Hvilke krav gjelder etter at regnskapsforetaket har fått godkjenning

Risikostyringsforskriften

Regnskapsforetak er underlagt forskrift om risikostyring og internkontroll (risikostyringsforskriften) av 22. september 2008, jf. § 1 nr. 9. Det følger av forskriften at regnskapsforetak  skal ha skriftlige retningslinjer for risikostyring og internkontroll. Foretaket må fortløpende  vurdere hvilke vesentlige risikoer som er knyttet til virksomheten, og å gjennomføre nødvendige tiltak for å få risikoene på et akseptabelt nivå, jf. § 6, jf. § 8. Det må gjøres en reell vurdering av foretakets risikosituasjon. Det er ikke tilstrekkelig å bruke en ferdigprodusert mal.  Det skal minst en gang årlig foretas en gjennomgang av vesentlige risikoer for alle virksomhetsområder, og det skal foretas en systematisk gjennomgang av om foretakets risikostyring og internkontroll er tilstrekkelig til å håndtere foretakets identifiserte risikoer på en forsvarlig måte, jf. §§ 7 og 8. Vurderingen skal behandles av selskapets styre eller innehaver/eiere i foretak som ikke har et styre. Det skal innhentes en årlig bekreftelse fra foretakets revisor på at foretaket har etterlevd risikostyringsforskriften.

Finanstilsynet mener at risikoen for at regnskapsforetaket ikke drives i samsvar med lovgivningen, er en vesentlig risiko.

Om IKT-risiko

IKT er helt sentralt i de aller fleste regnskapsførervirksomheter. Risikoen for at systemene ikke fungerer som forutsatt og for at opplysninger som ligger lagret i systemene kommer på avveie, må derfor inngå i risikovurderingen som gjøres etter risikostyringsforskriften.

Vurderingen av IKT-risikoen må i det minste inkludere sikkerhetsløsninger og katastrofeplan, særlig tatt i betraktning viktigheten av rettidig rapportering til offentlige myndigheter, og til oppdragsgiveren. Risikovurderingen må også inkludere tiltak som sikrer at taushetsplikten og personopplysningsloven overholdes. Tap av oppdragsgivers regnskapsmateriale er svært uheldig og ansvarsforholdet må være klargjort i oppdragsavtalen. Det vil også være et problem for regnskapsforetaket dersom egen oppdragsdokumentasjon går tapt. Foretak som har utkontraktert IKT-sikkerheten, herunder sikkerhetskopiering og drift av IKT-systemer til en ekstern leverandør, må foreta risikovurdering av dette forholdet. Det må derfor sikres at den eksterne leverandøren kan oppfylle de krav som gjelder for regnskapsforetaket. Klare avtaler med systemleverandører er et viktig risikoreduserende tiltak. Avtalene må være skriftlige og gi regnskapsforetaket rett til innsyn og kontroll med den utkontrakterte virksomheten.

Risikovurderinger skal bidra til å sikre at utkontrakterte tjenester følger de samme regler og tilgang til informasjon som om tjenestene var utført av foretaket selv, og at tilsynsmyndigheter har den samme adgangen til informasjon. Dette innebærer:

• at risikovurderinger må være gjennomført og omhandle avtalens innhold.
• at avtalen må være tilstrekkelig og sikre foretaket rett til innsyn i det som omhandler tjenesteleveransen.
• at avtalen kan avsluttes, evt. flyttes til annen leverandør, på en kontrollert måte.
• at tjenestene må leveres i henhold til avtale og med avtalt sikkerhet, samt at lover og regler ivaretas.
• at foretaket beholder styringsrett.
• at foretaket må ha tilstrekkelig kunnskap om tjenesteleveransen, både teknisk og operasjonelt.
• at sikkerhetskopiering, rekonstruering og arkivering av data må beskrives. Krav til lagringstid, lesbarhet og logging for å spore tilgang til og endringer i data må dokumenteres i henhold til krav i bokføringsloven.

Hvitvaskingsregelverket

Hvitvaskingsregelverket gjelder for statsautoriserte regnskapsførere og regnskapsselskaper.

• Hvitvaskingsansvarlig: Regnskapsforetaket skal utpeke en hvitvaskingsansvarlig. Dette skal gjøres, selv om det i praksis er klart hvem som har denne rollen.
• Kundekontroll: Det må kunne dokumenteres at ID-kontroll er utført.
• Løpende oppfølging
• Kontroll- og kommunikasjonsrutiner mv.
• Tiltak for å sikre at ansatte er kjent med hvitvaskingsregelverket og foretakets rutiner, jf. hvitvaskingsloven § 23 tredje ledd.

