Tillämpning av ISQM 1 för små och medelstora revisionsföretag

1.5ISQM 1 behandlar revisionsföretagets ansvar för att utforma, införa och använda ett kvalitetsstyrningssystem avseende revision och översiktlig granskning av finansiella rapporter samt andra bestyrkandeuppdrag och näraliggande tjänster.

1.6Regler om uppdragsanknuten kvalitetskontroll, utnämning av en särskild kvalitetsgranskare av uppdrag samt utförande och dokumentation av uppdragsanknuten kvalitetskontroll behandlas i International Standard on Quality Management 2 (ISQM 2), Uppdragsanknuten kvalitetskontroll.

1.7Kursiv stil i denna vägledning innebär att innehållet är hämtat från ISQM 1s “ska”-krav, det vill säga punkterna (p.) 1–60 i standarden. Att texten är hämtad innebär inte att den är direktöversatt, och skrivningen i standarderna har alltid företräde och är gällande. FAR har dock försökt att använda ett enklare språk för att underlätta för revisionsföretagen. Övrig text är baserad på avsnittet Tillämpning och andra förtydliganden, det vill säga punkterna A1–A206. Där inget annat anges avser referenserna p. och A ISQM 1.

1.8Denna vägledning omfattar även de delar av ISQM 2 som behandlar vem som ska utse den särskilda kvalitetsgranskaren gällande uppdrag som omfattas av uppdragsanknuten kvalitetskontroll och vem som ska utföra den uppdragsanknutna kvalitetskontrollen. Där det är aktuellt hänvisas i vägledningen specifikt till ISQM 2.

1.9Revisionsföretagets kvalitetsstyrningssystem ska innehålla åtta komponenter (p. 6):

1. Riskbedömningsprocess

2. Styrning och ledarskap

3. Relevanta yrkesetiska krav

4. Acceptera och behålla kundrelationer och specifika uppdrag

5. Uppdragets utförande

6. Resurser

7. Information och kommunikation

8. Övervaknings- och åtgärdsprocess

Revisionsföretaget får använda en annan terminologi för att beskriva komponenterna ovan (p. A3).

1.10Revisionsföretaget ska ha ett riskbaserat tillvägagångssätt när det utformar, inför och tillämpar komponenterna i ramverket på ett integrerat och koordinerat sätt så att revisionsföretaget proaktivt hanterar kvaliteten i uppdrag (p. 7 och A4). Det riskbaserade tillvägagångssättet är integrerat i kraven i ISQM 1 och revisionsföretaget tillämpar det riskbaserade tillvägagångssättet genom att

• etablera och uppnå de obligatoriska kvalitetsmålen som följer av denna vägledning (i tillämpliga fall) och eventuella andra kvalitetsmål som kan behövas för att uppnå de övergripande målen med kvalitetsstyrningssystemet, se avsnitt 2,

• identifiera och bedöma riskerna (kvalitetsrisker) för att kvalitetsmålen inte uppnås, och

• utforma och införa motåtgärder för att hantera kvalitetsriskerna (p. 8).

Syftet med kvalitetsstyrningssystemet är att revisionsföretaget ska säkerställa att kvalitetsmålen uppnås och att detta är dokumenterat, vilket ska utvärderas årligen (p. 9).

1.11Revisionsföretagets kvalitetsmål är det önskade resultatet som revisionsföretaget måste uppnå i förhållande till respektive komponent inom revisionsföretagets kvalitetsstyrningssystem. Kvalitetsmålen kan även beskrivas som de olika målen som revisionsföretaget måste uppnå för att uppnå de övergripande målen med kvalitetsstyrningssystemet, det vill säga att följa standarder för yrkesutövningen och tillämpliga lagar och regler samt upprätta lämpliga och korrekta rapporter avseende sina uppdrag, se även avsnitt 2.

Skalbarhet

8.8Revisionsföretaget ska fastställa de kvalitetsmål som anges i denna vägledning och eventuella ytterligare kvalitetsmål som är nödvändiga för att revisionsföretaget ska uppnå målen med kvalitetsstyrningssystemet (p. 24).

8.9Lagar eller regler kan ställa krav på ytterligare kvalitetsmål (p. A42) men för ett mindre revisionsföretag är ytterligare kvalitetsmål möjligen inte nödvändiga (p. A43). En bedömning av huruvida de obligatoriska kvalitetsmålen är tillräckliga och relevanta måste dock göras även av det mindre revisionsföretaget. Revisionsföretaget kan även fastställa delmål för att underlätta när det identifierar och bedömer kvalitetsrisker samt utformar och inför motåtgärder (p. A44).

8.10Revisionsföretaget ska identifiera och bedöma kvalitetsrisker som en grund för utformningen och implementeringen av motåtgärder. Revisionsföretaget ska därigenom beakta hur och i vilken omfattning omständigheter negativt kan påverka möjligheterna att uppnå kvalitetsmålen, inklusive

• revisionsföretagets strategiska och operativa beslut, verksamhetsprocesser och affärsmodell,

• karaktären av revisionsföretagets ledarstil,

• revisionsföretagets interna och externa resurser,

• standarder för yrkesutövningen och tillämpliga lagar och regler och den miljö där revisionsföretaget verkar,

• nätverkskrav och nätverkstjänster (om revisionsföretaget tillhör ett nätverk),

• typen av uppdrag som revisionsföretaget utför, och

• typen av kunder som revisionsföretaget utför uppdrag åt (p. 25).

8.11Revisionsföretagets arbete med att identifiera och bedöma kvalitetsrisker kan börja med en bruttolista över samtliga kvalitetsrisker som kan vara aktuella för revisionsföretaget i förhållande till kvalitetsmålen. Därefter bör sådana kvalitetsrisker sorteras bort som vid närmare eftertanke inte bedöms sannolika att inträffa eller inte bedöms få någon betydande effekt.

8.12Det är viktigt att revisionsföretaget beaktar både uppdragsspecifika och företagsspecifika kvalitetsrisker. Uppdragsspecifika kvalitetsrisker är relaterade till utförandet av själva uppdraget och övervakas regelbundet genom de interna uppdragskontrollerna. De företagsspecifika kvalitetsriskerna är alla risker inom revisionsföretaget som inte är uppdragsspecifika (även om risken oftast indirekt är relaterad till att uppdrag inte konsekvent utförs med god kvalitet), till exempel:

• Styrelsen och ledningen har ett bristfälligt engagemang för kvalitet vilket kan leda till brister i uppdragens kvalitet.

• Beslut om finansiella eller operativa prioriteringar beaktar inte vikten av att varje uppdrag konsekvent ska utföras med god kvalitet.

• Medarbetare som anställs har inte relevant kunskap eller erfarenhet för att konsekvent utföra uppdrag med god kvalitet.

• Medarbetare utvecklar inte sin kunskap och kompetens för att konsekvent kunna utföra uppdrag med god kvalitet.

• Tjänster och resurser som erhålls från externa tjänsteleverantörer är inte ändamålsenliga på grund av bristfällig information från revisionsföretaget.

• Medarbetare bedriver otillåten sidoverksamhet vilket leder till att revisionsföretaget inte följer tillämpliga lagar och regler.

8.13Revisionsföretaget behöver beakta att de motåtgärder som införs av revisionsföretaget för att motverka identifierade kvalitetsrisker i sin tur kan orsaka nya kvalitetsrisker. Till exempel kan revisionsföretaget implementera en it-applikation för att hantera en kvalitetsrisk med följden att nya kvalitetsrisker uppstår vid användningen av den nya it-applikationen (p. A47).

8.14Revisionsföretaget ska utforma och införa motåtgärder som beaktar anledningen till kvalitetsriskerna. Motåtgärderna ska inkludera de motåtgärder som framgår i avsnitt 15 (p. 26).

8.15Motåtgärderna ska anpassas så att de på ett effektivt sätt beaktar anledningen till den kvalitetsrisk som motåtgärden ska avhjälpa (p. A49). Kvalitetsrisker som är sannolika och har hög påverkan på kvalitetsmålen måste motverkas av kraftigare motåtgärder och vice versa. Motåtgärderna måste helt enkelt skräddarsys till varje enskild kvalitetsrisk, även om en och samma motåtgärd kan motverka flera kvalitetsrisker.

8.16Revisionsföretaget ska införa motåtgärder för alla kvalitetsrisker som är förenade med en viss sannolikhet att de ska inträffa, och både enskilt och tillsammans med andra omständigheter kan innebära en väsentlig risk för att kvalitetsmålen inte uppnås.

8.17Revisionsföretaget ska fastställa riktlinjer som är utformade för att identifiera när ytterligare eller modifierade kvalitetsmål, kvalitetsrisker eller motåtgärder behövs på grund av att omständigheter avseende revisionsföretaget eller dess uppdrag förändras. Om sådana förändringar identifieras ska revisionsföretaget bedöma omständigheterna och vid behov

• fastställa ytterligare kvalitetsmål eller modifiera kvalitetsmål,

• identifiera och bedöma ytterligare kvalitetsrisker, ändra eller omvärdera kvalitetsrisker, och

• utforma och införa ytterligare motåtgärder, eller ändra befintliga motåtgärder (p. 27).

8.18I ett mindre revisionsföretag kan riktlinjer och rutiner för att identifiera dessa förändringar vara mindre omfattande och formella. Det gäller särskilt när den eller de personer som är ansvariga för att fastställa kvalitetsmål, identifiera och bedöma kvalitetsrisker och utforma och införa motåtgärder kan identifiera förändringar genom den löpande verksamheten (p. A52).

