FAR:s medlemsrådgivning får många frågor om penningtvätt och finansiering av terrorism. Här har vi samlat de vanligaste frågorna från våra medlemmar.
Enligt penningtvättslagen räknas kvalificerade revisorer, registrerade revisionsbolag, redovisningskonsulter, lönekonsulter och skatterådgivare som så kallade verksamhetsutövare. Det innebär att de har ett ansvar att följa penningtvättslagen och vidta åtgärder för att minska risken för att deras verksamhet utnyttjas för penningtvätt eller finansiering av terrorism. Lagen gäller både fysiska och juridiska personer.
Verksamhetens risker
Vad menas med det riskbaserade förhållningssättet som penningtvättslagen bygger på?
Det riskbaserade förhållningsättet innebär att du som verksamhetsutövare ska bedöma och förstå vilka risker för penningtvätt och finansiering av terrorism som föreligger i din verksamhet. Vidare ska du utifrån det riskbaserade förhållningssättet vidta rätt åtgärder på rätt ställen för att minimera risken att utnyttjas för penningtvätt. Det innebär att du ska lägga åtgärder och resurser på rätt uppdrag. Ju högre risk i uppdraget för att byrån utnyttjas för penningtvätt, desto mer åtgärder ska fokuseras på det uppdraget. För att kunna arbeta korrekt är det därför viktigt att du har identifierat och vet var i verksamhetens produkter och tjänster som riskerna ligger. Det är dessa risker som ska identifieras i byråns allmänna riskbedömning.
Måste jag ha en allmän riskbedömning och vad ska den i så fall innehålla?
Ja, alla som är verksamhetsutövare enligt penningtvättslagen har skyldighet att upprätta dokumentet allmän riskbedömning. Syftet med den allmänna riskbedömningen är att kartlägga risker och hot för att den egna verksamheten utnyttjas för penningtvätt eller finansiering av terrorism. Byrån ska även bedöma hur hög den risken är. För att göra det behöver byrån systematiskt gå igenom de produkter och tjänster som byrån erbjuder och beskriva samt exemplifiera på vilket sätt dessa skulle kunna utnyttjas.
Vid kartläggningen ska de fyra riskfaktorerna kunder, distributionskanaler, geografiska riskfaktorer samt verksamhetsspecifika omständigheter vägas in. Utöver detta ska man även väga in vilka sårbarheter som finns i den övriga verksamheten, som skulle kunna utgöra en risk för att byrån utnyttjas för penningtvätt. Utifrån sammanställningen ska byrån landa i en övergripande risknivå som bedömer den samlade risken för att byrån skulle kunna utnyttjas för penningtvätt.
Vad innebär de fyra riskfaktorerna som man ska väga in i byråns allmänna riskbedömning?
När det gäller kunder ska du väga in huruvida de kunder du har och deras verksamhet samt bransch de verkar inom medför risker för din verksamhet vad gäller penningtvätt.
Distributionskanaler handlar främst om på vilket sätt du levererar dina produkter och tjänster till din kund. Gör du det genom att fysiskt träffa kunden och räcka över dokumenten direkt eller görs detta via en utomstående digital tjänst? När det gäller det sistnämnda så kan det öka risken för att tjänsten kapas eller att siffrorna förvrängs på väg till kunden.
Geografiska förhållanden handlar om förhållandena i länder där antingen din verksamhet erbjuder sina produkter och tjänster eller förhållandena där din kund har sin verksamhet eller produktion. Det man ska ta i beaktande är om det landet har ett effektivt regelverk mot penningtvätt och om det förekommer korruption i det landet.
Slutligen ska du titta på så kallade verksamhetsspecifika förhållanden i din egen verksamhet. Det kan röra faktorer såsom storlek och komplexitet i din organisation.
Kan jag få hjälp med att förstå vad som kan vara ett hot för min verksamhet?
Berörda myndigheter anser att revisions- och rådgivningsbranschen generellt sett har en förhöjd risk för att utnyttjas för penningtvätt och terroristfinansiering, vilket man bör ha i beaktande när man upprättar eller uppdaterar sin allmänna riskbedömning.
Det finns mycket material att tillgå som stöd för att identifiera och analysera exempel på hot. Som medlem i FAR har du bland annat tillgång till stöddokument på far.se. Du kan också finna exempel via hemsidorna hos Finanspolisen, Säkerhetspolisen (Säpo), Ekobrottsmyndigheten, Financial Action Task Force (FAFT), Skatteverket och EU-kommissionen. Det finns även vägledning att tillgå via tillsynsmyndigheternas praxis.
