10 Organisering av virksomheten
10.1 Organisering og kvalitetsstyring
10.1.1 Gjeldende rett
Etter revisorloven § 5b-1 om intern kvalitetskontroll i revisjonsselskap, skal revisjonsselskap etablere forsvarlige systemer for intern kvalitetskontroll av revisjonsvirksomheten. I Ot.prp. nr. 78 (2008–2009) står det i merknadene til bestemmelsen i punkt 16.1:
«At det etableres og gjennomføres intern kvalitetskontroll er vesentlig for å sikre jevn og god kvalitet på revisjonsoppdragene. Bestemmelsen er forutsatt å skulle støtte opp under den bransjefastsatte standarden om intern kvalitetskontroll. Nevnte standard vil være av vesentlig betydning for vurderingen av om kvaliteten til systemet kan anses for å være ‘forsvarlig’ i bestemmelsens forstand. Systemer for å kontrollere uavhengighet, interessekonflikter m.m. og selskapets vurderinger av hvem som skal utpekes som ansvarlig revisor, jf. § 2-2 annet ledd, vil naturlig inngå som ledd i kontrollen av revisjonsvirksomheten. At det skal etableres ‘forsvarlige’ systemer innebærer at det ikke vil være tilstrekkelig utlukkende å etablere et system, men revisjonsselskapet må også påse at det i praksis fungerer på en forsvarlig måte.»
Det siktes her til den internasjonale standarden for kvalitetskontroll ISQC 1 (International Standard for Quality Control 1). Den norske versjonen av standarden er utarbeidet av Revisjonskomiteen i Revisorforeningen, og er en oversettelse av standarden utgitt av International Assurance and Auditing Standards Board (IAASB).
Revisjonsselskapets mål er etter ISQC 1 punkt 11 å etablere og vedlikeholde et system for kvalitetssikring som gir revisjonsselskapet rimelig sikkerhet for at revisjonsselskapet og personalet etterlever faglige standarder og relevante lovmessige og regulatoriske krav, og for at uttalelser som avgis av revisjonsselskapet eller oppdragsansvarlige revisorer er hensiktsmessige ut fra omstendighetene. Etter punkt 16 skal revisjonsselskapet etablere og vedlikeholde et system for kvalitetssikring som omfatter retningslinjer og rutiner for hvert av de følgende elementene:
Lederansvar for kvalitetssikring i revisjonsselskapet. Nærmere krav er gitt i punkt 18 og 19.
Relevante etiske krav. Krav om retningslinjer og rutiner for å sikre uavhengighet mv er gitt i punkt 20 til 25.
Aksept og fortsettelse av klientforhold og enkeltoppdrag. Krav om retningslinjer og rutiner for å sikre de har tid og ressurser til å utføre oppdraget og vurderer om det foreligger forhold som tilsier at de ikke påtar seg oppdraget, m.v. er gitt i punkt 26 til 28.
Menneskelige ressurser. Krav om retningslinjer og rutiner for å sikre nødvendig kompetanse, sammensetning av oppdragsteam, m.v. er gitt i punkt 29 til 31.
Gjennomføring av oppdrag. Krav om retningslinjer og rutiner for å gi sikkerhet for at revisjonen utføres i samsvar med lov og standarder, inkludert om intern konsultasjon, oppdragskontroll, håndtere intern uenighet og oppdragsdokumentasjon, er gitt i punkt 32 til 47.
Overvåking. Krav til overvåking og evaluering av revisjonsfirmaets retningslinjer og rutiner for kvalitetskontroll, identifisering og utbedring av mangler og håndtering av klager er gitt i punkt 48 til 56.
Revisjonsselskapet skal dokumentere sine retningslinjer og rutiner, og kommunisere dem til revisjonsselskapets personale jf. punkt 17 og 57 til 59.
10.1.2 EØS-rett
Direktiv 2014/56/EU (endringsdirektivet) stiller nye krav til intern organisering av virksomheten hos godkjente revisorer og revisjonsselskaper, jf. direktiv 2006/43/EF som endret ved direktiv 2014/56/EU (revisjonsdirektivet) ny artikkel 24a. Etter bestemmelsen skal medlemslandene sikre at revisorer og revisjonsselskaper (revisjonsforetak) oppfyller følgende organisatoriske krav:
Et revisjonsselskap skal etablere tilstrekkelige retningslinjer og prosedyrer for å sikre at verken eierne, aksjonærene eller medlemmene av revisjonsselskapet eller et tilknyttet foretaks ledelse, styre eller tilsynsorgan ikke griper inn i en lovfestet revisjon på en måte som kan skape tvil om den revisoren som utfører revisjonen på revisjonsselskapets vegne er uavhengig og objektiv.
Et revisjonsforetak skal ha gode administrasjons- og regnskapsrutiner, interne kvalitetskontrollmekanismer, effektive prosedyrer for risikovurdering og effektive kontroll- og sikkerhetstiltak for informasjonsbehandlingssystemer. De interne kvalitetskontrollmekanismene skal utformes for å sikre at beslutninger og rutiner på alle nivåer i revisjonsforetakets arbeidsstruktur overholdes.
Et revisjonsforetak skal etablere tilstrekkelige retningslinjer og rutiner for å sikre at deres ansatte, og enhver annen fysisk person som stiller sine tjenester til rådighet til foretaket eller er under foretakets kontroll, og som er direkte involvert i lovfestet revisjon, har nødvendig kunnskap og erfaring i relasjon til de oppgaver de utfører.
