Gå til innhold
06.02.2009 Skriv ut

Kredittilsynets merknader etter selskapstilsyn

Ernst & Young AS

Oslo Atrium
PO Box 20
0051 OSLO

Saksbehandler: Brynjar Gilberg
Dir. tlf.: 22 93 99 01
Vår referanse: 07/6604
Deres referanse:
Arkivkode: 624.1
Dato: 06.02.2009

 

Kredittilsynet viser til varsel om tilsyn med Ernst & Young AS av 6. juli 2007, stedlig tilsyn gjennomført i oktober 2007, Kredittilsynets foreløpige merknader av 18. april 2008, tilsvar av 29. juli 2008 og 23. desember 2008, samt opplysninger gitt i annen korrespondanse. Det har også vært avholdt møter med selskapets ledelse og aktuelle ansvarlige revisorer.


 

1. Innledning

Det stedlige tilsynet med Ernst & Young AS (E&Y/selskapet) inngår som et ledd i prioriteringen av tilsynet med de store revisjonsselskapene. Bakgrunnen for fokuset på de store revisjonsselskapene er at det er disse som i all hovedsak står for revisjonen av virksomheter av allmenn interesse, herunder av børsnoterte foretak. Et av Kredittilsynets hovedmål er å bidra til velfungerende verdipapirmarkeder.

Det arbeid som utføres av ansvarlig revisor, utpekt av revisjonsselskapet i henhold til revisorloven § 2-2 annet ledd, er avgjørende for hvorvidt revisjonsoppdraget gjennomføres i samsvar med revisorloven, herunder ”god revisjonsskikk”, jf. revisorloven § 5-2 annet ledd. De retningslinjer og rutiner som til enhver tid er vedtatt og gjeldende for revisjonsselskapet, og som skal følges av de ansvarlige og andre på revisjonsteamet, vil derfor i praksis være av vesentlig betydning for kvaliteten på samtlige revisjonsoppdrag som revisjonsselskapet påtar seg.

Den norske Revisorforening (DnR) fastsatte i desember 2005, med virkning fra 1. oktober 2006, en standard for kvalitetskontroll, SK 1 – Kvalitetskontroll for revisjonsselskap som utfører revisjon og begrenset revisjon av historisk økonomisk informasjon samt andre attestasjonsoppdrag og beslektede tjenester. Nevnte standard, sammen med revisjonsstandarden RS 220 – Kvalitetskontroll av revisjon av historisk økonomisk informasjon, bidrar i vesentlig grad til målsetningen om en hensiktsmessig og betryggende virksomhet i revisjonsselskaper.

Kredittilsynets selskapstilsyn inngår som et ledd i det ordinære tilsynsarbeidet. Kredittilsynet vurderer konkret hvordan tilsynet bør gjennomføres og hvilke forhold det anses hensiktsmessig å kommentere overfor det enkelte revisjonsselskap. Eventuelle forskjeller i struktur eller innhold i Kredittilsynets merknader må ses i lys av dette.


 

2. Omfanget av tilsynet

Kredittilsynet søker gjennom sine inspeksjoner å identifisere områder hvor det kan være behov for forbedringer for å sikre en tilfredsstillende kvalitet på revisjonen. I forbindelse med tilsynet med E&Y har Kredittilsynet vurdert de retningslinjer og rutiner selskapet har etablert for å sikre kvalitet innenfor følgende områder:

  • Revisorlovens krav til revisjonsselskaper
  • Ledelse, strategi og kultur (”tone at the top”)
  • Partneropptak, evaluering, avlønning og disiplinære tiltak
  • Tildeling av ansvar
  • Uavhengighet og etikk
  • Aksept og fortsettelse av revisjonsoppdrag
  • Revisjonsmetodikk, veiledning og opplæring
  • Konsultasjoner
  • Intern kvalitetskontroll av enkeltoppdrag

Selskapets etablerte retningslinjer og rutiner skal sikre overholdelse av revisorlovgivningen, herunder god revisjonsskikk. Selskapets retningslinjer og rutiner må også hensynta revisjonsstandarder, standarder for kvalitetskontroll og etiske regler vedtatt av DnRs styre.

Som ledd i det stedlige tilsynet valgte Kredittilsynet ut to revisjonsoppdrag, her betegnet som oppdrag A og B, for nærmere gjennomgang.

Kredittilsynet er innforstått med at rutiner og retningslinjer bare vil kunne være et bidrag til å sikre at revisjonsutførelsen skjer i henhold til revisorlovgivningen. Verken lovgivning, rutiner, eller retningslinjer vil være tilstrekkelig til å hindre svakheter i revisjonen i samtlige oppdrag selskapet gjennomfører.

