Varning för underlåtenhet att inrätta en övervakningsprocess med återkommande inspektioner enligt ISQC 1; för ha underlåtit att dokumentera sin planering och sina riskbedömningar avseende ett revisionsuppdrag; samt för tidigt inhämtade yttranden från företagsledningen i två uppdrag.

FAR har kommenterat detta disciplinärende. Kommentaren återges sist i ärendet.

1 Inledning

A-son har varit föremål för Revisorsinspektionens kvalitetskontroll och har då bedömts inte bedriva sin revisionsverksamhet enligt god revisionssed och god revisorssed. Detta föranledde Revisorsinspektionen att öppna ett ärende inom ramen för den riskbaserade tillsynen. Det som därvid kommit fram har i sin tur föranlett Revisorsinspektionen att öppna detta ärende.

Revisorsinspektionen har i detta ärende utrett frågor om revisionsföretagets kvalitetskontrollsystem. Inspektionen har därutöver utrett A-sons revision i fyra aktiebolag. Detta beslut behandlar två av dessa bolag, här benämnda projektledningsbolaget och taxibolaget. Båda bolagen tillämpade Bokföringsnämndens allmänna råd (BFNAR 2016:10) Årsredovisning i mindre företag (K2) vid upprättandet av årsredovisningen.

Bolagens omsättning och balansomslutning för de av Revisorsinspektionen granskade räkenskapsåren framgår av nedanstående uppställning (belopp i mnkr).

Bolag

Räkenskapsår

Omsättning

Balansomslutning

Projektledningsbolaget

2017-01-01–2017-12-31

1,1

2,6

Taxibolaget

2017-01-01–2017-12-31

11,5

3,4

Revisionsberättelserna för båda bolagen är utan modifieringar, upplysningar eller anmärkningar.

2 Revisionsföretagets kvalitetskontrollsystem

International Standard on Quality Control (ISQC) 1 Kvalitetskontroll för revisionsföretag som utför revision och översiktlig granskning av finansiella rapporter samt andra bestyrkande uppdrag och nära liggande tjänster innehåller ett krav på att revisionsföretag ska inrätta en särskild övervakningsprocess. Syftet med en sådan process är att ge rimlig säkerhet för att de riktlinjer och rutiner som rör företagets kvalitetskontrollsystem är relevanta, ändamålsenliga och fungerande. I processen ska ingå en regelbundet återkommande inspektion av minst ett avslutat uppdrag för varje ansvarig revisor i revisionsföretaget. Bestämmelser om ett revisionsföretags interna organisation, däribland krav på system och övervakning, finns även i Revisorsinspektionens föreskrifter (RIFS 2018:2) om villkor för revisorers och registrerade revisionsbolags verksamhet (verksamhetsföreskrifterna).

Av dokumentationen från Revisorsinspektionens kvalitetskontroll framgår att A-son i sitt revisionsföretag inte har följt det nyss nämnda kravet i ISQC 1.

A-son har uppgett följande.

Han har levt i tron att Revisorsinspektionens kvalitetskontroller vart sjätte år var tillfyllest för att uppfylla kraven på extern uppdragsanknuten kontroll, likaså kravet på extern övervakning avseende andra delar av revisionsföretagets efterlevnad av ISQC 1. Han har nu ordnat så att extern kontroll av ett avslutat uppdrag och kontroll av att övriga krav enligt ISQC 1 följs kommer att ske vart tredje år.

Revisorsinspektionen gör följande bedömning.

I 21 § första stycket 8 i Revisorsinspektionens verksamhetsföreskrifter finns ett krav på att ett revisionsföretag, med beaktande av den egna verksamhetens omfattning och komplexitet, ska inrätta ett system för intern kvalitetskontroll som bl.a. säkerställer hög kvalitet i lagstadgad kvalificerad revision. Enligt 21 § första stycket 12 ska ett revisionsföretag övervaka och utvärdera lämpligheten och effektiviteten i sina riktlinjer, system och övriga rutiner samt vidta lämpliga åtgärder för att avhjälpa eventuella brister. I 21 § femte stycket ställs krav på en årlig utvärdering av det interna kvalitetskontrollsystemet.1

Mera detaljerade riktlinjer för den byråinterna kvalitetskontrollen finns i ISQC 1. Av p. 11 följer att kvalitetskontrollsystemet ska ge rimlig säkerhet för att revisionsföretaget och dess personal följer standarder för yrkesutövningen och tillämpliga krav i lagar och andra författningar. Systemet ska också ge rimlig säkerhet för att rapporter som revisionsföretaget eller ansvariga revisorer lämnar är korrekta. I p. 48 utvecklas att revisionsföretaget ska inrätta en övervakningsprocess, avsedd att ge rimlig säkerhet för att de riktlinjer och rutiner som rör kvalitetskontrollsystemet är relevanta, ändamålsenliga och fungerande. Denna process ska bl.a. innefatta fortgående överväganden och utvärderingar av revisionsföretagets kvalitetskontrollsystem, däribland en regelbundet återkommande inspektion av minst ett avslutat uppdrag för varje ansvarig revisor.

