Cyberangrepp blir allt vanligare och ransomware-attacker är i dag utan tvekan ett av de största cyberhot som påverkar organisationer runtom i världen. Angreppen kan vara förödande för de företag som drabbas. I denna artikel beskriver redovisningsspecialisterna Eva Törning och Sofia Wallebom några redovisningsmässiga aspekter kopplat till förlust av räkenskapsinformation för aktiebolag. Artikeln ger konkreta tips om hur revisorer, redovisningskonsulter och drabbade företag kan agera för att upprätthålla sin löpande bokföring efter en attack.
På MSB:s (Myndigheten för samhällsskydd och beredskap) webbsida presenteras ett antal exempel på olika typer av cyberangrepp, där nämns förutom ransomware-angrepp även angrepp via mejl, lösenordsattacker, angrepp mot mjukvaruleverantörer med mera.
Omfattningen av olika attacker beror, av naturliga skäl, på vilken eller vilka delar av redovisningssystemet som drabbas. Det behöver således inte vara huvudbokföringen, utan det kan även vara ett försystem där grundbokföringen görs. Det kan beröra det som arkiveras på lokal server eller i molnet. Det kan också beröra verifikationer som arkiverats på lokal server eller i molnet. Såväl huvudbokföring, grundbokföring och verifikationer utgör räkenskapsinformation enligt BFL.
Vår rekommendation är att företagen i ett första steg dokumenterar vilka system som påverkats och utröner vad som inte påverkats och därmed kan användas.
Bokföringslagens krav
Ett aktiebolag är enligt 2 kap. 1 § BFL alltid bokföringspliktigt för hela sin verksamhet. Bokföringsskyldigheten täcker avgränsade perioder, räkenskapsår, som avslutas med ett bokslut och årsredovisning.
Enligt 4 kap. 1 § BFL innebär en bokföringsskyldighet normalt följande:
löpande bokföra alla affärshändelser enligt bestämmelserna i 5 kap. 1–5 §§,
se till att det finns verifikationer enligt 5 kap. 6–9 §§ för alla bokföringsposter samt systemdokumentation och behandlingshistorik enligt 5 kap. 11 §,
bevara all räkenskapsinformation och sådan utrustning och sådana system som behövs för att presentera räkenskapsinformationen i den form som anges i 7 kap. 1 § 1 eller 2, och
avsluta den löpande bokföringen enligt bestämmelserna i 6 kap.
Bokföringslagen ställer krav på att bokföringen måste låsas så att den blir varaktig senast vid den tidpunkt då affärshändelserna ska vara bokförda enligt bestämmelserna i BFNAR 2013:2 kapitel 3.
Utgångspunkten är att bokföring ska göras i anslutning till affärshändelsen. Bestämmelserna om tidpunkten för bokföring skiljer sig dock åt beroende på om affärshändelsen avser kontanta in- och utbetalningar eller andra affärshändelser. BFL ställer högre krav på omedelbar bokföring av kontanta in- och utbetalningar än av andra affärshändelser. Den snäva tidsperioden för kontanta in- och utbetalningar beror främst på behovet av efterhandskontroll.
Enligt 5 kap. 1 § BFL (som kopplar till bestämmelserna om bokföringsbrott i brottsbalken) finns följande krav på bokföringen:
Affärshändelserna skall bokföras så att de kan presenteras i registreringsordning (grundbokföring) och i systematisk ordning (huvudbokföring). Detta skall ske på ett sådant sätt att det är möjligt att kontrollera fullständigheten i bokföringsposterna och överblicka verksamhetens förlopp, ställning och resultat.
Kapitel 8 i BFNAR 2013:2 anger att räkenskapsinformation ska säkerhetskopieras och att kopian ska hållas åtskild från den kopierade räkenskapsinformationen.
Hur uppfylls bokföringslagens krav vid cyberattacker?
Lite förenklat kan därför konstateras att bokföringslagen förutsätter att bokföringen alltid är fullständig och upprättad i rätt tid. Vid en cyberattack kan företag hamna i en situation där så inte är fallet. Detta är inte reglerat i bokföringslagen varför vi här för en diskussion om hur eventuella brister ska hanteras inom ramen för bokföringslagen, det vill säga för att inte riskera att företaget begår bokföringsbrott.
Som nämns i lagkommentaren till BFL1 är en viktig fråga som uppkommer vid misstanke om bokföringsbrott om det går att visa att verifikationer är arkiverade. Följande skrivning finns avseende verifikationer och säkerhetskopiering:
Det är inte ovanligt att verifikationer ”försvinner” i samband med ekonomisk brottslighet. Det betyder emellertid inte att avsaknaden av verifikationer alltid är ett bokföringsbrott. Om företaget kan visa upp att det faktiskt skett vanligen genom polisanmälan och skadeanmälan till försäkringsbolaget, kan detta vara ett tecken på att företaget inte varit vårdslös med sin bokföring och det är då inte fråga om något bokföringsbrott. Korrekta rutiner för säkerhetskopiering innebär inte bara att företaget kan återskapa sin bokföring utan även att företaget kan fortsätta att kräva in sina kundfordringar och därmed hålla uppe sitt kassaflöde vilket är en viktig parameter för företagets överlevnad. Därför bör säkerhetskopian förvaras på annat ställe än där ”originalet” finns.
