Kompetanse og kapasitet innen IKT

Vi er sårbare når det gjelder avhengighet av enkeltpersoner eller enkeltleverandører i utviklingen og driften av eksisterende IKT-systemer. Ved frafall av en eller flere ressurser, vil driften være skadelidende i form av forsinkelser, feil eller lavere kvalitet på utført arbeid.

Vi har sikret at vi har interne / eksterne backup-personer på våre IKT-løsninger som kan videreføre ordinær drift så langt det lar seg praktisk gjennomføre ved unntak i daglig drift.

Alle systemer leveres og driftes av eksterne profesjonelle parter. Vi har i tillegg driftsavtale og supportavtale som dekker risikoen for feil ved driftsavbrudd.

Kompetanse på egne IKT-systemer er svak, noe som igjen kan medføre at systemene konfigureres eller brukes feil i oppdragsgjennomføringen.

Vi har tilgang til intern / ekstern kompetanse på systemene våre for å sikre rett konfigurering og bruk i oppdragsgjennomføringen.

Vi gjennomfører løpende opplæring i systemene for ansatte for å sikre korrekt bruk. Vi har et opplæringsprogram for nye medarbeidere.

Ansvaret for IKT er ikke plassert og definert i regnskapsbedriften med de følger at risiko for brudd på lover, regler mv er tilstede.

Ansvaret for IKT er definert og klart angitt til en eller flere navngitte personer. Med ansvaret følger en oversikt over hva ansvaret innebærer og oppgaver som skal løses.

IKT-leverandør har selv ikke kapasitet eller kompetanse nok til å gjennomføre oppgaver på vegne av regnskapsbedriften.

Vi har avtalefestet tilgang til ressurser hos leverandør som sikrer stabilitet i drift og tilgang til ekstra ressurser ved driftsavbrudd.

Forsikringer IKT / Driftsavbrudd

Kostnader forbundet med vesentlige driftsavbrudd på IKT-løsninger er ikke (tilstrekkelig) forsikret.

Avbruddsforsikring er tegnet basert på akseptert maksimal nedetid på systemene. Forsikringsvilkårene er dekkende for de behov regnskapsbedriften har og hva som er avtalt om tilgjengelighet med kundene.

Ved tap av driftsutstyr, dekker ikke forsikringen vår innkjøp av nytt utstyr, konfigurering og tilbakelegging av data.

Utstyr er forsikret. Avbruddsforsikring dekker øvrige kostnader for gjenopprettelse.

IKT-arkitektur, systemer og nettverksløsninger

Vi har mangelfull oversikt over våre IT-løsninger slik at ikke alle risikoelementer kan identifiseres og kontrolleres.

Vi har en oversikt over alle systemer, nettverk, skyløsninger, databaser mv i bruk i vår virksomhet. Denne oppdateres minst årlig og danner grunnlag for risikoanalysen.

Vår IKT-arkitektur svarer ikke på våre egne og kunders behov innen stabil produksjon og sikker behandling av informasjon. De tjenester vi tilbyr understøttes ikke i tilstrekkelig grad av systemene vi har, med de følger at feil eller forsinkelser kan oppstå i regnskapsproduksjonen.

Det gjennomføres jevnlig en behovsanalyse for virksomheten sett i relasjon til våre og kundenes behov for IKT-tjenester og sikkerhet. Systemer og rutiner tilpasses de behov vi og kundene har.

Ved bruk av tredjepartsløsninger i skyen kan vi risikere å låse data til en løsning med begrensede muligheter for å flytte data og videreføre regnskapsoppdraget på alternativ løsning.

Vi har avtalefestet adgang til å flytte data fra en IKT-løsning til en annen løsning. Uttrekk av data fra eksisterende leverandør er testet.

IKT-løsningene dekker ikke grunnleggende krav til dokumentasjon, spesifikasjoner, kontrollspor, utskrift på papir og sikker oppbevaring.

Alle relevante løsninger er vurdert i forhold til eksempelvis regnskapsførerloven, GRFS, bokføringsloven, personopplysningsloven, arkivloven mv før implementering skjer.

Avtaleverk ved utkontraktering av systemer som behandler regnskapsopplysninger og oppdragsdokumentasjon

Vi har ikke avtaler med alle relevante leverandører som behandler eller lagrer enten regnskapsopplysninger, regnskapsmateriale, personopplysninger eller oppdragsdokumentasjon.

