Merknader etter selskapstilsyn SLM Revisjon AS
Brev
Publisert: 16. september 2015
Sist endret: 21. april 2017
Saksbehandler: Lars Erik Larsen
Dir tlf: 22 93 97 05
Vår referanse: 15/2518
Dato: 09.09.2015
1. INNLEDNING
Finanstilsynet viser til stedlig tilsyn hos SLM Revisjon AS (SLM/ revisjonsselskapet) i perioden
20. - 27. april 2015. Det vises videre til Finanstilsynets foreløpige merknader etter tilsynet, datert 22. juni 2015 samt revisjonsselskapets svar til disse datert 28. august 2015.
Det stedlige tilsynet med SLM inngår i tilsynsarbeidet med revisjonsselskaper som reviderer foretak av allmenn interesse. Finanstilsynet skal blant annet utføre periodisk kvalitetskontroll med slike revisjonsselskaper minst hvert tredje år, jf. revisorloven § 5b-2 første ledd, annet punktum.
Formålet med kvalitetskontrollen er å kontrollere oppfyllelsen av lovkrav, herunder å identifisere og påpeke eventuelle svakheter knyttet til revisjonsselskapenes gjennomføring av revisjonsoppdrag. Selskapets etablerte retningslinjer og rutiner er sentrale for å sikre overholdelse av revisorlovgivningen, herunder god revisjonsskikk.
Som ledd i det stedlige tilsynet valgte Finanstilsynet ut to revisjonsoppdrag for nærmere gjennomgang av revisjonsutførelsen (oppdrag A og B). Det ene oppdraget vedrører et foretak av allmenn interesse. I tillegg ble fem mindre/ mellomstore oppdrag gjennomgått for utvalgte deler av revisjonsutførelsen. Etterlevelsen av revisjonsselskapets egne retningslinjer og rutiner er kontrollert ved gjennomgangen av de to nevnte oppdragene, og ved stikkprøver på de øvrige fem små/mellomstore oppdragene.
2. SELSKAPSDELEN – RETNINGSLINJER, RUTINER, MV.
I henhold til revisorloven § 5b-1 skal revisjonsselskap etablere forsvarlige systemer for intern kvalitetskontroll. Finanstilsynet legger til grunn at et kvalitetskontrollsystem i samsvar med ISQC 1 normalt vil tilfredsstille dette lovkravet.
Med begrepet "retningslinjer" menes i det følgende det sett av regler et revisjonsselskap har fastsatt for hvordan virksomheten skal utføres. Begrepet "rutiner" benyttes på prosedyrer revisjonsselskapet har etablert for å sikre at retningslinjene følges, og omfatter blant annet selskapets revisjonsverktøy.
Svakheter og mangler som Finanstilsynet avdekket i de retningslinjene og rutinene som ble vurdert under det stedlige tilsynet, gjennomgås i det følgende.
Organisering og internkontroll
Konsultasjoner
I dokumentasjonen av revisjonsselskapets retningslinjer som SLM fremla i forbindelse med tilsynet, var det enkelte spredte bestemmelser relatert til konsultasjoner. Revisjonsselskapets retningslinjer og rutiner gir imidlertid ikke tilstrekkelig anvisning på hvordan konsultasjoner skal gjennomføres og dokumenteres, eller hvordan man sikrer at konklusjoner fra konsultasjoner følges opp og iverksettes. Det vises til ISQC 1 punktene 34, 43 og 44. Revisjonsselskapet bes utforme retningslinjer og iverksette rutiner som sikrer at selskapet gjennomfører konsultasjoner ved vanskelige eller omstridte spørsmål.
Selskapet uttrykker i svarbrev til Finanstilsynet at merknaden tas til etterretning og at retningslinjene er oppdatert for det angjeldende forhold.
Erklæring om taushetsplikt
Det følger av revisorloven § 6-1 første ledd, annet punktum, om revisors taushetsplikt og taushetsbelagt informasjon, at: "Revisor og revisors medarbeidere kan ikke utnytte slike opplysninger i egen virksomhet eller i tjeneste for andre". Revisjonsselskapets fremlagte taushetsplikterklæringer omfatter ikke uttrykkelig revisorlovens bestemmelse om ikke å utnytte opplysninger i egen virksomhet eller i tjeneste/arbeid for andre. Taushetsplikterklæringene som benyttes i virksomheten, bør omfatte alle lovens krav eller vise til lovens bestemmelser.
Selskapet uttrykker i svarbrev til Finanstilsynet at merknaden tas til etterretning og at retningslinjene er oppdatert for det angjeldende forhold.
Oppfølging av kvalitetskontroller
Revisjonsselskapet gjennomfører årlig intern kvalitetskontroll. Resultatet sammenstilles i en rapport som presenteres i styremøter i SLM. Etter Finanstilsynets syn har revisjonsselskapet imidlertid ikke sørget for en tilstrekkelig god og dokumentert oppfølging av identifiserte svakheter, eller gjennomføring av tiltak etter interne kvalitetskontroller på oppdragsnivå, jf. ISQC 1 punkt 48 følgende om overvåking som del av kvalitetskontrollen.
