Hvilke krav gjelder etter at regnskapsselskapet har fått godkjenning

Risikostyringsforskriften

Regnskapsførerselskaper er underlagt forskrift om risikostyring og internkontroll (risikostyringsforskriften) av 22. september 2008, jf. § 1 nr. 12. Det følger av forskriften at autoriserte regnskapsførerselskaper skal ha skriftlige retningslinjer for risikostyring og internkontroll. Selskapet må fortløpende  vurdere hvilke vesentlige risikoer som er knyttet til virksomheten, og å gjennomføre nødvendige tiltak for å få risikoene på et akseptabelt nivå, jf. § 6, jf. § 8. Det må gjøres en reell vurdering av selskapets risikosituasjon. Det er ikke tilstrekkelig å bruke en ferdigprodusert mal.  Det skal minst en gang årlig foretas en gjennomgang av vesentlige risikoer for alle virksomhetsområder, og det skal foretas en systematisk gjennomgang av om foretakets risikostyring og internkontroll er tilstrekkelig til å håndtere foretakets identifiserte risikoer på en forsvarlig måte, jf. §§ 7 og 8. Vurderingen skal behandles av regnskapsførerselskapets styre. Det skal innhentes en årlig bekreftelse fra aksjeselskapets revisor på at selskapet har etterlevd risikostyringsforskriften.

Finanstilsynet mener at risikoen for at regnskapsførerselskapet ikke drives i samsvar med lovgivningen, er en vesentlig risiko.

Om IKT-risiko

IKT er helt sentralt i de aller fleste regnskapsførervirksomheter. Risikoen for at systemene ikke fungerer som forutsatt og for at opplysninger som ligger lagret i systemene kommer på avveie, må derfor inngå i risikovurderingen som gjøres etter risikostyringsforskriften.

Vurderingen av IKT-risikoen må i det minste inkludere sikkerhetsløsninger og katastrofeplan, særlig tatt i betraktning viktigheten av rettidig rapportering til offentlige myndigheter, og til oppdragsgiveren. Risikovurderingen må også inkludere tiltak som sikrer at taushetsplikten og personopplysningsloven overholdes. Tap av oppdragsgivers regnskapsmateriale er svært uheldig og ansvarsforholdet må være klargjort i oppdragsavtalen. Det vil også være et problem for regnskapsførerselskapet dersom egen oppdragsdokumentasjon går tapt. Selskaper som har utkontraktert IKT-sikkerheten, herunder sikkerhetskopiering og drift av IKT-systemer til en ekstern leverandør, må foreta risikovurdering av dette forholdet. Det må derfor sikres at den eksterne leverandøren kan oppfylle de krav som gjelder for regnskapsførerselskapet. Klare avtaler med systemleverandører er et viktig risikoreduserende tiltak. Avtalene må være skriftlige og gi regnskapsførerselskapet rett til innsyn og kontroll med den utkontrakterte virksomheten.

Risikovurderinger skal bidra til å sikre at utkontrakterte tjenester følger de samme regler og tilgang til informasjon som om tjenestene var utført av foretaket selv, og at tilsynsmyndigheter har den samme adgangen til informasjon. Dette innebærer:

• at risikovurderinger må være gjennomført og omhandle avtalens innhold.
• at avtalen må være tilstrekkelig og sikre foretaket rett til innsyn i det som omhandler tjenesteleveransen.
• at avtalen kan avsluttes, evt. flyttes til annen leverandør, på en kontrollert måte.
• at tjenestene må leveres i henhold til avtale og med avtalt sikkerhet, samt at lover og regler ivaretas.
• at foretaket beholder styringsrett.
• at foretaket må ha tilstrekkelig kunnskap om tjenesteleveransen, både teknisk og operasjonelt.
• at sikkerhetskopiering, rekonstruering og arkivering av data må beskrives. Krav til lagringstid, lesbarhet og logging for å spore tilgang til og endringer i data må dokumenteres i henhold til krav i bokføringsloven.

Hvitvaskingsregelverket

Hvitvaskingsregelverket gjelder for autoriserte regnskapsførere og autoriserte regnskapsførerselskap.

