Utkontraktering i revisjonsforetak - ekstern drift av IKT-systemer mv.
Finanstilsynet har oppdatert sin veiledning om utkontraktering i nytt rundskriv nr. 7/2021. Her får du en oversikt over det nye rundskrivet og betydningen for revisjonsforetak.
12.01.2021: Finanstilsynet har fastsatt nytt rundskriv 7/2021 om utkontraktering. Rundskrivet oppdaterer Finanstilsynets veiledningen som følge av ny forskrift om unntak fra meldeplikt ved utkontraktering av virksomhet. Du finner mer om dette nedenfor i avsnittet om oversikt over avtaler om utkontraktering. For øvrig videreføres tidligere veiledning i rundskriv 3/2020.
Bestemmelser om utkontraktering i lov og forskrift
- Revisorloven § 7-1 tredje ledd bokstav c: Kvalitetsstyringen i et revisjonsforetak skal omfatte retningslinjer og rutiner for å sikre at utkontraktering av funksjoner ikke svekker kvalitetsstyringen eller muligheten til å føre tilsyn med virksomheten.
- Revisorloven § 9-4 femte ledd: Utkontraktering av oppgaver er uten betydning for revisors ansvar og plikter.
- Finanstilsynsloven § 4 c: Meldeplikt ved utkontraktering mv.
- Forskrift om meldeplikt ved utkontraktering av virksomhet mv: Forskriften gir unntak for meldeplikt for revisjonsforetak, men krever at det føres en oppdatert oversikt over avtaler om utkontraktering.
- Risikostyringsforskriften § 5: Ansvar for risikostyring og internkontroll også der deler av virksomheten er utkontraktert. Skal sikres med skriftlig avtale med rett til innsyn for foretaket selv og Finanstilsynet. Må besitte tilstrekkelig kompetanse til å håndtere utkontrakteringsavtalen.
Hva som regnes som utkontraktering
Rundskrivet gjelder utkontraktering fra alle foretak som Finanstilsynet fører tilsyn med. Revisjonsforetak kan merke seg følgende:
- Det er utkontraktering dersom et revisjonsforetak benytter en oppdragstaker til oppgaver som er nødvendige for å oppfylle revisorlovens eller revisjonsstandardenes krav til revisjonsutførelsen. Dette gjelder for eksempel utarbeiding av analyser, konsultasjoner, varetelling, eventuell oppdragskontroll før signering av revisjonsberetning m.m. Tilsvarende gjelder for regnskapsførerselskaper.
- Hvis foretaket har programvare på egen server, men setter bort driften av serveren til en oppdragstaker, innebærer dette utkontraktering av IKT-virksomhet.
- Avtale om rett til bruk av programvare, plattform og/eller infrastruktur som driftes av oppdragstaker på oppdragstakerens servere, anses som utkontraktering av foretakets IKT-virksomhet. Dette inkluderer skybaserte revisjonsverktøy.
Følgende administrative eller driftsrelaterte oppgaver er utkontraktering:
- Bruk av ekstern regnskapsfører for hele eller deler av regnskapsføringen.
- Bruk av oppdragstaker til inndriving av fordringer.
- Bruk av oppdragstaker til produksjon og utsendelse av fakturaer.
- Utkontraktering av oppgaver etter hvitvaskingsloven er omtalt i Finanstilsynets generelle rundskriv om hvitvaskingsloven og i hvitvaskingsrundskrivene for revisorer og regnskapsførere.
Vurderinger som må gjennomføres før utkontraktering
Foretaket må vurdere om det er forsvarlig å utkontraktere de aktuelle oppgavene og hvilke risikoer utkontrakteringen av de enkelte oppgavene vil innebære for foretakets virksomhet.
Foretakets vurdering må også inkludere muligheten til å terminere avtalen uten at det skaper vesentlige forstyrrelser i virksomheten, og på en måte som sikrer oppfyllelsen av lovkrav og forpliktelsene overfor kundene.
En forsvarlig vurdering av oppdragstaker og innholdet av utkontrakteringsavtalen er viktige risikoreduserende tiltak. Før en utkontraktering må foretaket vurdere oppdragstaker og også underleverandører der dette er aktuelt. Rundskrivet nevner en rekke forhold som kan ha betydning.
Omfanget av risikovurderinger og risikoreduserende tiltak vil variere avhengig av arten, omfanget av og kompleksiteten i foretakets virksomhet, og hvilken betydning de utkontrakterte oppgavene har for foretakets virksomhet. Risikovurderingene må dokumenteres.
