RSM INFORMERER 4/2016

Transkript

1 RSM INFORMERER OKTOBER 2016 RSM INFORMERER 4/2016 RSM INFORMERER Innhold: Finansiell revisjon og avhengighet til IT-systemer IT-sikkerhet krever våkne ansatte Oppbevaring og sikring av regnskapsmateriale SAF-T - Norwegian Standard Audit File - Tax THE POWER OF BEING UNDERSTOOD AUDIT TAX CONSULTING

2 FINANSIELL REVISJON OG AVHENGIGHET TIL IT-SYSTEMER Tekst: Bjørn Christian Borgen De fleste virksomheter har i dag et eller flere IT-systemer de er avhengig av for å kunne levere sine produkter og tjenester. At disse systemene er riktig satt opp og blir forvaltet på en hensiktsmessig måte er vesentlig for å kunne sikre at regnskapene er riktige og at rapporter til ledelse og styre blir riktige. Derfor er det også viktig for revisor å få innsikt i IT-systemene til virksomheten slik at de kan være trygge på at tallene i regnskapet og den økonomiske rapporteringen stemmer med de underliggende transaksjoner og hendelser. Tiden da revisor klarte seg med tilgang til bilagspermer og regnskapssystemer er forbi. Økende datamengder Kontroll av gyldighet Revisor må forsikre seg om at virksomheten har truffet nødvendige tiltak slik at informasjonen i systemene ikke endres, slettes, går tapt eller ødelegges. Som revisorer må vi sikre oss at implementerte kontroller og avstemmingsrutiner fungerer som tiltenkt. Vi må også være sikre på at IT-systemene blir forvaltet og data ivaretatt på en slik måte at virksomheten er sikret videre drift. Hos de av våre kunder som er spesielt avhengige av et eller flere IT-systemer gjør derfor en av våre IT-revisorer en gjennomgang av IT-miljøet: Organisering og styring av IT-virksomheten Virksomhetens forskjellige IT-systemer. Spesielt systemer knyttet til finansiell rapportering og som er kritiske for den daglige driften. Systemer, systemskisser og grensesnitt Endringshåndtering og systemutvikling Tilgangskontroll og arbeidsdeling, og da i regnskapssystemet spesielt Driftsmiljø og utkontraktering En slik kartlegging innebærer en overordnet gjennomgang av IT-miljøet og ikke en full ITrevisjon. Noen av temaene kan ofte understøttes av eksisterende beskrivelser og er med på å dokumentere hvordan IT-miljøet blir forvaltet. Revisoren som utfører kartleggingen har ingen koblinger til leverandører eller IT-avdelingen og vil således gi styret og ledelsen i virksomheten en uavhengig vurdering og kvalitetssikring av tilstanden på IT-miljøet. For revisor er formålet å få tilstrekkelig sikkerhet for at systemene opererer og forvaltes på en forsvarlig måte, og at informasjon som bygger på data fra systemene dermed gir et rettvisende bilde av de faktiske forhold. Neste gang revisor kommer for å gjennomføre den finansielle revisjonen kan det godt hende at det blir etterspurt mer data fra regnskapssystemet enn tidligere. Årsaken er først og fremst at vi ønsker å gjøre en bedre og mer effektiv revisjon. Kompleksiteten knyttet til bedrifters IT-miljø er tiltakende. I tillegg til større avhengighet av IT-systemer, øker datamengden som lagres og det lagres data knyttet til stadig flere prosesser i virksomheten. Data utveksles også i større grad mellom forskjellige IT-systemer, noe som innebærer at behovet for avstemminger, logging og oppfølging øker. For revisorer innebærer dette en utfordring, da det kan være vanskelig å identifisere inntektsstrømmene samt at antall transaksjoner kan gjøre det utfordrende å gjennomføre dekkende kontroller. Stikkprøver alene vil ofte ikke gi tilstrekkelig sikkerhet for revisor som i større grad må basere seg på å gjennomføre analyser av et større antall poster i regnskapet ved hjelp av forskjellige analyseverktøy. Dette kan for eksempel være analyse av inntektsgrunnlaget for å verifisere fullstendighet på inntektsføring og analyse av fakturaflyt for å verifisere at fakturakontroll gjøres i henhold til fastsatte rutiner. At det også er kontroll med at brukerne av kritiske IT-systemer har riktige tilganger og at det er innført tilstrekkelig arbeidsdeling er et annet punkt som en revisor/it-revisor vil vise mer interesse for i tiden fremover. Administrasjon av tilgangskontroller både til IT-systemer generelt, men eksempelvis også i regnskapssystemet er noe en IT-revisor vil være interessert i å se nærmere på. I RSM Norge ser vi at det