Utkontraktering kan gi økt mulighetsrom, men stiller også strenge krav til styring og kontroll

Omfanget av bruk av utkontrakterte tjenester har økt kraftig de siste ti årene, spesielt innen finansbransjen. Dette følger særlig av utviklingen i digitalisering og betydningen av leverandører av finansiell teknologi (fintech) for finansinstitusjoner. Det kan være vanskelig for det enkelte foretak å få tak i nødvendig kompetanse til å følge denne utviklingen. Kombinert med økte kapitalkrav og press på kostnader gir utkontraktering gode muligheter for å utnytte spesialist kompetanse hos leverandøren og samtidig oppnå stordriftsfordeler.

Den europeiske banktilsynsmyndigheten EBA offentliggjorde tidligere i år nye retningslinjer for utkontraktering av tjenester. Disse følges også i Norge, har Finanstilsynet bekreftet, og trådte i kraft 30. september i år. Retningslinjene erstatter den fra 2006 og er rettet mot banker, kredittforetak, verdipapirforetak samt betalingsforetak og e-pengeforetak. Videre er reglene om utkontraktering av skytjenester som kom i 2017 tatt inn i de samme retningslinjene for et fullt harmonisert rammeverk.

Det er verdt å merke seg at innstrammingene i norsk lov som tidligere gjaldt vil bli videreført:

• EBA legger opp til at virksomheter ikke har noen eksplisitt meldeplikt til tilsynsmyndigheter, men at disse skal overvåke utkontrakteringsordningene. I Norge derimot videreføres meldeplikten etter finanstilsynsloven § 4 c. Dette betyr at virksomheter må melde fra til Finanstilsynet om avtale om utkontraktering minst 60 dager før avtalens ikrafttreden.
• Adgangen til å utkontraktere virksomhet er videre definert i EBAs retningslinjer enn det som er tillatt i norsk rett. Finansforetaksloven § 13-4 vil fortsatt være gjeldende og det er ikke tillatt å utkontraktere kjerneoppgaver eller utkontraktere i et omfang som ikke anses forsvarlig eller som gjør at tilsynet med utkontraktert virksomhet vanskelig.

Strenge krav til risikovurdering, styring og kontroll

Retningslinjene stiller strenge krav for å sikre at foretak som utkontrakterer virksomhet har tilstrekkelig styring og kontroll og at dette skal bygge på robust virksomhetsstyring i foretaket. Et foretak må ha kompetanse på sin faktiske virksomhet og må derfor gjøre grundige vurderinger ved utkontraktering av tjenester. Ansvaret for virksomheten vil aldri kunne utkontrakteres og foretaket er ansvarlig for at gjeldende regelverk til enhver tid etterleves, også for de utkontrakterte tjenestene.

EBAs retningslinjer stiller krav til utkontrakteringsprosessen som skal sikre

• At administrasjonen i foretaket har prosesser for effektiv styring
• At det foreligger retningslinje og robuste prosesser for utkontraktering som reflekterer foretakets strategi og risikoprofil
• Tilstrekkelig internkontroll, herunder dokumentert kontrollaktivitet mot utkontraktert tjeneste
• Tilstrekkelig vurdering av risiko for å utkontraktere tjenester
• IT og datasikkerhet, også for utkontrakterte tjenester
• Exit strategi/beredskapsplan som sikrer kontrollert avvikling og/eller eventuell sikker overgang til ny leverandør
• At det legges til rette for effektivt tilsyn av tilsynsmyndigheter

Selv om de tidligere retningslinjene også har stilt krav til utkontraktering vil det for mange foretak være nødvendig og gå opp eksisterende prosesser og rammeverk for å sikre at de etterkommer de nye retningslinjene. EBA retningslinjene er gjeldene for alle nye avtaler og foretakets rammeverk må derfor tilpasses disse. Det er satt en overgangsperiode frem til 31. desember 2021 for å sikre etterlevelse av alle eksisterende avtaler.

Etter mange år i finans- og konsulentbransjen er min erfaring at selv mindre endringer i regelverk kan føre til større endringer i et foretak enn først antatt. Jeg anbefaler derfor å starte arbeidet med å sikre at dine prosesser for utkontraktering er i henhold til de nye retningslinjene så snart som mulig!

EBA Guidelines on outsourcing arrangements

Forfatter: Kjersti Ruben