10 Organisering av virksomheten
10.1 Organisering og kvalitetsstyring
10.1.1 Gjeldende rett
Revisorloven § 5b-1 pålegger revisjonsselskap å etablere forsvarlige systemer for intern kvalitetskontroll av revisjonsvirksomheten. I Ot.prp. nr. 78 (2008–2009) punkt 16.1 er det pekt på at intern kvalitetskontroll er vesentlig for å sikre jevn og god kvalitet på revisjonsoppdragene. Som eksempler på hva som vil inngå som en del av internkontrollen viser forarbeidene til systemer for å kontrollere uavhengighet, interessekonflikter og selskapets vurderinger av hvem som skal utpekes som ansvarlig revisor. Den internasjonale standarden for kvalitetskontroll ISQC 1 (International Standard for Quality Control 1) inneholder sentrale og mer detaljerte krav til kvalitetskontrollen i revisjonsselskaper og utfyller lovkravet om å etablere et system for intern kvalitetskontroll, se utvalgets utredning punkt 10.1.1 for en omtale av de konkrete kravene i denne.
Utkontraktering av revisjonsoppgaver er omfattet av finanstilsynsloven § 4 c, men revisjonsselskaper er unntatt fra meldeplikten i § 4 c, jf. forskrift om unntak fra meldeplikt ved utkontraktering av virksomhet. Finanstilsynets myndighet til å pålegge foretak om ikke å iverksette eller avslutte oppdraget gjelder også revisjonsforetak.
10.1.2 EØS-rett
Endringene i revisjonsdirektivet innebærer nye organisatoriske krav til revisorer og revisjonsselskaper (revisjonsforetak), jf. artikkel 24a. Det innføres en rekke krav til den interne kvalitetskontrollen:
Et revisjonsselskap skal etablere tilstrekkelige retningslinjer og prosedyrer for å sikre at verken eierne, aksjonærene eller medlemmene av revisjonsselskapet eller et tilknyttet foretaks ledelse, styre eller tilsynsorgan ikke griper inn i en lovfestet revisjon på en måte som kan skape tvil om den revisoren som utfører revisjonen på revisjonsselskapets vegne er uavhengig og objektiv.
Et revisjonsforetak skal ha gode administrasjons- og regnskapsrutiner, interne kvalitetskontrollmekanismer, effektive prosedyrer for risikovurdering og effektive kontroll- og sikkerhetstiltak for informasjonsbehandlingssystemer. De interne kvalitetskontrollmekanismene skal utformes for å sikre at beslutninger og rutiner på alle nivåer i revisjonsforetakets arbeidsstruktur overholdes.
Et revisjonsforetak skal etablere tilstrekkelige retningslinjer og rutiner for å sikre at deres ansatte, og enhver annen fysisk person som stiller sine tjenester til rådighet til foretaket eller er under foretakets kontroll, og som er direkte involvert i lovfestet revisjon, har nødvendig kunnskap og erfaring i relasjon til de oppgaver de utfører.
Et revisjonsforetak skal etablere tilstrekkelige retningslinjer og prosedyrer for å sikre at viktige revisjonsfunksjoner ikke overlates til tredjepersoner på en slik måte at kvaliteten på revisjonsforetakets interne kvalitetskontroll forringes eller at de kompetente myndigheters mulighet for å føre tilsyn med om revisjonsforetaket oppfyller sine forpliktelser i henhold til revisjonsdirektivet og forordning (EU) nr. 537/ 2014 (revisjonsforordningen) blir svekket.
Et revisjonsforetak skal iverksette tilstrekkelige og effektive organisatoriske og administrative tiltak for å forebygge, identifisere, eliminere eller håndtere og offentliggjøre trusler mot egen uavhengighet slik de er omtalt i direktivets artikkel 22, 22a og 22b.
Et revisjonsforetak skal etablere tilstrekkelige retningslinjer og prosedyrer for utførelse av lovfestet revisjon, opplæring, tilsyn og kontroll med de ansattes aktiviteter og for organisering av oppdragsdokumentasjon.
Revisjonsforetaket skal etablere et internt system for kvalitetssikring av lovfestet revisjon. Systemet for kvalitetssikring skal minst omfatte de retningslinjer og prosedyrer som nevnt i punkt f ovenfor. I et revisjonsselskap skal ansvaret for det interne systemet for kvalitetssikring ligge hos en person med godkjenning som revisor.
