Likelydende brev til et utvalg av revisorer som reviderer foretak av allmenn interesse

1 Innledning
Finanstilsynet har særlig oppmerksomhet rettet mot revisjonsselskaper som reviderer foretak av allmenn interesse.  Hvilke foretak som er av allmenn interesse er følger av revisorloven. [1]  Ved revisjon av slike foretak gjelder det særlige plikter for revisor og revisjonsselskaper. 

Foretak av allmenn interesse er underlagt tilsyn av Finanstilsynet. For andre foretak enn banker og forsikringsselskaper gjelder tilsynet bare foretakenes finansielle rapportering, ikke foretaket som sådant. Begrunnelsen for å underlegge enkelte virksomheter særlig regulering og også et offentlig tilsyn, er den betydningen disse foretakene har for finansmarkedet. Denne begrunnelsen innebærer at også revisorene må ha en særlig oppmerksomhet rettet mot slike revisjonsoppdrag. At revisjonen av foretak av allmenn interesse skjer i samsvar med revisorlovgivningen, herunder god revisjonsskikk, er helt sentralt for revisors rolle som allmennhetens tillitsperson. [2]

I november 2015 var det 413 foretak av allmenn interesse i Norge. Disse er fordelt på 16 revisjonsselskap.  De fem store revisjonsselskapene [3]  reviderer 376 av foretakene.

Finanstilsynet gjennomført tilsyn med åtte av revisjonsselskapene som reviderer foretak av allmenn interesse. De utvalgte revisjonsselskapene har mellom fire og atten ansatte og er lokalisert stort sett over hele landet. De reviderer tilsammen 20 foretak av allmenn interesse. Seks av revisjonsselskapene har bare ett eller to foretak av allmenn interesse. De to andre har fem og åtte foretak av allmenn interesse.

De fem store revisjonsselskapene er ikke omfattet av dette tilsynet. De tre øvrige revisjonsselskapene som reviderer foretak av allmenn interesse er heller ikke omfattet av dette tilsynet fordi det ble gjennomført stedlig selskapstilsyn med disse i 2015. Tilsynet ble gjennomført ved at de åtte utvalgte revisjonsselskapene besvarte et spørreskjema rettet mot oppfyllelsen av kravene i revisorloven, særlig kravet i revisorloven om intern kvalitetskontroll, jf. revisorloven § 5b-1. Etterlevelsen av dette lovkravet bidrar til å sikre kvalitet i revisjonsutførelsen i alle revisjonsoppdrag selskapet utfører. Finanstilsynet legger til grunn at etterlevelsen av kravene i den internasjonale standarden for kvalitetskontroll (ISQC 1) normalt innebærer at også lovkravet er oppfylt.

Tilsynet avsluttes med dette brevet, som er likelydende til alle de åtte revisjonsselskapene. 

2 Revisorlovens særkrav for revisjon av foretak av allmenn interesse – kapittel 5a
2.1 Åpenhetsrapport - revisorloven § 5a-2
To av de åtte kontrollerte revisjonsselskapene har ikke lagt ut åpenhetsrapport på sine nettsider. Et av disse selskapene ble valgt som revisor for selskap av allmenn interesse først i 2014, og det andre er revisor for et foretak som har avviklet sin virksomhet. Finanstilsynet legger til grunn at det skal presenteres åpenhetsrapport det året da revisor avgir revisjonsberetning for et foretak av allmenn interesse. I dette tilfelle skulle det vært presentert åpenhetsrapport senest før utløpet av mars 2015 når revisor bekrefter årsregnskapet for 2014.

Finanstilsynet gjennomførte et tematilsyn rettet mot avlagte åpenhetsrapporter i 2009. Resultatet av denne gjennomgangen er presentert i tematilsynsrapport datert 1.3.2011. Rapporten er tilgjengelig på Finanstilsynets nettsted (se vedlegg).

