Guide för revisorer om penningtvätt

Vad är penningtvätt?

1 kap. 6 § penningtvättslagen
Med penningtvätt avses åtgärder med avseende på pengar eller annan egendom som härrör från brott eller brottslig verksamhet som

1. kan dölja egendomens samband med brott eller brottslig verksamhet,
2. kan främja möjligheterna för någon att tillgodogöra sig egendomen eller dess värde,
3. kan främja möjligheterna för någon att undandra sig rättsliga påföljder, eller
4. innebär att någon förvärvar, innehar, hävdar rätt till eller brukar egendomen.

Allmänt kan sägas att begreppet penningtvätt avser åtgärder som vidtas i syfte att dölja eller omsätta det ekonomiska utbytet från andra brott, s.k. förbrott, (t.ex. narkotikabrott, rån, stöld, bedrägeri, trolöshetsbrott, skattebrott, korruption etc.) och inkluderar även undandragandebrott (att till exempel lämna oriktiga uppgifter för att undvika skatt eller tull).

Det handlar således om åtgärder för att ”tvätta svarta pengar vita”.

Penningtvätten i sig sker ofta genom en serie transaktioner, där brottsutbytet skiftar ägare och form, och kanske delas upp i mindre delar – allt för att minska spårbarheten.

Även det omvända inträffar, nämligen att pengar på ett konto behövs som kontanter, alltså att vita pengar behöver omvandlas till svarta löner eller liknande. Detta kallas ibland för penningmaskering eller omvänd penningtvätt. Det kan ske till exempel genom att ett företag använder sig av osanna fakturor för att kunna göra överföringar och uttag från företagets konton och växla till sig kontanter.

Vad är finansiering av terrorism?

1 kap. 7 § penningtvättslagen
Med finansiering av terrorism avses i denna lag sådan insamling eller sådant mottagande eller tillhandahållande av pengar eller annan egendom som avses i 6 § terroristbrottslagen (2022:666).

Finansiering av terrorism är att ekonomiskt stödja terrorverksamhet. Med detta menas inte enbart att lämna direkta monetära bidrag, utan också att samla in, tillhandahålla eller ta emot pengar eller andra tillgångar som man vet helt eller delvis kommer att användas för att genomföra terrorbrott. Vid terrorfinansiering är det främst pengarnas eller tillgångarnas slutliga syfte som aktören vill dölja.

Till skillnad från penningtvätt kan terrorfinansiering även ske med legala medel, vilket gör att företeelsen kan vara svårare att upptäcka och identifiera.

Auktoriserade revisorer och revisionsföretag har enligt penningtvättslagen sammanfattningsvis skyldigheter att:

• Göra en allmän riskbedömning av hur den egna verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och dokumentera denna
• Skapa rutiner och riktlinjer avseende åtgärder för kundkännedom, övervakning, rapportering och för behandling av personuppgifter och dokumentera dessa
• Fortlöpande utbilda och informera sina anställda inom området
• Vidta åtgärder för att skydda anställda från hot, hämnd eller andra fientliga åtgärder och repressalier
• Identifiera, kontrollera och ha en god kännedom om sina kunder (kundkännedom)
• Upprätta en särskild riskbedömning avseende varje enskild kund (kundriskprofil)
• Övervaka pågående uppdrag och enstaka transaktioner i syfte att upptäcka avvikande aktiviteter och därefter, i förekommande fall, fördjupa granskningen
• Rapportera misstänkta fall av penningtvätt och finansiering av terrorism till Finanspolisen (rapporteringsplikt)
• Tystnadsplikt (meddelandeförbud) avseende särskilda åtgärder som vidtagits eller rapportering som skett
• Bevara handlingar och uppgifter avseende kundkännedom, övervakning, och rapportering i åtminstone fem år
• Upprätta en intern kontroll i syfte att kvalitetssäkra arbetet mot penningtvätt och finansiering av terrorism

Arbetet med åtgärder enligt penningtvättslagen ska ske systematiskt på så sätt att varje vidtagen åtgärd skapar bästa möjliga förutsättningar för att övriga moment i systemet ska kunna förhindra penningtvätt och finansiering av terrorism.

• Allmän riskbedömning - penningtvätt 2025
  Ladda ner
• Kundkännedom avseende penningtvätt 2025
  Ladda ner
• Policy samt rutiner och riktlinjer mot penningtvätt 2025
  Ladda ner
• Policy samt rutiner och riktlinjer mot penningtvätt Engelsk 2025
  Ladda ner
• Riskbedömning av penningtvätt och finansiering av terrorism 2025
  Ladda ner

Revisionsföretag ska göra en bedömning av hur de tjänster som tillhandahålls i revisionsverksamheten kan utnyttjas för penningtvätt och finansiering av terrorism samt hur stor risken är för att detta sker (allmän riskbedömning).

2 kap 1 § penningtvättslagen
En verksamhetsutövare ska göra en bedömning av hur de produkter och tjänster som tillhandahålls i verksamheten kan utnyttjas för penningtvätt eller finansiering av terrorism och hur stor risken är att detta sker (allmän riskbedömning).

