Den nye forskriften om risikostyring og internkontroll (risikostyringsforskriften) omfatter autoriserte regnskapsførerselskaper, altså regnskapsførerforetak som drives i selskapsform. Forskriften omfatter ikke autoriserte regnskapsførere som driver sin virksomhet som enkeltpersonforetak. Enkeltpersonforetakene må likevel merke seg at det stilles krav til vurdering av interne rutiner i kapittel 0.2.1 i God regnskapsføringsskikk (GRFS).

Forskriften er i hovedsak tredelt. For det første peker den i kapittel 2 ut konkrete ansvarsoppgaver som tilligger styret og daglig leder. Den andre delen, kapittel 3, tar for seg krav til risikostyring, gjennomføring av internkontroll samt dokumentasjon og rapportering. Den tredje delen, § 10, legger føringer på at valgt revisor skal avgi en årlig bekreftelse til styret på hvorvidt regelverket følges. 

Kredittilsynet arbeider for tiden med et rundskriv som skal gi veiledning til forskriften. Et av forholdene som forventes kommentert i rundskrivet er forholdet til forholdsmessighet. Om dette heter det i forskriften at foretakene skal tilpasse risikostyringen og internkontrollen etter arten, omfanget av og kompleksiteten i foretakets virksomhet. Rundskrivet vil forhåpentligvis foreligge i løpet av desember.

NARFs kvalitetssikringsutvalg vil bruke de første månedene av 2009 til å bearbeide NARFs kvalitetssikringsverktøy KS Komplett, slik at KS Komplett kan brukes aktivt av abonnentene til å tilfredsstille de krav som stilles i forskriften. Blant annet vil KS Komplett gi veiledning og forslag til kvalitetsmål og kvalitetsstrategi, peke ut områder regnskapsførerselskaper bør ha rutiner innenfor, samt gi forslag til internkontrollrutiner. De fleste av rutinene er på plass i KS Komplett allerede. NARF arbeider dessuten for tiden med å utvikle programvaren NARF Quality. Denne programvaren vil lede brukerne gjennom etablering av opplegg for risikostyring og være et verktøy for blant annet å oppfylle forskriftens krav om internkontroll. En av hovedintensjonene med denne programvaren er nettopp å tilby en programvare som utgjør internkontroll i praksis. Programvaren skal være klar for levering i mai 2009.

Nedenfor følger en nærmere gjennomgang av forskriftens innhold.

Styret ansvar

Risikostyringsforskriftens § 3 sier at styret skal påse at foretaket har hensiktsmessige systemer for risikostyring og internkontroll, herunder:

1. at det er klar ansvarsdeling mellom styret og daglig ledelse fastsatt i instrukser for styret og daglig leder
2. at foretaket har en klar organisasjonsstruktur
3. fastsette mål og strategi for foretaket, samt overordnede retningslinjer for virksomheten. Det skal fremgå hvilken risikoprofil foretaket skal ha, samt hvilke risikorammer som gjelder der hvor dette er relevant.
4. fastsette prinsipper for risikostyring og internkontroll for foretaket som helhet og innenfor hvert enkelt virksomhetsområde
5. påse at risikostyringen og internkontrollen blir etablert i samsvar med lover og forskrifter, vedtekter, pålegg fra Kredittilsynet og retningslinjer gitt av styret til administrasjonen, blant annet gjennom behandling av pålagt rapportering fra styret og revisor
6. påse at risikostyringen og internkontrollen er gjennomført og overvåket, blant annet gjennom behandling av rapportene nevnt i forrige punkt
7. avgjøre om foretaket skal ha internrevisjon (sjelden påkrevetfor regnskapsførerselskaper)
8. evaluere sitt arbeid og sin kompetanse knyttet til foretaket risikostyring og internkontroll minimum årlig

Daglig leders plikter

Daglig leders plikter på internkontrollområdet er naturlig nok mer operative. I forskriftens § 4 fremgår at daglig leder skal: 

