Merknader etter selskapstilsyn Grant Thornton Revisjon AS
Tilsynsrapporter og vedtak
Publisert: 11. mars 2016
Saksbehandler: Espen Jacobsen
Dir. tlf.: 22 93 98 25
Vår referanse: 15/8400
Dato: 03.03.2016
1. INNLEDNING
Finanstilsynet viser til stedlig tilsyn hos Grant Thornton Revisjon AS i perioden 16. - 20. november 2015, Finanstilsynets foreløpige merknader datert 22.12.2015 og revisjonsselskapets tilsvar datert 5. februar 2016.
Det stedlige tilsynet med revisjonsselskapet inngår i tilsynsarbeidet med selskaper som reviderer foretak av allmenn interesse. Finanstilsynet skal blant annet utføre periodisk kvalitetskontroll med slike revisjonsselskaper minst hvert tredje år, jf. revisorloven § 5b-2 første ledd, annet punktum.
Formålet med tilsynet er å kontrollere oppfyllelsen av lovkrav, herunder å identifisere og påpeke eventuelle svakheter knyttet til revisjonsselskapenes gjennomføring av revisjonsoppdrag.
Finanstilsynet har gjennomgått utvalgte retningslinjer og rutiner revisjonsselskapet har etablert for å sikre overholdelse av revisorlovgivningen, herunder god revisjonsskikk jf. revisorloven § 5b-2. Utvalgte deler på følgende områder er gjennomgått:
- Uavhengighet
- Taushetsplikt
- Ressursanvendelse
- Revisjonshonorar
- Revisjonsutførelsen
- Systemer for intern kvalitetskontroll, herunder oppfølging av resultatet av kvalitetskontrollen
- Etterlevelse av hvitvaskingslovgivningen
Ved gjennomgang av revisjonsselskapets retningslinjer og rutiner har ti oppdrag blitt kontrollert på ett eller flere av de utvalgte områdene.
I tre av de utvalgte oppdragene, herunder ett foretak av allmenn interesse, ble det gjort en nærmere gjennomgang revisjonsutførelsen på sentrale områder.
2. SELSKAPETS ORGANISERING, RETNINGSLINJER OG RUTINER
I henhold til revisorloven § 5b-1 skal revisjonsselskap etablere forsvarlige systemer for intern kvalitetskontroll. Finanstilsynet legger til grunn at kvalitetskontrollsystemer i samsvar med ISQC 1 normalt vil tilfredsstille dette lovkravet. Kvalitetskontrollsystemet skal bidra til å sikre oppfyllelsen av lovkrav.
De svakheter og mangler som Finanstilsynet avdekket i revisjonsselskapets retningslinjer og rutiner eller i etterlevelsen av disse, er følgende:
2.1 Overtakelse av revisjonsportefølje
Revisjonsselskapet overtok med virkning fra og med 1. januar 2014 en revisjonsportefølje fra et annet revisjonsselskap. Det foreligger ikke dokumentasjon for at revisjonsselskapet har gjennomført en tilstrekkelig akseptvurdering av hvert enkelt revisjonsoppdrag som ble overtatt, herunder en uavhengighetsvurdering. Ut fra dokumentasjonen synes det som om en konkret vurdering av om revisjonsselskapet skulle påta seg revisjonsoppdragene først har skjedd høsten 2014, som ledd i fortsettelsesvurderingene. Dette understøttes av de stikkprøvene som ble gjort knyttet til etterlevelsen av retningslinjer og rutiner for aksept- og fortsettelsesvurderingene, jf. punkt 2.5. Det "konfliktsøket" som ble gjennomført for å se om overtakelsen av enkelte kunder kunne reise spørsmål i forhold revisjonsselskapets øvrige kunder eller ansatte, er ikke tilstrekkelig.
I Finanstilsynets tematilsynsrapport fra 2010 om revisors aksept- og fortsettelsesvurderinger, i punkt 6, presiseres følgende: "Ved overtakelse av en hel eller en del av en portefølje må de krav som stilles til akseptvurderingen og til kontakten med tidligere revisor oppfylles for hver enkelt kunde". Finanstilsynets legger til grunn at dette ikke har skjedd og at det derfor var svakheter knyttet til blant annet uavhengighetsvurderingen i forbindelse med porteføljeoverføringen til revisjonsselskapet.
2.2 Etterutdanning
I tilfeller der et revisjonsselskap er valgt revisor skal selskapet utpeke en oppdragsansvarlig revisor, jf. revisorloven § 2-2 annet ledd. Det kan bare utpekes ansvarlige revisorer, dvs. personer som tilfredsstiller kravene i revisorloven § 3-7 første ledd, herunder det lovfastsatte minstekravet til etterutdanning.
