinjer
Ett revisionsföretag ska vidare, enligt 2 kap. 8 § penningtvättslagen, ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Dessa ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism. I 4 § penningtvättsföreskrifterna anges att revisionsföretaget, på grundval av en riskbedömning, men minst en gång per år, ska utvärdera och vid behov uppdatera den allmänna riskbedömningen och sina rutiner och riktlinjer. Datum för utvärderingen och eventuell uppdatering ska dokumenteras.
Kundens riskprofil
Av 2 kap. 3 § penningtvättslagen framgår att en revisor ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden. När det behövs för att bestämma kundens riskprofil ska revisorn beakta bland annat omständigheter som avses i 2 kap. 4 och 5 §§ penningtvättslagen och andra omständigheter som i det enskilda fallet påverkar risken som kan förknippas med kundrelationen. Kundens riskprofil ska följas upp under pågående affärsförbindelser och ändras när det finns anledning till det.
Som omständigheter som kan tyda på att risken för penningtvätt och finansiering av terrorism är låg kan revisorn enligt 2 kap. 4 § penningtvättslagen beakta bland annat att kunden
är en stat, en region, en kommun eller motsvarande eller en juridisk person över vilken en stat, en region, en kommun eller motsvarande, var för sig eller tillsammans, har ett direkt eller indirekt rättsligt bestämmande inflytande,
har hemvist inom EES,
har hemvist i en stat som har bestämmelser om åtgärder mot penningtvätt och finansiering av terrorism som motsvarar dem i denna lag och som tillämpar dessa bestämmelser på ett effektivt sätt,
har hemvist i en stat som har en låg nivå av korruption och annan relevant brottslighet, och
är ett företag vars överlåtbara värdepapper är upptagna till handel på en reglerad marknad inom EES eller på en motsvarande marknad utanför EES.
Kundkännedom
En revisor ska enligt 3 kap. 4 § penningtvättslagen vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse. Revisorn får enligt 3 kap. 1 § över huvud taget inte etablera eller upprätthålla en affärsförbindelse om revisorn inte har tillräcklig kännedom om kunden för att kunna hantera den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen och för att övervaka och bedöma kundens aktiviteter och transaktioner.
Enligt 3 kap. 7 § penningtvättslagen ska revisorn identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska revisorn kontrollera den personens identitet och behörighet att företräda kunden.
Enligt 3 kap. 8 § penningtvättslagen ska revisorn utreda om kunden har en verklig huvudman. En sådan utredning ska avse åtminstone sökning i det register över verkliga huvudmän som Bolagsverket för. Om kunden är en juridisk person, ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska revisorn vidta åtgärder för att kontrollera den verkliga huvudmannens identitet. Enligt 3 kap. 9 § penningtvättslagen ska kontrollen av kundens och den verkliga huvudmannens identitet slutföras innan en affärsförbindelse etableras.
Revisorn ska vidare enligt 3 kap. 10 och 11 §§ penningtvättslagen bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning samt om kunden är etablerad i ett s.k. högrisktredjeland. Revisorn ska enligt 3 kap. 13 § löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.
Utvärdering och dokumentation
Av 9 § penningtvättsföreskrifterna följer att en revisor under pågående uppdrag, på grundval av en riskbedömning men minst en gång per år, ska utvärdera kundkännedomen och kundens riskprofil samt vid behov uppdatera dessa. Enligt 5 kap. 3 § penningtvättslagen ska revisorn bevara handlingar och uppgifter avseende åtgärder som har vidtagits för kundkännedom i fem år. Tiden ska räknas från det att åtgärderna utfördes eller, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde. Av dokumentationen ska framgå bl.a. vilka granskningsåtgärder som har utförts, vad dessa har omfattat samt när och hur granskningsåtgärderna har utförts, se 11 § penningtvättsföreskrifterna med hänvisning till 7 och 9 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet (verksamhetsföreskrifterna). Dokumentationen ska vara tydlig och strukturerad på ett överskådligt sätt. Den ska vara inriktad på väsentlig information men ändå så detaljerad att revisorns arbete kan bedömas i efterhand.
2.2 Allmän riskbedömning och rutiner och riktlinjer
Allmän riskbedömning
A-son bedriver revisionsverksamhet i enskild firma. Av revisionsföretagets allmänna riskbedömning framgår att den uppdaterades första gången den 7 december 2022. Det framgår inte när den första versionen upprättades. I den allmänna riskbedömningen anges att den sammantagna bedömningen kring risken för att revisionsföretaget utnyttjas för penningtvätt och finansiering av terrorism är låg. I bilaga 1 till den allmänna riskbedömningen, i vilken bedömningen för revisionsföretagets tjänster och produkter är gjord, uppges dock i den sammanfattande bedömningen att risken är normal. Det kan inte utläsas vad skillnaderna i riskvärderingen beror på. Vidare har flera tjänster som listas i bilagan bedömts så att de innebär låg risk, däribland lagstadgad revision, utan att det har lämnats några särskilda motiveringar för detta. När det gäller tjänsten Övriga revisionsyttranden, t.ex. vid apportemission, har risken satts till normal. I beskrivningen av tjänsten anges emellertid att risken för sådana tjänster bedöms vara ”förhöjd”. Därtill anges i bilagan att ”endast exempel på riskfaktorer” anges.