I svarbrev til Finanstilsynet uttrykker selskapet at forholdene som de interne kvalitetskontrollene avdekket, ikke har krevet særskilte tiltak. Forholdene tas opp som del av selskapets kontinuerlige arbeid med heving av revisjonskvaliteten. Det uttrykkes videre at det i de konkrete tilfellene, er lagt vekt på å gi tilbakemeldinger til dem avvikene gjelder.
Med bakgrunn i at det er kartlagt gjentatte svakheter både gjennom revisjonsselskapets interne kvalitetskontroll og i kvalitetskontroller gjennomført av Finanstilsynet, mener Finanstilsynet at oppfølgingen av svakhetene ikke har vært tilstrekkelig. Finanstilsynet holder fast ved at selskapet tettere må følge opp avdekkede svakheter i revisjonsutførelsen, og at oppfølgingen dokumenteres. Dokumentasjonen må være etterprøvbar og blant annet omfatte identifiserte avvik, kommunikasjon med dem avvikene gjelder, planer for kvalitetsheving samt gjennomføring og oppfølging av korrigerende tiltak.
Uavhengighet
Revisjonsselskapet har fremlagt retningslinjer for uavhengighet, objektivitet og etikk. Finanstilsynet mener at en formulering som er benyttet til å beskrive tiltak i tilfeller som vedrører manglende uavhengighet, kan fremstå som uklar i forhold til revisorlovens bestemmelser på området.
Revisjonsselskapet opplyser at formuleringen er endret for å unngå uklarhet i retningslinjene.
Hvitvasking
Revisjonsselskapet har fremlagt en rutine benevnt: "Rapportering etter Hvitvaskingsloven". Finanstilsynet har foretatt en gjennomgang av denne rutinen i lys av de krav som følger av hvitvaskingsloven.
I henhold til hvitvaskingsloven § 21 første ledd, følger det forbud mot å avsløre undersøkelser, rapportering eller etterforskning til kunder eller tredjepersoner. Revisjonsselskapets rutine på dette punktet dekker ikke lovkravet, ved at det i SLM kun oppstilles et forbud mot at kunder eller tredjepersoner gjøres kjent med at det har blitt oversendt opplysninger til ØKOKRIM. Rutinen bør også således omfatte forbud mot å gjøre kjent at det er foretatt undersøkelser eller igangsatt etterforskning.
I hvitvaskingsloven § 14 følger det et påbud om løpende oppfølging av kundeforhold, herunder oppdatering av dokumentasjon og opplysninger om kunden. Finanstilsynet anser dette som et sentralt krav i den løpende kontrollen knyttet til hvitvaskingsregelverket. Kravet er ikke innarbeidet i revisjonsselskapets hvitvaskingsrutine, og det er heller ikke dokumentert at kravet etterleves i praksis.
SLM har fremlagt skjemaet: "Kontrollspørsmål ved forespørsel om nytt revisjonsoppdrag", som ledd i oppfølgingen av kravene i hvitvaskingsregelverket. Finanstilsynet bemerker at skjemaet ikke ivaretar alle krav til hvitvaskingslovens kundekontroll før eventuell oppdragsaksept. Dette medfører risiko for at revisjonsoppdrag aksepteres uten at vesentlige krav til kundekontroll er oppfylt, for eksempel kravet om bekreftelse av identiteten til reelle rettighetshavere i hvitvaskingsloven § 7 første ledd, nr. 3, kravet om dokumentasjon av kundeforholdets formål og tilsiktede art i § 7 første ledd, nr. 4 og kravet om at den som handler på vegne av en juridisk person er berettiget til å representere kunden utad, jf. § 7 annet ledd, annet pkt. Det vises forøvrig til hvitvaskingsloven § 23, om kravet til forsvarlige interne kontroll- og kommunikasjonsrutiner som skal sikre oppfyllelse av hvitvaskingslovens krav.
Selskapet uttrykker i svarbrev til Finanstilsynet at merknadene til tas til etterretning og at retningslinjene og rutinene er oppdatert for de angjeldende forhold. Når det gjelder krav til løpende oppfølging av kundeforhold, uttrykkes det at dette ivaretas gjennom revisjonsverktøyet Descartes 4. Finanstilsynet forutsetter at SLM dokumenterer relevante vurderinger og konklusjon knyttet til den løpende oppfølgingen.
