Utkontraktering av oppgaver knyttet til compliancefunksjonen
Brev
Publisert: 11. april 2012
Sist endret: 23. september 2016
SAKSBEHANDLER:
Gry Evensen Skallerud
VÅR REFERANSE:
11/8781
DATO:
27.3.2012
Utkontraktering av oppgaver knyttet til compliancefunksjonen
Vi viser til Deres brev 31. august 2011 vedrørende utkontraktering av compliance-funksjonen i et verdipapirforetak.
Finanstilsynet vil i det følgende redegjøre for tilsynets forståelse av verdipapirhandellovens krav til kontrollfunksjon på generelt grunnlag. Det er foretaket selv, ved styret, som er ansvarlig for at foretaket til enhver tid er organisert og har oppdaterte rutiner, retningslinjer og instrukser i henhold til verdipapirhandelloven kapittel 9 og 10. Finanstilsynet har i denne omgang ikke tatt stilling til hvorvidt den skisserte organiseringen av kontrollfunksjonen tilfredsstiller lovens krav, men vil eventuelt vurdere dette konkret ved stedlig tilsyn.
Verdipapirforetak plikter å ha en effektiv og uavhengig kontrollfunksjon som gjennom løpende kontroll, regelmessige vurderinger og iverksetting av eventuelle tiltak sikrer at foretaket oppfyller forpliktelsene etter verdipapirhandelloven og forskrifter, jf. verdipapirhandelloven (vphl.) § 9-11 femte ledd, jf. verdipapirforskriften (vpf.) § 9-8. Kravene til kontrollfunksjonen skal tilpasses arten, omfanget og kompleksiteten i virksomheten, jf. vpf. § 9-11 første ledd.
Foretaket må påse at det utpekes en medarbeider i verdipapirforetaket med hovedansvar for kontrollfunksjonen, jf. vpf. § 9-8 tredje ledd bokstav b. Medarbeideren må ha nødvendig autoritet, ekspertise, ressurser og tilgang til relevant informasjon, jf. § 9-8 tredje ledd bokstav a. For å sikre uavhengigheten til kontrollfunksjonen, skal personer som er involvert i kontrollfunksjonen ikke involveres i utøvelsen av de tjenester eller funksjoner de skal kontrollere og de skal ikke få fastsatt sin godtgjørelse på en måte som påvirker, eller er egnet til å påvirke, deres objektivitet, jf. vpf. § 9-8 tredje ledd bokstav c) og d).
Finanstilsynet har i praksis lagt til grunn at den utpekte medarbeideren med hovedansvar for kontrollfunksjonen som hovedregel ikke kan være foretakets daglige leder. Begrunnelsen for dette er at en kontrollfunksjon som også er deltar i ledelsen av foretaket vanskelig kan sies å være effektiv og uavhengig. Foretakets faktiske ledere vil være involvert i utøvelsen av investeringstjenestevirksomhet, og kan av den grunn normalt ikke utpekes som hovedansvarlig for kontrollfunksjonen.
Etter vpf. § 9-11 annet ledd kan foretaket unnlate å oppfylle enkelte krav til kontrollfunksjonen uavhengighet, dersom foretaket kan godtgjøre at kravene ikke står i rimelig forhold til virksomhetens art, omfang og kompleksitet. En slik unnlatelse forutsetter imidlertid at kontrollfunksjonen forblir effektiv.
Utkontraktering av viktige operasjonelle funksjoner i et verdipapirforetak reguleres av verdipapirhandelloven § 9-11 annet ledd og verdipapirforskriften § 9-14. Kontrollfunksjonen i et verdipapirforetak anses som en viktig operasjonell funksjon, og en utkontraktering av denne funksjonen vil derfor være underlagt kravene i vphl. § 9-11 annet ledd og vpf. § 9-14. Utkontraktering reduserer ikke foretakets ansvar for oppfyllelsen av forpliktelsene knyttet til kontrollfunksjonen, da det uansett er verdipapirforetaket som har det fulle ansvaret for virksomheten som utkontrakteres. Ved utkontraktering må samtlige krav etter vpf. § 9-14 oppfylles. Finanstilsynet finner likevel grunn til å understreke at verdipapirforetaket ved utkontraktering av kontrollfunksjon særlig må forsikre seg om at
- verdipapirforetaket har den kunnskap som kreves for effektivt å kunne føre tilsyn og håndtere risiko forbundet med den utkontrakterte virksomheten (§ 9-14 annet ledd bokstav b)),
- oppdragstaker utfører oppdraget på en effektiv måte og at verdipapirforetaket har egnede rutiner for å kunne vurdere oppdragets utførelse (§ 9-14 annet ledd bokstav e)),
- oppdragstaker har den nødvendige kompetanse og kapasitet (§ 9-14 annet ledd bokstav d)),
- verdipapirforetaket, dets revisorer og Finanstilsynet har faktisk tilgang på opplysninger knyttet til den utkontrakterte virksomheten og til oppdragstakers lokaler, og at Finanstilsynet har mulighet til å føre tilsyn (§ 9-14 annet ledd bokstav i)).
