Internationella standarder ger revisorn extra säkerhet

De internationella standarderna ISA 220 och ISQC 1, kommer högst betydligt att öka effektiviteten i den objektiva genomgången av påskrivande revisors och teamets arbete innan revisionsberättelsen avges, skriver Gunilla Alander och Richard Roth. De menar att standarderna ger påskrivande revisorer en välkommen extra säkerhet i bestyrkandet innan revisionsberättelsen avges.

Den oberoende revisionen är en viktig beståndsdel i en väl fungerande bolagsstyrning och stärker förtroendet för bolagens rapportering och kapitalmarknaderna i stort. Kvalitetskontroll är av central betydelse för den oberoende revisionens funktion. Två nya internationella revisionsstandarder1 som trätt i kraft den 15 juni 2005 ställer bland annat krav på en process som syftar till att kvaliteten i ett uppdrag ska kontrolleras innan en rapport2 avges. International Standard on Auditing (ISA) 220 ger en standard för kvalitetskontroll på revisionsuppdrag avseende finansiella rapporter, medan International Standard on Quality Control (ISQC) 1 ger en standard för kvalitetskontroll för en revisionsbyrå och avser revision och översiktlig granskning av finansiella rapporter, samt andra bestyrkandeuppdrag och relaterade tjänster.

I båda standarderna finns krav på en så kallad engagement quality control review, dvs. en process som utformas i syfte att ge en objektiv genomgång av de väsentliga bedömningar teamet gjort och de slutsatser de dragit inför utformningen av den rapport som avses i det enskilda fallet. Denna genomgång ska vara avslutad innan revisionsberättelsen (eller annan rapport) avges.3

I denna artikel har vi avgränsat oss till de båda internationella standardernas aspekter avseende revisionsuppdrag.

ISA 220 ska tillämpas på revisionsuppdrag som påbörjas den 15 juni 2005 eller senare, vilket innebär att standarden sannolikt inte kommer att tillämpas förrän för uppdrag som påbörjas den 1 januari 2006.

ISQC 1 däremot innehåller krav på att revisionsbyråer redan förra året skulle ha etablerade system på plats för kvalitetskontroll och därmed även rutiner och system för den nya typen av kvalitetskontroll.

Genomgången ska utföras av en quality control reviewer (EQCR), som enligt definitionen i standarderna är en partner, annan person inom revisionsbyrån, en extern person med lämpliga kvalifikationer, eller utgörs av ett team där sådana personer ingår. Den eller de som utför genomgången ska ha tillräcklig och lämplig erfarenhet och auktoritet för att kunna utföra denna objektiva genomgång.4

ISA 220 Quality Control for Audits of Historical Financial Information har trätt i kraft för räkenskapsperioder som påbörjades den 15 juni 2005 eller senare. ISQC 1 Quality Control for Firms that Perform Audits and Reviews of Historical Financial Information trädde i kraft den 15 juni 2005, vilket innebär att de policies och rutiner som standar den kräver ska vara fastställda per detta datum.

I ISA 220 utgörs rapporten av en revisionsberättelse. I ISQC 1 avses rapportering från revision, översiktlig granskning, andra bestyrkandeuppdrag, samt relaterade tjänster (dvs. granskning enligt särskild överenskommelse och sammanställning av ekonomisk information/redovisningsuppdrag). Vi har i denna artikel avgränsat oss till frågeställningar som rör revisionsuppdrag.

Se definition i ISA 220 paragraf 5(b), eller ISQC 1 paragraf 6(b).

Se definition I ISA 220 paragraf 5 (c), alt. ISQC 1 paragraf 6 (c).

Utvecklingen i USA och UK

För cirka tjugo år sedan instiftade den amerikanska motsvarigheten till FAR, dvs. American Institute of Certified Public Accountants ( AICPA ) en process för objektiv genomgång av revisionsuppdrag utförd av en Concurring Partner Reviewer (CPR) som en regel i Securities and Exchange Commission Practice Section (SECPS). Denna SECPS har övertagits som en tillfälligt gällande standard av det amerikanska tillsynsorganet Public Company Accounting Oversight Board (PCAOB) till dess att PCAOB:s egen utredning klarlagt hur en sådan process ska vara utformad för att uppfylla kraven i Sarbanes-Oxley Act Section 103.

SECPS process kan, enligt PCAOB, uppfattas så att den utsedde partnern endast ska samtycka (concur) med påskrivande revisor och teamet, i stället för att göra en objektiv och granskande bedömning5. PCAOB avser istället att utveckla en engagement quality review (EQR). En EQR kommer sannolikt att syfta till att åtminstone ett uttalande uttryckt i negativ form ska avges. Det är även möjligt att ett uttalande i en positiv form kan komma att krävas.

