Mangelfulde hvidvaskprocedurer og -kontroller og revision

Faglig nyhedSamspillet mellem hvidvask og revision som opgave, hvidvask og ansvarsrelaterede oplysninger i revisionspåtegningen samt hvidvask og mangelfulde interne kontroller og procedurer er aktuelle emner for revisor.

Om revisorRevision

Det er helt centralt, at hvidvaskloven ikke pålægger revisor særlige revisionshandlinger rettet mod hvidvask, men alene de samme opgaver som øvrige virksomheder omfattet af hvidvaskloven: Risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligter, pligt til opbevaring af oplysninger, screening af medarbejdere og intern kontrol til effektiv forebyggelse af hvidvask. Dette redegøres der nærmere for i det følgende.

Revisor og hvidvasklovgivningen
Revisor er omfattet af lov om forebyggende foranstaltninger mod hvidvask og finansiering af terrorisme (hvidvaskloven - lov nr. 651 af 8. juni 2017 med senere ændringer) på fuldstændig samme måde, som de øvrige 24 virksomhedstyper, der er nævnt i loven. Det medfører, at revisor skal have politikker og procedurer for samme områder som øvrige virksomheder, der er omfattet af loven. Det omfatter blandt andet procedurer for risikostyring og kundekendskab, undersøgelses-, noterings- og underretningspligter, pligt til opbevaring af oplysninger, screening af medarbejdere og intern kontrol til effektiv forebyggelse af hvidvask.

 

Loven pålægger imidlertid ikke revisor særlige revisionsopgaver, hvilket vil sige, at der ikke er krav om, at revisor udfører revisionshandlinger rettet mod hvidvask, jf. nedenfor. 

 

Hvidvask og revision som opgave

Revisorer har siden 2003 været omfattet af hvidvaskloven. Et af de helt grundlæggende spørgsmål i den sammenhæng er, om hvidvaskloven skaber selvstændige undersøgelsespligter for revisor ved traditionelle erklæringsopgaver; her afgrænset til revision af regnskaber.

Målsætningen med en revision af et regnskab er, at revisor med høj grad af sikkerhed erklærer sig om, hvorvidt regnskabet er retvisende aflagt efter de gældende regnskabsregler. En sådan revision skal udføres efter god revisionsskik, der fremgår af revisorlovgivningen samt de gældende internationale revisionsstandarder (ISA).

ISA 250 om overvejelser vedrørende lovgivning fastlægger, at lovgivningen kan have en direkte indvirkning på regnskabsaflæggelsen, eller en indirekte indvirkning. Anden lovgivning end regnskabslovgivningen kan derfor være relevant i det omfang, den har eller kan få væsentlig indflydelse på, om regnskabet er retvisende. Eksempelvis kan overtrædelser af miljølovgivningen i nogle virksomheder indebære en risiko for, at virksomheden kan ifalde betragtelige bøder, der kunne blive relevante for ledelsen og for revisor at overveje i forbindelse med vurderingen af, om regnskabet er retvisende (indirekte indvirkning). Tilsvarende vil skattelovgivningen være relevant i (næsten) alle virksomheder på grund af dens afledte væsentlige effekt på skatteposter og eventuelt andre poster i regnskabet (direkte indvirkning).

I relation til ISA 250 vil hvidvasklovgivningen være relevant at overveje for revisor, hvis den reviderede virksomhed for eksempel er under undersøgelse af en relevante myndighed (Finanstilsynet eller Erhvervsstyrelsen), politianmeldt, eller der på anden måde foreligger information om (mulig) overtrædelse af hvidvasklovgivningen, og denne overtrædelse kan have en (indirekte) indvirkning på det reviderede regnskab.

Ved udførelse af revisionen kan revisor komme i situationer, hvor revisor skal ”undersøge baggrunden for og formålet med alle komplekse og usædvanligt store transaktioner samt alle usædvanlige transaktionsmønstre og aktiviteter, der ikke har et klart økonomisk eller påviseligt lovligt formål, med henblik på at fastslå, om der er mistanke om eller rimelig grund til at formode, at disse har eller har haft tilknytning til hvidvask eller finansiering af terrorisme” (citat fra hvidvasklovens § 25). I tilknytning hertil følger, at revisor har noterings-, underretnings- og opbevaringspligt afhængigt af revisors vurdering af forholdet.

