Finanstilsynets merknader etter stedlig regnskapsførertilsyn Amesto Accounthouse AS
Brev
Publisert: 28. november 2011
Sist endret: 21. april 2017
Saksbehandler: Bernt Jan Aaland
Direkte tlf.: 22 93 99 98
Vår referanse: 10/10034
Arkivkode: 614.1
Dato: 20.06.2011
1. INNLEDNING OG BAKGRUNN
Finanstilsynet viser til stedlig regnskapsførertilsyn avholdt med Amesto Business Partner AS og Amesto Business Partner Sarpsborg AS hhv. den 26., 27. og 28. oktober 2010, og til foreløpig merknadsbrev datert 23. mars 2011. Tilsvar til Finanstilsynets foreløpige merknader er mottatt i brev datert 2. mai 2011.
Finanstilsynet ble under tilsynet informert om at Amesto Business Partner Sarpsborg AS ville bli innfusjonert i Amesto Business Partner AS med virkning fra 1. januar 2011. I brev fra Amesto datert 6. januar 2011 blir det gitt nærmere informasjon om den fusjonen som er gjennomført, herunder at Amesto Business Partner AS har endret navn til Amesto AccountHouse AS. Som en følge av dette er det kun utarbeidet en rapport etter tilsynene, hvor Finanstilsynets funn og kommentarer, både etter tilsynet med Amesto Business Partner AS og Amesto Business Partner Sarpsborg AS, er samlet.
Bakgrunnen for det stedlige tilsynet er Finanstilsynets prioritering av tilsyn med de største regnskapsførerselskapene/grupperingene. Det er avgjørende for kvaliteten på samtlige regnskapsføreroppdrag at de retningslinjer og rutiner som er etablert i disse er forsvarlige og at de etterleves. Representanter for Amesto ble derfor i møte orientert om at Finanstilsynet i løpet av høsten 2010 ville gjennomføre et stedlig tilsyn med enkelte av de selskapene som inngikk i gruppen for å vurdere om de etterlever regnskapsførerlovgivningen, herunder god regnskapsføringsskikk.
Finanstilsynet vurderte også hvorvidt regnskapsføreroppdragene gjennomføres i samsvar med regnskapslov, bokføringslov og annen relevant lovgivning, og de krav som Finanstilsynet mener må kunne stilles til regnskapsførervirksomheten. Det vises til finanstilsynslovens § 3 som blant annet fastslår at tilsynet skal se til at de institusjoner det fører tilsyn med virker på en hensiktsmessig og betryggende måte.
Det ble videre vurdert om selskapet har etablert organisasjon, rutineopplegg og intern kontroll i samsvar med de krav som stilles i forskrift om risikostyring og internkontroll. I tillegg ble det foretatt en gjennomgang av de IT-rutiner og systemer som benyttes i virksomheten.
2. FAKTISKE FORHOLD OG FINANSTILSYNETS VURDERING
2.1 Rapport etter tilsynet
I rapporten, datert 21. februar 2011, som fulgte vedlagt Finanstilsynet foreløpige merknader, beskrives selskapets utøvelse av regnskapsføreroppdrag, og om det har etablert organisasjon, rutineopplegg og intern kontroll i henhold til regnskapsførerlov- og forskrift, herunder god regnskapsføringsskikk, jf. regnskapsførerloven § 2 andre ledd. Den rettslige standarden ”god regnskapsføringsskikk” utfylles av standarder utarbeidet av NARF i samarbeid med Økonomiforbundet. Følgende standarder gjelder:
Standardnr.: Tittel:
GRFS 0 Allment om regnskapsføringsoppdrag
GRFS 1 Bokføring og årsoppgjør
Finanstilsynet refererer i det etterfølgende til disse standardene.
2.2 Nærmere om forskrift om risikostyring og internkontroll
Forskrift om risikostyring og internkontroll ble vedtatt i 2008, trådte i kraft fra 1. januar 2009 og ble da gjort gjeldende for autoriserte regnskapsførerselskaper, jf. forskriftens § 1 nr. 12.
