Merknader etter stedlig regnskapsførertilsyn Sparebank 1 Regnskapshuset SMN AS
Tilsynsrapporter og vedtak
Publisert: 11. januar 2017
Sparebank 1 Regnskapshuset SMN AS , brev av 30. september 2016.
Saksbehandler: Tommy Bolsøy
Dir. tlf: 22 93 98 80
Vår referanse: 16/5699
Dato: 30.09.2016
1. Innledning og bakgrunn
Finanstilsynet viser til stedlig regnskapsførertilsyn avholdt med Sparebank 1 Regnskapshuset SMN AS i perioden 22. – 24. juni 2016 og til det foreløpige merknadsbrevet datert 21. juli 2016, hvor tilsynsrapporten fulgte vedlagt. Selskapets tilsvar er mottatt i e-post av 4. september 2016.
I tillegg til hovedkontoret i Trondheim, ble det gjennomført tilsyn på avdelingskontorene i Namsos og Levanger. Bakgrunnen for det stedlige tilsynet er Finanstilsynets prioritering av tilsyn med de største regnskapsførerselskapene/grupperingene.
Finanstilsynet kontrollerte blant annet selskapets etterlevelse av forskrift om risikostyring og internkontroll (risikostyringsforskriften). Hensiktsmessige rutiner for virksomheten er nødvendige risikoreduserende tiltak. Også rutiner som skal sikre etterlevelsen av de lovfastsatte pliktene etter lov om tiltak mot hvitvasking og terrorfinansiering mv. og tilhørende forskrift, ble kontrollert.
Sparebank 1 Regnskapshuset SMN AS er underlagt internrevisjonen i Sparebank 1 SMN.
IKT-risikoen er en sentral risiko i en regnskapsførervirksomhet. Finanstilsynets tilsyn dekket en nærmere gjennomgang av IKT-virksomheten på hovedkontoret i Trondheim.
Ti enkeltoppdrag ble valgt ut for kontroll av om de er gjennomført i samsvar med regnskapsførerlovgivningen, herunder god regnskapsføringsskikk (GRFS). Forøvrig fremkommer det av tilsynsrapporten hva som var gjenstand for kontroll under tilsynet.
Finanstilsynet har i merknadene omtalt svakheter og mangler det er viktig at selskapet prioriterer å få rettet opp. Finanstilsynet forutsetter imidlertid at øvrige svakheter og mangler som bare er omtalt i tilsynsrapporten også blir gjennomgått, og at det iverksettes tiltak som kan bidra til å rette på forholdet.
2. Kontroll av enkeltoppdrag
Gjennomgangen av de ti enkeltoppdragene avdekket enkelte feil og mangler knyttet til oppdragsavtaler, herunder fullmakter og avstemminger.
Oppdragsavtaler
Det følger av regnskapsførerloven § 3 første ledd at det skal opprettes skriftlig oppdragsavtale med alle oppdragsgivere, jf. også GRFS pkt. 3.1. Oppdragsavtalen skal angi hvem som er oppdragsansvarlig, hvilke regnskapsfunksjoner regnskapsførerselskapet skal utføre og regnskapsførerselskapet skal løpende påse at avtalen er dekkende. Dette er viktig for å sikre klarhet i hvem som har ansvaret for de ulike arbeidsoppgavene. Selskapet har retningslinjer som skal bidra til å sikre etterlevelsen av dette kravet.
Det stedlige tilsynet avdekket at det manglet om lag 50 oppdragsavtaler. For ett oppdrag (en pensjonskasse) forelå det oppdragsavtale, men den var ikke dekkende for oppdraget. Det fremkom ikke hvem som var oppdragsansvarlig regnskapsfører, at det var et betalingsoppdrag (utbetaling av pensjoner) og heller ikke at det er regnskapsførerselskapet som sender inn rapporter til Finanstilsynet og Statistisk Sentralbyrå på vegne av oppdragsgiver. Dette fullmaktsforholdet var ikke formalisert mellom partene. Finanstilsynet tar til etterretning av disse manglene nå er rettet.
I tilsvaret har selskapet beskrevet hvordan den interne kvalitetskontrollen gjennomføres. Tatt i betraktning de manglene som ble avdekket under tilsynet, ber Finanstilsynet om at selskapet vurderer om kontrollrutinene er tilstrekkelige og eventuelt hvordan brudd på rutinene skal håndteres.
Avstemminger
Finanstilsynet avdekket også manglende og mangelfulle avstemminger i ett av de kontrollerte oppdragene som ikke kan anses som ubetydelige. Det fremgår av tilsvaret at regnskapsfører-selskapet vil foreta en egen oppfølging mot den aktuelle avdelingen for å sikre riktig forståelse av selskapets rutiner på avstemmingsområdet, og at disse blir fulgt kommende regnskapsår. Finanstilsynet tar kommentarene til etterretning.