Vid den allmänna riskbedömningen ska det särskilt beaktas vilka slags produkter och tjänster som tillhandahålls, vilka kunder och distributionskanaler som finns och vilka geografiska riskfaktorer som föreligger. Hänsyn ska också tas till uppgifter som kommer fram vid verksamhetsutövarens rapportering av misstänkta aktiviteter och transaktioner samt till information om tillvägagångssätt för penningtvätt och finansiering av terrorism och andra relevanta uppgifter som myndigheter lämnar.

2 kap 16 § penningtvättslagen
Om en verksamhetsutövare som är en fysisk person driver sin verksamhet som anställd hos en juridisk person, ska de krav som avses i 1, 2, 8-12, 14 och 15 §§ samt 6 kap. 1 och 2 §§ gälla den juridiska personen. Lag (2021:517).

2 kap. 2 § penningtvättslagen
Riskbedömningen ska utformas så att den kan ligga till grund för verksamhetsutövarens rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism.

Den allmänna riskbedömningen ska hållas aktuell

Den allmänna riskbedömningen ska dokumenteras. Den ska även utvärderas regelbundet och – när det behövs – uppdateras. En utvärdering ska ske minst årligen. Innan företaget erbjuder nya eller väsentligt förändrade produkter och tjänster ska riskbedömningen även uppdateras.
Företagets riskbedömning utgör grunden för företagets rutiner, riktlinjer och övriga åtgärder mot penningtvätt och finansiering av terrorism. Det är därför av stor vikt att den är aktuell.

Kundriskfaktorer

Kundriskfaktorerna ska bl.a. avse sådana omständigheter som även ska beaktas vid rasklassificeringen av kunden:

2 kap 4 § penningtvättslagen
Som omständigheter som kan tyda på att risken för penningtvätt och finansiering av terrorism är låg kan verksamhetsutövaren beakta bland annat att kunden

1. är en stat, en region, en kommun eller motsvarande eller en juridisk person över vilken en stat, en region, en kommun eller motsvarande, var för sig eller tillsammans, har ett direkt eller indirekt rättsligt bestämmande inflytande,
2. har hemvist inom EES,
3. har hemvist i en stat som har bestämmelser om åtgärder mot penningtvätt och finansiering av terrorism som motsvarar dem i denna lag och som tillämpar dessa bestämmelser på ett effektivt sätt,
4. har hemvist i en stat som har en låg nivå av korruption och annan relevant brottslighet och
5. är ett företag vars överlåtbara värdepapper är upptagna till handel på en reglerad marknad inom EES eller på en motsvarande marknad utanför EES. Lag (2019:980).

Omständigheter som kan tyda på hög risk

2 kap. 5 § penningtvättslagen
Som omständigheter som kan tyda på att risken för penningtvätt eller finansiering av terrorism är hög kan verksamhetsutövaren beakta bland annat att

1. kundens ägarstruktur framstår som ovanlig eller alltför komplicerad för dess verksamhet,
2. kunden bedriver kontantintensiv verksamhet,
3. kunden är en juridisk person som har nominella aktieägare eller andelar utställda på innehavaren,
4. kunden är en juridisk person, en trust eller en liknande juridisk konstruktion som har till syfte att förvalta en viss fysisk persons tillgångar,
5. kunden har hemvist i en stat som saknar effektiva system för bekämpning av penningtvätt eller finansiering av terrorism,
6. kunden har hemvist i en stat med betydande korruption och annan relevant brottslighet,
7. kunden har hemvist i en stat som är föremål för sanktioner, embargon eller liknande åtgärder,
8. kunden har hemvist i en stat som finansierar eller stöder terroristverksamhet eller där terroristorganisationer är verksamma,
9. affärsrelationer eller transaktioner sker på distans, utan användning av metoder som på ett tillförlitligt sätt kan säkerställa kundens identitet, och
10. betalning av varor eller tjänster görs av någon som är okänd eller saknar koppling till kunden.

Med geografiska riskfaktorer avses exempelvis sådant som är relaterat till förhållanden i de länder där kunden är verksam. Hänsyn ska också tas till erfarenheter från den egna verksamheten och information från Revisorsinspektionen, brottsbekämpande- och andra myndigheter.

Vem har ansvaret för riskbedömningen

Den allmänna riskbedömningen ska vara så omfattande som motiveras av förhållandena i det enskilda fallet. Riskbedömningen ska dokumenteras och löpande uppdateras. Den allmänna riskbedömningen normalt ligger på revisionsföretaget och inte på den enskilda revisorn.

Utformning av riskbedömningen

Det finns inte någon närmare vägledning varken i penningtvättslagen eller i övrigt om hur den allmänna riskbedömningen ska se ut.
Den allmänna riskbedömningen ska vara utformad så att den kan ligga till grund för revisionsföretagets rutiner och riktlinjer och övriga penningtvättsåtgärder. En ofullständig eller otillräcklig allmän riskbedömning medför därför bl.a. att utformningen av revisionsföretagets rutiner och åtgärder för kundkännedom och kundriskprofiler blir otillfredsställande.
Den allmänna riskbedömningen ska besvara frågan om och hur revisorernas tjänster kan användas för att exempelvis dölja viss egendoms samband med brott eller brottslig verksamhet.