Rapporten konkluderer med at mange av åpenhetsrapportene hadde vesentlige mangler når det gjaldt opplysning om interne kvalitetskontrollsystemer og retningslinjer for uavhengighet og hvordan kvalitetskontrollsystemene hadde fungert samt hvordan retningslinjene hadde blitt overholdt. En gjennomgående svakhet var at åpenhetsrapportene kun gjenga hovedelementene i kvalitetskontrollsystemet basert på det som følger av ISQC 1.

Gjennomgangen av åpenhetsrapportene til revisjonsselskapene som var omfattet av årets tilsyn, viste at flere av de samme svakhetene.

To av åpenhetsrapportene inneholder beskrivelser av samarbeid med andre revisjonsselskaper, jf. revisorloven § 4-7 jf. revisorforskriften § 4-2.  Bare ett av selskapene har omtalt retningslinjer for uavhengighet som omfatter alle som samarbeider, jf. revisorloven 5a-2 første ledd, nr. 2.

En åpenhetsrapport mangler erklæring om hvordan kvalitetssystemene har fungert og at retningslinjer har blitt overholdt, jf. revisorloven 5a-2 første ledd, nr. 4.

2.2 Rotasjon - revisorloven 5a-4
Fem av revisjonsselskapene hadde bestemmelser om rotasjon i sine retningslinjer. Kun to av disse hadde vist til revisorloven § 5a-4. Ingen av de fem hadde klare kriterier for hvordan rotasjon skal gjennomføres. De tre øvrige hadde ingen bestemmelse om rotasjon.

2.3 Forbud mot å tiltre i ledende stilling hos den revisjonspliktige, revisorloven 5a-5
Finanstilsynet har tidligere hatt tilfeller der det har vært reist spørsmål om tiltredelse var i strid med bestemmelsen. Finanstilsynet forutsetter at alle revisjonsselskaper og revisorer som reviderer foretak av allmenn interesse er kjent med denne bestemmelsen i revisorloven.

3 Interne retningslinjer og rutiner herunder overvåking
3.1 Uavhengighet
ISQC1 krever årlig skriftlig bekreftelse av uavhengighet fra samtlige ansatte. Seks av selskapene hadde rutine for dette. For to av selskapene fremgår det ikke eksplisitt at uavhengigheten årlig skal bekreftes skriftlig. Kun ett selskap hadde dokumentert at den årlige overvåkingskontrollen testet at arkivet for uavhengighetsbekreftelser var oppdatert og komplett.

3.2 Kompetanse - etterutdanning
Alle selskapene hadde retningslinjer for generell faglig oppdatering. Kun ett selskap dokumenterte at overvåkingskontrollen tester at selskapet har kontroll med at de oppdragsansvarlige revisorene til enhver tid tilfredsstiller revisorlovens krav til etterutdanning.

Ingen av selskapene hadde iverksatt særskilte tiltak for å utvikle bransjekompetanse for de aktuelle allmenninteresseoppdragene.  Ansvaret lå bare på de oppdragsansvarlige revisorene.

3.3 Konsultasjon
Tre av selskapene hadde egne bestemmelser om konsultasjon. De øvrige hadde enten gjengitt teksten fra ISQC1 uten nærmere konkretisering, eller hadde ingen bestemmelser i det hele tatt.

3.4 Oppdragskontrollør
Bare ett av selskapene hadde klare bestemmelser om når det skal utnevnes oppdragskontrollør.  To selskaper hadde gjengitt teksten i ISQC1 uten nærmere konkretisering. Tilsynet gir grunn til å reise spørsmål ved om flere av selskapene har et tilstrekkelig bevisst forhold til når det skal utnevnes oppdragskontrollør.

