Finanstilsynets merknader etter selskapstilsyn BDO AS
Brev
Publisert: 18. februar 2011
Sist endret: 21. april 2017
Saksbehandler: Axel Emil Jønsson
Direkte telefon: 22 93 97 36
Vår referanse: 10/691
Arkivkode: 624.1
Dato: 04.01.2011
Innledning
Finanstilsynet varslet selskapstilsynet hos BDO AS i brev datert 19. januar 2010. Stedlige tilsyn ble gjennomført i perioden 7. til 11. juni 2010. Det vises videre til Finanstilsynets etterfølgende rapportering av avdekkede forhold av 9. juli 2010, revisjonsselskapets tilsvar av 30. august 2010, Finanstilsynets foreløpige merknader av 18. november 2010 samt revisjonsselskapets tilsvar av 15. desember 2010. Det har også vært avholdt møter med selskapets ledelse og de aktuelle oppdragsansvarlige revisorer under tilsynet.
1. Bakgrunn for tilsynet
Det stedlige tilsynet med BDO AS inngår som ledd i Finanstilsynets prioritering av tilsyn med revisjonsselskaper som reviderer foretak av allmenn interesse.
Finanstilsynets selskapstilsyn er en del av det ordinære tilsynsarbeidet. Finanstilsynet vurderer konkret for det enkelte tilsyn hvordan tilsynet bør gjennomføres og hvilke forhold det anses hensiktsmessig å kommentere overfor det enkelte revisjonsselskap.
Revisorloven § 5b-1 krever at revisjonsselskaper skal etablere forsvarlige systemer for intern kvalitetskontroll av revisjonsvirksomheten. De retningslinjer og rutiner som til enhver tid er gjeldende for revisjonsselskapet vil i praksis være av vesentlig betydning for kvaliteten på samtlige revisjonsoppdrag som revisjonsselskapet påtar seg og skal bidra til å sikra at revisjonsoppdraget gjennomføres i samsvar med revisorloven, herunder ”god revisjonsskikk”, jf. revisorloven § 5-2 annet ledd.
2. Omfanget av tilsynet
Finanstilsynets kontroll dekker blant annet en gjennomgang av:
• Revisorlovens krav til revisjonsselskaper
• Selskapets overordnede kvalitetskontroll
o Intern kvalitetskontroll
o Oppdragskontroll
• Øvrige retningslinjer og rutiner
o Opplæring
o Uavhengighet
o Personale
o Tildeling av oppdrag
o Konsultasjoner og meningsforskjeller
o Vurdering av aksept og fortsettelse
o Evaluering av kunderisiko
o Dokumentasjon av utført revisjon
o Hvitvaskingsrutiner
• Selskapets IT-organisering
o Tilgangskontroll
o Kontinuitet og katastrofeplanlegging
• Utvalgte revisjonsoppdrag
Selskapets etablerte retningslinjer og rutiner skal sikre overholdelse av revisorlovgivningen, herunder god revisjonsskikk. Selskapets retningslinjer og rutiner skal også sikre overholdelse av revisjonsstandarder, standarder for kvalitetskontroll og etiske regler vedtatt av DnR.
Finanstilsynet er innforstått med at rutiner og retningslinjer bare vil kunne være et bidrag til å sikre at revisjonsutførelsen skjer i henhold til revisorlovgivningen. Verken lovgivning, rutiner, eller retningslinjer vil være tilstrekkelig til å hindre svakheter i revisjonen av samtlige oppdrag selskapet gjennomfører. Finanstilsynet har mottatt andre innrapporteringer av revisjonsoppdrag utført av revisjonsselskaper i BDO-nettverket som er omtalt i egne brev til disse revisjonsselskapene.
3. Selskapets organisering, retningslinjer og rutiner
3.1 Revisorlovens krav til revisjonsselskaper
BDO har den siste tiden gjennomgått organisatoriske endringer. På tidspunktet for tilsynet var selskapet i sluttfasen med å slå sammen tidligere selvstendige rettssubjekter til ett revisjonsselskap organisert som et aksjeselskap.
