Kvalitetskontrollen behöver vara riskbaserad

Dagens externa kvalitetskontroll kontrollerar att vi granskat medan Revisorsinspektionen kontrollerar hur vi granskat. Jag menar att det inte borde vara skillnad på sätten vi kontrolleras.  Kvalitetskontrollens utformning utvecklar oss revisorer till att bättre ha bockat i alla bockar men gör oss inte till bättre professionellt skeptiska revisorer.  

För mig är det förvånande att inte den externa kontrollen har anpassats och förbättrats på samma sätt som byråernas kvalitetsarbete tvingats till. Även den externa kvalitetskontrollen borde vara riskbaserad. ISA-granskningar är riskbaserade och det interna kvalitetsstyrningssystemet enligt ISQM1 är riskbaserat. Detta borde rimligen gälla även den externa kvalitetskontrollen. 

Enligt mitt tycke ska kvalitetskontrollen fånga upp revisorer och revisionsföretag som gör systematiska fel och inte arbetar enligt god revisionssed. Det är också den slutsats som den externa kvalitetskontrollanten har i sin rapport från kvalitetskontrollen som sen är underlag för kvalitetsnämndens beslut.   

Enligt mig finns det en hel del brister i dagens externa kvalitetskontroll och jag anser därför att kvalitetsnämnden borde ha ett kvalitetsstyrningssystem för sin egen verksamhet. Om de hade ett sådant på det sätt som vi revisionsföretag idag enligt ISQM1 måste övervaka och utvärdera vår egen verksamhet tror jag att kvalitetskontrollen väsentligt skulle förbättras med följden att även vi revisorer och revisionsföretag skulle anpassa oss och även vi förbättra oss. Jag tror då att en övervakning och utvärderingsprocess skulle visa  ett flertal brister i deras verksamhet. En första brist är att kvalitetskontrollens urvalsprocess är en urvalsprocess som vi aldrig skulle kunna använda oss av i exempelvis en ISA-revision.  

Brist nummer två och tre som systemet skulle fånga upp är näst intill obefintliga riktlinjer för bedömning, och en enormt lång checklista som medför att kvalitetskontrollanten snarare gör en ytlig allmän hälsokontroll än att faktiskt utmana och testa om revisorn valt rätt risker, granskat i tillräcklig omfattning och uttalat sig korrekt. Att kolla om saker är gjorda blir bara en mätning av dokumentationskvaliteten. Istället borde den externa kvalitetskontrollanten göra en riskbedömning av revisorn och dess verksamhet, och djupare granska (och ta fler stickprov på) arbetet som är kopplat till de största riskerna.  Då skulle kontrollanten också i sin slutsats ta ställning till om revisorn har granskat tillräckligt för att kunna uttala sig om den ”risk för väsentliga felaktighet” med högst sannolikhet och effekt i de revisioner som granskas. Det är en parameter som jag menar är mycket viktigare för kontrollanten att mäta.  

En annan brist som de troligen skulle upptäcka är att kriterierna för att bli kontrollant, och utvärderingen av kontrollanterna, är märkliga. För mig är utbildning och kompetens viktigare än tid i yrket. Vidareutbildning av kontrollanter och verifiering att de kan regelverket ISA och den praxis som finns kan inte heller upprätthållas endast genom en erfarenhetsdag per år. Utbildningen måste bli intensivare och de som kontrollerar måste vara ännu mer kompetenta än de som kontrolleras. Kvalitetskontrollanterna själva borde utsättas för en hårdare kvalitetskontroll av särskilt kompetenta revisorer eller FAR:s kansli. En resursfråga säger ni? Min åsikt är att vi genom att inte ge kontrollanterna mer utbildning och följa upp deras kvalitet prioriterar vår lönsamhet framför kvaliteten i yrkesrollen. En felaktig prioritering om ni frågar mig och också ett kvalitetsmål som många byråer stundtals har problem med att efterleva.  

Jag menar att en kvalitetskontroll istället borde gå till så att kontrollanten uppdelar sitt arbete i en planeringsfas (inklusive riskbedömning), en granskningsfas och en rapporteringsfas precis som vi arbetar när vi utför en revision enligt ISA. Det utgångssättet har jag också när jag proaktivt stöder er byråer med kvalitet. Då brukar jag börja med att läsa igenom ett uppdrags årsredovisning. Jag läser på om uppdraget, hämtar in information, och läser igenom akten för att bilda mig en generell uppfattning om revisorns planering, utförande och rapporteringen. Därefter utgår jag från vad jag tror revisorerna kan brista i, var risken för störst fel är. Därefter granskar jag dessa risker djupare på fler uppdrag än två och med en urvalsprocess som motsvarar den vi använder i ISA-granskningar.  

Utöver rapporten till kvalitetsnämnden kan också kvalitetskontrollanten med fördel ge ut en ”rapport till den kvalitetskontrollerade” som innehåller förbättringsförslag och hänvisningar till aktuella ISA, RevR eller praxis. Lite på samma sätt som vi i vår ISA-granskning är skyldiga att avrapportera brister i den interna kontrollen till styrelsen. En sådant PM ger jag alltid till de jag arbetar med proaktivt. Det är ju med stöd av de synpunkterna som man sen kan skruva på sina riktlinjer och arbetssätt för att höja kvaliteten och utföra grundorsaksanalyser.  

Jag har också ofta varit med om att byråerna i sitt interna kvalitetsarbete inte vill notera väsentliga brister eftersom de vet att kvalitetskontrollanterna då möjligen skulle ta de bristerna med i sin externa rapportering. Ett internt kvalitetssystem som finner brister, gör grundorsaksanalyser och problematiserar för att höjer kvaliteten ska enligt mig belönas, inte bestraffas!

 Läs också: