1 Introduktion

1.1International Standard on Quality Management 1 (ISQM 1), Kvalitetsstyrning för revisionsföretag som utför revision och översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster, behandlar revisionsföretagets kvalitetsstyrningssystem och ersätter den tidigare International Standard on Quality Control 1 (ISQC 1). Målet med den nya standarden är att revisionsföretagen ska etablera ett mer robust kvalitetsstyrningssystem vilket innebär

  • att hantera kvalitet på ett mer proaktivt och skräddarsytt sätt,

  • att tydliggöra ledningens ansvar för kvalitetsstyrningssystemet och därigenom förbättra revisionsföretagets kvalitet,

  • att kräva en mer noggrann övervakning av kvalitetsstyrningssystemet och att åtgärda brister på ett mer systematiskt sätt,

  • en mer modern standard, anpassad för en alltmer komplex miljö, som också beaktar effekterna av teknik, nätverk och användning av externa tjänsteleverantörer, och

  • ökad skalbarhet genom att beakta revisionsföretag av olika storlek.

Sammanfattningsvis introducerar ISQM 1 ett nytt sätt att se på kvalitetsstyrning

  • från ett tillvägagångssätt som baserar sig på att fastställa riktlinjer och rutiner som behandlar olika fristående komponenter avseende kvalitetskontroll

  • till ett mer integrerat, proaktivt och skalbart tillvägagångssätt med ett ökat fokus på ledarskap, ansvar och styrning och med en riskbedömningsprocess som utgångspunkt.

1.2Som en konsekvens av det nya synsättet och de nya kraven på kvalitet inom ett revisionsföretag, har följande områden lagts till i ISQM 1:

  • Riskbedömningsprocess.

  • Information och kommunikation.

  • Motåtgärder.

  • Nätverkskrav och nätverkstjänster.

  • Utvärdering av kvalitetsstyrningssystemet.

På grund av ovan beskrivna förändringar har benämningen ändrats från kvalitetskontrollsystem i ISQC 1 till kvalitetsstyrningssystem i ISQM 1.

1.3FAR vill klargöra att denna vägledning endast är avsedd att fungera som hjälp i revisionsföretagens arbete. ISQM 1 och ISQM 2 är de gällande standarder som ska följas, varvid det i slutändan är Revisorsinspektionen och ytterst domstol som avgör hur standarderna ska tolkas och tillämpas. Alla revisionsföretag måste därför göra sina egna bedömningar och självständigt ta ställning till tolkningen av gällande rätt. FAR kan således inte garantera att de ställningstaganden som FAR ger uttryck för i denna vägledning kommer att bedömas på samma sätt av Revisorsinspektionen eller domstol. FAR ansvarar därför inte för någon form av skada som kan uppstå som en direkt eller indirekt följd av ett revisionsföretags användning av denna vägledning eller den dokumentation som FAR har tagit fram med anledning av ISQM 1 och ISQM 2.

1.4Detta dokument kan komma att uppdateras och justeras när närmare vägledning och praxis kommer från IAASB, svenska myndigheter och domstolar. När FAR gör ändringar i dokumentet kommer ett revisionsdatum att anges. Alla revisionsföretag uppmuntras därför att löpande gå in i detta dokument och kontrollera eventuella ändringar.

Omfattning av ISQM 1

1.5ISQM 1 behandlar revisionsföretagets ansvar för att utforma, införa och använda ett kvalitetsstyrningssystem avseende revision och översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster.

1.6Regler om uppdragsanknuten kvalitetskontroll, utnämning av en särskild kvalitetsgranskare av uppdrag samt utförande och dokumentation av uppdragsanknuten kvalitetskontroll behandlas i International Standard on Quality Management 2 (ISQM 2), Uppdragsanknuten kvalitetskontroll.

Hur denna vägledning ska användas

1.7Kursiv stil i denna vägledning innebär att innehållet är hämtat från ISQM 1s “ska”-krav, det vill säga punkterna (p.) 1–60 i standarden. Att texten är hämtad innebär inte att den är direktöversatt, och skrivningen i standarderna har alltid företräde och är gällande. FAR har dock försökt att använda ett enklare språk för att underlätta för revisionsföretagen. Övrig text är baserad på avsnittet Tillämpning och andra förtydliganden, det vill säga punkterna A1–A206. Där inget annat anges avser referenserna p. och A ISQM 1.

1.8Denna vägledning omfattar även de delar av ISQM 2 som behandlar vem som ska utse den särskilda kvalitetsgranskaren gällande uppdrag som omfattas av uppdragsanknuten kvalitetskontroll och vem som ska utföra den uppdragsanknutna kvalitetskontrollen. Där det är aktuellt hänvisas i vägledningen specifikt till ISQM 2.

Revisionsföretagets kvalitetsstyrningssystem

1.9Revisionsföretagets kvalitetsstyrningssystem ska innehålla åtta komponenter (p. 6):

  1. Riskbedömningsprocess

  2. Styrning och ledarskap

  3. Relevanta yrkesetiska krav

  4. Acceptera och behålla kundrelationer och specifika uppdrag

  5. Uppdragets utförande

  6. Resurser

  7. Information och kommunikation

  8. Övervaknings- och åtgärdsprocess

Revisionsföretaget får använda en annan terminologi för att beskriva komponenterna ovan (p. A3).

1.10Revisionsföretaget ska ha ett riskbaserat tillvägagångssätt när det utformar, inför och tillämpar komponenterna i ramverket på ett integrerat och koordinerat sätt så att revisionsföretaget proaktivt hanterar kvaliteten i uppdrag (p. 7 och A4). Det riskbaserade tillvägagångssättet är integrerat i kraven i ISQM 1 och revisionsföretaget tillämpar det riskbaserade tillvägagångssättet genom att

  • etablera och uppnå de obligatoriska kvalitetsmålen som följer av denna vägledning (i tillämpliga fall) och eventuella andra kvalitetsmål som kan behövas för att uppnå de övergripande målen med kvalitetsstyrningssystemet, se avsnitt 2,

  • identifiera och bedöma riskerna (kvalitetsrisker) för att kvalitetsmålen inte uppnås, och

  • utforma och införa motåtgärder för att hantera kvalitetsriskerna (p. 8).

Syftet med kvalitetsstyrningssystemet är att revisionsföretaget ska säkerställa att kvalitetsmålen uppnås och att detta är dokumenterat, vilket ska utvärderas årligen (p. 9).

1.11Revisionsföretagets kvalitetsmål är det önskade resultatet som revisionsföretaget måste uppnå i förhållande till respektive komponent inom revisionsföretagets kvalitetsstyrningssystem. Kvalitetsmålen kan även beskrivas som de olika målen som revisionsföretaget måste uppnå för att uppnå de övergripande målen med kvalitetsstyrningssystemet, det vill säga att följa standarder för yrkesutövningen och tillämpliga lagar och regler samt upprätta lämpliga och korrekta rapporter avseende sina uppdrag, se även avsnitt 2.

Skalbarhet

1.12När revisionsföretaget tillämpar ett riskbaserat tillvägagångssätt enligt ISQM 1 ska det beakta revisionsföretagets och dess uppdrags egenskaper och omständigheter. Ett revisionsföretag som till exempel utför olika typer av uppdrag för en mängd olika företag, inklusive granskning av börsnoterade företags finansiella rapporter, behöver ett mer komplext och formaliserat kvalitetsstyrningssystem och mer omfattande och formaliserad dokumentation än ett mindre revisionsföretag (p. 10).

2 Revisionsföretagets övergripande mål

2.1Revisionsföretagets övergripande mål är att utforma, införa och använda ett kvalitetsstyrningssystem som förser revisionsföretaget med rimlig försäkran om att:

  • Revisionsföretaget och dess medarbetare uppfyller sitt ansvar enligt standarder för yrkesutövningen och tillämpliga lagar och regler och utför uppdrag enligt dessa krav.

  • Rapporter som upprättas av revisionsföretaget är lämpliga givet omständigheterna (p. 14), se bland annat ISA 7001.

Det är även revisionsföretagets mål att tillgodose allmänhetens intresse genom att revisionsföretagets tjänster håller en konsekvent god kvalitet. Kvalitetsstyrningssystemet ska leda till detta. Kvalitet i uppdragen uppnås genom att planera, utföra och rapportera om dem enligt tillämpliga lagar och regler och standarder för yrkesutövning (p. 15).

ISA 700 (omarbetad) Bilda sig en uppfattning och uttala sig om finansiella rapporter.

3 Definitioner och förkortningar

3.1I denna vägledning har nedanstående termer följande betydelser:

  • Brist: En brist föreligger när

    • ett kvalitetsmål som krävs för att uppnå målet med kvalitetsstyrningssystemet har inte etablerats,

    • en kvalitetsrisk, eller en kombination av kvalitetsrisker, inte har identifierats eller bedömts ordentligt,

    • en motåtgärd eller en kombination av motåtgärder inte minskar, till en acceptabelt låg nivå, sannolikheten för att en relaterad kvalitetsrisk uppstår på grund av att motåtgärden/motåtgärderna inte har utformats, implementerats eller använts på ett effektivt sätt, eller

    • en annan aspekt av kvalitetsstyrningssystemet saknas, eller inte är korrekt utformad, implementerad eller inte används på ett effektivt sätt, såsom att ett krav enligt denna standard inte har behandlats.

  • Börsnoterat företag: Ett företag vars aktier, andelar eller skuldebrev är noterade på en officiell fondbörs eller är föremål för handel som följer en officiell fondbörs eller liknande normgivares bestämmelser.

  • Delägare: Varje person som har befogenhet att teckna avtal för revisionsföretaget avseende professionella tjänster.

  • Enmansföretag: Ett revisionsföretag som består av endast en person.

  • Extern tjänsteleverantör: En person eller organisation utanför revisionsföretaget som tillhandahåller en resurs som används i kvalitetsstyrningssystemet eller i utförandet av uppdragen. Tjänsteleverantörer omfattar inte revisionsföretagets nätverk, andra nätverksföretag eller strukturer eller organisationer i nätverket.

  • Företagsledare: Den som leder det enskilda revisionsföretaget, till exempel “kontorsansvarig”, verkställande direktör eller liknande.

  • IAASB: International Auditing and Assurance Standards Board.

  • Iakttagelser (i relation till ett kvalitetsstyrningssystem): Information om utformningen, implementeringen och användningen av det system för kvalitetshantering som har ackumulerats från övervakningsaktiviteter, externa inspektioner och andra relevanta källor, som tyder på att det kan föreligga en eller flera brister.

  • Kvalitetsmål: Det önskade utfallet i relation till komponenterna i kvalitetsstyrningssystemet som revisonsförretaget vill uppnå.

  • Kvalitetsrisk: En risk som har en rimlig möjlighet att inträffa och individuellt eller i kombination med andra risker har negativ påverkan på ett eller flera kvalitetsmål.

  • Kvalitetsstyrningssystem: Ett system som har utformats, implementerats och som används av ett revisionsföretag för att ge företaget en rimlig försäkran om att

    • revisionsföretaget och dess personal fullgör sitt ansvar i enlighet med professionella standarder och tillämpliga krav i lagar, förordningar och föreskrifter och utför uppdrag i enlighet med sådana standarder och krav, och

    • uppdragsrapporter som läggs fram av revisionsföretaget eller ansvarig revisor är lämpliga under omständigheterna.

  • Medarbetare: Delägare och anställda i revisionsföretaget.

  • Motåtgärd:

    • Riktlinjer: uttalanden om vad som bör och inte bör göras för att hantera kvalitetsrisker. Sådana uttalanden kan dokumenteras, formuleras uttryckligen i kommunikationen eller införas genom åtgärder och beslut.

    • Rutiner: åtgärder för att införa riktlinjerna.

  • Näraliggande tjänster: Tjänster som utförs enligt ISRS 4400 International Standard on Related Services (revised), Agreed-Upon Procedures Engagements eller ISRS 4410 International Standard on Related Services, Engagements to Compile Financial Statements.

  • Nätverk: En större struktur:

    • som syftar till samarbete, och

    • som klart syftar till vinst- eller kostnadsdelning eller har gemensamt ägande, gemensam kontroll eller ledning, gemensamma riktlinjer och rutiner för kvalitetskontroll, gemensam affärsstrategi, använder ett gemensamt varumärkesnamn eller gemensamt använder en betydande del professionella resurser.

  • Nätverksföretag: Ett revisionsföretag eller företag som tillhör ett nätverk.

  • Professionellt omdöme: Tillämpningen av relevant utbildning, kunskap och erfarenhet inom den ram som utgörs av standarder för yrkesutövningen, när initierade beslut fattas om åtgärder som är ändamålsenliga med hänsyn till revisionsföretagets utformning, implementering och användning av dess kvalitetsstyrningssystem.

  • Relevanta yrkesetiska krav: Principer för yrkesetik och yrkesetiska krav som är tillämpliga på revisorer/redovisningskonsulter när de åtar sig uppdrag som utgörs av revisioner eller översiktliga granskningar av finansiella rapporter eller andra bestyrkandeuppdrag eller näraliggande tjänster. Relevanta yrkesetiska krav omfattar vanligen bestämmelserna i IESBAs Etikkod avseende revisioner eller översiktliga granskningar av finansiella rapporter eller andra bestyrkandeuppdrag eller näraliggande tjänster, tillsammans med nationella krav som är mer restriktiva.

  • Revisionsföretag: En enmansbyrå, ett handelsbolag, ett aktiebolag eller ett annat företag bestående av yrkesverksamma revisorer eller motsvarande inom offentlig sektor.

  • Revisor: Revisor eller revisorsassistent som arbetar med revisionsuppdrag.

  • Rimlig försäkran: En hög men inte absolut grad av säkerhet.

  • Servicecenter: En enhet inom revisionsföretaget eller inom nätverket som utför standardiserade uppgifter som att inhämta engagemangsbesked från banker, utföra bakgrundskontroller av potentiella kunder och upprätta standardiserad dokumentation.

  • Standarder för yrkesutövning: IAASB Engagement Standards, enligt definition i IAASBs Förord till internationella standarder för kvalitetshantering, revision, översiktlig granskning, andra bestyrkandeuppdrag samt näraliggande tjänster och relevanta yrkesetiska krav.

  • Särskild kvalitetsgranskare: En delägare, annan person i revisionsföretaget eller en extern person som har utsetts av revisionsföretaget för att utföra den uppdragsanknutna kvalitetskontrollen.

  • Uppdrag: Revision och översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster.

  • Uppdragsanknuten kvalitetskontroll: En objektiv värdering av de väsentliga bedömningar som görs av uppdragsteamet och de slutsatser som då dras, den särskilda kvalitetsgranskaren för uppdraget och som slutförs senast per datumet för uppdragsrapporten.

  • Uppdragsansvarig: Medarbetare i revisionsföretaget som är ansvarig för uppdraget och dess utförande samt för den rapport som lämnas för revisionsföretagets räkning och som, där så krävs, har rätt behörighet.

  • Uppdragsdokumentation: Dokumentation av utfört arbete, uppnådda resultat samt slutsatser som yrkesutövaren har kommit fram till (ibland används även termen ”arbetspapper”).

  • Uppdragsteam: Alla delägare och medarbetare som utför uppdraget, samt varje person som, exklusive en extern expert och internrevisorer som bistår med direkt hjälp under ett uppdrag.

  • Övervakning: En process som innefattar en fortlöpande uppföljning och bedömning av revisionsföretagets kvalitetsstyrningssystem, såsom regelbundet återkommande interna kvalitetskontroller och uppföljning av att motåtgärder motverkar revisionsföretagets kvalitetsrisker på ett ändamålsenligt sätt.

4 Hur kommer revisionsföretaget i gång och hur ser processen ut?

4.1Detta avsnitt sammanfattar på en övergripande nivå vad revisionsföretaget ska göra och vad första steget är. De delar som revisionsföretaget redan har på plats i form av riktlinjer, dokumentation, övervakning etc. behöver givetvis inte göras om från början utan kan byggas på, anpassas eller utvecklas vid behov för att revisionsföretaget ska uppfylla målen i ISQM 1.

Det här ska revisionsföretaget göra

FARISQM1_bild1
  1. Fastställa vilka kvalitetsmål revisionsföretaget ska ha. Räcker de obligatoriska eller behövs fler? Behövs delmål?

  2. Bedöma kvalitetsriskerna som kan göra att kvalitetsmålen inte uppnås.

  3. Fastställa och införa motåtgärder för att motverka kvalitetsriskerna.

  4. Fastställa och införa övervakningsaktiviteter för att säkerställa att motåtgärderna effektivt motverkar kvalitetsriskerna.

  5. Åtgärda de brister som upptäcks i övervakningsprocessen.

Utöver steg 1 till 5 ovan måste revisionsföretagets ledning tillsätta resurser som möjliggör kvalitetsarbetet samt stötta dessa steg. Intern och extern information och kommunikation är nödvändigt för att samtliga steg ska fungera effektivt och ändamålsenligt samt för att motåtgärderna ska motverka kvalitetsriskerna. Resultatet av kvalitetsstyrningssystemet ska löpande rapporteras till styrelsen och ledningen. Samtliga delar av kvalitetsstyrningssystemet, inklusive den/de som är ytterst ansvarig(a), ska utvärderas årligen.

Figuren ovan visar delmoment som revisionsföretaget måste utföra. De olika delmomenten är dock inte helt linjära då kvalitetsstyrningssystemet är ständigt pågående och iterativt till sin natur.

5 Allmänna krav

5.1Revisionsföretaget ska följa samtliga krav i ISQM 1, vilka framgår av denna vägledning, förutom i de fall då kraven inte är tillämpliga på grund av revisionsföretagets eller dess uppdrags egenskaper och omständigheter (p. 17).

5.2ISQM 1 är inte en mall eller en beskrivning av ett kvalitetsstyrningssystem som revisionsföretaget kan tillämpa rakt av i den egna verksamheten. Revisionsföretaget måste ta hänsyn till den egna verksamhetens specifika omständigheter och anpassa sitt kvalitetsstyrningssystem därefter. Det kan betyda att revisionsföretaget behöver införa fler krav inom det egna kvalitetsstyrningssystemet än de som framgår av ISQM 1 för att uppnå målen med kvalitetsstyrningssystemet. På motsatt sätt kan det betyda att vissa krav enligt ISQM 1 inte är tillämpliga. Till exempel är kraven avseende styrning och ledarskap, roller och ansvar, vägledning, övervakning och beaktande av meningsskiljaktigheter troligtvis inte relevanta för ett enmansföretag (p. A29).