Kredittilsynet mottok i perioden 2007 til og med våren 2008 elleve innrapporteringer av revisjonsoppdrag utført av E&Y, hvorav ett gjaldt revisjonen av et børsnotert foretak. Kredittilsynet har vurdert åtte av disse innrapporteringene som gjelder regnskapsårene 2006 eller tidligere. De øvrige 3 fant Kredittilsynet ikke grunn til å undersøke nærmere. Merknadene knyttet til de innrapporterte revisjonsoppdragene omtales i egne brev til revisjonsselskapet. Kredittilsynet har ikke grunn til å tro at de innrapporterte revisjonsoppdragene er representative for revisjonsselskapets totale portefølje.


 

3. Revisorlovens krav til revisjonsselskaper

Revisorloven § 3-5 første ledd stiller krav til selskapets organisasjonsform. E&Y er organisert som et aksjeselskap og tilfredsstiller dermed lovkravet.

Godkjente revisorer innehar mer enn halvparten av aksjekapitalen og stemmene i selskapet, jf. revisorloven § 3-5 første ledd nr. 1.

Styret består av åtte personer, hvorav syv er godkjente revisorer. Det er etter siste endring i styresammensetning to observatører/varamedlemmer til styret hvorav én er godkjent revisor. Lovens vilkår om at flertallet av styremedlemmene er godkjente revisorer er oppfylt, jf. revisorloven § 3-5 første ledd nr. 2.

Etter selskapets vedtekter kan gyldig vedtak ikke treffes uten at halvparten av både stemmene og den samlede selskapskapital har stemt for vedtaket på generalforsamlingen. Selskapets vedtekter er dermed i samsvar med lovkravet i revisorloven § 3-5 første ledd nr. 3.

I henhold til de sist avlagte årsregnskap er selskapet i stand til å oppfylle sine forpliktelser etter hvert som de forfaller, jf. revisorloven § 3-5 første ledd nr. 4.

Selskapet har fast kontorsted i Norge, jf. revisorloven § 3-5 første ledd nr. 5.

Det er den enkelte revisors ansvar å påse at det er stilt sikkerhet i samsvar med lovkravet i revisorloven § 3-7 første ledd nr. 4, jf. § 1-1 tredje ledd annet punktum. Selskapet sørger for sikkerhetsstillelsen på vegne av de ansvarlige revisorene samt andre godkjente revisorer som bekrefter opplysninger overfor offentlige myndigheter. Selskapet informerer Kredittilsynet løpende om hvem som er dekket av sikkerheten.

I henhold til revisorloven § 3-7 første ledd nr. 1 skal revisor som reviderer årsregnskap for revisjonspliktig gjennomgå etterutdanning i henhold til nærmere bestemmelser i forskrift. Selskapet har etablert rutiner i klientsystemet, som skal sikre at de som utpekes som ansvarlig oppfyller etterutdanningskravet.


 

4. Selskapets organisering, retningslinjer og rutiner

Kredittilsynet forstår med begrepet ”retningslinjer” det sett av regler et revisjonsselskap har fastsatt for hvordan revisjonsselskapets virksomhet skal utføres. Kredittilsynet forstår med begrepet ”rutiner” de prosedyrer revisjonsselskapet har etablert for å sikre at retningslinjene følges, og omfatter blant annet selskapets revisjonsverktøy.

Kredittilsynet har innhentet og vurdert følgende dokumentasjon knyttet til selskapets strategi og ledelse, herunder informasjon mottatt i møter med selskapets ledelse:

  • organisasjonskart som viser rapporteringslinjer i selskapet
  • revisjonsselskapets sist avlagte årsregnskap
  • revisjonsselskapets vedtekter
  • rapporter fra DnRs kvalitetskontroller
  • rapport fra siste års interne kvalitetskontroller
  • selskapets retningslinjer for risikovurdering, herunder retningslinjer for aksept og fortsettelse av revisjonsoppdrag
  • sjekkliste for kvalitetskontroll revisjonsoppdrag
  • retningslinjer for sikring av uavhengighet
  • retningslinjer for hindring av interessekonflikter
  • oversikt over prosessen for opptak og kompensasjon av partnere
  • oversikt over antall timer partnere har på oppdragene
  • liste over de to siste års avgåtte og nye partnere
  • kopi av de tre siste større revisjonstilbud
  • liste over interne/eksterne publikasjoner
  • oversikt over gjennomføringen av SK 1
  • retningslinjer for uavhengig partner (oppdragskontrollør) og konsultasjoner
  • dokumentasjonsløsninger for revisjon av mindre selskaper
  • kurskatalog og instruktørguide
  • brosjyrer om verdier og bedriftskultur i E&Y

4.1 Selskapets retningslinjer

Kredittilsynet noterer at selskapet har lagt til grunn de samme retningslinjene for den norske revisjonsvirksomheten som gjelder for det internasjonale nettverket selskapet er en del av, etter at selskapet har gjennomgått disse med hensyn til nødvendige tilpasninger for å ivareta norsk regelverk.

