Merknader etter revisortilsyn
Finanstilsynet avdekket alvorlige og systematiske svakheter hos et ikke navngitt revisjonsselskap: intern kvalitetskontroll (overvåkning) var aldri gjennomført, hvitvaskingsrutinene var utilstrekkelige og risikobaserte kundetiltak manglet for alle kontrollerte oppdrag, og revisor for betalingsforetak hadde vesentlig manglende virksomhetsforståelse inkludert ukjennskap til rapporteringsplikten i finanstilsynsloven § 3a.
Revisor dokumenterte ikke kontroll av at betalingsforetakene overholder konsesjonskravene, herunder krav til kapital (minst 20 000 euro), begrensning på gjennomsnittlige månedlige pengeoverføringer (maks 5 millioner kroner) og tjenestebegrensninger.
Revisor har ikke dokument kontroll av at foretakene overholder konsesjonskravene, jf. finansforetaksloven § 3-4.
Revisor oppdaget at ett betalingsforetak hadde benyttet en agent i strid med finansforetaksloven § 2-10 fjerde ledd bokstav e, ba foretaket avvikle forholdet, men unnlot å ta dette opp i nummerert brev og å rapportere til Finanstilsynet som lovbrudd av konsesjonsmessig betydning.
For et av betalingsforetakene har revisor sett at foretaket har hatt en agent som overførte på vegne av foretaket. Forholdet er brudd på finansforetaksloven § 2-10 fjerde ledd bokstav e. Revisor har bedt foretaket avvikle agentvirksomheten. Forholdet skulle i tillegg vært tatt opp i nummerert brev til betalingsforetaket, jf. revisorloven § 5-3, jf. § 5-2 fjerde ledd, jf., finanstilsynsloven §3a
Revisor erkjente under tilsynet å ikke kjenne til kravene i finanstilsynsloven § 3a om plikt til straks å rapportere til Finanstilsynet ethvert forhold som kan innebære overtredelse av bestemmelser som regulerer foretakets virksomhet og som kan medføre tilbakekall av konsesjon. Dette er en fundamental faglig svikt ved revisjon av regulerte foretak.
Revisor erkjente under det stedlige tilsynet manglende kjennskap til kravene i finanstilsynsloven § 3a. Brudd på konsesjonsvilkår vil være av så alvorlig at revisor plikter å rapportere forholdet til Finanstilsynet.
For to betalingsforetak tok revisor opp manglende tilfredsstillende praksis for sikring av kundemidler, men viste til finansloven § 79 (som gjelder meglere) i stedet for finansforetaksforskriften § 13-3. Bestemmelsene har ulike krav til tidspunkt for innsetting på klientkonto.
Revisor har der vist til finansloven § 79. Denne bestemmelsen gjelder for meglere og ikke betalingsforetak. Den lovhjemmel om revisor har avist til krever at kundemidlene settes på klientkonto umiddelbart, mens finansforetaksforskriften § 13-3 ikke krever at dette gjøres før seneste ved slutten av virkedagen dagen etter at midlene ble mottatt.
Revisjonsselskapets egne retningslinjer påla at en av de øvrige oppdragsansvarlige skulle gjennomføre kvalitetskontroll av ett oppdrag per oppdragsansvarlig revisor hvert år. Denne kontrollen ble ikke gjennomført verken i 2018 eller i tidligere år. Finanstilsynet karakteriserer dette som et grovt brudd.
Det ble opplyst under tilsynet at slik kvalitetskontroll ikke var gjennomført verken i 2018 eller tidligere år. Dette er et grovt brudd på revisorloven §5b-1 og ISQC-1 punkt 48.
Revisjonsselskapet hadde ikke gjennomført og dokumentert en vurdering av hvilke risikoer selskapet er eksponert for knyttet til hvitvasking og terrorfinansiering, til tross for at selskapet hadde oppdrag i bransjer med forhøyet risiko (betalingsforetak).
Det er ikke gjennomført og dokumentert en vurdering av hvilke risikoer revisjonsselskapet er eksponert for i forhold til hvitvasking og terrorfinansiering.
Revisor dokumenterte ikke kontroll av at betalingsforetakene overholder konsesjonskravene, herunder krav til kapital (minst 20 000 euro), begrensning på gjennomsnittlige månedlige pengeoverføringer (maks 5 millioner kroner) og tjenestebegrensninger.
Revisor har ikke dokument kontroll av at foretakene overholder konsesjonskravene, jf. finansforetaksloven § 3-4.
