Martin Ekberg är en fristående AML-expert med mångårig erfarenhet av att hjälpa ekonomibyråer med regelefterlevnaden av penningtvättslagen. Den 18 april höll Martin i ett webbinarie där han besvarade frågor kring allmän riskbedömning, kundkännedom och penningtvättslagen i allmänhet. Här har vi samlat frågorna och svaren från webbinariet!
Vänligen notera att svaren är generella och bygger på Martins tolkning av frågan, olika omständigheter skulle kunna påverka svaren så att de blev annorlunda i det enskilda fallet.
Allmän riskbedömning
Om man gör en allmän riskbedömning som anses vara ”för snäll”, kan byrån få sanktionsavgifter då?
Om jag tolkar "för snäll" som att man bedömer risken kopplad till kunden "lägre" än vad den är så är svaret ja.
Varför? Arbetet med åtgärder mot penningtvätt och finansiering ska vara riskbaserat. Om man gör bedömningen att risken är lägre än vad den är så kommer man sannolikt att vidta för få eller för ytliga åtgärder för att förhindra PT/TF vilket innebär att man kanske missar varningssignaler eller tecken på att byrån utnyttjas för sådant. Genom att arbeta riskbaserat, dvs ha olika åtgärder beroende på risknivå så säkerställer man dels att man använder resurserna effektivt och dels att man håller extra koll på de kunder med högre risk. Såklart svårt att upptäcka om det inte är helt uppenbart att man systematiskt bedömer risken för lågt.
Referens: Lag (2017:630) 2 kap. 2§ Omfattningen av den allmänna riskbedömningen ska bestämmas med hänsyn till verksamhetsutövarens storlek och art och de risker för penningtvätt eller finansiering av terrorism som kan antas föreligga…
Om man i den allmänna riskbedömningen argumenterat för att en viss bransch anses ha hög generell risk, kan man ändå motivera att kunder tillhörande denna bransch anses ha normal risk?
Det korta svaret är ja, men det svaret beror lite på hur man valt att gå tillväga för att komma fram till svaret och vilken risk man tittar på. Det är kombinationen av olika parametrar som avgör risken på kundnivå.
Varför? Om man har ett upplägg i sin allmänna riskbedömning med inneboende risk, mitigerande faktorer och residualrisk, dvs att man först analyserar risker utan hänsyn till riskbegränsande omständigheter såsom kontroller, egenskaper etc. och sedan tittar på just sådana riskbegränsande egenskaper och vilken effekt dessa har på risknivån för att slutligen minska den inneboende risken med de mitigerande faktorerna för att på så sätt landa i en residualrisk, dvs den återstående risken, så skulle man kunna argumentera för att residualrisken är på en "Medelnivå" även om den inneboende risken för branschen är hög.
Det är som beskrivs i frågan skillnad på de riskfaktorer som ni bedömer i den allmänna riskbedömningen och "kundens riskprofil" eller kundriskklassificeringen som du sätter/gör på varje enskild kund. Där är "branschrisken" bara en av många olika parametrar som man måste ta hänsyn till.
Referens: Läs om "Riskbaserat förhållningssätt", exempelvis i publikationen från FATF som det länkas till nedan (fråga 14).
Kundkännedom
Anses en enskild näringsidkare vara huvudman (i en enskild firma)?
I de allra flesta fall skull jag svara ja.
Varför? Vid enskild näringsidkare skiljer man inte på den fysiska personen och företaget, det finns inte någon annan ”ägare” och ingen har genom avtal eller annat möjlighet att inverka på beslutsfattandet, åtminstone inte i teorin… Jämför med ett aktiebolag som ju kan ha flera olika ägare, olika typer av ägare (A- och B-aktier) eller avtal / konstruktioner som påverkar kontrollen över företaget. Det är ju egentligen den som ytterst äger, kontrollerar eller slutligen drar nytta av verksamheten (förmånstagaren) som är av intresse här.
Det skulle dock kunna finnas någon som genom annan typ av kontroll påverkar eller kontrollerar den enskilda näringsidkaren så att denne utför saker för annans vinning (olagliga saker) och detta är naturligtvis alvarligt och svårt att upptäcka om än viktigt att förstå. På engelska kallas den verkliga/slutliga förmånstagaren för UBO och det kan vara någon som inte alls har någon rättslig möjlighet att påverka företagen, men kanske gör det ändå.
Om man misstänker att någon annan utövar ett sådant inflytande på en enskild näringsidkare (och kanske främst när det finns en misstanke om oegentligheter kopplad till den) bör man absolut notera detta och fundera på om det är något som kan behöva rapporteras till FIPO (eller annan myndighet eller del av polisen).
Vem eller vilka ska man identifiera hos en kund?
Kunden och om tillämpligt verkliga huvudmän. Företrädare för kunden ska också identifieras och dess rätt att företräda kunden ska kontrolleras.
Varför? Huvudskälet att motverka anonyma affärsförbindelser. Anonymitet är penningtvättare och andra typer av kriminellas bästa vän. Kan också finnas skäl ur ett ansvarsperspektiv men ansvarsfrågan torde fångas av avtalet med kunden.
