Veiledning om utkontraktering (Opphørt)
Rundskriv
Publisert: 2. oktober 2020
Sist endret: 6. september 2022
Dokumentnummer: 3/2020
Dette rundskrivet gjelder ikke lenger
Nytt gjeldende rundskriv er:
Utskriftsversjon
Rundskrivet gjelder for:
- Alle foretak under tilsyn
1 Innledning
Tilnærmet alle foretak under tilsyn av Finanstilsynet har inngått avtaler som innebærer at de har utkontraktert deler av virksomheten. Dette rundskrivet gir veiledning om hva som regnes som utkontraktering, begrensninger i adgangen til å utkontraktere og hvordan foretak under tilsyn må identifisere, vurdere og håndtere risikoen knyttet til utkontraktering. Rundskrivet omtaler også finanstilsynsloven § 4c om utkontraktering og meldeplikt til Finanstilsynet.
Foretakets ansvar overfor kunder, offentlige myndigheter og andre endres ikke som følge av utkontrakteringen. Ansvaret forblir i foretaket, uavhengig av hva som følger av avtalen mellom foretaket og den som påtar seg å utføre oppdraget ("oppdragstaker").
De ulike temaene i rundskrivet omtales på et overordnet nivå. Sektorregelverket kan gi mer detaljerte regler, og Finanstilsynet forutsetter at alle foretak har god kunnskap om hvilke krav som følger av aktuelt sektorregelverk.
De europeiske tilsynsmyndighetene EBA, EIOPA og ESMA har fastsatt retningslinjer som omhandler utkontraktering1). Finanstilsynet forutsetter at foretakene har god kunnskap om hvilke krav som følger av retningslinjene som gjelder for dem, og om Finanstilsynets tilsynsarbeid rettet mot den aktuelle sektoren. I forvaltningen av det aktuelle sektorregelverket vil Finanstilsynet også legge vekt på retningslinjer som fastsettes av andre EU-organer og internasjonale organisasjoner.
Dette rundskrivet opphever Finanstilsynets rundskriv 17/1996 om inkassoforetaks bruk av eksterne tjenester og rundskriv 14/2010 om utflytting av bankenes IKT-oppgaver.
2 Vurderinger som må gjennomføres før utkontraktering
Før avtale om utkontraktering inngås, må foretaket vurdere om det er begrensninger i adgangen til å utkontraktere de aktuelle oppgavene, se punkt 4.
Foretaket må også vurdere hvilke risikoer utkontrakteringen av de enkelte oppgavene vil innebære for foretakets virksomhet. Det gjelder selv om utkontraktering er et tiltak for å redusere foretakets risiko. Vurderingen skal inkludere:
- en konkretisering av de ulike risikoene,
- sannsynligheten for at de aktuelle hendelsene inntreffer, og
- hvilke konsekvenser det i så fall vil kunne ha for foretakets virksomhet.
Foretakets vurdering må også inkludere muligheten til å terminere avtalen uten at det skaper vesentlige forstyrrelser i virksomheten, og på en måte som sikrer oppfyllelsen av lovkrav og forpliktelsene overfor kundene. I denne forbindelse må følgende muligheter vurderes:
- flytting av utkontrakterte funksjoner og data til alternative tilbydere
- ta oppgaven tilbake i foretaket, herunder tilgang til kapasitet og kompetanse
- eventuelle andre tiltak som sikrer kontinuerlig leveranse av virksomhet som er utkontraktert
Dersom den samme oppdragstakeren utfører mange oppgaver på vegne av foretaket, må foretakets vurdering inkludere sårbarheter knyttet til dette. Foretaket må påse at det er rettslig adgang til å terminere avtalen.
Basert på risikovurderingen må foretaket beslutte om, og hvilke risikoreduserende tiltak som skal iverksettes. En forsvarlig vurdering av oppdragstaker og innholdet av utkontrakteringsavtalen er viktige risikoreduserende tiltak. Dette er nærmere redegjort for i punkt 5 og 6.
Foretaket må påse at meldeplikten til Finanstilsynet etter finanstilsynsloven § 4c og sektorregelverket overholdes, se punkt 7.
Utkontraktering og meldeplikt må være forankret i og følges opp gjennom foretakets etablerte styrings- og kontrollsystemer, se punkt 8 om håndtering av risiko knyttet til utkontraktering.
Omfanget av risikovurderinger og risikoreduserende tiltak vil variere avhengig av arten, omfanget av og kompleksiteten i foretakets virksomhet, og hvilken betydning de utkontrakterte oppgavene har for foretakets virksomhet. Risikovurderingene må dokumenteres.
3 Om utkontraktering
Det er utkontraktering når et foretak velger å la en annen juridisk enhet (oppdragstaker) utføre oppgaver på vegne av foretaket. Dette gjelder også når foretaket er i samme konsern eller konsernlignende gruppe som oppdragstaker. Med konsernlignende grupper menes for eksempel grupper som nevnt i finansforetaksloven § 1-4 annet ledd, revisjonsnettverk og franchiseavtaler som innebærer at franchisetaker har utkontraktert oppgaver til franchisegiver.
Hvor viktig oppgaven(e) er for foretakets virksomhet eller omfanget av oppgaven(e), er ikke av betydning for om en avtale innebærer utkontraktering, men det kan ha betydning for hvilke regler som gjelder. Det kan for eksempel være regler som begrenser adgangen til å utkontraktere, krav til hva foretaket særskilt må vurdere og om inngåelse av avtalen utløser meldeplikt til Finanstilsynet.
