Finanstilsynets merknader etter selskapstilsyn Hålogaland Revisjon AS
Brev
Publisert: 10. oktober 2013
Sist endret: 21. mars 2018
Saksbehandler: Brynjar Gilberg
Dir.tlf.: 22 93 99 01
Vår referanse: 12/581
Dato: 02.10.2013
1. Innledning
Finanstilsynet viser til stedlig tilsyn hos Hålogaland Revisjon AS i perioden 28. - 29. august 2012. Videre vises det til etterfølgende korrespondanse, herunder Finanstilsynets avklaringspunkter 19. september 2012, revisjonsselskapets svar 26. oktober 2012, Finanstilsynets foreløpige merknader 13. mars 2013 og revisjonsselskapets svar 7. juni 2013. Det stedlige tilsynet med Hålogaland Revisjon AS (selskapet) inngår som ledd i tilsynsarbeidet med revisjonsselskaper som reviderer foretak av allmenn interesse. Finanstilsynet skal blant annet gjennomføre periodisk kvalitetskontroll med slike revisjonsselskaper minst hvert tredje år, jf. revisorloven § 5b-2 første ledd, annet punktum.
Formålet med Finanstilsynets inspeksjoner er å kontrollere oppfyllelsen av lovkrav, herunder å identifisere og påpeke eventuelle svakheter knyttet til et revisjonsselskaps gjennomføring av revisjonsoppdrag.
Som ledd i det stedlige tilsynet valgte Finanstilsynet ut tre revisjonsoppdrag for nærmere gjennomgang, hvorav det ene gjaldt et foretak opptatt til notering på regulert marked. Etterlevelsen av enkelte rutiner er også kontrollert mot andre oppdrag.
2. Krav til revisjonsselskapet etter revisorlovgivningen. Organisering, retningslinjer og rutiner.
Med begrepet “retningslinjer” menes i det følgende det sett av regler et revisjonsselskap har fastsatt for hvordan revisjonsselskapets virksomhet skal utføres. Begrepet ”rutiner” benyttes på prosedyrer revisjonsselskapet har etablert for å sikre at retningslinjene følges, og omfatter blant annet selskapets revisjonsverktøy. Formålet med revisjonsselskapets retningslinjer og rutiner er at de skal være til hjelp for de som skal utføre arbeid for selskapet. Gode retningslinjer og rutiner vil derfor bidra til å sikre overholdelse av revisorlovgivningen, herunder kravet til god revisjonsskikk, revisjonsstandarder, standarder for kvalitetskontroll og etiske regler vedtatt av DnR.
2.1 Vedtekter
Etter det stedlige tilsynet har revisjonsselskapet endret vedtektene slik at de angir et stemmeflertall i selskapets øverste organ, som er i samsvar med revisorloven § 3-5 første ledd nr. 2.
2.2 Taushetsplikt
Det følger av revisorloven § 6-1 at revisor og revisors medarbeidere har taushetsplikt. Andre enn disse er ikke omfattet av den lovbestemte taushetsplikten.
Revisjonsselskapet opplyser at det er innført nye rutiner for innhenting av taushetserklæringer fra ansatte og andre som har tilgang til revisjonsselskapets lokaler, og som ikke er omfattet av lovpålagt taushetsplikt.
2.3 Uavhengighet
I henhold til revisorloven § 4-7 første ledd skal samarbeidende revisorer som fremstår utad som et fellesskap, anses som ett revisjonsselskap i forhold til revisorlovens uavhengighetsregler. Hålogaland Revisjon AS og Hålogaland Revisjon Harstad AS faller inn under denne bestemmelsen.
Revisjonsselskapet opplyser at det er i prosess med å avvikle sitt samarbeid med Hålogaland Revisjon Harstad AS. Inntil samarbeidet er fullstendig avviklet, også utad, må revisjonsselskapene sikre at revisorlovens uavhengighetsregler oppfylles. Finanstilsynet legger til grunn at det iverksettes tiltak som sikrer dette.
2.4 Åpenhetsrapport
Revisjonsselskapet har, i henhold til revisorloven § 5a-2, utarbeidet en åpenhetsrapport for 2011.
Revisjonsselskapet Hålogaland Revisjon Harstad AS er ikke oppgitt som et samarbeidende revisjonsselskap. Åpenhetsrapportens formål er å gi brukerne av rapporten en mulighet til å danne seg et bilde av revisjonsselskapets organisering, herunder eventuelle samarbeid. Inntil samarbeidet er fullstendig avviklet, også utad, må samarbeidet omtales. Det kan gis en beskrivelse av at selskapene er i en prosess med å avslutte samarbeidet.
Finanstilsynet fant at åpenhetsrapporten manglet en beskrivelse av hvordan selskapet sikrer at ansvarlig revisor oppfyller kravet til etterutdanning på utpekingstidspunktet og senere. Revisjonsselskapet vil rette på dette i fremtidige åpenhetsrapporter.
