Lärdomar efter två år med ISQM1

Första gången jag kom i kontakt med ISQM1 var inför mitt engagemang som lärare på FAR:s lokala dagar 2020. Inte kunde jag då tro att en standard skulle påverka mitt yrkesliv så mycket som denna gjort. Fyra och ett halvt år senare har jag deltagit i FAR:s referensgrupp vid framtagning av vägledningen till byråer, föreläst för fler än 300 kvalitetsansvariga tillsammans med Bengt Skough i FAR:s grundkurs i ISQM1, skrivit en bok om tips för de små- och medelstora byråernas tillämpning, hjälpt över 100 byråer med upprättandet av kvalitetsstyrningssystemet och tagit fram ett dokumentationsprogram för att dokumentera såväl byråns olika processer som övervakning och utvärdering enligt standarden.

I den här krönikan tänkte jag dela med mig av mina erfarenheter av arbetet med standarden, och då främst utifrån perspektivet av den lilla eller medelstora revisionsbyrån och med fokus på brister i efterlevnad av själva standarden ISQM1.

Det jag sett när jag på olika sätt hjälpt fristående byråer och nätverk med ISQM1 är följande:

1. Byråerna följer till största del ISQM1 för att de måste, inte för att det är klokt att arbeta systematiskt med kvalitet
2. Reglerna implementeras långsamt hos byråerna i likhet med implementering av riktlinjer för efterlevnad av nya Penningtvättslagen
3. Dokumentationen av de olika processerna är många gånger bristfällig
4. Byråerna förstår inte vad övervaknings- och åtgärdsprocessen innebär och hur en övervakningsåtgärd skiljer sig från en motåtgärd
5. Byråerna noterar inga iakttagelser eller brister i sina kvalitetsstyrningssystem och utför inga grundorsaksanalyser

Byråerna följer till största del ISQM1 för att de måste, inte för att det är klokt att arbeta systematiskt med kvalitet

Inledningsvis ska nämnas att många jag träffat med all rätt tycker att ISQM1 är en krånglig standard och att byrån även med FAR:s omfattande vägledning har svårt att få grepp om vad de som minst måste göra.

Jag möter byråer med två olika behov. Den stora merparten av byråer följer ISQM1 gör detta enbart för att de måste. Några fåtal gör det som ett kvalitetsstyrningssystem är tänkt som; att arbeta för att ständigt förbättra sig. Där har vi den första svårigheten med den nya standarden; först måste byråerna förstå värdet av att arbeta med kvalitet och ha ett systematiskt arbete med att granska om de processer de har bestämt sig för verkligen fungerar som de tänkt sig. En central del är att analysera iakttagelser och brister och införa åtgärder som kan leda till förändringar hos byrån som i sin tur leder till högre kvalitet. Först när byrån inser att kvalitetsstyrning är en metod som inte bara finns i ISQM1 utan som många andra verksamheter använder så kommer de kunna använda ISQM1 som ett stöd för att utveckla sin verksamhet.

Jag har flera gånger använt AI för att ta reda på vad ett bra kvalitetsstyrningssystem ska innehålla för att ge en verksamhet, oavsett vilken tjänst eller produkt de säljer, stöd för att förbättra verksamheten. Svaren är högst intressanta. Allt som är centralt i ISQM1 är också är det svar vi får från den artificiella intelligensen: Vikten av att ha mål, identifiera risker för att målen inte uppnås och införa processer eller rutiner för att riskerna inte ska inträffa. Dokumentera allt i ett policydokument och genomför återkommande granskningar eller uppföljningar hur väl riktlinjerna efterlevs. Analysera våra brister, vad de har fått för effekter och varför de inträffat. Inför åtgärder så att de bristerna inte kan inträffa igen. Detta gäller oavsett om företag säljer bromsbelägg till fordonsindustrin, någon annan produkt, tjänst eller som vi byråer; revisions- eller redovisningstjänster. Initialt är det viktigt att följa alla obligatoriska kvalitetsmål men jag arbetar även med byråer som utvidgat sina mål till att även exempelvis ha mål för sitt hållbarhetsarbete eller personalrelaterade målsättningar. Arbetssättet är detsamma. Målen och kvalitetsriskerna och riktlinjerna andra.

