Merknader - endelig rapport Triton Management AS
Brev
Publisert: 30. mai 2011
Sist endret: 21. april 2017
Saksbehandler: Wenche Falch-Hennum
Direkte tlf.: 22 93 97 12
Vår referanse: 10/11157
Arkivkode: 614.1
Dato: 25.05.2011
1. Sakens bakgrunn
Finanstilsynet viser til stedlig tilsyn avholdt den 3. november 2010 og til foreløpige merknader datert 1. mars 2011. De har i brev datert 12. april 2011 kommentert Finanstilsynets foreløpige merknader vedrørende regnskapsførervirksomheten.
Tilsynet ble gjennomført som et samarbeid mellom seksjon for forsikringstilsyn og seksjon for revisorer og regnskapsførere, og omfattet utkontraktert virksomhet for skadeforsikringsselskaper, samt regnskapsførervirksomheten. Finanstilsynets vurdering av virksomheten Triton Management AS og Triton Claims Management AS driver på vegne av skadeforsikringsselskapene er sendt i egne rapporter til skadeselskapene.
Triton Management AS er autorisert som regnskapsførerselskap og er dermed direkte underlagt tilsyn fra Finanstilsynet, jf. finanstilsynsloven § 1 første ledd nr. 19. I tillegg til regnskapsføreroppdrag har Triton Management AS blant annet påtatt seg skadeoppgjør, kontor- og øvrige tjenesteoppdrag for skadeforsikringsselskaper.
Formålet med tilsynet fra Finanstilsynet var å vurdere om det autoriserte regnskapsførerselskapet har etablert organisasjon, rutineopplegg og intern kontroll i samsvar med forskrift om risikostyring og internkontroll, tatt i betraktning også den øvrige virksomheten. Tilsynet omfattet også kontroll av ett av regnskapsføreroppdragene i forhold til regnskapsførerloven og –forskriften.
2. Finanstilsynets vurdering
2.1. Nærmere om forskrift om risikostyring og internkontroll
Forskrift om risikostyring og internkontroll ble vedtatt i 2008, trådte i kraft fra 1. januar 2009 og ble da gjort gjeldende for autoriserte regnskapsførerselskaper, jf. forskriftens § 1 nr. 12.
Det følger av forskriftens § 3 at styret skal påse at foretaket har hensiktsmessige systemer for risikostyring og internkontroll, herunder:
1. at det er klar ansvarsdeling mellom styret og daglig ledelse fastsatt i instrukser for styret og daglig leder
2. at foretaket har en klar organisasjonsstruktur
3. fastsette mål og strategi for foretaket, samt overordnede retningslinjer for virksomheten. Det skal fremgå hvilken risikoprofil foretaket skal ha, samt hvilke risikorammer som gjelder der hvor dette er relevant
4. fastsette prinsipper for risikostyring og internkontroll for foretaket som helhet og innenfor hvert enkelt virksomhetsområde
5. påse at risikostyringen og internkontrollen blir etablert i samsvar med lover og forskrifter, vedtekter, pålegg fra Finanstilsynet og retningslinjer gitt av styret til administrasjonen, blant annet gjennom behandling av rapporter utarbeidet i henhold til § 8 og kapittel 4
6. påse at risikostyringen og internkontrollen er gjennomført og overvåket, blant annet gjennom behandling av rapporter utarbeidet i samsvar med § 8 og kapittel 4
7. avgjøre om foretaket skal ha internrevisjon i samsvar med § 9
8. evaluere sitt arbeid og sin kompetanse knyttet til foretakets risikostyring og internkontroll minimum årlig.
Det følger videre av forskriftens § 4 at daglig leder skal:
1. sørge for å etablere en forsvarlig risikostyring og internkontroll på basis av en vurdering av aktuelle risikoer etter retningslinjer fastsatt av styret
2. løpende følge opp endringer i foretakets risikoer, og påse at foretakets risikoer er forsvarlig ivaretatt i samsvar med styrets retningslinjer
3. gi styret relevant og tidsriktig informasjon som er av betydning for foretakets risikostyring og internkontroll, herunder informasjon om nye risikoer
4. påse at foretakets risikostyring og internkontroll er dokumentert
5. påse at risikostyringen og internkontrollen blir gjennomført og overvåket på en forsvarlig måte.