for kunder som er avhengige av IT-systemer i sin virksomhet kan være naturlig å benytte IT-baserte analyseverktøy som del av revisjonen. Dette gjelder spesielt for problemstillinger knyttet til fullstendighet av inntekter, fakturakontroll, beregning av merverdiavgift, bruk av forskjellige valutaer med mer. Innhenting av data For å kunne gjennomføre disse revisjonshandlingene kan analyseverktøy benyttes, men for at revisor skal kunne gjøre selv enkle analyser må det først fremskaffes relevante og fullstendige data knyttet til de forskjellige områdene og kontrollene. I dag har heldigvis de aller fleste systemer støtte for å kunne eksportere data i egnede format. Det finnes også standard dataformat som kan gjøre arbeidet med å definere og eksportere data langt enklere både for den enkelte virksomhet, for offentlige kontrollorgan (skattemyndighetene og for revisor). En arbeidsgruppe i regi av Finanstilsynet og Skatteetaten foreslår at OECD-standarden SAF-T tilpasses og innføres i Norge. Blant annet ønsker Skatteetaten å benytte denne standarden til kontrollformål. Finansdepartementet har hatt en høring om denne standarden hvor det er foreslått at regnskapsdata skal kunne avleveres i dette formatet for bokføringsperioden som begynner 1. januar 2017 (eller senere). Mer om SAF-T følger i en egen artikkel i dette nyhetsbrevet. Kontinuitets- og beredskapsplaner Sikkerhet og fysisk miljø BJØRN CHRISTIAN BORGEN LEDER TEKNOLOGI OG SIKKERHET Bjørn Christian tilhører vår avdeling Risk & Advisory Services, hvor han er leder for teknologi og sikkerhet. Han har over 20 års erfaring fra arbeid med sikkerhet og IKT og er utdannet dataingeniør. Med sin brede erfaring fra små, mellomstore og store virksomheter er han godt kjent med IKT-systemers mange byggeklosser, teknologi, prosesser og samspillet med øvrige funksjoner i virksomheten. Kombinert med god virksomhetsforståelse og erfaring innen informasjonssikkerhet, systemkrav, risikostyring, IT-prosesser og organisering, har han en unik forståelse for de utfordringer virksomheter står overfor. M bcb@rsmnorge.no 2 3

3 IT-SIKKERHET KREVER VÅKNE ANSATTE Tekst: Bjørn Christian Borgen Tekniske løsninger har aldri vært tilstrekkelig for å ivareta IT-sikkerhet. Dette blir stadig tydeligere med de truslene vi utsettes for som brukere av elektroniske hjelpemidler, og herunder spesielt Internett. Dagens trusler retter seg i stor grad mot sluttbrukere. Dette gjelder både privatpersoner og ansatte i virksomheter. Vi blir direkte eller indirekte angrepet gjennom sosial manipulering og forskjellige phishing-angrep. Det skjer ikke oss Nei, det gjør forhåpentligvis ikke det. Men dessverre er sannsynligheten for at nettopp din virksomhet skal bli truffet av et angrep stadig til stede. Med mindre brukerne er helt avskåret fra Internett og e-post, og ikke har mulighet til å benytte minnepinner og lignende, vil de være utsatt. Slike begrensninger ville i så fall vært helt supre tiltak for å ivareta informasjonssikkerhet, men det er kanskje ikke den beste metoden for å kunne ha en effektiv samhandling med kunder, leverandører og omverdenen for øvrig. Derfor kan det være like greit å innse at angrep kan skje og videre sørge for at nødvendige tekniske sikkerhetstiltak fungerer, samt ha en plan for hva som skal gjøres ved et eventuelt angrep. Det er i tillegg viktig å sørge for at de ansatte i din virksomhet tar sikkerhet på alvor og har et våkent øye for unormale hendelser på IT-systemene. Et mulig scenario Salgssjefen mottar en henvendelse fra en kontakt hos en kunde via e-post. E-posten ser tilforlatelig ut, men inneholder et vedlegg. Et Word-dokument med navn Cancellation of order.docm. Tittelen er også Cancellation. Salgssjefen er nysgjerrig på hva som er kansellert og åpner selvsagt dokumentet. Det dukker opp et par advarsler om at det er makroer i dokumentet, men det kan da ikke være så farlig. Alt er sikkert OK når det kommer fra denne hyggelige kontakten. PC-en blir plutselig litt tregere og etter 5 minutter ringer de fra IT-avdelingen og lurer på om han har åpnet en e-post? Ja, det har han selvsagt. Det renner jo inn e-poster ustanselig. Forresten så mistet han akkurat forbindelsen med Internett og e-post, så de må kanskje sjekke at nettverket fungerer som det skal? Joda - det er