Tillsyn och registrering i Bolagsverket register
Måste jag registrera min byrås verksamhet i Bolagsverkets register mot penningtvätt?
Det beror på. De tillsynsobjekt som står under länsstyrelsernas tillsyn är också de som ska registrera sig i Bolagsverkets register. Om din byrå är en, hos Revisorsinspektionen (RI), registrerad revisionsbyrå så står byrån endast under RI:s tillsyn.
Om det handlar om revisionsverksamhet kombinerad med exempelvis redovisningsverksamhet, och byrån inte är registrerad hos Revisorsinspektionen, står revisorerna under tillsyn av Revisorsinspektionen och redovisningsverksamheten under tillsyn av länsstyrelsen. I praktiken kan det innebära att en byrå kan bli granskad av två olika tillsynsmyndigheter avseende penningtvättsregelverket. Bedriver du en verksamhet som endast tillhandahåller skatterådgivning, löne- eller redovisningstjänster så står verksamheten under länsstyrelsens tillsyn och du ska därmed också registrera verksamheten i Bolagsverkets register. Tänk även på att avregistrera verksamheten från Bolagsverkets register om förutsättningarna ändras så att du inte längre står under länsstyrelsens tillsyn.
Tillsyn vid separat redovisningsverksamhet
Vi är en registrerad revisionsbyrå med kombiverksamhet som har valt att flytta över vår redovisningsverksamhet till ett helägt dotterbolag. Vad innebär det för tillsynen?
Reglerna i penningtvättslagen gäller för fysiska och juridiska personer, men individuellt. Det innebär att om en registrerad revisionsbyrå lyfter ut en verksamhetsgren som separat kan den anses vara under tillsyn av länsstyrelsen och läggs den i en egen juridisk person så följer det att tillsyn över den verksamheten kommer att utövas av länsstyrelsen. Den ska därmed också anmälas till Bolagsverkets register mot penningtvätt. Reglerna ”spiller” alltså inte över inom en företagsstruktur där det finns en registrerad revisionsbyrå under tillsyn av RI.
Kundkännedom
Ska man göra ID-kontroll av samtliga i styrelsen för en kund?
Huruvida man ska ta ID-kontroll på samtliga företrädare för till exempel ett aktiebolag är en bedömningsfråga utifrån det riskbaserade förhållningssättet som penningtvättslagen bygger på. Om du bedömer att du har uppnått tillräcklig kundkännedom utifrån de ID-kontroller du har gjort, även fast du inte har genomfört ID-kontroll på samtliga ledamöter, så är det normalt sett tillräckligt. Det är viktigt att du då dokumenterar ditt resonemang noggrant så att det framgår varför du har valt att endast inhämta ID på några personer, till exempel bara på firmatecknare inklusive den person du har din huvudsakliga kundkontakt med bland företrädarna – och inte på samtliga. Det är däremot inte fel att alltid inhämta ID på samtliga ledamöter i styrelsen och andra företrädare.
Om företaget företräds av ett ombud via fullmakt ska du försäkra dig om att personen har rätt att företräda kunden genom att kontrollera att det finns en fullmakt. Du bör då även kontrollera att fullmakten är utfärdad av någon som har rätt att företräda företaget. Kom även ihåg att spara en kopia av fullmakten och dokumentera detta. Kontrollera även på vilket sätt ID-kontroll ska göras på ombudet. I en del fall agerar anställda på företaget genom en så kallad ställningsfullmakt som kan vara såväl muntlig som skriftlig, exempelvis när det gäller ekonomichefer.
En kunds ID-handling går ut under uppdragets gång, behöver jag agera på det?
Det finns ingen skyldighet enligt penningtvättslagen att bevaka utgångsdatumen på varje individuellt inhämtad ID-kopia hos samtliga kunder. Det skulle dessutom leda till en administrativ börda. Även om en ID-handling går ut så kommer personen att vara densamme.
FAR rekommenderar däremot att nya ID-kopior tas in i samband med att uppdragsbrev ska uppdateras. Det gäller då även för de företrädare där befintlig ID-kopia finns sedan innan. Ett nytt signerat uppdragsbrev innebär ett nytt avtal med kunden. När en affärstransaktion ingås ska den kontrollerade ID-handlingen vara giltig. För revisionsuppdrag innebär detta oftast var fjärde år och för redovisningsuppdrag var femte år.
