Merknader etter stedlig tilsyn Ernst & Young AS
Brev
Publisert: 3. juni 2011
Sist endret: 21. april 2017
Saksbehandler: Harald Rivrud
Direkte tlf.: 22 93 97 14
Vår referanse: 10/6827
Arkivkode: 624.1
Dato: 30.05.2011
1. Innledning
Det vises til gjennomført stedlig tilsyn 27. august 2010. Det vises videre til foreløpige merknader datert 20. desember 2010, og deres svar på disse av 2. mars 2011.
Bakgrunnen for tilsynet var at en av Ernst & Youngs revisjonsklienter, et forsikringsselskap (selskapet) notert på Oslo børs, varslet feil i tidligere års regnskaper. Feilene var av en slik art at de kunne indikere svakheter i revisjonen i perioden 2002 til 2009. Feilene, slik de ble beskrevet av selskapets ledelse, skyldtes systematisk overvurdering av reassurandørenes andel av skader i perioden 2002 til 2009, avgrenset til virksomhetens avgitte sjøforsikringer. Årsaken til at feilene oppstod var en programmeringsfeil i datasystemet. Beregningene foretatt i datasystemet ble lagt til grunn for regnskapssystemets bokføring av fordringer mot reassurandørene og medførte over tid oppbygging av vesentlige feil i selskapets årsregnskap. Forholdet har, ifølge selskapets ledelse, resultert i at det ved utgangen av 2008 var regnskapsført fordringer mot reassurandører med ca. kr 70 mill. som ikke eksisterte.
I følge de opplysninger Finanstilsynet har mottatt ble oppgjøret med reassurandørene likevel riktig. Dette var fordi selskapet i tillegg til datasystemet, hadde utviklet et manuelt system for avregning mot reassurandørene, herunder beregninger av excess of loss dekningen. Avregningen skjedde i samsvar med de underliggende avtalene.
Finanstilsynets vurdering er at det var svakheter i selskapets internkontroll som medførte at feilene i regnskapet ikke ble avdekket. Selskapets ledelse har opplyst at det ikke var etablert hensiktsmessige avstemmingsrutiner mellom de manuelt beregnede faktiske fordringene mot reassurandørene og fordringene som var regnskapsført på grunnlag av de automatiske beregningene i datasystemet, jf. bokføringsloven § 11. Videre forelå det etterslep av endelige skadeoppgjør som skulle vært avsluttet i datasystemet. En lukking av de oppgjorte skadesakene i datasystemet kunne ha avdekket eventuelle differanser mellom datasystemets beregnede reassurandørfordring og den endelige avregningen som var basert på det manuelle systemet. Svakhetene i selskapets internkontroll medførte at feilen i regnskapet kunne akkumuleres over tid uten at dette ble avdekket.
Ernst & Young AS var selskapets revisor fra og med årsregnskapet for 2002 til og med årsregnskapet for 2008. Finanstilsynets gjennomgang er i hovedsak konsentrert om revisjonen av årsregnskapet for 2008.
2. Vurdering av den utførte revisjonen
2.1. Vurdering og oppfølging av risiko (jf. revisorloven § 5-2 første ledd og § 5-3 første ledd annet punktum)
Etter Finanstilsynets oppfatning hadde revisjonsteamet tilstrekkelig kompetanse til å revidere forsikringsselskaper med de bransjespesifikke utfordringer som revisjonen innebar. Det forelå videre dokumentasjon som viste at revisor hadde satt seg inn i hovedtrekkene i de reassuranseprogrammer selskapet hadde, og at revisor hadde vurdert de generelle kontrollene rundt selskapets datasystemer.
Revisor hadde ved planleggingen av revisjonen kopiert revisjonsselskapets ulike revisjonsprogrammer for revisjon av forsikringsselskaper. Revisjonsteamet hadde imidlertid ikke tilpasset programmene til den foreliggende revisjonen, jf. RS 300 punkt 22 og 24. Ikke alle revisjonshandlinger som fremgikk av programmene ble gjennomført. Når revisjonsdokumentasjonen inneholder revisjonsprogram med handlinger som ikke er utført, og det ikke fremgår for øvrig av dokumentasjonen at disse handlingene var ansett som ikke relevante for oppdraget, vil det fremstå som om revisor ikke har utført nødvendige handlinger. Dette er en svakhet ved dokumentasjonen, jf. revisorloven § 5-3. Finanstilsynet tar til etterretning revisors anførsel om at det var planlagt og gjennomført revisjonshandlinger for å dekke den anslåtte risikoen, og at de handlingene som ikke var utført var ansett som ikke aktuelle.
I et dokument av 9. januar 2009 bekreftet daglig leder overfor styret, forhold knyttet til internkontrollen i selskapet. Et av spørsmålene i dokumentet var om det var etablert tilfredsstillende kontroller som sikret pålitelig rapportering. På dette har daglig leder svart ”nei”. Revisor var kjent med dette. Revisor var videre kjent med en underliggende internrapport, som vedrørte forsikring av landbasert virksomhet, hvor det fremkom at det hadde vært mangelfull kommunikasjon mellom økonomi- og driftsavdelingen. Etter Finanstilsynets oppfatning burde revisor bedre dokumentert mulige konsekvenser av daglig leders bekreftelse.
