FAR har kommenterat detta disciplinärende. Kommentaren återges sist i ärendet.
Beslut: Revisorsinspektionen ger auktoriserade revisorn A-son en varning.
1 Inledning
Revisorsinspektionen har tagit emot en underrättelse från Skatteverket angående den auktoriserade revisorn A-son. Underrättelsen gäller hans revision av ett aktiebolag (nedan A-bolaget) för räkenskapsåret 2016. Den har föranlett inspektionen att öppna detta tillsynsärende. Ärendet behandlar bl.a. frågan om revisorn har inhämtat tillräckliga och ändamålsenliga revisonsbevis vid sin granskning av bolagets innehav av bitcoin.
Bolaget redovisade det aktuella räkenskapsåret en nettoomsättning om 7,6 mnkr, en balansomslutning om 300,9 mnkr och ett totalt eget kapital om 254 tkr.
Bolagets årsredovisning upprättades med tillämpning av Bokföringsnämndens allmänna råd (BFNAR) 2012:1 Års- och koncernredovisning (K3).
I sin revisionsberättelse anmärkte A-son att skatter och avgifter hade betalats in för sent. Revisionsberättelsen var i övrigt utan modifiering, upplysning eller anmärkning.
2 Revisorers dokumentationsskyldighet
En auktoriserad eller godkänd revisor ska enligt god revisionssed dokumentera dels sådana förhållanden som har betydelse för att ge bevis till stöd för uttalandena i revisionsberättelsen, dels sådana förhållanden som utgör bevis för att revisionen har planerats och utförts enligt god revisionssed. Bestämmelser om dokumentation finns i 24 § revisorslagen (2001:883) och 7–12 §§ Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet. Dessa kompletteras av International Standard on Auditing (ISA) 230 Dokumentation av revisionen. Dokumentationen ska vara tydlig och sammanställd på ett överskådligt sätt. Av dokumentationen ska framgå bl.a. hur granskningen har planerats, vilken granskning som har genomförts, när granskningen har utförts, vilka iakttagelser som har gjorts och vilka slutsatser som har dragits. Underlåtenhet att fullgöra dokumentationsskyldigheten på ett riktigt sätt bedöms som allvarlig, eftersom den försvårar en analys och en tillfredsställande bedömning av arbetet i efterhand.
Den omständigheten att en revisor inte dokumenterar sina granskningsåtgärder på ovan angivet sätt behöver i och för sig inte innebära att granskningsåtgärderna har varit otillräckliga. I ett sådant fall får dock Revisorsinspektionens bevisbörda anses övergå på revisorn. Det innebär att revisorn måste kunna redogöra för sin granskning på ett sådant sätt att det vid en helhetsbedömning framstår som sannolikt att de påstådda åtgärderna har utförts och att de har haft sådan inriktning och omfattning att de har kunnat tjäna som underlag för välgrundade slutsatser. Vid denna bedömning beaktar Revisorsinspektionen bl.a. hur detaljerade uppgifter revisorn har lämnat om sina granskningsinsatser. Om revisorn därvid inte förmår göra den påstådda granskningen sannolik, utgår Revisorsinspektionen från att någon tillfredsställande granskning inte har skett.
3 Bolagets innehav av bitcoin
3.1 Revisorns dokumentation
Av A-bolagets årsredovisning för räkenskapsåret 2016 framgår att verksamheten bestod i att aktivt handla med kryptovalutan bitcoin på världens ledande bitcoinbörser. Bolaget handlade enligt förvaltningsberättelsen för egen räkning i vinstsyfte samt handlade bitcoin för ett systerbolags (nedan B-bolaget) räkning. Syftet med affärsmodellen var att säkerställa att B-bolaget, som ställde ut värdepapper i form av certifikat som var kopplade till utvecklingen på priser i bitcoin, alltid skulle kunna säkra sin egen marknadsrisk relaterad till sina sålda certifikat.
A-bolagets bitcointillgångar redovisades i årsredovisningen dels som övriga kortfristiga fordringar med 185,8 mnkr, dels som fordringar hos koncernföretag med 97,4 mnkr.
Av A-sons revisionsdokumentation avseende planering och riskbedömning framgår att han planerade att granska tillgångarna som var relaterade till bitcoininnehavet och att relevanta räkenskapspåståenden att beakta vid granskningen var bl.a. fullständighet, riktighet och tillhörighet.1 Av dokumentationen framgår också att han bedömde den inneboende risken som normal, att han inte hade för avsikt att förlita sig på några av bolagets kontroller i granskningen och att nivån på planerade substansgranskningsåtgärder kunde sättas till låg.
Av revisionsdokumentationen framgår vidare att A-son bedömde att det inte var nödvändigt att granska allmänna IT-kontroller. I stället planerade han att utföra alternativa åtgärder, t.ex. substansgranskning av systemgenererade rapporter och beräkningar, för att testa tillförlitligheten, riktigheten och fullständigheten i den genom systemen genererade information som användes som revisionsbevis. A-bolaget använde ett standardsystem för bokföringen. Bolaget använde även ett tradingsystem för handel med bitcoin och rapporter från detta system skulle stämmas av mot externa källor.