I det følgende gis det eksempler på hva som er utkontraktering og hva som ikke er det, basert på spørsmål Finanstilsynet har mottatt. Eksemplene må ses i sammenheng med begrensningene for utkontraktering som omtales i punkt 4.
a) IKT-virksomhet
- Kjøp av programvare som installeres på foretakets egen server og som driftes av foretaket selv, innebærer ikke utkontraktering av IKT-virksomhet. Ved bruk av slik programvare drifter, behandler og oppbevarer foretaket selv sine data.
- Hvis foretaket har programvare på egen server, men setter bort driften av serveren til en oppdragstaker, innebærer dette utkontraktering av IKT-virksomhet.
- Avtale om rett til bruk av programvare, plattform og/eller infrastruktur (IKT-systemer og -tjenester) som driftes av oppdragstaker på oppdragstakerens servere, anses som utkontraktering av foretakets IKT-virksomhet. Som eksempler på dette nevnes:
a. IaaS – (Infrastructure as a Service)
b. PaaS – (Platform as a Service)
c. SaaS – (Software as a Service)
Bruk av IaaS, PaaS eller SaaS innebærer at foretaket også utkontrakterer driften, behandlingen og/eller oppbevaringen av data som registreres i forbindelse med bruken av slike programvarer og tjenester.
b) Mottak av kundemidler
En avtale der foretaket gir en oppdragstaker i oppdrag å motta kundemidler på foretakets vegne, er avtale om utkontraktering. At depotmottaker oppbevarer midler på vegne av fond og forvalter, er ikke utkontraktering.
c) Markedsføring og salg
- En bank som benytter låneagenter som ledd i markedsføringen eller salg av lån, har utkontraktert virksomhet til agenten. Det samme gjelder når et forsikringsforetak benytter seg av forsikringsagenter.
- Lån som kommer i stand mellom en bank og en kunde fordi kunden har benyttet en finansmegler (mellommann), innebærer ikke utkontraktering fra banken til finansmegleren. Det samme gjelder avtale om forsikring mellom et forsikringsforetak og en kunde som har kommet i stand gjennom et forsikringsmeglingsforetak.
- Lån som har kommet i stand med et foretak fordi kunden har vært i kontakt med en finansrådgiver, innebærer ikke utkontraktering fra foretaket til finansrådgiveren.
- En forvalter av alternative investeringsfond som benytter oppdragstakere til å markedsføre alternative investeringsfond, har utkontraktert markedsføringen.
- Et foretaks kjøp av tjenester knyttet til planlegging av salgskampanjer er ikke utkontraktering.
d) Internrevisjon
Avtale om at en oppdragstaker skal ivareta hele eller deler av foretakets internrevisjon er utkontraktering. Kjøp av enkelte tjenester for å få belyst eller bekreftet konkrete spørsmål, er ikke utkontraktering.
e) Ivaretakelse av enkeltoppdrag/forholdet til kunder
- Det er utkontraktering når inkassoforetak benytter en oppdragstaker til å følge opp skyldnere per telefon i forbindelse med inndriving av krav.
- Det er utkontraktering når forsikringsforetak benytter en oppdragstaker til å gjennomføre skadeoppgjør. Avtale om kjøp av håndverkertjenester for skadeutbedring er ikke utkontraktering.
- Det er utkontraktering dersom et revisjonsforetak benytter en oppdragstaker til oppgaver som er nødvendige for å oppfylle revisorlovens eller revisjonsstandardenes krav til revisjonsutførelsen. Dette gjelder for eksempel utarbeiding av analyser, konsultasjoner, varetelling, eventuell oppdragskontroll før signering av revisjonsberetning m.m. Tilsvarende gjelder for regnskapsførerselskaper.
f) Bruk av oppdragstaker til utføring av følgende administrative eller driftsrelaterte oppgaver er utkontraktering:
- Bruk av ekstern regnskapsfører for hele eller deler av regnskapsføringen.
- Bruk av oppdragstaker til inndriving av fordringer.
- Bruk av oppdragstaker til produksjon og utsendelse av fakturaer.
- Bruk av oppdragstaker til mottak og behandling av kundehenvendelser, for eksempel et callsenter.
- Bruk av oppdragstaker til utsendelse av informasjon til foretakets kunder eller skyldnere.
g) Kjøp av tjenester er ikke utkontraktering. Dette kan for eksempel være:
- Bankenes bruk av sikkerhetsselskaper for fysisk frakt av penger til og fra banken eller bankens representanter.
- Bruk av generelle risikovurderinger, standard retningslinjer m.m. utarbeidet av bransjeforeninger eller andre aktører.
- Kjøp av vaktmester-, renholds- og kantinetjenester.
h) Advokattjenester m.m.
Kjøp av juridiske tjenester i forbindelse med tvisteløsninger og generell juridisk rådgivning er ikke utkontraktering. Det samme gjelder bruk av revisorer eller andre til å granske et konkret forhold i foretakets virksomhet.
i) Bruk av vikarer
Avtale med et vikarbyrå om at det skal stilles en eller flere personer til rådighet for midlertidig å tre inn i bestemte stillinger i foretaket, er ikke utkontraktering. Tilsvarende gjelder annen midlertidig innleie av personer for å utføre oppgaver som normalt gjøres av foretakets ansatte.
4 Begrensninger i hvilke oppgaver som kan utkontrakteres
Foretaket må selv fastsette strategier og overordnede retningslinjer for risikostyring og internkontroll, herunder foretakets risikoprofil og risikorammer (der sistnevnte er aktuelt), se punkt 8.1.
