Azets Insight AS

Finanstilsynet anbefalte selskapet å iverksette ytterligere sikkerhetstiltak for elektronisk informasjon med særlig beskyttelsesbehov, og å stille konkrete krav til oppdragsgiverne om datakvalitet, sikring av e-postservere og styring av tilganger/fullmakter i kundenes egne systemer. Grensesnittet mellom regnskapsførerens systemer og kundens systemer var ikke tilstrekkelig regulert. Selskapet benytter IKT-løsninger valgt sentralt for Azets-konsernet.

I tilsynsrapporten ble selskapet bedt om å vurdere ytterligere sikkerhetstiltak vedrørende elektronisk informasjon som trenger særlig beskyttelse. Videre anbefalte Finanstilsynet at selskapet stiller konkrete krav til oppdragsgiverne om kvalitet, sikring av data og e-postservere, samt å stille krav til oppdragsgivernes kontroll og styring av tilganger og fullmakter i sine systemer.

Selskapet hadde utkontraktert deler av regnskapsførerarbeidet til tilknyttede selskaper i utlandet, men den siste fullstendige risikovurderingen av denne virksomheten var fra oppstartstidspunktet i 2013 – fem år gammel på tilsynstidspunktet. Risikostyringsforskriften § 5 krever at risikostyring og internkontroll også omfatter utkontraktert virksomhet. Enkelte risikoer var nevnt i det generelle risikostyringsdokumentet for 2017, men det manglet en egen og fullstendig risikovurdering av det utkontrakterte arbeidet.

Selskapet har utkontraktert deler av regnskapsføringsarbeidet til tilknyttede selskaper i utlandet. Enkelte risikoer forbundet med utkontraktert virksomhet er nevnt i risikostyringsdokumentet, men det er ikke foretatt en egen og fullstendig risikovurdering av arbeidet som utføres her. Det ble imidlertid fremlagt en risikovurdering av utkontraktert virksomhet som ble gjennomført ved oppstarten av samarbeidet i 2013.

Gjennomgang av 20 utvalgte enkeltoppdrag ved fire avdelingskontorer viste at etterlevelse av rutinene kunne variere noe mellom avdelingene. Oppdragene ble i det alt vesentlige gjennomført i samsvar med krav etter regnskapsførerloven og god regnskapsføringsskikk, men de avdekkede manglene indikerte svakheter i intern opplæring, oppfølging og standardisering på tvers av geografisk spredte kontorer.

Gjennomgang av enkeltoppdragene viste at oppdragene i det alt vesentlige ble gjennomført i samsvar med de krav som følger av regnskapsførerloven, herunder god regnskapsføringsskikk, samt regnskapsførerselskapets egne rutiner. Det ble imidlertid avdekket enkelte mangler, bl.a. at etterlevelse av rutinene kunne variere noe blant avdelingene.

Finanstilsynet anbefalte selskapet å iverksette ytterligere sikkerhetstiltak for elektronisk informasjon med særlig beskyttelsesbehov, og å stille konkrete krav til oppdragsgiverne om datakvalitet, sikring av e-postservere og styring av tilganger/fullmakter i kundenes egne systemer. Grensesnittet mellom regnskapsførerens systemer og kundens systemer var ikke tilstrekkelig regulert. Selskapet benytter IKT-løsninger valgt sentralt for Azets-konsernet.

I tilsynsrapporten ble selskapet bedt om å vurdere ytterligere sikkerhetstiltak vedrørende elektronisk informasjon som trenger særlig beskyttelse. Videre anbefalte Finanstilsynet at selskapet stiller konkrete krav til oppdragsgiverne om kvalitet, sikring av data og e-postservere, samt å stille krav til oppdragsgivernes kontroll og styring av tilganger og fullmakter i sine systemer.

Selskapet hadde utkontraktert deler av regnskapsførerarbeidet til tilknyttede selskaper i utlandet, men den siste fullstendige risikovurderingen av denne virksomheten var fra oppstartstidspunktet i 2013 – fem år gammel på tilsynstidspunktet. Risikostyringsforskriften § 5 krever at risikostyring og internkontroll også omfatter utkontraktert virksomhet. Enkelte risikoer var nevnt i det generelle risikostyringsdokumentet for 2017, men det manglet en egen og fullstendig risikovurdering av det utkontrakterte arbeidet.

Selskapet har utkontraktert deler av regnskapsføringsarbeidet til tilknyttede selskaper i utlandet. Enkelte risikoer forbundet med utkontraktert virksomhet er nevnt i risikostyringsdokumentet, men det er ikke foretatt en egen og fullstendig risikovurdering av arbeidet som utføres her. Det ble imidlertid fremlagt en risikovurdering av utkontraktert virksomhet som ble gjennomført ved oppstarten av samarbeidet i 2013.

Gjennomgang av 20 utvalgte enkeltoppdrag ved fire avdelingskontorer viste at etterlevelse av rutinene kunne variere noe mellom avdelingene. Oppdragene ble i det alt vesentlige gjennomført i samsvar med krav etter regnskapsførerloven og god regnskapsføringsskikk, men de avdekkede manglene indikerte svakheter i intern opplæring, oppfølging og standardisering på tvers av geografisk spredte kontorer.

Gjennomgang av enkeltoppdragene viste at oppdragene i det alt vesentlige ble gjennomført i samsvar med de krav som følger av regnskapsførerloven, herunder god regnskapsføringsskikk, samt regnskapsførerselskapets egne rutiner. Det ble imidlertid avdekket enkelte mangler, bl.a. at etterlevelse av rutinene kunne variere noe blant avdelingene.