logoRevisjon og Regnskap

Last ned PDF
Selskapsrett

Risikostyringsforskriftens krav til avtaler om utkontraktert virksomhet

78-85

Risikostyringsforskriften inneholder detaljerte regler om hvordan avtaler om utkontraktering av deler av virksomheten skal utformes, som skal sørge for at underlagte virksomheter drives på forsvarlig måte – på tross av utkontrakteringen. I denne artikkelen gjøres det rede for kravene som stilles, og det gis også noen råd om hvordan virksomheter kan møte disse. Her påpekes også enkelte svakheter av regelverket, der det kan stilles spørsmål ved om reglene på noen punkter er uforholdsmessig byrdefulle.

Mads Eriksen

Legal Counsel, Office of the General Counsel, Deloitte

Inngang til regelverket om utkontrakteringsavtaler

Risikostyringsforskriften*Forskrift om risikostyring og internkontroll (FOR-2008-09-22-1080). (RSF) ble innført i 2008, og avløste internkontrollforskriften*Forskrift om klargjøring av kontrollansvar, dokumentasjon og bekreftelse av den interne kontroll (FOR-1997-06-20-1057). fra 1997. Den oppstiller en rekke krav for de virksomhetene som er omfattet, som i dag teller mange forskjellige typer finansforetak, og fra 2020 også revisjonsforetak (som følge av implementeringen av revisjonsdirektivet art. 24a (1) (d)).* Directive 2006/43/EC of the European Parliament and of the Council of 17 May 2006 on statutory audits of annual accounts and consolidated accounts, amending Council Directives 78/660/EEC and 83/349/EEC and repealing Council Directive 84/253/EEC (Eur-lex). Mens utkontraktering tidligere ikke var særskilt regulert, kom det i RSF inn en egen bestemmelse om utkontraktering som har beholdt sin ordlyd fra 2009 uendret:

Ǥ 5.Utkontraktering

Foretaket har ansvar for risikostyring og internkontroll også der deler av virksomheten er utkontraktert. Det skal foreligge en skriftlig avtale som sikrer dette. Avtalen må sikre at foretaket gis rett til innsyn i og kontroll med utkontraktert virksomhet.

Avtalen skal sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn med virksomheten der Finanstilsynet finner det nødvendig.

Foretaket skal sørge for at organisasjonen besitter tilstrekkelig kompetanse til å håndtere utkontrakteringsavtalen.»

Bestemmelsen er kort, og såpass skjønnsmessig utformet at den opprinnelig åpnet for et nokså vidt tolkningsrom for de omfattede virksomhetene. Den kortfattede beskrivelsen i rundskrivet*Veiledning til forskrift om risikostyring og internkontroll, rundskriv 3/2009. til forskriften fra Finanstilsynet tilsa også dette. Dette endret seg i 2020 med et nytt rundskriv, «Veiledning om utkontraktering»*Opprinnelig rundskriv 3/2020 (RFT-2020-3 – opphevet), senere oppdatert i rundskriv 7/2021 (RFT-2021-7). (heretter «veilederen»), som utfylte forskriften med til dels svært detaljerte krav til risikovurderingen som skal utføres ved utkontraktering, samt til selve utkontrakteringsavtalen. Særlig Finanstilsynets tilsynsrett med foretakene de enkelte funksjonene er utkontraktert til, kan være utfordrende å få inn i eksisterende avtaler. Dette vil særlig gjøre seg gjeldende der avtalemotparten er hjemmehørende i en annen stat med liten eller ingen kjennskap til norske tilsynsmyndigheter. I det følgende gis det en oversikt over regelverket for utkontrakteringsavtaler, slik de følger av forskriften og veilederen, og noen råd om hvordan en virksomhet kan gå frem for å vurdere, samt reforhandle, avtaler som er omfattet av regelverket.*Også andre regler kan ha betydning for utkontrakteringsavtalen, se veilederen pkt. 6, annet avsnitt. Disse faller imidlertid utenfor omfanget av denne artikkelen. Merk også at utkontraktering i seg selv favner bredere, og treffes av en rekke regler, i både lov og forskrift, f.eks. revisorloven §§ 7-1 (3) (c) og 9-4 (5), samt finanstilsynsloven § 4-6 og den tilhørende meldepliktforskriften. Utgangspunktet er revisjonsforetak, men i prinsippet skal gjennomgangen kunne dekke alle virksomhetstypene listet opp i forskriften § 1.

Rettslig utgangspunkt og formål

Risikostyringsforskriften er hjemlet i finanstilsynsloven*Finanstilsynsloven § 7-1. og er et sentralt verktøy i Finanstilsynets tilsynsvirksomhet, samt en rettesnor for hvordan risikostyring og internkontroll skal håndteres i virksomhetene omfattet av forskriften. Utkontraktering er kun berørt i finanstilsynsloven med hensyn til meldeplikt (for de virksomhetene som er underlagt det, der revisjonsforetak er unntatt, jf. meldepliktforskriften § 2), noe som gjør at forarbeidene er sparsomme og i liten grad belyser begrepet og det videre regelverket. Dermed blir veilederen den mest sentrale rettskilden som utfyller forskriften, og gjør at den får stor betydning for de underlagte virksomhetene.

