Internrutiner og overordnet kontroll – gap mellom dokumentasjon og praksis
Foretaket har etablert kvalitetsstyringsdokumentasjon og skriftlige rutiner, men etterlevelsen er mangelfull og kontrollene fanger ikke opp reelle svakheter. Syklisk inspeksjon, oppdragskontroll og overvåking av kvalitetssystemet fungerer ikke etter hensikten, og resultatene kommuniseres ikke til styret.
Tegn på problem
Syklisk inspeksjon dekker færre enn ett oppdrag per år per oppdragsansvarlig revisor, eller er fullstendig utkontraktert uten intern oppfølging
Akseptprosedyrer er beskrevet i rutinene, men loggføring og dokumentasjon viser at stegene (partnerkonferanse, kredittsjekk, kontakt med forrige revisor) konsekvent utelates
Ingen datert og signert bekreftelse på uavhengighetsvurdering foreligger for samtlige aktive oppdrag ved årsavslutning
Styreprotokoll eller tilsvarende dokument mangler skriftlig rapport om resultater fra overvåking av kvalitetskontrollsystemet
Avvik avdekket av Finanstilsynet i FAI-oppdrag er ikke identifisert i foretakets egne oppdragskontrollrapporter
Kvalitetsstyringsdokumentasjonen inneholder generiske risikoformuleringer uten spesifikk kobling til foretakets faktiske risikoforhold (få ansatte, nøkkelpersonavhengighet, manglende arbeidsdeling)
ISQM 1-kontrollpunkter er dokumentert på papiret, men etterlevelsestesting viser ingen sporbar utførelse i praksis
Forebyggende tiltak
Gjennomfør intern syklisk inspeksjon av minst ett oppdrag per år per oppdragsansvarlig, med skriftlig rapport som dekker både oppdragskvalitet og etterlevelse av interne rutiner
Innfør sjekkliste for aksept av oppdrag med obligatoriske felt og ansvarlig signatur; blokkér formell aksept inntil alle steg er dokumentert fullført
Etabler et register for uavhengighetserklæringer med automatisk varsling ved manglende bekreftelse innen fastsatt frist, og gjennomfør stikkprøver kvartalsvis
Sett opp fast halvårlig agenda-punkt i styret for skriftlig gjennomgang av kvalitetskontrollresultater, og arkiver rapporten som styrevedlegg
Koble oppdragskontrollens funn direkte mot aksepterte risikofaktorer i kvalitetsstyringsdokumentasjonen, slik at manglende treff utløser eskalering
Tilpass kvalitetsstyringsdokumentasjonen til foretakets faktiske størrelse og struktur: beskriv konkrete kompenserende tiltak for identifiserte risikofaktorer som nøkkelpersonavhengighet og manglende arbeidsdeling
Utfør årlig effektivitetstest av ISQM 1-kontrollene ved å sammenstille planlagte kontroller mot faktisk dokumentert utførelse, og rapporter avvik til daglig leder og styre