Formålet med forskriften er å bedre foretakenes risikostyring og internkontroll gjennom å utdype styrets og ledelsens ansvar utover det som følger av selskapsrettslige regler og regler i særlovgivningen. Typiske risikoer som regnskapsførerselskaper må vurdere og håndtere vil være operasjonell risiko, blant annet knyttet til IKT, nøkkelpersonproblematikk, omdømme, kompetanse, interessekonflikter, taushetsplikt, samt soliditet. Konsekvensene av driftsstans for et regnskapsførerselskap kan være at oppdragsgiverne påføres betydelige problemer internt og eksternt. En viktig årsak til at regnskapsførerselskaper ble underlagt risikostyringsforskriften i 2008 var nettopp at disse selskapene utfører virksomhetskritiske oppgaver på vegne av sine oppdragsgivere. I henhold til forskriften skal regnskapsførerselskaper løpende vurdere hvilke risikoer som er knyttet til virksomheten, samt utarbeide en plan for hvordan kravene i forskriften skal gjennomføres og dokumenteres.
2.2. Dokumentasjon av risikostyring og internkontroll
Forut for tilsynet fikk Finanstilsynet oversendt regnskapsførerselskapets gjennomgang og dokumentasjon av risikostyring og internkontroll. De oversendte dokumentene gjaldt for perioden 1. januar til 31. desember 2009. Dokumentene var datert 22. desember 2009 og behandlet i styremøte 23. desember 2009. Selskapets revisor hadde bekreftet dokumentet i brev datert 21. mai 2010.
Finanstilsynet ba styret vurdere å klargjøre sine prinsipper for risikostyring og internkontroll, samt tydeliggjøre ansvaret som påhviler styret og daglig leder etter kravene i forskrift for risikostyring og internkontroll.
I tilsvaret datert 12. april 2011 er det vedlagt en ny gjennomgang og dokumentasjon av selskapets risikostyring og internkontroll. Av dokumentasjonen fremgår det at prinsipper for risikostyring og internkontroll i regnskapsførerselskapet er etablert i samsvar med forskriftens krav. Prinsippene er vedtatt i styremøte avholdt 23. desember 2010. Finanstilsynet tar opplysningene til etterretning.
2.3. Risikovurderingens innhold
Risikovurderingen er utarbeidet med ulike risikofaktorer med konsekvensskala 1-6, hvor 6 er kritisk. Sannsynligheten er angitt med skala 1-6, hvor 6 er 100% sikkert. Risikovurderingen er fordelt på regnskapsførerselskapets overordnede målsetninger hvor risikoen for ikke å oppnå målsetningene er beskrevet med flere underpunkter. De ulike risikofaktorene er vektet med konsekvens og sannsynlighet.
I selskapets opprinnelige risikovurdering var den gjenværende risikoen basert på at det ikke var satt i verk tiltak mot de ulike risikofaktorene. Selskapet hadde i sin vurdering av hvor stor risiko det var knyttet til et forhold ikke tatt høyde for de risikoreduserende tiltak som faktisk forelå. På denne bakgrunn ble det ikke gitt et korrekt risikobilde av den faktiske virksomheten.
Det fremgår av tilsvaret at selskapet ved ny gjennomgang av risikovurderingen vil hensynta de risikoreduserende tiltak som er utført. Finanstilsynet tar opplysningene til etterretning.
2.4.Uavhengighet og nøkkelpersonproblematikk
Styreleder i foretaket er også daglig leder i regnskapsførervirksomheten. Styret har ansvar for å påse at risikostyring og internkontroll er sikret i tilstrekkelig omfang og på en systematisk måte. Daglig leder er ansvarlig for å etablere et godt kontrollmiljø på alle nivåer i virksomheten og bør være engasjert i hele prosessen. I mindre foretak kan det være en utfordring med arbeidsdeling og uavhengig kontroll.
I Finanstilsynets foreløpige merknader ble det påpekt at det burde vurderes om det er behov for kontrolltiltak dersom det er vanskelig å ivareta tilstrekkelig uavhengighet og arbeidsdeling mellom utførende og kontrollerende funksjoner. Videre burde det foreligge en vurdering av om det er en risiko at nøkkelpersoner besitter flere funksjoner i selskapet.