Et revisjonsforetak skal etablere tilstrekkelige retningslinjer og prosedyrer for å sikre at viktige revisjonsfunksjoner ikke overlates til tredjepersoner på en slik måte at kvaliteten på revisjonsforetakets interne kvalitetskontroll forringes eller at de kompetente myndigheters mulighet for å føre tilsyn med om revisjonsforetaket oppfyller sine forpliktelser i henhold til revisjonsdirektivet og forordning (EU) nr. 537/2014 (revisjonsforordningen) blir svekket.
Et revisjonsforetak skal iverksette tilstrekkelige og effektive organisatoriske og administrative tiltak for å forebygge, identifisere, eliminere eller håndtere og offentliggjøre trusler mot egen uavhengighet slik de er omtalt i direktivets artikkel 22, 22a og 22b.
Et revisjonsforetak skal etablere tilstrekkelige retningslinjer og prosedyrer for utførelse av lovfestet revisjon, opplæring, tilsyn og kontroll med de ansattes aktiviteter og for organisering av oppdragsdokumentasjon.
Revisjonsforetaket skal etablere et internt system for kvalitetssikring av lovfestet revisjon. Systemet for kvalitetssikring skal minst omfatte de retningslinjer og prosedyrer som nevnt i punkt f ovenfor. I et revisjonsselskap skal ansvaret for det interne systemet for kvalitetssikring ligge hos en person med godkjenning som revisor.
Revisjonsforetaket skal ved hjelp av egnede systemer, ressurser og prosedyrer sikre kontinuitet og regelmessighet i utførelsen av lovfestet revisjon.
Revisjonsforetaket skal også etablere hensiktsmessige og effektive organisatoriske og administrative ordninger for å håndtere og registrere hendelser som har eller som kan få alvorlige konsekvenser for integriteten til foretakets utførelse av lovfestet revisjon.
Et revisjonsforetak skal ha passende retningslinjer for fastsetting av lønn og annen godtgjørelse, herunder overskuddsdeling. Retningslinjene skal gi tilstrekkelige insentiver til å sikre revisjonskvalitet. Den inntekten som revisjonsforetaket får fra andre tjenester enn revisjon, skal ikke inngå i prestasjonsvurderingen eller godtgjørelsen til personer som er involvert i eller kan påvirke utførelsen av revisjonen.
Et revisjonsforetak skal overvåke og evaluere hensiktsmessigheten og effektiviteten av egne systemer, interne kvalitetskontrollmekanismer og ordninger etablert i samsvar med revisjonsdirektivet og revisjonsforordningen. Revisjonsforetaket skal treffe passende tiltak for å avhjelpe eventuelle mangler. Revisjonsforetaket skal utføre en årlig evaluering av det interne systemet for kvalitetssikring. Revisjonsforetaket skal registrere resultatene av denne evalueringen, samt eventuelle forslag til tiltak for å endre den interne kvalitetskontrollen.
Disse retningslinjene og prosedyrene skal dokumenteres og formidles til revisjonsforetakets ansatte.
Medlemslandene kan bestemme at forenklede krav skal gjelde for revisjon av årsregnskapet og konsernregnskapet til små foretak.
Det er presisert at utkontraktering av viktige revisjonsfunksjoner som nevnt i bokstav d ovenfor, påvirker ikke revisjonsforetakets ansvar overfor den reviderte.
Det følger av artikkel 24a nr. 2 at revisjonsforetaket skal ta høyde for omfanget og kompleksiteten i sin virksomhet i forbindelse med oppfyllelse av de krav som er fastsatt i første punkt.
Revisjonsforetaket skal overfor den kompetente myndighet kunne dokumentere at de retningslinjer og prosedyrer som er utformet for å sikre slik oppfyllelse, står i et rimelig forhold til kompleksiteten av revisjonsforetakets aktiviteter.
Etter revisjonsdirektivet artikkel 30e nr. 3, skal medlemslandene sikre at revisjonsselskaper etablerer egnede rutiner for rapportering av potensielle eller faktiske brudd på direktivet eller revisjonsforordningen internt gjennom en egen kanal. Bestemmelsen er vurdert i punkt 20.3.4 om rapportering av overtredelser, sammen med artikkel 30e nr. 1 og 2 om rapportering av brudd på direktivet eller revisjonsforordningen til tilsynsmyndighetene.
10.1.3 Danmark og Sverige
Danmark
Den danske revisorloven kapittel 6 gjelder intern organisering, kvalitetsstyring og kvalitetskontroll. I § 28 er det gitt overordnede bestemmelser om intern organisering. Et revisjonsforetak skal ha et internt kvalitetsstyringssystem som skal ha som formål å forebygge eventuelle trusler mot selskapets og revisors uavhengighet og objektivitet. Videre skal det bidra til å sikre kvaliteten, integriteten og grundigheten ved utførelse av lovfestet revisjon og bekreftelsesoppgaver. I oppfyllelsen av dette kravet skal revisjonsforetaket ta hensyn til omfanget av virksomheten og hvordan den drives, samt om revisjonsforetaket er del av et nettverk. Revisjonsforetaket skal kunne dokumentere oppfyllelsen av kravene, herunder anvendelsen av kvalitetsstyringssystemet.
Etter § 28a skal revisjonsselskaper som ledd i sitt kvalitetsstyringssystem, ha en intern ordning for varsling av brudd på revisjonslovgivningen. Det vises til omtalen av dette i punkt 20.3.2 om rapportering av overtredelser.