Foretaket kan bare utkontraktere virksomhet dersom det anses som forsvarlig. Dette forutsetter blant annet at oppdragstaker har kompetanse og ressurser som oppdraget krever, se punkt 5. Foretaket må selv ha kapasitet og kompetanse til å sikre nødvendig styring og kontroll med utkontraktert virksomhet, se punkt 8.3. I tillegg må foretaket sikre at Finanstilsynet kan føre tilsyn med utkontraktert virksomhet.
Selv om en oppgave ikke kan utkontrakteres, kan foretaket normalt utkontraktere IKT-virksomhet som understøtter gjennomføringen av den aktuelle oppgaven. Bruk av IKT-løsninger reguleres av IKT-forskriften, som også inneholder bestemmelser om utkontraktering2).
4.1 Omfanget
Begrensninger knyttet til omfanget av utkontrakteringen kan følge direkte av lovgivningen, for eksempel slik som i finansforetaksloven. Begrensninger kan også følge av Finanstilsynets praksis.
Utgangspunktet er at foretak som driver konsesjonspliktig virksomhet, selv skal yte tjenestene som krever konsesjon. Foretak kan ikke utkontraktere oppgaver i et omfang som gjør at foretaket selv ikke har tilstrekkelige ressurser til å følge opp og eventuelt avvikle utkontrakteringsavtaler, og sikre kontinuitet dersom oppgavene må tas tilbake, se punkt 8.3. Et foretak kan uansett ikke utkontraktere konsesjonspliktig virksomhet i et omfang som innebærer at foretaket fremstår som et "tomt skall". Hvor mye av virksomheten som kan utkontrakteres, avhenger av en konkret vurdering.
4.2 Arten
En oppgave kan være av så stor betydning for den operasjonelle virksomheten at utkontraktering, etter en samlet vurdering, ikke kan anses som forsvarlig. Dette må vurderes konkret, og kravet til foretakets vurderinger skjerpes jo større betydning de utkontrakterte oppgavene har for foretakets virksomhet. Sektorregelverket kan ha ulik regulering av hvilke oppgaver som kan utkontrakteres.
4.2.1 Kjerneoppgaver
Finansforetak kan ikke utkontraktere kjerneoppgaver. Det betyr for eksempel at et forsikringsforetak ikke kan utkontraktere fastsettelse av rammer for forsikringsrisiko og at en bank ikke kan utkontraktere rentefastsettelsen eller fastsettelse av grunnlaget for innvilgelse av kreditt. For øvrig beror det på en konkret vurdering hva som anses som kjerneoppgaver.
For pensjonskasser er det i forsikringsvirksomhetsloven § 2-3 gitt videre adgang til utkontraktering enn det som gjelder for finansforetak for øvrig.
4.2.2 Kontrollfunksjoner og kontrolloppgaver
Internrevisjonsfunksjonen kan utkontrakteres, men ikke til foretakets valgte revisor.
Kontrollfunksjonene for risikostyring og etterlevelse (og aktuarfunksjonen i forsikringsforetak) er sentrale i foretakenes virksomhetsstyring. Det er viktig at utføring av oppgaver som tilligger disse funksjonene, er tett integrert i foretakets system for styring og kontroll. Både type kontrolloppgaver som utkontrakteres og omfanget av utkontrakterte oppgaver, vil være avgjørende i en konkret vurdering av om oppgavene samlet sett blir ivaretatt på en forsvarlig måte. Selv om foretaket utkontrakterer kontrolloppgaver som hører under en kontrollfunksjon, skal det likevel utpekes en medarbeider i foretaket som er ansvarlig for funksjonen. Vedkommende må følge opp oppdragstaker og påse at oppgavene blir utført i henhold til oppdragsavtalen. For banker er dette omtalt i EBAs "Guidelines on internal governance" (GL2017/11) punkt 1543), og for forsikringsforetak i EIOPAs "Guidelines on system of governance" (EIOPA-BoS-14/253) Guideline 14, punkt 1.474). For verdipapirforetak er utkontraktering av kontrolloppgaver omtalt nærmere i Finanstilsynets rundskriv 5/20155).
For mindre foretak kan utkontraktering av kontrolloppgaver være nødvendig for å oppnå tilstrekkelig uavhengighet fra den operasjonelle virksomheten. For eksempel vil en revisor som driver alene, ikke kunne oppfylle lovkravet til etablering av et forsvarlig internt kvalitetskontrollsystem uten å utkontraktere de sykliske kontrollene som inngår som ledd i revisjonsselskapets overvåking av egen revisjonsvirksomhet. Dersom det ikke er andre enn daglig leder som kan ivareta kontrollfunksjonen, må oppdragstaker også rapportere til styret, i tillegg til å rapportere til daglig leder som ansvarlig for kontrollfunksjonen.
4.2.3 Oppgaver etter hvitvaskingsloven
Kundetiltak etter hvitvaskingsloven kan utkontrakteres innenfor det hvitvaskingsloven § 23 åpner for. Utkontraktering av oppgaver etter hvitvaskingsloven er omtalt i Finanstilsynets generelle veiledning til hvitvaskingsloven i rundskriv (8/2019)6) og i andre rundskriv henholdsvis på eiendomsmeglingsområdet (11/2019)7), revisjonsområdet (14/2019)8) og regnskapsførerområdet (15/2019)9).
