Likelydende brev til et utvalg av revisorer som reviderer foretak av allmenn interesse
Brev
Publisert: 2. februar 2017
Sist endret: 9. februar 2017
Brev datert 24. januar 2017
Finanstilsynet har særlig oppmerksomhet rettet mot revisjonsselskaper som reviderer foretak av allmenn interesse. Hvilke foretak som er av allmenn interesse følger av revisorloven. [1] Ved revisjon av slike foretak gjelder det særlige plikter for revisor og revisjonsselskaper.
Foretak av allmenn interesse er underlagt tilsyn av Finanstilsynet. For andre foretak enn banker og forsikringsselskaper gjelder tilsynet bare foretakenes finansielle rapportering, ikke foretaket som sådant. Begrunnelsen for å underlegge enkelte virksomheter særlig regulering og også et offentlig tilsyn, er den betydningen disse foretakene har for finansmarkedet. Denne begrunnelsen innebærer at også revisorene må ha en særlig oppmerksomhet rettet mot slike revisjonsoppdrag. At revisjonen av foretak av allmenn interesse skjer i samsvar med revisorlovgivningen, herunder god revisjonsskikk, er helt sentralt for revisors rolle som allmennhetens tillitsperson.[2]
I desember 2016 var det 516 foretak av allmenn interesse i Norge. Disse er fordelt på 13 revisjonsselskap. De fem store revisjonsselskapene [3] reviderer 491 av foretakene.
Finanstilsynet har gjennomført kontorbasert tilsyn med åtte av revisjonsselskapene som reviderer foretak av allmenn interesse. De fem store revisjonsselskapene er ikke omfattet av dette tilsynet. De utvalgte revisjonsselskapene har mellom fire og 150 ansatte og er lokalisert stort sett over hele landet. De reviderer tilsammen 24 foretak av allmenn interesse. Fem av revisjonsselskapene har bare ett eller to foretak av allmenn interesse. De tre andre har henholdsvis fire, fem og åtte foretak av allmenn interesse. Av disse åtte selskapene er tre også regnskapsførerforetak og underlagt Forskriften om Risikostyring og Internkontroll. Dette kontorbaserte tilsynet omfatter kun etterlevelse av ISQC1.
Tilsynet ble gjennomført ved at de åtte utvalgte revisjonsselskapene besvarte et spørreskjema rettet mot oppfyllelsen av kravene i revisorloven, særlig kravet i revisorloven om intern kvalitetskontroll, jf. revisorloven § 5b-1. Etterlevelsen av dette lovkravet bidrar til å sikre kvalitet i revisjonsutførelsen i alle revisjonsoppdrag selskapet utfører. Finanstilsynet legger til grunn at etterlevelsen av kravene i den internasjonale standarden for kvalitetskontroll (ISQC 1) normalt innebærer at også lovkravet er oppfylt.
Tilsynet avsluttes med dette brevet, som er likelydende til alle de åtte revisjonsselskapene. I brevet foretas også en sammenligning av resultatet som ble tatt opp i tilsvarende brev i 2015.
1 Revisorlovens særkrav for revisjon av foretak av allmenn interesse – kapittel 5a
2.1 Åpenhetsrapport - revisorloven § 5a-2
Det kontorbaserte tilsynet foretatt i 2015 avdekket at kun seks av de åtte kontrollerte revisjonsselskapene hadde lagt ut åpenhetsrapport på sine nettsider. I 2016 hadde samtlige gjort dette.
Gjennomgangen av åpenhetsrapportene til revisjonsselskapene som var omfattet av årets tilsyn, viste at to av selskapene ikke har gitt en tilstrekkelig konkret beskrivelse av hvilke handlinger selskapene gjennomfører som del av sitt interne kvalitetskontrollsystem. Dette er en forbedring sammenlignet med 2015, men de to selskapene nevnt over hadde tilsvarende mangel i tilsynet i 2015 også. En åpenhetsrapport mangler erklæring fra styret om hvordan kvalitetssystemene har fungert og at retningslinjer har blitt overholdt, jf. revisorloven 5a-2 første ledd, nr. 4. Dette selskapet hadde tilsvarende mangel i 2015.
2.2 Rotasjon - revisorloven 5a-4
Fem av revisjonsselskapene hadde bestemmelser om rotasjon i sine retningslinjer, slik som året før. Denne gang hadde fire av disse vist til revisorloven § 5a-4, og to av de fem hadde klare kriterier for hvordan rotasjon skal gjennomføres. De tre øvrige selskapene hadde ingen bestemmelse om rotasjon. Samlet sett er dette en forbedring sammenlignet med året før, men dette er et forhold alle må få på plass..
