Frågor och svar om ISQM 1

Tillämpning av ISQM 1 ska ge en rimlig försäkran om att revisionsföretaget och dess personal fullgör sitt ansvar i enlighet med standarder för yrkesutövning och tillämpliga krav i lag och annan författning samt utför uppdrag i enlighet med standarder och krav. 

Den ska även ge en rimlig försäkran om att rapporter som utfärdas av revisionsföretaget eller en uppdragsansvarig är lämpliga under omständigheterna. Kraven gäller alla revisionsföretag oavsett storlek. Det framgår dock av ISQM 1 att vissa krav i standarden inte behöver följas om de inte är tillämpliga på grund av revisionsföretagets storlek eller uppdragsstruktur.   

Standarden möjliggör ett integrerat, proaktivt och skalbart tillvägagångssätt med fokus på ledarskap, ansvar och styrning, där riskbedömningsprocessen är utgångspunkten för kvalitetsarbetet. När revisionsföretaget tillämpar ett riskbaserat tillvägagångssätt ska det beakta företagets och dess uppdrags egenskaper och omständigheter. Ett större revisionsföretag som utför olika typer av uppdrag behöver ett mer komplext kvalitetsstyrningssystem än ett mindre företag.   

För enmansbyråer kommer vissa komponenter inte att vara aktuella, till exempel styrning och ledarskap eller vissa typer av resurser. 

Revisionsföretagets riskbedömningsprocess bör innehålla en analys av kvalitetsmål, kvalitetsrisker och de motåtgärder som är nödvändiga för att eliminera eller minimera identifierade kvalitetsrisker. Processen bör även innefatta en uppföljning av identifierade mål och risker samt uppföljning om motåtgärderna är effektiva eller behöver justeras. Revisionsföretaget bör bland annat använda resultaten av de genomförda övervakningsaktiviteterna för att hantera identifierade risker.  

Revisionsföretaget ska tillämpa ISQM 1 när det utför revisionstjänster och näraliggande tjänster. För redovisningsverksamheten måste kombiföretaget tillämpa Reko. Det är dock lämpligt att revisionsföretagets samtliga tjänster omfattas av revisionsföretagets kvalitetsstyrningssystem, eftersom alla tjänster bör hålla hög kvalitet och de rapporter eller liknande som revisionsföretaget avger bör vara korrekta. 

En fråga som är särskilt viktig att vara uppmärksam på i en kombibyrå är att revisionsföretaget måste säkerställa att det inte uppstår jäv på grund av att byrån utför olika tjänster för samma kund. Syftet med ISQM 1 är att säkerställa att företaget håller en hög kvalitet och det påverkar alla tjänster som utförs på byrån.

En kombibyrå måste beakta kraven i Reko för sina redovisningstjänster. Det är dock fullt möjligt (och rekommenderas) att kombibyrån implementerar ett gemensamt kvalitetsstyrningssystem där företaget beaktar kraven i både ISQM 1 och Reko. Revisionsföretagets/Kombibyråns kvalitetsarbete måste ta avstamp i den tjänst som utförs och vilka risker det finns kopplat till den tjänsten.

Ett redovisningsuppdrag kan skilja sig åt och vara olika omfattande, det kan exempelvis omfatta bokföring, lönehantering, bokslut, inkomstdeklaration och rådgivning, men kan även omfatta enstaka tjänster. Det finns ett krav i Reko på att den som är ansvarig för redovisningsverksamheten ska vara insatt i Reko. 

Det kan finnas gemensamma områden som gäller både revisionsverksamheten och redovisningsverksamheten, till exempel styrning och ledarskap samt resurser till viss del. Dessa behöver dock anpassas beroende på vilka tjänster som byrån utför, så att det finns kvalitetsstyrningssystem som är anpassade till alla tjänster som utförs på byrån och medarbetare med rätt kompetens för uppgifterna. Information och kommunikation kan till vissa delar göras gemensamt men behöver även anpassas till de olika verksamheternas behov. Övervakningsprocessen kan till stora delar samordnas men behöver till vissa delar anpassas till förutsättningarna och riskerna i de olika tjänsterna.   