11.7Revisionsföretaget måste alltid genomföra en oberoendeanalys i samband med processen för att acceptera och behålla en kundrelation eller ett specifikt uppdrag. Relevanta yrkesetiska krav inklusive oberoendefrågor behandlas separat i avsnitt 10 och punkterna 15.3–15.9.

11.8I samband med revisionsföretagets process för att acceptera och behålla kundrelationer och specifika uppdrag ska revisionsföretaget skaffa tillräcklig kännedom om kunden och kunna hantera risken för penningtvätt och finansiering av terrorism. En affärsförbindelse får inte etableras om det finns misstanke om att revisionsföretagets tjänster kan komma att användas för penningtvätt eller finansiering av terrorism och misstänkta aktiviteter och transaktioner ska rapporteras till Finanspolisen.8

11.9Revisionsföretaget är skyldigt att upprätta följande:

• En dokumenterad riskbedömning av hur revisionsföretaget skulle kunna utnyttjas för penningtvätt eller finansiering av terrorism.

• Dokumenterade riktlinjer och rutiner avseende de åtgärder som revisionsföretaget är skyldigt att vidta enligt penningtvättslagen (kundkännedom, övervakning och rapportering samt behandling av personuppgifter).

• Rutiner för att säkerställa lämpligheten hos medarbetare som utför arbetsuppgifter av betydelse för att förhindra att verksamheten används för penningtvätt eller finansiering av terrorism.

• Rutiner för utbildning och skydd för medarbetarna.9

11.10I övrigt ska revisionsföretaget beakta de åtgärder och skyldigheter som framgår av penningtvättslagen och EtikU 11 avseende att uppnå kundkännedom och hantera risken för penningtvätt och finansiering av terrorism.

12.2Kvalitetsmål:

• Uppdragsteamet förstår och uppfyller sina åtaganden inklusive det övergripande ansvaret för den uppdragsansvarige att hantera och uppnå kvalitet i uppdraget samt vara tillräckligt involverad i uppdraget (p. 31 a).

• Vägledning och övervakning av uppdragteamet ska anpassas avseende tillvägagångssätt, tidpunkt och omfattning på ett sätt som är lämpligt för uppdraget. Arbetet som mindre erfarna medarbetare utför sker under vägledning, övervakning och genomgång av mer erfarna teammedlemmar (p. 31 b).

12.3Det är avgörande för konsekvent god kvalitet i uppdragen att samtliga i uppdragsteamet förstår vad de ska göra och sedan faktiskt utför de uppgifter som de tilldelats på rätt sätt. Uppdragsansvarig är ansvarig för att det sker och måste vara tillräckligt engagerad i uppdraget för att kunna säkerställa detta.

12.4Även ISA 22010 innehåller bestämmelser om den uppdragsansvariges övergripande ansvar för att hantera kvalitet i uppdraget och att vara tillräckligt involverad i uppdraget (p. A75).

12.5Under vissa omständigheter kan revisionsföretaget inkludera medarbetare från ett internt servicecenter (om sådant finns), eller medarbetare från ett servicecenter inom ett annat nätverksföretag, i uppdragsteamet. I det fallet måste revisionsföretagets riktlinjer och rutiner även inkludera vägledning och övervakning av servicecentrets medarbetare och genomgång av utfört arbete, samt

• vilka områden av uppdraget som kan tilldelas medarbetare inom servicecentret,

• hur uppdragsansvarig eller teammedlemmar förväntas vägleda, övervaka och granska det arbete som utförs av medarbetare inom servicecentret, och

• hur formerna för kommunikation mellan uppdragsteamet och medarbetare inom servicecentret ska se ut (p. A77).

12.6Kvalitetsmålen i detta avsnitt är av naturliga skäl inte tillämpliga för ett enmansföretag.

12.7Kvalitetsmål: Uppdragsteamet utövar ett lämpligt professionellt omdöme och professionell skepticism (p. 31 c).

12.8ISA 22011 ger exempel på hinder för utövandet av professionell skepticism på uppdragsnivå, exempel på bristande objektivitet som kan hindra utövandet av professionell skepticism och möjliga motåtgärder som uppdragsteamet kan vidta (p. A78).

12.9Kvalitetsmål: Uppdragsteamet ska konsultera lämpliga personer avseende komplicerade eller tvistiga frågor och ta hänsyn till slutsatserna i uppdraget (p. 31 d).

12.10En miljö som förstärker vikten av konsultation och uppmuntrar uppdragsteamen till konsultation med lämpliga personer kan främja en kvalitetskultur inom revisionsföretaget (p. A79). Revisionsföretaget bör besluta om vilken typ av frågor som ska vara föremål för konsultation samt på vilket sätt slutsatser ska beaktas eller beslutas om (p. A80). ISA 22012 innehåller krav på den uppdragsansvarige när det gäller konsultation (p. A81). Det är dock lika viktigt att den som förser uppdragsteamet med råd följer upp att dessa beaktas som det är för uppdragsteamet att säkerställa att uppdragsteamet vid behov konsulterar lämpliga personer och dokumenterar detta i uppdragsdokumentationen.

12.11Ett enmansföretags kvalitetsmål avseende konsultation måste avse revisorns konsultation med någon utanför revisionsföretaget. Revisorn kan till exempel nyttja rådgivningstjänster som erbjuds av externa tjänsteleverantörer, nätverk, andra nätverksföretag, branschorganisationer eller andra branschkollegor. Vem som konsulteras i det enskilda ärendet varierar efter frågans karaktär.

12.12Kvalitetsmål: Meningsskiljaktigheter inom uppdragsteamet eller mellan uppdragsteam och kvalitetsgranskare i samband med uppdragets utförande eller mellan personer som utför aktiviteter inom kvalitetsstyrningssystemet ska lyftas och hanteras (p. 31 e).

12.13Revisionsföretaget bör uppmuntra att meningsskiljaktigheter identifieras i ett tidigt skede. Revisionsföretaget kan specificera hur meningsskiljaktigheter hanteras och hur relaterade slutsatser ska dokumenteras i årsakten (p. A82).

12.14Kvalitetsmål: Uppdragsdokumentation ska slutföras i rätt tid efter rapportens upprättande och den ska förvaras på ett lämpligt sätt för revisionsföretagets behov och enligt standarder för yrkesutövningen och tillämpliga lagar, regler och relevanta yrkesetiska krav (p. 31 f).

12.15Vid granskning av finansiella rapporter eller andra bestyrkandeuppdrag som utförs enligt ISA eller ISAE ska sammanställning av all nödvändig uppdragsdokumentation som krävs för att skriva under uppdragsrapporten ske senast vid tidpunkten då uppdragsrapporten skrivs under. Viss sammanställning av administrativ karaktär kan tillåtas senast 60 dagar efter avlämnandet av uppdragsrapporten (p. A83). Arkivering av uppdragsdokumentation ska ske på ett säkert sätt så att den inte kan bli förstörd eller nås av obehöriga, samtidigt som dokumentationen ska vara lättillgänglig. Lagringstiden för granskningsdokumentation är enligt RIFS 2018:213 tio år från utgången av det kalenderår då granskningen avslutades.

13.3Kvalitetsmål: Medarbetare anställs, utvecklas och behålls och har kompetens och möjlighet att

• konsekvent utföra uppdrag med god kvalitet, inklusive ha kunskap och erfarenhet som är relevant för uppdragen som revisionsföretaget utför, och

• utföra aktiviteter eller fullgöra åtaganden relaterat till användningen av kvalitetsstyrningssystemet (p. 32 a).

13.4Revisionsföretaget bör fastställa riktlinjer och rutiner som behandlar hur revisionsföretaget anställer, utvecklar och behåller medarbetare och har kompetens, möjlighet, kunskap och erfarenhet att utföra uppdrag och aktiviteter inom kvalitetsstyrningssystemet. Riktlinjerna bör innehålla regler om hur uppdragsansvariga och medarbetare ska fördelas till olika uppdrag och aktiviteter inom kvalitetsstyrningssystemet, inklusive att det ska säkerställas att de har tillräckligt med tid att konsekvent utföra uppdragen med god kvalitet. Riktlinjerna bör även innehålla regler om att revisionsföretaget ska utvärdera medarbetarnas prestation och engagemang för kvalitet. Det bör även framgå att denna utvärdering har påverkan på ersättningar och andra incitament och kan även resultera i konsekvenser (vidareutbildning, negativ påverkan på eventuell bonus eller befordran, avsked etc.) om medarbetaren agerar på ett sätt som får negativ inverkan på kvaliteten inom revisionsföretaget.

13.5Ett enmansföretags kvalitetsmål inom detta avsnitt är av naturliga skäl begränsade till revisorns utveckling och kompetens och att revisorn konsekvent utför uppdrag med god kvalitet och utför aktiviteter och fullgör sina åtaganden enligt revisionsföretagets kvalitetsstyrningssystem. Motåtgärder för ett enmansföretag bör innefatta:

• Att revisorn löpande bedömer och dokumenterar sitt kunskaps- och kompetensbehov.

• Att revisorn genomför och dokumenterar relevanta vidareutbildningar och kompetenshöjande aktiviteter för att säkerställa att kunskaps- och kompetensbehovet tillgodoses.

13.6Det finns även andra regler utöver ISQM 1 som ställer krav på kompetens och kapacitet, till exempel krav för auktorisation och professionell licensiering av revisorer, inklusive krav avseende deras yrkesutbildning och fortsatta yrkesutveckling (p. A89), såsom som FARs regler för vidareutbildning14.

Medarbetarnas ansvarstagande för kvalitet

Personer som anlitas från extern part

Tilldelning av uppdrag och aktiviteter inom kvalitetsstyrningssystemet

13.19Kvalitetsmål: Lämpliga tekniska resurser anskaffas eller utvecklas, införs, underhålls och används för att möjliggöra användningen av kvalitetsstyrningssystemet och utförande av uppdrag (p. 32 f).