Godkjente revisorer innehar for tiden mer enn halvparten av stemmene i selskapets øverste organ, og i henhold til vedtektenes § 7 er det bare fysiske personer som er statsautoriserte eller registrerte revisorer med godkjennelse fra Finanstilsynet som kan eie aksjer i selskapet. Verken vedtektene eller selskapsavtalen inneholder imidlertid en bestemmelse om at revisorer eller revisjonsselskap skal inneha mer enn halvparten av stemmene i selskapets øverste organ. At vedtektene skal ha en slik bestemmelse følger av jf. revisorloven § 3-5 første ledd nr. 2. Finanstilsynet forutsetter at revisjonsselskapet iverksetter nødvendige vedtektsendringer slik at lovens krav er oppfylt.
Selskapet oppfyller øvrige krav til revisjonsselskaper i revisorloven §3-5.
3.2 Selskapets overordnede kvalitetskontroll
Finanstilsynet legger til grunn at lovkravet i revisorloven §5b-1 om systemer for internkontroll i revisjonsselskap, normalt vil være oppfylt dersom revisjonsselskapet har etablert kvalitetskontroll i samsvar med den bransjefastsatte standarden ISQC 1. BDO AS har lagt ISQC 1 til grunn for sine retningslinjer og rutiner.
ISQC1 punkt 17 krever at retningslinjene og rutinene for kvalitetskontroll må dokumenteres og kommuniseres til de ansatte. BDOs retningslinjer er tilgjengelig kun på selskapets intranett. Hensikten er å sikre at medarbeiderne forholder seg til de retningslinjer og dokumenter som til en hver tid er gjeldende. Finanstilsynet ble gjort oppmerksom på at ikke alle dokumentene er oppdatert slik at de gjenspeiler den omorganiseringen som BDO-nettverket er i ferd med å gjennomgå. Selskapet er imidlertid i ferd med å gjennomgå dokumentene for å tilpasse disse. Finanstilsynet har forståelse for at dette ikke er på plass enda men forutsetter at arbeidet ferdigstilles så raskt som mulig. Finanstilsynet vil vurdere hvorvidt det skal gjennomføres oppfølging av dette, og revisjonsselskapet må i så fall påregne et oppfølgingstilsyn i løpet av 2011.
3.2.1 Intern kvalitetskontroll
Revisjonsselskapet har et opplegg for intern kvalitetskontroll av revisjonsutførelsen. Styret i BDO utnevner et kvalitetskontrollutvalg (KU) bestående av tre partnere. Hensikten med den interne kvalitetskontrollen er å sikre at kontorene i selskapet utfører og dokumenter revisjonsarbeidet i overensstemmelse med revisorlovgivningen herunder god revisjonsskikk og interne retningslinjer. I kvalitetskontrollinstruksen punkt 5.2 heter det at oppdragsgjennomgangen skal være ”en gjennomgang av at revisjonen synes tilfredsstillende gjennomført og dokumentert”.
Selskapets implementerte opplegg for interne kvalitetskontroll medfører at selskapet kvalifiserer til begrenset kontroll fra DnR på 80 % av oppdragene. BDO-systemet internasjonalt gjennomfører også kvalitetskontroller i Norge. Selskapet har nylig vært gjenstand for en slik kontroll. I de tilfellene kvalitetskontrollen avdekker relativt alvorlige avvik, pålegges den kontrollerte å utarbeide en handlingsplan for å forbedre revisjonen. Finanstilsynet mottok eksempler på slike handlingsplaner fra siste års kvalitetskontroll, og har ingen bemerkninger til disse. Finanstilsynet har imidlertid avdekket alvorlige mangler ved revisjonen ved ett av avdelingskontorene. Kontoret hadde vært gjenstand for kontroll både av DnR og BDOs egen interne kontroll i 2008, uten at manglene ble avdekket. Finanstilsynet er inneforstått med at det nødvendigvis ikke er de samme oppdragene som har vært gjenstand for kontroll, men det er likevel Finanstilsynets oppfatning at selskapet må innarbeide rutiner for gjennomføringen av kvalitetskontroll som sikrer at eventuelle avvik fra kravene i revisorloven og god revisjonsskikk avdekkes og følges opp. Selskapet bør derfor etter Finanstilsynets oppfatning vurdere hvorvidt det er behov for økt opplæring og kursing av ansatte samt vurdere hyppighet og antall kontroller i forbindelse med planlegging og gjennomføring av den interne kvalitetskontrollen. Se for øvrig Finanstilsynets kommentarer under avsnitt 3.3.4 om evaluering av kunderisiko.