Hur ska jag veta vilka länder som anses vara högrisktredjeländer och som därmed ska leda till skärpta kundkännedomsåtgärder enligt penningtvättslagen?
Dessa länder sammanställs av EU-kommissionen i form av en lista publicerad på EU:s officiella webbplats. För närvarande är det uppåt 30 länder på listan. Listan uppdateras löpande så se till att du gör din kontroll gentemot den senast uppdaterade versionen.
Vi har ett kombiuppdrag med revision och redovisning. Redovisningskonsulten påbörjar oftast sitt uppdrag innan åtgärder inom revisionsuppdrag behöver vidtas. Kan jag förlita mig på de inhämtade kundkännedomsåtgärderna som redovisningskonsulten har utfört?
Nej, penningtvättslagen öppnar för att vissa verksamhetsutövare i vissa fall kan, till viss del, förlita sig på andras inhämtade kundkännedomsåtgärder och dokument. Vad gäller förhållandet revisor och redovisningskonsult så innebär lagen att en redovisningskonsult kan förlita sig på vissa, men inte alla, inhämtade underlag för kundkännedom som revisorn har utfört såsom ID-kontroll, verklig huvudman och PEP. Men det är inte tillåtet åt det motsatta hållet. För det fall att du kan inhämta en annan verksamhetsutövares kundkännedomsdokumentation så gäller ändå att du gör detta på egen risk. När det gäller riskbedömningen av kunden så är det en sådan del som du måste bedöma själv. Orsaken till det är att tjänsterna är olika och därmed oftast också riskerna kopplade till dessa tjänster.
Högriskuppdrag
Kan jag anta ett högriskuppdrag?
Huruvida ett högriskuppdrag kan antas beror på om byrån kan hantera de risker att utnyttjas för penningtvätt och terroristfinansiering som följer av ett sådant uppdrag. Det handlar också om att byrån ska kunna utföra de skärpta kundåtgärder byrån bedömt krävs för att hantera en högriskkund. Kan byrån göra detta så finns det inget hinder att anta ett sådant uppdrag.
Systemstöd
Måste jag köpa ett systemstöd för att kunna genomföra de kundkännedomsåtgärder som penningtvättslagen kräver?
Nej, lagen ställer inte upp ett sådant krav på dig som verksamhetsutövare. Det viktiga är att du utför och tydligt dokumenterar de åtgärder som penningtvättslagen kräver.
Om du överväger att investera i ett systemstöd för kundkännedom är det viktigt att föra en dialog med de olika systemleverantörerna och se till att hitta ett stöd som passar just din byrå och era arbetssätt samt din byrås kunskapsnivå inom penningtvätt. Enklare system kan exempelvis leda till större krav på dig vad gäller kunskap och riskbedömning samt att få allt ordentligt motiverat och dokumenterat. Ställ även frågor om till exempel vilka PEP-listor som omfattas och hur omfattande dessa är, både vad avser de kategorier som anses vara PEP och vilka länder eller geografiska områden som listorna omfattar. Det finns inte en gemensam officiell PEP-lista i nuläget.
Dokumentation
Vad ska jag tänka på rörande dokumentation kopplat till de åtgärder som penningtvättslagen kräver?
Var noggrann med din dokumentation över penningtvätsåtgärder i ett kunduppdrag. Var även tydlig med att de åtgärder som du har utfört är kopplade till penningtvättslagen.
Både revisorer och redovisningskonsulter utför penningtvättsåtgärder inom ramen för sina uppdrag, till exempel genom riskbedömningen av själva revisionsuppdraget eller i den löpande bokföringen – men tänker kanske inte alltid på att även dokumentera dessa som tillhörande penningtvättsåtgärder. Det kan till exempel handla om transaktionsgranskningar eller fördjupade förfrågningar om underlag kopplade till aktieägartillskott i företag som upprepat tillskjuter kapital i t.ex. förlustföretag.
