1:
Blogg:

Elektronisk oppbevaring av regnskapsmateriale

25. juni 2020

Jan Terje Kaaby, Director Fagavdelingen |

Alt regnskapsmateriale kan oppbevares elektronisk. Det stilles imidlertid omfattende krav til sikring av regnskapsmaterialets integritet og tilgjengelighet. I tillegg er det begrensninger for hvor det fysiske lagringsmediet kan plasseres. Her er det du trenger å vite.

 

Oppbevaringsplikt og oppbevaringstid

Bokføringsreglene har omfattende krav til hvilket regnskapsmateriale som skal oppbevares, herunder:

I tillegg til dette er enkelte næringer og bransjer underlagt tilleggsbestemmelser og særlige regler som inneholder oppbevaringsregler. Noen vanlige eksempler er:

  • Oppbevaring av prosjektregnskap med underliggende bilag, byggekontrakter, anbud/kalkyler, tegninger, kontrakter med underentreprenører, timelister og ordrelister i bygge- og anleggsvirksomhet, med ti års oppbevaringstid.
  • Oppbevaring av personallister i frisørvirksomhet, skjønnhetspleie, serveringssteder, bilverksteder og bilpleie, med 3,5 års oppbevaringstid.
  • Oppbevaring av alt regnskapsmateriale i 15 år for virksomheter innenfor petroleumsutvinning og rørledningstransport.

Oversikten er ikke fullstendig, men illustrerer at det er et omfattende regnskapsmateriale som skal oppbevares av mange bokføringspliktige.

Oppbevaringsplikter utenfor bokføringsreglene, for eksempel etter selskaps-, skatte- og avgiftslovgivningen, omtales ikke i denne artikkelen.

 

Ulike oppbevaringstider kan være utfordrende

Ved elektronisk oppbevaring av regnskapsmateriale kan det være utfordrende å forholde seg til de ulike oppbevaringstidene.

I utgangspunktet kan den bokføringspliktige velge den lengste oppbevaringstiden som er aktuell for foretaket, for eksempel fem eller ti år, og oppbevare alt regnskapsmateriale like lenge.

 

Personopplysningsreglene setter begrensninger

Andre regelverk kan imidlertid begrense adgangen til å oppbevare regnskapsmaterialet lenger enn minimumskravet. Dette gjelder blant annet for regnskapsmateriale som inneholder personopplysninger. Eksempler kan være lønnsdokumentasjon eller salgsdokumenter og kundespesifikasjoner som viser transaksjoner med fysiske personer.

Personopplysningsreglene (GDPR) er ikke til hinder for oppfyllelse av bokføringsreglenes oppbevaringsplikt, men regnskapsmaterialet kan ikke inneholde flere personopplysninger enn nødvendig. Videre må den bokføringspliktige slette eller anonymisere personopplysningene som finnes i regnskapsmaterialet når oppbevaringstiden utløper. I praksis kan dette være vanskelig hvis det ikke benyttes systemer hvor personopplysninger kan merkes for automatisk sletting eller anonymisering.

 

Valg av oppbevaringsmedium

Den bokføringspliktige står fritt til å velge medium for oppbevaring av regnskapsmaterialet, så lenge krav til integritet, tilgjengelighet og kontrollmulighet etterleves i hele oppbevaringstiden (se nedenfor).

Det kreves ikke at noen deler av regnskapsmaterialet må oppbevares på papir. Bokføringsreglene definerer heller ikke hva som er «original» og hva som er «kopi». Et bilag på e-post likestilles med et brev i posten.

Den bokføringspliktige kan velge elektronisk oppbevaring på en lokal harddisk på en PC, en server, en minnepenn, en DVD-plate eller et annet lagringsmedium. Oppbevaring på intern eller ekstern server er imidlertid mest vanlig, herunder ved bruk av skyløsninger.

 

Bytte av oppbevaringsmedium tillates

Regnskapsmaterialet kan overføres til andre lagringsmedier så lenge muligheten til kontroll ikke svekkes i løpet av oppbevaringstiden.

Friheten til å bytte oppbevaringsmedium gjør at regnskapsmateriale som er utarbeidet eller mottatt på papir, kan skannes eller fotograferes for elektronisk oppbevaring, mens regnskapsmateriale som er utarbeidet eller mottatt elektronisk, kan skrives ut for oppbevaring på papir.

