Disse kontrollpunktene må du være obs på!

Kvalitetskontroll fra Regnskap Norge bør ikke by på mange overraskelser. Innhold og omfang gjøres kjent for regnskapsforetaket flere måneder i forkant av selve kontrolldagen. Til tross for det erfarer vi at de samme sjekkpunktene ofte ender med anmerkninger hvert år. Hensikten med denne artikkelen er å vise hvordan du kan unngå feil og mangler på disse gjengangerne.

Løsningsforslagene er basert på dokumenter fra vårt eget kvalitetssikringsverktøy KS Komplett. Dette er et abonnementsprodukt. Vi gjør oppmerksom på at det finnes flere måter å oppfylle kravene på, og du står fritt til å benytte andre systemer og løsninger. 

Utkontraktert virksomhet – Kontrollområde 5

Det er utkontraktering når et foretak velger å la en annen juridisk enhet (oppdragstaker) utføre oppgaver på vegne av foretaket. Eksempler på aktuell utkontraktering i regnskapsforetak finnes i punkt 3 i Rundskriv 7/2021 Veiledning om utkontraktering. De elementer av teknologi som direkte eller indirekte har påvirkning på regnskapsproduksjonen ut mot kunden skal inkluderes. Indirekte i den forstand at de har en tilstrekkelig relevans. Samt bruk av underleverandør til oppgaver som er nødvendige for å oppfylle regnskapsførerloven eller god regnskapsføringsskikk-standardens krav til oppdragsutførelsen.

Foretaket skal ha en samlet oversikt over sine utkontrakteringsavtaler. Forskrift 15.9.21 nr. 2777 §1 og § 4 første ledd angir hva oversikten må inneholde. Oversikten må blant annet inneholde opplysning om hvordan foretaket vil følge opp sitt ansvar for den utkontrakterte virksomheten samt foretakets risikovurdering av utkontrakteringen.

Det er vår oppfatning at risikovurderingen gjøres som en integrert del av regnskapsselskapets totale risikovurdering da risikoelementer ofte henger tett sammen. Det må gjøres nye risikovurderinger ved inngåelse av nye utkontrakteringer. Når det gjelder anerkjente regnskapssystemer, mener vi at risikoanalysen kan gjøres kort med å henvise til regnskapssystemets utbredelse og egen erfaring i forhold til kvalitet og driftsstabilitet. 

Personvern – Kontrollområde 7

Personvernlovgivningen krever at foretak kartlegger og holder oversikt over personopplysningene de håndterer og hvilke behandlingsaktiviteter (innsamling, lagring og behandling) de er gjenstand for. Denne danner grunnlag for en pliktig risikovurdering for å identifisere relevante risikoreduserende tiltak, det være seg tekniske eller administrative kontroller for å sikre personopplysningens konfidensialitet, integritet og tilgjengelighet.

Alle virksomheter som benytter seg av en underleverandør har plikt til å ha en databehandleravtale. Den skal sikre at personopplysningene blir behandlet i samsvar med regelverket og sette en klar ramme for hvordan databehandleren kan behandle opplysningene.

Det er forbudt å oppbevare personopplysninger lenger enn det som er nødvendig for formålet de ble samlet inn for. Det vil si at når formålet er nådd, skal opplysningene slettes, selv om de som er registrert ikke har bedt om det. Virksomhetene må ha systemer og rutiner som sikrer at sletting blir gjennomført.

Veiledning for behandling av personopplysninger i regnskapsbransjen har angitt et minimums innhold for kartlegging og risikovurdering. Risikovurderingen må blant annet inneholde sannsynlighet for, og konsekvens ved eksponering hvis risikoen inntreffer, samt hvilken intern kontroll som er etablert på de risikoområdene som er identifisert knyttet til personopplysninger.

Kapasitet og kompetanse – Kontrollområde 8

Et regnskapsforetak skal ha tilgang på kapasitet og kompetanse slik at foretakets regnskapsoppdrag kan utføres i samsvar med lovkrav og GRFS. Herunder skal foretaket vurdere sin kapasitetsmessige sårbarhet, og eventuelt iverksette tiltak slik at oppdragsgiverne blir minst mulig skadelidende i situasjoner hvor kapasiteten er lavere enn normalt.

Spesielt i foretak med bare en statsautorisert regnskapsfører må det foreligge en plan for hvordan oppdragene blir tilstrekkelig ivaretatt ved

Etablering, forberedelse og fortsettelse av regnskapsoppdrag – Kontrollområde 10

De vanligste feilene på dette området er at regnskapsforetakets rutine for å sikre at det foreligger oppdragsavtale på alle oppdrag er mangelfull, og at avtalene ikke løpende holdes oppdaterte.

