Merknader etter stedlig revisortilsyn KPMG AS
Brev
Publisert: 18. mars 2010
Sist endret: 9. mai 2017
Saksbehandler: Lars Angermo
Direkte telefon: 22 93 97 81
Vår referanse: 09/6030
Arkivkode: 624.1
Dato: 17.02.2010
MERKNADER ETTER STEDLIG TILSYN
Finanstilsynet viser til varsel om tilsyn med KPMG AS av 18. juni 2009, stedlig tilsyn gjennomført 14. – 25. september 2009, og etterfølgende korrespondanse. Det har også vært avholdt møter med selskapets ledelse og de aktuelle ansvarlige revisorer i forkant av og under tilsynet.
1. INNLEDNING
Det stedlige tilsynet med KPMG AS inngår som et ledd i prioriteringen av tilsynet med de store revisjonsselskapene. Bakgrunnen for vektleggingen av tilsyn med de store revisjonsselskapene er at det er disse som i all hovedsak står for revisjonen av virksomheter av allmenn interesse, herunder av børsnoterte foretak. Ett av Finanstilsynets hovedmål er å bidra til velfungerende verdipapirmarkeder.
Det arbeid som utføres av oppdragsansvarlig revisor, utpekt av revisjonsselskapet i henhold til revisorloven § 2-2 annet ledd, er avgjørende for om revisjonsoppdraget gjennomføres i samsvar med revisorloven, herunder ”god revisjonsskikk”, jf. revisorloven § 5-2 annet ledd. De retningslinjer og rutiner som til enhver tid er vedtatt og gjeldende for revisjonsselskapet, og som skal følges av de oppdragsansvarlige og andre på revisjonsteamet, vil derfor i praksis være av vesentlig betydning for kvaliteten på samtlige revisjonsoppdrag som revisjonsselskapet påtar seg.
Standarden for kvalitetskontroll (SK 1) sammen med revisjonsstandarden RS 220 – Kvalitetskontroll av revisjon av historisk økonomisk informasjon, bidrar i vesentlig grad til oppfyllelse av kravet om forsvarlige systemer for intern kvalitetskontroll, jf. revisorloven § 5b-1.
Finanstilsynets selskapstilsyn er en del av det ordinære tilsynsarbeidet. Finanstilsynet vurderer konkret for det enkelte tilsyn hvordan tilsynet bør gjennomføres og hvilke forhold det anses hensiktsmessig å kommentere overfor det enkelte revisjonsselskap.
2. OMFANGET AV TILSYNET
Finanstilsynet søker å identifisere områder hvor det kan være behov for forbedringer for å sikre en tilfredsstillende kvalitet på revisjonen. I forbindelse med tilsynet har Finanstilsynet vurdert de retningslinjer og rutiner selskapet har etablert for å sikre kvalitet i revisjonen. Sentrale retningslinjer og rutiner som har vært vurdert er:
• Revisorlovens krav til revisjonsselskaper
• Ledelse, strategi og kultur (”tone at the top”)
• Partneropptak, evaluering, avlønning og disiplinære tiltak
• Tildeling av ansvar
• Uavhengighet og etikk
• Aksept og fortsettelse av revisjonsoppdrag
• Revisjonsmetodikk, veiledning og opplæring
• Konsultasjoner
• Intern kvalitetskontroll av enkeltoppdrag
Selskapets retningslinjer og rutiner skal sikre overholdelse av revisorlovgivningen, herunder god revisjonsskikk. De skal også sikre overholdelse av revisjonsstandarder, standarder for kvalitetskontroll og etiske regler vedtatt av DnR.
Som ledd i det stedlige tilsynet valgte Finanstilsynet ut to revisjonsoppdrag, begge selskaper av allmenn interesse, her betegnet som oppdrag A og B, for nærmere gjennomgang.
Finanstilsynet er innforstått med at rutiner og retningslinjer bare vil kunne være et bidrag til å sikre at revisjonsutførelsen skjer i henhold til revisorlovgivningen. Verken lovgivning, rutiner, eller retningslinjer vil i seg selv være tilstrekkelig til å unngå svakheter i revisjonen av samtlige oppdrag selskapet gjennomfører.
