Qualitätssicherung: Qualitätssysteme bei kleinen Revisionsfirmen
Passende Arbeitshilfen
Der Anpassungsprozess der Revisionsunternehmen
Das regulatorische Umfeld der Revisionsunternehmen befindet sich in einem ständigen Anpassungsprozess. Wer Revisionsdienstleistungen nach Art. 2 lit. a des Revisionsaufsichtsgesetzes (RAG) erbringen will, bedarf einer Zulassung bei der Eidgenössischen Revisionsaufsichtsbehörde (RAB). Eine der Voraussetzungen, dass ein Revisionsunternehmen als Revisor oder Revisionsexperte zugelassen wird, ist die Implementierung einer Führungsstruktur, die gewährleistet, dass die einzelnen Mandate genügend überwacht werden, was letztlich das Revisionsunternehmen mittels eines internen Qualitätssicherungssystems (QS) sicherzustellen hat (Art. 6 Abs. 1 lit. d RAG i.V.m. Art. 9 Abs. 1 der Revisionsaufsichtsverordnung [RAV]), welches im Rahmen der Angemessenheit und Wirksamkeit auch zu überwachen ist.
Bis vor Kurzem mussten allerdings Revisionsunternehmen, die keine ordentlichen Revisionen durchführen und in denen nur eine Person über die notwendige Zulassung verfügte, nicht zwingend ein internes QS betreiben. Sie konnten sich stattdessen einem System der regelmässigen Beurteilung ihrer Prüftätigkeit durch gleichrangige Berufsleute anschliessen («sog. Peer-Review-System»; Art. 9 Abs. 2 aRAV). Diese Möglichkeit besteht seit dem 1. September 2017 nun nicht mehr, nachdem Art. 9 Abs. 2 aRAV ersatzlos aus der Revisionsverordnung gestrichen worden ist.
Damit sind nun auch Revisionsunternehmen, die nur eingeschränkte Revisionen durchführen und in denen nur eine Person über die notwendige Zulassung verfügt, verpflichtet, ein internes QS zu führen. In Bezug auf die Prüfung der Jahresrechnung muss es mindestens die Vorgaben der Anleitung der Treuhand Suisse zur Qualitätssicherung bei kleinen und mittelgrossen Revisionsunternehmen erfüllen (vgl. Ziff. 3 des Rundschreibens 1/2014 der RAB über die interne Qualitätssicherung in Revisionsunternehmen vom 24.11.2014 [Stand 1.10.2017]).
Konsequenzen bei Fehlen eines internen Qualitätssicherungssystems
Im August 2017, mithin also kurz vor Ablauf der Frist am 1. September 2017, hatten 40% der eingetragenen Revisionsunternehmen noch keine Statusänderung gemeldet; Mitte Oktober 2017 waren es immer noch über 30%, welche scheinbar noch kein internes QS installiert hatten.
In der Zwischenzeit wurden die Revisionsgesellschaften, welche über kein internes QS verfügten bzw. die entsprechende Meldung an die RAB nicht abgesetzt hatten, schriftlich aufgefordert, die entsprechenden Massnahmen zu ergreifen. Gleichzeitig wurde ihnen scheinbar eine Umtriebsentschädigung von CHF 800.– auferlegt.
Letztendlich wird den diesbezüglich nicht gesetzeskonformen Revisionsunternehmen, nach einer entsprechenden Androhung, der Entzug der Zulassung blühen (Art. 17 Abs. 1 RAG).
Dazu muss es nicht kommen. Ein den Anforderungen genügendes IT-Tool kann als Cloud- Lösung schnell beschafft werden. Worauf ist dabei aber zu achten?
Anforderungen an den Betrieb eines internen Qualitätssicherungssystems
Der Betrieb eines internen QS muss garantieren können, dass damit
- die eigentlichen Prüfungsarbeiten in den Arbeitspapieren und
- das Qualitätssicherungssystem als solches dokumentiert werden können.