2.5 Revisjonsselskapets interne kvalitetskontrollsystem
I henhold til revisorloven § 5b-1 skal revisjonsselskaper etablere forsvarlige systemer for intern
kvalitetskontroll. Finanstilsynet legger til grunn at et kvalitetskontrollsystem i samsvar med ISQC 1 normalt vil tilfredsstille dette lovkravet.
Finanstilsynet har følgende kommentarer til enkelte sentrale elementer i kvalitetskontrollsystemet:
Uavhengighet
I henhold til ISQC 1 punkt 24 skal revisjonsselskapet årlig innhente skriftlige bekreftelser fra relevant personale på etterlevelsen av revisjonsfirmaets retningslinjer og rutiner for uavhengighet.
Revisjonsselskapets retningslinjer for uavhengighet krever en årlig uavhengighetserklæring fra alle relevante personer i virksomheten. Finanstilsynet fant at retningslinjene ikke var fulgt. Revisjonsselskapet vil rette opp forholdet.
For øvrig vil revisjonsselskapet også ta inn i sine retningslinjer for uavhengighet, en henvisning til sentrale bestemmelser i revisorloven kapittel 4. Dette vil bidra til å sikre oppfyllelse av lovens krav.
Kontroll av etterlevelsen av selskapets retningslinjer og rutiner – overvåkning
Det følger av revisorloven § 5b-1 og ISQC 1 punkt 48- 53 at revisjonsselskapet skal etablere et forsvarlig system for intern kvalitetskontroll. Dette innebærer en rutinemessig overvåkingsprosess med den hensikt å avdekke om det har vært mangelfull etterlevelse av eksempelvis selskapets uavhengighetsrutiner, etterutdanningsrutiner og aksept- og fortsettelsesrutiner. I tillegg skal det gjennomføres kontroller av utvalgte revisjonsoppdrag.
Revisjonsselskapets retningslinjer for overvåking fastsetter at kvalitetskontrollutvalget skal følge opp og videreutvikle selskapets kvalitetskontrollsystem, og evaluere resultatene av oppdragskontrollen. Det gis ingen nærmere beskrivelse av hvordan den løpende evalueringen av kvalitetskontrollsystemet, herunder kontrollen av retningslinjer og rutiner, gjennomføres.
Revisjonsselskapet viser til selskapets opplegg for partner-review av revisjonsoppdrag. I den forbindelse kontrolleres etterlevelsen av retningslinjer og rutiner i tilknytning til det enkelte revisjonsoppdraget. Etter revisjonsselskapets vurdering er kontroll/overvåkning/kvalitetssikring i tilknytning til utførte revisjonsoppdrag det mest sentrale område for et revisjonsselskap av deres størrelse. Finanstilsynet er enig i at kontrollen av at revisjonsutførelsen skjer i samsvar med revisorlovgivningen er helt sentral. Kravet til et forsvarlig kvalitetskontrollsystem omfatter imidlertid også en jevnlig gjennomgang av selskapets retningslinjer og rutiner for å sikre overholdelse av krav som ikke retter seg direkte mot revisjonsutførelsen. Kontroll av at uavhengighetserklæringer for ansatte er innhentet i tråd med selskapets retningslinje og at opplæring i hvitvaskingsregelverket har skjedd, er eksempler på dette. Finanstilsynet forutsetter at det synliggjøres i revisjonsselskapets overvåkningsrutiner hvordan det skal kontrolleres at sentrale retningslinjer og rutiner etterleves.
3. Krav til revisjonsselskapet etter hvitvaskingslovgivningen
Det følger av hvitvaskingsloven § 23 tredje ledd at revisjonsselskapet skal treffe nødvendige tiltak for å sikre at ansatte og andre personer som utfører oppgaver på vegne selskapet, er kjent med pliktene etter hvitvaskingsregelverket. Under punkt 7.1 i revisjonsselskapets retningslinjer for gjennomføring av enkeltoppdrag fremgår det at "Hver enkelt plikter å gjennomgå og holde seg oppdatert gjennom informasjon om hvitvaskingsreglene som er lagt ut elektronisk på vårt fellesområde."
Etter Finanstilsynets syn oppfyller ikke dette de kravene til nødvendige tiltak som følger av hvitvaskingsloven § 23 tredje ledd. Et revisjonsselskap kan ikke forutsette at ansatte gjør seg kjent med hvitvaskingsregelverkets grunnleggende prinsipper. Revisjonsselskapet har opplyst at det vil bli gitt en opplæring i hvitvaskingsregelverket som er egnet til å gjøre de ansatte i stand til å identifisere faresignaler og saksgangen for øvrig i tilfeller av mulige mistenkelige transaksjoner.