4.3 Informasjonshåndtering
Lovbestemt taushetsplikt eller plikter knyttet til informasjonshåndtering er normalt ikke til hinder for at foretaket kan utkontraktere oppgaver som innebærer at oppdragstaker får tilgang til slik informasjon. Se nærmere om dette i Finanstilsynets veiledning om taushetsplikt (rundskriv 3/2019)10). Foretaket har plikt til å iverksette risikoreduserende tiltak som hindrer at informasjon kommer på avveie eller misbrukes, for eksempel ved bruk av taushets-erklæringer. Særskilte krav til å beskytte informasjon kan følge av annet regelverk, for eksempel krav om databehandleravtale. Foretakets vurdering av oppdragstakeren og regulering og oppfølging av informasjonshåndteringen i avtalen er viktige bidrag for å hindre at informasjon kommer på avveie, jf. henholdsvis punkt 5 og 6.
5 Vurdering av oppdragstaker
Før en eventuell utkontraktering må foretaket vurdere oppdragstaker og også underleverandør(er) der dette er aktuelt. Følgende forhold vil kunne være av betydning:
- Har oppdragstaker nødvendig tillatelse der dette kreves?
- Er det et forhold mellom oppdragstaker og foretaket som gjør at det kan oppstå interessekonflikter?
- Har oppdragstaker tilstrekkelig kapasitet, kompetanse og erfaring til å utføre oppgavene på en forsvarlig måte? Dette gjelder også oppgaver som foretaket i egne beredskapsplaner har forutsatt at skal ivaretas av oppdragstaker, og oppgaver som må utføres av oppdragstaker dersom kriseløsninger må iverksettes.
- Har oppdragstaker etablert et tilfredsstillende system for risikostyring og internkontroll?
- Er oppdragstaker sertifisert, og hvilke kontroller ligger i så fall ligger til grunn for den aktuelle sertifiseringen?
- Har oppdragstaker tilstrekkelig finansiell styrke til å kunne håndtere problemer som måtte oppstå i oppdragstakers virksomhet?
- Hvor er oppdragstaker lokalisert, og hvor vil oppgavene bli utført?
Dette kan være av betydning for blant annet:
- risikoen for at personopplysninger og annen taushetsbelagt informasjon blir misbrukt eller kommer på avveie
- hvilken lovgivning og hvilket kontroll- og rettshåndhevelsesregime som gjelder for oppdragstaker og oppdragstakers virksomhet
- foretakets og Finanstilsynets mulighet til å gjennomføre fysisk kontroll - Har oppdragstaker et godt renommé?
- Har foretaket eierstyring eller annen overordnet styringsrett over oppdragstaker som gir mulighet til å påvirke oppdragstakers atferd ut over det som følger av avtalen?
- Har foretakets styre en reell mulighet til å ivareta sitt ansvar for at virksomheten drives forsvarlig ved utkontraktering til morforetak, foretak med samme eier eller lignende?
- Følger oppdragstaker prinsipper for god foretaksstyring, og opptrer oppdragstaker på en måte som er i samsvar med foretakets verdier og etiske retningslinjer? Vurderingskriterier kan for eksempel være oppdragstakers forhold til internasjonale standarder for menneskerettigheter og FNs bærekraftsmål, som arbeidsforhold, miljøbeskyttelse m.m.
Hvilke nærmere undersøkelser foretaket bør gjøre av oppdragstaker, og underleverandører der dette er aktuelt, avhenger av avtalens betydning for foretakets virksomhet og renommé. Kravet til foretakets vurderinger av oppdragstaker og eventuelle underleverandører skjerpes hvis de utkontrakterte oppgavene er virksomhetskritiske eller på annen måte av stor betydning for foretakets virksomhet.
6 Utkontrakteringsavtalen
Utkontrakteringsavtalen må gi foretaket de rettighetene som er nødvendige for at utkontrakteringen skal anses som forsvarlig. Avtalen må blant annet sikre at utkontraktert virksomhet til enhver tid drives i samsvar med det regelverket som gjelder for foretaket og foretakets virksomhet, og at Finanstilsynet kan føre tilsyn.
Krav til innholdet i avtalen kan følge av sektorregelverket og av mer tverrgående regulering som risikostyringsforskriften § 511), IKT-forskriften § 1212), CRR/CRD IV-forskriften § 36 niende ledd13) og Solvens II-forskriften § 53 første ledd14), jf. EØS-forpliktelser som tilsvarer forordning (EU) 2015/35 om utfylling av Solvens II-direktivet artikkel 274 punkt 6, avsnitt 2.