I den dokumentation som avser posten Övriga fordringar finns bl.a. en sammanställning över balansposten. Sammanställningen innehåller en anteckning om att innehaven var avstämda mot externa underlag från bitcoinbörserna. Innehavet av bitcoin registrerades i s.k. digitala plånböcker för respektive marknadsplats. Av dokumentationen framgår att revisionsteamet vid granskningen av föregående räkenskapsår, år 2015, hade gjort en genomgång med den dåvarande verkställande direktören. Vid denna genomgång hade den verkställande direktören visat de olika aktörerna i handeln med bitcoin och hur han loggade in på de börssajter där A-bolaget handlade med bitcoin. Revisionsteamet hade då kunnat se att sajterna existerade och att A-bolaget hade medel hos aktörerna. Av dokumentationen går inte att utläsa om någon sådan genomgång utfördes vid granskningen av räkenskapsåret 2016 med den nye verkställande direktör som hade tillträtt vid tidpunkten för granskningen. Enligt dokumentationen tog A-son för sin granskning av existens och tillhörighet in saldobesked av vilka antalet bitcoin i respektive plånbok framgick. Saldobeskeden bestod av skärmutskrifter från respektive marknadsplats. I dokumentationen finns även e-postmeddelanden där A-bolaget hade förklarat hur beloppen hängde ihop med redovisningen, bl.a. genom inklippta skärmutskrifter. Av e-postkorrespondensen mellan revisionsteamet och A-bolaget framgår att bolaget i maj 2017 fortfarande försökte stämma av det bokförda saldot mot externa uppgifter per den 31 december 2016. Det framgår också att revisionsteamet behövde ställa många frågor, att bolaget självt inte utan svårigheter kunde få fram de uppgifter som behövdes för en avstämning och att bolaget över huvud taget inte kunde ta fram visst underlag. De tillgängliga underlagen visar innehav av bitcoin och reguljära valutor men ger inte information om kontohavare och andra identifikationsuppgifter som kan kopplas till A-bolaget. I dokumentationen finns även en rapport, rubricerad Counterparty and Position Report 2016-12-31, ur ett internt tradingsystem. Rapporten, som är utskriven den 31 december 2016, utvisar innehav av bitcoin men bär ett annat koncernbolags namn.
I dokumentationen finns inga anteckningar om granskning av fullständigheten i de redovisade tillgångarna. Det framgår inte heller om A-son utförde den granskning av bl.a. rapporter och saldobesked från bitcoinbörser som han hade planerat att utföra i stället för granskning av allmänna IT-kontroller.
I dokumentationen för posten Fordringar hos koncernföretag anges att posten avser bitcoin som lånats ut till ett utländskt koncernföretag. Avstämning av värde och existens av tillgången gjordes på samma sätt som för övriga bitcoin som redovisades i posten Övriga fordringar.
A-bolaget redovisade även skulder till koncernföretag om 262,2 mnkr. Enligt dokumentationen hade skulderna stämts av mot motpart.
Under år 2016 hade A-bolaget, B-bolaget och bolagens svenska moderbolag en gemensam styrelse och styrelsesammanträdena redovisades i gemensamma protokoll. Av protokollen från styrelsesammanträden under året framgår bl.a. att styrelsen hade identifierat felaktigheter i resultaträkningen och att balansräkningen inte verkade stämma. Det går dock inte att utläsa av protokollen vilket eller vilka bolag i koncernen som avsågs. Enligt en anteckning i dokumentationen påpekade någon i revisionsteamet att det inte var lämpligt att ha gemensamma protokoll för bolagen. I A-sons dokumentation finns en skrivelse från honom till den verkställande direktören i A-bolaget. I skrivelsen, som rör alla tre bolagen, rapporterar han att granskningen hade tagit mer tid än beräknat på grund av problem med bokföringen. Av skrivelsen kan utläsas att bokföringen inte hade varit komplett vid tidpunkten för de nya ägarnas förvärv av bolagen och att såväl den nya ledningen för bolagen som revisionsteamet hade fått ägna mycket tid för dialog med bl.a. tidigare ägare av bolagen.
I revisionsdokumentationen finns även en kopia av en garantiutfästelse. Garantiutfästelsen, som är utfärdad den 13 juni 2016 mellan B-bolaget och ett koncernbolag på Jersey, avser de certifikat som B-bolaget hade ställt ut. Av utfästelsen går inte att utläsa vilken roll A-bolaget hade i affärsuppgörelsen med de utställda certifikaten. I dokumentationen finns också ett brev (comfort letter), utfärdat den 23 maj 2017, från A- och B-bolagens gemensamma moderbolag. I brevet förbinder sig moderbolaget att se till att A-bolagets tillgångar, i synnerhet innehavet av bitcoin, står till B-bolagets förfogande för att säkerställa att B-bolaget kan uppfylla sina åtaganden vid eventuellt påkallande av inlösen av utställda certifikat. Av brevet kan utläsas att det motiverades av att moderbolaget i samband med revisionen av den svenska delen av koncernen hade kommit på att det skulle vara till gagn för bolagsgruppen att formalisera nyss nämnda arrangemang, dvs att A-bolagets tillgångar skulle hållas tillgängliga för B-bolagets åtaganden. Dokumentationen ger i övrigt inga besked om den närmare innebörden av affärsuppgörelsen mellan A-bolaget och B-bolaget.
Räkenskapspåståendet tillhörighet motsvaras i ISA 315 Identifiera och bedöma riskerna för väsentliga felaktigheter tillämpningspunkt A 190 b) ii. av begreppet rättighet, vilket innebär att ett företag innehar eller kontrollerar rättigheterna till tillgångarna. Vid tidpunkten för A-sons granskning fanns motsvarande tillämpningsanvisning i A 129 b) ii.
3.2 Revisorns yttrande
A-son har uppgett följande.