Etterutdanning og øvrige krav til ansvarlig revisor
Krav til etterutdanning for ansvarlig revisor følger av revisorforskriften kapittel 2, jf. revisorloven § 3-7 første ledd nr. 1. I den fremlagte retningslinjen under punktet om ansvarlige revisorer følger det at: "Ansvarlige revisorer som ikke oppfyller kravene til etterutdanning har selv ansvaret for å melde fra til SLM og Finanstilsynet at de ikke oppfyller kravene…". Etter Finanstilsynets syn er det revisjonsselskapets plikt å ha kontroll med at kravene til etterutdanning for ansvarlige revisorer til enhver tid er oppfylt. Plikten som SLM pålegger den enkelte ansvarlige revisorer om selv å melde fra til revisjonsselskapet og Finanstilsynet om manglende etterutdanning, er derfor ikke tilstrekkelig til å oppfylle kravet i revisorloven § 3-7 første ledd nr. 1, jf. ISQC 1 punkt 31. SLM bes om å gjennomføre rutinemessig kontroll med at revisjonsselskapets utpekte oppdragsansvarlige revisorer oppfyller kravene til etterutdanning.
Finanstilsynet bemerker i denne sammenheng at det også er behov for en generell gjennomgang av rutiner knyttet til revisjonsselskapets kontroll av løpende oppfyllelse av revisorlovens krav til ansvarlig revisor, jf. revisorloven §§ 3-4 og 3-7. Det vises til revisjonsselskapets ansvar for utpeking av oppdragsansvarlig revisor, jf. revisorloven § 2-2.
Revisjonsselskapet tar til etterretning Finanstilsynets merknader vedrørende revisjonsselskapets oppfølging av krav til ansvarlig revisor. Selskapet uttrykker at retningslinjene er oppdatert for angjeldende forhold, samt at selskapets løpende oppfølging styrkes.
3. KONTROLL AV REVISJONSOPPDRAG
Finanstilsynet valgte ut to revisjonsoppdrag for gjennomgang. Gjennomgangen var rettet mot revisjonen av utvalgte regnskapsposter basert på vesentlighet og risiko. Oppdrag A gjaldt revisjonen av årsregnskapet for 2014 for en bank og oppdrag B revisjonen av årsregnskapet 2013 for et lite/ mellomstort entreprenørselskap.
Ytterligere fem små/ mellomstore oppdrag, C til G, ble valgt ut for kontroll av deler av revisjonsutførelsen. Ingen gjaldt foretak av allmenn interesse. Oppdrag C ble gjennomgått særlig med henblikk på oppfølging av Finanstilsynets merknader etter selskapstilsynet gjennomført i 2012. Oppdragene D til G ble gjennomgått med henblikk på revisors vurderinger i forbindelse med aksept og fortsettelse av revisjonsoppdrag. Revisjonsoppdragene ble valgt ut for gjennomgang som følge av at det i tidligere års revisjonsberetninger til foretaket var inntatt presiseringer eller forbehold, eller at egenkapitalen i foretaket var tapt.
Finanstilsynet beskriver de deler av revisjonen som ikke anses gjennomført i samsvar med revisorloven, herunder god revisjonsskikk, jf. revisorloven § 5-2 annet ledd.
Oppdrag A (bank)
Vurdering og oppfølging av risiko
Revisors forståelse av relevante IT-systemer
Vesentlige deler av klientens virksomhet er basert på IT-systemer som er driftet av eksterne serviceleverandører. Som ledd i å opparbeide seg forståelse av den interne kontrollen som er relevant for revisjonen, har revisor beskrevet hvilke datasystemer klienten benytter. Revisor har også innhentet revisoruttalelser om interne kontroller hos de serviceorganisasjoner som drifter datasystemene (ISAE 3402). Disse uttalelsene omhandler i det vesentlige generelle kontroller i serviceorganisasjonenes IT-miljø, og omhandler i liten grad kontroller knyttet til de enkelte applikasjonene. Revisor har lagt til grunn at det er liten risiko for at det skulle være vesentlige programfeil i applikasjonene, siden disse blir benyttet av mange brukere. Revisor har videre gjort en mer omfattende gjennomgang av klientens interne kontrollmiljø knyttet til tilgangskontroll og rutiner for sikkerhet ved tilkobling av lokalt datateknisk utstyr samt regler knyttet til elektronisk kommunikasjon. Klienten har lagt inn egne parametere i flere applikasjoner. Revisjonsdokumentasjonen viser ikke at revisor har beskrevet klientens rutiner og kontroll med fastsetting, innlegging og endring av disse variablene, og vurdert risiko knyttet til endring av slike faste data i systemet.
Finanstilsynet mener at klientens omfattende bruk av IT vil kunne innebære datatekniske problemstillinger knyttet til den interne kontrollen i rutiner og prosesser som er relevante for revisjonen. Det er Finanstilsynets syn at revisor bør gjøre en ny vurdering av om IT-kompetansen i oppdragsteamet er tilstrekkelig, eller om det er behov for å engasjere IT-spesialister i revisjonen. Det vises til revisorloven § 5-2 første og annet ledd, jf. ISA 315 punkt 18 (b) og ISA 220 punkt 14.
I sitt svarbrev sier revisjonsselskapet seg enig i Finanstilsynets beskrivelse, og har inngått intensjonsavtale med leverandør av IT-tjenester med formål om gjennomføring av IT-revisjon.