Revisjonsforetaket skal ved hjelp av egnede systemer, ressurser og prosedyrer sikre kontinuitet og regelmessighet i utførelsen av lovfestet revisjon.
Revisjonsforetaket skal også etablere hensiktsmessige og effektive organisatoriske og administrative ordninger for å håndtere og registrere hendelser som har eller som kan få alvorlige konsekvenser for integriteten til foretakets utførelse av lovfestet revisjon.
Et revisjonsforetak skal ha passende retningslinjer for fastsetting av lønn og annen godtgjørelse, herunder overskuddsdeling. Retningslinjene skal gi tilstrekkelige insentiver til å sikre revisjonskvalitet. Den inntekten som revisjonsforetaket får fra andre tjenester enn revisjon, skal ikke inngå i prestasjonsvurderingen eller godtgjørelsen til personer som er involvert i eller kan påvirke utførelsen av revisjonen.
Et revisjonsforetak skal overvåke og evaluere hensiktsmessigheten og effektiviteten av egne systemer, interne kvalitetskontrollmekanismer og ordninger etablert i samsvar med revisjonsdirektivet og revisjonsforordningen. Revisjonsforetaket skal treffe passende tiltak for å avhjelpe eventuelle mangler. Revisjonsforetaket skal utføre en årlig evaluering av det interne systemet for kvalitetssikring. Revisjonsforetaket skal registrere resultatene av denne evalueringen, samt eventuelle forslag til tiltak for å endre den interne kvalitetskontrollen.
Direktivet krever videre at retningslinjene og prosedyrene skal dokumenteres og formidles til revisjonsforetakets ansatte.
Det er adgang til å fastsette forenklede krav for revisjon av årsregnskapet og konsernregnskapet til små foretak.
Videre er det presisert at utkontraktering som nevnt i bokstav d ikke påvirker revisjonsforetakenes ansvar overfor den reviderte.
I artikkel 24a nr. 2 er det fastslått at revisjonsforetaket skal ta høyde for omfanget og kompleksiteten i sin virksomhet i forbindelse med oppfyllelse av de krav som er fastsatt i første punktum. Revisjonsforetaket må kunne dokumentere at retningslinjene og prosedyrene er passende med tanke på omfanget og kompleksiteten i revisjonsvirksomheten.
10.1.3 Utvalgets vurderinger
Utvalget foreslår at kravene om organisering av virksomheten og risikostyring i revisjonsdirektivet i utgangspunktet gjennomføres uten særnorske tillegg. Fordi revisjonsdirektivet bare gjelder lovfestet revisjon, foreslår utvalget at disse bestemmelsene også skal gjelde for oppdrag om revisorbekreftelser.
Når det gjelder kravene til risikostyring i revisjonsdirektivet foreslår utvalget at disse gjennomføres ved at risikostyringsforskriften gjøres gjeldende også for revisorer, jf. omtalen av dette under punkt 10.2.
Videre reiser utvalget spørsmålet om man skal lage særregler for revisorer og revisjonsforetak som kun reviderer små foretak, slik revisjonsdirektivet åpner for. Utvalget viser til at revisjonsdirektivets regler i seg selv innebærer at revisjonsselskapet eller revisor skal ta hensyn til omfanget av og kompleksiteten i sin virksomhet ved oppfyllelsen av kravene. Utvalget antar at disse revisorene og revisjonsselskapene kan ha noe enklere rutiner og retningslinjer sammenlignet med mer omfattende og kompleks revisjonsvirksomhet. Utvalget foreslår derfor ikke slike regler.
10.1.4 Høringsinstansenes merknader
PwC har generelt stilt seg positiv til at revisjonsdirektivet innføres uten særnorske krav.
Deloitte har vist til at direktivkravene vitner om en uhensiktsmessig detaljregulering av revisjonsforetakene. De støtter imidlertid utvalgets forslag om å innføre kravene i lovs form.
Videre har Deloitte og Revisorforeningen vist til at lovutkastet § 7-1 fjerde ledd andre punktum bør endres slik at ordlyden blir slik: «Honorar fra det reviderte foretaket for andre tjenester enn revisjon …».