Finanstilsynet mottok i perioden januar 2008 til og med sommeren 2009 to innrapporteringer av revisjonsoppdrag utført av KPMG. Finanstilsynet har vurdert begge innrapporteringene. Merknader knyttet til de innrapporterte revisjonsoppdrag er omtalt i egne brev til revisjonsselskapet. Finanstilsynet har ikke grunn til å tro at revisjonsutførelsen for de innrapporterte revisjonsoppdragene er representativt for revisjonsselskapets totale portefølje, men Finanstilsynet vurderer fortløpende slike innrapporteringer for å etterse om sviktende revisjonsutførelse kan skyldes svakheter i retningslinjene eller rutinene.
3. REVISORLOVENS KRAV TIL REVISJONSSELSKAPER
KPMG har to selskaper som begge er godkjente revisjonsselskaper, KPMG AS og KPMG Holding AS. KPMG Holding AS har ingen revisjonsoppdrag. Finanstilsynet har sett på selskapets årsregnskap og vedtekter som ledd i tilsynet.
Styret i KPMG AS består av 9 personer, hvorav 6 er godkjente registrerte eller statsautoriserte revisorer. Det er fire varamedlemmer til styret som alle er godkjente revisorer. Lovens vilkår om at flertallet av styremedlemmene er godkjente revisorer er således oppfylt, jf. revisorloven § 3-5 første ledd nr. 1. Godkjente revisorer innehar mer enn halvparten av stemmene i KPMG AS, jf. revisorloven § 3-5 første ledd nr. 2.
Selskapet har fast kontorsted i Norge, jf. revisorloven § 3-5 første ledd nr. 3.
Sist avlagte årsregnskap viser at selskapet er i stand til å oppfylle sine forpliktelser etter hvert som de forfaller, jf. revisorloven § 3-5 første ledd nr. 4.
I henhold til revisorloven § 3-7 første ledd nr. 1 skal revisor som reviderer årsregnskap for revisjonspliktig gjennomgå etterutdanning i henhold til nærmere bestemmelser i forskrift. Selskapet har etablert retningslinjer som skal sikre at de som utpekes som oppdragsansvarlig revisor oppfyller etterutdanningskravet. Det vises i denne sammenheng til det som er omtalt i avsnitt 4.2.6 i det følgende om selskapets dokumentasjon av etterutdanning.
Det er den enkelte revisors ansvar å påse at det er stillet sikkerhet i samsvar med lovkravet i revisorloven § 3-7 første ledd nr. 4, jf. § 1-1 tredje ledd annet punktum. Selskapet sørger for sikkerhetsstillelsen på vegne av de oppdragsansvarlige revisorene samt andre godkjente revisorer som bekrefter opplysninger overfor offentlige myndigheter. Selskapet informerer Finanstilsynet løpende om hvem som er dekket av sikkerheten.
Finanstilsynet fant at også KPMG Holding AS tilfredsstiller revisorlovens krav.
4. SELSKAPETS ORGANISERING, RETNINGSLINJER OG RUTINER
Med begrepet ”retningslinjer” menes det sett av regler et revisjonsselskap har fastsatt for hvordan revisjonsselskapets virksomhet skal utføres. Begrepet ”rutiner” benyttes på de prosedyrer revisjonsselskapet har etablert for å sikre at retningslinjene følges, og omfatter blant annet selskapets egen kvalitetskontroll av enkeltoppdrag.
