Hopp til hovedinnhold
dokumentasjon+internrutiner
kritisk
Funnet i 17 rapporter

Mangelfull risikovurdering og standardisert dokumentasjon uten reell tilpasning til oppdraget

Foretaket gjennomfører ikke tilstrekkelig, virksomhetsspesifikk risikovurdering i planleggingsfasen. Revisjonsprogrammer og konklusjoner kopieres fra foregående år eller fra maler beregnet på andre foretakstyper, uten reell tilpasning til klientens faktiske risikoprofil, virksomhetsmodell eller avdekkede lovbrudd. Kommunikasjon av kritiske funn skjer muntlig og ikke til rett mottaker, og fortsettelsesvurderinger mangler dokumentert grunnlag eller gjennomføres ikke tidsriktig.

Tegn på problem

  • Risikovurderingsdokument er identisk eller tilnærmet identisk med foregående års versjon, uten spor av ny analyse
  • Revisjonsprogram for 'selskap uten drift' benyttes på aktiv, operasjonell virksomhet
  • Tilskuddsinntekter, kombinert virksomhet (f.eks. advokatvirksomhet + eiendomsmegling) eller uvanlige inntektsstrømmer er ikke gjenstand for egne mislighetsrisikovurderinger
  • Kommunikasjon om potensielle lovbrudd er kun notert som muntlig overlevert til regnskapsfører – ikke skriftlig til styre eller ledelse
  • Fortsettelsesvurdering mangler tidsstempel eller er kun rekonstruert i ettertid (f.eks. i brev til Finanstilsynet)
  • Akseptvurdering er gjennomført uten innhenting av dokumentasjon fra tidligere revisor eller uten skriftlig avklaring av kjente lovbrudd
  • Bilagstester konkluderer med 'ingen avvik' selv om testede bilag kun er støttet av ordre-/bestillingsbekreftelse
  • Vesentlighetsvurdering brukes til å nedtone brudd på absolutte lovkrav uten vesentlighetsgrense (f.eks. finansforetaksloven § 2-1)
  • Virksomhetsforståelse beskriver selskapsstruktur og nøkkelpersoner, men mangler gjennomgang av underliggende forretningsprosesser og inntjeningsmodell

Forebyggende tiltak

  • Krev obligatorisk, klientspesifikk risikovurdering ved hvert oppdrag – bruk sjekkliste som tvinger frem dokumenterte svar på minst fem virksomhetsspesifikke risikofaktorer
  • Implementer versjonskontroll i oppdragsmaler: systemet skal flagge dersom risikovurderingsdokumentet er uendret fra foregående år
  • Etabler intern regel om at kommunikasjon av potensielle lovbrudd alltid skal skje skriftlig direkte til styret – ikke via regnskapsfører alene
  • Krev at fortsettelsesvurderingen er datert og lagret i oppdragsfilen innen 30 dager etter utløpet av eventuelle frister satt overfor klienten
  • Opprett akseptprotokoll som krever innhentede nummererte brev fra fratrådt revisor og skriftlig bekreftelse på at balansen er dokumentert, før oppdraget aksepteres
  • Gjennomfør halvårlig internkontroll av bilagstest-konklusjoner: sammenlign ordlyd på tvers av år og klienter for å oppdage usansynlig ensartede konklusjoner
  • Definer liste over absolutte lovkrav uten vesentlighetsgrense (finansforetaksloven, bokføringsloven m.fl.) og instruer medarbeidere om at disse aldri kan nedtones med henvisning til beløpets relative størrelse

Relevante tilsynsrapporter

Hjemler

annet