Rutiner och riktlinjer
Revisionsföretagets rutiner och riktlinjer avseende åtgärder mot penningtvätt och finansiering av terrorism finns integrerade i samma dokument som den allmänna riskbedömningen och uppdaterades alltså första gången den 7 december 2022.
I rutinerna och riktlinjerna anges att bedömning, motivering och argumentation i åsättandet av kundens riskprofil ska framgå av dokumentationen i revisionsuppdraget. Det anges även att revisionsföretagets bedömning av kunder alltid utgår ifrån att det föreligger en normal risknivå men att en sammanvägning av omständigheterna ska göras i varje enskilt fall. Som indikatorer på låg risk anges att
kundens överlåtbara värdepapper är upptagna till handel på en reglerad marknad inom EES eller på en motsvarande marknad utanför EES,
kunden är en svensk myndighet, region, kommun eller motsvarande, och
en svensk myndighet, region, kommun eller motsvarande har ett bestämmande inflytande över kunden.
Som Revisorsinspektionens genomgång av dokumentationen i de granskade uppdragen visar (se avsnitt 2.3) är A-sons bedömningar och vidtagna åtgärder enligt skyldigheterna i penningtvättsregelverket sparsamt dokumenterade. Han har dock bedömt att risken i kunduppdragen är låg.
Enligt revisionsföretagets rutiner och riktlinjer går det vid låg risk att genomföra kontroll av kundens identitet efter det att affärsförbindelsen har etablerats.
Revisorns uppgifter
A-son har uppgett följande.
Den första allmänna riskbedömningen med rutiner och riktlinjer upprättades i december 2022. Han har inte tidigare fått tag på en mall att utgå ifrån men fick slutligen en sådan från FAR. Mallen för bilaga 1 med riskbedömningen har dock bestått av kolumner istället för rader i tabell varför han haft svårt att matcha vågrätt. Detta har medfört att den allmänna riskbedömningen varit bristfällig.
De tjänster som han tillhandahåller består i huvudsak av lagstadgad revision och tillhörande rådgivning. Han tar inte på sig andra tjänster utan lägger sin tid på befintliga kunder och tjänster som han behärskar. Kunderna har inte efterfrågat tjänster där han bedömt att annat än låg risk föreligger. Han tar inte heller nya kunder där tjänster med förhöjd risk skulle vara aktuella.
Vidare har han gjort en förteckning över de riskfaktorer som han har bedömt kan finnas i den begränsade verksamhet som han bedriver. Han har förvisso nämnt apport- eller kvittningsemission som en produkt eller tjänst som skulle kunna innebära en förhöjd risk. Han anser dock inte att så är fallet med de nuvarande kunderna, eftersom han vet var kapitalet kommer ifrån, vilket innebär att risken ses som låg.
När det gäller hans rutiner och riktlinjer om att kontroll av kundens identitet kan göras efter det att affärsförbindelsen har etablerats kommer det från FAR:s mall. Han har dock tagit bort den skrivningen nu. Därtill har han i princip sedan många år inte tagit okända kunder, eftersom han håller på att avveckla sin verksamhet. Nya kunder har haft koppling till befintliga kunder. Finns det en okänd person, ber han omedelbart om identitetshandling. Skulle det röra sig om distanskunder, måste dessa vid antagandet legitimera sig med BankID där personnumret framgår.
Beträffande kundriskprofilerna anser han att alla kunder har kunnat förklara sina verksamheter och finansiering på ett betryggande sätt och det inte har funnits några misstänkta transaktioner. Han har därför kunnat sätta låg risk i uppdragen, trots utgångspunkten i rutinerna och riktlinjerna om normal risk.
2.3 Kundkännedom och kundriskprofil (båda bolagen)
För snacksbolaget finns det i en checklista gällande revisorns prövning enligt penningtvättslagen antecknat att bolagets företrädare är kända personer sedan tidigare och att de är legitimerade genom BankID på olika dokument. I fråga om kundkännedom har antecknats att kundens riskprofil är låg. I ett dokument rubricerat ”Kundutvärdering – Bibehållande av befintlig kund” besvaras frågan om det har skett väsentliga förändringar av företagsledning, styrelse eller ägande med Ja. Några vidtagna åtgärder för inhämtande av kundkännedom kan inte spåras i dokumentationen. Det kan inte heller utläsas vilka väsentliga förändringar som har skett av företagsledning, styrelse eller ägande eller vilken påverkan detta hade på A-sons åtgärder för inhämtande av kundkännedom och bedömning av kundriskprofil.
För blomsterbolaget finns det i en checklista gällande revisorns prövning enligt penningtvättslagen antecknat att bolagets företrädare är kända personer sedan tidigare. Dokumentationen innehåller en kopia av en identitetshandling. Det har antecknats att kundens riskprofil är låg. I dokumentationen finns inga uppgifter om vilka åtgärder som har vidtagits för att inhämta kundkännedom. I kundutvärderingen har A-son avseende ändringar av ägande eller styrelse antecknat att ”[WK], VD ej registrerad”. Vidare har han, på frågan om det finns något som tyder på att ägarens/ledningens värderingar/integritet är bristfällig, antecknat ”möjligtvis [C.R.]”. Vid frågan om det finns omständigheter som kan tyda på att oegentligheter kan förekomma har han antecknat ”har skett tidigare år av [M]”. I sin övergripande revisionsstrategi har han redogjort för att M är polisanmäld för förskingring efter att ha underlåtit att betala enligt en föreslagen förlikning. Det kan inte utläsas vilken påverkan A-sons iakttagelser kopplat till ledningen eller risken för oegentligheter hade på hans inhämtandet av kundkännedom och bedömning av kundriskprofil.