10.1.5 Departementets vurdering
Etter departementets syn bør kravene til kvalitetsstyring i revisjonsdirektivet artikkel 24a i utgangspunktet innføres uten særnorske tillegg. Revisjonsdirektivet gjelder imidlertid bare lovfestet revisjon og ikke oppdrag om revisorbekreftelser. Departementet er enig med utvalget i at kvalitetsstyringsbestemmelsene også bør gjelde for slike bekreftelser.
I direktivet åpnes det for at det kan stilles forenklede krav til revisorer og revisjonsselskaper som kun reviderer små foretak. Utvalget har ikke foreslått særregler for slike revisjonsforetak. Departementet er enig i dette. Kravene i direktivets artikkel 24a må tilpasses den aktuelle virksomheten, noe som innebærer en viss fleksibilitet i kravene. Departementet foreslår derfor ikke særregler for de som kun reviderer små foretak.
Departementet slutter seg til den lovtekniske endringen foreslått av Deloitte og Revisorforeningen til § 7-1 fjerde ledd andre punktum.
Det vises til lovforslaget § 7-1.
10.2 Risikostyring
10.2.1 Gjeldende rett
Etter gjeldende rett er revisorer og revisjonsselskaper ikke underlagt egne risikostyringsbestemmelser ved lov. Risikostyringsforskriften (forskrift 22. september 2008 nr. 1080) kommer ikke til anvendelse på revisorer eller revisjonsselskaper, jf. § 1.
Risikostyringsforskriften inneholder regler for risikostyring i foretak underlagt tilsyn av Finanstilsynet. Etter § 2 i risikostyringsforskriften skal foretakene tilpasse risikostyringen og internkontrollen etter arten, omfanget og kompleksiteten i foretakets virksomhet. Dette er nærmere presisert i § 3, hvor det fremgår at styret har ansvaret for å påse at foretaket har hensiktsmessige systemer for risikostyring og internkontroll. Dette gjelder blant annet å sikre en klar ansvarsdeling mellom styret og daglig ledelse, ha en klar organisasjonsstruktur, fastsette mål, strategi og overordnede retningslinjer for virksomheten. Videre må foretaket etter § 6 ha en løpende vurdering av hvilke vesentlige risikoer virksomheten står overfor. Risikostyringen må dokumenteres i henhold til § 8. Etter § 9 og § 10 må foretaket enten ha internrevisjon eller få foretakets valgte revisor til å bekrefte risikostyringsarbeidet etter forskriften. Risikostyringsforskriften § 5 regulerer utkontraktering og krever blant annet skriftlig avtale som skal sikre at Finanstilsynet kan få informasjon om og føre tilsyn også med utkontraktert virksomhet.
10.2.2 EØS-rett
I henhold til direktiv 2006/43/EF som endret ved direktiv 2014/56/EU (revisjonsdirektivet) artikkel 24a nr. 1 bokstav b, skal en godkjent revisor eller et revisjonsselskap ha effektive rutiner for risikovurdering. Flere andre bestemmelser er relevante for risikostyring av revisjonsvirksomheten, se punkt 10.1.2.
10.2.3 Utvalgets vurderinger
Utvalget foreslår at Finanstilsynets risikostyringsforskrift gjøres gjeldende for revisjonsselskaper og for statsautoriserte revisorer som driver revisjonsvirksomhet i enkeltpersonforetak.
Utvalget viser til at revisjonsselskaper etter gjeldende rett er unntatt fra forskriften, særlig fordi selskapene må følge den internasjonale kvalitetsstandarden ISQC 1. Utvalget viser til at revisjonsdirektivets artikkel 24a nr. 1 bokstav b pålegger medlemslandene å sørge for at revisorer og revisjonsselskaper har effektive rutiner for risikovurdering. Anvendelse av risikostyringsforskriften overfor disse vil oppfylle revisjonsdirektivets krav på en hensiktsmessig måte.
Når det gjelder statsautoriserte revisorer som driver revisjonsvirksomhet i enkeltpersonforetak, viser utvalget til at ikke alle deler av forskriften passer like godt. Likevel vil at det også for slike foretak være hensiktsmessig at det er gode rutiner som virker risikoreduserende. Det foreslås derfor at deler av forskriften også gjøres gjeldende for disse. Dette innebærer at også slike foretak må foreta en løpende vurdering av vesentlige risikoer i virksomheten.