Per den 31 december 2016 ägde det koncernbolag som var beläget på Jersey 90 procent av aktierna i A- och B-bolagens moderbolag. De resterande 10 procenten ägdes av den dåvarande verkställande direktören i A- och B-bolagen. Den svenska underkoncernens verksamhet sköttes av den verkställande direktören, som var anställd i A-bolaget. Några andra anställda fanns inte i de svenska koncernbolagen. I början av räkenskapsåret 2017 avgick den verkställande direktören och ersattes av en av styrelseledamöterna.
Koncernens affärsmodell gjordes om under år 2015. B-bolaget slutade att köpa egna bitcoin för säkringsändamål. B-bolaget övergick i stället till att löpande överföra de medel som erhölls vid försäljning av certifikat till A-bolaget. A-bolaget inhandlade, i B-bolagets ställe, de bitcoin som krävdes for att säkra de utställda certifikaten. Relationen mellan bolagen skulle kunna liknas vid ett kommissionsförhållande i så måtto att äganderätten till av A-bolaget inköpta bitcoin tillkom B-bolaget. De bitcoin som B-bolaget ägde sedan tidigare lånade B-bolaget under räkenskapsåren 2015 och 2016 ut till A-bolaget som därefter redovisade bitcoininnehaven i sin balansräkning. B-bolaget överförde på detta sätt kontrollen över och administrationen av hela sitt innehav till A-bolaget. Eftersom det i A-bolagets säkringsåtagande låg en skyldighet för A-bolaget att återbära medlen till B-bolaget vid anfordran, redovisade B-bolaget en fordran på A-bolaget och A-bolaget en skuld till B-bolaget. B-bolaget redovisade alltså såväl överföringen av befintliga bitcoin som de efterföljande överföringarna av medel från B-bolaget till A-bolaget som lån. Den omständigheten att A-bolaget kontrollerade de elektroniska plånböckerna betydde alltså inte att äganderätten till dessa bitcoin hade övergått till A-bolaget.
Den skuld som bitcoinutlåningen resulterade i hos A-bolaget uppgick till samma belopp som B-bolagets fordran, dvs. 260,6 mnkr. Enligt A-bolagets årsredovisning uppgick dock skulderna till koncernbolag till 262,2 mnkr, eftersom bolaget även hade andra skulder om 1,6 mnkr.
Utöver de bitcoin som innehades som ett led i säkringsåtagandet hade A-bolaget ytterligare 1 844 bitcoin till ett värde om cirka 16 mnkr. Det senare innehavet kunde A-bolaget fritt disponera.
De transaktioner som utfördes under löpande år framgick av de digitala plånböckerna, men han ansåg inte att det var påkallat att granska transaktionerna särskilt. Eftersom en ökning av bitcoininnehavet i allt väsentligt motsvarades av en ökning av skulden till B-bolaget som i sin tur var kopplad till B-bolagets utställda certifikat, ansåg han att en granskning av balansräkningen i slutet av perioden var tillfyllest.
Han bedömde att det inte fanns förutsättningar för en kontrollbaserad granskning och genomförde i stället granskningen utifrån en renodlad substansbaserad ansats med fokus på balansräkningen. Anledningen till detta var att det inte fanns några formaliserade och dokumenterade interna kontroller på plats. En lämplig fördelning av arbetsuppgifter ("segregation of duties”) för de väsentliga aktiviteterna och funktionerna var inte möjlig eftersom bolagets verkställande direktör ensam hanterade administrationen av de tre bolagen i koncernen. Han bedömde därför att kontrollmiljön inte gav grund för något annat än substansgranskning.
För att hålla bitcoin behövs en digital s.k. kryptoplånbok. Med denna plånbok följer en s.k. kryptonyckel. Det är endast innehavaren av rätt plånbok tillsammans med rätt kryptonyckel som kan genomföra transaktioner i plånboken eller ta fram data ur denna plånbok. Det ligger i blockkedjetekniken att varje transaktion, dvs. varje köp eller försäljning av en bitcoin, bekräftas i hela blockkedjan innan den utförs. Det finns i normalfallet inget namn eller någon information om ägare till en plånbok i blockkedjesystemet. Plånbokens identifikationsnummer får då matchas med kryptonyckeln som bevis på behörighet till respektive plånbok.
Under revisionen av det föregående räkenskapsåret, 2015, hade han granskat att A-bolaget hade tillgång till både plånböcker och kryptonycklar och att dessa förvarades på ett tillfredsställande sätt. Den granskningen skedde på plats hos bolaget och syftade till att bekräfta att enbart bolagets företrädare hade tillgång till kryptonycklarna. Bolaget hade en mycket begränsad organisation med endast två anställda, tillika bolagets grundare. Han bedömde därför att risken för spridning av informationen om plånböckernas identifikationsnummer och kryptonycklar var minimal. Han kontrollerade behörigheten genom att medlemmar ur revisionsteamet fick sitta bredvid de anställda när de öppnade respektive plånbok. Genom denna granskning av förhållandena för räkenskapsåret 2015 ansåg han att det var bekräftat att endast bolagets företrädare hade access till plånböckerna och att bolaget därmed hade erforderlig rådighet över dessa och de bitcoin som fanns i respektive plånbok. Plånböckerna var desamma under räkenskapsåret 2016. Han fick del av underlag i form av utskrifter som visade att bolaget kunde ta ut samma information ur dessa som året innan. Detta bekräftade att bolaget hade access och behörighet till plånböckerna även för år 2016. Han bedömde mot den bakgrunden att utskrifterna utgjorde tillförlitliga externa revisionsbevis.