Finanstilsynets kontroll av gjennomført etterutdanning for flere av de oppdragsansvarlige revisorene viste at en av disse manglet 5,5 time i emnet etikk for perioden 2011 til 2013 og 5 timer etikk for perioden 2012 til 2014. Revisjonsselskapet har opplyst at den oppdragsansvarlige revisoren nå har gjennomført nødvendig etterutdanning. Finanstilsynet forutsetter at revisjonsselskapet styrker oppfølgningen og kontrollen av at etterutdanningskravet er oppfylt for de som pekes ut som oppdragsansvarlige revisorer.
2.3 Kundekontroll etter hvitvaskingslovgivningen
Det følger av hvitvaskingsloven §§ 5 og 6 at rapporteringspliktige skal gjennomføre kundekontroll ved etablering av kundeforhold. Omfanget av kontrollen avhenger av en risikovurdering ut fra type kunde, kundeforhold, produkt eller transaksjon. Rapporteringspliktige skal kunne påvise at omfanget av utførte tiltak er tilpasset den aktuelle risiko.
Finanstilsynet kontrollerte revisjonsselskapets rutine for opptak av nye klienter. Kontrollen avdekket enkelte mangler og svakheter i revisjonsselskapets rutiner for legitimasjonskontroll i henhold til hvitvaskingsloven § 23 første ledd, jf. hvitvaskingsloven § 5 flg.
Finanstilsynet har merket seg at revisjonsselskapet opplyser at sjekklistene er endret slik at de klarere angir hvilke handlinger og vurderinger som kreves etter hvitvaskingsregelverket.
2.4 Åpenhetsrapport
Revisjonsselskap som reviderer foretak av allmenn interesse skal årlig avgi en åpenhetsrapport, jf. revisorloven § 5a-2 første ledd. I revisjonsselskapets åpenhetsrapport var ikke størrelsen på hver enkelt eierandel angitt i samsvar med lovkravet.
Finanstilsynet har merket seg at revisjonsselskapet vil inkludere størrelsen av eierandelene i omtalen av eierforholdene i fremtidige åpenhetsrapporter.
2.5 Kontroll av fortsettelsesvurderinger
Finanstilsynet har vurdert dokumentasjon knyttet til fortsettelsesvurderinger for fire revisjonsoppdrag. Ingen av disse revisjonsklientene var foretak av allmenn interesse. Oppdragene ble valgt ut fordi det var gjentatte presiseringer og/ eller forbehold i revisjonsberetningene over flere år, men det var like vel konkludert med at revisjonsoppdraget skulle videreføres.
For to av revisjonsoppdragene var fortsettelsesvurderingen for henholdsvis 2013 og 2014, dokumentert utført først i forbindelse med avslutningen av revisjonen. Dette er for sent. Revisjonsselskapet viser til at dette er i strid med de interne retningslinjene. Det legges derfor til grunn at revisjonsselskapet deler Finanstilsynets oppfatning av at vurderingen er gjort for sent. Finanstilsynet forutsetter at revisjonsselskapet vurderer behovet for å styrke kontrollen med etterlevelsen av interne retningslinjer og rutiner på dette området.
For to av revisjonsoppdragene var ikke konklusjonen om å fortsette oppdraget underbygget. Revisor hadde ikke i tilstrekkelig grad avklart at styret hadde oppfylt sin handleplikt i situasjoner der egenkapitalen i foretaket i flere år hadde vært tapt, jf. aksjeloven §§ 3-4 og 3-5. For det ene foretaket viser årsregnskapene for årene 2009 til 2014 underskudd. Revisor har presisert i revisjonsberetningene at egenkapitalen er tapt. For det andre foretaket hadde revisor flere år tatt forbehold i revisjonsberetningen knyttet til bokført forpliktelse, presisert vesentlig usikkerhet om fortsatt drift, avgitt negativ konklusjon vedrørende overholdelse av bokføringsreglene, presisert at årsregnskapet er fastsatt for sent og at selskapet ikke har behandlet skattetrekksmidler i samsvar med skattebetalingsloven. Finanstilsynet mener revisor hadde plikt til å varsle fratreden i begge disse oppdragene, jf. revisorloven § 7-1 første ledd. Revisjonsselskapet har gitt uttrykk for at rutinene på dette området vil bli forbedret. Finanstilsynet forutsetter at det også i denne forbindelse vurderes om det er behov for å styrke kontrollen med etterlevelsen av interne retningslinjer og rutiner på dette området.