A-son har uppgett följande.
När det gäller snacksbolaget har han känt ägaren T sedan år 1989 då han blev utsedd till revisor i ett annat av dennes företag. Snacksbolaget bildades år 2012 av T:s sambo och hennes dotter. Verksamheten började i liten skala och T:s personal fick uppdraget att sköta bokföringen. Efterhand som reglerna för penningtvätt har skärpts har han på lämpligt sätt och vid lämplig tidpunkt begärt in identitetshandlingar. Han har sedan tidigare fått en kopia av T:s pass och övriga har fått legitimera sig med BankID när han har infört digital signering. Härigenom sker identifieringen när uppdraget förnyas på årsstämma.
Vad gäller frågan om väsentliga ändringar i företagsledningen/styrelse/ägande är det en felskrivning i dokumentationen och det ska egentligen stå Nej. Vad beträffar bedömningen av kundens riskprofil grundas den på omständigheterna att det inte finns några okända personer och att de tillskjutna medlen (till den delen detta behövs för att täcka underskott) kom från T:s andra företag. Eftersom han även var revisor i det företaget, hade han kunskap om var pengarna kom ifrån. Vidare sker huvuddelen av försäljningen till stora kända svenska kunder. Det förekommer vissa inköp från utlandet.
Blomsterbolaget ägs sedan den 30 november 2018 till två tredjedelar av ett blomsterföretag i Nederländerna. Han är sedan år 2009 revisor i det nederländska företagets svenska dotterbolag. Han blev ombedd av blomsterbolaget att efterträda en revisor från ett annat revisionsföretag i maj/juni 2020. Ägare av blomsterkoncernen och dess företrädare har legitimerat sig med pass. Han kommer att uppdatera alla ID-handlingar med nu gällande pass eller motsvarande till den delen dessa inte är giltiga längre. Han har jobbat med blomsterbolaget under många år och personerna är kända sedan många år. Blomsterbolaget bedriver internationell handel med krukväxter. Han har inte upplevt att det finns misstänkta transaktioner eller okända personer inblandade. Beträffande M så hade hennes anställning avslutats hösten 2019, dvs. före hans tillträde som revisor. Vid slutet av revisionen upptäckte han avvikande transaktioner som han bad om en förklaring till. Då upptäcktes att M avslutade sin anställning med att vederlagsfritt överföra 34 tkr till sitt privata konto. Detta ledde till att hon polisanmäldes och slutligen dömdes till fängelse i ett år och tre månader för trolöshet mot huvudman samt förpliktigades att betala 2,5 mnkr jämte ränta pga. sina olovliga uttag.
Inför 2022 års bokslut var det bestämt att W.K. skulle efterträda C.R. som verkställande direktör men detta hade inte blivit registrerat på grund av utdragna förhandlingar om C.R:s anställningsavtal. Efter klarläggande signerade C.R. ändringsanmälan den 9 augusti 2022 och registrerades dagen efter. I samband med revisionen av 2019/2020 blev han ombedd att upprätta en skrivelse till företagsledningen angående oklarheter i närståendetransaktioner med C.R och andra anställda. Han har därefter stämt av saken med C.R:s fru (J.R.) som bekräftat att saken är utredd och åtgärdad. Härigenom anser han att riskprofilen överensstämmer med det som anges avseende blomsterbolaget
2.4 Revisorsinspektionens bedömning
Allmän riskbedömning och rutiner och riktlinjer
A-son har bedrivit sin revisionsverksamhet som enskild näringsverksamhet sedan år 1994 och hade fram till december 2022 inte gjort någon sådan allmän riskbedömning eller tagit fram sådana rutiner och riktlinjer som en verksamhetsutövare enligt 2 kap. 1 och 8 §§ penningtvättslagen är skyldig att ha. Att bedriva revisionsverksamhet utan att först ha gjort en allmän riskbedömning och inrättat rutiner och riktlinjer står i strid med lag. Betydelsen av en allmän riskbedömning och av rutiner och riktlinjer av detta slag ligger inte minst däri att de utgör förutsättningar för att revisorn ska kunna bedöma och hantera riskerna i enskilda uppdrag. A-son har genom att inte ta fram en allmän riskbedömning och rutiner och riktlinjer förrän i december 2022 åsidosatt sina skyldigheter enligt penningtvättslagen och därigenom sina skyldigheter som revisor.
Den allmänna riskbedömning som han sedermera har tagit fram är inte tydlig vad gäller den sammantagna bedömningen av risken för att företaget utnyttjas för penningtvätt och finansiering av terrorism. Den innehåller inte heller någon uttömmande lista på riskfaktorer kopplade till de olika tjänster som tillhandhålls av revisionsföretaget. A-son har alltså även i detta avseende brustit i sina skyldigheter enligt penningtvättslagen och därigenom också i sina skyldigheter som revisor.
När det gäller de framtagna rutinerna och riktlinjerna anges i dessa att för de fall att kundrisken bedöms som låg kan kontroll av identitet göras efter det att affärsförbindelsen har etablerats.