Som ett led i granskningen av existensen och tillhörigheten avseende bolagets redovisade bitcoininnehav hämtade revisionsteamet in saldobesked som utvisade antalet bitcoin i respektive plånbok. Saldobeskeden, som erhölls i form av skärmutskrifter från respektive marknadsplats, avsåg innehavet per den 31 december 2016.
Det innehav av bitcoin som framgick av specifikationen över huvudbokssaldot stämde han av mot de skärmbilder som visade innehavet av bitcoin per den 31 december 2016. Vidare hämtade revisionsteamet in bolagets ”Counterparty and Position Report” per den 31 december 2016. Denna rapport hade tagits fram ur A-bolagets tradingsystem och utvisade bland annat antalet bitcoin som bolaget hade med fördelning på respektive marknadsplats. Att rapporten bar ett annat koncernbolags namn var i sig inget som föranledde misstankar om brister eller fel i rapporten. Vid avstämning mellan den rapporten och specifikationen till det bokförda saldot framkom en oväsentlig nettodifferens om 22 bitcoin till ett värde av 192 tkr. Bolagets tradingsystem var egenutvecklat och utgjorde ett rent internt hjälpmedel. Systemet var inte kopplat till någon marknads- eller handelsplats för bitcoin utan syftade enbart till att underlätta den interna administrationen av bitcoininnehaven. Han förlitade sig inte på rapporten från tradingsystemet som sådan, utan granskade fullständigheten i bitcoininnehavet på annat sätt. Efter avstämningarna mellan dels specifikationen av det bokförda beloppet och saldobesked, dels det bokförda beloppet och rapporten från bolagets tradingsystem, bedömde han att han hade fått tillräckliga och ändamålsenliga revisionsbevis för bitcointillgångarnas existens.
Posten Fordringar hos koncernföretag avsåg A-bolagets utlåning av 11 200 bitcoin till ett koncernbolag på Jersey. Fordran på koncernbolaget avsåg en intern överföring på marknadsplatsen Bitstamp. Överföringen var ett led i en överflyttning av verksamheten till Jersey.
Han kontrollerade fullständigheten genom att granska bolagets bokföring. Det skedde främst genom att han stämde av respektive kryptoplånbok mot bokföringen och genom att han granskade transaktioner på bolagets bankkonton före och efter bokslutet för att identifiera eventuella betalningar utan motsvarande erhållna bitcoin. Vid den granskningen identifierade han en utbetalning som inte motsvarades av något inköp av bitcoin; detta förklarades av att posten utgjorde s.k. cash-in-transit. Därutöver säkerställde han att kryptotillgångarna minst motsvarade skulden till B-bolaget.
Vid tidpunkt för granskningen hade han och hans medarbetare tillgång till en fullständig uppsättning av verifikationer, dokumenterade avstämningar, huvudbok och annan väsentlig underliggande dokumentation. Den samlade bedömningen var att det med utgångspunkt i bolagets löpande bokföring kontinuerligt var möjligt att överblicka verksamhetens förlopp, ställning och resultat. Han fann brister i den tidigare ägarens förvaltning. Detta kommunicerade han skriftligen till A-bolagets verkställande direktör. Bristerna medförde att det tog relativt lång tid att få fram tillfredsställande underlag vilket fick till följd att revisionen drog ut på tiden. Bristerna medförde dock inte en förhöjd risk för kvarstående fel i bokslutet. Vid den tidpunkt då han avgav sin revisionsberättelse hade han fått del av de underlag som behövdes för revisionen.
Innan han avgav sina revisionsberättelser för A-bolaget och B-bolaget tog han del av en skriftlig garanti. Garantin innebar bl.a. att A-bolaget skulle hålla bitcoin tillgängliga för att B-bolaget skulle kunna uppfylla sina åtaganden vid inlösen av certifikaten. Som bekräftelse på bolagens överenskommelse tog han del av det s.k. comfort letter som upprättades den 23 maj 2017. Han tog även del av den garanti som koncernbolaget på Jersey hade utfärdat den 13 juni 2016, som bekräftade samarbetet mellan koncernbolagen.
Samarbetet mellan de olika koncernbolagen hade inte formaliserats genom några skriftliga avtal. Det rådde dock inte någon otydlighet i fråga om hur bolagen samverkade och vilka åtaganden som respektive bolag hade gjort i förhållande till de övriga koncernbolagen. Det kan nämnas att samarbetet mellan bolagen fanns väl beskrivet i B-bolagets prospekt inför noteringen av certifikaten på Nasdaq. Att det skulle finnas en garant var också ett krav från Nasdaq och detta förhållande finns alltså väl dokumenterat i bolagets prospekt. Redovisningen i A-bolaget och i B-bolaget beskrev på ett godtagbart sätt bolagens olika roller i koncernen. Eftersom koncernen delvis omstrukturerades i samband med att A- och B-bolaget fick ett nytt moderbolag, hade revisionsteamet möten med A-bolagets företrädare. Företrädarna beskrev de organisatoriska förändringarna som gjordes. Denna beskrivning i kombination med innehållet i det till Nasdaq ingivna prospektet gav tillräckliga revisionsbevis för bolagens samarbete. Han har till Revisorsinspektionen lämnat en länk till en webbplats där nyss nämnda prospekt finns.