Regnskapsforetaket skal ha skriftlige oppdragsavtaler med sine oppdragsgivere for hvert regnskapsoppdrag. Oppdragsavtalen skal spesifisere hvilke oppgaver som skal utføres, og for hvilken tid oppdraget skal gjelde. En detaljert beskrivelse av hva som skal være inkludert i oppdraget er viktig for å klargjøre hvilke plikter hver av partene har.

Dersom oppdragsgiver skal ha tilgang til regnskapsforetakets IT-system, må omfanget av tilgangen avtales mellom partene. Ansvarsforholdet bør også fremgå av avtale der regnskapsoppdraget utføres i oppdragsgivers IT-systemer. KS Komplett dokument 2.4.1.1.6 kan benyttes til dette formålet.

Det skal videre inngås databehandleravtaler med alle kunder. I databehandleravtalen må det oppgis hvilke systemer regnskapsforetaket bruker for å behandle og oppbevare kundens data. I KS Komplett at en databehandleravtale er en del av oppdragsavtalen i form av et vedlegg, dokument 2.4.1.1.5.

I de tilfellene hvor regnskapsfører har adgang til å belaste oppdragsgivers bankkonto med utbetalinger (betalingsoppdrag), skal det fremgå av oppdragsavtalen.

Regnskapsforetaket skal også påse at oppdragsavtalene holdes oppdatert. Dette gjøres som en del av den overordnede kvalitetskontrollen, se nedenfor under omtalen av kontrollområde 11.

Utførelse av regnskapsoppdrag – Kontrollområde 11

Kundens interne rutiner

Regnskapsforetakets utførelse av oppdraget er i stor grad basert på informasjon, materiell og dokumentasjon som blir overlevert fra kunden. Regnskapsfører har derfor plikt til å vurdere de av kundens interne rutiner som er vesentlig for forsvarlig oppdragsutførelse i samsvar med oppdragsavtale og krav gitt i eller i medhold av lov. Vurderingen skal dokumenteres og oppbevares som del av oppdragsdokumentasjonen. 

Første steg kan i så måte være å benytte dokument 1.3.3 (tidl. 2.5.1) oppdragsgivers rutiner i KS Komplett. 

Andre steg kan være å benytte dokument 1.3.2.1 (tidl 2.5.1.1) Virksomhetsforståelse, arkfane Oppdragsgivers rutiner i KS Komplett. Dette dokumentet inneholder flere seksjoner, men du skal kun benytte de som er relevante for den respektive kunde.

Vurderingen av kundens interne rutiner skal omfatte alle vesentlige forhold som er sentrale for utføring av regnskapsoppdraget.    

Overordnet kvalitetskontroll

Overordnet kvalitetskontroll handler om at regnskapsforetaket må kunne dokumentere at de har rutiner og systemer som sikrer at oppdragsavtalen, og krav gitt i eller i medhold av lov, etterleves. I praksis tilsier dette at dere må kunne dokumentere at regnskapsforetaket utfører kravene ihht. kapittel 3 – 12 i GRFS. 

Tilstrekkelig kvalitetssikring skal gjennomføres minimum en gang per år, og den skal utføres på oppdragsnivå (dvs for samtlige kunder). 

Internkontroll på hvert enkelt oppdrag behøver ikke å kreve mye tid og ressurser dersom regnskapsforetaket løpende etterlever pliktene i kapittel 3 til og med 12 i GRFS. Internkontroll bygger på oppgaver som uansett skal gjennomføres og dokumenteres.

Sørg for å ha på plass rutiner som sikrer tilstrekkelig kvalitetssikring og påse at alle de åtte punktene i GRFS 5.2 kontrolleres og dokumenteres.

Periodisk regnskapsrapportering

Periodiske regnskapsrapporter skal utarbeides med den frekvens som følger av oppdragsavtalen. I de tilfellene hvor det ikke er avtalt at det skal sendes periodiske regnskapsrapporter, bør det inngås avtale om når oppdragsgiver kan ta ut regnskapsdokumentasjonen fra regnskapssystemet, med tanke på at rapportene som tas ut baserer seg på ajourført opplysninger. Dersom kunden har løpende tilgang til oppdatert og relevant regnskapsinformasjon, og iht. oppdragsavtale kan hente ut periodiske regnskapsrapporter basert på avstemte tall, kan dette bety at rapporteringsplikten langt på vei er innfridd. Det er likevel et absolutt krav at regnskapsfører samtidig etterlever plikten til å kommentere regnskapsrapportene.

Regnskapsrapportene til kundene skal inneholde relevante skriftlige kommentarer, herunder forutsetninger regnskapet bygger på.

Oppfølging av hvitvaskingsregelverket – Kontrollområde 14

Oppfølging av hvitvaskingsregelverket er området med flest mangler.