En kvalitetspolicy kan vara gemensam för revision och redovisning och fastställa ATT man ska göra vissa saker. Däremot är riktlinjer eller manualer en beskrivning av HUR moment och uppgifter ska utföras och de måste vara anpassade till respektive verksamhetsområde.

Det yttersta ansvaret tilldelas normalt VD eller annan person i företagsledningen men kan, om det bedöms lämpligt, även tilldelas styrelsen. Därutöver ska revisionsföretaget utse en operativt ansvarig för kvalitetsstyrningssystemet, en operativt ansvarig för oberoende samt en ansvarig för övervaknings- och åtgärdsprocessen. Även om revisionsföretaget har tilldelat ansvarsroller för kvalitetsstyrningssystemet är det alltid revisionsföretaget som är ytterst ansvarigt. 

Roller och uppgifter kan tilldelas personer med lämplig erfarenhet, kunskap och inflytande inom revisionsföretaget samt personer med tillräcklig tid för att kunna fullgöra sina åtaganden. Observera att en person kan tilldelas flera roller, vilket är vanligt i mindre revisionsföretag. I ett enmansföretag är det den som driver revisionsföretaget som är ansvarig för hela kvalitetsstyrningssystemet, inklusive utvärdering av detta.  

Enligt ISQM 1 ska revisionsföretaget utforma och utföra övervakningsaktiviteter som grund föridentifiering av brister samt som underlag till den årliga utvärderingen. 

Övervakning enligt ISQM 1 är en process som innefattar löpande uppföljning och bedömning av revisionsföretagets kvalitetsstyrningssystem, såsom uppföljning av att motåtgärder motverkar revisionsföretagets kvalitetsrisker på ett ändamålsenligt sätt. Även återkommande interna kvalitetskontroller är en form av övervakning. 

Övervakningsaktiviteterna ska kontrollera att motåtgärderna fungerar ändamålsenligt. Resultatet av genomförda övervakningsaktiviteter ska ligga till grund för revisionsföretagets bedömning av dess kvalitetsstyrningssystem. Därför ska övervaknings- och åtgärdsprocessen vara utformad på ett sådant sätt att revisionsföretaget snabbt kan identifiera brister i uppdrag eller inom kvalitetsstyrningssystemet och därefter vidta lämpliga åtgärder. Grundorsaken till identifierade brister är viktig input i denna uppföljning.

Övervakningsaktiviteter kan innefatta både periodiska (till exempel månadsvisa eller kvartalsvisa) och löpande övervakningsaktiviteter (som är rutinmässiga och inbyggda i processer). Resultatet av genomförda övervakningsaktiviteter utgör grunden för utvärderingen av kvalitetsstyrningssystemet, som enligt ISQM 1 ska ske minst en gång om året vid en given tidpunkt. Det innebär i praktiken att övervakning behöver utföras minst en gång per år.

Den som utför övervakningsaktiviteterna ska inte ha deltagit i att utforma, utföra eller vidta den motåtgärd som övervakas. Personen måste därmed vara objektiv och dessutom uppfyllakraven på kompetens och kapacitet, vilket innefattar även att ha tillräckligt med tid för att utföra övervakningsaktiviteterna.

FAR:s syn är att kravet på kompetens bland annat innebär att det måste vara en kvalificerad revisor som är ansvarig för utförandet av övervakningen. Detta med anledning av att de motåtgärder som adresserar uppdragsspecifika risker, och som vanligtvis träffar högre risker, innebär att den som utför övervakningen framför allt behöver ha praktisk erfarenhet av och god kunskap om ISA.    

I det fall någon annan än en kvalificerad revisor utför övervakningen, exempelvis uppdragsinspektionen, uppstår en bevisbörda för att visa att den personen har tillräcklig kunskap om ISA, tillräcklig revisionserfarenhet och har varit tillräckligt delaktig i revisionsverksamheten. Det blir en bedömningsfråga för kontrollanten, kvalitetsnämnden och Revisorsinspektionen som kan vara komplicerad. Av den anledningen bör detta undvikas, vilket även gäller de delar av övervakningen där någon annan än en kvalificerad revisor skulle kunna anses lämplig.  