13.20En teknisk resurs (oftast it-applikationer) kan tjäna flera syften inom revisionsföretaget och vissa av syftena kanske inte är relaterade till kvalitetsstyrningssystemet. Tekniska resurser som är relevanta för kvalitetsstyrningssystemet är sådana som

• används direkt vid utformning, införande, användning eller uppföljning av kvalitetsstyrningssystemet,

• används av uppdragsteam vid utförande av uppdrag, och

• är väsentliga för att möjliggöra för revisionsföretaget att effektivt upprätthålla ovanstående, såsom servrar, molntjänster och it-processer som stöder it-applikationer (p. A99).

13.21Revisionsföretaget kan överväga följande frågor när det gäller att anskaffa, utveckla, införa, underhålla och använda en it-applikation:

• Är datainmatningar fullständiga och korrekta?

• Upprätthålls sekretess för uppgifterna/är informationen skyddad mot intrång?

• Uppdateras it-applikationen så som den bör?

• Finns det en back-up om fel i it-applikationens funktion uppstår?

• Är informationen från it-applikationen korrekt?

• Är it-kontrollerna som är nödvändiga för att stödja it-applikationens fortsatta drift lämpligt utformade?

• Görs ändringar på ett tillförlitligt sätt?

• Finns det behov av utbildning av medarbetare för att effektivt använda it-applikationen?

• Finns det behov av rutiner/instruktioner som beskriver hur it-applikationen fungerar? (p. A100)

13.22Ett mindre revisionsföretags tekniska resurser kan bestå av en it-applikation som har anskaffats från en extern tjänsteleverantör. it-processerna som stödjer driften av en sådan it-applikation kan också vara relevanta för att upprätthålla kvalitetsstyrningssystemets syfte, även om de kan vara enkla, till exempel processer för att uppdatera och auktorisera åtkomst till it-applikationen (p. A99).

13.23Kvalitetsmål: Lämpliga intellektuella resurser anskaffas eller utvecklas, införs, underhålls och används för att möjliggöra användningen av kvalitetsstyrningssystemet och utförande av uppdrag och intellektuella resurser överensstämmer med standarder för yrkesutövningen och tillämpliga lagar och regler (p. 32 g).

13.24Intellektuella resurser kan till exempel vara skriftliga riktlinjer eller rutiner, en metodik, bransch- eller ämnesspecifika guider, bokföringsguider, dokumentationsmallar eller informationskällor, till exempel prenumerationer på webbplatser som ger information om företag (p. A102).

13.25Revisionsföretaget behöver säkerställa att de informationskällor som används av medarbetarna är tillräckliga och hålls uppdaterade och moderna. Lika viktigt är det att säkerställa att medarbetarna känner till vilka informationskällor som finns och inte använder gamla informationskällor i brist på vetskap om de nya.

13.26Förutom de informationskällor som nämns ovan kan vissa medarbetare besitta mycket kunskap om vissa frågor. För att inte all denna kunskap ska gå förlorad om medarbetaren slutar på revisionsföretaget behöver det finnas en rutin för att i god tid föra över kunskapen till en annan person inom revisionsföretaget.

13.27Kvalitetsmål: Medarbetare, tekniska resurser eller intellektuella resurser från en extern tjänsteleverantör är lämpliga för kvalitetsstyrningssystemet och för utförande av uppdrag, med hänsyn till relaterade kvalitetsmål (p. 32 h).

13.28Revisionsföretaget är ansvarigt för sitt kvalitetsstyrningssystem även om det använder resurser från en extern tjänsteleverantör och måste därför se till att de är lämpliga för att använda inom kvalitetsstyrningssystemet.

13.29Revisionsföretaget behöver överväga hur och i vilken utsträckning externa resurser kommer att användas samt den externa tjänsteleverantörens egenskaper och omständigheter för att identifiera och bedöma kvalitetsrisker relaterade till sådana resurser (p. A106). Beslut om att använda externa resurser bör godkännas av företagsledaren, ledningen eller annan behörig person.

13.30Vid bedömning av om en extern resurs är lämplig för användning i kvalitetsstyrningssystemet eller för att utföra revisionsuppdrag kan revisionsföretaget till exempel behöva överväga

• hur ofta en it-applikation uppdateras, vilka begränsningar den har och hur leverantören hanterar informationssäkerhet,

• i vilken utsträckning en resurs används inom revisionsföretaget, hur resursen kommer att användas och om den är lämplig för ändamålet,

• om resursen behöver anpassas och i så fall i vilken omfattning,

• revisionsföretagets tidigare användning av resurser från den externa tjänsteleverantören, och

• den externa tjänsteleverantörens erfarenhet inom branschen och rykte på marknaden (p. A107).

13.31Revisionsföretaget kan ha ett ansvar att vidta ytterligare åtgärder för att använda resursen från en extern tjänsteleverantör så att resursen fungerar effektivt. Revisionsföretaget kan till exempel behöva ge information till den externa tjänsteleverantören för att resursen ska fungera effektivt eller ha it-infrastruktur och it-processer på plats för att en it-applikation ska kunna användas (p. A108).

14.3Kvalitetsmål: Informationssystemet identifierar, inhämtar, bearbetar och underhåller relevant och pålitlig information som stödjer kvalitetsstyrningssystemet, oavsett om informationen kommer från en intern eller extern källa (p. 33 a).

14.4Hantering av information kan i vissa fall vara inbäddad i andra komponenter inom kvalitetsstyrningssystemet och är ofta integrerad med it-applikationer. Revisionsföretaget ska ha riktlinjer och rutiner som behandlar hur information ska kommuniceras inom revisionsföretaget och till och från externa parter samt vems ansvar det är att kommunikationen sker.

14.5Ett mindre revisionsföretag med få anställda och direkt involverade ledare behöver normalt mindre strikta riktlinjer och rutiner som anger hur information ska identifieras, inhämtas, bearbetas och underhållas (p. A111).

14.6Kvalitetsmål: Revisionsföretagets kultur erkänner och förstärker medarbetarnas ansvar att utbyta information med revisionsföretaget och med varandra (p. 33 b).

14.7Ledningen i revisionsföretaget måste säkerställa att dess signaler (“tone at the top”) till medarbetarna erkänner och förstärker medarbetarnas ansvar att utbyta information. Medarbetarna behöver även ges tid till att producera och kommunicera information och kunna lita på att den information som de kommunicerar hanteras på ett varsamt sätt.

14.8Kvalitetsmål: Relevant och pålitlig information utbyts inom hela revisionsföretaget och med uppdragsteam vilket innebär att

• lämplig och tillräcklig information kommuniceras till medarbetarna i god tid, så att medarbetarna kan förstå och utföra sina åtaganden i uppdrag eller inom kvalitetsstyrningssystemet, och

• medarbetare och uppdragsteam kommunicerar information till revisionsföretaget när de utför aktiviteter inom kvalitetsstyrningssystemet eller uppdrag (p. 33 c).

14.9Revisionsföretaget kan underlätta och förstärka medarbetarnas ansvar för att utbyta information med ledningen och med varandra genom att upprätta kommunikationskanaler.

14.10Kvalitetsmålen i detta avsnitt är av naturliga skäl inte tillämpliga för ett enmansföretag.

14.11Kvalitetsmål: Relevant och pålitlig information kommuniceras till, eller inom, revisionsföretagets nätverk eller till en extern tjänsteleverantör för att underlätta för dem att fullgöra sina åtaganden relaterat till de tjänster de erbjuder (p. 33 d i).

14.12Förutom den kommunikation som sker till eller inom revisionsföretagets nätverk eller till en extern tjänsteleverantör för att underlätta för dem att fullgöra sina åtaganden, kan revisionsföretaget behöva få information från en extern tjänsteleverantör, revisionsföretagets nätverk eller ett annat nätverksföretag för att stödja kvalitetsstyrningssystemet. Ett exempel på viktig information som revisionsföretaget kan behöva inhämta är information om andra nätverksföretags kunder, i fall där det finns överväganden kring oberoende som påverkar revisionsföretaget (p. A113). Sådan information ska beaktas i processen för att acceptera och behålla kundrelationer och uppdrag, inklusive analysmodellen17. Informationen behöver innehålla uppgifter om vem som utför kundföretagets redovisning (inkluderat grundbokföring, huvudbokföring, årsbokslut och årsredovisning) och annan rådgivning som inte är revisionsverksamhet.

14.13På motsvarande sätt behöver revisionsföretaget i samband med redovisningsuppdrag och andra rådgivningsuppdrag få information om vem som är revisor i kundföretaget. För att underlätta ett sådant informationsutbyte bör det finnas ett centralt register över de revisions- och redovisningsföretag som ingår i nätverket, som är tillgängligt för alla medarbetare som omfattas av oberoendereglerna.

14.14Kvalitetsmål: Information ska kommuniceras externt när det krävs enligt standarder för yrkesutövningen och tillämpliga lagar och regler eller för att främja externa parters förståelse för revisionsföretagets kvalitetsstyrningssystem (p. 33 d ii).

14.15I vissa fall kan lagar eller regler förbjuda revisionsföretaget från att kommunicera information relaterad till dess kvalitetsstyrningssystem externt, till exempel på grund av tystnadsplikt, regler avseende informationssäkerhet (GDPR)22 eller regler om marknadsmissbruk (MAR)23 (p. A115).

15.3Revisionsföretaget ska fastställa riktlinjer för att identifiera, utvärdera och hantera hot mot efterlevnad av relevanta yrkesetiska krav inklusive oberoendekrav (p. 34 a i).