Veilederen til forskriften er utviklet av Finanstilsynet, men har store likhetstrekk med retningslinjene for utkontraktering i finansinstitusjoner fra European Banking Authority (EBA), sist revidert i 2019*Guidelines on outsourcing arrangements (EBA/GL/2019/02), sist oppdatert 25. februar 2019. Disse retningslinjene bygger igjen på retningslinjene som ble utviklet for skyleverandører fra 2017 (EBA/CP/2017/06), som atter kan spores tilbake til Committee of European Banking Supervisors (CEBS) og deres Guidelines on Outsourcing fra 2006. Jeg bruker «retningslinjer» i det følgende, for å unngå forveksling med Finanstilsynets veileder., se særlig ss. 44-50 (pkt. 13). EBAs retningslinjer stiller omtrent de samme detaljerte kravene til utkontraktert virksomhet, men overlater til lokale tilsynsmyndigheter å vurdere hvordan disse skal implementeres.*EBA har også utarbeidet en oversikt over de enkelte EU- og EØS-landenes etterlevelse med retningslinjene, sist oppdatert 25. oktober 2024, se tilhørende «Compliance table». Samtidig er det et mål at retningslinjene fra EBA skal sørge for konsekvent regulering av finansinstitusjoner innenfor EU/EØS, og de representerer derfor langt på vei minstekrav der de ikke kommer i strid med annen lovgivning.* Regulation (EU) No 1093/2010 of the European Parliament and of the Council of 24 November 2010 establishing a European Supervisory Authority (European Banking Authority), amending Decision No 716/2009/EC and repealing Commission Decision 2009/78/EC, art. 16. EBAs retningslinjer er også grundig begrunnet, og selv om de først og fremst knytter seg til regelverket i CRR- og CRD-forordningene, kan de tjene som veiledning når kravene i Finanstilsynets veileder skal tolkes, der veilederen alene ikke løser spørsmålene som oppstår.*Se også veiledningen, pkt. 1, note 1, som viser til EBAs veiledninger, herunder blant annet retningslinjene det er snakk om her (se nærmere i Finanstilsynets nyhetssak om retningslinjene). Man må imidlertid merke seg forskjellen i omfang mellom veilederen og EBAs retningslinjer: Kravene i EBAs veileder retter seg mot utkontrakteringen av «critical or important functions», men veilederen har ingen slik avgrensning – med en omfattende rekkevidde som resultat.*I tillegg skjerpes kravene dersom «de utkontrakterte oppgavene er virksomhetskritiske eller på annen måte av stor betydning for foretakets virksomhet» (pkt. 6 i veilederen, siste avsnitt), altså den samme standarden EBA setter for den særskilte vurderingen. Dette tydeliggjør at Finanstilsynet har lagt seg på et betraktelig strengere nivå enn utgangspunktet fra EBA (noe det også erkjenner i sin beskrivelse av retningslinjene, uten å kommentere årsaken nærmere, se henvisning i note 11). På den annen side poengterer EBA at også oppgaver som faller utenfor begrepet, men som i praksis er utkontraktert, fortsatt innebærer en risiko som virksomheten bør vurdere – som i sin tur kan begrunne hvorfor Finanstilsynet har lagt seg på denne linjen. Se også EBAs retningslinjer, s. 9, pkt. 20, for nærmere om begrepet «critical or important functions», og dets bakgrunn i EU-retten.

Mens Finanstilsynet legger stor vekt på det operasjonelle i sin veileder, sies det lite om formålet med regelverket; her er EBAs retningslinjer, især fortalepunktene*Se punktet «Background», ss. 6-15., til stor hjelp for å sette regelverket inn i en større sammenheng. Det er en komplisert materie å skissere, men om man skal forsøke å forklare regelverket kortfattet, er det naturlig å se på utkontraktering av oppgaver for finansinstitusjoner og andre regulerte virksomheter som et unntak: Hovedregelen er at dette er oppgaver som virksomheten bør utføre selv, for å oppfylle de kravene som stilles til en virksomhet som utøver en rolle i samfunnet underlagt en særskilt tillit, og dermed også kontroll og tilsyn.

Om en virksomhet da likevel velger å utkontraktere noe av virksomheten, fordi det er formålstjenlig, eller fordi oppgavene mest forsvarlig kan ivaretas av et annet foretak, så skal dette kun skje under særskilte forutsetninger: Her åpnes det forsiktig for en risikobasert tilnærming, samtidig som at både EBAs retningslinjer og Finanstilsynets veileder tydelig understreker behovet for kontroll med de utkontrakterte oppgavene, både faktisk, kontraktuelt og regulatorisk. En slags lakmustest kan oppstilles der en virksomhet bør spørre seg om de kan ta tilbake de utkontrakterte oppgavene på en forholdsvis enkel måte og utføre disse selv, eller flytte tjenestene over til en ny leverandør uten vesentlig påvirkning for driften. Dersom dette vil medføre store utfordringer for (den regulerte) virksomheten, tilsier rettskildene at slik utkontraktering ikke bør finne sted, i alle fall ikke uten at risikoreduserende tiltak er iverksatt.*Se i denne sammenheng særlig veilederen pkt. 2, om muligheten til å flytte oppgaven til ny leverandør eller å ta oppgaven tilbake til virksomheten, samt veilederens krav til utkontrakteringsavtalen, nærmere kommentert nedenfor.

Omfanget av utkontrakterings-begrepet

Veilederen legger opp til en svært vid bruk av utkontrakteringsbegrepet, som nok vil gå langt utover hvordan begrepet ellers forstås (både i det norske og internasjonale markedet):

«Det er utkontraktering når et foretak velger å la en annen juridisk enhet (oppdragstaker) utføre oppgaver på vegne av foretaket. Dette gjelder også når foretaket er i samme konsern eller konsernlignende gruppe som oppdragstaker. [...] Hvor viktig oppgaven(e) er for foretakets virksomhet eller omfanget av oppgaven(e), er ikke av betydning for om en avtale innebærer utkontraktering, men det kan ha betydning for hvilke regler som gjelder.»

