Varning för otillräckliga granskningsåtgärder vid kännedom om brister i rutinerna hos det redovisningsföretag som revisionskunden anlitade.

FAR har kommenterat detta disciplinärende. Kommentaren återges sist i ärendet.

1 Inledning

Revisorsinspektionen har tagit del av information som gäller A-sons uppdrag som revisor i ett aktiebolag. Informationen har föranlett Revisorsinspektionen att öppna detta ärende. Ärendet behandlar A-sons revision av bolaget för räkenskapsåren 2016-07-01–2017-06-30 och 2017-07-01–2018-06-30.

Bolaget upprättade sina årsredovisningar med tillämpning av Bokföringsnämndens allmänna råd (BFNAR 2016:10) Årsredovisning i mindre företag (K2).

Bolagets nettoomsättning, balansomslutning och balansposten Kassa och bank framgår av tabellen nedan (belopp i mnkr).

Räkenskapsår

Omsättning

Balansomslutning

Kassa och bank

2016-07-01–2017-06-30

35

13

4

2017-07-01–2018-06-30

41

14

4

2 Bakgrund

Bolaget är ett konsultbolag inom IT och management. A-son har varit vald revisor i bolaget sedan räkenskapsåret 2006. För båda i ärendet aktuella räkenskapsår avgav han revisionsberättelser utan modifiering, upplysning eller anmärkning.

Bolaget har sedan det bildades år 2001 använt sig av en och samma redovisningsbyrå för all bokföring och redovisning och alla löneutbetalningar och övriga arbetsuppgifter som förekommer på en ekonomiavdelning. I oktober 2019 fick bolagets verkställande direktör information om att den person på redovisningsbyrån som var ansvarig för bolagets redovisning misstänktes för förskingring. Av de handlingar som Revisorsinspektionen har tagit del av, däribland en rapport från en extern utredare som bolaget tillsatte, framgår följande.

Förskringringen hade pågått i flera år genom att den medarbetare på redovisningsbyrån som var ansvarig för bolagets redovisning (nedan den kundansvariga), genom upprepade överföringar från bolagets bankkonto till sitt eget konto, hade tillskansat sig ca 5,6 mnkr från bolaget. Den kundansvariga hade försökt dölja detta genom manipulativ bokföring. De rapporter som bolaget hade fått från redovisningsbyrån var manipulerade och de likvida medel som uppgavs i balansrapporten stämde inte överens med verkligheten. I stället förelåg det en akut likviditetskris hos bolaget.

3 Kassa och bank

3.1 Räkenskapsåret 2016/2017

Inför sin revision för räkenskapsårets 2016/17 fick A-son en sammanställning av information som avsåg en genomförd granskning hos redovisningsbyrån. Sammanställningen, som var daterad den 15 mars 2017, benämndes ”ISA 4021 och ISAE 34022 Revision av företag som anlitar servicebyråer”. Syftet med sammanställningen var att revisorn skulle beakta hur redovisningsbyrån påverkade klientens redovisningssystem och system för intern kontroll för att kunna planera sin revision. Den innehöll en kortfattad beskrivning av redovisningsbyråns rutiner, ett fåtal granskningsmoment och några förbättringsförslag. Den innehöll däremot ingen beskrivning av byråns interna kontroller. A-son fick också del av ett uttalande, daterat den 28 mars 2017, som redovisningsbyråns revisor hade lämnat över redovisningsbyråns internkontrollrapport (IT-struktur och arbetsstrukturdokumentation). I uttalandet hänvisades till internkontrollrapporten; rapporten saknas dock i A-sons dokumentation. Redovisningsbyråns revisor framförde inga anmärkningar och pekade inte heller på några brister utan de testade kontrollerna bedömdes vara effektiva. Däremot framfördes en del förslag till förbättringsåtgärder.

Av sammanställningen framgick bl.a. att redovisningsbyråns kunder hade lämnat en fullmakt åt byrån och att målet var att det alltid skulle finnas en dubbelsignering av utbetalningar där kunden slutgodkände utbetalningarna. I praktiken lämnade kunden dock över ansvaret till redovisningsbyrån som sedan skötte utbetalningarna. En förbättringsåtgärd som föreslogs i sammanställningen var att införa en dubbelsignering på redovisningsbyrån för belopp som översteg t.ex. 50 tkr, alternativt att införa en kontroll genom att någon annan person på redovisningsbyrån signerade utbetalningslistan/journalen. Syftet med detta skulle vara att trygga hanteringen av utbetalningar när kunderna inte själva utförde sina egna betalningar.

Av revisionsdokumentationen framgår att den kundansvariga vid redovisningsbyrån självständigt utförde samtliga ekonomitjänster åt bolaget, inklusive hantering av utbetalningar.