3.2.2 Oppdragskontroll
I henhold til BDOs kvalitetskontrollinstruks skal alle risikooppdrag (se avsnitt 3.3.4) ha oppdragskontrollør (review partner/second partner).
Selskapet har utarbeidet en egen sjekkliste for oppdragskontrollen. Oppdragskontrollørens gjennomgang skal gjøres før revisjonsberetningen avgis. Under tilsynet ble det opplyst at ikke alle oppdragskontrollørene dokumenterer sin involvering på samme måte. Finanstilsynet fant at det heller ikke alltid er samsvar mellom den som har gjort oppdragskontrollen og den som var registrert som kontrollør på oppdraget.
For Finanstilsynet er ovennevnte forhold uten betydning såfremt dokumentert involvering og den gjennomførte kontrollen er gjort på en forsvarlig måte. For selskapets ressursallokering, vil det derimot være av betydning dersom det er vesentlige avvik mellom det som er registrert og slik det i praksis er gjennomført.
Finanstilsynet legger til grunn at sammenslåingen av selskapene i BDO-nettverket vil medføre mer konsekvent dokumentasjon av oppdragsgjennomgangen.
3.3 Øvrige retningslinjer og rutiner
3.3.1 Opplæring
BDO har et opplæringsprogram som skal sikre at ansatte og oppdragsansvarlige revisorer har tilstrekkelig kompetanse innenfor ulike fagområder.
Lovpålagt etterutdanning
BDO krevde på tilsynstidspunktet lovpålagt etterutdanning for de revisorer som utpekes til å ha oppdragsansvar. Selskapet vurderer om også managere skal pålegges å gjennomføre minstekrav til etterutdanning.
De senere år har det vært avdekket enkelte mindre, og ett betydelig avvik i etterlevelsen av kravene til lovfestet etterutdanning. Selskapet vurderer som følge av dette å etablere et system for en samlet oppfølgning av lovpålagt etterutdanning. Selv om det er den enkelte revisors ansvar å sørge for at kravet om lovpålagt etterutdanning er oppfylt, må selskapet påse at de interne rutinene på dette området sikrer at selskapet ikke tildeler oppdragsansvar til personer som ikke oppfyller minstekravet til lovpålagt etterutdanning. Det samme gjelder personer som delegeres myndighet til å attestere lovpålagt rapportering til offentlige instanser.
3.3.2 Uavhengighet
ISQC 1 punkt 21, krever at det skal etableres retningslinjer og rutiner utformet for å gi betryggende sikkerhet for at revisjonsselskapet, dets personale og andre opptrer uavhengig der dette er påkrevet.
BDO har utarbeidet interne retningslinjer og prosedyrer for oppfølging og etterlevelse av uavhengighetsregelverket. Blant annet skal alle ansatte årlige avgi en uavhengighetsbekreftelse, og det er utarbeidet skjemaer som skal dokumentere de vurderingene som er foretatt. Også for rådgivningsoppdrag er det utarbeidet skjemaer. Skjemaene er knyttet opp mot forbudene i revisorlovgivningen, og særlig kapittel 4 i revisorforskriften. Finanstilsynet har notert at vurderingstemaene likevel ikke er identiske med det som følger av lov og forskrift og at dette kan skape risiko for at man ikke har tilstrekkelig fokus på regelverket i de vurderingene som foretas. Selskapet bør derfor foreta en gjennomgang av skjemaene som benyttes og iverksette eventuelle nødvendige tiltak for bedre å sikre at de opererer innenfor det som er regulert i lov og forskrift. Som et eksempel på eventuell uklarhet som kan oppstå, nevnes et revisjonstilbud hvor det er inntatt formuleringer som kan leses slik at BDO tilbyr bistand til utvikling, evaluering og implementering av systemer med tilknytning til klientens interne kontrollfunksjoner, noe som kan være i strid med revisorforskriften § 4-4 første ledd. I selskapets svarbrev fra rapport etter stedlig tilsyn, anføres det at setningen er tatt ut av sin sammenheng. Etter Finanstilsynets oppfatning er formuleringene, også lest i sin sammenheng, egnet til å gi inntrykk av at selskapet leverer tjenester som revisor ikke kan levere. Det sentrale for Finanstilsynet imidlertid at det ikke leveres tjenester i strid med uavhengighetsregelverket og ikke hvordan tilbudsbrevet er utformet. Ordlyden i tilbudsbrevet vil imidlertid kunne inngå som et tolkningsmoment i en situasjon der det konkret må vurderes om det er levert en tjeneste i strid med uavhengighetsreglene.