Videre gis det en omfattende, ikke-uttømmende oversikt over typetilfeller som enten faller innenfor eller utenfor begrepet, basert på vurderinger Finanstilsynet har gjort i konkrete saker (som dermed må antas å ha presedens). En rekke tjenester, som et foretak typisk ikke utfører selv, faller innenfor begrepet, som f.eks. inndrivelse av fordringer, utstedelse av fakturaer, inkasso, kvalitetskontroll og internrevisjon. Av særlig betydning er IKT-virksomhet, der både IaaS (Infrastructure as a Service), PaaS (Platform as a Service) og SaaS (Software as a Service) er omfattet – på generelt grunnlag. I en tid der stadig flere tjenester flytter over i skyen, eller på annen måte sentraliseres og effektiviseres, er omfanget for den enkelte virksomhet potensielt meget omfattende.

At en oppgave anses utkontraktert, innebærer at det må gjennomføres (og dokumenteres) vurderinger før utkontraktering finner sted av både adgangen til, og risikoer med, utkontraktering av oppgavene*Veilederen, pkt. 4., samt av oppdragstakeren som skal engasjeres*Veilederen, pkt. 5.. All utkontraktert virksomhet må dernest være gjenstand for omfattende internkontroll i form av retningslinjer og rutiner, samt fortløpende oppfølging av de utkontrakterte oppgavene.*Veilederen, pkt. 8. Særlig sistnevnte innebærer at en virksomhet som har et betydelig omfang av utkontraktering, bør påregne dedikerte ressurser for å sikre etterlevelse av regelverket. Detaljene omkring denne delen av regelverket blir ikke behandlet nærmere her, men er grundig beskrevet i veilederen.

Det er vanskelig å trekke noen klare linjer for hvor grensen for utkontrakteringsbegrepet går, i og med at opplistingen i veilederen i liten grad er begrunnet. En virksomhet må derfor foreta en konkret vurdering og dokumentere denne. I tvilstilfeller vil det ofte være naturlig å anse oppgaven utkontraktert (ut fra et føre var-perspektiv), alternativt dokumentere en grundig begrunnelse for hvorfor den ikke skal være å anse som dette. Om man leser typetilfellene fra Finanstilsynet, kan man trolig utlede noen sentrale (men ikke uttømmende) momenter i vurderingen av om en oppgave skal anses utkontraktert:

  • Hvilken nærhet oppgaven har til den regulerte virksomheten (en oppgave som er tett koblet opp mot revisjonsvirksomheten, eller spesifikt opp mot revisjonshandlinger, faller lettere under begrepet)

  • Om det ville være naturlig for virksomheten selv å utføre, eller i alle fall administrere, oppgavene (men virksomheten likevel velger å sette ut oppgavene – i så fall taler det for at dette er utkontraktering)

  • Om oppgaven og resultatene av den er (og kan være) gjenstand for kvalitetssikring, slik at ansvarlig revisor vil være den som må ta endelig vurdering av riktigheten (dette taler for at det faller utenfor begrepet)

Et beslektet spørsmål er om en virksomhet som også yter tjenester der disse isolert sett ikke ville blitt omfattet av RSF, likevel må underlegge alle utkontrakterte oppgaver dette regelverket. Dette er ikke kommentert i veilederen eller andre rettskilder, men ut fra formålet med RSF fremstår det naturlig å avgrense rekkevidden av regelverket mot oppgaver som etter RSF må anses utkontraktert, men som ikke berører den regulerte virksomheten. Dette kan være særlig aktuelt for større virksomheter med et stort tjenestespekter, der anvendelse av RSF på hele virksomheten ikke vil være hensiktsmessig for å oppnå formålet. En slik avgrensning og tilhørende vurdering bør fremgå av virksomhetens interne retningslinjer, jf. veilederen pkt. 8.

Kravene til utkontrakterings-avtalen

Punkt 6 i veilederen lister innledningsvis opp de overordnede kravene til utkontrakteringsavtalen, og er da ment å utfylle forskriften § 5:

«Utkontrakteringsavtalen må gi foretaket de rettighetene som er nødvendige for at utkontrakteringen skal anses som forsvarlig. Avtalen må blant annet sikre at utkontraktert virksomhet til enhver tid drives i samsvar med det regelverket som gjelder for foretaket og foretakets virksomhet, og at Finanstilsynet kan føre tilsyn.»

Det sistnevnte punktet er av særlig betydning: At tilsynsmyndighetene kan føre tilsyn direkte overfor utkontraktert virksomhet, skiller seg ut som et detaljert og inngripende krav til avtalens innhold. Fra det nokså vide utgangspunktet i første setning legges det opp til en konkret vurdering gjennom minimumskrav i bokstav a til i, kontraktuelle spørsmål som må vurderes særskilt i bokstav j til n, og til slutt særskilte hensyn der det foretas videreutkontraktering, i bokstav o til r. Alle avtaler som omfattes av utkontrakteringsbegrepet, må som utgangspunkt undergå gjennomgangen nedenfor, og vurderingen bør dokumenteres, for eksempel i en sjekkliste.