15.4IESBAs Etikkod innehåller ett konceptuellt ramverk för identifiering och utvärdering av hot mot efterlevnad av relevanta yrkesetiska krav (p. A117). Enligt IESBAs Etikkod tillhör hot mot revisionsföretagets oberoende någon av följande kategorier24:

• Egenintressehot: Hot om att ett ekonomiskt eller annat intresse på ett felaktigt sätt kommer att påverka en medlems bedömning eller beteende.

• Självgranskningshot: Hot om att en medlem inte kommer att utvärdera ett tidigare ställningstagande eller utfört arbete som medlemmen själv har utfört eller som en kollega inom samma revisionsföretag har utfört, på ett lämpligt sätt.

• Partsställningshot: Hot om att en medlem kommer att främja en kunds eller arbetsgivarens intressen till den grad att medlemmens objektivitet äventyras.

• Vänskapshot: Hot om att en medlem i alltför hög grad sympatiserar med en kunds eller arbetsgivares intressen eller är alltför accepterande avseende deras arbete, på grund av en lång eller nära relation med en kund eller arbetsgivare.

• Skrämselhot: Hot om att en medlem kommer att avskräckas från att agera objektivt på grund av faktiska eller upplevda påtryckningar, inklusive försök att utöva otillbörligt inflytande över medlemmen.

15.5Revisionsföretaget ska fastställa riktlinjer eller rutiner för att identifiera, kommunicera, utvärdera och rapportera överträdelser av relevanta yrkesetiska krav och på lämpligt sätt åtgärda orsakerna till överträdelserna i rätt tid (p. 34 a ii).

15.6IESBAs Etikkod anger krav för revisionsföretaget i händelse att revisionsföretaget bryter mot Etikkoden. Den innehåller även specifika krav vid överträdelser av reglerna för oberoende, vilket inkluderar krav för kommunikation med oberoende parter (p. A118).

15.7Frågor som revisionsföretaget bör beakta i sina riktlinjer relaterat till överträdelser av relevanta yrkesetiska krav inkluderar

• att meddela överträdelser av relevanta yrkesetiska krav till lämplig person inom revisionsföretaget,

• att göra en bedömning av betydelsen av en överträdelse,

• att definiera åtgärder som ska vidtas skyndsamt för att hantera konsekvenserna av en överträdelse,

• att avgöra om en överträdelse ska rapporteras till externa parter, till exempel till styrelsen för det företag vilket överträdelsen gäller eller till en extern tillsynsmyndighet, och

• att fastställa lämpliga åtgärder som ska vidtas i förhållande till den person som begått överträdelsen (p. A119).

15.8Revisionsföretaget ska minst årligen erhålla en dokumenterad oberoendebekräftelse från alla medarbetare som ska följa relevanta yrkesetiska krav (p. 34 b).

15.9Ett enmansföretags rutiner för att identifiera, utvärdera och hantera hot mot efterlevnad av relevanta yrkesetiska krav kan bestå i att:

• Revisorn håller sig uppdaterad om relevanta yrkesetiska krav genom att årligen gå igenom IESBAs Etikkod, FARs etiska regler och revisorslagen avseende god revisorssed för att försäkra sig om att han/hon tar del av förändringar som skett sedan föregående år.

• Revisorn utför och dokumenterar en kundutvärdering för alla uppdrag och en prövning enligt analysmodellen för att säkerställa sitt oberoende.

15.10Revisionsföretaget ska fastställa riktlinjer för att ta emot, undersöka och hantera klagomål och påståenden om underlåtenhet att utföra arbete enligt standarder för yrkesutövningen och tillämpliga lagar och regler eller bristande efterlevnad av revisionsföretagets riktlinjer eller rutiner enligt ISQM 1 (p. 34 c).

15.11Klagomål och påståenden kan komma internt eller externt ifrån, till exempel från

• medarbetare inom revisionsföretaget,

• kunder, avseende exempelvis fakturafrågor, försenade arbeten på uppdrag och andra kvalitetsmässiga brister,

• revisorer från enheter inom en koncern i samband med en koncernrevision, och

• personer inom revisionsföretagets nätverk (p. A121).

15.12Ett enmansföretags kvalitetsmål avseende hantering av klagomål och påståenden är av naturliga skäl begränsade till klagomål och påståenden från externa parter, till exempel kunder. Vid klagomål som framförs mot revisionsföretaget kan revisionsföretaget behöva konsultera FAR, erfarna branschkollegor eller revisionsföretagets försäkringsbolag, beroende på vad klagomålet handlar om.

15.13Revisionsföretaget ska fastställa riktlinjer som hanterar omständigheterna när revisionsföretaget blir medvetet om information efter att ha accepterat eller behållit en kundrelation eller ett specifikt uppdrag, som skulle ha fått revisionsföretaget att inte acceptera eller behålla kundrelationen eller ett specifikt uppdrag om informationen hade varit känd innan revisionsföretaget accepterade eller behöll kundrelationen eller det specifika uppdraget (p. 34 d i).

15.14Information som blir känd efter att revisionsföretaget har accepterat eller behållit en kundrelation eller revisionsuppdrag kan

• ha funnits då revisionsföretaget beslutade att acceptera eller behålla kundrelationen eller det specifika uppdraget men revisionsföretaget kände inte till informationen, eller

• vara information som har uppstått sedan revisionsföretaget beslutade att acceptera eller behålla kundrelationen eller det specifika uppdraget (p. A122).

15.15Om informationen är av sådan karaktär att revisionsföretaget väljer att lämna uppdraget ska revisionsföretaget beakta god revisorssed och risken att det kan skada kunden, vilket eventuellt kan leda till skadeståndsansvar.

15.16Revisionsföretaget ska fastställa riktlinjer eller rutiner som

• kräver kommunikation med styrelsen hos revisionsföretagets kunder om hur kvalitetsstyrningssystemet främjar ett konsekvent utförande av revisionsuppdrag med god kvalitet, vid granskning av börsnoterade företags finansiella rapporter (p. 34 e i),

• adresserar när det annars är lämpligt att kommunicera med externa parter om revisionsföretagets kvalitetsstyrningssystem (p. 34 e ii), och

• adresserar den information som ska tillhandahållas vid extern kommunikation enligt ovanstående punkter inklusive kommunikationens innehåll, tidpunkt, omfattning och form (p. 34 e iii).

15.17Externa parter kan vara intresserade av information om revisionsföretagets kvalitetsstyrningssystem för att bilda sig en uppfattning om revisionsföretagets tillförlitlighet och vilken grad av kvalitet revisionsföretagets tjänster håller.

15.18Informationen om företagets kvalitetsstyrningssystem till externa parter kan innehålla en beskrivning av

• revisionsföretagets karaktär, såsom organisationsstruktur, affärsmodell, strategi och den miljö som revisionsföretaget verkar i,

• revisionsföretagets styrning och ledarskap, såsom kultur, kvalitetsengagemang samt roller och ansvarsfördelning relaterat till kvalitetsstyrningssystemet,

• hur revisionsföretaget fullgör sina etiska åtaganden, inklusive de som är relaterade till oberoende,

• faktorer som bidrar till konsekvent god kvalitet i uppdrag,

• resultaten av revisionsföretagets övervakningsaktiviteter och externa granskningar, och hur revisionsföretaget har åtgärdat eller hanterat identifierade brister,

• slutsatserna från den årliga utvärderingen av kvalitetsstyrningssystemet inklusive grunden för dessa slutsatser,

• hur revisionsföretaget och dess kvalitetsstyrningssystem har anpassat sig till förändringar inom revisionsföretaget eller relaterat till kunder,

• relationen mellan revisionsföretaget och nätverket samt beskrivning av nätverkets övergripande struktur, tjänster och krav,

• ansvarsfördelningen inom revisionsföretaget och inom nätverket, och

• det övergripande innehållet i och resultaten av de nätverksövergripande övervakningsaktiviteterna (p. A126).

15.19Enligt reglerna i ISQM 1 ska revisionsföretag utföra en uppdragsanknuten kvalitetskontroll under vissa förutsättningar som anges längre ned i detta avsnitt. Den uppdragsanknutna kvalitetskontrollen genomförs på uppdragsnivå av den särskilda kvalitetsgranskaren för uppdraget (ISQM 2, p. 3).

15.20Den särskilda kvalitetsgranskaren ska utföra en objektiv utvärdering av uppdragsteamets väsentliga bedömningar och slutsatser (ISQM 2, p. 8). Karaktären, tidpunkten och omfattningen av de granskningsåtgärder som den särskilda kvalitetsgranskaren för uppdraget utför varierar beroende på uppdragets eller företagets karaktär och omständigheter. Den särskilda kvalitetsgranskarens granskningsåtgärder är till exempel sannolikt mindre omfattande för uppdrag där uppdragsteamet behövt göra färre väsentliga bedömningar (ISQM 2, p. 4). För detaljerad beskrivning av vad den särskilda kvalitetsgranskaren ska göra inom ramen för den uppdragsanknutna kvalitetskontrollen, se ISQM 2 p. 24–27.

15.21Revisionsföretaget ska fastställa riktlinjer som behandlar uppdragsanknuten kvalitetskontroll enligt ISQM 2. En uppdragsanknuten kvalitetskontroll krävs för

• företag av allmänt intresse25, och

• revisioner eller andra uppdrag för vilka revisionsföretaget bestämmer att en uppdragsanknuten kvalitetskontroll är en lämplig motåtgärd för att hantera en eller flera kvalitetsrisker (p. 34 f).