2 Interne retningslinjer og rutiner, herunder overvåking
3.1 Uavhengighet
ISQC1 krever årlig skriftlig bekreftelse av uavhengighet fra samtlige ansatte. Alle 8 selskapene rapporterer at de har en rutine for dette. I 2015 fremgikk det ikke eksplisitt for to av selskapene at uavhengigheten årlig skal bekreftes skriftlig.
3.2 Overvåking av selskapenes retningslinjer og rutiner for overvåkingskontroll
Sju av selskapene har i sine retningslinjer og rutiner for intern overvåkingskontroll dokumentert at disse skal periodisk gjennomgås for å vurdere om det foreligger behov for å oppdatere dem. Det siste av de åtte selskapene har retningslinjer utelukkende for overvåking av oppdrag. Samtlige selskaper har angitt at retningslinjene og rutinene for overvåkingskontroll ble gjennomgått i 2016, inkludert selskapet som ikke hadde skriftlige retningslinjer for dette. Tre av selskapene har ikke dokumentert denne gjennomgangen, men ett av de tre selskapene har beskrevet gjennomgangen i detalj til Finanstilsynet.
3.3 Overvåkingskontroll av fullførte revisjonsoppdrag
Alle selskapene har angitt tidsramme for syklisk kontroll av fullførte revisjonsoppdrag. Fem av selskapene har opplyst at kontrollen følger opplegget for oppdragskontroll som DnR benytter. To av selskapene benytter et kontrollprogram utarbeidet i samarbeid med selskapenes internasjonale nettverk. Ett selskap hadde utarbeidet sitt eget kontrollprogram, bygget opp etter strukturen i Descartes. For Finanstilsynet fremsto dette som en kontroll av at alle punkter i Descartes var utfylt mer enn en reell vurdering av kvaliteten på dokumentasjonen, herunder at det var innhentet tilstrekkelig og hensiktsmessig revisjonsbevis. Finanstilsynet uttrykket samme syn i 2015.
Sju selskap har i år dokumentert at gjennomført overvåkingskontroll av oppdrag er rapportert til styret eller partnermøtet, mens det siste selskapet tar hele gjennomgangen i plenum med alle ansatte. Dette er en klar forbedring sammenlignet med året før, da kun 3 av 8 selskaper rapporterte resultatet til styret eller partnermøtet.
Fem av selskapene gjennomgår avdekkede svakheter i plenum, enten gjennom fellesmøter eller gjennom interne kurs med fokus på de avdekkede svakhetene. Alle selskapene har utpekt en partner som ansvarlig for overvåkingskontrollen. Kontrollen organiseres internt i selskapet, som regel ved at en oppdragsansvarlig revisor kontrollerer oppdrag utført av en annen oppdragsansvarlig revisor.
Når det gjelder kriterier for valg av revisjonsoppdrag for overvåkingskontroll, oppgir alle at det skal være et element av tilfeldighet i utvalget, gjerne basert på størrelse, risiko og representative bransjer. Det overlates til oppdragskontrolløren å velge ut oppdrag for kontroll.
3 Oppsummering og Finanstilsynets vurdering
I seksjon 4 i likelydende brev datert 6. januar 2016 har Finanstilsynet beskrevet generelle krav som revisjonsselskapene særlig må vurdere opp mot egne retningslinjer og praksis. Disse vil ikke bli gjentatt i dette brevet, men Finanstilsynet henviser til beskrivelsen i nevnte brevet. Brevet kan finnes ved å følge denne linken:
Det kontorbaserte tilsynet viser en klar forbedring sammenlignet med året før i revisjonsselskapenes dokumentasjon av rutiner for intern overvåkingskontroll og gjennomføring av kontrollen. Det foreligger imidlertid fortsatt rom for forbedring, spesielt hva gjelder dokumentasjon av selskapenes retningslinjer for rotasjon og overvåking av rutiner for intern overvåkingskontroll.
De enkelte revisjonsselskapene vil bli fulgt opp med stedlig tilsyn fra Finanstilsynet i samsvar med revisorloven § 5b-2, som fastsetter at revisjonsselskaper som reviderer foretak av allmenn interesse skal underlegges kvalitetskontroll minst hvert tredje år. Revisjonsselskaper som reviderer foretak av allmenn interesse blir prioritert også i Finanstilsynets øvrige tilsynsarbeid på revisjonsområdet.
For Finanstilsynet
Anders Grini
tilsynsrådgiver
Damir Bratic
seniorrådgiver
[1] Etter revisorloven § 5-1 første ledd er foretak av allmenn interesse:
- foretak som har utstedt omsettelige verdipapirer som er opptatt til handel på et regulert
marked i EØS-land,
- bank eller annen kredittinstitusjon,
- forsikringsselskap.
[2] Jf. revisorloven § 1-2.
[3] Dette er EY, PwC, Deloitte, KPMG og BDO.