Det er fastsatt nærmere krav til gjennomføring av kravene i revisjonsdirektivet om intern organisering, herunder krav til kvalitetsstyringssystemet, i bekendtgørelse nr. 762 av 21. juni 2016 om godkendte revisionsvirksomheders interne organisation.
Sverige
I Sverige er regler til gjennomføring av kravene i revisjonsdirektivet om intern organisering av revisjonsforetak, gitt i Revisorsnämndens föreskrifter om villkor för revisorers och registrerade revisionsbolags verksamhet (RNFS 2001:2 som endret ved RNFS 2016:1) § 13.
10.1.4 Utvalgets vurdering
Utvalget går inn for at de nye kravene om organisering av virksomheten og risikostyring i revisjonsdirektivet artikkel 24a i utgangspunktet gjennomføres uten særnorske tillegg. Det vises til omtalen i punkt 10.1.2 ovenfor. Revisjonsdirektivet gjelder imidlertid bare lovfestet revisjon. Utvalget anser at god kvalitetsstyring er relevant også for oppdrag om revisorbekreftelser. Lovforslaget omfatter også denne delen av virksomheten, og det er presisert i lovteksten der det er nødvendig. Utvalget foreslår videre at de mer spesifiserte kravene til risikostyring og internkontroll i Finanstilsynets risikostyringsforskrift gjøres gjeldende også for revisorer. Dette er omtalt i punkt 10.2.
Utvalget har vurdert behovet for å fastsette forenklede krav for revisorer og revisjonsselskaper som kun reviderer små foretak, slik direktivet åpner for. Små foretak omfatter etter regnskapsloven § 1-5 regnskapspliktige som oppfyller to av følgende tre vilkår: Balansesum lavere enn 35 millioner kroner, årlig salgsinntekt under 70 millioner kroner og færre enn 50 årsverk. I Danmark er det fastsatt at slike revisjonsselskaper kan anvende mer uformelle og mindre omfattende metoder når de skal dokumentere og kommunisere sine retningslinjer og rutiner, slik som notater, sjekklister og skjemaer. Utvalget anser at det også vil være adgang til å erstatte detaljkrav med mer overordnede krav til intern organisering og kvalitetsstyring for denne gruppen. Hensikten må være at det kan redusere kostnadene innenfor forsvarlige rammer. Utvalget viser til at direktivet ikke setter særskilte krav til formelle og omfattende metoder (jf. det danske forslaget), men tvert imot krever at revisjonsselskapet eller revisoren skal ta hensyn til omfanget av og kompleksiteten i sin virksomhet ved oppfyllelsen av kravene til intern organisering av virksomheten. Utvalget anser, og legger vekt på, at dette kravet legger til rette for enklere retningslinjer, rutiner og dokumentasjon hos revisjonsselskaper og revisorer som kun reviderer små foretak eller for øvrig driver en enklere revisjonsvirksomhet. For de som driver omfattende og kompleks revisjonsvirksomhet, stilles det større krav. Utvalget har derfor ikke sett behov for egne forenklinger for revisorer og revisjonsselskaper som kun reviderer små foretak.
Bestemmelsene om intern organisering og kvalitetsstyring er relevante for statsautoriserte revisorer som påtar seg revisjonsoppdrag som valgt revisor i eget navn (driver revisjonsvirksomhet i enkeltpersonforetak). Utvalget mener at det bør presiseres i lovbestemmelsen.
Ved den nærmere utformingen av lovforslaget, er følgende lagt til grunn når det gjelder forholdet til bestemmelsene i direktivet artikkel 24a:
Artikkel 24a nr. 1 (b) angir overordnede krav om gode administrative rutiner og regnskapsrutiner, rutiner for risikovurdering, rutiner for sikring av informasjon («informasjonsbehandlingssystemer») og om kvalitetsstyring («mekanismer for intern kvalitetskontroll»). Kravet om rutiner for risikovurdering, gjennomføres ved forslaget om at risikostyringsforskriften skal gjelde for revisorer, jf. punkt 12.2 nedenfor.
Kvalitetsstyring angir her det som i direktivet omtales som «mekanismer for intern kvalitetskontroll». Utvalget oppfatter at slike «mekanismer» er relevante for alle de øvrige «organisatoriske kravene» som oppstilles i artikkel 24a, og er derfor brukt som det overordnede begrepet i lovforslaget. Det vises til lovforslaget § 6-1 første ledd.
Kvalitetsstyring anses å være en mer dekkende betegnelse enn «intern kvalitetskontroll» i denne sammenhengen. Kvalitetskontroll brukes dessuten i andre sammenhenger for å betegne intern eller ekstern gjennomgang eller etterprøving av at lovkrav overholdes, at revisjon blir utført i samsvar med standarder og god revisjonsskikk mv. I direktivet artikkel 24a brukes «intern kvalitetskontroll» i en videre betydning om alt det revisoren eller revisjonsselskapet gjør for å ha rimelig grad av sikkerhet for god revisjonskvalitet og at virksomheten drives i samsvar med lover og regler. Det er også i denne videre betydningen begrepet kvalitetskontroll brukes i kvalitetsstandarden ISQC 1, jf. omtalen i punkt 12.1.1.
