Merknader etter selskapstilsyn Amesto AccountHouse AS
Brev
Publisert: 5. juni 2014
Sist endret: 21. mars 2018
Saksbehandler: Tommy Bolsøy
Dir. tlf. 22 93 98 80
Vår referanse: 13/10248
Dato: 22.05.2014
1. Innledning og bakgrunn
Finanstilsynet viser til stedlig regnskapsførertilsyn avholdt med Amesto AccountHouse AS den
28. og 29. oktober 2013 og til foreløpig merknadsbrev datert 19. mars 2014, hvor også rapporten etter tilsynet fulgte vedlagt. Tilsvar fra selskapet er mottatt i brev datert 11. april 2014. Finanstilsynet har avsluttet sine vurderinger etter tilsynet og sender med dette sine endelige merknader.
Finanstilsynet prioriterer tilsyn med de største regnskapsførerselskapene/grupperingene. Disse har mange regnskapsføringsoppdrag, og det er derfor helt sentralt at det foreligger hensiktsmessige retningslinjer og rutiner for virksomheten, og at disse følges.
Som et ledd i Finanstilsynets oppfølgning av at tilsynsenhetene virker på en hensiktsmessig og betryggende måte, jf. finanstilsynsloven § 3, er regnskapsførerselskaper underlagt forskrift av 22. september 2008 nr. 1080 om risikostyring og internkontroll (risikostyringsforskriften). Risikostyringsforskriften skal bidra til at regnskapsførerselskaper løpende vurderer hvilke risikoer som er knyttet til virksomheten og at risikoene håndteres på en forsvarlig måte. Minst årlig skal det gjøres en risikovurdering som skal styrebehandles, jf. risikostyringsforskriften § 8. Se også veiledningen til forskriften i Finanstilsynets rundskriv 3/2009.
2. Regnskapsførerloven
Risikoen for at regnskapsførervirksomheten ikke drives i samsvar med lovgivningen er en vesentlig risiko. Under det stedlige tilsynet ble organiseringen av selskapet og sentrale retningslinjer og rutiner knyttet til regnskapsførerlovgivningen gjennomgått. Det samme gjelder annen relevant lovgivning, herunder hvitvaskingsregelverket. Finanstilsynet foretok stikkprøvekontroll av ni oppdrag for å vurdere om disse var gjennomført i samsvar med regnskapsførerlovgivningen, herunder god regnskapsføringsskikk.
2.1 Kontroll av etterutdanningen (tilsynsrapporten pkt. 1.12)
Manglende etterutdanning kan føre til tilbakekall av autorisasjon som regnskapsfører. Dette vil være av betydning for regnskapsførerforetakets risikovurdering fordi regnskapsførerselskapet er ansvarlig for at det til enhver tid er en autorisert oppdragsansvarlig på hvert oppdrag. Også i andre sammenhenger vil det kunne være av betydning at regnskapsførerselskapet har kontroll med at autoriserte regnskapsførere faktisk oppfyller minstekravet til etterutdanning.
Under tilsynet og i tilsvaret ble det opplyst om at kontrollen av etterutdanningen til regnskapsførere skjer ved at den enkelte autoriserte regnskapsfører legger inn sine etterutdanningstimer i et fastsatt skjema og at bestemte personer i selskapet skal følge opp at de autoriserte til enhver tid oppfyller etterutdanningskravet.
På tilsynstidspunktet hadde regnskapsførerselskapet 36 autoriserte regnskapsførere. Finanstilsynets kontroll viste at en av disse hadde betydelige mangler i etterutdanningen, uten at det fremgikk at dette var fanget opp. Finanstilsynet legger til grunn selskapets tilsvar om at det er innforstått med viktigheten av at de autoriserte i selskapet oppfyller etterutdanningskravet.