3.3.3 Personale
BDO har som målsetting at avlønningen skal være forutsigbar, stimulerende og forståelig for den enkelte. Det er i selskapets fastsatte retningslinjer og rutiner innarbeidet retningslinjer for avlønning av oppdragsansvarlige revisorer. Finanstilsynet er inneforstått med at selv om det er utarbeidet interne retningslinjer og rutiner, vil dette ikke nødvendigvis være tilstrekkelig til å sikre at samtlige revisjonsoppdrag til enhver tid gjennomføres fullt i samsvar med revisorloven, herunder god revisjonsskikk. At det får økonomiske konsekvenser for den enkelte dersom retningslinjene ikke følges, er imidlertid virkemidler som bidrar til etterlevelse. Finanstilsynet legger til grunn at den belønningsstrukturen ledelsen i selskapet etablerer, er sentral for å påvirke adferden til ansatte og oppdragsansvarlige når det gjelder utførelsen av revisjonsoppdragene i selskapet. Svakheter i fastsatt belønningsstruktur, vil således kunne ha stor betydning for kvaliteten i revisjonsutførelsen.
Under tilsynet ble det opplyst at oppdragsansvarlige revisorer kan bli honorert for salg av tilleggstjenester på revisjonsoppdrag. Avlønningen ledes av et avlønningsutvalg som rapporterer direkte til styret. Avtalene på de enkelte avdelingene skal godkjennes av styret. Selv om avlønning basert på salg av tilleggstjenester skal godkjennes av et avlønningsutvalg, er det etter Finanstilsynets oppfatning uheldig at det innarbeides målsettinger om salg av tilleggstjenester til revisjonsklienter da slike insentiver kan sette revisors uavhengighet i fare.
3.3.4 Evaluering av kunderisiko
Målet med risikostyringen i BDO er å fastsette hvilke oppdrag som er risikooppdrag og hvordan disse skal håndteres. Hver avdeling og oppdragsansvarlig revisor skal på denne bakgrunn klassifisere oppdrag etter størrelse og risiko. Videre skal hver avdeling fastsette konkrete og beløpsmessige kriterier for risikooppdrag innenfor BDOs fastsatte retningslinjer. For hvert risikooppdrag skal det utnevnes en oppdragskontrollør. Det skal også angis i oppdragsdokumentasjonen at det er risikooppdrag. Alle oppdragsansvarlige revisorer skal rapportere slike oppdrag til risikostyringsfunksjonen i BDO innen utgangen av august hvert år.
Børsnoterte foretak og selskaper av samfunnsmessig betydning skal i henhold til de interne retningslinjene alltid regnes som risikooppdrag, men ut over slike revisjonsoppdrag, er andelen oppdrag som er klassifisert som risikooppdrag i forhold til BDOs totale antall oppdrag, relativt liten. Selv om selskapet har rutiner for løpende kvalitetssikring av revisjonsoppdrag, vil den generelle kvalitetskontrollen kun avdekke avvik fra fastsatte retningslinjer etter at revisjonen er avsluttet. Tilordning av oppdragskontrollør på flere oppdrag vil kunne avdekke og korrigere avvik mens revisjonen fortsatt pågår. Etter Finanstilsynets oppfatning bør derfor selskapet se nærmere på sine rutiner knyttet til klassifisering av risikooppdrag og eventuelt vurdere hvorvidt de gitte kriteriene bør endres.
3.3.5 Hvitvaskingsrutiner
Det følger av lov om tiltak mot hvitvasking og terrorfinansiering mv. 6. mars 2009 nr 11 (hvitvaskingsloven) § 23 at rapporteringspliktige etter hvitvaskingsloven skal ha forsvarlige rutiner som sikrer oppfyllelsen av loven. Rutinene skal være fastsatt på øverste nivå og det skal være en person i ledelsen som er utpekt som hvitvaskingsansvarlig. BDO har utpekt Risk Management Partner til denne funksjonen. For rådgivnings- og advokatdelen er det utpekt egne hvitvaskingsansvarlige.