3.3 Revisorsinspektionens bedömning
Enligt ISA 500 Revisionsbevis p. 6 ska en revisor utforma och utföra granskningsåtgärder som är lämpliga med hänsyn till omständigheterna i syfte att inhämta tillräckliga och ändamålsenliga revisionsbevis. När revisorn utformar och utför granskningsåtgärder, ska han eller hon, enligt p. 7, beakta relevansen och tillförlitligheten i den information som ska användas som revisionsbevis, däribland information som kommer från en extern informationskälla. När revisorn använder information som har tagits fram av företaget, ska han eller hon, enligt p. 9, utvärdera om informationen är tillräckligt tillförlitlig för revisorns syften. Detta innefattar, i den mån det krävs med hänsyn till omständigheterna, att inhämta revisionsbevis om hur riktig och fullständig informationen är och att utvärdera om informationen är tillräckligt exakt och utförlig för revisorns syften.
Enligt ISA 500 tillämpningspunkt A 4 har revisionsbevisens tillräcklighet och ändamålsenlighet ett inbördes samband. Tillräcklighet är måttet på kvantiteten revisionsbevis. Vilken kvantitet revisionsbevis som behövs påverkas dels av revisorns bedömning av riskerna för felaktigheter, dels av revisionsbevisens kvalitet. Enligt p. A 5 utgör ändamålsenligheten måttet på kvaliteten hos revisionsbevisen, dvs. deras relevans och tillförlitlighet som stöd för de slutsatser som revisorn använder som grund för sitt uttalande. Hur tillförlitligt ett bevis är påverkas av dess källa och karaktär. Tillförlitligheten beror också på under vilka särskilda omständigheter som beviset inhämtas.
De redovisade tillgångar som var relaterade till innehav av bitcoin utgjorde väsentliga poster i A-bolagets balansräkning. Av A-sons dokumentation framgår att han planerade och utförde en granskning av tillgångarna som en del av sin revision av bolaget. Det framgår också att han planerade att granska tillgångarnas riktighet, tillhörighet och fullständighet.
Vad gäller tillgångarnas riktighet innehåller A-sons dokumentation, enligt Revisorsinspektionens bedömning, inte tillräckliga och ändamålsenliga revisionsbevis för att det var riktigt att redovisa innehavet av bitcoin i A-bolaget på det sätt som skedde, dvs. genom att innehavet togs upp som tillgång i bolaget och samtidigt som skuld till B-bolaget. Det finns inga skriftliga avtal eller liknande mellan A-bolaget och B-bolaget som reglerar det beskrivna affärsupplägget mellan bolagen. A-bolaget nämns inte i den garanti som finns i A-sons dokumentation. Av det s.k. comfort letter som ställdes ut under granskningens gång framgår endast att A-bolagets och B-bolagets gemensamma moderbolag garanterade B-bolaget att A-bolagets balansräkning vid varje givet tillfälle skulle finnas tillgänglig till förmån för B-bolagets åtaganden. De styrelseprotokoll som finns i dokumentationen är gemensamma för alla tre bolag i den svenska koncernen. Det går inte att utläsa vilka av de punkter som avhandlas i protokollen som berör A-bolaget. I A-sons yttranden till Revisorsinspektionen finns visserligen en beskrivning av affärsupplägget bolagen emellan. Beskrivningen får dock inte stöd av det material som ingår i dokumentationen. Även A-son har vidgått att samarbetet mellan koncernbolagen inte hade formaliserats genom avtal. Revisorsinspektionen har inte heller kunnat utläsa någon beskrivning av affärsupplägget av det prospekt som A-son har hänvisat till. Dessa omständigheter innebär sammantaget att han inte hade tillräckliga och ändamålsenliga revisionsbevis för att kunna godta riktigheten i sättet att redovisa innehavet.
När det gäller räkenskapspåståendet tillhörighet inhämtade A-son skärmutskrifter från A-bolaget som visar bitcoininnehav vid olika handelsplatser. Skärmutskrifterna innehåller dock inte någon information om innehavare.
Under granskningen av räkenskapsåret 2015 satt revisionsteamet tillsammans med den verkställande direktören och observerade när denne tog fram uppgifter ur olika s.k. plånböcker med hjälp av kryptonycklar. Syftet var bl.a. att kontrollera att endast bolagets företrädare hade tillgång till innehaven av bitcoin och att detta skulle ge ett revisionsbevis för tillhörigheten i redovisade tillgångar. Eftersom bolaget under granskningen av nu aktuellt räkenskapsår kunde ta fram motsvarande information, utgick revisionsteamet från att de fortfarande kunde förlita sig på föregående räkenskapsårs kontroll av behörigheter till åtkomst av bitcoininnehav.
A-son planerade inte att förlita sig på några av A-bolagets interna kontroller eller utföra någon granskning av allmänna IT-kontroller. Revisorsinspektionens gör dock bedömningen att det föregående årets granskning, där man var med och kontrollerade behörigheter i system var en form av kontrollgranskning. En förutsättning för att en revisor ska kunna förlita sig på revisionsbevis som har inhämtats under tidigare räkenskapsårs kontrollgranskning är, enligt ISA 330 Revisorns hantering av bedömda risker p. 13, att han eller hon beaktar effektiviteten hos andra delar av den interna kontrollen, däribland kontrollmiljön, företagets övervakning av kontroller och företagets riskbedömningsprocess. Revisorn ska för detta syfte också bl.a. beakta effektiviteten hos allmänna IT-kontroller. En revisor som planerar att använda revisionsbevis från en tidigare revision när det gäller särskilda kontrollers funktion ska säkerställa att bevisen fortfarande är relevanta. Detta ska göras genom att revisorn inhämtar revisionsbevis som visar att det inte har skett några betydelsefulla ändringar i dessa kontroller sedan den tidigare revisionen. Revisorn ska inhämta dessa bevis genom frågor i kombination med observation eller inspektion för att bekräfta förståelsen av de särskilda kontrollerna. Om det har skett ändringar som påverkar relevansen hos revisionsbevisen från den tidigare revisionen, ska revisorn granska kontrollerna under den pågående revisionen.