3. KONTROLL AV REVISJONSOPPDRAG
De tre oppdragene som Finanstilsynet valgte ut for nærmere kontroll av revisjonsutførelsen var revisjonen av bank, advokatvirksomhet og eiendomsmegling. Finanstilsynets gjennomgang dekker risikovurdering og planlegging, gjennomføring og dokumentasjon av revisjonshandlinger, samt revisors konklusjon og rapportering.
Under punkt 3.1 nedenfor angis merknader som er felles for flere av de kontrollerte oppdragene. Under punktene 3.2 til 3.3 angis merknader som er spesifikke for hvert enkelt oppdrag.
3.1 Gjennomgående funn
Virksomhetsforståelse
Bank er foretak av allmenn interesse, som innebærer at banken og revisjonsselskapet er underlagt særlig regulering. Også de to øvrige revisjonsklientene er underlagt særlovgivning. For å sikre at revisor er klar over dette og har en oppmerksomhet rettet mot etterlevelsen av slik særlovgivning som er av betydning for årsregnskapet, klient midler m.m. skal dette fremkomme av planleggingsdokumentasjonen. Planleggingsdokumentasjonen inneholdt ikke slik informasjon om aktuelt regelverk.
Revisjonsverktøyet angir at relevante lover og regler skal kartlegges i planleggingsfasen og opplyser at det er gjennomført opplæring knyttet til dette. Revisjonsselskapet opplyser videre at det vil påse at det blir dokumentert i samsvar med kravene i revisorloven og ISA 250 punkt 12 a.
Serviceorganisasjon
To av de kontrollerte oppdragene har utkontraktert regnskapsføringen. Revisor har da en plikt til å kontrollere at den som utfører regnskapsføringen er autorisert regnskapsførerselskap, jf. revisorloven § 5-2 annet ledd, jf. ISA 250 og ISA 402. Det er ikke gjort. Revisjonsselskapet har opplyst at det vil bli fulgt opp at dette gjøres. Finanstilsynet legger da til grunn at plikten vil bli klargjort i selskapets retningslinjer og rutiner.
Bokføringsregelverket
I henhold til revisorloven § 5-6 fjerde ledd, nr. 3 skal det i revisjonsberetningen gis opplysninger om den revisjonspliktiges ledelse har oppfylt sin plikt til å sørge for ordentlig og oversiktlig registrering og dokumentasjon av regnskapsopplysninger. Slik positiv uttalelse er gitt i revisjonsberetningen for 2014 for alle de tre kontrollerte selskapene. For to av oppdragene forelå det ikke dokumentasjon for revisjonshandlinger som ga tilstrekkelig revisjonsbevis til å underbygge den positive konklusjonen i revisjonsberetningen. Det vises til revisorloven § 5-2 annet ledd, jf. ISA 250 punkt 13 og 14. Revisjonsselskapet har opplyst at revisjonsprogrammet er supplert når det gjelder revisjonen av etterlevelsen av bokføringsregelverket og dokumentasjonen da vil bli bedre.
3.2 Oppdrag A
Særattestasjoner
I henhold til likviditetsforskriften § 12 skal foretakets system for styring og kontroll av likviditetsrisiko jevnlig evalueres av en uavhengig kontrollfunksjon. Det følger av godtgjørelsesforskriften § 2 at banken minst en gang per år skal foreta en gjennomgang av praktiseringen av godtgjørelsesordningene. Rapporten skal gjennomgås av uavhengig kontrollfunksjon. Banker er underlagt et omfattende regelverk knyttet til styring og kontroll av risiko og kapitalbehov (ICAAP). Det kreves også en uavhengig uttalelse etter dette regelverket. Banken har ikke innhentet slike bekreftelser fra valgt revisor eller andre.
Revisor må i planleggingen av revisjonsoppdraget være oppmerksom på de krav som stilles til uavhengig kontrollfunksjon i banker. Dersom banken ikke innhenter lovpålagte bekreftelser, skal forholdet tas opp i nummerert brev til selskapets ledelse. Revisjonsselskapet har opplyst at det vil bli fulgt opp at dette gjøres fremover. Finanstilsynet legger da til grunn at plikten vil bli klargjort i selskapets retningslinjer og rutiner.
Årsregnskapets noteinformasjon
Det avlagte årsregnskapet oppfyller ikke fullt ut kravene til noteinformasjon for bankregnskap. Finanstilsynets summariske gjennomgang av årsregnskapets noter, viser at det mangler informasjon om bankens kapitaldekning og spesifikasjon av ansvarlig kapital, jf. årsregnskapsforskriften for banker § 8-21.