Det är inte lämpligt att revisionsföretagets valda revisor utför övervakningsaktiviteter eftersom övervakningen är en del av revisionsföretagets process för intern kontroll. Bolagets valda revisor ska, vid övervakningen, kontrollera sin kunds interna processer. Om revisorn samtidigt är involverad i processen innebär det ett självgranskningshot, vilket kan leda till oberoendeproblem i revisorns utförande av revisionsuppdraget.

När revisionsföretaget har ett gemensamt uppdrag med en revisor från en annan byrå (medrevisor) skulle det kunna vara möjligt att medrevisorn utför övervakningen. Det är dock viktigt att byrån noggrant motiverar sin bedömning och beaktar olika scenarion. Det finns nämligen en risk att medrevisorn måste agera i det gemensamma uppdraget om medrevisorn skulle finna väsentliga brister i kvalitetsstyrningssystemet.   

Om medrevisorn kommer fram till att det finns väsentliga brister i kvalitetsstyrningssystemet, eller identifierar sådana brister i samband med testning, är frågan om medrevisorn kan förlita sig på den del av granskningen som utförs av revisionsföretaget på det gemensamma uppdraget. I så fall behöver medrevisorn hantera detta i revisionen av det gemensamma uppdraget.

Det kan vara lämpligt att den kvalificerade revisorn som utför övervakning av kvalitetsstyrningssystemet även utför interna uppdragskontroller, men det är viktigt att säkerställa revisorns oberoende. Det ställer med andra ord högre krav än ISQM 1, som utgår från att personen ska vara objektiv i kvalitetsstyrningsprocessen. Vad gäller kontroll av uppdrag (uppdragsinspektion) behöver därmed fler faktorer beaktas för att säkerställa oberoendet.

I ISQM 1 framgår att den som utför övervakningsaktiviteterna måste vara objektiv, det vill säga att självgranskningshotet måste hanteras. Ett sätt att hantera detta för en mindre byrå kan vara att anlita en extern revisor som lämnar en ”second opinion” (helt eller delvis) på de övervakningsaktiviteter som har utförts.   

Detta innebär också att två byråer inte kan övervaka varandra.  Ett samarbete mellan tre byråer kan eventuellt fungera, förutsatt att objektiviteten upprätthålls. Detta har dock inte prövats.  

Även om en extern tjänsteleverantör utför övervakningen är det fortfarande fråga om en intern övervakningsaktivitet (en del av revisionsföretaget interna kontroll). Det ska därför inte likställas med externa kvalitetskontroller som utförs av FAR eller Revisorsinspektionen.

Enligt ISQM 1 bör revisionsföretaget dokumentera: 

• Revisionsföretagets kvalitetsmål och kvalitetsrisker  

• En beskrivning av motåtgärderna och hur dessa adresserar kvalitetsriskerna  

• Bevis på de övervakningsaktiviteter som utförts 

• Utvärderingen av iakttagelser och identifierade brister från utförd övervakning samt deras relaterade grundorsaker  

• Åtgärder för att hantera identifierade brister samt utvärderingen av utformningen och implementeringen av sådana åtgärder  

• Kommunikation om övervakning och åtgärder  

• Grunden för de slutsatser som har dragits vid utvärderingen  

Uppdraget hanteras som ett konsultuppdrag. Det innebär att uppdraget inte är revisionsverksamhet och därför inte behöver följa någon standard. FAR:s exempel ”Uppdragbrev för enkla uppdrag” kan vara en utgångspunkt. Observera att uppdragsbrevet bör anpassas efter de aktiviteter som ska utföras. En testplan kan med fördel inkluderas.

Någon särskild checklista för genomförande av övervakningsaktiviteter har inte tagits fram eftersom övervakning kan se väldigt olika ut. FAR har dock i sin i vägledning tagit fram en punktlista med exempel på övervakningsaktiviteter och i bilagan ”Exempel Riskbedömning” finns några exempel på hur övervakningsaktiviteter kan formuleras.  

