Finanstilsynets merknader etter stedlig regnskapsførertilsyn Accenture AS
Brev
Publisert: 8. april 2015
Sist endret: 21. mars 2018
v/styret
Saksbehandler: Bernt Jan Aaland
Dir. tlf.: 22 93 97 36
Vår referanse 14/4356
Dato: 23.12.2014
1. INNLEDNING OG BAKGRUNN FOR TILSYNET
Finanstilsynet viser til stedlig regnskapsførertilsyn avholdt den 20. og 21. mai 2014 og til foreløpige merknader oversendt selskapet i brev den 8. oktober 2014, hvor også tilsynsrapporten fulgte vedlagt. Selskapets tilsvar er mottatt i brev datert 28. november 2014.
Bakgrunnen for det stedlige tilsynet er Finanstilsynets prioritering av tilsyn med de største regnskapsførerselskapene/grupperingene. Det er avgjørende for kvaliteten på samtlige regnskapsføreroppdrag at de retningslinjer og rutiner som er etablert i disse er forsvarlige og at de etterleves.
Det vises til finanstilsynslovens § 3 som blant annet fastslår at tilsynet skal se til at de institusjoner det fører tilsyn med virker på en hensiktsmessig og betryggende måte. Finanstilsynet har vurdert hvorvidt regnskapsføringsvirksomheten drives i samsvar med regnskapsførerloven, regnskapslov, bokføringslov og annen relevant lovgivning. Det ble også kontrollert at selskapet for øvrig drives i samsvar med den lovgivningen som gjelder for regnskapsførerselskaper, herunder risikostyringsforskriften.
2. FORSKRIFT OM RISIKOSTYRING OG INTERNKONTROLL
2.1 Oppfyllelse av vilkårene for dispensasjon
Etter søknad fra Accenture AS ga Finanstilsynet unntak fra risikostyringsforskriften i brev 26. januar 2011 på nærmere angitte vilkår. Under tilsynet ble det bl.a. kontrollert hvordan selskapet oppfylte disse vilkårene.
Det første vilkåret er at risikostyringsforskriften skal gjelde på et overordnet nivå i Accenture AS. Det sentrale med dette vilkåret er å sikre en fullstendig oversikt over hvilke deler av selskapet som driver regnskapsføringsvirksomhet og hvilke deler av virksomheten som er av betydning for regnskapsførervirksomheten. Det forelå et dokument som viser risikosituasjonen pr. tredje kvartal 2013. Det manglet dokumentasjon for at styret har konkludert med at ingen av de øvrige avdelingenes virksomhet påvirker risikoen i selskapets regnskapsføringsvirksomhet. Selskapet har i tilsvaret bekreftet at det fra og med 2014 vil bli foretatt en vurdering på overordnet nivå i Accenture AS, og at vurderingen vil bli tatt inn som et punkt i referat fra styremøtene.
Det andre vilkåret er at virksomheten i organisatoriske enheter som direkte påvirker regnskapsføringen skal være omfattet av forskriften. Finanstilsynet reiste særlig spørsmål til virksomheten under området Accenture Business Solutions, som er utleie av personell. Accenture AS anfører i tilsvaret at det er foretatt en vurdering av om de tjenestene som tilbys fra Accenture Business Solutions er virksomhet som naturlig hører sammen med regnskapsførervirksomhet og som dermed er underlagt regnskapsførerloven så langt denne passer, jf. Finanstilsynets uttalelse i brev til NARF 22. april 2010 om autorisasjonspliktens grenser. Selskapets konklusjon er at det ikke er naturlig å anvende bestemmelsene i regnskapsførerloven på denne delen av virksomheten, men at også dette virksomhetsområdet vil være underlagt risikostyringsforskriften. Finanstilsynet tar selskapets vurdering til etterretning. Det forutsettes at vurderingen omfatter all risiko knyttet til Accenture AS' kontraktmessige forpliktelser, herunder hvordan sikre levering av riktig kompetanse og kvalitet.
Det tredje vilkåret for dispensasjon er at oppdragsgiverne skriftlig skal gjøres kjent med at Accenture AS har fått unntak fra risikostyringsforskriften for deler av virksomheten. Etter det stedlige tilsynet og mottatt dokumentasjon, finner Finanstilsynet å legge til grunn at dette vilkåret er oppfylt.