I det følgende kommenteres de forskjellige punktene, fordelt etter bokstav brukt i punkt 6 i veilederen. Kommentarene er en vurdering av innholdet i bestemmelsen, samt hva man bør se etter i kontraktsgjennomgangen. Forhold som uansett følger av naturlig kontraktsinngåelse under norsk rett, er ikke kommentert. Merk at bokstav a til i er minimumskrav, mens bokstav j til n relaterer seg til eventuelle særskilte forhold som kan være aktuelle å innta i avtalen. Bokstav o til r er aktuelle der det kan forekomme videreutkontraktering.

Ref.

Krav

Kommentar

-

Avtale om utkontraktering skal være skriftlig og minst inneholde:

-

a

Entydig identifikasjon av kontraktspartene (organisasjonsnummer eller lignende).

Dette vil som regel følge naturlig av et bevisst forhold til kontraktsinngåelse. For norske selskaper registrert i Brønnøysundregistret bør organisasjonsnummer alltid være tilstrekkelig. For utenlandske selskaper bør det ses hen til om tilsvarende lokale registre er naturlig å vise til, og uansett bør forretningsadresse være inntatt.

b

Klar beskrivelse av hva oppdraget går ut på, herunder spesifikasjon av leveransen med kvalitetsmål.

Omfanget av tjenesten vil som regel følge av en avtale, men store og komplekse avtaler (f.eks. rammeavtaler med mange avrop eller driftsavtaler med en variert tjenesteportefølje) kan være knappe i beskrivelsen av den konkrete utkontrakterte oppgaven. Dette bør være beskrevet tilstrekkelig til at oppgaven kan identifiseres. Kvalitetsmål vil avhenge av tjenesten, og der det er hensiktsmessig (og følger av markedspraksis) at dette bør være målbare størrelser, kan dette være naturlig å inkludere i en Service Level Agreement (SLA) med Key Performance Indicators (KPI) eller liknende. For mange avtaler vil dette fremstå overdrevent, og dette kravet bør leses skjønnsmessig.

c

Avtaleperiode og oppsigelsestid.

-

d

Særlig rett for foretaket til å bringe avtalen til opphør.

Ikke nærmere beskrevet i veilederen, men naturlig å knytte til pkt. 13.4 i EBAs retningslinjer. Her vises det til forhold som gjør at tjenesten ikke lenger kan ytes på en lovlig måte (det naturlige her vil være regulatoriske forhold), samt der det er vesentlige endringer som påvirker tjenesten (f.eks. at tjenesten har blitt lagt om, at sikkerheten er svekket, eller nye underleverandører). Hva slags oppsigelsesrett som kreves, må nok i stor grad bero på tjenesten; mange løpende tjenester vil kunne sies opp på såpass kort varsel at dette normalt ikke vil være et problem. Dersom avtalen reguleres av norsk rett, vil det viktigste være å sikre en uttredelsesrett ved regulatoriske forhold (dette vil typisk være relevant i langsiktige avtaler, der eierskifter påvirker kravet til uavhengighet for en virksomhet underlagt slikt regelverk), mens andre vesentlige endringer i avtalen fort utløser hevingsrett. Dette vil imidlertid kunne stille seg annerledes der avtalen er regulert av andre lands rett, der behovet for særlig regulering av uttredelsesrett ved vesentlige endringer bør vurderes.

e

Foretakets rett til å kontrollere utførelsen av oppgaven(e).

Disse to kravene fremstår til dels overlappende, og åpner langt på vei for en risikobasert tilnærming. For noen typer oppgaver vil det være vanskelig å oppnå formålet med disse kravene uten at det gis en full tilsynsrett, og det er heller ikke upraktisk all den tid en tilsynsrett uansett må inntas iht. bokstav h. Samtidig kan kravet også leses som en rett til innsikt i metoder og fremgangsmåter, for å vurdere om dette tilsvarer hvordan virksomheten selv hadde utført de utkontrakterte oppgavene. Her vil det være nødvendig med en konkret vurdering av selve oppgaven.

Når det gjelder «informasjon eller rapportering», er det verdt å merke seg nødvendighetskriteriet, samt hvordan EBA kobler dette opp mot formålet med oppgaven (jf. 75 j). En form for skriftlig rapportering vil kunne være en hensiktsmessig måte å oppfylle kravet på, men ut fra oppgavens art og størrelsen på virksomheten den er utkontraktert til, kan det også godt tenkes at jevnlige møter er vel så egnet til å oppfylle kravet. Noen oppgaver vil også være så begrenset i omfang og med såpass jevne leveranser at virksomhetens egne kvalitetssikringssystemer bør være tilstrekkelige.

f

Foretakets rett til å kreve informasjon eller rapportering, i det formatet som er nødvendig, for at foretaket skal kunne følge opp utkontraktert virksomhet og for å kunne oppfylle foretakets egne rapporteringsplikter.

g

Bestemmelse som sikrer foretaket en løpende kontroll med at oppdragstaker overholder taushetsplikten, og at foretakets plikter etter personopplysningslovgivningen er oppfylt.

Dette vil typisk være en bestemmelse om konfidensialitet, samt en bestemmelse knyttet til personvern, begge standard i tjenesteavtaler der kundedata skal behandles av leverandør, eller denne av en eller annen grunn har tilgang til dette. Behandles personopplysninger, må det antas at dette kravet oppfylles med en databehandleravtale iht. GDPR art. 28, alternativt – dersom leverandør er behandlingsansvarlig – med en standardformulering der hver part forplikter seg til å overholde personvernregelverket, eventuelt også en henvisning til leverandørens personvernerklæring.