Det er imidlertid alene mistænkelige forhold, som revisor bliver bekendt med via sit primære arbejde (i denne sammenhæng revision af regnskabet), der er omfattet af ovennævnte, og der er ikke krav om særskilte revisionshandlinger eller –programmer for at identificere, om der er mistænkelige transaktioner. Der er heller ikke krav om, at revisor skal være særlig ”synsk”. Det er ligeledes vigtigt at notere sig, at undersøgelsespligten ikke gælder klientens kunder, men alene vedrører klientens egne forhold. 


Hvidvask og ansvarsrelaterede oplysninger i revisionspåtegningen 
Efter erklæringsbekendtgørelsens § 7, stk. 2, skal revisor bl.a. under en konkret overskrift anføre ikke-uvæsentlige forhold, som revisor bliver bekendt med under sit arbejde, og som giver begrundet formodning om et ledelsesansvar.

Her er det vigtigt at vurdere samspillet mellem dette krav og eventuelle underretninger om hvidvask.

Generelt kræves der en mistanke, der ikke kan afkræftes, for at udløse underretningspligten efter hvidvaskloven. Dette indebærer dermed, at langt de fleste underretninger ikke samtidigt vil udløse krav om omtale af et ledelsesansvar i revisionspåtegningen. Dette krav udløses først ved begrundet formodning, og altså ved højere sikkerhed.

Hertil skal der være opmærksomhed om, at en underretning som udgangspunkt kun må meddeles til Hvidvasksekretariatet, og under ingen omstændigheder til klienten, der underrettes om. Hvis klienten fik nys herom, kunne dette kompromittere en eventuel efterfølgende efterforskning, som er det egentlige formål i hvidvaskreguleringen.


Hvidvask og mangelfulde interne kontroller og procedurer
I alle revisioner skal revisor rapportere til selskabets ledelse efter gældende revisionsstandarder. ISA 265 Kommunikation om mangler i intern kontrol til den øverste ledelse og den daglige ledelse er relevant vedrørende mangelfulde interne kontroller og procedurer.

Det er vigtigt at slå fast, at en påpegning af mangelfulde procedurer og kontroller ikke udløser revisors underretningspligt efter hvidvaskloven. Underretninger skal have basis i konkrete transaktioner og/eller aktiviteter, der skal have udløst en konkret mistanke. Ad absurdum ville der i modsat fald være underretningspligt i stort set alle ejerdominerede virksomheder, hvor revisor som en standardbemærkning fremhæver, at procedurer og kontroller i sagens natur er mangelfulde, hvilket eksempelvis kan føre til skatteunddragelse.


Dette gælder imidlertid også i mere specielle tilfælde, såsom ved revision i virksomheder af interesse for offentligheden, eksempelvis finansielle virksomheder.

§ 11, stk. 1, 1. pkt., i bekendtgørelse om revisionens gennemførelse i finansielle virksomheder m.v. samt finansielle koncerner lyder således:

”Den eksterne revision skal i protokollatet vedrørende årsregnskabet afgive konklusion om, hvorvidt virksomhedens administrative og regnskabsmæssige praksis på væsentlige områder, herunder forretningsgange og interne kontrolprocedurer, er tilrettelagt og fungerer på betryggende vis”.

Bestemmelsen og revisors arbejdsopgaver i tilknytning hertil er nærmere præciseret i et bilag til bekendtgørelsen. Heri fastlægges, at revisor i overensstemmelse med ISA 315 skal vurdere, hvor den iboende risiko for fejl i årsregnskabet er høj. I pengeinstitutter gennemfører pengeinstituttets eventuelt kriminelle kunder sædvanligvis hvidvask på indlånskonti, der jo ikke i sig selv medfører en høj risiko for fejl i årsregnskabet.

Bestemmelsen fastlægger endvidere, at revisor skal vurdere, hvorvidt risikostyringsfunktionen og compliancefunktionen har de nødvendige ressourcer og udfører opgaverne forsvarligt. Det er det tætteste, revisor kommer på en vurdering af intern kontrol vedrørende hvidvask i pengeinstitutter.

Hvis revisor måtte konkludere, at den administrative og regnskabsmæssige praksis (herunder på hvidvaskområdet) ikke fuldt ud er tilrettelagt og fungerer på betryggende vis, vil det imidlertid ikke i sig selv udløse en underretning om mistanke om hvidvask eller finansiering af terrorisme, der ikke kan afkræftes. Underretninger forudsætter som nævnt en konkret mistanke om en konkret transaktion eller aktivitet, som pengeinstituttets ledelse selv er part i. Pengeinstituttets kunder er ikke omfattet af revisors underretningspligt (klientens kunder). I den sammenhæng bemærkes det, at pengeinstituttet jo selv er omfattet af hvidvaskloven vedrørende dets kunder.