3. SÆRLIG OM IKT-RISIKO OG RISIKO KNYTTET TIL UTKONTRAKTERING AV VIRKSOMHET
Selv om ikke forskrift av 21. mai 2003 nr. 630 om bruk av informasjons- og kommunikasjons-teknologi (IKT-forskriften) gjelder for regnskapsførerselskaper, gir den god veiledning i hvordan IKT-risikoen bør håndteres. Også de nylig vedtatte standardene for god regnskapsføringsskikk punkt 2.8 angir hvordan IKT-risiko skal håndteres. Sistnevnte trer ikke i kraft før 1. januar 2015. Både forskriften og standardene inneholder prinsipper for forsvarlig håndtering av IKT-risiko, og utfyller dermed risikostyringsforskriften.
3.1 Oppdragsgivers regnskapsmateriale
Finanstilsynet legger til grunn at Accenture Finance & Accounting BPO pr. i dag utfører alle regnskapsføringsoppdrag på oppdragsgivers systemer og at regnskapsførerselskapet derfor ikke oppbevarer oppdragsgivers regnskapsmateriale i egne systemer. Finanstilsynet mener at dette må fremkomme klarere av risikovurderingsdokumentet og at vurderingene reflekterer det som er regnskapsførerselskapets risiko, herunder at ansvarsforholdet er klart angitt i oppdragsavtalen.
3.2 Egen oppdragsdokumentasjon og annen risiko knyttet til egne IKT-systemer
For oppdragsdokumentasjon som oppbevares på systemer som driftes av egen IKT-avdeling i Accenture Finance & Accounting BPO må det gjøres en risikovurdering i samsvar med riskostyringsforskriften. På bakgrunn av den beskrivelsen av systemet som Finanstilsynet har mottatt, er det vanskelig å konkludere med om det foreligger en tilfredsstillende katastrofeplan.
Finanstilsynet ber derfor at det gjøres en konkret vurdering av om katastrofeplanen gir tilstrekkelig trygghet for at katastrofeløsningen virker som forutsatt, og at katastrofeplanen minst omfatter:
- oversikt over IKT-systemer som inngår i katastrofeplanen
- beskrivelse av katastrofeløsningen
- klare kriterier for oppstart av katastrofeløsningen
- akseptabel lengde på et driftsavbrudd før katastrofeløsningen iverksettes
- prosedyrer som inneholder de nødvendige aktiviteter for å gjenopprette IKT-driften
- oversikt over ansvarsforhold og prosedyrer ved oppstart av katastrofeløsningen
- informasjon til berørte ansatte, leverandører, oppdragsgivere, offentlige myndigheter og media
Også for annen IKT-risiko enn tap av oppdragsdokumentasjon må det gjøres en risikovurdering, og katastrofeplanen må dekke de identifiserte risikoene. Den må også inkludere utkontraktert IKT-virksomhet, se punkt 3.3 og 4.4.
Ovennevnte vurderinger og eventuelle tilpasninger i risikovurderingene og katastrofeplanen må dokumenteres slik at den kan legges frem for Finanstilsynet dersom den etterspørres.
3.3 Utkontraktering av IKT-virksomhet
Regnskapsførerselskapet har plikt til å oppbevare egen oppdragsdokumentasjon i 10 år, jf. regnskapsførerloven § 2 annet ledd, jf. GRFS 1 pkt. 1.5.1 og 1.5.3.2 og regnskapsførerforskriften § 3-2. Når oppdragsdokumentasjonen oppbevares hos oppdragsgiver, må regnskapsfører gjøre en vurdering av den IKT-risikoen som da foreligger. Vurderingen må blant annet omfatte risikoene knyttet til det at oppdragsgiver endrer eller bytter IKT-systemer eller avvikler sin virksomhet. Skjer det gjennom tvungen avvikling, typisk konkurs, kan det være problemer knyttet til å få materialet ut. Regnskapsfører vil også være helt avhengig av sikkerheten i oppdragsgivers IKT-systemer og fysiske sikringstiltak. Det gjelder krav til avtalen som klart må regulere dette, jf. nærmere om utkontraktering i punkt 4.4. i det følgende.
Finanstilsynet har notert at samarbeidet med Accenture Aberdeen er avsluttet, men at Accenture AS har en avtale med Iron Mountain AS om oppbevaring av informasjon. Det som er uttalt i foregående avsnitt gjelder tilsvarende.