Finanstilsynet har innhentet og vurdert følgende dokumentasjon knyttet til selskapets strategi og ledelse, herunder informasjon mottatt i møter med selskapets ledelse:
• Organisasjonskart som viser selskapets rapporteringslinjer
• Rapporter fra DnRs kvalitetskontroller
• Rapport fra siste års interne kvalitetskontroller
• Retningslinjer for intern kvalitetskontroll
• Selskapets retningslinjer for risikovurdering
• Sjekkliste for kvalitetskontroll av revisjonsoppdrag
• Retningslinjer for å sikre uavhengighet
• Retningslinjer for interessekonflikt
• Oversikt over prosessen for partneropptak og kompensasjon
• Oversikt over antall oppdrag pr. oppdragsansvarlig revisor
• Liste over de to siste års avgåtte og nye oppdragsansvarlige
• Kopi av de tre siste større revisjonstilbud
• Liste over interne/eksterne publikasjoner
• Oversikt over selskapets øvrige Risk Management prosedyrer
4.1 Selskapets retningslinjer
Finanstilsynet har merket seg at selskapet har lagt til grunn de samme retningslinjene for den norske revisjonsvirksomheten som gjelder for det internasjonale nettverket selskapet er en del av, etter at selskapet har gjennomgått disse med hensyn til nødvendige tilpasninger for å ivareta norsk regelverk. Finanstilsynet har merket seg følgende forhold etter gjennomgang av selskapets retningslinjer:
Det følger av lov om tiltak mot hvitvasking og terrorfinansiering mv. av 6. mars 2009 § 23, at rapporteringspliktige skal ha forsvarlige rutiner som sikrer oppfyllelse etter loven. Rutinene skal være fastsatt på øverste nivå og det skal utpekes en hvitvaskingsansvarlig. Selv om Finanstilsynet fant at innholdet i hvitvaskingsloven er gjort kjent blant de ansatte og partnere gjennom kurs og gjennom innarbeiding i selskapets verktøy for aksept av nye kunder, fant Finanstilsynet at det ikke var utarbeidet en egen rutine for hvitvasking slik loven krever. Finanstilsynet er gjort kjent med at selskapets styre, etter det stedlige tilsynet, har vedtatt retningslinjer for tiltak mot hvitvasking og formelt utpekt en hvitvaskingsansvarlig.
Evaluering av den enkelte oppdragsansvarliges arbeid er en viktig prosess for å sikre tilfredsstillende kvalitet på revisjonen av de revisjonsoppdrag selskapet påtar seg, jf. revisorloven § 5b-1 og SK 1 punkt 74. Finanstilsynet fant at selskapets retningslinjer for bruk av verktøy for evaluering av prestasjoner ikke ble fulgt av alle oppdragsansvarlige revisorer, og slik ikke tilrettela for ledelsens mulighet til å overvåke kvaliteten i revisjonen for alle oppdrag selskapet påtok seg. Finanstilsynet er gjort kjent med at selskapet for revisjonen for 2009 har gjort endringer i sitt system for mål og måleparametre for partnere. Finanstilsynet forutsetter likevel at selskapet foretar en gjennomgang av sine retningslinjer for bruk av evalueringsverktøy for å tilrettelegge for at ledelsen kan overvåke resultatet av den enkelte oppdragsansvarlige revisors arbeid på en bedre måte.
KPMG planlegger å innføre et elektronisk oppdragsdokumentasjonssystem som skal erstatte dagens papirbaserte løsning. Finanstilsynet er positiv til en omlegging som kan tilrettelegge for bedre kvalitet i revisjonsutførelsen, dokumentasjonen og muligheten for kvalitetskontroll. Innføring av et slikt system øker imidlertid sårbarheten for driftsstans og tap av oppdragsdokumentasjon, jf. revisorloven § 5-5. Finanstilsynet fant at det ikke gjennomføres systematiske risikovurderinger knyttet til IT-virksomheten og de tjenester som denne leverer til revisjonsvirksomheten. Det gjennomføres heller ikke regelmessig ”katastrofetesting” for å kontrollere at data kan gjenskapes og at driftsmiljøer kan gjenstartes innen rimelig tid. Finanstilsynet forutsetter at selskapet, før sin overgang til elektronisk oppdragsdokumentasjon, etablerer rutiner som synliggjør risiko for driftsstans med påfølgende tap av data, slik at ledelsen med jevne mellomrom kan vurdere om denne risikoen er akseptabel for selskapet, jf. aksjeloven § 6-12 første ledd. Revisjonsselskapet er ikke underlagt forskrift om IKT (forskrift 21.5.2003 om bruk av informasjons- og kommunikasjonsteknologi) men denne kan likevel benyttes som hjelpemiddel i arbeidet.
For øvrig har Finanstilsynet har ingen merknader til selskapets retningslinjer.
4.2 Selskapets rutiner
Finanstilsynet har ved vurdering av selskapets rutiner sett særlig på følgende:
4.2.1 Ledelse, strategi og kultur
Revisjonsselskapets ledelse bestemmer i stor grad, gjennom sine holdninger, strategivalg og sin innvirkning på selskapets kultur, hva de andre revisorene i selskapet vil anse som god revisjonsskikk. På denne måten påvirkes revisjonskvaliteten på samtlige av selskapets revisjonsoppdrag.
Finanstilsynet har ingen merknader knyttet til disse forholdene i revisjonsselskapet.