2.2 Gjennomføring av hvitvaskingsregelverket (tilsynsrapporten pkt. 1.13)
Regnskapsførerselskapet har rutine som skal sikre etterlevelsen av hvitvaskingsregelverket. Punkt 4 i denne rutinen omhandler tiltak for å sikre at ansatte får tilstrekkelig opplæring. Det ble ikke lagt frem dokumentasjon som viser at de beskrevne opplæringstiltak faktisk blir gjennomført og hvordan. Videre avdekket stikkprøvekontrollene manglende dokumentasjon for at det var gjennomført identitetskontroll.
Av tilsvaret fremkommer det at Amesto AccountHouse AS i det videre vil sørge for at alle deler av hvitvaskingsregelverket blir fulgt i samsvar med de krav som stilles. Finanstilsynet tar selskapets tilsvar til etterretning.
2.3 Oppdragsavtaler (tilsynsrapporten pkt. 3.1.1 og 3.2.1- 3.2.9)
Det må fremkomme av oppdragsavtalen hvilke tjenester regnskapsførerselskapet skal levere, hva som er oppdragsgivers eget ansvar, frister for mottak og eventuell tilbakelevering av bilag samt hvilke fullmakter som skal foreligge for oppdragsgiveren. Tvist om hva som er avtalt er uheldig, både for regnskapsførerselskapet og for oppdragsgiverne. Risikoen for uenighet reduseres når avtalene er klare, fullstendige og oppdaterte.
Avtalene i enkelte av de kontrollerte oppdragene var ikke tilstrekkelig klare med tanke på hvilke tjenester som skulle leveres, frekvens på rapportering, frister m.m. For to oppdrag forelå det ikke dokumentasjon som viser at oppdragsgiver var varslet om bytte av oppdragsansvarlig regnskapsfører.
Finanstilsynet har notert seg informasjonen i selskapets tilsvar om at det er saksbehandler i samarbeid med oppdragsansvarlig som til enhver tid har ansvar for oppfølging av avtalen, herunder at det påses at nødvendig informasjon om endringer umiddelbart blir tatt opp med oppdragsgiver.
2.4 Avstemminger (tilsynsrapportens pkt. 3.1.6 og 3.2.1-3.2.9)
Finanstilsynet avdekket enkelte mindre mangler i avstemmingene, jf. tilsynsrapporten. Finanstilsynet forutsetter at disse forholdene rettes opp for senere årsoppgjør.
2.5 Intern kvalitetskontroll (tilsynsrapporten pkt. 3.1.8 og 3.2.1 - 3.2.9)
Regnskapsførerselskapet har utarbeidet rutiner for intern kvalitetskontroll. Finanstilsynets stikkprøvekontroll viste at kvalitetskontrollen hadde avdekket mangler og/eller avvik i tre av oppdragene. Det fremgikk imidlertid ikke om det var kontrollert at de avdekkede feilene var rettet.
Finanstilsynet forutsetter at det, i tilfeller der det avdekkes mangler eller avvik, også dokumenteres hva som er gjort for å rette opp i forholdet.
Av tilsvaret fremkommer det at rutinen for kvalitetskontroll er ytterligere forsterket for årsoppgjøret 2013, herunder at det er innført en rutine som skal sikre at oppdragsansvarlig skal påse at de feil som avdekkes ved kvalitetskontrollen faktisk blir rettet opp. Finanstilsynet tar selskapets tilsvar til etterretning.
3. IKT-virksomheten
Regnskapsførerselskapet benytter en ekstern tjenesteleverandør for drift av IT-systemene. I tillegg benytter regnskapsførerselskapet et webbasert økonomisystem. Det kjøpes konsulenttjenester fra regnskapsførerselskapets søsterselskap, Amesto Solutions AS.
Regnskapsførerselskapets IKT-systemer er av betydning for å sikre at regnskapsføreroppdragene blir gjennomført i samsvar med de kravene som gjelder, herunder dokumentasjonskravet. IKT-risikoen må identifiseres, vurderes og kontrolleres i samsvar med kravene i risikostyringsforskriften.
Selv om ikke regnskapsførerselskaper er underlagt forskrift av 21. mai 2003 nr. 630 om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften), vil forskriften gi en god veiledning om hvordan IKT-risikoen kan håndteres for å sikre etterlevelse av risikostyringsforskriften.