5.3De som har det yttersta ansvaret för revisionsföretagets kvalitetsstyrningssystem (lämpligen styrelsen)2och/eller det operativa ansvaret för revisionsföretagets kvalitetsstyrningssystem, ska ha en förståelse för ISQM 1, inklusive tillämpningen och andra förtydliganden, för att förstå målen med ISQM 1 och tillämpa kraven i standarden korrekt (p. 18).

Se p. 20 för ytterligare vägledning om tilldelning av ansvar.

5.4Teammedlemmar och andra medarbetare som utför aktiviteter inom kvalitetsstyrningssystemet, exempelvis en kvalitetsansvarig eller ansvarig för oberoendefrågor, måste också förstå de delar som är relevanta för deras arbete och hur dessa ska tolkas och tillämpas.

6 Grundläggande krav på kvalitetsstyrningssystemet

6.1Revisionsföretagets styrelse och ledning ska stödja utformningen, införandet och användningen av kvalitetsstyrningssystemet (p. 19). Detta beskrivs mer utförligt i avsnitt 9.

6.2Styrning och ledarskap är grundläggande för att kvalitetsstyrningssystemet ska fungera ändamålsenligt då revisionsföretagets kultur bestäms av hur styrningen och ledarskapet fungerar. Ledningen inom revisionsföretaget organiserar, styr och följer upp arbetet men kan delegera olika delar av det operativa arbetet med kvalitetsstyrningssystemet.

6.3Revisionsföretaget ska utöva professionellt omdöme när det utformar, inför och använder kvalitetsstyrningssystemet (p. 19). Professionellt omdöme inkluderar ett ifrågasättande sinne, vilket innebär att

  • överväga källan, relevansen och tillräckligheten av informationen som erhålls om kvalitetsstyrningssystemet, inklusive information relaterad till revisionsföretaget och dess uppdrags egenskaper och omständigheter, och

  • vara öppen för behov av vidare utredningar eller andra åtgärder (p. A31).

7 Ansvar

7.1Revisionsföretaget ska fördela följande roller inom kvalitetsstyrningssystemet:

  • det yttersta ansvaret för kvalitetsstyrningssystemet (p. 20 a),

  • det operativa ansvaret för kvalitetsstyrningssystemet (p. 20 b), och

  • det operativa ansvaret för specifika delar av kvalitetsstyrningssystemet, inklusive

    • efterlevnad av oberoendekrav, och

    • övervaknings- och åtgärdsprocess (p. 20 c).

7.2Oberoende av vilka personer som revisionsföretaget väljer att tilldela ansvar avseende hela eller delar av kvalitetsstyrningssystemet är alltid revisionsföretaget ytterst ansvarigt för kvalitetsstyrningssystemet och ska hålla personer med tilldelat ansvar ansvariga för deras respektive roller. Om revisionsföretaget till exempel har tilldelat företagsledaren ansvaret för utvärderingen av kvalitetsstyrningssystemet så är revisionsföretaget ansvarigt för slutsatserna avseende det utförda arbetet (p. A33).

7.3Den som innehar en roll eller uppgift relaterad till kvalitetsstyrningssystemet bör ha lämpligt inflytande inom revisionsföretaget (p. A34). Revisionsföretaget kan till exempel tilldela företagsledaren rollen som operativt ansvarig och företagsledaren kan fördela roller och uppgifter vidare till övriga personer med lämpligt inflytande inom revisionsföretaget (p. A36).

7.4När roller och uppgifter relaterade till kvalitetsstyrningssystemet fördelas ska revisionsföretaget bedöma om berörda personer har lämplig erfarenhet, kunskap och inflytande inom revisionsföretaget samt tillräckligt med tid för att fullgöra sina åtaganden. Den som tilldelas en roll eller uppgift ska också förstå innebörden av dessa och att den är ansvarig för att fullgöra åtagandet (p. 21). Lämplig erfarenhet och kunskap för den operativt ansvarige för kvalitetsstyrningssystemet bör inkludera förståelse för revisionsföretagets strategiska beslut och åtgärder och erfarenhet av dess affärsverksamhet (p. A38).

7.5Det ska finnas en direkt kommunikation mellan den/de som har det operativa ansvaret för kvalitetsstyrningssystemet, ansvaret för efterlevnad av oberoendekrav, ansvaret för övervaknings- och åtgärdsprocessen och styrelsen (p. 22). Som exempel bör rapportering gällande kvalitetsfrågor vara en återkommande punkt på revisionsföretagets styrelsemöten.

7.6I ett mindre revisionsföretag kan revisionsföretaget tilldela en person, till exempel en delägare som är företagsledare, det operativa ansvaret för kvalitetsstyrningssystemet. Denna person kan i sin tur fördela roller och uppgifter avseende olika delar av kvalitetsstyrningssystemet, som till exempel efterlevnad av oberoendekrav och övervaknings- och åtgärdsprocessen (p. A35 2 st. p. 1).

7.7I ett enmansföretag är det av naturliga skäl den som driver revisionsföretaget som är ansvarig för hela kvalitetsstyrningssystemet inklusive utvärdering av kvalitetsstyrningssystemet.

8 Riskbedömningsprocess

8.1Revisionsföretaget ska utforma och införa en riskbedömningsprocess för att fastställa kvalitetsmål, identifiera och bedöma kvalitetsrisker samt utforma och införa motåtgärder för att hantera kvalitetsriskerna (p. 23).

8.2Riskbedömningsprocessen är grunden för en effektiv kvalitetsstyrning. Det är här revisionsföretaget fastställer sina kvalitetsmål, identifierar de kvalitetsrisker som kan orsaka att kvalitetsmålen inte uppnås samt fastställer motåtgärder för att motverka dessa kvalitetsrisker. De olika stegen i riskbedömningsprocessen kan förenklat beskrivas enligt nedanstående figur.

FARISQM1_bild2

8.3Riskbedömningsprocessen kan i korthet se ut så här:

  • En analys av kvalitetsmål, kvalitetsrisker och motåtgärder utförs och dokumenteras. Det grundläggande arbetet är ett engångsarbete men måste löpande uppdateras så att analysen speglar verkligheten.

  • Kvartalsvisa uppföljningsmöten (deltagare är beroende av hur ansvarsfördelningen ser ut), där till exempel följande frågor bör tas upp:

    • Finns det några nya omständigheter som kan orsaka nya kvalitetsmål och kvalitetsrisker?

    • Har några nya kvalitetsrisker relaterade till befintliga kvalitetsmål identifierats?

    • Finns det kvalitetsrisker som inte längre är aktuella och bör tas bort?

    • Bedöms motåtgärderna vara effektiva för att hantera kvalitetsriskerna eller behöver revisionsföretaget justera/addera/ta bort motåtgärder?

  • Kvalitetsfrågor är en stående punkt på lednings- och styrelsemöten.

8.4Riskbedömningsprocessen ska vara en levande process där revisionsföretaget löpande ska ta hänsyn till ny information och göra uppdateringar. Revisionsföretaget kan till exempel bedöma att kvalitetsmål utöver de som är obligatoriska enligt ISQM 1 behöver upprättas. Revisionsföretaget kan även behöva komplettera med kvalitetsrisker som identifierats i samband med att revisionsföretaget utformar och inför motåtgärder (p. A40). Se vid punkterna 8.17–8.18 för exempel på förändringar som kan orsaka behov av att uppdatera kvalitetsmål, kvalitetsrisker och motåtgärder.

8.5I sin riskbedömningsprocess kan revisionsföretaget bland annat använda resultaten av revisionsföretagets övervaknings- och åtgärdsprocess, se avsnitt 16, för att ta hand om identifierade risker. Resultat från eventuella nätverksövergripande övervakningsaktiviteter kan också komma till användning i riskbedömningsprocessen (p. A41).

8.6Annan information, både intern och extern, kan också vara relevant för revisionsföretagets riskbedömningsprocess, som till exempel

  • klagomål från kunder om att arbetet inte har utförts i enlighet med tillämpliga lagar, regler och standarder för yrkesutövning,

  • klagomål från revisionsföretagets medarbetare om att arbetet inte har utförts enligt standarder för yrkesutövningen, tillämpliga lagar och regler eller interna riktlinjer eller rutiner,

  • resultat av externa kvalitetskontroller (till exempel FARs kvalitetskontroll),

  • förändringar i kvalitetsstyrningssystemet, till exempel ökade eller nya resurser, som har följdeffekter på olika delar av kvalitetsstyrningssystemet, och

  • eventuella rättsliga åtgärder och tvister som det egna revisionsföretaget är inblandat i eller som andra revisionsföretag är inblandade i och som indikerar potentiella brister även inom det egna revisionsföretaget (p. A41).

8.7I ett mindre revisionsföretag är det naturligt att den som har det operativa ansvaret för kvalitetsstyrningssystemet har tillräcklig förståelse och kunskap om revisionsföretaget och dess uppdrag för att kunna utföra riskbedömningsprocessen. Dokumentation av kvalitetsmål, kvalitetsrisker och motåtgärder för det mindre revisionsföretaget kan göras i en enkel och komprimerad form, det vill säga ett dokument som sammanfattar genomförda analyser och slutsatser (p. A.39 2 st. p. 1).

Fastställande av kvalitetsmål

8.8Revisionsföretaget ska fastställa de kvalitetsmål som anges i denna vägledning och eventuella ytterligare kvalitetsmål som är nödvändiga för att revisionsföretaget ska uppnå målen med kvalitetsstyrningssystemet (p. 24).

8.9Lagar eller regler kan ställa krav på ytterligare kvalitetsmål (p. A42) men för ett mindre revisionsföretag är ytterligare kvalitetsmål möjligen inte nödvändiga (p. A43). En bedömning av huruvida de obligatoriska kvalitetsmålen är tillräckliga och relevanta måste dock göras även av det mindre revisionsföretaget. Revisionsföretaget kan även fastställa delmål för att underlätta när det identifierar och bedömer kvalitetsrisker samt utformar och inför motåtgärder (p. A44).

Identifiera och bedöma kvalitetsrisker

8.10Revisionsföretaget ska identifiera och bedöma kvalitetsrisker som en grund för utformningen och implementeringen av motåtgärder. Revisionsföretaget ska därigenom beakta hur och i vilken omfattning omständigheter negativt kan påverka möjligheterna att uppnå kvalitetsmålen, inklusive

  • revisionsföretagets strategiska och operativa beslut, verksamhetsprocesser och affärsmodell,

  • karaktären av revisionsföretagets ledarstil,

  • revisionsföretagets interna och externa resurser,

  • standarder för yrkesutövningen och tillämpliga lagar och regler och den miljö där revisionsföretaget verkar,

  • nätverkskrav och nätverkstjänster (om revisionsföretaget tillhör ett nätverk),

  • typen av uppdrag som revisionsföretaget utför, och

  • typen av kunder som revisionsföretaget utför uppdrag åt (p. 25).

8.11Revisionsföretagets arbete med att identifiera och bedöma kvalitetsrisker kan börja med en bruttolista över samtliga kvalitetsrisker som kan vara aktuella för revisionsföretaget i förhållande till kvalitetsmålen. Därefter bör sådana kvalitetsrisker sorteras bort som vid närmare eftertanke inte bedöms sannolika att inträffa eller inte bedöms få någon betydande effekt.

8.12Det är viktigt att revisionsföretaget beaktar både uppdragsspecifika och företagsspecifika kvalitetsrisker. Uppdragsspecifika kvalitetsrisker är relaterade till utförandet av själva uppdraget och övervakas regelbundet genom de interna uppdragskontrollerna. De företagsspecifika kvalitetsriskerna är alla risker inom revisionsföretaget som inte är uppdragsspecifika (även om risken oftast indirekt är relaterad till att uppdrag inte konsekvent utförs med god kvalitet), till exempel:

  • Styrelsen och ledningen har ett bristfälligt engagemang för kvalitet vilket kan leda till brister i uppdragens kvalitet.

  • Beslut om finansiella eller operativa prioriteringar beaktar inte vikten av att varje uppdrag konsekvent ska utföras med god kvalitet.

  • Medarbetare som anställs har inte relevant kunskap eller erfarenhet för att konsekvent utföra uppdrag med god kvalitet.

  • Medarbetare utvecklar inte sin kunskap och kompetens för att konsekvent kunna utföra uppdrag med god kvalitet.

  • Tjänster och resurser som erhålls från externa tjänsteleverantörer är inte ändamålsenliga på grund av bristfällig information från revisionsföretaget.

  • Medarbetare bedriver otillåten sidoverksamhet vilket leder till att revisionsföretaget inte följer tillämpliga lagar och regler.

8.13Revisionsföretaget behöver beakta att de motåtgärder som införs av revisionsföretaget för att motverka identifierade kvalitetsrisker i sin tur kan orsaka nya kvalitetsrisker. Till exempel kan revisionsföretaget implementera en it-applikation för att hantera en kvalitetsrisk med följden att nya kvalitetsrisker uppstår vid användningen av den nya it-applikationen (p. A47).

Utforma och införa motåtgärder

8.14Revisionsföretaget ska utforma och införa motåtgärder som beaktar anledningen till kvalitetsriskerna. Motåtgärderna ska inkludera de motåtgärder som framgår i avsnitt 15 (p. 26).

8.15Motåtgärderna ska anpassas så att de på ett effektivt sätt beaktar anledningen till den kvalitetsrisk som motåtgärden ska avhjälpa (p. A49). Kvalitetsrisker som är sannolika och har hög påverkan på kvalitetsmålen måste motverkas av kraftigare motåtgärder och vice versa. Motåtgärderna måste helt enkelt skräddarsys till varje enskild kvalitetsrisk, även om en och samma motåtgärd kan motverka flera kvalitetsrisker.

8.16Revisionsföretaget ska införa motåtgärder för alla kvalitetsrisker som är förenade med en viss sannolikhet att de ska inträffa, och både enskilt och tillsammans med andra omständigheter kan innebära en väsentlig risk för att kvalitetsmålen inte uppnås.

Förändringar i egenskaper och omständigheter inom revisionsföretaget eller dess uppdrag

8.17Revisionsföretaget ska fastställa riktlinjer som är utformade för att identifiera när ytterligare eller modifierade kvalitetsmål, kvalitetsrisker eller motåtgärder behövs på grund av att omständigheter avseende revisionsföretaget eller dess uppdrag förändras. Om sådana förändringar identifieras ska revisionsföretaget bedöma omständigheterna och vid behov

  • fastställa ytterligare kvalitetsmål eller modifiera kvalitetsmål,

  • identifiera och bedöma ytterligare kvalitetsrisker, ändra eller omvärdera kvalitetsrisker, och

  • utforma och införa ytterligare motåtgärder, eller ändra befintliga motåtgärder (p. 27).

8.18I ett mindre revisionsföretag kan riktlinjer och rutiner för att identifiera dessa förändringar vara mindre omfattande och formella. Det gäller särskilt när den eller de personer som är ansvariga för att fastställa kvalitetsmål, identifiera och bedöma kvalitetsrisker och utforma och införa motåtgärder kan identifiera förändringar genom den löpande verksamheten (p. A52).

Exempel på förändringar som kan orsaka behov av ytterligare eller modifierade kvalitetsmål, kvalitetsrisker eller motåtgärder:

  • Förändringar i standarder för yrkesutövningen, tillämpliga lagar och regler eller relevanta yrkesetiska krav.

  • Revisionsföretaget tar sig an kunder inom en ny bransch där revisionsföretaget saknar erfarenhet sedan tidigare.

  • Revisionsföretaget expanderar sin verksamhet och omfattningen och karaktären av revisionsföretagets resurser (inklusive medarbetare) förändras.

  • Nyckelperson(er) lämnar revisionsföretaget.

  • Revisionsföretaget byter eller inför nya it-system eller it-applikationer.

  • Kvalitetsbrister som identifieras inom revisionsföretagets övervaknings- och åtgärdsprocess.

9 Styrning och ledarskap

9.1Revisionsföretaget ska fastställa följande kvalitetsmål som hanterar revisionsföretagets styrning och ledarskap:

Kvalitetsmål: Styrelsen och ledningen visar engagemang för kvalitet genom en kultur som uppmuntrar och förstärker

  • revisionsföretagets roll i att tjäna allmänhetens intresse genom att konsekvent utföra uppdrag med god kvalitet,

  • vikten av yrkesetik, värderingar och attityder, till exempel

    • ett professionellt uppförande som punktlighet, artighet, respekt, ansvarstagande, lyhördhet och pålitlighet,

    • laganda,

    • att vara öppen för nya idéer eller olika perspektiv,

    • strävan efter ett förstklassigt arbete,

    • ständig förbättring (till exempel att ha högre målsättning än att uppnå minimikrav och att fokusera på kontinuerligt lärande), och

    • socialt ansvar,

  • alla medarbetares ansvar att uppträda professionellt och konsekvent utföra åtaganden inom kvalitetsstyrningssystemet med god kvalitet, och

  • vikten av kvalitet i revisionsföretagets strategiska beslut och handlingar, inklusive revisionsföretagets ekonomiska och operativa prioriteringar (till exempel om det finns incitament för finansiella eller operativa prioriteringar som motverkar att uppdragen konsekvent utförs med god kvalitet) (p. 28 a och A55–A56).

Kvalitetsmål: Styrelsen är ansvarig för kvaliteten inom revisionsföretaget, inklusive utvärderingar av kvalitetsstyrningssystemets utförande.

Kvalitetsmål: Styrelsen och ledningen visar engagemang för kvalitet genom sina handlingar och sitt beteende genom konsekventa och frekventa åtgärder och kommunikation för att bidra till en kvalitetsmedveten kultur och att uppdrag genomförs med konsekvent god kvalitet (p. 28 b och A58).

Kvalitetsmål: Organisation, roller, ansvar och befogenheter är lämpligt utformade för att möjliggöra utformningen, implementeringen och användningen av kvalitetsstyrningssystem, till exempel genom att centralisera vissa uppgifter eller processer för att främja en effektiv kvalitetsstyrning (p. 28 c och A59).

Kvalitetsmål: Resursbehov (inklusive ekonomiska resurser) är anpassade efter revisionsföretagets ansvar för att utföra uppdrag med god kvalitet (p. 28 e).