4.2.2 Partneropptak, evaluering, avlønning og disiplinære tiltak
Finanstilsynet er innforstått med at selskapets fastsettelse av retningslinjer og rutiner er nødvendig, men ikke tilstrekkelig til å sikre at samtlige revisjonsoppdrag til enhver tid gjennomføres fullt ut i samsvar med revisorloven, herunder god revisjonsskikk. At det får økonomiske eller andre konsekvenser for den enkelte dersom retningslinjene ikke følges, er imidlertid virkemidler som bidrar til å sikre etterlevelse. Finanstilsynet legger til grunn at den belønningsstruktur ledelsen i selskapet etablerer er sentral for å påvirke adferden til ansatte og partnere når det gjelder utførelsen av revisjonsoppdragene i selskapet. Svakheter i fastsatt belønningsstruktur, eller oppfattet belønningsstruktur, vil således kunne ha stor betydning for kvaliteten i revisjonsutførelsen.
Finanstilsynet fant et eksempel på en oppdragsansvarlig revisor som hadde som dokumentert målsetting, i sitt skjema for prestasjonsevaluering for 2008, å få til mersalg (ut over ordinær revisjon) til egen revisjonsklient. Den oppdragsansvarliges nærmeste leder hadde godkjent målsettingen. Finanstilsynet finner det meget tilfredsstillende at KPMG nå har etablert retningslinjer som skal hindre at slike mål blir satt, og hindre at partnere og ansatte belønnes på bakgrunn av mersalg til egne revisjonsklienter. Finanstilsynet mener at slike insentiver kan sette revisors uavhengighet i fare. Det ble imidlertid ikke avdekket rådgivning som var i strid med revisorlovens bestemmelser for den aktuelle oppdragsansvarlige revisoren.
Finanstilsynet har ingen innvendinger mot at det etableres målsettinger og avlønningsordninger som innebærer at eksperter fra revisjonsselskapets rådgivningsvirksomhet inngår i revisjonsteamet. Dette vil kunne bidra til å øke kvaliteten på revisjonen.
Utover ovennevnte har Finanstilsynet ingen merknader til revisjonsselskapets håndtering av disse forholdene.
4.2.3 Uavhengighet og etikk
Kravene til uavhengighet og etikk, som blant annet fremgår av revisorloven og DnRs etiske regler, er sentrale forutsetninger for å sikre at revisjonen skjer i samsvar med revisorlovgivningen. I tilfeller der revisorlovgivningen åpner for skjønn er kartlegging og oppfølging av trusler mot revisors uavhengighet viktig, herunder dokumentasjon av forholdsregler for å eliminere eller redusere avdekkede trusler. Videre er identifisering og håndtering av interessekonflikter viktig.
Finanstilsynet har ingen merknader utover det som fremkommer av 4.2.2 foran, til selskapets rutiner for å sikre at disse kravene blir ivaretatt.
4.2.4 Aksept og fortsettelse av revisjonsoppdrag
Finanstilsynet anser de vilkår som er fastsatt av revisjonsselskapet for aksept og fortsettelse av revisjonsoppdrag som sentrale for å sikre revisjonsselskapets egen overholdelse av lover og regler, herunder revisorlovens krav til uavhengighet.
Finanstilsynet har ingen merknader knyttet til selskapets rutiner for aksept og fortsettelse av revisjonsoppdrag.
4.2.5 Revisjonsmetodikk, opplæring og veiledning
Finanstilsynet legger til grunn at revisjonsmetodikken, og den etterfølgende opplæring og veiledning, bidrar til å sikre at revisor innhenter tilstrekkelige og hensiktsmessige revisjonsbevis.
KPMG har et omfattende opplæringsprogram som skal sikre at ansatte og partnere har tilstrekkelig kompetanse innenfor ulike fagområder. I tillegg skal opplæringsprogrammet legge til rette for at alle oppdragsansvarlige revisorer oppfyller revisorlovens krav til etterutdanning. KPMG har etablert retningslinjer for deltagelse på kurs som skal sikre at kravene til kompetanse ivaretas, herunder at revisorlovens krav til etterutdanning ivaretas, jf. revisorloven § 3-7 nr.1. Finanstilsynet fant imidlertid at selskapet ikke førte kontroll med hvem som deltok på det enkelte kurs, men at selskapets kontroll var basert på tillit til at den enkelte deltager selv noterte hvilke kurs vedkommende hadde deltatt på. Finanstilsynet påpekte under tilsynet nødvendigheten av at den som arrangerer kurs som skal danne grunnlag for dokumentasjon av etterutdanningskravet i revisorloven, må føre kontroll med hvem som deltar på kurset. Slik kontroll har en preventiv effekt i tillegg til at den tilrettelegger for etterfølgende kontroll. KPMG har orientert Finanstilsynet om at det nå er satt i verk rutiner der kursdeltagere signerer på deltagerlister som oppbevares sentralt.