Kravene som stilles til kontrollfunksjonen i vpf. § 9-8 vil gjelde uavhengig av om oppgavene som hører inn under kontrollfunksjonen utkontrakteres eller ikke. Finanstilsynet understreker derfor at verdipapirforetaket må påse at oppdragstaker tilfredsstiller kravene til nødvendige autoritet, ekspertise og ressurser og har tilgang til relevant informasjon, jf. § 9-8 tredje ledd bokstav a. Det må utarbeides en avtale mellom foretaket og oppdragstaker knyttet til den nærmere utførelsen av kontrollfunksjonen, herunder hvilke kontroller som skal utføres, hvor hyppig kontrollene skal utføres og hvordan tjenesteyter skal rapportere til foretaket. Avtalen må være tilstrekkelig detaljert til å sette foretaket i stand til å følge opp utførelsen av oppdraget og effektivt føre kontroll med og håndtere risikoen forbundet med de utkontrakterte oppgavene.
Selv om foretaket utkontrakterer kontrolloppgaver som hører under compliancefunksjonen, skal foretaket likevel utpeke en medarbeider med hovedansvar for kontrollfunksjonen. Vedkommende må følge opp tjenesteyter og påse at oppgavene blir utført i tråd med avtalen. Foretaket må etablere rutiner for å kunne vurdere oppdragets utførelse. Dette kan for eksempel inkludere følgende:
- løpende kontroll med utførelsen av de utkontrakterte kontrolloppgavene
- rutiner for å identifisere og rapportere oppdragstakers eventuelle mangelfulle utførelse av kontrolloppgaver
- innføre tilfredsstillende rapportering fra oppdragstaker til verdipapirforetaket med hensyn til gjennomføring av kontrolloppgavene
- rutiner som sikrer at oppdragstaker oversender tilstrekkelig informasjon om utførelsen av kontrolloppgaver til verdipapirforetaket.
Som nevnt skal kontrollfunksjonen blant annet foreta løpende kontroll av foretakets etterlevelse av lov og forskrifter. Finanstilsynet legger til grunn at dette kravet normalt innebærer at det ikke er tilstrekkelig at oppdragstaker kun gjennomfører dokument-basert kontroll, men at det også må gjennomføres for eksempel stedlige kontroller for å følge opp hvordan foretaket gjennomfører rutiner og instrukser i praksis.
Finanstilsynet ser det for øvrig som svært viktig at verdipapirforetak som yter investeringstjenester til forbrukere legger til rette for en effektiv og uavhengig kontrollfunksjon som kan sikre gode holdninger med hensyn til investorbeskyttelse og etterlevelse av kravene til god forretningsskikk for foretakets ansatte. I denne sammenheng er det avgjørende at ledelsen i verdipapirforetaket legger til rette for at kontrollfunksjonen kan utføre sitt arbeid effektivt og har den nødvendige autoritet internt i organisasjonen. En eventuell utkontraktering av kontrollfunksjonen må ikke medføre redusert fokus på kontroll av etterlevelse i foretaket. Foretaket er forpliktet til å ha en effektiv kontrollfunksjon uavhengig av hvordan kontrollfunksjonen organiseres.
Finanstilsynet gjør for øvrig oppmerksom på at ESMA har utarbeidet utkast til "Guidelines on certain aspects of the MiFID compliance function requirements" som gir veiledning til verdipapirforetak om hvordan foretakene bør innrette sin kontrollfunksjon. Dokumentet har vært på konsultasjon og er nå til behandling i ESMA.
For Finanstilsynet
Britt Hjellegjerde
seksjonssjef
Gry Evensen Skallerud
spesialrådgiver