Länsstyrelserna, som har till uppgift att granska redovisningsbyråer i Sverige för att bedöma om de följer penningtvättsregelverken, har haft ett intensivt år med tillsyn över redovisningsbyråer.
Under 2023 utfärdade tillsynsmyndigheterna sanktioner uppgående till mellan 75 000 och 5 000 000 kronor. Revisorsinspektionen har meddelat en varning.
För en redovisningsbyrå som vill undvika sanktioner rekommenderas det starkt att följa praxis inom området och undvika vanliga misstag som görs av sina kamrater.
Hur allvarlig är risken för att redovisningsverksamheter utnyttjas för penningtvätt?
Den nationella riskbedömningen av penningtvätt och finansiering av terrorism i Sverige fann att den totala risken för penningtvätt inom redovisnings- och revisionssektorn är betydande.
Det beror på att även om redovisningsverksamheter inte direkt används för att utföra olagliga transaktioner, kan de fortfarande utnyttjas som en del av ekonomiska brottsplaner. Till exempel för att bygga legitima fasader för företag eller på annat sätt ge skenbar legitimitet för olagliga transaktioner.
Bokförings- och redovisningskonsulter har unika insikter i kundernas transaktioner och bör kunna upptäcka misstänksamheter, både i kundernas verksamheter och aktiviteterna med deras intressenter (såsom deras kunder och leverantörskedjor). Detta gäller särskilt när man arbetar med företag i branscher som är kända för att vara mer utsatta för ekonomisk brottslighet, såsom bygg, hotell- och restaurang och andra branscher med historiskt relativt hög grad av t.ex. svart arbetskraft.
Kraven på redovisningsbyråer när det gäller riskbedömningar och åtgärder för kundkännedom är nu lika långtgående som för finansiella företag. Ändå använder många redovisningsverksamheter fortfarande gamla mallar och föråldrade arbetsmetoder som inte lever upp till tillsynsmyndigheternas förväntningar.
Vilka AML-överträdelser var vanligast bland svenska redovisningsbyråer?
Länsstyrelserna och Revisorinspektionen har vid tillsyn av redovisningsbyråer funnit regelöverträdelser både i fråga om allmänna riskbedömningar och policyer/rutiner/kontroller.
Enligt penningtvättsregelverken ska verksamhetsutövare regelbundet bedöma risken för att deras verksamhet utnyttjas för penningtvätt eller finansiering av terrorism. Denna allmänna riskbedömning är nödvändig för att identifiera och genomföra lämpliga åtgärder för att mitigera riskerna.
Sådana åtgärder ska avspeglas policyer, förfaranden och kontroller av kundriskklassificering, riskhantering, kundmedvetenhet, utredningar, rapportering och bevarande av dokument och information för att effektivt förhindra penningtvätt och finansiering av terrorism.
Riktlinjer från länsstyrelserna till revisionsbyråerna för att korrekt utföra sina interna riskbedömningar
För att bedöma sin egen riskexponering ska verksamhetsutövare genomföra en allmän riskbedömning, som måste dokumenteras och finnas tillgänglig för tillsynsmyndigheten. Enligt penningtvättsregelverken ska följande faktorer beaktas i en allmän riskbedömning:
- verksamhetens art och komplexitet
- företagets storlek
- den bransch inom vilken företaget är verksamt (tjänster och kundrelationer)
- företagets kunder
- de länder där företaget gör affärer
- de distributionskanaler som används
- information från företagets egen rapportering om misstänkt transaktion till myndigheterna
- allmän information om trender, risker m.m. som tillhandahålls av t.ex. myndigheter
Vid granskningen av redovisningsbyråernas efterlevnad fann länsstyrelserna att företagen inte i tillräcklig utsträckning anpassade riskbedömningen till sin egen specifika verksamhet.
För att göra en korrekt allmän riskbedömning (och klara en revision från Länsstyrelserna respektive Revisorsinspektionen) kan du tillämpa följande punkter som en checklista:
- Den allmänna riskbedömningen ska omfatta alla tjänster som tillhandahålls och som omfattas av penningtvättsregelverket.
- Det måste vara tydligt hur företagets egna tjänster kan användas för penningtvätt (”PT”) och finansiering av terrorism (”FT”).
- De branscher där kunderna är verksamma ska specificeras i den interna riskbedömningen samt de risker som finns i respektive bransch.
- De risker som är hänförliga till redovisningsbyråns kunder ska avse det specifika företagets kunder, inte de allmänna kundtyperna.