Det fremgår videre av revisors dokumentasjon at revisor var klar over at det utenfor selskapets datasystem var etablert et eget manuelt system for beregning av krav mot reassurandørene. Revisor har ikke dokumentert en vurdering av hvorfor det var behov for et separat manuelt system for avregning mot reassurandører. Revisor har heller ikke dokumentert en vurdering av systemet, herunder hvorvidt de manuelt beregnede reassurandørkravene var avstembare mot regnskapet.
Revisor har anført at han hadde grunn til å bygge på de beregninger som ble gjort i datasystemet siden dette var et “standardsystem”. Det var imidlertid gjort programtilpasninger i datasystemet i forbindelse med implementeringen, knyttet til behandlingsregler for selskapets reassuranseprogram. Finanstilsynet har ikke sett dokumentasjon som viser at revisor var kjent med disse tilpasningene. Selskapets ledelse har opplyst at programtilpasningene ikke ble tilstrekkelig testet. Riktignok hadde selskapet utført tester for å forsikre seg om at reassuransepremiene ble riktig beregnet, men testene inkluderte ikke kontroll av at skadeoppgjørene ble riktige, herunder at reassurandørs beregnede andel av skadeoppgjør ble korrekt. Selskapet tok det for gitt at skadeoppgjørsberegningene fulgte samme prinsipp som premieberegningene. I ettertid viste det seg at programmet beregnet fordringene mot reassurandørene feil. Finanstilsynet mener at revisor burde ha vært kjent med de programtilpasningene som var foretatt, og hvordan selskapet hadde kvalitetssikret disse.
2.2. Revisjonsbevis (jf. revisorloven § 5-2 annet ledd og § 5-3 første ledd)
I forbindelse med revisjonen for 2008 anfører revisor at det var lagt vekt på at regnskapsføringen av de manuelle avregningene var kontrollert for endringer i avsetningene. For å kontrollere at skadeoppgjørene ble riktig behandlet i datasystemet, fulgte revisor ett skadeoppgjør gjennom systemet. Finanstilsynet har funnet at det samme skadeoppgjøret som revisor valgte ut for sin testing, tilfeldigvis var et av de skadeoppgjør som var beregnet feil i datasystemet. Feil i beregningene ble sannsynligvis ikke avdekket fordi det ikke ble utført en fullstendig kontroll mot alle underliggende reassuransekontrakter knyttet til skadeoppgjørsberegningen, og heller ikke en kontroll av datasystemets beregning av det samlede kravet mot reassurandøren knyttet til det kontrollerte skadeoppgjøret. Revisors kontroll av dette skadeoppgjøret omfattet kun beregningen av excess of loss (begrensning av egenregningen). Datasystemets feilberegning av fordring mot reassurandørene var, i følge de opplysninger Finanstilsynet har mottatt, ikke knyttet direkte til excess of loss beregningen, men til fordelingen av skadedekningen mellom kvotekontrakt og 2nd retention kontrakt. 2nd retention hadde excess of loss beskyttelse. Revisors test avdekket følgelig ikke datasystemets feilberegning av fordring mot reassurandør knyttet til det det aktuelle skadeoppgjøret.
Revisor hadde ikke innhentet eksterne bekreftelser for eksistensen og verdien av fordringene. Når Finanstilsynet ikke tillegger dette særlig vekt, er det fordi slike forespørsler til reassurandørene ville gi liten verdi ettersom reassurandørs gjeld til selskapet er direkte basert på avregningen mottatt fra selskapet. Videre kunne de forsikringssaker som dannet grunnlaget for fordringene mot reassurandørene gå over flere regnskapsperioder, og ikke være endelig godtatt av reassurandørene før den endelige oppstillingen over utgifter forelå.
Revisor har overfor Finanstilsynet fremhevet at revisjonsbevis knyttet til fordringenes verdsettelse og eksistens delvis besto i analyser og delvis i systemtesten som er utført og beskrevet ovenfor. Når det gjelder analysen, finner Finanstilsynet at denne er innrettet på en svært overordnet måte. Det er ikke dannet en forventning eller et akseptabelt avvik i forkant av testen, jf. RS 520, eller beregnet avvik i etterkant av testen. Resultatet av analysen er dokumentert gjennomgående med ”OK”. Hvorvidt dette skulle bety at revisor mente at testen ga høy grad av sikkerhet, eller hvilke regnskapslinjer og regnskapspåstander revisor mente at testen ga sikkerhet for, er det ikke mulig for Finanstilsynet å se av revisors dokumentasjon.
3. Finanstilsynets oppsummering
Finanstilsynet har avdekket svakheter ved gjennomføringen av revisjonen. Revisor har lagt til grunn at selskapet benyttet et standard datasystem for behandling av forsikringskontrakter. Revisor har derfor ikke i tilstrekkelig grad hensyntatt de programtilpasninger som ble utført i forbindelse med implementeringen av datasystemet, herunder vurdert om datasystemets beregning av fordringer mot reassurandører var konsistent med selskapets reassuranseprogram. Finanstilsynet anser dette som en vesentlig svakhet. De utførte revisjonshandlingene var ikke tilstrekkelige til å oppnå nødvendige revisjonsbevis for eksistens og verdsettelse av fordringer mot reassurandører, jf. revisorloven § 5-2 annet ledd. Finanstilsynet legger til grunn at revisjonsselskapet tar hensyn til disse funn ved gjennomføringen av fremtidige revisjoner.
For Finanstilsynet
Anne Merethe Bellamy
direktør for regnskaps- og revisortilsyn
Kjersti Elvestad
seksjonssjef