10.2.4 Høringsinstansenes merknader
Departementet forstår Revisorforeningen, Deloitte, PwC, EY og KPMG slik at de er imot å innføre risikostyringsforskriften for revisjonsforetak. Det vises til at dette vil være å innføre særnorske krav til foretakene, uten at det etter de kan se har vært vist til noen fordeler en slik innføring kan ha for revisjonskvaliteten.
10.2.5 Departementets vurdering
Departementet viser til at innføringen av risikostyringsforskriften vil innebære at kravene til risikostyring får en lovmessig forankring. Departementet er enig med utvalget i at dette vil være i tråd med revisjonsdirektivets krav til norsk rett. Departementet mener at en slik lovmessig forankring i seg selv vil være en fordel når det kommer til regler av så sentral betydning som her. Risikostyringsforskriften stiller noen overordnede krav som departementet legger til grunn at kan følges uten særlige ulemper ved siden av de internasjonale kvalitetsstandardene. Etter departementets vurdering vil ikke innføring av risikostyringsforskriften innebære urimelig byrde for revisjonsforetakene.
Departementet er derfor enig med utvalget på dette punktet.
10.3 Dokumentasjon på foretaksnivå
10.3.1 Gjeldende rett
Revisorloven stiller ingen spesielle krav til dokumentasjon på foretaksnivå for revisjonsforetak. Revisjonsstandarden ISQC 1 inneholder imidlertid enkelte slike krav som utfyller revisorloven § 5b-1.
10.3.2 EØS-rett
Revisjonsdirektivet stiller flere krav til revisjonsforetakenes dokumentasjon av virksomheten på foretaksnivå.
Etter artikkel 24a nr. 1 annet avsnitt skal revisjonsforetaket dokumentere systemene, rutinene og retningslinjene for organisering av virksomheten og kvalitetsstyring. Foretaket skal også informere medarbeiderne om dette.
Etter artikkel 24b nr. 4 må foretaket opprette et klientregister som skal inneholde følgende opplysninger:
Kundens navn, adresse og forretningssted.
For et revisjonsselskaps vedkommende; navn på oppdragsansvarlig revisor.
Honoraret for den lovfestede revisjonen og honoraret for andre tjenester i et gitt regnskapsår.
Videre kreves det etter revisjonsdirektivet artikkel 24b nr. 3 første avsnitt, at revisor fører et register over overtredelser av bestemmelsene i revisjonsdirektivet og revisjonsforordningen. Revisor skal også føre register over eventuelle konsekvenser av overtredelser, herunder de tiltak som er truffet vedrørende slike overtredelser og for å endre revisors interne system for kvalitetssikring. Revisor skal utarbeide en årlig rapport med en oversikt over slike tiltak og kommunisere denne internt.
I tillegg skal revisor etter revisjonsdirektivet artikkel 24b nr. 6 føre register med skriftlige klager over resultatet av utførte lovfestede revisjoner.
Når det gjelder registreringen av overtredelser av revisjonsdirektivet og revisjonsforordningen og skriftlige klager over revisjonen, følger det av artikkel 24b nr. 7 at medlemslandene kan fastsette forenklede krav for visse typer av revisjon. Det gjelder de revisjonene som ikke kreves i EU-retten, men som kreves i henhold til nasjonal rett for små virksomheter. Det samme gjelder for revisjon som foretas frivillig på anmodning av små virksomheter, og som overholder nasjonale krav som svarer til kravene til en revisjon, hvor nasjonal lovgivning definerer slike revisjoner som lovfestet revisjon.
10.3.3 Utvalgets vurderinger
Utvalget foreslår at det etableres et dokumentasjonskrav for de tiltakene revisjonsforetakene skal gjennomføre etter § 7-1. Utvalget foreslår også at foretaket skal informere medarbeiderne om disse.
Videre foreslår utvalget at revisjonsforetak skal pålegges krav om å opprette et klientregister. Utvalgets utkast gjennomfører revisjonsdirektivet artikkel 24b nr. 4. Klientregisteret skal være et samlet register over revisjonskundene, med mulighet for å få rask oversikt over både klientene og omfanget av leverte tjenester fordelt på revisjon og andre tjenester. Etter § 7-2 i utkastet skal registeret inneholde opplysninger om navn, adresse og forretningssted til de reviderte, hvem et revisjonsselskap har utpekt som oppdragsansvarlig revisor, samt honorar fordelt på den lovfestede revisjonen og andre tjenester for hvert regnskapsår.