Når det gjelder løpende kontroll med taushetsplikten, er denne ikke videre lett å tolke, og den er tilsynelatende heller ikke behandlet i EBAs retningslinjer. Den mest nærliggende tolkningen er at brudd på konfidensialitetsforpliktelsene utløser en varslingsplikt, som er nokså vanlig å oppstille i f.eks. IT-avtaler, da innenfor bestemte kriterier og med konkrete tidsfrister. I tillegg kan leverandørens internkontroller med hensyn til taushetsplikt være relevant; her kan det være naturlig å knytte dette opp mot informasjonssikkerheten hos leverandørene og hvilket innsyn virksomheten har i denne (f.eks. kan sertifiseringer innenfor ISO 27001, og SOC være relevante).

h

Rett for Finanstilsynet til å få tilgang til alle opplysninger som anses nødvendige som ledd i tilsynet med foretaket, og til å føre tilsyn med utkontraktert virksomhet uten begrensninger.

Dette er uten tvil den mest utfordrende bestemmelsen å få på plass i en utkontrakteringsavtale, da det er et høyst uvanlig krav å innta i en avtale om tjenesteleveranser. Mange avtaler vil inneholde et punkt om avtalerevisjon, og det er nærliggende å bygge dette ut for å ivareta Finanstilsynets behov – ikke minst da også virksomheten selv vil ha behov for kontroll med den utkontrakterte virksomheten. Den sentrale forskjellen mellom dette kravet og de øvrige er at der disse i stor grad tillater en risikobasert tilnærming, med et visst preg av skjønn, er Finanstilsynets tilsynsrett absolutt.

Dette gjør det nødvendig å utforme en svært generell bestemmelse om avtalerevisjon. De fleste leverandører utenfor Norge vil finne en slik bestemmelse utfordrende, og vil sannsynligvis enten nekte å innta bestemmelsen, eller begrense den. Min erfaring er at det er krevende å finne en passende balanse mellom en ordlyd som er akseptabel for en leverandør, og som også tilfredsstiller kravet i veiledningen. I tillegg vil det oftest være nødvendig med utstrakt dialog med leverandørens jurister for å forklare at dette er krav som stammer fra lokale tilsynsmyndigheter, og ikke noe som kan fires på. Virksomheter med mange leverandører vil kunne tjene på å bygge en rutine om dette, og om mulig også generell dokumentasjon for å lette arbeidet i forhandlingene. Det kan da være relevant å vise til EBAs retningslinjer og koblingen mot Finanstilsynets veileder som grunnlag for kravet; altså at dette bunner i EU-baserte regler.

Selv om tilsynsretten for Finanstilsynet må være absolutt, kan det være nyttig å ha med hvilket rasjonale som gjør seg gjeldende her: Finanstilsynet og virksomheten må unngå en situasjon der en virksomhet under tilsyn ikke også kan gi fullt innsyn i den utkontrakterte virksomheten, fordi dette ikke er avtalt, og Finanstilsynets myndighet ikke strekker seg til den utkontrakterte virksomheten. De fleste leverandører uten kjennskap til regelverket vil forståelig nok være skeptiske til å underlegge seg utenlandske tilsynsmyndigheter. Det kan da være nyttig å forklare at det rent praktisk med all sannsynlighet vil være den norske virksomheten som vil være gjenstand for tilsyn, med krav til leverandøren om å bistå med alt hva som kreves i den sammenheng. En naturlig forståelse av tilsynsretten, i alle fall overfor leverandører utenfor Norge, er at dette er en sikkerhetsventil: Dersom en leverandør ikke bistår ved et tilsyn, skal og må dette innebære et kontraktsbrudd, med de konsekvenser dette måtte medføre.*Her kan også nevnes pkt. 18 i EBA retningslinjer, som på en god måte oppsummerer bakgrunnen for tilsynsretten: «Divergent regulatory approaches carry a risk of regulatory arbitrage, which may expose the EU to financial stability risks. Those risks are particularly acute in relation to the outsourcing of functions by institutions and payment institutions to third countries, where supervisory authorities may lack the necessary powers and tools to adequately and effectively supervise service providers that provide critical or important functions to EU institutions and payment institutions.»

Selv om tilsynsretten for Finanstilsynet må være absolutt, er det ikke noe i veien for å legge opp til en trinnvis tilnærming med ordinær avtalerevisjon som utgangspunkt, som kan utvides dersom dette er nødvendig pga. krav stilt fra tilsynsmyndighetene. Som ordinær avtalerevisjon kan da også sertifiseringer eller tredjepartsrevisjoner benyttes, som ledd i å finne løsninger som begrenser driftsforstyrrelser og mulige konfidensialitetsutfordringer for leverandører – alt dette forutsatt at endelig tilsynsrett for Finanstilsynet uansett må være ubegrenset. Merk også at det ikke er et krav at tilsynsretten skal være priset inn i avtalen; det kan leses av rettskildene at det ikke er noe i veien for at leverandøren kan kreve merkostnader dekket. Dette kan også være et fornuftig forhandlingskort, da særlig mindre leverandører kan være bekymret for intern ressursbruk ved et slikt tilsyn.

i

Forbud mot videreutkontraktering, med mindre oppdragstaker skal ha en slik rett, se bokstav o)–r).

Det følger som regel av avtalen at en leverandør ikke kan overdra sine plikter eller utkontraktere virksomheten uten kundens samtykke. En slik bestemmelse bør derfor finnes, med mindre et regime for videreutkontraktering er avtalt, se bokstav o til r.

