logo

Kvalitetskontrollsystem:

ISQC 1 og enepraktiserende revisorer

Mange små revisjonsfirmaer mangler ISQC 1-dokument eller er usikre på om deres dokument er tilfredsstillende. Hva må være på plass for at det skal tilfredsstille lov og standard?

Revisorloven § 5b-1 krever at revisjonsselskaper skal etablere forsvarlige systemer for intern kvalitetskontroll av revisjonsvirksomheten. De internasjonale standardene ISQC 1 og ISA 220 supplerer loven med en rekke konkrete krav.

ISA 220 Kvalitetskontroll av revisjon av regnskaper omhandler revisors spesifikke oppgaver og plikter som gjelder kvalitetskontrollrutiner på revisjonsoppdrag. Den konstaterer at den oppdragsansvarlige revisoren har ansvaret for totalkvaliteten av sine oppdrag, herunder for at relevante etiske krav blir overholdt av hele revisjonsteamet. Den oppdragsansvarlige revisoren er ansvarlig for at forsvarlige rutiner blir fulgt ved aksept av nye og fortsettelse av løpende revisjonsoppdrag, for sammensetningen av revisjonsteamet og for gjennomføringen av hvert enkelt revisjonsoppdrag. Revisjonsteamet skal styres og følges opp, og den oppdragsansvarlige skal påse at arbeidet til mindre erfarne teammedlemmer blir gjennomgått av mer erfarne medlemmer. Den oppdragsansvarlige revisoren må dokumentere i hvilken grad han har gjennomgått det utførte arbeidet og når det er gjennomgått.

HJELP: Det må beskrives i hvilke tilfeller det skal innhentes støtte fra andre revisorer eller fra ikke-revisorer.

ISQC 1 Kvalitetskontroll for revisjons­firmaer som utfører revisjon og forenklet revisorkontroll av regnskaper samt andre attestasjonsoppdrag og beslektede tjenester gjelder både for revisjonsoppdrag og andre oppdrag. Det kreves at alle revisjons­firmaer skal få på plass og vedlikeholde et kvalitetskontrollsystem som er tilpasset den aktiviteten som drives. Også revisjonsfirma som drives som enkeltpersonforetak, må etablere og vedlikeholde et kvalitetskontrollsystem. De nødvendige retningslinjer og rutiner skal dokumenteres i det som heretter kalles «ISQC 1-dokumentet», og firmaets ansatte skal gjøres kjent med innholdet.

Målet med ISQC 1 er å gi revisor rimelig sikkerhet for at:

  • revisjonsfirmaet [og personalet] etter­lever faglige standarder og relevante lovmessige og regulatoriske krav; og

  • at uttalelser som avgis av revisjonsfirmaet eller oppdragsansvarlige revisorer, er hensiktsmessige ut fra omstendighetene.

Kravene skal altså sikre at revisor overholder reglene for arbeidets utførelse i Norge, og avgir revisjonsberetning og øvrige attestasjoner og uttalelser som er tilpasset hvert enkelt oppdrag. I tillegg til å sikre at den oppdragsansvarlige revisoren beholder oversikt over og styring av sin virksomhet, skal ISQC 1-dokumentet tjene som dokumentasjon overfor eventuelle eksterne kontroll- eller tilsynsmyndigheter.

Mange av de rutiner og retningslinjer som dekkes av ISQC 1, er kun relevante når revisor benytter andre personer på oppdraget. Disse personene må i så fall gjøres kjent med rutiner og retningslinjer. Disse elementene slipper naturligvis en revisor uten medarbeidere å forholde seg til.

Krav til enepraktiserende revisor

Jeg behandler nedenfor hva som kreves i de enkleste tilfellene der revisor driver sin virksomhet i enkeltpersonforetak eller som eneste ansatte i et AS, her kalt en «enepraktiserende revisor». (Dette for å skille det fra en «enkeltpraktiserende revisor», som er oversettelsen av «sole practitioner» brukt i ISQC 1 og i ISA-ene, som gjerne kan ha flere medarbeidere.)

Dokumentasjon

ISQC 1 krever at ethvert revisjonsfirma skal dokumentere sine retningslinjer og rutiner for kvalitetskontroll. Standarden lister opp seks elementer som skal dekkes av kvalitetskontrollsystemet. Det skal være retningslinjer og rutiner for følgende:

  1. Lederansvar for kvalitetssikring i revisjonsfirmaet.

  2. Relevante etiske krav.

  3. Aksept og fortsettelse av klientforhold og enkeltoppdrag.

  4. Menneskelige ressurser.

  5. Gjennomføring av oppdrag.

  6. Overvåking.

ISQC-dokumentet bør derfor ha en inndeling som har med disse seks hovedpunktene.