3.1 Årlig risikovurdering
Under tilsynet ble det opplyst om at det ikke er gjennomført en helhetlig risiko- og sårbarhetsanalyse for foretakets IKT-virksomhet. Risikostyringsforskriften er dermed ikke oppfylt for denne delen av regnskapsførerselskapets virksomhet.
I tilsvaret er det redegjort for at Amesto vil utvide den årlige risikovurderingen til å inkludere IKT. Selskapet bekrefter videre at det vil bli etablert rutiner for håndtering av risiko- og sårbarhetsanalyse i IKT-virksomheten.
3.2 Særlig om utkontraktert virksomhet
Både avtalen om drift av IT-systemene og avtalen om bruk av det webbaserte økonomisystemet innebærer at regnskapsførerselskapet har utkontraktert deler av virksomheten. Det generelle prinsippet om at foretaket uansett har ansvar for utkontraktert virksomheten, har kommet til uttrykk i risikostyringsforskriften § 5 første ledd, første punktum. Dette gjelder uavhengig av hvilken del av virksomheten som utkontrakteres, og uavhengig av hvem det utkontrakteres til. Slike forhold vil imidlertid kunne være av betydning i risikovurderingen.
Forøvrig følger det av risikostyringsforskriften § 5 første ledd at det skal foreligge en skriftlig avtale. Avtalen skal sikre at det foretaket som har utkontraktert virksomhet kan ivareta sitt ansvar for risikostyringen. Dette innebærer blant annet at avtalen må sikre at foretaket gis rett til innsyn i og kontroll med utkontraktert virksomhet.
Avtalen skal videre sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn med virksomheten der Finanstilsynet finner det nødvendig, jf. § 5 annet ledd. Selv om en utkontrakteringsavtale regulerer de minimumskravene som følger av forskriften, vil det avgjørende være om Finanstilsynet mener at tilsynsenhetens utkontrakterte virksomhet, i praksis, drives på en hensiktsmessig og betryggende måte.
For å kunne ivareta ansvaret for den utkontrakterte virksomheten, må foretaket sikre at det selv besitter tilstrekkelig kompetanse til å følge opp utkontrakteringsavtalen. Dette fremkommer uttrykkelig av risikostyringsforskriften § 5 tredje ledd.
I tillegg til risikostyringsforskriften vil også annen regulering være av betydning. For eksempel må det påses at taushetsplikten i regnskapsførerloven § 10 overholdes.
3.3 Endringshåndtering
Det er viktig for virksomheten i regnskapsførerselskapet å sikre at endringer i IT-systemene håndteres på en måte som gir en stabil, planlagt og forutsigbar drift. En forutsetning for å sikre dette er at det foreligger rutiner og at det kontrolleres at disse etterleves. I fastsettelsen av slike rutiner vil det være naturlig å ha oppmerksomhet rettet mot faren for ustabilitet i tidsrom der det er særlig viktig at systemene fungerer, for eksempel rundt årsavslutning, månedsavslutning, myndighetsrapporteringer mv.
Endringer i IT-systemer som initieres av regnskapsførerselskapet selv, vil være enkelt å håndtere. For IKT-virksomhet som er utkontraktert, må avtalen inneholde klare krav til varsling, frister og hvordan regnskapsførerselskapet skal kunne forholde seg til slike endringer. De interne rutinene må tilpasses avtalevilkårene.
Under tilsynet ble det opplyst at regnskapsførerselskapet ikke godkjenner endringer som gjennomføres på IKT-tjenester som er utkontraktert, og som ikke er initiert av regnskapsførerselskapet selv.
Finanstilsynet tar til etterretning selskapets tilsvar om det er, eller vil bli, satt i verk rutiner som dekker de forhold som er tatt opp overfor.