Revisors skjønn, revisjonsbevis og dokumentasjon
Mangelfull beskrivelse og testing av kontroller
Revisor har kort beskrevet bankens rutine for etablering av kundeforhold ved innskudd og tilsvarende ved utlån. Begge gjelder avdeling for privatmarked. Det fremgår ikke av beskrivelsene hvilke konkrete kontrollhandlinger saksbehandler skal gjøre, og om noen av disse er kontroller revisor kan bygge på for revisjonsformål ("nøkkelkontroller").
For hver av rutinene har revisor valgt ut fire engasjementer som har blitt behandlet. Revisor har påsett at alle formaliteter er ivaretatt for engasjementene, dvs. at alle dokumenter er til stede og signert i henhold til rutinene, samt at det er signert for ID-kontroll. Etter Finanstilsynets syn er revisors tester mer å anse som en "walk through" av rutinene, dvs. en gjennomgang for å bekrefte revisors egen forståelse av klientens prosesser. En slik gjennomgang kan være en nødvendig revisjonshandling for at revisor skal kunne innhente bevis for kontrollers effektivitet, men den er ikke tilstrekkelig. Revisor har for eksempel ikke beskrevet hvilke konkrete kontrollhandlinger revisor vil bygge på i revisjonen og heller ikke vurderinger knyttet til utvalgsstørrelse og tidspunkt for kontrolltestingen. Revisjonsdokumentasjonen viser ikke hvordan utvalgte kontroller er testet og hva resultatet er.
Banken har, som del av sin interne kontroll med etablering av kundeengasjementer, lagt inn begrensninger i saksbehandleres fullmakter for kredittgivning til kunder i personmarkedet. For å teste at bankens kontroll med fullmaktsgrenser fungerer, har revisor gjennomført én test for at systemet setter sperrer når en saksbehandler prøver å bevilge kreditt utover egen tildelt fullmakt. Revisor har imidlertid ikke kartlagt bankens prosess for fastsetting av kredittgrenser eller vurdert hvilke kontroller banken har etablert knyttet til prosessen med å tildele fullmakter. Etter Finanstilsynets syn har revisor ikke dokumentert tilstrekkelig forståelse for kontrollaktiviteten med bruk av fullmaktsgrenser. Resultatet av den gjennomførte kontrollen gir derfor ikke tilstrekkelig sikkerhet for at alle saksbehandleres kredittsperrer fungerer etter hensikten.
Revisor erkjenner i tilsvar til Finanstilsynet at dokumentasjonen av utført arbeid ikke ble tilstrekkelig. Som medvirkende årsaker til det, peker revisor på at revisjonsteamets inngående kunnskap om klienten ikke direkte fremgår av oppdragsarkivet samt at revisor har basert kontroller på rutiner som foreligger dokumentert i bankens egen kreditthåndbok. Revisor ser at dette til en viss grad kan ha redusert revisjonsbevisenes styrke.
Finanstilsynet konkluderer med at de dokumenterte revisjonshandlingene ikke gir tilstrekkelig og hensiktsmessig revisjonsbevis for at klientens kontroller på området fungerer effektivt, og dermed at revisors dokumentasjon ikke viser at det er innhentet revisjonsbevis for at kontrollrisikoen er redusert slik revisor har forutsatt. Det vises til revisorloven § 5-2 første og annet ledd, jf. ISA 315 punkt 12, 18 og 20, ISA 330 punkt 8, 10 og 11 og ISA 500. Det vises også til revisorloven § 5-3 første ledd, jf. ISA 230.
Svakt substansbevis for utlån
Revisor har fått presentert de næringsengasjementene som banken har klassifisert som de største og de mest risikoutsatte, samt et nytt engasjement. Revisor har i dokumentasjonen notert at han kjenner flere av disse engasjementene fra tidligere gjennomgang, og listet opp engasjementene med de kommentarer revisor har fått fra ansvarshavende i banken. Revisor har også snakket med banksjefen om næringsengasjementene. Videre har revisor hatt samtale med ansvarlig for private utlån og notert generelle betraktninger.
Etter Finanstilsynets syn bærer dokumentasjonen preg av å være en gjengivelse av ledelsens argumenter og påstander, og det er lite som dokumenterer revisors egen gjennomgang og vurdering av enkeltengasjementer. Det må fremgå av revisjonsdokumentasjonen at revisor har innhentet og vurdert understøttende revisjonsbevis til ledelsens uttalelser. Uten slik dokumentasjon blir revisjonsbevisets styrke for svakt. Det vises til revisorloven § 5-2 første og annet ledd, jf. ISA 500 punkt 7 og 9, ref. ISA 580 punkt 4.
Revisjonsselskapet har meddelt at de vil ta hensyn til merknaden ved tilpasninger av revisjonsmetodikken på bankoppdrag, herunder forbedring av revisjonshandlinger og dokumentasjon.