Avtale om utkontraktering skal være skriftlig og minst inneholde:
a) | Entydig identifikasjon av kontraktspartene (organisasjonsnummer eller lignende). |
b) | Klar beskrivelse av hva oppdraget går ut på, herunder spesifikasjon av leveransen med kvalitetsmål. |
c) | Avtaleperiode og oppsigelsestid. |
d) | Særlig rett for foretaket til å bringe avtalen til opphør. |
e) | Foretakets rett til å kontrollere utførelsen av oppgaven(e). |
f) | Foretakets rett til å kreve informasjon eller rapportering, i det formatet som er nødvendig, for at foretaket skal kunne følge opp utkontraktert virksomhet og for å kunne oppfylle foretakets egne rapporteringsplikter. |
g) | Bestemmelse som sikrer foretaket en løpende kontroll med at oppdragstaker overholder taushetsplikten og at foretakets plikter etter personopplysningslovgivningen er oppfylt. |
h) | Rett for Finanstilsynet til å få tilgang til alle opplysninger som anses nødvendige som ledd i tilsynet med foretaket, og til å føre tilsyn med utkontraktert virksomhet uten begrensinger. |
i) | Forbud mot videreutkontraktering, med mindre oppdragstaker skal ha en slik rett, se bokstav o)–r). |
I tillegg må foretaket vurdere om det er behov for å regulere følgende forhold:
j) | Særlige krav til oppdragstakers organisering, soliditet, eierskap, forsikringsdekning, garantistillelse m.m., og hva som i så fall skal gjelde dersom det oppstår endringer i disse forutsetningene. Det kan for eksempel kreves forutgående samtykke eller plikt til å varsle foretaket med eventuelle frister for varsling. |
k) | Lovvalg og hvor en tvist skal avgjøres (hvilket land). |
l) | Plikt for oppdragstaker til å samarbeide med relevante myndigheter i en beredskapssituasjon når dette er et krav i sektorregelverket. |
m) | Klar beskrivelse av partenes plikter ved opphør av avtalen, herunder oppdragstakers forpliktelser til å bistå i avviklingsfasen. For eksempel en plikt for oppdragstaker til å bidra til å sikre og overføre data til foretaket eller en annen mottaker som foretaket bestemmer, og i det formatet foretaket ber om. |
n) | At oppdragstaker er forpliktet til å ivareta oppgavene som foretaket har forutsatt i fastsettelsen av egne beredskapsplaner, herunder plikt for oppdragstaker til å medvirke til å iverksette kriseløsninger. |
Bestemmelser om videreutkontraktering fra oppdragstaker
Dersom oppdragstaker skal ha rett til å utkontraktere oppgaver videre til andre (benytte underleverandører i ett eller flere ledd), må det følge av avtale mellom foretaket og oppdragstaker. I så fall må foretaket alltid:
o) | Vurdere om det skal fastsettes begrensninger for hvem som kan være underleverandør(er), om foretakets samtykke skal være nødvendig m.m. |
p) | Sikre at både foretaket og Finanstilsynet har de samme rettighetene overfor underleverandør som overfor oppdragstaker. |
q) | Klargjøre oppdragstakers ansvar for å sikre at underleverandører overholder taushetsplikten og at foretakets plikter etter personopplysningslovgivningen oppfylles. |
r) | Sikre at egen meldeplikt overfor Finanstilsynet kan overholdes i situasjoner der endringer i underleverandørsituasjonen er meldepliktige. Varslingsfrister må settes slik at foretaket kan melde rettidig til Finanstilsynet. |
Kravet til foretakets vurdering av avtalen skjerpes hvis de utkontrakterte oppgavene er virksomhetskritiske eller på annen måte av stor betydning for foretakets virksomhet.
7 Finanstilsynsloven § 4c
Etter finanstilsynsloven § 4c skal foretak under tilsyn melde fra til Finanstilsynet ved inngåelse og endring av avtale om utkontraktering av virksomhet15). I punkt 7.1 og 7.2 omtales meldeplikten nærmere. Det er gjort unntak fra meldeplikten etter § 4c for nærmere angitte foretak og avtaler, se nærmere om dette i punkt 7.3. Foretak som er unntatt fra meldeplikten i finanstilsynsloven § 4c, kan være underlagt meldeplikt etter sektorregelverket.
Finanstilsynet kan sette vilkår og gi pålegg ved utkontraktering. Finanstilsynets adgang til å gripe inn gjelder overfor alle foretak under tilsyn, uavhengig av om foretaket har meldeplikt etter finanstilsynsloven § 4c. Finanstilsynets myndighet er omtalt nærmere i punkt 7.4.
7.1 Meldeplikt etter finanstilsynsloven § 4c
Finanstilsynsloven § 4c første ledd pålegger foretak meldeplikt til Finanstilsynet ved utkontraktering av virksomhet. Meldeplikten gjelder også for utkontraktering internt i konsern eller lignende.
Foretak som omfattes av meldeplikten, skal melde til Finanstilsynet ved:
- inngåelse av utkontrakteringsavtaler
- endring av utkontrakteringsavtaler, herunder opphør
- bytte av oppdragstaker
Finanstilsynet legger til grunn at denne meldeplikten også omfatter situasjoner der oppdragstaker, etter avtaleinngåelsen, videreutkontrakterer hele eller deler av oppgavene til underleverandører i ett eller flere ledd, ved bytte av slike underleverandører og ved opphør av avtaler om videreutkontraktering.
7.2 Nærmere om meldinger etter finanstilsynsloven § 4c og Finanstilsynets behandling
Frist for melding
Etter finanstilsynsloven § 4c første ledd skal melding gis minst 60 dager før iverksettelse av avtalen.
Melding om utkontraktering av IKT-virksomhet skal sendes til Finanstilsynet etter styrebehandling, se punkt 8.1.
Meldingens innhold
Etter § 3 i forskrift om unntak fra meldeplikt etter finanstilsynsloven § 4c16) skal meldingen inneholde følgende opplysninger:
- avtaleparter
- avtalens art
- omfang
- varighet
- hvordan foretaket vil følge opp sitt ansvar for den utkontrakterte virksomheten
Hvilke opplysninger som skal gis, avhenger av hvilke oppgaver som utkontrakteres og omfanget av disse. Er utkontrakteringsavtalen av betydning for sentrale deler av foretakets konsesjonspliktige virksomhet, må meldingen inneholde en utfyllende beskrivelse av risikoene og hvordan foretaket vil følge opp disse. Blant annet må vurderingen av oppdragstaker og eventuelt underleverandører fremkomme, og hvilke konsekvenser det vil ha for foretakets virksomhet dersom oppgavene ikke blir utført som forutsatt, eller avtalen på annen måte blir misligholdt.
