Ernst & Young AS

Ett foretak hadde en kontantbeholdning på kr 200 000 ved årsslutt som verken foretaket selv eller revisor hadde kontrollert. Revisor avskrev dette som uvesentlig uten å vurdere om beløpet representerte et ikke-innberettet lån til daglig leder/eier. Revisor kontrollerte heller ikke om kassaoppgjørene tilfredsstilte bokføringslovens krav.

Revisor skulle vurdert behovet selskapet har for kontantbeholdning knyttet til vekslepenger eller om dette for eksempel er et lån til daglig leder og eier som skulle vært innberettet som lønn. Det vises til ISA 240 punkt 22 og SA 3801 punkt 15 som innebærer at områder som er særlig relevante for skatter og avgifter ikke kan utelates kontrollert selv om de er uvesentlige for regnskapet totalt sett.

Alle tre MEM-oppdrag hadde alvorlige og sammenfallende svakheter: manglende identifisering av vesentlige inntektstyper (herunder ulike varegrupper), mangelfull prosesskartlegging, og bruk av aggregerte analyser med svak bevisverdi som ikke tilfredsstiller ISA 520 pkt. 5 og 7. Det ble ikke innhentet tilstrekkelig og hensiktsmessig revisjonsbevis for fullstendighet av salgsinntekter.

Det ble avdekket alvorlige svakheter i gjennomføringen av tre mindre revisjonsoppdrag. For alle tre oppdrag var det alvorlige svakheter og mangler både knyttet til risikovurderinger, prosesskartlegging og gjennomføring av revisjonshandlinger.

For ett oppdrag kategorisert under 'skatt og rådgivning' (forhøyet hvitvaskingsrisiko) var det ikke dokumentert hva som ble gjort for å identifisere reelle rettighetshavere. For ett annet oppdrag var dokumentasjonen mangelfull.

Stikkprøvekontrollen avdekket at revisor ikke har dokumentert hva som er gjort for å identifisere reelle rettighetshavere tilknyttet ett oppdrag. Kunden er kategorisert under 'skatt og rådgivning', hvilket innebærer en forhøyet risiko for at revisor kan bli brukt som ledd i hvitvasking eller terrorfinansiering.

For fem konsernkunder manglet EY samlet dokumentasjon over eierskaps- og kontrollstrukturer, herunder organisasjonskart over alle selskaper i konsernet. Dette er et grunnleggende krav i kundekjennelsesprosessen.

Revisjonsselskapet har ingen samlet dokumentasjon over eier- og kontrollstrukturer, herunder konserntilknytning, for disse kundene. Eier- og kontrollstrukturene fremstår dermed som ufullstendig dokumentert.

Ett foretak hadde en kontantbeholdning på kr 200 000 ved årsslutt som verken foretaket selv eller revisor hadde kontrollert. Revisor avskrev dette som uvesentlig uten å vurdere om beløpet representerte et ikke-innberettet lån til daglig leder/eier. Revisor kontrollerte heller ikke om kassaoppgjørene tilfredsstilte bokføringslovens krav.

Revisor skulle vurdert behovet selskapet har for kontantbeholdning knyttet til vekslepenger eller om dette for eksempel er et lån til daglig leder og eier som skulle vært innberettet som lønn. Det vises til ISA 240 punkt 22 og SA 3801 punkt 15 som innebærer at områder som er særlig relevante for skatter og avgifter ikke kan utelates kontrollert selv om de er uvesentlige for regnskapet totalt sett.

Alle tre MEM-oppdrag hadde alvorlige og sammenfallende svakheter: manglende identifisering av vesentlige inntektstyper (herunder ulike varegrupper), mangelfull prosesskartlegging, og bruk av aggregerte analyser med svak bevisverdi som ikke tilfredsstiller ISA 520 pkt. 5 og 7. Det ble ikke innhentet tilstrekkelig og hensiktsmessig revisjonsbevis for fullstendighet av salgsinntekter.

Det ble avdekket alvorlige svakheter i gjennomføringen av tre mindre revisjonsoppdrag. For alle tre oppdrag var det alvorlige svakheter og mangler både knyttet til risikovurderinger, prosesskartlegging og gjennomføring av revisjonshandlinger.

Selskapets interne rutiner manglet beskrivelse av plikten til å gjennomføre forsterkede kundetiltak i ett år etter at en PEP har avsluttet sitt verv. I tillegg manglet dokumentasjon for PEP-kontroll i to av 15 kontrollerte oppdrag.

Selskapets rutiner mangler beskrivelse av plikten til å gjennomføre forsterkede kundetiltak i ett år etter at en PEP har avsluttet sitt verv eller sin stilling, jf. hvitvaskingsloven § 18.

EY hadde ikke tilfredsstillende systemer for å gi raske og fullstendige svar til Økokrim, Finanstilsynet eller andre myndigheter om kundeforhold, slik hvitvaskingsloven § 30 tredje ledd krever.

