BDO AS

For oppdrag A, som gjaldt en sparebank (foretak av allmenn interesse), forelå det ikke tilstrekkelige og hensiktsmessige revisjonsbevis for sentrale regnskapsposter. Bruddet ble ikke avdekket gjennom oppdragskontrollen, noe som svekker den interne kvalitetssikringens effektivitet. Finanstilsynet ba om at intern kvalitetskontroll av bankoppdrag gjennomføres for alle øvrige oppdragsansvarlige sommer/høst 2020.

Kontroll av revisjonen av ett foretak av allmenn interesse avdekket at det ikke forelå tilstrekkelige og hensiktsmessige revisjonsbevis for sentrale regnskapsposter. Bruddene på revisors plikter etter revisorloven var ikke avdekket i oppdragskontrollen.

For oppdrag B ble det avdekket mangler i dokumentasjonen av sentrale revisjonsmessige forhold (KAM) og svakheter i dokumentasjon av oppdragskontrollen. For oppdrag C ble det avdekket svakheter ved dokumentasjon av KAM, oppdragsansvarlig sin kvalitetssikring og måten deler av dokumentasjonen ble oppbevart. BDO erkjente forholdene og varslet forbedringer.

Finanstilsynet tok under tilsynet og i foreløpig rapport opp mangler i dokumentasjonen av sentrale forhold ved revisjonen som revisor har identifisert (KAM) for oppdrag B og C. I tillegg bemerket Finanstilsynet svakheter ved dokumentasjon av oppdragskontrollen for oppdrag B. For oppdrag C bemerket Finanstilsynet svakheter ved dokumentasjon av oppdragsansvarlig sin kvalitetssikring og måten deler av dokumentasjonen ble oppbevart.

BDO manglet særskilte rutiner for gjennomføring av internkontroll etter hvitvaskingsloven, herunder utvelgelse av oppdrag for kontroll, hvilke hvitvaskingsplikter som skal kontrolleres og oppfølging av funn. Etter tilsynet utarbeidet BDO en overordnet rutine, men Finanstilsynet hadde ikke vurdert denne nærmere. Bruddet er vurdert som grunnlag for vedtak om overtredelsesgebyr.

BDO manglet særskilte rutiner på hvordan internkontrollen etter hvitvaskingsloven skal utføres, herunder hvordan oppdrag skal utvelges for kontroll, hvilke hvitvaskingsplikter som skal kontrolleres og hvordan funn skal følges opp.

BDO hadde 3 700 kunder som drev virksomhet innen sektorer med høy hvitvaskingsrisiko, men kun 16 kunder var klassifisert som høyrisikokunder. Dette er en åpenbar skjevhet som tyder på at risikovurderingssystemet ikke fungerte etter formålet, og at medarbeiderne vil være mindre oppmerksomme på indikasjoner om hvitvasking eller terrorfinansiering. BDO opplyste å ha endret rutinene etter tilsynet.

Finanstilsynet påpeker at det fremstår som om for få kunder er klassifisert som høyrisikokunder gitt at BDO har 3 700 kunder som driver virksomhet innen sektorer med høy risiko og kun 16 kunder er klassifisert med høy risiko.

BDOs hvitvaskingsrutiner manglet omtale av egnede tiltak for å forstå eierskaps- eller kontrollstrukturen hos kunder, slik hvitvaskingsloven § 13 første ledd krever. Rutinene adresserte ikke at kontroll utøvet på annen måte enn direkte eller indirekte eierskap også er relevant for identifisering av reelle rettighetshavere. Etter tilsynet innhentet BDO informasjon via spørreskjema, men dette fritar ikke fra plikten til å bekrefte opplysningene mot offentlige registre eller selskapsdokumenter.

BDO's fremlagte rutine mangler omtale av at det skal gjøres egnede tiltak for å forstå eierskaps- eller kontrollstrukturen hos kunden, jf. hvitvaskingsloven § 13 første ledd. Finanstilsynet påpeker at det ikke bare er direkte eller indirekte eierskap som kan som har betydning for hvem som er reelle rettighetshavere, men også utøvelse av kontroll på annen måte.