• Hvitvaskingsansvarlig: Regnskapsførerselskapet skal utpeke en hvitvaskingsansvarlig. Dette skal gjøres, selv om det i praksis er klart hvem som har denne rollen.
• Kundekontroll: Det må kunne dokumenteres at ID-kontroll er utført.
• Løpende oppfølging
• Kontroll- og kommunikasjonsrutiner mv.
• Tiltak for å sikre at ansatte er kjent med hvitvaskingsregelverket og foretakets rutiner, jf. hvitvaskingsloven § 23 tredje ledd.

Regnskapsførere har en viktig rolle når det gjelder å avdekke eventuelle forsøk på hvitvasking. Det er derfor avgjørende at autoriserte regnskapsførere er bevisste sine plikter etter hvitvaskingsloven og etterlever disse.

God regnskapsføringsskikk

Et autorisert regnskapsførerselskap har plikt til å ha rutiner som sikrer at regnskapsføringen for oppdragsgiverne skjer på en betryggende måte i samsvar med de krav som stilles etter regnskapsførerloven, herunder god regnskapsføringsskikk, jf. regnskapsførerloven § 2 annet ledd.  Denne lovbestemmelsen utfylles langt på vei av den bransjefastsatte standarden som utarbeides i samarbeid mellom Regnskap Norge, Økonomiforbundet og DnR.  For at rutinene skal fungere etter sin hensikt, og for at Finanstilsynet skal kunne kontrollere at rutinene er etablert og har nødvendig kvalitet, må de foreligge skriftlig.

Daglig leder

Daglig leders rolle er regulert i selskapslovgivningen, jf. selskapsloven § 2-18 og aksjeloven §§ 6-2 og 6-14. Det fremgår av foretaksregisterloven § 4-1, jf. kap. 3, at daglig leder skal meldes til Foretaksregisteret.

Et autorisert regnskapsførerselskap skal ha en daglig leder som er autorisert regnskapsfører. Hvis regnskapsførerselskapet ikke oppfyller kravet vil autorisasjonen bli tilbakekalt av Finanstilsynet.

Daglig leders ansvar etter risikostyringsforskriften

Daglig leder er gitt en viktig rolle i forskrift om risikostyring og internkontroll (risikostyringsforskriften) av 22. september 2008, som autoriserte regnskapsførerselskaper er underlagt, jf. § 1 nr. 12.

Daglig leder skal sørge for utarbeidelse og gjennomføring av rutiner i selskapet for å redusere de risikoene som ligger i foretaket og den virksomheten som drives. I et regnskapsførerselskap vil sentrale risikoer blant annet være knyttet til:

• selskapets utførelse av oppdrag
• selskapets etterlevelse av regelverket om risikostyring og internkontroll
• selskapets etterlevelse av hvitvaskingsregelverket
• selskapets etterlevelse av aksje-, regnskaps-, skatte- og avgiftslovgivning

Det følger av ovennevnte at når et autorisert regnskapsførerselskap ikke drives i samsvar med lovgivningen, vil lovbrudd som kan henføres til daglig leders ansvarsområde kunne få betydning for daglig leders personlige autorisasjon som regnskapsfører.

Daglig leders ansvar for oppdragsutførelsen

Daglig leder er ansvarlig  for at rutiner for oppdragsutførelsen er etablert, gjennomført og dokumentert.

Hvordan skal regnskapsførerselskapet forholde seg når daglig leder er syk eller i foreldrepermisjon?

Hvis det selskapsrettslige kravet til daglig leder er oppfylt, kan stedfortreder uten regnskapsførerautorisasjon fungere for daglig leder ved midlertidig fravær som sykdom eller permisjon. En slik ordning må være grundig dokumentert og vurdert som forsvarlig av selskapets styre.

Styret og eiere

Daglig leder har et særlig ansvar for å påse at virksomheten i regnskapsførerselskapet drives i samsvar med regnskapsførerlovgivningen og annen lovgivning som gjelder for virksomheten. Etter Finanstilsynets syn vil hyppige skifter av daglig leder innebærer en økt risiko knyttet til styring og kontroll av virksomheten for å sikre etterlevelse av lovfastsatte plikter, noe styret må være spesielt oppmerksom på.