Penningtvättslagen ger förvisso revisorer möjligheten att vidta förenklade kundkännedomsåtgärder vid låg risk. Detta befriar emellertid inte revisorn från skyldigheten att senast vid etableringen av affärsförbindelsen inhämta grundläggande kännedom om den kund som han eller hon ingår en affärsrelation med. Sådan grundläggande kundkännedom inbegriper identitetskontroll av såväl kundens företrädare som kundens verkliga huvudman. Mot denna bakgrund strider de rutiner och riktlinjer som revisionsföretaget har i detta avseende mot penningtvättslagen.
Kundkännedom och kundriskprofil
I rutinerna och riktlinjerna anges att bedömning, motivering och argumentation i åsättandet av kundens riskprofil ska framgå av dokumentationen. Det anges även att revisionsföretagets bedömning av kunder alltid utgår ifrån normal risk. Trots detta har A-son för snacksbolaget och blomsterbolaget bedömt kundriskprofilerna som låga. Av dokumentationen kan inte utläsas vilken kundkännedom som han inhämtade och när. Det framgår inte heller vilka överväganden som låg till grund för hans bedömningar. Några av de omständigheter som han har angett i sina yttranden till Revisorsinspektionen och som kan motivera de gjorda riskbedömningarna är att han hade känt sina kunder sedan länge, att han hade kunskap om var kapitalet i verksamheterna kom ifrån och att det inte hade förekommit några misstänkta transaktioner. De angivna omständigheterna medför dock inte att risken för penningtvätt eller finansiering av terrorism i uppdragen är lägre än i vilken verksamheten som helst. I ett av uppdragen, där han själv identifierade en risk för oegentligheter, var risken snarare att se som förhöjd. För det uppdraget finns inte heller någon dokumentation som visar att han vidtog några kundkännedomsåtgärder för att hantera den identifierade risken.
A-son har i dessa avseenden försummat sina skyldigheter enligt penningtvättslagen. Han har därigenom också åsidosatt sina skyldigheter som revisor.
3 Intäkter
3.1 Snacksbolaget
Snacksbolaget redovisade en nettoomsättning med 20,3 mnkr för räkenskapsåret.
I revisionsplaneringen antecknade A-son att risken för oegentligheter i intäkter var en betydande risk och att granskning skulle göras genom intern kontroll och substansgranskning. I dokumentet övergripande revisionsstrategi har antecknats att försäljningsprocessen hade en hög inneboende risk men lägre kontrollrisk, eftersom allt skedde integrerat i samma system. Av försättsbladet avseende rörelsens intäkter kan ett antal granskningsåtgärder utläsas. Bland annat finns det två granskningsåtgärder som avser bolagets interna kontroll, dels att redovisningen säkerställer att fakturor endast upprättas utifrån utleveransdokument eller annat grunddokument, dels att sålda ordrar matchas mot vad som utlevereras, faktureras och inbetalas till bolaget. A-sons granskning av bolagets interna kontroll omfattade sex fakturor vilka kontrollerades mot följesedel, leverans och betalning. Hans slutsats var att rutinen var effektiv. Revisionsdokumentationen innehåller dock ingen rutinbeskrivning avseende bolagets försäljningsprocess. Det kan inte heller utläsas om A-son identifierade några nyckelkontroller i försäljningsprocessen.
Av försättsbladet framgår även att avklipp, kreditnotor och lagervärdet granskades. Vidare finns, vad avser granskning av mervärdesskatt (moms), en hänvisning till en SieX-fil.1 A-sons slutsats var att posten kunde ligga till grund för bokslutet. Den SieX-fil som det refereras till innehåller ett antal flikar med olika benämningar och poster utan några anteckningar eller kommentarer om utförd granskning. Det finns i övrigt inga hänvisningar till några revisionsbevis i granskningsprogrammet.
A-son har uppgett följande.
Han hade tidigare intervjuat personer på bolaget angående försäljningsrutinen. Han hade också fått en revisorsinloggning som gjorde att han kunde ta del av räkenskapsinformationen. I transaktionsanalysprogrammet SieX gjorde han ett urval av fakturor till olika större kunder där han kontrollerade fraktsedel, faktura, bokföring samt att betalning hade skett. De redogörelser som han fick av bolagets personal och de kontroller som han gjorde gav honom intrycket att man hade god kontroll på försäljningsrutinen och utnyttjade integrationen mellan egna och anlitade transportörers system för att säkerställa god intern kontroll. Hans bedömning var att han kunde lita på den interna kontrollen och att han därför kunde dra ned på omfattningen av substansgranskningen av intäktsredovisningen.
Försäljningen gjordes till stora kända kunder. Bolaget hade stabil finansiering och personalen hade fasta avtalsenliga löner. Det framkom inga omständigheter som kunde tyda på oegentligheter och fel.
Han gjorde kontroller i SieX där han läste in hela bokföringen. Han gjorde detaljerade uppföljningar varje månad med bruttovinstanalyser. SieX kontrollerar att en inläst fil är korrekt, dvs. att debet och kredit stämmer och att ingående balans plus summan av alla transaktioner stämmer med utgående balans. Bokföringen blir lättöverskådlig och han har kraftfulla verktyg för att få en bra överblick över hela och delar av bokföringen. Med SieX månadsmatris kan han lätt se om det finns manipulationer av resultatet och försäljningen. Han valde ut större fakturor till olika kunder och kontrollerade att dessa var reella transaktioner, att kunden hade fått godset och att fakturan var betald. Vid årsskiftet granskade han tre specificerade kundfakturor. Utifrån hans granskning och iakttagelser kunde han inte se att redovisningen inte skulle vara fullständig.