Ad (a) Lederansvar for kvalitetssikring

I et enkeltpersonforetak uten ansatte eller i et AS som kun har én oppdragsansvarlig ansatt, har den oppdragsansvarlige også lederansvaret for kvalitetssikringen i firmaet. Selv om det virker selvsagt, bør det konstateres i dokumentet.

Ad (b) Relevante etiske krav

Det bør konstateres i dokumentet at revisor vil følge krav i revisorlov og forskrift, samt DnRs regler om etikk. Som en del av rutinen må det gjerne vises til metodikk eller sjekklister som revisor benytter for å sikre at kravene blir fulgt, og de må gjerne tas med i et vedlegg til dokumentet. Det er imidlertid ikke nødvendig å ha med slike verktøy som en del av kvalitetskontrollsystemet.

Ad (c) Aksept og fortsettelse av klientforhold og enkeltoppdrag

Det beskrives hvordan den oppdrags­ansvarlige skal vurdere forespørsler om å påta seg nye oppdrag og hvilke vurderinger vedkommende må gjøre for å kunne konkludere med at eksisterende oppdrag skal videreføres, eventuelt med engasjert ekstern ekspertise, eller at revisor skal trekke seg fra oppdraget. Det konstateres (eventuelt) at revisjonsfirmaet ikke skal påta seg eller fortsette oppdrag for klienter av nærmere definert størrelse eller kompleksitet, jf. kommentarene til (e) «Gjennomføring av oppdrag» nedenfor. Det forventes ikke at ISQC 1-dokumentet skal inneholde en opplisting av alle nødvendige handlinger, for eksempel at hvitvaskingslovens krav om legitimasjonskontroll skal følges.

Ad (d) Menneskelige ressurser

Den oppdragsansvarliges tittel og navn. Det må beskrives i hvilke tilfeller det skal innhentes støtte fra andre revisorer eller fra ikke-revisorer. Det er naturlig at dokumentet sier noe om hvordan revisor har sikret klientenes interesser i tilfelle revisor skulle bli ute av stand til å utføre sin funksjon som revisor, for eksempel ved alvorlig sykdom. Avtale med en kollega, for eksempel om gjensidig bistand i slike situasjoner, er ikke et krav, men anbefales!

Ad (e) Gjennomføring av oppdrag

Målet med ISQC 1 er, som nevnt, gjennom etablering av retningslinjer og rutiner å gi rimelig sikkerhet for at oppdrag blir gjennomført i samsvar med faglige standarder og relevante lovmessige og regulatoriske krav, og for at revisjonsfirmaet eller oppdragsansvarlig revisor avgir uttalelser som er hensiktsmessige ut fra omstendighetene. Slike retningslinjer og rutiner skal omfatte forhold som er relevante for å sikre konsistent kvalitet på gjennomføringen av oppdraget. Dette dreier seg primært om oppfølging av oppdraget og av eventuelle medarbeidere.

Noen av de kravene som listes under dette punktet, gjelder imidlertid for ethvert oppdrag. Det er for eksempel krav om at oppdragsdokumentasjon skal ferdigstilles innen seksti dager etter avgitt revisjonsberetning, og at dokumentasjon skal oppbevares i minst ti år. Revisorloven og revisjonsstandardene krever at revisjonsarbeidet skal planlegges, utføres og dokumenteres. Visse forhold skal omtales i nummererte brev, og revisjonsberetning skal avgis etter lovens krav. Det er ikke noen hensikt i å gjenta kravene som følger av lov eller standarder i ISQC 1-dokumentet.

Under gjennomføringen av et oppdrag kan det hende at revisor får behov for å konsultere andre ved vanskelige eller omstridte spørsmål. Konsultasjon omfatter diskusjon på egnet faglig nivå med personer utenfor revisjonsfirmaet som har spesialkompetanse. Med unntak av taushetsplikten, er det ingen begrensninger i revisors anledning til å konsultere ekspertise når revisor måtte ønske det. Dokumentet skal inneholde et punkt om at konsultasjon skal skje når revisor finner det nødvendig.