Revisor oppdaget at ett betalingsforetak hadde benyttet en agent i strid med finansforetaksloven § 2-10 fjerde ledd bokstav e, ba foretaket avvikle forholdet, men unnlot å ta dette opp i nummerert brev og å rapportere til Finanstilsynet som lovbrudd av konsesjonsmessig betydning.
For et av betalingsforetakene har revisor sett at foretaket har hatt en agent som overførte på vegne av foretaket. Forholdet er brudd på finansforetaksloven § 2-10 fjerde ledd bokstav e. Revisor har bedt foretaket avvikle agentvirksomheten. Forholdet skulle i tillegg vært tatt opp i nummerert brev til betalingsforetaket, jf. revisorloven § 5-3, jf. § 5-2 fjerde ledd, jf., finanstilsynsloven §3a
For betalingsforetakene (oppdrag A) foreligger ingen revisjonsdokumentasjon for at revisor har kartlagt foretakenes rutiner for overholdelse av hvitvaskingsregelverket eller kontrollert faktisk etterlevelse. Betalingsforetak med begrenset konsesjon er særskilt underlagt hvitvaskingslovgivningen.
Det foreligger ikke revisjonsdokumentasjon for at revisor har kartlagt foretakenes rutiner for overholdelse av hvitvaskingsregelverket samt kontrollert om foretakene faktisk etterlever etablerte rutiner.
Revisor erkjente under tilsynet å ikke kjenne til kravene i finanstilsynsloven § 3a om plikt til straks å rapportere til Finanstilsynet ethvert forhold som kan innebære overtredelse av bestemmelser som regulerer foretakets virksomhet og som kan medføre tilbakekall av konsesjon. Dette er en fundamental faglig svikt ved revisjon av regulerte foretak.
Revisor erkjente under det stedlige tilsynet manglende kjennskap til kravene i finanstilsynsloven § 3a. Brudd på konsesjonsvilkår vil være av så alvorlig at revisor plikter å rapportere forholdet til Finanstilsynet.
For to betalingsforetak tok revisor opp manglende tilfredsstillende praksis for sikring av kundemidler, men viste til finansloven § 79 (som gjelder meglere) i stedet for finansforetaksforskriften § 13-3. Bestemmelsene har ulike krav til tidspunkt for innsetting på klientkonto.
Revisor har der vist til finansloven § 79. Denne bestemmelsen gjelder for meglere og ikke betalingsforetak. Den lovhjemmel om revisor har avist til krever at kundemidlene settes på klientkonto umiddelbart, mens finansforetaksforskriften § 13-3 ikke krever at dette gjøres før seneste ved slutten av virkedagen dagen etter at midlene ble mottatt.
Revisjonsselskapets skriftlige rutiner for hvitvaskingsoverholdelse ga lite praktisk veiledning til ansatte for å identifisere risiko og oppfylle plikter etter hvitvaskingslovgivningen.
Etter Finanstilsynets syn gir rutinene lite veiledning til foretakets ansatte for å kunne identifisere risiko og oppfyllelse av plikter etter hvitvaskingslovgivningen.
Revisjonsselskapet hadde ikke gjennomført og dokumentert en vurdering av hvilke risikoer selskapet er eksponert for knyttet til hvitvasking og terrorfinansiering, til tross for at selskapet hadde oppdrag i bransjer med forhøyet risiko (betalingsforetak).
Det er ikke gjennomført og dokumentert en vurdering av hvilke risikoer revisjonsselskapet er eksponert for i forhold til hvitvasking og terrorfinansiering.
For ingen av de 7 kontrollerte revisjonsoppdragene var det vurdert og gjennomført risikobaserte kundetiltak. Revisjonsverktøyets AML-punkt dekket kun mistenkelige transaksjoner, ikke risikobasert kundekontroll som påkrevd.
Det er ikke for noen av de kontrollerte oppdragene vurdert risikobaserte kundetiltak. [...] Revisjonsselskapets vurdering i revisjonsverktøyet punkt 8 om hvitvasking er ikke dekkende i forhold til kravet til risikobasert kundetiltak da punktet kun omhandler mistenkelige transaksjoner.
For betalingsforetakene (oppdrag A) foreligger ingen revisjonsdokumentasjon for at revisor har kartlagt foretakenes rutiner for overholdelse av hvitvaskingsregelverket eller kontrollert faktisk etterlevelse. Betalingsforetak med begrenset konsesjon er særskilt underlagt hvitvaskingslovgivningen.
