Merknader etter stedlig regnskapsførertilsyn Movere Økonomi & Regnskap AS
Tilsynsrapporter og vedtak
Publisert: 12. januar 2016
Saksbehandler: Wenche Falch-Hennum
Dir. tlf.: 22 93 97 12
Vår ref.: 15/7941
Dato: 16.12.2015
1. Sakens bakgrunn
Finanstilsynet viser til stedlig regnskapsførertilsyn den 14. september 2015. Tilsynet omfattet det autoriserte regnskapsførerselskapet Movere Økonomi & Regnskap AS og de autoriserte regnskapsførerne ansatt i eller tilknyttet selskapet. Finanstilsynets foreløpige merknader og tilsynsrapport ble sendt i brev datert 28. oktober 2015. Finanstilsynet har ikke mottatt kommentarer til foreløpige merknader og tilsynsrapporten.
De var på tilsynstidspunktet deleier av og oppdragsansvarlig i regnskapsførervirksomheten. Det er to ansatte i foretaket. Ut fra oversikt innsendt forut for tilsynet er det oppgitt at virksomheten hadde 34 regnskapsføreroppdrag.
Formålet med tilsynet var å kontrollere om regnskapsførervirksomheten drives i samsvar med de kravene som gjelder, herunder om oppdragene gjennomføres i samsvar med god regnskapsføringsskikk. Ved gjennomgangen ble også autorisert regnskapsførers arbeid i forhold til regnskapsloven, bokføringsloven og annen relevant lovgivning kontrollert. Det vises også til finanstilsynsloven § 3 som fastslår at Finanstilsynet skal se til at de institusjoner det fører tilsyn med virker på en hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov, samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter.
Finanstilsynet fant under sitt stedlige tilsyn mangler og svakheter ved måten foretaket hadde innrettet sin virksomhet på. Finanstilsynet legger til grunn at det er satt i verk tiltak for å rette opp de mangler og svakheter som ble avdekket under tilsynet.
2. Forhold i regnskapsførerselskapet
2.1 Risikostyring og internkontroll, herunder IKT-risiko (tilsynsrapporten pkt. 2.14 og 2.15)
I henhold til forskrift om risikostyring og internkontroll av 22. september 2008, gjeldende fra 1. januar 2009, skal regnskapsførerselskaper utarbeide en plan for hvordan kravene i forskriften skal gjennomføres og dokumenteres. Det følger videre av forskriften § 6 at foretaket løpende skal vurdere hvilke risikoer som er knyttet til virksomheten. Vurderingene skal dokumenteres, og et sammendrag med konklusjoner om risikosituasjonen og om det er behov for nye tiltak skal foreligge, jf. forskriften § 8 første ledd. Vurderingen skal årlig forelegges styret til behandling.
Formålet med forskriften er å bedre foretakenes risikostyring og internkontroll gjennom å utdype styrets og ledelsens ansvar utover det som følger av selskapsrettslige regler og regler i særlovgivningen. Typiske risikoer som regnskapsførerselskaper må vurdere og håndtere vil være operasjonell risiko, blant annet knyttet til IKT, nøkkelpersonproblematikk, omdømme, kompetanse, interessekonflikter, taushetsplikt, samt soliditet. Konsekvensene av driftsstans for et regnskapsførerselskap kan være at oppdragsgiverne påføres betydelige problemer internt og eksternt. En viktig årsak til at regnskapsførerselskaper ble underlagt risikostyringsforskriften i 2008 var nettopp at disse selskapene utfører virksomhetskritiske oppgaver på vegne av sine oppdragsgivere.
Det ble forut for tilsynet innsendt dokumentasjon som viste at det var foretatt en vurdering av selskapets risikostyring og internkontroll for 2014. Det vises til foreløpige merknader og tilsynsrapport sendt i brev datert 28. oktober 2015 for beskrivelse og vurdering av dokumentet.