4. Kontroll av individuelle revisjonsoppdrag
Finanstilsynet har kontrollert tre revisjonsoppdrag, som er omtalt som oppdrag A, oppdrag B og oppdrag C. Kontrollen omfatter:
• revisors vurdering og oppfølgning av risiko
• revisors skjønn, revisjonsbevis og dokumentasjon
• kvalitetskontroll
• kommunikasjon med styre/ revisjonsutvalg/ myndigheter
• ferdigstillelse av revisjonen
4.1 Til revisors vurdering og oppfølging av risiko, jf. revisorloven § 5-2 første ledd og 5-3 første ledd, annet punktum
For oppdrag A hadde ikke revisor utarbeidet en oversikt over de serviceorganisasjoner klienten benytter, med en vurdering av den enkelte serviceorganisasjonens betydning for klientens interne kontroll som er relevant for revisjonen. Etter Finanstilsynets syn har ikke revisor i tilstrekkelig grad identifisert og vurdert risikoene for vesentlig feilinformasjon til å kunne utforme og utføre revisjonshandlinger for å håndtere disse risikoene, jf. ISA 402 punkt 7.
4.2 Til revisors skjønn, revisjonsbevis og dokumentasjon, jf. revisorloven § 5-2 første ledd og § 5-3 første ledd
For oppdrag A var revisors vurdering av betydningen av klientens serviceorganisasjoner mangelfull, jf. 4.1 foran. Videre hadde ikke revisor gjort nødvendige vurderinger av type 2-rapport som var innhentet for en av serviceorganisasjonene, jf. ISA 402 punkt 17. For en annen viktig serviceorganisasjon, hadde revisor unnlatt å innhente en type 2-rapport, uten å ha gjort egne tester, jf. ISA 402 punkt 16. Revisor har i revisjonen likevel bygget på serviceorganisasjonens interne kontroll. Etter Finanstilsynets syn har ikke revisor innhentet tilstrekkelig og hensiktsmessig revisjonsbevis for effektiviteten av kontrollen til å underbygge revisors risikovurdering.
For oppdrag A hadde ikke revisor utført egne "vugge-til-grav" ("walk-through") tester av klientens systemer på inntektsområdet. Revisor innhentet rapporter fra internrevisjonen, men hadde ikke dokumentert en nærmere vurdering av arbeidet som er utført og i hvilket omfang revisor hadde planlagt å bruke internrevisjonens arbeid, jf. ISA 610 punkt 13. Revisor har anført at revisjonen ikke bygger på arbeid utført av internrevisjonen. Etter Finanstilsynets har ikke revisor opparbeidet en tilstrekkelig forståelse av de delene av informasjonssystemet, herunder de tilknyttede forretningsprosessene, som er relevante for den finansielle rapporteringen, jf. ISA 315 punkt 18.
For oppdrag A var det ikke innhentet eksterne bekreftelser fra bank/kredittinstitusjoner, men bare kopi av de oppgaver revisjonsklienten hadde mottatt fra bankene. Revisor hadde ikke utført andre revisjonshandlinger for å få ekstern bekreftelse av mellomværende. Etter Finanstilsynets syn har ikke revisor innhentet tilstrekkelig og hensiktsmessig revisjonsbevis for disse fordringene, jf. ISA 500 punkt 6 og ISA 505 punkt 5 og 6 (a).
Finanstilsynet avdekket enkelte mangler ved deler av revisors dokumentasjon for alle de tre kontrollerte oppdragene. Manglene var knyttet til revisors beskrivelse av utførte revisjonshandlinger og resultatet av disse, samt vurderinger av innhentede revisjonsbevis. Revisors dokumentasjon er nødvendig for å kunne etterprøve revisors konklusjoner. Dokumentasjonen bidrar også til å sikre kvaliteten på revisjonsoppdraget fordi revisors vurderinger ofte blir bedre når de skrives ned. Mangler ved revisjonsdokumentasjonen gjorde at det i enkelte tilfeller ikke var mulig å se sammenhengen mellom fastsatte revisjonsmålsettinger og utførte revisjonshandlinger og de tilhørende vurderinger. Finanstilsynet anser at revisor i disse tilfellene ikke hadde det nødvendige grunnlag for å kunne konkludere med at det var innhentet tilstrekkelig og hensiktsmessig revisjonsbevis.
4.3 Kvalitetskontroll (jf. revisorloven § 5-3 første ledd)
Mangler ved revisjonsdokumentasjonen nevnt foran, medførte begrensninger for den etterfølgende kvalitetssikringen.
5. Oppsummering
Finanstilsynet forutsetter at de svakhetene som ble avdekket under tilsynet i selskapets retningslinjer, rutinene, m.v. er eller vil bli rettet opp.
Finanstilsynet legger til grunn at revisjonsselskapet gjennomgår sine rutiner for revisjonsutførelsen for å unngå at de konkrete svakhetene som ble avdekket i Finanstilsynets kontroll av revisjonsoppdrag videreføres i andre oppdrag, jf. punkt 4.1 – 4.3.
For Finanstilsynet
Kjersti Elvestad
seksjonssjef
Brynjar Gilberg
spesialrådgiver