9.2En förutsättning för att revisionsföretagets kvalitetsstyrningssystem ska vara ändamålsenligt och effektivt är att revisionsföretaget är organiserat på ett sätt som överensstämmer med reglerna i RIFS 2018:23. Det innebär i korthet att revisionsföretaget ska, med beaktande av den egna verksamhetens omfattning och komplexitet,

  1. fastställa riktlinjer och upprätta rutiner för att se till att revisorerna kan utföra revisioner opartiskt och objektivt utan att andra som ägare, styrelseledamöter eller företagsledaren påverkar arbetet på ett sätt som kan rubba förtroendet för revisorn,

  2. ha sunda och effektiva rutiner för förvaltning, redovisning och riskbedömning,

  3. ha effektiva kontroll- och skyddssystem för informationshantering,

  4. fastställa riktlinjer och upprätta rutiner för att säkerställa att revisionsföretagets revisorer och andra personer som levererar revisionstjänster för revisionsföretaget har lämpliga kunskaper och erfarenheter,

  5. fastställa riktlinjer och upprätta rutiner som förhindrar att viktiga revisionsfunktioner överlämnas till personer utanför revisionsföretaget på ett sätt som försämrar kvaliteten på den interna kvalitetskontrollen eller på Revisorsinspektionens möjligheter att övervaka att revisionsföretaget fullgör sina skyldigheter,

  6. upprätta effektiva rutiner för att förebygga, upptäcka, undanröja eller hantera och rapportera eventuella hot mot revisionsföretagets oberoende,

  7. fastställa riktlinjer och upprätta rutiner för att utföra lagstadgad kvalificerad revision inklusive att styra, övervaka och utvärdera medarbetarnas arbete samt för att sammanställa revisionsdokumentation,

  8. inrätta ett kvalitetsstyrningssystem som säkerställer god kvalitet i uppdragen och att beslut och rutiner följs på samtliga nivåer i revisionsföretaget,

  9. använda lämpliga system, resurser och rutiner för att säkerställa kontinuitet och regelbundenhet i utförandet av uppdrag,

  10. upprätta rutiner för att hantera och dokumentera händelser som har, eller kan få, allvarliga konsekvenser för revisionsuppdragen,

  11. fastställa riktlinjer för ersättningar (inklusive vinstdelning) med relevanta resultatincitament för att säkerställa revisionskvaliteten, och

  12. övervaka och utvärdera lämpligheten och effektiviteten i sina riktlinjer, system och övriga rutiner samt vidta lämpliga åtgärder för att motverka eventuella brister.

Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet, 21 §.

9.3Arvode från en revisionskund som avser annan verksamhet än lagstadgad kvalificerad revision får enligt reglerna i RIFS inte ligga till grund för ersättningen till personer som medverkar i eller kan påverka revisionen och inte heller utgöra en del av bedömningen av dessa personers arbetsprestationer.

9.4Kvalitetsmålen i detta avsnitt är av naturliga skäl inte tillämpliga för ett enmansföretag.

10 Relevanta yrkesetiska krav

10.1Kvalitetsmålen ska behandla revisionsföretagets åtaganden enligt relevanta yrkesetiska krav, inklusive krav relaterade till oberoende. Revisionsföretaget ska upprätta följande kvalitetsmål som hanterar relevanta yrkesetiska krav (p. 29):

  • Kvalitetsmål: Revisionsföretaget och dess medarbetare förstår relevanta yrkesetiska krav och tar sitt ansvar för att tillämpa dem (p. 29).

  • Kvalitetsmål: Övriga, inklusive eventuella nätverk, nätverksföretag eller externa tjänsteleverantörer som är föremål för relevanta yrkesetiska krav som gäller revisionsföretaget förstår relevanta yrkesetiska krav som gäller dem och tar sitt ansvar för att tillämpa dem (p. 29 b).

10.2Revisionsföretaget behöver känna till vilka yrkesetiska krav som är relevanta för revisionsföretaget, till exempel hur det faktum att revisionsföretaget ingår i ett nätverk påverkar revisionsföretagets oberoendekrav.

10.3IESBAs Etikkod4 anger de grundläggande etiska principerna som FARs medlemmar förväntas följa samt de internationella oberoendestandarderna. De grundläggande principerna är

  • integritet,

  • objektivitet,

  • professionell kompetens och vederbörlig omsorg,

  • tystnadsplikt, och

  • professionellt uppträdande.

IESBAs Etikkod, 110.1, A1.

10.4För krav på motåtgärder gällande kvalitetsrisker hänförliga till relevanta yrkesetiska krav, se punkterna 15.3–15.9.

11 Acceptera och behålla kundrelationer och specifika uppdrag

11.1Revisionsföretaget ska upprätta följande kvalitetsmål gällande att acceptera och behålla kundrelationer och specifika uppdrag (inklusive översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster):

Kvalitetsmål: Revisionsföretagets bedömningar om att acceptera eller behålla en kundrelation eller ett specifikt uppdrag är baserade på (p. 30 a)

  • information om uppdragets egenskaper och omständigheter samt om kundens integritet och yrkesetiska värderingar, som är tillräcklig för att stödja sådana bedömningar (p. 30 a i). Informationen bör inkludera

    • den bransch som uppdraget utförs inom samt eventuella tillämpliga lagar, regler och relevanta yrkesetiska krav,

    • företagets egenskaper, till exempel typ av verksamhet, organisationsstruktur, ägarskap, styrning, affärsmodell och finansiering,

    • uppdragets egenskaper (p. A67), och

    • betydelsefulla frågor som uppstått under det aktuella uppdraget eller under tidigare uppdrag och deras följdverkningar för den fortsatta relationen5.

  • revisionsföretagets förmåga, inklusive tillräckligt med tid och resurseratt utföra uppdrag enligt standarder för yrkesutövningen och tillämpliga lagar och regler (p. 30 a ii).

Kvalitetsmål: Revisionsföretagets finansiella och operativa prioriteringar leder inte till olämpliga bedömningar om att acceptera eller fortsätta en kundrelation eller ett uppdrag (p. 30 b). Det kan till exempel finnas omständigheter när revisionsföretaget är nöjt med arvodet för ett uppdrag men det är inte lämpligt för revisionsföretaget att acceptera eller fortsätta uppdraget eller kundrelationen (p. A73). Revisionsföretaget kan också bedöma att arvodet för ett uppdrag inte är tillräckligt med tanke på uppdragets karaktär, vilket kan försämra företagets förmåga att utföra uppdraget enligt standarder för yrkesutövningen och tillämpliga lagar och regler (p. A74).

ISA 220 (omarbetad) Kvalitetskontroll för revision av finansiella rapporter, p. A50, p. 5.

11.2När revisionsföretaget analyserar kundens integritet och yrkesetiska värderingar bör följande beaktas:

  • Komplexiteten i kundens ägar- och ledningsstruktur samt eventuell verklig huvudman6.

  • Vilken typ av verksamhet som kunden bedriver och dess affärsmetoder.

  • Om kunden har en aggressiv tolkning av redovisningsprinciper, standarder och behov av intern kontroll.

  • Om kunden är överdrivet intresserad av att hålla revisionsföretagets arvoden så låga som möjligt.

  • Indikationer på att en kund är involverad i penningtvätt eller annan kriminell verksamhet.

  • Skälen till att inte välja om det föregående revisionsföretaget.

  • Kundens närstående parters identitet och rykte (p. A68).

  • Om kunden försöker begränsa revisionens omfattning, till exempel om kunden inte förväntas ge revisionsföretaget tillgång till all information och alla personer som behövs för att utföra revisionen.

Lag (2017:631) om registrering av verkliga huvudmän.

11.3Revisionsföretaget bör söka brett efter den information som behövs för att kunna dra en slutsats om punkterna ovan och använda sig av till exempel webbtjänster som innehåller företagsinformation, kreditupplysningar och sökningar på internet. Det är viktigt att revisionsföretaget gör detta arbete grundligt för att bespara sig eventuella problem i framtiden, vare sig revisionsföretaget väljer att acceptera kunden eller inte.

11.4Information som erhålls genom revisionsföretagets process för att acceptera och behålla kundrelationer och specifika uppdrag kan ofta vara relevant vid planering och utförande av uppdraget och ska beaktas av den uppdragsansvarige enligt ISA 2207 (p. A70). Uppdragsansvarig ska även beakta informationen vid planering och utförande av uppdraget samt vid byte av revisor kommunicera med den föregående revisorn.

ISA 220 (omarbetad), p. 23.

11.5Bedömning om att behålla kundrelationen eller det specifika uppdraget ska göras minst årligen.

11.6För krav på motåtgärder gällande information som kommer till revisionsföretagets kännedom efter att revisionsföretaget accepterat eller behållit en kundrelation eller ett specifikt uppdrag, se punkterna 15.13–15.15.

Oberoendeanalys i samband med processen för att acceptera och behålla kundrelationer och specifika uppdrag

11.7Revisionsföretaget måste alltid genomföra en oberoendeanalys i samband med processen för att acceptera och behålla en kundrelation eller ett specifikt uppdrag. Relevanta yrkesetiska krav inklusive oberoendefrågor behandlas separat i avsnitt 10 och punkterna 15.3–15.9.

Kundkännedom och åtgärder mot penningtvätt och finansiering av terrorism

11.8I samband med revisionsföretagets process för att acceptera och behålla kundrelationer och specifika uppdrag ska revisionsföretaget skaffa tillräcklig kännedom om kunden och kunna hantera risken för penningtvätt och finansiering av terrorism. En affärsförbindelse får inte etableras om det finns misstanke om att revisionsföretagets tjänster kan komma att användas för penningtvätt eller finansiering av terrorism och misstänkta aktiviteter och transaktioner ska rapporteras till Finanspolisen.8

EtikU 11 Medlemmarnas tillämpning av lagen om åtgärder mot penningtvätt och finansiering av terrorism, p. 5.1–5.2.

11.9Revisionsföretaget är skyldigt att upprätta följande:

  • En dokumenterad riskbedömning av hur revisionsföretaget skulle kunna utnyttjas för penningtvätt eller finansiering av terrorism.

  • Dokumenterade riktlinjer och rutiner avseende de åtgärder som revisionsföretaget är skyldigt att vidta enligt penningtvättslagen (kundkännedom, övervakning och rapportering samt behandling av personuppgifter).

  • Rutiner för att säkerställa lämpligheten hos medarbetare som utför arbetsuppgifter av betydelse för att förhindra att verksamheten används för penningtvätt eller finansiering av terrorism.

  • Rutiner för utbildning och skydd för medarbetarna.9

EtikU 11, p. 3.1.

11.10I övrigt ska revisionsföretaget beakta de åtgärder och skyldigheter som framgår av penningtvättslagen och EtikU 11 avseende att uppnå kundkännedom och hantera risken för penningtvätt och finansiering av terrorism.

12 Uppdragets utförande

12.1Revisionsföretaget ska upprätta nedanstående kvalitetsmål avseende de uppdrag som utförs.

Uppdragsteamets ansvar, vägledning, övervakning och genomgång av utfört arbete

12.2Kvalitetsmål:

  • Uppdragsteamet förstår och uppfyller sina åtaganden inklusive det övergripande ansvaret för den uppdragsansvarige att hantera och uppnå kvalitet i uppdraget samt vara tillräckligt involverad i uppdraget (p. 31 a).

  • Vägledning och övervakning av uppdragteamet ska anpassas avseende tillvägagångssätt, tidpunkt och omfattning på ett sätt som är lämpligt för uppdraget. Arbetet som mindre erfarna medarbetare utför sker under vägledning, övervakning och genomgång av mer erfarna teammedlemmar (p. 31 b).

12.3Det är avgörande för konsekvent god kvalitet i uppdragen att samtliga i uppdragsteamet förstår vad de ska göra och sedan faktiskt utför de uppgifter som de tilldelats på rätt sätt. Uppdragsansvarig är ansvarig för att det sker och måste vara tillräckligt engagerad i uppdraget för att kunna säkerställa detta.

Exempel på vägledning, övervakning och genomgång av utfört arbete:

Vägledning och övervakning av teammedlemmar kan innebära att

  • bedöma och besluta om granskningens omfattning och inriktning,

  • följa upp hur uppdraget fortlöper,

  • beakta om teammedlemmarna förstår sina instruktioner,

  • beakta huruvida arbetet utförs som planerat,

  • hantera frågor som uppstår under arbetet och justera tillvägagångssättet vid behov,

  • identifiera frågor för konsultation med mer erfarna teammedlemmar (p. A76), och

  • beakta om teammedlemmarna utövar professionell skepticism.

En genomgång av utfört arbete inkluderar att överväga om

  • arbetet har utförts enligt interna riktlinjer och rutiner och tillämpliga lagar, regler och standarder för yrkesutövning,

  • väsentliga frågor har lyfts och förts vidare för övervägande,

  • lämpliga konsultationer har genomförts och slutsatser därav har dokumenterats och beaktats,

  • det finns ett behov av att revidera det planerade arbetets egenskaper, tidpunkt och omfattning,

  • det utförda arbetet stödjer slutsatserna och är lämpligt dokumenterat,

  • de bevis som erhållits för ett bestyrkandeuppdrag är tillräckliga och lämpliga för att stödja uppdragsrapporten, och

  • målen för uppdraget har uppnåtts (p. A76).

12.4Även ISA 22010 innehåller bestämmelser om den uppdragsansvariges övergripande ansvar för att hantera kvalitet i uppdraget och att vara tillräckligt involverad i uppdraget (p. A75).

ISA 220 (omarbetad), p. 13.

12.5Under vissa omständigheter kan revisionsföretaget inkludera medarbetare från ett internt servicecenter (om sådant finns), eller medarbetare från ett servicecenter inom ett annat nätverksföretag, i uppdragsteamet. I det fallet måste revisionsföretagets riktlinjer och rutiner även inkludera vägledning och övervakning av servicecentrets medarbetare och genomgång av utfört arbete, samt

  • vilka områden av uppdraget som kan tilldelas medarbetare inom servicecentret,

  • hur uppdragsansvarig eller teammedlemmar förväntas vägleda, övervaka och granska det arbete som utförs av medarbetare inom servicecentret, och

  • hur formerna för kommunikation mellan uppdragsteamet och medarbetare inom servicecentret ska se ut (p. A77).

12.6Kvalitetsmålen i detta avsnitt är av naturliga skäl inte tillämpliga för ett enmansföretag.

Professionellt omdöme och professionell skepticism

12.7Kvalitetsmål: Uppdragsteamet utövar ett lämpligt professionellt omdöme och professionell skepticism (p. 31 c).

12.8ISA 22011 ger exempel på hinder för utövandet av professionell skepticism på uppdragsnivå, exempel på bristande objektivitet som kan hindra utövandet av professionell skepticism och möjliga motåtgärder som uppdragsteamet kan vidta (p. A78).

ISA 220 (omarbetad), p. A34–A36.

Konsultation

12.9Kvalitetsmål: Uppdragsteamet ska konsultera lämpliga personer avseende komplicerade eller tvistiga frågor och ta hänsyn till slutsatserna i uppdraget (p. 31 d).

12.10En miljö som förstärker vikten av konsultation och uppmuntrar uppdragsteamen till konsultation med lämpliga personer kan främja en kvalitetskultur inom revisionsföretaget (p. A79). Revisionsföretaget bör besluta om vilken typ av frågor som ska vara föremål för konsultation samt på vilket sätt slutsatser ska beaktas eller beslutas om (p. A80). ISA 22012 innehåller krav på den uppdragsansvarige när det gäller konsultation (p. A81). Det är dock lika viktigt att den som förser uppdragsteamet med råd följer upp att dessa beaktas som det är för uppdragsteamet att säkerställa att uppdragsteamet vid behov konsulterar lämpliga personer och dokumenterar detta i uppdragsdokumentationen.

ISA 220 (omarbetad), p. 35.

12.11Ett enmansföretags kvalitetsmål avseende konsultation måste avse revisorns konsultation med någon utanför revisionsföretaget. Revisorn kan till exempel nyttja rådgivningstjänster som erbjuds av externa tjänsteleverantörer, nätverk, andra nätverksföretag, branschorganisationer eller andra branschkollegor. Vem som konsulteras i det enskilda ärendet varierar efter frågans karaktär.

Meningsskiljaktigheter

12.12Kvalitetsmål: Meningsskiljaktigheter inom uppdragsteamet eller mellan uppdragsteam och kvalitetsgranskare i samband med uppdragets utförande eller mellan personer som utför aktiviteter inom kvalitetsstyrningssystemet ska lyftas och hanteras (p. 31 e).

12.13Revisionsföretaget bör uppmuntra att meningsskiljaktigheter identifieras i ett tidigt skede. Revisionsföretaget kan specificera hur meningsskiljaktigheter hanteras och hur relaterade slutsatser ska dokumenteras i årsakten (p. A82).

Uppdragsdokumentation

12.14Kvalitetsmål: Uppdragsdokumentation ska slutföras i rätt tid efter rapportens upprättande och den ska förvaras på ett lämpligt sätt för revisionsföretagets behov och enligt standarder för yrkesutövningen och tillämpliga lagar, regler och relevanta yrkesetiska krav (p. 31 f).

12.15Vid granskning av finansiella rapporter eller andra bestyrkandeuppdrag som utförs enligt ISA eller ISAE ska sammanställning av all nödvändig uppdragsdokumentation som krävs för att skriva under uppdragsrapporten ske senast vid tidpunkten då uppdragsrapporten skrivs under. Viss sammanställning av administrativ karaktär kan tillåtas senast 60 dagar efter avlämnandet av uppdragsrapporten (p. A83). Arkivering av uppdragsdokumentation ska ske på ett säkert sätt så att den inte kan bli förstörd eller nås av obehöriga, samtidigt som dokumentationen ska vara lättillgänglig. Lagringstiden för granskningsdokumentation är enligt RIFS 2018:213 tio år från utgången av det kalenderår då granskningen avslutades.

Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet, 12 §.

13 Resurser

13.1Kvalitetsmål: Revisionsföretaget ska fastställa nedanstående kvalitetsmål för att på ett lämpligt sätt erhålla, utveckla, använda, underhålla, fördela och tilldela resurser i rätt tid för att främja utformningen, införandet och användningen av kvalitetsstyrningssystemet (p. 32).

13.2Resurser kan vara interna eller erhållas från en extern tjänsteleverantör eller från revisionsföretagets nätverk. Resurser kan användas för att utföra aktiviteter inom revisionsföretagets kvalitetsstyrningssystem eller vid utförande av uppdrag (p. A87).