BDOs retningslinjer og rutiner for hvem som kan gis tilgang til revisjonsfiler var for lite restriktive og kunne medføre for vide tilganger til sensitiv klientinformasjon. BDO varslet om innføring av periodisk manuell kontroll av tilganger for revisjonsoppdrag på allmenninteresseselskaper.

Finanstilsynet ga i foreløpige rapport uttrykk for at gjeldende retningslinjer og rutiner for hvem som kan gis tilgang til revisjonsfiler kan medføre for vide tilganger.

BDO hadde ikke utarbeidet egne retningslinjer for inngåelse av IKT-utkontrakteringsavtaler. Avtalen med BDO-nettverksselskapet ga verken Finanstilsynet eller BDO selv tilstrekkelige kontrollrettigheter over utkontraktert virksomhet. Oppdatert avtale ga Finanstilsynet tilsynsadgang, men BDOs egne kontrollmuligheter var fortsatt begrenset. Pålegg om tilbakemelding innen 1. september 2020.

BDO ikke hadde utarbeidet egen policy eller egne retningslinjer for inngåelse av avtaler om utkontraktering for å sikre at lov- og forskriftskrav overholdes. Finanstilsynet bemerket også svakheter i selskapets avtale med BDO-nettverkselskap på grunn av mangelfulle rettigheter for selskapet og Finanstilsynet til å kunne gjennomføre lovpålagt revisjon og kontroll.

BDO gjennomførte sikkerhetstesting med egne eksperter, men hadde ikke utarbeidet egen policy eller rammeverk for metodikk ved penetrasjonstester. Finanstilsynet krevde at slik policy etableres og ba om statusoppdatering innen 1. september 2020.

BDO opplyser i tilsvaret at det ikke er utarbeidet egen policy for metodikk eller rammeverk som skal følges ved gjennomføring av eksterne penetrasjonstester, men at etablering av slik policy nå vurderes.

BDOs retningslinjer og rutiner for hvem som kan gis tilgang til revisjonsfiler var for lite restriktive og kunne medføre for vide tilganger til sensitiv klientinformasjon. BDO varslet om innføring av periodisk manuell kontroll av tilganger for revisjonsoppdrag på allmenninteresseselskaper.

Finanstilsynet ga i foreløpige rapport uttrykk for at gjeldende retningslinjer og rutiner for hvem som kan gis tilgang til revisjonsfiler kan medføre for vide tilganger.

BDO hadde ikke utarbeidet egne retningslinjer for inngåelse av IKT-utkontrakteringsavtaler. Avtalen med BDO-nettverksselskapet ga verken Finanstilsynet eller BDO selv tilstrekkelige kontrollrettigheter over utkontraktert virksomhet. Oppdatert avtale ga Finanstilsynet tilsynsadgang, men BDOs egne kontrollmuligheter var fortsatt begrenset. Pålegg om tilbakemelding innen 1. september 2020.

BDO ikke hadde utarbeidet egen policy eller egne retningslinjer for inngåelse av avtaler om utkontraktering for å sikre at lov- og forskriftskrav overholdes. Finanstilsynet bemerket også svakheter i selskapets avtale med BDO-nettverkselskap på grunn av mangelfulle rettigheter for selskapet og Finanstilsynet til å kunne gjennomføre lovpålagt revisjon og kontroll.

BDO gjennomførte sikkerhetstesting med egne eksperter, men hadde ikke utarbeidet egen policy eller rammeverk for metodikk ved penetrasjonstester. Finanstilsynet krevde at slik policy etableres og ba om statusoppdatering innen 1. september 2020.

BDO opplyser i tilsvaret at det ikke er utarbeidet egen policy for metodikk eller rammeverk som skal følges ved gjennomføring av eksterne penetrasjonstester, men at etablering av slik policy nå vurderes.