Kredittilsynet har ingen særlige merknader til selskapets retningslinjer.

Kredittilsynet vil understreke betydningen av at sensitiv klientinformasjon beskyttes mot uønsket innsyn. E-post er en hensiktsmessig og mye benyttet, men samtidig usikker forsendelseskanal. E&Y opplyste til Kredittilsynet at det foreligger retningslinjer som definerer hvilken informasjon som tillates sendt som e-post. Sensitiv informasjon som sendes pr. e-post bør beskyttes, for eksempel ved hjelp av kryptering.

4.2 Selskapets rutiner

Kredittilsynet har ved vurdering av selskapets rutiner sett særlig på følgende:

4.2.1 Ledelse, strategi og kultur
Revisjonsselskapets ledelse bestemmer i stor grad, gjennom sine holdninger, strategivalg og sin innvirkning på selskapets kultur, hva som blant de ansatte revisorene i selskapet anses å ligge innenfor god revisjonsskikk. På denne måten påvirkes den gjennomgående revisjonskvaliteten.

Kredittilsynet har ingen særlige merknader knyttet til disse forholdene i revisjonsselskapet. Kredittilsynet vil likevel, med bakgrunn i gjennomgangen av de utvalgte revisjonsoppdragene, understreke betydningen av etterprøvbar dokumentasjonen og ledelsens ansvar i denne forbindelse.

4.2.2 Partneropptak, evaluering, avlønning og disiplinære tiltak
Kredittilsynet er innforstått med at selskapets fastsettelse av retningslinjer og rutiner er nødvendig, men ikke tilstrekkelig til å sikre at samtlige revisjonsoppdrag til enhver tid gjennomføres fullt ut i samsvar med revisorloven, herunder god revisjonsskikk. At det får økonomiske eller andre konsekvenser for den enkelte dersom retningslinjene ikke følges, er imidlertid virkemidler som bidrar til å sikre etterlevelse.

Kredittilsynet har ingen særlige merknader til revisjonsselskapets håndtering av disse forholdene.

4.2.3 Tildeling av oppdragsansvar
Et grunnleggende krav knyttet til revisjonsselskapets retningslinjer og rutiner for aksept og fortsettelse av revisjonsoppdrag er at selskapet er kompetent til å utføre oppdraget og har ferdighetene, tiden og ressursene til å gjøre dette, jf. SK 1 punkt 28 (b). I henhold til revisorloven § 2-2 annet ledd skal et revisjonsselskap utpeke en ansvarlig revisor for hvert enkelt oppdrag. Revisjonsselskapet har således ansvar for å utpeke en ansvarlig revisor som har den nødvendige kompetanse og kapasitet for å sikre at revisjonsoppdraget gjennomføres i samsvar med revisorloven, herunder god revisjonsskikk. Ansvarsområdene til den ansvarlige revisor skal klart defineres og kommuniseres til denne revisoren, jf. SK 1 punkt 42 og 43.

E&Y opplyste at selskapet på tidspunktet for tilsynet var registrert som revisor for ca. 17 000 foretak, hvorav ca. 15 000 krever mindre enn 100 timer revisjon. E&Y har utpekt ca. 95 revisorer som er ansvarlige for oppdrag. I gjennomsnitt har således de ansvarlige revisorene mer enn 170 revisjonsoppdrag hver.

På et generelt grunnlag kan det reises spørsmål ved hvorvidt den enkelte ansvarlige revisor har tilstrekkelig tid til å sikre etterlevelsen av selskapets krav til kvalitet. Dette gjelder selv om et stort antall av selskapene kan være små, uten virksomhet, eller uten vesentlige eiendeler eller gjeld.