Systemet for intern kvalitetskontroll som etter direktivet artikkel 24a nr. 1 bokstav g skal etableres for å sikre kvaliteten i revisjonen, er en del av kvalitetsstyringen som er særskilt innrettet for å anvendes av den oppdragsansvarlige revisoren på det enkelte revisjonsoppdraget. Dette er dermed et annet og mer spesifikt systemkrav enn det gjeldende kravet i revisorloven § 5b-1 om å etablere forsvarlige systemer for intern kvalitetskontroll av revisjonsvirksomheten. Kravet etter lovforslaget er derfor å ha et system for å sikre kvaliteten på lovfestet revisjon. Etter forslaget skal systemet også anvendes i oppdrag om revisorbekreftelser.
Det vises til lovforslaget § 7-1.
10.2 Risikostyring
10.2.1 Gjeldende rett
Etter risikostyringsforskriften § 1 gjelder forskriften for mange av foretakene som er underlagt tilsyn av Finanstilsynet. Revisjonsselskaper er unntatt, jf. forskriften § 1. Forskriften gjelder ikke for tilsynspliktig virksomhet som drives i enkeltpersonforetak.
Etter § 2 skal foretakene tilpasse risikostyringen og internkontrollen etter arten, omfanget av og kompleksiteten i foretakets virksomhet.
Etter § 3 skal styret påse at foretaket har hensiktsmessige systemer for risikostyring og internkontroll, herunder
at det er klar ansvarsdeling mellom styret og daglig ledelse fastsatt i instrukser for styret og daglig leder
at foretaket har en klar organisasjonsstruktur
fastsette mål og strategi for foretaket, samt overordnede retningslinjer for virksomheten, hvor det skal fremgå hvilken risikoprofil foretaket skal ha, samt hvilke risikorammer som gjelder der hvor dette er relevant
fastsette prinsipper for risikostyring og internkontroll for foretaket som helhet og innenfor hvert enkelt virksomhetsområde
påse at risikostyringen og internkontrollen blir etablert i samsvar med lover og forskrifter, vedtekter, pålegg fra Finanstilsynet og retningslinjer gitt av styret til administrasjonen, blant annet gjennom behandling av rapporter utarbeidet i henhold til § 8 og kapittel 4
påse at risikostyringen og internkontrollen er gjennomført og overvåket, blant annet gjennom behandling av rapporter utarbeidet i samsvar med § 8 og kapittel 4
avgjøre om foretaket skal ha internrevisjon i samsvar med § 9
evaluere sitt arbeid og sin kompetanse knyttet til foretakets risikostyring og internkontroll minimum årlig
Etter § 4 skal daglig leder
sørge for å etablere en forsvarlig risikostyring og internkontroll på basis av en vurdering av aktuelle risikoer etter retningslinjer fastsatt av styret
løpende følge opp endringer i foretakets risikoer, og påse at foretakets risikoer er forsvarlig ivaretatt i samsvar med styrets retningslinjer
gi styret relevant og tidsriktig informasjon som er av betydning for foretakets risikostyring og internkontroll, herunder informasjon om nye risikoer
påse at foretakets risikostyring og internkontroll er dokumentert
påse at risikostyringen og internkontrollen blir gjennomført og overvåket på en forsvarlig måte
Etter § 5 har foretaket ansvar for risikostyring og internkontroll også der deler av virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretaket gis rett til innsyn i og kontroll med utkontraktert virksomhet. Avtalen skal etter annet ledd sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn med virksomheten der Finanstilsynet finner det nødvendig. Foretaket skal etter tredje ledd sørge for at organisasjonen besitter tilstrekkelig kompetanse til å håndtere utkontrakteringsavtalen.
Foretaket skal etter § 6 løpende vurdere hvilke vesentlige risikoer som er knyttet til virksomheten. Ved endringer eller etablering av produkter og rutiner av vesentlig betydning skal en slik risikovurdering foreligge før virksomheten igangsettes. Etter annet ledd skal det minst én gang årlig foretas en gjennomgang av vesentlige risikoer for alle virksomhetsområder med utgangspunkt i definerte mål og strategier for virksomheten. Det skal for alle virksomhetsområder foretas en systematisk vurdering av om foretakets risikostyring og internkontroll er tilstrekkelig for å håndtere foretakets identifiserte risikoer på en forsvarlig måte.
Etter § 7 om gjennomføring av internkontrollen skal ledere på alle vesentlige virksomhetsområder løpende vurdere gjennomføringen av internkontrollen. Etter annet ledd skal det minst én gang årlig foretas en oppsummerende vurdering av om internkontrollen har vært gjennomført på en tilfredsstillende måte.
Etter § 8 om dokumentasjon og rapportering skal vurderingene etter § 6 annet ledd og § 7 annet ledd dokumenteres. Et sammendrag med konklusjoner om risikosituasjonen og om det er behov for nye tiltak skal foreligge for det enkelte virksomhetsområdet. Etter annet ledd skal daglig leder minst én gang årlig utarbeide en samlet vurdering av risikosituasjonen som skal forelegges styret til behandling. Dokumentasjonen skal oppbevares i minst tre år, og være tilgjengelig for Finanstilsynet (jf. fjerde ledd).
Etter § 10 skal styret i foretak hvor det ikke er etablert internrevisjon sørge for at foretakets valgte revisor avgir en årlig bekreftelse til styret om
det er foretatt risikovurderinger i henhold til § 6 annet ledd
det er foretatt vurderinger i henhold til § 7 annet ledd
det foreligger dokumentasjon i samsvar med § 8
foretakets rutiner sikrer at den samlede vurdering av risikosituasjonen som er forelagt styret, jf. § 8 annet ledd, bygger på de risikovurderinger som er foretatt
Etter § 11 kan Finanstilsynet i særlige tilfeller gjøre unntak fra bestemmelsene i risikostyringsforskriften.
