Tematilsyn - økonomisk kriminalitet og misligheter

Tilsynsrapporter og vedtak

Finanstilsynet har gjennomført tilsyn med utvalgte revisjonsforetak. Formålet har vært å vurdere hvordan revisjonsforetakene etterlever pliktene knyttet til identifisering og håndtering av risiko for økonomisk kriminalitet og misligheter.

1. Bakgrunn og formål

Finanstilsynet har gjennomført tilsyn med et utvalg revisjonsforetak. Formålet har vært å vurdere hvordan foretakene arbeider med å identifisere og håndtere av risiko for økonomisk kriminalitet og misligheter.

Hovedfunnene og vurdering av forbedringsbehov er omtalt i punkt 4. Resultater fra øvrige områder er samlet i vedlegg A.

Forebygging og avdekking av økonomisk kriminalitet og misligheter er et viktig samfunnsansvar. Revisjonsbransjen har en sentral rolle i dette arbeidet. Revisors uavhengige kontroll bidrar til tillit i kapitalmarkedet, til pålitelig finansiell rapportering og til å avdekke forhold som kan tyde på brudd på lover og regler.

Økonomisk kriminalitet omfatter blant annet bedrageri, regnskapsmanipulasjon, korrupsjon, skatte- og avgiftsunndragelser, og hvitvasking av utbytte fra straffbare handlinger. Misligheter er bevisste handlinger for å oppnå en urettmessig eller ulovlig fordel. Dette kan for eksempel være feil eller manipulert regnskapsinformasjon, underslag eller villedende opplysninger til investorer eller kreditorer.

Risikoen for økonomisk kriminalitet har økt de senere årene¹⁾. Årsakene er blant annet mer komplekse selskapsstrukturer, økt digitalisering og et mer internasjonalt næringsliv. Dette gir kriminelle aktører større handlingsrom og gjør forholdene vanskeligere å avdekke. Samtidig stiller det høyere krav til revisors profesjonelle skepsis, risikovurdering og evne til å identifisere tegn på misligheter.

I tematilsynet har Finanstilsynet kartlagt om revisjonsforetakene har tilstrekkelige retningslinjer, rutiner, kompetanse og oppfølging til å sikre at revisjonene planlegges og gjennomføres i samsvar med regelverket og god revisjonsskikk.

Tilsynet skal bidra til læring og forbedring i bransjen. Dette gjøres ved å løfte frem god praksis og peke på områder med forbedringsbehov. Målet er å styrke revisorenes arbeid med å forebygge, avdekke og håndtere mulig økonomisk kriminalitet og misligheter, og dermed bidra til økt tillit til revisjonsbransjen og de finansielle rapportene revisorene attesterer.

2. Gjennomføring av tematilsynet

15 revisjonsforetak ble valgt ut til å delta i tematilsynet. De fleste hadde en omsetning mellom 30 til 80 millioner kroner.

Revisjonsforetakene ble bedt om å sende inn relevante retningslinjer og rutiner for arbeidet med å identifisere og håndtere risiko for økonomisk kriminalitet og misligheter.

Revisjonsforetakene ble bedt om å svare på spørsmål knyttet til ISA 315 (Identifisering og vurdering av risikoene for vesentlig feilinformasjon) og ISA 240 (Revisors oppgaver og plikter vedrørende misligheter ved revisjon av regnskaper).

Tematilsynet bygger på de svarene revisjonsforetekene ga på disse spørsmålene.

Spørsmålene var delt i to nivåer:

Foretaksnivå: 33 spørsmål om revisjonsforetakets overordnede retningslinjer, rutiner og kontrolltiltak. Formålet var å vurdere om foretaket legger til rette for at revisjon av risiko for økonomisk kriminalitet og misligheter gjennomføres i samsvar med regelverket og god revisjonsskikk.
Oppdragsnivå: 32 spørsmål om hvordan retningslinjer og rutiner følges i det enkelte revisjonsoppdrag. Finanstilsynet valgte ut fem revisjonskunder per foretak. Kundene opererte i bransjer med forhøyet risiko for økonomisk kriminalitet og misligheter.

3. Oppsummering

Tematilsynet viser et gap mellom revisjonsforetakenes etablerte retningslinjer og rutiner og hvordan disse faktisk etterleves i revisjonsoppdragene.

På foretaksnivå er 91 prosent av spørsmålene besvart bekreftende. På oppdragsnivå er andelen bekreftende svar lavere, 77 prosent. Dette viser at de etablerte retningslinjene og rutinene ikke etterleves godt nok i praksis.

Tilsynet har identifisert følgende hovedmangler og svakheter:

Mangelfull håndtering av særskilte mislighetsrisikoer, særlig risikoen for ledelsens overstyring av kontroller.
Lite systematisk bruk av uforutsigbarhet i revisjonshandlinger, og svak dokumentasjon av hvordan dette er gjennomført.
Overordnet eller utilstrekkelig testing og vurdering av kontroller.
Svak dokumentasjon av revisjonsteamets vurderinger av mislighetsrisiko, blant annet manglende sammenheng mellom forståelse av virksomheten og identifisert mislighetsrisiko.

Revisjonsforetakene oppgir flere årsaker til manglende etterlevelse. Retningslinjer og rutiner er ikke alltid:

tilstrekkelig operasjonalisert
godt nok forstått
tydelig kommunisert
fulgt opp gjennom kvalitetssikring og kontroll

Finanstilsynet legger til grunn at kravene i ISA 240 og ISA 315 er godt kjent i bransjen. Likevel viser tilsynet at kravene ikke etterleves tilstrekkelig i praksis. Revisjonsforetakene må derfor styrke arbeidet med å omsette retningslinjer og rutiner til faktisk handling i revisjonsoppdragene.

Revisjonsforetakene har også rapportert om lav aktivitet knyttet til rapportering og konsultasjon sett opp mot antall oppdrag. Dette kan tyde på at terskelen for å vurdere, følge opp og melde fra om mulige misligheter er for høy.

4. Hovedfunn med forbedringsbehov

4.1 Foretaksnivå

Et velfungerende kvalitetsstyringssystem på foretaksnivå er avgjørende for at revisjonsforetaket skal kunne identifisere og håndtere risiko for misligheter på en effektiv måte. Systemet skal sikre at retningslinjer og rutiner er tydelige, oppdaterte og kjent for alle medarbeidere, slik at revisjonen gjennomføres i tråd med gjeldende krav og profesjonelle standarder. Videre må revisjonsforetaket ha etablerte prosesser for overvåking og vurdering av om kvalitetsstyringen fungerer som forutsatt, samt for å identifisere og rette opp eventuelle svakheter.

Hovedfunn med forbedringsnivå på foretaksnivå presenteres i punkt 4.1.1 til 4.1.3. Resultatene fra øvrige områder på foretaksnivå er presentert i vedlegg A.

4.1.1 Identifisering og vurdering av risikoene for vesentlig feilinformasjon som følge av misligheter

For at revisjonsteamene skal kunne gjøre en grundig vurdering av mislighetsrisiko i alle revisjonsoppdrag, er det avgjørende med tydelige retningslinjer og rutiner for identifisering og vurdering av risikoen for vesentlig feilinformasjon som følge av misligheter. Slike retningslinjer og rutiner bidrar til at risikoer identifiseres, dokumenteres og følges opp gjennom revisjonsprosessen. Dette reduserer risikoen for at vesentlige forhold overses eller behandles ulikt mellom oppdrag. Et strukturert og enhetlig arbeid med mislighetsrisiko legger også til rette for at revisor stiller kritiske spørsmål, utviser nødvendig profesjonell skepsis og vurderer om innhentet revisjonsbevis gir tilstrekkelig grunnlag for konklusjonene som trekkes.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
6. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor, som følge av den uforutsigbare måten ledelsens overstyring av kontroller kan gjennomføres på, behandler risiko knyttet til ledelsens overstyring av kontroller som en særskilt risiko?	10	3	2	0

Som det fremgår av svarene, har 33 prosent av revisjonsforetakene enten mangelfulle eller manglende retningslinjer og rutiner for å behandle risikoen som en særskilt risiko, selv om dette er et krav etter revisjonsstandardene. Tilsynet viser dermed at det er svakheter knyttet til håndteringen av risiko for ledelsens overstyring av kontroller i en relativt stor andel av revisjonsforetakene. Dette innebærer en risiko for at vesentlige mislighetsindikatorer ikke identifiseres eller følges tilfredsstillende opp.

Revisjonsforetakene oppgir i kommentarene til spørreskjemaet at de vurderer området som mangelfullt fordi de ikke har utarbeidet skriftlige og tydelige retningslinjer som bidrar til at risikoen for ledelsens overstyring av kontroller alltid behandles som en særskilt risiko. Det er også opplyst i spørreskjemaet at som følge av manglende eller uklare retningslinjer og rutiner, er det kunder hvor mislighetsrisikoen ikke er behandlet som særskilt risiko. I tillegg fremgår det at kravene ikke er direkte beskrevet i revisjonsforetakenes interne styringsdokumenter, noe som fører til ujevn praksis og manglende etterlevelse.

Finanstilsynet anbefaler at revisjonsforetakene inkluderer konkrete eksempler i retningslinjer og rutiner for å styrke revisors arbeid med å identifisere og vurdere risiko for vesentlig feilinformasjon knyttet til ledelsens overstyring. Slike eksempler kan være

overstyring gjennom regnskapsmessige posteringer ("journal entries")
bruk av regnskapsestimater og skjønn
uvanlige eller komplekse transaksjoner
å sette kontroller ut av spill
presentasjon og klassifisering av regnskapsinformasjon

4.1.2 Gjennomføring av revisjonshandlinger rettet mot misligheter

Retningslinjer og rutiner for gjennomføring av revisjonshandlinger rettet mot misligheter er avgjørende for at revisjonen utføres på tilfredsstillende måte. Slike retningslinjer og rutiner skal bidra til at revisjonsteamene gjennomfører hensiktsmessige og målrettede handlinger for å innhente revisjonsbevis som kan avdekke eventuelle misligheter, og at disse handlingene tilpasses de identifiserte risikoene i oppdraget.

Klare rutiner bidrar også til at revisjonsteamene dokumenterer vurderinger og utførte handlinger på en måte som gjør det mulig å etterprøve revisjonens kvalitet. I mislighetssammenheng er dette særlig viktig fordi misligheter ofte innebærer bevisst skjuling av forhold, noe som stiller krav til profesjonell skepsis og en systematisk tilnærming til innhenting og vurdering av revisjonsbevis.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
11. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor behandler de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, som særskilte risikoer, og identifiserer enhetens kontroller som er rettet mot slike risikoer, og evaluerer deres utforming og fastsetter hvorvidt de er implementert?	10	4	1	0

Også her har 33 prosent av revisjonsforetakene svart at de har mangelfulle eller manglende retningslinjer og rutiner. Revisjonsforetakenes kommentarer i spørreskjemaet viser at manglene særlig knytter seg til fravær av tydelige og skriftlige retningslinjer som sikrer konsekvent behandling av mislighetsrisikoer som særskilte risikoer, og at revisor identifiserer og evaluerer relevante kontroller.

I tillegg er det opplyst at enkelte revisjonsforetak baserer seg på at ISA-ene i seg selv fungerer som retningslinjer, uten ytterligere operasjonalisering. Dette fører til ujevn praksis og mangelfull etterlevelse.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
12. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor, på regnskapsnivå, innlemmer et element av uforutsigbarhet i utvelgelsen av typen, tidspunktet og omfanget av revisjonshandlinger?	8	4	3	0

Fire av revisjonsforetakene svarer at retningslinjer og rutiner på dette området er mangelfulle, mens tre av revisjonsforetakene svarer at de ikke har slike retningslinjer og rutiner. Dette betyr at omtrent halvparten av foretakene i undersøkelsen mangler disse styringsverktøyene.