Ved elektronisk oppbevaring kan den bokføringspliktige bytte mellom ulike lagringsmedier underveis i oppbevaringstiden, for eksempel fra lokal harddisk til en skyløsning.

 

Behold papiroriginaler til filene er sikkerhetskopiert

Når regnskapsmateriale på papir skannes eller fotograferes for elektronisk oppbevaring, skal papiroriginalene oppbevares til det er tatt sikkerhetskopi av det elektroniske regnskapsmaterialet. Så snart sikkerhetskopien er på plass, kan papiroriginalen makuleres.

 

Altinn kan ikke brukes til oppbevaring

Den bokføringspliktige må selv sørge for oppbevaring av regnskapsmaterialet, eventuelt sette bort oppgaven til en ekstern part (for eksempel en regnskapsfører).

Dette gjelder også for pliktig regnskapsrapportering som a-meldinger, mva-meldinger, skatte- eller selskapsmeldinger og årsregnskaper.

Oppbevaringskravet er ikke oppfylt ved rapportering gjennom Altinn. For eksempel er det ikke tilstrekkelig at årsregnskaper mv. finnes i Regnskapsregisteret.

 

Sikring av regnskapsmaterialet

Verken bokføringen eller innholdet i bilagene kan endres i løpet av oppbevaringstiden.

Bokføringsreglene stiller omfattende krav til sikring av regnskapsmaterialet i hele oppbevaringstiden. Reglene om sikring gjelder imidlertid for alt oppbevaringspliktig regnskapsmateriale, ikke bare bokføringen og bilagene.

 

Oppbevaringen må være ordnet

Regnskapsmaterialet skal oppbevares ordnet i hele oppbevaringstiden, slik at det er lett tilgjengelig ved kontroll. Det skal være enkelt for en kontrollør å gjenfinne og orientere seg i regnskapsmaterialet.

Bevisste og konsekvente valg av systemer, rutiner, lagringsmedier, mappestrukturer, filformater, filnavn mv. er ofte avgjørende for å sikre nødvendig orden i regnskapsmaterialet.

Hvis ikke regnskapsmaterialet oppbevares samlet, bør den bokføringspliktige vedlikeholde en oversikt som viser hvor og hvordan de ulike delene av regnskapsmaterialet oppbevares.

 

Krav om forsvarlig og betryggende sikring

Oppbevaringspliktig regnskapsmateriale skal være forsvarlig og betryggende sikret mot urettmessig endring, sletting, tap og ødeleggelse i hele oppbevaringstiden. Dette innebærer krav om sikring av regnskapsmaterialets integritet og tilgjengelighet, særlig av hensyn til muligheten for kontroll.

Det er ikke krav om absolutt sikring av regnskapsmaterialet, som kan være urimelig byrdefullt og kostbart for den bokføringspliktige. Forsvarlig og betryggende sikring oppnås når risikoen for urettmessig endring, sletting, ødeleggelse og tap av regnskapsmaterialet er redusert til et akseptabelt nivå.

 

Risikovurdering er nødvendig

For å avgjøre om risikoen er akseptabel må den bokføringspliktige gjennomføre, dokumentere og ajourholde en risikovurdering. Risikovurderingen skal ta hensyn til:

  • sannsynligheten for at det inntreffer uønskede hendelser som utgjør en risiko mot regnskapsmaterialets tilgjengelighet og integritet, og
  • konsekvensene det har for kontrollmulighetene hvis slike hendelser inntreffer.

 

Lav risiko
Ved lav risiko er det ikke nødvendig med ytterligere sikringstiltak.
Middels risiko
Ved middels risiko må nytten av ytterligere sikringstiltak vurderes opp mot kostnadene ved tiltakene.
Høy risiko
Ved høy risiko må det alltid gjennomføres ytterligere sikringstiltak, uavhengig av kostnadene ved tiltakene.

 

 

Gjennomførte sikringstiltak for å redusere risikoen til et akseptabelt nivå må også dokumenteres som en del av risikovurderingen. Risikovurderingen skal oppbevares i fem år etter det siste regnskapsåret den var aktuell for.