SieX är ett analysverktyg för SIE-filer. SIE-filer är ett svenskt standardformat för att utväxla bokföringsdata mellan olika ekonomiprogram – Standard Import Export.
3.2 Blomsterbolaget
Blomsterbolaget redovisade för det aktuella räkenskapsåret en nettoomsättning med 128,3 mnkr.
I den dokumenterade övergripande revisionsstrategin antecknade A-son att kontrollmiljön bedömdes vara bra där alla parter ville bolagets bästa. I revisionsplaneringen anges att försäljningen var resurskrävande, eftersom kunderna var vana vid hög servicenivå vilket innebar hög risk. En betydande risk som identifierades var att försäljningsorder inte stämmer med utleverans, fakturerat och inbetalt. Enligt försättsbladet avseende rörelsens intäkter granskades fem fakturor för matchning mellan order och utleverans/fakturering/betalning. Vidare finns en hänvisning till SieX vad avser granskning av moms utifrån bolagets försäljning. I granskningsprogrammet på försättsbladet finns en granskningsåtgärd där rutinen ska kartläggas genom att en transaktion följs genom hela flödet (kundorder-utleverans-faktura-betalning). Här har antecknats att ordern registrerades av säljaren eller köparen i webbutiken och levererades och slutfakturerades varje vecka. Utöver detta har A-son antecknat att kontroll hade skett av kreditnotor och avklipp. Hans slutsats var att posten kunde ligga till grund för bokslutet.
Det finns inga hänvisningar till några revisionsbevis i granskningsprogrammet. Den SieX-fil som det refereras till innehåller ett antal flikar med olika benämningar och poster utan några anteckningar eller kommentarer om utförd granskning.
A-son har uppgett följande.
En del av bedömningen att det förelåg hög risk i redovisningen av intäkter var en bedömning som gjordes av moderbolagets revisorer. Denna grundades på att ledningen i bolaget hade bonusavtal som skulle kunna påverka ledningens önskan att redovisa för höga intäkter. Han bedömde dock inte att denna risk var hög utan att redovisningen gjordes med försiktighet.
Han gjorde ett urval av fakturor och bad personal i bolaget att visa i systemen att varorna var noterade som levererade och betalda. Han läste in redovisningen i SieX och analyserade räkenskapsinformationen innevarande och påföljande år, gick genom reskontror, kontrollerade försäljningsintäkter och bruttovinster månadsvis samt stämde av momsredovisningarna. Han gick även igenom rutinen för kreditbedömning och kundförluster. Han hittade inget som kunde tyda på att det fanns oegentligheter eller fel i intäktsredovisningen. Urvalet av de stickprov som han gjorde utgick från väsentliga belopp. Omfattningen av hans granskning framgår av SieX.
3.3 Revisorsinspektionens bedömning
Intäktsredovisningen är normalt ett väsentligt granskningsområde som revisorn har anledning att ägna särskild uppmärksamhet. Av A-sons dokumentation framgår att han bedömde att nettoomsättningen i båda bolagen var en väsentlig post att granska.
Enligt International Standard on Auditing (ISA) 330 Revisorns hantering av bedömda risker p. 21 ska revisorn, när han eller hon har fastställt att en bedömd risk för väsentliga felaktigheter på påståendenivån är en betydande risk, utföra substansgranskning med särskild inriktning på den risken. När revisorn hanterar en betydande risk enbart genom substansgranskning, ska granskningen enligt samma punkt innefatta detaljgranskning.
I fråga om snacksbolaget har A-son i sin dokumentation antecknat att han bedömde att bolagets interna kontroll av intäkter var effektiv. Det som kan utläsas av dokumentationen är att han för sex fakturor granskade att det hade skett utleverans, fakturering och betalning. Han har uppgett att han intervjuade personal på bolaget angående försäljningsrutinen och att de redogörelser som han fick och de kontroller som han gjorde gav honom intrycket att bolaget hade god kontroll på försäljningsrutinen och att integrationen mellan bolagets egna system och anlitade transportörers system säkerställde en god intern kontroll. Hans bedömning var därför att han kunde dra ned på omfattningen av substansgranskningen av intäktsredovisningen.
I dokumentationen som avser blomsterbolaget har A-son antecknat att han bedömde att kontrollmiljön i bolaget var bra. Vad gäller utförd granskning kan det av dokumentationen utläsas att han för fem fakturor granskade att det hade skett utleverans, fakturering och betalning.
A-son har uppgett att han i båda bolagen gjorde detaljerade uppföljningar i SieX-filen varje månad med bruttovinstanalyser och att han har kraftfulla verktyg för att få överblick över bokföringen och att han lätt kunde se om det fanns manipulationer av resultat och försäljning. De SieX-filer som finns i dokumentationen består av ett antal excelflikar. Innehållet i flikarna utgörs av sifferuppgifter baserade på den inlästa bokföringen. Det finns inga anteckningar eller kommentarer i dessa flikar. De åtgärder som han har antecknat i dokumentationen är begränsade till periodiseringskontroll, granskning av kreditnotor och bedömning av att lagervärdet är rimligt utifrån försäljningsutvecklingen. Revisionsdokumentationen innehåller inga ytterligare underlag utöver A-sons anteckningar.
