Merknader etter selskapstilsyn Deloitte AS
Tilsynsrapporter og vedtak
Publisert: 22. januar 2016
Saksbehandler: Axel Emil Jønsson
Dir tlf: 22939736
Vår referanse: 15/6238
Dato: 18.12.2015
1. INNLEDNING
Finanstilsynet viser til stedlig tilsyn hos Deloitte AS i perioden 7. - 25. september 2015, Finanstilsynets foreløpige merknader 13. november 2015 samt revisjonsselskapets svar til disse 4. desember 2015. Tilsynet er gjennomført som et felles tilsyn med det amerikanske revisortilsynet (PCAOB) under ledelse av Finanstilsynet.
Det stedlige tilsynet med revisjonsselskapet inngår i tilsynsarbeidet rettet mot selskaper som reviderer foretak av allmenn interesse. Finanstilsynet skal blant annet utføre periodisk kvalitetskontroll med slike revisjonsselskaper minst hvert tredje år, jf. revisorloven § 5b-2 første ledd, annet punktum.
Formålet med tilsynet er å kontrollere oppfyllelsen av lovkrav, herunder å identifisere og påpeke eventuelle svakheter knyttet til revisjonsselskapenes gjennomføring av revisjonsoppdrag. Selskapets etablerte retningslinjer og rutiner er sentrale for å sikre overholdelse av revisorlovgivningen, herunder god revisjonsskikk.
Finanstilsynet har gjennomgått utvalgte retningslinjer og rutiner revisjonsselskapet har etablert for å sikre overholdelse av revisorlovgivningen, herunder god revisjonsskikk jf. revisorloven § 5b-2. Utvalgte deler på følgende områder er gjennomgått:
• Uavhengighet
• Taushetsplikt
• Ressursanvendelse
• Revisjonshonorar
• Revisjonsutførelsen
• Systemer for intern kvalitetskontroll, herunder oppfølging av resultatet av kvalitetskontrollen
• Etterlevelse av hvitvaskingslovgivningen
Ved gjennomgang av revisjonsselskapets retningslinjer og rutiner har 28 oppdrag blitt kontrollert på ett eller flere av de utvalgte områdene. To av disse oppdragene ble også valgt ut for nærmere gjennomgang av selve revisjonsutførelsen.
Både Finanstilsynet og PCAOB foretar gjennomgang av selskapets retningslinjer og rutiner. PCAOB velger ut hvilke oppdrag de velger å kontrollere ut fra amerikansk lovgivning. I den grad PCAOB avdekker forhold som også er av betydning for etterlevelsen av norsk lovgivning, vil dette bli vurdert av Finanstilsynet. PCAOB utarbeider en egen rapport etter tilsynet.
2. SELSKAPETS ORGANISERING, RETNINGSLINJER OG RUTINER
I henhold til revisorloven § 5b-1 skal revisjonsselskap etablere forsvarlige systemer for intern kvalitetskontroll. Finanstilsynet legger til grunn at kvalitetskontrollsystemer i samsvar med ISQC 1 normalt vil tilfredsstille dette lovkravet. Kvalitetskontrollsystemet skal bidra til å sikre oppfyllelsen av lovkrav.
De svakheter og mangler som Finanstilsynet avdekket i revisjonsselskapets retningslinjer og rutiner eller i etterlevelsen av disse, er følgende:
2.1 Uavhengighet
Forhåndsgodkjenning av tilleggstjenester
Revisor kan ikke utføre rådgivningstjenester eller andre tjenester til en revisjonsklient dersom arten og omfanget av tjenestene er egnet til å påvirke eller reise tvil om revisors uavhengighet og objektivitet, jf. revisorloven § 4-5. Før revisor påtar seg oppdrag om å yte rådgivnings- eller andre tilleggstjenester, skal det foretas en uavhengighetsvurdering som skal dokumenteres skriftlig. Revisjonsselskapet må ha retningslinjer og rutiner som bidrar til å sikre at det ikke utføres rådgivningstjenester som er i strid med revisorloven og revisorforskriften.
Det følger av revisjonsselskapets retningslinjer at det for tjenesteleveranser til revisjonsklienter skal innhentes godkjenning fra oppdragsansvarlig revisor i forkant av tjenesteleveransen. For alle foretak av allmenn interesse inklusive datterselskaper benytter revisjonsselskapet Deloitte Entity Search and Compliance System Services (DESC Services) for å søke om godkjenning av tjenesteleveransen og til å dokumentere oppdragsansvarlig revisors forhåndsgodkjenning av tilleggstjenestene. Godkjenning av tilleggstjenester til andre revisjonsklienter, skjer gjennom direkte kontakt med oppdragsansvarlig revisor. Under tilsynet opplyste Director of Independence at forhåndsgodkjenning av tilleggstjenester som leveres av revisjonsselskapet i Norge, ofte foregår uformelt. I disse tilfellene er det opp til oppdragsansvarlig revisor å vurdere om og hvordan uavhengighetsvurderingen skal dokumenteres.