4. ETTERLEVELSEN AV REGNSKAPSFØRERLOVGIVNINGEN
I rapporten, datert 5. september 2014, beskrives selskapets utøvelse av regnskapsføreroppdrag, og om det har etablert organisasjon, rutineopplegg og intern kontroll i henhold til regnskapsførerlov- og forskrift, herunder god regnskapsføringsskikk, jf. regnskapsførerloven § 2 andre ledd. Den rettslige standarden ”god regnskapsføringsskikk” utfylles av standarder utarbeidet av NARF, DnR og Økonomiforbundet. Når Finanstilsynet i rapporten eller i dette brevet viser til "GFRS", er det til disse standardene.
4.1 Oppdragsavtaler (tilsynsrapporten pkt. 2.1.1 og 2.2)
Finanstilsynets kontroll avdekket at det i enkelte av oppdragsavtalene ikke er utpekt en ansvarlig autorisert regnskapsfører på oppdraget, jf. regnskapsførerloven § 6 annet ledd. Under tilsynet ble det opplyst at det internt er utpekt en ansvarlig autorisert på oppdraget. Det fremkommer av tilsvaret at det nå er iverksatt en rutine som sikrer at navnet på den oppdragsansvarlige på oppdraget blir tatt inn i oppdragsavtalene.
Finanstilsynet har merket seg at det er ansett som en risiko at selskapet "ikke har oppdragsavtaler som er i samsvar med oppdragenes faktiske innhold". Finanstilsynet viser til at dette bare er ett av de kravene som stilles til oppdragsavtaler i regnskapsførerlovgivningen. At navnet på oppdragsansvarlig skal angis er et annet krav. I tillegg til øvrige lovkrav til oppdragsavtalen, vil det være naturlig også å angi som en risiko ikke-oppfyllelse av vilkåret om skriftlig informasjon om unntaket fra risikostyringsforskriften, jf. punkt 2 foran.
4.2 Intern kvalitetskontroll (tilsynsrapporten punkt 2.1.7 og 2.2)
Autorisasjonsordningen for regnskapsførere ble innført for å sikre kvaliteten på regnskapene og rapportene som blir levert til oppdragsgiverne og andre brukere av regnskapet, herunder offentlige myndigheter. Regnskapspliktige som setter bort regnskapet til autoriserte regnskapsførere skal kunne ha tillit til at oppdraget blir utført i samsvar med god regnskapsføringsskikk og at regnskap og rapporter har god fagmessig kvalitet. Dette innebærer at arbeid som utføres av ikke-autoriserte medarbeidere må kvalitetssikres av oppdragsansvarlig eller annen autorisert regnskapsfører. Manglende intern kvalitetskontroll innebærer derfor overtredelse av regnskapsførerloven § 1, der det fremgår at man må være autorisert regnskapsfører for å kunne føre regnskap for andre i næring. Det følger av regnskapsførerloven § 2 annet ledd, jf. GRFS 1 punkt 1.6.4 at kvalitetskontroll må kunne dokumenteres. Manglende kvalitetskontroll er et brudd på regnskapsførerloven § 2 annet ledd, jf. GRFS 1.6.3.
Accenture AS v/Accenture Finance & Accounting BPO har relativt få oppdragsgivere, men flere av disse har en betydelig omsetning. Etter det stedlige tilsyn i 2010 la Finanstilsynet til grunn at det ble iverksatt rutiner som sikret at det var en autorisert regnskapsfører som var ansvarlig for oppdragene, og at vedkommende gjennomførte kvalitetskontroll av det utførte arbeidet, herunder at kvalitetskontrollen ble dokumentert på en tilfredsstillende måte. For ett av de kontrollerte oppdragene, jf. rapportens pkt. 2.2.2, var det gjennomført kvalitetskontroll, men ikke av autoriserte regnskapsfører. I tilsvaret har selskapet redegjort for den kontrollen som faktisk blir utført, herunder at det er en autorisert regnskapsfører som kontrollerer oppdraget.
Finanstilsynet har merket seg at det i risikovurderingsdokumentet er angitt som en risiko at det ikke utføres kvalitetskontroll til planlagt tid og i tilstrekkelig omfang. Den avdekkede mangelen viser at det er risiko knyttet til å sikre at den blir gjort av en autorisert regnskapsfører. Det kan selvfølgelig bestemmes at det skal gjennomføres kvalitetskontroll ut over dette, herunder av andre.