Som det fremgår av punkt 3 under ble det avdekket mangler i overordnet intern kontroll i selskapet, oppdragsavtalene, samt i rutinene og gjennomføringen av kvalitetskontroll av medarbeidere uten autorisasjon som regnskapsfører. Risikovurderingen synes derfor ikke å ha fanget opp svakhetene i virksomhetsutførelsen.
Finanstilsynet forutsetter at selskapet har foretatt en ny og kritisk gjennomgang av risikovurderingene, og at nødvendige tiltak blir gjennomført, at det utarbeides en tidsplan for gjennomføringen og at det klart fremgår hvem som har ansvaret.
Særskilt om IKT-risiko
IKT er helt sentralt i de aller fleste regnskapsførervirksomheter. Risikoen for at systemene ikke fungerer som forutsatt og for at opplysninger som ligger lagret i systemene kommer på avveie, må derfor inngå i risikovurderingen som gjøres etter risikostyringsforskriften.
Vurderingen av IKT-risikoen må i det minste inkludere sikkerhetsløsninger og katastrofeplan, særlig tatt i betraktning viktigheten av rettidig rapportering til offentlige myndigheter, og til oppdragsgiveren. Risikovurderingen må også inkludere tiltak som sikrer at taushetsplikten og personopplysningsloven overholdes. Tap av oppdragsgivers regnskapsmateriale er svært uheldig og ansvarsforholdet må være klargjort i oppdragsavtalen. Det vil også være et problem for regnskapsførerselskapet dersom egen oppdragsdokumentasjon går tapt. Ved bruk av eksterne leverandører må regnskapsførerselskapets risikovurdering også inkludere den utkontrakterte virksomheten, jf. forskriften § 5. Det må derfor sikres at den eksterne leverandøren kan oppfylle de krav som gjelder for regnskapsførerselskapet. Klare avtaler med systemleverandører er et viktig risikoreduserende tiltak. Avtalene må være skriftlige og gi regnskapsførerselskapet rett til innsyn og kontroll med den utkontrakterte virksomheten.
Regnskapsførerselskapet har utkontraktert IKT-sikkerheten, herunder sikkerhetskopiering og drift av IKT-systemer til en ekstern leverandør. Det var ikke foretatt noen risikovurdering av dette forholdet. Eksempelvis var tap av eller tilgang til data ikke definert som en risiko. Avtalen med IKT-selskapet ble fremlagt under tilsynet. Avtalen fremsto etter Finanstilsynets syn som svært mangelfull.
Risikovurderinger skal bidra til å sikre at utkontrakterte tjenester følger de samme regler og tilgang til informasjon som om tjenestene var utført av foretaket selv, og at tilsynsmyndigheter har den samme adgangen til informasjon. Dette innebærer:
- at risikovurderinger må være gjennomført og omhandle avtalens innhold.
- at avtalen må være tilstrekkelig og sikre foretaket rett til innsyn i det som omhandler tjenesteleveransen.
- at avtalen kan avsluttes, evt. flyttes til annen leverandør, på en kontrollert måte.
- at tjenestene må leveres i henhold til avtale og med avtalt sikkerhet, samt at lover og regler ivaretas.
- at foretaket beholder styringsrett.
- at foretaket må ha tilstrekkelig kunnskap om tjenesteleveransen, både teknisk og operasjonelt.
- at sikkerhetskopiering, rekonstruering og arkivering av data må beskrives. Krav til lagringstid, lesbarhet og logging for å spore tilgang til og endringer i data må dokumenteres i henhold til krav i bokføringsloven.
Finanstilsynet ser det som kritikkverdig at regnskapsførerselskapet ikke hadde angitt hva som kunne anses som risikoer ved utkontraktert virksomhet, spesielt på et så virksomhetskritisk område som IKT-sikkerhet. Finanstilsynet legger til grunn at regnskapsførerselskapet har gjennomgått avtalen mellom selskapet og IKT-leverandøren, og sørget for at de forhold som er tatt opp av Finanstilsynet ovenfor fremgår av avtalen. Finanstilsynet legger videre til grunn at regnskapsførerselskapet har utarbeidet sin risikovurdering og internkontroll slik at det nå omfatter også dette området.