Utvalget viser videre til at revisjonsdirektivet krever at man pålegger revisorer å føre et register over overtredelser av revisjonsdirektivet og revisjonsforordningen. Det kreves også at det registreres eventuelle konsekvenser av overtredelser, inkludert de tiltak som er iverksatt for å følge opp overtredelser, og for å endre revisjonsforetakets interne system for kvalitetssikring. Utvalget viser til at revisjonsdirektivets krav må leses i lys av den internasjonale standarden for kvalitetskontroll ISQC 1. Utvalget viser også til at et registreringssystem for overtredelser bør ses i sammenheng med denne standarden.
Videre viser utvalget til at det etter revisjonsdirektivet kan gjøres unntak for registrering for mindre overtredelser. Utvalget mener at et slikt unntak er nødvendig for å legge til rette for registrering på et fornuftig nivå hvor det er rimelig balanse mellom kvalitetsforbedringen og ressursbruken.
Utvalget diskuterer også om det bør gjøres unntak for revisjon av små foretak. Utvalget viser til at mest mulig enhetlig oppføring av avvik tilsier at det ikke gjøres unntak for slike foretak, mens hensynet til forenklet oppfølging og begrensning av ressursbruken tilsier at det gjøres unntak. Utvalget konkluderer etter dette med at det bør innføres et slikt unntak.
Utvalget viser videre til at revisjonsdirektivet artikkel 24b nr. 6 krever at revisor skal registrere skriftlige klager på resultatet av utførte revisjonsoppdrag. Av samme grunn som for registrering, mener utvalget at man bør benytte seg av direktivets mulighet til å gjøre unntak for revisjon av små foretak.
10.3.4 Høringsinstansenes merknader
EY og PwC har vist til at utvalget ikke har begrunnet regelen om registrering av valgte revisorer i datterselskap ved revisjon av konsernregnskaper, jf. utvalgets utkast § 7-2 andre ledd. Det vises til at denne regelen fremstår som unødvendig siden dette uansett vil måtte registreres i revisors oppdragsarkiv. PwC støtter videre at det ikke innføres særnorske krav som gjelder registreringen av skriftligere klager.
Finanstilsynet mener at det ikke skal gjøres unntak for overtredelser som skjer i revisjonen av små foretak. Finanstilsynet viser til at det er svært mange små foretak og at det avdekkes mange feil og mangler i slike oppdrag. Selv om revisjonsselskapet uansett vil følge opp, vil en systematisk registrering være et ytterligere bidrag til å sikre kvalitet i alle revisjonsoppdrag. Finanstilsynet mener derfor at utvalgets forslag om å begrense registreringsplikten ikke bør følges.
10.3.5 Departementets vurdering
Departementet viser til at utvalgets utkast på dette punktet gjennomfører kravene som følger av revisjonsdirektivet. Departementet slutter seg til de vurderingene som er gjort av utvalget på dette punktet, både hva gjelder innføringen av revisjonsdirektivet og de unntakene direktivet åpner for når det gjelder mindre overtredelser.
Etter departementets vurdering taler gode grunner for at klientregisteret også inneholde informasjon om revisorer for datterselskaper ved revisjonen av konsernregnskaper. Regelen har sammenheng med formålet med registeret, nemlig behovet for enkel og rask oversikt over revisjonsforetakets kunder. Bestemmelsen har sammenheng med direktivkravet om at klientregisteret skal inneholde navnene på foretakets oppdragsansvarlige revisor. For konsernforetak vil dette også innebære revisorer som er oppdragsansvarlige for datterselskaper, jf. revisjonsdirektivet artikkel 2 nr. 16 bokstav b. Dette er et direktivkrav og altså ikke et særnorsk krav.
Departementet deler videre utvalgets syn på unntak for overtredelser ved revisjon av små foretak etter regnskapsloven § 1-6 og begrunnelsen for dette. Departementet viser til at en rimelig avveining av hensynet til ressursbruken i revisjonsforetakene og oppfølging av feil tilsier at et slikt unntak innføres. Departementet viser videre til at oppdragsansvarlig revisor og revisjonsselskapet vil måtte følge opp feil etter reglene i ISQC 1 og risikostyringsforskriften.
Det vises til lovforslaget § 7-1 femte ledd annet punktum, § 7-2 og § 7-3.