Anonymt foretak

Gjennomgangen av de fire kontrollerte oppdragene (A–D) avdekket mangelfulle balanseavstemminger og at regnskapsselskapet manglet dokumentasjon for å ferdigstille regnskapene på en fullstendig måte. Dokumentasjon for regnskapsåret 2022 var primærgrunnlaget for kontrollen.

Det fremgår også av forklaringer av enkelte balanseavstemminger at regnskapsselskapet mangler dokumentasjon for å kunne ferdigstille regnskapene på en fullstendig måte.

For de fire kontrollerte oppdragene (A–D) ble det avdekket mangler ved oppdragsavtalene, herunder at avtaler ikke var undertegnet av begge parter og at personopplysningsbehandling og sikkerhetstiltak ikke var tilstrekkelig regulert i avtalene. Mal fra Regnskap Norge ble brukt, men ikke alle obligatoriske elementer var på plass.

Det følger videre av regnskapsførerloven § 2 andre ledd, jf. GRFS punkt 3.2 at oppdragsavtale inngått med oppdragsgiverne skal regulere hvordan personopplysninger skal behandles, samt angi at det skal gjennomføres tilfredsstillende sikkerhetstiltak.

Gjennomgangen av de fire kontrollerte oppdragene (A–D) avdekket mangelfulle balanseavstemminger og at regnskapsselskapet manglet dokumentasjon for å ferdigstille regnskapene på en fullstendig måte. Dokumentasjon for regnskapsåret 2022 var primærgrunnlaget for kontrollen.

Det fremgår også av forklaringer av enkelte balanseavstemminger at regnskapsselskapet mangler dokumentasjon for å kunne ferdigstille regnskapene på en fullstendig måte.

Av 45 oppdragsgivere var 25 klassifisert som høy risiko, men verken i oppdragsoversikten eller i annen dokumentasjon var det gitt begrunnelse for klassifiseringen. Det forelå heller ingen dokumentasjon på hvilke forsterkede kundetiltak (enhanced due diligence) som faktisk var gjennomført for disse kundene.

Oppdragsoversikten Finanstilsynet mottok fra selskapet forut for tilsynet viser 45 oppdragsgivere. I oversikten er oppdragene fordelt med 20 innen normal risiko og 25 innen høy risiko. Verken i oversikten eller i andre dokumenter er det gitt nærmere begrunnelse for fastsatt risikoklassifisering. Hvilke forsterkede kundetiltak som var gjennomført for kundene vurdert med høy risiko, var heller ikke nærmere vurdert, beskrevet og dokumentert.

Selskapet manglet en overordnet, skriftlig vurdering av sin samlede eksponering mot hvitvasking og terrorfinansiering. Selskapet forvekslet kravene etter hvitvaskingsregelverket med kravene etter risikostyringsforskriften, som er to separate og selvstendige regelverk. Rutinedokumentasjonen var ikke oppdatert siden 2019.

Det fremstår for Finanstilsynet som at regnskapsselskapet forveksler lovkravene etter hvitvaskingsregelverket med lovkravene etter risikostyringsforskriften. Dette er to separate regelverk som statsautoriserte regnskapsførere og godkjente regnskapsselskap er underlagt og forpliktet til å etterleve.

Regnskapsselskapet manglet tilstrekkelig internkontroll og dokumentert oppdragsansvarliges gjennomgang av medarbeideres arbeid. Regnskap Norge hadde allerede påpekt tilsvarende svakheter ved en tidligere kvalitetskontroll, uten at dette medførte tilstrekkelig oppfølging. Finanstilsynet presiserer at sammenfallet bekrefter at feil og mangler har vært vedvarende over tid.

Finanstilsynet finner uansett grunn til å understreke at resultatene fra kontrollen til Regnskap Norge ikke inngår som grunnlag for vedtaket om tilbakekall. Imidlertid er flere av de samme feil og mangler som ble påpekt av Regnskap Norge også avdekket under Finanstilsynets tilsyn. Dette viser at feil og mangler har vært gjeldende i lengre tid.

Regnskapsselskapet beholdt oppdragsgivere i porteføljen som gjentatte ganger ikke leverte bilag, kontoutskrifter og annen underliggende dokumentasjon, til tross for at manglene var kjente og vedvarende. Regnskapsfører forble i en passiv etterlysningsmodus fremfor å aktivt avslutte oppdragene.

Når regnskapsselskapet over tid på grunn av forhold hos oppdragsgiver ikke får utført oppdragene i henhold til gjeldende oppdragsavtaler og relevante lover og regler, skal regnskapsfører frasi seg disse oppdragene.

Av 45 oppdragsgivere var 25 klassifisert som høy risiko, men verken i oppdragsoversikten eller i annen dokumentasjon var det gitt begrunnelse for klassifiseringen. Det forelå heller ingen dokumentasjon på hvilke forsterkede kundetiltak (enhanced due diligence) som faktisk var gjennomført for disse kundene.

Oppdragsoversikten Finanstilsynet mottok fra selskapet forut for tilsynet viser 45 oppdragsgivere. I oversikten er oppdragene fordelt med 20 innen normal risiko og 25 innen høy risiko. Verken i oversikten eller i andre dokumenter er det gitt nærmere begrunnelse for fastsatt risikoklassifisering. Hvilke forsterkede kundetiltak som var gjennomført for kundene vurdert med høy risiko, var heller ikke nærmere vurdert, beskrevet og dokumentert.

For de fire kontrollerte oppdragene (A–D) ble det avdekket mangler ved oppdragsavtalene, herunder at avtaler ikke var undertegnet av begge parter og at personopplysningsbehandling og sikkerhetstiltak ikke var tilstrekkelig regulert i avtalene. Mal fra Regnskap Norge ble brukt, men ikke alle obligatoriske elementer var på plass.

Det følger videre av regnskapsførerloven § 2 andre ledd, jf. GRFS punkt 3.2 at oppdragsavtale inngått med oppdragsgiverne skal regulere hvordan personopplysninger skal behandles, samt angi at det skal gjennomføres tilfredsstillende sikkerhetstiltak.

Regnskapsselskapet manglet tilstrekkelig internkontroll og dokumentert oppdragsansvarliges gjennomgang av medarbeideres arbeid. Regnskap Norge hadde allerede påpekt tilsvarende svakheter ved en tidligere kvalitetskontroll, uten at dette medførte tilstrekkelig oppfølging. Finanstilsynet presiserer at sammenfallet bekrefter at feil og mangler har vært vedvarende over tid.

Finanstilsynet finner uansett grunn til å understreke at resultatene fra kontrollen til Regnskap Norge ikke inngår som grunnlag for vedtaket om tilbakekall. Imidlertid er flere av de samme feil og mangler som ble påpekt av Regnskap Norge også avdekket under Finanstilsynets tilsyn. Dette viser at feil og mangler har vært gjeldende i lengre tid.

Regnskapsselskapet og/eller medarbeidere overtrådte taushetsplikten. De konkrete detaljene er unntatt offentlighet i det tilgjengelige utdraget.

Det følger av regnskapsførerloven § 10 at regnskapsfører og regnskapsførers medarbeidere har taushetsplikt om alt de under sin virksomhet får kjennskap til med mindre annet følger av eller i medhold av lov, eller den opplysningene gjelder har samtykket til at taushetsplikten ikke skal gjelde.