Finanstilsynet har gjennomgått dokumentasjonen knyttet til ytelse av rådgivnings- eller andre tjenester for fire revisjonsoppdrag hvorav to av oppdragene gjaldt foretak av allmenn interesse. På tre av disse oppdragene var det ikke dokumentert at oppdragsansvarlig revisor hadde forhåndsgodkjent tilleggstjenestene. Dette er et brudd på revisorforskriften § 4-6 annet ledd.
Revisjonsselskapet har i sitt tilsvar til foreløpige merknader bemerket at det ikke er levert tjenester i strid med revisorloven og revisorforskriften. Finanstilsynet er innforstått med at kontrollen ikke avdekket lovbrudd. Finanstilsynet mener at svakheter i revisjonsselskapets retningslinjer og rutiner for forhåndsgodkjenning og dokumentasjon av denne innebærer en risiko for at ulovlige tjenester kan bli levert eller at omfanget av lovlige tjenester blir så stort at det kan reises spørsmål ved revisors uavhengighet.
Det er Finanstilsynets oppfatning at revisjonsselskapet ikke hadde etablert tilstrekkelige og hensiktsmessige rutiner som bidrar til å sikre etterlevelse av revisorforskriften § 4-6. Revisjonsselskapet har informert om at dokumentasjonskravet i ettertid er presisert i retningslinjene og at nødvendig opplæring av bruk av systemene vil bli gitt for å sikre etterlevelsen av retningslinjene.
Gjeld til revisjonsklient
Revisjonsselskapet må etablere forsvarlige systemer for intern kvalitetskontroll som bidrar til å sikre at revisor, ledende ansatte eller medlemmer/varamedlemmer i revisjonsselskapets styrende organer ikke har gjeld hos den revisjonspliktige, jf. revisorloven § 5b-1 jf. revisorloven § 4-2 første ledd jf. § 4-1 annet ledd nr. 3.
For å kontrollere etterlevelse av regelverket innhenter revisjonsselskapet årlige bekreftelser fra alle ansatte i revisjonsselskapet og samarbeidende selskaper. Overholdelse av revisjonsselskapets interne uavhengighetsrutiner (Independence Compliance Testing) testes årlig.
I den siste kontrollen som ble gjennomført høsten 2014, ble det avdekket at fire partnere, hvorav to oppdragsansvarlige revisorer, hadde låne- eller kredittavtale med revisjonsklienter uten at dette var opplyst i uavhengighetserklæringen. Verken lånene eller kredittene var fra selskaper de selv reviderte. Kundeforholdene ble avsluttet. Finanstilsynet har merket seg at det ikke fikk noen konsekvenser for de aktuelle personene at de ikke hadde gitt korrekte opplysninger i uavhengighetserklæringen.
Det er uheldig at revisjonsselskapet kommer i en situasjon der det foreligger brudd på revisorlovens uavhengighetsregler. Revisjonsselskapet må vurdere om det er behov for ytterligere tiltak for å sikre at ingen oppdragsansvarlige eller andre ledende ansatte har gjeld hos revisjonsklienter.
2.2 Oppdragskontroll
Revisorloven § 5b-1, jf. ISQC 1 punkt 35, 36, 37 og 40 krever at revisjonsselskapet etablerer et forsvarlig system for intern kvalitetskontroll. Dette innebærer blant annet at det må foreligge retningslinjer og rutiner for oppdragskontroll, herunder kriterier for utpeking av en kvalifisert oppdragskontrollør og kriterier for hvilke områder av revisjonen oppdragskontrollen skal omfatte.
I følge revisjonsselskapets retningslinjer skal det som utgangspunkt gjennomføres oppdragskontroll på alle revisjonsoppdrag. Retningslinjene angir at det kan gjøres unntak for enkelte foretak, men at disse unntakene ikke kan benyttes blant annet for foretak av allmenn interesse. Finanstilsynet deler oppfatningen om at kravet om å utpeke oppdragskontrollør alltid gjelder for alle foretak av allmenn interesse, ikke bare børsnoterte enheter som er angitt i ISQC 1 punkt 35 og 38.