I Storbritannien har Auditing Practices Board (APB) i SAS 240, som utgavs i september 2000, utvecklat rollen Independent Review Partner (framdeles IRP). Denna standard utgjorde utgångspunkt för IAASB vid utvecklingen av ISA 220 och ISQC 1.

En intressant avvikelse mellan den amerikanska regeln och den engelska standarden är hur mycket klientkontakt som anses rimligt och den därmed sammanhängande synen på objektivitet. Den amerikanska regeln är självmotsägande, i det att den fastställer att en objektiv CPR inte ska anta något av det ansvar påskrivande revisor har, inte heller för något väsentligt dotterbolag, divisioner eller närstående företag. I en not till denna skrivning förklaras däremot följande6.

It is not unusual for clients to be aware of the existence of a concurring partner reviewer. A client may contact the concurring partner reviewer with respect to matters requiring immediate attention when the audit engagementpartner is not available because of illness, extended travel or other reasons. When a concurring partner reviewer is thus required to deal with an accounting, auditing or financial reporting matter, he or she should advise the audit engagement partner of the facts and circumstances so that the audit engagement partner can review the matter and take full responsibility for its resolution.

I sin rekommendation till PCAOB har ASB bifogat ovanstående not7. Noteras kan att en CPR kan ta beslut på uppdraget i påskrivande revisorns frånvaro, så länge påskrivande revisor därefter granskar förhållandet och påtar sig ansvaret. Enligt den engelska standarden kan en IRP inte ha någon klientkontakt, utom i ytterst sällsynta fall och då enbart för att stärka IRP:s förutsättningar att utföra sin genomgång. Följande krav ställs på IRP8:

...is not engaged in the performance of the audit or the provision of other services and... is free of all other responsibilities for the audited entity and any entities in the same group of entities.

I syfte att värna EQCR:s objektivitet har ISQC i följande skrivning om EQCR9:

  1. utses inte av påskrivande revisor

  2. medverkar inte i uppdraget under den period som genomgången avser

  3. fattar inga beslut för teamets räkning, och

  4. är ej föremål för andra överväganden som skulle kunna hota EQCR:s objektivitet.

En EQCR kan varken vara engagerad i utförandet av revisionsuppdraget eller andra tjänster eller ha ansvarsområden avseende den reviderade enheten eller för dotter/systerbolag inom samma koncern. Hur PCAOB kommer att ställa sig i frågan kommer sannolikt inom kort att finna svar. Storbritannien, Nordirland och Irland har antagit sin nya standard ISA 220 (UK and Ireland) som trätt i kraft för revisionsuppdrag som utförs på finansiella rapporter som upprättas den 15 december 2004 eller senare, och ISQC 1 (UK and Ireland) tillämpas per den 15 juni 2005.

Public Company Accounting Oversight Board (PCAOB), 2004, Standing Advisory Group Meeting, Potential Standard -Engagement Quality Reviews, June 21–22, sid 2.

Section 1000.39 of the secps Reference manual, Appendix E – Concurring Partner Review Requirement, punkt a).

PCAOB (2004), Appendix A, ASB Proposed Statement of Auditing Standards: Review of sec Engagements by a Reviewing Partner, A Recommendation by the ASB to the PCAOB (August 2003), sid 15.

SAS 240 (Issued September 2000), Quality control for audit work, paragraf 7f.

ISQC 1, paragraf 70, översatt.

Vilka klientföretag omfattas?

En EQCR ska enligt ISA 220 finnas på alla revisionsuppdrag avseende börsnoterade företag. I ISQC 1 finns vidare vägledning för utformning av policies i syfte att hantera vilka klientföretag som ska ha en EQCR. De klientföretag som omfattas är främst börsnoterade företag, men även andra företag, och det är upp till varje revisionsbyrå att utforma policies som beskriver när ett klientföretag ska ha en EQCR baserade på följande kriterier10:

  • uppdragets karaktär, inklusive i vilken utsträckning det är av allmänt intresse

  • identifiering av ovanliga omständigheter eller risker i ett uppdrag eller i en grupp av uppdrag, och

  • huruvida lagar eller annan reglering ställer krav på att en EQCR utses.

Vår tolkning av vilka klientföretag som kommer i fråga är att det, förutom börsnoterade företag, är stora klienter som utmärks av någon av kriterierna hög risk för revisionsbyrån (finansiellt eller i övrigt existentiellt), spridd ägarkrets eller av stort allmänt intresse.

