Kravspesifikasjoner ved utkontraktering av system- og driftsoppgaver fra regnskapsvirksomheten til andre
Dette vil hjelpe regnskapsfører å ivareta sitt ansvar på en enkel og oversiktlig måte.
Regnskap Norge og systemleverandørene til bransjen tar tak i resultatene fra tematilsynet om IKT fra Finanstilsynet og introduserer kravspesifikasjoner ved utkontraktering av system og drift.
Finanstilsynet gjennomførte i 2015 et temabasert tilsyn i regnskapsbransjen rundt IKT-risiko i regnskapsvirksomheter. En del av dette tilsynet omhandlet regnskapsførers rettigheter, utøvelse av kontroll og innsikt når IT-systemer eller IT-drift ble utkontraktert til andre. Utkontraktering innebærer at deler av virksomheten, herunder IT, utføres av andre enn regnskapsførerselskapet selv. Utkontraktering er særlig regulert i risikostyringsforskriften.
I oppsummeringen fra Finanstilsynet skrives:
«Tematilsynet gir også grunn til å tro at foreliggende avtaler mellom regnkapsførerselskapene og leverandører av IKT-systemer som selskapene benytter i sin virksomhet, ikke i tilstrekkelig grad gir regnskapsførerselskapene de rettigheter som er nødvendige for at de skal kunne oppfylle sine plikter etter lovgivningen, herunder ansvaret for risikostyring og internkontroll.»
Resultatene fra tematilsynet medførte at Regnskap Norge, Regnskap Norge IT-forum - et forum med systemleverandører til regnskapsbransjen - og advokatfirmaet Ræder igangsatte et arbeid for å utvikle standardiserte krav ved utkontraktering. Målet med arbeidet var å gjøre det lettere for regnskapsvirksomheten å sikre samsvar med regelverket ved utkontrakteringen.
Arbeidet med dette ble ferdigstilt i 2017, anerkjent av alle vesentlige leverandører av regnskapssystemer samme år og publiseres første gang i 2018.
Kravspesifikasjoner med tilhørende veiledninger
Det er utarbeidet to kravspesifikasjoner, en for utkontraktering av system og en for utkontraktering av drift. Kravspesifikasjonene skal benyttes der hvor regnskapsvirksomheten benytter ekstern systemleverandør og/eller ekstern driftsleverandør i forbindelse med leveranse av regnskapsoppdrag. For brukere av skysystemer, skal normalt begge kravspesifikasjoner brukes overfor samme leverandøren da system og drift er en samlet tjeneste.
Kravspesifikasjonene kommer ikke til anvendelse hvor oppdragsgiver selv eier lisenser til bruk av systemene og/eller selv drifter systemene. Det samme gjelder hvor regnskapsvirksomheten har systemer og drift internt på servere i egen virksomhet. I disse situasjonene vil kravspesifikasjonene kunne være en hjelp til utvikling av god intern kontroll.
Det er utarbeidet veiledning til begge kravspesifikasjonene for å tydeliggjøre ambisjonsnivået på kravene mellom regnskapsvirksomheten og leverandøren.
Implementering
Kravspesifikasjonene, og senere oppdateringer, vil bli publisert på www.regnskapnorge.no/kravspesifikasjon_utkontraktering. I de kommersielle avtaler mellom regnskapsvirksomheten og leverandøren av system- og/eller driftstjenester må det henvises til en eller begge kravspesifikasjoner, og at leverandøren gjennom avtalen tiltrer en eller begge disse. Kravspesifikasjonene skal ikke tilpasses. Eventuelle tilpasninger skjer i de kommersielle avtalene.
Kravspesifikasjonene blir dermed en del av avtaleverket mellom regnskapsvirksomheten og leverandøren. På denne måten kan regnskapsvirksomheten sikre sine rettigheter.
Vi anbefaler alle våre medlemmer om å be om inkludering av kravspesifikasjonene i de kommersielle avtalene så raskt som mulig for å sikre regnskapsvirksomhetens rettigheter på en god og effektiv måte.
Eskalering av innsyn
En av de mest sentrale diskusjoner vi har hatt i arbeidet med kravspesifikasjonene er regnskapsvirksomhetens og tilsynsmyndighetenes avtalte innsynsrett hos system- og driftsleverandører, og da spesielt fysisk innsyn i driftsmiljøet.
Regnskapsvirksomheten skal legge til grunn at leverandøren følger kravspesifikasjonen inntil det er signaler om annet. Ved behov om bedre forståelse for system og drift, eller å undersøke en konkret hendelse, er den normale eskaleringen at regnskapsvirksomheten først ber om forklaring og dokumentasjon på relevante rutiner, prosesser og avvikshåndtering. Om dette ikke avklarer forståelsen eller situasjonen, kan regnskapsvirksomheten deretter innhente ytterligere dokumentasjon for at rutiner og prosesser fungerer. Dette skjer gjennom å få innsyn i eksempelvis logger mv på skjerm, rapporter og dokumentasjon av annen intern kontroll. Dette skal normalt være tilstrekkelig innsyn.
I ytterst få og alvorlige tilfeller av feil og driftsavbrudd kan fysisk innsyn kreves. Dette skal etter Regnskap Norges oppfatning kun være aktuelt i situasjoner hvor det foreligger høy risiko for lovbrudd samt høy risiko for betydelig tap i form av penger og omdømme. Fysisk oppmøte hos leverandør for å ha generell «oversikt og kontroll» er derfor ikke nødvendig.
Forbedringsinnspill og spørsmål
Hvis du har innspill til forbedringer av kravspesifikasjonene, eller har generelle spørsmål, send en e-post til post@regnskapnorge.no.