Den ska vidare innehålla en bedömning av hur stor risken är för att detta sker, t.ex. genom åsättande av risknivåer. Att i ett dokument enbart hänvisa till ISQC 114 och/eller EtikU 1115 kan därför inte anses utgöra en allmän riskbedömning i lagens mening.

Användande av riskbedömningsmallar

Om ett revisionsföretag använder en mall eller en generisk bedömning som tagits fram av någon annan krävs följaktligen även att ett eget arbete genomförs för att säkerställa att innehåll och analyser speglar de egna förutsättningarna och förhållandena.

Ett obearbetat malldokument saknar nämligen den förankring i den egna verksamheten som behövs för att det ska kunna läggas till grund för övriga åtgärder, såsom exempelvis kundkännedom och bedömning av kundriskprofil, och fyller därmed inte sitt syfte.

Av samma anledning är det viktigt att samtliga riskfaktorer som anges i lagen beaktas i riskanalysen. Det är således inte ändamålsenligt att helt fristående enbart analysera risken i revisionsföretagets tjänster utan att ta hänsyn till de övriga faktorer som lagen anger, såsom exempelvis kundstruktur, hur tjänsterna tillhandhålls och geografi. Det är heller inte tillräckligt att endast identifiera riskfaktorerna utan att åsätta dessa något riskvärde.

Sådana snäva ansatser innebär att den framtagna produkten inte kan användas som utgångspunkt för den grundläggande kundkännedomen eller riskprofilen för en enskild kundrelation.

Riskvärden

I de goda exempel som Revisorsinspektionen har sett hade samtliga omständigheter som lagen anger tydligt beaktats och bedömts med uttryckliga riskvärden på sådant sätt att slutsatserna kunde användas som utgångspunkt vid den enskilda revisorns bedömning av kundens riskprofil. En överskådlig och lättillgänglig metod för detta var att inkludera en riskmatris där olika kategorier, såsom t.ex. högriskbranscher och geografiskt läge, analyserats och riskbedömts.

Om den allmänna riskbedömningen endast hanteras som nödvändig formalia riskerar den däremot att bli ett statiskt dokument som inte löpande anpassas till förändringar i omvärlden och den egna verksamheten. Den fyller då inte heller längre sitt syfte.

Vad ska riskbedömningen innehålla?

Riskbedömningen ska göras med hänsyn till företagets storlek och hur komplex dess verksamhet är. Den ska innehålla en analys av företagets kunder, produkter och tjänster samt andra relevanta faktorer för verksamheten, exempelvis distributionskanaler och geografiska områden (2 kap. 3 § FFFS 2009:1).

Det är viktigt att hänsyn tas till samtliga faktorer av betydelse, inte enbart de som exemplifieras i FI:s föreskrifter.

Kunder
Det är av betydelse att analysera vilka olika typer av kunder som företaget har. Företaget bör till exempel utreda om fysiska och juridiska personer kan medföra olika risker och risknivåer samt om riskbilden förändras beroende på kundens ekonomiska situation eller vilken bransch kunden verkar i. Olika kundkategorier kan innebära olika risk vilket medför att vissa kunder kan bedömas utgöra en så hög risk att företaget särskilt behöver bevaka dessa kunder eller tvingas avstå från affärsförbindelser med dem.

Produkter
I riskbedömningen ingår även att analysera hur företagets produkter och tjänster kan utnyttjas för penningtvätt eller finansiering av terrorism.

Även här gäller att olika produkter och tjänster kan innebära olika risk.

Det förekommer att företag inför begränsningar för en tjänst eller produkt för att kunna hantera riskerna med den. Vidare kan olika kundkategorier i kombination med olika produkter och tjänster leda till olika hög risk.

Kontanthantering
Trots att kontanthantering ses som den främsta riskfaktorn för penningtvätt eftersom kontanttransaktioner även typiskt sett är att betrakta som riskfyllda ur penningtvättssynpunkt, är det dock bara en riskfaktor av många. Att ett företag inte hanterar kontanter innebär inte i sig att risken för penningtvätt därmed är låg. Vid överföringen av illegalt åtkomna medel används samma betalningsvägar som för legala medel. Den övervägande delen av transaktionerna inom det finansiella systemet sker i dag elektroniskt.

Geografiskt område
Vilket geografiskt område företagets kunder finns i, eller tjänster och produkter levereras till, kan i hög grad påverka bedömningen av risken för att utnyttjas för penningtvätt eller finansiering av terrorism. Företaget bör vid denna bedömning vara medvetet om att det kan krävas relativt omfattande åtgärder och stora resurser för att hantera riskerna med att exempelvis leverera tjänster till länder som anses innebära en hög risk för penningtvätt eller finansiering av terrorism.

Distributionskanaler
Företaget måste även bedöma hur risken påverkas av hur dess produkter och tjänster distribueras samt vilka åtgärder som kan behöva vidtas för att motverka eventuella risker i distributionsledet.

