Hopp til hovedinnhold
internrutiner+overordnet kontroll
hoy
Funnet i 18 rapporter

Svikt i overordnet internkontroll og kvalitetssikringssystem

Foretaket mangler et fungerende, systematisk kvalitetskontrollsystem på overordnet nivå. Funnene viser gjennomgående at syklisk inspeksjon uteblir eller er for svak til å avdekke regelbrudd, at ledelsesansvaret for internkontroll ikke ivaretas, at rutiner etablert sentralt ikke etterleves lokalt, og at egenevaluering av risikostyring ikke gjennomføres årlig som krevet. Mønsteret indikerer systemsvikt fremfor enkeltstående feil.

Tegn på problem

  • Syklisk inspeksjon er ikke gjennomført innen fristen i ISQC 1 punkt 48, eller resultater dokumenteres ikke og oversendes ikke tilsynsmyndighet ved forespørsel
  • Intern kvalitetskontroll gir 'godkjent' på oppdrag der Finanstilsynet ved gjennomgang avdekker lovbrudd – kontrollmekanismen filtrerer ikke reelle feil
  • Revisors uavhengige bekreftelse av risiko- og internkontrolldokument er datert etter styrets behandling av samme dokument
  • Egenevaluering av risikostyring og internkontroll er ikke gjennomført på over ett kalenderår, eller tidligere anbefalinger fra internrevisjon er ikke lukket
  • Akseptkonsultasjoner for nye oppdrag gjennomføres uformelt og uten dokumentasjon i strid med ISQC 1 punkt 34
  • Daglig leder og/eller styreleder er samme person som eneste oppdragsansvarlige – rollekonsentrasjon uten kompenserende kontroller
  • Foretaket er ikke klar over at det er valgt som oppdragstaker for klienter (manglende aksept- og onboarding-register)
  • Etterlevelse av egne rutiner varierer påviselig mellom avdelingskontorer uten at avvik rapporteres sentralt
  • Krav i risikostyringsforskriften forveksles med krav i hvitvaskingsregelverket – ingen av regelverkene etterleves tilstrekkelig
  • Konsernrevisor er ikke kjent med vedtatte vesentlighetsgrenser for datterselskaper under eget ansvar

Forebyggende tiltak

  • Fastsett en skriftlig årsplan for syklisk inspeksjon med navngitte inspektører, utvalgte oppdrag og ferdigstillelsesfrist – dokumenter resultater i kvalitetssystemet og sett opp automatisk påminnelse 90 dager før frist
  • Krev at revisors bekreftelse av risiko- og internkontrolldokumentet er datert og signert minst én uke før styremøtet der dokumentet behandles – bygg inn kontrollpunkt i møteplanleggingsrutinen
  • Gjennomfør årlig egenevaluering av risikostyring og internkontroll med fast dato i styrekalenderen; bruk sjekkliste som skiller kravene i risikostyringsforskriften fra hvitvaskingsregelverket
  • Opprett et sentralt aksept- og engasjementsregister som oppdateres ved valg av ny revisor/regnskapsfører og krever formell skriftlig akseptkonsultasjon før oppstart
  • Etabler kvartalsvis rapportering fra hvert avdelingskontor til sentral kvalitetsleder med avvikslogg for manglende rutineetterlevelse – eskalér ikke-lukkede avvik til styre
  • Skill rollene daglig leder, styreleder og oppdragsansvarlig mellom minst to personer, eller dokumenter kompenserende uavhengig kontroll dersom rollesammenfall er uunngåelig
  • Etabler en oppfølgingslogg for anbefalinger fra intern- og eksternrevisjon med ansvarlig person og lukningsfrist; gjennomgå loggen på hvert styremøte
  • Gjennomfør halvårlig kalibreringssesjon der resultater fra intern syklisk inspeksjon sammenholdes med eventuelle tilsynsfunn for å vurdere om kontrollmetodikken er tilstrekkelig robust

Relevante tilsynsrapporter

Hjemler

annet