3. Regnskapsførerselskapets rutiner og utøvelse av regnskapsføreroppdrag
I tidligere tilsendte tilsynsrapport beskrives utøvelsen av regnskapsføreroppdrag og om det er etablert organisasjon, rutineopplegg og intern kontroll i forhold til kravene i regnskapsførerloven, herunder kravet til god regnskapsføringsskikk, jf. § 2 andre ledd. Den rettslige standarden «God regnskapsføringsskikk» utfylles av standarder utarbeidet av Regnskap Norge (tidl. NARF), DnR og Økonomiforbundet. Ny bransjefastsatt standard er utarbeidet, gjeldende fra 1. januar 2015. Finanstilsynet har lagt den nye standarden til grunn for merknadene.
3.1 Overordnet kontroll på oppdragsnivå (tilsynsrapporten pkt. 3.1.1)
Det følger av GRFS punkt 7.1 «Overordnet intern kontroll på oppdragsnivå» at oppdragsansvarlig eller annen autorisert regnskapsfører minst en gang årlig skal kontrollere følgende for hver oppdragsgiver:
- At oppdragsavtale er à jour.
- At fullmakter er skriftlig dokumentert og à jour.
- At oversikt over mottak og utlevering av oppdragsgivers regnskapsmateriale er à jour.
- At vurdering av oppdragsgivers interne rutiner er gjennomført og dokumentert.
- At avstemminger utføres og dokumenteres tilfredsstillende.
- At handlinger i forbindelse med årsoppgjør er gjennomført.
- At rapportering gjennomføres i henhold til oppdragsavtalen og krav gitt i eller i medhold av lov.
- At fremdriftsoversikt er à jour.
- At oppdragsdokumentasjon er à jour.
Kravet om å foreta en overordnet og dokumentert intern kontroll på oppdragsnivå gjelder uavhengig av om det benyttes medarbeider på oppdraget eller ikke. Det er den oppdragsansvarlige sitt ansvar å påse at dette faktisk blir gjort.
Finanstilsynet kunne under tilsynet ikke se at selskapet hadde etablert en rutine for å sikre at det ble foretatt en dokumentert intern kontroll på oppdragsnivå. Det ble under tilsynet også bekreftet at det ikke var satt i verk en fast rutine som ivaretok dette kravet.
Finanstilsynet legger til grunn at selskapet nå har utarbeidet en skriftlig rutine for overordnet kontroll på oppdragsnivå som etterleves i virksomheten.
3.2 Oppdragsavtaler (tilsynsrapporten pkt. 3.1.2 og 3.2)
Det følger av regnskapsførerloven § 3 første ledd, jf. GRFS pkt. 3.1 og 3.2 at oppdragsavtalen skal være skriftlig og beskrive alle regnskapsfunksjoner og andre oppdrag som skal utføres av regnskapsfører. Regnskapsførervirksomheten skal også løpende påse at oppdragsavtalen er dekkende for oppdraget. Avtalen skal i tillegg angi tidsfrister for oppdragsgivers innlevering av dokumentasjon, samt for regnskapsførerselskapets oppdragsutførelse og rapportering. Det skal videre i avtalen utpekes en autorisert regnskapsfører som er ansvarlig regnskapsfører for oppdraget på vegne av regnskapsførerselskapet.
Ved gjennomgang av tre enkeltoppdrag, ble det avdekket at selskapets styreleder i oppdragsavtalene står oppført som oppdragsansvarlig regnskapsfører for oppdragene. Det ble opplyst under tilsynet at det er daglig leder som er oppdragsansvarlig regnskapsfører. Avtalene var dermed ikke oppdatert med korrekte parter.
Finanstilsynet legger til grunn at regnskapsførerselskapet har oppdatert oppdragsavtalene slik at korrekt oppdragsansvarlig regnskapsfører fremgår.