Transaktioner från annat finansiellt företag
Transaktioner som kommer från ett annat svenskt finansiellt företag som omfattas av penningtvättslagstiftningen tenderar att betraktas som om de i samtliga fall utgör låg risk för penningtvätt eller finansiering av terrorism. Men att en transaktion kommer från ett finansiellt företag som omfattas av penningtvättsreglerna innebär inte att ansvaret för att göra en lämplig riskbedömning upphör. En mängd olika faktorer kan påverka bedömningen, bland annat kundkategori och typ av tjänst eller produkt.

Högriskklassificering
Många företag är tveksamma till att – även i välgrundade fall – högriskklassificera olika faktorer, till exempel kunder och produkter. En felaktig rasklassificering minskar företagens möjligheter att motverka risken att utnyttjas för penningtvätt och finansiering av terrorism. En riskbedömning med rimliga och logiska resonemang och analyser i kombination med lämpliga åtgärder visar på en god riskhantering.

Nära kundrelationers betydelse
En nära kundrelation kan påverka viljan att ställa ingående frågor eller rapportera en kund till Finanspolisen. Skulle benägenheten att ställa frågor och eventuellt rapportera kunden minska, ökar företagets risk att utnyttjas för penningtvätt eller finansiering av terrorism.

2 kap. 8–13 §§ penningtvättslagen
Ett företag ska ha rutiner och riktlinjer när det gäller åtgärder för kundkännedom, övervakning, rapportering och behandling av personuppgifter.

Rutiner och riktlinjer för att motverka penningtvätt och finansiering av terrorism ska vara riskbaserade och utgå från företagets allmänna riskbedömning. Det innebär att de ska vara utformade för att kunna hantera och motverka de risker företaget har identifierat.

Rutinerna och riktlinjerna ska vara dokumenterade. I en koncern ska moderföretaget fastställa gemensamma rutiner och riktlinjer som ska gälla för hela koncernen.

Propositionen till den nya penningtvättslagen räknar upp tre kategorier av rutiner och riktlinjer.

1. Den första kategorin syftar till att ge vägledning (3 kap 7-13 §§ penningtvättslagen), om vilka åtgärder som ska vidtas i olika situationer. Några exempel är identitetskontroller, indelning av kunder i riskklasser, skärpta kundkännedomsåtgärder och övervakning av aktiviteter och transaktioner. Dessa rutiner ska vara riskbaserade.
2. Den andra kategorin är kopplad till företagets personal (2 kap 13-15 §§ penningtvättslagen), till exempel bakgrundskontroll och utbildning av personalen. Här ingår också rutiner för att skydda personalen från hot och liknande till följd av att de genomför kontroller och andra åtgärder för att uppfyllaföretagets skyldigheter enligt penningtvättslagen
3. Den tredje kategorin rör funktioner för regelefterlevnad och intern kontroll (6 kap penningtvättslagen). Det handlar bland annat om vilka uppgifter som ska utföras av de olika funktionerna särskilt utsedd befattningshavare, centralt funktionsansvarig och den oberoende granskningsfunktionen. Här ingår också rutiner för modellriskhantering.

Modellrisk

Om ett företag har modeller för riskhantering, till exempel för riskbedömning och rasklassificering av kunder ska det finnas rutiner för att kvalitetssäkra och förbättra de modeller som används (2 kap 8 §, 6 kap 1 § penningtvättslagen). Ett företags rutiner för modellriskhantering ska innehålla en beskrivning av den bakomliggande teorin och de antaganden som har lett fram till hur modellerna utformats. Vidare ska företag ha rutiner för validering av modellerna som säkerställer att de fungerar på det sätt som är tänkt och uppfyller syftet (rasklassificering av kunder osv).

Funktioner inom företaget

Det ska finnas särskilda funktioner för intern kontroll. Företaget ska alltid utse en centralt funktionsansvarig (6 kap 2 § penningtvättslagen). Utöver det ska en särskilt utsedd befattningshavare och en oberoende granskningsfunktion utses – om det är motiverat med hänsyn till verksamhetens storlek och art.

Särskilt utsedd befattningshavare

Den särskilt utsedde befattningshavaren ansvarar för att de åtgärder som krävs för att följa penningtvättslagen och föreskrifterna blir genomförda (6 kap 2 § penningtvättslagen).

Funktionen ansvarar för
att göra och uppdatera den allmänna riskbedömningen
att det finns interna och gemensamma rutiner och riktlinjer, och att dessa uppdateras
att kontrollera och följa upp att åtgärder och rutiner genomförs
att rapportera till styrelse eller vd.

Centralt funktionsansvarig

En centralt funktionsansvarig ska alltid finnas (6 kap 2 § penningtvättslagen). Den ska placeras inom företaget och ska ha ett oberoende mot de funktioner och områden som den ska övervaka och kontrollera.

De grundläggande uppgifterna består i ett löpande kontrollansvar och att säkerställa att rapportering görs till Finanspolisen.