Finanstilsynet har ingen øvrige merknader knyttet til selskapets revisjonsmetodikk eller tilhørende rutiner for veiledning og opplæring.
4.2.6 Konsultasjoner
Spørsmål som oppstår i forbindelse med revisjonen kan være vanskelige eller omstridte, og konsultasjoner kan i slike tilfeller være avgjørende. Konsultasjoner kan videre være nødvendige blant annet når revisor skal kontrollere revisjonsklientens overholdelse av lover og forskrifter, herunder regelverket for finansiell rapportering og særlige konsesjonsvilkår.
Finanstilsynet har ingen merknader knyttet til selskapets rutiner for konsultasjoner.
4.2.7 Intern kvalitetskontroll
Et revisjonsselskaps kvalitetskontrollsystem skal være utformet for å gi betryggende sikkerhet for at revisjonsselskapet og dets ansatte etterlever lovgivningen, faglige standarder m.m. I tillegg skal kvalitetskontrollsystemet sikre at revisjonsberetninger som avgis av revisjonsselskapet er hensiktsmessige ut fra omstendighetene. At det foreligger rutiner for å sikre at alle arbeidspapirer blir kvalitetssikret av en overordnet er sentralt, herunder rutiner for å sikre tilstrekkelig involvering av ansvarlig revisor og oppdragskontrollør.
For begge de revisjonsoppdrag Finanstilsynet så på, ble det avdekket enkelte mangler ved angivelse av tidspunkt for kvalitetssikring fra oppdragsansvarlig revisor. For det ene oppdraget manglet angivelse av tidspunktet for oppdragskontrollørs gjennomgang, jf. RS 230 punkt 23 (b). Selv om Finanstilsynet i denne forbindelse ikke fant at det var grunnlag for å stille spørsmål ved de samlede revisjonsbevis, anbefaler Finanstilsynet at KPMG iverksetter tiltak for å sikre at tidspunktet for kontroller dokumenteres.
Ved gjennomgangen av de to enkeltoppdragene ble det funnet feil i begge de publiserte revisjonsberetningene. For det ene oppdraget var feilen skjedd i trykkingen av revisjonsklientens årsrapport og for det andre ved revisors egen utforming av revisjonsberetningen. Feilene var ikke av en slik art at brukere av årsregnskapet kunne bli villedet. Uansett bør ikke revisjonsberetningene inneholde feil, eller unøyaktigheter, fordi det kan skape tvil hos brukere om kvaliteten av den underliggende revisjonen, jf. SK 1 punkt 3. Finanstilsynet har merket seg at KPMG er i ferd med å utvikle rutiner som skal redusere risikoen for at slike feil kan oppstå. Finanstilsynet anbefaler at selskapet også i denne sammenheng vurderer utarbeidelse av rutiner som innebærer en etterfølgende kontroll av den trykte revisjonsberetningen for å sikre at den er i samsvar med den originale revisjonsberetningen.
Finanstilsynet har ingen øvrige merknader knyttet til selskapets rutiner for intern kvalitetskontroll.
5. KONTROLL AV INDIVIDUELLE REVISJONSOPPDRAG
De to oppdragene som ble kontrollert er omtalt som oppdrag A og oppdrag B.
I det følgende beskriver Finanstilsynet de deler av revisjonen som ikke er gjennomført i samsvar med de retningslinjer og rutiner selskapet har fastsatt, og hvor den manglende etterlevelsen i tillegg har ført til at revisjonen ikke kan anses å være fullt ut i samsvar med revisorloven, herunder god revisjonsskikk, jf. revisorloven § 5-2 annet ledd. Svakhetene er ikke av en slik art eller omfang at det er grunn til å stille spørsmål ved om det samlet sett er innhentet tilstrekkelig og hensiktsmessig revisjonsbevis for å understøtte konklusjonen i revisjonsberetningene for noen av oppdragene. Finanstilsynet ber KPMG sette i verk tiltak for å redusere risikoen for at de svakheter som er omtalt nedenfor oppstår i fremtiden for de revisjonsoppdrag KPMG har påtatt seg.
