Varning för att förekomsten av oegentligheter som kommit till revisorns kännedom inte återspeglades i dennes dokumentation och inte i tillräcklig mån föranledde fördjupade granskningsåtgärder.
1 Inledning
Revisorsinspektionen har tagit del av information som har gett myndigheten anledning att öppna ett disciplinärende avseende den auktoriserade revisorn A-son.
A-son fick den 18 oktober 2013 i uppdrag att vara huvudansvarig revisor i ett aktiebolag (nedan bolaget). Den 5 april 2017 dömdes en tidigare anställd i bolaget (nedan X) för grov trolöshet mot huvudman. Domen har vunnit laga kraft. X dömdes för att han mellan den 1 januari 2008 och den 1 januari 2014 bl.a. hade ordnat så att det hade gjorts felaktiga löneutbetalningar till anhöriga som varken var anställda eller hade några uppdrag i bolaget. Bolaget polisanmälde händelserna i augusti 2014. Hovrätten fann att X hade tillfogat bolaget skador till ett belopp om 3 477 829 kr.
A-son avlämnade en revisionsberättelse för räkenskapsåret 2013/14. I denna fanns ett uttalande om att årsredovisningen inte hade upprättats i sådan tid att det var möjligt att hålla årsstämma inom sex månader från räkenskapsårets utgång. I övrigt var revisionsberättelsen utan modifiering, upplysning eller anmärkning. Den fråga som har uppkommit i ärendet är hur A-son granskade händelserna i bolaget under räkenskapsåret 2013/14 och hur hans granskning dokumenterades.
2 Revisorsinspektionens utredning
Det räkenskapsår som är aktuellt i ärendet löpte mellan den 1 juli 2013 och den 30 juni 2014. A-son undertecknade revisionsberättelsen den 30 januari 2015.
I dokumentationen finns inga noteringar om att A-son vid sin revision blev medveten om att bolaget under det granskade räkenskapsåret hade utsatts för brott. Där finns inte heller några spår av några särskilda granskningsåtgärder som de inträffade oegentligheterna skulle kunna motivera. I dokumentationen, som han godkände i januari 2015, noterade han bl.a. följande.
Från tidigare år har vi aldrig noterat några väsentliga rörelsefrämmande transaktioner eller indikationer på fraud eller fel [...]. Vår uppfattning och professionella bedömning är att detta är välskött bolag med en kultur och etik som främjar god intern kontroll men ägaren/företagsledaren kan sätta sig över den interna kontrollen även om vi inte bedömt detta som sannolikt. Bedömningen gäller alla processer i bolaget.
Vi har diskuterat oegentligheter med kunden i samband med uppstartsmötet. Företagsledningen är tydlig i sin kommunikation med oss och deras uppfattning är att de inte accepterar oegentligheter och att bolaget har tillfredsställande intern kontroll för att identifiera eventuella oegentligheter. De påpekar även att det inte förekommit några oegentligheter tidigare i bolaget.
[...]
Vi har i samband med vårt uppstartsmöte med företagsledningen och/eller styrelsen diskuterat förekomsten och hanteringen av oegentligheter. Det har INTE förekommit några oegentligheter.
Talat med [Z] som sköter löpande redovisning och bokslut/årsredovisning. Inga signaler på oegentligheter har framkommit.
[...]
Relativt begränsad verksamhet. Vi har gjort övrig granskning av underlag i samband med BR och förvaltning och inte noterat några avvikelser. Mkt god ordning med REDA [Z] som jag bedömer har hög moral. Inga signaler från henne som tyder på oegentligheter. Bedömer att granskning av bokslutordrar är tillräckligt komplement i detta avseende.
Vid analys av resultaträkningen har vi inte noterat några indikationer på att det föreligger rättstvister eller krav (kontroll har skett på kontonivå). I samband med vårt slutrevisionsmöte har företagsledningen även bekräftat att inga rättstvister eller krav föreligger. Vår bedömning är att ingen kompletterande granskning är nödvändig.
A-son har förelagts att uppge vilken information han fick av bolagsledningen avseende de oegentligheter som hade förekommit. Han har även förelagts att uppge när han fick informationen och vilka åtgärder han vidtog med anledning av den. Han har vidare förelagts att kommentera sina noteringar avseende löner och utbetalningar.