1. sørge for å etablere en forsvarlig risikostyring og internkontroll på basis av en vurdering av aktuelle risikoer etter retningslinjer fastsatt av styret
2. løpende følge opp endringer i foretakets risikoer, og påse at foretakets risikoer er forsvarlig ivaretatt i samsvar med styrets retningslinjer
3. gi styret relevant og tidsriktig informasjon som er av betydning for foretakets risikostyring og internkontroll, herunder informasjon om nye risikoer
4. påse at foretakets risikostyring og internkontroll er dokumentert
5. påse at risikostyringen og internkontrollen blir gjennomført og overvåket på en forsvarlig måte

Risikostyring og internkontroll

Risikostyringsforskriften krever at selskapet løpende skal vurdere hvilke vesentlige risikoer som er knyttet til virksomheten. Det skal årlig foretas en gjennomgang av vesentlige risikoer, og vurdere tiltak som kan håndtere foretakets identifiserte risikoer på en forsvarlig måte. Ledere på alle vesentlige virksomhetsområder skal løpende vurdere gjennomføringen av internkontrollen. Vurderingene som gjøres skal dokumenteres.

For regnskapsførerbransjen er nok utlønning for kunder, betalingsoppdrag og ikke minst utfakturering for kundene de mest virksomhetskritiske tjenestene et regnskapsbyrå normalt leverer. Et eksempel på vesentlig risiko kan her være hvorvidt regnskapsbyrået klarer å levere slike tjenester til avtalte frister, ved fravær av medarbeidere som håndterer slike arbeidsoppgaver. Tilsvarende gjelder eksempelvis levering av regnskapsrapporter og offentlige oppgaver med tilstrekkelig kvalitet til rett tid. Et annet svært sentralt område for regnskapsførerbransjen gjelder datasikkerhet, blant annet i forhold til om regnskapsførerselskapene har betryggende back up-rutiner. Når regnskapsførerselskapene blir inkludert i risikostyringsforskriften, innebærer dette at disse må ta konkret stilling til hvilke aktiviteter som skal gjennomføres for å forebygge  risikohendelser.

Årlig bekreftelse fra revisor

For de regnskapsførerselskapene som har revisor, skal revisor årlig gi styret en bekreftelse på at

• det i året er gjennomført gjennomgang av vesentlige risikoer
• det i året er foretatt en oppsummerende vurdering av om internkontrollen har vært gjennomført på en tilfredsstillende måte
• pliktig dokumentasjon foreligger
• foretakets rutiner sikrer at den samlede vurdering av risikosituasjonen som er forelagt styret bygger på de risikovurderinger som er foretatt

Krever bevisst holdning til internkontroll

Den nye risikostyringsforskriften omfatter mange av de næringer som er underlagt kontroll fra Kredittilsynet. Dette gjelder foruten regnskapsførerselskaper eksempelvis finansnæringen, verdipapirforetak, eiendomsmeglingsforetak og inkassoforetak.

For regnskapsførerbransjen innebærer det å inngå i risikostyringsforskriften at regnskapsførerselskapene fremover må ha betydelig fokus på mulige risikoområder. I dag finner man krav til å vurdere behovet for interne rutiner i GRFS 0.2.1. Fokuset her er at oppdragsgivers interesser skal ivaretas på en forsvarlig måte, og regnskapsførervirksomheten skal kunne begrunne hvorfor opplegget for utføring av oppdrag anses forsvarlig. Når regnskapsførerselskapene nå i tillegg blir omfattet av risikostyringslforskriften, blir forskjellen først og fremst at det fra 2009 stilles konkrete krav til handlinger fra styrets og daglig leders side. For selskaper som i liten grad har skriftlige rutiner som er fundert på risikoområder, vil forskriftskravet innebære en ikke ubetydelig jobb.  

Det må forventes at kvalitetskontrollene både fra NARF og Kredittilsynet vil sette fokus på det arbeid selskapene gjør på dette feltet.

Som nevnt innledningsvis trer forskriften i kraft fra årsskiftet. Regnskapsførerselskapene skal oppfylle kravene senest pr utgangen av 2009. Regnskapsførerselskapene har med andre ord fått 2009 på seg til å innordne seg forskriftskravene. 

Les hele forskriften her.