I tillämpningsanvisningarna till ISQC1, p. A 68, anges att ett revisionsföretag med ett begränsat antal anställda kan välja att anlita en extern person med passande kvalifikationer eller ett annat revisionsföretag för att genomföra uppdragsinspektioner eller andra övervakningsåtgärder. Alternativt kan revisionsföretaget komma överens om att dela resurser med andra lämpliga organisationer.

I ärendet har framkommit att A-son inte har inrättat någon sådan övervakningsprocess som Revisorsinspektionens verksamhetsföreskrifter och ISQC 1 p. 48 förutsätter. Det finns ingenting som tyder på att han inte skulle ha kunnat inrätta exempelvis en sådan övervakningsprocess som ISQC 1 p. A 68 beskriver. Hans skyldighet att inrätta en övervakningsprocess av detta slag påverkas inte av det förhållande att Revisorsinspektionen, i egenskap av tillsynsmyndighet, genomför periodiskt återkommande kvalitetskontroller.

Genom att inte inrätta någon övervakningsprocess har A-son åsidosatt god revisorssed.

Kraven infördes den 17 juni 2016 genom dåvarande Revisorsnämndens föreskrifter (RNFS 2016:1) om ändring i Revisorsnämndens föreskrifter (RNFS 2001:2) om villkor för revisorers och registrerade revisionsbolags verksamhet.

3 Planering och riskbedömning (projektledningsbolaget)

I A-sons revisionsdokumentation saknas såväl riskbedömning som arbetsprogram för granskningen. Det går därför inte att utläsa vilken risk för väsentliga fel som A-son ansåg föreligga eller vilken inriktning och omfattning den granskning som han planerade att utföra skulle få. De enda dokument som Revisorsinspektionen har kunnat finna vid sin genomgång av dokumentationen är dels ett arbetspapper där han har dokumenterat sin årliga utvärdering om han kunde behålla revisionsuppdraget, dels ett dokument benämnt SieX 2008 – Arbetsgång 4-stegsmetoden. Det senare dokumentet har fyra huvudrubriker; Uppdatera flerårsdiagrammen, Gör en visuell analys av månadssaldon, Testa konteringsmönster i verifikat och Lista väsentliga transaktioner. Förutom rubrikerna finns endast korta noteringar som inte ger någon bild av hur A-son gjorde sin riskbedömning eller planerade sin granskning.

A-son har uppgett följande.

I enlighet med den ISQC 1-policy som gällde i hans revisionsföretag vid granskningstillfället granskades bolag med en omsättning understigande 1,5 mnkr och en balansomslutning understigande 3 mnkr på följande sätt:

  • Uppdragsutvärdering.

  • Dokumentation av grunduppgifter i hans revisionsverktyg. Detta innebär att riskbedömning och riskhantering ersätts med fullständig substansgranskning, vilket medför en mera fullständig granskning än den selektiva granskning som normalt utförs.

  • Granskning av resultaträkningen med hjälp av SieX2 med fördjupad granskning av särskilt utvalda kostnadskonton.

  • Oberoendeanalys samt framtagande av väsentligt resultatfel.

  • Fullständig substansgranskning av balansräkningen, alla balanskonton granskas och slutsatser upprättas. Någon riskbedömning eller planering behövs alltså inte eftersom bolagets karaktär och storlek i sig utgör grund för granskningens utformning.

  • Uppdatering alternativt upprättande av uppdragsbrev.

  • Inhämtande av företagsledningens uttalande.

  • Begära engagemangsbesked.

  • Granskning av moms- och skatteredovisningar.

Efter Revisorsinspektionens kvalitetskontroll har han sänkt de gränsvärden som bestämmer på vilka bolag han använder denna granskningsinriktning.

A-son har tillställt Revisorsinspektionen sina beräkningar av väsentlighetstal vad gäller väsentligt resultatfel och beloppsgränser för test och urval.

Revisorsinspektionen gör följande bedömning.

Att en revisor ska dokumentera planeringen av ett revisionsuppdrag – inklusive de bedömningar, däribland riskbedömningar, som har legat till grund för planeringen – följer av 7 § 1 i Revisorsinspektionens verksamhetsföreskrifter. Den omständighet att ett bolag är litet befriar inte revisorn från denna skyldighet. De granskningsrutiner som A-son har hänvisat till utgör ingen dokumentation av vilka riskbedömningar han gjorde och hur han i övrigt planerade granskningen. Genom att inte dokumentera sin planering av granskningen och sina riskbedömningar på föreskrivet sätt har han åsidosatt god revisionssed.