4.2.4 Uavhengighet og etikk
Kravene til uavhengighet og etikk som fremgår av revisorloven og blant annet DnRs etiske regler, er sentrale forutsetninger for å sikre at revisjonen skjer i samsvar med revisorlovgivningen. Kartlegging og oppfølging av trusler mot revisors uavhengighet er viktig, herunder identifikasjon og dokumentasjon av forholdsregler for å eliminere eller redusere avdekkede trusler mot selskapets og ansvarlig revisors uavhengighet, i tilfeller der revisorlovgivningen åpner for revisors skjønn. Videre er identifisering og håndtering av interessekonflikter viktig.

Kredittilsynet har ingen særlige merknader til selskapets rutiner for å sikre at disse kravene blir ivaretatt. 

4.2.5 Aksept og fortsettelse av revisjonsoppdrag
Kredittilsynet anser at de vilkår som er fastsatt av revisjonsselskapet for aksept og fortsettelse av revisjonsoppdrag, er sentrale for å sikre revisjonsselskapets egen overholdelse av lover og regler, herunder revisorlovens krav til uavhengighet.

Kredittilsynet har ingen særlige merknader knyttet til selskapets rutiner for aksept og fortsettelse av revisjonsoppdrag.

4.2.6 Revisjonsmetodikk, opplæring og veiledning
Kredittilsynet legger til grunn at revisjonsmetodikken og den etterfølgende opplæring og veiledning bidrar til å sikre at revisor innhenter tilstrekkelige og hensiktsmessige revisjonsbevis.

Kredittilsynet har ingen særlige merknader knyttet til selskapets revisjonsmetodikk og tilhørende rutiner for veiledning og opplæring.

4.2.7 Konsultasjoner
Spørsmål som oppstår i forbindelse med revisjonen kan være vanskelige eller omstridte, og konsultasjoner kan i slike tilfeller være avgjørende. Konsultasjoner kan videre være nødvendige når revisor skal kontrollere revisjonsklientens overholdelse av lover og forskrifter, herunder regelverket for finansiell rapportering og særlige konsesjonsvilkår.

Kredittilsynet har ingen særlige merknader knyttet til selskapets rutiner for innholdet i konsultasjonene. Gjennomgangen av ett av de utvalgte revisjonsoppdragene har vist behovet for ytterligere klargjøring i rutinene for konsultasjoner og tilhørende dokumentasjonskrav.

4.2.8 Intern kvalitetskontroll av enkeltoppdrag
Revisjonsselskapets kvalitetskontrollsystem skal være utformet for å gi betryggende sikkerhet for at revisjonsselskapet og dets ansatte etterlever lovgivningen, faglige standarder m.m. I tillegg skal kvalitetskontrollsystemet sikre at revisjonsberetninger som avgis av revisjonsselskapet er hensiktsmessige ut fra omstendighetene. Rutiner for å sikre at alle arbeidspapirer blir kvalitetssikret av en overordnet er sentrale, herunder rutiner for å sikre tilstrekkelig involvering av ansvarlig revisor og oppdragskontrollør.

Kredittilsynet har ingen særlige merknader til selskapets rutiner for kvalitetskontroll. Kompetansen til ansvarlig revisor og de øvrige medlemmene av revisjonsteamene for revisjonsoppdragene vurdert under punkt 5 synes hensiktsmessig i forhold til oppdragets art.

Revisjonsselskapet har etablert rutiner som skal sørge for at fravær i første omgang dekkes opp internt på revisjonsteamet, og at bemanningsansvarlig på gruppenivå skal kontaktes for å reallokkere ressurser internt i selskapet dersom teamet ikke har tilstrekkelige ressurser. I gjennomgangen av ett av de utvalgte revisjonsoppdragene fremkom det av dokumentasjonen at notatet som oppsummerer utført planlegging ikke var utarbeidet med den begrunnelse at det hadde vært sykdom på revisjonsteamet.


 

5. Etterlevelse av retningslinjer og rutiner på individuelle revisjonsoppdrag

Lagt til grunn at Kredittilsynet ikke har særlige merknader til selskapets retningslinjer, vil de svakheter Kredittilsynet har avdekket ved gjennomgang av de to utvalgte revisjonsoppdragene ha sin forklaring i manglende etterlevelse av retningslinjer ved utførelsen av revisjonen.

I det følgende har Kredittilsynet søkt å identifisere deler av revisjonen som ikke er gjennomført i samsvar med de retningslinjene selskapet har fastsatt, og hvor den manglende etterlevelsen i tillegg har ført til at revisjonen ikke kan anses å være fullt ut i samsvar med revisorloven, herunder god revisjonsskikk, jf. revisorloven § 5-2 annet ledd.

