Frågor & Svar
Allmänt om ISQM
Block Revisionskvalitets tjänster som finns på denna sida ger dej som driver en liten eller mellanstor byrå att köpa tjänster inom Quality Management. Det finns en anledning att de större byråerna har specifika tjänster för kvalitetsfrågor och det är att det finns ett behov för alla i en komplex värld och regelsystem för stöd. Detta är er chans att få del av samma tjänster.
I ett ISQM-perspektiv finns det till och med intaget som ett avsnitt hur byrån säkerställer kvalitet med externa leverantörer. Anlitar ni oss får ni som byrå en bra motåtgärd för alla de kvalitetsmålen som rör det. Hela ert kvalitetsstyrningssystem får dessutom en kvalitetsstämpel.
Det första ni behöver göra är att göra det initiala riskbedömningsarbetet. Det är ett betydande och utmanande arbete som effektiv tid kommer ta någon/några veckor men som för de flesta behöver pågå en längre tid då det är en process att ta sig igenom.
Den andra stora utmaningen är att implementera de nya rutinerna och utbilda er personal samt övervaka alla motåtgärder.
Den nya standarden ställer många krav som få revisionsbyråer har på plats idag. Visst är den krävande men väljer man att gå in i detta fullt ut så kommer standarden även ge oss ett arbetssätt som gör att vår kvalitet höjs betydligt. Något val har man ju egentligen inte och all förändring är så klart jobbig så förändringsarbetet är den stora tredje utmaningen enligt oss.
Riskbedömning
En stor kvalitetsrisk i de flesta mindre byråer bedömer vi är att byråledningen varken har kompetens och/eller tid att sätta sig in i regelverket eller erfarenhet av kvalitetsarbete. Därför kommer sannolikt er byrås riskbedömning innehålla brister som sen möjligen leder till kvalitetsbrister i verksamheten. Dessa brister uppdagas troligen vid exempelvis en kvalitetskontroll, vid ett klagomål från en kund eller ett skadeståndskrav. En extern leverantör som vår som är väl insatt i regelverket och som dessutom har erfarenhet från sin egen och andras riskbedömningar minimerar den risken och leder din byrå rätt i svåra avvägningar.
Vi förstår inte heller varför alla byråer hjälpligt ska ta sig igenom denna process och avsätta dels massa tid att läsa in sig på ett komplext regelverk dels arbeta fram ett arbetssätt för sin byrå när vi kan göra det mesta av jobbet åt byrån. Byrån får tid att fortsätta arbeta med det de är bäst på: revisioner, skatt, redovisning och rådgivning medan vi hjälper till med kvalitetsstyrningen. Mest kommer ni tjäna på kvaliteten på ert kvalitetsstyrningssystem. Man ska göra det man är bäst på!
Vi har arbetat fram ett arbetssätt som vi anser är värt att betala för som kommer effektivisera er riskbedömningsprocess och även kommer ge en bra dokumentation av ert arbete.
Därför att byråer och byråledningar vill göra olika mycket själva. PREMIUM innebär att byrån överlåter hela processen till oss och får då en nyckelfärdig riskbedömning och även att vi sätter upp kvalitetsstyrningssystemet och dokumentationen som vi anser vara bäst.
Där kommer vi även effektivt år 2 kunna stödja er i övervakning av ert system. Er medverkan är nödvändig men vi kommer leda er med handfasta tag genom hela arbetet. STÖD innebär att ni gör er egen riskbedömning. Sen kommer vi in med vår kompetens och ger er feedback och förslag på förbättringar.
Den mest efterfrågade riskbedömningstjänsten är dock PLUS som innebär att vi i återkommande seminarier leder och dokumenterar ert arbete genom hela processen.
Detta handlar helt enkelt hur mycket tid ni själva vill lägga på ert riskbedömningsarbete. En fjärde variant är ju att inte köpa några externa tjänster. Vi är dock övertygade att vi är värda varje nedlagd krona.
Allt beror så klart på hur komplex din byrå är. En mindre byrå med färre rörelsegrenar har sannolikt färre kvalitetsrisker och behöver föra in färre motåtgärder. Skulle jag uppskatta tiden för den minsta byrån med fler än en medarbetare, utan vårt stöd så tror jag det rör sig om drygt en vecka för byråledaren bara för att sätta sig in tillräckligt i regelverket och de mallar och policys som är framtagna. Därefter sannolikt minst en vecka till för att få till riskbedömningen och kvalitetspolicyn. Men då har ni bara börjat. Det stora arbetet blir att implementera systemet på er byrå och att åtgärda iakttagelser och brister.
