Disse kontrollpunktene må du være obs på!

Her finner du en veiledning til de kontrollområdene som topper statistikken over mest forekommende feil.

Kvalitetskontroll fra Regnskap Norge bør ikke by på mange overraskelser. Innhold og omfang gjøres kjent for regnskapsbedriften flere måneder i forkant av selve kontrolldagen. Til tross for det erfarer vi at de samme sjekkpunktene ofte ender med anmerkninger hvert år. Hensikten med denne artikkelen er å vise hvordan du kan unngå feil og mangler på disse gjengangerne.

Løsningsforslagene er basert på dokumenter fra vårt eget kvalitetssikringsverktøy KS Komplett. Dette er et abonnementsprodukt, men du kan laste ned PDF-versjon av de relevante arbeidsdokumentene i tabellene nedenfor. Vi gjør oppmerksom på at det finnes flere måter å oppfylle kravene på, og du står fritt til å benytte andre systemer og løsninger. 

FORUTSETNINGER FOR Å PÅTA SEG / BEHOLDE OPPDRAG – STEG 4 I KONTROLLSKJEMA

Nær 1 av 4 får påpekt mangel på dette kontrollområdet. Den vanligste feilen er at regnskapsbedriften ikke har utarbeidet en beredskapsplan for håndtering av vesentlige driftsavbrudd i IT-systemene.

Beredskap er et generelt begrep som handler om å være forberedt på en kristisk hendelse eller situasjon. For eksempel anbefaler direktoratet for samfunnsikkerhet og beredskap (DSB) at folk bør være forberedt på at det kan skje noe med sentrale samfunnsfunksjoner som strøm, mobilnett, vann og avløp eller matforsyning. Deres råd er at du går til innkjøp av enkelte basisvarer (nok til at du og din familie klarer dere på egen hånd i tre dager) og oppretter ditt eget beredskapslager.

Det som forventes i kvalitetskontrollen er at regnskapsbedriften faktisk har vurdert beredskapen på IT-området, og at denne vurderingen er dokumentert. Altså hvilke kriser kan potensielt oppstå, hvem har ansvaret for hva i en krisesituasjon, hvem skal vi kontakte og hva er akseptabel responstid. Slike vurderinger kan tilpasses regnskapsbedriftens størrelse og kompleksitet. 

OPPDRAGSDOKUMENTASJON – STEG 6 I KONTROLLSKJEMA

Regnskapsbedriften har plikt til å formalisere alle kundeforhold gjennom relevant avtaleverk og nødvendige fullmakter. Den skal også gjennomføre risikobaserte kundetiltak og foreta en vurdering av kundens interne rutiner. 

De aller fleste inngår oppdragsavtaler og innhenter nødvendige fullmakter ved etablering av kundeforhold, men det syndes noe mer mot risikobaserte kundetiltak. Disse tiltakene er ment å identifiserere hvem som står bak et foretak, og du må vurdere risikoen for at transaksjoner kan knyttes til hvitvasking. Vurderingen skal foretas før eventuell etablering av kundeforhold og den skal dokumenteres.

Risikobaserte kundetiltak kan gjennomføres ved å fylle ut et standardisert dokument i KS Komplett. Det kommer i 2 versjoner. Hvilken versjon du skal benytte er avhengig av om kundebedriften er organisert som et enkeltpersonforetak eller en annen organisasjonsform. Dokument 2.4.3.1 skal benyttes av enkeltpersonforetak (fysisk person), og dokument 2.4.3.3 skal benyttes av alle andre organisasjonsformer (juridisk person).

Ferdig utfylte dokumenter skal deretter oppbevares sammen med øvrig oppdragsdokumentasjon. 

Regnskapsbedriftens utførelse av oppdraget er i stor grad basert på informasjon, materiell og dokumentasjon som blir overlevert fra kunden. Regnskapsfører har derfor plikt til å vurdere de av kundens interne rutiner som er vesentlig for forsvarlig oppdragsutførelse i samsvar med oppdragsavtale og krav gitt i eller i medhold av lov. Vurderingen skal dokumenteres og oppbevares som del av oppdragsdokumentasjonen. 