3.5 Overvåkingskontroll av fullførte revisjonsoppdrag
Alle selskapene har angitt tidsramme for syklisk kontroll av fullførte revisjonsoppdrag. Syv av selskapene har opplyst at kontrollen følger opplegget for oppdragskontroll som DnR benytter. Ett selskap hadde utarbeidet sitt eget kontrollprogram, bygget opp etter strukturen i Descartes. For Finanstilsynet fremsto dette som en kontroll av at alle punkter i Descartes var utfylt mer enn en reell vurdering av kvaliteten på dokumentasjonen, herunder at det var innhentet tilstrekkelig og hensiktsmessig revisjonsbevis

Tre selskap har dokumentert at gjennomført overvåkingskontroll av oppdrag er rapportert til styret og at resultatene er fulgt opp. Ett selskap har dokumentert at viktige emner er tatt opp i interne møter basert på resultater fra kvalitetskontrollen. De øvrige har angitt hvordan svakheter skal håndteres, men uten at det er dokumentert hva som er avdekket og hvordan avdekkede svakheter faktisk er fulgt opp. To selskaper oppgir at årets kontroll var den første og at det derfor ikke var forhold fra tidligere år å følge opp.

Alle selskapene har utpekt en partner som ansvarlig for overvåkingskontrollen. Kontrollen organiseres internt i selskapet, som regel ved at en oppdragsansvarlig revisor kontrollerer oppdrag utført av en annen oppdragsansvarlig revisor. To selskaper har involvert managere i kontrollarbeidet.

Når det gjelder kriterier for valg av revisjonsoppdrag for overvåkingskontroll, oppgir alle at det skal være et element av tilfeldighet i utvalget, gjerne basert på størrelse, risiko og representative bransjer. Det overlates til oppdragskontrolløren å velge ut oppdrag for kontroll.

4 Finanstilsynets vurderinger
I det følgende kommenterer Finanstilsynet de forhold som revisjonsselskapene særlig må vurdere opp mot egne retningslinjer og praksis og iverksette nødvendige tiltak.

4.1 Åpenhetsrapport
Som det fremgår av Finanstilsynets funn hadde flere av åpenhetsrapportene mangler nå det gjaldt beskrivelse av interne kvalitetskontrollsystemer og hvordan kvalitetskontrollsystemene hadde fungert samt hvordan retningslinjene hadde blitt overholdt. En gjennomgående svakhet var at åpenhetsrapportene kun gjenga hovedelementene i kvalitetskontrollsystemet basert på det som følger av ISQC 1.

Finanstilsynet presiserer at fremtidige åpenhetsrapporter må gi en beskrivelse av selskapenes egne kvalitetskontrollsystemer som gjør at leseren kan danne seg et bilde av hvilke kontrollsystemer som faktisk er etablert i revisjonsselskapene og hvordan disse har fungert. Det er ikke tilstrekkelig å vise til en egen utarbeidet rapport om intern kvalitetskontroll, uten at innholdet er referert eller at rapporten finnes tilgjengelig på nettstedet. Åpenhetsrapporten skal også beskrive retningslinjer for uavhengighet og inneholde en erklæring fra styret om hvordan kvalitetskontrollsystemene har fungert og at retningslinjene har blitt overholdt, jf. revisorloven § 5a-2 første ledd, nr. 4.

4.2 Oppdragskontroll
En helt sentral del av et revisjonsselskaps interne kvalitetsrutiner er at det blir gjennomført en forsvarlig oppdragskontroll, før revisjonsberetning avgis. For børsnoterte foretak følger kravet til retningslinjer og rutiner for oppdragskontroll av ISQC 1 punkt 35-44.

Finanstilsynet mener revisorloven tilsier at det skal gjennomføres oppdragskontroll i alle foretak som faller inn under definisjonen foretak av allmenn interesse, ikke bare i børsnoterte foretak. Dette er en tolkning som harmonerer med revisorlovgivningen for øvrig, herunder de særlige pliktene ved revisjon av foretak av allmenn interesse i revisorloven kapittel 5a. Også nødvendigheten av økt aktsomhet i skjønnsutøvelsen når revisjonsklienten er et foretak av allmenn interesse, herunder i vurderingene av uavhengighet, støtter opp under dette. Det vises også til ISQC 1 punkt A 41, første kulepunkt.