- Riskbeskrivningarna bör innehålla skäl och förklaringar till risknivåerna, med motivering av när och hur en viss risk är relevant.
- Riskreducerande faktorer ska vara kopplade till faktiska risker.
- Både faktiska hot och potentiella sårbarheter måste hanteras.
- Om högrisktransaktioner förekommer bör detta anges i den allmänna riskbedömningen.
- Allmänna riskbedömningar ska uppdateras regelbundet (minst en gång om året och oftare vid förändringar i verksamheten eller omvärldsfaktorer). Uppdateringar måste dokumenteras och finnas tillgängliga för myndigheterna.
- Den allmänna riskbedömningen ska baseras på affärsverksamhetens storlek och art.
- Den allmänna riskbedömningen bör ge en bild av den totala risknivån för hela verksamheten, inklusive externa faktorer.
De vanligaste felen som revisionsbyråerna gör när de upprättar sina rutiner, riktlinjer och kontroller
Brister i den allmänna riskbedömningen är ett allvarligt problem eftersom den allmänna riskbedömningen ligger till grund för de policyer, rutiner och kontroller som implementeras i företaget – inklusive praktiska detaljer som hur man klassificerar kunder baserat på deras risknivå.
Länsstyrelserna och Revisorsinspektionen fann att vissa av de granskade verksamheterna inte uppfyllde de krav som ställs på riktlinjer, rutiner och kontroller. Nedan hittar du några exempel på de brister som identifierats i de granskade företagen (dvs. en lista över misstag som du bör undvika för att säkerställa fullständig efterlevnad):
- Företag ingår eller upprätthåller kundrelationer som policyerna förbjuder.
- Företag förlitar sig på åtgärder för kundkännedom som utförs av tredje part som inte omfattas av penningtvättslagen.
- Företag underlåter att beskriva hur skärpta åtgärder för kundkännedom ska genomföras i praktiken.
- Företag beskriver inte vilken exakt data som ska samlas in i kontinuerlig KYC-uppföljning och hur, eller vilka konkreta händelser som kan utlösa en uppdatering av kundkännedomen.
- Den information som samlades in om kunder var inte tillräckligt kopplad till de risker som identifierats i den interna riskbedömningen.
- Underlåtenhet att dokumentera innehållet i utbildningarna, vilket gör det omöjligt att bedöma om de har anpassats till olika personalkategorier utifrån deras funktioner och arbetsuppgifter.
- Underlåtenhet att specificera förfarandena (och den åtgärd som faktiskt genomförts) för att skydda anställda för att garantera säkerheten och anonymiteten för den som rapporterar misstankar om penningtvätt eller finansiering av terrorism.
- Underlåtenhet att förklara hur den kontinuerliga övervakningen av affärsrelationerna ska utföras – dvs. hur kunder ska kontrolleras eller hur företaget ska upptäcka aktiviteter och transaktioner som avviker från vad företaget har anledning att förvänta sig, vilka aktiviteter och avvikelser som kan motivera en närmare granskning/utredning och hur den utredningen ska genomföras (t.ex. vilka skärpta åtgärder som ska vidtas).
- Avsaknad av ett system som ger snabb och fullständig information om huruvida företaget har haft en affärsförbindelse med en viss person under de senaste fem åren och, om så är fallet, om relationens art.
- Underlåtenhet att klargöra vilka kontroller som ska genomföras, hur och med vilken frekvens.
- Styrdokument hänvisar till upphävda regler.
- Tillräcklig hänsyn har inte tagits till att kunden befinner sig i en högriskbransch när risken klassificerats och åtgärder för att minska den risken vidtagits.
- Den information som revisorn behöver samla in i egenskap av revisor är ofta inte tillräcklig för att också följa AML-reglerna. Revisorn ska också bedöma de enskilda risker som är förknippade med kunden när det gäller penningtvätt och finansiering av terrorism.
- Förstärkta åtgärder måste anpassas till den typ av riskindikator som utlöser högriskklassificeringen.
- Alla åtgärder enligt AML-reglerna, inklusive bedömningar, måste dokumenteras.
Uppfyll svenska AML-krav med Penneo KYC
Jag samarbetade med Penneo för att utveckla det juridiska ramverket för deras KYC-programvara, anpassat till kraven i de svenska AML-lagarna.
Penneo KYC är nu tillgängligt i Sverige. Boka en personlig session med våra KYC-experter.
Ansvarsfriskrivning: Denna artikel gäller AML-uppdateringar i Sverige. Var medveten om att landsspecifika skillnader finns om du har att göra med AML-efterlevnad i ett annat land än Sverige.