Beslut: Revisorsinspektionen ger auktoriserade revisorn A-son en varning förenad med en sanktionsavgift om 60.000 kr.

1 Inledning

A-son har varit föremål för kvalitetskontroll och har då bedömts inte bedriva sin revisionsverksamhet enligt god revisionssed och god revisorssed. Detta har föranlett Revisorsinspektionen att öppna ett ärende inom ramen för den riskbaserade tillsynen.

A-son har bedrivit sin revisionsverksamhet som enskild näringsverksamhet sedan år 2019. Revisorsinspektionen har i ärendet utrett hur han har fullgjort sina och revisionsföretagets skyldigheter enligt lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättslagen). Revisorsinspektionen har för ärendets utredning även inhämtat dokumentation över hans revision av två aktiebolag räkenskapsåret 2023, här benämnda transportbolaget och konsultbolaget.

2 Åtgärder enligt penningtvättsregelverket

2.1 Rättslig reglering

Penningtvättslagen gäller för fysiska och juridiska personer som driver vissa i lagen uppräknade verksamheter, däribland sådan verksamhet som en auktoriserad eller godkänd revisor eller ett registrerat revisionsbolag bedriver (se 1 kap. 2 § första stycket 18). Det innebär att såväl enskilda revisorer som juridiska personer som bedriver revisionsverksamhet är skyldiga att följa lagens bestämmelser och de föreskrifter som har meddelats på området.

Allmän riskbedömning

Ett revisionsföretag ska – såsom verksamhetsutövare i penningtvättslagens mening – enligt 2 kap. 1 § penningtvättslagen göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är för att detta sker (allmän riskbedömning). Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns samt vilka geografiska riskfaktorer som föreligger. Enligt 3 § Revisorsinspektionens föreskrifter (RIFS 2021:1) om åtgärder mot penningtvätt och finansiering av terrorism (penningtvättsföreskrifterna) ska den allmänna riskbedömningen innehålla en identifikation av verksamhetens tjänster och produkter, en beskrivning av de hot som är relevanta för tjänsterna och produkterna, en beskrivning av de egenskaper som kan göra revisionsföretagets verksamhet eller tjänster och produkter sårbara för försök till att utnyttjas för penningtvätt eller finansiering av terrorism och en värdering av riskerna som är förenade med de beskrivna hoten och sårbarheterna. Enligt 2 kap. 2 § penningtvättslagen ska riskbedömningen utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Den allmänna riskbedömningen ska dokumenteras och hållas uppdaterad.

Rutiner och riktlinjer

Ett revisionsföretag ska vidare, enligt 2 kap. 8 § penningtvättslagen, ha dokumenterade rutiner och riktlinjer avseende sina åtgärder för kundkännedom, övervakning och rapportering samt för behandling av personuppgifter. Dessa ska fortlöpande anpassas efter nya och förändrade risker för penningtvätt och finansiering av terrorism. I 4 § penningtvättsföreskrifterna anges att revisionsföretaget, på grundval av en riskbedömning, men minst en gång per år, ska utvärdera och vid behov uppdatera den allmänna riskbedömningen och sina rutiner och riktlinjer. Datum för utvärderingen och eventuell uppdatering ska dokumenteras.

Kundens riskprofil

Av 2 kap. 3 § penningtvättslagen framgår att en revisor ska bedöma den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen (kundens riskprofil). Kundens riskprofil ska bestämmas med utgångspunkt i den allmänna riskbedömningen och revisorns kännedom om kunden. När det behövs för att bestämma kundens riskprofil ska revisorn beakta bland annat omständigheter som avses i 2 kap. 4 och 5 §§ penningtvättslagen och andra omständigheter som i det enskilda fallet påverkar risken som kan förknippas med kundrelationen. Kundens riskprofil ska följas upp under pågående affärsförbindelser och ändras när det finns anledning till det.