nettopp det som er årsaken til denne telefonen. Det ble startet et program fra PC-en til salgssjefen som krypterer filer på filserveren. Flere filer rakk å bli kryptert før PC-en ble stengt ute fra nettverket for å hindre ytterligere spredning. IT-sjefen og alle tilgjengelige IT-ressurser er allerede i gang med å finne flere detaljer og omfanget av skadene. PC-en til salgssjefen vil bli nøye undersøkt for å finne ut hva som har skjedd, og den må settes opp på nytt så snart de har kontroll på situasjonen. Tilstrekkelig beskyttelse og varsling Det er utfordrende å oppdage slike hendelser tidlig, slik at skaden blir så liten som mulig. Har man utarbeidet en plan for håndtering av angrep på ITsystemene er det naturlig at man minst har gjort en overordnet vurdering av risiko og risikoreduserende tiltak. Risikoreduserende tiltak kan være forskjellige tekniske tiltak og varsling av unormale hendelser i IT-systemene. Slike tiltak alene er ikke alltid nok for å oppnå ønsket nivå på IT-sikkerheten. Tekniske sikkerhetstiltak er ikke tilstrekkelig og det kan skyldes flere forhold. Angriperne ser alltid ut til å ha et lite forsprang på de som lager virusprogrammer og andre mekanismer for beskyttelse. Mange av dagens angrep retter seg mot oss som er brukere av IT-systemer og vi har kanskje vanskeligheter med å oppdage at vi blir brukt i forbindelse med et mulig dataangrep. Angrepene går ut på å lure oss til å klikke på lenker i e-post eller på Internett-sider slik at vi starter programmer som inneholder virus og annen skadelig kode. Det er med andre ord brukerne som i første omgang blir utsatt for angrepet og ikke IT-systemene. I en stresset arbeidshverdag med en stadig strøm av henvendelser på e-post, kan man fort åpne et vedlegg som aldri skulle vært åpnet. Det å gjennomføre opplæring av egne ansatte er derfor et viktig tiltak for å bedre IT-sikkerheten og beskytte viktig informasjon. Når brukerne har et bevisst forhold til IT-sikkerhet, stiller de selv spørsmål til innhold i e-post som ser mistenkelig ut, eller kommer fra ukjente avsendere. Som følge av dette vil det forhåpentligvis initieres færre angrep. Dersom uhellet er ute Hva din virksomhet skal tenke på og iverksette ved et angrep vil være avhengig av hva slags type angrep det er snakk om, omfanget av dette og hvor lenge angrepet har pågått. Det er viktig å ha en plan slik at arbeidet med kartlegging og identifisering av angrepet kommer i gang så fort som mulig. En slik plan kan også inneholde detaljer om hvem som skal varsles og hvem som skal involveres i arbeidet med kartlegging og identifisering av hendelsen. Noen kjente typer av angrep kan det allerede være detaljerte planer for, mens mindre kjente og sjeldne angrep kanskje forutsetter en mer ad hoc-preget framgangsmåte. For eksempel kan det ved kryptering av filer være et forløp som er omtrent slik: Alarm fra filserveren om endring av unaturlig mange filer på kort tid Identifisere hvor krypteringen starter Isolere den eller de PC-ene og brukerne som er involvert Forsikre seg om at angrepet er stoppet Legge tilbake ødelagte filer fra sikkerhetskopi Reinstallere operativsystem på den eller de involverte PC-ene Lessons learned dokumentasjon og læring av hendelsen I tiden et angrep pågår kan det være behov for å informere ledelse, brukere og i noen tilfeller eksterne parter. Er det et angrep som berører den daglige driften i virksomheten bør ledelsen involveres og holdes informert underveis. 4 5

4 Hva er målet Målet til angriperne varierer, men i mange tilfeller er det økonomisk vinning som ligger bak. Ved kryptering av filer kommer det ofte krav om løsepenger for å kunne låse opp filene. Det er svært sjeldent anbefalt å etterkomme slike krav og man har som regel ingen garantier for at filene vil bli gjenopprettet, eller at angrepene opphører. Om ikke målet til angriperne i første omgang er økonomisk vinning, kan det være å samle inn informasjon om virksomheter eller personer, som for eksempel: Virksomhetshemmeligheter Tilgang til IT-systemer Personlig identifiserbar informasjon for å gjennomføre identitetstyveri Kredittkort Denne type informasjon har en verdi og kan selges til andre parter, som for eksempel konkurrenter eller andre med uhederlige hensikter. Datakriminalitet har også blitt mer profesjonelt