På oppdrag som enepraktiserende revisor normalt påtar seg, vil det oftest ikke være behov for det som ISQC 1 kaller «oppdragskontroll». Oppdragskontroll kreves rutinemessig kun på kompliserte revisjonsoppdrag – standarden krever det konkret på revisjon av børsnoterte selskaper. Dersom revisor ikke finner behov for «oppdragskontroll» i sitt revisjonsfirma, bør det av firmaets ISQC 1-dokument fremgå at revisor ikke skal påta seg oppdrag for klienter som overstiger nærmere definerte størrelses- eller kompleksitetskriterier, og at revisor skal fratre dersom en klient mot formodning utvikler seg til å bli for stor/komplisert, dvs. overstiger de definerte grensene.

Revisor må i en slik situasjon be om å bli byttet ut som følge av at vedkommende ikke er kapabel til å fungere som enhetenes revisor. Hva som gjør at en klient er for kompleks til at revisor vil påta seg revisjonen, må revisor tenke gjennom og beskrive etter beste skjønn. I tillegg til rent kvantitative grenser, kan det for eksempel bestemmes at revisor ikke skal påta seg revisjon av foretak som er under offentlig tilsyn, foretak som forvalter betrodde midler, foretak som har avdelinger utenfor Norges grenser, etc.

Når porteføljen tilsier det, kan også en enepraktiserende revisor ønske å få en ekstern kompetent part til å vurdere sine skjønnsmessige vurderinger og konklusjoner før revisjonsberetningen (eller andre attestasjoner/uttalelser) avgis. Han kan da engasjere en kollega til å utføre «oppdragskontroll» i sitt revisjonsfirma. I så fall skal det i ISQC 1-dokumentet fastsettes kriterier for hvilke typer oppdrag som skal kontrolleres (jf. ISQC 1 punkt 35–37), opplyses hvem som er engasjert til å gjennomføre oppdragskontrollen og beskrives hva oppdragskontrollen skal omfatte (jf. ISQC 1 punkt 37). Samme person kan eventuelt engasjeres til å utføre både oppdragskontroll og inspeksjon, men på ulike oppdrag. Den som utfører oppdragskontroll (som er en del av gjennomføringen av oppdraget), samarbeider med den oppdragsansvarlige på en slik måte at vedkommende ikke senere kan foreta inspeksjon (som er en del av overvåkingen omtalt i neste punkt) av samme oppdrag.

Ad (f) Overvåking

Revisjonsfirmaet skal etablere en overvåkingsprosess som er utformet for å gi revisjonsfirmaet rimelig sikkerhet for at retningslinjene og rutinene knyttet til kvalitetskontrollsystemet er relevante, tilstrekkelige og fungerer effektivt. Denne prosessen skal:

  1. Omfatte en løpende vurdering og evaluering av revisjonsfirmaets kvalitetskontrollsystem, herunder en syklisk inspeksjon av minst ett fullført oppdrag pr. oppdragsansvarlig revisor;

  2. Kreve at ansvaret for overvåkingsprosessen tildeles en partner eller partnere eller andre personer med tilstrekkelig og hensiktsmessig erfaring og myndighet i revisjonsfirmaet til å kunne påta seg dette ansvaret; og

  3. Kreve at de som utfører oppdraget eller oppdragskontrollen, ikke deltar i inspeksjonen av oppdrag.

En enepraktiserende revisor må og kan selv utføre løpende vurdering og evaluering av sitt kvalitetskontrollsystem, men må engasjere en kompetent tredjemann til å gjennomføre en syklisk inspeksjon av minst ett fullført oppdrag som nevnt i punkt a. Avtalen må være skriftlig. Den kan dokumenteres som et vedlegg til ISQC 1-dokumentet. Beskrivelsen av arbeidet kan gjerne ta utgangspunkt i opplegget for Revisorforeningens kvalitetskontroll.

Det anbefales at syklusen defineres slik at det blir gjennomført slik inspeksjon minst hvert tredje år. Der revisor har en svært enkel og homogen klientmasse og kan vise til gode resultater av gjennomførte kontroller av sin praksis, kan syklusen være lengre. Lengre syklus enn tre år bør begrunnes. Ved nystartet revisjonsvirksomhet kan det være nyttig å ha fått gjennomført en inspeksjon av minst ett fullført oppdrag før virksomheten får besøk av foreningens kvalitetskontroll.

Inspeksjonen bør oppsummeres i en skriftlig rapport. Rapporten bør minst inneholde en erklæring fra den som har utført arbeidet, om at inspeksjonen er foretatt, med en kort omtale av resultatet.

Rutinen må beskrives i ISQC 1-dokumentet.

Avslutning

Kravene i ISQC 1 er ikke lenger så nye at det er et holdbart argument for ikke å ha et kvalitetskontrollsystem på plass. De fleste kravene eksisterte allerede i den gamle SK 1 som ble omtalt av Roger Kjelløkken i Revisjon og Regnskap nr. 1/2007.