Vi gjennomfører avtalerevisjon årlig for å se at alle relevante leverandører er dekket med en avtale om utkontraktering. Avtalene er dekkende for at vi skal ivareta vårt ansvar overfor oppdragsgiver.

Vi har ikke intern kompetanse til å vurdere våre leverandøravtaler, noe som gjør at vi blir usikre på hvorvidt lover og regler vi er underlagt som regnskapsførervirksomhet er tilstrekkelig dekket.

Vi lar eksterne advokater gå igjennom våre avtaler før signering for å sikre at vårt ansvar som oppdragsansvarlige regnskapsførere blir tilstrekkelig ivaretatt.

Vi konsulterer Datatilsynet ved behov.

Vårt avtaleverk med IKT-leverandører tar ikke tilstrekkelig hensyn til bransjens særskilte behov som eksempelvis regnskapsførerloven, GRFS, bokføringsloven, personopplysningsloven, arkivloven mv. Regnskapsbedriften driver, med bruk av leverandører, ikke etter gjeldende regler.

Vi gjennomfører avtalerevisjon hvert år for å bringe avtaleverket i tråd med regelverkets krav til utførelse av regnskapsoppdrag.

Avtaleverket er ikke oppdatert. Avtalene reflekterer ikke den aktuelle IKT-arkitektur som er i drift, eller tar ikke hensyn til nye risikoelementer / tjenester.

Vi gjennomfører avtalerevisjon hvert år for å bringe avtaleverket i tråd med gjeldende rutiner, tjenester og nye risikoområder.

Leverandør får urettmessig tilgang til konfidensiell eller hemmelig kundeinformasjon, herunder personopplysninger.

Kun godkjente og identifiserbare personer hos leverandør har tilgang til kundeinformasjon for systemtekniske årsaker, herunder driftssupport.

Regnskapsbedriften selv, kontrollmyndigheter og andre kontrollinstanser får ikke innsyn i rutiner, regnskapsopplysninger eller oppdragsdokumentasjon hos leverandøren. Regnskapsbedriften kan heller ikke utøve kontroll med den utkontrakterte virksomhet.

Innsynsrett for bedriften og kontrollinstanser er avtalefestet med alle relevante leverandører av IT-løsninger.

Bruk av kundens systemer for oppdrags-gjennomføring

Kunder, eller kundens leverandører, avskjærer tilgang til regnskapsopplysninger eller oppdragsdokumentasjon i kundens systemer og hindrer utførelse av oppdraget.

Vi har avtalefestet tilgang til regnskapsmateriale og / eller oppdragsdokumentasjon etter avsluttet / avbrutt kundeforhold.

Kundene betaler ikke lisenser slik at kunde og regnskapsfører mister tilgang til systemer.

Vi har avtalefestet at vi ikke kan holdes skadelidende for kostnader som oppstår med basis i denne situasjonen.

IT-sikkerhet

Manglende sikkerhetspolicy i bedriften medfører sikkerhetsbrudd siden de ansatte ikke vet hvordan informasjon skal behandles på en sikker måte.

Vi har etablert og vedlikeholder en sikkerhetspolicy i bedriften. Vi har gjort policyen kjent hos alle ansatte, og for de som ansettes som nye i bedriften.

Vi kjører årlig en holdningskampanje for å sikre de ansattes bevissthet på IT-sikkerhet.

Andre enn relevante personer har tilgang til sensitiv oppdrags-informasjon. Det kan være vikarer, tidligere ansatte, underleverandører eller ansatte i regnskapsbedriften som ikke jobber på oppdraget. Tilgangen kan også være for ansatte hos kunden som har tilgang til bedriftens systemer.

Alle tilganger som er gitt til midlertidig ansatte, tidligere ansatte eller tidligere kundeansatte slettes når behovet for tilgang er borte.

Alle aktive tilganger gjennomgås jevnlig for å sikre at kun relevante personer har tilgang til relevant oppdragsinformasjon.

Kundetilganger gjennomgås særskilt i samarbeid med kundens representant.

Det fremkommer ikke klart av systemene hvem som har registrert opplysninger i systemene, herunder hvem i regnskapsbedriften og hvem hos kunden. Det kan sås tvil om hvem som har forårsaket en feil i rapporteringen.

Alle brukertilganger for regnskapsfører og kunde er unike, og alle aktiviteter i systemene logges med identifikasjon av hvilken bruker som har registrert hvilken informasjon.