Vedlegg 2 til norsk bokføringsstandard NBS 1 Sikring av regnskapsmateriale gir følgende eksempel på dokumentasjon av en risikovurdering:

 

 

Sikring av integritet

Sikring av regnskapsmaterialets integritet innebærer sikring mot urettmessige endringer i hele oppbevaringstiden. Urettmessige endringer medfører at regnskapsmaterialet ikke lenger utgjør et troverdig grunnlag ved kontroll.

Valg av filformat påvirker risikoen for urettmessige endringer. Salgsdokumenter skal utstedes i såkalt «ikke direkte redigerbare» formater. Dette begrenser adgangen til fakturering ved bruk av for eksempel Word, Excel eller tekst i e-post. For annet regnskapsmateriale, fordrer oppbevaring i direkte redigerbare filformater at det gjennomføres særskilte sikringstiltak for å forhindre urettmessige endringer.

Hvis den bokføringspliktige velger elektronisk oppbevaring av bokførte opplysninger («hovedbok og reskontroer») i stedet for oppbevaring av ferdig utarbeidede spesifikasjoner, kreves det lukking av regnskapsperiodene som et ledd i sikringen mot urettmessige endringer.

Ut over dette kan sikring av regnskapsmaterialets integritet skje for eksempel gjennom:

  • Krav om brukernavn og passord for å få tilgang til regnskapsmaterialet.
  • Rettighetsstyring slik at kun personer med tjenstlig behov får tilgang til regnskapsmaterialet.
  • Digitale signaturer slik at endringer ikke kan gjennomføres uten at dette fremgår.
  • Oppdaterte brannmurer, virusprogramvare mv. som forhindrer uautorisert tilgang.

 

Sikring av tilgjengelighet

Sikring av regnskapsmaterialets tilgjengelighet innebærer sikring mot urettmessig sletting, tap og ødeleggelse. Regnskapsmaterialet skal være tilgjengelig for kontroll, være lesbart og kunne skrives ut på papir i hele oppbevaringstiden.

Ved elektronisk oppbevaring må det gjøres sikkerhetskopiering etter nærmere angitte regler.

Sikring av regnskapsmaterialets tilgjengelighet kan for øvrig skje for eksempel gjennom:

  • Sikring av det fysiske lagringsmediet mot fjerning, tyveri, brann, fuktskader mv.
  • Tilgang til nødvendig maskinvare, programvare (med lisenser), brukerveiledninger mv. til å kunne lese og skrive ut regnskapsmaterialet i hele oppbevaringstiden.

I tillegg bidrar de tiltakene som sikrer regnskapsmaterialets integritet også til å sikre tilgjengeligheten.

 

Hva med konfidensialitet?

Kontrollmulighetene svekkes normalt ikke ved at uautoriserte får innsyn i regnskapsmaterialet. Bokføringsreglene stiller derfor ikke krav om sikring mot urettmessig tilgang.

Andre regelverk kan imidlertid stille krav om konfidensialitet. Dette gjelder blant annet for regnskapsmateriale som inneholder personopplysninger og for innførselsdeklarasjoner med grunnlagsdokumenter. Jeg går i denne artikkelen ikke inn på slike andre regelverk.

 

Kontrollspor

En kontrollør skal lett kunne følge kontrollsporet fra bilagene via bokføringen frem til pliktig regnskapsrapportering. Det skal på samme måte være lett å ta utgangspunkt i pliktig regnskapsrapportering og via bokføringen finne tilbake til bilagene.

Kontrollsporet mellom bilagene og bokføringen skal være i form av fortløpende bilagsnumre.

Kontrollsporet skal holdes intakt i hele oppbevaringstiden. Ved bytte av systemer, lagringsmedier, filformater og oppbevaringssteder, må den bokføringspliktige være påpasselig med at kontrollsporet ikke forvanskes eller ødelegges. Dette følger også av kravene til ordnet oppbevaring, sikring av tilgjengelighet og mulighet for etterkontroll i hele oppbevaringstiden, som nevnt ovenfor.

Eksempel: Hvis elektronisk oppbevarte bilag skrives ut på papir må bilagsnumrene fremgå av eller påføres utskriftene, slik at kontrollsporet fortsatt er intakt etter bytte av medium.

 

Dokumentasjon av kontrollsporet

Dokumentasjon av kontrollsporet skal foreligge hvis det er nødvendig for å kunne kontrollere bokføringen og den pliktig regnskapsrapportering på en enkel måte.