5.1 Vurdering og oppfølging av risiko
(jf. revisorloven § 5-2 første ledd og § 5-3 første ledd annet punktum)

Vurdering og oppfølging av risiko knyttet til klient A var beheftet med enkelte mangler, slik det fremgår av det etterfølgende. Det forelå dokumentasjon av relevante planleggingsaktiviteter, men dokumentet som oppsummerer revisjonsstrategien var ikke utarbeidet. I henhold til selskapets retningslinjer er dette planleggingsdokumentet gjenstand for rettidig kvalitetskontroll av ansvarlig revisor og oppdragskontrollør. Videre er revisors dokumentasjon av egen forståelse av konsernet og dets omgivelser mangelfull. Grunnlaget for å utforme og utføre videre revisjonshandlinger for å sikre revisors oppfølging av risiko på konsernnivå, har derfor etter Kredittilsynets syn ikke vært tilstrekkelig dokumentert.

Kredittilsynet fant videre at revisor ikke hadde utarbeidet en revisjonsstrategi for revisjonen av et norsk datterselskap av klient B, og heller ikke dokumentert sin forståelse av datterselskapet og dets omgivelser, herunder den interne kontroll. Videre manglet det en revisjonsplan med beskrivelse av type, tidspunkt og omfang av planlagte revisjonshandlinger, og det forelå ingen referanser til mulig relevante planleggingshandlinger som var gjennomført på morselskapsnivå. Kredittilsynets vurdering er følgelig at revisor ikke i tilstrekkelig grad har vurdert og dokumentert risikoen for feilinformasjon i dette datterselskapets årsregnskap.

5.2 Revisors skjønn, revisjonsbevis og dokumentasjon
(jf. revisorloven § 5-2 første ledd og § 5-3 første ledd)

Kredittilsynet avdekket mangler/svakheter ved deler av revisors dokumentasjon av revisjonen for begge klientene. Manglene omfattet utfylling/oppfølging av enkelte sjekklister og revisjonsprogram, og mangelfull oppfølging av enkelte avvik dokumentert i arbeidspapirene, herunder at revisjonsdifferanser dokumentert i arbeidspapirer ikke alltid var overført til skjema for revisjonsdifferanser. I tillegg var det ikke dokumentert revisjonsspor mellom arbeidspapirer og endelige tall i saldobalansen. For oppdrag A var ikke revisjonen dokumentert på en måte som viser at alle kravene i RS 550 – Nærstående parter var ivaretatt. Videre manglet konklusjon vedrørende hendelser etter balansedagen. For oppdrag A forelå det heller ingen dokumentert vurdering av IT-systemene. Kredittilsynet tar til etterretning revisors opplysning om at IT var uvesentlig for dette selskapet. For oppdrag B manglet det en oppfølging av avvik avdekket av utført IT-revisjon. Svakheter i dokumentasjonen omfattet også manglende/mangelfulle revisjonsbevis for enkelte vesentlige poster i selskapsregnskapene.

Det var ikke dokumentert en vurdering av arbeid utført av revisorer i datterselskapene til klient A. Store deler av virksomheten skjer gjennom konsernets utenlandske datterselskaper som er revidert av revisorer i nettverket (E&Y). I RS 600 – Bruk av annen revisors arbeid fremkommer det utrykkelig at standarden også omfatter tilknyttede revisjonsselskaper, jf. punkt 4. Kredittilsynet har merket seg at revisjonsselskapets egne retningslinjer ikke definerer revisorer i nettverket som ”annen revisor”, og at retningslinjene derfor ikke krever en konkret vurdering av disse revisorene med tanke på profesjonell kompetanse i forhold til det enkelte oppdrag.