Driftsavbrudd forårsaket av virusangrep eller andre trusler mot IKT-løsningene medfører økonomisk tap og tap av anseelse. Virus mv kan overføres via nettverket, via lenker i epost, via minnepinner mv.

Driftsmiljøet er beskyttet mot sikkerhetsangrep ved konfigurering av brannmurer, antivirusprogramvare mv. All sikkerhetsprogramvare holdes oppdatert for å dekke nye trusler.

Det er etablert en sikkerhetspolicy for bruk av eksternt utstyr i eget nettverk og bruk av utstyret som en del av oppdragsgjennomføringen.

Ansatte eksponerer kundeopplysninger eller oppdragsdokumentasjon ved å bruke skybaserte løsninger som ikke er godkjent av bedriften. Bruk av «private» løsninger som Dropbox, Google Drive, OneDrive mv skjer uten vurdering av risiko for lovbrudd.

Alle løsninger som bedriften bruker i behandlingen av regnskapsopplysninger, personopplysninger og oppdragsdokumentasjon er godkjent av ledelsen i regnskapsbedriften. Alle medarbeidere er kjent med policy på området.

Tap av datautstyr (tyveri eller gjenglemt utstyr) eksponerer konfidensiell eller hemmelig kundeinformasjon til uvedkommende. Dette inkluderer tap av smarttelefoner og nettbrett med tilgang til kundeinformasjon.

Alt datautstyr har kryptert lagring.

Alle maskiner har passord / pinkode for å komme inn til programmere og data.

Sensitive data lagres ikke på bærbare enheter.

Logisk sikring av regnskapsmateriale eller oppdragsdokumentasjon i systemene ved passord mv, følger ikke anbefalingene i Norsk bokføringsstandard NBS 1 om sikring av regnskapsmateriale. Konfidensiell eller hemmelig materiale kan bli eksponert for uvedkommende.

Arbeidsdeling sikres gjennom behovsprøvd tilgang til data.

Det brukes passord og intervallstyrt passordbytte for å sikre beskyttelse av data.

Personopplysninger

Det er ikke inngått databehandleravtaler med leverandører som behandler personopplysninger

Databehandleravtaler er inngått med relevante leverandører og oppdateres minst en gang pr år.

Utviklingsprosjekter IKT

Større utviklingsprosjekter utvikles uten å ta tilstrekkelig hensyn til bransjens særskilte behov som eksempelvis regnskapsførerloven, GRFS, bokføringsloven, personopplysningsloven, arkivloven mv. Systemene bidrar til lovbrudd hos regnskapsbedriften.

Alle utviklingsprosjekter på IKT vurderes i forhold til relevant lovgivning som eksempelvis regnskapsførerloven, GRFS, bokføringsloven, personopplysningsloven og arkivloven.

Vedlikehold IT-systemer

Egne IT-systemer vedlikeholdes eller endres uten tilstrekkelig kontroll og testing med det resultat at det innføres feil i regnskapsproduksjonen eller at konfidensiell informasjon eksponeres til uvedkommende.

Alle vesentlige endringer i systemer som understøtter regnskapsproduksjonen testes slik at risiko for vesentlige feil reduseres til et akseptabelt minimum.

Standardsystemer i bruk oppdateres uten tilstrekkelig kontroll og testing med det resultat at det innføres feil i regnskapsproduksjonen eller at konfidensiell informasjon eksponeres til uvedkommende.

Versjonsoppdateringer gjennomgås med tanke på å vurdere risiko for vesentlige feil. Alle vesentlige endringer testes slik at risiko for vesentlige feil reduseres til et akseptabelt minimum.

IT-drift

Driftsmiljøet er ikke tilstrekkelig stabilt for å sikre en rettidig leveranse av regnskapsopplysninger, rapporter mv til kundene og myndighetene. Avtalefestet leveranse blir forsinket.

Alle driftsmiljøer overvåkes løpende. Intern eller ekstern kompetanse samt beredskapsplaner for vesentlige driftsavbrudd sikrer gjenopprettelse til normal drift innen en akseptabel tid.

Sikkerhetskopieringen av data og variable systemparametere er mangelfull slik at driftsmiljøet ikke kan gjenopprettes innen rimelig tid og kostnad.

Test av tilbakelegging av hele eller deler av datasett gjennomføres minst årlig.

Logger på sikkerhetskopiering gjennomgås daglig for å se at det ikke har oppstått feil ved sikkerhetskopieringen.