4.3 Generelt om risikovurderingene knyttet til regnskapsføringsvirksomheten
Finanstilsynet har sett oversikten over vurderingen av hva som er ansett for å være virksomhetskritiske risikoområder for Accenture Finance & Accounting BPO for 2013, datert 8. juli 2013 og dokumentet "Kvalitetssikringssystem for regnskapsførervirksomheten i Accenture AS Accenture Finance & Accounting BPO", sist revidert 8. oktober 2013.
Finanstilsynet er av den oppfatning at det ville være en fordel om de indentifiserte risikoene beskrives mer konkret og med en tydeligere forankring i den aktuelle virksomheten. De forholdene som er omtalt i punkt 4.1, 4.2 og 4.4 er eksempler.
4.4 Særlig om utkontraktert regnskapsføringsvirksomhet
Av risikostyringsforskriften § 5 følger det klart at regnskapsførerselskapet har ansvaret også for utkontraktert virksomhet. Det skal foreligge en skriftlig avtale. Avtalen må sikre at Accenture Finance & Accounting BPO gis rett til innsyn i og kontroll med utkontraktert virksomhet, og at Finanstilsynet gis tilgang til opplysninger fra og tilsyn med virksomheten. Det følger videre av bestemmelsen at Accenture Finance & Accounting BPO selv må ha tilstrekkelig kompetanse til å håndtere utkontrakteringsavtalen. Selv om en utkontrakteringsavtale regulerer de minimumskravene som følger av forskriften, vil det avgjørende være om Finanstilsynet mener at tilsynsenhetens utkontrakterte virksomhet, i praksis, drives på en hensiktsmessig og betryggende måte. Dette gjelder særlig for utkontraktert virksomhet som er av direkte betydning for kravene som gjelder til oppdragsutførelsen. I dette tilfellet er det oppbevaring av oppdragsdokumentasjon og arbeid som gjøres i India og Tsjekkia.
Selskapet bekrefter i tilsvaret at det er inngått kontrakter med underentreprenørene. For at også utkontraktert virksomhet skal drives forsvarlig, må Accenture AS gjennom avtalene sikre seg tilstrekkelig styring og kontroll med den delen av virksomheten som er satt bort og at den også kan kontrolleres av Finanstilsynet. Finanstilsynet tar til etterretning at Accenture AS vil lage et tillegg til eksisterende avtaler slik at også disse forholdene blir ivaretatt, og at dette vil bli tatt inn som et punkt i et samarbeid med eventuelle nye underleverandører.
Selskapet har i tilsvaret redegjort for sine oppbevaringsrutiner, og det anføres at den elektroniske oppbevaringen fullt ut anses som forsvarlig. Finanstilsynet tar til etterretning at Accenture AS vil arbeide med å få på plass en rutine som sikrer at også fysisk lagret oppdragsdokumentasjon oppbevares i samsvar med de krav som stilles i regnskapsførerloven, herunder god regnskapsføringsskikk.
Dersom utkontrakteringen til Accenture Service Pvt. Ltd og Accenture Services s.r.o. innebærer at deler av oppdragsdokumentasjonen befinner seg i disse selskapene, vil de samme kommentarene som nevnt i punkt 3.3. gjelde. Disse utkontrakteringsavtalen vil imidlertid også kunne reise andre spørsmål, særlig knyttet til taushetsplikt og kvalitetskontroll. Finanstilsynet har merket seg at "ikke overholder taushetsplikten" og "ikke forsvarlig behandling av kundesensitive data" er angitt som et virksomhetskritisk risikoområde.
5. FINANSTILSYNETS KONKLUSJON
Det stedlige tilsynet avdekket kun mindre mangler i oppdragsutførelsen. Finanstilsynet legger til grunn at disse rettes opp i.
I tilknytning til de krav som stilles etter risikostyringsforskriften, er Finanstilsynet av den oppfatning at det vil være en fordel om risikoene beskrives mer konkret og at de blir tydeligere forankret i den aktuelle virksomheten. Dette gjelder særlige de risikoene som oppstår når virksomhet utkontrakteres, herunder IKT-risikoen.
For Finanstilsynet
Kjersti Elvestad
seksjonssjef
Bernt Jan Aaland
tilsynsrådgiver