-

I tillegg må foretaket vurdere om det er behov for å regulere følgende forhold:

De følgende kravene må blant annet forstås opp mot den risikoprofilen som gjøres etter pkt. 5 i veilederen, men gir også en pekepinn på hvilke andre elementer som bør vurderes i avtalen. Det kreves en vurdering av om disse bør være med, men de er ikke minstekrav. Derfor er det lurt at de inkluderes i sjekklisten, slik at man dokumenterer hvorfor det eventuelt ikke ble ansett relevant å ha med dette punktet i avtalen.

j

Særlige krav til oppdragstakers organisering, soliditet, eierskap, forsikringsdekning, garantistillelse m.m., og hva som i så fall skal gjelde dersom det oppstår endringer i disse forutsetningene. Det kan for eksempel kreves forutgående samtykke eller plikt til å varsle foretaket med eventuelle frister for varsling.

Kravet knytter seg til pkt. 5 i veilederen, og legger opp til at virksomheten selv må vurdere om det er forhold som bør reguleres i avtale. Da det vises til «særlige krav», er det naturlig å tolke det slik at virksomheten selv må vurdere om det er forhold ved leverandøren som skaper tvil om dennes evne til å oppfylle kravene etter pkt. 5 gjennom avtalens løpetid. En kan for eksempel se for seg at en nykommer i markedet utviser modenhet i sin organisering, men mangler relevante sertifiseringer. Da kan det være hensiktsmessig heller å sette frister for at disse skal være på plass, enn å utelukke leverandøren for de utkontrakterte oppgavene om denne ellers fremstår godt egnet.

k

Lovvalg og hvor en tvist skal avgjøres (hvilket land).

Dette vil normalt alltid fremkomme av avtalen, men skulle det mangle, bør det inntas. Her stilles ikke noe krav til hvilket lands rett som bør gjelde, men det er naturlig å forstå punktet slik at virksomheten bør ha et bevisst forhold til hvilken risiko det medfører å la avtalen være underlagt et annet lands lov og domstoler.

l

Plikt for oppdragstaker til å samarbeide med relevante myndigheter i en beredskapssituasjon når dette er et krav i sektorregelverket.

En opplisting av relevant sektorregelverk finnes i pkt. 6, annet avsnitt, og den enkelte virksomhet må vurdere om de er underlagt disse, og om dette må inntas i avtalen.*Merk at EBAs retningslinjer i 75 (n) ikke avgrenser på en slik måte, som tilsier at et slikt krav muligens må innfortolkes «hvis de utkontrakterte oppgavene er virksomhetskritiske eller på annen måte av stor betydning for foretakets virksomhet», jf. siste avsnitt i pkt. 6.

m

Klar beskrivelse av partenes plikter ved opphør av avtalen, herunder oppdragstakers forpliktelser til å bistå i avviklingsfasen. For eksempel en plikt for oppdragstaker til å bidra til å sikre og overføre data til foretaket eller en annen mottaker som foretaket bestemmer, og i det formatet foretaket ber om.

Ved opphør av avtalen vil det være naturlig å regulere hvordan avviklingen skal foregå, men virksomhetens behov vil her variere etter tjenestenes art. Med en skyløsning eller en skybasert applikasjon vil migrasjon til et nytt system være relevant, men om leverandørens standardløsninger for avvikling av kundeforhold kan anses tilstrekkelig, må nok vurderes etter virksomhetens egne ressurser og evner i en slik sammenheng. For eksempel vil en riktig bemannet IT-avdeling oftest være i stand til å finne en løsning for å eksportere relevante data, mens et mer sammensatt IT-implementeringsprosjekt kan inkludere migrasjon som en del av leveransen. Her må virksomheten selv vurdere hva som behøves fra leverandøren; det viktige er at det ikke er en risiko for vesentlige driftsforstyrrelser. Under norsk rett vil også lojalitetsplikten mellom avtaleparter være relevant i forståelsen av leverandørens plikter i en slik sammenheng.

n

At oppdragstaker er forpliktet til å ivareta oppgavene som foretaket har forutsatt i fastsettelsen av egne beredskapsplaner, herunder plikt for oppdragstaker til å medvirke til å iverksette kriseløsninger.

Kravet må sannsynligvis leses i forlengelsen av bokstav b, om avtalte kvalitetsmål, og også i relasjon til vurderingen gjort av oppdragstaker etter pkt. 5. Er utkontrakteringen av en slik art at driftsbrudd kan få store konsekvenser for virksomheten, bør det gjøres vurderinger av om særskilte kvalitetsmål skal inntas knyttet til dette. Det kan også være relevant å se hen til hva leverandør kan dele av beredskapsplaner, og eventuelt om det foreligger sertifiseringer knyttet til dette.* Se f.eks. ISO 22301 (Business continuity management systems).

-

Dersom oppdragstaker skal ha rett til å utkontraktere oppgaver videre til andre (benytte underleverandører i ett eller flere ledd), må det følge av avtale mellom foretaket og oppdragstaker. I så fall må foretaket alltid:

Se bokstav i ovenfor.

Et nærliggende spørsmål kan være om kravene i prinsippet kan komme til anvendelse hele veien nedover i forsyningskjeden, jf. «ett eller flere ledd». Her er det naturlig å avgrense til den konkrete utkontrakterte oppgaven, og at det foreligger en terskel for at vi fremdeles har å gjøre med denne oppgaven og ikke bare ordinære tjenesteleveranser til en underleverandør – med andre ord et vesentlighetskriterium. For eksempel kan plattformen en SaaS-leveranse kjører på, etter omstendighetene være en form for videreutkontraktering, der leverandøren i en slik grad er avhengig av denne for leveransen at den blir en integrert del av den utkontrakterte oppgaven, mens det bør trekkes en linje mot mer generisk teknisk støtte.