3.3 Kvalitetskontroll av medarbeidere som ikke er autorisert (tilsynsrapporten pkt. 3.1.7 og 3.2)
Autorisasjonsordningen for regnskapsførere ble innført for å øke og sikre kvaliteten på regnskapene og rapportene som blir levert til oppdragsgiverne og andre brukere av regnskapet, herunder offentlige myndigheter. Regnskapspliktige som setter bort sitt regnskap til autoriserte regnskapsførere skal kunne ha tillit til at oppdraget blir utført i samsvar med god regnskapsføringsskikk og at regnskap og rapporter har god fagmessig kvalitet. Dersom arbeid som utføres av ikke autoriserte medarbeidere ikke blir kvalitetssikret av oppdragsansvarlig eller annen autorisert regnskapsfører, vil forholdet måtte anses som en overtredelse av regnskapsførerloven § 1, som fastslår at det bare er autoriserte regnskapsførere som kan føre regnskap for andre i næring.
Kvalitetskontrollen av det arbeidet som medarbeidere uten autorisasjon som regnskapsfører utfører, skal gi tilstrekkelig sikkerhet for at arbeidet utføres på en forsvarlig måte. Omfanget av kontrollen vil kunne variere basert på en dokumentert vurdering av medarbeidernes kompetanse, jf. GRFS pkt. 7.2.
Gjennomført kvalitetskontroll skal dokumenteres som en del av oppdragsdokumentasjonen, herunder avdekkede feil og mangler, jf. GRFS pkt. 7.4. Feil og mangler som avdekkes ved kvalitetskontroll skal korrigeres så snart som mulig og gjennomført korreksjon skal dokumenteres, jf. GRFS 7.3. Manglende kvalitetskontroll er et brudd på regnskapsførerloven § 2 andre ledd.
Det forelå ingen rutine i regnskapsførerselskapet som viste hvordan og hvor ofte kvalitetskontroll av medarbeidernes arbeid skulle gjennomføres eller hvordan oppdragene skulle følges opp.
På ingen av de tre oppdragene som Finanstilsynet kontrollerte, forelå det dokumentasjon som viste at det var gjennomført kvalitetskontroll av medarbeidernes arbeid, selv om medarbeider uten autorisasjon som regnskapsfører var benyttet. Det ble opplyst under tilsynet at arbeidet som ble utført ble sett gjennom, men at gjennomgangen ikke ble dokumentert.
Finanstilsynet er kritisk til at regnskapsførerselskapet ikke hadde innført rutine for gjennomføring og dokumentasjon av kvalitetskontroll av arbeidet som ble utført av medarbeidere uten autorisasjon som regnskapsfører. Finanstilsynet legger til grunn at det nå er innført rutiner som sikrer at lovkravet oppfylles.
4. Finanstilsynets konklusjon
Det stedlige tilsynet viste at formelle forhold rundt driften av regnskapsførervirksomheten i hovedsak var oppfylt i forhold til de krav som stilles etter regnskapsførerlovgivningen, herunder god regnskapsføringsskikk.
Gjennomgangen avdekket imidlertid også mangler i virksomheten, noen av disse er etter Finanstilsynets syn alvorlige. Dette gjaldt primært manglende oppfyllelse av kravet til overordnet kontroll på oppdragsnivå og kvalitetskontroll av arbeid utført av medarbeider. Selskapet hadde heller ikke fullt ut innført tilfredsstillende kontrollrutiner på IKT-området, herunder sørget for en klar avtale med leverandøren som drifter og vedlikeholder virksomhetens IKT-systemer.
Finanstilsynet legger til grunn at de svakheter som ble avdekket under tilsynet, og som er omtalt her og i tidligere korrespondanse, er rettet opp og tatt hensyn til i det videre arbeidet. Det bemerkes at mindre alvorlige forhold kun er tatt opp i tilsynsrapporten.
For Finanstilsynet
Bernt Jan Aaland
tilsynsrådgiver
Wenche Falch-Hennum
spesialrådgiver
Abonner på nyheter
Registrer deg for å få nyhetsvarsling når Finanstilsynet publiserer saker du er interessert i.