Det følger av forskriftens § 3 at styret skal påse at foretaket har hensiktsmessige systemer for risikostyring og internkontroll, herunder:
• at det er klar ansvarsdeling mellom styret og daglig ledelse fastsatt i instrukser for styret og daglig leder
• at foretaket har en klar organisasjonsstruktur
• fastsette mål og strategi for foretaket, samt overordnede retningslinjer for virksomheten. Det skal fremgå hvilken risikoprofil foretaket skal ha, samt hvilke risikorammer som gjelder der hvor dette er relevant
• fastsette prinsipper for risikostyring og internkontroll for foretaket som helhet og innenfor hvert enkelt virksomhetsområde
• påse at risikostyringen og internkontrollen blir etablert i samsvar med lover og forskrifter, vedtekter, pålegg fra Finanstilsynet og retningslinjer gitt av styret til administrasjonen, blant annet gjennom behandling av rapporter utarbeidet i henhold til § 8 og kapittel 4
• påse at risikostyringen og internkontrollen er gjennomført og overvåket, blant annet gjennom behandling av rapporter utarbeidet i samsvar med § 8 og kapittel 4
• avgjøre om foretaket skal ha internrevisjon i samsvar med § 9
• evaluere sitt arbeid og sin kompetanse knyttet til foretakets risikostyring og internkontroll minimum årlig.
Det følger videre av forskriftens § 4 at daglig leder skal:
• sørge for å etablere en forsvarlig risikostyring og internkontroll på basis av en vurdering av aktuelle risikoer etter retningslinjer fastsatt av styret
• løpende følge opp endringer i foretakets risikoer og påse at foretakets risikoer er forsvarlig ivaretatt i samsvar med styrets retningslinjer
• gi styret relevant og tidsriktig informasjon som er av betydning for foretakets risikostyring og internkontroll, herunder informasjon om nye risikoer
• påse at foretakets risikostyring og internkontroll er dokumentert
• påse at risikostyringen og internkontrollen blir gjennomført og overvåket på en forsvarlig måte.
Formålet med forskriften er å bedre foretakenes risikostyring og internkontroll gjennom å utdype styrets og ledelsens ansvar utover det som følger av selskapsrettslige regler og regler i særlovgivningen. Typiske risikoer som regnskapsførerselskaper må vurdere og håndtere vil være operasjonell risiko, blant annet knyttet til IKT, nøkkelpersonproblematikk, omdømme, kompetanse, interessekonflikter, taushetsplikt, samt soliditet. Konsekvensene av driftsstans for et regnskapsførerselskap kan være at oppdragsgiverne påføres betydelige problemer internt og eksternt. En viktig årsak til at regnskapsførerselskaper ble underlagt risikostyringsforskriften i 2008 var nettopp at disse selskapene utfører virksomhetskritiske oppgaver på vegne av sine oppdragsgivere. I henhold til forskriften skal regnskapsførerselskaper løpende vurdere hvilke risikoer som er knyttet til virksomheten samt utarbeide en plan for hvordan kravene i forskriften skal gjennomføres og dokumenteres.
Amesto Business Partner AS har utarbeidet et eget dokument, datert 23. februar 2010, benevnt “Kvalitetssikringssystem”. I dette dokumentet samt i underliggende dokument som danner grunnlaget, har Amesto foretatt en gjennomgang av sine risikostyrings- og internkontrollrutiner. Det er i dokumentet tatt stilling til de forhold som fremgår av risikostyringsforskriftens bestemmelser. Dokumentet er godkjent av styret den 25. mars 2010, mens revisor har avgitt sin erklæring den 20. april 2010. Finanstilsynet har gjennomgått dokumentet “Kvalitetssikringssystem” uten å ha vesentlige kommentarer til innholdet i dokumentet, men har notert at det først høsten 2010 er satt i verk arbeid med å implementere nye og oppdaterte kontrollrutiner. Det vises til Finanstilsynets gjennomgang nedenfor hvor det fremgår at det synes å ha vært en svikt i sentrale rutiner i det minste frem til dette tidspunktet.
2.3 Gjennomgang av IT-virksomhet
Finanstilsynet ba i det foreløpige merknadsbrevet om styrets vurdering av følgende forhold etter en gjennomgang av selskapets IT-systemer og rutiner, hvor det kan synes å være behov for tiltak eller at disse vies særskilt oppmerksomhet:
• Nøkkelmannsrisiko
• Endringshåndtering
• Katastrofeplan
• Rutine ved sikkerhetsbrudd
2.3.1 Nøkkelmannsrisiko
IT-ansvarlig er alene om å håndtere IT-virksomheten i Amesto. I tillegg til administrasjon av bruker- og tilgangskontroller samt installasjon av PC’er, scannere og printere på alle Amesto- kontorene, har IT-ansvarlig ansvaret for oppfølging av leveransene fra TeleComputing og er kontaktperson mot Amesto Solutions. IT-ansvarlig har også en rolle i supportkjeden. På tilsynsmøtet ble Finanstilsynet informert om at en systemutvikler fra Amesto Solutions arbeider i Amesto en dag i uka, og at denne personen er den som har best forutsetninger for å kunne fylle en stedfortrederrolle for IT-ansvarlig. Etter Finanstilsynets vurdering kan det være en nøkkelmannsrisiko knyttet til IT-funksjonen i Amesto. En måte å kompensere for nøkkelmannsrisiko, er at alle oppgaver er dokumentert i form av rutinebeskrivelser i eksempelvis en håndbok for IT-virksomheten.