For oppdrag A avdekket Kredittilsynet videre at det ikke forelå tilstrekkelig og hensiktsmessig revisjonsbevis for enkelte vesentlige poster i konsernregnskapet, herunder knyttet til beregning av særlige forpliktelser og vurdering av nedskrivningsbehov for bestemte eiendeler. Kredittilsynet fant at det for en vesentlig eiendel i et datterselskap som var bokført med en betydelig merverdi i konsernregnskapet ikke var dokumentert en tilstrekkelig beskrivelse av hvilke revisjonshandlinger og vurderinger revisor hadde utført på konsernnivå. Det var usikkerhet knyttet til verdien av eiendelen. Blant annet hadde datterselskapets revisor rapportert at han i sin lokale revisjonsberetning for datterselskapet hadde inntatt en presisering om usikkerheten knyttet til eiendelenes verdi. Revisors konklusjon og overordnede vurderinger var dokumentert i oppsummeringsmemoet. Det forelå sjekklister for henholdsvis gjennomgåelse av regnskapsestimater og for bruk av en eksperts arbeid, men disse var kun delvis utfylt. Dokumentasjonen inneholdt videre en reserverapport, bruksverdiberegninger utført av en konsulent og et notat fra selskapet vedrørende deres nedskrivingsvurdering. Revisor hadde imidlertid ikke dokumentert tilstrekkelig sine egne vurderinger og tester av denne informasjonen, noe som var særlig aktuelt fordi det var bokført merverdier på konsernnivå. Det vises til RS 540 – Revisjon av regnskapsestimater, som legger til grunn at revisor må gjennomgå og teste estimatet ved å evaluere kildedata, forutsetninger og metoder. Kredittilsynet mener at konsernrevisor også burde ha dokumentert bedre sin vurdering av arbeidet til ekspertene som hadde utarbeidet den nevnte rapporten og bruksverdivurderingen, jf. RS 620 – Bruk av eksperts arbeid. Kredittilsynets vurdering er at revisor ikke hadde innhentet tilstrekkelige og hensiktsmessige revisjonsbevis for å underbygge de bokførte verdiene. Mangelfull dokumentasjon gjorde at det ikke var mulig å etterprøve revisors konklusjon.

For tre andre forhold/regnskapsposter i oppdrag A, som var av varierende kompleksitet, hadde revisor vært i kontakt med revisjonsselskapets fagavdeling i forbindelse med sin vurdering. Kontakten var i arbeidspapirene betegnet som konsultasjon, og enkelte av forholdene var av en slik art at konsultasjon ikke var unaturlig. Etter Kredittilsynets vurdering var dokumentasjonen av konsultasjonene ikke tilstrekkelige og detaljerte nok til å gi en forståelse av forholdet det ble konsultert om, resultatet av konsultasjonen, inkludert eventuelle avgjørelser som ble tatt av revisor/teamet, grunnlaget for avgjørelsene og hvordan de ble tatt hensyn til, jf. RS 220 – Kvalitetskontroll av revisjon av historisk økonomisk informasjon, punkt 33.

Siden det vesentligste av virksomheten knyttet til klient A utføres gjennom datterselskaper i utlandet, er konsernrevisors revisjonsberetning i stor grad basert på bekreftelser avgitt fra revisorene for disse datterselskapene. Konsernregnskapet avlegges i Norge etter IFRS. Tallene i rapportpakkene fra datterselskapenes revisorer var enten bekreftet å være i overensstemmelse med ”konsernets regnskapsprinsipper” (IFRS) eller US GAAP. Revisor for datterselskapet som rapporterte US GAAP hadde kommentert på enkelte avvik i forhold til IFRS, men konsernrevisor hadde ikke dokumentert en selvstendig vurdering av om det forelå avvik fra IFRS som kunne være vesentlige for regnskapet.t d å innhent overes derimot enten å være i overensstemmelse med konsernets regnskapsprinsipper  Etter Kredittilsynets vurdering var det således ikke dokumentert at det var innhentet tilstrekkelige og hensiktsmessige revisjonsbevis for å underbygge at regnskapsprinsippene, som var lagt til grunn for de bekreftede tallene, ikke var vesentlig forskjellig fra regnskapsprinsippene i IFRS godkjent av EU.

Oppdrag B var som nevnt et nytt oppdrag i 2006. Kredittilsynet fant dokumentasjon som ga klare indikasjoner på at det forut for revisorskiftet, i forbindelse med avslutningen av selskapets årsregnskap for 2005, hadde vært en diskusjon mellom foretaket og forrige revisor knyttet til den regnskapsmessige behandlingen av en bestemt del av salgsinntektene. Forholdet medførte at selskapet i sitt årsregnskap måtte redusere netto inntekter med et ikke ubetydelig beløp i forhold til det foreløpige årsresultatet som tidligere hadde blitt presentert i delårsregnskapet for 4. kvartal. Revisor hadde omtalt forholdet i forbindelse med sin gjennomgang av inngående balanse, jf. RS 510 – Nye revisjonsoppdrag – inngående balanse. Etter Kredittilsynets oppfatning er det behov for en kontroll av at det nye inntektsføringsprinsippet som ble innført i 2005 også er videreført i 2006. Revisor for det utenlandske datterselskapet har rapportert et tilfredsstillende resultat av utførte periodiseringstester for inntekter, og det er gjennomført tilsvarende kontroller i morselskapet. Revisjonsmessig synes inntekter følgelig å være fulgt opp på en hensiktsmessig måte, men den aktuelle problemstillingen burde etter Kredittilsynets oppfatning vært mer konkret omtalt i planleggingsfasen og instruksene, slik at revisor kunne konkludere på at inntektsføringsprinsippet faktisk var videreført i 2006.