Föregående års revisionsbevis utgjordes av resultatet av A-sons granskning av funktionen i bolagets kontroller av behörigheter och åtkomst till de bitcoininnehav som redovisades som tillgångar i balansräkningen. Av hans dokumentation framgår att han under granskningen av räkenskapsåret 2016 inte utförde några av de åtgärder som enligt ISA 330 krävs för att en revisor ska kunna använda sig av föregående års revisionsbevis. Till detta kommer att det i detta fall var uppenbart att det tidigare revisionsbeviset hade förlorat sin relevans, eftersom den person som tidigare haft behörighet till kryptonycklarna vid tidpunkten för den nya revisionen hade lämnat verksamheten. Dessa omständigheter, tillsammans med den omständigheten att det saknades identifikationsuppgifter på skärmdumparna som skulle kunna knyta de olika innehaven till A-bolaget, innebär sammantaget att A-son inte hade tillräckliga och ändamålsenliga revisionsbevis för att kunna godta tillhörigheten i de redovisade tillgångarna.
A-son hade också anledning att ägna räkenskapspåståendet fullständighet särskild uppmärksamhet. Bland annat hade A-bolaget så sent som i maj svårigheter att stämma av det bokförda saldot mot bekräftande underlag för tillgångarna.
I A-sons dokumentation finns inget som visar att han utförde några granskningsåtgärder som gav honom grund att godta fullständigheten i redovisade tillgångar. Den s.k. tradingrapport som han inhämtade och som han enligt egen uppgift inte förlitade sig på använde han ändå för att stämma av redovisade uppgifter mot skärmdumpar och bokföring. Såvitt framgår av dokumentationen vidtog han inte de granskningsåtgärder som han enligt planeringen skulle utföra på rapporterna ur system m.m. (förutom den jämförelse som han gjorde mellan rapporterna och uppgifter från skärmdumpar m.m.).
A-son har i sina yttranden till Revisorsinspektionen uppgett att han granskade fullständigheten i redovisade tillgångar relaterade till bitcoin i balansräkningen genom att gå igenom transaktioner på A-bolagets bankkonton för att identifiera transaktioner på dessa som inte motsvarades av något köp av bitcoin. Hans uppgifter om denna åtgärd är dock så allmänt hållna att han inte kan anses ha gjort den uppgivna granskningen sannolik. Revisorsinspektionen drar av detta slutsatsen att någon sådan granskning inte kom till stånd (se den i avsnitt 2 beskrivna bevisbörderegeln).
Enligt Revisorsinspektionens bedömning vidtog därför A-son inte sådana granskningsåtgärder som gav honom tillräckliga och ändamålsenliga revisionsbevis för att kunna godta riktigheten, tillhörigheten och fullständigheten i de redovisade tillgångar som var relaterade till de olika bitcoininnehaven. Mot bakgrund av att tillgångarna var väsentliga innebar det att han saknade grund för att tillstyrka fastställandet av A-bolagets resultat- och balansräkningar. Genom att ändå göra det har han åsidosatt god revisionssed.
4 Resultaträkningen
4.1 Revisorns dokumentation
I årsredovisningen redovisades en omsättning om 7,6 mnkr. Enligt A-sons revisionsdokumentation utförde han planering och riskbedömning för resultaträkningen som helhet. Han bedömde den inneboende risken som normal. Vidare framgår det att han inte hade för avsikt att förlita sig på några av bolagets kontroller i granskningen och att nivån på planerade substansgranskningsåtgärder kunde sättas till låg. Enligt dokumentationen skulle han genomföra detaljgranskning av intäkterna, eftersom han bedömde att substansanalytisk granskning inte skulle vara effektiv. Han kontrollerade omsättningen, som bestod av vinster på valutor och arbitrage på bitcoinbörserna, genom att stämma av att balansposten var väsentligen korrekt. Hans slutsats var att vinsterna i allt väsentligt speglade A-bolagets omsättning för året. I hans dokumentation finns anteckningar om att bolaget handlade dagligen och gjorde vinster på bitcoin och att allt nettoredovisades. Nettoredovisningen bedömdes som rimlig med anledning av liknande transaktioner som existerade. På grundval av dessa anteckningar samt den granskning som avsåg balansräkningen drog han slutsatsen att vinsterna i bitcoinhandeln i allt väsentligt speglade bolagets omsättning för räkenskapsåret. Hur han faktiskt genomförde detaljgranskningen av A-bolagets intäkter kan dock inte utläsas av dokumentationen.
Enligt dokumentationen valde A-son ett övergripande väsentlighetstal på rapportnivån om 9 mnkr. Vald arbetsväsentlighet uppgick till 6,8 mnkr. I posten Nettoomsättning ingick bl.a. två huvudbokskonton, ett där det redovisades intäkter från valutakursvinster om 22 mnkr och ett annat där det redovisades valutakursförluster om 12 mnkr. Båda dessa huvudbokskonton översteg alltså A-sons valda tal för arbetsväsentlighet. Övriga huvudbokskonton hade saldon som var för sig understeg arbetsväsentlighetstalet.
4.2 Revisorns yttrande
A-son har uppgett följande.