Medarbetare

13.3Kvalitetsmål: Medarbetare anställs, utvecklas och behålls och har kompetens och möjlighet att

  • konsekvent utföra uppdrag med god kvalitet, inklusive ha kunskap och erfarenhet som är relevant för uppdragen som revisionsföretaget utför, och

  • utföra aktiviteter eller fullgöra åtaganden relaterat till användningen av kvalitetsstyrningssystemet (p. 32 a).

13.4Revisionsföretaget bör fastställa riktlinjer och rutiner som behandlar hur revisionsföretaget anställer, utvecklar och behåller medarbetare och har kompetens, möjlighet, kunskap och erfarenhet att utföra uppdrag och aktiviteter inom kvalitetsstyrningssystemet. Riktlinjerna bör innehålla regler om hur uppdragsansvariga och medarbetare ska fördelas till olika uppdrag och aktiviteter inom kvalitetsstyrningssystemet, inklusive att det ska säkerställas att de har tillräckligt med tid att konsekvent utföra uppdragen med god kvalitet. Riktlinjerna bör även innehålla regler om att revisionsföretaget ska utvärdera medarbetarnas prestation och engagemang för kvalitet. Det bör även framgå att denna utvärdering har påverkan på ersättningar och andra incitament och kan även resultera i konsekvenser (vidareutbildning, negativ påverkan på eventuell bonus eller befordran, avsked etc.) om medarbetaren agerar på ett sätt som får negativ inverkan på kvaliteten inom revisionsföretaget.

Exempel på motåtgärder avseende anställning, utveckling och behållande av medarbetare:

  • Revisionsföretaget rekryterar personer som har, eller kan utveckla, lämplig kompetens.

  • Revisionsföretagets utbildningar för medarbetarna fokuserar på kompetensutveckling och professionell utveckling.

  • Revisionsföretaget utvärderar medarbetarna årligen avseende kompetens och andra prestationer.

  • Revisionsföretaget har ett system för ersättning, befordran och andra incitament för sina medarbetare (p. A90).

13.5Ett enmansföretags kvalitetsmål inom detta avsnitt är av naturliga skäl begränsade till revisorns utveckling och kompetens och att revisorn konsekvent utför uppdrag med god kvalitet och utför aktiviteter och fullgör sina åtaganden enligt revisionsföretagets kvalitetsstyrningssystem. Motåtgärder för ett enmansföretag bör innefatta:

  • Att revisorn löpande bedömer och dokumenterar sitt kunskaps- och kompetensbehov.

  • Att revisorn genomför och dokumenterar relevanta vidareutbildningar och kompetenshöjande aktiviteter för att säkerställa att kunskaps- och kompetensbehovet tillgodoses.

13.6Det finns även andra regler utöver ISQM 1 som ställer krav på kompetens och kapacitet, till exempel krav för auktorisation och professionell licensiering av revisorer, inklusive krav avseende deras yrkesutbildning och fortsatta yrkesutveckling (p. A89), såsom som FARs regler för vidareutbildning14.

EtikR 4 Vidareutbildning.

Medarbetarnas ansvarstagande för kvalitet

13.7Kvalitetsmål: Medarbetarna tar ansvar för kvalitet genom sina handlingar och beteenden, genomgår kompetensutveckling för att utföra sina roller och hålls ansvariga eller belönade genom regelbundna utvärderingar, kompensation, befordringar och andra incitament (p. 32 b).

13.8Regelbundna utvärderingar och feedback hjälper till att stödja medarbetarnas kontinuerliga kompetensutveckling (p. A91). De åtgärder som revisionsföretaget vidtar i de fall medarbetare agerar eller beter sig på ett sätt som har en negativ påverkan på kvalitet (såsom att inte visa ansvar för kvalitet, inte utveckla och underhålla sin kompetens eller inte utföra revisionsföretagets motåtgärder så som de är utformade), bör anpassas till hur allvarligt och frekvent det som inträffat är. Åtgärder som revisionsföretaget kan vidta kan innefatta

  • utbildning eller annan kompetensutveckling,

  • påverkan på ersättning, befordran eller andra incitament, eller

  • disciplinära åtgärder, om det är lämpligt (p. A93).

13.9Även om ovanstående åtgärder kan vara effektiva så är grunden för en kvalitetsmedveten kultur inom revisionsföretaget en kvalitetsmedveten “tone at the top”. Det betyder att motivationen hos medarbetarna att ta ansvar för kvalitet förstärks om styrelsen och ledningen visar engagemang för kvalitetsfrågor genom sin kommunikation och sina handlingar och beteenden.

13.10I ett mindre revisionsföretag med få anställda kan mindre formella utvärderings- och återkopplingsmetoder användas (p. A91). Under vissa omständigheter kan även enkla eller informella incitament, som inte baseras på monetära belöningar, vara lämpliga (p. A92).

13.11Kvalitetsmålet enligt detta avsnitt är av naturliga skäl inte tillämpligt för ett enmansföretag gällande att hålla medarbetare ansvariga eller belönade genom regelbundna utvärderingar, kompensation, befordringar och andra incitament.

Personer som anlitas från extern part

13.12Kvalitetsmål: Externa resurser anlitas från revisionsföretagets externa tjänsteleverantörer eller från revisionsföretagets nätverk eller ett annat nätverksföretag, när revisionsföretaget inte har tillräckligt med eller lämpliga medarbetare för att möjliggöra användningen av kvalitetsstyrningssystemet eller utförande av uppdrag (p. 32 c).

13.13På grund av komplexiteten i många av de frågor revisionsföretaget möter i arbetet med sina kunder kan det vara en utmaning att säkerställa att den interna kompetensen och kapaciteten är tillräcklig för att hantera dessa frågor. Revisionsföretaget kan därmed behöva se över vilken tillgång som finns avseende experter inom olika komplexa områden, till exempel inom revisionsföretagets nätverk om tillämpligt. Komplexa områden som behöver särskild kompetens kan till exempel vara sådana som berör inkomstskatt, moms, värdering av tillgångar, avyttringar eller förvärv.

13.14ISA 22015 behandlar den uppdragsansvariges ansvar för att säkerställa att tillräckliga och lämpliga resurser för att utföra uppdraget är utsedda och tillgängliga i rätt tid och enligt revisionsföretagets riktlinjer och rutiner (p. A94).

ISA 220 (omarbetad), p. 25.

Tilldelning av uppdrag och aktiviteter inom kvalitetsstyrningssystemet

13.15Kvalitetsmål: Varje uppdrag tilldelas teammedlemmar, inklusive uppdragsansvarig, som har lämplig kompetens och kapacitet, inklusive tillräcklig tid, att konsekvent utföra uppdraget med god kvalitet (p. 32 d).

13.16Kvalitetsmål: Aktiviteter inom kvalitetsstyrningssystemet tilldelas personer med lämplig kompetens, kapacitet och tid för att utföra sådana aktiviteter (p. 32 e).

13.17ISA 22016 behandlar den uppdragsansvariges ansvar att säkerställa att teammedlemmar och eventuella externa experter och internrevisorer har rätt kompetens och kapacitet (inklusive tillräcklig tid) för att utföra uppdraget. Motåtgärder för att motverka risken för bristande kompetens och kapacitet bland teammedlemmarna kan innefatta riktlinjer eller rutiner som behandlar

  • vilken information som ska inhämtas av uppdragsansvarig och faktorer som ska övervägas för att säkerställa att teammedlemmarna, inklusive de som erhålls från extern tjänsteleverantör, revisionsföretagets nätverk eller annat nätverksföretag, har kompetens och kapacitet att utföra uppdraget, och

  • hur frågor avseende teammedlemmarnas kompetens och kapacitet, i synnerhet teammedlemmar som erhålls från en extern tjänsteleverantör, revisionsföretagets nätverk eller annat nätverksföretag, ska hanteras (p. A96).

ISA 220 (omarbetad), p. 26.

13.18Kvalitetsmålen i detta avsnitt är av naturliga skäl inte tillämpliga för ett enmansföretag.

Tekniska resurser

13.19Kvalitetsmål: Lämpliga tekniska resurser anskaffas eller utvecklas, införs, underhålls och används för att möjliggöra användningen av kvalitetsstyrningssystemet och utförande av uppdrag (p. 32 f).

13.20En teknisk resurs (oftast it-applikationer) kan tjäna flera syften inom revisionsföretaget och vissa av syftena kanske inte är relaterade till kvalitetsstyrningssystemet. Tekniska resurser som är relevanta för kvalitetsstyrningssystemet är sådana som

  • används direkt vid utformning, införande, användning eller uppföljning av kvalitetsstyrningssystemet,

  • används av uppdragsteam vid utförande av uppdrag, och

  • är väsentliga för att möjliggöra för revisionsföretaget att effektivt upprätthålla ovanstående, såsom servrar, molntjänster och it-processer som stöder it-applikationer (p. A99).

13.21Revisionsföretaget kan överväga följande frågor när det gäller att anskaffa, utveckla, införa, underhålla och använda en it-applikation:

  • Är datainmatningar fullständiga och korrekta?

  • Upprätthålls sekretess för uppgifterna/är informationen skyddad mot intrång?

  • Uppdateras it-applikationen så som den bör?

  • Finns det en back-up om fel i it-applikationens funktion uppstår?

  • Är informationen från it-applikationen korrekt?

  • Är it-kontrollerna som är nödvändiga för att stödja it-applikationens fortsatta drift lämpligt utformade?

  • Görs ändringar på ett tillförlitligt sätt?

  • Finns det behov av utbildning av medarbetare för att effektivt använda it-applikationen?

  • Finns det behov av rutiner/instruktioner som beskriver hur it-applikationen fungerar? (p. A100)

13.22Ett mindre revisionsföretags tekniska resurser kan bestå av en it-applikation som har anskaffats från en extern tjänsteleverantör. it-processerna som stödjer driften av en sådan it-applikation kan också vara relevanta för att upprätthålla kvalitetsstyrningssystemets syfte, även om de kan vara enkla, till exempel processer för att uppdatera och auktorisera åtkomst till it-applikationen (p. A99).

Intellektuella resurser

13.23Kvalitetsmål: Lämpliga intellektuella resurser anskaffas eller utvecklas, införs, underhålls och används för att möjliggöra användningen av kvalitetsstyrningssystemet och utförande av uppdrag och intellektuella resurser överensstämmer med standarder för yrkesutövningen och tillämpliga lagar och regler (p. 32 g).

13.24Intellektuella resurser kan till exempel vara skriftliga riktlinjer eller rutiner, en metodik, bransch- eller ämnesspecifika guider, bokföringsguider, dokumentationsmallar eller informationskällor, till exempel prenumerationer på webbplatser som ger information om företag (p. A102).

13.25Revisionsföretaget behöver säkerställa att de informationskällor som används av medarbetarna är tillräckliga och hålls uppdaterade och moderna. Lika viktigt är det att säkerställa att medarbetarna känner till vilka informationskällor som finns och inte använder gamla informationskällor i brist på vetskap om de nya.

13.26Förutom de informationskällor som nämns ovan kan vissa medarbetare besitta mycket kunskap om vissa frågor. För att inte all denna kunskap ska gå förlorad om medarbetaren slutar på revisionsföretaget behöver det finnas en rutin för att i god tid föra över kunskapen till en annan person inom revisionsföretaget.

Externa tjänsteleverantörer

13.27Kvalitetsmål: Medarbetare, tekniska resurser eller intellektuella resurser från en extern tjänsteleverantör är lämpliga för kvalitetsstyrningssystemet och för utförande av uppdrag, med hänsyn till relaterade kvalitetsmål (p. 32 h).

13.28Revisionsföretaget är ansvarigt för sitt kvalitetsstyrningssystem även om det använder resurser från en extern tjänsteleverantör och måste därför se till att de är lämpliga för att använda inom kvalitetsstyrningssystemet.

Exempel på resurser som kan tillhandahållas från en extern tjänsteleverantör är:

  • Underkonsulter som anlitas för att delta i uppdrag.

  • Personer som anlitas för att utföra uppdragsanknuten kvalitetskontroll av uppdrag eller som rådgivare i olika frågor.

  • En it-applikation som används för att utföra uppdrag.

  • Revisorer utanför revisionsföretagets nätverk eller personer som anlitas för att fysiskt närvara vid en inventering hos en kund på en annan geografisk plats.

  • En extern expert som används av revisionsföretaget inom ett revisionsuppdrag för att samla in revisionsbevis. (p. A105)

  • En revisor som utför revision av en enhet inom en koncernrevision som utförs av revisionsföretaget (p. A28).

13.29Revisionsföretaget behöver överväga hur och i vilken utsträckning externa resurser kommer att användas samt den externa tjänsteleverantörens egenskaper och omständigheter för att identifiera och bedöma kvalitetsrisker relaterade till sådana resurser (p. A106). Beslut om att använda externa resurser bör godkännas av företagsledaren, ledningen eller annan behörig person.

13.30Vid bedömning av om en extern resurs är lämplig för användning i kvalitetsstyrningssystemet eller för att utföra revisionsuppdrag kan revisionsföretaget till exempel behöva överväga

  • hur ofta en it-applikation uppdateras, vilka begränsningar den har och hur leverantören hanterar informationssäkerhet,

  • i vilken utsträckning en resurs används inom revisionsföretaget, hur resursen kommer att användas och om den är lämplig för ändamålet,

  • om resursen behöver anpassas och i så fall i vilken omfattning,

  • revisionsföretagets tidigare användning av resurser från den externa tjänsteleverantören, och

  • den externa tjänsteleverantörens erfarenhet inom branschen och rykte på marknaden (p. A107).

13.31Revisionsföretaget kan ha ett ansvar att vidta ytterligare åtgärder för att använda resursen från en extern tjänsteleverantör så att resursen fungerar effektivt. Revisionsföretaget kan till exempel behöva ge information till den externa tjänsteleverantören för att resursen ska fungera effektivt eller ha it-infrastruktur och it-processer på plats för att en it-applikation ska kunna användas (p. A108).

14 Information och kommunikation

14.1Kvalitetsmål: Revisionsföretaget ska fastställa kvalitetsmålen i detta avsnitt avseende hur revisionsföretaget anskaffar, genererar eller använder information om kvalitetsstyrningssystemet och kommunicerar information inom revisionsföretaget och till externa parter i rätt tid för att främja utformningen, införandet och användningen av kvalitetsstyrningssystemet (p. 33).

14.2Komponenten Information och kommunikation involverar alla medarbetare och omfattar spridning av information internt och externt och det handlar om en ständigt pågående process som är integrerad i alla komponenter i kvalitetsstyrningssystemet (p. A109).

Revisionsföretagets informationssystem

14.3Kvalitetsmål: Informationssystemet identifierar, inhämtar, bearbetar och underhåller relevant och pålitlig information som stödjer kvalitetsstyrningssystemet, oavsett om informationen kommer från en intern eller extern källa (p. 33 a).

14.4Hantering av information kan i vissa fall vara inbäddad i andra komponenter inom kvalitetsstyrningssystemet och är ofta integrerad med it-applikationer. Revisionsföretaget ska ha riktlinjer och rutiner som behandlar hur information ska kommuniceras inom revisionsföretaget och till och från externa parter samt vems ansvar det är att kommunikationen sker.

14.5Ett mindre revisionsföretag med få anställda och direkt involverade ledare behöver normalt mindre strikta riktlinjer och rutiner som anger hur information ska identifieras, inhämtas, bearbetas och underhållas (p. A111).

Kommunikation inom revisionsföretaget

14.6Kvalitetsmål: Revisionsföretagets kultur erkänner och förstärker medarbetarnas ansvar att utbyta information med revisionsföretaget och med varandra (p. 33 b).

14.7Ledningen i revisionsföretaget måste säkerställa att dess signaler (“tone at the top”) till medarbetarna erkänner och förstärker medarbetarnas ansvar att utbyta information. Medarbetarna behöver även ges tid till att producera och kommunicera information och kunna lita på att den information som de kommunicerar hanteras på ett varsamt sätt.

14.8Kvalitetsmål: Relevant och pålitlig information utbyts inom hela revisionsföretaget och med uppdragsteam vilket innebär att

  • lämplig och tillräcklig information kommuniceras till medarbetarna i god tid, så att medarbetarna kan förstå och utföra sina åtaganden i uppdrag eller inom kvalitetsstyrningssystemet, och

  • medarbetare och uppdragsteam kommunicerar information till revisionsföretaget när de utför aktiviteter inom kvalitetsstyrningssystemet eller uppdrag (p. 33 c).

14.9Revisionsföretaget kan underlätta och förstärka medarbetarnas ansvar för att utbyta information med ledningen och med varandra genom att upprätta kommunikationskanaler.

Exempel på kommunikation mellan ledning, medarbetare och uppdragsteam:

  • Ledningen kommunicerar ansvaret för att genomföra motåtgärder till medarbetarna.

  • Ledningen kommunicerar förändringar av kvalitetsstyrningssystemet till medarbetarna, i den mån förändringarna är relevanta för deras ansvar.

  • Ledningen kommunicerar information som erhålls från processen för att acceptera och behålla kundrelationer och specifika uppdrag som är relevant för uppdragsteam vid planering och utförande av uppdrag.

  • Uppdragsteam kommunicerar information till ledningen om

    • en kund som erhålls under utförandet av ett uppdrag som skulle kunna ha orsakat att revisionsföretaget avböjt kundrelationen eller det specifika uppdraget om informationen varit känd innan revisionsföretaget accepterade eller behöll kundrelationen eller det specifika uppdraget, och

    • utförandet av motåtgärder (till exempel oro över revisionsföretagets process för att tilldela medarbetare uppdrag), som i vissa fall kan indikera en brist inom kvalitetsstyrningssystemet.

  • Uppdragsteam kommunicerar information till den särskilda kvalitetsgranskaren eller till en person som tillhandahåller konsultation.

  • Koncernrevisionsteam kommunicerar information till enhetsrevisorer enligt företagets riktlinjer eller rutiner.

  • Den som tilldelats ansvar för efterlevnad av oberoendekrav kommunicerar förändringar i oberoendekraven och företagets riktlinjer och rutiner för att hantera sådana förändringar till berörda medarbetare (p. A112).

14.10Kvalitetsmålen i detta avsnitt är av naturliga skäl inte tillämpliga för ett enmansföretag.

Kommunikation med och inom revisionsföretagets nätverk och till externa tjänsteleverantörer

14.11Kvalitetsmål: Relevant och pålitlig information kommuniceras till, eller inom, revisionsföretagets nätverk eller till en extern tjänsteleverantör för att underlätta för dem att fullgöra sina åtaganden relaterat till de tjänster de erbjuder (p. 33 d i).

