Fra avstemming til risikobasert kvalitetssikring: Slik svarer Periode & År på ny GRFS

Hva ny GRFS egentlig betyr – og hvordan Periode & År støtter måten regnskapsbransjen må jobbe på.

Da ny GRFS trådte i kraft ved årsskiftet 2022/2023, var det mange i regnskapsbransjen som stilte det samme spørsmålet:

«Hvis vi ikke lenger blir fortalt nøyaktig hva som skal avstemmes – hva er det egentlig som forventes av oss?»

Det korte svaret er: mer ansvar, mer fleksibilitet – og større krav til faglig skjønn og dokumentasjon. Dette følger direkte av ny GRFS, som stiller krav om at regnskapsoppdrag skal utføres med tilstrekkelig kvalitet, uten å detaljstyre hvilke metoder som skal benyttes.

«Regnskapsfører skal utføre oppdraget i samsvar med god regnskapsføringsskikk og sørge for at oppdraget gjennomføres med tilstrekkelig kvalitet.»

Fra arbeidsgruppen som vurderte utkastet til ny GRFS var det flere som stilte spørsmål:

«Arbeidsgruppen støtter endringen, men det er forholdsvis vag formulering, hvor det vil kunne oppstå spørsmål om hva som kreves av dokumentasjon. Det er derfor viktig at bransjen finner en god praksis på hvorledes dette skal forstås og håndteres.»

«Hva kreves i praksis, og hvor omfattende må kontrollen være? Grensen er viktig å avklare da en kontroll kan bli både kostnads- og tidkrevende. Hva kommer kontrollører fra Regnskap Norge til å kreve her for å kunne godtgjøre at kontrollen er tilstrekkelig?»

«Hensikten synes å være å åpne for mer moderne og digitale løsninger, uten å gå på bekostning av kvalitet. Her brukes begrepet tilstrekkelig, og det gis noe veiledningstekst, men arbeidsgruppen synes allikevel at det nærmere innholdet i begrepet er utydelig.»

Denne forståelsen deles også av Regnskap Norge, som i sin omtale av oppdragsansvarliges rolle presiserer at det er oppdragsansvarlig regnskapsfører som har det overordnede ansvaret for å vurdere risiko i oppdraget og tilpasse kontrollhandlingene deretter. Ny GRFS gir ikke en fast oppskrift på hvordan arbeidet skal utføres, men forutsetter at oppdragets art, omfang og kompleksitet ligger til grunn for valg av kontroller. Dette understreker at risikobasert tilnærming ikke er et valg, men et kjerneansvar i oppdragsutførelsen. 

Dette er ikke bare en språklig endring. Det er et grunnleggende skifte i hvordan regnskapsoppdrag skal planlegges, utføres og dokumenteres. La oss dykke ned i det.

Forskjellen på gammel og ny GRFS: 42 versus 1 

I tidligere versjoner av GRFS var standarden i stor grad oppgave- og metodeorientert. Avstemming var eksplisitt beskrevet som en sentral kontrollaktivitet, og standarden listet i praksis hva som skulle kontrolleres og hvordan. 

I ny GRFS er dette snudd på hodet.

Standarden er nå prinsippbasert:

• fokus på tilstrekkelig kvalitetssikring
• krav om risikobasert tilnærming
• større rom for profesjonelt skjønn
• færre detaljerte føringer på konkrete arbeidsoppgaver

Et interessant – og talende – funn når man sammenligner gammel og ny GRFS, er hvordan språket har endret seg. I den gamle standarden forekommer ordet avstemming (og varianter av det) over 40 ganger. I den nye standarden forekommer ordet kun én gang. 

Avstemming er ikke lenger definert som et mål i seg selv, men som én av flere mulige metoder for kvalitetssikring.

Gir dette mindre kontroll? Nei – men det gir mer ansvar

Det er lett å tolke dette som at kravene er blitt “mykere”. Det er de ikke.

Ny GRFS stiller i realiteten vel så strenge krav, men på en annen måte. Standarden slår fast at utførelsen av regnskapsoppdraget skal baseres på en vurdering av risiko, og at kontrollhandlingene skal tilpasses oppdragets art, omfang og kompleksitet:

• Regnskapsfører må selv vurdere hvor risikoen er
• Kontrollene må tilpasses oppdraget
• Det må kunne dokumenteres hva som er gjort, hvorfor det er tilstrekkelig – og hvordan avvik er fulgt opp

Med andre ord:
Du slipper å gjøre alt for alle, men du må kunne forsvare det du har valgt å gjøre – og det du har valgt å ikke gjøre.

Hva ser vi i tilsynssaker før og etter GRFS-endringen?

Når vi ser på et knippe tilsyn utført av Finanstilsynet før og etter 2023, er det én ting som er slående:

Forventningene til dokumentasjon av balansen er i praksis svært like.