Revisjonsforetakene har opplyst at manglene hovedsakelig skyldes fravær av skriftlige og tydelige retningslinjer som sikrer at revisor alltid innlemmer et nødvendig element av uforutsigbarhet i revisjonshandlingene. Revisjonsforetakene erkjenner at praksisen i dag i stor grad bygger på profesjonelt skjønn og tilfeldig utvalg, uten at dette er formalisert eller systematisk dokumentert.

Videre fremgår det også at revisjonshandlinger i liten grad varieres fra år til år. Dette fører til ujevn etterlevelse og begrenset sporbarhet.

Finanstilsynet viser til at eksempler på forhold som kan innarbeides i retningslinjer og rutiner for å bidra til at revisor innlemmer et element av uforutsigbarhet i utvelgelsen av type, tidspunkt og omfang av revisjonshandlinger, kan være å

utvide perioden for kontroll av hovedboksposteringer
endre kriterier for populasjonen som inngår i kontroll av hovedboksposteringer
endre populasjonen av regnskapsposter som utgjør populasjonen av risiko for overstyring av kontroller
utføre substanshandlinger på utvalgte kontosaldoer og påstander som ikke ellers testes på grunn av sin vesentlighet eller risiko
fastsette andre tidspunkter for utførelse av revisjonshandlinger enn de som forventes
anvende ulike utvalgsmetoder
utføre revisjonshandlinger på andre steder eller uten forhåndsvarsel

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
16. Har revisjonsforetaket retningslinjer og rutiner for å sikre at dersom revisor har til hensikt å bygge på kontroller knyttet til en risiko som revisor har fastslått er en særskilt risiko (mislighetsrisiko), skal revisor teste disse kontrollene i den aktuelle perioden?	8	6	1	0

Til dette spørsmålet har bare 53 prosent av de spurte foretakene svart «Ja» . Kommentarene til spørsmålet viser at manglene hos de øvrige foretakene særlig knytter seg til fravær av skriftlige og tydelige retningslinjer som sikrer at revisor tester kontroller når det bygges på disse ved særskilt risiko (mislighetsrisiko). Kommentarene viser at revisjonsforetakene enten ikke har rutiner eller baserer seg på at ISA-ene alene fungerer som retningslinjer uten å ha operasjonalisert egne utfyllende rutiner.

4.1.3 Rapportering

Rapportering av misligheter utgjør en viktig del av revisjonsforetakenes ansvar og kontrollfunksjon. Tematilsynet har innhentet informasjon om omfanget av revisors rapportering av avdekkede misligheter til styret, antall formelle konsultasjoner knyttet til mistanke om eller avdekkede misligheter, samt antall saker relatert til hvitvasking og terrorfinansiering som er rapportert til Økokrim. Opplysningene gir et bilde av hvordan revisjonsforetakene håndterer og følger opp slike forhold i praksis, og danner grunnlag for vurdering av revisjonsforetakenes bevissthet og etterlevelse av gjeldende krav.

De 15 revisjonsforetakene hadde til sammen 13 707 revisjonskunder i 2024. Oppstillingen under viser totalt omfang av rapporteringer fra de 15 revisjonsforetakene som gjelder regnskapsåret 2024.

Type rapportering	Antall
30. Hvor mange revisjonsoppdrag hadde revisjonsforetaket for regnskapsåret 2024?	13 707
31. Antall skriftlige rapporteringer fra revisor til styret om avdekkede misligheter (jf. revisorloven § 9-5):	24
32. Antall formelle konsultasjoner vedrørende mistanke om eller avdekkede misligheter på revisjonsoppdrag:	24
33. Antall saker som revisjonsforetaket mente ga grunnlag for mistanke om hvitvasking eller terrorfinansiering, og som ble oversendt til Økokrim i perioden 01.01.2024 til 30.06.2025 (jf. hvitvaskingsloven § 26):	20

Som det fremgår over, foreligger det totalt 24 skriftlige rapporteringer til styret om avdekkede misligheter, noe som utgjør 0,18 prosent av revisjonsoppdragene. Tilsvarende er det gjennomført 24 formelle konsultasjoner ved mistanke om eller avdekkede misligheter, også dette 0,18 prosent av oppdragene. Videre er det rapportert 20 saker til Økokrim i perioden 01.01.2024 – 30.06.2025, det vil si 0,15 prosent av det samlede oppdragsvolumet.

Samlet sett gir tallene grunnlag for å stille spørsmål ved om omfanget av rapportering og konsultasjon står i et rimelig forhold til det totale antallet revisjonsoppdrag og den generelle risikoforståelsen som kommer til uttrykk i regelverket. Finanstilsynet peker på at dette kan bety at terskelen for rapportering og konsultasjon i praksis er blitt for høy, og om identifiserte risikoforhold i tilstrekkelig grad leder til konkrete oppfølgingshandlinger.

4.2 Oppdragsnivå

For å vurdere hvordan revisjonsforetakene håndterer risikoen for misligheter i den praktiske revisjonsutførelsen, ble det valgt ut 73 revisjonsoppdrag som opererer i bransjer med forhøyet risiko med hensyn til økonomisk kriminalitet og misligheter. Det ble stilt 32 spørsmål per oppdrag innen sentrale områder i revisjonsprosessen for å vurdere i hvilken grad revisor etterlever kravene i revisjonsstandardene knyttet til mislighetsrisiko. Disse områdene er

diskusjon i revisjonsteamet,
forståelse av enheten og dens omgivelser,
forståelse av komponentene i enhetens internkontrollsystem,
identifisering og vurdering av risikoene for vesentlig feilinformasjon som følge av misligheter, og
revisjonshandlinger rettet mot de vurderte risikoene.

Hovedfunn med forbedringsbehov på oppdragsnivå presenteres i punkt 4.2.1 til 4.2.4. Resultatene fra øvrige områder på oppdragsnivå er presentert i vedlegg A.

4.2.1 Opparbeidelse av forståelse av enheten og dens omgivelser

Revisorloven § 9-4 tredje ledd bokstav a krever at revisor opparbeider seg en forståelse av virksomheten som revideres. Kravet er nærmere utdypet i ISA 315 punkt 19 og 20. God forståelse av virksomheten betyr at revisor må forstå hvordan selskapet er organisert, hvem som eier det, hvordan det styres, og hvilke kontrollrutiner som finnes. I tillegg må revisor ha oversikt over forretningsmodellen, bransjen, lover og regler som gjelder, hvilke parametere som brukes for å vurdere selskapets økonomiske resultater, og hvilket regelverk som ligger til grunn for rapporteringen. Denne forståelsen er nødvendig for at revisor skal kunne identifisere iboende risikofaktorer i form av mislighetsrisiko.

Spørsmål

Oppsummert antall svar

Mangelfullt

Nei

7. Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av:

a) regulatoriske faktorer, og

b) hvordan og i hvilken grad iboende risikofaktorer knyttet til regulatoriske faktorer kan medføre feilinformasjon i regnskapet som følge av misligheter?

Som det følger av skjemaet, har revisjonsforetakene svart «Mangelfullt» på 23 prosent av oppdragene.

Revisjonsforetakene har i tilleggskommentarene opplyst at revisjonen vurderes som mangelfull fordi regulatoriske forhold ikke er tilstrekkelig vurdert eller dokumentert med tanke på mislighetsrisiko. Det opplyses også om at selv om regulatoriske faktorer ofte er kartlagt, fremgår det i liten grad hvordan og i hvilken grad iboende risikofaktorer knyttet til lov- og forskriftskrav kan medføre mislighetsrelatert feilinformasjon i regnskapet. Revisjonsforetakene peker på at dokumentasjonen typisk mangler en tydelig kobling mellom relevante regulatoriske forhold og risiko for misligheter, og vurderingene som foreligger, er ofte for overordnede eller kun rettet mot rene feil.

På fire av oppdragene ble det svart «IA» på spørsmål 7. Dokumentasjonen og svarene tyder på at noen revisjonsforetak tror at det bare er nødvendig å forstå regulatoriske faktorer og risikoen for feilinformasjon i regnskapet hvis kunden er underlagt spesiell regulering. Dette er imidlertid et krav for alle revisjonsoppdragene, se revisorloven § 9-4 tredje ledd bokstav a og ISA 250 punkt 13. Dette betyr at revisor alltid skal skaffe seg en generell forståelse av lovene og forskriftene som gjelder for virksomheten og bransjen, uavhengig av om det er snakk om spesiell regulering. Det inkluderer sentrale lover som regnskapsloven, aksjeloven, bokføringsloven og skatteloven.

Bokføringsloven er spesielt sentral for revisors forståelse og vurdering av mislighetsrisiko. Et eksempel på misligheter relatert til bokføringsloven er bevisst manglende eller uriktig bokføring av kontantsalg, ved at deler av omsetningen holdes utenfor regnskapet gjennom sletting av salg eller manglende registrering i kassasystemet. Dette innebærer brudd på bokføringslovens krav til fullstendig, nøyaktig og løpende registrering av transaksjoner, og kan være motivert av ønsket om å redusere skatt og avgifter eller skjule økonomiske disposisjoner.

Spørsmål

Oppsummert antall svar

Mangelfullt

Nei

8. Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av:

a) parametere som er benyttet, internt og eksternt, for å vurdere enhetens finansielle resultater, og

b) hvordan og i hvilken grad iboende risikofaktorer knyttet til parametere kan medfører feilinformasjon i regnskapet som følge av misligheter?

Til spørsmål 8 har revisjonsforetakene svart “Mangelfullt” eller “Nei” på en vesentlig andel av oppdragene, totalt rett under 30 prosent.

Revisjonsforetakene har kommentert at revisjonen vurderes som mangelfull fordi dokumentasjonen ikke tydelig viser hvilke parametere som benyttes for å vurdere enhetens finansielle resultater, eller hvordan disse parameterne kan utgjøre iboende mislighetsrisiko. I mange tilfeller er parametere enten ikke opplyst, kun overordnet omtalt eller ikke koblet til en vurdering av hvordan de kan medføre mislighetsrelatert feilinformasjon. Revisjonsforetakene opplyser videre at vurderingene som foreligger, ofte mangler spesifisitet, tydelig konklusjon eller eksplisitt knytning til mislighetsrisiko, og enkelte revisjonsforetak beskriver at de har redegjort for hvordan virksomheten måler resultater, men uten å vurdere hvilke mislighetsrisikoer dette kan innebære.

4.2.2 Opparbeidelse av forståelse av komponentene i enhetens internkontrollsystem

Revisorloven § 9-4 tredje ledd bokstav a stiller krav om at revisor må forstå den interne kontrollen i virksomheten. Dette utdypes nærmere i ISA 315 punkt 21 til 26. For å utføre revisjonen på en god måte er det viktig at revisor får inngående innsikt i hvordan internkontrollsystemet er utformet og fungerer i praksis. Internkontrollen er avgjørende for å forebygge, oppdage og håndtere misligheter i virksomheten. Når revisor har kunnskap om kontrollmiljø, risikovurderinger, kontrollaktiviteter, informasjonssystemer og oppfølging, kan vedkommende bedre identifisere områder med risiko for misligheter, og vurdere hvordan disse risikoene håndteres. En grundig forståelse av internkontrollen legger dermed grunnlaget for en effektiv revisjon, med riktig vekt på de områdene hvor det er størst fare for misligheter.