15.22Ett företag av allmänt intresse är företag

• vars överlåtbara värdepapper är upptagna till handel på en reglerad marknad enligt definitionen i värdepappersmarknadslagen26,

• som har tillstånd att driva bank- och finansieringsrörelse,

• som är värdepappersbolag,

• som har tillstånd att driva rörelse enligt försäkringsrörelselagen, med vissa undantag, eller

• som har tillstånd att driva tjänstepensionsverksamhet.27

15.23Revisionsföretaget kan bedöma att en uppdragsanknuten kvalitetskontroll behövs som en motåtgärd gällande uppdrag med hög risk även om kunden inte definieras som företag av allmänt intresse.

15.24Den person som är ansvarig för att utse särskilda kvalitetsgranskare för uppdrag ska inte vara medlem av uppdragsteamet för det uppdrag som den uppdragsanknutna kvalitetskontrollen avser, om det är möjligt. I ett mindre revisionsföretag eller enmansföretag kanske det inte är praktiskt möjligt för någon annan än en medlem i uppdragsteamet att utse den särskilda kvalitetsgranskaren (ISQM 2, p. A2).

15.25Den särskilda kvalitetsgranskaren för uppdraget får inte vara medlem av uppdragsteamet (ISQM 2, p. 18). Om en medarbetare tidigare har varit uppdragsansvarig för ett uppdrag måste det avlöpa en period om minst två år från det att medarbetaren inte längre är uppdragsansvarig för det aktuella uppdraget till dess att medarbetaren kan anta rollen som särskild kvalitetsgranskare för uppdraget. Den särskilda kvalitetsgranskaren ska följa relevanta yrkesetiska krav, såsom att vara oberoende och se till att objektiviteten inte är påverkad av hot (ISQM 2, p. 20 b).

15.26Den särskilda kvalitetsgranskaren ska ha kompetens, förmåga, tillräckligt med tid och lämpligt inflytande. För att avgöra om en person har nödvändig kompetens för att utföra en uppdragsanknuten kvalitetskontroll bör revisionsföretaget bedöma om personen har

• förståelse av standarder för yrkesutövningen och tillämpliga lagar och regler samt av revisionsföretagets interna riktlinjer och rutiner som är relevanta för uppdraget,

• erfarenhet, kunskap och förståelse av företagets bransch och uppdrag av liknande karaktär och komplexitet, och

• förståelse för det ansvar som den särskilda kvalitetsgranskaren för uppdraget har vid utförandet och dokumentationen av den uppdragsanknutna kvalitetskontrollen (ISQM 2, p. A5).

15.27Vid behov kan personer utses för att assistera den särskilda uppdragsgranskaren. En sådan person får inte vara medlem av uppdragsteamet och ska ha den kompetens, förmåga och tid som krävs för att utföra de uppgifter som åläggs personen (ISQM 2, p. 20 a). En sådan person ska även följa relevanta yrkesetiska krav, gällande till exempel objektivitet och oberoende (ISQM 2, p. 20 b). Även om den särskilda kvalitetsgranskaren tar hjälp av en person som bistår i den uppdragsanknutna kvalitetskontrollen är det den särskilda kvalitetsgranskaren som har det övergripande ansvaret för utförandet av den uppdragsanknutna kvalitetskontrollen. Ansvaret innebär även att vägleda den person som bistår vid granskningen samt att granska dennes arbete (ISQM 2, p. 21).

15.28Om den särskilda kvalitetsgranskaren inte längre uppfyller kraven för att kunna utföra den uppdragsanknutna kvalitetskontrollen ska den särskilda kvalitetsgranskaren meddela behörig inom revisionsföretaget och avböja att utföra den uppdragsanknutna kvalitetskontrollen (ISQM 2, p. 21).

15.29Ett mindre revisionsföretag kan anlita en extern tjänsteleverantör, nätverk eller nätverksföretag för att utföra den uppdragsanknutna kvalitetskontrollen.

16.3Revisionsföretaget ska utforma och utföra övervakningsaktiviteter som en grund för att identifiera brister (p. 36). Vid bedömning av inriktning, tidpunkt och omfattning av övervakningsaktiviteterna ska revisionsföretaget beakta

• skälen till bedömningarna av kvalitetsriskerna (p. 37 a),

• utformningen av motåtgärderna (p. 37 b),

• utformningen av revisionsföretagets riskbedömningsprocess och övervaknings- och åtgärdsprocess (p. 37 c),

• förändringar i kvalitetsstyrningssystemet (p. 37 d),

• resultat från tidigare övervakningsaktiviteter, om dessa fortfarande är relevanta, och huruvida motåtgärder för att hantera tidigare identifierade brister var effektiva (p. 37 e), och

• annan relevant information, inklusive klagomål och påståenden om underlåtenhet att utföra arbete enligt standarder för yrkesutövningen och tillämpliga lagar och regler eller om bristande efterlevnad av revisionsföretagets riktlinjer eller rutiner, resultat från externa kvalitetskontroller och information från externa tjänsteleverantörer (p. 37 f).

16.4Övervakningsaktiviteterna ska kontrollera att motåtgärderna fungerar ändamålsenligt. Hur övervakningsaktiviteterna utformas beror på till exempel revisionsföretagets storlek och organisation, hur mycket och vilka resurser (medarbetare, it-applikationer etc.) som kan behövas för att utföra övervakningsaktiviteterna samt nätverkets involvering i övervakningsaktiviteterna och riskbedömningsprocessen (p. A141 och A143).

16.5Övervakningsaktiviteterna kan behöva anpassas över tid, till exempel när utvärderingen av kvalitetsstyrningssystemet visar på omfattande brister eller när verksamheten förändras (p. 142). Förändringar kan ske för att revisionsföretaget behöver åtgärda en brist eller på grund av förändringar av kvalitetsmål, kvalitetsrisker eller motåtgärder som ett resultat av förändrade omständigheter inom revisionsföretaget eller dess uppdrag. För exempel på sådana förändringar, se vid punkterna 8.17–8.18. När förändringar inträffar kan det hända att tidigare övervakningsaktiviteter inte längre är aktuella och därför bör revisionsföretagets övervakningsaktiviteter innefatta övervakning av förändringar (p. A145).

16.6Information som revisionsföretaget kan behöva beakta i utformningen av övervakningsaktiviteterna kan bestå av

• resultat från tidigare övervakningsaktiviteter som kan visa var det finns brister i kvalitetsstyrningssystemet, exempelvis resultat från interna uppdragskontroller,

• information om övervakningsaktiviteter från revisionsföretagets nätverk,

• information från externa tjänsteleverantörer om de resurser revisionsföretaget använder i sitt kvalitetsstyrningssystem, exempelvis en it-applikation,

• information från tillsynsmyndigheter om företag för vilka revisionsföretaget utför uppdrag (p. A148), till exempel en varning eller anmärkning från Finansinspektionen avseende finansiella företag, eller

• resultat från externa kvalitetskontroller som utförs av FAR eller Revisorsinspektionen.

16.7Vid utformningen av övervakningsaktiviteterna bör revisionsföretaget även beakta om tidigare genomförda övervakningsaktiviteter varit utformade på ett sådant sätt att de inte kunnat identifiera vissa brister i kvalitetsstyrningssystemet (p. A149).

16.8Revisionsföretaget ska övervaka samtliga motåtgärder som har identifierats inom verksamheten, det vill säga både motåtgärder som syftar till att motverka uppdragsspecifika och företagsspecifika kvalitetsrisker.

16.9Det vanligaste exemplet på en uppdragsspecifik övervakningsaktivitet är de interna uppdragskontrollerna som syftar till att övervaka motåtgärderna avseende de uppdragsspecifika kvalitetsriskerna.

Några exempel på företagsspecifika övervakningsaktiviteter:

• Revisionsföretagets riktlinjer anger att alla nya kundrelationer och specifika uppdrag ska godkännas av företagsledaren, som en motåtgärd för att motverka kvalitetsrisken att revisionsföretaget accepterar kundrelationer eller specifika uppdrag som påverkar revisionsföretaget negativt (alltför hög risk, oberoendeproblem etc.). En kvartalsvis kontroll av att samtliga nya kundrelationer och specifika uppdrag faktiskt har godkänts av företagsledaren (övervakningsaktiviteten) utförs av lämplig person.

• Revisionsföretagets riktlinjer anger att företagsledaren ska säkerställa att de anställda har genomfört samtliga utbildningar som framgår av respektive medarbetares utbildningsplan, som en motåtgärd för att motverka kvalitetsrisken att medarbetarna inte uppfyller kraven på vidareutbildning. En årlig kontroll av att företagsledaren faktiskt har kontrollerat att medarbetarna har genomfört samtliga utbildningar enligt utbildningsplanen (övervakningsaktiviteten) utförs av lämplig person.

• Revisionsföretagets riktlinjer anger att samtliga medarbetare ska lämna in en skriftlig bekräftelse till den som är ansvarig för oberoendefrågor om att de inte bedriver otillåten sidoverksamhet för att motverka kvalitetsrisken att revisionsföretaget bryter mot revisorslagen. En årlig kontroll av att samtliga medarbetare faktiskt har bekräftat att de inte bedriver otillåten sidoverksamhet och att detta har dokumenterats (övervakningsaktiviteten) utförs av företagsledaren.

• Revisionsföretagets riktlinjer anger att samtliga medarbetare ska lämna in en skriftlig oberoendebekräftelse till ansvarig för oberoendefrågor, som en motåtgärd för att motverka kvalitetsrisken att revisionsföretaget bryter mot tillämpliga lagar och regler. Företagsledaren gör sedan en årlig kontroll av att samtliga medarbetare faktiskt har lämnat in en oberoendebekräftelse och att detta har dokumenterats (övervakningsaktiviteten).