4.3 Uavhengighet
En grunnleggende forutsetning for at revisorer som reviderer foretak av allmenn interesse skal kunne ivareta sin rolle som allmenhetens tillitsperson er at revisor både er og fremstår som uavhengig. Det gjelder særlige uavhengighetskrav ved revisjon av slike foretak, jf. regler om rotasjon av oppdragsansvarlig revisor i revisorloven § 5a-4 og forbudet mot å tiltre ledende stilling i det foretaket som revideres i revisorloven § 5a-5. Også revisorlovgivningens alminnelige uavhengighetsregler tolkes strengere når revisjonen gjelder foretak av allmenn interesse, for eksempel kravet til vurdering når det gjelder levering av tilleggstjenester.

I den grad revisjonsselskapet samarbeider med andre selskaper, må uavhengigheten vurderes i forhold til hele gruppen. Finanstilsynet har som utgangspunkt at revisjonsselskap som inngår i formelt samarbeid med andre revisjonsselskap vil kunne fremstå utad som et fellesskap og dermed rammes av revisorloven § 4-7 og revisorforskriften § 4-2 og at uavhengigheten må ivaretas i forhold til hele samarbeidsgruppen.

Finanstilsynet presiserer at det er loven og forskriften som gjelder, uavhengig av hva som måtte fremgå av revisjonsstandarder eller interne retningslinjer i revisjonsselskapene. Samarbeidsforhold må også fremgå av åpenhetsrapporten, jf. revisorloven § 5a-2, første ledd, nr. 2.

4.4 Kompetanse, ressurser, revisjonskvalitet
Revisjonsselskapet må påse at teamet som skal utføre revisjonen av foretak av allmenn interesse har tilstrekkelig kapasitet og kompetanse. Dette innebærer blant annet kunnskap om IFRS og særlige regler som gjelder for virksomheten. Revisor må for eksempel ha særlig oppmerksomhet rettet mot likviditets- og soliditetsregler for bank og forsikring. Tilsvarende gjelder ved revisjon av estimater og tilhørende notekrav.

I Finanstilsynets tematilsynsrapport om revisjon av verdsettelsesposter, ga Finanstilsynet uttrykk for at det bør være økt oppmerksomhet rettet mot kompetanserisikoen og behovet for risikoreduserende tiltak. Typiske tiltak vil være systematisk å bygge opp kompetanse innen bransjer det er ønskelig å satse på, eller ikke å påta seg oppdrag som reiser særlige revisjonsmessige utfordringer på grunn av sin art eller kompleksitet. Rapporten er tilgjengelig på Finanstilsynets nettsted.

I Finanstilsynets tematilsyn om revisjon av banker ga Finanstilsynet uttrykk for at flere av revisjonsselskapene bør gjennomgå sine retningslinjer og rutiner slik at disse på en bedre måte kan bidra til å redusere risikoen for svikt i revisjonskvaliteten. Finanstilsynet viste til det omfattende og til dels kompliserte regelverket som gjelder for banker, uavhengig av bankens virksomhet og omfang og at det derfor er en risiko knyttet til om revisjonsteamet har tilstrekkelig kompetanse. Det vises til kravet om at det skal være rimelig sikkerhet for at faglige standarder og relevante lovmessige og regulatoriske krav etterleves, jf. ISQC 1 punkt 11. Rapporten er tilgjengelig på Finanstilsynets nettsted.

I revisjonsselskaper der det er kun er en oppdragsansvarlig revisor som reviderer foretak av allmenn interesse og har nødvendig bransjekunnskap, kan rotasjonskravet i revisorloven§ 5a-4 være utfordrende. Den ressursmessige utfordringen blir heller ikke mindre av at det også er krav om egen oppdragskontrollør.