Spørsmål

Oppsummert antall svar

Mangelfullt

Nei

15. Kontrollaktiviteter

Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av kontrollaktivitetene som er relevant for utarbeidelsen av regnskapet, og at revisor for hver kontroll som er identifisert har:

(i) evaluert hvorvidt kontrollen er hensiktsmessig utformet for å håndtere risikoen for vesentlig feil på påstandsnivå, eller for å understøtte at andre kontroller kan fungere; og

(ii) fastslått hvorvidt kontrollen er implementert ved å utføre handlinger i tillegg til forespørsler til enhetens personell?

Som det fremgår av skjemaet, ble det svart «Mangelfullt» på 16 av oppdragene, det vil si 22 prosent av utvalget.

Revisjonsforetakene har gitt kommentarer om at revisjonen vurderes som mangelfull fordi det i liten grad er dokumentert en tilstrekkelig vurdering av de identifiserte kontrollaktivitetene. Selv om kontrollene delvis beskrives i planleggingsdokumenter og rutinebeskrivelser, mangler vurderingene både dybde og presisjon. Revisjonsforetakene har opplyst at dokumentasjonen ikke viser klart om kontrollene er hensiktsmessig utformet, hvilke kontroller som er nøkkelkontroller, eller om kontrollene faktisk er implementert gjennom handlinger utover forespørsler.

Kommentarene fra revisjonsforetakene gjelder også at vurderingene ofte er indirekte omtalt, generelle eller svært knappe, og at sentrale elementer som evaluering av kontrollenes hensiktsmessighet og implementering ikke fremgår eksplisitt. Dette medfører at revisjonsdokumentasjonen oppleves som fragmentert, overfladisk og uten tilstrekkelig analyse av kontrollenes effektivitet.

4.2.3 Identifisering og vurdering av risikoen for vesentlig feilinformasjon som skyldes misligheter

Revisorloven § 9-4 tredje ledd bokstav c krever at revisor identifiserer risikoene for vesentlig feilinformasjon i regnskapet som skyldes misligheter. Dette innebærer å forstå hvor og hvordan misligheter kan oppstå, samt å vurdere sannsynlighet og konsekvens. En grundig vurdering av mislighetsrisiko er avgjørende for å kunne planlegge revisjonshandlinger som målrettet adresserer de områdene hvor risikoen er størst, og for å bidra til en effektiv og pålitelig revisjon.

Spørsmål

Oppsummert antall svar

Mangelfullt

Nei

17. Ledelsen er i en unik posisjon til å begå misligheter, siden den har mulighet til å manipulere registreringer og bevisst utarbeide et feilaktig regnskap ved å overstyre kontroller som ellers synes å fungere formålstjenlig. Selv om risikoen for at ledelsen overstyrer kontroller varierer fra enhet til enhet, er risikoen allikevel tilstedeværende i alle enheter. Som følge av den uforutsigbare måten slik overstyring kan gjennomføres på, er det en risiko for vesentlig feilinformasjon som skyldes misligheter, og således en særskilt risiko (mislighetsrisiko).

Fremgår det av revisjonsdokumentasjonen at revisor har vurdert at det er knyttet særskilt risiko til ledelsens overstyring av kontroller, samt om risikoen er knyttet til regnskapsnivå eller påstandsnivå for transaksjonsklasser, kontosaldoer eller tilleggsopplysninger?

Som det fremgår av skjemaet, er det også her relativt mange som svarer «Mangelfullt» eller «Nei», totalt 25 prosent. Forhold som omhandler ledelsens overstyring av kontroller, er et område hvor Finanstilsynet ofte avdekker svakheter og mangler ved kontroll.

Flere av revisjonsforetakene har opplyst å vurdere revisjonen som mangelfull fordi risikoen for ledelsens overstyring av kontroller ikke er tydelig nok identifisert, konkretisert eller dokumentert som en særskilt risiko. Tilbakemeldingene fra revisjonsforetakene viser at vurderingene ofte er omtalt overordnet i planleggingsdokumenter eller risikovurderinger, men uten klar angivelse av om risikoen gjelder på regnskapsnivå eller på påstandsnivå. I enkelte tilfeller er risikoen feilaktig vurdert som moderat i stedet for særskilt, eller omtalt uten å bli behandlet som en egen risiko slik ISA 240 punkt 32 krever. Det er også kommentert at risikoen ikke er tydelig koblet til konkrete transaksjonsklasser eller regnskapsposter, og at dokumentasjonen er for knapp eller teknisk feil utfylt til å vise en presis vurdering. Samlet viser kommentarene at revisjonsforetakene i mange oppdrag ikke har dokumentert særskilt risiko knyttet til ledelsens overstyring av kontroller på et tilstrekkelig spesifikt nivå.

Basert på dokumentasjonen og dialogen med revisjonsforetakene under tilsynet virker det som om enkelte tror at mislighetsrisiko knyttet til ledelsens mulighet til å overstyre kontroller kan tilbakevises, også når det gjelder revisjonskunder med omfattende virksomhet. Finanstilsynet understreker at denne forståelsen ikke er korrekt i henhold til revisorloven § 9-4 tredje ledd bokstav c og ISA 240 punkt 32. Revisor må konkretisere den identifiserte mislighetsrisikoen som følger av ledelsens overstyring av kontroller, og må følge opp med hensiktsmessige og tilstrekkelige revisjonshandlinger. Finanstilsynet ser ofte at det mangler en tydelig sammenheng fra identifisering av mislighetsrisiko til de konkrete revisjonstiltakene som skal adressere denne risikoen.

Spørsmål

Oppsummert antall svar

Mangelfullt

Nei

18. Ved identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter, skal revisor ta utgangspunkt i antakelsen om at det foreligger risikoer for misligheter ved inntektsføring og vurdere hvilke typer inntekter, inntektstransaksjoner eller påstander som kan føre til slike risikoer.

Fremgår det av revisjonsdokumentasjonen at revisor ved identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter har tatt utgangspunkt i antakelsen om at det foreligger risikoer for misligheter ved inntektsføring?

I 92 prosent av oppdragene tas det utgangspunkt i antakelsen om at det foreligger risikoer for misligheter ved inntektsføring. Dette er en positiv observasjon, da Finanstilsynets erfaring fra andre tilsyn er at denne antakelsen i for stor grad tilbakevises uten at revisor har tilstrekkelig grunnlag for å gjøre det. Etterom dette ikke er et hovedfunn med forbedringsbehov i dette tematilsynet, vises det til nærmere omtale i vedlegg A.

4.2.4 Handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter

Revisorloven § 9-4 tredje ledd bokstav d krever at revisor utformer og gjennomfører revisjonshandlinger for å håndtere de identifiserte mislighetsrisikoene. Når mislighetsrisikoer er identifisert og vurdert, er det avgjørende at revisor iverksetter hensiktsmessige handlinger for å håndtere dem. Dette kan innebære tilpasning av revisjonsstrategien, utvidede testhandlinger, eller målrettede kontroller rettet mot spesifikke risikoområder. Formålet er å oppnå tilstrekkelig og hensiktsmessig revisjonsbevis som reduserer risikoen for at vesentlige misligheter ikke blir avdekket. En systematisk tilnærming til håndtering av identifiserte mislighetsrisikoer styrker kvaliteten og påliteligheten i revisjonen.

Spørsmål

Oppsummert antall svar

Mangelfullt

Nei

21. Fremgår det av revisjonsdokumentasjonen at revisor har rettet forespørsler til ledelsen (CEO/administrerende direktør/daglig leder) om følgende forhold:

(a) ledelsens vurdering av risikoen for at regnskapet kan inneholde vesentlig feilinformasjon som skyldes misligheter, herunder arten, omfanget og hyppigheten av slike vurderinger,

(b) ledelsens prosess for å identifisere og håndtere risikoene for misligheter i enheten, herunder eventuelle spesifikke risikoer for misligheter som ledelsen har identifisert eller er blitt gjort oppmerksom på, eller transaksjonsklasser, kontosaldoer eller tilleggsopplysninger der det er sannsynlig at det foreligger en risiko for misligheter,

(c) eventuell kommunikasjon fra ledelsen til dem som har overordnet ansvar for styring og kontroll vedrørende ledelsens prosesser for å identifisere og håndtere risikoer for misligheter i enheten, og

(d) eventuell kommunikasjon fra ledelsen til ansatte vedrørende ledelsens synspunkter på forretningspraksis og etisk atferd?

På 38 prosent av oppdragene er det svart «Mangelfullt» eller «Nei», noe som er en betydelig andel av de utvalgte oppdragene.

Revisjonsforetakene har gitt kommentarer til spørreskjemaet om at revisjonen vurderes som mangelfull fordi dette området ofte er mangelfullt dokumentert. Flere revisjonsforetak opplyser at forespørsler til ledelsen er gjennomført, men at sentrale forhold ikke er tilstrekkelig nedtegnet, herunder at drøftelser kun er ført muntlig og ikke dokumentert med møtereferater, e-poster eller særskilt dokumentasjon.

Videre kommer det frem av kommentarene at revisjonsdokumentasjonen i liten grad tydeliggjør ledelsens prosesser for å identifisere og håndtere mislighetsrisiko, og at kommunikasjon fra ledelsen til ansatte om etisk adferd og forretningspraksis i mange tilfeller ikke er dokumentert. Det pekes også på at forespørsler til andre nøkkelpersoner i enheten, som CFO eller styremedlemmer, enten er mangelfullt omtalt eller kun kort referert uten nødvendig detaljnivå. Samlet viser tilbakemeldingene at revisjonsforetakene ofte har gjennomført relevante samtaler, men at manglende og ufullstendig dokumentasjon gjør at kravene i ISA 240 punkt 18 ikke fremgår tydelig av revisjonsfilen.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
25. Fremgår det av revisjonsdokumentasjonen at revisor for de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, har identifisert enhetens kontroller som er rettet mot slike risikoer, og evaluert deres utforming og fastsatt hvorvidt de er implementert?	54	14	5	0

På 26 prosent av oppdragene svarer revisjonsforetakene at dette områder et mangelfullt eller at det ikke er utført.

Revisjonsforetakenes kommentarer omhandler at evalueringen av kontroller ofte er overordnet eller mangelfull, og at det foreligger gjennomgående svakheter i vurderingen av kontrollenes utforming og implementering. I enkelte oppdrag er det ikke identifisert relevante kontroller, selv der dette burde vært forventet. Videre fremgår det av kommentarene at dokumentasjonen i flere tilfeller kun består av generelle risikovurderinger, uten en konkret vurdering av kontroller opp mot de identifiserte mislighetsrisikoene. Samlet sett viser dette at det er forbedringspotensial når det gjelder kravene i ISA 240 punkt 28 med hensyn til å identifisere, evaluere og dokumentere kontroller som er relevante for vurderte mislighetsrisikoer.

Når den reviderte ikke har etablert kontroller mot denne risikoen, (se fem oppdrag hvor det er svart «Nei»), er det en svikt i den interne kontrollen som revisor skal rapportere skriftlig til styret, se revisorloven § 9-5 første ledd.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
26. Som det fremgår av punkt 17 er ledelsens overstyring av kontroller alltid en særskilt risiko (mislighetsrisiko), og revisor må dokumentere konkret hva denne risikoen er knyttet til på regnskapsnivå eller på påstandsnivå for transaksjonsklasser, kontosaldoer eller tilleggsopplysninger. Har revisor utført tilstrekkelig med revisjonshandlinger rettet mot den særskilte risikoen (mislighetsrisikoen) som er identifisert under punkt 17?	50	22	1	0

Det er spesielt viktig at revisor følger opp med tilstrekkelige og hensiktsmessige revisjonshandlinger rettet mot mislighetsrisiko knyttet til ledelsens overstyring av kontroller. I 32 prosent av oppdragene svarer revisjonsforetakene at utførte revisjonshandlinger er mangelfulle, eller at det ikke er utført revisjonshandlinger mot identifisert mislighetsrisiko.