BDO har innarbeidet hvitvaskingsrutiner i sine retningslinjer for aksept og fortsettelse av oppdrag. Skjemaet for prosedyrer for opptak av nye klienter inneholder en rekke spørsmål knyttet til hvitvasking. Retningslinjene er blant annet gjengitt i RM-manualen. Internasjonalt er det utarbeidet et opplæringsopplegg i syv moduler som også benyttes i Norge. BDO vurderer å lage et spørsmål i Questback for å sikre at informasjonen er forstått i organisasjonen. Finanstilsynet har ingen kommentarer til selskapets rutiner på dette området.
3.4 Selskapets IT-organisering
3.4.1 Tilgangskontroll
Finanstilsynet ble informert om foretakets tilgangsstyring og de rutiner som ligger til grunn for tildeling av rettigheter i foretakets IT-systemer. Finanstilsynet har ingen kommentarer til dette men forutsetter at det med jevne mellomrom gjennomføres revisjon av tilgangsrettighetene i foretaket for å sikre at ”need-to-know”-prinsippet overholdes.
3.4.2 Kontinuitet- og kriseplanlegging
Finanstilsynet ble under inspeksjonen informert om at det gjennomføres regelmessig testing og trening i kontinuitets- og katastrofeplanene. Dette var ikke tilstrekkelig dokumentert. Selv om det ikke er et klart lovkrav, ber Finanstilsynet selskapet vurdere om det skal gjennomføres opplæring, øvelse og testing av reserveløsningene i et omfang som gir trygghet for at reserveløsningene fungerer tilfredsstillende. Resultatet av testen bør dokumenteres. Ved gjennomføring av endringer må det også vurderes hvorvidt det er behov oppdatering av beredskaps- og kontinuitetsplaner.
4. Kontroll av individuelle revisjonsoppdrag
Finanstilsynet kontrollerte som ledd i tilsynet revisjonen av to selskaper av allmenn interesse. I det etterfølgende vil de kontrollerte oppdragene bli omtalt som oppdrag A og oppdrag B. Finanstilsynet fant enkelte svakheter ved utførelsen av revisjonen for begge oppdrag, jf. revisorloven § 5-2 annet ledd. Det vises til tidligere tilsendt faktarapport etter tilsynet for nærmere beskrivelse av de forhold som er omtalt i det følgende.
4.1 Vurdering og oppfølging av risiko (jf. revisorloven § 5-2 første ledd og § 5-3 første ledd annet punktum)
Revisjonsstrategi og plan
For begge de kontrollerte oppdragene er det utarbeidet en revisjonsstrategi og en mer detaljert revisjonsplan i tråd med RS 300. For å kunne utarbeide en hensiktsmessig revisjonsstrategi og plan er det nødvendig med kontakt med selskapet som skal revideres. Det har vært avholdt slike møter, og revisjonsselskapet er enige i at det skulle vært utarbeidet referat fra disse møtene i revisjonsdokumentasjonen. Videre er det viktig at revisjonsstrategien og planen er godt forankret i revisjonsteamet. Særlig gjelder dette i tilfeller der revisjonen er fordelt på ulike avdelinger og steder og hvor oppdragsansvarlig revisor har sitt daglige virke på annet sted enn der ledende medarbeidere til daglig arbeider. Formålet med en slik intern diskusjon er blant annet å vurdere risikoen for misligheter samt andre sentrale forhold ved revisjonen, og basert på dette planlegge en revisjonsstrategi som tar hensyn til de risikomomenter som er diskutert. Frem til nå har dokumentasjonen av diskusjonene på revisjonsteamet vært dokumentert direkte i revisjonsverktøyet på de respektive områder der den gitte informasjonen er relevant. Revisjonsselskapet er enige i at dette i seg selv ikke dokumenterer hva som har blitt diskutert på revisjonsteamet. Som en følge av dette er de interne retningslinjene på området endret etter gjennomføringen av tilsynet.