Motsatt der en avtale med én leverandør i prinsippet bare er på papiret, mens selve oppgaven utføres av en underleverandør. Det er da denne som bør være gjenstand for vurdering, og så videre nedover i kjeden (selv om man i et slikt tilfelle nok vil være nødt til formelt å gjøre en vurdering av første ledd, om enn kortfattet).

o

Vurdere om det skal fastsettes begrensninger for hvem som kan være underleverandør(er), om foretakets samtykke skal være nødvendig m.m.

Det skal vurderes om bruken av underleverandører skal reguleres i avtalen, noe som kan fremstå mindre strengt enn i bokstav i, der utgangspunktet synes å være at dette ikke skal tillates. Uansett bør kravet nok forstås slik at det må gjøres en risikobasert vurdering av den utkontrakterte oppgaven, og risikoene med videreutkontraktering. Her er selvsagt oppgavens art relevant, men også leverandøren og dennes internkontrollsystemer, leverandørkontroll- og oppfølging (f.eks. etiske retningslinjer for leverandører) m.m.

p

Sikre at både foretaket og Finanstilsynet har de samme rettighetene overfor underleverandør som overfor oppdragstaker.

Å utforme slike rettigheter konkret overfor underleverandører er krevende, og alminnelig praksis ved bruk av underleverandører er derfor at øverste ledd hefter for sine underleverandørers forpliktelser. Det er nok også derfor kravet er utformet som at dette må «sikres». Det bør ligge inne en generell bestemmelse der leverandør forplikter seg til å sikre avtalens plikter også gjennom underleverandører, og ut fra den utkontrakterte oppgaven bør det også vurderes om det skal inntas ytterligere, mer spesifiserte plikter – og eventuelt om Finanstilsynets rett til tilsyn bør påpekes særskilt.

q

Klargjøre oppdragstakers ansvar for å sikre at underleverandører overholder taushetsplikten og at foretakets plikter etter personopplysningslovgivningen oppfylles.

Det bør ligge inne en generell bestemmelse der leverandør forplikter seg til å sikre avtalens plikter også gjennom underleverandører, og ut fra den utkontrakterte oppgaven bør det også vurderes om det skal inntas ytterligere, mer spesifiserte plikter.

r

Sikre at egen meldeplikt overfor Finanstilsynet kan overholdes i situasjoner der endringer i underleverandørsituasjonen er meldepliktige. Varslingsfrister må settes slik at foretaket kan melde fra til Finanstilsynet i rett tid.

Foreligger meldeplikt, skjerpes kravene sammenliknet med bokstav o. Virksomheter med meldeplikt må være særskilt oppmerksomme på dette, og som utgangspunkt innta et strengere varslingsregime.

-

Kravet til foretakets vurdering av avtalen skjerpes hvis de utkontrakterte oppgavene er virksomhetskritiske eller på annen måte av stor betydning for foretakets virksomhet.

Dette er en generell uttalelse, som i praksis åpner for at ytterligere tiltak også kan være nødvendige. Dette må vurderes konkret, og er definitivt relevant om man ligger i det øvre sjiktet av risikoer, særlig sett hen til pkt. 4.2 i veilederen. Da EBAs retningslinjer, som beskrevet, i utgangspunktet retter seg til utkontrakterte oppgaver som ligger på dette nivået, er det da naturlig også å gå gjennom sjekklisten som ligger i deres retningslinjer, først og fremst kap. 13, men også kap. 12 og 14 for å sette vurderingen inn i denne sammenhengen.

Særskilt om avtaler med skytjenester

Skytjenester, især de større og mer komplekse tjenestene, er naturlig nok utfordrende i møte med regulatoriske krav som nevnt ovenfor – da spesielt tilsynsretten for Finanstilsynet. Her er det imidlertid verdt å ha med seg rettskildebildet, og da spesielt koblingen til EU-regelverket, herunder også EBAs retningslinjer, som kan spores tilbake til retningslinjene som opprinnelig gjaldt skyleverandører (se note 8 ovenfor). Selv om dette er leverandører som normalt er svært skeptiske til å gjøre endringer i sine standardvilkår, viser erfaring at det ofte ligger inne bestemmelser som langt på vei åpner for tilsynsrett der relevante tilsynsmyndigheter behøver dette. Disse er som oftest generelt utformet, og det vil alltid være nødvendig å gjøre en vurdering av om de i tilstrekkelig grad dekker tjenesten som er relevant inn mot den utkontrakterte oppgaven.

Relevant i denne sammenhengen er også tjenestenes art, og hvordan bruken av en skyløsning er satt opp. I realiteten bygger de fleste skyløsninger på at kunden selv skal kunne styre det aller meste, og hente ut de dataene som er nødvendig, slik at selv om slike tjenester under RSF er å regne som utkontraktering, vil det være naturlig å trekke inn disse forholdene i risikovurderingen – og også i vurderingen av selve avtalen. Dette må imidlertid ikke være en hvilepute, da en dokumentert vurdering fremdeles vil være det sentrale ved et tilsyn. For skyleverandører kan det imidlertid være vel så relevant hva slags oppfølging som gjøres av leverandøren. Her skal man også merke seg at denne type leverandører kan ha et svært sammensatt avtaleverk, der også nye tjenester kan komme til – som ikke nødvendigvis introduseres under eksisterende avtaleverk, men kan dekkes av egne vilkår (som potensielt ensidig kan endres), med mindre særskilt er avtalt. I disse tilfellene blir viktigheten av leverandøroppfølging og robuste IT- og innkjøpsroller enda tydeligere.