Det stämmer att standarden ställer krav på ansvar och ansvarsfördelning. Både på att man måste fördela ansvar och specifikt vissa roller som inte kan utföras av andra än standarden säger. Som exempel är styrelsen alltid ytterst ansvarig och företagsledaren måste alltid ha operativt ansvar. Men vi kan förbereda mycket och ge företagsledaren bra beslutsunderlag och dokumentation och förslag på hur en riskbedömning ska utföras utifrån vår erfarenhet. Lite som en assistent i en revision gör vi grovarbetet åt styrelse och ledning när det gäller kvalitetsstyrningsarbetet.
Kristofer Block har en gedigen bakgrund inom både kvalitetskontroll men även senare år med kvalitetsarbete i Fars normgivningsgrupp Revision. Han har även varit delaktig i FARs arbetsgrupp för framtagande av vägledning samt är den som tillsammans med Bengt Skough hållit i FARs grundutbildning i regelverket. Under hösten 2021 har Kristofer parallellt med sin egen riskbedömning tagit fram ett arbetssätt för hur han tycker att byråer ska upprätta riskbedömningen och dokumentera systemet.
Arbetssättet innefattar en tydligare överblickbarhet än FARs riskbedömningsmatris, en dokumentation av alla ställningstaganden/förändringar man gör relativt FARs mall och relativ den bruttolista av kvalitetsrisker ni tänker er ha på er byrå. Vi har även indexerat kvalitetsmål, kvalitetsrisker och motåtgärder så att man lätt kan se hur allt hänger ihop. Väljer man att köpa vår övervakningstjänst ingår även påminnelser till de som har ansvar för motåtgärder. Slutligen innebär vårt arbetssätt även att ni har förberett så ni kan koppla på övervakningstjänst via oss eller att ni relativt effektivt kommer kunna övervaka ert egna system.
Själva riskbedömningsprocessen inklusive att uppdatera vår kvalitetspolicy har tagit ungefär en arbetsvecka fördelat på 3 medarbetare. Sen har Kristofer processat detta länge i och med sitt arbete i FARs arbetsgrupp för ISQM och under tiden han byggt utbildningen så det är den tid vi lagt på själva skrivandet och möten kring vår egen riskbedömning.
Totalt innehåller vår riskbedömning 51 valda kvalitetsmål/delmål för att möta upp de 26 obligatoriska kvalitetsmålen. Vår riskbedömning innehåller mellan 40-50 skillnader om man gör en jämförelse mellan FARs mall och vår riskbedömning.
Som en del av vårt arbetssätt har vi även tagit fram en åtgärdslista med över 20 punkter som vi måste ta tag i när det gäller rutiner som vi måste ha som vi idag inte har på plats. Där räknar jag med att vi internt kommer behöva lägga ner mer än en veckas arbetstid för att bocka av de punkterna. Som exempel måste vi införa en rutin för hur nyanställda utbildas för att nå ett minimum i grundkunskap kring kvalitetsfrågor och yrkesetiska regler vilket vi inte har på plats idag. Alla dessa åtgärder har vi bestämt vem som har ansvar för och deadlines när de ska vara utförda. Det optimala är att vi har dessa på plats när standarden gäller eftersom vår initiala riskbedömning förutsätter att vi har de rutinerna på plats. Utöver det har vi lagt några timmar på att schemalägga drygt 10 motåtgärder så att de medarbetare som ska utföra dessa får ett påminnelsemail vid tidpunkter när de ska utföras.
Lärdomen är att det tar väldigt mycket mer tid än vad man tror och att det stora arbetet inte är riskbedömningen utan att implementera alla nya rutiner som måste genomföras. För oss kommer det krävas mycket utbildning av vår personal i den riskbedömning vi utfört så vi får förståelse för varför vi inför så mycket nya rutiner. Standarden ställer extremt mycket krav på oss när det gäller Resurser och hur vi kommunicerar vilket kommer bli en utmaning framöver att leva upp till. Tro mig vi är inte en byrå som tidigare slarvat med byråns rutiner och uppföljning av våra anställda snarare bedömer jag oss som över genomsnittet.