Kravene i IKT-forskriften gjelder også for utkontraktert virksomhet. Dette innebærer blant annet at det må bekreftes i meldingen at utkontrakteringen er styrebehandlet, jf. IKT-forskriften § 2 fjerde ledd. Se nærmere om kravet til styrebehandling i punkt 8.1. Melding om utkontraktering av IKT-virksomhet skal som hovedregel inneholde foretakets risikovurdering av utkontraktert virksomhet, kopi av utkontrakteringsavtalen og en beskrivelse av hvilke rutiner og prosesser som er, eller vil bli etablert for å sikre en forsvarlig oppfølging av avtalen.
Melding om endring i utkontrakteringsavtale skal inneholde en beskrivelse av endringene og hvordan endringene påvirker risikoen knyttet til oppgavene avtalen gjelder. I en melding om endring av oppdragstaker eller underleverandør, uten andre endringer av betydning, vil foretakets vurdering knyttet til den nye oppdragstakeren eller eventuelle underleverandører normalt være tilstrekkelig, jf. punkt 5.
Foretak i enkelte sektorer skal sende meldingen i Altinn på fastsatt skjema og vedlegge nødvendig supplerende informasjon.
Finanstilsynets behandling
Finanstilsynet kan etterspørre ytterligere opplysninger og dokumentasjon dersom tilsynet mener det er nødvendig. For eksempel kan foretaket bli bedt om å sende kopi av utkontrakteringsavtalen, eller foretaket kan bli bedt om å sende oversikt over alle utkontrakteringsavtaler foretaket har inngått, eventuelt utkontrakteringsavtale(r) som gjelder nærmere angitte oppgaver.
Hvis foretaket ikke mottar en tilbakemelding fra Finanstilsynet, utover at meldingen er registrert innkommet, kan avtalen iverksettes 60 dager etter innsending av meldingen. Finanstilsynet kan på ethvert tidspunkt pålegge foretaket å avslutte oppdraget eller gjøre endringer, se nærmere under punkt 7.4. Tilsvarende gjelder for pålegg om retting etter sektorregelverket.
7.3 Unntak fra meldeplikten etter finanstilsynsloven § 4c
I forskrift om unntak fra meldeplikt ved utkontraktering av virksomhet §§ 1 og 2, er det gjort unntak fra meldeplikten etter finanstilsynsloven for nærmere angitte foretak og for enkelte utkontrakteringsavtaler.
Følgende foretakstyper er unntatt fra meldeplikt etter finanstilsynsloven § 4c første ledd:
- verdipapirforetak
- forvaltningsselskaper for verdipapirfond
- forvaltere av alternative investeringsfond
- autoriserte regnskapsførere og regnskapsførerselskaper
- revisorer og revisjonsselskaper
- eiendomsmeglingsforetak
- advokater som driver eiendomsmegling
- inkassoforetak
- kredittforetak som utsteder obligasjoner med fortrinnsrett
- pensjonskasser
- brannkasser
- egenforsikringsforetak
- låneformidlere
- forsikringsformidlingsforetak
Foretak som er unntatt meldeplikt etter finanstilsynsloven § 4c, kan ha meldeplikt etter sektorregelverket. Meldeplikt kan også følge av foretakets konsesjonsvilkår eller særskilt vedtak. For eksempel har forvaltningsselskaper for verdipapirfond etter verdipapirfondloven med tilhørende forskrift meldeplikt for avtaler som gjelder kollektiv porteføljeforvaltning og administrasjon av verdipapirfond samt distribusjonsavtaler. AIF-forvaltere skal etter AIF-loven melde om avtaler som omfatter porteføljeforvaltning, risikostyring, administrasjon og markedsføring av alternative investeringsfond. Kravene til slike meldinger kan avvike fra det som følger av finanstilsynsloven § 4c første ledd, blant annet når det gjelder meldingens innhold og tidspunktet for når utkontrakteringsavtalen kan settes i verk.
Følgende utkontrakteringsavtaler er unntatt fra meldeplikt etter finanstilsynsloven § 4 c:
- administrative og driftsrelaterte oppgaver, herunder støttefunksjoner
- IKT-virksomhet som ikke er underlagt IKT-forskriften
Eksempler på utkontraktering av administrative oppgaver som er unntatt fra meldeplikt, er avtaler som nevnt i punkt 3 bokstav f).
Hvilken IKT-virksomhet som ikke er underlagt IKT-forskriften, må vurderes konkret. Det sentrale vil være hvilke konsekvenser det har for foretakets konsesjonspliktige virksomhet dersom oppgavene ikke gjennomføres som forutsatt. Den teknologiske utviklingen har medført at ulike typer IKT-systemer er integrert i foretakenes nettverksarkitektur. Systemavhengigheter i arkitekturen kan derfor medføre at et IKT-system, som isolert sett ikke ville ha vært av betydning for foretakets virksomhet, likevel er omfattet av IKT-forskriften.
Det er ikke et forskriftsfastsatt unntak for finansforetak til å melde til Finanstilsynet avtaler med finansagenter og forsikringsagenter om salg av finansforetakets produkter. Når det gjelder ordinære salgsoppdrag, har Finanstilsynet vurdert det slik at tilgang til agentregistre, som finansforetak har plikt til å føre, vil gi tilstrekkelig informasjon om slike utkontrakteringsavtaler og at behovet for ytterligere oppfølging overfor finansforetaket av en eller flere agentavtaler kan vurderes konkret. Se for øvrig Finanstilsynets rundskriv 6/2019 om finansagenter17).
7.4 Finanstilsynets myndighet ved utkontraktering
Med hjemmel i finanstilsynsloven § 4c annet ledd kan Finanstilsynet sette vilkår for utkontraktering, gi foretaket pålegg om ikke å iverksette en utkontrakteringsavtale eller gi pålegg om å avslutte oppdraget. Finanstilsynet kan blant annet gripe inn hvis utkontrakteringen innebærer at virksomheten ikke vil drives i samsvar med lovgivningen, eller at utkontraktering skjer i et omfang eller på en måte som ellers ikke kan anses som forsvarlig, eller dersom Finanstilsynets tilsyn vanskeliggjøres.