Regnskapsopplysninger som er elektroniske, eller oppdragsdokumentasjon oppbevares i et land som ikke er tillatt etter dagens lovgivning om oppbevaring.

Regnskapsbedriften har en oversikt over hvor all informasjon langtidslagres. Dette gjelder også der hvor underleverandører benyttes ved utkontraktering.

Regnskapsvirksomheten har ikke en fungerende beredskapsplan som dekker risiko for vesentlige driftsavbrudd.

Pliktig beredskapsplan testes og oppdateres minst årlig eller ved større endringer i IKT-miljøet.

Fysisk sikkerhet

Fysisk sikring av regnskapsmateriale eller oppdragsdokumentasjon følger ikke anbefalingene i Norsk bokføringsstandard NBS 1 om sikring av regnskapsmateriale. Konfidensiell eller hemmelig materiale kan bli eksponert for uvedkommende.

Fysisk lagring av regnskapsmateriale og oppdragsdokumentasjon følger anbefalingene i NBS 1.

Brann eller vannskader ødelegger regnskapsmateriale eller oppdragsdokumentasjon.

Fysisk lagring av regnskapsmateriale og oppdragsdokumentasjon følger anbefalingene i NBS 1.

Ajourhold av risikovurderingen på IKT

Risikovurderingen på IKT vurderes ikke minst årlig med risiko for lovbrudd og alvorlig driftsfeil som følge.

Årlig vurdering av IKT-risiko gjennomføres.

Vurdering av intern kontroll rundt IKT

Internkontrollen vurderes ikke løpende for å se at denne er hensiktsmessig sett i lys av risikobildet.

Årlig vurdering av intern kontroll rundt IKT gjøres etter oppdateringen av IKT-risikobildet.

Dokumentasjon av risikovurderingen på IKT

Manglende skriftlighet gjør det vanskelig å underbygge de vurderinger som skal gjøres etter GRFS mv og kan skape tvil ved rettsforfølgelse ved tvister.

Alle vurderinger, tiltak og avtaler på IKT-området er skriftlige.

Utkontraktert virksomhet

Med utkontraktering menes her å sette ut deler av oppgavene og prosesser i oppdragsutførelsen til eksterne leverandører. Utkontraktering er ganske vanlig innen drift av regnskapssystemer i vår bransje. Det er vanlig å inngå avtale om bruk av regnskapssystem og drift av denne, enten som brukerlisens på server-baserte systemer og drift hver for seg, eller som brukerlisens på skytjenester hvor system og drift gjerne pakkes sammen. Det er de kritiske systemene som benyttes til gjennomføring av oppdraget som må vurderes, det ekskluderer normalt epost og telekommunikasjon selv om de er sentrale i kundekommunikasjonen. I den grad epost er kritisk for mottak av elektroniske fakturaer, må utkontraktering av dette inkluderes.

Avtaler med utkontrakteringspartnere kan være komplekse og uoversiktlige. Ofte er den eksterne partneren den sterke part når det gjelder kompetanse og forståelse for totaliteten og sikkerheten i løsningen. Regnskapsfører må derfor som minimum kunne stille relevante spørsmål for å se om forholdene rundt regelverket er tilstrekkelig dekket. Det kan ikke forventes høy teknisk innsikt hos regnskapsfører for å ivareta kravet om kompetanse på det kontraktsmessige. I den grad regnskapsfører er usikker på om krav er dekket, må det innhentes ekspertise før avtalen signeres. Dette gjelder også ved senere oppdateringer av avtalen. Det som er risikoen med dette spørsmålet er at regnskapsfører kanskje ikke helt forstår omfanget av problemstillingen og kompleksiteten.

Vedlikehold av systemer

Endringer i systemer og relaterte rutiner kan medføre feil i registreringen, prosesseringen og rapporteringen av regnskapsopplysninger. Alle endringer bør vurderes i forhold til risiko for feil. Noen endringer er av mer kosmetisk art og medfører ingen vesentlig risiko for feil, mens andre endringer medfører en større inngripen i hvordan data registreres, behandles, lagres og rapporteres. Sistnevnte krever en egen rutine for risikovurdering.

Det er også stor forskjell om regnskapsførerselskapet benytter standard regnskapssystemer som benyttes av flere aktører, eller om systemet er skreddersydd for virksomheten. Normalt er risiko for vesentlige uoppdagede feil i standardsystemer lavere enn for egenutviklede systemer.

