Nyttige avklaringer om utkontraktering

Klargjøring av grensen mellom utkontraktering og tjenestekjøp og åpning for utkontraktering av uavhengige kontrollfunksjoner også utenfor konsernforhold, er noen av avklaringene som er kommet i Finanstilsynets nye veiledning om reglene om utkontraktering fra finansforetak.

Utkontraktering innebærer at foretaket lar en annen juridisk enhet (oppdragstaker) utføre oppgaver på vegne av foretaket. Utkontraktering må avgrenses mot tjenestekjøp, men det har i praksis vært uklart hvor denne grensen går.

Ifølge Finanstilsynet innebærer utkontraktering blant annet følgende:

• Avtale om rett til bruk av programvare, plattform eller infrastruktur som drives av oppdragstaker på oppdragstakers servere, men ikke tilsvarende kjøp som installeres på foretakets egen server og driftes av foretaket selv
• Oppdragstaker mottar kundemidler på vegne av finansforetaket, for eksempel innskudd
• Bruk av agenter i markedsføring og salg av foretakets produkter, som for eksempel låneagenter og forsikringsagenter
• Bruk av oppdragstaker til å ivareta hele eller deler av foretakets internrevisjon, men ikke kjøp av tjenester for vurdering av konkrete spørsmål
• Forsikringsforetaks bruk av oppdragstaker til gjennomføring av skadeoppgjør, men ikke kjøp av håndverkertjenester for skadeutbedring
• Bruk av ekstern regnskapsfører for hele eller deler av regnskapsføringen
• Bruk av oppdragstaker til produksjon og utsendelse av fakturaer, samt inndriving av fordringer
• Bruk av oppdragstaker til mottak og behandling av kundehenvendelser, for eksempel callsenter og til utsendelse av informasjon til foretakets kunder
  
  

Bruk av tjenester som ikke anses som utkontraktering er blant annet:

• Bankers bruk av sikkerhetsselskaper for fysisk frakt av kontanter til og fra banken
• Bruk av generell risikovurdering, standard retningslinjer mv utarbeidet av bransjeforeninger eller andre aktører
• Kjøp av vaktmester-, renhold- og kantinetjenester
• Kjøp av advokattjenester i forbindelse med tvisteløsning og generell juridisk rådgivning
• Avtale med vikarbyrå om bruk av vikarer og annen midlertidig innleie

Finanstilsynet har tidligere lagt til grunn at risikokontroll (risikostyring) anses som kjernevirksomhet i banker, og derfor ikke kan utkontrakteres, blant annet fordi reglene om risikokontrollfunksjonen implisitt forutsetter et ansettelsesforhold. Dette har reist spørsmål om det samme gjelder andre finansforetak enn banker, og om det også gjelder compliance-funksjonen.

I rundskrivet legger Finanstilsynet til grunn at det avgjørende for om funksjonene for risikostyring og compliance kan utkontrakteres, er en konkret vurdering av om oppgavene samlet sett blir ivaretatt på en forsvarlig måte. I denne vurderingen må det ses hen til både type kontrolloppgaver som utkontrakteres og omfanget av utkontrakteringen. Det er uansett en forutsetning at det utpekes en medarbeider i finansforetaket som er ansvarlig for funksjonen, og som kan følge opp oppdragstaker og påse at oppgavene blir utført i henhold til avtalen.

Dette innebærer at utkontraktering kan være et alternativ til delt ansettelsesforhold for risikostyrings- og compliance-funksjonene, som er en løsning som er benyttet i praksis i mindre banker der oppgavene ikke er tilstrekkelige til å fylle en full stilling.

IKT-forskriften krever at alle avtaler om utkontraktering og endringer i slike avtaler, skal behandles av styret. I rundskrivet åpnes det imidlertid for at styret kan delegere til administrasjonen å vurdere og beslutte om det skal inngås utkontrakteringsavtaler, innenfor det alminnelig selskapsrett åpner for.

Det innebærer at det må treffes et delegasjonsvedtak fra styret, der det fremgår hva fullmakten gjelder, hvordan og hvor ofte det skal rapporteres til styret om bruken av fullmakten. Foretaket skal orientere Finanstilsynet dersom en delegasjonsordning etableres.

Delegasjonsadgang vil særlig kunne være aktuelt for avtaler av mindre betydning og/eller som ikke har vesentlig innvirkning på virksomheten eller risikoen, eller utkontrakteringsavtaler med kontraktsverdi under fastsatte nivåer.

Finansforetak skal i utgangspunktet melde alle avtaler om utkontraktering til Finanstilsynet, herunder endringer, opphør og bytte av oppdragstaker.

Det er for det første gjort unntak for administrative og driftsrelaterte oppgaver. Eksempler på slike utkontrakteringsavtaler er bruk av regnskapsfører og avtaler om produksjon og utsendelse av fakturaer, inndriving av fordringer, mottak og behandling av kundehenvendelser og utsendelse av informasjon til foretakets kunder.

I rundskrivet presiseres at det ikke er unntak for finansforetaks avtaler med finansagenter og forsikringsagenter om salg av foretakets produkter. Når det gjelder ordinære salgsoppdrag vil likevel tilgang til finansforetakets agentregister gi tilstrekkelig informasjon, men Finanstilsynet kan konkret vurdere behovet for oppfølgning overfor finansforetaket.

Det er også gjort unntak for utkontraktering av IKT-virksomhet som ikke er underlagt IKT-forskriften, som regulerer IKT-systemer som er av betydning for finansforetakets virksomhet. Dette må vurderes konkret, men det sentrale er hvilke konsekvenser det har for foretakets virksomhet dersom oppgavene ikke blir gjennomført som forutsatt. Selv om et system isolert sett ikke ville vært av betydning for virksomheten, kan det likevel omfattes av IKT-forskriften dersom det er integrert i nettverksarkitekturen.

Større banker og forsikringsforetak har gjerne mange utkontrakteringsavtaler som må meldes til Finanstilsynet. Finanstilsynet har i noen tilfeller akseptert at enkelte typer endringer av mindre betydning for risikoen kan etteranmeldes eller at det avtales særskilt håndtering av avtaler som er like for mange finansforetak, for eksempel innenfor en allianse. Rundskrivet åpner imidlertid ikke for slike generelle ordninger for praktisering av meldeplikten, men utelukker heller ikke at individuelt avtalte ordninger videreføres.

Finanstilsynets rundskriv omhandler for øvrig en rekke andre forhold knyttet til utkontraktering, blant annet følgende:

• Vurderinger som må gjennomføres før utkontraktering, herunder krav til risikovurdering, tiltak som sikrer kontinuitet i leveransen ved terminering av avtalen og iverksettelse av eventuelle risikoreduserende tiltak
• Begrensninger i hvilke oppgaver som kan utkontrakteres, både med hensyn til omfang og type oppgaver
• Hvilke forhold som må tas med i vurderingen av oppdragstakeren, herunder eventuelt krav til konsesjon eller sertifisering, risikoen for interessekonflikter, kapasitet og kompetanse, finansiell styrke, hvilken lovgivning som gjelder for oppdragstaker, muligheten for fysisk kontroll, samt styring og kontroll hos oppdragstaker
• Minstekrav og anbefalinger til utkontrakteringsavtalens innhold
• Krav til retningslinjene for utkontraktering, risikostyring og kontroll, herunder styrets og daglig leders ansvar, egen kapasitet og kompetanse, samt beredskapsplaner