Sammantaget konstaterar Revisorsinspektionen att de uppgifter som kan utläsas av dokumentationen och av A-sons yttranden till Revisorsinspektionen är på en övergripande nivå och att det saknas konkreta uppgifter om hur försäljningsprocessen såg ut eller vilka nyckelkontroller som han identifierade. A-son hade därmed inte för något av bolagen grund för att förlita sig på den interna kontrollen. Han var därför tvungen att i båda bolagen företa en substansgranskning. Varken hans dokumentation eller den beskrivning som han har lämnat i sina yttranden till inspektionen ger emellertid stöd för att han företog en substansgranskning som gav honom grund för att godta riktigheten och fullständigheten i den samlade intäktsredovisningen.
Bristerna vid A-sons granskning var sådana att han saknade grund för att tillstyrka fastställandet av båda bolagens resultat- och balansräkningar. Genom att ändå göra detta har han åsidosatt god revisionssed.
4 Varulager
4.1 Snacksbolaget
Varulager redovisades i årsredovisningen med 3,2 mnkr, vilket motsvarade 52 procent av balansomslutningen. I revisionsdokumentationen har A-son antecknat att lagerhållningen köptes externt, att lagerkvantiteterna skulle bekräftas av externa lagerhållare vilket innebar högre risk samt att granskning skulle ske genom intern kontroll och substansgranskning.
Bland de granskningsåtgärder som kan utläsas av dokumentationen märks bl.a. avklippskontroller, matchning av utleveranser mot fakturor och betalning samt pristest. Pristestet omfattade en artikel. Det fanns fem lagerställen. Två av dem svarade för huvuddelen av lagervärdet (94 procent). För dessa två lagerställen finns det underskrivna lagerintyg. Det ena lagerstället fanns i ett annat EU-land och redovisades som råvaror och förnödenheter (displaylådor och förpackningar). Det finns en anteckning om att lagret var felaktigt redovisat och att det i stället skulle vara färdigvarulager. Det andra lagerstället fanns i Sverige och redovisades som färdigvaror. På en granskningsfråga om inventering utförs på ett godtagbart sätt samt om det finns inventeringsinstruktioner antecknade A-son ”Ok” samt att inventeringsinstruktioner gavs muntligt eftersom lagret var av liten omfattning. På ett annat ställe i dokumentationen har antecknats att det fanns instruktioner till respektive lagerhållare på mejl med begäran om inventering samt att lagerintyg skulle utfärdas. Det finns inte några uppgifter i dokumentationen om hur inventeringen gick till eller resultatet av den. Det finns inte heller några uppgifter om att A-son vare sig närvarade vid någon inventering eller gjorde några tester eller uppföljningar av inventeringar. Hans slutsats var att posten kunde ligga till grund för bokslutet.
A-son har uppgett följande.
Lagret bestod av ett 20-tal färdiga produkter samt förpackningsmaterial såsom folier och displaylådor. Han kontrollerade inköpspriset för fyra artiklar. Vid priskontrollen framgick att utgifter för infrakt och för att få varan på plats inte ingick i lagervärdet. Kunden kunde beräkna dessa till drygt 50 tkr och lagervärdet ökades med detta via en bokföringsorder.
I samband med årsskiftet kommunicerade han med en person i bolaget angående instruktioner och detaljerad information gällande varulagret. I januari 2023 fick han ett underlag ”Inventering och HB-avstämning 2022-12-31”. Av detta underlag framgick att bolaget hade stämt av samtliga lager mot lagerbokföringen i bolagets redovisning. Bolaget hade fem olika lagerställen som hanterades av externa lagerhållare. Lagerhållarna hade egna lagerbokföringar som bolaget löpande jämförde med. Lagerhållarna inventerade vid boksluten. Kvantiteterna intygades av lagerhållarna och han bedömde därför att han inte behövde närvara vid inventeringen. I samband med bokslutet år 2018 närvarade han vid en inventering hos lagerhållaren i Helsingborg.
4.2 Blomsterbolaget
Varulager redovisas i årsredovisningen med 3,1 mnkr, vilket motsvarade 17 procent av balansomslutningen. I planeringen har A-son antecknat att Varulager var en post med identifierade risker, att risken var hög eftersom lagret av tillbehör var högt och gammalt och att det fanns en risk för övertalighet och därmed en risk för inkurans. Vidare har antecknats att det skulle göras en alternativ granskning avseende existens samt matchning av inköpsorder med faktura och betalning. Vad gäller pristest har antecknats att stickprovsgranskning av fakturor skulle göras för att stämma av lagervärdet. På en lagerlista är sju artiklar markerade; Revisorsinspektionen har uppfattat att pristestet avsåg dessa artiklar.
I dokumentationen har antecknats att A-son gjorde bl.a. avklippskontroller, matchning av inleveranser mot fyra fakturor och betalningen av dem och en avstämning av lagerlista mot huvudbok samt att han inhämtade ett underskrivet lagerintyg. I fråga om pristest finns antecknat att kontroll hade skett mot föregående år samt ”OK mot översända fakturor”.