I övrigt ska funktionen

• Övervaka och kontrollera att företaget följer lag, föreskrift samt interna rutiner och riktlinjer
• Ge råd och stöd, samt informera och utbilda
• Lämna uppgifter till myndigheter på begäran
• Kontrollera att rutiner och riktlinjer är ändamålsenliga och effektiva
• Ansvara för rapporteringen av misstänkta transaktioner och aktiviteter till Finanspolisen
• Rapportera till styrelse eller vd

Oberoende granskningsfunktion

Den oberoende granskningsfunktionen (6 kap 2 § penningtvättslagen) ansvarar bland annat för att granska och utvärdera effektivitet och ändamålsenlighet när det gäller

• Organisation, IT-system, rutiner och riktlinjer
• Intern kontroll
• Riskhantering utifrån den allmänna riskbedömningen
• Tillförlitlighet och kvalitet på det arbete som utförs av företagets övriga kontrollfunktioner

Funktionen ska i detta sammanhang endast utföra sin granskning utifrån reglerna i penningtvättsregelverket. Vad som är en ändamålsenlig granskning får bedömas utifrån de behov som företaget har i sin verksamhet. Den oberoende granskningsfunktionen ska vara direkt underställd företagets styrelse.

Den oberoende granskningsfunktionen ska vara organisatoriskt skild från de funktioner och områden som den ska övervaka och kontrollera. Funktionens anställa får inte delta i andra funktioners arbete eller i den operativa verksamheten.

Företaget kan uppdra åt någon annan att utföra den oberoende granskningsfunktionens uppgifter. Det är viktigt att komma ihåg att företaget i sådana fall alltid ansvarar för den utlagda verksamheten.

• Policy samt rutiner och riktlinjer mot penningtvätt 2025
  Ladda ner
• Policy samt rutiner och riktlinjer mot penningtvätt Engelsk 2025
  Ladda ner

Anställda i ett företag ska utbildas så att de har tillräckliga kunskaper för att kunna följa företagets rutiner och riktlinjer om penningtvätt.

2 kap 14 § penningtvättslagen
En verksamhetsutövare ska se till att anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten och som utför arbetsuppgifter av betydelse för att förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism fortlöpande får relevant utbildning och information för att kunna fullgöra verksamhetsutövarens skyldigheter enligt lagen.

Utbildningen ska åtminstone avse relevanta delar av innehållet i gällande regelverk, verksamhetsutövarens allmänna riskbedömning, rutiner och riktlinjer samt information som ska underlätta för personer som avses i första stycket att upptäcka misstänkt penningtvätt och finansiering av terrorism.

Det handlar om anställda, uppdragstagare och andra som ingår i verksamheten.

Utbildningen ska säkerställa att personalen har tillräcklig kunskap för att se till att företagets rutiner och riktlinjer följs.

Innehållet i utbildningen ska anpassas efter den anställdes uppgifter och ansvar och företagets allmänna riskbedömning. Tidpunkten för utbildning och kompletterande utbildning ska anpassas till vad företaget har kommit fram till i sin riskbedömning och till eventuella förändringar i verksamheten eller arbetsuppgifterna.

Utbildningen ska informera om regler och riktlinjer men även förmedla fakta om trender, mönster och metoder och annat som berörda personer kan behöva känna till för att förhindra och upptäcka försök till penningtvätt och finansiering av terrorism.

Ett företag ska dokumentera den utbildning som genomförs. Utbildningens innehåll, namn på deltagare och datum för när utbildningen hölls ska finnas med i denna dokumentation.

3 kap 7 § penningtvättslagen
En verksamhetsutövare ska identifiera kunden och kontrollera kundens identitet genom identitetshandlingar eller registerutdrag eller genom andra uppgifter och handlingar från en oberoende och tillförlitlig källa.

När första stycket tillämpas får man använda medel för elektronisk identifiering och betrodda tjänster enligt Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. Andra säkra identifieringsprocesser på distans eller på elektronisk väg som är reglerade, erkända, godkända eller accepterade av relevanta myndigheter får också användas.

Om kunden företräds av en person som uppger sig handla på kundens vägnar, ska verksamhetsutövaren kontrollera den personens identitet och behörighet att företräda kunden.
Lag (2019:774).

Åtgärder för att uppnå kundkännedom ska utgå från företagets allmänna riskbedömning i kombination med en bedömning om risken hos den enskilda kunden.

Utan tillräcklig kännedom om kunden får ett företag inte etablera eller upprätthålla en affärsrelation eller utföra enstaka transaktioner. Ett företag får heller inte etablera en affärsförbindelse om det finns misstanke om att deras produkter och tjänster kan komma att användas för penningtvätt eller finansiering av terrorism. På samma sätt får ett företag inte utföra en transaktion om det på skälig grund kan misstänka penningtvätt eller finansiering av terrorism.

Företagen ska alltid vidta åtgärder för att uppnå kundkännedom om en kund som företaget etablerar en affärsrelation med. Det gäller även vid en enstaka transaktion om den motsvarar 15 000 euro (3 kap 4 § penningtvättslagen) eller mer, eller vid flera transaktioner som tillsammans motsvarar samma belopp. Kundkännedom ska också vidtas vid sådana transaktioner som avses i artikel 3.9 i förordning 2015/847 om beloppet överstiger 1 000 euro.