14.12Förutom den kommunikation som sker till eller inom revisionsföretagets nätverk eller till en extern tjänsteleverantör för att underlätta för dem att fullgöra sina åtaganden, kan revisionsföretaget behöva få information från en extern tjänsteleverantör, revisionsföretagets nätverk eller ett annat nätverksföretag för att stödja kvalitetsstyrningssystemet. Ett exempel på viktig information som revisionsföretaget kan behöva inhämta är information om andra nätverksföretags kunder, i fall där det finns överväganden kring oberoende som påverkar revisionsföretaget (p. A113). Sådan information ska beaktas i processen för att acceptera och behålla kundrelationer och uppdrag, inklusive analysmodellen17. Informationen behöver innehålla uppgifter om vem som utför kundföretagets redovisning (inkluderat grundbokföring, huvudbokföring, årsbokslut och årsredovisning) och annan rådgivning som inte är revisionsverksamhet.

21 § revisorslagen (2001:883).

14.13På motsvarande sätt behöver revisionsföretaget i samband med redovisningsuppdrag och andra rådgivningsuppdrag få information om vem som är revisor i kundföretaget. För att underlätta ett sådant informationsutbyte bör det finnas ett centralt register över de revisions- och redovisningsföretag som ingår i nätverket, som är tillgängligt för alla medarbetare som omfattas av oberoendereglerna.

Kommunikation med övriga externa parter

14.14Kvalitetsmål: Information ska kommuniceras externt när det krävs enligt standarder för yrkesutövningen och tillämpliga lagar och regler eller för att främja externa parters förståelse för revisionsföretagets kvalitetsstyrningssystem (p. 33 d ii).

Exempel på när standarder för yrkesutövningen, lagar och regler kan kräva att revisionsföretaget kommunicerar information till externa parter:

  • När revisorn misstänker brott inklusive penningtvätt enligt penningtvättslagen och RevR 1418.

  • När revisorn upptäcker att ett värdepappersinstitut saknar vissa lämpliga åtgärder och rutiner enligt FFFS 2017:219.

  • När ett revisionsföretag som utför lagstadgad revision av företag av allmänt intresse ska publicera en transparensrapport enligt artikel 13 i EUs revisorsförordning.

  • När lagar och regler för aktiemarknaden kräver det (p. A114).

  • När kommunikation till styrelsen ska ske enligt ISA 26020 eller ISA 26521.

RevR 14 Revisorns åtgärder vid misstanke om brott respektive penningtvätt, p. 7.1.

Finansinspektionens föreskrifter (FFFS 2017:2) om värdepappersrörelse, 23 §.

ISA 260 (omarbetad) Kommunikation med dem som har ansvar för företagets styrning.

ISA 265 Kommunikation om brister i den interna kontrollen till dem som har ansvar för företagets styrning och företagsledningen.

14.15I vissa fall kan lagar eller regler förbjuda revisionsföretaget från att kommunicera information relaterad till dess kvalitetsstyrningssystem externt, till exempel på grund av tystnadsplikt, regler avseende informationssäkerhet (GDPR)22 eller regler om marknadsmissbruk (MAR)23 (p. A115).

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).

Europaparlamentets och rådets förordning (EU) nr 596/2014 av den 16 april 2014 om marknadsmissbruk (marknadsmissbruksförordning) och om upphävande av Europaparlamentets och rådets direktiv 2003/6/EG och kommissionens direktiv 2003/124/EG, 2003/125/EG och 2004/72/EG.

15 Motåtgärder

15.1Revisionsföretagets motåtgärder för att uppnå kvalitetsmålen ska inkludera motåtgärderna i detta avsnitt (p. 34).

15.2Motåtgärderna kan hantera flera kvalitetsrisker relaterade till flera kvalitetsmål inom kvalitetsstyrningssystemet. Riktlinjer eller rutiner för klagomål och påståenden kan till exempel hantera kvalitetsrisker relaterade till medarbetarnas ansvar för kvalitet, relevanta yrkesetiska krav och styrning och ledarskap. Motåtgärderna är inte i sig själva tillräckliga för att uppnå målen för kvalitetsstyrningssystemet (p. A116).

Relevanta yrkesetiska krav

15.3Revisionsföretaget ska fastställa riktlinjer för att identifiera, utvärdera och hantera hot mot efterlevnad av relevanta yrkesetiska krav inklusive oberoendekrav (p. 34 a i).

15.4IESBAs Etikkod innehåller ett konceptuellt ramverk för identifiering och utvärdering av hot mot efterlevnad av relevanta yrkesetiska krav (p. A117). Enligt IESBAs Etikkod tillhör hot mot revisionsföretagets oberoende någon av följande kategorier24:

  • Egenintressehot: Hot om att ett ekonomiskt eller annat intresse på ett felaktigt sätt kommer att påverka en medlems bedömning eller beteende.

  • Självgranskningshot: Hot om att en medlem inte kommer att utvärdera ett tidigare ställningstagande eller utfört arbete som medlemmen själv har utfört eller som en kollega inom samma revisionsföretag har utfört, på ett lämpligt sätt.

  • Partsställningshot: Hot om att en medlem kommer att främja en kunds eller arbetsgivarens intressen till den grad att medlemmens objektivitet äventyras.

  • Vänskapshot: Hot om att en medlem i alltför hög grad sympatiserar med en kunds eller arbetsgivares intressen eller är alltför accepterande avseende deras arbete, på grund av en lång eller nära relation med en kund eller arbetsgivare.

  • Skrämselhot: Hot om att en medlem kommer att avskräckas från att agera objektivt på grund av faktiska eller upplevda påtryckningar, inklusive försök att utöva otillbörligt inflytande över medlemmen.

IESBAs Etikkod, 120.6, A3.

15.5Revisionsföretaget ska fastställa riktlinjer eller rutiner för att identifiera, kommunicera, utvärdera och rapportera överträdelser av relevanta yrkesetiska krav och på lämpligt sätt åtgärda orsakerna till överträdelserna i rätt tid (p. 34 a ii).

15.6IESBAs Etikkod anger krav för revisionsföretaget i händelse att revisionsföretaget bryter mot Etikkoden. Den innehåller även specifika krav vid överträdelser av reglerna för oberoende, vilket inkluderar krav för kommunikation med oberoende parter (p. A118).

15.7Frågor som revisionsföretaget bör beakta i sina riktlinjer relaterat till överträdelser av relevanta yrkesetiska krav inkluderar

  • att meddela överträdelser av relevanta yrkesetiska krav till lämplig person inom revisionsföretaget,

  • att göra en bedömning av betydelsen av en överträdelse,

  • att definiera åtgärder som ska vidtas skyndsamt för att hantera konsekvenserna av en överträdelse,

  • att avgöra om en överträdelse ska rapporteras till externa parter, till exempel till styrelsen för det företag vilket överträdelsen gäller eller till en extern tillsynsmyndighet, och

  • att fastställa lämpliga åtgärder som ska vidtas i förhållande till den person som begått överträdelsen (p. A119).

15.8Revisionsföretaget ska minst årligen erhålla en dokumenterad oberoendebekräftelse från alla medarbetare som ska följa relevanta yrkesetiska krav (p. 34 b).

15.9Ett enmansföretags rutiner för att identifiera, utvärdera och hantera hot mot efterlevnad av relevanta yrkesetiska krav kan bestå i att:

  • Revisorn håller sig uppdaterad om relevanta yrkesetiska krav genom att årligen gå igenom IESBAs Etikkod, FARs etiska regler och revisorslagen avseende god revisorssed för att försäkra sig om att han/hon tar del av förändringar som skett sedan föregående år.

  • Revisorn utför och dokumenterar en kundutvärdering för alla uppdrag och en prövning enligt analysmodellen för att säkerställa sitt oberoende.

Klagomål och påståenden

15.10Revisionsföretaget ska fastställa riktlinjer för att ta emot, undersöka och hantera klagomål och påståenden om underlåtenhet att utföra arbete enligt standarder för yrkesutövningen och tillämpliga lagar och regler eller bristande efterlevnad av revisionsföretagets riktlinjer eller rutiner enligt ISQM 1 (p. 34 c).

15.11Klagomål och påståenden kan komma internt eller externt ifrån, till exempel från

  • medarbetare inom revisionsföretaget,

  • kunder, avseende exempelvis fakturafrågor, försenade arbeten på uppdrag och andra kvalitetsmässiga brister,

  • revisorer från enheter inom en koncern i samband med en koncernrevision, och

  • personer inom revisionsföretagets nätverk (p. A121).

15.12Ett enmansföretags kvalitetsmål avseende hantering av klagomål och påståenden är av naturliga skäl begränsade till klagomål och påståenden från externa parter, till exempel kunder. Vid klagomål som framförs mot revisionsföretaget kan revisionsföretaget behöva konsultera FAR, erfarna branschkollegor eller revisionsföretagets försäkringsbolag, beroende på vad klagomålet handlar om.

Information som kommer till kännedom efter att revisionsföretaget accepterat eller behållit en kundrelation eller specifikt uppdrag

15.13Revisionsföretaget ska fastställa riktlinjer som hanterar omständigheterna när revisionsföretaget blir medvetet om information efter att ha accepterat eller behållit en kundrelation eller ett specifikt uppdrag, som skulle ha fått revisionsföretaget att inte acceptera eller behålla kundrelationen eller ett specifikt uppdrag om informationen hade varit känd innan revisionsföretaget accepterade eller behöll kundrelationen eller det specifika uppdraget (p. 34 d i).

15.14Information som blir känd efter att revisionsföretaget har accepterat eller behållit en kundrelation eller revisionsuppdrag kan

  • ha funnits då revisionsföretaget beslutade att acceptera eller behålla kundrelationen eller det specifika uppdraget men revisionsföretaget kände inte till informationen, eller

  • vara information som har uppstått sedan revisionsföretaget beslutade att acceptera eller behålla kundrelationen eller det specifika uppdraget (p. A122).

15.15Om informationen är av sådan karaktär att revisionsföretaget väljer att lämna uppdraget ska revisionsföretaget beakta god revisorssed och risken att det kan skada kunden, vilket eventuellt kan leda till skadeståndsansvar.

Kommunikation med externa parter

15.16Revisionsföretaget ska fastställa riktlinjer eller rutiner som

  • kräver kommunikation med styrelsen hos revisionsföretagets kunder om hur kvalitetsstyrningssystemet främjar ett konsekvent utförande av revisionsuppdrag med god kvalitet, vid granskning av börsnoterade företags finansiella rapporter (p. 34 e i),

  • adresserar när det annars är lämpligt att kommunicera med externa parter om revisionsföretagets kvalitetsstyrningssystem (p. 34 e ii), och

  • adresserar den information som ska tillhandahållas vid extern kommunikation enligt ovanstående punkter inklusive kommunikationens innehåll, tidpunkt, omfattning och form (p. 34 e iii).

15.17Externa parter kan vara intresserade av information om revisionsföretagets kvalitetsstyrningssystem för att bilda sig en uppfattning om revisionsföretagets tillförlitlighet och vilken grad av kvalitet revisionsföretagets tjänster håller.

15.18Informationen om företagets kvalitetsstyrningssystem till externa parter kan innehålla en beskrivning av

  • revisionsföretagets karaktär, såsom organisationsstruktur, affärsmodell, strategi och den miljö som revisionsföretaget verkar i,

  • revisionsföretagets styrning och ledarskap, såsom kultur, kvalitetsengagemang samt roller och ansvarsfördelning relaterat till kvalitetsstyrningssystemet,

  • hur revisionsföretaget fullgör sina etiska åtaganden, inklusive de som är relaterade till oberoende,

  • faktorer som bidrar till konsekvent god kvalitet i uppdrag,

  • resultaten av revisionsföretagets övervakningsaktiviteter och externa granskningar, och hur revisionsföretaget har åtgärdat eller hanterat identifierade brister,

  • slutsatserna från den årliga utvärderingen av kvalitetsstyrningssystemet inklusive grunden för dessa slutsatser,

  • hur revisionsföretaget och dess kvalitetsstyrningssystem har anpassat sig till förändringar inom revisionsföretaget eller relaterat till kunder,

  • relationen mellan revisionsföretaget och nätverket samt beskrivning av nätverkets övergripande struktur, tjänster och krav,

  • ansvarsfördelningen inom revisionsföretaget och inom nätverket, och

  • det övergripande innehållet i och resultaten av de nätverksövergripande övervakningsaktiviteterna (p. A126).

Uppdrag som omfattas av krav på uppdragsanknuten kvalitetskontroll

15.19Enligt reglerna i ISQM 1 ska revisionsföretag utföra en uppdragsanknuten kvalitetskontroll under vissa förutsättningar som anges längre ned i detta avsnitt. Den uppdragsanknutna kvalitetskontrollen genomförs på uppdragsnivå av den särskilda kvalitetsgranskaren för uppdraget (ISQM 2, p. 3).

15.20Den särskilda kvalitetsgranskaren ska utföra en objektiv utvärdering av uppdragsteamets väsentliga bedömningar och slutsatser (ISQM 2, p. 8). Karaktären, tidpunkten och omfattningen av de granskningsåtgärder som den särskilda kvalitetsgranskaren för uppdraget utför varierar beroende på uppdragets eller företagets karaktär och omständigheter. Den särskilda kvalitetsgranskarens granskningsåtgärder är till exempel sannolikt mindre omfattande för uppdrag där uppdragsteamet behövt göra färre väsentliga bedömningar (ISQM 2, p. 4). För detaljerad beskrivning av vad den särskilda kvalitetsgranskaren ska göra inom ramen för den uppdragsanknutna kvalitetskontrollen, se ISQM 2 p. 24–27.

15.21Revisionsföretaget ska fastställa riktlinjer som behandlar uppdragsanknuten kvalitetskontroll enligt ISQM 2. En uppdragsanknuten kvalitetskontroll krävs för

  • företag av allmänt intresse25, och

  • revisioner eller andra uppdrag för vilka revisionsföretaget bestämmer att en uppdragsanknuten kvalitetskontroll är en lämplig motåtgärd för att hantera en eller flera kvalitetsrisker (p. 34 f).

Europaparlamentets och rådets förordning (EU) nr 537/2014 av den 16 april 2014 om särskilda krav avseende lagstadgad revision av företag av allmänt intresse och om upphävande av kommissionens beslut 2005/909/EG, artikel 8, p. 1.

15.22Ett företag av allmänt intresse är företag

  • vars överlåtbara värdepapper är upptagna till handel på en reglerad marknad enligt definitionen i värdepappersmarknadslagen26,

  • som har tillstånd att driva bank- och finansieringsrörelse,

  • som är värdepappersbolag,

  • som har tillstånd att driva rörelse enligt försäkringsrörelselagen, med vissa undantag, eller

  • som har tillstånd att driva tjänstepensionsverksamhet.27

Lag (2007:528) om värdepappersmarknaden, 1 kap. 5 § p. 20.

2 § p. 9 revisorslagen.

Uppdragsanknuten kvalitetskontroll som en motåtgärd avseende en eller flera kvalitetsrisker

15.23Revisionsföretaget kan bedöma att en uppdragsanknuten kvalitetskontroll behövs som en motåtgärd gällande uppdrag med hög risk även om kunden inte definieras som företag av allmänt intresse.

Exempel på omständigheter som kan orsaka att revisionsföretaget bedömer att uppdraget innebär en hög nivå av risk och därför inför en uppdragsanknuten kvalitetskontroll som en motåtgärd

Gällande karaktären av uppdraget och rapporterna som utfärdas:

  • Uppdrag med en hög nivå av komplexitet eller bedömningar, såsom

    • granskningar av finansiella rapporter för företag som verkar i en bransch där det är vanligt med uppskattningar i redovisningen med hög grad av osäkerhet eller för företag för vilka det finns tvivel om företagets fortsatta drift (going concern), eller

    • bestyrkandeuppdrag som kräver specialkunskaper för att värdera vissa poster.

  • Uppdrag där betydande brister har påträffats, som uppdrag med återkommande interna eller externa iakttagelser i samband med kvalitetskontroller eller ej åtgärdade betydande brister inom intern kontroll.

  • Uppdrag med en väsentlig omvärdering av jämförande information i årsredovisningen.

  • Uppdrag för vilka ovanliga omständigheter har identifierats under processen för att acceptera och behålla kundrelationen eller det specifika uppdraget (till exempel en ny kund som inte var överens med sin tidigare revisor).

  • Uppdrag som involverar rapportering om finansiell eller icke-finansiell information som förväntas ingå i legal rapportering, och som kan innebära en hög grad av subjektiv bedömning, till exempel finansiell pro forma-information som ska ingå i ett prospekt.

Omständigheter som gäller karaktären på revisionsföretagets kunder:

  • Företag i tillväxtbranscher eller företag inom en bransch där revisionsföretaget inte har tidigare erfarenhet.

  • Företag för vilka farhågor har uttryckts i kommunikation från tillsynsmyndigheter.

  • Andra företag än företag vars överlåtbara värdepapper är upptagna till handel på en reglerad marknad, som kan ha ett allmänintresse, till exempel

    • företag med en hög offentlig profil eller vars ledning eller ägare har en hög offentlig profil,

    • företag vars värdepapper handlas på en marknadsplats men som inte är företag av allmänt intresse, och

    • företag med ett stort antal intressenter (p. A134).

  • Företag i offentlig sektor som innebär hög risk på grund av deras storlek, komplexitet, deras intressenter eller karaktären av de tjänster de tillhandahåller (p. A137).

Vem som ska utse den särskilda kvalitetsgranskaren

15.24Den person som är ansvarig för att utse särskilda kvalitetsgranskare för uppdrag ska inte vara medlem av uppdragsteamet för det uppdrag som den uppdragsanknutna kvalitetskontrollen avser, om det är möjligt. I ett mindre revisionsföretag eller enmansföretag kanske det inte är praktiskt möjligt för någon annan än en medlem i uppdragsteamet att utse den särskilda kvalitetsgranskaren (ISQM 2, p. A2).

Vem som ska utföra den uppdragsanknutna kvalitetskontrollen

15.25Den särskilda kvalitetsgranskaren för uppdraget får inte vara medlem av uppdragsteamet (ISQM 2, p. 18). Om en medarbetare tidigare har varit uppdragsansvarig för ett uppdrag måste det avlöpa en period om minst två år från det att medarbetaren inte längre är uppdragsansvarig för det aktuella uppdraget till dess att medarbetaren kan anta rollen som särskild kvalitetsgranskare för uppdraget. Den särskilda kvalitetsgranskaren ska följa relevanta yrkesetiska krav, såsom att vara oberoende och se till att objektiviteten inte är påverkad av hot (ISQM 2, p. 20 b).