BDO hadde overtatt kundeporteføljer fra en rekke revisjons- og regnskapsførerforetak, og behandlet to porteføljeovertakelser som overføring ved sammenslutning og omorganisering etter revisorloven § 7-3, uten at vilkårene for dette nødvendigvis var oppfylt. Dette kan innebære at individuelle akseptvurderinger ikke ble gjennomført for enkeltoppdrag i disse porteføljene.

Finanstilsynet har gjennomgått to porteføljer som av BDO er behandlet som overføring av portefølje ved sammenslutning og omorganisering, jf. revisorloven § 7-3. I begge tilfeller har Brønnøysundregistrene akseptert overføringene som porteføljeoverdragelse etter revisorloven § 7-3.

BDO manglet særskilte rutiner for gjennomføring av internkontroll etter hvitvaskingsloven, herunder utvelgelse av oppdrag for kontroll, hvilke hvitvaskingsplikter som skal kontrolleres og oppfølging av funn. Etter tilsynet utarbeidet BDO en overordnet rutine, men Finanstilsynet hadde ikke vurdert denne nærmere. Bruddet er vurdert som grunnlag for vedtak om overtredelsesgebyr.

BDO manglet særskilte rutiner på hvordan internkontrollen etter hvitvaskingsloven skal utføres, herunder hvordan oppdrag skal utvelges for kontroll, hvilke hvitvaskingsplikter som skal kontrolleres og hvordan funn skal følges opp.

BDO hadde 3 700 kunder som drev virksomhet innen sektorer med høy hvitvaskingsrisiko, men kun 16 kunder var klassifisert som høyrisikokunder. Dette er en åpenbar skjevhet som tyder på at risikovurderingssystemet ikke fungerte etter formålet, og at medarbeiderne vil være mindre oppmerksomme på indikasjoner om hvitvasking eller terrorfinansiering. BDO opplyste å ha endret rutinene etter tilsynet.

Finanstilsynet påpeker at det fremstår som om for få kunder er klassifisert som høyrisikokunder gitt at BDO har 3 700 kunder som driver virksomhet innen sektorer med høy risiko og kun 16 kunder er klassifisert med høy risiko.

BDOs hvitvaskingsrutiner manglet omtale av egnede tiltak for å forstå eierskaps- eller kontrollstrukturen hos kunder, slik hvitvaskingsloven § 13 første ledd krever. Rutinene adresserte ikke at kontroll utøvet på annen måte enn direkte eller indirekte eierskap også er relevant for identifisering av reelle rettighetshavere. Etter tilsynet innhentet BDO informasjon via spørreskjema, men dette fritar ikke fra plikten til å bekrefte opplysningene mot offentlige registre eller selskapsdokumenter.

BDO's fremlagte rutine mangler omtale av at det skal gjøres egnede tiltak for å forstå eierskaps- eller kontrollstrukturen hos kunden, jf. hvitvaskingsloven § 13 første ledd. Finanstilsynet påpeker at det ikke bare er direkte eller indirekte eierskap som kan som har betydning for hvem som er reelle rettighetshavere, men også utøvelse av kontroll på annen måte.

BDO hadde 3 700 kunder som drev virksomhet innen sektorer med høy hvitvaskingsrisiko, men kun 16 kunder var klassifisert som høyrisikokunder. Dette er en åpenbar skjevhet som tyder på at risikovurderingssystemet ikke fungerte etter formålet, og at medarbeiderne vil være mindre oppmerksomme på indikasjoner om hvitvasking eller terrorfinansiering. BDO opplyste å ha endret rutinene etter tilsynet.

Finanstilsynet påpeker at det fremstår som om for få kunder er klassifisert som høyrisikokunder gitt at BDO har 3 700 kunder som driver virksomhet innen sektorer med høy risiko og kun 16 kunder er klassifisert med høy risiko.