Risikovurderingens form vil kunne variere avhengig av omfanget av endringen. Det er forskjell i risiko på å endre utseende på en rapport til å innføre EHF-fakturering. Det forventes mindre formalisme i vurderingene på små endringer, mens det for endringer med større inngripen i registrering, prosessering, lagring og rapportering forventes større grad av formalisme (dokumentasjon) og arbeid med konsekvensvurderinger.

Endringer i systemer kan medføre behov for endringer i arbeidsdelingen og dermed tilgang til systemer og data. Noen medarbeidere skal kanskje ha økt tilgang, andre redusert tilgang. Det er viktig at den reelle og avtalte arbeidsdelingen reflekteres i den systemmessige tilgangsstrukturen.

Testing av systemer

Alle vesentlige endringer må testes før implementering for å se at endringen virker etter forutsetningen, og at ikke andre systemer er blitt påvirket av endringen. Det er derfor normalt å utvikle en testplan parallelt med endringsarbeidet og teste i et eget testmiljø før endringen settes i produksjon. Det er også viktig å overvåke systemet en periode etter implementeringen av endringen for å se at det ikke har oppstått feil. Ansvaret for dette kan enten ligge hos utkontrakteringspartner eller hos regnskapsførerselskapet.

Endringer av stor betydning for regnskapsførerselskapet bør testes av regnskapsførerselskapet selv. For andre endringer, er det avhengig av om systemet/endringen er spesialtilpasset regnskapsførerselskapet eller om systemet er standardisert for mange brukere. Ved førstnevnte situasjon bør endringene testes av regnskapsførerselskapet hvis risikoen for feil er vurdert å være tilstrekkelig høy. For andre endringer og for standardiserte systemer, kan regnskapsførerselskapet bygge på andres testdokumentasjon/testbekreftelse.

Beredskapsplan

Etter GRFS skal en regnskapsførervirksomhet ha en beredskapsplan for å sikre tilbakeføring til normal drift etter et alvorlig driftsavbrudd. Innholdet i beredskapsplanen må være basert på en risikoanalyse for å identifisere de forhold som raskt må gjenopprettes for å minimere skade for virksomheten og dets oppdragsgivere.

IKT-ansvarlig

Det bør pekes ut en eller flere ansvarlige for å følge opp IKT på et bredt plan. Daglig leder har det overordnede og formelle ansvaret. Kompetansen til den eller de som utpekes må vurderes i forhold til kompleksiteten i løsningene. Her er det viktig å forstå hva som er kravene til regnskapsførervirksomheten og yrkesutøvelsen, og sette dette i sammenheng med løsningene som virksomheten benytter.

Lagring og tilgang

Med lagring av regnskapsopplysninger, dokumentasjon, personopplysninger og oppdragsdokumentasjon menes her mer permanent lagring av data. Midlertidig lagring av data under transport fra ett system til et annet som slettes etter transport av data er ferdig inkluderes ikke i vurderingene med mindre en midlertidig lagring kan skje i et land med lavere beskyttelsesnivå (eksempelvis på personopplysninger) enn Norge.

Etter god praksis skal tilgang kunne gis kunde eller kontrollinstanser innen en rimelig tid og med en rimelig ressursinnsats. Regnskapsopplysninger og/eller regnskapsdokumentasjon må være fullstendige for å ivareta dokumentasjonskravene i bokføringsforskriften. Utkontrakteringspartneren kan ikke ha tilbakeholdelsesrett i dette materialet, det må avtales at materialet kan utleveres ved forespørsel eller ved kontroll.

Shadow IT / (Mis)bruk av skytjenester

Shadow IT kan eksemplifiseres ved at en ansatt bruker Dropbox til å legge ut filer til revisor eller som en kopi til kunde uten av daglig leder eller IKT-ansvarlig vet om dette.

Skytjenester som One Drive, Dropbox, iCloud, Jottacloud mv er meget anvendelige som transportmedium og oppbevaring av data i samhandlingen med kunden. Utfordringene med disse tjenestene, er at regnskapsførerselskapet ikke har kontroll på dataene i forhold til taushetsplikten, personopplysningsloven, oppbevaringsreglene eller andre relevante regelverk. Eksempelvis hjelper det ikke å kryptere dataene i forhold til personopplysningsloven. Problemstillingen er derfor todelt, bruk av tjenestene må være avtalt (også overfor kunde), og tjenestene kan ikke brukes til data som er underlagt spesielt lovverk.