Første steg kan i så måte være å benytte dokument «2.5.1 oppdragsgivers rutiner» i KS Komplett. 

Andre steg kan være å benytte dokument «2.5.1.1 sjekkliste kundens interne rutiner» i KS Komplett. Dette dokumentet inneholder flere seksjoner, men du skal kun benytte de som er relevante for den respektive kunde.

Vurderingen av kundens interne rutiner skal omfatte alle vesentlige forhold som har betydning for den materielle kvaliteten på regnskapet. 

RAPPORTERINGSRUTINER – STEG 9 I KONTROLLSKJEMA

I henhold til Regnskap Norges teknologiundersøkelse kan 8 av 10 regnskapsbedrifter tilby kundene online tilgang til egne regnskapsdata og rapporter. Dersom kunden faktisk har løpende tilgang til oppdatert og relevant regnskapsinformasjon, og iht. oppdragsavtale kan hente ut periodiske regnskapsrapporter basert på avstemte tall, kan dette bety at rapporteringsplikten langt på vei er innfridd. Det er likevel et absolutt krav at regnskapsfører samtidig etterlever plikten til å kommentere regnskapsrapportene.

I en kontrollsituasjon må regnskapsbedriften fremlegge dokumentasjon på regnskapsrapportenes innhold og oppsett, at rapportene tilgjengligjøres overfor kunden iht. frekvens angitt i oppdragsavtale, at rapportene bygger på periodiserte og avstemte tall, og ikke minst hente frem eksempler på rapporter hvor regnskapsbedriften faktisk gjør kunden oppmerksom på relevante forutsetninger og/eller påpeker eventuelle svakheter, feil eller uklarheter i kundens interne systemer og rutiner.       

KVALITETSKONTROLLRUTINER – STEG 10 I KONTROLLSKJEMA

Overordnet intern kvalitetskontroll handler om at regnskapsbedriften må kunne dokumentere at de har rutiner og systemer som sikrer at oppdragsavtalen, og krav gitt i eller i medhold av lov, faktisk blir etterlevd. I praksis tilsier dette at du må kunne legge frem dokumentasjon på at regnskapsbedriften faktisk gjør det de er pålagt å gjøre iht. kapittel 3, 4, 5 og 6 i GRFS. 

Intern kvalitetskontroll skal gjennomføres minimum en gang per år, og den skal utføres på oppdragsnivå (dvs samtlige kunder). Kontrollen omfatter i tillegg en vurdering av medarbeideres bidrag dersom andre enn oppdragsansvarlig har deltatt i oppdragsutførelsen. 

Internkontroll på hvert enkelt oppdrag behøver ikke å kreve mye tid og ressurser dersom regnskapsbedriften løpende etterlever pliktene i kapittel 3 til 6 i GRFS. Internkontroll bygger således kun på oppgaver som uansett skal gjennomføres og dokumenteres.

Dersom kun oppdragsansvarlig har arbeidet med oppdraget skal kontrollen omfatte de pliktige sjekkpunktene (9 stk) iht GRFS 7.1. Hvis det ikke er endringer, og alle krav til oppdragsutførelse etterleves på en god måte, skal kontrollen likevel gjennomføres. Hensikten er at man faktisk har foretatt en vurdering av behovet for oppdateringer og kvaliteten på oppdragsutførelsen overfor samtlige kunder. 

Dersom andre enn oppdragsansvarlig har deltatt i oppdragsutførelsen skal kontrollen omfatte en vurdering av de oppgavene som medarbeider(e) har utført. Hvor ofte en slik kontroll skal gjennomføres, samt hvor omfattende og grundig den skal være, må ses i sammenheng med medarbeiders kvalifikasjoner og oppdragets kompleksitet. 

Dette skal tolkes slik at medarbeidere med solid kompetanse, lang erfaring og høy grad av selvstendighet behøver ikke kontroll verken ofte eller grundig. Det er tilstrekkelig at kvalitetsansvarlig tar stikkprøver, stiller fornuftige kontrollspørsmål, og ut fra rimelighetsvurderinger er i stand til å dokumentere kvaliteten på utført arbeid.