A-son har vidare antecknat bl.a. följande. Han närvarade vid inventeringen av ett tidigare räkenskapsår (den 30 juni 2020). För det här aktuella räkenskapsåret hade att han inte kunnat närvara på grund av problem med inställda transporter. Han hade försökt att lösa detta genom alternativa granskningsåtgärder som bestod i att han tog del av personalens inventeringslistor. I dokumentationen finns en lista med bilder av olika produkter och tillbehör som finns till försäljning via bolagets web-shop. Vid de olika bilderna av produkterna finns det manuella anteckningar av inventerat antal. Det har antecknats att inventeringen utfördes vid tre olika tillfällen mellan den 17 och 22 juni 2022. Vidare framgår att det inte bedömdes föreligga någon inkurans, att det kunde finnas svårsålda artiklar bland tillbehören men att bolaget räknade med att få inköpspriset vid en utförsäljning.
A-son har uppgett följande.
När han fick revisionsuppdraget pratade han med en controller i bolaget som sade att lagret av tillbehör var gammalt och övertaligt och att det borde avvecklas. Han närvarade vid lagerinventeringen år 2020 och tog då med ansvarig personal i bolaget upp frågan om övertaligheten. Han ställde vid flera tillfällen frågor till bolaget om att detta lager borde reduceras väsentligt. Vid granskningen framkom att ett stort parti gravljus i glas kort efter inköpet hade förbjudits för användning på kyrkogårdar. Trots detta räknade bolaget med att kunna sälja ut dessa artiklar men det kunde ta en längre tid. Han slutsats var att lagret var till för att kunna serva kunderna och erbjuda ”onestopshopping”. Om man inte hade tillbehören, riskerade man att kunder handlade varan någon annanstans där de också skulle köpa krukväxter och snittblommor, vilket var bolagets huvudintäkt.
När han insåg att han det aktuella året inte kunde närvara vid inventeringen kontaktade han en person på bolaget för att erhålla lagerlistor för att få en uppfattning om lagrets storlek och sammansättning. Han gjorde sedan ett urval av artiklar som han bad att personen på bolaget skulle inventera.
Han kontrollerade priset mot faktura och föregående år och gjorde anteckningar på lagerlistorna. När det gäller värderingen av lagret talade han med bolaget som bedömde att det fått ut anskaffningsvärdet för produkterna och att dessa var säljbara. Han efterfrågade rapporter som kunde ligga till grund för en inkuransbedömning, såsom sålda enheter senaste året eller senaste inköpsdatum. Sådana rapporter kunde bolaget [dock] inte sammanställa.
4.3 Revisorsinspektionens bedömning
Enligt ISA 501Revisionsbevis – särskilda överväganden för vissa poster p. 4 ska revisorn, om varulagret är väsentligt för de finansiella rapporterna, inhämta tillräckliga och ändamålsenliga revisionsbevis rörande varulagrets existens och skick genom att närvara vid lagerinventering, såvida detta inte är praktiskt ogenomförbart. Om det inte är praktiskt genomförbart att närvara vid en lagerinventering, ska revisorn enligt p. 7 utföra alternativa granskningsåtgärder för att inhämta tillräckliga och ändamålsenliga revisionsbevis rörande varulagret existens och skick. Om detta inte är möjligt, ska revisorn modifiera uttalandet i revisorns rapport enligt ISA 705Modifierat uttalande i rapport från oberoende revisor p. 6 b) och FAR:s rekommendation i revisionsfrågor (RevR) 705 Modifierade uttalanden, upplysningar och anmärkningar i revisionsberättelsen p. 32 ff.
Närvaro vid bolagets lagerinventering innefattar att inspektera varulagret, försäkra sig om dess existens, utvärdera dess skick och utföra kontrollräkning. Vidare innefattar det att observera hur företagsledningens instruktioner följs och hur åtgärder för att registrera och kontrollera resultaten av lagerinventeringarna har utförts. Revisorn ska också inhämta revisionsbevis om tillförlitligheten i företagsledningens inventeringsmetoder.
När det gäller snacksbolaget gjorde A-son bedömningen att han inte behövde närvara vid lagerinventeringen, eftersom han fick lagerintyg från de externa lagerhållarna. Han antecknade i sin dokumentation att granskning skulle ske genom intern kontroll och substansgranskning. De uppgifter som kan utläsas av dokumentationen och av hans yttranden till Revisorsinspektionen är emellertid på en övergripande nivå och innehåller inga närmare uppgifter om hur lagerprocessen såg ut eller vilka nyckelkontroller som han identifierade hos bolaget eller de externa lagerhållarna. Sammantaget bedömer Revisorsinspektionen att A-sons granskning av bolagets rutiner och kontroller inte gav honom grund för att förlita sig på dessa vid sin granskning.
Han inhämtade visserligen intyg från två lagerhållare vad gäller kvantiteterna på respektive lagerställe. Det finns emellertid inga dokumenterade inventeringsinstruktioner eller uppgifter om resultatet av inventeringarna eller några andra uppföljande granskningsåtgärder gällande inventeringarna. A-son hade därmed inte tillräckliga revisionsbevis för att kunna dra några slutsatser om snacksbolagets varulager.
A-son närvarade inte heller vid lagerinventeringen i blomsterbolaget. Han har motiverat detta med att det var problem med inställda transporter och har uppgett att han vidtog alternativa granskningsåtgärder genom att ta del av personalens inventeringslistor samt valde ut artiklar som han bad personalen inventera på nytt. Han vidtog emellertid inga egna kontroller för att verifiera de uppgifter som han fått av bolagets personal. Hans granskningsåtgärder gav honom därför inte tillräckliga och ändamålsenliga revisionsbevis för varulagrets existens och skick.