og det finnes aktører som selger forskjellige typer dataangrep som en hvilken som helst annen tjeneste på Internett. Dette er skytjenester med pris, avhengig av innhold og omfang, garantert oppetid og avtalelengde. Neste steg Noen tiltak er enklere å gjennomføre enn andre. For eksempel er det forholdsvis enkelt å implementere antivirusbeskyttelse på alle PC-er og servere. Når det er snakk om opplæring av ansatte er dette noe som må gjentas regelmessig. Det bør gjøres en kort analyse av risikobildet og hvilke risikoreduserende tiltak som er truffet for IT-miljøet i virksomheten. Involver ledelsen og legg en plan for hvordan en eventuell hendelse skal håndteres. Er dette noe din virksomhet har begynt å tenke på må du gjerne ta kontakt med oss i RSM Norge. Vi har kompetanse på IT-sikkerhet og kan bistå med råd - eller ganske enkelt være en uavhengig diskusjonspartner. BJØRN CHRISTIAN BORGEN LEDER TEKNOLOGI OG SIKKERHET Bjørn Christian tilhører vår avdeling Risk & Advisory Services, hvor han er leder for teknologi og sikkerhet. Han har over 20 års erfaring fra arbeid med sikkerhet og IKT og er utdannet dataingeniør. Med sin brede erfaring fra små, mellomstore og store virksomheter er han godt kjent med IKT-systemers mange byggeklosser, teknologi, prosesser og samspillet med øvrige funksjoner i virksomheten. Kombinert med god virksomhetsforståelse og erfaring innen informasjonssikkerhet, systemkrav, risikostyring, IT-prosesser og organisering, har han en unik forståelse for de utfordringer virksomheter står overfor. M bcb@rsmnorge.no 7

5 OPPBEVARING OG SIKRING AV REGNSKAPSMATERIALE Tekst: Erland Hellgren Rolfsøn, Erik Olsen Mange selskaper oppbevarer det meste av regnskapsmateriale elektronisk. Dette gir andre problemstillinger knyttet til sikring og oppbevaring, enn ved oppbevaring av fysiske bilag. Denne artikkelen omhandler reglene for oppbevaring og sikring av regnskapsmateriale samt elektronisk tilgjengelighet av bokførte opplysninger. NBS 1 Sikring av regnskapsmateriale omhandler kriterier som må oppfylles for at sikringen av regnskapsmateriale skal anses å være betryggende. Bokføringsloven og forskriften setter krav til at regnskapsmateriale må oppbevares og være elektronisk tilgjengelig en periode etter at det er produsert. Årsaken til dette kravet er behovet for innsyn og kontroll av den pliktige regnskapsrapporteringen i ettertid. I 2015 ble reglene for hvor lenge regnskapsmateriale må oppbevares endret. Endringen innebar i hovedsak at oppbevaringstiden for regnskapsmateriale (primærdokumentasjon) ble endret fra ti til fem år. Det er likevel fortsatt flere bestemmelser som krever oppbevaring for spesifikke dokumenter ut over den generelle femårs regelen. Elektronisk tilgjengelighet Bokføringsloven 13 b krever at bokførte opplysninger som er tilgjengelig elektronisk skal være elektronisk tilgjengelig 3,5 år etter regnskapsårets slutt. Ytterligere krav er nærmere spesifisert i forskriften 7-7 og i NBS 3 Elektronisk tilgjengelighet i 3,5 år. Kravet til elektronisk tilgjengelighet er ikke en oppbevaringsregel, men et tilleggskrav for å muliggjøre en mer effektiv kontroll av det bokføringspliktige regnskapsmateriale. Bokføring på papir eller ved bruk av regneark og tekstbehandlingsprogrammer omfattes ikke av bestemmelsen om elektronisk tilgjengelighet. De fleste bokføringspliktige benytter i dag et IT-basert regnskapssystem. Mesteparten av regnskapssystemer på markedet ivaretar kravet om elektronisk tilgjengelighet, men vi anbefaler selskapet å forsikre seg om at systemet tilfredsstiller bestemmelsen. Med bokførte opplysninger menes det innholdet i spesifikasjoner av pliktig regnskapsrapportering jf. bokføringsloven 7. Dokumentasjon av bokførte opplysninger omfattes ikke av tilgjengelighetskravet. Det skal foreligge en sikkerhetskopi av materialet som holdes elektronisk tilgjengelig jf. bokføringsforskriften 7-2. Ved bytte av regnskapssystem må selskapet påse at bokførte opplysninger i det tidligere regnskapssystemet er elektronisk tilgjengelig i perioden som bokføringsloven 13 b krever. Ved lagring av bokførte opplysninger i utlandet må det være mulighet for tilgang til materialet i Norge. Det er enkelte unntak til kravet om elektronisk tilgjengelighet i 3,5 år. Bokføringspliktige som har mindre