4.2 Revisors skjønn, revisjonsbevis og dokumentasjon (jf. revisorloven § 5-2 første ledd og § 5-3 første ledd)
Beskrivelser av rutiner og kontrolltesting
I henhold til revisjonsplanen skulle begge oppdragene som ble kontrollert, baseres delvis på test av etablerte kontroller. For begge oppdragene var det også identifisert transaksjonsklasser hvor revisor hadde vurdert at det forelå særskilt risiko for feil. I slike tilfeller skal revisor i den grad dette allerede ikke er gjort, evaluere utformingen av foretakets tilknyttede kontroller, herunder relevante kontrollaktiviteter og fastslå hvorvidt de er implementert, jf RS 315 punkt 113.
I begge oppdragene fant Finanstilsynet svakheter ved kartleggingen og kontrolltestingen. For enkelte vesentlige transaksjonsklasser fant Finanstilsynet manglende angivelse av rutinene på det aktuelle området, og det var heller ikke dokumentert noen forståelse av den interne kontrollen som ellers ville kunne gi holdepunkter for å bedømme den bevismessige verdien av de kontrolltestene som revisor har gjennomført. Både oppdrag A og oppdrag B inngår i konsern med felles økonomifunksjon, og det er i hovedsak de samme personene og de samme rutinene som er gjeldende for alle selskapene i konsernene. Revisor har derfor i forbindelse med test av kontroller, også bygget på revisjonshandlinger utført i andre virksomheter i konsernet. Det fremkom imidlertid ikke av oppdragsdokumentasjonen blant annet hvem i virksomheten/økonomifunksjonen som utfører kontrollene, hvor ofte de ble gjennomført og hva kontrollene er ment å avdekke eller forhindre. Det var heller ingen referanse mellom revisors arbeidspapirer og til hvilke selskaper i konsernet kontrollene hadde blitt testet. Finanstilsynet har derfor ingen mulighet til å etterprøve om revisor har utført revisjonshandlinger som oppfyller de krav som følger av revisorloven. Det er dette som begrunner revisorlovens dokumentasjonskrav og som innebærer at den manglende dokumentasjonen må anses som et brudd på revisorloven.
For oppdrag B var det planlagt å bygge på test av kontroller som var gjennomført ved tidligere års revisjoner. Det var i denne forbindelse utarbeidet en rotasjonsplan for test av kontroller. Rotasjonsplanen inneholdt en beskrivelse av enkelte rutiner men ga ingen oversikt over de samlede kontrollene i økonomifunksjonen, hvilke regnskapspåstander som var dekket av kontrollene, når de hadde blitt testet av revisor og utfallet av testene. Finanstilsynet fant heller ikke dokumentert hvorvidt rutinene eller kontrollene var endret eller ikke i forhold til tidligere år, jf RS 330 pkt 39, 41 og 43. Revisjonsselskapet har i sitt svarbrev opplyst om at retningslinjene vedrørende dokumentasjon av kontrolltesting fra andre perioder eller andre enheter i et konsern, er endret for å sikre at kravene i henhold til god revisjonsskikk på dette området blir overholdt.
Mislighetsrisiko
For de kontrollerte oppdragene har revisor vurdert at det foreligger mislighetsrisiko knyttet til nærstående parter og internprising. Området er derfor angitt som særskilt risiko for revisjonen. Det foreligger imidlertid ingen nærmere konkretisering av hvilken risiko for feil dette kan gi opphav til. Dokumentasjonen inneholder en opplisting av hvilke parter som er identifisert som nærstående, men det er ikke gitt noen beskrivelse av de kontrollene selskapene har etablert for å sikre at slike transaksjoner blir identifisert og at prisene er på “armlengdebasis”. Finanstilsynet fant heller ikke dokumentert eventuelle handlinger revisor har utført for å etterprøve at avtaler er på armlengdes avstand, herunder at leieinntektene til morselskapet er uten vesentlige feil.
