Narvesen Revisjon AS

Finanstilsynet konstaterte grove brudd på revisorloven ved OA2 sin revisjonsutførelse og fant grunnlag for tilbakekall av revisorgodkjenningen etter revisorloven § 9-1. OA2 hadde en lengre historikk med svakheter; tilsvarende mangler ble påpekt allerede under tilsyn i 2013/2014. Dette resulterte i at OA2 slettet sin godkjenning som registrert revisor.

Finanstilsynet konstaterte under tilsynet grove brudd på revisorloven ved OA2 sin revisjonsutførelse og at det var grunnlag for tilbakekall av hans revisorgodkjenning. Dette har resultert i at OA2 har slettet sin godkjenning som registrert revisor.

Det benyttes ikke sjekklister for gjennomgang av årsregnskap eller kontroll av bokføringsloven. Det ble påvist mangler i de offisielle regnskapene med tilhørende noteopplysninger hos revisjonskundene, inkludert revisjonsselskapets eget årsregnskap. Manglene gjelder både oppdrag hvor revisjonsselskapet har stått for teknisk årsavslutning og oppdrag utført av ekstern regnskapsfører.

Det foretas ikke en gjennomgang av årsregnskap ved kontroll med hjelp av sjekkliste eller tilsvarende hjelpemidler for å sikre at alle relevante opplysninger er med i regnskap og noter. Det benyttes heller ikke sjekkliste for å påse etterlevelse av kravene i bokføringsloven.

Revisor gjennomførte stikkprøver uten å følge metodikken i ISA 530. Mangler: ingen dokumentasjon av populasjonens fullstendighet, ingen beskrivelse av utvalgsmetode, udokumentert begrunnelse for utvalgsstørrelse, uklar definisjon av feil, og manglende beskrivelse av projisering av feil. Brukt på vesentlige regnskapslinjer som salgsinntekter og kostnader.

Mangelfull utførelse av stikkprøvetesting medfører at revisor ikke oppnår ønsket revisjonsbevis ved revisjonshandlingen. Dette utgjør alvorlig brudd på revisorloven §5-2 annet ledd, jf. ISA 500 og ISA 530.

Revisjonsselskapet brukte Dropbox som midlertidig mellomlagring, men dokumentasjon ble ikke konsekvent overflyttet til revisjonsverktøyet. For attestasjonsoppdraget lå store deler av underdokumentasjonen utelukkende i Dropbox. Dette innebærer brudd på kravet om sammenstilling av et endelig oppdragsarkiv og risiko for uautorisert tilgang til taushetsbelagt informasjon.

Selv om dokumentasjonen hovedsakelig ble arkivert i revisjonsverktøyet, måtte revisor i flere tilfeller lete frem manglende dokumentasjon i Dropbox. Særlig var dette tilfelle for attestasjonsoppdraget.

Det benyttes ikke sjekklister for gjennomgang av årsregnskap eller kontroll av bokføringsloven. Det ble påvist mangler i de offisielle regnskapene med tilhørende noteopplysninger hos revisjonskundene, inkludert revisjonsselskapets eget årsregnskap. Manglene gjelder både oppdrag hvor revisjonsselskapet har stått for teknisk årsavslutning og oppdrag utført av ekstern regnskapsfører.

Det foretas ikke en gjennomgang av årsregnskap ved kontroll med hjelp av sjekkliste eller tilsvarende hjelpemidler for å sikre at alle relevante opplysninger er med i regnskap og noter. Det benyttes heller ikke sjekkliste for å påse etterlevelse av kravene i bokføringsloven.

Revisor gjennomførte stikkprøver uten å følge metodikken i ISA 530. Mangler: ingen dokumentasjon av populasjonens fullstendighet, ingen beskrivelse av utvalgsmetode, udokumentert begrunnelse for utvalgsstørrelse, uklar definisjon av feil, og manglende beskrivelse av projisering av feil. Brukt på vesentlige regnskapslinjer som salgsinntekter og kostnader.

Mangelfull utførelse av stikkprøvetesting medfører at revisor ikke oppnår ønsket revisjonsbevis ved revisjonshandlingen. Dette utgjør alvorlig brudd på revisorloven §5-2 annet ledd, jf. ISA 500 og ISA 530.