16.10Övervakningsaktiviteterna kan innefatta både periodiska övervakningsaktiviteter och löpande övervakningsaktiviteter. Periodiska övervakningsaktiviteter utförs med vissa intervall, till exempel månadsvis eller kvartalsvis. Löpande övervakningsaktiviteter brukar vara rutinmässiga och inbyggda i processer och rutiner och ger ofta snabbare återkoppling än de periodiska övervakningsaktiviteterna.

16.11Övervakningen av de företagsspecifika kvalitetsriskerna (åtminstone vad gäller den periodiska övervakningen) kan med fördel göras i samband med övervakningen av den uppdragsspecifika övervakningen.

16.12Revisionsföretaget ska inkludera interna uppdragskontroller av genomförda uppdrag i sina övervakningsaktiviteter och besluta om vilka uppdragsansvariga och uppdrag som ska väljas ut för kontroll. Utformningen av de interna uppdragskontrollerna ska ta hänsyn till andra övervakningsaktiviteter som utförs inom revisionsföretaget och de uppdrag och uppdragsansvariga som är föremål för övervakningsaktiviteterna. Revisionsföretaget ska välja ut minst ett slutfört uppdrag för varje uppdragsansvarig på en cyklisk basis (p. 38).

16.13Syftet med de interna uppdragskontrollerna är att kontrollera att det som ur kvalitetssynpunkt ska utföras på varje uppdrag har blivit korrekt genomfört. På så sätt är uppdragskontrollerna en viktig del i att kontrollera om kvalitetsstyrningssystemet fungerar även om det inte är heltäckande och därmed behöver kompletteras med andra övervakningsaktiviteter.

Urval av uppdrag för kontroll

16.18Revisionsföretaget ska fastställa riktlinjer som

• kräver att den som utför övervakningsaktiviteter har kompetens och tillräckligt med tid för att utföra övervakningsaktiviteterna ändamålsenligt, och

• behandlar objektiviteten hos den som utför övervakningsaktiviteter. Sådana riktlinjer ska innehålla ett förbud för teammedlemmar, eller en särskild kvalitetsgranskare för uppdraget, att utföra en uppdragskontroll av samma uppdrag (p. 39).

16.19För att en övervakningsaktivitet ska tjäna sitt syfte är det viktigt att revisionsföretaget säkerställer att den eller de som utför den har tillräcklig kompetens och tid att utföra aktiviteten.

16.20Den som utför övervakningsaktiviteter måste vara oberoende. Ett självgranskningshot kan till exempel förekomma när en person som utför en övervakningsaktivitet har deltagit i att utforma eller utföra motåtgärderna som övervakas.

16.21När det gäller interna uppdragskontroller måste den som utför kontrollen vara oberoende i förhållande till uppdraget. Ett självgranskningshot kan till exempel uppstå när en person som utför en uppdragskontroll tidigare har varit, i samband med revisionsuppdrag, en teammedlem eller särskild kvalitetsgranskare av uppdraget eller för motsvarande uppdrag under en tidigare räkenskapsperiod. För övriga uppdrag gäller motsvarande när en person som utför uppdragskontroll tidigare har varit en teammedlem eller särskild kvalitetsgranskare av det uppdraget (p. A155).

16.22Ett mindre revisionsföretag som inte har medarbetare inom revisionsföretaget med kompetens, tid eller objektivitet för att utföra övervakningsaktiviteterna kan använda nätverket eller en extern tjänsteleverantör för att utföra övervakningsaktiviteter (p. A156).

16.23Revisionsföretaget ska utvärdera iakttagelser från övervakningsaktiviteter för att avgöra om brister finns (p. 40).

16.24Revisionsföretaget behöver utöva ett professionellt omdöme för att avgöra om iakttagelserna, individuellt eller i kombination med andra, visar på en brist i kvalitetsstyrningssystemet. Ibland kan en iakttagelse behöva undersökas mer djupgående för att ta reda på om iakttagelsen innebär en brist eller inte då inte alla iakttagelser innebär en brist (p. A159).

16.25Revisionsföretagets process för att utvärdera iakttagelser och identifiera brister och hur allvarliga och genomgripande de är ska vara en iterativ och icke-linjär process. Till exempel kan revisionsföretaget, vid undersökning av grundorsaken av en brist, identifiera omständigheter som har likheter med andra omständigheter där det fanns iakttagelser som inte ansågs vara en brist. Revisionsföretaget bör då justera sin utvärdering av dessa iakttagelser och klassificera dem som en brist. Det kan också hända att revisionsföretaget identifierar en trend eller ett systematiskt fel som korrelerar med andra iakttagelser som inte bedömts som brister. Revisionsföretaget bör då justera sin utvärdering av de andra iakttagelserna och klassificera dem som brister (p. A161).

16.26Även externa granskningar, nätverkets övervakningsaktiviteter eller klagomål kan ge information om kvalitetsstyrningssystemet som inte har identifierats av revisionsföretagets övervaknings- och åtgärdsprocess, vilket kan visa på en brist i kvalitetsstyrningssystemet (p. A162).

16.27Revisionsföretaget ska utvärdera hur allvarliga och genomgripande de identifierade bristerna är genom att

• undersöka grundorsakerna till de identifierade bristerna. Vid bedömning av egenskaperna, tidpunkten och omfattningen av processerna för att undersöka grundorsakerna, ska revisionsföretaget beakta egenskaperna och de möjliga effekterna av de identifierade bristerna, och

• utvärdera effekten av de identifierade bristerna på revisionsföretagets kvalitetsstyrningssystem, individuellt och aggregerat (p. 41).

16.28Faktorer som revisionsföretaget bör överväga vid utvärdering av hur allvarlig och genomgripande en brist är:

• Bristens egenskaper och huruvida den finns inom utformningen, införandet eller användningen av kvalitetsstyrningssystemet.

• Om bristen är relaterad till motåtgärder, om det finns kompenserande motåtgärder för att hantera risken som bristen avser.

• Grundorsaken till den identifierade bristen.

• Frekvensen av omständigheter som leder till att den identifierade bristen uppstår.

• Omfattningen av den identifierade bristen, hur snabbt den uppstod och hur lång tid den existerade och påverkade kvalitetsstyrningssystemet (p. A163).

16.29För att förstå vad som verkligen har orsakat en brist och därmed kunna åtgärda bristen på lämpligt sätt behöver revisionsföretaget undersöka grundorsaken till bristen, vad bristen får för effekt samt hur bristen ska åtgärdas (p. A165). En grundorsaksanalys ska göras med ett professionellt omdöme och baseras på tillgängliga bevis. En grundorsaksanalys kan även användas för att undersöka grundorsakerna till positiva omständigheter för att hitta möjligheter till att förbättra kvalitetsstyrningssystemet (p. A169). Vid undersökning av grundorsaken till identifierade brister bör revisionsföretaget överväga varför (om tillämpligt) brister inte uppstått under andra liknande omständigheter (p. A167), för att på så sätt kunna använda de lärdomarna när revisionsföretaget utformar åtgärder gällande en brist. En åtgärd handlar vanligtvis om att justera riktlinjer och rutiner på ett sådant sätt att bristen som identifierats inte uppstår igen.

16.30Ett exempel på när grundorsaken kan vara något annat än revisionsföretagets initiala antagande kan vara när ett uppdragsteam inte lyckats få tag på lämpliga revisionsbevis om uppskattningar i redovisningen baserade på ledningens subjektiva bedömning. Om revisionsföretaget först antar att uppdragsteamet inte utövar professionell skepticism kan den verkliga grundorsaken vara

• en kultur som inte uppmuntrar teammedlemmarna att ifrågasätta personer med högre befattning eller bristfällig vägledning och genomgång av det arbete som utförs av uppdragsteamet (p. A168),

• en olämplig fördelning av arbetsbelastning (en alltför hög arbetsbelastning och stress kan leda till misstag i revisionsarbetet),

• lämpliga specialister används inte och gör det svårt för uppdragsteamet att fatta korrekta beslut, eller

• avsaknad av betoning på revisionskvalitet i utvärderingsprocessen.

16.31Ett annat exempel är när revisionsföretaget har svårt att finna kompetenta teammedlemmar till uppdrag. Medan revisionsföretaget först antar att det är den rekryteringsansvarige som har bristfällig kompetens att hitta kompetenta personer att anställa kan den verkliga grundorsaken vara

• en dominerande ledning som har personliga preferenser gällande anställning som inte ifrågasätts,

• en alltför hög arbetsbelastning på den rekryteringsansvarige,

• ineffektiv, eller avsaknad av, kompetensutveckling av revisionsföretagets medarbetare, eller

• ineffektiv, eller avsaknad av, vägledning av revisionsföretagets medarbetare.

16.32I det fall revisionsföretaget har använt sig av nätverkstjänster eller en annan leverantör för att utföra en övervakningsaktivitet kan det vara svårt för den som utfört övervakningsaktiviteterna att bilda sig en uppfattning om grundorsaken till konstaterade brister. Revisionsföretaget ansvarar då för att säkerställa och bidra till att en lämplig grundorsaksanalys utförs. Det kan göras genom att tillsammans med den som utfört övervakningsaktiviteten diskutera och analysera bristerna för att komma fram till bristernas grundorsak. Det är även revisionsföretagets ansvar att säkerställa att den som utför övervakningsaktiviteter har tillgång till all information som bedöms nödvändig för att kunna dra relevanta slutsatser av övervakningsaktiviteten.