15.26Den särskilda kvalitetsgranskaren ska ha kompetens, förmåga, tillräckligt med tid och lämpligt inflytande. För att avgöra om en person har nödvändig kompetens för att utföra en uppdragsanknuten kvalitetskontroll bör revisionsföretaget bedöma om personen har

  • förståelse av standarder för yrkesutövningen och tillämpliga lagar och regler samt av revisionsföretagets interna riktlinjer och rutiner som är relevanta för uppdraget,

  • erfarenhet, kunskap och förståelse av företagets bransch och uppdrag av liknande karaktär och komplexitet, och

  • förståelse för det ansvar som den särskilda kvalitetsgranskaren för uppdraget har vid utförandet och dokumentationen av den uppdragsanknutna kvalitetskontrollen (ISQM 2, p. A5).

15.27Vid behov kan personer utses för att assistera den särskilda uppdragsgranskaren. En sådan person får inte vara medlem av uppdragsteamet och ska ha den kompetens, förmåga och tid som krävs för att utföra de uppgifter som åläggs personen (ISQM 2, p. 20 a). En sådan person ska även följa relevanta yrkesetiska krav, gällande till exempel objektivitet och oberoende (ISQM 2, p. 20 b). Även om den särskilda kvalitetsgranskaren tar hjälp av en person som bistår i den uppdragsanknutna kvalitetskontrollen är det den särskilda kvalitetsgranskaren som har det övergripande ansvaret för utförandet av den uppdragsanknutna kvalitetskontrollen. Ansvaret innebär även att vägleda den person som bistår vid granskningen samt att granska dennes arbete (ISQM 2, p. 21).

15.28Om den särskilda kvalitetsgranskaren inte längre uppfyller kraven för att kunna utföra den uppdragsanknutna kvalitetskontrollen ska den särskilda kvalitetsgranskaren meddela behörig inom revisionsföretaget och avböja att utföra den uppdragsanknutna kvalitetskontrollen (ISQM 2, p. 21).

15.29Ett mindre revisionsföretag kan anlita en extern tjänsteleverantör, nätverk eller nätverksföretag för att utföra den uppdragsanknutna kvalitetskontrollen.

16 Övervaknings- och åtgärdsprocess

16.1Revisionsföretaget ska upprätta en övervaknings- och åtgärdsprocess för att

  • ge relevant och pålitlig information i rätt tid om utformningen, införandet och användningen av kvalitetsstyrningssystemet, och

  • vidta lämpliga åtgärder avseende identifierade brister så att bristerna kan åtgärdas i rätt tid (p. 35).

16.2Det är viktigt att övervaknings- och åtgärdsprocessen är gedigen och av god kvalitet så att styrelsen, baserat på resultaten, kan dra slutsatser om huruvida kvalitetsstyrningssystemet förser revisionsföretaget med tillräcklig försäkran om att målen för kvalitetsstyrningssystemet uppnås. Övervaknings- och åtgärdsprocessen ska även vara utformad på ett sådant sätt att revisionsföretaget snabbt kan identifiera brister i uppdrag eller inom kvalitetsstyrningssystemet och därefter snabbt vidta åtgärder.

Utforma och utföra övervakningsaktiviteter

16.3Revisionsföretaget ska utforma och utföra övervakningsaktiviteter som en grund för att identifiera brister (p. 36). Vid bedömning av inriktning, tidpunkt och omfattning av övervakningsaktiviteterna ska revisionsföretaget beakta

  • skälen till bedömningarna av kvalitetsriskerna (p. 37 a),

  • utformningen av motåtgärderna (p. 37 b),

  • utformningen av revisionsföretagets riskbedömningsprocess och övervaknings- och åtgärdsprocess (p. 37 c),

  • förändringar i kvalitetsstyrningssystemet (p. 37 d),

  • resultat från tidigare övervakningsaktiviteter, om dessa fortfarande är relevanta, och huruvida motåtgärder för att hantera tidigare identifierade brister var effektiva (p. 37 e), och

  • annan relevant information, inklusive klagomål och påståenden om underlåtenhet att utföra arbete enligt standarder för yrkesutövningen och tillämpliga lagar och regler eller om bristande efterlevnad av revisionsföretagets riktlinjer eller rutiner, resultat från externa kvalitetskontroller och information från externa tjänsteleverantörer (p. 37 f).

16.4Övervakningsaktiviteterna ska kontrollera att motåtgärderna fungerar ändamålsenligt. Hur övervakningsaktiviteterna utformas beror på till exempel revisionsföretagets storlek och organisation, hur mycket och vilka resurser (medarbetare, it-applikationer etc.) som kan behövas för att utföra övervakningsaktiviteterna samt nätverkets involvering i övervakningsaktiviteterna och riskbedömningsprocessen (p. A141 och A143).

16.5Övervakningsaktiviteterna kan behöva anpassas över tid, till exempel när utvärderingen av kvalitetsstyrningssystemet visar på omfattande brister eller när verksamheten förändras (p. 142). Förändringar kan ske för att revisionsföretaget behöver åtgärda en brist eller på grund av förändringar av kvalitetsmål, kvalitetsrisker eller motåtgärder som ett resultat av förändrade omständigheter inom revisionsföretaget eller dess uppdrag. För exempel på sådana förändringar, se vid punkterna 8.17–8.18. När förändringar inträffar kan det hända att tidigare övervakningsaktiviteter inte längre är aktuella och därför bör revisionsföretagets övervakningsaktiviteter innefatta övervakning av förändringar (p. A145).

16.6Information som revisionsföretaget kan behöva beakta i utformningen av övervakningsaktiviteterna kan bestå av

  • resultat från tidigare övervakningsaktiviteter som kan visa var det finns brister i kvalitetsstyrningssystemet, exempelvis resultat från interna uppdragskontroller,

  • information om övervakningsaktiviteter från revisionsföretagets nätverk,

  • information från externa tjänsteleverantörer om de resurser revisionsföretaget använder i sitt kvalitetsstyrningssystem, exempelvis en it-applikation,

  • information från tillsynsmyndigheter om företag för vilka revisionsföretaget utför uppdrag (p. A148), till exempel en varning eller anmärkning från Finansinspektionen avseende finansiella företag, eller

  • resultat från externa kvalitetskontroller som utförs av FAR eller Revisorsinspektionen.

16.7Vid utformningen av övervakningsaktiviteterna bör revisionsföretaget även beakta om tidigare genomförda övervakningsaktiviteter varit utformade på ett sådant sätt att de inte kunnat identifiera vissa brister i kvalitetsstyrningssystemet (p. A149).

Olika typer av övervakningsaktiviteter

16.8Revisionsföretaget ska övervaka samtliga motåtgärder som har identifierats inom verksamheten, det vill säga både motåtgärder som syftar till att motverka uppdragsspecifika och företagsspecifika kvalitetsrisker.

16.9Det vanligaste exemplet på en uppdragsspecifik övervakningsaktivitet är de interna uppdragskontrollerna som syftar till att övervaka motåtgärderna avseende de uppdragsspecifika kvalitetsriskerna.

Några exempel på företagsspecifika övervakningsaktiviteter:

  • Revisionsföretagets riktlinjer anger att alla nya kundrelationer och specifika uppdrag ska godkännas av företagsledaren, som en motåtgärd för att motverka kvalitetsrisken att revisionsföretaget accepterar kundrelationer eller specifika uppdrag som påverkar revisionsföretaget negativt (alltför hög risk, oberoendeproblem etc.). En kvartalsvis kontroll av att samtliga nya kundrelationer och specifika uppdrag faktiskt har godkänts av företagsledaren (övervakningsaktiviteten) utförs av lämplig person.

  • Revisionsföretagets riktlinjer anger att företagsledaren ska säkerställa att de anställda har genomfört samtliga utbildningar som framgår av respektive medarbetares utbildningsplan, som en motåtgärd för att motverka kvalitetsrisken att medarbetarna inte uppfyller kraven på vidareutbildning. En årlig kontroll av att företagsledaren faktiskt har kontrollerat att medarbetarna har genomfört samtliga utbildningar enligt utbildningsplanen (övervakningsaktiviteten) utförs av lämplig person.

  • Revisionsföretagets riktlinjer anger att samtliga medarbetare ska lämna in en skriftlig bekräftelse till den som är ansvarig för oberoendefrågor om att de inte bedriver otillåten sidoverksamhet för att motverka kvalitetsrisken att revisionsföretaget bryter mot revisorslagen. En årlig kontroll av att samtliga medarbetare faktiskt har bekräftat att de inte bedriver otillåten sidoverksamhet och att detta har dokumenterats (övervakningsaktiviteten) utförs av företagsledaren.

  • Revisionsföretagets riktlinjer anger att samtliga medarbetare ska lämna in en skriftlig oberoendebekräftelse till ansvarig för oberoendefrågor, som en motåtgärd för att motverka kvalitetsrisken att revisionsföretaget bryter mot tillämpliga lagar och regler. Företagsledaren gör sedan en årlig kontroll av att samtliga medarbetare faktiskt har lämnat in en oberoendebekräftelse och att detta har dokumenterats (övervakningsaktiviteten).

16.10Övervakningsaktiviteterna kan innefatta både periodiska övervakningsaktiviteter och löpande övervakningsaktiviteter. Periodiska övervakningsaktiviteter utförs med vissa intervall, till exempel månadsvis eller kvartalsvis. Löpande övervakningsaktiviteter brukar vara rutinmässiga och inbyggda i processer och rutiner och ger ofta snabbare återkoppling än de periodiska övervakningsaktiviteterna.

16.11Övervakningen av de företagsspecifika kvalitetsriskerna (åtminstone vad gäller den periodiska övervakningen) kan med fördel göras i samband med övervakningen av den uppdragsspecifika övervakningen.

Interna uppdragskontroller

16.12Revisionsföretaget ska inkludera interna uppdragskontroller av genomförda uppdrag i sina övervakningsaktiviteter och besluta om vilka uppdragsansvariga och uppdrag som ska väljas ut för kontroll. Utformningen av de interna uppdragskontrollerna ska ta hänsyn till andra övervakningsaktiviteter som utförs inom revisionsföretaget och de uppdrag och uppdragsansvariga som är föremål för övervakningsaktiviteterna. Revisionsföretaget ska välja ut minst ett slutfört uppdrag för varje uppdragsansvarig på en cyklisk basis (p. 38).

16.13Syftet med de interna uppdragskontrollerna är att kontrollera att det som ur kvalitetssynpunkt ska utföras på varje uppdrag har blivit korrekt genomfört. På så sätt är uppdragskontrollerna en viktig del i att kontrollera om kvalitetsstyrningssystemet fungerar även om det inte är heltäckande och därmed behöver kompletteras med andra övervakningsaktiviteter.

Urval av uppdrag för kontroll

16.14När revisionsföretaget ska välja ut vilket/vilka uppdrag, för respektive uppdragsansvarig, som ska vara föremål för kontroll bör följande beaktas:

  • Vad revisionsföretaget har för sorts uppdrag, till exempel

    • börsnoterade företag,

    • företag inom tillväxtmarknader,

    • företag med en hög nivå av komplexitet eller uppskattningar i redovisningen med hög grad av osäkerhet, eller

    • företag som verkar i en bransch som är ny för revisionsföretaget.

  • Revisionsföretagets erfarenhet av att utföra dessa uppdrag.

  • Resultaten av tidigare uppdragskontroller, inklusive resultaten för respektive uppdragsansvarig.

  • Klagomål eller påståenden som berör en uppdragsansvarig.

  • Resultaten av externa granskningar, inklusive resultaten för respektive uppdragsansvarig (p. A151).

16.15Revisionsföretaget behöver även fastställa riktlinjer avseende omfattning och frekvens av interna uppdragskontroller. Riktlinjerna ska kräva kontroll av ett genomfört uppdrag för varje uppdragsansvarig på en cyklisk basis. Enligt FARs riktlinjer för kvalitetskontroll av revisionsverksamhet28 bör samtliga kvalificerade revisorer som är verksamma i revisionsföretaget, oavsett om de har egna revisionsuppdrag eller inte, granskas minst en gång vart tredje år och i vart fall inte mer sällan än vart sjätte år. Revisorer som vid tidigare interna kvalitetskontroller visserligen godkänts men med vissa anmärkningar bör granskas oftare. Om den interna uppdragskontrollen sker med ett till tre års intervall ska minst ett uppdrag per utvald revisor kontrolleras. Om den interna uppdragskontrollen sker med fyra till sex års intervall ska minst två uppdrag per utvald revisor kontrolleras.

Riktlinjer för FARs kvalitetskontroll av revisionsverksamhet, p. 7.3, 3 st.

16.16Då ISQM 1, förutom revisionsuppdrag, även gäller för översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster ska angivna tidsintervall och antal uppdrag även innefatta dessa uppdrag.

16.17Riktlinjerna bör även adressera

  • att urvalet av uppdrag att granska ska vara oförutsebart, och

  • om en uppdragsansvarig bör väljas ut för kontroll mer frekvent om till exempel

    • den uppdragsansvarige utför uppdrag åt företag med hög risk,

    • den uppdragsansvarige utför ett uppdrag inom en bransch där den uppdragsansvarige har begränsad erfarenhet, eller

    • den uppdragsansvarige är nyutnämnd eller nyligen har anställts inom revisionsföretaget (p. A153).

Vem som utför övervakningsaktiviteter

16.18Revisionsföretaget ska fastställa riktlinjer som

  • kräver att den som utför övervakningsaktiviteter har kompetens och tillräckligt med tid för att utföra övervakningsaktiviteterna ändamålsenligt, och

  • behandlar objektiviteten hos den som utför övervakningsaktiviteter. Sådana riktlinjer ska innehålla ett förbud för teammedlemmar, eller en särskild kvalitetsgranskare för uppdraget, att utföra en uppdragskontroll av samma uppdrag (p. 39).

16.19För att en övervakningsaktivitet ska tjäna sitt syfte är det viktigt att revisionsföretaget säkerställer att den eller de som utför den har tillräcklig kompetens och tid att utföra aktiviteten.

16.20Den som utför övervakningsaktiviteter måste vara oberoende. Ett självgranskningshot kan till exempel förekomma när en person som utför en övervakningsaktivitet har deltagit i att utforma eller utföra motåtgärderna som övervakas.

16.21När det gäller interna uppdragskontroller måste den som utför kontrollen vara oberoende i förhållande till uppdraget. Ett självgranskningshot kan till exempel uppstå när en person som utför en uppdragskontroll tidigare har varit, i samband med revisionsuppdrag, en teammedlem eller särskild kvalitetsgranskare av uppdraget eller för motsvarande uppdrag under en tidigare räkenskapsperiod. För övriga uppdrag gäller motsvarande när en person som utför uppdragskontroll tidigare har varit en teammedlem eller särskild kvalitetsgranskare av det uppdraget (p. A155).

16.22Ett mindre revisionsföretag som inte har medarbetare inom revisionsföretaget med kompetens, tid eller objektivitet för att utföra övervakningsaktiviteterna kan använda nätverket eller en extern tjänsteleverantör för att utföra övervakningsaktiviteter (p. A156).

Utvärdera iakttagelser och identifiera brister

16.23Revisionsföretaget ska utvärdera iakttagelser från övervakningsaktiviteter för att avgöra om brister finns (p. 40).

16.24Revisionsföretaget behöver utöva ett professionellt omdöme för att avgöra om iakttagelserna, individuellt eller i kombination med andra, visar på en brist i kvalitetsstyrningssystemet. Ibland kan en iakttagelse behöva undersökas mer djupgående för att ta reda på om iakttagelsen innebär en brist eller inte då inte alla iakttagelser innebär en brist (p. A159).

Exempel på faktorer att beakta för att bedöma om iakttagelser kan visa på en brist:

Kvalitetsrisker och motåtgärder

  • Om iakttagelsen relaterar till en motåtgärd:

    • hur motåtgärden är utformad, frekvens av motåtgärden och dess relativa betydelse,

    • kvalitetsriskens egenskaper till vilka motåtgärden relaterar, och

    • huruvida det finns andra motåtgärder som adresserar samma kvalitetsrisk och huruvida det finns några iakttagelser relaterade till dessa åtgärder.

Iakttagelsernas egenskaper och hur genomgripande de varit

  • Iakttagelsernas egenskaper: Iakttagelser relaterade till exempelvis ledarskap kan vara betydande givet effekten de kan få på kvalitetsstyrningssystemet i dess helhet, och därmed klassificeras som en brist.

  • Om iakttagelserna i kombination med andra iakttagelser kan indikera en trend eller ett systematiskt problem. Liknande iakttagelser som visar sig inom flera uppdrag kan indikera ett systematiskt problem.

Omfattning av övervakningsaktiviteter och omfattning av iakttagelser

  • Omfattningen av den övervakningsaktivitet som iakttagelserna härrör från, inklusive storleken på urvalet i förhållande till storleken på hela populationen.

  • Omfattningen av iakttagelserna i förhållande till det urval som omfattas av övervakningsaktiviteten och i förhållande till det acceptabla antalet avvikelser. Till exempel, i samband med uppdragskontroll, antalet uppdrag där iakttagelser identifierats i förhållande till det totala antalet utvalda uppdrag och det acceptabla antalet avvikelser som revisionsföretaget tillåter (p. A160). Ett mindre antal iakttagelser inom en stor population kanske inte betyder att en brist har identifierats, beroende på karaktären av iakttagelserna.

16.25Revisionsföretagets process för att utvärdera iakttagelser och identifiera brister och hur allvarliga och genomgripande de är ska vara en iterativ och icke-linjär process. Till exempel kan revisionsföretaget, vid undersökning av grundorsaken av en brist, identifiera omständigheter som har likheter med andra omständigheter där det fanns iakttagelser som inte ansågs vara en brist. Revisionsföretaget bör då justera sin utvärdering av dessa iakttagelser och klassificera dem som en brist. Det kan också hända att revisionsföretaget identifierar en trend eller ett systematiskt fel som korrelerar med andra iakttagelser som inte bedömts som brister. Revisionsföretaget bör då justera sin utvärdering av de andra iakttagelserna och klassificera dem som brister (p. A161).

