Ernst & Young AS

Revisor behandlet tilvirkningskontrakter og leveransekontrakter som én samlet populasjon til tross for ulike inntektsføringskriterier. Kun tilvirkningskontraktene ble kartlagt; leveransekontraktene fikk ikke selvstendig risikovurdering eller tilpasset revisjonsmetodikk. Begge inntektsstrømmene lå vesentlig over fastsatt vesentlighetsgrense.

Revisor har revidert inntektene som om det var én populasjon til tross for at inntektsføringskriteriene er forskjellig for de to inntektsstrømmene og derfor krever ulik revisjonsmessig tilnærming.

Revisor behandlet tilvirkningskontrakter og leveransekontrakter som én samlet populasjon til tross for ulike inntektsføringskriterier. Kun tilvirkningskontraktene ble kartlagt; leveransekontraktene fikk ikke selvstendig risikovurdering eller tilpasset revisjonsmetodikk. Begge inntektsstrømmene lå vesentlig over fastsatt vesentlighetsgrense.

Revisor har revidert inntektene som om det var én populasjon til tross for at inntektsføringskriteriene er forskjellig for de to inntektsstrømmene og derfor krever ulik revisjonsmessig tilnærming.

Møtereferatene revisor benyttet for å dokumentere gjennomgang av prosjekter viser ikke hvordan den revidertes egne modeller, beregninger og vurderinger av ferdigstillelsesgrad ble utfordret. Et standardisert oppsett laget for tilvirkningskontrakter ble brukt også for leveransekontrakter uten tilpasning. Dokumentasjonen gir ikke hensiktsmessige revisjonsbevis knyttet til identifiserte risikoer.

Møtereferatene viser ikke hvordan den revidertes egne modeller, beregninger og vurderinger av ferdigstillelsesgrad er utfordret. En beskrivelse av prosjektet og henvisning til en rekke ulike ressurspersoner fra den reviderte som har vært samtidig til stede i møtene med revisor, gir ikke hensiktsmessige revisjonsbevis knyttet til de påstandene som revisor har trukket frem i sin risikovurdering.

Rutinene for hvitvaskingsinternkontroll og oppdragsutføring er mangelfulle og gir lite praktisk veiledning. Det er ikke tilstrekkelig sammenheng mellom den virksomhetsinnrettede risikovurderingen og rutinene. Rutinene støtter ikke konkrete vurderinger i det daglige arbeidet.

Finanstilsynet mener at de fastsatte rutinene er mangelfulle. Dette gjelder både rutinene som gjelder for revisjonsselskapets internkontroll på hvitvaskingsområdet og de rutinene som gjelder for utføring av oppdrag. Rutinene knyttet til utføring av oppdrag ga lite veiledning om den praktiske håndteringen og lite støtte til konkrete vurderinger.

EYs virksomhetsinnrettede risikovurdering er for generell. Trusler og sårbarheter er ikke konkretisert tilstrekkelig til EYs faktiske klientportefølje og bransjeprofil, noe som gir et svakt grunnlag for å beslutte hvilke risikoreduserende tiltak som skal iverksettes. Samme type svakhet er tidligere påpekt av Finanstilsynet, noe som er en skjerpende omstendighet.

Revisjonsselskapets virksomhetsinnrettede risikovurdering er ikke i tilstrekkelig grad tilpasset revisjonsselskapets konkrete virksomhet. Trusler og sårbarheter er generelt beskrevet. Manglende konkretisering av de risikoene som gjør at revisjonsselskapet kan bli utnyttet til hvitvasking og terrorfinansiering, gir et svakt grunnlag for å konkludere med hvilke tiltak som skal iverksettes for å redusere risikoen.

Stikkprøver avdekket mangler i risikoklassifisering av kunder, manglende gjennomføring av forsterkede kundetiltak der risikoprofilen tilsier det, og svakheter i kartlegging av eierskaps- og kontrollstruktur samt identifisering av reelle rettighetshavere. EYs egne kontroller hadde avdekket mange overtredelser i store deler av oppdragsmassen uten at dette ble tilstrekkelig fulgt opp.

Finanstilsynet stikkprøver som blant annet avdekket mangler i risikoklassifiseringen, manglende gjennomføring av forsterkede kundetiltak, mangler i kartlegging av eierskaps- og kontrollstruktur og identifisering av reelle rettighetshavere. Også revisjonsselskapets egne kontroller rettet mot etterlevelsen av hvitvaskingsloven har avdekket mange overtredelser av hvitvaskingsloven i store deler av oppdragsmassen.

