Anonymt foretak

Revisor hadde ikke opparbeidet tilstrekkelig forståelse av kunden (advokatvirksomhet). Internkontroll hos kunden ble ikke vurdert, godkjenning av eksternt regnskapsforetak som kunden hadde utkontraktert regnskapsføringen til ble ikke kontrollert, og det ble ikke utarbeidet revisjonsplan. Revisor begrunnet seg med at virksomheten var liten og at regnskapet var satt bort til ekstern regnskapsfører.

Revisor har ikke vurdert kundens internkontroll. Kunden har utkontraktert regnskapsføringen til eksternt regnskapsselskap, men revisor har ikke kontrollert om regnskapsforetaket har godkjenning fra Finanstilsynet. Revisor har ikke utarbeidet en revisjonsplan.

Revisor erkjente mislighetsrisiko knyttet til ledelsens overstyring av kontroller, men klassifiserte den ikke som 'særskilt risiko' slik ISA 240 krever. Revisor begrunnet dette med lederens oppriktighet og etiske verdier – en begrunnelse regelverket eksplisitt avviser. Risikoen for ledelsens overstyring kan aldri argumenteres bort uten at revisjonshandlinger er gjennomført; den skal alltid klassifiseres som særskilt risiko.

Revisor har vurdert at det foreligger mislighetsrisiko knyttet til ledelsens overstyring av kontroller, men har ikke klassifisert det som særskilt risiko. Revisor begrunner dette med at Både tidligere og nåværende eiere har løpende vist oppriktighet og høye etiske verdier og integritet... Som nevnt over, står risiko for ledelsens overstyring av kontroller i en særstilling siden den ikke kan argumenteres bort uten å gjennomføre revisjonshandlinger og at risikoen skal klassifiseres som en særskilt risiko, se ISA 240 punkt 32 og 33.

Revisor hadde klassifisert samtlige kunder med 'lav' eller 'middels til lav' risiko uten å inkludere bransjerisiko og uten dokumenterte vurderinger eller begrunnelser. Kundeporteføljen inkluderer advokater og regnskapsselskaper – bransjer med henholdsvis 'moderat' og 'betydelig' risiko for hvitvasking og terrorfinansiering ifølge Økokrims Nasjonale Risikovurdering. Revisor erkjente selv at bransjerisiko ikke var inkludert, og begrunnet god risikovurdering med at han 'kjente kunden' – noe som ikke er tilstrekkelig.

Revisor har erkjent at han ikke har inkludert bransjerisiko i risikoklassifiseringene. At revisor muntlig i ettertid opplyser at han kjenner kunden, er ikke tilstrekkelig. Revisor kan ikke velge bort lovfastsatte plikter.

Revisor hadde ikke opparbeidet tilstrekkelig forståelse av kunden (advokatvirksomhet). Internkontroll hos kunden ble ikke vurdert, godkjenning av eksternt regnskapsforetak som kunden hadde utkontraktert regnskapsføringen til ble ikke kontrollert, og det ble ikke utarbeidet revisjonsplan. Revisor begrunnet seg med at virksomheten var liten og at regnskapet var satt bort til ekstern regnskapsfører.

Revisor har ikke vurdert kundens internkontroll. Kunden har utkontraktert regnskapsføringen til eksternt regnskapsselskap, men revisor har ikke kontrollert om regnskapsforetaket har godkjenning fra Finanstilsynet. Revisor har ikke utarbeidet en revisjonsplan.

Revisor erkjente mislighetsrisiko knyttet til ledelsens overstyring av kontroller, men klassifiserte den ikke som 'særskilt risiko' slik ISA 240 krever. Revisor begrunnet dette med lederens oppriktighet og etiske verdier – en begrunnelse regelverket eksplisitt avviser. Risikoen for ledelsens overstyring kan aldri argumenteres bort uten at revisjonshandlinger er gjennomført; den skal alltid klassifiseres som særskilt risiko.

Revisor har vurdert at det foreligger mislighetsrisiko knyttet til ledelsens overstyring av kontroller, men har ikke klassifisert det som særskilt risiko. Revisor begrunner dette med at Både tidligere og nåværende eiere har løpende vist oppriktighet og høye etiske verdier og integritet... Som nevnt over, står risiko for ledelsens overstyring av kontroller i en særstilling siden den ikke kan argumenteres bort uten å gjennomføre revisjonshandlinger og at risikoen skal klassifiseres som en særskilt risiko, se ISA 240 punkt 32 og 33.

Revisor hadde klassifisert samtlige kunder med 'lav' eller 'middels til lav' risiko uten å inkludere bransjerisiko og uten dokumenterte vurderinger eller begrunnelser. Kundeporteføljen inkluderer advokater og regnskapsselskaper – bransjer med henholdsvis 'moderat' og 'betydelig' risiko for hvitvasking og terrorfinansiering ifølge Økokrims Nasjonale Risikovurdering. Revisor erkjente selv at bransjerisiko ikke var inkludert, og begrunnet god risikovurdering med at han 'kjente kunden' – noe som ikke er tilstrekkelig.