Den manglende planleggingsdokumentasjonen for datterselskapet tilknyttet oppdrag B, omtalt i punkt 5.1, medfører etter Kredittilsynets vurdering at revisor ikke har dokumentert at han i tilstrekkelig grad har fulgt opp mulige risikoer. Selv om datterselskapet har en enkel forretningsmodell uten ansatte, er det et selskap med betydelige driftsinntekter og eiendeler. Kredittilsynet bemerker også at revisjonshonoraret for datterselskapet var svært lavt. Etter Kredittilsynets vurdering var det generelt ikke innhentet tilstrekkelige og hensiktsmessige revisjonsbevis til å underbygge revisors konklusjoner i revisjonsberetningen for datterselskapet. Blant annet må vesentlighet fastsettes for det enkelte selskap, og det må sikres at test av kontroller og substanskontroller i tilstrekkelig grad dekker det enkelte selskapets transaksjoner og regnskapsposter, samt at blant annet fortsatt drift, rettssaker, tvister og hendelser etter balansedagen vurderes på selskapsnivå. Alle revisjonspliktige selskap, herunder også datterselskap som ikke vesentlige for konsernet, har en selvstendig revisjonsplikt.

5.3 Kvalitetskontroll (jf. revisorloven § 5-3 første ledd)

Revisorlovens krav om at revisjonsbevisene og dokumentasjonen av disse skal være tilstrekkelig til å etterprøve revisors konklusjoner innebærer at revisjonsbevisene må være tilstrekkelige til å underbygge revisors konklusjoner, og det er dette kvalitetskontrollen skal sikre. For oppdrag A var dokumentasjonen knyttet til revisjonen av enkelte poster i konsernregnskapet etter Kredittilsynets vurdering ikke tilstrekkelig til å etterprøve revisors konklusjoner, jf. punkt 5.2. Det samme gjaldt for poster i selskapsregnskapene for norske datterselskaper tilknyttet oppdrag B. Revisjonshandlinger er også mangelfulle når de ikke er dokumentert, selv om revisor hevder at de er utført. Muntlige påstander og forklaringer gitt i ettertid, vil ikke kunne erstatte tilstrekkelige og hensiktsmessige revisjonsbevis dokumentert på en etterkontrollerbar måte.

Basert på gjennomgangen av revisjonsoppdragene, er Kredittilsynet av den oppfatning at det må sikres at arbeidspapirer utarbeidet av mindre erfarne revisormedarbeidere blir mer systematisk gjennomgått av en overordnet, og at gjennomgangen blir dokumentert.

Ansvarlig revisor skal dokumentere sin involvering/kvalitetssikring av revisjonen gjennom de ulike fasene; planlegging, gjennomføring og avslutning. Det følger av god revisjonsskikk at revisor godkjenner planleggingen i en tidlig fase av revisjonen på alle sentrale revisjonsområder, jf. også RS 220. For å sikre at de drøftede forholdene faktisk blir inntatt i den aktuelle planleggingsdokumentasjonen, må revisor kvalitetssikre planleggingen. For å kunne dokumentere sin kvalitetssikring må revisor signere på planleggingsdokumentet.

For oppdrag A var det dokumentet som oppsummerer revisjonsstrategien, og som skal godkjennes av ansvarlig revisor, ikke utarbeidet. Videre var den ansvarlige revisors formelle godkjenning (dato for signatur) av revisjonen gjennomført etter at revisjonsberetningen var avgitt. At ansvarlig revisor hadde ferdigstilt sin kvalitetskontroll før revisjonsberetningen ble avgitt, er ikke tilstrekkelig dokumentert.

For oppdrag B fant Kredittilsynet at det dokumentet som oppsummerer revisjonsstrategien var formelt godkjent ved signatur én måned etter utgangen av regnskapsåret. Oppdraget var nytt i 2006 og ble formelt overtatt før sommeren. Revisjon ble påbegynt på høsten, men revisjonsteamets planleggingsmøte, hvor et utkast av planleggingsdokumentet ble gjennomgått, ble først gjennomført rett før utløpet av regnskapsåret. På denne bakgrunn kan det ikke konkluderes med at kvalitetssikringen av planleggingen var gjennomført rettidig.