På hvitvaskingsområdet må regnskapsforetaket for det første foreta en virksomhetsinnrettet risikovurdering. Med virksomhetsinnrettet risikovurdering menes identifisering og vurdering av risikoen for hvor utsatt regnskapsforetaket er for hvitvasking og terrorfinansiering. Det er regnskapsførerforetakets eget risikobilde som skal kartlegges. ​​

Ved risikovurderingen må foretaket identifisere hvilke trusler virksomheten står ovenfor, som type kunder/kundegrupper og geografiske forhold, samt sårbarheter i virksomheten. I egen virksomhet må særlig virksomhetens art og omfang, dens produkter, tjenester og kundeforhold vurderes. Det må påses at risikovurderingen tilpasses virksomheten.

Regnskapsforetaket skal videre ha tilpassede og oppdaterte rutiner som håndterer identifisert risiko. ​Det må være en tydelig sammenheng mellom foretakets risikovurdering og det som står i rutinene. Det skal fremgå av rutinene hvordan foretaket og dets ansatte skal gjennomføre tiltakene som er nødvendige for å oppfylle hvitvaskingsregelverket og de identifiserte risikoene i foretaket. Rutinen skal være så detaljert at den enkelte ansatte til enhver tid kan vite hvilke kundetiltak som skal gjennomføres, og hvordan de skal utføres. Rutinen skal være fastsatt på øverste nivå i regnskapsforetaket. Det skal utpekes en person i ledelsen som skal ha et særskilt ansvar for å følge opp rutinene (hvitvaskingsansvarlig).

Regnskapsførerforetaket er pålagt å sikre at styret, ledelsen, ansatte og andre som er involvert i oppdragsutførelsen gis tilstrekkelig opplæring. Opplæringen skal både ta for seg hvilke forpliktelser regnskapsforetaket har etter hvitvaskingsloven og gjøre medarbeiderne i stand til å gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering.

På oppdragsnivå skal det foretas risikobasert kundetiltak ved etablering av kundeforholdet. Kundetiltak handler om å sikre kunnskap om kunden, reelle rettighetshavere og kundeforholdets formål og tilsiktede art. ​Dette gjøres ved at kundens identitet bekreftes​, at reelle rettighetshavere og politisk eksponerte personer identifiseres, og at de tas stilling til kundens risikoprofil, samt at denne begrunnes.​

Hvis det er gjort en forsvarlig risikoklassifisering, vil det være enklere å se både hvilke kundetiltak som må gjennomføres, og hvilke områder kundetiltakene bør rettes mot. ​Ved lav risiko kan det foretas forenklede kundetiltak, mens det ved høy risiko må foretas forsterkede kundetiltak.​Utgangspunktet for alle kundeforhold er at risikoen for hvitvasking og terrorfinansiering er normal. Det må foreligge særskilte forhold for at et kundeforhold skal anses for å ha lav risiko for hvitvasking.​

Kundeforholdet skal også følges opp løpende. Løpende oppfølging omfatter to sentrale oppgaver. ​For det første må kundetiltaket, herunder risikovurdering av kunden, holdes oppdatert​. Dette må gjennomføres jevnlig, og uansett når det er tvil om tidligere innhentede opplysninger er korrekte eller tilstrekkelige.​ Hva og hvor ofte dette skal gjøres kommer an på risikoen knyttet til kundeforholdet​. For det andre skal transaksjonene i kundeforholdet overvåkes, for å sikre at disse er i samsvar med kunnskapen om kunden, kundens virksomhet og risikoprofil.

Forhold som fremstår som mistenkelige ved gjennomføring av kundetiltak eller overvåking av transaksjoner skal undersøkes og eventuelt rapporteres.

Opplysninger som er innhentet i forbindelse med kundetiltakene, den løpende oppfølgingen, undersøkelser og rapportering skal registres og lagres i 5 år etter at kundeforholdet er avsluttet. Regnskapsførerforetaket må gjennom intern kontroll i virksomheten sikre at hvitvaskingsregelverket overholdes.

Kontrollene avdekket at den virksomhetsinnrettede risikovurderingen ofte ikke er godt nok tilpasset virksomheten. Videre er mange rutiner for lite tilpasset risikovurderingen, og det er brukt maler med svært få tilpasninger. Kontrollene avdekket videre at det ikke er foretatt opplæring av styret og ledelsen.

Når det gelder gjennomføring av kundetiltak og løpende oppføring av kundeforhold viser kontrollene at disse i mange tilfeller er mangelfullt dokumentert. Videre er det ofte ikke samsvar mellom det som faktisk gjennomføres og det rutinen sier om hvordan dette skal utføres.

Det er også avdekket mangler knyttet til risikoklassifiseringen av kundene. For mange kunder innenfor såkalte høyrisikobransjer er risikoen satt til middels eller lav uten at det foreligger noen begrunnelse for hvorfor disse er justert ned i risiko. Andre kunder er satt til lav risiko uten at det foreligger særskilte forhold som kan begrunne denne vurderingen.