5.1 Vurdering og oppfølging av risiko (jf. revisorloven § 5-2 første ledd og § 5-3 første ledd annet punktum)
Revisorloven § 4-5 forbyr revisor å utføre rådgivnings- eller andre tjenester for den revisjonspliktige, dersom dette er egnet til å påvirke eller reise tvil om revisors uavhengighet eller objektivitet. Av revisorforskriften § 4-4 fremgår det at revisor ikke skal sette seg i en situasjon hvor samlet inntekt fra rådgivings- eller andre tjenester over tid er betydelige i forhold til revisjonshonoraret fra den samme revisjonspliktige. For oppdrag A, som er et selskap av allmenn interesse, fant Finanstilsynet at KPMG hadde levert tjenester til revisjonsklienten utover revisjon og andre attestasjonsoppdrag. Andelen av ”andre tjenester” i forhold til revisjonshonoraret for de siste tre år var: 2008 (91%), 2007 (93%) og 2006 (51%). Revisjonshonoraret for hvert av de tre årene var mellom 500.000,- og 1.000.000,- kroner.
Finanstilsynet ba om KPMGs vurdering av oppdrag A i forhold til nevnte bestemmelser. I vurderingen av hva som skal ansees for å være betydelig over tid har KPMG vist til at Finanstilsynet (dengang Kredittilsynet) i rundskriv 23/2003 har uttrykt at det er et problem når summen av tilleggstjenester som ikke er relatert til revisoroppgaven over tid i vesentlig grad overstiger revisjonshonoraret. Det vil si at forskriften skal forstås slik at honoraret for tilleggstjenestene må være vesentlig høyere enn revisjonshonoraret for å være betydelig. Finanstilsynet viser til at rundskrivet er erstattet av ovennevnte forskrift som har en annen ordlyd.
I de situasjoner Finanstilsynet tidligere har kritisert revisor, har honoraret for tilleggstjenester i forhold til revisjonshonoraret vært større enn det som er tilfelle i den foreliggende sak. Finanstilsynet vil derfor i denne omgang bemerke at forskriften åpner for skjønn, og at tolkningen av hva som må anses som betydelig vil kunne endre seg, blant annet ut fra hva som til enhver tid er nødvendig for å verne om revisors rolle som allmennhetens tillitsperson. Praktiseringen av regelverket knyttet til revisors rådgivning til revisjonsklienter generelt er et tema Finanstilsynet etter hvert vil se nærmere på.
For oppdrag A forelå det imidlertid ikke en dokumentert vurdering av om omfanget av tilleggstjenester som beskrevet ovenfor kunne utgjøre en trussel for uavhengigheten. Oppdragsansvarlig revisor hadde for øvrig ikke gjort noen selvstendig vurdering av revisors uavhengighet, jf. RS 220 punkt 12. Revisor hadde imidlertid dokumentert at de enkelte tjenestene som var levert ikke representerte en trussel mot uavhengigheten i de år kontrakt om levering ble inngått (2006 - 2007). Etter Finanstilsynets oppfatning skulle oppdragsansvarlig revisor likevel forsikret seg om at revisors uavhengighet var ivaretatt og dokumentert sin vurdering for revisjonen av 2008.
For oppdrag B fant Finanstilsynet at oppdragsansvarlig revisor ikke hadde diskutert med revisjonsteamet risikoen for feil og misligheter, jf. RS 240 punkt 27. Etter Finanstilsynets oppfatning er involvering av medarbeidere en viktig del av revisjonen av store selskaper. Særlig gjelder dette tilfeller som her der ledende medarbeidere og oppdragsansvarlig revisor hadde sitt daglige virke ved to forskjellige kontorer i KPMG-nettverket. KPMG opplyser i sitt tilsvar at oppdragsansvarlig revisor sammen med en erfaren nøkkelmedarbeider på revisjonsteamet, hadde møte med ledelsen der misligheter ble diskutert. Etter Finanstilsynets oppfatning erstatter ikke møte med ledelsen de diskusjoner som revisjonsteamet selv skal ha. Formålet med en slik intern diskusjon er blant annet å vurdere risikoen for ledelsesmisligheter og eventuelt å planlegge en revisjonsstrategi som tar hensyn til en slik risiko. Dette vil ikke være like enkelt å drøfte åpent med ledelsen i selskapet tilstede.