16.26Även externa granskningar, nätverkets övervakningsaktiviteter eller klagomål kan ge information om kvalitetsstyrningssystemet som inte har identifierats av revisionsföretagets övervaknings- och åtgärdsprocess, vilket kan visa på en brist i kvalitetsstyrningssystemet (p. A162).

Utvärdera identifierade bristers grundorsak och effekt

16.27Revisionsföretaget ska utvärdera hur allvarliga och genomgripande de identifierade bristerna är genom att

  • undersöka grundorsakerna till de identifierade bristerna. Vid bedömning av egenskaperna, tidpunkten och omfattningen av processerna för att undersöka grundorsakerna, ska revisionsföretaget beakta egenskaperna och de möjliga effekterna av de identifierade bristerna, och

  • utvärdera effekten av de identifierade bristerna på revisionsföretagets kvalitetsstyrningssystem, individuellt och aggregerat (p. 41).

16.28Faktorer som revisionsföretaget bör överväga vid utvärdering av hur allvarlig och genomgripande en brist är:

  • Bristens egenskaper och huruvida den finns inom utformningen, införandet eller användningen av kvalitetsstyrningssystemet.

  • Om bristen är relaterad till motåtgärder, om det finns kompenserande motåtgärder för att hantera risken som bristen avser.

  • Grundorsaken till den identifierade bristen.

  • Frekvensen av omständigheter som leder till att den identifierade bristen uppstår.

  • Omfattningen av den identifierade bristen, hur snabbt den uppstod och hur lång tid den existerade och påverkade kvalitetsstyrningssystemet (p. A163).

16.29För att förstå vad som verkligen har orsakat en brist och därmed kunna åtgärda bristen på lämpligt sätt behöver revisionsföretaget undersöka grundorsaken till bristen, vad bristen får för effekt samt hur bristen ska åtgärdas (p. A165). En grundorsaksanalys ska göras med ett professionellt omdöme och baseras på tillgängliga bevis. En grundorsaksanalys kan även användas för att undersöka grundorsakerna till positiva omständigheter för att hitta möjligheter till att förbättra kvalitetsstyrningssystemet (p. A169). Vid undersökning av grundorsaken till identifierade brister bör revisionsföretaget överväga varför (om tillämpligt) brister inte uppstått under andra liknande omständigheter (p. A167), för att på så sätt kunna använda de lärdomarna när revisionsföretaget utformar åtgärder gällande en brist. En åtgärd handlar vanligtvis om att justera riktlinjer och rutiner på ett sådant sätt att bristen som identifierats inte uppstår igen.

16.30Ett exempel på när grundorsaken kan vara något annat än revisionsföretagets initiala antagande kan vara när ett uppdragsteam inte lyckats få tag på lämpliga revisionsbevis om uppskattningar i redovisningen baserade på ledningens subjektiva bedömning. Om revisionsföretaget först antar att uppdragsteamet inte utövar professionell skepticism kan den verkliga grundorsaken vara

  • en kultur som inte uppmuntrar teammedlemmarna att ifrågasätta personer med högre befattning eller bristfällig vägledning och genomgång av det arbete som utförs av uppdragsteamet (p. A168),

  • en olämplig fördelning av arbetsbelastning (en alltför hög arbetsbelastning och stress kan leda till misstag i revisionsarbetet),

  • lämpliga specialister används inte och gör det svårt för uppdragsteamet att fatta korrekta beslut, eller

  • avsaknad av betoning på revisionskvalitet i utvärderingsprocessen.

16.31Ett annat exempel är när revisionsföretaget har svårt att finna kompetenta teammedlemmar till uppdrag. Medan revisionsföretaget först antar att det är den rekryteringsansvarige som har bristfällig kompetens att hitta kompetenta personer att anställa kan den verkliga grundorsaken vara

  • en dominerande ledning som har personliga preferenser gällande anställning som inte ifrågasätts,

  • en alltför hög arbetsbelastning på den rekryteringsansvarige,

  • ineffektiv, eller avsaknad av, kompetensutveckling av revisionsföretagets medarbetare, eller

  • ineffektiv, eller avsaknad av, vägledning av revisionsföretagets medarbetare.

16.32I det fall revisionsföretaget har använt sig av nätverkstjänster eller en annan leverantör för att utföra en övervakningsaktivitet kan det vara svårt för den som utfört övervakningsaktiviteterna att bilda sig en uppfattning om grundorsaken till konstaterade brister. Revisionsföretaget ansvarar då för att säkerställa och bidra till att en lämplig grundorsaksanalys utförs. Det kan göras genom att tillsammans med den som utfört övervakningsaktiviteten diskutera och analysera bristerna för att komma fram till bristernas grundorsak. Det är även revisionsföretagets ansvar att säkerställa att den som utför övervakningsaktiviteter har tillgång till all information som bedöms nödvändig för att kunna dra relevanta slutsatser av övervakningsaktiviteten.

16.33I ett mindre revisionsföretag kan revisionsföretagets grundorsaksanalys vara mindre omfattande eftersom informationen som är nödvändig för analysen ofta är lättillgänglig och koncentrerad. Grundorsakerna är ofta tydliga och uppenbara (p. A166). Det är dock lika viktigt för det mindre revisionsföretaget att grundorsaken till en brist formuleras, dokumenteras och rapporteras till styrelsen.

Åtgärder avseende identifierade brister

16.34Revisionsföretaget ska utforma och införa åtgärder avseende identifierade brister som tar hänsyn till grundorsakerna (p. 42).

16.35Utformningen av åtgärderna kan bero på en mängd faktorer såsom grundorsaken, hur allvarlig och genomgripande den identifierade bristen är och därmed hur brådskande det är att åtgärda den samt hur effektiva åtgärderna är. Till exempel kan revisionsföretaget behöva införa fler än en åtgärd för att effektivt motverka grundorsaken eller införa tillfälliga åtgärder tills mer effektiva åtgärder är på plats (p. A170). En åtgärd kan även innefatta ett ytterligare kvalitetsmål, en ytterligare motåtgärd eller en justering av en motåtgärd (p. A171).

16.36Även om grundorsaken till en brist är relaterad till en resurs som tillhandahålls av en extern tjänsteleverantör, till exempel en it-applikation, är revisionsföretaget ansvarigt för att hantera effekten av bristen och vidta åtgärder för att förhindra bristen från att fortsatt påverka revisionsföretaget negativt. Vanligtvis är det dock den externa tjänsteleverantören som är ansvarig för att åtgärda den identifierade bristen och för att ytterligare undersöka grundorsaken till den identifierade bristen (p. A172).

16.37Den operativt ansvarige för övervaknings- och åtgärdsprocessen ska utvärdera om åtgärderna

  • är lämpligt utformade för att hantera identifierade brister och deras relaterade grundorsaker och säkerställa att de har införts i verksamheten, och

  • hanterar tidigare identifierade brister på ett ändamålsenligt sätt (p. 43).

16.38Om en utvärdering visar att åtgärderna inte är lämpligt utformade eller inte har avsedd verkan, ska den operativt ansvarige för övervaknings- och åtgärdsprocessen vidta lämpliga åtgärder för att säkerställa att motåtgärderna justeras så att de får avsedd verkan (p. 44).

Iakttagelser avseende särskilda uppdrag

16.39Revisionsföretaget ska agera när det finns indikationer på att det finns ett uppdrag inom vilket nödvändiga granskningsåtgärder inte har utförts eller då uppdragsrapporten inte är lämpligt utformad. Revisionsföretaget ska

  • vidta lämpliga åtgärder för att följa standarder för yrkesutövningen och tillämpliga lagar och regler, och

  • när rapporten inte anses vara lämplig, överväga konsekvenserna och lämpliga åtgärder, inklusive om revisionsföretaget behöver få juridiskt stöd (p. 45).

16.40Lämpliga åtgärder att vidta i ett första skede kan innebära att konsultera med lämpliga experter, diskutera frågan med styrelsen eller ledningen hos kundföretaget eller att helt enkelt utföra de granskningsåtgärder som inte har utförts. Därefter måste revisionsföretaget vidta åtgärder i vanlig ordning när en iakttagelse har identifierats, som att identifiera och utvärdera brister och utreda grundorsakerna till bristerna (p. A173).

Kommunikation relaterad till övervaknings- och åtgärdsprocessen

16.41Den operativt ansvarige för övervaknings- och åtgärdsprocessen ska regelbundet kommunicera till den ytterst ansvarige för kvalitetsstyrningssystemet och till den operativt ansvarige för kvalitetsstyrningssystemet:

  • en beskrivning av genomförda övervakningsaktiviteter,

  • de identifierade bristerna, inklusive hur allvarliga och genomgripande de identifierade bristerna är, och

  • åtgärder som vidtas avseende de identifierade bristerna (p. 46).

Utöver punkterna ovan bör informationen till den ytterst ansvarige inkludera grundorsaken till respektive brist samt om åtgärderna är lämpliga och tillräckliga.

16.42Den som har det operativa ansvaret för övervaknings- och åtgärdsprocessen behöver kommunicera informationen avseende övervaknings- och åtgärdsprocessen till styrelsen löpande eller med ett definierat tidsintervall, dock minst årligen. Om det identifieras många eller betydande brister behöver den operativt ansvarige göra det oftare än så.

16.43Informationen som kommuniceras kan användas på flera sätt, till exempel

  • som grund för kommunikation till medarbetarna om vikten av kvalitet,

  • för att hålla personer ansvariga för sina tilldelade roller,

  • för att identifiera viktiga problem med kvalitetsstyrningssystemet (A174), och

  • som grund för utvärdering av kvalitetsstyrningssystemet.

16.44Revisionsföretaget ska kommunicera ovanstående information till uppdragsteam och andra personer som tilldelats aktiviteter inom kvalitetsstyrningssystemet för att de snabbt ska kunna vidta lämpliga åtgärder i enlighet med sitt ansvar (p. 47).

16.45Vissa delar av den information som kommuniceras till den ytterst ansvarige kan behöva kommuniceras till uppdragsteam och andra medarbetare så att de kan vidta lämpliga åtgärder i den mån bristerna berör deras arbete eller ansvarsområden. Informationen bör innehålla, förutom en beskrivning av bristen i sig, en beskrivning av grundorsaken/grundorsakerna så att medarbetarna kan förstå varför en brist har uppstått och därmed bättre kunna bidra till att den åtgärdas. Den operativt ansvarige för övervaknings- och åtgärdsprocessen behöver också säkerställa att medarbetarna faktiskt beaktar informationen och bidrar till att bristen åtgärdas, vilket kräver en uppföljningsprocess som behöver anpassas till den konstaterade bristen.

16.46I ett mindre revisionsföretag eller enmansföretag är kommunikationen i detta avsnitt av naturliga skäl enklare och får anpassas till hur organisationen ser ut. Exempelvis kan den operativt ansvarige för övervaknings- och åtgärdsprocessen och den operativt ansvarige för kvalitetsstyrningssystemet i båda fall vara företagsledaren och någon kommunikation dem emellan är därmed inte aktuell. Det väsentliga i detta sammanhang är att den ytterst ansvarige för kvalitetsstyrningssystemet ska få tillgång till den information som beskrivs i punkterna i första stycket i detta avsnitt.

17 Nätverkskrav eller nätverkstjänster

17.1Om revisionsföretaget tillhör ett nätverk ska revisionsföretaget förstå, när det är tillämpligt,

  • nätverkets krav avseende revisionsföretagets kvalitetsstyrningssystem, inklusive krav på att revisionsföretaget ska använda resurser eller tjänster som tillhandahålls av eller genom nätverket (nätverkskrav),

  • tjänster eller resurser som tillhandahålls av nätverket som revisionsföretaget väljer att införa eller använda vid utformning, införande eller upprätthållande av revisionsföretagets kvalitetsstyrningssystem (nätverkstjänster), och

  • revisionsföretagets ansvar för alla åtgärder som är nödvändiga för att införa nätverkskraven eller använda nätverkstjänster (p. 48).

17.2Om revisionsföretaget tillhör ett nätverk måste det känna till vilka företag som ingår i nätverket. Detta är framförallt viktigt för att säkerställa att revisionsföretaget är oberoende gentemot andra företag i nätverket när det utför tjänster åt sina kunder. Oberoenderegler som gäller inom ett revisionsföretag gäller för alla företag i nätverket om de uppfyller definitionen för att vara ett nätverksföretag29.

IESBAs Etikkod, p. 400.50 A1–400.54 A1.

17.3Nätverket kan ställa krav på revisionsföretagets kvalitetsstyrningssystem och/eller tillhandahålla tjänster eller resurser som revisionsföretaget frivilligt kan välja att använda i sitt kvalitetsstyrningssystem. Sådana krav eller tjänster syftar ofta till att främja att uppdragen konsekvent utförs med god kvalitet bland nätverksföretagen.

Exempel på nätverkskrav

  • Kvalitetsmål eller kvalitetsrisker som revisionsföretaget ska inkludera i sitt kvalitetsstyrningssystem.

  • Motåtgärder som revisionsföretaget ska inkludera i sitt kvalitetsstyrningssystem såsom riktlinjer eller resurser som revisionsmetodik eller it-applikationer.

  • Övervakningsaktiviteter relaterade till nätverkskrav eller till revisionsföretagets kvalitetsstyrningssystem i allmänhet som revisionsföretaget omfattas av.

Exempel på nätverkstjänster

  • Frivilliga utbildningar.

  • Användning av revisorer från nätverksföretag för enheter i samband med en koncernrevision.

  • Experter inom nätverket.

  • Ett servicecenter på nätverksnivå eller inom ett nätverksföretag eller en grupp av nätverksföretag (p. A175).

17.4Nätverket kan kräva att revisionsföretaget tar visst ansvar vid tillämpning av nätverkskrav eller användning av nätverkstjänster, till exempel att

  • ha en viss infrastruktur och vissa processer på plats för att stödja en it-applikation från nätverket som revisionsföretaget använder, och

  • tillhandahålla utbildning för alla medarbetare inom revisionsföretaget om en revisionsmetodik som tillhandahålls av nätverket (p. A176).

17.5För att skaffa sig en förståelse för nätverkskraven eller nätverkstjänsterna och revisionsföretagets ansvar till följd av dessa kan revisionsföretaget behöva efterfråga information från nätverket om

  • nätverkets rutiner som rör nätverkskrav eller användning av nätverkstjänster,

  • hur nätverket identifierar och hanterar förändringar som påverkar nätverkskrav eller nätverkstjänster, såsom förändringar i standarder för yrkesutövningen eller information som indikerar en brist inom nätverkskrav eller nätverkstjänster, och

  • hur nätverket övervakar att nätverkskraven och nätverkstjänsterna är lämpliga och hur nätverkets processer för att åtgärda identifierade brister ser ut (p. A177).

17.6Revisionsföretaget är alltid ansvarigt för sitt kvalitetsstyrningssystem, inklusive bedömningar som gjorts i utformning, införande och användning av kvalitetsstyrningssystemet. Därav ska revisionsföretaget inte följa nätverkskraven eller använda sig av nätverkstjänster om de inte är förenliga med kraven i ISQM 1 (p. 48). Av samma skäl måste revisionsföretaget alltid följa standarden, om tillämpligt, även om nätverkets krav är lindrigare. Revisionsföretaget ska med andra ord se på sitt kvalitetsstyrningssystem som just ”sitt” där eventuella nätverkskrav och nätverkstjänster är komplement och ska integreras i samtliga komponenter av revisionsföretagets kvalitetsstyrningssystem när det är tillämpligt.

Nätverkskrav eller nätverkstjänster inom revisionsföretagets kvalitetsstyrningssystem

17.7Revisionsföretaget ska

  • bedöma hur nätverkskraven eller nätverkstjänsterna är relevanta för revisionsföretagets kvalitetsstyrningssystem och hur de ska införas, och

  • utvärdera om, och i så fall hur, nätverkskraven eller nätverkstjänsterna behöver anpassas eller kompletteras av revisionsföretaget för att vara lämpliga inom kvalitetsstyrningssystemet (p. 49).

17.8Revisionsföretaget behöver beakta vilken effekt nätverkskraven och nätverkstjänsterna har på revisionsföretaget när det genomför sin riskbedömningsprocess. I vissa fall kan ett nätverkskrav eller en nätverkstjänst orsaka en kvalitetsrisk. Nätverket kan till exempel kräva att revisionsföretaget använder en it-applikation för processen att acceptera och behålla kundrelationer och specifika uppdrag, som är standardiserad över nätverket. En kvalitetsrisk kan då uppstå om it-applikationen inte är anpassad till revisionsföretagets specifika egenskaper, miljö eller förutsättningar (p. A178).

17.9Nätverket kan förvänta sig att revisionsföretaget inför nätverkskraven, men revisionsföretaget kan behöva anpassa eller komplettera nätverkskraven så att de är lämpliga för revisionsföretagets specifika egenskaper och uppdrag. Till exempel kan nätverket kräva att revisionsföretaget inför vissa motåtgärder. Revisionsföretaget behöver då fundera över vilken/vilka kvalitetsrisker som motåtgärderna avser och hur motåtgärderna ska integreras och anpassas i det egna kvalitetsstyrningssystemet (p. A179). Revisionsföretagets utgångspunkt ska alltid vara att eventuella nätverkskrav och nätverkstjänster ska anpassas till revisionsföretagets kvalitetsstyrningssystem och inte tvärtom.

17.10Nätverket kan även övervaka delar av revisionsföretagets kvalitetsstyrningssystem, inklusive nätverkskrav eller nätverkstjänster. Övervakning kan också ske som ett kombinerat arbete mellan revisionsföretaget och nätverket. Till exempel kan ett nätverk utföra övervakningsaktiviteter på nätverksnivå av en gemensam metodik. Revisionsföretaget kan också övervaka metodiken genom att utföra interna uppdragskontroller.

Övervakningsaktiviteter som genomförs av nätverket avseende revisionsföretagets kvalitetsstyrningssystem

17.11När nätverket utför övervakningsaktiviteter som rör revisionsföretagets kvalitetsstyrningssystem ska revisionsföretaget

  • bedöma effekten av nätverkets övervakningsaktiviteter på karaktären, tidpunkten och omfattningen av revisionsföretagets egna övervakningsaktiviteter,

  • bedöma revisionsföretagets ansvar i samband med nätverkets övervakningsaktiviteter, inklusive relaterade åtgärder från revisionsföretaget, och

  • som en del av utvärderingen av resultat och identifiering av brister, inhämta resultaten av övervakningsaktiviteterna från nätverket i rätt tid (p. 50).

