Økt oppmerksomhet om utkontrakteringsavtaler

Finanstilsynet har i rundskriv 7/2021 gjort rede for en del krav som stilles til foretak under tilsyn i forbindelse med utkontraktering. Ytterligere krav og presiseringer utvikles gjennom tilsynspraksis, og fremkommer blant annet av tilsynsrapporter og Finanstilsynets risiko og sårbarhetsanalyser (ROS), senest ROS-rapporten for 2023 som ble publisert 9. mai 2023.

I forbindelse med tilsyn vil Finanstilsynet fremover øke oppmerksomheten mot utkontrakteringsavtaler som er inngått tilbake i tid og avtaler med leverandører der tilsynet tidligere har registrert avvik fra regelverket.

Avtalen skal inneholde en klar beskrivelse av hva oppdraget går ut på, herunder en spesifikasjon av leveransen med kvalitetsmål. Finanstilsynet anbefaler at foretaket etablerer planer for hvordan det skal håndtere manglende kvalitet og utfordringer med manglende eller forsinkede leveranser. For eksempel kan virksomhetskritiske funksjoner kreve at tjenesteleveranser opprettholdes selv om det igangsettes en streik blant oppdragstakers ansatte. Dette må ivaretas for eksempel med egne avtaler med fagforening/myndigheter.

Avtalen skal sikre at både foretaket og Finanstilsynet har rett til å kontrollere oppdragstakers utførelse av de utkontrakterte tjenestene.

Finanstilsynet forventer at foretakene har god innkjøps- og oppfølgningskompetanse, herunder om IT-sikkerhet, og nødvendige ressurser for å kunne stille tilstrekkelige krav til leverandørens løsninger og sikkerhet, og fullt ut forstå leveransen.

Dette gjelder blant annet kontroll med leverandørens iverksettelse av tiltak mot digitale verdikjedeangrep, som det har vært en viss økning av de siste årene. Eksempler på tiltak er overvåkning av nettverkstrafikk for å avdekke avvikende mønster og bruk av systemer og løsninger for automatisert kontroll og verifisering av programkode.

For å ivareta en helhetlig styring og kontroll med utkontraktert IT-virksomhet, anbefaler Finanstilsynet at foretaket etablerer en styringsmodell med møteplasser og fora for å følge opp leverandører og leveranser på flere nivåer:

• strategisk nivå som inkluderer ledelse og styre,
• taktisk nivå om gjelder oppfølging av leverandør, og
• operasjonelt nivå med daglig oppfølging av leveranser.

Styringsmodellen som etableres bør inkludere representanter fra oppdragsgiver i alle fora der man fastsetter hvordan samhandling og oppfølging skal foregå.

På det overordnede, strategiske nivået er det viktig at foretakets ledelse og styre har inngående kjennskap til risiko, utfordringer og handlingsalternativer knyttet til foretakets utkontrakterte virksomhet.

Ved utkontraktering til flere leverandører må foretaket vurdere om det bør etableres møteplasser der flere eller alle leverandører deltar.

Utkontraktering kan innebære at ansatte hos leverandøren har behov for tilgang til foretakets systemer.

Rutine for tilgangsstyring og oppfølging hos leverandør må sikre at det ikke gis muligheter for å misbruke tilganger til ikke-tjenstlige oppslag. Foretaket må stille nødvendige krav til oppdragstaker, gjennom avtaler og kontrollaktiviteter, for å sikre at det ivaretar styring og kontroll med tilgangsrettigheter på en forsvarlig måte, herunder sikre at oppdragstaker har etablert nødvendige rutiner og prosesser for slik styring og kontroll.

Dersom ansatte hos oppdragstaker har et tjenstlig behov for å ha tilgang til foretakets IKT-driftsmiljø, inkludert applikasjoner og data, bør løsningene for tilgangsstyring og kontrollrutiner i størst mulig grad være utformet slik at tilganger tildeles og kontrolleres for det enkelte oppdrag.

De senere årene har det blitt økt oppmerksomhet om utfordringene ved bytte av tjenesteleverandør ved utkontraktert virksomhet. Utkontrakteringsavtalen må sikre foretakets mulighet for å bringe avtalen til opphør, enten dette skyldes konflikter med tjenesteleverandøren eller skjer med bakgrunn i foretakets egne strategiske valg.

Avtalen må også regulere partenes plikter ved opphør av avtalen slik at det kan gjennomføres en styrt og kontrollert avvikling av leverandørforholdet, herunder oppdragstakers plikt til å bistå i avviklingsfasen og til å bistå med å få igangsatt tjenesteleveranse fra ny oppdragstaker.

Fra 2022 ble det innført krav om at alle foretak under tilsyn skal ha en oppdatert oversikt over alle avtaler om utkontraktering av virksomhet. Finanstilsynets stedlige tilsyn har avdekket at mange foretak ennå ikke har dette på plass. Oversikten skal inneholde opplysninger om følgende forhold:

• Navn og organisasjonsnummer på oppdragstaker.
• Virksomheten/oppgavene som utkontrakteres.
• Om oppdragstaker driver virksomhet i Norge, i norsk selskap, i filial eller som grensekryssende virksomhet, og eventuelt angi hvilket land oppdragstakers hovedkontor er etablert i.
• Navn og organisasjonsnummer på underleverandører som oppdragstaker bruker ved utførelse av oppgaver på vegne av foretaket, og eventuelt angi i hvilket land underleverandør er etablert i.
• Avtalens oppstarts- og opphørsdato, herunder opplysninger om rullerende avtaleperiode.
• Hvordan foretaket vil følge opp sitt ansvar for den utkontrakterte virksomheten, samt foretakets risikovurdering av utkontrakteringen.