Revisor har vurdert den manglende noteinformasjon til ikke å være vesentlig for årsregnskapet da opplysningene er gitt i årsberetningen. Finanstilsynet er ikke enig i revisors vurdering, og viser til at årsregnskapet og årsberetningen er selvstendige dokumenter. Revisor må påse at foretaket har gitt noteinformasjon som følger av kravene i regnskapsloven. Når ikke noteinformasjonen er fullstendig og revisor ikke følger dette opp, foreligger det en svikt i revisjonsutførelsen. Det vises til revisorloven §§ 5-1 første ledd og 5-2 annet ledd, jf. ISA 330 punkt 24.
Uavhengighet
Oppdragsansvarlig revisor har hatt ansvaret for revisjonen av foretaket i 18 år. Revisor har ikke dokumentert en hensiktsmessig vurdering av egen uavhengighet som del av fortsettelsesvurderingen. Det vises til revisorloven § 4-1 første ledd, annet punktum.
Bestemmelsen i revisorloven § 5a-4 som tilsier pliktig rotasjon av oppdragsansvarlig revisor senest etter syv år underbygger at det skulle vært foretatt og dokumentert en vurdering av uavhengigheten. Nevnte lovbestemmelse trådte i kraft i 2009. Revisjonsselskapet har meddelt at det vil bli utpekt ny oppdragsansvarlig revisor i 2016.
Spesialistkompetanse
Det fremkommer av revisjonsdokumentasjonen hvem som inngår i revisjonsteamet, men det foreligger ikke en dokumentert vurdering av om revisjonsteamet har nødvendig IT-kompetanse. Det er ikke tilstrekkelig at en medarbeider er oppført som "IT-spesialist". Det må foreligge opplysninger om personens formelle bakgrunn og erfaring, og en vurdering av om vedkommende har tilstrekkelig kunnskap til å kunne bistå revisjonsteamet med nødvendig IT-kompetanse. Det vises til revisorloven § 5-2 annet ledd, jf. ISA 620 punkt 9. Revisjonsselskapet har opplyst at vurderingen vil bli dokumentert i forbindelse med revisjonen av 2015-regnskapet.
Revisjonsmessig angrepsvinkel og revisjonsbevis
Som følge av gjennomgående mangler ved arbeidsdelingen i foretaket, har revisor konkludert med at det ikke kan bygges på foretakets internkontroll i revisjonen. Foretaket forestår selv utvikling og drift av vesentlig programvare med betydning for initiering, registrering, prosessering og rapportering av økonomiske transaksjoner. Revisor har avdekket svakheter i foretakets generelle IT-kontroller vedrørende IT-sikkerhet, herunder tilgangskontroller, og endringshåndtering. Dette medfører etter Finanstilsynets syn, at revisor heller ikke kan legge til grunn at registrert regnskapsinformasjon har den nødvendige integritet. Revisor har også selv konkludert med at det ikke kan bygges på foretakets internkontroll, og har derfor lagt til grunn at revisjonsbevis i sin helhet må innhentes ved substanshandlinger for samtlige vesentlige regnskapsposter. Revisor har utført revisjonshandlinger rettet mot kartlegging, walk-through og til en viss grad testing av kontroller knyttet til foretakets IT-systemer, men de utførte handlingene har ikke gitt revisor grunnlag for å konkludere med at kontrollrisikoen er redusert. Ved innhenting av revisjonsbevis har revisor basert seg på informasjon i rapporter som foretakets IT-systemer har generert. Etter Finanstilsynets syn har revisor med dette indirekte bygget på at kontrollene i foretakets IT-system fungerer effektivt, uten å ha grunnlag for dette. Det foreligger dermed en risiko for at det ikke er innhentet tilstrekkelige revisjonsbevis gjennom de utførte revisjonshandlinger.
Finanstilsynet mener at revisor ikke har dokumentert at det foreligger tilstrekkelig og hensiktsmessig revisjonsbevis for vesentlige regnskapsposter, herunder spesielt utlån og inntekter. Det vises til revisorloven § 5-2 annet ledd, jf. ISA 315 punkt 12,13, 18 og 30 og ISA 330 punkt 8 og 9.