Motåtgärder
Vi anser att alla byråer bör ha någon som bevakar årets tillsynsärenden. Likaså anser vi att någon bör bevaka och uppdatera personalen på förändringar i yrkesetiska regler samt oberoendefrågor. Utöver det behöver era medarbetare i enlighet med FARs förslag till riskbedömningsmatris utbildas i professionell skepticism.
Byråer över 30 anställda bör ha någon vars arbetsuppgift nästintill uteslutande innebär stöd i kvalitetsfrågor samt denna typ av arbetsuppgifter. För mindre byråer är det ett alternativ att köpa in tjänsten så att någon bevakar dessa områden och utbildar er personal. Därför har vi byggt upp en seminarieserie med 4 korta årliga seminarier som täcker in dessa motåtgärder.
Övervakning- och Utvärderingsprocesserna
Här har många byråer den stora vinsten. Att få in en extern leverantör med erfarenhet från kvalitetsfrågor som kontinuerligt ger feedback och förbättringsförslag i kvalitetsfrågor och som utreder eventuella iakttagelser om de är brister i ert system. Finns det brister behöver en utredning utföras om grundorsaken till bristerna. Det är här vi kommer kunna göra stor nytta i det iterativa arbetet med er kvalitet.
Vi sätter upp ett arbetssätt för er som byrå tillsammans med riskbedömningen som gör att vi effektivt sen kan övervaka och dokumentera att alla motåtgärder genomförs. Gör ni riskbedömningen själv kommer ni även dokumentera på ett annat sätt än det vi tillämpar. Det innebär troligen att vi inte kommer kunna arbeta lika effektivt när vi anlitas att övervaka ert system. Har vi hjälpt till med er riskbedömning kommer vi kunna övervaka ert system till ett fast pris beroende på storlek och komplexitet på er byrå.
Den som påstår att en intern kvalitetskontroll på ett enskilt uppdrag på en 6-årsperiod är tillräckligt bedömer vi inte förstå vad kvalitetsstyrning rör sig om. Säg att en revisor har 150 revisionskunder. På en 6-årsperiod innebär en kontroll av ett enskilt uppdrag att man som byrå kvalitetssäkrar ca 0,1% av den revisorns alla genomförda revisioner. Det är för oss en helt obegripligt låg insats beaktat regelverkens komplexitet och omfång och knappast ett sätt att proaktivt arbeta med kvaliteten. Ofta genomförs kontrollerna även av en kollega med lika lite erfarenhet av kvalitetsarbete och som rör sig i samma lilla krets av revisorer och möjligen gör samma fel om det finns fel i den granskades revisioner.
Vi måste sluta oroa oss för kvalitetskontroller och revisorsinspektionens tillsyn och istället proaktivt se till att alla medarbetare följer tillämpliga lagar och regler och att alla rapporter vi som byrå ger ifrån oss är så bra som möjligt givet omständigheterna. ISQM är vår chans att få stöd att göra detta proaktiva arbete. Vi ger er stöd i detta arbete.
För enpersonsbyråer
Som ensam revisor är regelverken som revisor omfattande att följa med i. Vår uppfattning är att om man som ensam revisor vill arbeta proaktivt med kvalitetsfrågor ska man anlita en extern leverantör som ger årligt stöd och feedback. Vi har därför tagit fram tre förmånliga paket som vi kallar Revisions-PT, Revisions-PT Plus samt Revisions-PT Premium
Revisions-PT innebär att vi årligen övervakar ert system. Varje år gör vi en kvalitetssäkring av ett enskilt uppdrag och vartannat år gör vi 2 st kvalitetssäkringar av enskilda uppdrag.
Övervakningen av systemet och de ingående kvalitetssäkringarna avslutas med genomgång och skriftligt PM med förbättringsförslag samt hänvisning till relevanta ISA och eller tillsynsärenden samt eventuella förslag på utbildningsinsatser och förändringar i ert kvalitetsstyrningssystem. Revisions-PT-plus innebär att man får second-opinion på svårare revisionsfrågeställningar under årets revisioner. De flesta stora revisionsbyråerna har Quality management-avdelningar eller personer. Detta är er chans till att få stöd och hjälp i svårare situationer vid sidan om FARs utmärkta medlemsrådgivning.