Mangelfull dokumentasjon
Det følger av revisorloven § 5-3 første ledd første punktum at revisor skal kunne dokumentere hvordan revisjonen er gjennomført, samt dokumentere resultatet av revisjonen på en måte som er tilstrekkelig til å kunne underbygge og etterprøve revisors konklusjoner. For at dokumentasjonen skal kunne gi grunnlag for å kontrollere kvaliteten på revisjonen, må den vise hva revisor har gjort av relevante revisjonshandlinger og revisors grunnlag for fastsettelse av tidspunkt og omfang av handlingene, hvilke vurderinger revisor har gjort samt hvilke konklusjoner som er trukket.
Revisjonsdokumentasjonen i det kontrollerte oppdraget har svakheter på vesentlige områder.
Finanstilsynet legger derfor til grunn at revisor ikke har oppfylt revisorlovens krav til dokumentasjon av revisjonen. Det vises til revisorloven § 5-3 første ledd, jf. § 5-2 annet ledd og ISA 230. Revisjonsselskapet har meddelt at Finanstilsynets merknad tas til etterretning.
Kvalitetskontroll
Mangelfull kvalitetssikring av revisjonen
Både oppdragsansvarlig revisor og oppdragskontrollør har laget egne oppsummeringsnotat for gjennomført kvalitetssikring. Ingen av disse viser at revisjonshandlinger og revisjonsbevis på vesentlige områder er gjennomgått og vurdert som del av kvalitetssikringen.
De svakhetene som er avdekket ved tilsynet, herunder mangelfulle revisjonsbevis og svakheter i revisjonsdokumentasjonen, gir Finanstilsynet grunnlag for å mene at ingen av disse kvalitetssikringene har vært utført tilfredsstillende. Det vises til revisorloven § 5-2 annet ledd, jf. ISA 220 punkt 17 og 20.
I tilsvar til Finanstilsynet uttrykker selskapet at oppdragsansvarlig revisor og oppdragskontrollørs kvalitetssikring ble vurdert som tilfredsstillende, men at gjennomføring av begge deler vil revurderes ved innføring av ny metodikk for revisjon av bank.
Revisjonsselskapets varslede tiltak
I sitt tilsvar til Finanstilsynet uttrykker SLM at det vil gjennomføres konkrete tiltak for å rette på svakheter som tilsynet har avdekket vedrørende revisjonen av bankoppdraget. SLM vil gjennomgå og oppgradere sin revisjonsmetodikk for bankoppdrag, herunder legge større vekt på kartlegging av rutiner og testing av kontroller, implementering av elektronisk revisjonsverktøy og gjennomføring av IT-revisjon.
Oppdrag B (entreprenørselskap)
Revisors skjønn, revisjonsbevis og dokumentasjon
Mangler ved kontroll av årsregnskapets noteinformasjon
Foretaket har i årsregnskapet ikke opplyst om regnskapsprinsipper for inntektsføring, og forholdet ble ikke påpekt av revisor. Informasjon om anvendt prinsipp for inntektsføring er av vesentlig betydning for brukernes forståelse av regnskapet.
Det vises til revisorloven § 5-1 første ledd, jf. revisorloven § 5-2 annet ledd, ISA 330 punkt 24, ISA 250 punkt 13 og NRS 2 Anleggskontrakter punkt 51.
Revisjonsselskapet uttrykker i svarbrev å ta Finanstilsynets merknad til etterretning.
Oppdrag C
Revisors skjønn, revisjonsbevis og dokumentasjon
Mangelfull dokumentasjon for vurdering av utvalgsstørrelser og testede enheter
Under revisjonen har revisor utført tester av foretakets interne kontroller og rettet substanshandlinger mot enkeltposter i regnskapet. Testene er utført på utvalg fra en større populasjon. Ved flere tilfeller foreligger det ikke dokumentasjon for revisors vurdering av utvalgsstørrelser og hvilke enheter i populasjonen som er trukket ut for kontroll. Manglene ved dokumentasjonen medfører at det ikke er mulig å etterprøve hvorvidt det er innhentet tilstrekkelig og hensiktsmessig revisjonsbevis for de aktuelle kontrollenes effektivitet og regnskapspostenes riktighet.
Det vises til revisorloven §§ 5-2 første og annet ledd, 5-3 første ledd, jf. ISA 500 punkt 6, ISA 530 punkt 6 og 7 og ISA 230 punkt 9 (a).
Revisjonsselskapet uttrykker i svarbrev å ta Finanstilsynets merknad til etterretning.
Oppdrag D
Akseptvurdering
Manglende vektlegging av forhold som tilsa at revisjonsoppdraget ikke burde aksepteres
Revisor må forsikre seg om at aksept av nye klienter og oppdrag er hensiktsmessig, herunder at vesentlige forhold som vedrører kunde- og oppdragsforholdet er vurdert. Før aksept var påtroppende revisor kjent med at forrige revisor hadde påpekt vesentlige brudd på lover og forskrifter; herunder klientens brudd på bl.a. bokføringsloven, aksjelovens krav til forsvarlig egenkapital, hvitvaskingslovens grenser for kontantransaksjoner og skattebetalingslovens regler for oppbevaring av skattetrekk. Revisor var også kjent med at forrige revisor hadde påpekt vesentlige svakheter i internkontrollen; herunder mangelfulle avstemminger og mangelfulle rutiner for å sikre fullstendighet i inntektsregistreringen. Klientens vesentlige brudd på lover og forskrifter vil kunne gi grunnlag for revisors pliktige fratreden, jf. revisorloven § 7-1. Påpekte vesentlige svakheter i internkontrollen vil også kunne medføre at revisor ikke kan uttale seg om årsregnskapet.