For oppdrag B fant Finanstilsynet at revisor ikke hadde gjennomført innledende eller avsluttende analyser av morselskapets regnskapstall, jf. RS 520 punkt 2. Etter oppdragsansvarlig revisors oppfatning var ikke dette nødvendig fordi transaksjonene i dette selskapet var oversiktelige og fordi morselskapets regnskaper uansett var del av det konsoliderte regnskapet der revisor hadde utført slike analyser. Finanstilsynet legger imidlertid til grunn at formålet med innledende analyser er at revisor skal kunne fange opp risikoforhold som må tas hensyn til i planleggingen for de enheter som det skal avgis en revisjonsberetning for, herunder morselskapets regnskap. I dette tilfellet var det vesentlige endringer i poster i morselskapets resultat og balanse som burde vært kjent for revisjonsteamet i forbindelse med planleggingen, og som ikke fremgår av det konsoliderte regnskapet.
5.2 Revisors skjønn, revisjonsbevis og dokumentasjon (jf. revisorloven § 5-2 første ledd og § 5-3 første ledd)
Finanstilsynet avdekket enkelte svakheter ved deler av revisors dokumentasjon av revisjonen for oppdrag B. For oppdrag B burde revisors risikovurdering knyttet til konsolideringen kommet bedre frem av dokumentasjonen. Finanstilsynet leste dokumentasjonen slik at revisor under interimsrevisjonen vurderte det slik at selskapets kapasitet og kompetanse ved utarbeidelse av konsernregnskapet var beheftet med svakheter. Det fremgår ikke av dokumentasjonen at det er utført noen stor grad av substanstester i årsoppgjøret, noe som ville vært naturlig dersom revisor var i tvil om disse forholdene, jf. RS 330 punkt 7-21 og 50. Når revisor har vurdert risikoen annerledes på dette området i årsoppgjøret, fordi forholdene til kapasitet og kompetanse var ivaretatt av selskapet, burde den oppdaterte risikovurderingen kommet frem av dokumentasjonen.
For oppdrag B fant Finanstilsynet at gjennomføringen av analytiske handlinger som revisjonsbevis manglet en angivelse av grensen for akseptable feil, samt at det for en av testene manglet en angivelse av påliteligheten av de grunnlagsdata som var benyttet for testen, jf. RS 520 punkt 12. Etter Finanstilsynets oppfatning var disse testenes verdi som revisjonsbevis av den grunn svekket.
For oppdrag B var selskapet på et tidspunkt i en situasjon som kunne skapt betydelig tvil om forutsetningen om fortsatt drift. Av timelistene for oppdraget fremgikk det at oppdragsansvarlig revisor i denne forbindelse diskuterte med fagavdelingen i KPMG hvordan revisjonsteamet burde forholde seg til den aktuelle problemstillingen. Diskusjonen og utfallet av denne var ikke dokumentert i oppdragsarkivet. Finanstilsynet er inneforstått med at ikke alle samtaler med andre revisorer, herunder ansatte i fagavdelingen, er å anse som konsultasjoner slik det følger av RS 220 punkt 30. Den situasjonen selskapet var i og det mulige utfallet av saken kunne få for revisjonen, kunne imidlertid blitt en vanskelig sak for revisjonsselskapet. Etter Finanstilsynets oppfatning burde revisor derfor dokumentert samtalen med fagavdelingen som en konsultasjon, på en måte som er tilstrekkelig og detaljert nok til å gi en forståelse av forholdet det ble konsultert om, resultatet av konsultasjonen, inkludert eventuelle avgjørelser som ble tatt, grunnlaget for avgjørelsene og hvordan de ble tatt hensyn til, jf. SK 1 punktene 51-56 og RS 220 punktene 30-33.
For oppdrag B fant Finanstilsynet at en feil i tidligere år hadde blitt korrigert over egenkapitalen for inneværende år. Finanstilsynet har ingen bemerkninger til den regnskapsmessige behandlingen av forholdet, men fant at noten ikke inneholdt noen opplysning som kunne rettlede brukeren i forhold til hva korrigeringen skyldtes, jf. regnskapsloven § 7-3. Beløpet var ikke uvesentlig og noten burde ha inneholdt en tekst som viste at korrigeringen skyldtes feil i tidligere års regnskap.