Finanstilsynsloven § 4c annet ledd gjelder for alle foretak under tilsyn og uavhengig av om utkontrakteringsavtalene er meldepliktige etter finanstilsynsloven § 4c første ledd eller etter sektorregelverket. Finanstilsynets myndighet etter bestemmelsen gjelder så lenge virksomheten er utkontraktert.
Også sektorregelverket gir Finanstilsynet myndighet til å gripe inn ved utkontraktering av virksomhet. For eksempel har Finanstilsynet myndighet etter finansforetaksloven til å avslutte eller endre kontrakter inngått av et finansforetak når det er nødvendig som ledd i krisehåndtering. I slike situasjoner har Finanstilsynet også myndighet til å pålegge finansforetaket å overlate oppgaver til en oppdragstaker18).
8 Risikostyring og internkontroll
8.1 Styrets og daglig leders ansvar
Det prinsipielle spørsmålet om foretaket skal utkontraktere deler av virksomheten er en strategisk beslutning. Styrets ansvar for å sørge for forsvarlig organisering av foretakets virksomhet inkluderer også de delene av virksomheten som er utkontraktert. Dette innebærer at strategier og overordnede retningslinjer for risikostyring og internkontroll, herunder foretakets risikoprofil og risikorammer (der dette er aktuelt), må dekke utkontraktert virksomhet. Styret må fastsette prinsipper og overordnede retningslinjer for hvordan utkontraktering skal skje, og hvordan utkontraktert virksomhet skal følges opp og overvåkes.
I samsvar med prinsippene og retningslinjene styret har fastsatt, har daglig leder ansvar for å iverksette tiltak som sikrer styring og kontroll med utkontraktert virksomhet.
IKT-forskriften har krav om at avtaler om utkontraktering og endringer i slike avtaler skal behandles av styret. Innenfor det alminnelig selskapsrett åpner for, har Finanstilsynet lagt til grunn at styret kan delegere til administrasjonen i foretaket å vurdere og beslutte om det skal inngås avtaler om utkontraktering. Dersom styret velger å ivareta sitt ansvar gjennom delegering, må det være klart hva fullmakten gjelder, og hvordan og hvor ofte administrasjonen skal rapportere til styret om hvordan fullmakten er brukt. Finanstilsynet skal orienteres dersom en slik ordning etableres.
8.2 Retningslinjer og rutiner for utkontraktering
For å sikre at all utkontraktert virksomhet drives forsvarlig, må det etableres retningslinjer og rutiner for foretakets utkontraktering som skal ligge til grunn for den enkelte utkontrakteringsavtale. Retningslinjene og rutinene skal sikre at alle vurderinger som er nevnt i punkt 2 blir gjennomført, at grunnlaget for beslutningene er tilstrekkelig og at beslutningene blir tatt på riktig nivå i foretaket. Dette innebærer blant annet at retningslinjene og rutinene minst må omfatte:
- prosessen for å sikre en forsvarlig risikovurdering, herunder at utkontraktering av de aktuelle oppgavene er lovlig
- hvilke tiltak som skal gjennomføres for å sikre at utkontraktert virksomhet drives forsvarlig og lovlig, både på etableringstidspunktet og over tid
- overvåking av at retningslinjene og rutinene blir etterlevd, og hvordan eventuelle avvik skal håndteres
Det må fremkomme av retningslinjene og rutinene hvem (stilling/funksjon) internt i foretaket som har ansvaret for at de nødvendige risikovurderingene gjøres, for at de risikoreduserende tiltakene gjennomføres og for overvåkingen av at retningslinjene og rutinene etterleves.
Retningslinjene og rutinene må sikre at sentrale beslutninger og grunnlaget for disse blir dokumentert.
Retningslinjene og rutinene må angi hvilke rapporterings-, oppfølgings- og kontrolltiltak som alltid skal vurderes, og hva vurderingskriteriene skal være. Kravet til innholdet i retningslinjene og rutinene avhenger av omfanget og kompleksiteten i oppgaver som er aktuelle for utkontraktering. For eksempel kan retningslinjene og rutinene angi at det for visse typer utkontrakteringsavtaler skal skje en regelmessig gjennomgang av oppdragstakers systemer, eventuelt i kombinasjon med løpende stikkprøver, og hvilken betydning det skal ha i oppfølgingen av oppdragstaker at det avdekkes svakheter i rapporteringen til foretaket eller i oppdragsutførelsen.
Andre tiltak som må behandles i foretakets retningslinjer og rutiner, er plikten til å vurdere oppdragstaker (se punkt 5) og innholdet i utkontrakteringsavtalen (se punkt 6). For å sikre lovligheten av utkontrakteringen, må retningslinjene og rutinene omhandle meldeplikt til Finanstilsynet (se punkt 7.1).
Retningslinjene og rutinene må være konkret tilpasset foretakets virksomhet og oppgavene som utkontrakteres. Dette innebærer at omfanget og kompleksiteten i retningslinjene og rutinene vil variere. Uansett må retningslinjene og rutinene jevnlig vurderes og endres ved behov.
Inngåelsen og oppfølgingen av den enkelte utkontrakteringsavtale må operasjonaliseres i samsvar med etablerte interne retningslinjer og rutiner, og integreres i foretakets system for risikostyring og internkontroll på linje med annen virksomhet i foretaket. Dette må være sikret før foretaket iverksetter avtalen om utkontraktering.