A-bolaget handlade även bitcoin för egen räkning i vinstsyfte genom att utnyttja prisarbitrage på den då ännu omogna bitcoinmarknaden. Den egna handeln utfördes i mindre omfattning vilket genererade ett mindre överskott efter det första räkenskapsårets uppstartskostnader.
Eftersom tillgångarna enligt bolagets balansräkning finansierades via kortfristiga skulder och inte genom eget kapital, utgick han vid bestämningen av väsentlighetstal från bolagets tillgångsmassa. Enligt den vägledning som finns vid det revisionsföretag där han är verksam ska ett lämpligt riktmärke bestämmas som grund för fastställande av väsentlighetstalen. Riktmärket kan utgöras av storleken på bolagets eget kapital, tillgångar, skulder, omsättning, vinst etc. För A-bolagets del var inte vinstmaximering det primära syftet med verksamheten utan huvudsyftet var att säkerställa att B-bolaget alltid kunde ”hedga” den marknadsrisk som var hänförlig till de certifikat som B-bolaget hade ställt ut. A-bolaget redovisade en vinst för räkenskapsåret 2016 om 2,5 mnkr och en balansomslutning om cirka 300 mnkr. Mot bakgrund av den låga vinsten i förhållande till tillgångarnas storlek, bedömde han att bolagets risker var relaterade till balansräkningen och inte till resultaträkningen. Ett fel om tio procent i värderingen av tillgångsmassan skulle utradera bolagets eget kapital flera gånger om vilket skulle försätta bolaget i en kontrollbalanssituation. Motsvarande procentuella fel vad avser resultaträkningen med utgångspunkt från den vinst som redovisades skulle inte på något sätt äventyra bolagets existens. Med utgångspunkt i bolagets tillgångar resulterade hans beräkning av övergripande väsentlighet för årsredovisningen som helhet i ett belopp om 9 mnkr, en arbetsväsentlighet om 6,8 mnkr och ett gränsbelopp för felaktigheter som skulle antecknas till 0,9 mnkr. Därmed bedömdes hela resultaträkningen vara ”out of scope”. A-bolaget kunde likställas med ett förvaltningsbolag där det är den förvaltade tillgångsmassan som är det viktigaste vid bedömningen av verksamheten och då även väsentlighetstalet. Tillgångssidan och skuldsidan i balansräkningen utvisade dessutom en samvariation med liten eller oväsentlig effekt på resultaträkningen och därmed det egna kapitalet. Han utförde dock en riskanalytisk detaljgranskning av resultaträkningen för att identifiera nivån på den egna handeln och för att se om det fanns några andra transaktioner i resultaträkningen som borde granskas närmare. Den riskanalytiska granskningen bestod i en övergripande genomgång av de olika resultatposterna i syfte att identifiera eventuella poster som kunde föranleda en närmare analys.
Han kunde konstatera att resultatet av A-bolagets egen handel på bitcoinbörserna uppgick till cirka 2,6 mnkr. Vidare noterade han att bolagets redovisning av valutakursvinster och valutakursförluster gjordes brutto i bokföringen och beloppsmässigt var för sig översteg det tillämpade väsentlighetstalet. Han kunde dock konstatera att de transaktioner som var bokförda på kontona för valutakursvinster och valutakursförluster var av samma karaktär och avsåg valutakursvinster och -förluster relaterade till kryptotillgångarna och till skulden till B-bolaget som också värderades i kryptovaluta. Han identifierade inte några transaktioner som han kunde misstänka vara felaktiga eller otillbörliga eller som i övrigt föreföll vara udda. Det förhållandet att bolaget tillämpade bruttoredovisning av dessa vinster och förluster innebar enligt hans mening inte att det var fråga om två väsensskilda affärshändelser som bokfördes på de olika huvudbokskontona. Eftersom kryptotillgångarna avsåg att säkra skulden till B-bolaget, bedömde han att A-bolagets nettoredovisning av dessa valutaeffekter i resultaträkningen gav en rättvisande bild av A-bolagets verksamhet och redovisning. Han ansåg därmed också att valutaeffekten kunde betraktas som en enda post. Detta resulterade i ett nettobelopp som tillsammans med bolagets bokförda resultat från den egna handeln understeg det tillämpade väsentlighetstalet.
Han bedömde att ingen ytterligare granskning av resultaträkningen var nödvändig. Eftersom resultatet av den riskanalytiska granskningen var utan anmärkning, ansåg han inte att det var väsentligt att dokumentera denna granskning närmare.
Eftersom de mest väsentliga posterna i balansräkningen hade verifierats vad avser existens och värde, kunde han sluta sig till att risken för att resultaträkningen innehöll väsentliga felaktigheter var liten. Detta hängde samman med att granskningen av bitcoininnehavet och skulden till B-bolaget hade gett revisionsbevis även för den del av nettoomsättningen som var hänförlig till omvärderingen av dessa poster. Resultateffekten av omvärderingen, som utgjorde den största delen av nettoomsättningen, blev alltså granskad i sin helhet.
Fastställandet av nivån på arbetsväsentligheten utgör inte enbart en enkel mekanisk beräkning med en viss procentsats av ett referensvärde. Det krävs att en sådan beräkning kompletteras med en professionell bedömning av den risk som kan förknippas med enskilda räkenskapspåståenden, transaktionsslag, konton, upplysningar etc. Bolagets nettoomsättning översteg i och för sig det fastställda beloppet för arbetsväsentligheten. Efter den genomförda granskningen av bitcoininnehavet samt motsvarande skuld till B-bolaget bedömde han risken för felaktigheter i resultaträkningen. Utifrån denna bedömning klassificerade han nettoomsättningen som ”out of scope” och kunde därför göra ett avsteg från sin ursprungligen planerade granskningsansats.