I A-sons planeringsdokument för det aktuella räkenskapsåret framgår att det skulle göras en utökad granskning av kundfordringar och intäkter och att resten skulle granskas översiktligt. A-son bedömde att risken för oegentligheter och fel generellt var låg. Av hans dokumentation går det inte att utläsa om slutsatsen även innefattade hanteringen av likvida medel. Av dokumentationen framgår det inte heller om de föreslagna förbättringsåtgärderna i den sammanställning som redovisningsbyråns revisor hade upprättat påverkade inriktningen på eller omfattningen av A-sons granskningsansats för likvida medel.

I revisionsdokumentationen finns ett dokument, rubricerat Försättsblad Kassa och bank. Av dokumentet framgår att avstämningen av saldot hade gjorts mot externa underlag från banken per bokslutsdagen. Revisorn hade erhållit underlagen via mail från redovisningsbyrån. A-sons slutsats var att inga avvikelser eller onormala transaktioner hade identifierats och att posten var utan anmärkning. Av dokumentationen framgår det inte vilken granskning som A-son utförde för att komma till denna slutsats.

I revisionsdokumentationen finns också en lista med 44 transaktioner som hade sökts fram på huvudbokskonto 1930 (ett bankkonto). Det framgår att sju av dessa granskades mot underlag inom ramen för verifikationsgranskningen och att granskningen inte gav upphov till anmärkningar. Av revisionsdokumentationen framgår inte om det gjordes någon granskning med utgångspunkt från externa underlag i syfte att säkerställa att alla banktransaktioner i enlighet med bankkontotudraget också hade blivit bokförda.

A-son har uppgett följande.

Bolaget hade haft ett långvarigt samarbete med redovisningsbyrån. Samarbetet byggde på att bolaget överlät huvudansvaret för ekonomifunktionen till redovisningsbyrån. Han hade ett mycket stort förtroende för redovisningsbyrån, mot bakgrund av att han genom åren hade varit revisor också åt andra kunder som byrån agerat som ekonomifunktion för. Hans erfarenhet var att redovisningen generellt skötts med hög kvalitet och att antalet uppdagade fel hade varit mycket få. Redovisningsbyrån hade mycket kunniga och erfarna medarbetare, vilket han uppfattade stärkte den interna kontrollen hos kunden. Han hade också tagit del av sammanställningen och de slutsatser som redovisningsbyråns revisor dragit.

Rutinen med att redovisningsbyråns medarbetare självständigt utförde utbetalningar var känd och accepterad av bolaget. Han förutsatte att bolagets verkställande direktör med jämna mellanrum observerade saldot på kontot och därmed borde ha reagerat på väsentliga avvikelser mot bokföringen. Mot denna bakgrund, i kombination med vad redovisningsbyråns revisor hade uttalat och hans eget höga förtroende för redovisningsbyrån, bedömde han risken för oegentligheter i likvida medel som låg. Han såg redovisningsbyrån som en förstärkning av bolagets egna interna kontroll, snarare än som en förhöjd risk för oegentligheter. Det gällde särskilt mot bakgrund av att redovisningsbyrån hade ett team som hanterade varje kund, något som enligt hans bedömning säkerställde en intern kontroll.

Det uttalande som redovisningsbyråns revisor hade gjort indikerade inte att det förelåg några brister i redovisningsbyråns interna kontroll. Bristen på dualitet i kontrollen av utbetalningar utgjorde dock en brist i den interna kontrollen. Det var emellertid en känd brist som bolaget hade accepterat.

För räkenskapsåret 2016/2017 gjordes granskningen av posten Kassa och bank genom avstämning av huvudbokssaldot mot erhållet engagemangsbesked. Slutsatsen från granskningen var att inga avvikelser eller onormala transaktioner hade identifierats. Beträffande de sju transaktionerna på konto 1930 var slutsatsen att inga väsentliga fel hade noterats avseende redovisning.

ISA 402 Revisorns överväganden vid revision av företag som anlitar en servicebyrå.

ISAE 3402 Bestyrkanderapporter om kontroller på en servicebyrå.

3.2 Räkenskapsåret 2017/2018

Revisionsdokumentationen för räkenskapsåret 2017/18 innehåller inte några motsvarigheter till den sammanställning och det revisorsuttalande om redovisningsbyråns interna kontroll som finns i revisionsdokumentationen för föregående räkenskapsår.

I A-sons planeringsdokument anges, liksom för föregående år, att en utökad granskning skulle göras av kundfordringar och intäkter och att resten skulle granskas översiktligt. Även för detta räkenskapsår bedömde A-son risken för oegentligheter och fel generellt som låg. Av hans dokumentation går det inte att utläsa om slutsatsen även innefattade hanteringen av likvida medel. Det framgår inte heller om de förbättringsåtgärder som redovisningsbyråns revisor hade uttalat sig om föregående år påverkade inriktningen på eller omfattningen av A-sons granskningsansats.