I sitt tilsvar har Amesto redegjort for de tiltak som er satt i verk. Finanstilsynet tar kommentarene til etterretning, og legger til grunn at Amesto har iverksatt rutiner knyttet til å ivareta IT-driften i en situasjon der IT-ansvarlig ikke er tilstede, som er dekkende.
2.3.2 Endringshåndtering
Amesto har ikke laget noen egen endringshåndteringsrutine, men spesifisert endringshåndtering i et eget bilag i avtalen med driftspartner TeleComputing. Finanstilsynets vurdering er at foretaket selv, i dette tilfelle Amesto, har et hovedansvar for endringshåndteringen. Endringshåndtering omfatter hele prosessen fra en endring blir foreslått til den blir besluttet og gjennomført. Når flere foretak bruker samme programvare, kan en endring være initiert av et eller flere andre foretak og øvrige foretak først bli involvert når endringen iverksettes gjennom en ny versjon av programvaren. Større endringer organiseres gjerne som prosjekt, og på tilsynsmøtet ble Finanstilsynet gjort kjent med det opplegget Amesto har for prosjektoppfølging. Ved nye versjoner av systemer og programvare, blir disse installert og testet hos leverandør. Finanstilsynets vurdering er at foretaket selv har et ansvar for å godkjenne testcase og testresultater.
Finanstilsynet har merket seg den informasjonen som er gitt i tilsvaret om at Amesto har utarbeidet og implementert rutine for endringshåndtering, og tar denne til etterretning.
2.3.3 Katastrofeplan
På tilsynsmøtet ble Finanstilsynet informert om at Amesto ikke har noen katastrofeplan. Avtale om sikkerhetskopiering samt test av sikkerhetskopieringen er nedfelt i avtalen med TeleComputing. Etter Finanstilsynets vurdering er det viktig at foretaket har en egen katastrofeplan som beskriver varslingsrutiner, ansvar og oppgaver hvis det oppstår en situasjon der IT-systemene blir satt ut av spill. Test av katastrofeplanen, inkludert reserveløsningene, er også viktig fordi det kan avdekke feil i opplegget og gi anledning til utbedring av feilene innen en reell krise inntrer. For Amesto sin del kan et ledd i dette være å be om en dokumentasjonslogg for den test av sikkerhetskopieringen som blir utført hos leverandøren TeleComputing.
Finanstilsynet har notert seg Amesto sin redegjørelse for sikkerhetskopiering og test av denne hos leverandør samt at IT-ansvarlig i Amesto årlig utfører kontroll av leverandørens katastrofeplan.
2.3.4 Rutine ved sikkerhetsbrudd
Gjennom svar på egenevalueringsskjema og informasjon på tilsynsmøtet er Finanstilsynet informert om at Amesto ikke har etablert noen rutine for håndtering av et sikkerhetsbrudd. Slike rutiner kan beskrive rapportering, eskalering og oppfølging i en situasjon der det eksempelvis blir avdekket kompromittering av IT-systemer og/eller data.
Finanstilsynet tar til etterretning at Amesto nå har utarbeidet og implementert rutine for avvikshåndtering som omfatter sikkerhetsbrudd.
2.4 Gjennomgang av regnskapsføringsvirksomheten
2.4.1 Oppdragsavtaler
Finanstilsynet viser til regnskapsførerloven § 3 første ledd, hvor det fremgår at oppdragsavtale skal inngås med samtlige oppdragsgivere, og at avtalen skal underskrives av begge parter. Det vises videre til regnskapsførerloven § 6 annet ledd hvor fremgår at det skal utpekes en bestemt autorisert regnskapsfører som ansvarlig regnskapsfører på oppdraget, og at dette skal fremgå av oppdragsavtalen.