17.12Om nätverket genomför övervakningsaktiviteter avseende revisionsföretagets kvalitetsstyrningssystem eller uppdrag kan det påverka omfattningen av revisionsföretagets egna övervakningsaktiviteter. Revisionsföretaget kan kanske reducera sina övervakningsaktiviteter avseende ett visst område i det fall nätverket har inkluderat området i sina övervakningsaktiviteter och vice versa.

17.13Revisionsföretaget behöver snabbt få reda på resultatet av nätverkets övervakningsaktiviteter så att det kan vidta åtgärder vid behov. Resultaten från nätverket bör innehålla information så som

  • en beskrivning av övervakningsaktiviteterna, inklusive deras inriktning, tidpunkt och omfattning,

  • brister, iakttagelser och områden med förbättringspotential (även positiva omständigheter bör beskrivas), och

  • utvärdering av grundorsaken till identifierade brister, den bedömda effekten av de identifierade bristerna och rekommenderade åtgärder (p. A181).

Nätverksövergripande övervakningsaktiviteter som genomförs av nätverket

17.14Revisionsföretaget ska

  • förstå den övergripande omfattningen av nätverksövergripande övervakningsaktiviteter som genomförs av nätverket, inklusive övervakningsaktiviteter bland andra nätverksföretag, och hur nätverket kommer att kommunicera resultaten av sina övervakningsaktiviteter till revisionsföretaget,

  • åtminstone årligen få information från nätverket om de övergripande resultaten av de nätverksövergripande övervakningsaktiviteterna, om tillämpligt, och

    • kommunicera informationen till uppdragsteam och andra personer som tilldelats aktiviteter inom kvalitetsstyrningssystemet, om så är lämpligt, så att de kan vidta snabba och lämpliga åtgärder i enlighet med sitt ansvar, och

    • överväga effekten av informationen på revisionsföretagets kvalitetsstyrningssystem (p. 51).

17.15Revisionsföretaget måste alltid göra en bedömning av resultaten av övervakningsaktiviteterna från nätverket. Till exempel, om nätverkets slutsats är att det finns brister i nätverkets kvalitetssystem, måste revisionsföretaget se över vilka åtgärder som det behöver vidta eftersom revisionsföretaget alltid är ansvarigt för sitt kvalitetsstyrningssystem.

17.16Informationen från nätverket om de nätverksövergripande övervakningsaktiviteterna kan innehålla trender och gemensamma brister i nätverket, eller positiva iakttagelser som kan observeras över nätverket. Sådan information kan även bidra till revisionsföretagets identifiering och bedömning av kvalitetsrisker.

17.17Resultaten kan även behöva kommuniceras till ansvariga revisorer, i samband med revisorernas bedömning av kompetens och kapacitet hos revisorer från nätverksföretag som granskar enheter inom en koncern och som är föremål för gemensamma nätverkskrav (p. A182).

17.18Revisionsföretaget kan även behöva få information från nätverket om brister som identifierats i ett annat nätverksföretags kvalitetsstyrningssystem som påverkar det egna revisionsföretaget. Nätverket kan också samla in resultat från nätverksföretag från externa kvalitetskontroller av nätverksföretagens kvalitetsstyrningssystem. I vissa fall kan lagar eller regler dock hindra nätverket från att dela information med andra revisionsföretag inom nätverket (p. A183), exempelvis på grund av sekretesskäl.

Brister i nätverkskraven eller nätverkstjänsterna som identifieras av revisionsföretaget

17.19Om revisionsföretaget identifierar en brist i nätverkskraven eller i nätverkstjänsterna ska revisionsföretaget

  • kommunicera relevant information till nätverket om den identifierade bristen, och

  • utforma och införa korrigerande åtgärder för att åtgärda effekten av den identifierade bristen i nätverkskraven eller i nätverkstjänsterna (p. 52).

17.20Eftersom nätverkskrav eller nätverkstjänster som används av revisionsföretaget ingår i revisionsföretagets kvalitetsstyrningssystem omfattas de också av kraven i ISQM 1 avseende övervakning och åtgärder (p. A185).

17.21När revisionsföretaget utformar och genomför korrigerande åtgärder för att hantera effekten av en brist i nätverkskraven eller nätverkstjänsterna behöver revisionsföretaget

  • förstå nätverkets planerade korrigerande åtgärder, inklusive huruvida revisionsföretaget har något ansvar för att införa de korrigerande åtgärderna,

  • överväga om kompletterande åtgärder måste vidtas för att hantera bristen och dess grundorsak(er), till exempel när

    • nätverket inte har vidtagit lämpliga åtgärder, eller

    • det kommer att ta tid innan nätverkets åtgärder effektivt hanterar bristen (p. A186).

18 Utvärdering av kvalitetsstyrningssystemet

18.1De(n) som har det yttersta ansvaret för kvalitetsstyrningssystemet ska ansvara för att utvärdera kvalitetsstyrningssystemet. Utvärderingen ska utföras vid en specifik tidpunkt och utföras minst årligen (p. 53).

18.2De(n) ytterst ansvariga kan ta hjälp av andra inom eller utanför revisionsföretaget, till exempel nätverket eller ett annat nätverksföretag, för att utvärdera kvalitetsstyrningssystemet men förblir ansvarig(a) för utvärderingen (p. A187). Det är upp till revisionsföretaget att bedöma när utvärderingen ska genomföras, men en lämplig tidpunkt kan vara i samband med slutet på räkenskapsåret eller efter slutförandet av den årliga övervakningscykeln (p. A188).

18.3Utvärderingen av kvalitetsstyrningssystemet ska baseras på den information som framgår i punkterna 16.41–16.46.

18.4I ett mindre revisionsföretag är de(n) ytterst ansvariga för kvalitetsstyrningssystemet ofta direkt involverad i övervaknings- och åtgärdsprocessen och är därav medveten om den information som stödjer utvärderingen av kvalitetsstyrningssystemet (p. A189).

Slutsatser avseende kvalitetsstyrningssystemet

18.5Baserat på utvärderingen ska revisionsföretaget dra någon av följande slutsatser:

  1. Kvalitetsstyrningssystemet tillhandahåller en rimlig försäkran om att målen med kvalitetsstyrningssystemet uppnås.

  2. Med undantag för frågor relaterade till identifierade brister som har en betydande effekt, men inte har en avgörande betydelse på utformningen, införandet och användningen av kvalitetsstyrningssystemet, tillhandahåller kvalitetsstyrningssystemet en rimlig försäkran om att målen med kvalitetsstyrningssystemet uppnås.

  3. Kvalitetsstyrningssystemet ger inte revisionsföretaget en rimlig försäkran om att målen med kvalitetsstyrningssystemet uppnås (p. 54).

18.6Kvalitetsstyrningssystemet ska förse revisionsföretaget med en rimlig försäkran om att målen för kvalitetsstyrningssystemet uppnås. För att dra någon av slutsatserna a, b eller c kan revisionsföretaget använda resultaten från övervaknings- och åtgärdsprocessen för att överväga följande:

  • Hur allvarliga och genomgripande identifierade brister är och vilken effekt de har på möjligheten att uppnå målen för kvalitetsstyrningssystemet.

  • Om revisionsföretaget har implementerat åtgärder och om de åtgärder som revisionsföretaget hittills har vidtagit för att åtgärda de identifierade bristerna är ändamålsenliga.

  • Huruvida effekten av identifierade brister har blivit korrekt korrigerad, till exempel om ytterligare åtgärder har vidtagits.

18.7I vissa fall kan identifierade brister vara allvarliga och genomgripande men ha åtgärdats på ett lämpligt sätt och effekten av bristerna vara korrigerad vid tidpunkten för utvärderingen. I sådana fall kan revisionsföretaget dra slutsatsen att kvalitetsstyrningssystemet ger revisionsföretaget rimlig försäkran att målen för kvalitetsstyrningssystemet uppnås (p. A191).

18.8En brist kan ha en genomgripande effekt på utformningen, införandet och användningen av kvalitetsstyrningssystemet till exempel när

  • bristen påverkar flera komponenter eller aspekter av kvalitetsstyrningssystemet,

  • bristen är begränsad till en specifik komponent eller aspekt av kvalitetsstyrningssystemet men är grundläggande för kvalitetsstyrningssystemets funktion,

  • bristen påverkar flera kontor eller enheter inom revisionsföretaget,

  • bristen är begränsad till ett specifikt kontor eller enhet men kontoret/enheten som påverkas är av grundläggande vikt för revisionsföretaget, eller

  • bristen påverkar en väsentlig del av uppdragen av en viss karaktär.

18.9En brist kan även bedömas som allvarlig men inte genomgripande. Till exempel, om en enskild medarbetare inom en enhet på revisionsföretaget agerar bristfälligt på ett sätt som i sig får allvarliga konsekvenser för en enhet eller ett specifikt uppdrag, men inte påverkar någon annan enhet eller något annat uppdrag inom revisionsföretaget (p. A192).

18.10Det kan ta tid för revisionsföretaget att åtgärda brister som är allvarliga och genomgripande. Medan revisionsföretaget åtgärdar bristerna kan de bli mindre genomgripande och revisionsföretaget kan bedöma att de fortfarande är allvarliga, men inte längre genomgripande. I sådana fall kan revisionsföretaget dra slutsatsen att, förutom för frågor relaterade till brister som har en allvarlig men inte genomgripande effekt på utformningen, införandet och användningen av kvalitetsstyrningssystemet, kvalitetsstyrningssystemet ger revisionsföretaget en rimlig försäkran om att målen för kvalitetsstyrningssystemet uppnås (p. A194).

18.11Revisionsföretaget behöver inte inhämta en granskningsrapport om sitt kvalitetsstyrningssystem från en oberoende aktör (p. A195). Det är revisionsföretaget som ska utvärdera sitt kvalitetsstyrningssystem.

Omständigheter när revisionsföretaget måste vidta snabba och lämpliga åtgärder och vidare kommunikation

18.12Om revisionsföretaget drar någon av slutsatserna b eller c under punkten 18.5 ovan ska revisionsföretaget vidta snabba och lämpliga åtgärder och kommunicera till

  • uppdragsteam och andra personer som är tilldelade aktiviteter inom kvalitetsstyrningssystemet i den mån det är relevant för deras ansvar, och

  • externa parter enligt revisionsföretagets riktlinjer eller rutiner (p. 55).

18.13Under omständigheter då revisionsföretaget drar någon av slutsatserna b eller c kan lämpliga åtgärder innefatta

  • att tilldela uppdragsteam fler resurser eller förbättra vägledningen till uppdragsteam samt se till att revisionsföretagets rapporter är lämpligt utformade till dess att de identifierade bristerna åtgärdas, och kommunicera sådana åtgärder till uppdragsteam, eller

  • att inhämta juridisk eller annan rådgivning (p. A196).

Exempel på omständigheter när det kan vara lämpligt för revisionsföretaget att kommunicera med externa parter om utvärderingen av kvalitetsstyrningssystemet:

  • När revisionsföretaget tillhör ett nätverk.

  • När andra nätverksföretag använder ett arbete som har utförts av revisionsföretaget, till exempel i samband med en koncernrevision.

  • När en rapport som utfärdats av revisionsföretaget bedömts vara olämplig till följd av brister i kvalitetsstyrningssystemet och styrelsen och ledningen inom kundföretaget, vilket rapporten avser, måste informeras.

  • När lagar eller regler kräver att revisionsföretaget kommunicerar till en tillsynsmyndighet eller ett tillsynsorgan (p. A198).

Utvärderingar av prestationer av ansvariga för kvalitetsstyrningssystemet

18.14Revisionsföretaget ska utföra periodvisa utvärderingar av de ytterst ansvariga för kvalitetsstyrningssystemet och den operativt ansvarige för kvalitetsstyrningssystemet. Utvärderingen av kvalitetsstyrningssystemet i sig självt ska även beaktas i dessa utvärderingar (p. 56).

18.15Utvärderingarna ska beakta:

  • Resultaten av revisionsföretagets övervakningsaktiviteter avseende aspekter av kvalitetsstyrningssystemet som relaterar till den utvärderades ansvar. I vissa fall kan resultatet av revisionsföretagets motåtgärder utgöra grund för att mäta den ansvariges prestation, i relevanta delar.

  • Den utvärderades åtgärder i relation till de identifierade bristerna inom ramen för den utvärderades ansvar, inklusive tidpunkten och effekten av dessa åtgärder.

18.16Ett mindre revisionsföretag kan anlita en extern tjänsteleverantör, nätverk eller nätverksföretag för att utföra utvärderingen eller låta resultaten av revisionsföretagets övervakningsaktiviteter ge en indikation om hur de ansvariga har presterat (p. A199).

19 Dokumentation

19.1Revisionsföretaget ska säkerställa att dokumentationen av kvalitetsstyrningssystemet är tillräcklig för att

  • möjliggöra att alla medarbetare förstår kvalitetsstyrningssystemet, inklusive att var och en förstår sin egen roll och ansvar i förhållande till kvalitetsstyrningssystemet och utförandet av uppdrag,

  • stödja ett konsekvent införande och hantering av motåtgärder, och

  • visa hur kvalitetsstyrningssystemet är utformat, infört och hur hanteringen av motåtgärder sker för att stödja utvärderingen av kvalitetsstyrningssystemet (p. 57).

19.2Dokumentationen ger bevis för att revisionsföretaget följer ISQM 1 samt lagar, regler och relevanta yrkesetiska krav. Den kan också användas för att utbilda medarbetare och för att behålla kunskap om kvalitetsstyrningssystemet inom organisationen samt som historik över grunden för beslut avseende kvalitetsstyrningssystemet. Det är dock varken nödvändigt eller praktiskt möjligt för revisionsföretaget att dokumentera alla frågor eller bedömningar om sitt kvalitetsstyrningssystem (p. A202).

19.3Revisionsföretaget får självt bestämma formen på dokumentationen. Den kan till exempel finnas i form av skriftliga manualer, handböcker, checklistor och formulär. Dokumentationen ska vara begriplig och tillgänglig för medarbetarna i den mån det behövs för att de konsekvent ska kunna utföra uppdrag med god kvalitet samt övriga aktiviteter inom kvalitetsstyrningssystemet.

19.4Faktorer som påverkar dokumentationens innehåll och omfattning samt hur ofta dokumentationen uppdateras, kan vara

  • revisionsföretagets storlek och antalet kontor,

  • karaktären av revisionsföretagets uppdrag och kunder,

  • egenskaperna för det som dokumenteras, till exempel om det rör sig om en förändring inom kvalitetsstyrningssystemet eller ett område med hög nivå av risk,

  • komplexiteten i det som ska dokumenteras, och

  • frekvensen och omfattningen av förändringar i kvalitetsstyrningssystemet (p. A203).

19.5Revisionsföretagets dokumentation ska inkludera:

  • identifiering av de personer som tilldelats det yttersta ansvaret för kvalitetsstyrningssystemet och den som tilldelats det operativa ansvaret för kvalitetsstyrningssystemet,

  • revisionsföretagets kvalitetsmål och kvalitetsrisker,

  • en beskrivning av motåtgärder och hur motåtgärderna relaterar till kvalitetsriskerna,

  • avseende övervaknings- och åtgärdsprocessen:

    • bevis på genomförda övervakningsaktiviteter,

    • utvärderingen av resultatet av övervakningen och identifierade brister och deras grundorsaker,

    • kommunikation om övervakning och åtgärder, och

  • grunden för slutsatsen (a, b eller c i p. 54 i ISQM 1) från utvärderingen av kvalitetsstyrningssystemet (p. 58).

19.6Revisionsföretaget är inte skyldigt att dokumentera övervägande av samtliga villkor, händelser, omständigheter, åtgärder eller brist på åtgärder för varje kvalitetsmål, eller varje risk som kan orsaka en kvalitetsrisk. Dokumentationen av kvalitetsriskerna och hur revisionsföretagets motåtgärder hanterar kvalitetsriskerna inklusive anledningar till bedömningarna av kvalitetsriskerna kan dock stödja ett konsekvent utförande av motåtgärderna (p. A205).

19.7Om revisionsföretaget tillhör ett nätverk ska dokumentation enligt ovan även innehålla sådana frågor som gäller nätverkskrav eller nätverkstjänster och utvärdering av nätverkskrav eller nätverkstjänster (p. 59). Även frågor som gäller externa tjänsteleverantörer bör beaktas på samma sätt. Till exempel bör en bedömning av hur nätverkskrav, nätverkstjänster eller andra externa tjänster påverkar kvalitetsstyrningssystemet dokumenteras, det vill säga hur man har kommit fram till att dessa krav eller tjänster inte påverkar kvaliteten i revisionsföretaget negativt. Dokumentationen kan tillhandahållas av nätverket eller andra nätverksföretag (p. A206).

19.8Revisionsföretaget ska fastställa hur lång tid dokumentationen avseende kvalitetsstyrningssystemet ska bevaras. Tidsperioden ska vara tillräcklig för att göra det möjligt för revisionsföretaget att övervaka utformningen, införandet och användningen av kvalitetsstyrningssystemet (p. 60). Dokumentation som utgör uppdragsdokumentation enligt 24 § första stycket revisorslagen och 7, 8 och 10 §§ RIFS 2018:2, ska bevaras i tio år från utgången av det kalenderår då granskningen avslutades30, vilket också är en rimlig tidsperiod för att arkivera dokumentation av kvalitetsstyrningssystemet.

Revisorsinspektionens föreskrifter (2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet, 12 §.

19.9I vissa fall kan en extern tillsynsmyndighet fastställa dokumentationskrav, till exempel som ett resultat av externa granskningar. Relevanta yrkesetiska krav kan också innehålla specifika dokumentationskrav, till exempel kräver IESBAs Etikkod dokumentation av särskilda frågor, inklusive vissa situationer relaterade till intressekonflikter, bristande regelefterlevnad och oberoende (p. A204).

19.10Ett mindre revisionsföretag kan använda sig av mer informella metoder när det dokumenterar sitt kvalitetsstyrningssystem, till exempel checklistor, formulär och anteckningar. Kanske är det inte nödvändigt att ha dokumentation som stöd i vissa frågor som rör kvalitetsstyrningssystemet då informella kommunikationsmetoder kan vara tillräckligt effektiva. Revisionsföretaget bör dock på något sätt dokumentera sådan kommunikation för att bevisa att den inträffade (p. A203).