I revisionsdokumentationen finns ett dokument rubricerat Försättsblad Kassa och bank. Enligt detta hade den avstämning som gjorts mot engagemangsbesked varit utan anmärkning. A-sons slutsats var att inget avvikande hade noterats under granskningen. Saldot på bankkontot uppgick enligt det engagemangsbesked, som A-son hade fått från redovisningsbyrån till 4 403 tkr. I dokumentationen finns en verifikationsgranskning avseende 14 bokförda utbetalningar på huvudbokskonto 1930. Den granskningen gav inte upphov till anmärkningar. Av revisionsdokumentationen framgår inte om det gjordes någon granskning med utgångspunkt från externa underlag för att säkerställa att alla banktransaktioner i bankkontotudraget också hade blivit bokförda.

Det kan noteras att det korrekta saldot på bankkontot, enligt det engagemangsbesked som i samband med utredningen av förskingringen skickades direkt från banken till bolaget, var 1 942 tkr, dvs. 2 461 tkr lägre än det redovisade beloppet.

A-son har uppgett följande.

För revisionen av räkenskapsåret 2017/2018 fick han ingen sammanställning som motsvarade den som han hade fått för det tidigare räkenskapsåret. Hans bedömning var att ett inhämtande av en sådan sammanställning inte skulle inneburit någon annan slutsats rörande den interna kontrollen. Han förlitade sig på att slutsatsen från föregående års uttalande fortfarande gällde, eftersom inga förändringar i redovisningsbyråns organisation hade kommit till hans kännedom.

Hans goda erfarenheter av redovisningsbyrån gjorde att han inte ansåg att det innebar någon förhöjd risk att denna anlitades. Han bedömde att redovisningsbyrån levererade goda beslutsunderlag i form av rättvisande rapporter till bolaget, vilket ökade den interna kontrollen.

För räkenskapsåret 2017/2018 fick han engagemangsbeskedet i en pdf-fil tillsammans med övrig bokslutsdokumentation från redovisningsbyrån. Eftersom han bedömde risken för oegentligheter avseende likvida medel som låg, accepterade han att engagemangsbeskedet inte skickades direkt till honom. Det engagemangsbesked som han fick framstod som en kopia av originalhandlingen men visade sig långt senare vara en förfalskning.

Ingen övrig granskning av posten Kassa och bank gjordes. Fokus i revisionen låg i stället på intäkter och kundfordringar, som var de värdemässigt största posterna i resultat- och balansräkningarna.

3.3 Revisorsinspektionens bedömning och val av disciplinär åtgärd

Bolagets hela ekonomifunktion utfördes av en redovisningsbyrå. Att den finansiella informationen som erhölls från redovisningsbyrån var korrekt var därför avgörande för bolaget.

När ett företag använder sig av en redovisningsbyrå i den utsträckning som i förevarande fall betraktas redovisningsbyrån som en servicebyrå och revisorn ska därmed vid sin riskbedömning använda sig av International Standard on Auditing (ISA) 402 Revisorns övervägande vid revision av företag som anlitar en servicebyrå. Målet är att revisorn ska skaffa sig förståelse av karaktären på och betydelsen av de tjänster som servicebyrån levererar och deras effekt på det reviderade företagets interna kontroll, i den utsträckning sådan förståelse behövs för att revisorn under revisionen ska kunna identifiera och bedöma riskerna för väsentliga felaktigheter. När revisorn har identifierat och bedömt riskerna, ska han eller hon utforma och utföra granskningsåtgärder som hanterar dessa risker.

Revisorn kan i dessa sammanhang, som stöd för sin förståelse av servicebyråns interna kontroll, använda sig av en rapport från servicebyråns revisor.

A-son har uppgett att han för räkenskapsåret 2016/2017 tog del av sammanställning och uttalande från redovisningsbyråns revisor. Han har, trots den i sammanställningen framförda förbättringsåtgärden angående dualitet i kontrollen av utbetalningar, inte skaffat sig någon förståelse för hur redovisningsbyrån utförde dessa transaktioner åt bolaget. Såvitt framgår av dokumentationen och hans yttranden till Revisorsinspektionen har han inte heller undersökt vilka kontroller bolaget hade infört för att säkerställa att den rapportering som lämnades från redovisningsbyrån var riktig och fullständig. Revisorsinspektionen noterar särskilt att han inte hade tillgång till den internkontrollrapport, som redovisningsbyråns revisor hade baserat sin granskning på. A-son har uppgett att han förutsatte att bolagets verkställande direktör med jämna mellanrum observerade saldot på bankkontot och därmed borde ha reagerat på väsentliga avvikelser mot bokföringen. Revisorsinspektionen anser att enbart antagande om att bolaget utförde det slaget av kontroller inte utgör någon granskningsåtgärd.