Geeignete IT-Tools müssen also sicherstellen, dass für das QS
- der Nachweis der Gesetzeskonformität möglich ist,
- eine konsistente, personenunabhängige Anwendung der Qualitätsmassnahmen erfolgen kann und
- ein Nachvollzug der getroffenen Regelungen ermöglicht wird.
Eine Informatiklösung muss somit gleichzeitig geeignet sein, Dokumente und (Kontroll-)Aufgaben zu managen.
Passende Produkt-Empfehlungen
Anforderungen an Sicherheit und Funktionen für ein QS-IT-Tool
Im Sinne der Beschaffungseffizienz ist es sinnvoll, vor der Prüfung der operativen Anforderungen, quasi als KO-Kriterium, die Sicherheitsangaben zu verifizieren. Bei cloud-basierten Systemen müssen die folgenden Kriterien als Minimum garantiert werden können:
- Hosting in der Schweiz
- zwei redundante Rechenzentren
- sichere Authentifizierung nach §7 ZH IDG
- SMS-Authentifizierung userspezifisch einstellbar
- Transport Layer Security
- ISO 27001 (Data Center)
Wenn der minimale Sicherheitsstandard gewährleistet ist, können die Funktionen auf ihre Eignung geprüft werden. Dabei lohnt es sich, sich immer vor Augen zu halten, dass ein Maximum an Funktionalitäten nicht mit dem Maximum an Einsatzeffizienz übereinstimmen muss. Oft wird das Effektivitätsoptimum mit weniger Funktionen, als auf der Wunschliste sind, erreicht.
Dokumentation der Qualitätssicherung
Operativ gibt es drei Anforderungen an ein IT-Tool zur Dokumentation der Qualitätssicherung. Erstens muss es grafische Darstellungen der Organisation und der Arbeitsabläufe verwalten können. Zweitens muss es die geordnete Ablage der Arbeitspapiere mit Dokumentation der Überwachung und Durchsichtdieser Arbeitspapiere sicherstellen. Und drittens soll es die systematische Ablage von Mitarbeiterbeurteilungen sowie die Nachweise zur Einhaltung von berufsständischen Weiterbildungsverpflichtungen ermöglichen. Alles Bedingungen, die mit einem zweckmässigen, sicherheitskonformen Dokumentenmanagementsystem erfüllt werden können.
Überwachung der Qualitätssicherung
Der Überwachung eines Qualitätssicherungssystems ist dann Genüge getan, wenn periodisch überprüft wird, ob die Regelungen und Abläufe eingehalten werden und die erbrachten Dienstleistungen angemessen dokumentiert sind. Dadurch kann auch gewährleistet werden, dass allfällige Änderungen bei Prüfungsstandards oder in der Gesetzgebung berücksichtigt werden. Die Dokumentation ist bei Veränderungen entsprechend nachzuführen. Um das Ziel der Prozesskontrolle, der Übersicht und der Dokumentation optimal zu erreichen, eignen sich zweckmässige, sicherheitskonforme Task-Management-Tools.
Anforderungen an ein zweckmässiges Dokumentenmanagementsystem
Ordnung
- Versionierung: automatisch beim Hochladen ohne Dateinamenerweiterung
- Volltextsuche: optische Zeichenerkennung unabhängig von der Dokumentenqualität
Sicherheit
- Zugriffskontrolle: ex ante und ex post
- URL-Links: verhindet u.a. E-Mail-Irrläufer
Kollaboration
- AAA-Zugriff: anywhere, anytime, any device
- temporäre Benutzer: einfaches Ein- und Ausschalten
Anforderungen an ein zweckmässiges (Kontroll-)Aufgabenmanagementsystem
Verbindlichkeit
- Kontrolltätigkeit: ortsunabhängig und jederzeitig
- Protokollierung: Einträge nicht lösch- oder überschreibbar
Transparenz
- Betrieb: lückenloser Nachvollzug der Ausführungs- und Erledigungsschritte
- Compliance/Aufsicht: revisionssicherer Nachweis der Kontrolltätigkeit Verlässlichkeit
- Stellvertreterregelung: ohne Zusatzadministration
- robuste Prozesse: einfaches Auslösen von Nachkontrollen