Hopp til hovedinnhold
internrutiner+overordnet kontroll
hoy
Funnet i 12 rapporter

Sviktende internkontroll og overordnet styrebehandling

Foretaket har gjennomgående mangler i det overordnede kontrollsystemet: revisors uavhengige bekreftelser behandles ikke av styret, egenevalueringer av risikostyring gjennomføres ikke årlig, interne kvalitetskontroller utelates, og rutiner for klagebehandling, oppdragskontroll og kartlegging av oppdragsgivers internkontroll er fraværende eller utilstrekkelige. Mønsteret indikerer at styret ikke utøver reell overordnet kontroll, og at etterlevelse av risikostyringsforskriften og ISQC 1/ISQM 1 behandles som en formalitet fremfor en løpende forpliktelse.

Tegn på problem

  • Styremøteprotokoller mangler punkt om behandling av revisors uavhengige bekreftelse
  • Revisors bekreftelse er datert etter styrets behandling av risikodokumentet
  • Ingen dokumentasjon på at egenevaluering av risikostyring er gjennomført inneværende eller foregående år
  • Intern kvalitetskontroll ikke gjennomført eller dokumentert for ett eller flere år
  • ISQC 1/ISQM 1-dokument mangler rutiner for klager og beskyldninger om regelbrudd
  • Manglende kriterier for når oppdragskontrollør skal oppnevnes, eller manglende oppnevning i praksis
  • Oppdragsmappe mangler dokumentasjon på kartlegging av oppdragsgivers rutiner og internkontroll
  • Tidligere anbefalinger fra intern- eller eksternrevisjon ikke fulgt opp i etterfølgende periode
  • Risikovurderingsskjemaer uten dato, ansvarlig person eller sporbar godkjenning
  • Oppdrag med gjentatte presiseringer eller forbehold i revisjonsberetningen ikke identifisert i overvåkingssystemet

Forebyggende tiltak

  • Fastsett fast årlig styreagenda-punkt for behandling og protokollføring av revisors uavhengige bekreftelse, med krav om at bekreftelsen foreligger før styret behandler risiko- og internkontrollvurderingen
  • Implementer årshjul med faste frister for egenevaluering av risikostyring og internkontroll i henhold til forskriften, med automatisk påminnelse til daglig leder og styreleder
  • Gjennomfør intern kvalitetskontroll av revisjons- eller regnskapsutførelsen hvert år og dokumenter resultatet i et dedikert kontrollnotat som arkiveres i kvalitetssystemet
  • Oppdater ISQC 1/ISQM 1-dokumentet med eksplisitte rutiner for mottak, registrering og behandling av klager og beskyldninger om regelbrudd, inkludert ansvarlig person og eskaleringsløp
  • Definer skriftlige kriterier for når oppdragskontrollør er påkrevd, og innfør sjekkliste i oppdragsåpningen som bekrefter at vurderingen er gjort og eventuell oppnevning er dokumentert
  • Krev at kartlegging av oppdragsgivers rutiner og internkontroll dokumenteres i oppdragsmappen ved oppstart og ved vesentlige endringer hos oppdragsgiver, med obligatorisk gjennomgang ved årsavslutning
  • Etabler et register over oppdrag med gjentatte presiseringer eller forbehold, med halvårlig gjennomgang av styret og dokumentert oppfølgingsplan per oppdrag
  • Innfør systematisk oppfølging av forbedringstiltak fra interne og eksterne kontroller ved å loggføre hvert tiltak med frist, ansvarlig og lukkedato, og rapportere status til styret kvartalsvis
  • Gjennomfør rotårsaksanalyse (jf. ISQM 1 pkt. 40–41) ved alle identifiserte systemsvakheter, og utarbeid tiltaksplan med konkrete tiltak, ansvarlige og frister som forelegges styret

Relevante tilsynsrapporter

Hjemler

annet
    Sviktende internkontroll og overordnet styrebehandling | Tilsynslæring | Kundeoversikt | Kundeoversikt