Qualitätssicherung: Qualitätssysteme bei kleinen Revisionsfirmen

Revisionsunternehmen droht der Entzug der Zulassung, wenn sie kein internes Qualitätssicherungssystem nachweisen können. Dank Cloud-Computing können auch kleine Unternehmen die notwendige IT dafür schnell beschaffen. Aber welches sind die Muss-Anforderungen für ein zweckmässiges und sicherheitskonformes System?

05.05.2020 Von: Christian Hafner, Reto Sutter
Qualitätssicherung

Der Anpassungsprozess der Revisionsunternehmen

Das regulatorische Umfeld der Revisionsunternehmen befindet sich in einem ständigen Anpassungsprozess. Wer Revisionsdienstleistungen nach Art. 2 lit. a des Revisionsaufsichtsgesetzes (RAG) erbringen will, bedarf einer Zulassung bei der Eidgenössischen Revisionsaufsichtsbehörde (RAB). Eine der Voraussetzungen, dass ein Revisionsunternehmen als Revisor oder Revisionsexperte zugelassen wird, ist die Implementierung einer Führungsstruktur, die gewährleistet, dass die einzelnen Mandate genügend überwacht werden, was letztlich das Revisionsunternehmen mittels eines internen Qualitätssicherungssystems (QS) sicherzustellen hat (Art. 6 Abs. 1 lit. d RAG i.V.m. Art. 9 Abs. 1 der Revisionsaufsichtsverordnung [RAV]), welches im Rahmen der Angemessenheit und Wirksamkeit auch zu überwachen ist.

Bis vor Kurzem mussten allerdings Revisionsunternehmen, die keine ordentlichen Revisionen durchführen und in denen nur eine Person über die notwendige Zulassung verfügte, nicht zwingend ein internes QS betreiben. Sie konnten sich stattdessen einem System der regelmässigen Beurteilung ihrer Prüftätigkeit durch gleichrangige Berufsleute anschliessen («sog. Peer-Review-System»; Art. 9 Abs. 2 aRAV). Diese Möglichkeit besteht seit dem 1. September 2017 nun nicht mehr, nachdem Art. 9 Abs. 2 aRAV ersatzlos aus der Revisionsverordnung gestrichen worden ist.

Damit sind nun auch Revisionsunternehmen, die nur eingeschränkte Revisionen durchführen und in denen nur eine Person über die notwendige Zulassung verfügt, verpflichtet, ein internes QS zu führen. In Bezug auf die Prüfung der Jahresrechnung muss es mindestens die Vorgaben der Anleitung der Treuhand Suisse zur Qualitätssicherung bei kleinen und mittelgrossen Revisionsunternehmen erfüllen (vgl. Ziff. 3 des Rundschreibens 1/2014 der RAB über die interne Qualitätssicherung in Revisionsunternehmen vom 24.11.2014 [Stand 1.10.2017]).

Konsequenzen bei Fehlen eines internen Qualitätssicherungssystems

Im August 2017, mithin also kurz vor Ablauf der Frist am 1. September 2017, hatten 40% der eingetragenen Revisionsunternehmen noch keine Statusänderung gemeldet; Mitte Oktober 2017 waren es immer noch über 30%, welche scheinbar noch kein internes QS installiert hatten.

In der Zwischenzeit wurden die Revisionsgesellschaften, welche über kein internes QS verfügten bzw. die entsprechende Meldung an die RAB nicht abgesetzt hatten, schriftlich aufgefordert, die entsprechenden Massnahmen zu ergreifen. Gleichzeitig wurde ihnen scheinbar eine Umtriebsentschädigung von CHF 800.– auferlegt.

Letztendlich wird den diesbezüglich nicht gesetzeskonformen Revisionsunternehmen, nach einer entsprechenden Androhung, der Entzug der Zulassung blühen (Art. 17 Abs. 1 RAG).

Dazu muss es nicht kommen. Ein den Anforderungen genügendes IT-Tool kann als Cloud- Lösung schnell beschafft werden. Worauf ist dabei aber zu achten?

Anforderungen an den Betrieb eines internen Qualitätssicherungssystems

Der Betrieb eines internen QS muss garantieren können, dass damit

  • die eigentlichen Prüfungsarbeiten in den Arbeitspapieren und
  • das Qualitätssicherungssystem als solches dokumentiert werden können.