Eksempel på ISQC 1-dokument for en enepraktiserende revisor

Kvalitetskontrollsystem for XX revisjonsfirma

(a) Lederansvar for kvalitetssikring

Jeg, statsautorisert/registrert revisor N.N., er eneste oppdragsansvarlige og eneste ansatte i XX revisjonsfirma. Jeg er ansvarlig for alle funksjoner i virksomheten, herunder kvalitetssikringen i firmaet.

(b) Etiske krav

Jeg vil følge krav i revisorlov og forskrift, samt DnRs regler om etikk. Jeg skal hvert år skriftlig bekrefte at jeg har etterlevd kravet til uavhengighet på alle oppdrag.

(c) Aksept og fortsettelse av klientforhold og enkeltoppdrag

Jeg skal vurdere forespørsler om å påta meg nye oppdrag og dokumentere min vurdering skriftlig i arbeidspapirene for vedkommende eksisterende eller potensielle klient. Ved endringer i klientenes forhold, og minst én gang pr. år, skal jeg vurdere om eksisterende oppdrag skal videreføres eller om jeg skal trekke meg fra oppdraget. Vedlagte sjekklister fra DnR skal benyttes ved de ulike fasene av oppdragsvurderingen og før jeg trekker konklusjoner om å påta meg oppdrag eller å avvikle oppdrag.

Jeg skal ikke påta meg oppdrag som er av en slik størrelse eller kompleksitet at det er påkrevd med oppdragskontroll (jf. pkt. 35–38 i ISQC 1),

  • Jeg skal ikke påta meg [revisjons]oppdrag for foretak med omsetning over xx millioner NOK pr. år.

  • Jeg skal ikke påta meg [revisjons]oppdrag for selskap av allmenn interesse.

  • Jeg skal ikke påta meg [revisjons]oppdrag for foretak som er/har/forvalter ….

Jeg skal fratre dersom en klient mot formodning utvikler seg til å overstige de nevnte grensene eller for øvrig blir for komplisert. Jeg skal i en slik situasjon be om å bli byttet ut som følge av at jeg ikke er kapabel til å fungere som enhetenes revisor.

(d) Menneskelige ressurser

Eneste ansatte i revisjonsfirmaet skal være N.N.

Dersom jeg finner behov for det, skal jeg innhente støtte fra andre revisorer eller fra ikke-revisorer.

I tilfelle jeg skulle bli ute av stand til å utføre min funksjon som revisor, for eksempel ved alvorlig sykdom, skal registrert/statsautorisert revisor X.X. i henhold til gjensidig avtale av [dato], se vedlegg nr. x, overta oppdragsansvaret for alle/de nødvendige oppdrag for at klientenes interesser skal bli ivaretatt.

(e) Gjennomføring av oppdrag

Jeg er ansvarlig for å sikre konsistent kvalitet på gjennomføringen av revisjonsoppdragene og andre oppdrag som mitt revisjonsfirma påtar seg. Jeg skal sørge for at erklæringer avgis i henhold til de maler som er foreskrevet/anbefalt i standarder vedtatt av IAASB og DnR, og at erklæringene avgis innenfor de frister som følger av lov, forskrift eller avtale.

Konsultasjon med personer utenfor revisjonsfirmaet skal skje når jeg finner det nødvendig. Der det er nødvendig, skal jeg sørge for at det inngås avtaler med klienten som unntar nødvendige opplysninger fra taushetsplikten.

(f) Overvåking

Jeg skal overvåke mitt revisjonsfirmas aktivitet for å ha rimelig sikkerhet for at retningslinjene og rutinene knyttet til kvalitetskontrollsystemet er relevante, tilstrekkelige og fungerer effektivt, og skal selv utføre løpende vurdering og evaluering av mitt kvalitetskontrollsystem.

Statsautorisert/registrert revisor YY er engasjert til hvert annet år å gjennomføre en syklisk inspeksjon av tre fullførte oppdrag. Avtale datert [dato] følger som vedlegg vv til dette dokumentet. Arbeidet skal dokumenteres som skjema D i opplegget for Revisorforeningens kvalitetskontroll. Jeg skal ikke delta i inspeksjonen av mitt revisjonsfirmas oppdrag.

Inspeksjonen skal oppsummeres i en skriftlig rapport med erklæring fra den som har utført arbeidet om at inspeksjonen er foretatt, med en kort beskrivelse av resultatet.

Underskrift og dato