10.2.2 EØS-rett
Etter direktiv 2006/43/EF som endret ved direktiv 2014/56/EU (revisjonsdirektivet) artikkel 24a nr. 1 bokstav b, skal en godkjent revisor eller et revisjonsselskap ha effektive rutiner for risikovurdering. Også andre bestemmelser i artikkel 24a er relevante for risikostyring av revisjonsvirksomheten. Det vises til omtalen i punkt 10.1.2.
10.2.3 Danmark og Sverige
Etter den danske bekendtgørelsen om intern organisation skal revisjonsselskapet ha rutiner for risikovurdering for å sikre at beslutninger og rutiner på alle nivåer i revisjonsselskapet overholdes.
Etter den svenske Revisorsnämndens föreskrifter om villkor för revisorers och registrerade revisionsbolags verksamhet (RNFS 2001:2 som endret ved RNFS 2016:1) § 13 nr. 2, skal et revisjonsforetak ha effektive rutiner for risikovurdering.
10.2.4 Utvalgets vurdering
Utvalget har vurdert om Finanstilsynets risikostyringsforskrift bør gjøres gjeldende for revisjonsselskaper, og om de deler av forskriften som passer bør gjøres gjeldende for statsautoriserte revisorer som driver revisjonsvirksomhet i eget navn som valgt revisor.
Risikostyring er ifølge Finanstilsynets veiledning til forskrift om risikostyring og internkontroll «hva foretaket gjennom strategi, organisasjon, rutiner og forsvarlig drift gjør for å nå fastsatte mål og sikre sine og kundenes verdier, samt pålitelig rapportering og etterlevelse av lover og regler. Dette innebærer mer enn det som tradisjonelt har vært oppfattet som internkontroll.» Etter veiledningen er internkontroll «en prosess, utført av styre, ledelse og ansatte, utformet for å gi rimelig grad av sikkerhet for å oppnå foretakets mål».
Begrunnelsen for å unnta revisjonsselskaper, er særlig at disse må følge den internasjonale kvalitetsstandarden ISQC 1. Det er derfor nødvendig med en nærmere vurdering av forholdet mellom risikostyring og internkontroll i risikostyringsforskriften på den ene siden og kvalitetsstyring/intern kvalitetskontroll etter revisjonsdirektivet artikkel 24a og ISQC 1 på den andre siden. Risikostyring fordrer at ledelsen gjør vurderinger som sikrer at vesentlige risikoer i virksomheten blir identifisert. Ledelsen må sørge for at det settes inn hensiktsmessige tiltak i form av strategi, organisasjon, rutiner og forsvarlig drift for å håndtere risikoene. Risikostyringsforskriften setter visse krav til ansvarsdelingen mellom styret, daglig leder og øvrig ledelse (se særlig § 3 og § 4). Foretakets interne kontroller er sentrale tiltak for å håndtere risikoene i virksomheten. Dette inkluderer i særdeleshet intern kvalitetskontroll etter ISQC 1 med de rutiner og retningslinjer foretaket må etablere for å møte disse kravene. Kvalitetsstyring i samsvar med direktivet artikkel 24a og ISQC 1 er et egnet tiltak for å håndtere risiko for at revisjonen utføres i samsvar med lov, forskrift og god revisjonsskikk. I tillegg kommer interne kontroller i økonomistyringen og foretakets kriseberedskap. Økt bruk av digitale og internettbaserte løsninger medfører særskilte sikkerhetsutfordringer også i revisjonsforetakene. Risiko knyttet til dette må etter forskriften håndteres på linje med andre risikoer i foretakene.
Utvalget anser ut fra dette at risikostyringsforskriften angir en overordnet ramme for risikostyring og internkontroll, og at de tiltak som iverksettes for å oppfylle lovkravene som gjennomfører direktivet artikkel 24a og for å oppfylle kravene i ISQC 1, vil være egnet til å dekke de risikoer som relaterer seg til kvalitet i revisjonen og oppfyllelsen av kravene i revisjonslovgivningen. Etter utvalgets vurdering er god risikostyring og intern kontroll sentralt for å kunne drive en forsvarlig og effektiv virksomhet. Det vil være en fordel å kreve at også revisorer må systematisere dette arbeidet i tråd med prinsippene i risikostyringsforskriften. Utvalget legger videre vekt på at pålegg om å følge risikostyringsforskriften vil oppfylle kravet i revisjonsdirektivet artikkel 24a nr. 1 bokstav b om å ha effektive rutiner for risikovurdering. Utvalget går inn for at risikostyringsforskriften gjøres gjeldende for revisjonsselskaper.
Intern rapportering og forholdet mellom ledelsesnivåene og ledelsesorganene i selskapene under tilsyn, er sentralt i risikostyringsforskriften. Disse kravene passer ikke for statsautoriserte revisorer som utfører lovfestet revisjon i eget navn (driver revisjonsvirksomhet i enkeltpersonforetak). Også i disse tilfellene er det viktig at vedkommende tenker gjennom de risikoene som påhviler virksomheten. Normalt vil virksomheten da være begrenset og risikovurderingene enklere. Selv i små foretak vil gode rutiner som er tilpasset den konkrete virksomheten, være et viktig risikoreduserende tiltak. Etter utvalgets vurdering bør derfor grunnleggende krav til risikostyring også gjelde for enkeltpersonforetak under tilsyn, og går inn for at risikostyringsforskriften § 6 første ledd skal gjelde også for disse. Utvalget foreslår at dette også skal gjelde revisjonsselskap med kun én oppdragsansvarlig revisor og regnskapsførerselskap med kun én oppdragsansvarlig regnskapsfører. Etter bestemmelsen skal foretaket løpende vurdere hvilke vesentlige risikoer som er knyttet til virksomheten. Ved endringer eller etablering av produkter og rutiner av vesentlig betydning skal en slik risikovurdering foreligge før virksomheten igangsettes. Vurderingene skal dokumenteres.