Vad gäller värdet av blomsterbolagets varulager noterar Revisorsinspektionen inledningsvis att omsättningstillgångar som huvudregel ska tas upp till det lägsta av anskaffningsvärdet och nettoförsäljningsvärdet på balansdagen. Inspektionen noterar också att A-son bedömde att varulagret var en väsentlig post och att det fanns risker kopplade till dess värderingen. Mot bakgrund av det hade han skäl att ägna värderingen av varulagret särskild uppmärksamhet. Den granskning som han utförde utgjordes endast av substansgranskning. Den stickprovsvisa granskning som han därvid företog var enligt Revisorsinspektionens mening inte tillräcklig som revisionsbevis för slutsatsen att varulagret var korrekt värderat. Hans uppgifter om att han förde regelbundna diskussioner med ansvarig personal vid bolaget om risken för övertalighet och att han efterfrågade rapporter som kunde ligga till grund för en inkuransbedömning föranleder ingen annan bedömning.
Revisorsinspektionen bedömer sammantaget att de åtgärder som A-son vidtog inte gav honom underlag för att i något av bolagen godta varulagrets existens eller skick och att han inte heller hade underlag för att godta värdet av varulagret i blomsterbolaget. Bristerna var sådana att han – med hänsyn till varulagrets betydelse i båda bolagen – saknade grund för att tillstyrka fastställandet av bolagens resultat- och balansräkningar. Genom att ändå göra detta har han åsidosatt god revisionssed.
5 Sammanfattande bedömning och val av disciplinär åtgärd
Revisorsinspektionen har funnit flera brister i A-sons fullgörande av sina skyldigheter enligt penningtvättslagen.
Fram till december 2022 hade han över huvud taget inte upprättat någon allmän riskbedömning eller några rutiner och riktlinjer för revisionsföretaget. Den allmänna riskbedömning och de rutiner och riktlinjer som han sedermera upprättade uppfyller inte penningtvättslagens och penningtvättsföreskrifternas krav. Vidare har han i båda de nu aktuella uppdragen försummat att vidta tillräckliga åtgärder för kundkännedom. Även hans bedömningar av kundernas riskprofiler har varit bristfälliga.
Vid revisionen har A-son inte gjort en tillräcklig granskning av bolagens intäkter och varulager och har till följd av det inte haft grund för att tillstyrka fastställandet av bolagens resultat- och balansräkningar.
A-son har i ovan nämnda avseenden allvarligt åsidosatt sina skyldigheter som revisor. Han ska därför meddelas en disciplinär åtgärd. Den disciplinära åtgärden ska, med stöd av 32 § andra stycket revisorslagen (2001:883), bestämmas till varning.
Revisorsinspektionen finner att det mot bakgrund av de omfattande bristerna i A-sons åtgärder på penningtvättsområdet som förelegat under flera år finns särskilda skäl för att, med stöd av 32 § a revisorslagen, förena varningen med en sanktionsavgift. Vid en överträdelse av penningtvättslagen gäller enligt 32 k § revisorslagen särskilda bestämmelser om sanktionsavgiftens storlek. Om det går att fastställa den vinst som har gjorts till följd av regelöverträdelsen, ska avgiften uppgå till högst två gånger denna vinst. I annat fall ska avgiften uppgå till högst ett belopp i kronor som motsvarar en miljon euro. Sanktionsavgiften ska enligt lagens förarbeten vara proportionell och avskräckande. När avgiften bestäms ska också de allmänna bestämmelserna om sanktionsavgifters storlek som finns i 32 d – 32 f §§ revisorslagen beaktas. Det innebär att avgiften ska stå i proportion till överträdelsens allvar, hur länge den har pågått och verksamhetsutövarens finansiella ställning och den vinst som har gjorts genom överträdelsen. I detta ligger, enligt Revisorsinspektionens bedömning, att det bör vägas in bl.a. vilka slag av företag som revisorn har granskat – varvid det finns anledning att se mer allvarligt på försummelser som avser större företag eller företag av allmänt intresse – och vilken omfattning som revisionsverksamheten har haft. När det är fråga om försummelser som inte kan antas vara uppsåtliga och som avser revisionen av ett fåtal mindre privata aktiebolag bör enligt Revisorsinspektionens mening sanktionsavgiften normalt bestämmas inom den nedersta delen av sanktionsskalan.
Revisorsinspektionen anser vid en sammantagen bedömning att sanktionsavgiften för A-son bör bestämmas till 60.000 kr. Sanktionsavgiften tillfaller staten och ska betalas när beslutet har vunnit laga kraft.
FAR:s kommentar
Revisorn uppger att han inte har närvarat vid inventeringen på grund av problem med inställda transporter. Om det inte är praktiskt genomförbart att närvara vid en inventering, ska revisorn, enligt ISA 501 Revisionsbevis – särskilda överväganden för vissa poster utföra alternativa granskningsåtgärder för att inhämta tillräckliga och ändamålsenliga revisionsbevis rörande lagrets existens och skick.
Att det inte är praktiskt genomförbart att närvara vid inventeringen kan, enligt ISA 501, bero på att lagret exempelvis finns på en plats som kan utgöra hot mot revisorns säkerhet. Men att det skulle vara svårt eller kostsamt att närvara vid inventering är inte skäl nog. Revisorsinspektionen kommenterar i detta fall inte huruvida inställda transporter är ett giltigt skäl att inte närvara vid inventeringen.