Hvis regnskapsmaterialet oppbevares i ulike systemer, på ulike lagringsmedier, i ulike filformater eller på ulike steder, kan det være nødvendig å utarbeide slik dokumentasjon som forklarer hvordan bokføringen og den pliktige regnskapsrapporteringen kan kontrolleres på en enkel måte.

Et eksempel kan være at kontantsalg bokføres som månedlige totaler i hovedboken, mens dagsoppgjør mv. oppbevares elektronisk i kassasystemet. Hvis kontrollsporet mellom månedstotalene i hovedboken og dagsoppgjørene i kassasystemet ikke er lett å følge, må kontrollsporet dokumenteres.

Dokumentasjonen av kontrollsporet skal oppbevares i fem år etter det siste regnskapsåret den var aktuell.

 

Oppbevaringssted

Den bokføringspliktige står ikke fritt til å velge hvor regnskapsmaterialet skal oppbevares.

 

Hovedregelen er oppbevaring i Norge

Hovedregelen er at regnskapsmaterialet skal oppbevares i Norge. Ved elektronisk oppbevaring må det fysiske lagringsmediet (serveren) befinne seg i Norge. Det samme gjelder for sikkerhetskopien. Det er ikke tilstrekkelig at regnskapsmaterialet er tilgjengelig på skjerm og for utskrift i Norge.

Elektroniske journaler i kassasystemer skal alltid oppbevares i Norge, uten mulighet for å benytte forskriftsbestemte unntak eller søke om dispensasjon for oppbevaring i utlandet (jf. nedenfor).

Kravet om oppbevaring i Norge begrenser muligheten til å sette bort oppbevaringen til eksterne parter, herunder bruk av skyløsninger.

Hovedregelen er at regnskapsmaterialet oppbevares på en server som er plassert i Norge.

 

Så lenge serveren er plassert i Norge tillates også bruk av skyløsninger.

 

Oppbevaring på en server som er plassert utenfor Norge er etter hovedregelen ikke tillatt.

 

Forbudet mot oppbevaring i utlandet omfatter bruk av skyløsninger hvor serverne er plassert utenfor Norge.

 

Bokføring i utlandet er tillatt

Bokføringsreglene har ingen bestemmelser om bokføringssted.

Regnskapsmateriale kan oppbevares midlertidig i utlandet når bokføringen skjer i utlandet. Dette gjelder også når bokføringen skjer fra Norge mot en server i utlandet.  Regnskapsmaterialet skal imidlertid kunne fremlegges for kontroll i Norge uten ubegrunnet opphold.

Ved bokføring i utlandet skal regnskapsmaterialet overføres til oppbevaring i Norge innen en måned etter fastsetting av årsregnskapet og uansett senest syv måneder etter regnskapsårets slutt.

 

Unntak for filialer

For utenlandske foretak som ikke lenger har bokføringsplikt til Norge, er plikten til oppbevaring i Norge begrenset til tre år etter regnskapsårets slutt. I resten av oppbevaringstiden kan regnskapsmaterialet oppbevares i utlandet.

Bokføringspliktige som driver virksomhet i utlandet, kan oppbevare regnskapsmateriale knyttet til denne virksomheten i det aktuelle landet, hvis det er plikt til dette etter det aktuelle landets lovgivning.

Regnskapsmaterialet skal uten ubegrunnet opphold kunne fremlegges for kontroll i Norge i hele oppbevaringstiden.

 

Unntak for oppbevaring i Norden

Den bokføringspliktige kan oppbevare elektronisk regnskapsmateriale i Danmark, Finland, Island eller Sverige uten å måtte søke om dispensasjon.

Regnskapsmaterialet skal være tilgjengelig i lesbar form og kunne skrives ut på papir fra Norge i hele oppbevaringstiden.

Den bokføringspliktige må skriftlig informere skattekontoret om hvilket regnskapsmateriale som oppbevares i Danmark, Finland, Island eller Sverige, hvor regnskapsmaterialet oppbevares og hvordan kontrollmyndighetene kan få adgang til regnskapsmaterialet.

Oppbevaring på servere som er plassert i Danmark, Finland, Island eller Sverige tillates.

 

Også skyløsninger hvor serverne er plassert i Danmark, Finland, Island eller Sverige kan benyttes.

 

Dispensasjon til oppbevaring i utlandet

For oppbevaring av regnskapsmateriale i andre land enn Norge, Danmark, Finland, Island eller Sverige, kreves det dispensasjon fra skattekontoret.