På ett oppdrag avdekket Finanstilsynet at oppdragskontrolløren også var oppdragsansvarlig revisor for flere mindre datterselskaper i det konsernet han var oppdragskontrollør for. At oppdragskontrollør aktivt deltar i revisjonsutførelsen for flere datterselskaper innebærer en risiko for at vedkommende ikke har den nødvendige objektivitet som kreves. Finanstilsynets mener derfor at oppdragskontrolløren for revisjonen av et konsern ikke selv kan inngå i konsernrevisjonsteamet eller øvrige team som har befatning med revisjonen av konsernet eller i selskaper som inngår i konsernet. Finansstilsynet ber revisjonsselskapet påse at rutinen sikrer at oppdragskontrollørens objektivitet ivaretas, jf. ISQC1 punkt 40 og A49.
Se også kommentar til rutinen for oppdragskontroll under punkt 3.
2.3 Kundekontroll ved aksept av nye revisjonsoppdrag
Det følger av hvitvaskingsloven §§ 5 og 6 at rapporteringspliktige skal gjennomføre kundekontroll ved etablering av kundeforhold. Omfanget av kontrollen avhenger av en risikovurdering ut fra type kunde, kundeforhold, produkt eller transaksjon. Rapporteringspliktige skal kunne påvise at omfanget av utførte tiltak er tilpasset den aktuelle risiko.
Det følger av revisjonsselskapets kontroll- og kommunikasjonsrutiner at det skal foretas kundekontroll og løpende oppfølging i henhold til relevante bestemmelser i hvitvaskingsloven. Finanstilsynet ba om å få fremlagt dokumentasjon som viser gjennomført legitimasjonskontroll og risikovurdering etter hvitvaskingsloven for fem nye revisjonsoppdrag, samtlige var juridiske personer.
Ett av disse oppdragene var autorisert regnskapsførerselskap der tidligere revisor hadde valgt å fratre på grunn av tapt aksjekapital og manglende retting av lovbrudd. Tapt aksjekapital innebar at selskapet var i brudd med vilkårene i regnskapsførerloven § 6. Revisjonsselskapet hadde innhentet uttalelse fra forrige revisor før oppdraget ble akseptert, jf. revisorloven § 7-2 første ledd. Tidligere revisor henviste i sin uttalelse til nummererte brev som var sendt foretaket der begrunnelsen for fratredelsen var opplyst. Revisjonsselskapets var derfor kjent med de forhold som medførte at tidligere revisor fratrådte, herunder forhold som vil kunne innebære en forhøyet risiko for hvitvasking som følge av manglende dagsoppgjør og dokumentasjon av salg. I forbindelse med aksepten hadde regnskapsførerselskapet gitt uttrykk for at det skulle iverksettes tiltak for å rette på forholdet. Revisjonsselskapet påtok seg oppdraget uten at det ble gitt noen konkret frist for retting av de forhold tidligere revisor har påpekt. Det er ikke dokumentert at revisjonsselskapet fulgte opp at tiltakene ble gjennomført.
Etter Finanstilsynets syn skulle revisjonsselskapet, på bakgrunn av de forhold som var fremkommet i forbindelse med aksepten av oppdraget, gjennomført forsterkede kontrolltiltak etter hvitvaskingsloven § 15 første ledd. Finanstilsynet ber revisjonsselskapet gjennomgå retningslinjene og rutinene og vurdere nødvendige tiltak.
2.4 Åpenhetsrapport
Alle som reviderer foretak av allmenn interesse skal årlig avgi en åpenhetsrapport som blant annet skal inneholde opplysninger om godtgjørelse til eierne, jf. revisorloven § 5a-2 nr. 9.
Revisjonsselskapet omtaler godtgjørelse til eierne i sin åpenhetsrapport, men Finanstilsynet mener at det må presiseres nærmere hvilke typer godtgjørelse benyttes. I forarbeidene til den aktuelle bestemmelsen fremgår det at det er godtgjørelser av den type som er nevnt i regnskapsloven §§ 7-31 og 7-31b som det skal opplyses om i åpenhetsrapporten, f. eks. ordinær lønn, bonus og aksjebaserte godtgjørelser osv. Dette har også kommet til uttrykk i Finanstilsynets rapport av 2011 om revisjonsselskapenes åpenhetsrapporter.
3. KONTROLL AV REVISJONSOPPDRAG
Som ledd i det stedlige tilsynet har Finanstilsynet kontrollert revisjonsutførelsen i to oppdrag. Gjennomgangen dekket risikovurdering og planlegging, gjennomføring og dokumentasjon av revisjonshandlinger, samt revisors konklusjon og rapportering.