enn 5 millioner ekskl. merverdiavgift i omsetning omfattes ikke av bestemmelsen. Selskaper som er avviklet har krav om elektronisk tilgjengelighet i 6 måneder etter avviklingstidpunktet. Det er også mulig å søke om dispensasjon fra bestemmelsen om elektronisk tilgjengelighet, jf. 13 b annet ledd. Hvordan skal regnskapsmateriale sikres og i hvilket format skal det oppbevares? Regnskapsmateriale kan oppbevares fysisk eller elektronisk. Mange selskaper oppbevarer det meste av regnskapsmateriale elektronisk. Oppbevaringspliktig regnskapsmateriale skal sikres på en måte som forhindrer endring, sletting, tap og ødeleggelse. Det skal også sikres på en måte som gjør det mulig å oppdage endring, sletting, tap eller ødeleggelse og å gjenskape regnskapsmateriale. Ved elektronisk oppbevaring må det oppbevares en sikkerhetskopi atskilt fra originalen jf. bokføringsforskriften 7-2. Det skal foreligge en fortegnelse over regnskapsmaterialet som er sikkerhetskopiert, hvor ofte sikkerhetskopiering gjennomføres og hvor originalen og sikkerhetskopien oppbevares. Elektronisk regnskapsmateriale skal være tilgjengelig i lesbar form og skal kunne skrives ut på papir i hele oppbevaringsperioden. Vær oppmerksom på at det også er krav om å teste sikkerhetskopien minst en gang hvert år. Hvor skal regnskapsmateriale oppbevares? Bokføringsloven 13 annet ledd stiller som krav at regnskapsmateriale skal oppbevares i Norge. Hvis bokføringen utføres utenfor Norge må regnskapsmaterialet som utgangspunkt tilbakeføres til Norge for oppbevaring etter reglene i bokføringsforskriften 7-4 første ledd. Tilbakeføring skal skje én måned etter fastsetting av årsregnskapet og senest sju måneder etter regnskapsårets slutt. Alternativt kan den bokføringspliktige søke om dispensasjon til oppbevaring i utlandet etter bokføringslovens 13 femte ledd annet punktum. Elektronisk regnskapsmateriale kan oppbevares i et annet EØS-land dersom avtale med det aktuelle landet sikrer norske skatte- og avgiftsmyndigheter tilfredsstillende tilgang til regnskapsinformasjonen. Hvilke EØS-land som oppfyller vilkårene, fastsettes av Skattedirektoratet. Foreløpig er det kun Sverige, Danmark, Island og Finland som oppfyller kravene. Ved oppbevaring utenfor disse landene må det søkes om dispensasjon hos Skattedirektoratet. Ved elektronisk lagring på server er det derfor viktig å forsikre seg om hvor serveren der regnskapsmaterialet lagres er lokalisert. Vår erfaring er at det har vært tilfeller av oppbevaring på servere lokalisert i andre land enn det selskapet hadde informasjon om. Settes oppbevaringen bort til andre, er det den bokføringspliktige som er ansvarlig for at oppbevaringen skjer etter bokføringsregelverket. Bokføringspliktige som driver virksomhet i utlandet kan oppbevare regnskapsmateriale knyttet til denne virksomheten i det aktuelle landet dersom de er pliktige til det etter det aktuelle landets lovgivning. Ved oppbevaring i utlandet må norske oppbevaringsregler følges, så fremt det ikke er innvilget dispensasjon fra slike krav. Regnskapsmateriale skal uten ugrunnet opphold kunne fremlegges for offentlig kontrollmyndighet i Norge i hele oppbevaringstiden. Hva er oppbevaringspliktig regnskapsmateriale og hvor lenge skal det oppbevares? Hva som er oppbevaringspiiktig regnskapsmateriale, og hvor lenge det skal oppbevares, fremkommer i hovedsak av bokføringsloven 13 første ledd 1-8. Dokumentasjon som oppbevares i 5 år omfatter følgende: Årsregnskap og annen pliktig regnskapsrapportering, årsberetning og revisjonsberetning Spesifikasjoner av pliktig regnskapsrapportering som nevnt i bokføringsloven 5, eller bokførte opplysninger som er nødvendig for å kunne utarbeide slike spesifikasjoner av pliktig regnskapsrapportering Dokumentasjon av bokførte opplysninger samt slettede opplysninger, dokumentasjon av kontrollsporet og dokumentasjon av balansen Nummererte brev fra revisor Annen regnskapsdokumentasjon, som omfatter dokumenter som er grunnlaget for primærdokumentasjonen, se bokføringsloven 13 første ledd 5-8, skal oppbevares i 3 år og 6 måneder etter regnskapsårets slutt. Eksempler på slik sekundærdokumentasjon kan være ordre, kontrakter, timelister, pakksedler osv. I utgangspunktet innebærer disse kravene at det meste av primærdokumentasjonen som gjelder regnskapsåret 2010 eller tidligere kan makuleres i Se likevel listen nedenfor med unntak. Enkelte lover og forskrifter krever fortsatt 10 års oppbevaring. Det er derfor viktig for selskapet å skaffe seg en fullstendig oversikt over hvilke regler som gjelder for den dokumentasjon som er aktuell for deres virksomhet. 8 9