EQCR:s ansvar visavi påskrivande revisors ansvar

ISA 220 och ISQC 1 fastställer att det är påskrivande revisor som har ansvar för revisionsuppdraget och dess genomförande, samt för den rapport som avges. Därtill anger dessa standarder att en sådan genomgång av kvaliteten på uppdraget som EQCR syftar till, inte reducerar påskrivande revisors ansvar. Däremot är det oklart vilket reellt ansvar en EQCR har.

I ISQC 1 punkt 73 c) anges att en EQCR ska dokumentera att han eller hon inte har kännedom om några olösta frågor som skulle föranleda EQCR att tro att de väsentliga bedömningar teamet gjort och de slutsatser de dragit inte var riktiga. EQCR avger inget uttalande över sin genomgång. I USA har Securities and Exchange Commission (SEC) fastställt att CPR måste iaktta samma professionella standarder som dem de granskar, och US Supreme Court tog parti för SEC:s sanktion mot en partner i ledarskapsposition i en av de största revisionsbyråerna (Big 4) för att ha åsidosatt etiska regler vid genomförande av concurring review11.

I Sverige har vi i skrivande stund ännu ingen översatt och anpassad standard i enlighet med ISQC 1, varför Revisorsnämnden sannolikt inte skulle kräva sådan genomgång av börsnoterade och andra enligt ISQC 1 relevanta uppdrag. Vad som däremot skulle vara fallet i ett stort skadeståndsmål kan vi endast spekulera i. De fyra stora revisionsbyråerna har sannolikt förbundit sig att följa alla IAASB:s standarder, dvs. även ISA 220 och ISQC 1, genom sin medverkan i IFAC.

Översatt från ISQC 1:62.

Michael Favere-Marchesi och Craig E.N. Emby (2005), The Impact of Conti nuity on Concurring Partner Reviews: An Exploratory Study, Accounting Horizons, Vol 19, No 1, March 2005, sid 2.

Vad ingår i EQCR:s genomgång?

Kontroller av kvaliteten på uppdragsnivå har att ta sikte på att bedöma om varje medarbetare tar tillräckligt ansvar för att säkra kvaliteten. Detta vilar i sin tur på förutsättningen att revisionsbyrån ger tillräckligt stöd till revisionsteamet för att de ska kunna utföra sitt arbete på ett effektivt sätt alltefter omständigheterna i det enskilda uppdraget, I en EQCR:s genomgång ingår också att överväga följande punkter12:

  • Har någon utvärdering skett av revisionsbyråns och teamets oberoende i förhållande till uppdraget?

  • Har väsentliga risker identifierats och åtgärder vidtagits av revisionsteamet för att reducera dessa risker inklusive bedömning av risken för oegentligheter?

  • Har lämpliga avstämningar ägt rum när der gäller avvikande upp fattningar eller svåra eller tvistiga frågor och har slutsatser dragits och tillämpats från dessa avstämningar?

  • Betydelsen av åtgärdade resp. icke åtgärdade brister som identifierats under arbetets gång samt hur de har hanterats (rapporterats),

  • Rapporteringen av relevanta iakttagelser till revisionsutskottet, styrelsen och företagsledningen samt andra parter exempelvis tillsynsmyndigheter,

  • Stöder sådan dokumentation/arbetspapper som valts ut vid genomgången också de slutsatser som dragits utifrån gjorda iakt tagelser och väsentliga bedömningar?

  • Har revisionsberättelsens slutsatser och ställningstaganden utfor mats på ett korrekt sätt?

Ovanstående punkter ska alltid beaktas av EQCR vid granskningen av den genomförda revisionen av ett börsnoterat företag. För de klienter som inte är börsnoterade bör granskningen omfatta ett lämpligt urval av dessa punkter.

En EQCR ska göra en objektiv genomgång av väsentliga frågor, bedömningar samt slutsatser i ett enskilt uppdrag men förväntas inte ta ställning till om revisionsteamet har uppfyllt alla revisionskrav enligt tillämpliga standarder.

I standarderna anges att väsentliga frågor avgörs på ett sådant sätt att EQCR är tillfreds innan revisionsberättelsen avges, vilket även inbegriper att eventuella meningsskiljaktigheter är lösta innan revisionsberättelsen avges. Detta är viktigt dels för att risken att en revisor tar ett felaktigt beslut reduceras, dels för att revisionsbyråns samlade erfarenhet och kunnande utnyttjas bättre när svåra beslut ska fattas.

Utgör vår tolkning av ISA 220 paragraf 40 och ISQC 1 paragraf 65.