Revisor har erkjent at han ikke har inkludert bransjerisiko i risikoklassifiseringene. At revisor muntlig i ettertid opplyser at han kjenner kunden, er ikke tilstrekkelig. Revisor kan ikke velge bort lovfastsatte plikter.

Foretaket hadde ikke beskrevet eller vurdert om utkontrakterte funksjoner – herunder revisjonsverktøyet – svekket kvalitetsstyringen eller Finanstilsynets mulighet til innsyn. Kvalitetsstyringsdokumentet inneholdt ingen slik vurdering.

I kvalitetsstyringsdokumentet er det ingen beskrivelse og vurdering av om utkontraktering av funksjoner svekker kvalitetsstyringen i, eller muligheten til å føre tilsyn med revisjonsforetaket, som det er krav om etter revisorloven § 7-1 tredje ledd bokstav c, forskrift om risikostyring og internkontroll § 5, og Finanstilsynets rundskriv nr. 7/2021 av 21. desember 2021.

I Finanstilsynets dokumentbaserte tilsyn i 2024 bekreftet revisjonsforetaket via Altinn-skjema KRT-1001 at det hadde retningslinjer og rutiner som oppfylte kravene i revisorloven § 7-1 og ISQM1. De avdekkede manglene viser at denne bekreftelsen var uriktig.

I egenmeldingen bekreftet revisjonsforetaket at det har retningslinjer og rutiner som skal sikre at kravene i revisorloven § 7-1 og ISQM1 oppfylles. Ovennevnte mangler som ble avdekket under tilsynet tilsier at svaret ikke er korrekt.

Foretaket hadde ikke beskrevet eller vurdert om utkontrakterte funksjoner – herunder revisjonsverktøyet – svekket kvalitetsstyringen eller Finanstilsynets mulighet til innsyn. Kvalitetsstyringsdokumentet inneholdt ingen slik vurdering.

I kvalitetsstyringsdokumentet er det ingen beskrivelse og vurdering av om utkontraktering av funksjoner svekker kvalitetsstyringen i, eller muligheten til å føre tilsyn med revisjonsforetaket, som det er krav om etter revisorloven § 7-1 tredje ledd bokstav c, forskrift om risikostyring og internkontroll § 5, og Finanstilsynets rundskriv nr. 7/2021 av 21. desember 2021.

Revisjonsforetaket hadde ingen formalisert rutine for overvåkingskontroll. For foretak med kun én oppdragsansvarlig revisor krever regelverket avtale med ekstern revisor eller eksternt revisjonsforetak. Foretaket baserte seg i stedet på løpende diskusjoner mellom revisor og medarbeider, noe som verken er tilstrekkelig strukturert eller uavhengig.

Revisjonsforetaket har ingen formalisert rutine for overvåkingskontroll i henhold til revisorloven § 7-1 femte ledd, se ISQM1 punkt 38 flg. Revisjonsforetak som bare har én oppdragsansvarlig revisor må inngå avtale med annen revisor eller annet revisjonsforetak for å sørge for at kravene om overvåking ivaretas.

Revisor hadde klassifisert samtlige kunder med 'lav' eller 'middels til lav' risiko uten å inkludere bransjerisiko og uten dokumenterte vurderinger eller begrunnelser. Kundeporteføljen inkluderer advokater og regnskapsselskaper – bransjer med henholdsvis 'moderat' og 'betydelig' risiko for hvitvasking og terrorfinansiering ifølge Økokrims Nasjonale Risikovurdering. Revisor erkjente selv at bransjerisiko ikke var inkludert, og begrunnet god risikovurdering med at han 'kjente kunden' – noe som ikke er tilstrekkelig.

Revisor har erkjent at han ikke har inkludert bransjerisiko i risikoklassifiseringene. At revisor muntlig i ettertid opplyser at han kjenner kunden, er ikke tilstrekkelig. Revisor kan ikke velge bort lovfastsatte plikter.

Revisjonsforetaket hadde ingen formalisert rutine for overvåkingskontroll. For foretak med kun én oppdragsansvarlig revisor krever regelverket avtale med ekstern revisor eller eksternt revisjonsforetak. Foretaket baserte seg i stedet på løpende diskusjoner mellom revisor og medarbeider, noe som verken er tilstrekkelig strukturert eller uavhengig.

Revisjonsforetaket har ingen formalisert rutine for overvåkingskontroll i henhold til revisorloven § 7-1 femte ledd, se ISQM1 punkt 38 flg. Revisjonsforetak som bare har én oppdragsansvarlig revisor må inngå avtale med annen revisor eller annet revisjonsforetak for å sørge for at kravene om overvåking ivaretas.