SieX är ett analysverktyg för SIE-filer. SIE-filer är ett svenskt standardformat för att utväxla bokföringsdata mellan olika ekonomiprogram – Standard Import Export.

4 Skriftligt uttalande från företagsledningen (båda bolagen)

I dokumentationen avseende projektledningsbolaget finns ett skriftligt uttalande från företagsledningen som är daterat den 11 mars 2018. A-son avgav sin revisionsberättelse den 20 juni 2018, dvs. över tre månader efter det att han hade hämtat in uttalandet från företagsledningen.

I dokumentationen avseende taxibolaget finns ett skriftligt uttalande från företagsledningen som är daterat den 23 maj 2018. A-son avgav sin revisionsberättelse den 20 juni 2018, dvs. över en månad efter det att han hade hämtat in uttalandet från företagsledningen.

A-son har uppgett följande.

Han har uppenbarligen feltolkat kravet i ISA 580 Skriftliga uttalanden på att datumet för det skriftliga uttalandet ska vara så nära datumet för revisionsberättelsen som det är praktiskt möjligt. Han såg därför inget problem med att de inhämtade uttalandena var en respektive tre månader gamla.

Normalt är uttalandena från företagsledningen ”färska” eftersom flertalet klienter antingen kommer in med materialet relativt sent eller har önskemål om att revisionen om möjligt ska vara klar inom kort. I projektledningsbolaget konstaterade han att uttalandet var undertecknat och missade att det var tidigt daterat. I taxibolaget drog revisionen ut på tiden längre än vanligt vilket medförde att uttalandet blev för gammalt.

Revisorsinspektionen gör följande bedömning.

Av ISA 580 Skriftliga uttalanden p. 10 framgår att revisorn ska begära att företagsledningen lämnar ett skriftligt uttalande om att den har uppfyllt sitt ansvar för upprättandet av årsredovisningen enligt det tillämpliga ramverket för finansiell rapportering. Detta innefattar, där så är relevant, att årsredovisningen ger en rättvisande bild enligt villkoren i revisionsuppdraget. Vidare ska revisorn enligt ISA 580 p. 11 begära att företagsledningen lämnar ett skriftligt uttalande om att den har försett revisorn med all relevant information och åtkomst enligt villkoren för revisionsuppdraget samt att alla transaktioner har bokförts och avspeglas i årsredovisningen. Enligt ISA 580 p. 14 ska datumet för det skriftliga uttalandet vara så nära datumet för revisionsberättelsen för årsredovisningen som det är praktiskt möjligt. Skälet till detta är att revisorn inte har de revisionsbevis som ISA 580 kräver för tiden mellan dateringen för det skriftliga uttalandet och dateringen av revisionsberättelsen.

Företagsledningarnas uttalanden är daterade drygt en respektive tre månader före A-sons revisionsberättelser. Det finns inget som tyder på att det inte var möjligt att hämta in uttalandena i närmare anslutning till respektive revisionsberättelse. Genom att underlåta att hämta in ett uttalande från företagsledningen i nära anslutning till dateringen av revisionsberättelsen har A-son åsidosatt god revisionssed.

5 Sammanfattande bedömning och val av disciplinär åtgärd

A-son har försummat att i sitt revisionsföretag inrätta en övervakningsprocess i enlighet med kraven i Revisorsinspektionens verksamhetsföreskrifter och ISQC 1. Han har vidare, i ett av de granskade uppdragen, underlåtit att dokumentera sin riskbedömning och planering av revisionen på föreskrivet sätt. Slutligen har han i två av de granskade uppdragen underlåtit att hämta in skriftliga uttalanden från företagsledningen i nära anslutning till dateringen av sina revisionsberättelser. I nu nämnda avseenden har han åsidosatt god revisorssed och god revisionssed. Han ska därför meddelas en disciplinär åtgärd.

Det som läggs A-son till last är sammantaget allvarligt. Han ska därför, med stöd av 32 § andra stycket revisorslagen, ges en varning.

FARs kommentar

Brister i övervakningsprocessen enligt ISQC 1 är en vanligt iakttagelse vid FARs kvalitetskontroller. Ett särskilt problem är att ledningen i en mindre verksamhet underlåter att tillse att det förekommer regelbundet återkommande inspektioner av minst ett avslutat uppdrag för varje revisor. RI anger att skyldigheten att inrätta ett system för intern kvalitetskontroll samt övervakning och utvärdering av detsamma följer av god revisionssed som kommer till uttryck i 21 § RIFS (2018:2) revisorers verksamhet som utvecklas med mer detaljerade riktlinjer i ISQC 1.