Det vises til forslaget til endringer i risikostyringsforskriften.
10.3 Dokumentasjon på foretaksnivå
10.3.1 Gjeldende rett
Revisorloven inneholder i dag ingen særskilte bestemmer om dokumentasjon på foretaksnivå. God revisjonsskikk inneholder imidlertid enkelte slike krav, se særlig internasjonal standard for kvalitetskontroll ISQC 1 Kvalitetskontroll for revisjonsfirmaer som utfører revisjon og forenklet revisorkontroll av regnskaper samt andre attestasjonsoppdrag og beslektede tjenester.
10.3.2 EØS-rett
Revisor skal etter direktiv 2006/43/EF som endret ved direktiv 2014/56/EU (revisjonsdirektivet) artikkel 24b nr. 4 opprette et klientregister. Klientregisteret skal for hver enkelt kunde inneholde følgende opplysninger:
Kundens navn, adresse og forretningssted.
For et revisjonsselskaps vedkommende; navn på oppdragsansvarlige revisorer.
Honoraret for den lovfestede revisjonen og honoraret for andre tjenester i et gitt regnskapsår.
Revisjonsdirektivet artikkel 24b nr. 3 første avsnitt krever at revisor skal føre register over overtredelser av bestemmelsene i revisjonsdirektivet, samt revisjonsforordning (EU) nr. 537/2014 ved revisjon av foretak av allmenn interesse. Medlemslandene kan frita revisor fra denne forpliktelsen med hensyn til mindre overtredelser. Revisor skal også føre registre over eventuelle konsekvenser av overtredelser, herunder de tiltak som er truffet vedrørende slike overtredelser og for å endre revisors interne system for kvalitetssikring. Revisor skal utarbeide en årlig rapport med en oversikt over slike tiltak og kommunisere den internt. Bestemmelsens nr. 7 tillater imidlertid at medlemslandene på dette området kan fastsette forenklede krav for revisjoner som ikke kreves i EU-retten, men som kreves i henhold til nasjonal rett for så vidt angår små virksomheter. Det samme gjelder revisjoner som foretas frivillig på anmodning av små virksomheter, og som overholder nasjonale rettslige krav som svarer til kravene til en revisjon, i de tilfeller hvor den nasjonale lovgivning definerer slike revisjoner som lovfestede revisjoner.
Videre følger det av revisjonsdirektivet artikkel 24b nr. 6 at revisor skal føre register over eventuelle skriftlige klager over resultatet av de utførte lovfestede revisjoner. Bestemmelsens nr. 7 tillater også her at medlemslandene kan fastsette forenklede krav på dette området for revisjoner som ikke kreves i EU-retten, men som kreves i henhold til nasjonal rett for så vidt angår små virksomheter. Det samme gjelder revisjoner som foretas frivillig på anmodning av små virksomheter, og som overholder nasjonale rettslige krav som svarer til kravene til en revisjon, i de tilfeller hvor den nasjonale lovgivning definerer slike revisjoner som lovfestede revisjoner.
Artikkel 24b ble tilføyd ved direktiv 2014/56/EU (endringsdirektivet).
10.3.3 Danmark og Sverige
Danmark
I Danmark er det bekendtgørelse av 17. juni 2016 nr. 734 om godkendte revisorers og revisionsvirksomheders tilrettelæggelse af arbejdet § 6 som stiller krav om klientregister (stamkort) for hver kunde. Klientregisteret skal minst omfatte opplysninger om den revidertes navn, adresse og hjemsted, navn på oppdragsansvarlige revisorer, samt vederlag for lovfestet revisjon og for andre tjenester i et gitt regnskapsår.
Bekendtgørelse av 17. juni 2016 nr. 734 om godkendte revisorers og revisionsvirksomheders tilrettelæggelse af arbejdet § 5 stk. 1 nr. 1 og 2 krever at det føres register over overtredelser av revisorlovgivningen og revisjonsforordning (EU) nr. 537/2014 ved lovfestet revisjon av foretak av allmenn interesse, som konstateres i forbindelse med revisors etterfølgende interne kontroll. Ved revisjon av årsregnskap for små virksomheter gjelder dette imidlertid kun ved grove overtredelser, herunder overtredelse av uavhengighetsreglene. Eventuelle konsekvenser av overtredelsene skal også registreres, herunder de tiltak som er gjort for å håndtere konstaterte overtredelser og for å endre revisors system for kvalitetssikring. Det følger av stk. 5 at revisor skal utarbeide en årlig oversikt over de tiltak som er gjort innen tre måneder etter regnskapsårets slutt. Oversikten skal utleveres internt.
Bekendtgørelsen § 5 stk. 1 nr. 3 krever at revisjonsvirksomheten skal føre register over skriftlige klager over resultatet av en utført revisjonsoppgave. Det følger av stk. 4 at kravet ikke gjelder ved revisjon av årsregnskap for små virksomheter, men at revisor likevel skal kunne fremvise klagene ved intern og ekstern kvalitetskontroll.