Det foreligger ikke revisjonsdokumentasjon for at revisor har kartlagt foretakenes rutiner for overholdelse av hvitvaskingsregelverket samt kontrollert om foretakene faktisk etterlever etablerte rutiner.
Revisjonsselskapets retningslinjer inneholdt en klausul om at arbeidspapirer ikke kan utleveres uten rettslig kjennelse, noe som direkte motarbeider Finanstilsynets lovhjemlede rett til å få utlevert revisjonsdokumentasjon.
Der fremkommer det at arbeidspapirer ikke kan utleveres til andre uten en rettslig kjennelse. Finanstilsynet har med hjemmel i finanstilsynsloven § 3 hjemmel til å få utlevert revisjonsdokumentasjon. Revisjonsselskapets retningslinjer bryter således med Finanstilsynets hjemler i Finanstilsynsloven.
Revisjonsselskapets egne retningslinjer påla at en av de øvrige oppdragsansvarlige skulle gjennomføre kvalitetskontroll av ett oppdrag per oppdragsansvarlig revisor hvert år. Denne kontrollen ble ikke gjennomført verken i 2018 eller i tidligere år. Finanstilsynet karakteriserer dette som et grovt brudd.
Det ble opplyst under tilsynet at slik kvalitetskontroll ikke var gjennomført verken i 2018 eller tidligere år. Dette er et grovt brudd på revisorloven §5b-1 og ISQC-1 punkt 48.
Revisjonsselskapets skriftlige rutiner for hvitvaskingsoverholdelse ga lite praktisk veiledning til ansatte for å identifisere risiko og oppfylle plikter etter hvitvaskingslovgivningen.
Etter Finanstilsynets syn gir rutinene lite veiledning til foretakets ansatte for å kunne identifisere risiko og oppfyllelse av plikter etter hvitvaskingslovgivningen.
Revisjonsselskapet hadde ikke gjennomført og dokumentert en vurdering av hvilke risikoer selskapet er eksponert for knyttet til hvitvasking og terrorfinansiering, til tross for at selskapet hadde oppdrag i bransjer med forhøyet risiko (betalingsforetak).
Det er ikke gjennomført og dokumentert en vurdering av hvilke risikoer revisjonsselskapet er eksponert for i forhold til hvitvasking og terrorfinansiering.
Retningslinjene manglet konkrete kriterier for når oppdragskontroll (EQCR) skal gjennomføres, særlig for børsnoterte kunder, og beskrev ikke tilstrekkelig hvordan slik kontroll skal utføres i tråd med ISQC-1.
Retningslinjene må inneholde kriteria for når det skal vurderes om oppdragskontroll skal utføres jf. ISQC-1 punkt 35b samt hvordan slik kontroll skal gjennomføres jf. ISQC-1 punkt 36 og 37.
For ingen av de 7 kontrollerte revisjonsoppdragene var det vurdert og gjennomført risikobaserte kundetiltak. Revisjonsverktøyets AML-punkt dekket kun mistenkelige transaksjoner, ikke risikobasert kundekontroll som påkrevd.
Det er ikke for noen av de kontrollerte oppdragene vurdert risikobaserte kundetiltak. [...] Revisjonsselskapets vurdering i revisjonsverktøyet punkt 8 om hvitvasking er ikke dekkende i forhold til kravet til risikobasert kundetiltak da punktet kun omhandler mistenkelige transaksjoner.
Revisjonsselskapets egne retningslinjer påla at en av de øvrige oppdragsansvarlige skulle gjennomføre kvalitetskontroll av ett oppdrag per oppdragsansvarlig revisor hvert år. Denne kontrollen ble ikke gjennomført verken i 2018 eller i tidligere år. Finanstilsynet karakteriserer dette som et grovt brudd.
Det ble opplyst under tilsynet at slik kvalitetskontroll ikke var gjennomført verken i 2018 eller tidligere år. Dette er et grovt brudd på revisorloven §5b-1 og ISQC-1 punkt 48.
Retningslinjene manglet konkrete kriterier for når oppdragskontroll (EQCR) skal gjennomføres, særlig for børsnoterte kunder, og beskrev ikke tilstrekkelig hvordan slik kontroll skal utføres i tråd med ISQC-1.
Retningslinjene må inneholde kriteria for når det skal vurderes om oppdragskontroll skal utføres jf. ISQC-1 punkt 35b samt hvordan slik kontroll skal gjennomføres jf. ISQC-1 punkt 36 og 37.