Nummerert brev
Finanstilsynet mener at de vesentlige svakhetene som revisor avdekket i foretakets internkontroll er av direkte betydning for regnskapsrapporteringen og risikoen for misligheter. Dette skulle derfor vært kommunisert i nummerert brev til ledelsen. Det vises til revisorloven § 5-2 fjerde ledd, jf. § 5-4 og ISA 265 og ISA 240. Dette gjelder uavhengig av om revisor har utført kompenserende kontroller som grunnlag for sine konklusjoner i revisjonsberetningen.
3.3 Oppdrag B
Revisjon av kundefordringer
Revisor har valgt å utføre substanshandlinger som angrepsvinkel for revisjonen. Kundefordringer er en vesentlig post i årsregnskapet. Kundefordringene er revidert ved en gjennomgang av en aldersfordelt saldoliste. Finanstilsynet mener at revisor må innhente revisjonsbevis for vesentlige balanseposter selv om risikoen er satt til normal. Finanstilsynet mener at gjennomgang av aldersfordelt saldoliste ikke gir revisjonsbevis, men kun en spesifikasjon av saldoen. Det vises til revisorloven § 5-2 annet ledd, jf. ISA 330 punkt 18 og 19 og ISA 500 punkt 6.
Revisjon av salgsinntekter
Inntekter er revidert ved utarbeidelse av en overordnet analyse for hver advokat med utgangspunkt i bokført salær. I analysen er det knyttet kommentarer til endringer fra tidligere år. For bruk av analyser som revisjonsbevis, gjelder det særskilte krav til utformingen. Det vises til revisorloven § 5-2 annet ledd, jf. ISA 520. Revisor må vurdere egnetheten av analysen, evaluere påliteligheten av data som ligger til grunn for analysen, utarbeide en forventning og hva som er akseptabelt avvik fra denne. Det forelå ingen slike beskrivelser og vurderinger i den dokumenterte analysen. Analysen tok utgangspunkt i bokførte tall. Revisjonshandlingen vil da som utgangspunkt dekke regnskapspåstanden gyldighet. Analysen viser reduksjon i inntekt. Revisor har innhentet og vurdert årsaken til nedgangen i omsetning. Basert på denne vurderingen mener revisor at det også er innhentet revisjonsbevis for regnskapspåstanden fullstendighet. Finanstilsynet finner nevnte revisjonsbevis som for svakt til å kunne legge til grunn at det er innhentet tilstrekkelig og hensiktsmessig revisjonsbevis for fullstendighet av inntektene.
Særskilte risikoer
Det følger av god revisjonsskikk at revisor må skaffe seg forståelse av foretakets internkontroll som er relevant for revisjonen, jf. revisorloven § 5-2 andre ledd, jf. ISA 315 punktene 12 og 13. Det er i revisjonsdokumentasjonen angitt to særskilte risikoer. For den ene av de særskilte risikoene, har ikke revisor opparbeidet seg en tilstrekkelig forståelse av de kontrollene i foretaket som er relevante for den aktuelle risikoen, jf. ISA 315 punkt 29. Etter Finanstilsynets syn er en forespørsel til ledelsen ikke tilstrekkelig.
4. OPPSUMMERING
Tilsynet har avdekket svakheter i deler av de retningslinjene og rutinene som ble valgt ut for nærmere vurdering. Finanstilsynet har merket seg at flere av svakhetene gjelder krav som følger av revisorloven og som ikke i tilstrekkelig grad er innebygget i det internasjonale revisjonsverktøyet som revisjonsselskapet benytter.
I gjennomgangen av enkeltoppdrag er det avdekket vesentlige mangler i revisjonsutførelsen og i dokumentasjonen. Dette gjelder spesielt der Finanstilsynet har konkludert med at revisor ikke har dokumentert å ha innhentet tilstrekkelige og hensiktsmessige revisjonsbevis som underbygger de avgitte revisjonsberetninger. Det er også alvorlig at Finanstilsynet har avdekket svakheter som er gjennomgående. I tillegg er det avdekket svakheter i to fortsettelsesvurderinger som har medført brudd på revisorlovens bestemmelser om fratreden.
Finanstilsynet legger til grunn at revisjonsselskapet gjennom egnen intern kvalitetskontroll følger opp at tiltakene medfører økt revisjonskvalitet, og at tilstrekkelig og hensiktsmessig revisjonsbevis innhentes. Selskapet har redegjort for iverksatte tiltak som skal bidra til å unngå at mangler videreføres.
For Finanstilsynet
Kjersti Elvestad
seksjonssjef
Espen Jacobsen
spesialrådgiver
Abonner på nyheter
Registrer deg for å få nyhetsvarsling når Finanstilsynet publiserer saker du er interessert i.