Sverige
I Sverige følger krav til klientregister av Revisornämndens föreskrifter (RNFS 2001:2) om villkor för revisorers och registrerade revisionsbolags verksamhet § 14. En revisor eller et revisjonsselskap skal føre et klientregister, som for hver revisjonskunde skal inneholde informasjon om firma, adresse og etableringssted, hovedansvarlig revisors navn i de tilfeller oppdraget utføres av et revisjonsselskap, navn på revisorer som underskriver revisjonsberetningen i større datterselskaper (der dette er aktuelt) og vederlag for lovfestet revisjon og vederlag for andre tjenester for hvert regnskapsår.
Dokumentasjon av overtredelser av de bestemmelser som gjelder for virksomheten, samt de tiltak som gjøres i anledning slike overtredelser, reguleres i revisorslagen (2001:883) § 24 tredje ledd. Overtredelser som er av mindre betydning behøver likevel ikke dokumenteres. Förordning (1995:665) om revisorer § 18 krever at revisor skal utarbeide en rapport med oversikt over tiltak som gjøres i anledning overtredelser av de bestemmelser som gjelder for virksomheten. Rapporten skal distribueres internt.
I Sverige kom man til at kravet om dokumentasjon av skriftlige klager kunne innfortolkes i revisorslagen § 24 første ledd annet punktum, som krever at dokumentasjonen skal inneholde informasjon som er vesentlig for at revisors arbeid skal kunne bedømmes i ettertid.1 Det ble dermed ikke foreslått noen egen bestemmelse om dokumentasjon av skriftlige klager.
10.3.4 Utvalgets vurderinger
Dokumentasjon av systemer og rutiner
Utvalget foreslår, i samsvar med revisjonsdirektivet artikkel 24a nr. 1 annet avsnitt, at revisjonsforetaket skal dokumentere systemene, rutinene og retningslinjene for organisering av virksomheten og kvalitetsstyring. Revisjonsforetaket skal også informere medarbeiderne om dem.
Det vises til lovforslaget § 7-1 femte ledd annet punktum.
Klientregister
Revisjonsdirektivet artikkel 24b nr. 4 krever at det skal opprettes et klientregister, som for hver revisjonskunde skal inneholde opplysninger om klientens navn, adresse og forretningssted. For revisjonsselskap skal klientregisteret inneholde navnet på den som er utpekt som oppdragsansvarlig revisor. Ved konsernrevisjon skal også navnet på oppdragsansvarlige revisorer i vesentlige datterselskaper registreres. Klientregisteret skal etter direktivet inneholde opplysninger om honoraret for henholdsvis den lovfestede revisjonen og andre tjenester for hvert regnskapsår.
Det er ikke stilt særskilte krav i gjeldende revisorlov om et klientregister eller registrering av opplysninger som nevnt om revisjonskunder. Krav om registrering av enkelte opplysninger om kunder, inkludert navn, organisasjonsnummer og adresse, følger likevel av hvitvaskingsloven § 8.
Klientregisteret er etter revisjonsdirektivet ikke det samme som oppdragsarkivet for den enkelte lovfestede revisjon. Klientregisteret skal være et samlet register over revisjonskundene, som gir mulighet for å raskt få en oversikt over både klientene og omfanget av leverte tjenester fordelt på revisjon og andre tjenester. Etter utvalgets forslag vil opplysningene kunne registreres i ulike systemer, så lenge opplysningene om hver klient er koblet forsvarlig og kan hentes frem på en oversiktlig måte.
Utvalget foreslår at revisjonsforetak skal opprette et klientregister. Klientregisteret skal inneholde opplysninger om navn, adresse og forretningssted til de reviderte, hvem et revisjonsselskap har utpekt som oppdragsansvarlig revisor, samt honorar fordelt på den lovfestede revisjonen og andre tjenester for hvert regnskapsår. Forslaget gjennomfører krav til klientregister i samsvar med revisjonsdirektivet artikkel 24b nr. 4.
Det vises til lovforslaget § 7-2.
Registrering av overtredelser av revisorloven
Revisjonsdirektivet artikkel 24b nr. 3 første avsnitt krever at revisjonsforetak skal føre et register over eventuelle overtredelser av bestemmelsene i revisjonsdirektivet og revisjonsforordning (EU) nr. 537/2014. Revisjonsforetaket skal også registrere eventuelle konsekvenser av overtredelser, herunder de tiltak som er iverksatt for å følge opp overtredelser og for å endre revisjonsforetakets interne system for kvalitetssikring. Revisor skal videre utarbeide en årlig rapport med oversikt over slike tiltak og levere den til alle ansatte i revisjonsforetaket. Etter nr. 7 kan medlemslandene fastsette forenklede krav for revisjon av små foretak (tilsvarende definisjonen av små foretak i regnskapsloven § 1-6). Revisorloven stiller i dag ikke krav om registrering av brudd på revisorloven.
Utvalget antar at kravet om et register over brudd på revisorloven kan forstås i lys av krav i internasjonal standard for kvalitetskontroll ISQC 1 Kvalitetskontroll for revisjonsfirmaer som utfører revisjon og forenklet revisorkontroll av regnskaper samt andre attestasjonsoppdrag og beslektede tjenester punkt 32. Revisor skal etter standarden etablere retningslinjer og rutiner som er utformet for å gi rimelig sikkerhet for at oppdrag gjennomføres i samsvar med faglige standarder og relevante lovkrav, samt at revisor avgir uttalelser som er hensiktsmessig ut fra omstendighetene. Rutinene skal omfatte forhold som er relevante for å sikre konsistent kvalitet på gjennomføringen av oppdraget. Standarden har ikke et særskilt krav om å registrere overtredelser av lovkrav. Imidlertid kan og bør registreringskravet etter direktivet og utvalgets forslag være en del av et slikt kvalitetssikringssystem.