I dispensasjonspraksis er det lagt vekt på om:

  • Det medfører problemer (ikke kun kostnader) å oppfylle kravet om oppbevaring i Norge.
  • Oppbevaringen skjer som ledd i en felles regnskapsløsning innen et konsern eller lignende.
  • Oppbevaringen skjer hos eller under kontroll av et konsernselskap eller lignende.
  • Oppbevaringen skjer i et land som har skatteavtale med Norge.
  • Regnskapsmaterialet er tilgjengelig i lesbar form og kan skrives ut på papir i Norge i hele oppbevaringstiden.

 

Endringer i sikte?

For å oppfylle kravene i EUs forordning om fri flyt av andre opplysninger enn personopplysninger, forventes det endringer i de norske reglene om oppbevaringssted for regnskapsmateriale.

 

Ansvar for oppbevaringen

Den bokføringspliktiges ansvar

Det er alltid den bokføringspliktige som har ansvaret for at reglene om oppbevaring av regnskapsmateriale følges.

 

Ledelsen må ivareta ansvaret

Innehaver, deltakere, styret og/eller daglig leder må sørge for at oppbevaringsreglene etterleves. Det er de personene som til enhver tid innehar rollene som må ivareta ansvaret, også når det gjelder regnskapsmateriale for tidligere år.

Aksjeeiere har ikke ansvar for at oppbevaringsreglene etterleves. Oppbevaringsplikten følger selskapet, ikke eierne.

 

Fusjon, fisjon, avvikling og konkurs

Verken fusjon, fisjon, avvikling eller konkurs endrer oppbevaringsplikten eller oppbevaringstiden.

Ved fusjon skal overtakende selskap oppbevare det overdragende selskapets regnskapsmateriale.  Ved fisjon har det overdragende selskapet oppbevaringsplikt frem til tidspunktet for fisjonen.

Når et aksje- eller allmennaksjeselskap avvikles, skal styret sørge for oppbevaring av regnskapsmaterialet. I enkeltpersonforetak ligger ansvaret på innehaver, mens det i ansvarlige selskaper blir deltakernes ansvar å sørge for oppbevaringen.

Ved konkurs har ikke bostyrer oppbevaringsplikt for skyldnerens regnskapsmateriale etter avslutning av bobehandlingen. I enkeltpersonforetak må innehaveren sørge for oppbevaringen, mens deltakerne har ansvaret i ansvarlige selskaper. I selskaper med begrenset ansvar antas det at personer i styret og ledelsen ikke har noe personlig ansvar for å oppfylle selskapets oppbevaringsplikt etter konkursen.

 

Outsourcing fritar ikke fra ansvaret

Oppgaven med å oppbevare regnskapsmaterialet kan, som tidligere nevnt, settes bort til eksterne parter (for eksempel en regnskapsfører). Ansvaret for etterlevelsen av oppbevaringsreglene kan imidlertid ikke settes bort.

Når oppbevaringen settes bort til en ekstern part, må den bokføringspliktige forsikre seg om at oppbevaringen skjer i samsvar med bokføringsreglene. Dette kan kreve egen eller innleid teknisk kompetanse og avtaleregulering som sikrer tilgang til den eksterne partens systemer og rutiner.

 

Oppsummering

Omfanget av et foretaks oppbevaringspliktige regnskapsmateriale kan være stort. Omfattende regler om oppbevaringsplikt, oppbevaringstid, orden, sikring, kontrollspor og oppbevaringssted må etterleves.

Elektronisk oppbevaring utenfor Norge, Danmark, Finland, Island og Sverige krever dispensasjon fra skattekontoret. Dette kan begrense mulighetene til å sette bort oppbevaringen til eksterne parter, herunder å bruke skyløsninger.

Det er alltid den bokføringspliktige som har ansvaret for at oppbevaringsreglene følges. De praktiske oppgavene kan settes bort til eksterne parter, men ikke ansvaret.

 

Artikkelen ble først publisert i Revisjon og Regnskap nr. 5 2020. Mer informasjon om tidsskriftet Revisjon og Regnskap, som utgis av Revisorforeningen, finner du her.

 

Lyst å holde deg oppdatert med artikler som denne? Meld deg på vårt nyhetsbrev her.