Reglerna implementeras långsamt i likhet med implementering av riktlinjer för efterlevnad av nya Penningtvättslagen

En tanke som slagit mig många gånger är likheterna mellan implementeringen av ISQM1 och den i mitt tycke misslyckade implementeringen av nya PTL 2017. Där hoppas jag verkligen att efterlevnaden av ISQM1 inte ska behöva innebära lika många tillsynsärenden som vi ser i spåren av den, som jag ser det, misslyckade implementeringen av riktlinjer för PTL hos Sveriges redovisnings- och revisionsbyråer. Jag vill tro att väldigt få hade riktlinjer och en allmän riskbedömning på plats redan 2017 när reglerna för PTL trädde i kraft. Ännu färre hade såklart redan då implementerat desamma i verksamheten. De flesta har sedan dess förstått att en riktlinje för penningtvätt är något som alla måste ha på plats. Det räcker dock inte att ha en riktlinje, den ska användas också. Likadant är det med ISQM1.  Kvalitetspolicys och riskbedömningar fyller ingen funktion om de inte används. Det jag ser nu är att de flesta byråerna inte förstått att den övervakning och utvärdering som ska ske årligen i enlighet med ISQM1 är mycket mer långtgående än tidigare regler, och där är min erfarenhet att många inte ens är i närheten av att uppfylla kraven i standarden såsom de beskrivs.

Redan i ISQM1:s först paragraf står att revisionsbyrån ska upprätta, implementera och använda ett kvalitetsstyrningssystem. Det jag ser just nu är att de flesta revisionsbyråer enbart har bockat av den första delen, det vill säga att de har upprättat sitt kvalitetsstyrningssystem. De flesta byråer har tagit fram en riskbedömning och en kvalitetspolicy, men betydligt färre har bockat av den andra delen; att se till att det som står i policy implementeras i det dagliga arbetet. Byråerna behöver utbilda så att kvalitetspolicyn, handböcker för de olika verksamhetsgrenarna och riktlinjerna för penningtvätt och sen övervaka om riktlinjerna efterlevts.

Jag brukar säga att standarden innehåller två arbetsuppgifter för byrån. Den första är att se till att allt som byrån bestämt ska utföras faktiskt blir utfört. Det är den som är operativt ansvarig för systemet som måste se till att alla riktlinjer införs och följs. Den andra är en övervaknings- och åtgärdsprocess samt utvärdering av system, prestationer och riskbedömning. Det är den operativt ansvariga för övervakningen som har ansvar för övervakningen och det kan inte vara samma person som den operativt ansvariga. Det har RI fastställt i praxis i ett ärende 2024.  Att övervaka blir ju så klart lättare om alla processer är dokumenterade. Annars blir övervakningen som att granska ett dåligt dokumenterat bokslut som säkert många av läsarna varit med om. Även en tydlig ansvarsfördelning är ytterst viktig, och där brister många byråer i dokumentation och implementation. Det jag ser just nu är att kvalitetspolicyn och riskbedömningen enbart blir ett dokument som står i hyllan i en pärm eller mer troligt under en mapp på byråns server som knappt läses igenom av de anställda.

Dokumentationen av de olika processerna är många gånger bristfällig hos byråerna

Den tredje stora problematiken för de flesta byråerna idag är bristande dokumentation av de olika processerna. Enligt min erfarenhet gör byråerna en stor mängd så kallade motåtgärder men de dokumenteras inte, vilket de ska enligt ISQM1. Hålls det ett månadsmöte så ska det finnas ett protokoll med vad som avhandlats, är en kund missnöjd ska det dokumenteras och hanteras av den på byrån som har ansvar för klagomål, anställs det en person ska ställningstagandena och processen för anställningen dokumenteras. Totalt är det drygt 60 olika processer byrån på olika sätt behöver utföra och dokumentera. Detta om byrån valt att införa allt som föreslås enligt FAR:s mallar för kvalitetspolicy och riskbedömning. Problemet är oftast inte att riktlinjerna inte följs utan att de dokumenteras bristfälligt eller inte alls.