Geeignete IT-Tools müssen also sicherstellen, dass für das QS

  • der Nachweis der Gesetzeskonformität möglich ist,
  • eine konsistente, personenunabhängige Anwendung der Qualitätsmassnahmen erfolgen kann und
  • ein Nachvollzug der getroffenen Regelungen ermöglicht wird.

Eine Informatiklösung muss somit gleichzeitig geeignet sein, Dokumente und (Kontroll-)Aufgaben zu managen.

Anforderungen an Sicherheit und Funktionen für ein QS-IT-Tool

Im Sinne der Beschaffungseffizienz ist es sinnvoll, vor der Prüfung der operativen Anforderungen, quasi als KO-Kriterium, die Sicherheitsangaben zu verifizieren. Bei cloud-basierten Systemen müssen die folgenden Kriterien als Minimum garantiert werden können:

  • Hosting in der Schweiz
  • zwei redundante Rechenzentren
  • sichere Authentifizierung nach §7 ZH IDG
  • SMS-Authentifizierung userspezifisch einstellbar
  • Transport Layer Security
  • ISO 27001 (Data Center)

Wenn der minimale Sicherheitsstandard gewährleistet ist, können die Funktionen auf ihre Eignung geprüft werden. Dabei lohnt es sich, sich immer vor Augen zu halten, dass ein Maximum an Funktionalitäten nicht mit dem Maximum an Einsatzeffizienz übereinstimmen muss. Oft wird das Effektivitätsoptimum mit weniger Funktionen, als auf der Wunschliste sind, erreicht.

Abbildung 1

Dokumentation der Qualitätssicherung

Operativ gibt es drei Anforderungen an ein IT-Tool zur Dokumentation der Qualitätssicherung. Erstens muss es grafische Darstellungen der Organisation und der Arbeitsabläufe verwalten können. Zweitens muss es die geordnete Ablage der Arbeitspapiere mit Dokumentation der Überwachung und Durchsichtdieser Arbeitspapiere sicherstellen. Und drittens soll es die systematische Ablage von Mitarbeiterbeurteilungen sowie die Nachweise zur Einhaltung von berufsständischen Weiterbildungsverpflichtungen ermöglichen. Alles Bedingungen, die mit einem zweckmässigen, sicherheitskonformen Dokumentenmanagementsystem erfüllt werden können.

Überwachung der Qualitätssicherung

Der Überwachung eines Qualitätssicherungssystems ist dann Genüge getan, wenn periodisch überprüft wird, ob die Regelungen und Abläufe eingehalten werden und die erbrachten Dienstleistungen angemessen dokumentiert sind. Dadurch kann auch gewährleistet werden, dass allfällige Änderungen bei Prüfungsstandards oder in der Gesetzgebung berücksichtigt werden. Die Dokumentation ist bei Veränderungen entsprechend nachzuführen. Um das Ziel der Prozesskontrolle, der Übersicht und der Dokumentation optimal zu erreichen, eignen sich zweckmässige, sicherheitskonforme Task-Management-Tools.

Anforderungen an ein zweckmässiges Dokumentenmanagementsystem

Ordnung

  • Versionierung: automatisch beim Hochladen ohne Dateinamenerweiterung
  • Volltextsuche: optische Zeichenerkennung unabhängig von der Dokumentenqualität

Sicherheit

  • Zugriffskontrolle: ex ante und ex post
  • URL-Links: verhindet u.a. E-Mail-Irrläufer

Kollaboration

  • AAA-Zugriff: anywhere, anytime, any device
  • temporäre Benutzer: einfaches Ein- und Ausschalten

Anforderungen an ein zweckmässiges (Kontroll-)Aufgabenmanagementsystem

Verbindlichkeit

  • Kontrolltätigkeit: ortsunabhängig und jederzeitig
  • Protokollierung: Einträge nicht lösch- oder überschreibbar

Transparenz

  • Betrieb: lückenloser Nachvollzug der Ausführungs- und Erledigungsschritte
  • Compliance/Aufsicht: revisionssicherer Nachweis der Kontrolltätigkeit Verlässlichkeit
  • Stellvertreterregelung: ohne Zusatzadministration
  • robuste Prozesse: einfaches Auslösen von Nachkontrollen

 

Newsletter W+ abonnieren