5.3 Kvalitetskontroll (jf. revisorloven § 5-3 første ledd)
Revisorloven krever at revisjonsbevisene og dokumentasjonen av disse skal være tilstrekkelig til å etterprøve revisors konklusjoner. Oppdragsansvarlig revisors involvering/kvalitetssikring av revisjonen må derfor utføres gjennom de ulike fasene; aksept/fortsettelse, planlegging, gjennomføring og avslutning, og denne må fremgå av dokumentasjonen.
Det vises til det som er beskrevet i avsnitt 4.2.7 over om feil i revisjonsberetningen og datering av tidspunktet for kvalitetssikring. For oppdrag A fant Finanstilsynet at kvalitetskontrollørs gjennomgang i avslutningsprosessen av revisjonen hadde skjedd etter at revisjonsberetningen var avgitt. Kvalitetskontrollør skal etterse at de vurderinger oppdragsteamet har gjort er rimelige og at det er støtte for konklusjonene i revisjonsberetningen i den revisjonen som er utført, jf. RS 220 punkt 38, før revisjonsberetningen avgis. Det forholdet at kvalitetskontrollen skjer etter at revisjonsberetningen er avgitt er således en mangel ved revisjonen. Feilen i revisjonsberetningen omtalt i avsnitt 4.2.7 kunne ha vært unngått dersom kvalitetskontrollen hadde skjedd før revisjonsberetningen ble avgitt.
Finanstilsynet har ingen andre forhold å bemerke for noen av oppdragene i forhold til kvalitetskontroll.
5.4 Kommunikasjon med styre/revisjonskomité/myndigheter (jf. revisorloven § 5-2 fjerde ledd og § 5-4)
Finanstilsynet fant ingen forhold å bemerke for noen av oppdragene når det gjaldt revisors kommunikasjon med styre/revisjonskomite/myndigheter.
5.5 Ferdigstillelse av revisjonen (jf. revisorloven § 5-6)
Finanstilsynet har ingen merknader til revisors konklusjon i revisjonsberetningen for de to oppdragene.
6. FINANSTILSYNETS OPPSUMMERING
Finanstilsynet legger til grunn at revisjonsselskapet endrer sine retningslinjer og rutiner på følgende områder:
• At selskapet gjennomgår sine retningslinjer for bruk av evalueringsverktøy for å vurdere bedre ledelsesovervåking av oppdragsansvarlige revisorers prestasjoner
• At det etableres rutine for evaluering av IT risiko, herunder at katastrofetesting av kritiske programmer og data vurderes i denne sammenheng
• At selskapet gjennomfører tiltak som bedre sikrer at dato for utførelse av revisjonshandlinger og kvalitetskontroll fremgår av revisjonsdokumentasjonen
• At selskapet utarbeider rutiner som reduserer risikoen for feil i den revisjonsberetningen som gjøres tilgjengelig for brukere av årsregnskapet
Når det gjelder de tre følgende punktene legges det til grunn at selskapet allerede har endret retningslinjene og rutinene i samsvar med Finanstilsynets anbefalinger:
• At styret utarbeider en rutine slik det fremgår av hvitvaskingsloven
• At det innføres signaturlister for deltagelse på kurs
• At ansatte og oppdragsansvarlige revisorer ikke skal kunne ha ”mersalg” utover ordinær revisjon som del av sine målsettinger
Basert på gjennomgang av de utvalgte revisjonsoppdragene legger Finanstilsynet til grunn at selskapet gjennomgår sine retningslinjer og rutiner for å sikre:
• At vurdering av uavhengighet dokumenteres av oppdragsansvarlig revisor
• At sentrale møter med teamet, samt konsultasjoner, dokumenteres på en hensiktsmessig måte
• At innledende- og avsluttende analyser, samt analyser benyttet som substanstester, dokumenteres i tråd med revisjonsstandardene
• At kvalitetskontroll gjennomføres før revisjonsberetningen avgis
Finanstilsynets merknader etter tilsyn med revisjonsselskapet vil være gjenstand for oppfølging i forbindelse med fremtidige tilsyn.
For Finanstilsynet
Kjersti Elvestad
seksjonssjef
Lars Angermo
seniorrådgiver