Exempel: Om juridisk person så identifieras kunden exempelvis genom registerutdrag, registreringsbevis, bolagsordning eller motsvarande handling. Vilken typ av verifiering av identiteten man använder beror på förutsättningar och risk. Verkliga huvudmannen ska identifieras och identiteteten ska fastställas. Sedan ska man verifiera identiteten på den företrädare som representerar kunden och kontrollera dess rätt att företräda kunden.
Referens: Lag (2017:630) 3 kap. 7–10 §§
Länsstyrelsen uppger på sin hemsida att kravet på kundkännedomsåtgärder inte omfattar skatterådgivare om affärsförbindelsens syfte är att ”bedöma klientens rättsliga situation”. Vad innebär det i praktiken?
Behöver inte ha kundkännedom om uppdraget syftar till att försvara eller företräda en klient i fråga om ett rättsligt förfarande, inklusive rådgivning för att inleda eller undvika ett rättsligt förfarande, eller till att bedöma klientens rättsliga situation.
Varför? Lag (2017:630) 3 kap. 1§ En verksamhetsutövare får inte etablera eller upprätthålla en affärsförbindelse eller utföra en enstaka transaktion, om verksamhetsutövaren inte har tillräcklig kännedom om kunden för att kunna 1.) hantera risken för penningtvätt eller finansiering av terrorism som kan förknippas med kundrelationen, och 2.) övervaka och bedöma kundens aktiviteter och transaktioner enligt 4 kap.1 och 2 §§.
Första stycket gäller inte advokater och advokatbolag, andra oberoende jurister, auktoriserade och godkända revisorer samt skatterådgivare, om affärsförbindelsen syftar till att försvara eller företräda en klient i fråga om ett rättsligt förfarande, inklusive rådgivning för att inleda eller undvika ett rättsligt förfarande, eller till att bedöma klientens rättsliga situation.
Om man omfattas av penningtvättslagen men även tillhandahåller tjänster som inte är kopplade till redovisning eller bokföring, måste man genomföra kundkännedomsåtgärder på dessa kunder också (om de inte köper några ekonomitjänster)?
Det är sådan verksamhet som omfattas av penningtvättslagen som är reglerad. Således torde andra typer av tjänster som erbjuds vid blandad verksamhet inte omfattas.
Exempel: Har man läst Länsstyrelsens sanktionsbeslut så har det funnits verksamhetsutövare som menat att lönetjänster inte omfattas av PTL, den diskussionen har dock dödats men i något av besluten innan så skedde hände det att Länsstyrelsen "räknade av" omsättningen från lönetjänsterna från den totala omsättningen.
I senare beslut från Länsstyrelsen hävdar de att lönetjänster omfattas av PTL:
När Länsstyrelsen ska bedöma om en tjänst omfattas av penningtvättslagen har myndigheten att utgå ifrån det tjänsteutbud som verksamhetsutövaren erbjuder. Vid bedömningen av om en tjänst ska anses utgöra en bokföringstjänst enligt penningtvättslagen saknar det betydelse vad en verksamhetsutövare väljer att kalla tjänsten. Det som Länsstyrelsen har att bedöma är i stället om tjänsten består av sådana arbetsmoment som utgör bokföringstjänster. Eftersom Länsstyrelsen har att utgå från verksamhetsutövarens tjänsteutbud anser myndigheten att en tjänst som innehåller arbetsmoment som utgör bokföringstjänster ska anses omfattas av penningtvättslagen.
Om ett aktiebolag har en ägare och denne är identifierad, måste man göra en kundkännedom på privatpersonen (ägaren) för att få upprätta den privata deklarationen?
Om du har en bolagskund och har identifierat och verifierat den verkliga huvudmannen och sedan utför den verkliga huvudmannens privata deklaration så skulle jag hänvisa till den ID-kontroll som gjorts för bolagskunden när jag gjorde kundkännedomen för privatkunden.
Svaret blir således ja, du behöver sannolikt göra en kundkännedom på PRIVATKUNDEN även om du har kundkännedom på FÖRETAGSKUNDEN.
Varför? Som jag ser det är det två olika kunder, en företagskund och en privatkund. Förmodligen har ni olika kundkännedomsförfaranden för dessa olika typer av kunder och ni erbjuder definitivt olika typer av tjänster till dem. Det är förbjudet att upprätta/upprätthålla affärsförbindelser om det saknas kundkännedom.
Referens: Lag (2017:630) 3 kap. 1 §
Ideella föreningar saknar verklig huvudman. Ska man kontrollera alla i styrelsen eller räcker det med att kontrollera den som är alternativ verklig huvudman?
Det beror på… Generellt gäller att ni ska utse en alternativ verklig huvudman när en verklig huvudman saknas. Ordförande (eller VD eller motsvarande) ska utses till VHM vilket du verkar vara införstådd med och denna person ska då identifieras och identiteten ska verifieras. Om resterande styrelseledamöter ska identifieras beror på vilken risk den enskilda kunden bedöms utgöra samt vad ni kommit fram till i allmänna riskbedömningen och era rutiner.