Særskilt om interne avtaler (konserninternt og nettverk)

Der konserner og andre selskapsstrukturer baserer seg på hverandre som tjenesteleverandører, eller har sentraliserte funksjoner, kan man stå i den situasjonen at man utkontrakterer tjenester til tilknyttede selskaper. RSF gjør ingen forskjell på dette, og regelen er å forstå slik at grensen går ved en annen juridisk enhet. Dette kan være utfordrende når man jobber innenfor grenseoverskridende selskapsstrukturer, med stor grad av innbyrdes fordeling av oppgaver. Samtidig skal man heller ikke glemme at risikobildet blir et svært annet når man har å gjøre med selskaper som i stor grad speiler en selv, og det er da praktisk å gjøre felles vurderinger der dette passer.* Selv om ikke Finanstilsynet kommenterer dette, er EBA inne på problemstillingen i fortalepunkt 28: «However, when outsourcing within the same group, institutions and payment institutions may have a higher level of control over the outsourced function, which they could take into account in their risk assessment.»

Den store utfordringen med interne avtaler ligger i avtalestrukturen, som ikke nødvendigvis er lagt opp med hensyn til slike regulatoriske behov. Rådet her er å kartlegge alle oppgaver som under RSF er å regne som utkontraktert til en annen juridisk enhet i selskapsstrukturen, for så å gå opp avtalene som regulerer dette. Det kan være lurt å visualisere dette, både for egen oversikts del, og for å ha en oversiktlig beskrivelse til tilsynsmyndighetene. Dernest må både vurderingene etter pkt. 5 i veilederen gjennomføres (men her kan som oftest mye gjøres på et generelt nivå, og eventuelle globale rammeverk kan da innlemmes i slike vurderinger), og hver oppgave gås opp i henhold til den enkelte avtale – som i sin tur potensielt må justeres. Avtalejusteringer kan med fordel gjøres i form av særskilte vedlegg som bare omfatter enhetene omfattet av regelverket (slike kalles gjerne «Side Letters»), som da reduserer behovet for å endre store, grenseoverskridende avtaler for alle parter.

Avsluttende betraktninger

Alle som har jobbet med RSF generelt, og utkontrakteringsreglene spesielt, vet at dette er en krevende materie å anvende på allerede kompliserte avtaler. For å identifisere avtaler som er å regne som utkontraktering, og å reforhandle disse til et nivå som tilfredsstiller kravene i Finanstilsynets veileder, kreves kompetanse innenfor juss og kontraktsrett, revisjonsfaglig forståelse, og som oftest også teknisk kompetanse. Selv med den nødvendige oversikten vil det være behov for kontinuerlig oppfølging, og dermed ressurser bundet opp til etterlevelse av regelverket.

Det er forståelig at det må settes skranker for utkontraktering, og at utkontraktering av oppgaver av stor betydning for virksomheter underlagt RSF representerer en finansregulatorisk risiko. Ved første øyekast kan de norske reglene fremstå svært sjablongmessige, men gjennomgangen ovenfor viser at de i stor grad legger opp til en risikobasert tilnærming der man med grundige, dokumenterte vurderinger kan etterleve regelverket uten at avtalene må revideres utover det rimelige.

Det kan imidlertid stilles spørsmål ved om kravet til Finanstilsynets absolutte tilsynsrett med leverandøren til den utkontrakterte oppgaven er i strengeste laget, og skaper unødig mye ressursbruk til reforhandling av avtaler, som med fordel kunne blitt brukt på risikoreduserende arbeid på andre områder. Som nevnt ovenfor, er de norske reglene i veilederen strengere enn EBAs retningslinjer som oppstiller dette for store og virksomhetskritiske oppgaver, men overlater andre utkontrakterte oppgaver til en risikobasert tilnærming.* EBAs retningslinjer, fortalepunkt 88. Kretsen av virksomheter omfattet av RSF (jf. § 1) er også blitt endret senere år, uten at RSFs oppbygning er endret tilsvarende. Det legges fortsatt opp til det samme regelverket for bank- og finansvirksomhet som for revisjons- og regnskapsførervirksomheter, selv om disse opererer svært forskjellig, og med en helt annen risikoprofil. Dette er også en naturlig lesning av revisordirektivets art. 24a (som er grunnlaget for at RSF også dekker revisjonsforetak), som gir et større rom for egne vurderinger enn hva som kan forventes for finanssektoren.

Av hensyn til harmonisering av regelverket ville det fremstått hensiktsmessig å bevare et større rom for risikobaserte tilnærminger. Harmonisering skal også sørge for at reglene ikke blir betraktelig strengere i ett land enn de øvrige, og slik sett gjør den forenklede modellen i Norge med ett regelsett for alle virksomhetstypene og et dermed vesentlig strengere utkontrakteringsregime for enkelte av disse, at man i realiteten utfordrer målsetningen om et harmonisert regelverk med det som best kan kalles særnorske regler. En tettere tilnærming til EBAs retningslinjer og EU-regelverket ellers vil også gjøre det lettere å argumentere for avtalerevisjoner overfor utenlandske leverandører, enn situasjonen i dag som skaper mye diskusjon, og ikke nødvendigvis mindre risiko i et større perspektiv.