Som omständigheter som kan tyda på att risken för penningtvätt och finansiering av terrorism är låg kan revisorn enligt 2 kap. 4 § penningtvättslagen beakta bland annat att kunden

  1. är en stat, en region, en kommun eller motsvarande eller en juridisk person över vilken en stat, en region, en kommun eller motsvarande, var för sig eller tillsammans, har ett direkt eller indirekt rättsligt bestämmande inflytande,

  2. har hemvist inom EES,

  3. har hemvist i en stat som har bestämmelser om åtgärder mot penningtvätt och finansiering av terrorism som motsvarar dem i denna lag och som tillämpar dessa bestämmelser på ett effektivt sätt,

  4. har hemvist i en stat som har en låg nivå av korruption och annan relevant brottslighet, och

  5. är ett företag vars överlåtbara värdepapper är upptagna till handel på en reglerad marknad inom EES eller på en motsvarande marknad utanför EES.

Kundkännedom

En revisor ska enligt 3 kap. 4 § penningtvättslagen vidta åtgärder för kundkännedom vid etableringen av en affärsförbindelse. Revisorn får enligt 3 kap. 1 § över huvud taget inte etablera eller upprätthålla en affärsförbindelse om revisorn inte har tillräcklig kännedom om kunden för att kunna hantera den risk för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen och för att övervaka och bedöma kundens aktiviteter och transaktioner.

Enligt 3 kap. 7 § penningtvättslagen ska revisorn identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa. Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska revisorn kontrollera den personens identitet och behörighet att företräda kunden.

Enligt 3 kap. 8 § penningtvättslagen ska revisorn utreda om kunden har en verklig huvudman. En sådan utredning ska avse åtminstone sökning i det register över verkliga huvudmän som Bolagsverket för. Om kunden är en juridisk person, ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska revisorn vidta åtgärder för att kontrollera den verkliga huvudmannens identitet. Enligt 3 kap. 9 § penningtvättslagen ska kontrollen av kundens och den verkliga huvudmannens identitet slutföras innan en affärsförbindelse etableras.

Revisorn ska vidare enligt 3 kap. 10 och 11 §§ penningtvättslagen bedöma om kunden eller kundens verkliga huvudman är en person i politiskt utsatt ställning samt om kunden är etablerad i ett s.k. högrisktredjeland. Revisorn ska enligt 3 kap. 13 § löpande och vid behov följa upp pågående affärsförbindelser i syfte att säkerställa att kännedomen om kunden är aktuell och tillräcklig för att hantera den bedömda risken för penningtvätt eller finansiering av terrorism. Åtgärderna för kundkännedom ska, enligt 3 kap. 14 §, ha den omfattning som behövs med hänsyn till kundens riskprofil och övriga omständigheter.

Utvärdering och dokumentation

Av 9 § penningtvättsföreskrifterna följer att en revisor under pågående uppdrag, på grundval av en riskbedömning men minst en gång per år, ska utvärdera kundkännedomen och kundens riskprofil samt vid behov uppdatera dessa. Enligt 5 kap. 3 § penningtvättslagen ska revisorn bevara handlingar och uppgifter avseende åtgärder som har vidtagits för kundkännedom i fem år. Tiden ska räknas från det att åtgärderna utfördes eller, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde. Av dokumentationen ska framgå bl.a. vilka granskningsåtgärder som har utförts, vad dessa har omfattat samt när och hur granskningsåtgärderna har utförts, se 11 § penningtvättsföreskrifterna med hänvisning till 7 och 9 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet (verksamhetsföreskrifterna). Dokumentationen ska vara tydlig och strukturerad på ett överskådligt sätt. Den ska vara inriktad på väsentlig information men ändå så detaljerad att revisorns arbete kan bedömas i efterhand.

2.2 Allmän riskbedömning och rutiner och riktlinjer

Vid kvalitetskontrollen, som genomfördes den 17 december 2024, påtalades att A-son inte hade upprättat någon allmän riskbedömning avseende penningtvätt och finansiering av terrorism.

A-son har under den utredning som Revisorsinspektionen därefter har gjort skickat in ett dokument rubricerat ”Byråpolicy penningtvätt Avser [den enskilda näringsverksamheten] samt [revisionsföretaget AB]”. Dokumentet är upprättat den 8 januari 2025. Det utgör en mall med information om vad en allmän riskbedömning och rutiner och riktlinjer ska innehålla samt utdrag ur penningtvättslagen. Dokumentet innehåller ingen bedömning av revisionsföretagets tjänster och produkter, inga identifierade hot och sårbarheter eller någon riskbedömning. Det finns ingenting i dokumentet som rör A-sons revisionsföretag.