BDOs hvitvaskingsrutiner manglet omtale av egnede tiltak for å forstå eierskaps- eller kontrollstrukturen hos kunder, slik hvitvaskingsloven § 13 første ledd krever. Rutinene adresserte ikke at kontroll utøvet på annen måte enn direkte eller indirekte eierskap også er relevant for identifisering av reelle rettighetshavere. Etter tilsynet innhentet BDO informasjon via spørreskjema, men dette fritar ikke fra plikten til å bekrefte opplysningene mot offentlige registre eller selskapsdokumenter.

BDO's fremlagte rutine mangler omtale av at det skal gjøres egnede tiltak for å forstå eierskaps- eller kontrollstrukturen hos kunden, jf. hvitvaskingsloven § 13 første ledd. Finanstilsynet påpeker at det ikke bare er direkte eller indirekte eierskap som kan som har betydning for hvem som er reelle rettighetshavere, men også utøvelse av kontroll på annen måte.

BDO hadde overtatt kundeporteføljer fra en rekke revisjons- og regnskapsførerforetak, og behandlet to porteføljeovertakelser som overføring ved sammenslutning og omorganisering etter revisorloven § 7-3, uten at vilkårene for dette nødvendigvis var oppfylt. Dette kan innebære at individuelle akseptvurderinger ikke ble gjennomført for enkeltoppdrag i disse porteføljene.

Finanstilsynet har gjennomgått to porteføljer som av BDO er behandlet som overføring av portefølje ved sammenslutning og omorganisering, jf. revisorloven § 7-3. I begge tilfeller har Brønnøysundregistrene akseptert overføringene som porteføljeoverdragelse etter revisorloven § 7-3.

BDO manglet særskilte rutiner for gjennomføring av internkontroll etter hvitvaskingsloven, herunder utvelgelse av oppdrag for kontroll, hvilke hvitvaskingsplikter som skal kontrolleres og oppfølging av funn. Etter tilsynet utarbeidet BDO en overordnet rutine, men Finanstilsynet hadde ikke vurdert denne nærmere. Bruddet er vurdert som grunnlag for vedtak om overtredelsesgebyr.

BDO manglet særskilte rutiner på hvordan internkontrollen etter hvitvaskingsloven skal utføres, herunder hvordan oppdrag skal utvelges for kontroll, hvilke hvitvaskingsplikter som skal kontrolleres og hvordan funn skal følges opp.

For oppdrag A, som gjaldt en sparebank (foretak av allmenn interesse), forelå det ikke tilstrekkelige og hensiktsmessige revisjonsbevis for sentrale regnskapsposter. Bruddet ble ikke avdekket gjennom oppdragskontrollen, noe som svekker den interne kvalitetssikringens effektivitet. Finanstilsynet ba om at intern kvalitetskontroll av bankoppdrag gjennomføres for alle øvrige oppdragsansvarlige sommer/høst 2020.

Kontroll av revisjonen av ett foretak av allmenn interesse avdekket at det ikke forelå tilstrekkelige og hensiktsmessige revisjonsbevis for sentrale regnskapsposter. Bruddene på revisors plikter etter revisorloven var ikke avdekket i oppdragskontrollen.

For oppdrag B ble det avdekket mangler i dokumentasjonen av sentrale revisjonsmessige forhold (KAM) og svakheter i dokumentasjon av oppdragskontrollen. For oppdrag C ble det avdekket svakheter ved dokumentasjon av KAM, oppdragsansvarlig sin kvalitetssikring og måten deler av dokumentasjonen ble oppbevart. BDO erkjente forholdene og varslet forbedringer.

Finanstilsynet tok under tilsynet og i foreløpig rapport opp mangler i dokumentasjonen av sentrale forhold ved revisjonen som revisor har identifisert (KAM) for oppdrag B og C. I tillegg bemerket Finanstilsynet svakheter ved dokumentasjon av oppdragskontrollen for oppdrag B. For oppdrag C bemerket Finanstilsynet svakheter ved dokumentasjon av oppdragsansvarlig sin kvalitetssikring og måten deler av dokumentasjonen ble oppbevart.