Selskapets hvitvaskingsrutine var ufullstendig: det manglet risikoklassifisering av kunder, beskrivelse av forsterkede tiltak ved høy risiko, og rutiner for kontroll av legitimasjon – inkludert for eksisterende kunder. Rutinen reflekterer ikke lovgivningens hovedpunkter selv for en mindre virksomhet.

Finanstilsynet har notert følgende mangler ved mottatt rutine: Manglende krav til risikoklassifisering av kunder … Det mangler beskrivelse av forsterkede tiltak ved høy risiko … Rapporteringspliktige skal som et minimum innhente kopi av gyldig legitimasjon og vurdere ektheten av dette, jf. hvitvaskingsloven § 12 (2). Dette gjelder også eksisterende kunder.

Selskapets hvitvaskingsrutine var ufullstendig: det manglet risikoklassifisering av kunder, beskrivelse av forsterkede tiltak ved høy risiko, og rutiner for kontroll av legitimasjon – inkludert for eksisterende kunder. Rutinen reflekterer ikke lovgivningens hovedpunkter selv for en mindre virksomhet.

Finanstilsynet har notert følgende mangler ved mottatt rutine: Manglende krav til risikoklassifisering av kunder … Det mangler beskrivelse av forsterkede tiltak ved høy risiko … Rapporteringspliktige skal som et minimum innhente kopi av gyldig legitimasjon og vurdere ektheten av dette, jf. hvitvaskingsloven § 12 (2). Dette gjelder også eksisterende kunder.

Revisjonsselskapet hadde ikke gjennomført intern, syklisk kvalitetskontroll over de senere år. Kravene i ISQC 1 punkt 48–53 om løpende overvåking og periodisk gjennomgang var ikke oppfylt. Heller ikke rutiner for håndtering av klager og beskyldninger, jf. ISQC 1 punkt 55, var etablert.

Det at slik kvalitetskontroll ikke er gjennomført innebærer at revisjonsselskapet ikke har oppfylt kravene i ISQC 1 punkt 49-53. At revisjonsselskapet ikke har etterlevd disse kravene er alvorlig.

Selskapets hvitvaskingsrutine var ufullstendig: det manglet risikoklassifisering av kunder, beskrivelse av forsterkede tiltak ved høy risiko, og rutiner for kontroll av legitimasjon – inkludert for eksisterende kunder. Rutinen reflekterer ikke lovgivningens hovedpunkter selv for en mindre virksomhet.

Finanstilsynet har notert følgende mangler ved mottatt rutine: Manglende krav til risikoklassifisering av kunder … Det mangler beskrivelse av forsterkede tiltak ved høy risiko … Rapporteringspliktige skal som et minimum innhente kopi av gyldig legitimasjon og vurdere ektheten av dette, jf. hvitvaskingsloven § 12 (2). Dette gjelder også eksisterende kunder.

Revisjonsselskapet brukte Dropbox som midlertidig mellomlagring, men dokumentasjon ble ikke konsekvent overflyttet til revisjonsverktøyet. For attestasjonsoppdraget lå store deler av underdokumentasjonen utelukkende i Dropbox. Dette innebærer brudd på kravet om sammenstilling av et endelig oppdragsarkiv og risiko for uautorisert tilgang til taushetsbelagt informasjon.

Selv om dokumentasjonen hovedsakelig ble arkivert i revisjonsverktøyet, måtte revisor i flere tilfeller lete frem manglende dokumentasjon i Dropbox. Særlig var dette tilfelle for attestasjonsoppdraget.

Revisjonsselskapet hadde ikke gjennomført intern, syklisk kvalitetskontroll over de senere år. Kravene i ISQC 1 punkt 48–53 om løpende overvåking og periodisk gjennomgang var ikke oppfylt. Heller ikke rutiner for håndtering av klager og beskyldninger, jf. ISQC 1 punkt 55, var etablert.

Det at slik kvalitetskontroll ikke er gjennomført innebærer at revisjonsselskapet ikke har oppfylt kravene i ISQC 1 punkt 49-53. At revisjonsselskapet ikke har etterlevd disse kravene er alvorlig.