Vidare går att läsa i lagkommentaren till BFNAR 2013:2 punkt 3.13, att om bokföring kan göras vid en senare tidpunkt är 50 dagar efter redovisningsmånadens slut (det vill säga den generella regeln som gäller alla aktiebolag) finns bland annat följande skrivning kring om den löpande bokföringen inte har upprättats i tid eller i värsta fall helt saknas.
Den bokföringsskyldige är alltid ansvarig för sin bokföring och kan inte låta en sådan brist bero. Om bokföringen är upprättad för sent, trots instruktioner från den bokföringsskyldige, måste en notering om detta göras för att dokumentera den arbetsfördelning som är uppgjord. Om bokföring helt saknas kan inte den bokföringsskyldige låta detta bero utan det krävs en aktiv handling för att undanröja ett eventuellt bokföringsbrott. Om den bokföringsskyldige handhar bokföringen görs en notering om att den som skulle bokföra inte har gjort detta och när den aktiva handlingen utfördes. Lämnas verifikationerna till en extern redovisningskonsult kan denne göra denna notering. Huvudsaken är att det i efterhand går att kontrollera att det gjordes en aktiv handling för att avhjälpa bristen och att det också går att förstå anledningen till att bokföringen var sen eller inte existerade. Det går således inte som ansvarig för den löpande bokföringen att skylla ifrån sig utan eventuella brister måste rättas till så fort detta kommer till den ansvariges kännedom. Ett sådant ansvar kan inte heller delegeras till en extern redovisningskonsult (denne utför bara den del av bokföringsskyldigheten som framgår av uppdragsbrevet emellan redovisningskonsulten och företaget).
Vid ett dataintrång kan situationen uppkomma att både original och säkerhetskopia spärras varför säkerhetskopian inte fyller någon funktion. Skrivningarna ovan betonar vikten av att handla aktivt för att avhjälpa bristen. Den aktiva handlingen innebär allt från att polisanmäla till att undanröja eventuellt bokföringsbrott. Dokumentationen kring vilka åtgärder som vidtagits och när är av stor vikt för att kunna påvisa den aktiva handlingen.
Om skadorna på befintliga system är stora kan företaget behöva bygga upp ett system med excelfiler (eller wordfiler) för att hantera sina transaktioner, utleveranser etc (beroende på vilken del av redovisningssystemet som blivit attackerat). Excelfiler är normalt inte en del av den löpande bokföringen eftersom det inte uppfyller kravet på varaktig skrift, det vill säga att något som registrerats är registrerat för alltid. Vi anser att i dessa speciella situationer behöver, undantagsvis, excelfiler accepteras som tillfällig godtagbar räkenskapsinformation. Detta för att redovisningen ska hållas i gång i avvaktan på att transaktionerna läggs in i ett redovisningssystem. I strävan efter att uppfylla kravet på varaktig skrift behöver dock excelfilerna göras om till pdf-filer eller liknande. Dessa filer blir därefter ett bevis på att företaget aktivt arbetat med att hålla redovisningen i gång.
Så fort befintligt redovisningssystem, eller ett annat redovisningssystem, fungerar ska transaktionerna bokföras.
Bokföringslagen: en kommentar (2023). Peter Nilsson och Eva Törning.
Viktiga åtgärder för det drabbade företaget
När det har skett en cyberattack ser vi det som viktigt att den bokföringsskyldige/företaget/redovisningskonsulten agerar aktivt på det som inträffat – så som beskrivs i lagkommentaren ovan – och för en logg över åtgärderna som vidtas.
Om bokföringen har spärrats behöver en rekonstruktion av bokföringen påbörjas så snart som möjligt för att motverka risken för att det uppstår ett bokföringsbrott. Företaget behöver även utröna hur de som attackerat företaget fått tillgång till bokföringen för att förhindra framtida attacker.
Tips på fem kontrollfrågor som kan ställas till kund som utsatts för en ransomware-attack:
Har företaget anmält händelsen till polis och försäkringsbolag (i det senare fallet om försäkringen täcker den här typen av skada)?
Har företaget upprättat detaljerade beskrivningar av vilka delar av redovisningssystemet som påverkats och hur?
Har företaget påbörjat rekonstruktion av det som går från redovisningssystemet?
Har företaget en dokumentation över det aktiva arbete som görs?
Om man inte har tillräckligt med bokföring för att redovisa moms, källskatter etcetera, har anstånd begärts från Skatteverket?
Några avslutande ord
BFL innehåller av naturliga skäl inga bestämmelser om den här typen av situationer. Det är dock i alla situationer, även i dessa, viktigt att beakta kraven på att löpande bokföra i varaktig skrift och att bokföra i rätt tid. Därav anser vi att det är viktigt att företagen arbetar aktivt med att hålla redovisningen i gång. Som ett led i den aktiva handlingen anser vi också att det är viktigt att dokumentera de aktiva handlingar som genomförs för att felsöka och åtgärda.
Eva Törning Redovisningsspecialist på Grant Thornton
Sofia Wallebom Redovisningsspecialist på Grant Thornton