Finanstilsynet mener at styrets ansvar etter aksjeloven §§ 6-12 og 6-13 innebærer et ansvar for styret til å tilrettelegge for at daglig leder i praksis kan ivareta sitt ansvar og plikter. Styret skal også påse at vedkommende ivaretar rollen på en forsvarlig måte. Dette innebærer blant annet en vurdering av om det er tilstrekkelig kompetanse og kapasitet i selskapet til å kunne ivareta oppdragsporteføljen i samsvar med regnskapsførerlovgivningen. Daglig leders syn på dette vil måtte inngå som et sentralt element i styrets beslutningsgrunnlag. I og med at daglig leder "hefter med sin autorisasjon" innenfor det ansvarsområdet som tilligger daglig leder, vil en daglig leder som ikke får støtte i styret for tiltak som er nødvendig for å sikre etterlevelse av lovgivningen måtte vurdere å fratre sin stilling.  

Styrets ansvar etter risikostyringsforskriften

Styret har det overordnede ansvaret for at risikostyringsforskriften følges, og skal påse at selskapet har hensiktsmessige systemer for risikostyring og internkontroll, jf. § 3.    

Oppdragsansvarlig

Regnskapsførerselskapet må utpeke en autorisert regnskapsfører som ansvarlig regnskapsfører i hvert enkelt regnskapsføreroppdrag (oppdragsansvarlig).

Oppdragsansvarlig skal gjennomføre forsvarlig internkontroll både på overordnet oppdragsnivå og på utført arbeid av medarbeider som ikke er autorisert. Internkontrollen kan delegeres til andre autorisert medarbeidere. Når daglig leder er eneste autoriserte regnskapsfører i regnskapsførerselskapet, og dermed utnevnt som ansvarlig for alle oppdragene, vil ordningen med stedfortreder uten autorisasjon omtalt over, ikke være tilstrekkelig.

For å sikre at regnskapsføreroppdrag blir gjennomført i samsvar med regnskapsførerlovgivningen er det et krav om at det skal foreligge nødvendige rutiner for hvordan regnskapsføreroppdrag som selskapet påtar seg skal utføres. Det er videre et krav om at det skal kontrolleres at rutinene etterleves. Dette kravet gjelder også i situasjoner der regnskapsføreroppdrag utføres av autorisert regnskapsfører uten bruk av medarbeidere. Også i slike tilfeller vil egenkontroll av oppdragsutførelsen opp mot foreliggende rutiner være et viktig tiltak for å sikre etterlevelse av regnskapsførerlovens krav.

Når det benyttes medarbeidere i oppdragsutførelsen som ikke er autoriserte regnskapsførere, , vil gode rutiner for hvordan oppdraget skal utføres og hvilke kontroller som skal gjennomføres være svært viktig. Slike retningslinjer og rutiner skal foreligge fra det tidspunkt regnskapsførervirksomheten starter opp. Rutinene må være skriftlige for å oppfylle kravet til god regnskapsføringsskikk.

Oppdragsansvarlig skal påse at det foreligger rutiner som bidrar til å sikre at regnskapsføreroppdrag utføres i samsvar ed regnskapsførerlovgivningen og de bransjefastsatte standardene.

Dokumentasjon av oppdragsutøvelsen – alvorlige lovbrudd

• Mangelfull eller rotete oppdragsdokumentasjon
• Oppdragsavtaler
• Avstemninger
• Oppfølging av oppdragsgivers lovbrudd
• Sporbarhet fra saldobalanse til underliggende dokumentasjon
• Kvalitetskontroll av ikke autoriserte medarbeidere
• Frasigelse av oppdraget

Overholdelse av selskapets egne plikter etter annet regelverk

• Årsregnskap
• Selvangivelse
• Regnskapsplikt for enkeltpersonforetak
• Krav til revisjon: Autoriserte regnskapsførerselskaper som er organisert som aksjeselskap (AS) eller norskregistrert utenlandsk foretak (NUF) har uten unntak revisjonsplikt. Dette betyr at slike selskaper ikke har mulighet til å velge bort revisjon.