4.5 Revisors kommunikasjon
Revisorloven 5a-3 stiller krav til kontakt med revisjonsutvalget.  Finanstilsynet fremhever viktigheten av å sende nummererte brev av forhold som presenteres i slike møter, når det er påkrevet etter revisorloven § 5-4. Nummererte brev gir revisor et bedre grunnlag for å følge opp de svakhetene som avdekkes fordi det i brevet kan gjøres klart hva som er forventet og innenfor hvilken frist. At foretak av allmenn interesse ikke etterlever regler som gjelder for virksomheten er alvorlig. Terskelen for å sende nummerert brev bør derfor være lav. Også fordi Finanstilsynet gjennomgår de nummererte brevene i sitt arbeid rettet mot revisjonsklienten, er det viktig at kommunikasjonen av feil og mangler formaliseres i et nummerert brev .      

Revisor har plikt til å rapportere til Finanstilsynet etter finanstilsynsloven § 3a, verdipapirhandelloven § 15-2 syvende ledd, verdipapirforskriften § 13-7 og banksikringsloven § 3-1. Finanstilsynet vil fremheve at revisors plikt til rapportering er særlig viktig når det gjelder selskap av allmenn interesse og andre selskaper underlagt tilsyn fra Finanstilsynet.

4.6 Intern kvalitetskontroll
For at retningslinjer og rutiner skal være et effektivt virkemiddel i den interne kvalitetskontrollen, må de være utformet slik at de i praksis gir hjelp og støtte til de som skal anvende dem, både i innhold og form. I tillegg er det avgjørende at retningslinjene faktisk etterleves. For revisjonsselskap som reviderer selskaper av allmenn interesse, vil det stilles særlig strenge krav til at interne retningslinjer og rutiner er gode og at de fungerer etter hensikten. Det vises i denne sammenhengen til Finanstilsynets rapport etter tematilsyn i 2014, (Rapport etter tematilsyn – Revisjonsselskapenes overvåking av sin interne kvalitetskontroll - Finanstilsynet.no)

4.7 Overvåking av intern kvalitetskontroll
Hvordan revisjonsselskapet skal innrette sin overvåking følger av ISQC 1 punkt 48 – 59.
Kravet om overvåking gjelder både på selskapsnivå og oppdragsnivå. For at overvåkingen skal fungere etter hensikten, er det viktig at den gjennomføres på en måte som gjør at svakheter, både i selskapenes retningslinjer og rutiner og i revisjonsutførelsen, kan avdekkes og at selskapet følger opp og iverksetter tiltak for å forbedre kvaliteten. For små selskaper der overvåkingskontrollen organiseres internt, kan det være en utfordring at overvåkingskontrollen lett blir for kollegialt, noe som kan gjøre det ubehagelig å påpeke vesentlige svakheter og iverksette tiltak. Det er derfor også viktig at overvåkingskontrollen organiseres slik at kontrollarbeidet gjennomføres av personer med tilstrekkelig erfaring og myndighet og at styret er sitt ansvar bevisst når de behandler rapporten.

5 Videre oppfølging
De enkelte revisjonsselskapene vil bli fulgt opp med stedlig tilsyn fra Finanstilsynet i samsvar med revisorloven § 5b-2, som fastsetter at revisjonsselskaper som reviderer foretak av allmenn interesse skal underlegges kvalitetskontroll minst hvert tredje år. Revisjonsselskaper som reviderer foretak av allmenn interesse blir prioritert også i Finanstilsynets øvrige tilsynsarbeid på revisjonsområdet.

 

For Finanstilsynet

Anders Grini
tilsynsrådgiver  

Harald Rivrud
tilsynsrådgiver

 

[1] Etter revisorloven § 5-1 første ledd er foretak av allmenn interesse:
- foretak som har utstedt omsettelige verdipapirer som er opptatt til handel på et regulert marked i EØS-land,
- bank eller annen kredittinstitusjon,
- forsikringsselskap.
[2] Jf. revisorloven § 1-2.
[3] Dette er EY, PwC, Deloitte, KPMG og BDO.
[4] At forhold er tatt opp i nummerert brev, fratar ikke revisor plikten til å rapportere til Finanstilsynet, jf. punkt 2.5.