För räkenskapsåret 2017/2018 fick A-son ingen motsvarande rapportering från redovisningsbyråns revisor utan förlitade sig på föregående års slutsatser. Av ISA 330 Revisorns hantering av bedömda risker p. 14 framgår att revisorn, om han eller hon planerar att använda revisionsbevis från en tidigare revision, ska säkerställa att bevisen fortfarande är relevanta. Det ska ske genom att han eller hon förvissar sig om att inga ändringar har skett avseende dessa kontroller sedan den tidigare revisionen.

Av dokumentationen för räkenskapåret 2017/2018 går det inte att utläsa vilka granskningsåtgärder som A-son vidtog för att försäkra sig om att den interna kontrollen fortfarande var densamma.

Den kundansvariga på redovisningsbyrån hade fullmakt att ensam teckna bolagets samtliga likvidkonton. Det förelåg därför, enligt Revisorsinspektionens mening, en förhöjd risk med hänsyn till att den kundansvariga hade denna vidsträckta behörighet och dessutom var den person som ensam svarade för bolagets löpande redovisning.

I 9 kap. 3 § aktiebolagslagen (2005:551) anges att den granskning som en auktoriserad revisor gör ska utföras med professionell skepticism. Enligt ISA 240 Revisorns ansvar avseende oegentligheter i en revision av finansiella rapporter p. 11–13 ska revisorn, oavsett tidigare erfarenheter av revisionsklienten, förhålla sig professionellt skeptisk under revisionen och vara medveten om möjliga väsentliga felaktigheter som beror på oegentligheter. Av ISA 500 Revisionsbevis p. 6 framgår att en revisor ska utforma och utföra granskningsåtgärder som är lämpliga med hänsyn till omständigheterna för att hämta in tillräckliga och ändamålsenliga revisionsbevis. Revisionsbevisens kvalitet är beroende av deras ändamålsenlighet, dvs. bevisens relevans och tillförlitlighet som stöd för de slutsatser som revisorn använder som grund för sitt uttalande. Hur tillförlitligt ett revisionsbevis är påverkas av dess källa och karaktär och dess värde beror på under vilka särskilda omständigheter som det har hämtats in (p. A 5). Av ISA 505 Externa bekräftelser p. 7 framgår att när revisorn använder sig av externa bekräftelser ska han eller hon hålla kontroll över varje begäran om extern bekräftelse, bland annat genom att välja den lämpliga bekräftande parten (p. A 2).

Enligt Revisorsinspektionens uppfattning är likvida medel ett område som vid revisionen i regel är förknippat med en högre inneboende risk för oegentligheter än flertalet andra områden. Posten Kassa och bank uppgick till 30 procent av balansomslutningen för respektive år och var därför en väsentlig post.

Mot bakgrund av det som hade kommit fram genom redovisningsbyråns revisors sammanställning bedömer Revisorsinspektionen att risken för oegentligheter i detta fall var förhöjd. Den förhöjda risken skulle enligt god revisionssed ha föranlett ökad skepticism och ytterligare revisionsåtgärder. Under rådande omständigheter borde en enkel granskningsåtgärd ha varit att utgå från externa underlag, t.ex. bankkontoutdrag erhållna direkt från banken till revisorn, för att kontrollera ut- och inbetalningar som gjorts på banken men som inte redovisats i bokföringen.

Bristen på externa engagemangsbesked, skickade direkt från banken, innebar att A-son för båda åren saknade ett väsentligt revisionsbevis. Hans granskning av posten Kassa och bank var alltså för båda räkenskapsåren bristfällig. Med hänsyn till att posten var väsentlig saknade han grund för att tillstyrka fastställande av bolagets resultat- och balansräkningar för respektive år. Genom att ändå göra detta har han åsidosatt god revisionssed och därigenom sina skyldigheter som revisor. Han ska därför meddelas en disciplinär åtgärd.

Det som ligger A-son till last är allvarligt. Han ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), ges en varning.

FARs kommentar

Ärendet belyser vikten av att en revisor bibehåller sin skeptiska inställning och medvetenhet om möjliga väsentliga felaktigheter som kan bero på oegentligheter. Revisorn måste ta höjd för att förskingring faktiskt förekommer. Som RI påpekar hade förskingringen i detta fall kunnat upptäckas om revisorn inhämtat externt revisionsbevis i form av ett engagemangsbesked från banken.