Hopp til hovedinnhold
internrutiner+overordnet kontroll
hoy
Funnet i 18 rapporter

Sviktende internkontroll og kvalitetsstyringssystem

Mønsteret i funnene viser systematisk svikt i etablering, implementering og løpende overvåkning av interne kvalitets- og kontrolltiltak. Svikten er gjennomgående på tvers av hierarkiske nivåer – fra styret og daglig leder til avdelingsnivå – og kjennetegnes ved at avdekkede mangler ikke utbedres mellom kontrollrunder. Rollekonsentrasjon hos enkeltpersoner forsterker risikoen for at systemfeil forblir uoppdaget.

Tegn på problem

  • Syklisk inspeksjon er ikke gjennomført eller dokumentert innenfor påkrevd syklus (ISQC 1 pkt. 48)
  • Gjentatte funn fra ekstern kvalitetskontroll (Regnskap Norge, DnR, Finanstilsynet) uten dokumentert lukking og oppfølging
  • Egenevaluering av risikostyring og internkontroll mangler eller er eldre enn 12 måneder
  • Akseptkonsultasjoner for nye oppdrag gjennomføres muntlig eller uten skriftlig dokumentasjon
  • Oppdragsansvarliges gjennomgang av medarbeideres arbeid er ikke nedtegnet i oppdragsdokumentasjonen
  • Revisors uavhengige bekreftelse av risiko- og internkontrolldokument er datert etter styrebehandlingen
  • Daglig leder og/eller styreleder er også eneste oppdragsansvarlige (kritisk rollekonsentrasjon)
  • Vesentlighetsgrenser, risikoprofil eller oppdragsportefølje er ikke kjent på overordnet nivå
  • Etterlevelse av interne rutiner varierer merkbart mellom avdelinger eller kontorer uten dokumentert årsak
  • Risikostyringsforskriftens krav sammenblandes med hvitvaskingsregelverkets krav i styringsdokumentene

Forebyggende tiltak

  • Gjennomfør og dokumenter syklisk inspeksjon av minimum ett fullstendig oppdrag per oppdragsansvarlig hvert tredje år – sett fast dato i årshjulet
  • Etabler et lukkeregister for alle funn fra interne og eksterne kvalitetskontroller med ansvarlig person og frist; gjennomgås i hvert styremøte
  • Krev skriftlig akseptnotat for alle nye og fornyede oppdrag med dokumentert vurdering av integritet, kompetanse og uavhengighet før oppdrag bekreftes
  • Innfør årlig egenevaluering av internkontroll etter risikostyringsforskriften, separat fra hvitvaskingsvurderingen, med rapport til styret innen Q1
  • Skill rollene daglig leder, styreleder og oppdragsansvarlig – der dette ikke er mulig, etabler ekstern kollegakontroll som kompenserende kontroll
  • Påse at revisors bekreftelse av risiko- og internkontrolldokumentet foreligger og er datert før styrebehandlingen av dokumentet
  • Innfør kvartalsvise avdelingsrapporter om etterlevelse av sentrale rutiner, med avviksoversikt som rapporteres til daglig leder
  • Sørg for at konsernrevisor dokumenterer kjennskap til vesentlighetsgrenser i alle datterselskaper ved oppstart av konsernsyklusen (ISA 600)

Relevante tilsynsrapporter

Hjemler

annet