Nej, vi tycker att man ska ta stöd av någon revisor som har spetskompetens. Erfarenhet av kvalitetskontrollarbete eller lång erfarenhet på annat sätt är möjligheter. Vår styrka är att Kristofer deltar löpande i FARs normgivningsgrupp och ständigt håller sig uppdaterad i nya regler och tillsynsärende.
Visst är det bra att träffas flera som ett alternativ om man anser sig ha erfarenhet. Man kan dock fundera kring om det inte vore bättre för er om ni var och en skulle ta på er en eller två till revisioner till och låter oss som är experter på kvalitetsstyrningssystem och kvalitetsfrågor hjälpa er med att hålla en högre kvalitet och minska era risker?
Övriga frågor
Det finns massvis med olika kvalitetsstyrningsprogramvaror för andra branscher men inget som vi idag känner till som är anpassat för revisions- eller redovisningsbranschen. I Sverige har vi dessutom väldigt små byråer så tas det fram programvaror internationellt är vår initiala bedömning att dessa både kommer bli relativt dyra samt även inte vara så anpassade till våra små verksamheter. Det finns även intressenter som överväger att påbörja att bygga en svensk programvara men de är i startgroparna och har så vitt vi känner till inte någon kvalificerad kompetens inom tillämpning av ISQM.
Standarden ISQM1 innehåller över 26 skallkrav bara när det gäller kvalitetsmål som ska uppnås. Utöver det innehåller den vissa motåtgärder som är obligatoriska. Dessutom krav på riskbedömning både initialt och att iterativt arbeta med sin riskbedömning. Krav på ansvarsfördelning. Byrån behöver utöver det utföra en övervakning av sitt system och notera iakttagelser som behöver bedömas om de är en brist. Är iakttagelsen en brist måste man göra en utredning om vad grundorsaken till bristen är. Till detta finns omfattande krav på dokumentation som måste finnas.
Detta är inte dokumentation av engångsupprättningskrav utan till stora delar dokumentation av vad som utförts i motåtgärder, vad övervakningen bestått av, hur utvärderingen utförts mm. Så vår uppfattning är att kraven kommer vara betydligt större än tidigare. Vissa bedömare säger till och med att det kommer bli svårt att driva en liten oberoende byrå utan stöd via ett nätverks nätverkstjänster eller via en extern leverantör.
Det är väldigt svårt idag att veta hur ISQM kommer kontrolleras. FARs kvalitetsnämnd har inte upprättat några nya checklistor och några utbildningar av FARs kvalitetskontrollanter är i början av 2022 inte påbörjade. Det är sannolikt att kvalitetskontrollen kommer att förändras.
Två saker är vi dock säkra på:
1. Byråer ska inte göra detta för att enbart klara kvalitetskontrollen
2. ISQM kommer vara lätt att kontrollera om det följts eller ej.
Väljer man att arbeta med oss så kommer vi ge er en bra dokumentation att visa upp för kvalitetskontrollen och tillsynsmyndigheten.
Revisorsinspektionen har sedan några år tillbaka arbetat aktivt med att proaktivt arbeta med tematillsyner och vill minska sin tillsynsverksamhet i efterhand. Ett exempel på det är att man gjort tematillsyner för penningtvätt och digitala arbetssätt de senaste 2 åren för att ge vägledning till kåren i förhand istället för att i efterhand klanka ner på utfört arbete. Möjligen kommer detta upp som en kommande tematillsyn år 2023.
De få tillsynsärenden som finns rörande ISQC1 gäller att revisorer, oftast enmansbyråer, inte utfört någon kvalitetssäkring alls mellan kvalitetskontrollerna. Tillsynen är alltså på en väldigt övergripande nivå. Inte så konstigt heller då ISQC1 inte innehåller lika betydande krav på uppföljning som kommande regelverk innehåller.
Det som är värt att komma ihåg är då att det är den enskilda revisorn som varit föremål för tillsynen. En inte helt orimlig spaning är att revisorsinspektionen öppnar ärende även mot en byrå som har en revisor som får en enskild kontroll med omfattande brister då det är ett tydligt tecken på ett ej fungerande kvalitetsstyrningssystem på byrån.