For mindre foretak kan utkontraktering av kontrolloppgaver være nødvendig for å oppnå tilstrekkelig uavhengighet fra den operasjonelle virksomheten. For eksempel vil en revisor som driver alene, ikke kunne oppfylle lovkravet til etablering av et forsvarlig internt kvalitetskontrollsystem uten å utkontraktere de sykliske kontrollene som inngår som ledd i revisjonsselskapets overvåking av egen revisjonsvirksomhet. Dersom det ikke er andre enn daglig leder som kan ivareta kontrollfunksjonen, må oppdragstaker også rapportere til styret, i tillegg til å rapportere til daglig leder som ansvarlig for kontrollfunksjonen.
Utkontrakteringsavtalen
Utkontrakteringsavtalen må gi foretaket de rettighetene som er nødvendige for at utkontrakteringen skal anses som forsvarlig. Avtalen må blant annet sikre at utkontraktert virksomhet til enhver tid drives i samsvar med det regelverket som gjelder for foretaket og foretakets virksomhet, og at Finanstilsynet kan føre tilsyn.
Revisjonsforetak må ha en oversikt over avtaler om utkontraktering
Revisjons- og regnskapsførerforetak skal ha en oversikt over avtaler om utkontraktering, men skal ikke, slik som banker mv, melde inn viktige utkontrakteringsavtaler til Finanstilsynet. Se finanstilsynsloven § 4 c og forskrift om unntak fra meldeplikt ved utkontraktering av virksomhet.
Avtaler som skal med i oversikten
Oversikten skal inkludere alle avtaler om utkontraktering av virksomhet. I oversikten må du blant annet ha med
- avtaler om skybaserte IKT-tjenester (SaaS) og datalagring
- avtale med et annet revisjonsforetak om å utføre oppdragskontroll eller sykliske inspeksjoner
- avtale med et annet revisjonsforetak om å bistå med kapasitet ved behov
Finanstilsynets omtaler dette nærmere i rundskrivet.
Opplysninger om den enkelte avtalen
Oversikten skal inneholde følgende opplysninger om den enkelte avtalen:
- navn og organisasjonsnummer på oppdragstaker
- opplysninger om virksomheten/oppgavene som utkontrakteres
- opplysninger om oppdragstaker driver virksomhet i Norge, via norsk selskap, norsk filial av utenlandsk selskap eller via grensekryssende virksomhet. Dersom oppdragstaker er etablert i utlandet bes det opplyst hvilket land foretakets hovedkontor er etablert i
- navn og organisasjonsnummer på underleverandører som oppdragstaker bruker ved utførelse av oppgaver på vegne av foretaket. Dersom underleverandør er etablert i utlandet bes det opplyst hvilket land
- avtalens oppstarts- og opphørsdato, herunder opplysninger om rullerende avtaleperiode
- hvordan foretaket vil følge opp sitt ansvar for den utkontrakterte virksomheten, samt foretakets risikovurdering av utkontrakteringen
Risikostyring og internkontroll
Styret må fastsette prinsipper og overordnede retningslinjer for hvordan utkontraktering skal skje, og hvordan utkontraktert virksomhet skal følges opp og overvåkes. I samsvar med prinsippene og retningslinjene styret har fastsatt, har daglig leder ansvar for å iverksette tiltak som sikrer styring og kontroll med utkontraktert virksomhet.
For å sikre at all utkontraktert virksomhet drives forsvarlig, må det etableres retningslinjer og rutiner for foretakets utkontraktering som skal ligge til grunn for den enkelte utkontrakteringsavtale. Rundskrivet gir nærmere anvisning på hva som må behandles i retningslinjene og rutinene.
Unntaksvis kan det aksepteres at foretak med begrenset virksomhet og med få og lite komplekse utkontrakteringsavtaler, kan unnlate å fastsette skriftlige retningslinjer og rutiner for utkontraktering. Dette gjelder for eksempel regnskapsførerforetak eller revisjonsforetak der virksomheten drives av en person alene. Selv om foretaket ikke har skriftlige retningslinjer og rutiner for utkontraktering, må foretaket dokumentere en risikovurdering og hvilke kontrolltiltak som er iverksatt.
Foretaket må ha kapasitet og kompetanse til å inngå, følge opp og avvikle utkontrakteringsavtaler.