Åtgärder som ska vidtas för kundkännedom

Identifiering och kontroll av kundens identitet

3 kap 7 § Penningtvättslagen
Kravet på att identifiera kunden innebär att företaget måste fråga om kundens namn och övriga uppgifter som kan vara aktuella. Dessa uppgifter är bland annat viktiga för att klarlägga om kunden är en person i politiskt utsatt ställning. Därefter måste företaget kontrollera att identiteten stämmer överens med uppgifterna. Hur noggranna dessa kontroller ska vara varierar beroende på den risk som är förknippad med kunden.

Verklig huvudman

3 kap 8 § penningtvättslagen
En verksamhetsutövare ska utreda om kunden har en verklig huvudman. En sådan utredning ska åtminstone avse sökning i registret över verkliga huvudmän enligt lagen (2017:631) om registrering av verkliga huvudmän. Om kunden är en juridisk person, en trust eller en liknande juridisk konstruktion, ska utredningen omfatta åtgärder för att förstå kundens ägarförhållanden och kontrollstruktur. Om kunden har en verklig huvudman, ska verksamhetsutövaren vidta åtgärder för att kontrollera den verkliga huvudmannens identitet.

Första stycket gäller inte om kunden är ett aktiebolag vars aktier är upptagna till handel på en reglerad marknad i Sverige eller inom EES eller på en motsvarande marknad utanför EES eller ett dotterföretag till ett sådant bolag.

Om kunden är en juridisk person och det efter åtgärder enligt första stycket står klart att den juridiska personen inte har en verklig huvudman, ska den person som är styrelseordförande, verkställande direktör eller motsvarande befattningshavare anses vara verklig huvudman. Detsamma gäller om verksamhets- utövaren har anledning att anta att den person som identifierats enligt första stycket inte är den verkliga huvudmannen. (2019:1254).

Företaget ska utreda om kunden har en verklig huvudman. Den verkliga huvudmannen är den person som direkt eller indirekt utövar ett bestämmande inflytande över kunden. Företaget ska utreda kundens ägarförhållanden och kontrollstruktur, bland annat för att förstå vilken risk som kunden kan innebära. Kompletterande frågor kan då behöva ställas till kunden. Det är även viktigt att kontrollera om den verkliga huvudmannen ska betraktas som en person i politiskt utsatt ställning.

Om kunden har en verklig huvudman är det viktigt att kontrollera den personens identitet.

Om den verkliga huvudmannen inte går att fastställa ska företaget kontrollera identiteten hos en person som är styrelseordförande, verkställande direktör eller motsvarande befattningshavare, en så kallad alternativ verklig huvudman. Kravet på att utse en alternativ verklig huvudman gäller däremot inte för kommuner, stater eller regioner om risken med kundförhållandet bedöms som låg.

Person i politiskt utsatt ställning (PEP)

3 kap 19-20 §§ penningtvättslagen
Om en kund är att betrakta som en person i politiskt utsatt ställning måste företaget vidta skärpta åtgärder. Det innebär att alltid ta reda på varifrån de tillgångar kommer som hanteras i en affärsförbindelse eller en enstaka transaktion. Det innebär också att ett godkännande ska inhämtas från behörig beslutsfattare innan en affärsförbindelse får inledas. Dessutom ska företaget genomföra skärpt fortlöpande uppföljning av affärsförbindelsen.

När en person i politiskt utsatt ställning ha upphört att utöva sina funktioner, ska de skärpta åtgärderna tillämpas i minst 18 månader och till dess att personen inte längre anses medföra en risk för penningtvätt eller finansiering av terrorism.

Bestämmelserna om skärpta åtgärder ska även tillämpas på familjemedlemmar och kända medarbetare till en person i politiskt utsatt ställning.

Högrisktredjeland

3 kap 17 § penningtvättslagen
Ett företag ska kontrollera om kunden är etablerad i ett land utanför EES som av Europeiska kommissionen har identifierats som högrisktredjeland. Om så är fallet ska verksamhetsutövaren vidta skärpta kundkännedomsåtgärder för den kunden.

Affärsförbindelsens syfte och art

3 kap 12 § penningtvättslagen
Ett företag ska inhämta information om affärsförbindelsens syfte och art. Informationen ska ligga till grund för en bedömning av vilka aktiviteter och transaktioner som kan förväntas av kunden inom ramen för affärsförbindelsen en rasklassificering av kunden.

Om det framkommer faktorer som tyder på hög risk ska företaget vidta skärpta åtgärder för kundkännedom.

Anpassa åtgärder efter situation

3 kap 15-16 §§ penningtvättslagen
Hur omfattande åtgärder som ska vidtas beror bland annat på hur komplex den aktuella tjänsten eller produkten är och vilken risk som är förknippad med den. Ibland kan risken i en affärsrelation eller transaktion kräva att företaget behöver få mer information om kundens ekonomiska situation och/eller information om var kundens ekonomiska medel kommer ifrån.