I ett av de gjennomgåtte oppdragene var EYs etterlevelsesansvarlig også utpekt som oppdragsansvarlig og hadde selv gjennomført kundetiltakene. Verken risikoklassifisering eller identifisering av reelle rettighetshavere var i samsvar med hvitvaskingsloven eller EYs egne rutiner. Rollekonflikt undergraver internkontrollens integritet.

I ett av oppdragene Finanstilsynet valgte ut var revisjonsselskapets etterlevelsesansvarlig utpekt som oppdragsansvarlig og den som hadde gjennomført kundetiltakene. Verken risikoklassifisering eller identifisering av reelle rettighetshavere var i samsvar med hvitvaskingsloven og heller ikke revisjonsselskapets rutiner.

Rutinene for hvitvaskingsinternkontroll og oppdragsutføring er mangelfulle og gir lite praktisk veiledning. Det er ikke tilstrekkelig sammenheng mellom den virksomhetsinnrettede risikovurderingen og rutinene. Rutinene støtter ikke konkrete vurderinger i det daglige arbeidet.

Finanstilsynet mener at de fastsatte rutinene er mangelfulle. Dette gjelder både rutinene som gjelder for revisjonsselskapets internkontroll på hvitvaskingsområdet og de rutinene som gjelder for utføring av oppdrag. Rutinene knyttet til utføring av oppdrag ga lite veiledning om den praktiske håndteringen og lite støtte til konkrete vurderinger.

EYs virksomhetsinnrettede risikovurdering er for generell. Trusler og sårbarheter er ikke konkretisert tilstrekkelig til EYs faktiske klientportefølje og bransjeprofil, noe som gir et svakt grunnlag for å beslutte hvilke risikoreduserende tiltak som skal iverksettes. Samme type svakhet er tidligere påpekt av Finanstilsynet, noe som er en skjerpende omstendighet.

Revisjonsselskapets virksomhetsinnrettede risikovurdering er ikke i tilstrekkelig grad tilpasset revisjonsselskapets konkrete virksomhet. Trusler og sårbarheter er generelt beskrevet. Manglende konkretisering av de risikoene som gjør at revisjonsselskapet kan bli utnyttet til hvitvasking og terrorfinansiering, gir et svakt grunnlag for å konkludere med hvilke tiltak som skal iverksettes for å redusere risikoen.

Stikkprøver avdekket mangler i risikoklassifisering av kunder, manglende gjennomføring av forsterkede kundetiltak der risikoprofilen tilsier det, og svakheter i kartlegging av eierskaps- og kontrollstruktur samt identifisering av reelle rettighetshavere. EYs egne kontroller hadde avdekket mange overtredelser i store deler av oppdragsmassen uten at dette ble tilstrekkelig fulgt opp.

Finanstilsynet stikkprøver som blant annet avdekket mangler i risikoklassifiseringen, manglende gjennomføring av forsterkede kundetiltak, mangler i kartlegging av eierskaps- og kontrollstruktur og identifisering av reelle rettighetshavere. Også revisjonsselskapets egne kontroller rettet mot etterlevelsen av hvitvaskingsloven har avdekket mange overtredelser av hvitvaskingsloven i store deler av oppdragsmassen.

I ett av de gjennomgåtte oppdragene var EYs etterlevelsesansvarlig også utpekt som oppdragsansvarlig og hadde selv gjennomført kundetiltakene. Verken risikoklassifisering eller identifisering av reelle rettighetshavere var i samsvar med hvitvaskingsloven eller EYs egne rutiner. Rollekonflikt undergraver internkontrollens integritet.

I ett av oppdragene Finanstilsynet valgte ut var revisjonsselskapets etterlevelsesansvarlig utpekt som oppdragsansvarlig og den som hadde gjennomført kundetiltakene. Verken risikoklassifisering eller identifisering av reelle rettighetshavere var i samsvar med hvitvaskingsloven og heller ikke revisjonsselskapets rutiner.

I ett av de gjennomgåtte oppdragene var EYs etterlevelsesansvarlig også utpekt som oppdragsansvarlig og hadde selv gjennomført kundetiltakene. Verken risikoklassifisering eller identifisering av reelle rettighetshavere var i samsvar med hvitvaskingsloven eller EYs egne rutiner. Rollekonflikt undergraver internkontrollens integritet.

I ett av oppdragene Finanstilsynet valgte ut var revisjonsselskapets etterlevelsesansvarlig utpekt som oppdragsansvarlig og den som hadde gjennomført kundetiltakene. Verken risikoklassifisering eller identifisering av reelle rettighetshavere var i samsvar med hvitvaskingsloven og heller ikke revisjonsselskapets rutiner.