Gjennomgang av enkeltoppdrag, jf. nedenfor, viste at etterlevelsen av Amesto sine rutiner i forbindelse med inngåelse og påfølgende oppdatering av oppdragsavtalene ikke har vært tilfredsstillende. Det manglet oppdragsavtale med enkelte av oppdragsgiverne. For enkelte av de oppdragene som ble kontrollert og hvor det forelå oppdragsavtale, ble det avdekket at det ikke var utpekt en autorisert som var ansvarlig på oppdraget. I andre tilfelle var den personen som var utpekt, ikke den som faktisk hadde oppdragsansvaret. Dette gjaldt både for oppdrag kontrollert i ABP samt i ABPS. Videre fremkom det at oppdragsavtalene ikke fullt ut gjenspeilte de regnskapsføringsfunksjoner og andre arbeidsoppgaver som Amesto skulle utføre for oppdragsgiveren. Gjennomgangen avdekket også at enkelte av oppdragsavtalene ikke var oppdatert etter at Amesto hadde kjøpt opp andre regnskapsføringsselskap.
Det ble under tilsynet informert om at Amesto var innforstått med at det ikke forelå oppdaterte oppdragsavtaler for samtlige oppdrag, og at dette i stor grad kunne tilskrives at selskapet hadde vært inne i en konsolideringsfase etter flere oppkjøp av andre regnskapsførerselskap og kjøp av porteføljer i løpet av de siste år. Som en følge av at selskapet var innforstått med disse svakhetene, hadde selskapet i løpet av høsten 2010 ansatt ny kvalitetsansvarlig, og det var nedsatt en egen gruppe som skulle sørge for at det ble satt i verk tilfredsstillende rutiner i selskapet. Finanstilsynet viser til GRFS 0.3.4 hvor det fremgår at det løpende skal foretas en oppdatering av avtalene i de tilfelle det er endringer i oppdraget. Det legges til grunn at Amesto i det videre etterlever de rutinene som er iverksatt i selskapet, slik at det til enhver tid foreligger underskrevne og oppdaterte oppdragsavtaler med oppdragsgiverne.
I sitt tilsvar har Amesto informert om de nye rutinene som er satt i verk for å sikre at oppdragsavtale blir inngått med samtlige oppdragsgivere samt de rutiner som skal sikre at avtalene til enhver tid er dekkende for de arbeidsoppgaver som blir utført for oppdragsgiveren. Finanstilsynet tar selskapets redegjørelse til etterretning.
2.4.2 Intern kvalitetskontroll (tilsynsrapporten punkt 3.1.7 og 3.2)
Autorisasjonsordningen for regnskapsførere ble innført for å øke og sikre kvaliteten på regnskapene og rapportene som blir levert til oppdragsgiverne og andre brukere av regnskapet, herunder offentlige myndigheter. Regnskapspliktige som setter bort regnskap til autoriserte regnskapsførere skal ha tillit til at oppdraget blir utført i samsvar med god regnskapsføringsskikk og at regnskap og rapporter har god fagmessig kvalitet. Dette innebærer at arbeid som utføres av ikke-autoriserte medarbeidere må kvalitetssikres av oppdragsansvarlig eller annen autorisert regnskapsfører. Manglende intern kvalitetskontroll innebærer derfor overtredelse av regnskapsførerloven § 1, der det fremgår at man må være autorisert regnskapsfører for å kunne føre regnskap for andre i næring. Det følger av regnskapsførerloven § 2 annet ledd, jf. GRFS 1 punkt 1.6.4 at kvalitetskontroll må kunne dokumenteres. Manglende kvalitetskontroll er et brudd på regnskapsførerloven § 2 annet ledd, jf. GRFS 1.6.3.
For de enkeltoppdrag som ble kontrollert under tilsynet fremgikk at den kvalitetskontrollen som var gjennomført i 2009 og delvis også i 2010 hadde vært mangelfull for en rekke av de oppdragene som ble kontrollert. For enkelte av oppdragsgiverne var det ikke dokumentert at det var gjennomført kvalitetskontroll i det hele tatt av ansvarlig på oppdraget, mens det for enkelte andre oppdragsgivere var gjennomført en kontroll hvor Finanstilsynet er av den oppfatning at det ikke har vært noe reelt innhold i kvalitetskontrollen. Dette med bakgrunn i at svakheter som ble avdekket ikke var rettet opp. For Finanstilsynet fremsto det også som om det har vært uklart hvem som faktisk hadde ansvaret for å utføre kontrollen på enkelte av oppdragene, med bakgrunn i at oppdragsavtalene ikke synes å ha vært oppdatert, jf. pkt. 2.2.1 overfor.