3 A-sons uppgifter
A-son har uppgett följande.
Han utsågs till ansvarig revisor i bolaget under hösten 2013. Vid den tidpunkten hade det förekommit oegentligheter i bolaget i flera års tid. När han påbörjade sin revision hade detta redan uppdagats.
Bolaget hade under räkenskapsåret i genomsnitt tio anställda. Administrationen av bolagets ekonomi, såsom löpande bokföring, kundfakturering, betalningar av löner och leverantörsfakturor, sköttes av en extern redovisningskonsult (nedan Z). Bolagets administration sköttes av bolagets ägare, tillika företagsledare (nedan Y), av Z och av den anställde projektledaren X. Y fick kännedom om oegentligheterna under våren 2014 då Y och Z gjorde en genomgång av bolagets lönekostnader. X hade även låtit vissa privata kostnader belasta bolaget, men den stora merparten av oegentligheterna avsåg felaktiga löneutbetalningar. X fick lämna bolaget före sommaren 2014 och i augusti samma år gjorde bolaget en polisanmälan. Han blev under våren 2014 informerad av Y om det inträffade och i slutet av sommaren 2014 fick han information om omfattningen av oegentligheterna. Han avgav sin revisionsberättelse i januari 2015. Eftersom bolaget redan hade uppdagat oegentligheterna när han påbörjade sin revision och den anställde hade hunnit lämna bolaget, hade han inte förutsättningar att själv upptäcka oegentligheterna inom ramen för sin revision.
Det var fråga om en förhållandevis liten verksamhet. Bolagets administration var organiserad på så sätt att de anställda upprättade tidrapporter som Y godkände och som låg till grund för kundfaktureringen. Y upprättade även de anställdas löneunderlag utifrån tidrapporterna och godkände dessa. X fick själv upprätta sina löneunderlag. X och Y lämnade löneunderlagen till Z som verkställde löneutbetalningarna. Därutöver godkände och attesterade Y samtliga fakturor som var ställda till bolaget, med undantag för de fakturor som var hänförliga till Xs projekt. De senare fakturorna kontrollerades och godkändes av X och attesterades därefter av Y. I förhållande till verksamhetens art och omfattning bedömde han bolagets rutiner som sådana som acceptabla. Det visade sig senare att X inte bara hade upprättat löneunderlag för sig själv, utan även för sina anhöriga. Z hade inte reagerat på detta, utan hade hanterat dessa underlag enligt bolagets vanliga rutiner.
Mot bakgrund av verksamhetens begränsade omfattning, att X hade fått lämna bolaget, att han hade fått ta del av bolagets utredning av utbetalningarna till X och hans anhöriga samt att hans egen granskning inte gav honom några indikationer på att det hade förekommit ytterligare felaktigheter, ansåg han sig ha grund för att godta bolagets redovisade lönekostnader. Han kan dock konstatera att hans dokumentation är otillräcklig.
På grund av den osäkerhet som rådde när polisutredningen pågick, avvaktade bolaget med att färdigställa årsredovisningen för räkenskapsåret 2013/14. Under mellantiden höll han sig uppdaterad om läget i polisutredningen genom bl.a. Z.
Bolaget utförde en egen utredning avseende omfattningen av oegentligheterna och han kunde konstatera att de utbetalningar som X grundlöst hade belastat bolaget med hade utretts och hanterats på lämpligt sätt. Han kunde inte identifiera några andra fel eller brister i bolagets bokföring som var hänförliga till oegentligheterna och det saknades skäl att misstänka att det skulle ha förekommit ytterligare oegentligheter.
A-son har gett in ett tvåsidigt exceldokument där kostnader för lön, traktamente, resor och sociala kostnader under perioden 2009 – 2013 för X och tre av hans anhöriga (vilka inte var anställda eller hade några uppdrag i bolaget) har noterats. På dokumentets andra sida finns en uppräkning av kostnader för bl.a. drivmedel, reparationer och kreditkort under perioden 2013-01-01 till 2014-04-30. Det framgår inte vem som har upprättat dokumentet eller när det skedde.