3. IKT-virksomheten
IKT-området er en helt sentral risiko i virksomheten. Denne risikoen må håndteres i samsvar med risikostyringsforskriften, herunder styring, kontroll og rapportering. Det følger av risikostyringsforskriften § 2 at risikostyringen og internkontrollen skal tilpasses arten, omfanget av og kompleksiteten i selskapets virksomhet. Sparebanken 1 Regnskapshuset SMN AS er en stor aktør i regnskapsføringsbransjen og tilbyr et bredt spekter av tjenester. Svikt i regnskapsfører-selskapets IKT-systemer vil berøre et stort antall oppdragsgivere og på en måte som kan få vesentlige konsekvenser for disse. Disse forholdene påvirker kravet til profesjonalitet i foretakets risikostyring og internkontroll.
Finanstilsynet har merket seg at risiko knyttet til "IKT-driftsstans" (risikoelement 1.2) fremkommer som en risiko i "Risikokartet" for 2015. Det vises til den presentasjonen av risikovurderingen som ble lagt frem for styret i desember 2015. Risikoen "teknologi" (risikoelement 3.1) er angitt som risiko knyttet til at selskapet ikke klarer å ta i bruk og tilpasse seg ny teknologi. Finanstilsynet anser sistnevnte som en forretningsmessig risiko som ikke synes å være rettet mot den konkrete risikoen i eksisterende IKT-systemer.
Risikoen knyttet til "IKT-driftsstans" er angitt som en risiko der svakheter er identifisert og tiltak bør iverksettes. Finanstilsynet legger til grunn at foretakets gjennomgang av "Katastrofe- og beredskapsplan for IKT i juni 2016" er et iverksatt tiltak. Finanstilsynet har følgende kommentarer til denne:
Dersom en katastrofeplan skal fungere etter sin hensikt, må den minst også omfatte:
- Oversikt over IKT-systemer som inngår i katastrofeplanen.
- Beskrivelse av katastrofeløsningen.
- Prosedyrer som inneholder de nødvendige aktiviteter for å gjenopprette IKT-driften.
- Oversikt over ansvarsforhold og prosedyrer ved oppstart av katastrofeløsningen.
Etter Finanstilsynets syn dekker katastrofeplanen deler av de to siste kulepunktene, men ikke de to første. Til det første kulepunktet viser Finanstilsynet til at planen inneholder en oversikt over programvarene som selskapet gjør seg bruk av. Denne oversikten gir ikke en oversikt over infrastrukturen med nødvendig maskinvare, nettverk, programvare for operativsystem eller database. Finanstilsynet vurderer oversikt over den teknologiske infrastrukturen som nødvendig i en katastrofeplan. Til det andre kulepunktet bemerker Finanstilsynet at planen inneholder en oversikt over ulike scenarioer, der det gis anvisning på prosedyrer og informasjonstiltak, (strekpunkt 5 og til dels strekpunkt 6), men katastrofeløsninger er ikke beskrevet.
Når det gjelder risiko knyttet til endringer i IKT-systemene har Finanstilsynet merket seg at selskapet mener denne risikoen er ivaretatt i de avtalene som er inngått med systemleverandørene.
Finanstilsynet tar regnskapsførerselskapets svar til etterretning. Det legges til grunn at selskapets endringshåndteringsprosess også omfatter alle endringer som gjennomføres på tjeneste-leverandørens tekniske infrastruktur som avtalen omfatter.
Finanstilsynet mener at det som er fremlagt av risikovurderinger og risikoreduserende tiltak ikke gir et tilstrekkelig grunnlag for Finanstilsynet til å konkludere med at IKT-virksomheten i selskapet fullt ut er håndtert i samsvar med risikostyringsforskriften. I fellesrapporten fra Finanstilsynets tematilsyn 2015 om IKT-risikoen i regnskapsførerselskaper beskrives nærmere hvordan Finanstilsynet mener at risikoen knyttet til IKT skal håndteres, herunder særlig når IKT-virksomhet er utkontraktert helt eller delvis.
Selv om ikke regnskapsførerselskaper er underlagt forskrift av 21. mai 2003 nr. 630 om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften), vil forskriften gi en god veiledning om hvordan IKT-risikoen kan håndteres for å sikre etterlevelse av risikostyringsforskriften.
4. Oppsummering
Mangler på etterlevelse av selskapets rutiner har ført til manglende etterlevelse av regnskapsfører-loven i utførelsen av enkelte oppdrag. Finanstilsynet forutsetter at selskapet vurderer tiltak som kan bidra til å sikre etterlevelsen av etablerte rutiner, herunder hvordan brudd på rutinene skal håndteres.
Finanstilsynet forutsetter at selskapet gjennomfører og dokumenterer en fullstendig vurdering av IKT-risikoen i selskapet i samsvar med risikostyringsforskriften. Vurderingen må inkludere utkontraktert IKT-virksomhet.
For Finanstilsynet
Bernt Jan Aaland
tilsynsrådgiver
Tommy Bolsøy
seniorrådgiver
Abonner på nyheter
Registrer deg for å få nyhetsvarsling når Finanstilsynet publiserer saker du er interessert i.