A-son har även skickat in ett dokument som är rubricerat ”Policy mot penningtvätt” och daterat den 20 mars 2025. Inledningsvis anges i detta dokument att revisionsföretaget endast ska åta sig nya uppdrag med följande kriterier:

  • ingen kontantförsäljning

  • ingen varulagerhantering

  • endast B2B-försäljning

  • endast bolag med en aktieägare och med långvarigt och stabilt ägarengagemang

  • ingen eller endast mindre utlandsbetalningar

  • inget ägande av personer som är PEP eller PEP i bolagets styrelse, varken direkt eller indirekt

Policyn innehåller även några mer detaljerade uppgifter rörande kontroll av kundens identitet, uppföljning av affärsförbindelsen, uppgifts- och granskningsskyldighet och utbildning. I dokumentet anges även att det finns en riskbedömning avseende de risker för penningtvätt som verksamheten kan utsättas för. Revisorsinspektionen har trots fråga därom inte fått del av någon sådan riskbedömning. Vidare anges i dokumentet att A-son har fastställt regler för åtgärder mot penningtvätt och att det finns rutiner och riktlinjer om åtgärder för kundkännedom, övervakning och rapportering, behandling av personuppgifter, lämplighetsprövning, rutiner för att skydda från hot eller fientliga åtgärder, internkontroll, regelefterlevnad och intern information samt rutiner för modellriskhantering. Revisorsinspektionen har, trots fråga om detta, inte fått del av några sådana framtagna rutiner och riktlinjer.

A-son har uppgett följande.

Den allmänna riskbedömningen samt rutinerna och riktlinjerna upprättades i januari 2025 efter rekommendation från kvalitetskontrollanten.

I mars 2025 upprättade han ett nytt dokument avseende byråpolicy. Han grundar nu sin bedömning avseende penningtvätt på det faktum att klienten under räkenskapsåret

  1. endast haft B2B-intäkter

  2. inte haft någon kontantförsäljning

  3. varken klientens ägare eller dess styrelse utgörs av PEP

  4. inte haft någon betalning från eller till utlandet, utom endast undantagsfall och mindre belopp,

  5. inte haft vare sig större kontanta insättningar eller uttag

  6. inte haft förändring avseende

    1. nya bokslut

    2. styrelseförändring/huvudman

    3. firmaändring

    4. momsstatus

    5. F-skatt

    6. adress.

Han bevakar förändringar i klientföretagens uppgifter enligt p. 6 genom att han erhåller veckovisa e-postmeddelanden med information om eventuella förändringar.

2.3 Kundkännedom och kundriskprofil

I revisionsdokumentationen för transportbolaget finns ett försättsblad/checklista avseende uppdragsbedömning. A-son har i denna svarat ”ja” på påståendena om att det inte finns något i verksamheten som indikerade penningtvätt, att verklig huvudman är registrerad hos Bolagsverket och att varken kunden eller dennes verkliga huvudman är PEP. I dokumentationen finns även en kopia av en identitetshandling. Vidare finns en checklista avseende penningtvätt ifylld den 14 juni 2024 i vilken A-son bl.a. har noterat att det rörde sig om ett gammalt uppdrag, varför någon identitetskontroll inte krävdes, och att inga transaktioner misstänktes härröra från en straffbar handling. Hans sammanfattande bedömning var att det inte syntes föreligga några tecken på brott mot penningtvättslagen. Av dokumentationen kan inte utläsas vilka åtgärder som han vidtog för att inhämta kundkännedom eller för att ta ställning till påståendena i de olika checklistorna. Det finns inte heller någon bedömning av kundens riskprofil.

Också i revisionsdokumentationen för konsultbolaget finns det en checklista avseende penningtvätt. I listan, som är ifylld den 4 juni 2024, har A-son svarat ”ja” på påståendena om att identitetskontroll utfördes i samband med antagandet av uppdraget, att företaget inte bedrev verksamhet som omfattade rapporteringsplikt enligt penningtvättslagen, att inga transaktioner misstänktes härröra från en straffbar handling och att inga tecken på brott mot penningtvättslagen syntes föreligga. I dokumentation finns även en kopia av en identitetshandling. Av dokumentationen kan inte utläsas vilka åtgärder A-son vidtog för att inhämta kundkännedom eller ta ställning till påståendena i checklistan. Det finns inte heller någon bedömning av kundens riskprofil. A-son har vad gäller risken för oegentligheter i intäktsredovisningen noterat följande: “Verksamhetens inriktning mot företagsmarknaden minimerar risken för penningtvätt. Min bedömning är att låg risk föreligger avseende penningtvätt och förskingring av tillgångar.” Det kan inte utläsas om detta är den bedömda kundriskprofilen eller vad som legat till grund för hans bedömning.