6 Listen nedenfor viser materiale (og tilstøtende informasjon) med oppbevaringsplikt utover 5-årsregelen: Type regnskapsmateriale Kjøpsdokumentasjon ved ny-, på- eller ombygging av eiendom som er kapitalvare etter justeringsreglene i merverdiavgiftsloven 9-1. Dokumentasjon av opplysninger om anskaffelse av kapitalvarer som nevnt i merverdiavgiftsloven 9-1. Skriftlig, underskrevet avtale om overføring av justeringsplikt etter merverdiavgiftsloven 9-3. Skriftlig, underskrevet avtale om overføring av justeringsrett etter merverdiavgiftsloven 9-3. Skriftlig, underskrevet avtale ved overføring av tilbakeføringsplikten etter merverdiavgiftsloven 9-7. Prosjektregnskap som nevnt i bokføringsforskriften eller bokførte opplysninger som er nødvendige for å kunne utarbeide slike prosjektregnskap. Det samme gjelder dokumentasjon av bokførte opplysninger som inngår i prosjektregnskapet, samt byggekontrakter med anbud/kalkyler, tegninger, kontrakter med underentreprenører, timelister og ordrelister. Utenlandske selskaper og personer som driver virksomhet på norsk sokkel (unntatt petroleumsutvinning og rørledningstransport) skal oppbevare oppstilling som viser hvilke kostnader som inngår i fordelingen av indirekte kostnader, samt anvendte fordelingsnøkler. Oppbevaringspliktig regnskapsmateriale i foretak med petroleumsutvinning eller rørledningstransport. Bankers og finansieringsforetaks kunde- og leverandørspesifikasjoner samt dokumentasjon av bokførte opplysninger som inngår i slike spesifikasjoner*. Dokumentasjon av prisfastsettelsen ved kontrollerte transaksjoner og mellomværende med nærstående selskaper og innretninger (Transfer Pricing). Dokumentasjonsplikten omfatter transaksjoner og mellomværende ut over visse terskelverdier og har derfor begrenset omfang. Fristen for å fremsette krav om kreditfradrag er fortsatt 10 år etter det året inntekten til utlandet er skattepliktig til Norge. Hvis dette er aktuelt, må det kunne fremlegges nødvendig dokumentasjon for hele perioden. Oppbevaringstid 10 år etter regnskapsårets slutt 5 år etter siste år i justeringsperioden 5 år etter siste år i justeringsperioden 5 år etter siste år i justeringsperioden 10 år etter overtakelsesåret 10 år 10 år etter regnskapsårets slutt 15 år etter regnskapsårets slutt 10 år etter regnskapsårets slutt 10 år etter utgangen av inntektsåret 10 år etter det året inntekten til utlandet er skattepliktig til Norge * For banker og finansieringsforetak har Skattedirektoratet i prinsipputtalelse av presisert at det er kunde- og leverandørspesifikasjoner knyttet til kontoforhold som skal oppbevares i ti år. Det samme gjelder dokumentasjon av bokførte opplysninger som inngår i slike spesifikasjoner. Andre former for kundeog leverandørspesifikasjoner knyttet til kjøp og salg av varer og tjenester som ikke har sammenheng med kontoforholdet, skal utarbeides iht. bokføringsforskriften 3-1 første ledd nr. 3 og 4 og oppbevares i minst fem år etter regnskapsårets slutt, jf. bokføringsloven 13 annet ledd. Type regnskapsmateriale Produksjonsdata fra kraftproduksjon på elektronisk lesbart medium. Overtakende selskap i en fusjon skal oppbevare de overdragende selskapenes oppbevaringspliktige regnskapsmateriale. Registrerte regnskapsopplysninger i det eller de overdragende selskapene på fusjonstidspunktet skal kunne gjengis som angitt i bokføringsloven 6. I forbindelse med oppløsning av selskap skal avviklingsstyret sørge for oppbevaring av selskapets oppbevaringspliktige regnskapsmateriale. Registrerte regnskapsopplysninger skal kunne gjengis som angitt i bokføringsloven 6. Tolldeklarasjoner og grunnlagsdokumenter knyttet til slike deklarasjoner. Grunnlagsdokumenter omfatter alle relevante dokumenter i forbindelse med kjøp av varene. Ordre, aksept, kontrakt, faktura og betalingsdokumenter er eksempler på de mest relevante dokumentene. Men også transportdokumenter, tillatelser og lisenser mv. vil være aktuelle. Revisor skal oppbevare oppdragsdokumentasjon. Regnskapsfører skal oppbevare oppdragsdokumentasjon. Eiendomsmeglingsforetak skal oppbevare kontrakter og dokumenter, samt oppdragsjournal, oppdragsjournal for oppgjørsforetak, meglingsjournal, budjournal og depotjournal. Oppbevaringstid 7 år etter utgangen av inntektsåret 10 år etter at fusjon er registrert 10 år etter den endelige oppløsningen 10 år fra utgangen av det året deklarasjonen ble mottatt av tollmyndighetene 10 år etter utløpet av regnskapsåret. 