Kommentarene fra revisjonsforetakene er at det ofte ikke er dokumentert egne revisjonshandlinger knyttet til denne risikoen, og at utførte revisjonshandlinger i for liten grad er rettet mot den konkrete mislighetsrisikoen. Videre fremgår det at dokumentasjonen er for knapp til å vise hvordan risikoen faktisk er fulgt opp. Det fremgår også at handlingene er overordnede, mangelfullt dokumentert, eller ikke uttrykkelig utformet for å adressere risikoen for ledelsesoverstyring.

Av noen kommentarer fremkommer det at mislighetsrisikoen er vurdert som moderat, og ikke særskilt. Dette viser at det er en misforståelse blant enkelte revisjonsforetak når det gjelder identifisering og vurdering av mislighetsrisiko. Finanstilsynet viser til at en mislighetsrisiko alltid er en særskilt risiko.

Samlet indikerer kommentarene at revisjonshandlingene i mange oppdrag ikke er tilstrekkelig målrettet eller dokumentert i tråd med kravene i ISA 240 punkt 31.

Finanstilsynet har erfaring med at revisor anser at risikoen for ledelsens overstyring av kontroller har en sammenheng med risikoen for misligheter ved inntektsføring. Revisor håndterer da dette risikobildet ved blant annet

å vurdere inntektspopulasjonen som skal testes (inntektsstrømmer, påstander og periode)
å utføre handlinger som sikrer fullstendighet av populasjonen som skal testes
med utgangspunkt i den identifiserte inntektspopulasjonen utføre handlinger rettet mot den konkrete mislighetsrisikoen (f.eks. fullstendighet, gyldighet og/eller periodisering av inntekter).

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
28. Har revisor ved fastsettelse av overordnede handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter, på regnskapsnivå, innlemme et element av uforutsigbarhet i utvelgelsen av typen, tidspunktet og omfanget av revisjonshandlinger?	50	15	5	3

På 27 prosent av oppdragene svarer revisjonsforetakene at dette området er mangelfullt, eller at det ikke innlemmet noe element av uforutsigbarhet i utvelgelsen av typen, tidspunktet og omfanget av revisjonshandlinger.

Revisjonsforetakene har kommentert i spørreskjemaet at selv om det ofte foretas tilfeldige utvalg av måneder, bilag, kunder eller prosjekter, er dette i liten grad et bevisst tiltak for å skape uforutsigbarhet, slik ISA 240 punkt 30 (c) krever.

Revisjonsforetakene har også opplyst at revisjonshandlingene i stor grad gjentas fra år til år uten nye eller varierte grep, og at dokumentasjonen ikke tydelig viser hvilke handlinger som faktisk anses som uforutsigbare. Flere av revisjonsforetakene peker på at revisjonen kan inneholde et visst innslag av uforutsigbarhet i praksis, men at dette ikke er konkret beskrevet, begrunnet eller koblet til mislighetsrisikoen i revisjonsfilen. Enkelte kommentarer viser til at dette primært gjelder sviktende dokumentasjon og manglende tydeliggjøring av hvordan kravene til uforutsigbarhet er oppfylt. Det fremgår også at revisor ikke er tilstrekkelig bevisst på dette kravet.

Det er viktig å innlemme et element av uforutsigbarhet, da det kan være enklere for personer hos den reviderte som er kjent med de revisjonshandlingene som vanligvis utføres under et revisjonsoppdrag, å skjule uredelig regnskapsrapportering. Det vises til punkt 4.1.2 og kommentarer til spørsmål 12 for eksempler.

På tre av oppdragene er det svart «IA». Revisjonsforetakene har blant annet begrunnet dette med at revisjonen er basert på totalavstemminger.

Vedlegg A

Dette vedlegget dekker områder og spørsmål som ikke er å anse som hovedfunn, men hvor det likevel kan være områder med forbedringsbehov.

A1 Foretaksnivå

A.1.1 Aksept og fortsettelse

Akseptprosessen er revisjonsforetakets første og viktigste barriere mot å påta seg oppdrag som innebærer høy risiko for misligheter eller økonomisk kriminalitet. Gode retningslinjer og rutiner på dette området er derfor avgjørende for å sikre at revisjonsforetaket kun aksepterer oppdrag der det foreligger tilstrekkelig tillit til ledelsen, eierstrukturen og foretakets integritet.

Under følger en oversikt over spørsmål på dette området med tilhørende svar.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
1. Har revisjonsforetaket retningslinjer og rutiner for aksept- og fortsettelsesvurdering av revisjonsoppdrag?	15	0	0	0

Alle revisjonsforetakene opplyser å ha etablert retningslinjer og rutiner for aksept og fortsettelsesvurdering av revisjonsoppdrag. Dette indikerer at revisjonsforetakene anerkjenner betydningen av denne første barrieren i arbeidet med å forebygge misligheter og økonomisk kriminalitet.

Selv om samtlige revisjonsforetak rapporterer å ha slike rutiner på plass, understreker Finanstilsynet viktigheten av at revisjonsforetakene løpende vurderer om rutinene er tilstrekkelig detaljerte, oppdaterte og faktisk etterleves i praksis, for å sikre konsistent og forsvarlig risikovurdering i alle oppdrag.

A.1.2 Opparbeidelse av forståelse av enheten og dens omgivelser, det gjeldende rammeverk for finansiell rapportering og enhetens internkontrollsystem

Finanstilsynet mener at en forsvarlig kvalitetsstyring blant annet bør omfatte at revisjonsforetaket har retningslinjer og rutiner som forteller hva revisor skal gjøre, og hvordan det skal gjøres når det gjelder opparbeidelse av forståelse av enheten og dens omgivelser, gjeldende rammeverk for finansiell rapportering og enhetens internkontrollsystem. Denne forståelsen er viktig for å kunne gjennomføre en god vurdering av risikoen for misligheter.

Under følger en oversikt over spørsmål på dette området med tilhørende svar.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
2. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor opparbeider seg en forståelse av enhetens: a) organisasjonsstruktur, b) eierskap, c) styring og kontroll, d) forretningsmodell, herunder i hvilken grad forretningsmodellen integrerer bruken av IT, e) bransjemessige faktorer, f) regulatoriske faktorer, g) parameterne som er benyttet, internt og eksternt, for å vurdere enhetens finansielle resultater, og h) gjeldende rammeverket for finansiell rapportering, og enhetens regnskapspolicyer, og basert på forståelsen av punktene a) til h), skal vurdere hvordan og i hvilken grad iboende risikofaktorer på disse områdene knyttet til misligheter kan påvirke risikoen for vesentlig feilinformasjon i regnskapet?	14	1	0	0
3. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor vurderer hvorvidt enhetens regnskapsprinsipper er hensiktsmessige og i samsvar med det gjeldende rammeverket for den finansielle rapporteringen?	15	0	0	0
4. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor opparbeider seg en forståelse av følgende komponenter i enhetens internkontrollsystem: a) kontrollmiljø, b) risikovurderingsprosess, c) prosess for overvåking av internkontrollsystemet, d) informasjonssystemet og kommunikasjon, og e) kontrollaktiviteter, og at denne forståelsen brukes til å vurdere risikoen for misligheter?	15	0	0	0

Svarene fra revisjonsforetakene viser at de i hovedsak har etablert retningslinjer og rutiner som oppfyller kravene til revisors forståelse av enheten og dens omgivelser, inkludert gjeldende rammeverk for finansiell rapportering og enhetens internkontrollsystem. Alle revisjonsforetakene, med unntak av ett, svarer bekreftende på at de har rutiner for å sikre forståelse av sentrale forhold som organisasjonsstruktur, eierskap, styring og kontroll, forretningsmodell, bransje- og regulatoriske faktorer, samt relevante parametere for vurdering av finansiell ytelse. Videre opplyser alle revisjonsforetakene å ha rutiner for vurdering av regnskapsprinsipper og for å opparbeide forståelse av internkontrollsystemets hovedkomponenter.

Samlet sett vurderes området som gjennomgående godt håndtert på foretaksnivå, men Finanstilsynet vil presisere at revisjonsbransjen må jobbe løpende med og ha oppmerksomhet på å sikre at forståelsen av enheten og dens omgivelser i tilstrekkelig grad brukes aktivt og systematisk som grunnlag for vurdering av iboende risiko for misligheter i det enkelte revisjonsoppdrag.

A.1.3 Identifisering og vurdering av risikoene for vesentlig feilinformasjon som følge av misligheter

Det vises til punkt 4.1.1 i tilsynsrapporten for hovedfunn på dette området. Under følger en oversikt over øvrige spørsmål på dette området med tilhørende svar.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
5. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor identifiserer risikoene for vesentlig feilinformasjon som følge av misligheter og fastslår hvorvidt de foreligger på: (a) regnskapsnivå, eller (b) påstandsnivå for transaksjonsklasser, kontosaldoer og tilleggsopplysninger?	14	1	0	0
6. Omtalt under punkt 4.1.1 i tilsynsrapporten.
7. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor tar utgangspunkt i antakelsen om at det foreligger risikoer for misligheter ved inntektsføring og vurdere hvilke typer inntekter, inntektstransaksjoner eller påstander som kan føre til slike risikoer?	14	1	0	0

Svarene fra revisjonsforetakene viser at de i hovedsak har etablert retningslinjer og rutiner for identifisering og vurdering av risikoene for vesentlig feilinformasjon som følge av misligheter. Et klart flertall av revisjonsforetakene opplyser å ha rutiner som skal bidra til at mislighetsrisiko identifiseres både på regnskapsnivå og påstandsnivå, og at revisor tar utgangspunkt i antakelsen om at det foreligger risiko for misligheter ved inntektsføring. Dette indikerer at sentrale krav i ISA 240 og ISA 315 i stor grad er forstått og formelt gjennomført på foretaksnivå.