Finanstilsynet viser til at det også på dette området er satt i verk nye rutiner fra høsten 2010, noe som ble informert om under tilsynet. Finanstilsynet legger dermed til grunn at selskapet i det videre oppfyller de krav som stilles til kvalitetskontroll.
Selskapet har i sitt tilsvar bekreftet at de rutinene som ble iverksatt høsten 2010 nå fullt ut er implementert samt at det er iverksatt ytterligere tiltak som skal sikre at de krav til intern kvalitetskontroll som følger av regnskapsførerloven, herunder god regnskapsføringsskikk, blir oppfylt.
2.4.3 Avstemminger (tilsynsrapporten punkt 3.1.5 og 3.2)
Det følger av regnskapsførerloven § 2 annet ledd, jf. GRFS 1 pkt. 1.3.5 og 1.3.3 at samtlige kontoer i balansen, samt nødvendige resultatkontoer, skal være avstemt før endelig årsregnskap utarbeides. Det skal foreligge tilstrekkelig dokumentasjon til at avstemmingen lar seg etterprøve. Det følger også av bokføringsloven § 11 første ledd at ved utarbeidelse av årsregnskap skal det foreligge dokumentasjon for alle balansekontoer med mindre de er ubetydelige. Bokføringsforskriften kapittel 6 gir ytterligere detaljer om hva som skal dokumenteres.
For de oppdrag som ble kontrollert under tilsynet fremgikk at det for flere av oppdragene ikke forelå en fullstendig og systematisk avstemmingsdokumentasjon. Det vises til vedlagte rapport hvor svakhetene som ble avdekket er nærmere beskrevet. Finanstilsynet ser det som alvorlig at det ble avdekket så vidt betydelige svakheter i avstemmingsdokumentasjonen som Finanstilsynets gjennomgang viste, siden dette er helt sentralt i forhold til yrkesutøvelsen for en autorisert regnskapsfører. Finanstilsynet legger til grunn at det i selskapet må iverksettes rutiner som sikrer at det for samtlige oppdrag blir utarbeidet en systematisk og fullstendig avstemmingsdokumentasjon i samsvar med kravene i regnskapsførerloven og god regnskapsføringsskikk.
I tilsvaret er det redegjort for de tiltak som er satt i verk for å sikre at avstemmingsarbeidet blir utført på en tilfredsstillende måte, og det er beskrevet de rutiner som er innført. Finanstilsynet tar selskapets tilsvar til etterretning.
3. FINANSTILSYNETS MERKNADER
Det stedlige tilsynet viste at det i Amesto er iverksatt rutiner som skal sikre at regnskapsføringen skjer på en forsvarlig måte og i samsvar med de krav som følger av regnskapsførerloven, herunder god regnskapsføringsskikk samt forskrift om risikostyring og internkontroll. Etterlevelsen av rutinene har imidlertid ikke vært tilfredsstillende, basert på Finanstilsynets gjennomgang av et tilfeldig utvalg av regnskapsføringsoppdrag. Rutinene for inngåelse og oppdatering av oppdragsavtaler har ikke vært fulgt, avstemmingsdokumentasjonen har vært mangelfull for flere av de oppdrag som ble gjennomgått og kvalitetskontrollen har ikke blitt gjennomført på en tilfredsstillende måte. Finanstilsynet ser alvorlig på at de mangler som er konstatert. Finanstilsynet ble imidlertid under tilsynet informert om at Amesto har vært innforstått med at rutinene på de nevnte områder ikke har vært tilfredsstillende, og som en følge av dette ble det høsten 2010 nedsatt en egen gruppe som har arbeidet med å sikre at selskapets rutiner blir etterfulgt i praksis, med spesiell vekt på de nevnte områder. Det ble under tilsynet informert om de endringer som vil bli gjort, og som skal sikre at etterlevelsen av utarbeidede rutiner blir bedre ivaretatt. Selskapet har også i sitt tilsvar til Finanstilsynets foreløpige merknader redegjort for de tiltak som er satt i verk på de områder hvor Finanstilsynet konstaterte svakheter under tilsynet, og tar til etterretning at selskapet i sitt videre arbeid vil sørge for at de rutinene som er beskrevet i bl.a. tilsvaret etterleves.
For Finanstilsynet
Kjersti Elvestad
seksjonssjef
Bernt Jan Aaland
spesialrådgiver