Notera datum för ID-kontroller och på vilket sätt kontrollen utfördes. Träffade du kunden fysiskt via ett möte och tog en kopia av ID-handling? Eller på annat sätt? När du har gjort bedömningar så som riskbedömning av en kund så var noga med att dokumentera hur du har resonerat och kommit fram till din slutsats utifrån de kundkännedomsåtgärder du har inhämtat. Förutom att försäkra dig om att du har uppfyllt dina åtaganden enligt penningtvättslagen för att motverka penningtvätt så är din dokumentation även ett stöd vid en tillsyn, för att visa att du har vidtagit rätt åtgärder i rätt tid och ordning då tillsynen omfattar tidsperioder bakåt i tiden.
Det dagliga arbetet
Finns det något konkret i det dagliga arbetet som jag bör tänka på?
En bra och viktig grund är att ha god kännedom om var byråns risker för att utnyttjas för penningtvätt och finansiering av terrorism finns och även att ha en god kundkännedom om dina kunder. Med den utgångspunkten kan du vara medveten om huruvida det uppdrag du arbetar med är identifierat som en tjänst som innebär en risk att utnyttjas för penningtvätt utifrån byråns allmänna riskbedömning, men även lättare uppmärksamma om något avviker från din kunds normala verksamhet eller beteende.
I det fall att något avviker eller inte känns rätt, tveka inte att ställa frågor. Även om det kan kännas jobbigt. Kom ihåg anledningen till att du behöver ställa dessa frågor. Glöm inte heller vikten av att träffa din kund fysiskt, speciellt om det är en ny kund men även dina befintliga kunder. Dialogen blir utförligare och du kan se att kunden existerar och är den som kunden utger sig för att vara.
Misstanke om penningtvätt och rapportering till Finanspolisen
Hur och när ska man agera vid misstanke om penningtvätt eller finansiering av terrorism?
Samtliga verksamhetsutövare har en rapporteringsskyldighet till Finanspolisen vid misstanke om penningtvätt eller terroristfinansiering. Om det finns avvikelser eller misstänkta aktiviteter eller transaktioner ska verksamhetsutövaren genom skärpta åtgärder för kundkännedom och andra lämpliga åtgärder bedöma om det finns skälig grund att misstänka penningtvätt. Om så är fallet uppstår rapporteringsskyldighet till Finanspolisen. Skyldigheten att rapportera gäller om byrån själv misstänker att den har utnyttjats för penningtvätt men även om man misstänker att kunden i sig har blivit utnyttjad för penningtvätt.
Rapporteringsskyldigheten gäller även för uppdrag som verksamhetsutövaren har valt att inte anta, om det i uppdraget funnits anledning att misstänka penningtvätt eller terroristfinansiering. Misstankegraden är lågt satt och man ska komma ihåg att detta endast är en rapportering och inte en anmälan. Det måste dock finnas något konkret, som till exempel en misstanke om att en avvikande transaktion kan vara kopplad till penningtvätt.
Rapporteringen ska ske via Finanspolisens digitala rapporteringsportal goAML. Hur Finanspolisen och åklagare ev. går vidare med en inkommen rapport är ett beslut som ligger hos de instanserna, och inte på verksamhetsutövaren. Det föreligger absolut tystnadsplikt (s.k. yppandeförbud) för verksamhetsutövaren och de som är verksamma hos verksamhetsutövaren att gentemot kund eller någon utomstående avslöja att man utreder en misstanke om penningtvätt eller om att en rapportering har skett eller planeras att göras.
Stöd och råd
Hur kan FAR stötta mig som medlem i mina funderingar kring penningtvätt?
Som medlem hos FAR har du möjlighet att ställa dina frågor kring penningtvätt och finansiering av terrorism till vår Medlemsrådgivning. FAR håller även fysiska kurser och onlinekurser inom ämnet. Dessutom tillhandahåller FAR webbinarier, poddar och artiklar om penningtvätt.
Utöver detta har FAR många hjälpdokument tillgängliga för alla medlemmar. Det är allt i från exempel på hur penningtvätt kan gå till – till mallar för den allmänna riskbedömningen. Det är viktigt att komma ihåg att den allmänna riskbedömningen och andra mallar alltid måste anpassas till byråns egna förutsättningar. Det finns inte en mall som passar alla inom samma bransch. Det är normalt sett skillnad mellan en redovisningsbyrå på en mindre ort jämfört med en redovisningsbyrå på en större ort vad gäller kunder, organisation och tjänster. Det vill säga sådana faktorer som spelar roll för förutsättningarna i hur den allmänna riskbedömningen ska utformas och bedömas.