Rotation av EQCR

Enligt IFACS Code of Ethics (revised) ska en EQCR rotera enligt samma principer som engagement partner, dvs. efter att ha innehaft ett uppdrag för en viss revisionsklient under en sammanhängande tid av sju år, som påskrivande revisor eller som EQCR eller i båda rollerna, ska partnern avgå från uppdraget13. En aspekt av denna regel är att en engagement partner kan gå från denna roll till att bli EQCR, eller tvärt om, så länge den totala tiden vid uppdraget inte överskrider den maximalt tillåtna tiden, dvs. sju år. För SEC-noterade uppdrag (efter införande av Sarbanes-Oxley Act) gäller att rotation ska ske efter fem år för engagement leader och CPR.

I en studie av Favere-Marchesi och Emby (2005)14 framträder intressanta aspekter på hur objektiviteten i CPRs bedömningar av att granska ett klientföretags nedskrivningsbehov avseende goodwill påverkas av att inneha rollen under mer än ett år. I studien medverkade revisionspartners med minst 25 års erfarenhet och med erfarenhet som CPR i ett experiment. En tolkning av studiens resultat är att CPR som innehaft rollen under föregående och innevarande år är mindre benägna att dra slutsatsen att det kan finnas nedskrivningsbehov på förvärvad goodwill än CPRs som under innevarande år har uppdraget för första gången. Denna tolkning belyser betydelsen av partnerrotation.

Enligt den amerikanska standarden ska en påskrivande revisor avstå från uppdraget under två år innan denne kan övergå till CPR-rollen15. Detsamma gäller enligt SAS 240 vid övergång från påskrivande revisor till IRP16. Något liknande krav finns dock inte i IFAC:s Code of Ethics (revised) eller i ISA 220/ISQC 1.

Objektivitetskravet i ISA 220/ISQC 1 väcker dock frågan om det möjligen borde anses lämpligt att en påskrivande revisor som ska övergå till att bli EQCR bör avstå från uppdraget helt och hållet under en övergångsperiod (cooling-off). Här förefaller samma tvåårsperiod som redan finns i IFAC:s Code of Ethics som lämplig, och vid överföring till vårt resonemang innebär det att påskrivande revisor bör avstå från uppdraget i två år, för att sedan utföra EQCR:s roll under som längst sju kommande år. Däremot torde inte någon motsvarande tid behövas vid motsatt övergång, dvs. en EQCR kan rotera in i påskrivande revisors roll utan avkylningsperiod, så länge den totala tiden på uppdraget inte överskrider sju år.

IFAC Ethics Committee, Code of Ethics for Professional Accountants (revised), paragraph 290.154.

Michael Favere-Marchesi och Craig E.N. Emby (2005), The Impact of Continuity on Concurring Partner Reviews: An Exploratory Study, Accounting Horizons, Vol 19, No 1, March 2005.

Se PCAOB 2004, sid 8, utdrag ur SECPS 1000.39 Appendix E.

SAS 240 (Issued September 2000), Quality control for audit work, paragraph 7f.

Sammanfattning

Väl utförda kvalitetsgenomgångar som utförs löpande under uppdragets gång utgör en viktig hörnsten för investerares förtroende för revision, eftersom de sker samtidigt som revisionen genomförs. De två internationella revisionsstandarder som här diskuterats, ISA 220 och ISQC 1, kommer högst betydligt att öka effektiviteten i den objektiva genomgången av påskrivande revisors och teamets arbete innan revisionsberättelsen avges. ISA 220 och ISQC 1 medför sannolikt att revisionsbyråerna kommer att beakta huruvida deras principer och arbetssätt avseende kvalitetskontroll är tillräckligt starka och omfattande.

Denna process kommer sannolikt även att leda till att klargöra och förbättra roller och ansvarsområden för påskrivande revisorer, revisionsteam och EQCR. Standarderna, och den objektiva process de förordar, ger påskrivande revisorer en välkommen extra säkerhet i bestyrkandet innan revisionsberättelsen avges. Med sin närvaro på stora börsnoterade uppdrag ger också en EQCR ytterligare erfarenhet och specialistkunskaper till de revisionsteam som har till uppgift att granska de komplexa revisionsuppdrag det här är frågan om, i syfte att även fortsättningsvis leverera revision och andra tjänster av hög kvalitet. Standarderna kommer därför att utgöra en hörnsten i processen att stärka allmänhetens förtroende för revisorskåren.

Ek.dr. Gunilla Alander och auktor revisor Richard Roth är verksamma vid Öhrlings PricewaterhouseCoopers.