Regnskapsførere har en viktig rolle når det gjelder å avdekke eventuelle forsøk på hvitvasking. Det er derfor avgjørende at statsautoriserte regnskapsførere er bevisste sine plikter etter hvitvaskingsloven og etterlever disse.

God regnskapsføringsskikk

Et regnskapsforetak har plikt til å ha rutiner som sikrer at regnskapsføringen for oppdragsgiverne skjer på en betryggende måte i samsvar med de krav som stilles etter regnskapsførerloven, herunder god regnskapsføringsskikk, jf. regnskapsførerloven § 5-4.  Denne lovbestemmelsen utfylles langt på vei av den bransjefastsatte standarden som utarbeides i samarbeid mellom Regnskap Norge, Økonomiforbundet og DnR.  For at rutinene skal fungere etter sin hensikt, og for at Finanstilsynet skal kunne kontrollere at rutinene er etablert og har nødvendig kvalitet, må de foreligge skriftlig.

Kvalitetsstyringsansvarlig

En statsautorisert regnskapsfører skal ha ansvar for kvalitetsstyringen i regnskapsforetaket, jf. regnskapsførerloven § 4-1 tredje ledd. Finanstilsynet forutsetter at den kvalitetsstyringsansvarlige faktisk og reelt ivaretar rollen. Det er derfor nødvendig at den som påtar seg slik rolle fullt ut er innforstått med det ansvaret og de oppgavene som følger med. Å ha en kvalitetsstyringsansvarlig som ikke er fast ansatt i virksomheten, utgjør en særlig risiko som foretaket må håndtere i sin interne risikostyring og internkontroll, jf. risikostyringsforskriften. Foretak som eventuelt leier inn statsautorisert regnskapsfører, må ha en innleieavtale der den fysiske personen uttrykkelig bekrefter sin rolle. Risikoen knyttet til innleie, vil langt på vei være den samme som risikoene knyttet til utkontraktering. Finanstilsynet viser derfor til rundskriv 7/2021 om utkontraktering. For eksempel må avtalen sikre at regnskapsforetaket har styring og kontroll over den innleides kompetanse og kapasitet. Selv om statsautoriserte regnskapsførere er underlagt lovpliktig etterutdanning, må regnskapsforetaket vurdere hvilken kompetanse som er nødvendig og forsikre seg om at kvalitetsstyringsansvarlig har denne kompetansen, eventuelt ut over det lovfastsatte minstekravet til etterutdanning.

Oppdragsansvarlig

Regnskapsforetaket må utpeke en statsautorisert regnskapsfører som ansvarlig regnskapsfører i hvert enkelt regnskapsføreroppdrag (oppdragsansvarlig).

Oppdragsansvarlig skal gjennomføre forsvarlig internkontroll både på overordnet oppdragsnivå og på utført arbeid av medarbeider som ikke er statsautorisert. Internkontrollen kan delegeres til andre statsautorisert medarbeidere.

For å sikre at regnskapsføreroppdrag blir gjennomført i samsvar med regnskapsførerlovgivningen er det et krav om at det skal foreligge nødvendige rutiner for hvordan regnskapsoppdrag som foretaket påtar seg skal utføres. Det er videre et krav om at det skal kontrolleres at rutinene etterleves. Dette kravet gjelder også i situasjoner der regnskapsføreroppdrag utføres av autorisert regnskapsfører uten bruk av medarbeidere. Også i slike tilfeller vil egenkontroll av oppdragsutførelsen opp mot foreliggende rutiner være et viktig tiltak for å sikre etterlevelse av regnskapsførerlovens krav.

Når det benyttes medarbeidere i oppdragsutførelsen som ikke er autoriserte regnskapsførere, , vil gode rutiner for hvordan oppdraget skal utføres og hvilke kontroller som skal gjennomføres være svært viktig. Slike retningslinjer og rutiner skal foreligge fra det tidspunkt regnskapsførervirksomheten starter opp. Rutinene må være skriftlige for å oppfylle kravet til god regnskapsføringsskikk.

Oppdragsansvarlig skal påse at det foreligger rutiner som bidrar til å sikre at regnskapsføreroppdrag utføres i samsvar med regnskapsførerlovgivningen og de bransjefastsatte standardene.

Dokumentasjon av oppdragsutøvelsen – alvorlige lovbrudd

• Mangelfull eller rotete oppdragsdokumentasjon
• Oppdragsavtaler
• Avstemninger
• Oppfølging av oppdragsgivers lovbrudd
• Sporbarhet fra saldobalanse til underliggende dokumentasjon
• Kvalitetskontroll av ikke autoriserte medarbeidere
• Frasigelse av oppdraget

Overholdelse av foretakets egne plikter etter annet regelverk

• Årsregnskap
• Skattemelding
• Regnskapsplikt
• Revisjonsplikt