Det er Finanstilsynets syn at revisor ikke skulle akseptert revisjonsoppdraget før foretaket dokumenterte retting eller fremla en forpliktende plan for retting av påpekte lovbrudd. Det vises til revisorloven § 5-2 annet ledd, jf. ISA 220 punkt 12.
Før kundeforholdet ble etablert, gjennomførte revisor ikke handlinger for å bekrefte identiteten til klienten og til klientens reelle rettighetshavere. Dette medfører brudd på hvitvaskingsloven § 6, jf. §§ 7 og 9. Det er Finanstilsynets forståelse at dette også medfører brudd med foretakets rutine for aksept av klienter og oppdrag.
Revisor fratrådte revisjonsoppdraget ca. tre måneder etter at det ble akseptert.
Revisjonsselskapet har meddelt at Finanstilsynets merknader er tatt til etterretning.
Det understrekes imidlertid fra selskapets side at omstendighetene rundt overtakelsen av revisjonsoppdraget var spesielle, at tilfellet representerer et avvik fra selskapets retningslinjer for aksept og at revisjonsselskapet etter relativt kort tid fratrådte revisjonsoppdraget.
Oppdrag E
Forutsetningen om fortsatt drift
Mangelfullt dokumentert vurdering av forutsetningen om fortsatt drift
Revisor skal innhente tilstrekkelig og hensiktsmessig revisjonsbevis for riktigheten av å legge forutsetningen om fortsatt drift til grunn for årsregnskapet. Revisor skal også ta stilling til hvorvidt det foreligger vesentlig usikkerhet knyttet til foretakets evne til fortsatt drift, og i tilfellet om usikkerheten er tilstrekkelig opplyst om i årsregnskapet og årsberetningen.
Årsregnskapet til revisjonsklienten viste negativ bokført egenkapital per 31.12.2013. Som del av revisors gjennomgang av hendelser etter balansedagen, innhentet revisor delårsregnskap per april 2014. Dette viste at det var påløpt ytterligere tap. Av årsregnskapet for 2013 fremgår det at foretakets likviditet var svak ved blant annet negativ arbeidskapital. Den kortsiktige gjelden hadde økt vesentlig, hvilket kan tyde på negativ kontantstrøm fra driften og manglende evne til langsiktig finansiering. Disse er forhold som kan skape tvil om foretakets evne til fortsatt drift.
I årsberetningen for 2013 er det uttrykt at selskapets aksjekapital er tapt, og ledelsen har gjort rede for iverksatte tiltak for å bedre inntjeningen i foretaket samt uttrykt at gjeld til selskapets aksjonærer kan konverteres til aksjekapital.
I møte med revisor gjennomgikk ledelsen i selskapet prosjekter som totalt sett var forventet å generere positivt årsresultat for 2014. Revisor har konkludert med at "Grunnlaget for fortsatt drift synes å være tilstede".
Revisjonsdokumentasjonen for vurdering av fortsatt drift, viser ikke hvorvidt revisor har vurdert forutsetningene lagt til grunn for prosjektregnskapene som skulle gi positivt årsresultat for 2014 eller påliteligheten av informasjonen prosjektregnskapene bygget på. Revisor har heller ikke dokumentert gjennomgang av eventuelt resultatbudsjett. Det fremgår av dokumentasjonen ingen vurdering av selskapets likviditetssituasjon, herunder gjennomgang av vilkår i låneavtaler eller gjennomgang av eventuelle likviditetsbudsjetter. Det fremgår ikke av revisjonsdokumentasjonen hvorvidt det er utstedt bindende tilbakeståelseserklæringer fra f.eks. nærstående kreditorer, finansieringsmuligheter gjennom morselskapet eller om foretaket var i dialog med vesentlige kreditorer, herunder foretakets bankforbindelse.
Revisjonsdokumentasjonen er ikke tilstrekkelig til å underbygge revisors konklusjon om riktigheten av å legge forutsetningen om fortsatt drift til grunn for årsregnskapet for 2013.
Av revisjonsdokumentasjonen fremgår det ikke eksplisitt at revisor har tatt stilling til om det foreligger vesentlig usikkerhet av betydning for foretakets evne til fortsatt drift. Gitt forholdene som talte for usikkerhet, burde revisor vurdert dette særskilt. Revisjonsdokumentasjonen underbygger ikke revisors beslutning om ikke å presisere usikkerhet om fortsatt drift i revisjonsberetningen for 2013.