Forskjellen ligger først og fremst i språket og begrunnelsene:

Før 2023

• Mangler i avstemming blir eksplisitt påpekt
• Kontoer er “ikke avstemt”
• Balansekontroller er ikke dokumentert

• Mangler i kvalitetssikring blir påpekt
• Det foreligger ikke dokumentasjon som underbygger balansen
• Risikovurderinger er ikke dokumentert eller koblet til utførte kontroller
• Avvik er identifisert, men ikke fulgt opp

Det interessante er at Finanstilsynet fortsatt virke å vurderer konto for konto, selv om regelverket nå er risikobasert. Manglende dokumentasjon på vesentlige balansekontoer blir fortsatt vurdert som alvorlige brudd – uavhengig av hvilke ord som brukes i standarden.

Dette gir et viktig signal til bransjen:

• Risikobasert tilnærming fritar deg ikke fra balansearbeid – den forutsetter at du kan forklare og dokumentere det.

Hva betyr risikobasert tilnærming i praksis?

Risikobasert kvalitetssikring handler ikke om å gjøre mindre.

Det handler om å gjøre riktig arbeid, på riktig nivå, av riktig grunn.

I praksis betyr det:

• Ikke alle kontoer trenger samme type kontroll
• Høy risiko → sterkere og mer dokumenterte kontroller
• Lav risiko → enklere kontroller, men fortsatt sporbarhet
• Avstemming, analyse, transaksjonskontroll og systemkontroller må ofte brukes i kombinasjon

Og viktigst:

Risiko må være eksplisitt og dokumentert. Finanstilsynet kan ikke føre tilsyn med tanker. De fører tilsyn med dokumentasjon og dokumenterte prosesser og rutiner.

GRFS forankrer dette tydelig:

«Regnskapsfører skal dokumentere utførelsen av oppdraget på en måte som gjør det mulig å etterprøve de vurderinger og handlinger som er foretatt.»

Regnskap Norge legger i samme sammenheng vekt på at vurderinger og kontrollhandlinger må dokumenteres på en måte som gjør arbeidet etterprøvbart. Det er ikke tilstrekkelig at vurderinger er gjort – dokumentasjonen må vise hva som er vurdert, hvilke tiltak som er valgt, og hvorfor dette samlet sett anses som tilstrekkelig kvalitetssikring. Dette samsvarer med tilsynspraksis etter innføringen av ny GRFS, der manglende dokumentasjon av vurderinger og sammenheng mellom risiko og kontroll ofte er et sentralt funn.

Fleksibilitet og individuell tilpasning – en reell mulighet

Det kanskje viktigste poenget med ny GRFS er dette:

Standarden gir regnskapsfører frihet til å tilpasse oppdraget – men bare hvis det kan dokumenteres og forsvares.

Når avstemming ikke lenger er et eksplisitt krav, åpner det for:

• Ulike kontrollopplegg for ulike kunder
• Tilpasning basert på bransje, størrelse og kompleksitet
• Mer effektiv bruk av tid der risikoen faktisk er

Men denne fleksibiliteten forutsetter systemstøtte som:

• Gjør risiko eksplisitt
• Kobler risiko til kontroll
• Dokumenterer vurderinger og konklusjoner
• Gir oversikt som tåler tilsyn

Risikovurderinger og kontrollhandlinger må vurderes i sammenheng med hvordan oppdraget faktisk utvikler seg. Det er her Periode & År har et stort potensial fremover. Dette skal vi bli markedsledende på.

Risikobasert kvalitetssikring er løpende – ikke en engangshendelse

En viktig, men ofte undervurdert konsekvens av ny GRFS, er at kvalitetssikring ikke lenger kan behandles som en avsluttende kontroll ved periodens slutt. Når standarden er risikobasert og prinsippstyrt, følger det logisk at arbeidet også må være løpende og dynamisk.

Risiko i et regnskapsoppdrag er ikke statisk. Den endrer seg f.eks når:

• Virksomheten vokser eller endrer karakter
• Nye transaksjonstyper oppstår
• Manuelle korrigeringer øker
• Regelverk eller praksis endres
• Avvik faktisk oppdages

Derfor er det ikke tilstrekkelig å gjøre én risikovurdering ved oppdragsstart og deretter “følge planen”. En risikobasert tilnærming forutsetter at risiko vurderes, justeres og følges opp fortløpende, i takt med det faktiske regnskapsarbeidet.

Dette ser vi også tydelig i nyere tilsyn. Finanstilsynet vurderer ikke bare hva som var planlagt, men hvordan arbeidet faktisk har utviklet seg gjennom året. Dersom nye risikofaktorer har oppstått uten at kontrollopplegget er justert, blir det vurdert som mangelfull kvalitetssikring – selv om utgangspunktet var godt.

