logoRevisjon og Regnskap

Logg på for å laste ned PDF
Selskapsrett

Risikostyringsforskriftens krav til avtaler om utkontraktert virksomhet

78-85

Risikostyringsforskriften inneholder detaljerte regler om hvordan avtaler om utkontraktering av deler av virksomheten skal utformes, som skal sørge for at underlagte virksomheter drives på forsvarlig måte – på tross av utkontrakteringen. I denne artikkelen gjøres det rede for kravene som stilles, og det gis også noen råd om hvordan virksomheter kan møte disse. Her påpekes også enkelte svakheter av regelverket, der det kan stilles spørsmål ved om reglene på noen punkter er uforholdsmessig byrdefulle.

Mads Eriksen

Legal Counsel, Office of the General Counsel, Deloitte

Inngang til regelverket om utkontrakteringsavtaler

Risikostyringsforskriften*Forskrift om risikostyring og internkontroll (FOR-2008-09-22-1080). (RSF) ble innført i 2008, og avløste internkontrollforskriften*Forskrift om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll (FOR-1997-06-20-1057). fra 1997. Den oppstiller en rekke krav for de virksomhetene som er omfattet, som i dag teller mange forskjellige typer finansforetak, og fra 2020 også revisjonsforetak (som følge av implementeringen av revisjonsdirektivet art. 24a (1) (d)).* Directive 2006/43/EC of the European Parliament and of the Council of 17 May 2006 on statutory audits of annual accounts and consolidated accounts, amending Council Directives 78/660/EEC and 83/349/EEC and repealing Council Directive 84/253/EEC (Eur-lex). Mens utkontraktering tidligere ikke var særskilt regulert, kom det i RSF inn en egen bestemmelse om utkontraktering som har beholdt sin ordlyd fra 2009 uendret:

Ǥ 5.Utkontraktering

Foretaket har ansvar for risikostyring og internkontroll også der deler av virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretaket gis rett til innsyn i og kontroll med utkontraktert virksomhet.

Avtalen skal sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn med virksomheten der Finanstilsynet finner det nødvendig.

Foretaket skal sørge for at organisasjonen besitter tilstrekkelig kompetanse til å håndtere utkontrakteringsavtalen.»

Bestemmelsen er kort, og såpass skjønnsmessig utformet at den opprinnelig åpnet for et nokså vidt tolkningsrom for de omfattede virksomhetene. Den kortfattede beskrivelsen i rundskrivet*Veiledning til forskrift om risikostyring og internkontroll, rundskriv 3/2009. til forskriften fra Finanstilsynet tilsa også dette. Dette endret seg i 2020 med et nytt rundskriv, «Veiledning om utkontraktering»*Opprinnelig rundskriv 3/2020 (RFT-2020-3 – opphevet), senere oppdatert i rundskriv 7/2021 (RFT-2021-7). (heretter «veilederen»), som utfylte forskriften med til dels svært detaljerte krav til risikovurderingen som skal utføres ved utkontraktering, samt til selve utkontrakteringsavtalen. Særlig Finanstilsynets tilsynsrett med foretakene de enkelte funksjonene er utkontraktert til, kan være utfordrende å få inn i eksisterende avtaler. Dette vil særlig gjøre seg gjeldende der avtalemotparten er hjemmehørende i en annen stat med liten eller ingen kjennskap til norske tilsynsmyndigheter. I det følgende gis det en oversikt over regelverket for utkontrakteringsavtaler, slik de følger av forskriften og veilederen, og noen råd om hvordan en virksomhet kan gå frem for å vurdere, samt reforhandle, avtaler som er omfattet av regelverket.*Også andre regler kan ha betydning for utkontrakteringsavtalen, se veilederen pkt. 6, annet avsnitt. Disse faller imidlertid utenfor omfanget av denne artikkelen. Merk også at utkontraktering i seg selv favner bredere, og treffes av en rekke regler, i både lov og forskrift, f.eks. revisorloven §§ 7-1 (3) (c) og 9-4 (5), samt finanstilsynsloven § 4-6 og den tilhørende meldepliktforskriften. Utgangspunktet er revisjonsforetak, men i prinsippet skal gjennomgangen kunne dekke alle virksomhetstypene listet opp i forskriften § 1.