For ett oppdrag kategorisert under 'skatt og rådgivning' (forhøyet hvitvaskingsrisiko) var det ikke dokumentert hva som ble gjort for å identifisere reelle rettighetshavere. For ett annet oppdrag var dokumentasjonen mangelfull.

Stikkprøvekontrollen avdekket at revisor ikke har dokumentert hva som er gjort for å identifisere reelle rettighetshavere tilknyttet ett oppdrag. Kunden er kategorisert under 'skatt og rådgivning', hvilket innebærer en forhøyet risiko for at revisor kan bli brukt som ledd i hvitvasking eller terrorfinansiering.

For fem konsernkunder manglet EY samlet dokumentasjon over eierskaps- og kontrollstrukturer, herunder organisasjonskart over alle selskaper i konsernet. Dette er et grunnleggende krav i kundekjennelsesprosessen.

Revisjonsselskapet har ingen samlet dokumentasjon over eier- og kontrollstrukturer, herunder konserntilknytning, for disse kundene. Eier- og kontrollstrukturene fremstår dermed som ufullstendig dokumentert.

Finanstilsynet hadde i 2017 påpekt for vide tilganger i revisjonsverktøyet. EY iverksatte ytterligere kontroller, men Finanstilsynet forutsetter at tilgangskontroll inngår i løpende risikovurderinger for IT-drift og datasikkerhet. Utkontraktering av IKT-tjenester og tilhørende risikovurderinger ble også adressert.

Finanstilsynet ga i rapport etter tilsyn med revisjonsselskapet i 2017 uttrykk for at gjeldende retningslinjer og rutiner for hvem som kan gis tilgang til revisjonsfiler kan medføre for vide tilganger. Finanstilsynet har notert seg at det er iverksatt ytterligere kontroller for å forhindre/avdekke for vide tilganger.

Finanstilsynet hadde i 2017 påpekt for vide tilganger i revisjonsverktøyet. EY iverksatte ytterligere kontroller, men Finanstilsynet forutsetter at tilgangskontroll inngår i løpende risikovurderinger for IT-drift og datasikkerhet. Utkontraktering av IKT-tjenester og tilhørende risikovurderinger ble også adressert.

Finanstilsynet ga i rapport etter tilsyn med revisjonsselskapet i 2017 uttrykk for at gjeldende retningslinjer og rutiner for hvem som kan gis tilgang til revisjonsfiler kan medføre for vide tilganger. Finanstilsynet har notert seg at det er iverksatt ytterligere kontroller for å forhindre/avdekke for vide tilganger.

Selskapets interne rutiner manglet beskrivelse av plikten til å gjennomføre forsterkede kundetiltak i ett år etter at en PEP har avsluttet sitt verv. I tillegg manglet dokumentasjon for PEP-kontroll i to av 15 kontrollerte oppdrag.

Selskapets rutiner mangler beskrivelse av plikten til å gjennomføre forsterkede kundetiltak i ett år etter at en PEP har avsluttet sitt verv eller sin stilling, jf. hvitvaskingsloven § 18.

EY hadde ikke tilfredsstillende systemer for å gi raske og fullstendige svar til Økokrim, Finanstilsynet eller andre myndigheter om kundeforhold, slik hvitvaskingsloven § 30 tredje ledd krever.

Selskapets interne rutiner manglet beskrivelse av plikten til å gjennomføre forsterkede kundetiltak i ett år etter at en PEP har avsluttet sitt verv. I tillegg manglet dokumentasjon for PEP-kontroll i to av 15 kontrollerte oppdrag.

Selskapets rutiner mangler beskrivelse av plikten til å gjennomføre forsterkede kundetiltak i ett år etter at en PEP har avsluttet sitt verv eller sin stilling, jf. hvitvaskingsloven § 18.

For ett oppdrag kategorisert under 'skatt og rådgivning' (forhøyet hvitvaskingsrisiko) var det ikke dokumentert hva som ble gjort for å identifisere reelle rettighetshavere. For ett annet oppdrag var dokumentasjonen mangelfull.

Stikkprøvekontrollen avdekket at revisor ikke har dokumentert hva som er gjort for å identifisere reelle rettighetshavere tilknyttet ett oppdrag. Kunden er kategorisert under 'skatt og rådgivning', hvilket innebærer en forhøyet risiko for at revisor kan bli brukt som ledd i hvitvasking eller terrorfinansiering.

For fem konsernkunder manglet EY samlet dokumentasjon over eierskaps- og kontrollstrukturer, herunder organisasjonskart over alle selskaper i konsernet. Dette er et grunnleggende krav i kundekjennelsesprosessen.

Revisjonsselskapet har ingen samlet dokumentasjon over eier- og kontrollstrukturer, herunder konserntilknytning, for disse kundene. Eier- og kontrollstrukturene fremstår dermed som ufullstendig dokumentert.