A.1.4 Gjennomføring av revisjonshandlinger rettet mot misligheter

Det vises til punkt 4.1.2 i tilsynsrapporten for hovedfunn på dette området. Under følger en oversikt over øvrige spørsmål på dette området med tilhørende svar.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
8. Har revisjonsforetaket retningslinjer og rutiner for å sikre at oppdragsansvarlig revisor og andre sentrale medlemmer av revisjonsteamet diskuterer hvordan og hvor enhetens regnskap kan være eksponert for vesentlig feilinformasjon som skyldes misligheter, herunder hvordan misligheter kan oppstå?	14	1	0	0
9. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor retter forespørsler til ledelse om: (a) ledelsens vurdering av risikoen for at regnskapet kan inneholde vesentlig feilinformasjon som skyldes misligheter, herunder arten, omfanget og hyppigheten av slike vurderinger, (b) ledelsens prosess for å identifisere og håndtere risikoene for misligheter i enheten, herunder eventuelle spesifikke risikoer for misligheter som ledelsen har identifisert eller er blitt gjort oppmerksom på, eller transaksjonsklasser, kontosaldoer eller tilleggsopplysninger der det er sannsynlig at det foreligger en risiko for misligheter? (c) eventuell kommunikasjon fra ledelsen til dem som har overordnet ansvar for styring og kontroll vedrørende ledelsens prosesser for å identifisere og håndtere risikoer for misligheter i enheten, og (d) eventuell kommunikasjon fra ledelsen til ansatte vedrørende ledelsens synspunkter på forretningspraksis og etisk atferd?	14	1	0	0
10. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor retter forespørsler til ledelsen, og andre personer i enheten etter behov, for å fastslå hvorvidt de har kjennskap til eventuelle faktiske, mistenkte eller påståtte misligheter som påvirker enheten?	15	0	0	0
11. Omtalt under punkt 4.1.2 i tilsynsrapporten.
12. Omtalt under punkt 4.1.2 i tilsynsrapporten.
13. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor, uavhengig av revisors vurdering av risikoene for at ledelsen overstyrer kontroller, utformer og gjennomfører revisjonshandlinger for å: (a) teste hensiktsmessigheten av posteringer i hovedboken og andre justeringer som er foretatt ved utarbeidelsen av regnskapet, (b) gjennomgå regnskapsestimater med sikte på manglende objektivitet og vurdere hvorvidt eventuelle omstendigheter som er årsak til den manglende objektiviteten, utgjør en risiko for vesentlig feilinformasjon som skyldes misligheter, og (c) for betydelige transaksjoner som faller utenfor enhetens vanlige virksomhet eller som på andre måter synes uvanlige ut fra revisors forståelse av enheten og dens omgivelser og annen informasjon som innhentes under revisjonen, vurderer hvorvidt den forretningsmessige begrunnelsen (eller den manglende begrunnelsen) tyder på at transaksjonene kan ha blitt gjennomført i forbindelse med uredelig regnskapsrapportering eller for å skjule underslag av eiendeler?	12	3	0	0
14. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor innhenter skriftlige uttalelser fra ledelsen om at: (a) den erkjenner sitt ansvar for utformingen, iverksettelsen og vedlikeholdet av intern kontroll for å forhindre og avdekke misligheter, (b) den har opplyst revisor om resultatene av ledelsens vurdering av risikoen for at regnskapet kan inneholde vesentlig feilinformasjon som skyldes misligheter, (c) den har opplyst revisor om sin kjennskap til misligheter eller mistanke om misligheter som påvirker enheten og som omfatter: (i) ledelsen, (ii) ansatte som utfører betydelige oppgaver i den interne kontrollen, eller (iii) andre der misligheter kan ha en vesentlig innvirkning på regnskapet, og (d) den har opplyst revisor om sin kjennskap til eventuelle påstander om misligheter eller mistanke om misligheter som påvirker enhetens regnskap, som er kommunisert av ansatte, tidligere ansatte, analytikere, tilsynsmyndigheter eller andre?	15	0	0	0
15. Har revisjonsforetaket retningslinjer og rutiner for å sikre at revisor kommuniserer skriftlig til styret ved vesentlige mangler i foretakets interne kontroll og ved avdekkede misligheter?	15	0	0	0
16. Omtalt under punkt 4.1.2 i tilsynsrapporten.
17. Har revisjonsforetaket retningslinjer og rutiner for å sikre at dersom revisor har funnet at en anslått risiko for vesentlig feilinformasjon på påstandsnivå er en særskilt risiko (mislighetsrisiko), skal revisor utføre substanshandlinger som er spesielt tilpasset denne risikoen, og når angrepsvinkelen til en særskilt risiko bare består av substanshandlinger, skal disse kontrollene omfatte detaljtester?	13	1	1	0
18. Har revisjonsforetaket retningslinjer og rutiner for å sikre at oppdragsansvarlig revisor tar ansvar for at oppdragsteamet gjennomfører konsultasjon ved mistanke om eller ved avdekkede misligheter?	15	0	0	0

Svarene fra revisjonsforetakene viser at de i stor grad har etablert retningslinjer og rutiner for gjennomføring av revisjonshandlinger rettet mot misligheter. Et klart flertall av revisjonsforetakene opplyser å ha rutiner som skal sikre diskusjon i revisjonsteamet om mislighetsrisiko, forespørsler til ledelsen og andre relevante personer, innhenting av skriftlige uttalelser, samt rutiner for rapportering til styret og konsultasjon ved mistanke om eller avdekkede misligheter. Dette indikerer at sentrale krav i ISA 240 og ISA 330 i hovedsak er forstått og formelt forankret på foretaksnivå.

Kommentarer til spørsmål 13:
20 prosent av revisjonsforetakene svarer at retningslinjer og rutiner for det etterspurte området er mangelfulle. Revisjonsforetakene har gitt nærmere kommentarer til spørsmålet hvor det opplyses at området er vurdert som mangelfullt fordi de aktuelle revisjonsforetakene mangler skriftlige og tydelige retningslinjer som sikrer at revisor utfører de nødvendige revisjonshandlingene knyttet til mislighetsrisiko, uansett kundens risikoprofil.

Videre har det blitt kommentert at det mangler retningslinjer og rutiner som bidrar til å sikre en rød tråd fra identifisert risiko, særlig risiko for ledelsens overstyring av kontroller, til de revisjonshandlingene som faktisk utføres, og at praksisen i stor grad baseres på profesjonelt skjønn uten systematikk eller etterprøvbar dokumentasjon.

A.1.5 Opplæring og kommunikasjon

Retningslinjer og rutiner for opplæring og kommunikasjon er viktige for å sikre at alle medarbeidere har nødvendig kunnskap og bevissthet om risikoen for misligheter, og hvordan denne skal håndteres i revisjonsarbeidet. Opplæring bidrar til at revisjonsteamene forstår kravene i standardene, kjenner revisjonsforetakets interne retningslinjer og kan anvende disse på en konsekvent måte i praksis. God kommunikasjon, både internt i revisjonsteamene og på tvers av organisasjonen, er avgjørende for at informasjon om identifiserte risikofaktorer, erfaringer og læringspunkter deles og brukes aktivt til kvalitetsforbedring. I mislighetssammenheng er dette særlig viktig fordi manglende forståelse, erfaringsutveksling eller åpenhet kan føre til at signaler på misligheter overses, eller ikke følges opp på en tilstrekkelig måte.

Under følger en oversikt over spørsmål på dette området med tilhørende svar.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
19. Har revisjonsforetaket retningslinjer og rutiner for å sikre at medarbeidere og andre som deltar i lovfestet revisjon har nødvendig kunnskap og erfaring med ISA 240 til å utføre sine oppgaver?	14	1	0	0
20. Har revisjonsforetaket informert medarbeiderne om de gjeldene retningslinjene og rutinene vedrørende etterlevelse av ISA 240 for å sikre at de er kjent med revisors oppgaver med og plikter til å vurdere misligheter ved revisjon av regnskaper?	13	2	0	0

Svarene fra revisjonsforetakene viser at de i stor grad har etablert retningslinjer og rutiner for opplæring og kommunikasjon knyttet til revisors arbeid med misligheter. De fleste revisjonsforetakene har rutiner som skal sikre at medarbeidere som deltar i lovfestet revisjon, har nødvendig kunnskap og erfaring med ISA 240, og at medarbeiderne er informert om gjeldende retningslinjer og rutiner for etterlevelse av standarden. Dette indikerer at betydningen av kompetanse og bevissthet rundt mislighetsrisiko i revisjonsarbeidet er godt forankret på foretaksnivå.

Kommentarer til spørsmål 20:
Når det gjelder svakheter og mangler på dette området, fremgår det av kommentarene til revisjonsforetakene at området er vurdert som mangelfullt fordi disse revisjonsforetakene ikke har etablert tydelige og skriftlige rutiner som sikrer at medarbeidere faktisk informeres om gjeldende retningslinjer og krav i ISA 240. Revisjonsforetakene viser til at temaet kun dekkes indirekte gjennom opplæring i hvitvasking, uten konkret opplæring eller formalisert formidling av kravene i ISA 240.

I tillegg fremgår det at informasjon til medarbeidere i stor grad har skjedd gjennom enkeltstående internmøter, noe som underbygger at kommunikasjonen ikke har vært systematisk eller tilstrekkelig dokumentert.

Samlet viser dette at disse revisjonsforetakene ikke har hatt gode, strukturerte og dokumenterte rutiner som sikrer at medarbeidere kjenner til sine plikter etter ISA 240.

A.1.6 Overvåking og utbedring

Retningslinjer og rutiner for overvåking og utbedring er sentrale for å sikre at revisjonsforetakets kvalitetsstyringssystem fungerer som forutsatt, også når det gjelder håndtering av mislighetsrisiko. Systematisk overvåking gjør det mulig å identifisere svakheter i revisjonsforetakets retningslinjer, rutiner eller praktiske etterlevelse, herunder om revisjonsteamene i tilstrekkelig grad vurderer og følger opp risikoen for misligheter i sine oppdrag. Et strukturert arbeid med utbedring bidrar til at identifiserte mangler blir analysert, korrigerende tiltak iverksatt og læring forankret i organisasjonen. I mislighetssammenheng er dette særlig viktig fordi erfaringer fra konkrete saker eller kvalitetsgjennomganger kan avdekke behov for endringer i metodikk, opplæring eller veiledning, og dermed styrke revisjonsforetakets evne til å forebygge og avdekke misligheter fremover.

Under følger en oversikt over spørsmål på dette området med tilhørende svar.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
21. Har revisjonsforetaket et system for å sikre kvaliteten på etterlevelse av ISA 240?	15	0	0	0
22. Har revisjonsforetaket, for revisjonen av årsregnskapet for 2024, sett til at de systemer, rutiner og retningslinjer som er etablert for å sikre etterlevelse av ISA 240, virker etter hensikten og gjennomført tiltak for å utbedre eventuelle svakheter?	14	1	0	0

Svarene som er gitt av revisjonsforetakene, viser at de i stor grad har etablert systemer og rutiner for overvåking og utbedring knyttet til etterlevelse av ISA 240. Samtlige revisjonsforetak har et kvalitetsstyringssystem som skal sikre at kravene til håndtering av mislighetsrisiko følges, noe som indikerer at overvåking er godt forankret på foretaksnivå. Dette er i tråd med kravene i revisorloven og ISQM 1, og bidrar til å understøtte kvalitet og konsistens i revisjonsutførelsen.

Ett av revisjonsforetakene har mangelfull oppfølging når det gjelder å vurdere om etablerte systemer og rutiner faktisk virker etter hensikten, og til å gjennomføre tilstrekkelige tiltak for å utbedre identifiserte svakheter. Dette indikerer at overvåkingsaktivitetene i noen tilfeller ikke er tilstrekkelig systematiske eller dokumenterte, og at læring og forbedring ikke alltid blir fulgt opp på en strukturert måte.

Samlet sett vurderes området som tilfredsstillende regulert på foretaksnivå, men med et forbedringspotensial knyttet til den løpende evalueringen av effektiviteten i kvalitetsstyringssystemet og gjennomføringen av korrigerende tiltak. Det er generelt viktig at revisjonsbransjen har oppmerksomhet på å sikre at identifiserte svakheter faktisk fører til konkrete forbedringer, slik at overvåking og utbedring i større grad bidrar til kontinuerlig kvalitetsutvikling i revisjonsarbeidet.