Hantering av EU-sanktioner

2 kap 5 § penningtvättslagen
När det gäller finansiering av terrorism är en viktig åtgärd för att uppnå kundkännedom att kontrollera kunden mot EU:s samlade lista över personer, enheter och grupper som är föremål för EU-sanktioner.

2 kap. 3–5 §§ penningtvättslagen
Revisorn ska bedöma den risk för penningtvätt eller terrorfinansiering som kan förknippas med kundrelationen. Denna rasklassificering ska ha sin utgångspunkt i revisionsföretagets allmänna riskbedömning, vilket innebär att de riskfaktorer som identifierats i den allmänna riskbedömningen ska beaktas i bedömningen av den enskilda kunden och uppdraget.

Tillsammans med det som revisorn i övrigt känner till om kunden utgör detta grunden för en samlad bedömning av kundens riskprofil.

Rasklassificeringen påverkar i sin tur vilka kundkännedomsåtgärder som revisorn behöver vidta.

Kundens riskprofil ska löpande följas upp och vid behov ändras om revisorn får nya uppgifter om kunden under uppdragets gång.

Riskprofilens koppling till den allmänna riskbedömningen måste vara tydlig

Eftersom de enskilda kundernas riskprofil ska utgå ifrån de riskindikatorer som har angetts i revisionsföretagets allmänna riskbedömning utgör denna en grund och ett stöd för revisorn vid bedömningen av de risker som kan vara kopplade till ett visst uppdrag.

Det behöver således finnas en tydlig koppling mellan de risker som identifierats i den allmänna riskbedömningen och den risknivå som åsätts kunden eller uppdraget. Det innebär att det inte är tillräckligt att bara översiktligt inkludera penningtvätt som en faktor vid bedömningen av den övergripande affärsrisken i ett uppdrag. Att enbart infoga en generell hänvisning till den allmänna riskbedömningen i det formulär som används för att dokumentera riskprofilen för penningtvätt och finansiering av terrorism räcker heller inte för att säkerställa att sådan koppling faktiskt sker.

Ett tillvägagångssätt som vissa revisionsföretag använder för att understryka sambandet med den allmänna riskbedömningen är att infoga de riskfaktorer som identifierats i denna i det verktyg som de använder som stöd för att åsätta kundriskprofiler. Detta sker antingen i form av informationstext eller som faktiska faktorer att ta ställning till i varje bedömning.

Risknivåerna vid bedömningen av kundens riskprofil bör utgå från en objektiv normalnivå

Risknivåerna som används vid bedömningen av kundens riskprofil ska utgöra en objektiv bedömning av den risk som föreligger för penningtvätt eller finansiering av terrorism, så att rätt åtgärder för kundkännedom och övervakning kan vidtas.

De flesta revisionsföretag tillämpar tre nivåer i sina riskbedömningar – låg, medel och hög.

Utgångspunkten ska alltid vara mellannivån. Risknivån låg ska alltså endast förekomma om det vid en samlad bedömning finns omständigheter som sänker risken så att den är lägre än det som är normalt i vilken annan verksamhet som helst.

Om det finns en stödfunktion för att bestämma riskprofilen måste kunskap föras över till revisorn

I vissa revisionsföretag sattes riskprofilen för nya uppdrag av en centraliserad funktion. Det är dock revisorn och inte revisionsföretaget som ska bedöma och omhänderta risken för penningtvätt i uppdragen. Det är därför viktigt att det sker en fullständig kunskapsöverföring när en stödfunktion bistår med detta, så att revisorn har tillräckliga underlag för att kunna uppmärksamma avvikelser och behov av eventuella ytterligare kundkännedomsåtgärder.

Revisionsföretag som har centraliserade funktioner för vissa åtgärder enligt penningtvättslagen behöver därför tydligt reglera i vilken omfattning och på vilket sätt observationerna och överväganden som föranlett den satta risknivån överförs till revisorn så att denna kan verifiera bedömningen och beakta de identifierade riskfaktorerna i revisionen.

Även åsättandet av riskprofilen och gjorda överväganden måste dokumenteras

Revisorns allmänna dokumentationsplikt omfattar även åtgärderna enligt penningtvättslagen. Det innebär att de överväganden och slutsatser som legat till grund för riskprofilen ska dokumenteras så att det i efterhand går att följa vilka indikatorer som legat till grund för den satta risknivån. Det räcker således inte att för bedömningen enbart använda checklistor, där någon risknivå överhuvudtaget inte framgår eller där en angiven slutsats avseende risknivå inte har motiverats.

• Allmän riskbedömning - penningtvätt 2025
  Ladda ner
• Kundkännedom avseende penningtvätt 2025
  Ladda ner

9.1 4 kap. 1 och 2 §§ penningtvättslagen
Revisorn ska övervaka pågående kundrelationer i syfte att upptäcka avvikande aktiviteter och transaktioner. Med avvikelser avses aktiviteter och transaktioner som revisorn inte har anledning att räkna med utifrån den kännedom han eller hon har om kunden. Revisorns övervakning ska även syfta till att upptäcka aktiviteter och transaktioner som utan att vara avvikande kan antas ingå som ett led i penningtvätt eller terrorfinansiering.