Byråerna förstår inte vad övervaknings- och åtgärdsprocessen innebär och hur en övervakningsåtgärd skiljer sig från en motåtgärd

Den tredje delen i standardens första paragraf är den med allra sämst efterlevnad; att använda systemet, inte minst gäller det delen att använda en övervaknings- och åtgärdsprocess för att slutligen kunna utvärdera systemet och prestationerna. En anledning till det tror jag är att FAR:s material inte innehåller mer än något enstaka förslag till övervakningsåtgärder. En annan anledning att vi inte är vana att granska intern kontroll på våra kunder. När jag går igenom det byråer själva utför så är det min uppfattning att de flesta är dåliga på att förstå vad som är en övervakningsåtgärd. Redan när jag och Bengt Skough höll i grundkursen förstod vi att det var extremt svårt för de kvalitetsansvariga att upprätta övervakningsåtgärder.

Problematiken är att de flesta byråerna antingen blandar ihop motåtgärder och övervakningsåtgärder eller så anser de att övervakning är att enbart ompröva riktlinjen eller policyn. En övervakning innebär att granska efterlevnaden av en riktlinje. Låt mig ta ett exempel. Säger ni att alla i personalen ska utbilda sig 20 timmar per år så ska den som är övervakningsansvarig kontrollera att alla har utbildat sig mer än 20 timmar per år och inom de områden som det är bestämt att de ska utbilda sig i. Det många byråer i stället gör är att de bedömer om riktlinjen är bra och så kommer de fram till att de ska fortsätta utbilda sig 20 timmar per år även kommande år. Att ompröva sina riktlinjer ska man enligt FAR:s exempelpolicy göra två gånger per år men är inte en övervakning enligt ISQM1.
Ska byrån uttala sig om kvalitetsstyrningssystemet fungerar behöver också byrån årligen internt övervaka att alla processer fungerar. Det gör inte byråerna idag.

För stort fokus från FAR har legat på en anpassad riskbedömning och kvalitetspolicy i stället för att fokusera på att göra det som FAR anser är bra åtgärder och analysera avvikelser. Det är klart det är viktigt att ha en riskbedömning som är anpassad och en kvalitetspolicy som beskriver de olika riktlinjerna och processerna på byrån. Men ännu viktigare i standarden är den iterativa processen, det vill säga övervaknings- och åtgärdsprocessen och det beskrivna sättet att analysera grundorsaken till brister. Den anpassade kvalitetspolicyn och riskbedömningen kommer byrån få på köpet över tid om de arbetar med ett iterativt arbetssätt i sitt kvalitetsstyrningssystem.

Byråerna noterar inga iakttagelser eller brister i sina kvalitetsstyrningssystem

Finns det inga brister så finns det inget att utföra grundorsaksanalysen på och det leder oss till det sista problemet som jag ser återkommande när jag arbetar med byråer. Det problemet är relaterat till professionell skepticism och något som jag återkommande reflekterat över under mina över 10 år som extern kvalitetskontrollant. Då hade jag turen att få kontrollera den enskilda revisorn eller redovisningskonsulten som hade världens bästa kunder. Det fanns inte ett enda fel noterat i någon akt. Allt fungerade extremt bra. Likadant möts jag idag av en omfattande mängd revisionsbyråer eller i något fall revisionsnätverk med ett omfattande antal byråer som påstår att de ”inte har en enda missnöjd kund” eller att ”det inte finns ett endaste fel begånget” på byrån. Det kan säkert finnas någon enstaka byrå som slimmat allt till det yttersta och som haft sina kunder väldigt länge, kastat ut kunder, anställda och andra resurser som inte fungerat och har den situationen. Men de byråerna torde vara ytterst få till antalet och sällsynta. De allra flesta gör något fel per år, de har någon kund som är missnöjd, de har någon kund som de önskar att de inte hade tackat ja till osv. De har gjort något misstag som de kan dra lärdom av och behöver analysera. Det jag ser är att vi i dagsläget gör extremt få grundorsakanalyser trots att det är ISQM1 kärna att iterativt arbeta med sin övervakning och åtgärdsprocess.

Att våga inse sina brister och analysera de blir nyckeln till kvalitetshöjning på byråerna. Jag är övertygad om att de byråer som vågar dokumentera sina misstag och analysera dem kommer att höja sin kvalitet betänkligt över tid. Att aldrig ha något noterat tyder snarare på att kvalitetsstyrningssystem inte fungerar. Först när man vågar inse och analysera sina egna brister får vi en kvalitetsförbättring på våra byråer i den komplexa värld som vi verkar i.

 

Tillägg från redaktionen:

FAR håller för närvarande på med ett uppdateringsarbete avseende vägledning och exempelmallar som är kopplade till ISQM1 och REKO.