A.1.7 Økonomisk kriminalitet og anti-hvitvasking

Retningslinjer og rutiner for utførelsen av revisjon og rutiner som oppfyller kravene i hvitvaskingsloven, er avgjørende for at revisjonsforetaket skal kunne oppfylle sine lovpålagte plikter og bidra til å avdekke og forebygge misligheter og økonomisk kriminalitet. Slike retningslinjer skal sikre at medarbeidere har nødvendig forståelse for hvordan økonomisk kriminalitet kan komme til uttrykk i revisjonskundens virksomhet, og hvordan indikasjoner på dette skal håndteres og rapporteres. Tydelige rutiner bidrar til at revisjonsteamene foretar relevante risikovurderinger, gjennomfører egnede revisjonshandlinger og følger opp funn i tråd med gjeldende regelverk. I mislighetssammenheng er dette særlig viktig fordi manglende oppmerksomhet på økonomisk kriminalitet eller hvitvaskingsrisiko kan føre til at vesentlige misligheter forblir uoppdaget, og at revisjonsselskapet ikke oppfyller sitt samfunnsansvar som uavhengig kontrollfunksjon.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
23. Har revisjonsforetaket retningslinjer og rutiner som forteller de operative revisorene hva økonomisk kriminalitet er?	13	2	0	0
24. Har revisjonsforetaket retningslinjer og rutiner som forteller de operative revisorene hva hvitvasking er?	14	1	0	0
25. Har revisjonsforetaket retningslinjer og rutiner som sier at risikoen for økonomisk kriminalitet skal hensyntas som en del av risikovurderingen på revisjonsoppdraget?	15	0	0	0
26. Har revisjonsforetaket retningslinjer og rutiner som sier hvordan revisorene i revisjonsforetaket skal kurses og læres opp i hvordan økonomisk kriminalitet kan identifiseres og håndteres i revisjonsarbeidet?	14	1	0	0
27. Har revisjonsforetaket retningslinjer og rutiner som sier hvordan revisorene i revisjonsforetaket skal kurses og læres opp i hvordan hvitvasking kan identifiseres og håndteres i revisjonsarbeidet?	15	0	0	0
28. Har revisjonsforetaket retningslinjer og rutiner for å håndtere situasjoner der det oppdages forhold som kan indikere økonomisk kriminalitet?	15	0	0	0
29. Har revisjonsforetaket retningslinjer og rutiner for å sikre at informasjon som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering, oversendes til Økokrim?	15	0	0	0

Svarene fra revisjonsforetakene viser at de i stor grad har etablert retningslinjer og rutiner knyttet til håndtering av økonomisk kriminalitet, herunder hvitvasking. Et klart flertall av revisjonsforetakene har rutiner som definerer hva økonomisk kriminalitet og hvitvasking er, og som skal sikre at risikoen for slike forhold inngår som en integrert del av risikovurderingen på revisjonsoppdrag. Videre har samtlige revisjonsforetak etablert rutiner for håndtering av indikasjoner på økonomisk kriminalitet, samt for rapportering av forhold som gir grunnlag for mistanke om hvitvasking eller terrorfinansiering til Økokrim.

Kommentarer til spørsmål 23:
Kommentarene viser at revisjonsforetakene mener området er mangelfullt fordi de mangler tydelige eller skriftlige retningslinjer som forklarer hva økonomisk kriminalitet er for operative revisorer. Temaet er kun indirekte omtalt gjennom krav om opplæring i hvitvaskingsregelverket, og er ikke eksplisitt beskrevet i foretakenes retningslinjer eller opplæringsprogram. Dette innebærer at revisorer ikke sikres en klar, felles forståelse av hva som utgjør økonomisk kriminalitet, noe som kan føre til ujevn praksis og manglende etterlevelse i revisjonsarbeidet.

A.2 Oppdragsnivå

A.2.1 Diskusjon i revisjonsteamet

God revisjonsskikk krever at det gjennomføres diskusjon i revisjonsteamet, og diskusjonen skal legge spesielt vekt på hvordan og hvor enhetens regnskap kan være eksponert for vesentlig feilinformasjon som skyldes misligheter, herunder hvordan misligheter kan oppstå, jf. revisorloven § 9-4 tredje ledd første punktum og ISA 240 punkt 16.

Diskusjonen i revisjonsteamet er en sentral del av revisors arbeid med å identifisere og vurdere risikoen for misligheter. En grundig og åpen drøfting bidrar til at teamet deler erfaringer, vurderer mulige mislighetsområder og utfordrer hverandres antakelser. Dette styrker den profesjonelle skepsisen og reduserer risikoen for at vesentlige forhold overses. I mislighetssammenheng er slike diskusjoner særlig viktige fordi misligheter ofte innebærer bevisst skjuling av informasjon, og derfor krever et aktivt og kritisk revisjonsteam som vurderer ulike scenarioer og mulige motiv for uregelmessigheter.

Under følger en oversikt over spørsmål på dette området med tilhørende svar.

Spørsmål

Oppsummert antall svar

Mangelfullt

Nei

1. Oppdragsansvarlig revisor og andre sentrale medlemmer av revisjonsteamet skal diskutere anvendelsen av det gjeldende rammeverket for finansiell rapportering og i hvilken grad enhetens regnskap kan inneholde vesentlig feilinformasjon. Diskusjonen i revisjonsteamet og de viktige beslutningene som er fattet skal inkluderes i revisjonsdokumentasjonen.

Fremgår det spesielt av revisjonsdokumentasjonen fra denne diskusjonen hvordan og hvor enhetens regnskap kan være eksponert for vesentlig feilinformasjon som skyldes misligheter, herunder hvordan misligheter kan oppstå?

Svarene fra revisjonsforetakene viser at de i hovedsak har etablert retningslinjer og rutiner som sikrer at det gjennomføres diskusjon i revisjonsteamet om hvordan og hvor regnskapet kan være eksponert for vesentlig feilinformasjon som følge av misligheter. For et klart flertall av de gjennomgåtte revisjonsoppdragene fremgår det av revisjonsdokumentasjonen at slike diskusjoner er gjennomført, og at sentrale forhold knyttet til mislighetsrisiko er identifisert og drøftet. Samtidig viser resultatene fra tematilsynet at området er håndtert mangelfullt i 19 prosent av oppdragene.

Kommentarer til spørsmål 1:
Blant revisjonsforetakene som har svart «Mangelfullt», vises det til at den mangelfulle gjennomføringen knyttet til diskusjonen om anvendelsen av det gjeldende rammeverket for finansiell rapportering og i hvilken grad enhetens regnskap kan inneholde vesentlig feilinformasjon, skyldes at dokumentasjonen av teamdiskusjonen ikke tydelig viser hvordan og hvor regnskapet kan være eksponert for misligheter. Tilbakemeldingene sier at teammøter er gjennomført og at misligheter er diskutert, men uten at vurderingene er dokumentert på et tilstrekkelig konkret nivå. I flere tilfeller fremgår kun konklusjonen av diskusjonen, mens selve vurderingene og identifiserte mislighetsrisikoer ikke er nedtegnet. Det er også vist til revisjonsverktøyets relevante punkter, men dokumentasjonen er vurdert som overordnet og mangelfull. Samlet indikerer kommentarene at disse revisjonsforetakene i begrenset grad har dokumentert de vurderingene ISA 240 punkt 16 krever skal at fremgå eksplisitt av revisjonsfilen.

Finanstilsynet vil fremheve viktigheten av at oppdragsansvarlig revisor deltar aktivt i disse møtene. Deres erfaring, faglige vurderingsevne og kjennskap til bransje og kunde er avgjørende for å sikre en grundig og målrettet drøfting av hvor og hvordan misligheter kan oppstå. Oppdragsansvarlig revisors engasjement bør bidra til bedre kvalitet i risikovurderingene, styrke teamets profesjonelle skepsis og legge et solid grunnlag for planlegging og gjennomføring av revisjonen.

A.2.2 Opparbeidelse av forståelse av enheten og dens omgivelser

Det vises til punkt 4.2.1 i tilsynsrapporten for hovedfunn på dette området. Under følger en oversikt over øvrige spørsmål på dette området med tilhørende svar.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
2. Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av enhetens: a) organisasjonsstruktur, og b) hvordan og i hvilken grad iboende risikofaktorer knyttet til organisasjonsstrukturen kan medføre feilinformasjon i regnskapet som følge av misligheter?	61	7	5	0
3. Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av enhetens: a) eierskap, og b) hvordan og i hvilken grad iboende risikofaktorer knyttet til eierskapet kan medføre feilinformasjon i regnskapet som følge av misligheter?	63	10	0	0
4. Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av enhetens: a) styring og kontroll, og b) hvordan og i hvilken grad iboende risikofaktorer knyttet til styring og kontroll kan medføre feilinformasjon i regnskapet som følge av misligheter?	61	12	0	0
5. Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av enhetens: a) forretningsmodell, og b) hvordan og i hvilken grad iboende risikofaktorer knyttet til forretningsmodellen kan medføre feilinformasjon i regnskapet som følge av misligheter?	61	12	0	0
6. Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av: a) bransjemessige faktorer, og b) hvordan og i hvilken grad iboende risikofaktorer knyttet til bransjemessige faktorer kan medføre feilinformasjon i regnskapet som følge av misligheter?	60	13	0	0
7. Omtalt under punkt 4.2.1 i tilsynsrapporten.
8. Omtalt under punkt 4.2.1 i tilsynsrapporten.
9. Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av: a) det gjeldende rammeverket for finansiell rapportering, enhetens regnskapspolicyer og årsakene til eventuelle endringer i disse, og b) hvordan og i hvilken grad iboende risikofaktorer knyttet til det gjeldende rammeverket for finansiell rapportering, enhetens regnskapspolicyer og årsakene til eventuelle endringer i disse, kan medføre feilinformasjon i regnskapet som følge av misligheter?	61	11	1	0
10. Fremgår det av revisjonsdokumentasjonen at revisor har vurdert hvorvidt enhetens regnskapsprinsipper er hensiktsmessige og i samsvar med det gjeldende rammeverket for den finansielle rapporteringen?	66	7	0	0

Svarene fra revisjonsforetakene viser at de i hovedsak har etablert rutiner og praksis som skal sikre at revisor opparbeider seg en bred og relevant forståelse av enheten og dens omgivelser. For de fleste oppdragene fremgår det av revisjonsdokumentasjonen at revisor har vurdert sentrale forhold som organisasjonsstruktur, eierskap, styring og kontroll, forretningsmodell, bransjemessige faktorer samt gjeldende rammeverk for finansiell rapportering. Dette indikerer at kravene i revisorloven og ISA 315 i stor grad er kjent og etterlevd i praksis. Samtidig avdekker tilsynet områder hvor det er et forbedringspotensial, og som kommenteres nærmere i det følgende.

Kommentarer til spørsmål 2:
Basert på revisjonsforetakenes kommentarer til spørsmålet vises det til at området er vurdert som mangelfullt fordi revisjonsforetakene ikke dokumenterer tilstrekkelig hvordan organisasjons-strukturen er vurdert som en kilde til mislighetsrisiko. Selv om organisasjonsstrukturen ofte er beskrevet, mangler det en tydelig og konkret kobling mellom strukturen og mulige iboende risikofaktorer for misligheter.

Forståelsen for enhetens organisasjonsstruktur er viktig for å kunne utføre en god risikovurdering. Eksempler på mislighetsrisikofaktorer kan være

konsentrert makt hos én eller få personer, uten reell kontroll fra styret
manglende arbeidsdeling, f.eks. at én person både godkjenner, bokfører og attesterer transaksjoner
uklare roller og ansvar, som gjør det vanskelig å plassere kontrollansvar
komplekse selskapsstrukturer, med mange enheter eller nærstående, som kan skjule transaksjoner
svakt eller passivt styre, som ikke følger opp ledelsen eller stiller kritiske spørsmål
hyppige endringer i ledelse eller organisering, som kan skape kontrollsvakheter
desentraliserte enheter uten tilstrekkelig kontrollfunksjoner, f.eks. lokale avdelinger med stor autonomi

Kommentarer til spørsmål 4:
I 16 prosent av oppdragene er det svart at dette området er håndtert mangelfullt. Basert på revisjonsforetakenes kommentarer til punktet vises det til at forståelsen av enhetens styring og kontroll ikke er tilstrekkelig knyttet til vurderingen av mislighetsrisiko. Selv om styring og kontroll ofte er beskrevet på et overordnet nivå, mangler dokumentasjonen en konkret vurdering av hvordan iboende risikofaktorer på dette området kan føre til mislighetsrelatert feilinformasjon i regnskapet. I flere tilfeller er det ikke gjort eksplisitte vurderinger av koblingen mellom identifiserte mislighetsrisikoer, som risiko for ledelsens overstyring av kontroller, og enhetens styrings- og kontrollmiljø. Tilbakemeldingene viser også at omtalen av styring og kontroll enkelte steder er knapp, uten eksplisitt konklusjon, eller behandlet som om forholdene ikke er relevante. Samlet indikerer kommentarene at dokumentasjonen ikke i tilstrekkelig grad viser hvordan revisor har vurdert betydningen av styring og kontroll som kilde til mislighetsrisiko.

