Remissen innehåller Revisorsinspektionens förslag till föreskrifter om åtgärder mot penningtvätt och finansiering av terrorism. Förslagen är avsedda att komplettera och förtydliga bestämmelserna i penningtvättslagen och omfattar auktoriserade och godkända revisorer samt revisionsföretag.

I föreskrifterna anges vad den allmänna riskbedömningen ska innehålla samt att revisionsföretaget minst en gång per år ska utvärdera, och vid behov uppdatera, den allmänna riskbedömningen och sina rutiner och riktlinjer. Datum för utvärderingen och eventuell uppdatering ska dokumenteras. Vidare föreslås att ett revisionsföretag ska dokumentera den fortlöpande utbildning som avses i 2 kap. 14 §[1] lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism, i det följande penningtvättslagen. Utbildningens innehåll, namn på deltagare samt datum för utbildningen ska framgå av dokumentationen.

Vidare föreslås att revisionsföretaget ska utföra periodiskt återkommande kontroller av revisorernas åtgärder i enskilda uppdrag för att säkerställa att penningtvättslagen, de nu remitterade föreskrifterna samt interna riktlinjer och rutiner efterlevs. Kontrollen föreslås ske genom att minst ett avslutat uppdrag för varje revisor granskas minst var tredje år. Den ska åtminstone omfatta åtgärder och dokumentation avseende kundkännedom, kundriskprofil och övervakning. Datum för kontrollen, eventuella upptäckta brister samt planerade och genomförda förbättringsåtgärder ska dokumenteras.

I föreskrifterna anges vilka åtgärder avseende kundkännedom som revisorn ska vidta, liksom att det ska dokumenteras när kontrollen har utförts. Vidare anges vilka åtgärder revisorn förväntas vidta vid låg respektive hög risk. När revisorn vid hög risk vidtar skärpta åtgärder för kundkännedom ska åtminstone ytterligare information om kundens ekonomiska situation och varifrån dennes ekonomiska medel kommer hämtas in. För kunder som är etablerade i ett land som har identifierats som ett högrisktredjeland finns ytterligare krav på skärpta åtgärder enligt penningtvättslagen.

Det föreslås att en revisor ska utvärdera kundkännedomen och kundens riskprofil under pågående uppdrag och vid behov uppdatera dessa. Utvärdering ska göras minst en gång per år. Om kundkännedomen uppdateras eller om rapportering sker till Polismyndigheten ska beslut tas om huruvida riskprofilen ska ändras eller inte. Datum, överväganden och slutsatser för utvärderingen samt eventuell uppdatering, ska dokumenteras.

Vidare föreslås att när revisionsföretaget gör sin allmänna riskbedömning och revisorn gör sin bedömning av kundens riskprofil (riskbedömningarna) ska minst tre nivåer motsvarande normal, låg och hög risk tillämpas. Utgångspunkten vid bedömningarna ska vara normal risk. Nivån får bestämmas som låg om det finns specifika omständigheter som vid en sammantagen bedömning visar att risken för penningtvätt och finansiering av terrorism är lägre än normalt. Om det finns omständigheter som tyder på förhöjd risk för penningtvätt eller finansiering av terrorism ska nivån bestämmas som hög.

Dokumentationen av vidtagna åtgärder ska under den tid som anges i 5 kap. 3[2] och 4[3] §§ penningtvättslagen bevaras på det sätt som anges i 12 § första stycket[4] Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet. Dokumentationen ska vara organiserad på sådant sätt att uppgifter och handlingar är lätta att identifiera, ta fram och sammanställa på begäran av Polismyndigheten, Säkerhetspolisen eller Revisorsinspektionen.

Föreskrifterna föreslås träda i kraft den 1 januari 2022.

[1] 2 kap 14 § penningtvättslagen lyder: En verksamhetsutövare ska se till att anställda, uppdragstagare och andra som på liknande grund deltar i verksamheten och som utför arbetsuppgifter av betydelse för att förhindra att verksamheten utnyttjas för penningtvätt eller finansiering av terrorism fortlöpande får relevant utbildning och information för att kunna fullgöra verksamhetsutövarens skyldigheter enligt denna lag. Utbildningen ska åtminstone avse relevanta delar av innehållet i gällande regelverk, verksamhetsutövarens allmänna riskbedömning, rutiner och riktlinjer samt information som ska underlätta för personer som avses i första stycket att upptäcka misstänkt penningtvätt och finansiering av terrorism.

[2] 5 kap 3 § penningtvättslagen: En verksamhetsutövare ska i fem år bevara handlingar och uppgifter, om handlingarna och uppgifterna avser
1. åtgärder som har vidtagits för kundkännedom enligt 3 kap. och 4 kap. 2 §, eller
2. transaktioner som genomförts med kunder inom ramen för affärsförbindelser eller vid enstaka transaktioner som omfattas av krav på åtgärder för kundkännedom enligt 3 kap. 4-6 §§.
Tiden ska räknas från det att åtgärderna eller transaktionerna utfördes eller, i de fall då en affärsförbindelse har etablerats, affärsförbindelsen upphörde. Om en enstaka transaktion inte har genomförts till följd av misstanke om penningtvätt eller finansiering av terrorism, ska tiden räknas från det att avståendet skedde.
[3] 5 kap 4 § penningtvättslagen: Om det är nödvändigt för att förebygga, upptäcka eller utreda penningtvätt eller finansiering av terrorism får verksamhetsutövare bevara handlingar och uppgifter enligt 3 § under en längre tid än fem år. Den sammanlagda tiden får dock inte överstiga tio år.
Första stycket gäller också i fråga om handlingar och uppgifter som ska bevaras enligt artikel 16 i förordning (EU) 2015/847.
[4] 12 § 1 st (RIFS 2018:2): En revisor eller ett revisionsföretag ska förvara dokumentationen i ordnat skick och på ett betryggande sätt. Den får inte vara tillgänglig för obehöriga. Den ska på Revisorsinspektionens begäran utan dröjsmål ges in till inspektionen.