I praksis betyr dette at:

• Avstemmingsplaner ikke bør være statiske
• Kontroller må kunne legges til, forsterkes eller forenkles underveis
• Funn i transaksjonsanalyser bør påvirke videre kontrollarbeid
• Avvik ikke bare skal dokumenteres, men endre risikovurderingen

Regnskap Norges beskrivelse av oppdragsansvarliges rolle forutsetter samtidig at risikovurderinger ikke er statiske, men må følges opp og justeres dersom forutsetningene for oppdraget endrer seg gjennom perioden.

Risikobasert kvalitetssikring er dermed ikke et punkt i prosessen, men en styrende logikk gjennom hele oppdraget.

Hvordan kan man jobbe risikobasert i Periode & År i dag?

Periode & År er bygget for strukturert balansearbeid, og gir allerede et godt fundament for risikobasert tilnærming, men noen forbedringsområder.

Dette har vi i dag

Avstemmingsplan

• Ferdige maler
• Ferdig og tilpassbar struktur for periodisk arbeid
• Gir forutsigbarhet og kontroll

Sjekklister

• Standard sjekklister
• Mulighet for manuell tilpasning
• Skiller mellom standardpunkter og manuelle vurderinger

Transaksjonsanalyse

• Maler for analyse
• Kan avdekke avvik selv på kontoer som ikke ligger i avstemmingsplanen

Sporbarhet

• Alltid tilgjengelig klientnotat
• Godkjenning fra utførende og kvalitetsansvarlig
• Kommentarmulighet til kvalitetskontroll eller kunde.
• Dokumentasjon, både manuell og automatisk, knyttet direkte til konto og periode
• Muligheten til å bygge opp og videreføre dokumentasjon mellom perioder 
• Alt dette gjør det fullt mulig å jobbe i tråd med ny GRFS allerede i dag – hvis man bruker funksjonaliteten bevisst.

Fra sjekkliste til faglig kontroll

Overgangen fra gammel til ny GRFS handler ikke om å fjerne avstemming.

Den handler om å flytte fokus. Når tenker du arbeidet er ferdig, still gjerne deg selv følgende spørsmål: 

• Er vesentlige kontoer dekket?
• Finnes det dokumentasjon?
• Er avvik fulgt opp?
• Kan arbeidet etterprøves?

Periode & År gir allerede et solid grunnlag for dette arbeidet. Neste steg for oss er å gjøre risiko til motoren i hvordan oppdrag planlegges, gjennomføres og dokumenteres.

Noen konkrete eksempler fra sjekklistepunker og transaksjonskontrollen som finnes i Periode & År.

• Er bilag for påfølgende periode gjennomgått med hensyn til periodisering? (For perioder der regnskapsrapportering skal foretas)
• Er det gjennomført en visuell kontroll av at kunde-/leverandørsaldoene synes rimelige?
• Er kreditposter for kundefordringer/leverandører gjennomgått med hensyn til gyldighet?
• Er det vurdert om kreditposter i kundefordringer/leverandørgjeld skyldes manglende regnskapsføring av salg?
• Er det vurdert om det bør innhentes kontoutdrag fra vesentlig kunder/leverandører dersom dette er vesentlig for avstemmingen?
• Er det foretatt en rimelighetsvurdering av salgsinntekter (evt. også bruttofortjeneste i handelsvirksomheter)?
• Er det foretatt en rimelighetsvurdering av varekjøp?

Transaksjonsanalysepunkter:

• Kontroll av inngående balanse
• Anskaffelse under 30 000 kr
• Egenkapitalkontoer med debetsaldo og/eller feil fortegn
• Energi-, forsikring-, husleie-, lønnskostnader m.fler bokført årlig/periodevis
• Rente inntekter/kostnader bokført årlig/periodevis
• Fordring på konsernbidrag og utbytte med kreditsaldo
• Kortsiktige og langsiktige gjeldsposter med debetsaldo
• Lån til personlige aksjonærer
• Salg ikke bokført mot kundefordringer
• Uvanlig høye beløp
• Varebeholdning med kreditsaldo
• Ytet konsernbidrag med debetsaldo

Dette er altså et utvalg av mulighetene i Periode & År, hvor flere sjekkpunkter kan tilpasses hver enkelt klient basert på en risikobasert vurdering av klienten. Har du forslag til forbedringer? Kom med produktinnspill på vår produktportal.

Lykke til.

Kilder:

Regnskap Norge – Dette er oppdragsansvarliges rolle og ansvar
Finanstilsynet – utvalgte tilsynsrapporter (2020–2025)
God regnskapsføringsskikk (GRFS), gjeldende fra 1. januar 2023