16.33I ett mindre revisionsföretag kan revisionsföretagets grundorsaksanalys vara mindre omfattande eftersom informationen som är nödvändig för analysen ofta är lättillgänglig och koncentrerad. Grundorsakerna är ofta tydliga och uppenbara (p. A166). Det är dock lika viktigt för det mindre revisionsföretaget att grundorsaken till en brist formuleras, dokumenteras och rapporteras till styrelsen.

16.34Revisionsföretaget ska utforma och införa åtgärder avseende identifierade brister som tar hänsyn till grundorsakerna (p. 42).

16.35Utformningen av åtgärderna kan bero på en mängd faktorer såsom grundorsaken, hur allvarlig och genomgripande den identifierade bristen är och därmed hur brådskande det är att åtgärda den samt hur effektiva åtgärderna är. Till exempel kan revisionsföretaget behöva införa fler än en åtgärd för att effektivt motverka grundorsaken eller införa tillfälliga åtgärder tills mer effektiva åtgärder är på plats (p. A170). En åtgärd kan även innefatta ett ytterligare kvalitetsmål, en ytterligare motåtgärd eller en justering av en motåtgärd (p. A171).

16.36Även om grundorsaken till en brist är relaterad till en resurs som tillhandahålls av en extern tjänsteleverantör, till exempel en it-applikation, är revisionsföretaget ansvarigt för att hantera effekten av bristen och vidta åtgärder för att förhindra bristen från att fortsatt påverka revisionsföretaget negativt. Vanligtvis är det dock den externa tjänsteleverantören som är ansvarig för att åtgärda den identifierade bristen och för att ytterligare undersöka grundorsaken till den identifierade bristen (p. A172).

16.37Den operativt ansvarige för övervaknings- och åtgärdsprocessen ska utvärdera om åtgärderna

• är lämpligt utformade för att hantera identifierade brister och deras relaterade grundorsaker och säkerställa att de har införts i verksamheten, och

• hanterar tidigare identifierade brister på ett ändamålsenligt sätt (p. 43).

16.38Om en utvärdering visar att åtgärderna inte är lämpligt utformade eller inte har avsedd verkan, ska den operativt ansvarige för övervaknings- och åtgärdsprocessen vidta lämpliga åtgärder för att säkerställa att motåtgärderna justeras så att de får avsedd verkan (p. 44).

16.39Revisionsföretaget ska agera när det finns indikationer på att det finns ett uppdrag inom vilket nödvändiga granskningsåtgärder inte har utförts eller då uppdragsrapporten inte är lämpligt utformad. Revisionsföretaget ska

• vidta lämpliga åtgärder för att följa standarder för yrkesutövningen och tillämpliga lagar och regler, och

• när rapporten inte anses vara lämplig, överväga konsekvenserna och lämpliga åtgärder, inklusive om revisionsföretaget behöver få juridiskt stöd (p. 45).

16.40Lämpliga åtgärder att vidta i ett första skede kan innebära att konsultera med lämpliga experter, diskutera frågan med styrelsen eller ledningen hos kundföretaget eller att helt enkelt utföra de granskningsåtgärder som inte har utförts. Därefter måste revisionsföretaget vidta åtgärder i vanlig ordning när en iakttagelse har identifierats, som att identifiera och utvärdera brister och utreda grundorsakerna till bristerna (p. A173).

16.41Den operativt ansvarige för övervaknings- och åtgärdsprocessen ska regelbundet kommunicera till den ytterst ansvarige för kvalitetsstyrningssystemet och till den operativt ansvarige för kvalitetsstyrningssystemet:

• en beskrivning av genomförda övervakningsaktiviteter,

• de identifierade bristerna, inklusive hur allvarliga och genomgripande de identifierade bristerna är, och

• åtgärder som vidtas avseende de identifierade bristerna (p. 46).

Utöver punkterna ovan bör informationen till den ytterst ansvarige inkludera grundorsaken till respektive brist samt om åtgärderna är lämpliga och tillräckliga.

16.42Den som har det operativa ansvaret för övervaknings- och åtgärdsprocessen behöver kommunicera informationen avseende övervaknings- och åtgärdsprocessen till styrelsen löpande eller med ett definierat tidsintervall, dock minst årligen. Om det identifieras många eller betydande brister behöver den operativt ansvarige göra det oftare än så.

16.43Informationen som kommuniceras kan användas på flera sätt, till exempel

• som grund för kommunikation till medarbetarna om vikten av kvalitet,

• för att hålla personer ansvariga för sina tilldelade roller,

• för att identifiera viktiga problem med kvalitetsstyrningssystemet (A174), och

• som grund för utvärdering av kvalitetsstyrningssystemet.

16.44Revisionsföretaget ska kommunicera ovanstående information till uppdragsteam och andra personer som tilldelats aktiviteter inom kvalitetsstyrningssystemet för att de snabbt ska kunna vidta lämpliga åtgärder i enlighet med sitt ansvar (p. 47).

16.45Vissa delar av den information som kommuniceras till den ytterst ansvarige kan behöva kommuniceras till uppdragsteam och andra medarbetare så att de kan vidta lämpliga åtgärder i den mån bristerna berör deras arbete eller ansvarsområden. Informationen bör innehålla, förutom en beskrivning av bristen i sig, en beskrivning av grundorsaken/grundorsakerna så att medarbetarna kan förstå varför en brist har uppstått och därmed bättre kunna bidra till att den åtgärdas. Den operativt ansvarige för övervaknings- och åtgärdsprocessen behöver också säkerställa att medarbetarna faktiskt beaktar informationen och bidrar till att bristen åtgärdas, vilket kräver en uppföljningsprocess som behöver anpassas till den konstaterade bristen.

16.46I ett mindre revisionsföretag eller enmansföretag är kommunikationen i detta avsnitt av naturliga skäl enklare och får anpassas till hur organisationen ser ut. Exempelvis kan den operativt ansvarige för övervaknings- och åtgärdsprocessen och den operativt ansvarige för kvalitetsstyrningssystemet i båda fall vara företagsledaren och någon kommunikation dem emellan är därmed inte aktuell. Det väsentliga i detta sammanhang är att den ytterst ansvarige för kvalitetsstyrningssystemet ska få tillgång till den information som beskrivs i punkterna i första stycket i detta avsnitt.

17.7Revisionsföretaget ska

• bedöma hur nätverkskraven eller nätverkstjänsterna är relevanta för revisionsföretagets kvalitetsstyrningssystem och hur de ska införas, och

• utvärdera om, och i så fall hur, nätverkskraven eller nätverkstjänsterna behöver anpassas eller kompletteras av revisionsföretaget för att vara lämpliga inom kvalitetsstyrningssystemet (p. 49).

17.8Revisionsföretaget behöver beakta vilken effekt nätverkskraven och nätverkstjänsterna har på revisionsföretaget när det genomför sin riskbedömningsprocess. I vissa fall kan ett nätverkskrav eller en nätverkstjänst orsaka en kvalitetsrisk. Nätverket kan till exempel kräva att revisionsföretaget använder en it-applikation för processen att acceptera och behålla kundrelationer och specifika uppdrag, som är standardiserad över nätverket. En kvalitetsrisk kan då uppstå om it-applikationen inte är anpassad till revisionsföretagets specifika egenskaper, miljö eller förutsättningar (p. A178).

17.9Nätverket kan förvänta sig att revisionsföretaget inför nätverkskraven, men revisionsföretaget kan behöva anpassa eller komplettera nätverkskraven så att de är lämpliga för revisionsföretagets specifika egenskaper och uppdrag. Till exempel kan nätverket kräva att revisionsföretaget inför vissa motåtgärder. Revisionsföretaget behöver då fundera över vilken/vilka kvalitetsrisker som motåtgärderna avser och hur motåtgärderna ska integreras och anpassas i det egna kvalitetsstyrningssystemet (p. A179). Revisionsföretagets utgångspunkt ska alltid vara att eventuella nätverkskrav och nätverkstjänster ska anpassas till revisionsföretagets kvalitetsstyrningssystem och inte tvärtom.

17.10Nätverket kan även övervaka delar av revisionsföretagets kvalitetsstyrningssystem, inklusive nätverkskrav eller nätverkstjänster. Övervakning kan också ske som ett kombinerat arbete mellan revisionsföretaget och nätverket. Till exempel kan ett nätverk utföra övervakningsaktiviteter på nätverksnivå av en gemensam metodik. Revisionsföretaget kan också övervaka metodiken genom att utföra interna uppdragskontroller.

17.11När nätverket utför övervakningsaktiviteter som rör revisionsföretagets kvalitetsstyrningssystem ska revisionsföretaget

• bedöma effekten av nätverkets övervakningsaktiviteter på karaktären, tidpunkten och omfattningen av revisionsföretagets egna övervakningsaktiviteter,

• bedöma revisionsföretagets ansvar i samband med nätverkets övervakningsaktiviteter, inklusive relaterade åtgärder från revisionsföretaget, och

• som en del av utvärderingen av resultat och identifiering av brister, inhämta resultaten av övervakningsaktiviteterna från nätverket i rätt tid (p. 50).

17.12Om nätverket genomför övervakningsaktiviteter avseende revisionsföretagets kvalitetsstyrningssystem eller uppdrag kan det påverka omfattningen av revisionsföretagets egna övervakningsaktiviteter. Revisionsföretaget kan kanske reducera sina övervakningsaktiviteter avseende ett visst område i det fall nätverket har inkluderat området i sina övervakningsaktiviteter och vice versa.

