Revisorkonsult AS

Revisors risikovurderinger, herunder vurderinger av særskilte risikoer og mislighetsrisiko, er ikke utført i samsvar med revisorlovens krav og god revisjonsskikk. Det ble også avdekket mangler i dokumentasjonen av utførte revisjonshandlinger.

Finanstilsynet konstaterer at revisors risikovurderinger, herunder vurderinger av særskilte risikoer, innbefattet mislighetsrisiko, ikke er utført i samsvar med revisorlovens krav, herunder god revisjonsskikk. Det ble også avdekket mangler i dokumentasjonen av utførte revisjonshandlinger.

Revisors risikovurderinger, herunder vurderinger av særskilte risikoer og mislighetsrisiko, er ikke utført i samsvar med revisorlovens krav og god revisjonsskikk. Det ble også avdekket mangler i dokumentasjonen av utførte revisjonshandlinger.

Finanstilsynet konstaterer at revisors risikovurderinger, herunder vurderinger av særskilte risikoer, innbefattet mislighetsrisiko, ikke er utført i samsvar med revisorlovens krav, herunder god revisjonsskikk. Det ble også avdekket mangler i dokumentasjonen av utførte revisjonshandlinger.

Revisjonsberetningen for bank D (foretak av allmenn interesse) mangler opplysning om hvem som har foretatt valget av revisor, slik revisjonsforordningen artikkel 10 nr. 2b krever.

Etter forordningens artikkel 10 nr. 2 b skal det opplyses i revisjonsberetningen om hvem som har foretatt valget av revisor. Dette fremgår ikke av revisjonsberetningen for bank D.

Den virksomhetsinnrettede risikovurderingen etter hvitvaskingsloven § 6 er felles for revisjonsforetaket og datterforetaket som leverer regnskapsføringstjenester. Risikovurderingen er ikke i tilstrekkelig grad tilpasset de konkrete forholdene i hver av virksomhetene, herunder identifikasjon av og samspill mellom eksterne trusler og interne sårbarheter.

Den er felles for revisjonsforetaket og datterforetaket som leverer regnskapsføringstjenester. [...] risikovurderingen kan bygge på maler utarbeidet av andre, men den må alltid baseres på og tilpasses de konkrete forholdene i egen virksomhet.

Finanstilsynet utarbeidet en egen IT-tilsynsrapport (datert 7. juni 2022) som avdekket mangler i administrasjon, drift, vedlikehold og sikkerhet av IT-virksomheten, herunder utkontrakterte IT-tjenester knyttet til bruk av Descartes levert av Visma-konsernet. Ikke alle forhold var utbedret og lukket på tidspunktet for endelig rapport.

Finanstilsynet forutsetter at revisjonsforetaket fortsetter arbeidet med å utbedre gjenværende forhold påpekt i tilsynsrapporten datert 7. juni 2022.

Kvalitetsstyringsdokumentasjonen (dok 3.1 og 3.2) omtaler alle hovedelementer, men er ikke tilstrekkelig konkretisert for foretakets egne forhold. Identifiserte risikofaktorer (få ansatte, manglende arbeidsdeling, nøkkelpersonavhengighet) er ikke koblet direkte til konkrete risikoreduserende tiltak.

I nærmere vurderinger på områdenivå (kapitlene 5-12) er det vanskelig å se at tiltak er koblet direkte mot identifiserte risikofaktorer.

Rutinene for uavhengighetsvurdering er til stede, men beskrivelsen av mulige trusler mot revisors uavhengighet og konkrete forholdsregler som kan redusere slike trusler, er ikke detaljert nok i drøftelsen med revisjonsutvalget.

God praksis er at mulige trusler listes opp og hvilke forholdsregler som kan redusere slike mulige trusler.

Mangler og svakheter som Finanstilsynet avdekket i revisjonen av foretak av allmenn interesse (FAI) ble ikke fanget opp av foretakets egen oppdragskontroll, noe som indikerer at kontrollfunksjonen ikke fungerte etter hensikten.

Finanstilsynet mener at mangler og svakheter Finanstilsynet avdekket gjennom kontroll av revisjonsoppdrag av allmenn interesse skulle vært avdekket i oppdragskontrollen.

Det er ikke fastsatt tidsfrister for når interne etterlevelseskontroller på foretaks- og oppdragsnivå skal være fullført og behandlet i foretakets styre, noe som øker risikoen for at avdekkede svakheter gjentas i neste revisjonssyklus.

Tidsfrist for når kontroller med etterlevelse på foretaks- og oppdragsnivå skal være fullført og behandlet i foretakets styre, fremgår ikke.

Kvalitetsstyringsdokumentasjonen (dok 3.1 og 3.2) omtaler alle hovedelementer, men er ikke tilstrekkelig konkretisert for foretakets egne forhold. Identifiserte risikofaktorer (få ansatte, manglende arbeidsdeling, nøkkelpersonavhengighet) er ikke koblet direkte til konkrete risikoreduserende tiltak.

I nærmere vurderinger på områdenivå (kapitlene 5-12) er det vanskelig å se at tiltak er koblet direkte mot identifiserte risikofaktorer.

Mangler og svakheter som Finanstilsynet avdekket i revisjonen av foretak av allmenn interesse (FAI) ble ikke fanget opp av foretakets egen oppdragskontroll, noe som indikerer at kontrollfunksjonen ikke fungerte etter hensikten.

Finanstilsynet mener at mangler og svakheter Finanstilsynet avdekket gjennom kontroll av revisjonsoppdrag av allmenn interesse skulle vært avdekket i oppdragskontrollen.

Det er ikke fastsatt tidsfrister for når interne etterlevelseskontroller på foretaks- og oppdragsnivå skal være fullført og behandlet i foretakets styre, noe som øker risikoen for at avdekkede svakheter gjentas i neste revisjonssyklus.

Tidsfrist for når kontroller med etterlevelse på foretaks- og oppdragsnivå skal være fullført og behandlet i foretakets styre, fremgår ikke.