Oppdragskontrollørens kvalitetssikring av oppdrag A var, etter Kredittilsynets syn, mangelfull, jf. RS 220 punkt 40. Det vises til omtalte svakheter ved dokumentasjonen, herunder omtalen i punkt 4.2.8 av manglende utarbeidelse av oppsummeringsnotat for revisjonsstrategien. Kredittilsynet stiller også spørsmål ved om oppdragskontrollen var rettidig utført, jf. SK 1 punkt 73 b) og RS 220 punkt 36 c).

5.4 Kommunikasjon med styre/revisjonskomité/myndigheter (jf. revisorloven § 5-2 fjerde ledd og § 5-4)

Revisor hadde for oppdrag A sendt et brev til ledelsen som redegjorde for mangler knyttet til selskapets registrering og dokumentasjon av bestemte regnskapsopplysninger, samt mangler knyttet til regnskapsavslutningsprosessen. Brevet var ikke nummerert. Enkelte av forholdene som var tatt opp i brevet var av en slik art at de skal påpekes i nummerert brev til den revisjonspliktiges ledelse. Kredittilsynet avdekket også forhold knyttet til oppdrag B som, etter Kredittilsynets oppfatning, skulle vært kommunisert i nummerert brev til ledelsen.

5.5 Ferdigstillelse av revisjonen (jf. revisorloven § 5-6)

Med unntak av det som er nevnt foran, om at det for enkelte poster ikke forelå tilstrekkelige og hensiktsmessige revisjonsbevis, har Kredittilsynet ingen særlige merknader til revisors konklusjoner i revisjonsberetningen for de to oppdragene. Hva gjelder øvrige forhold knyttet til ferdigstillelse av revisjonen, vises det til de vurderinger som er omtalt under punkt 5.3 ovenfor.


 

6. Oppsummering

Kredittilsynet har ingen særlige merknader til selskapets retningslinjer, men basert på gjennomgang av de to utvalgte revisjonsoppdragene legger Kredittilsynet til grunn at selskapet gjennomgår sine rutiner knyttet til følgende:

  • Kravet til gjennomføring av en selvstendig revisjon av hvert enkelt revisjonspliktig selskap i samsvar med revisorloven, herunder god revisjonsskikk, jf. revisorloven § 5-2 annet ledd. Deler av dokumentasjonen kan likevel utarbeides samlet for flere selskaper i et konsern, men det må da foreligge spesifikke henvisninger til denne dokumentasjonen i revisjonsmappene for de enkelte selskapene.
  • Kravet til gjennomføring og dokumentasjon av formelle konsultasjoner på en måte som er tilstrekkelig og detaljert nok til å gi en forståelse av forholdet det ble konsultert om, resultatet av konsultasjonen, inkludert eventuelle avgjørelser som ble tatt, grunnlaget for avgjørelsene og hvordan de ble tatt hensyn til, jf. SK 1 punktene 51-56 og RS 220 punktene 30-33.
  • Kravet til dokumentasjon av forhold som skal påpekes skriftlig overfor den revisjonspliktiges ledelse og utarbeidelse av nummererte brev til ledelsen, jf. revisorloven § 5-2 fjerde ledd, § 5-4 og RS 260. Kredittilsynet legger til grunn at revisjonsselskapet spesielt gjennomgår rutinene for å sikre at kommunikasjon til styre og ledelse av forhold nevnt i revisorloven § 5-2 fjerde ledd, skjer gjennom nummererte brev, jf. revisorloven § 5-4.
  • Kvalitetskontroll av revisjonsoppdrag før datering og avgivelse av revisjonsberetningen for å sikre at gjennomføring og resultat av revisjonen er dokumentert på en måte som er tilstrekkelig til å underbygge og etterprøve revisors konklusjoner, jf. revisorloven § 5-3 første ledd og SK 1 punktene 60-61 og 73. Slik kvalitetssikring skal besørges av erfarne teammedlemmer, oppdragsansvarlig revisor og oppdragskontrollør, jf. RS 220 punktene 25, 26 og 36. Kredittilsynet legger til grunn at revisjonsselskapet spesielt vurderer rutinene for å sikre at kvalitetskontroll av arbeidspapirer ferdigstilles og dokumenteres ved formell signering og datering før revisjonsberetningen avgis.

Kredittilsynets merknader etter tilsyn med revisjonsselskapene vil være gjenstand for oppfølging i forbindelse med fremtidige tilsyn.

 

For Kredittilsynet

Kjersti Elvestad
seksjonsleder                                                                          

Brynjar Gilberg
                                                                                                spesialrådgiver