Revisionsföretaget behöver komma överens med den som ska utföra övervakningen (om en extern tjänsteleverantör anlitas) om vilka delar som ska följas upp och hur mycket som ska testas (testplan). Omfattningen och utförande kan vara väldigt varierande. Vissa väljer att testa samtliga motåtgärder varje år medan andra bedömer att det är tillräckligt att bara testa de motåtgärder som har koppling till högre risker eller väsentliga delar i verksamheten. Uppdraget bör därför hanteras som ett konsultuppdrag.

Revisionsföretaget måste dokumentera bevis på genomförda övervakningsaktiviteter, utvärderingen av iakttagelser och identifierade brister samt deras relaterade grundorsak. 

Resultatet av övervakningen (testningen) ska ligga till grund för revisionsföretagets utvärdering av kvalitetsstyrningssystemet. Det rekommenderas att dokumentationen är tydlig så att revisionsföretaget kan styrka den övervakning som har genomförts, oavsett om den har utförts internt av byrån eller av en extern tjänsteleverantör. 

Utförd övervakning och de åtgärder som vidtagits med anledning av identifierade brister ska även kunna följas upp vid en extern kontroll, exempelvis av FAR eller Revisorsinspektionen, i samband med uppföljning av byråns arbete med kvalitetsstyrningsprocessen.

Den externa tjänsteleverantören behöver inte lämna något uttalande eller bestyrkande utan det räcker med en beskrivande rapport. Rapporteringen kan ske olika sätt, men det är viktigt att revisionsföretaget får information, exempelvis genom en sammanställning av vilka motåtgärder som testats och resultatet av testningen.  

En del av testningen avser att bedöma utformningen av motåtgärderna, det vill säga om de hanterar den adresserade risken. Testningen ska också kontrollera att motåtgärderna fungerar, genom att följa upp om de utförts i enlighet med instruktioner eller policyer. 

Sedan är det revisionsföretaget (den som är operativt ansvarig för övervaknings- och åtgärdsprocessen) som ska bedöma hur allvarliga och genomgripande de identifierade bristerna är samt vilka åtgärder som behöver vidtas.

Den eller de person(er) som ges det yttersta ansvaret för kvalitetsstyrningssystemet ska, för revisionsföretagets räkning, utvärdera systemet. Utvärderingen ska ske vid en specifik tidpunkt och utföras minst en gång per år. Det är upp till revisionsföretaget att bedöma när utvärderingen ska genomföras. 

Enligt ISQM 1 ska revisionsföretaget även utvärdera prestationerna för de(n) som har det yttersta ansvaret och för de(n) som har det operativa ansvaret.

Den externa tjänsteleverantören ska sammanställa resultatet av sin uppföljning och genomförda tester, men det är ledningens ansvar att säkerställa att utvärdering av kvalitetsstyrningssystemet sker. Det kan dock vara någon annan än den som är ytterst ansvarig som de facto utför själva utvärderingsprocessen. Utvärderingen baseras på olika källor, bland annat genomförda övervakningsaktiviteter och intern kommunikation om kvalitetsstyrningssystemet.  

En bra utvärdering kräver goda kommunikationsvägar och en effektiv beslutsprocess.  

Resultatet av utvärderingen är normalt inget som kommuniceras externt, förutom för de byråer som är skyldiga att upprätta en öppenhetsrapport (Transparency Report).  

Det finns en ny bilaga till FAR:s tillämpningsanvisning för ISQM 1 med en tabell som visar hur revisionsföretaget tillämpar de överväganden som framgår av avsnitt 18.6 för att nå en av de tre möjliga slutsatserna vid utvärdering av kvalitetsstyrningssystemet.

Utvärderingen ska baseras på genomförda övervakningsaktiviteter. Det innebär inte att samtliga motåtgärder behöver följas upp årligen eller att fullständig uppdragsinspektion behöver utföras varje år, men något behöver testas för att revisionsföretaget ska ha relevant grund för att kunna utvärdera kvalitetsstyrningssystemet. Någon form av riktad kontroll av uppdragen bör ske årligen, där ett antal identifierade fokusområden är utgångspunkten (se vidare punkt 16.17a i vägledningen). 