Det vises til revisorloven §§ 5-1 første ledd og § 5-6 fjerde ledd nr. 4, jf. § 5-2 annet ledd og ISA 570, herunder punkt 16. Det vises også til revisorloven § 5-3, jf. ISA 230.
I sitt tilsvar til Finanstilsynet uttrykker revisjonsselskapet at Finanstilsynets merknader tas til etterretning. Det understrekes imidlertid at forutsetningen om fortsatt drift og kapitalsituasjon til klienten, ble vurdert og sett i sammenheng med den totale kapitalsituasjonen til konsernet som foretaket var en del av. Revisjonsselskapet vil uansett iverksette tiltak for å forbedre revisjonshandlinger og dokumentasjon i slike tilfeller.
Styrets handleplikt og ansvar
Konsekvenser av brudd på handleplikten for revisors rapportering og fortsettelsesvurdering
Aksjeloven oppstiller krav til handleplikt for styret i foretak som har tapt sin egenkapital. Handleplikten innebærer blant annet at styret for generalforsamlingen, må foreslå tiltak som skal gi foretaket forsvarlig egenkapital. I slike tilfeller må revisor etter Finanstilsynets syn, reelt vurdere de tiltak som styret foreslår og iverksetter. Herunder må revisor vurdere hvorvidt tiltakene er tilstrekkelige til at handleplikten kan anses oppfylt. Manglende oppfyllelse av handleplikten medfører ansvar for styrets medlemmer, som revisor er pliktig til å rapportere i nummerert brev og i revisjonsberetningen.
Årsregnskapet for 2013 viser at bokført egenkapital var negativ. Revisor har notert at aksjonærene hadde fordring på foretaket og at denne kunne konverteres til aksjekapital. Av årsberetningen fremgår at slik konvertering ville skje, dersom det ble nødvendig. Revisor vurderte at den reelle egenkapitalen derfor kunne anses tilsvarende høyere. Hva som skulle gjøre konvertering nødvendig er ikke konkretisert. Revisor har ikke innhentet eventuell kopi av avtaler med aksjonærene, ei heller eventuell tilbakeståelseserklæring fra aksjonærene for foretakets gjeld til øvrige kreditorer. Selv etter å ha tatt hensyn til potensiell konvertering av lån fra aksjonærene, ville reell egenkapital i foretaket fortsatt vært negativ, og tiltaket er alene ikke tilstrekkelig til å gi foretaket forsvarlig egenkapital. Det legges til grunn at det ikke foreligger vesentlige merverdier knyttet til foretakets eiendeler.
Det fremkommer av årsberetningen at driften er lagt om til å fokusere på større oppdrag med bedre inntjening, samt kostnadsreduserende tiltak. De samme tiltakene er også beskrevet i årsberetningene for 2011 og 2012. Foretaket har hatt en svak positiv inntjening i 2012 og 2013, men egenkapitalen er fortsatt ikke gjenvunnet. Likviditetssituasjonen synes stram, arbeidskapitalen er negativ. Den kortsiktige gjelden har økt vesentlig fra 2012 til 2013. Revisor har dokumentert at ledelsen i møte har gjennomgått prosjekter som viser at 2014 forventes å gå med overskudd. Per april viser regnskapet imidlertid underskudd. Revisor refererer i dokumentasjonen at ledelsen har innført tiltak for forbedret kontroll med timer, som vil gi høyere fakturering og bedret omsetning.
Ut fra foreliggende informasjon, må det anses som et faktum at foretaket har negativ reell egenkapital. Foretaket er derfor i brudd med krav om forsvarlig egenkapital etter aksjeloven § 3-4, og det foreligger handlingsplikt for styret etter § 3-5. De tiltakene som fremgår av årsberetningen av 2013 og revisors arbeidspapirer på området, kan neppe anses som tiltak som tilfredsstiller handlingspliktens krav om å gi forsvarlig egenkapital. Tiltakene som beskrives er uttrykk for en strategi om å gjenvinne egenkapitalen ved fortsatt drift. Videre drift vil være på kreditorenes risiko.
Det er Finanstilsynets vurdering at revisor skulle tatt opp forholdet i nummerert brev til selskapet, jf. revisorloven § 5-2 fjerde ledd, jf. § 5-4. Revisor skulle med utgangspunkt i forliggende dokumentasjon, presisert forholdet i revisjonsberetningen, jf. revisorloven § 5-6 syvende ledd. Videre drift uten forsvarlig egenkapital betyr at virksomheten drives for kreditorenes regning, noe som kan medføre vesentlig lovbrudd. Revisor skulle vurdert forholdet som del av sin fortsettelsesvurdering for 2014.
I tilsvar til Finanstilsynet uttrykker revisjonsselskapet at Finanstilsynets merknader tas til etterretning. Det understrekes imidlertid at foretakets kapitalsituasjon ble vurdert og sett i sammenheng med den økonomiske situasjonen i konsernet som helhet, personlige lån fra morselskapets eiere og deres personlige kausjoner stilt overfor foretakets bank. Revisjonsselskapet vil uansett iverksette tiltak for å forbedre revisjonshandlinger, dokumentasjon og formell rapportering i slike tilfeller.