3.4 Katastrofeplaner
Spørsmålet om hvordan regnskapsførerselskapet skal håndtere en situasjon der IKT-driften ikke kan opprettholdes, er helt sentralt for risikovurderingen. Det må derfor foreligge en katastrofeplan som er kjent og tilgjengelig. Planen må også testes på en måte som gir tilstrekkelig trygghet for at katastrofeløsningen virker som forutsatt. En slik katastrofeplan må minst omfatte:
- oversikt over IKT-systemer som inngår i katastrofeplanen
- beskrivelse av katastrofeløsningen
- klare kriterier for oppstart av katastrofeløsningen
- akseptabel lengde på et driftsavbrudd før katastrofeløsningen iverksettes
- prosedyrer som inneholder de nødvendige aktiviteter for å gjenopprette IKT-driften
- oversikt over ansvarsforhold og prosedyrer ved oppstart av katastrofeløsningen
- informasjon til berørte ansatte, leverandører, kunder, offentlige myndigheter og media
Under tilsynet ble det opplyst om at regnskapsførerselskapets katastrofeplaner ikke inkluderer IKT-tjenester som er utkontraktert.
Av tilsvaret fremkommer det at styret har vurdert risikoen som svært lav, og at dette er årsaken til at det ikke har vært utarbeidet en egen katastrofeplan. I det videre prosjektarbeidet vil imidlertid også katastrofeplaner bli inkludert.
3.5 Finanstilsynets vurdering av IKT-virksomheten
Finanstilsynet viser til risikostyringsforskriften § 2, der det fremkommer at risikostyringen og internkontrollen skal tilpasses arten, omfanget av og kompleksiteten i foretakets virksomhet.
Amesto AccountHouse AS er en betydelig aktør i regnskapsførerbransjen og tilbyr et bredt spekter av ulike tjenester. Svikt i regnskapsførerselskapets IKT-systemer vil berøre et stort antall oppdragsgivere, og på en måte som kan få vesentlige konsekvenser for disse. Disse forholdene påvirker kravet til profesjonalitet i foretakets risikostyring og internkontroll.
På denne bakgrunn er Finanstilsynets vurdering at:
- de foreliggende utkontrakteringsavtalene ikke oppfyller kravet i risikostyringsforskriften § 5
- svakheten i avtalene innebærer at regnskapsførerselskapet ikke har det grunnlaget som er nødvendig for å kunne gjøre en forsvarlig risikovurdering av IKT-virksomheten
- regnskapsførerselskapet, gjennom utkontrakteringsavtalene, må sikre seg kunnskap om og kontroll over endringer i utkontraktert IKT-virksomhet
- regnskapsførerselskapets katastrofeplaner må også inkludere utkontraktert IKT-virksomhet.
Finanstilsynet tar som nevnt til etterretning Amestos kommentarer i tilsvaret, og legger til grunn at de beskrevne tiltaksplaner knyttet til IKT virksomheten vil sikre at denne blir ivaretatt på en forsvarlig måte.
4. Oppsummering
Finanstilsynet har ingen vesentlige kommentarer til de av regnskapsførerselskapets rutiner som skal bidra til å sikre at regnskapsføringen skjer i samsvar med de krav som gjelder. Stikkprøvekontrollen avdekket imidlertid enkelte mangler som innebærer at oppdragene ikke fullt ut er gjennomført i samsvar med regnskapsførerlovgivningen og hvitvaskingslovgivningen. Regnskapsførerselskapets risikovurdering og internkontroll må i langt større grad inkludere utkontraktert IKT-virksomhet.
Selskapet har i tilsvaret til Finanstilsynets foreløpige merknader redegjort for de tiltak som er satt i verk på de områder hvor Finanstilsynet konstaterte svakheter under tilsynet. Finanstilsynet tar til etterretning at selskapet i sitt videre arbeid vil sørge for å iverksette rutiner og tiltak på disse områdene. Finanstilsynet har for øvrig merket seg selskapets utfyllende kommentarer til rapporten som ble oversendt sammen med de foreløpige merknadene og har også tatt disse kommentarene til etterretning.
For Finanstilsynet
Bernt Jan Aaland
tilsynsrådgiver
Tommy Bolsøy
seniorrådgiver