Finanstilsynet påpekte at det i en slik situasjon er helt sentralt at de personene som besitter dobbeltroller er bevisst hvilket ansvar og oppgaver som påhviler de ulike rollene, slik at disse ikke blandes. En annen risiko knyttet til dobbeltroller er at det er få personer involvert i vurderingen av hvilke risikoer som foreligger og hvilke tiltak som kan være hensiktsmessige. I disse tilfeller vil det kunne være en fordel å bringe andre inn i risikovurderingsprosessen uten at dette påvirker styrets og daglig leders ansvar i henhold til forskriftens §§ 3 og 4.
I tilsvaret fremgår det at regnskapsførerselskapet i løpet av 2011 skal endre styrets sammensetning, samt vurdere å innhente ekstern kompetanse i risikovurderingsprosessen. Finanstilsynet tar opplysningene til etterretning.
2.5.Utkontraktert virksomhet
Triton Management AS har utkontraktert skadebehandling til Triton Claims Management AS. Dette selskapet eies 45% av Triton Management AS. Det følger av forskriftens § 5 at det skal foreligge en skriftlig avtale. Slik avtale forelå ikke på tilsynstidspunktet. Det fremgår videre av forskriftens § 5 at foretaket har ansvar for risikostyring og internkontroll også for de deler av virksomheten som er utkontraktert. Det forelå ingen risikovurdering av dette forholdet.
Det er anført i tilsvaret at det nå er inngått skriftlig avtale mellom partene, samt at Triton Claims Management AS har utarbeidet rapport i forbindelse med risikostyring og internkontroll for sitt virksomhetsområde. Videre er det anført at Triton Management AS ved årets gjennomgang av risikostyring og internkontroll skal innta risikoer vedrørende utkontraktert virksomhet.
Etter Finanstilsynets syn har ikke regnskapsførerselskapet hatt tilstrekkelig oppmerksomhet rettet mot det ansvar som påhviler selskapet for den utkontrakterte virksomheten og hvilken risiko som er knyttet til dette. Finanstilsynet ber om at årets dokumentasjon etter forskriftens §§ 8 og 10 innsendes når den foreligger.
2.6 Oppdragsavtalen
Det følger av regnskapsførerloven § 3 første ledd at skriftlig oppdragsavtale skal inngås med alle oppdragsgivere. I avtalen skal regnskapsfunksjoner og øvrige oppdrag som utføres av regnskapsførerselskapet angis. Det følger videre av regnskapsførerloven § 2 annet ledd, jf. GRFS 0 pkt. 0.3.3 at oppdragsavtalen skal gi en dekkende og klargjørende beskrivelse av avtalepartene, som stemmer med regnskaps- og selskapsrettslige begrep.
Når regnskapsførerselskapet utkontrakterer deler av virksomheten, er selskapet forpliktet til å påse at oppdragsgiver er innforstått med situasjonen. I oppdragsavtalen som forelå på tilsynstidspunktet fremgikk det ikke at deler av oppdraget var utkontraktert til tredjemann.
Det fremgår av tilsvaret at det har vært en muntlig forståelse mellom partene at deler av kontrakten var utkontraktert og at avtaleforholdet skal bringes i samsvar med alminnelige avtalerettslige prinsipper. Finanstilsynet ber om å få tilsendt den reviderte oppdragsavtalen for gjennomsyn.
3. Finanstilsynets konklusjon
Finanstilsynet viser til ovennevnte punkter og forutsetter at regnskapsførerselskapets styre og daglige leder løpende vurderer de forhold som er tatt opp og iverksetter de endringer som anses nødvendig for oppfyllelsen av forskrift om risikostyring og internkontroll.
Det stedlige tilsynet viste for øvrig at autoriserte regnskapsførere og regnskapsførerselskapet på de
vesentlige områder har rutiner som er i samsvar med de krav regnskapsførerloven stiller,
herunder god regnskapsføringsskikk.
For Finanstilsynet
Kjersti Elvestad
seksjonssjef
Wenche Falch-Hennum
seniorrådgiver