Unntaksvis kan det aksepteres at foretak med begrenset virksomhet og med få og lite komplekse utkontrakteringsavtaler, kan unnlate å fastsette skriftlige retningslinjer og rutiner for utkontraktering. Dette gjelder for eksempel regnskapsførerforetak eller revisjonsforetak der virksomheten drives av en person alene. Selv om foretaket ikke har skriftlige retningslinjer og rutiner for utkontraktering, må foretaket dokumentere en risikovurdering som minst dekker forholdene som er omtalt i denne veiledningen, og hvilke kontrolltiltak som er iverksatt. Der foretaket har flere enn én ansatt, må dokumentasjonen også vise hvem internt i foretaket som har ansvaret for å følge opp utkontrakteringsavtalen(e). Risikovurderingen må oppdateres jevnlig.
8.3 Foretakets egen kapasitet og kompetanse
For at virksomheten skal drives forsvarlig og innenfor kravene som følger av sektorregelverket og eventuelle konsesjonsvilkår, må foretaket ha kapasitet og kompetanse til å inngå, følge opp og avvikle utkontrakteringsavtaler.
Hvilken kapasitet og kompetanse som til enhver tid skal være i foretaket, må avgjøres konkret. Blant annet vil det være av betydning hvilken risiko eventuell mangel på egen kapasitet eller kompetanse innebærer for foretakets virksomhet. I enkelte tilfeller kan det være nødvendig for å sikre kompetanse og erfaring at også foretaket selv utfører samme type tjeneste som skal utkontrakteres. Dette gjelder for eksempel innenfor fondsforvaltning.
For enkelte foretak har Finanstilsynet akseptert begrenset kapasitet og kompetanse. Dette gjelder for eksempel for egenforsikringsforetaks håndtering av utkontrakteringsavtale(r) med sin(e) forsikringstaker(e). I foretak som utsteder obligasjoner med fortrinnsrett og som er eid av en bank, har Finanstilsynet akseptert at foretaket i stor utstrekning kan støtte seg på eierbankens kapasitet og kompetanse.
Foretaket må også vurdere hvordan det skal sikres tilgang til nødvendig kapasitet og kompetanse for å sikre kontinuitet dersom foretaket må ta oppgaven tilbake.
8.4 Foretakets beredskapsplaner
Foretakets beredskapsplaner må omfatte utkontraktert virksomhet. Dette gjelder både planer som skal sikre at virksomheten drives i samsvar med plikter som følger av lov og avtaler dersom det oppstår uønskede hendelser, og planer for å håndtere kriser, herunder eventuell restrukturering av foretaket eller av foretakets virksomhet.
Dersom foretaket inngår i et konsern eller en konsernlignende gruppering, kan foretaket, i utarbeidelsen av sin egen beredskapsplan, inkludere konsernets eller gruppens beredskapsplaner i den utstrekning disse planene dekker oppgaver som foretaket har utkontraktert.
______
Noter:
1) EBA (den europeiske banktilsynsmyndigheten): https://www.finanstilsynet.no/regelverk/eba-anbefalinger/eba-anbefalinger/
EIOPA (den europeiske tilsynsmyndigheten for forsikring og tjenestepensjon): https://www.finanstilsynet.no/regelverk/eiopa-anbefalinger/eiopa-anbefalinger/
ESMA (den europeiske verdipapir- og markedstilsynsmyndigheten): https://www.finanstilsynet.no/regelverk/esma-anbefalinger/esma-anbefalinger/
2) Forskrift om bruk av informasjons- og kommunikasjonsteknologi: https://lovdata.no/forskrift/2003-05-21-630
3) https://eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-internal-governance-revised-
4) https://www.eiopa.europa.eu/content/guidelines-system-governance_en
5) https://www.finanstilsynet.no/nyhetsarkiv/rundskriv/2015/kontrollfunksjonen-compliancefunksjonen-i-verdipapirforetak/
6) https://www.finanstilsynet.no/nyhetsarkiv/rundskriv/2019/veileder-til-hvitvaskingsloven/
7) https://www.finanstilsynet.no/nyhetsarkiv/rundskriv/2019/Veiledning-til-etterlevelse-av-hvitvaskingsregelverket-i-eiendomsmeglingsvirksomhet/#_18
8) https://www.finanstilsynet.no/nyhetsarkiv/rundskriv/2019/veiledning-om-revisorers-og-revisjonsselskapers-etterlevelse-av-hvitvaskingsregelverket/
9) https://www.finanstilsynet.no/nyhetsarkiv/rundskriv/2019/veiledning-om-regnskapsforeres-og-regnskapsforerselskapers-etterlevelse-av-hvitvaskingsregelverket/
10) https://www.finanstilsynet.no/nyhetsarkiv/rundskriv/2019/veiledning-om-taushetsplikt/
11) https://lovdata.no/forskrift/2008-09-22-1080
12) https://lovdata.no/forskrift/2003-05-21-630
13) https://lovdata.no/forskrift/2014-08-22-1097
14) https://lovdata.no/LTI/forskrift/2019-08-06-1046
15) https://lovdata.no/lov/1956-12-07-1
16) Forskrift om unntak fra meldeplikt ved utkontraktering av virksomhet:
17) https://www.finanstilsynet.no/nyhetsarkiv/rundskriv/2019/rundskriv-om-finansagenter/
18) Finansforetaksloven §§ 20-33 og 20-34
Abonner på nyheter
Registrer deg for å få nyhetsvarsling når Finanstilsynet publiserer saker du er interessert i.