A-son har vidare uppgett följande.
Eftersom oegentligheterna var kända, den ansvarige hade lämnat bolaget och ärendet var polisanmält när han gjorde sin revision, gjorde han en bedömning av risken för oegentligheter utöver dem som bolaget redan hade uppdagat och utrett. Att bolaget under flera år hade betalat ut för hög lön till X och dessutom betalat en del av Xs privata levnadsomkostnader var naturligtvis anmärkningsvärt. Detta medförde att han kunde konstatera brister i den interna kontrollen, vilket han också påtalade för Y vid ett telefonsamtal i början av hösten 2014. Y menade att han själv hade varit för godtrogen men ansåg sig ha tagit lärdom för framtiden. A-son fick så småningom ta del av det exceldokument som Y och Z hade upprättat (vilket omnämns ovan), men av förbiseende lades det inte in i eller kommenterades i revisionsdatabasen. Utöver de där angivna kostnaderna noterade han i samband med faktura- och verifikationsgranskningen inte några brister avseende attester eller rörelsefrämmande kostnader.
Bolaget hade varit revisionskund hos revisionsföretaget i många år innan han själv fick uppdraget och den samlade bedömningen från tidigare års revisioner var att Y hade en seriös inställning till sitt företagande. Han kände Z från andra uppdrag och såg ingen förhöjd risk för oegentligheter kopplad till henne. Det inträffade har inte gett honom anledning att ändra sin inställning till Y och Z. Vid sidan av X, Y och Z hade ingen annan i bolaget behörighet till de administrativa systemen och risken för att någon annan skulle ha gjort sig skyldig till oegentligheter bedömdes som liten. Den sammantagna bedömningen var att risken för oegentligheter, bortsett från det som redan var känt, inte var förhöjd, men att det som i alla liknande företag alltid fanns en risk för att ägaren/företagsledaren satte sig över kontroller och medvetet utförde oegentliga handlingar. Risken för materiella fel på grund av oegentligheter hade därför satts till ”Significant” i granskningsplaneringen. För att möta denna risk granskade han bl.a. den löpande bokföringen och bokslutsomföringar samt fokuserade i sin granskning på oförutsägbarheten genom att använda en kombination av ”target testing” inriktad mot större belopp och slumpmässiga urval. Han granskade 72 av totalt 813 leverantörsfakturor för räkenskapsåret 2013/14 för att kontrollera att de hade attesterats av behörig person, dvs. Y, att fakturorna överensstämde med bokföringen och att det inte fanns några indikationer på rörelsefrämmande kostnader. Han granskade också juni månads verifikationer, vilket utgjorde 85 av bolagets totalt 650 verifikationer under räkenskapsåret. Han ansåg mot bakgrund av sin riskbedömning att detta var ett tillräckligt urval. Han kunde konstatera att de löner som hade betalats ut hade godkänts och attesterats av Y i behörig ordning och att de stämde mot bokföringen. Eftersom han inte noterade några brister, ansåg han att hans granskning var tillräcklig och ändamålsenlig. Hans uppfattning är att han har förhållit sig rimligt skeptisk i uppdraget och att han har gjort den granskning och de bedömningar som krävs enligt god revisionssed.
Han anser även att han gjorde tillräckliga kostnadsanalyser och förfrågningar och han fick inte någon indikation på att bolagets egen utredning var ofullständig. Det var därför inte påkallat att utföra någon kompletterande granskning av omfattningen av oegentligheterna. Han fick tillfredsställande förklaringar till samtliga poster som han följde upp. Det fanns inte några indikationer på andra oegentligheter än de som hade klarlagts genom bolagets egen utredning. Texten i dokumentationen om att det inte fanns några indikationer på rättstvister etc. var en standardskrivning som inte anpassades till de faktiska förhållandena.