Andre svakheter
Det er for øvrig Finanstilsynets oppfatning at dokumentasjonen på enkelte øvrige områder av revisjonen i noen tilfeller var svak. Når revisor innhenter dokumentasjon for regnskapsposter, må også de vurderinger revisor har gjort for å trekke sine konklusjoner, dokumenteres. Uten slik dokumentasjon vil det ikke være mulig å etterprøve de vurderinger som er gjort, jf RS 230 punkt 9 samt RS 550 punkt 2. Konklusjoner om at en regnskapspost er ”vurdert rimelig” eller ”uten vesentlige feil” uten at det er angitt hvilke handlinger revisor har foretatt seg for å komme frem til denne konklusjonen, er ikke egnet til å kunne ta stilling til om vurderingene er tilstrekkelige og hensiktsmessige.
Konsernrevisjon
Begge de kontrollerte oppdragene innebefattet datterselskaper som revideres av annen revisor. Det var utarbeidet revisjonsinstrukser til alle konsernselskapene. I hvert av de kontrollerte oppdragene var det for ett av datterselskapene mottatt rapportering fra annen revisor etter at revisjonsberetningen for morselskapet og konsernet ble avgitt. Revisor har anført i sitt tilsvar at det har vært løpende telefonisk kontakt med revisor i datterselskapet og at det har vært avholdt møte før revisjonsberetningen ble avgitt. Dette fremgår imidlertid ikke av revisors oppdragsdokumentasjon.
4.3 Kvalitetskontroll (jf. revisorloven § 5-3 første ledd)
Revisorloven krever at revisjonsbevisene og dokumentasjonen av disse skal være tilstrekkelig til å etterprøve revisors konklusjoner. Oppdragsansvarlig revisors involvering og kvalitetssikring av revisjonen må derfor gjennomføres gjennom de ulike fasene av revisjonen; aksept eller fortsettelse, planlegging, gjennomgang og avslutning. Denne gjennomgangen må fremgå av dokumentasjonen.
I forbindelse med det gjennomførte tilsynet, ble det avdekket enkelte feil i regnskapene for begge de to oppdragene. For selskap A ble det blant annet avdekket at det i selskapsregnskapet til morselskapet var blitt benyttet feil regnskapsprinsipp for investering i felleskontrollert virksomheten. Feilen er etter Finanstilsynets oppfatning vesentlig for regnskapet, og revisjonsberetningen er således ikke var utformet riktig da det skulle vært tatt forbehold knyttet til regnskapsposten. Revisjonsselskapet har i sitt tilsvar angitt at de vil innskjerpe rutinene for kvalitetssikring, se for øvrig kommentarer under avsnitt 3.2.2.
4.4 Kommunikasjon med styre/revisjonskomité/myndigheter (jf. revisorloven § 5-2 fjerde ledd og § 5-4)
Finanstilsynet fant ingen forhold å bemerke for noen av oppdragene når det gjaldt revisors kommunikasjon med styre/revisjonskomité/myndigheter.
4.5 Ferdigstillelse av revisjonen (jf. revisorloven § 5-6)
Med unntak av det som er beskrevet under punkt 5.3 har Finanstilsynet ingen merknader til revisors konklusjon i revisjonsberetningen for de to oppdragene.
5. Finanstilsynets oppsummering
Basert på Finanstilsynets gjennomgang, legges det til grunn at selskapet gjennomgår sine retningslinjer og rutiner for å sikre:
• at de som utpekes som oppdragsansvarlige revisorer til en hver tid har oppfylt etterutdanningskravet, jf revisorloven § 3-7 første ledd nr 1.
• at ansatte og oppdragsansvarlige revisorer ikke skal kunne ha ”mersalg” ut over ordinær revisjon som del av sine målsettinger, slik at revisors uavhengige stilling kan settes i fare, jf revisorloven § 4-5.
• at revisjonsbevis for vesentlige poster i årsregnskapet er tilstrekkelig og hensiktsmessig slik at det grunnlag revisor trekker sin konklusjon på klart fremgår av revisors dokumentasjon, jf. revisorloven § 5-2 annet ledd og § 5-3 første ledd.
• at kontroller etterprøves av revisor for å skaffe tilstrekkelig og hensiktsmessig revisjonsbevis for at kontrollene faktisk er effektive, jf. RS 315 punkt 113.
• at tidspunkt for utførelse av revisjonshandlinger og hvem som har utført handlingen klart fremgår av revisors dokumentasjon, jf. RS 230 punkt 9 og 23.
For Finanstilsynet
Kjersti Elvestad
seksjonssjef
Axel Emil Jønsson
seniorrådgiver