Ez szerintem két párhuzamos probléma.
Az egyik az, hogy hogyan authentikáljon a felhasználó. Jelenleg egy user/pass van, ehhez képest a TOTP, DÁP, minden is egy baromi nagy előrelépés.
A második probléma az authorizáció: az hogy a könyvelőknek támogatnia kell a könyvelőcég ügyfeleinek (továbbiakban ügyfél) munkáját, ehhez pedig arra van szükség hogy az ügyfél helyett különböző interakciókat hajtson végre az állammal. Az ügyfél azért fizeti a könyvelőt hogy ezt megcsinálja. Ezt jelenleg úgy oldják meg hogy az ügyfél megadja a felhasználónév/jelszavát!!! a könyvelőnek, aki igy el tud az adott személy helyett járni. Nyilván ez egy security rémálom.
A megoldás itt az hogy adott feladatra lehessen engedélyt adni, amit lehessen/ne lehessen delegálni, pont az általad leírt use-case-ek miatt. Innentől kezdve pedig loggolva legyen hogy ki és mit csinált, és ez látható kell legyen az ügyfele számára.
Az e-személyi szolgáltatás az égadta világon nem segít a történeten.