Finanstilsynet har følgende merknader:
Oppdragskontroll
Finanstilsynet mener at det må fremgå av oppdragsdokumentasjonen hva oppdragskontrolløren har vurdert og hvilken konklusjon oppdragskontrolløren har kommet frem til. I ett av de to oppdragene Finanstilsynet kontrollerte fremgikk ikke dette av oppdragsdokumentasjonen.
Revisjonsselskapet må etablere rutiner som klart angir hva oppdragskontrollen skal omfatte og at det fremgår av dokumentasjonen hvilke vurderinger som er gjort. Et skjema hvor det krysses av for utførte handlinger uten at vurderingen fremgår, er ikke tilstrekkelig.
Rutinen må også sikre oppdragskontrollørens objektivitet. Se for øvrig punkt 2.3 ovenfor.
Nummererte brev
Når revisor i sitt arbeid blir oppmerksom på eller avdekker svakheter i virksomhetens interne kontroll og forhold som kan medføre ansvar for styre og ledelsen, skal dette påpekes skriftlig til den revisjonspliktiges ledelse i nummerert brev, jf. revisorloven § 5-2 fjerde ledd.
For ett av de kontrollerte oppdragene ble det avdekket svakheter i revisjonsklientens interne kontroll. Disse svakhetene medførte utilstrekkelig sikkerhet for en pålitelig prosessering av finansiell informasjon. Også når det gjaldt øvrige kontroller av betydning for foretakets finansielle rapportering, avdekket revisor mangelfull formalisering i foretaket.
På det samme revisjonsoppdraget avdekket revisor mangler knyttet til dokumentasjon og behandling av skattemessig fradragsførte kostnader. Revisor har dokumentert svakhetene i sine arbeidspapirer, men har ikke utvidet sitt utvalg for testing for å danne seg en nærmere oppfatning av omfanget av svakhetene.
Revisor har deltatt på styremøte hos den revisjonspliktige hvor de forannevnte forholdene er tatt opp, men revisor har ikke sendt nummerert brev. Muntlig tilbakemelding eller en powerpoint-presentasjon kan ikke erstatte kravet om nummererte brev.
Finanstilsynet fant for øvrig ikke dokumentasjon som viser om revisor hadde satt en frist for foretaket til å rette opp i forholdene, og heller ikke hvordan revisor hadde tenkt å påse at mangler og svakheter ble korrigert. Dette er vurderinger som revisor normalt ville ha blitt gjort, dersom det hadde vært sendt nummerert brev.
Mangler i dokumentasjonen
For ett av oppdragene hadde revisor vurdert at det forelå særskilt risiko for regnskapsposten pensjoner. Revisor planla å teste foretakets kontroller i forhold til verifisering av informasjonsgrunnlag for foretakets netto pensjonsforpliktelser og pensjonskostnader. Det forelå ikke dokumentasjon som underbygger at nevnte kontroll var testet. I følge revisor er testen gjennomført men dokumentert i forbindelse med revisjonen av et annet oppdrag. Finanstilsynet har ikke kontrollerte dette. Uansett er en manglende henvisning til testen en dokumentasjonsfeil i det kontrollerte oppdraget, jf. revisorloven § 5-3 jf. ISA 230 og § 5-2 annet ledd, jf. ISA 330 punkt 15.
På det samme oppdraget hadde revisor planlagt å innhente saldoforespørsler pr 31.12. for kundefordringer. Dato for regnskapsavleggelsen ble fremskyndet. Revisor kom da til at det ikke ville være praktisk mulig å gjennomføre saldoforespørsler som planlagt. Antallet forespørsler ble derfor redusert. Etter en samlet vurdering er Finanstilsynets oppfatning at det arbeidet som er utført, gir tilfredsstillende sikkerhet for konklusjonen, men det er en svakhet at revisors vurdering av dette ikke fremkommer av dokumentasjonen.
4. OPPSUMMERING
Tilsynet har avdekket enkelte svakheter i deler av de retningslinjene og rutinene som ble valgt ut for nærmere vurdering. Finanstilsynet ber revisjonsselskapet gjennomgå Finanstilsynets merknader og foreta nødvendig endringer.
I gjennomgangen av enkeltoppdrag er det avdekket enkelte mangler i revisjonsutførelsen og i dokumentasjonen. Finanstilsynet ber revisjonsselskapet vurdere om det kan iverksettes tiltak som kan bidra til å unngå at disse videreføres.
For Finanstilsynet
Kjersti Elvestad
seksjonssjef
Axel Emil Jønsson
seniorrådgiver
Abonner på nyheter
Registrer deg for å få nyhetsvarsling når Finanstilsynet publiserer saker du er interessert i.