17.13Revisionsföretaget behöver snabbt få reda på resultatet av nätverkets övervakningsaktiviteter så att det kan vidta åtgärder vid behov. Resultaten från nätverket bör innehålla information så som

• en beskrivning av övervakningsaktiviteterna, inklusive deras inriktning, tidpunkt och omfattning,

• brister, iakttagelser och områden med förbättringspotential (även positiva omständigheter bör beskrivas), och

• utvärdering av grundorsaken till identifierade brister, den bedömda effekten av de identifierade bristerna och rekommenderade åtgärder (p. A181).

17.14Revisionsföretaget ska

• förstå den övergripande omfattningen av nätverksövergripande övervakningsaktiviteter som genomförs av nätverket, inklusive övervakningsaktiviteter bland andra nätverksföretag, och hur nätverket kommer att kommunicera resultaten av sina övervakningsaktiviteter till revisionsföretaget,

• åtminstone årligen få information från nätverket om de övergripande resultaten av de nätverksövergripande övervakningsaktiviteterna, om tillämpligt, och

  • kommunicera informationen till uppdragsteam och andra personer som tilldelats aktiviteter inom kvalitetsstyrningssystemet, om så är lämpligt, så att de kan vidta snabba och lämpliga åtgärder i enlighet med sitt ansvar, och

  • överväga effekten av informationen på revisionsföretagets kvalitetsstyrningssystem (p. 51).

17.15Revisionsföretaget måste alltid göra en bedömning av resultaten av övervakningsaktiviteterna från nätverket. Till exempel, om nätverkets slutsats är att det finns brister i nätverkets kvalitetssystem, måste revisionsföretaget se över vilka åtgärder som det behöver vidta eftersom revisionsföretaget alltid är ansvarigt för sitt kvalitetsstyrningssystem.

17.16Informationen från nätverket om de nätverksövergripande övervakningsaktiviteterna kan innehålla trender och gemensamma brister i nätverket, eller positiva iakttagelser som kan observeras över nätverket. Sådan information kan även bidra till revisionsföretagets identifiering och bedömning av kvalitetsrisker.

17.17Resultaten kan även behöva kommuniceras till ansvariga revisorer, i samband med revisorernas bedömning av kompetens och kapacitet hos revisorer från nätverksföretag som granskar enheter inom en koncern och som är föremål för gemensamma nätverkskrav (p. A182).

17.18Revisionsföretaget kan även behöva få information från nätverket om brister som identifierats i ett annat nätverksföretags kvalitetsstyrningssystem som påverkar det egna revisionsföretaget. Nätverket kan också samla in resultat från nätverksföretag från externa kvalitetskontroller av nätverksföretagens kvalitetsstyrningssystem. I vissa fall kan lagar eller regler dock hindra nätverket från att dela information med andra revisionsföretag inom nätverket (p. A183), exempelvis på grund av sekretesskäl.

17.19Om revisionsföretaget identifierar en brist i nätverkskraven eller i nätverkstjänsterna ska revisionsföretaget

• kommunicera relevant information till nätverket om den identifierade bristen, och

• utforma och införa korrigerande åtgärder för att åtgärda effekten av den identifierade bristen i nätverkskraven eller i nätverkstjänsterna (p. 52).

17.20Eftersom nätverkskrav eller nätverkstjänster som används av revisionsföretaget ingår i revisionsföretagets kvalitetsstyrningssystem omfattas de också av kraven i ISQM 1 avseende övervakning och åtgärder (p. A185).

17.21När revisionsföretaget utformar och genomför korrigerande åtgärder för att hantera effekten av en brist i nätverkskraven eller nätverkstjänsterna behöver revisionsföretaget

• förstå nätverkets planerade korrigerande åtgärder, inklusive huruvida revisionsföretaget har något ansvar för att införa de korrigerande åtgärderna,

• överväga om kompletterande åtgärder måste vidtas för att hantera bristen och dess grundorsak(er), till exempel när

  • nätverket inte har vidtagit lämpliga åtgärder, eller

  • det kommer att ta tid innan nätverkets åtgärder effektivt hanterar bristen (p. A186).

18.5Baserat på utvärderingen ska revisionsföretaget dra någon av följande slutsatser:

1. Kvalitetsstyrningssystemet tillhandahåller en rimlig försäkran om att målen med kvalitetsstyrningssystemet uppnås.

2. Med undantag för frågor relaterade till identifierade brister som har en betydande effekt, men inte har en avgörande betydelse på utformningen, införandet och användningen av kvalitetsstyrningssystemet, tillhandahåller kvalitetsstyrningssystemet en rimlig försäkran om att målen med kvalitetsstyrningssystemet uppnås.

3. Kvalitetsstyrningssystemet ger inte revisionsföretaget en rimlig försäkran om att målen med kvalitetsstyrningssystemet uppnås (p. 54).

18.6Kvalitetsstyrningssystemet ska förse revisionsföretaget med en rimlig försäkran om att målen för kvalitetsstyrningssystemet uppnås. För att dra någon av slutsatserna a, b eller c kan revisionsföretaget använda resultaten från övervaknings- och åtgärdsprocessen för att överväga följande:

• Hur allvarliga och genomgripande identifierade brister är och vilken effekt de har på möjligheten att uppnå målen för kvalitetsstyrningssystemet.

• Om revisionsföretaget har implementerat åtgärder och om de åtgärder som revisionsföretaget hittills har vidtagit för att åtgärda de identifierade bristerna är ändamålsenliga.

• Huruvida effekten av identifierade brister har blivit korrekt korrigerad, till exempel om ytterligare åtgärder har vidtagits.

18.7I vissa fall kan identifierade brister vara allvarliga och genomgripande men ha åtgärdats på ett lämpligt sätt och effekten av bristerna vara korrigerad vid tidpunkten för utvärderingen. I sådana fall kan revisionsföretaget dra slutsatsen att kvalitetsstyrningssystemet ger revisionsföretaget rimlig försäkran att målen för kvalitetsstyrningssystemet uppnås (p. A191).

18.8En brist kan ha en genomgripande effekt på utformningen, införandet och användningen av kvalitetsstyrningssystemet till exempel när

• bristen påverkar flera komponenter eller aspekter av kvalitetsstyrningssystemet,

• bristen är begränsad till en specifik komponent eller aspekt av kvalitetsstyrningssystemet men är grundläggande för kvalitetsstyrningssystemets funktion,

• bristen påverkar flera kontor eller enheter inom revisionsföretaget,

• bristen är begränsad till ett specifikt kontor eller enhet men kontoret/enheten som påverkas är av grundläggande vikt för revisionsföretaget, eller

• bristen påverkar en väsentlig del av uppdragen av en viss karaktär.

18.9En brist kan även bedömas som allvarlig men inte genomgripande. Till exempel, om en enskild medarbetare inom en enhet på revisionsföretaget agerar bristfälligt på ett sätt som i sig får allvarliga konsekvenser för en enhet eller ett specifikt uppdrag, men inte påverkar någon annan enhet eller något annat uppdrag inom revisionsföretaget (p. A192).

18.10Det kan ta tid för revisionsföretaget att åtgärda brister som är allvarliga och genomgripande. Medan revisionsföretaget åtgärdar bristerna kan de bli mindre genomgripande och revisionsföretaget kan bedöma att de fortfarande är allvarliga, men inte längre genomgripande. I sådana fall kan revisionsföretaget dra slutsatsen att, förutom för frågor relaterade till brister som har en allvarlig men inte genomgripande effekt på utformningen, införandet och användningen av kvalitetsstyrningssystemet, kvalitetsstyrningssystemet ger revisionsföretaget en rimlig försäkran om att målen för kvalitetsstyrningssystemet uppnås (p. A194).

18.11Revisionsföretaget behöver inte inhämta en granskningsrapport om sitt kvalitetsstyrningssystem från en oberoende aktör (p. A195). Det är revisionsföretaget som ska utvärdera sitt kvalitetsstyrningssystem.

18.12Om revisionsföretaget drar någon av slutsatserna b eller c under punkten 18.5 ovan ska revisionsföretaget vidta snabba och lämpliga åtgärder och kommunicera till

• uppdragsteam och andra personer som är tilldelade aktiviteter inom kvalitetsstyrningssystemet i den mån det är relevant för deras ansvar, och

• externa parter enligt revisionsföretagets riktlinjer eller rutiner (p. 55).

18.13Under omständigheter då revisionsföretaget drar någon av slutsatserna b eller c kan lämpliga åtgärder innefatta

• att tilldela uppdragsteam fler resurser eller förbättra vägledningen till uppdragsteam samt se till att revisionsföretagets rapporter är lämpligt utformade till dess att de identifierade bristerna åtgärdas, och kommunicera sådana åtgärder till uppdragsteam, eller

• att inhämta juridisk eller annan rådgivning (p. A196).

18.14Revisionsföretaget ska utföra periodvisa utvärderingar av de ytterst ansvariga för kvalitetsstyrningssystemet och den operativt ansvarige för kvalitetsstyrningssystemet. Utvärderingen av kvalitetsstyrningssystemet i sig självt ska även beaktas i dessa utvärderingar (p. 56).

18.15Utvärderingarna ska beakta:

• Resultaten av revisionsföretagets övervakningsaktiviteter avseende aspekter av kvalitetsstyrningssystemet som relaterar till den utvärderades ansvar. I vissa fall kan resultatet av revisionsföretagets motåtgärder utgöra grund för att mäta den ansvariges prestation, i relevanta delar.

• Den utvärderades åtgärder i relation till de identifierade bristerna inom ramen för den utvärderades ansvar, inklusive tidpunkten och effekten av dessa åtgärder.

18.16Ett mindre revisionsföretag kan anlita en extern tjänsteleverantör, nätverk eller nätverksföretag för att utföra utvärderingen eller låta resultaten av revisionsföretagets övervakningsaktiviteter ge en indikation om hur de ansvariga har presterat (p. A199).