10 år etter utløpet av regnskapsåret 10 år ERLAND HELLGREN ROLFSØN SUPERVISOR Erland er supervisor i RSM og medlem av selskapets tjenestegruppe for Revisjon. Han er utdannet i revisjon og er registrert revisor. Erland har bred erfaring innen områdene revisjon, regnskap, skatt/avgift og generell rådgivning for klienter. Erland har erfaring fra oppdrag innenfor advokatvirksomhet, finans, investeringsselskaper, entreprenører, konsulentselskaper, stiftelser/foreninger, eiendom, detaljhandel og engrosvirksomhet. M ERIK OLSEN PARTNER ehr@rsmnorge.no Erik Olsen er partner i RSM og leder av selskapets tjenestegruppe for Revisjon. Han er også leder av Bransjegruppe Utdanning, og Bransjegruppe Servicenæring og Reiseliv. Han er utdannet statsautorisert revisor. Erik har lang og bred erfaring innen finansiell revisjon med relatert rådgivning for selskaper av ulik størrelse innen en rekke bransjer. Han har også lang erfaring fra transaksjonsstøtte, og har erfaring som sakkyndig i revisjon i forbindelse med rettssaker. M eo@rsmnorge.no 10 11

7 SAF-T - NORWEGIAN STANDARD AUDIT FILE - TAX Tekst: Øystein Dalsegg, Erik Olsen Finansdepartementet har fremlagt forslag om at bokføringspliktige skal ha plikt til å kunne rapportere regnskapsopplysninger i et standardisert dataformat. Formålet er mer effektiv kontroll. Forslaget har vært på høring med høringsfrist Hva er formålet? Hovedårsaken til at SAF-T blir innført er at det skal forenkle og effektivisere norske skattemyndigheters kontroll av virksomheter. I fremtiden vil man overføre regnskapsinformasjon til skattemyndighetene ved å overføre en standardisert datafil over Altinn som skattemyndighetene kan importere direkte inn i sine analyseverktøy. Skattemyndighetene vil få tilgang til betydelig mer informasjon og det forventes derfor mer effektive kontroller. I første omgang vil formatet kun benyttes ved innhenting av data i forbindelse med kontroller fra eksempelvis norske skattemyndigheter. Innføringen har som formål også å kunne bidra til forenklinger for næringslivet. På sikt ønsker skattemyndighetene at SAF-T skal erstatte mest mulig av den løpende rapporteringen til skattemyndighetene, eksempelvis rapportering av mva. Innføringen av SAF-T vil også forenkle overføringen av data mellom systemer som benyttes i regnskapsbransjen og vil gjøre det lettere å ta i bruk dataene som finnes i regnskapssystemet, for eksempel til analyseformål, både for den regnskapspliktige og for revisor. Konsekvenser for bokføringspliktige Det er den bokføringspliktige som er ansvarlig for å kunne rapportere på SAF-T-format, samtidig som norske systemleverandører er ansvarlig for at systemene de leverer kan rapportere på SAF-T-format. Det er i utgangspunktet systemleverandørene som må tilpasse sine regnskapssystemer, slik at systemene kan levere rapporteringen etter den nye standarden på forespørsel. De bokføringspliktige foretakene må sørge for at de benytter oppdaterte regnskapssystemer som tilfredsstiller kravene. For mer komplekse og spesialtilpassede systemer vil det kunne kreves at det utarbeides en løsning i samarbeid mellom systemleverandøren og den bokføringspliktige. Som bokføringspliktig bør du derfor snarlig ta kontakt med din systemleverandør og få klarlagt når og hvordan du kan få oppdatert ditt system, samt om det vil være nødvendig med endringer eller spesialtilpasninger. SAF-T er forkortelsen for Standard Audit File Tax, og er et standard dataformat for utveksling av regnskapsdata. I praksis innebærer SAF-T at alle bokføringspliktige (med noen få unntak) skal kunne utarbeide en datafil på et bestemt format (XML-format) som inneholder hovedbok samt kunde- og leverandørspesifikasjoner. Det er foreslått at datafilen på sikt også skal inneholde opplysninger om tilgang på, og avgang av, driftsmidler samt