4. Oppsummering
Selskapstilsynet har omfattet gjennomgang av utvalgte retningslinjer og rutiner i revisjonsvirksomheten, samt gjennomgang av utvalgte deler av revisjonsutførelsen på til sammen sju revisjonsoppdrag, herunder revisjonen av ett foretak av allmenn interesse.
Vedrørende gjennomgåtte retningslinjer og rutiner, oppsummeres Finanstilsynets merknader slik:
- Revisjonsselskapets retningslinjer og rutiner må gi tilstrekkelig anvisning på hvordan konsultasjoner skal gjennomføres og dokumenteres, og hvordan det sikres at konklusjoner fra konsultasjoner iverksettes og følges opp.
- Taushetserklæringer som innhentes fra selskapets partnere og ansatte må oppdateres slik at de ivaretar krav som stilles i revisorloven.
- Med henblikk på revisjonsselskapets ansvar for å utpeke oppdragsansvarlig revisor for enkeltoppdrag, må revisjonsselskapet gjennomføre kontroller for å sikre at tilknyttede ansvarlige revisorer oppfyller krav som stilles til dem etter revisorloven (herunder bl.a. etterutdanning, sikkerhetsstillelse og vederheftighet).
- Vesentlige svakheter i revisjonsutførelsen som avdekkes, både gjennom revisjonsselskapets egne og eksterne kvalitetskontroller, må følges opp konkret med dem de gjelder. Kvalitets-forbedringsplaner og -tiltak som gjennomføres som del av oppfølgingen, må dokumenteres.
- Påpekte svakheter i revisjonsselskapets rutiner for ivaretakelse av hvitvaskingslovens krav må utbedres.
Finanstilsynets observasjoner vedrørende revisjonsutførelsen, oppsummeres slik:
- Det er avdekket vesentlige svakheter i revisjonsutførelsen og oppdragsdokumentasjonen, særlig for revisjonsoppdraget som gjelder foretaket av allmenn interesse. Etter Finanstilsynets vurdering gir ikke revisjonsdokumentasjonen tilstrekkelig hensiktsmessig revisjonsbevis for bankens utlån. Finanstilsynet forutsetter at SLM og oppdragsansvarlig revisor gjør de nødvendige vurderinger og iverksetter konkrete tiltak for å sikre at revisorloven etterleves; herunder at nødvendige revisjonsbevis innhentes og dokumenteres slik at revisjonsberetningens konklusjoner understøttes.
- Ved akseptvurderinger må revisor vurdere forhold som er påpekt av tidligere revisor. I tilfeller hvor det foreligger forhold som potensielt kan medføre krav om fratreden etter revisorloven § 7-1, må det utvises særlig aktsomhet.
- Revisor må innhente revisjonsbevis for riktigheten av å legge forutsetningen om fortsatt drift til grunn for regnskapet. I tilfeller hvor det foreligger usikkerhet om foretakets evne til fortsatt drift, kreves det normalt revisjonshandlinger utover det som er vanlig i en situasjon uten slik usikkerhet. For et av oppdragene som ble vurdert, anses utførte revisjonshandlinger ikke tilstrekkelige.
- Brudd på aksjelovens krav til egenkapital og styrets handleplikt må rapporteres i nummererte brev og i revisjonsberetningen. Revisor hadde for ett av de kontrollerte oppdragene ikke gjort det.
- Styrets brudd på krav til handleplikt må normalt anses som vesentlig lovbrudd, hvilket tilsier at revisor må vurdere om forutsetningen om fortsatt drift kan legges til grunn, samt egen fratreden fra revisjonsoppdraget. Revisor hadde ikke inntatt klientens manglende oppfyllelse av handleplikten i sin fortsettelsesvurdering for revisjonen av årsregnskapet for 2014.
Finanstilsynet finner det særlig alvorlig at det ikke er dokumentert innhentet revisjonsbevis for regnskapsposten utlån ved revisjonen av banken. Etter selskapstilsynet som Finanstilsynet gjennomførte med SLM i 2012, ble det gitt merknader som gjelder likeartede forhold som tatt opp i dette brevet (ref. 12/9620). Disse gjaldt både selskapets retningslinjer, rutiner og revisjonsutførelsen.
I mottatt tilsvar fra revisjonsselskapet uttrykkes i hovedsak enighet til Finanstilsynets merknader. SLM skriver at revisjonsselskapets retningslinjer og rutiner er oppdatert. SLM fremlegger planer for tiltak som skal medføre kvalitetsforbedring på områder med avdekkede svakheter. Finanstilsynet legger til grunn at planene gjennomføres og at iverksatte tiltak planmessig følges opp. Finanstilsynet vil rutinemessig følge opp de forhold som er omtalt, ved senere tilsyn.
For Finanstilsynet
Tore Johan Berg
tilsynsrådgiver
Lars Erik Larsen
seniorrådgiver