4 Revisorsinspektionens bedömning och val av disciplinär åtgärd
Enligt International Standards on Auditing (ISA) 240 Revisorns ansvar avseende oegentligheter i en revision av finansiella rapporter ska revisorn förhålla sig skeptisk i sin granskning när det finns en hög risk för oegentligheter. A-son har i sin dokumentation noterat att han har gjort en generell bedömning av riktighet och fullständighet avseende löner och utbetalningar, att han inte har noterat något som tyder på brister och att hans slutsats är att bolaget har tillfredsställande rutiner. Av hans dokumentation kan inte utläsas att han, i ljuset av den uppkomna situationen, utförde någon specifik eller djupare granskning av löneutbetalningarna, lönrutinen eller posten Kassa och bank. Någon detaljgranskning eller utökad granskning av lönerutinen eller löneutbetalningarna finns inte i dokumentationen. Inte heller finns det i dokumentationen några reflektioner inom dessa områden mot bakgrund av de oegentligheter som hade förevarit.
En auktoriserad revisor ska enligt god revisionssed dokumentera dels sådana förhållanden som har betydelse för att ge bevis till stöd för uttalandena i revisionsberättelsen, dels sådana förhållanden som utgör bevis för att revisionen har planerats och utförts enligt god revisionssed. Bestämmelser om dokumentation finns i 24 § revisorslagen (2001:883) och 2–4 §§ Revisorsnämndens föreskrifter (RNFS 2001:2) om villkor för revisorers och registrerade revisionsbolags verksamhet. Dessa kompletteras av ISA 230 Dokumentation av revisionen. Underlåtenhet att fullgöra dokumentationsskyldigheten på ett riktigt sätt bedöms som allvarlig, eftersom den försvårar en analys och en tillfredsställande bedömning av arbetet i efterhand.
Den omständigheten att en revisor inte dokumenterar sina granskningsåtgärder enligt gällande föreskrifter behöver i och för sig inte innebära att hans eller hennes granskningsåtgärder har varit otillräckliga. I ett sådant fall anses dock Revisorsinspektionens bevisbörda övergå på revisorn. Det innebär att revisorn måste kunna redogöra för sin granskning på ett sådant sätt att det vid en helhetsbedömning framstår som sannolikt att de påstådda åtgärderna har utförts och att de har haft en sådan inriktning och omfattning att de har kunnat tjäna som underlag för välgrundade slutsatser. Vid denna bedömning beaktar Revisorsinspektionen bl.a. hur detaljerade uppgifter revisorn har lämnat om sina granskningsinsatser. Om revisorn inte förmår att göra den påstådda granskningen sannolik, utgår Revisorsinspektionen från att någon tillfredsställande granskning inte har skett.
Den aktuella revisionen avsåg ett bolag där det hade förekommit oegentligheter. Detta kände A-son till. Oegentligheterna hade pågått under flera års tid – även under det räkenskapsår som han granskade – utan att företagsledningen hade upptäckt dem. Av dokumentationen kan inte någonstans utläsas att han gjorde någon granskning av oegentligheterna eller drog några slutsatser med anledning av dem. Tvärtom angav han i dokumentationen att det inte hade förekommit några oegentligheter alls under räkenskapsåret och att bolaget hade en god intern kontroll. Revisorsinspektionen ifrågasätter visserligen inte att han utförde de kontroller och hade de samtal med bolagsledningen som han uppger i sina yttranden. Men det får anses anmärkningsvärt att han i sin dokumentation gjorde noteringar om sin riskbedömning och om förekomsten av oegentligheterna som var direkt missvisande.
När A-son hade granskat oegentligheterna och bolagets hantering av dessa, borde detta i ett nästa steg ha påverkat hans riskbedömning och ha lett till utökade granskningsåtgärder i relation till lönerutinerna. Den granskning av löneutbetalningarna och lönerutinerna som gjordes var, mot bakgrund av de särskilda omständigheter som A-son hade vetskap om, därför otillräcklig.
A-son har, genom att upprätta missvisande dokumentation och genom att inte granska löneutbetalningarna och lönerutinerna i den omfattning som de uppdagade misstankarna om oegentligheter gav anledning till, åsidosatt sina skyldigheter som revisor. Han ska därför meddelas en disciplinär åtgärd. Det som läggs honom till last är sammantaget allvarligt och han ska därför, med stöd av 32 § andra stycket revisorslagen, ges en varning.