Revisjonsdirektivet åpner for å gjøre unntak fra kravet til registrering for mindre overtredelser. Utvalget mener at et slikt unntak er nødvendig for å legge registreringskravet på et fornuftig nivå, der bidraget til kvalitetsforbedring veies mot ressursbruken. Utvalget viser til at de svenske og danske reglene gjør unntak for mindre overtredelser.
Revisjonsdirektivet åpner videre for å fastsette forenklede krav for revisjon av små foretak som etter direktiv 2013/34/EU (regnskapsdirektivet) kan unntas fra revisjonsplikt. Dette tilsvarer små foretak som nevnt i regnskapsloven § 1-6. Utvalget legger til grunn at det er adgang til å gjøre unntak fra registreringskravet for overtredelser som gjelder gjennomføringen av oppdrag om revisjon av små foretak. Det er ikke gjort unntak eller fastsatt andre forenklede regler ved revisjon av små foretak i de svenske reglene. I Danmark er det gjort et slikt unntak, men ikke for det som kalles «grove overtredelser», herunder overtredelser av uavhengighetsreglene. En mest mulig helhetlig oppfølging av avvik tilsier at det ikke gjøres unntak, mens hensynet til forenklet oppfølging og begrensning av ressursbruken tilsier at det gjøres unntak. Utvalget mener at en rimelig avveining tilsier at det gjøres unntak fra registreringskravet for overtredelser som gjelder gjennomføringen av oppdrag om revisjon av små foretak.
Utvalget foreslår at revisor som utfører lovfestet revisjon skal registrere overtredelser av bestemmelser i revisorloven eller revisjonsforordningen som gjelder oppdrag om lovfestet revisjon, samt tiltak som er gjennomført i den forbindelse. Revisor skal også registrere opplysninger om eventuelle konsekvenser av overtredelse, herunder hvordan overtredelsen er fulgt opp og endringer som er gjort i revisors interne system for kvalitetssikring. Etter forslaget er det ikke nødvendig å registrere mindre overtredelser. Revisor skal etter forslaget utarbeide en årlig rapport som gir en oversikt over oppfølgingen av overtredelser og kommunisere den internt. Etter forslaget gjelder ikke kravene ved revisjon av små foretak som nevnt i regnskapsloven § 1-6. Forslaget gjennomfører krav til registrering av overtredelser i samsvar med revisjonsdirektivet artikkel 24b nr. 3 første avsnitt.
Det vises til lovforslaget § 7-3 første, tredje og fjerde ledd.
Registrering av skriftlige klager
Revisjonsdirektivet artikkel 24b nr. 6 krever at revisor skal registrere skriftlige klager på resultatet av utførte revisjonsoppdrag.
ISQC 1 punkt 55, 56 og 59 krever at revisor etablerer retningslinjer og rutiner som er utformet for å gi rimelig sikkerhet for at revisor på en hensiktsmessig måte håndterer klager og beskyldninger om at arbeidet som er utført av revisjonsfirmaet ikke overholder faglige standarder og relevante lovmessige og regulatoriske krav. Dersom det under undersøkelsene av slike beskyldninger identifiseres mangler i utformingen eller gjennomføringen av revisjonsfirmaets retningslinjer og rutiner for kvalitetskontroll, skal revisor iverksette hensiktsmessige tiltak for å utbedre disse. Revisor skal også etablere retningslinjer og rutiner for dokumentasjon av klager og beskyldninger og svarene på dem. Det forutsettes at klart ubegrunnede klager og beskyldninger ikke må følges opp (ISQC 1 punkt A70). Kravet i revisjonsdirektivet og utvalgets forslag om å registrere klager, vil etter utvalgets vurdering dekke dokumentasjonskravet i ISQC 1.
Revisjonsdirektivet åpner for å fastsette forenklede krav for revisjon av små foretak som etter direktiv 2013/34/EU (regnskapsdirektivet) kan unntas fra revisjonsplikt. Dette tilsvarer små foretak som nevnt i regnskapsloven § 1-6. Utvalget legger til grunn at det er adgang til å gjøre unntak fra registreringskravet for skriftlige klager som gjelder oppdrag om revisjon av små foretak. Det er ikke gjort unntak eller fastsatt andre forenklede regler ved revisjon av små foretak i de svenske reglene. I Danmark er det gjort et slikt unntak, men likevel slik at revisor skal kunne fremvise klagene ved intern eller ekstern kvalitetskontroll. Unntaket ser dermed ut til å ha begrenset praktisk betydning. Av samme grunn som for registrering av overtredelser, mener utvalget at det bør gjøres unntak fra registreringskravet for skriftlige klager som gjelder oppdrag om revisjon av små foretak.
Utvalget foreslår at revisor skal registrere skriftlige klager på utførelsen av oppdrag om lovfestet revisjon. Etter forslaget gjelder ikke kravene ved revisjon av små foretak som nevnt i regnskapsloven § 1-6. Forslaget gjennomfører krav til registrering av skriftlige klager i samsvar med revisjonsdirektivet artikkel 24b nr. 6.
Det vises til lovforslag til § 7-3 annet, tredje og fjerde ledd.
Fotnoter
SOU 2015: 49 Nya regler för revisorer och revision punkt 7.9.4.