A-son har uppgett följande.

Han baserade sin kundkännedom i båda bolagen på att de var renodlade B2B-klienter. I respektive bolag fanns ett avtal med extern part som låg till grund för bolagens enda inkomstkälla. Såväl transportbolagets som konsultbolagets ägare och styrelseledamöter var folkbokförda i Sverige och ingen av dessa var PEP. Det hade inte heller skett några förändringar i bolagen under året bortsett från valet av en revisor i konsultbolaget, eftersom såväl omsättnings- som balansomslutningskraven för revisionsplikt var uppnådda. Konsultbolagets enda anställda, tillika dess ägare och styrelseledamot, närmade sig pensionsåldern och skulle bedriva verksamhet så länge intresse fanns för bolagets tjänster eller till dess att denne valde att ta ut sin pension. Varken transportbolaget eller konsultbolaget hade kontantförsäljning eller utlandstransaktioner. Åtgärderna för kundkännedom gjordes i juni 2024 för båda bolagen.

Mot bakgrund av detta bedömde han risken för penningtvätt och finansiering av terrorism som låg i båda bolagen. Han beaktade även

  1. att transportbolagets ägare och styrelseledamot var en långvarig klient sedan år 2013,

  2. att bolagens ägare och tillika styrelseledamöter identifierades med körkort,

  3. att det inte förekom några avvikande in- eller utbetalningar under år 2023,

  4. att det inte förekom några rörelsefrämmande inköp av inventarier under år 2023, och

  5. att inga bevakningsmejl erhölls under året avseende:

    1. styrelseförändring/huvudman

    2. firmaändring

    3. momsstatus

    4. F-skatt eller

    5. adressändring

2.4 Revisorsinspektionens bedömning

Allmän riskbedömning och rutiner och riktlinjer

A-son har bedrivit sin revisionsverksamhet som enskild näringsverksamhet sedan år 2019 och hade ännu vid kvalitetskontrollen i december 2024 inte upprättat någon allmän riskbedömning eller tagit fram rutiner och riktlinjer så som en verksamhetsutövare enligt 2 kap. 1 och 8 §§ penningtvättslagen ska göra. Att bedriva revisionsverksamhet utan att först ha gjort en allmän riskbedömning och inrättat rutiner och riktlinjer står i strid med lag. Betydelsen av en allmän riskbedömning och av rutiner och riktlinjer av detta slag ligger inte minst däri att åtgärderna utgör förutsättningar för att revisorn ska kunna bedöma och hantera riskerna i enskilda uppdrag. A-son har genom att inte upprätta någon allmän riskbedömning eller ta fram rutiner och riktlinjer förrän i januari 2025 åsidosatt sina skyldigheter enligt penningtvättslagen och därigenom sina skyldigheter som revisor.

När det gäller den byråpolicy med allmän riskbedömning och rutiner och riktlinjer som han tog fram i januari 2025 utgörs dessa endast av mallar för vad en allmän riskbedömning och rutiner och riktlinjer ska innehålla. Dokumentet innehåller inte några faktiska bedömningar av de tjänster som revisionsföretaget bedriver och den ger enbart ytterst sparsam vägledning för hur penningtvättsfrågor ska hanteras inom revisionsföretaget. De dokument som finns kan alltså inte anses uppfylla vare sig kravet på en allmän riskbedömning eller kravet på rutiner och riktlinjer enligt penningtvättslagen.

Den policy mot penningtvätt som är upprättad i mars 2025 är inte heller heltäckande utifrån vad en allmän riskbedömning och rutiner och riktlinjer ska innehålla.

A-son har alltså ännu inte upprättat någon sådan allmän riskbedömning eller rutiner och riktlinjer som penningtvättslagen kräver. Han har därigenom åsidosatt sina skyldigheter enligt penningtvättslagen och sina skyldigheter som revisor.