Referens: Lag (2017:630) 3 kap. 8§ 3st
Hur kan syfte och art variera mellan kunderna? Kan man nämna några exempel? I princip så är ju alla affärsförbindelser i redovisningsbranschen likvärdiga.
Enligt PTL ska en verksamhetsutövare inhämta information om affärsförbindelsens syfte och art och informationen ska användas vid bedömning av vilka aktiviteter och transaktioner som kunden kan förväntas genomföra inom ramen för affärsförbindelsen OCH den ska också ligga till grund för bedömningen av kundens riskprofil.
Syfte borde normalt vara att man saknar egen ekonomifunktion eller kapacitet och behöver köpa den tjänster.
Art, dvs. hur kunden kommer att nyttja tjänsterna är ofta misstolkat. Här räcker det inte med att beskriva att ”vi ska sköta löpande redovisning, upprätta bokslut och deklarationer”. Inom ramen för affärsförbindelsens art ingår att förstå vilken typ av transaktioner som ska genomföras, vilken omfattning och vilka volymer, till och från vilka motparter och liknande. Affärsförbindelsens art är helt avgörande för att ni ska kunna genomföra transaktionsövervakningen. Utan att veta hur kunden ska agera är det omöjligt att hitta avvikelser.
Referens: Lag (2017:630) 3 kap. och 12§ Lag (2017:630) 3 kap. 13§
Om man har ett koncernbolag som bygger fastigheter och bildar ett nytt aktiebolag (dotterbolag) för varje fastighet, räcker det att göra en kundkännedom för moderbolaget eller måste man upprätta en för varje dotterbolag?
Är det en kund behöver man kundkännedom. Sedan skulle jag säga att det mesta som ni behöver veta redan finns dokumenterat i kundkännedomen på moderbolaget, varvid kundkännedomen torde vara ganska enkel på dotterbolagen. Man behöver t.ex. inte göra ID-kontrollen på VHM i samtliga DB:n om det är samma VHM och ID-kontrollen redan gjorts.
Referens: Lag (2017:630) 3 kap. 1§
Bör man kontrollera om en kund har en dom i belastningsregistret (för att ha som underlag vid riskklassificering), dvs. före man egentligen vet om det föreligger en hög, medel eller låg risk?
Bra fråga utan enkelt svar, det beror på blir nog svaret.
Varför: Tror man behöver reda lite i begreppen här.
Man behöver ha tillräcklig kundkännedom för att kunna hantera risken för PT och TF med kundrelationen (kap. 3 §1 PTL).
De "obligatoriska" eller grundläggande kundkännedomsåtgärderna såsom identifiering och verifiering etc. innehåller ingen kontroll mot belastningsregister men det skulle kunna vara så att informationen behövs för att kunna hantera risken med affärsrelationen.
Kundens riskprofil ska bestämmas utifrån den allmänna riskbedömningen och kundkännedomen (kap. 2 §3).
Jag skulle vilja hävda att en kontroll av en fysisk person mot belastningsregistret i de flesta fall ska ses som en skärpt åtgärd som vidtas när risken är förhöjd av någon anledning (kap. 3 §16). Men det kan finnas fall när detta bör göras som en grundläggande åtgärd. Det beror på vilken riskexponering man har i verksamheten.
Referens: Lag (2017:630) 3 kap. 1 §, Lag (2017:630) 3 kap. 16 §, Lag (2017:630) 2 kap. 3 §
Om man arbetar som underkonsult, behöver man då göra en kundkännedom både för det bolaget man samarbetar med och kunden som man jobbar med? I detta fall handlar det om ett samarbete med ett rekryteringsföretag som i sin tur har avtal med slutkunden.
Gissar att redovisningsbolaget fakturerar rekryteringsföretaget som i sin tur fakturerar slutkunden så man skulle kunna se rekryteringsföretaget och inte slutkunden som kund?
Utan att ge mig in på upplägget som sådant skulle jag rekommendera att ha kundkännedom på båda. Det allra viktigaste är såklart att du har koll på slutkunden då det är den som du ska riskklassificera och transaktionsövervaka utifrån din kundkännedom (och allmänna riskbedömning)
Referens: Lag (2017:630) 2 kap. 3 §, Lag (2017:630) 3 kap. 1 §
Övrigt
Är det olika myndigheter som har tillsynsansvar för revisorer respektive redovisningskonsulter?
Ja, för redovisningsbyråer är det Länsstyrelsen som är tillsynsmyndighet och för revisorer är det Revisorsinspektionen.
Finns det hjälp och vägledning att få någonstans?
Ja, det finns det. Bland annat kan du få hjälp och vägledning hos:
- Svenska Institutet Mot Penningtvätt (SIMPT)
- Financial Action Task Force (FATF)
- Samordningsfunktionen mot penningtvätt
- Finanspolisen
- Finansinspektionen
- Länsstyrelserna
- Branschorganisationer som FAR och Srf konsulterna
För ännu fler tips kan du spana in vår artikel där vi samlat underlag och vägledning kring penningtvättslagen.
Kommentarer
0 kommentarer
logga in för att lämna en kommentar.