På et av oppdragene forklarer revisjonsforetaket at omtalen av selskapets styring og kontroll i revisjonsfilen er knapp som følge av at styret, ledelsen og aksjonærene er identiske, og dermed er vurdering av mislighetsrisiko lite relevant. Ut fra et mislighetsperspektiv øker i utgangspunktet mislighetsrisikoen når makt er samlet hos én eller få personer. Revisjonsforetakets forklaring indikerer at det har misforstått viktigheten av å forstå enhetens styring og kontroll ut fra et mislighetsperspektiv.

Forståelsen for enhetens styring og kontroll er viktig for å kunne utføre en god risikovurdering. For eksempler på mislighetsrisikofaktorer vises det til eksemplene som er nevnt i kommentarene til spørsmål 2.

Kommentarer til spørsmål 5:
I 16 prosent av oppdragene er det svart at dette området er håndtert mangelfullt.

Basert på revisjonsforetakenes kommentarer vurderes revisjonen som mangelfull fordi dokumentasjonen ikke viser hvordan forretningsmodellen er knyttet til vurderingen av mislighetsrisiko. Selv om forretningsmodellen ofte er beskrevet, mangler det en konkret vurdering av hvordan iboende risikofaktorer ved modellen kan medføre mislighetsrelatert feilinformasjon i regnskapet. Dokumentasjonen er gjennomgående for knapp, og omtalen av risiko knyttet til forretningsmodellen er enten fraværende eller ikke tilstrekkelig spesifikk.

Forståelsen for enhetens forretningsmodell er viktig for å kunne utføre en god risikovurdering. Eksempler på mislighetsrisikofaktorer kan være

komplekse eller uvanlige inntektsmodeller
høy grad av skjønn i verdsettelse eller estimater
bruk av nærstående eller integrerte selskapsstrukturer
kontantbaserte eller vareintensive modeller
forretningsmodeller med høyt resultatpress eller vekstkrav
modeller som forutsetter bruk av mange tredjeparter

Kommentarer til spørsmål 6:
I 18 prosent av oppdragene er det svart at dette området er håndtert mangelfullt. Basert på revisjonsforetakenes kommentarer vurderes revisjonen som mangelfull fordi dokumentasjonen ikke viser hvordan bransjemessige risikofaktorer er vurdert med tanke på misligheter. Selv om bransjemessige forhold ofte er omtalt, mangler det en konkret og tydelig vurdering av hvordan iboende risikofaktorer i bransjen kan medføre mislighetsrelatert feilinformasjon i regnskapet. I flere tilfeller er vurderingene for knappe eller for lite spesifikke, og dokumentasjonen fremhever ikke hvordan bransjens særtrekk kan skape mislighetsrisiko.

Forståelsen av bransjemessige faktorer er viktig for å kunne utføre en god risikovurdering. Eksempler på mislighetsrisikofaktorer kan være

kontantintensive bransjer
bygg- og anleggsbransjen
eiendomsutvikling og prosjektbasert virksomhet
bransjer med høy reguleringsgrad
teknologi- og oppstartsbedrifter
import-/eksport og handelsvirksomhet
ideelle organisasjoner og tilskuddsavhengige virksomheter

A.2.3 Opparbeidelse av forståelse av komponentene i enhetens internkontrollsystem

Det vises til punkt 4.2.2 i tilsynsrapporten for hovedfunn på dette området. Under følger en oversikt over øvrige spørsmål på dette området med tilhørende svar.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
11. Kontrollmiljø Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av kontrollmiljøet som er relevant for utarbeidelsen av regnskapet, og at revisor har evaluert hvorvidt: (i) Ledelsen, under oppsyn av dem som har overordnet ansvar for styring og kontroll, har utformet og opprettholdt en kultur som fremmer ærlighet og etisk atferd; (ii) Kontrollmiljøet utgjør et hensiktsmessig grunnlag for de andre komponentene i enhetens internkontrollsystem tatt i betraktning enhetens type og kompleksitet; og (iii) Identifiserte svakheter ved kontrollmiljøet kan undergrave de andre komponentene i enhetens internkontrollsystem?	65	8	0	0
12. Enhetens risikovurderingsprosess Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av risikovurderingsprosessen som er relevant for utarbeidelsen av regnskapet, og at revisor har vurdert hvorvidt: (i) enhetens risikovurderingsprosess er hensiktsmessig ut fra enhetens omstendigheter, tatt i betraktning enhetens type og kompleksitet?	60	13	0	0
13. Enhetens prosess for overvåking av internkontrollsystemet Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av prosessen for overvåking av internkontrollsystemet som er relevant for utarbeidelsen av regnskapet, og at revisor har vurdert hvorvidt: (i) enhetens prosess for overvåking av internkontrollsystemet er hensiktsmessig ut fra enhetens omstendigheter tatt i betraktning enhetens type og kompleksitet?	61	10	1	1
14. Informasjonssystem og kommunikasjon Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av informasjonssystemet og kommunikasjon som er relevant for utarbeidelsen av regnskapet, og at revisor har vurdert hvorvidt: (i) enhetens informasjonssystem og kommunikasjon understøtter utarbeidelsen av enhetens regnskap i samsvar med det gjeldende rammeverket for finansiell rapportering, på en hensiktsmessig måte?	68	5	0	0
15. Omtalt under punkt 4.2.2 i tilsynsrapporten.

Svarene fra revisjonsforetakene viser at de i hovedsak har etablert rutiner og praksis som sikrer at revisor opparbeider seg en forståelse av de sentrale komponentene i enhetens internkontrollsystem. For et klart flertall av de gjennomgåtte revisjonsoppdragene fremgår det av revisjonsdokumentasjonen at revisor har vurdert kontrollmiljø, risikovurderingsprosess, overvåking av internkontrollsystemet, informasjonssystem og kommunikasjon. Dette indikerer at kravene i revisorloven og ISA 315 i stor grad er kjent og etterlevd i praksis.

Samtidig er dokumentasjonen på flere oppdrag vurdert som mangelfull, særlig når det gjelder vurderingen av enhetens prosess for overvåking av internkontrollsystemet og forståelse for kontrollaktiviteter som er relevante for utarbeidelsen av regnskapet.

Kommentarer til spørsmål 12:
I 18 prosent av oppdragene er det svart «Mangelfullt» på dette området. Basert på revisjonsforetakenes kommentarer vurderes revisjonen som mangelfull fordi dokumentert vurdering av enhetens risikovurderingsprosess er for overordnet og generell. Dokumentasjonen mangler tydelighet, dybde og konkret vurdering av om risikovurderingsprosessen faktisk er hensiktsmessig sett opp mot virksomhetens art og kompleksitet. I flere tilfeller er vurderinger kun omtalt i generelle termer i planleggingsnotater, uten at selve analysen eller konklusjonen er dokumentert. Gjennomgående fremstår arbeidet som tynt, med manglende drøftelser og uten tilstrekkelig underbygging av revisors vurdering av prosessens egnethet.

Kommentarer til spørsmål 13:
Basert på revisjonsforetakenes kommentarer vurderes revisjonen som mangelfull fordi revisor gjennomgående har dokumentert prosessen for overvåking av internkontrollsystemet for svakt og for generelt, uten å foreta en tydelig vurdering av om overvåkingsprosessen faktisk er hensiktsmessig sett opp mot virksomhetens type og kompleksitet. I flere oppdrag er det kun gitt korte eller overordnede beskrivelser, uten konkret drøftelse av effektivitet, svakheter eller hvordan prosessen fungerer i praksis. Selv om rutiner er omtalt, mangler dokumentasjonen revisors egen vurdering av prosessens egnethet, og i enkelte tilfeller er det kun konkludert basert på tester på andre revisjonsområder.

A.2.4 Identifisering og vurdering av risikoen for vesentlig feilinformasjon som skyldes misligheter

Det vises til punkt 4.2.3 i tilsynsrapporten for hovedfunn på dette området. Under følger en oversikt over øvrige spørsmål på dette området med tilhørende svar.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
16. Fremgår det av revisjonsdokumentasjonen at revisor, basert på revisors forståelse av enheten og dens omgivelser, det gjeldende rammeverk for finansiell rapportering og enhetens internkontrollsystem, har identifisert risikoene for vesentlig feilinformasjon som følge av misligheter og fastslått hvorvidt de foreligger på: (a) Regnskapsnivå, eller (b) Påstandsnivå for transaksjonsklasser, kontosaldoer og tilleggsopplysninger?	62	11	0	0
17. Omtalt under punkt 4.2.3 i tilsynsrapporten.
18. Ved identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter, skal revisor ta utgangspunkt i antakelsen om at det foreligger risikoer for misligheter ved inntektsføring og vurdere hvilke typer inntekter, inntektstransaksjoner eller påstander som kan føre til slike risikoer. Fremgår det av revisjonsdokumentasjonen at revisor ved identifisering og vurdering av risikoene for vesentlig feilinformasjon som skyldes misligheter har tatt utgangspunkt i antakelsen om at det foreligger risikoer for misligheter ved inntektsføring?	67	4	1	1
19. Hvis svaret på spørsmål 18 er "Ja", fremgår det av revisjonsdokumentasjonen at revisor har vurdert hvilke konkrete typer inntekter, inntektstransaksjoner eller påstander (fullstendighet, gyldighet og periodisering) som kan føre til slike risikoer?	59	9	0	5
20. Hvis svaret på spørsmål 18 er "Nei", fremgår det av revisjonsdokumentasjonen at revisor har begrunnet denne konklusjonen på en tilfredsstillende måte?	2	0	0	71

Resultatene fra tematilsynet viser at spørsmål 17 som omhandler ledelsens overstyring av kontroller, skiller seg tydelig ut som mangelfull. Det vises til punkt 4.2.3 for nærmere omtale av dette spørsmålet.

Kommentarer til spørsmål 16:
Det fremgår av kommentarene revisjonsforetakene har gitt at de vurderer revisjonen som mangelfull fordi risikoen for vesentlig feilinformasjon som følge av misligheter ikke er tilstrekkelig splittet eller konkretisert på regnskapsnivå og på påstandsnivå. Selv om risikovurderingen generelt fremgår av dokumentasjonen, er den ofte presentert på et overordnet nivå uten tydelig angivelse av hvilke risikoer som gjelder på regnskapsnivå, og hvilke som er knyttet til konkrete transaksjonsklasser, kontosaldoer eller tilleggsopplysninger. Dermed fremgår ikke den nødvendige presiseringen og nivådelingen som ISA 315 punkt 28 krever.

Kommentarer til spørsmål 18:
Når det gjelder spørsmål 18 er det svart «Ja» i 92 prosent av oppdragene, hvilket gir et positivt bilde. Dette er imidlertid et område hvor Finanstilsynet ved tilsyn ofte avdekker svakheter, mangler og manglende profesjonell skepsis.