Kundkännedom och kundriskprofil

I fråga om båda bolagen har A-son fyllt i checklistor där han har besvarat några påståenden rörande penningtvätt. Utöver en kopia av en identitetshandling i respektive uppdrag finns dock inget underlag som visar att han vidtog några åtgärder för att inhämta kundkännedom. I sitt yttrande har han endast redogjort för vissa omständigheter som han baserade sin kundkännedom på. Inte heller hans yttrande till Revisorsinspektionen ger något besked om vilka åtgärder, om några, som han vidtog för att inhämta kundkännedom. Revisorsinspektionen kan mot denna bakgrund inte dra annan slutsats än att han i båda uppdragen saknade tillräcklig kundkännedom.

Dokumentationen innehåller inte heller någon kundriskprofil för något av bolagen. A-son har i sitt yttrande uppgett att kundens riskprofil i båda uppdragen hade bedömts som låg. De uppgifter som, enligt vad han uppgett, låg till grund för den bedömningen motiverade emellertid inte att risken bedömdes som lägre än normal. Den åsatta risken var alltså felaktig.

A-son har genom att inte skaffa sig kundkännedom i tillräcklig omfattning och genom den felaktiga bedömningen av kundernas riskprofiler åsidosatt sina skyldigheter enligt penningtvättsregelverket och därigenom sina skyldigheter som revisor.

3 Sammanfattande bedömning och val av disciplinär åtgärd

Revisorsinspektionen har funnit flera brister i A-sons fullgörande av sina skyldigheter enligt penningtvättslagen.

A-son har sålunda under flera år (2021 – januari 2025) bedrivit revisionsverksamhet utan att ha upprättat någon som helst allmän riskbedömning eller några rutiner och riktlinjer för revisionsföretaget. Han har inte heller genom den byråpolicy som han upprättade i januari 2025 eller den policy mot penningtvätt som tillkom i mars 2025 uppfyllt penningtvättslagens och penningtvättsföreskrifternas krav i dessa hänseenden. Vidare har han inte i något av de nu aktuella uppdragen vidtagit tillräckliga åtgärder för att inhämta kundkännedom och han har inte haft grund för sina bedömningar av kundernas riskprofiler. Bristerna i hans fullgörande av penningtvättslagens krav har sammantaget varit omfattande.

A-son har i de nu nämnda avseendena åsidosatt sina skyldigheter som revisor. Han ska därför meddelas en disciplinär åtgärd. Åsidosättandena avser allvarliga brister i fullgörandet av regelverket mot penningtvätt och finansiering av terrorism. Den disciplinära åtgärden ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), bestämmas till varning.

Eftersom bristerna har varit omfattande och förelegat under flera år, finns det särskilda skäl för att, med stöd av 32 § a revisorslagen, förena varningen med en sanktionsavgift. Vid en överträdelse av penningtvättslagen gäller enligt 32 k § revisorslagen särskilda bestämmelser om sanktionsavgiftens storlek. Om det går att fastställa den vinst som har gjorts till följd av regelöverträdelsen, ska avgiften uppgå till högst två gånger denna vinst. I annat fall ska avgiften uppgå till högst ett belopp i kronor som motsvarar en miljon euro. Sanktionsavgiften ska enligt lagens förarbeten vara proportionell och avskräckande. När avgiften bestäms ska också de allmänna bestämmelserna om sanktionsavgifters storlek som finns i 32 d32 f §§ revisorslagen beaktas. Det innebär att avgiften ska stå i proportion till överträdelsens allvar, hur länge den har pågått och verksamhetsutövarens finansiella ställning och den vinst som har gjorts genom överträdelsen. I detta ligger, enligt Revisorsinspektionens bedömning, att det bör vägas in bl.a. vilka slag av företag som revisorn har granskat – varvid det finns anledning att se mer allvarligt på försummelser som avser större företag eller företag av allmänt intresse – och vilken omfattning som revisionsverksamheten har haft. När det är fråga om försummelser som inte kan antas vara uppsåtliga och som avser revisionen av ett fåtal mindre privata aktiebolag bör enligt Revisorsinspektionens mening sanktionsavgiften normalt bestämmas inom den nedersta delen av sanktionsskalan.

Revisorsinspektionen anser vid en sammantagen bedömning att sanktionsavgiften för A-son bör bestämmas till 60.000 kr. Sanktionsavgiften tillfaller staten och ska betalas när beslutet har vunnit laga kraft.