4.3 Revisorsinspektionens bedömning
Enligt ISA 320 Väsentlighet vid planering och utförande av revision p. 10 ska en revisor, när han eller hon upprättar den övergripande revisionsstrategin, fastställa en väsentlighetsnivå för de finansiella rapporterna som helhet.
Enligt ISA 320 p. 11 ska revisorn också fastställa en arbetsväsentlighet i syfte att bedöma riskerna för väsentliga felaktigheter samt fortsatta granskningsåtgärders karaktär, omfattning och tidpunkt. Syftet med att fastställa en arbetsväsentlighet är enligt tillämpningspunkt A 13 att sannolikheten för att summan av icke rättade och oupptäckta felaktigheter minskas till en lämpligt låg nivå.
Enligt tillämpningspunkten A 4 i ISA 320 är en vanlig utgångspunkt vid fastställande av väsentlighet för de finansiella rapporterna som helhet att tillämpa en procentandel av ett valt referensvärde. Punkten A 4 ger några exempel på faktorer som kan påverka identifieringen av ett lämpligt referensvärde. Ett exempel är de finansiella rapporternas viktiga beståndsdelar, t.ex. tillgångar, skulder, eget kapital, intäkter och kostnader. En annan faktor kan vara företagets ägarstruktur och hur det finansieras. Exempelvis lägger kanske användare större vikt vid tillgångar och anspråk på dem än på företagets vinst, om ett företag finansieras helt med skulder i stället för eget kapital.
A-son valde bolagets tillgångar som referensvärde för beräkningen av sitt övergripande väsentlighetstal, bl.a. på grund av hur bolaget finansierades, att bolagets syfte inte var att maximera vinsten och vilka risker förknippade med bolagets tillgångar som han bedömde förelåg. Detta resulterade i att den övergripande väsentligheten kom att bestämmas till 9 mnkr, medan arbetsväsentligheten sattes till 6,8 mnkr. Utifrån de valda väsentlighetsnivåerna ansåg A-son att inga poster i resultaträkningen var väsentliga.
Nettot av de huvudbokskonton som redovisades som nettoomsättning uppgick till 7,6 mnkr, medan det utgående egna kapitalet uppgick till 254 tkr. Revisorsinspektionen konstaterar att omsättningen med god marginal översteg A-sons valda arbetsväsentlighet. Så var fallet oavsett om man beaktar de i posten ingående transaktionsslagen netto eller brutto. Enligt Revisorsinspektionens bedömning utgjorde dessa transaktioner och konton sådana som en revisor enligt ISA 330 Revisorns hantering av bedömda risker p. 18, på grund av att transaktionsslagen var väsentliga, ska utforma och utföra substansgranskning av oavsett de bedömda riskerna för väsentliga felaktigheter.
Det nu sagda talar för att A-son borde ha granskat dessa poster i resultaträkningen. Han har uppgett att han utförde en ”riskanalytisk detaljgranskning” av resultaträkningen men att han inte dokumenterade den granskningen. De uppgifter om granskningen som han har lämnat till Revisorsinspektionen är kortfattade och allmänt hållna. Han kan inte genom dessa uppgifter anses ha gjort sannolikt att han företog den påstådda granskningen, än mindre att denna gav honom grund för att godta de aktuella posterna. Revisorsinspektionen drar därför slutsatsen att någon sådan granskning inte utfördes (se den i avsnitt 2 beskriva bevisbörderegeln).
A-son utförde följaktligen inte en tillräcklig granskning av de huvudbokskonton som utgjorde bolagets nettoomsättning. Det som han har uppgett om att han, baserat på hur bolaget presenterade posterna i årsredovisningen, såg de bokförda transaktionerna som en nettopost föranleder ingen annan bedömning. Mot bakgrund av att kontona och transaktionsslagen var väsentliga saknade han grund för att fastställa A-bolagets resultat- och balansräkningar. Genom att ändå göra det har han åsidosatt god revisionssed.
5 Sammanfattande bedömning och val av disciplinär åtgärd
Revisorsinspektionen har funnit flera brister i A-sons revisionsarbete. Den utförda granskningen har inte gett honom grund för att godta A-bolagets bokförda tillgångar i form av innehav av bitcoin. Han har inte heller utfört någon tillräcklig granskning av väsentliga konton och transaktionsslag som hänfört sig till A-bolagets resultaträkning. Bristerna i granskningen har varit sådana att han saknat grund att tillstyrka bolagets resultat- och balansräkningar.
A-son har i ovan nämnda avseenden åsidosatt sina skyldigheter som revisor och ska därför meddelas en disciplinär åtgärd. Det som ligger honom till last är allvarligt, särskilt med beaktande av att han har tillstyrkt fastställandet av bolagets resultat- och balansräkningar utan att ha grund för det. Han ska därför, med stöd av 32 § andra stycket revisorslagen (2001:883), ges en varning.
FARs kommentar
Ärendet har många intressant vinklar. Det handlar bland annat om redovisning och revision av kryptovaluta och hur tillräckliga och ändamålsenliga revisionsbevis ska kunna samlas in, dels revision av komplicerade och ej formaliserade upplägg och transaktioner mellan koncernföretag samt i viss mån på hur revisorn ska kunna förlita sig på kontroller. RI pekar i ärendet på behovet av tydlig dokumentation vid denna typ av revisioner.