Finanstilsynets erfaring fra andre tilsyn viser at i flere tilfeller hvor revisor har lagt til grunn antakelsen om at det foreligger risikoer for misligheter ved inntektsføring, er det svakheter og mangler ved revisjonen. Dette kan dreie seg om manglende eller uklar vurdering av hvilke

konkrete inntektsstrømmer det antas å være knyttet mislighetsrisiko til
konkrete påstander mislighetsrisikoen er knyttet til (f.eks. fullstendighet, gyldighet og/eller periodisering)
perioder det antas å foreligge mislighetsrisiko, eventuelt om det gjelder hele året
konkrete metoder for gjennomføring av misligheter knyttet til inntektsføring som kan være relevante

Det er en presumpsjon at revisor skal ta utgangspunkt i at det foreligger risiko for misligheter ved inntektsføring. Finanstilsynets erfaring fra tilsyn er at denne antakelsen ofte tilbakevises uten at revisor har tilstrekkelig grunnlag for å gjøre det. Det er revisors profesjonelle skjønn som skal legges til grunn. I ISA 240 punkt A31 er det gitt eksempel på et tilfelle hvor det kan være mulig å tilbakevise denne antakelsen, og eksempelet er ment som en veiledning når revisors skal utføre profesjonelt skjønn. Eksempelet viser til tilfeller hvor det kun foreligger én type inntektstransaksjon, for eksempel leieinntekt fra ett enkelt utleieobjekt. Eksempelets form og art underbygger at inntektsområdet skal være meget enkelt og oversiktlig for at mislighetsrisiko ved inntektsføring skal kunne tilbakevises.

Når revisor skal vurdere dette forholdet bør det blant annet tas hensyn til om det foreligger press eller incentiver overfor ledelsen til å begå uredelig regnskapsrapportering gjennom uriktig inntektsføring. I foretak hvor ledelsen for eksempel har incentivordninger basert på omsetning eller resultat, kombinert med regnskapsføring av inntekter etter løpende avregningsmetoden, vil det normalt være vanskelig å tilbakevise at det ikke er mislighetsrisiko på inntektsområdet.

Kommentarer til spørsmål 19 og 20:
Når det på spørsmål 19 er svart «IA» på fem av oppdragene, betyr det i de fleste tilfellene at presumpsjonen om mislighetsrisiko ved inntektsføring ikke er lagt til grunn på spørsmål 18, og spørsmål 19 dermed ikke er aktuelt. Når det på spørsmål 20 er svart «IA» på 71 av oppdragene betyr det for de fleste oppdragene at presumpsjonen om mislighetsrisiko ved inntektsføring ble lagt til grunn på spørsmål 18, og at spørsmål 20 dermed ikke er aktuelt.

A.2.5 Handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter

Det vises til punkt 4.2.4 i tilsynsrapporten for hovedfunn på dette området. Under følger en oversikt over øvrige spørsmål på dette området med tilhørende svar.

Spørsmål	Oppsummert antall svar
	Ja	Mangelfullt	Nei	IA
21. Omtalt under punkt 4.2.4 i tilsynsrapporten.
22. Fremgår det av revisjonsdokumentasjonen at revisor har rettet forespørsler til ledelsen (CEO/administrerende direktør/daglig leder), og andre personer i enheten etter behov, for å fastslå hvorvidt de har kjennskap til eventuelle faktiske, mistenkte eller påståtte misligheter som påvirker enheten?	63	10	0	0
23. Fremgår det av revisjonsdokumentasjonen at revisor har opparbeidet seg en forståelse av hvordan de som har overordnet ansvar for styring og kontroll fører tilsyn med ledelsens prosesser for å identifisere og håndtere risikoene for misligheter i enheten og kontrollene som ledelsen har opprettet for å redusere disse risikoene?	25	11	9	28
24. Fremgår det av revisjonsdokumentasjonen at revisor har rettet forespørsler til alle som har overordnet ansvar for styring og kontroll (styret, og eventuelt revisjonsutvalg), og andre personer i enheten etter behov, for å fastslå hvorvidt de har kjennskap til eventuelle faktiske, mistenkte eller påståtte misligheter som påvirker enheten?	34	10	11	18
25. Omtalt under punkt 4.2.4 i tilsynsrapporten.
26. Omtalt under punkt 4.2.4 i tilsynsrapporten.
27. Revisor skal ta utgangspunkt i antakelsen om at det foreligger risiko for misligheter ved inntektsføring og vurdere hvilke typer inntekter, inntektstransaksjoner eller påstander som kan føre til slike risikoer, jf. punkt 18. Med utgangspunkt i den konkrete mislighetsrisikoen som revisor har vurdert og dokumentert i punkt 18 vedrørende type inntekt, inntektstransaksjoner og påstander (fullstendighet, gyldighet og periodisering), er det utført tilstrekkelig med revisjonshandlinger rettet mot den særskilte risikoen (mislighetsrisikoen) som er identifisert under punkt 18?	68	3	0	2
28. Omtalt under punkt 4.2.4 i tilsynsrapporten.
29. Har revisor utformet og gjennomført revisjonshandlinger for å teste hensiktsmessigheten av posteringer i hovedboken, og andre justeringer som er foretatt ved utarbeidelsen av regnskapet med tanke på misligheter?	58	12	0	3
30. Har revisor utformet og gjennomført revisjonshandlinger for å gjennomgå regnskapsestimater med sikte på manglende objektivitet og vurdert hvorvidt eventuelle omstendigheter som er årsak til den manglende objektiviteten, utgjør en risiko for vesentlig feilinformasjon som skyldes misligheter?	58	11	0	4
31. Dersom revisor har funnet at en anslått risiko for vesentlig feilinformasjon på påstandsnivå er en særskilt risiko (mislighetsrisiko), skal revisor utføre substanshandlinger som er spesielt tilpasset denne risikoen. Når angrepsvinkelen til en særskilt risiko bare består av substanshandlinger, skal disse kontrollene omfatte detaljtester. Fremgår det av revisjonsdokumentasjonen at revisor, for de mislighetsrisikoene som revisor har identifisert, har utført detaljtester mot den identifiserte mislighetsrisikoen, når angrepsvinkelen bare består av substanshandlinger?	65	4	0	4
32. Har revisor innhentet skriftlig uttalelse fra ledelsen (CEO/administrerende direktør/daglig leder) og fra dem som har overordnet ansvar for styring og kontroll (styret), om at: (a) de erkjenner sitt ansvar for utformingen, iverksettelsen og vedlikeholdet av intern kontroll for å forhindre og avdekke misligheter, (b) de har opplyst revisor om resultatene av ledelsens vurdering av risikoen for at regnskapet kan inneholde vesentlig feilinformasjon som skyldes misligheter, (c) de har opplyst revisor om sin kjennskap til misligheter eller mistanke om misligheter som påvirker enheten og som omfatter: (i) ledelsen, (ii) ansatte som utfører betydelige oppgaver i den interne kontrollen, eller (iii) andre der misligheter kan ha en vesentlig innvirkning på regnskapet, og (d) den har opplyst revisor om sin kjennskap til eventuelle påstander om misligheter eller mistanke om misligheter som påvirker enhetens regnskap, som er kommunisert av ansatte, tidligere ansatte, analytikere, tilsynsmyndigheter eller andre?	72	1	0	0

Resultatene fra tematilsynet viser at de involverte revisjonsforetakene i stor grad gjennomfører revisjonshandlinger for å håndtere identifiserte mislighetsrisikoer. Samtidig avdekker tilsynet et forbedringspotensial på flere områder.

Kommentarer til spørsmål 22:
Basert på revisjonsforetakenes kommentarer fremkommer det at i mange tilfeller er forespørsel gjennomført, men mangelfull fordi dokumentasjonen er utilstrekkelig. Samlet viser dette at revisjonsforetakene i stor grad gjennomfører handlingene, men at mangelfull og utydelig dokumentasjon gjør at kravene i ISA 240 punkt 19 ikke kommer tydelig nok frem i revisjonsfilen.

Kommentarer til spørsmål 23 og 24:
På spørsmål 23 og 24 er det svart «IA» på henholdsvis 28 og 18 oppdrag. Dette forklares gjennomgående med at de som har overordnet ansvar for styring og kontroll, og ledelsen, er de samme personene.

Kommentarer til spørsmål 29:
Tilbakemeldingene fra revisjonsforetakene viser at selv om enkelte handlinger er gjennomført, fremgår det ikke tydelig av dokumentasjonen at disse er utformet eller utført med særskilt søkelys på mislighetsrisiko. Revisjonshandlinger som kontroll av sluttposteringer, gjennomgang av uvanlige transaksjoner og vurdering av estimater er ofte dokumentert som generelle revisjonshandlinger, uten at koblingen til mislighetsrisiko er spesifisert. I flere oppdrag er testing av hovedboksposteringer begrenset eller ikke utført utover vurdering av periodiseringer eller bistand ved årsavslutning. Samlet indikerer kommentarene at revisjonsforetakene i mange tilfeller har gjennomført enkelte relevante handlinger, men at dokumentasjonen er for knapp eller for generelt utformet til å oppfylle kravene i ISA 240 punkt 33 (a).

Finanstilsynet har erfaring fra tilsyn hvor revisor har levert teknisk utarbeidelse av årsregnskapet, og hvor transaksjonene revisor har vurdert og kontrollert, er avslutningsposteringer knyttet til den tekniske utarbeidelsen, og ikke noen testing med utgangspunkt i hovedbok. Dette underbygger manglende forståelse av kravet i ISA 240 punkt 33 (a).

På tre av oppdragene har revisor svart «IA». Dette begrunnes med at risikoen for ledelsens overstyring av kontroller er vurdert til å være lav eller ikke eksisterende. Dette underbygger manglende forståelse for ISA 240 punkt 32, som sier at det alltid er knyttet mislighetsrisiko til ledelsens overstyring av kontroller.

Note

1) Økokrim (2024) Økokrims trusselvurdering 2024 – omfattende trusler mot samfunn og næringsliv, samt FATF (2026) Cyber‑Enabled Fraud – Digitalisation and Money Laundering, Terrorist Financing and Proliferation Financing Risks.

Tematilsynsrapporter revisorer og revisjonsselskaper

Tematilsyn - økonomisk kriminalitet og misligheter

1. Bakgrunn og formål

2. Gjennomføring av tematilsynet

3. Oppsummering

4. Hovedfunn med forbedringsbehov

4.1 Foretaksnivå

4.1.1 Identifisering og vurdering av risikoene for vesentlig feilinformasjon som følge av misligheter

4.1.2 Gjennomføring av revisjonshandlinger rettet mot misligheter

4.1.3 Rapportering

4.2 Oppdragsnivå

4.2.1 Opparbeidelse av forståelse av enheten og dens omgivelser

4.2.2 Opparbeidelse av forståelse av komponentene i enhetens internkontrollsystem

4.2.3 Identifisering og vurdering av risikoen for vesentlig feilinformasjon som skyldes misligheter

4.2.4 Handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter

Vedlegg A

A1 Foretaksnivå

A.1.1 Aksept og fortsettelse

A.1.2 Opparbeidelse av forståelse av enheten og dens omgivelser, det gjeldende rammeverk for finansiell rapportering og enhetens internkontrollsystem

A.1.3 Identifisering og vurdering av risikoene for vesentlig feilinformasjon som følge av misligheter

A.1.4 Gjennomføring av revisjonshandlinger rettet mot misligheter

A.1.5 Opplæring og kommunikasjon

A.1.6 Overvåking og utbedring

A.1.7 Økonomisk kriminalitet og anti-hvitvasking

A.2 Oppdragsnivå

A.2.1 Diskusjon i revisjonsteamet

A.2.2 Opparbeidelse av forståelse av enheten og dens omgivelser

A.2.3 Opparbeidelse av forståelse av komponentene i enhetens internkontrollsystem

A.2.4 Identifisering og vurdering av risikoen for vesentlig feilinformasjon som skyldes misligheter

A.2.5 Handlinger for å håndtere de vurderte risikoene for vesentlig feilinformasjon som skyldes misligheter

Note

Tematilsynsrapporter revisorer og revisjonsselskaper