Inriktningen på och omfattningen av den löpande övervakningen ska ha sin utgångspunkt i den riskbedömning som revisorn gjort avseende kunden och uppdraget.

Om avvikelser eller misstänkta aktiviteter eller transaktioner uppmärksammas ska revisorn genom skärpta åtgärder för kundkännedom och andra nödvändiga åtgärder bedöma om det finns skälig grund att misstänka att det är fråga om penningtvätt eller finansiering av terrorism eller att egendom annars härrör från brottslig handling.

Riskprofilen och riskindikatorer måste beaktas i planering och uppföljning av revisionen

Penningtvättslagen definierar inte hur övervakningen ska gå till. En professionellt skeptisk revisor, som genomför en revision i enlighet med god revisionssed, i normalfallet bör ha vidtagit tillräckliga övervakningsåtgärder enligt penningtvättslagen. Detta kräver dock att den åsatta riskprofilen och de indikatorer som låg till grund för denna aktivt beaktas vid planeringen och på motsvarande sätt även adresseras vid uppföljningen av revisionen.

Övervakningen kan alltså inte genomföras och dokumenteras endast med hjälp av generiska checklistor med några få övergripande frågor om huruvida några misstänkta aktiviteter eller transaktioner uppmärksammats.

Revisorn måste aktivt tillgodogöra sig och omhänderta riskbedömningen i revisionen

Extra viktigt är att revisorn aktivt tillgodogör sig och omhändertar de överväganden och indikationer som beaktats vid riskbedömningen i sin planering och uppföljning av revisionen.

Väsentlighetstal ska inte användas för att avgränsa övervakningen enligt penningtvättslagen

Något väsentlighetskriterium finns inte för övervakningen enligt penningtvättslagen, utan denna ska vara helt riskbaserad. En uppmärksammad avvikelse eller misstänkt aktivitet eller transaktion ska alltså alltid följas upp, även om beloppet i sig understiger väsentlighetstalen.

4 kap. 3 § penningtvättslagen
Om revisorn vid sin övervakning av en pågående affärsförbindelse har skäligt grund att misstänka penningtvätt eller terrorfinansiering, eller att egendom annars härrör från brottslig handling, ska uppgifter om alla omständigheter utan dröjsmål rapporteras till Finanspolisen.

Misstankegraden för rapportering är låg och det krävs inte att revisorn gör någon mer ingående bedömning av den aktuella aktiviteten eller transaktionen. Syftet med den låga misstankegraden är att Finanspolisen ska ha möjlighet att bedöma rapporter där information från flera olika källor sammantaget blir avgörande för vilka åtgärder som Finanspolisen vidtar.

Det bör noteras att rapportering ska ske även om det före ingåendet av ett uppdrag uppkommer misstanke om att kunden avser att använda verksamhetsutövarens tjänster för penningtvätt eller finansiering av terrorism, dvs. även för misstankar kopplade till en presumtiv klient.

Det ska finnas interna rutiner för rapportering hos revisionsföretagen

Det ska finnas nedtecknade riktlinjer för hur och när rapportering ska ske. Vid misstanke ska rapportering nämligen ske utan dröjsmål och då behövs tydliga anvisningar om hur den enskilda revisorn och revisionsföretaget ska agera. Det räcker alltså inte med en informell rutinbeskrivning som t.ex. anger att ledningen och den revisor som upptäckt det avvikande beteendet ska ”prata ihop sig” om ett rapporteringsbehov skulle uppstå.

Revisorers rapporter utgör nödvändig underrättelseinformation

Revisorerna ska aktivt arbeta med att identifiera och granska misstänkta aktiviteter hos sina kunder och i förekommande fall rapportera dessa till Finanspolisen. Informationen i rapporterna är i vissa fall tillräcklig för att brottsförebyggande myndigheter direkt ska kunna öppna en förundersökning, i andra fall kombineras den med annan underrättelseinformation så att de kan skapa sig en mer fullständig bild av vad som har hänt.

11.1 6 kap. 1 och 2 §§ penningtvättslagen
2 kap. 16 § penningtvättslagen
Ett revisionsföretag ska ha rutiner och riktlinjer för intern kontroll för att säkerställa att penningtvättslagen efterlevs, dvs. för att upptäcka och korrigera brister i den egna verksamheten.

När det är motiverat med hänsyn till verksamhetens storlek och art ska revisionsföretaget även utse funktioner som ansvarar för att revisionsföretaget genomför de åtgärder som krävs för att följa penningtvättslagen samt granska och utvärdera revisionsföretagets rutiner, riktlinjer och interna kontroll.

Revisionsföretaget måste genomföra kontroller av att penningtvättslagen efterlevs

Kontrollen av att penningtvättslagen och de egna interna riktlinjer och rutinerna i detta avseende efterlevs görs generellt, såvitt Revisorsinspektionen kunnat bedöma, endast genom den interna kvalitetskontroll som utförs i enlighet med ISQC 1. Detta torde vara en välfungerande ordning förutsatt att kontrollerna innehåller särskilda moment som säkerställer efterlevnaden av penningtvättsregelverket