Nystartade revisionsföretag eller revisionsföretag med högriskkunder kan behöva genomföra en fullständig uppdragsinspektion med tätare periodicitet än vart sjätte år för att kunna utvärdera kvalitetsstyrningssystemet.

I ISQM 1 framgår att vissa krav i standarden inte behöver följas om de inte är tillämpliga på grund av revisionsföretagets storlek eller uppdragsstruktur. Kvalitetsstyrningen kan därmed anpassas och skalas ned utifrån den verksamhet som bedrivs.  

Vissa komponenter är inte relevanta för ett enmansföretag, exempelvis: 

• Styrning och ledarskap  

• Vissa delar av resurshanteringen  

• Information och kommunikation 

Var dock uppmärksam på om revisionsföretaget använder externa resurser för att utföra uppdragen eller ingår i ett nätverk, vilket påverkar möjligheten till skalbarhet.

Revisionsföretaget ska tillämpa ISQM 1 för tjänster där revisionsföretaget följer någon av IAASB:s rekommendationer (eller FAR:s rekommendationer och uttalande i revisionsfrågor).  

För redovisningsverksamheten måste kombibyrån tillämpa Reko. Det kan dock vara lämpligt att ha ett gemensamt kvalitetsstyrningssystem för både revisions- och redovisningsverksamheten som uppfyller både ISQM 1 och Reko.  

FAR:s exempel på kvalitetspolicy för enmansföretag är avsett för enmansföretag som endast bedriver revisionsverksamhet. Därför rekommenderas att enmansföretag som även tillhandahåller redovisningstjänster hämtar vägledning i FAR:s exempel för mindre och medelstora företag.  

Företagets kvalitetsmål, riskbedömning och motåtgärder bör omfatta samtliga tjänster som tillhandahålls, även om det skulle ske i ett dotterbolag till revisionsföretaget eller i enskilt bolag med samma fysiska ägare.

Det finns inga undantag i ISQM 1 för en nystartad revisionsbyrå. Det innebär att så snart ett uppdrag påbörjas förväntas revisionsföretaget följa standarden och inom ett år från start ska övervakning och utvärdering ha utförts.

Enligt ISQM 1 ska uppdragskontroller utföras på cyklisk basis. Revisionsföretaget ska fastställa riktlinjer för omfattning och frekvens av dessa kontroller.  

Enligt FAR:s tillämpningsanvisningar bör samtliga kvalificerade revisorer granskas minst en gång vart tredje år och inte mer sällan än vart sjätte år. För en nystartad byrå innebär detta att den första interna uppdragskontrollen bör planeras och genomföras inom denna tidsram, beroende på företagets specifika riktlinjer och omständigheter. Revisionsföretaget måste dock beakta att utvärdering av kvalitetsstyrningssystemet ska ske årligen, vilket i praktiken innebär att övervakning ska utföras som grund för denna utvärdering.  

Detta innebär följaktligen att vissa motåtgärder, som avser genomförande av uppdragen, bör ha följts upp tidigare. Som företagsledare behöver man få bekräftat att kvaliteten är bra genom att utföra uppdragskontroller. Det är också anledningen till att FAR har som praxis att utföra kvalitetskontroll inom två år för en nystartad byrå. En nystartad revisionsbyrå bör därför testa sina motåtgärder, särskilt de som är kopplade till genomförande av uppdrag, redan första verksamhetsåret.  

Fullständig uppdragskontroll bör därmed genomföras innan utvärderingen av kvalitetsstyrningssystemet kan genomföras. Att vänta längre tid bedöms vara för länge för en nystartad mindre byrå som inte har någon historisk input för att kunna motivera längre tidsintervall. Anledningen är att byrån behöver få input på om kvalitetsstyrningssystemet är fungerande och den mest lämpliga uppföljningen är genom uppdragskontroller.