varelagerbevegelser. Foreslått innført fra 2017 Finansdepartementet foreslo i høringsnotatet at bokføringspliktige skal kunne gjengi regnskapsopplysninger i det nye standard dataformatet fra og med 1. januar I høringsrunden er det kommet flere innspill mot dette. Blant annet har Den norske Revisorforening gitt uttrykk for at dette er en alt for kort frist og at ikrafttredelse bør utsettes til Ikke minst har også Skattedirektoratet uttalt i sitt høringssvar at ikrafttredelse av hensyn til næringslivet og systemleverandørene ikke bør være før Hvis departementet lytter til høringene er det grunn til å tro at ikrafttredelse blir utsatt, men det kan være fornuftig å starte forberedelsene nå med utgangspunkt i at det er foreslått iverksatt fra I forslaget knytter kravet seg til å kunne levere regnskapsdata i det nye formatet for regnskapsår som begynner etter Bokføringsloven krever at bokføringen skal være ajour innen fristen for pliktig rapportering. Dette skulle bety at man må kunne gjengi de elektroniske regnskapsopplysningene i standardisert format fra og med fristen for første MVA-termin etter ikrafttredelse. Hvem omfattes? Forslaget omfatter bokføringspliktige som skal ha bokføringspliktige opplysninger elektronisk tilgjengelig etter bokføringsloven 13 b i 3 år og 6 måneder etter regnskapsårets slutt. Bokføringspliktige med mindre enn 5 millioner i driftsinntekter, omfattes i utgangspunktet ikke av kravet til elektronisk tilgjengelighet i 3 år og 6 måneder etter regnskapsårets slutt, men dersom de likevel har bokførte opplysninger elektronisk tilgjengelig, omfattes de av det nye kravet om å kunne levere opplysningene i standard formatet. Regnskapspliktige som har mindre enn 600 bilag i året og benytter tekstbehandling eller regnearkprogrammer omfattes ikke. Slik bokføring likestilles med manuell bokføring, og omfattes dermed ikke av kravet til elektronisk tilgjengelighet. ØYSTEIN DALSEGG SUPERVISOR Øystein er supervisor i RSM. Han er utdannet i revisjon og er registrert revisor. Han arbeider hovedsakelig med finansiell revisjon og rådgivning til revisjonsklienter. Han har bred erfaring innen områdene revisjon, regnskap, skatt/avgift og generell rådgivning for klienter i alle segmenter, med hovedvekt på eierstyrte virksomheter innenfor handel og tjenesteytende virksomheter og ideelle organisasjoner. Øystein har god kunnskap om en rekke dataverktøy. M ERIK OLSEN PARTNER od@rsmnorge.no Erik Olsen er partner i RSM og leder av selskapets tjenestegruppe for Revisjon. Han er også leder av Bransjegruppe Utdanning, og Bransjegruppe Servicenæring og Reiseliv. Han er utdannet statsautorisert revisor. Erik har lang og bred erfaring innen finansiell revisjon med relatert rådgivning for selskaper av ulik størrelse innen en rekke bransjer. Han har også lang erfaring fra transaksjonsstøtte, og har erfaring som sakkyndig i revisjon i forbindelse med rettssaker. M eo@rsmnorge.no 12 13

8 Innholdet i dette nyhetsbrevet er kun en informasjonstjeneste fra RSM, og kan ikke regnes som en erstatning for individuell rådgivning. RSM tar intet ansvar for eventuell mangelfull eller uriktig informasjon i nyhetsbrevet. For å melde deg av nyhetsbrevet, trykk her RSM Norge AS Oslo Filipstad Brygge 1, 0252 Oslo Pb Vika 0112 Oslo RSM Norge AS Bergen Kanalveien 105 B, 5068 Bergen Pb. 63 Kristianborg 5822 Bergen RSM Norge AS Voss Strandavegen 11, 5705 Voss Pb Voss RSM Norge AS Stord Sæ Stord T T T T RSM Norge AS is a member of the RSM network and trades as RSM. RSM is the trading name used by the members of the RSM network. Each member of the RSM network is an independent accounting and consulting firm, each of which practices in its own right. The RSM network is not itself a separate legal entity of any description in any jurisdiction. The RSM network is administered by RSM International Limited, a company registered in England and Wales (company number ) whose registered office is at 11 Old Jewry, London EC2R 8DU. The brand and trademark RSM and other intellectual property rights used by members of the network are owned by RSM International Association, an association governed by article 60 et seq of the Civil Code of Switzerland whose seat is in Zug. RSM International Association, 2016 THE POWER OF BEING UNDERSTOOD AUDIT TAX CONSULTING