Hopp til hovedinnhold
internrutiner+overordnet kontroll
hoy
Funnet i 7 rapporter

Internrutiner og overordnet kontroll – gap mellom dokumentasjon og praksis

Foretaket har etablert kvalitetsstyringsdokumentasjon og skriftlige rutiner, men etterlevelsen er mangelfull og kontrollene fanger ikke opp reelle svakheter. Syklisk inspeksjon, oppdragskontroll og overvåking av kvalitetssystemet fungerer ikke etter hensikten, og resultatene kommuniseres ikke til styret.

Tegn på problem

  • Syklisk inspeksjon dekker færre enn ett oppdrag per år per oppdragsansvarlig revisor, eller er fullstendig utkontraktert uten intern oppfølging
  • Akseptprosedyrer er beskrevet i rutinene, men loggføring og dokumentasjon viser at stegene (partnerkonferanse, kredittsjekk, kontakt med forrige revisor) konsekvent utelates
  • Ingen datert og signert bekreftelse på uavhengighetsvurdering foreligger for samtlige aktive oppdrag ved årsavslutning
  • Styreprotokoll eller tilsvarende dokument mangler skriftlig rapport om resultater fra overvåking av kvalitetskontrollsystemet
  • Avvik avdekket av Finanstilsynet i FAI-oppdrag er ikke identifisert i foretakets egne oppdragskontrollrapporter
  • Kvalitetsstyringsdokumentasjonen inneholder generiske risikoformuleringer uten spesifikk kobling til foretakets faktiske risikoforhold (få ansatte, nøkkelpersonavhengighet, manglende arbeidsdeling)
  • ISQM 1-kontrollpunkter er dokumentert på papiret, men etterlevelsestesting viser ingen sporbar utførelse i praksis

Forebyggende tiltak

  • Gjennomfør intern syklisk inspeksjon av minst ett oppdrag per år per oppdragsansvarlig, med skriftlig rapport som dekker både oppdragskvalitet og etterlevelse av interne rutiner
  • Innfør sjekkliste for aksept av oppdrag med obligatoriske felt og ansvarlig signatur; blokkér formell aksept inntil alle steg er dokumentert fullført
  • Etabler et register for uavhengighetserklæringer med automatisk varsling ved manglende bekreftelse innen fastsatt frist, og gjennomfør stikkprøver kvartalsvis
  • Sett opp fast halvårlig agenda-punkt i styret for skriftlig gjennomgang av kvalitetskontrollresultater, og arkiver rapporten som styrevedlegg
  • Koble oppdragskontrollens funn direkte mot aksepterte risikofaktorer i kvalitetsstyringsdokumentasjonen, slik at manglende treff utløser eskalering
  • Tilpass kvalitetsstyringsdokumentasjonen til foretakets faktiske størrelse og struktur: beskriv konkrete kompenserende tiltak for identifiserte risikofaktorer som nøkkelpersonavhengighet og manglende arbeidsdeling
  • Utfør årlig effektivitetstest av ISQM 1-kontrollene ved å sammenstille planlagte kontroller mot faktisk dokumentert utførelse, og rapporter avvik til daglig leder og styre

Relevante tilsynsrapporter

Hjemler

annet