Finanstilsynet om utkontraktering - ekstern drift av IKT-systemer mv.

Finanstilsynet har utgitt et nytt rundskriv som gir veiledning om hva som regnes som utkontraktering og hvordan risikoen knyttet til utkontraktering skal håndteres.

Publisert:

Hva som regnes som utkontraktering

Rundskrivet gjelder utkontraktering fra alle foretak som Finanstilsynet fører tilsyn med. Revisjonsforetak kan merke seg følgende:

  • Det er utkontraktering dersom et revisjonsforetak benytter en oppdragstaker til oppgaver som er nødvendige for å oppfylle revisorlovens eller revisjonsstandardenes krav til revisjonsutførelsen. Dette gjelder for eksempel utarbeiding av analyser, konsultasjoner, varetelling, eventuell oppdragskontroll før signering av revisjonsberetning m.m. Tilsvarende gjelder for regnskapsførerselskaper.
  • Hvis foretaket har programvare på egen server, men setter bort driften av serveren til en oppdragstaker, innebærer dette utkontraktering av IKT-virksomhet.
  • Avtale om rett til bruk av programvare, plattform og/eller infrastruktur som driftes av oppdragstaker på oppdragstakerens servere, anses som utkontraktering av foretakets IKT-virksomhet. Dette inkluderer skybaserte revisjonsverktøy.
  • Følgende administrative eller driftsrelaterte oppgaver er utkontraktering:
    • Bruk av ekstern regnskapsfører for hele eller deler av regnskapsføringen.
    • Bruk av oppdragstaker til inndriving av fordringer.
    • Bruk av oppdragstaker til produksjon og utsendelse av fakturaer.
  • Utkontraktering av oppgaver etter hvitvaskingsloven er omtalt i Finanstilsynets generelle rundskriv om hvitvaskingsloven og i hvitvaskingsrundskrivene for revisorer og regnskapsførere.

Vurderinger som må gjennomføres før utkontraktering

Foretaket må vurdere om det er forsvarlig å utkontraktere de aktuelle oppgavene og hvilke risikoer utkontrakteringen av de enkelte oppgavene vil innebære for foretakets virksomhet. 

  • Foretakets vurdering må også inkludere muligheten til å terminere avtalen uten at det skaper vesentlige forstyrrelser i virksomheten, og på en måte som sikrer oppfyllelsen av lovkrav og forpliktelsene overfor kundene.
  • En forsvarlig vurdering av oppdragstaker og innholdet av utkontrakteringsavtalen er viktige risikoreduserende tiltak.
  • Omfanget av risikovurderinger og risikoreduserende tiltak vil variere avhengig av arten, omfanget av og kompleksiteten i foretakets virksomhet, og hvilken betydning de utkontrakterte oppgavene har for foretakets virksomhet. Risikovurderingene må dokumenteres.
  • For mindre foretak kan utkontraktering av kontrolloppgaver være nødvendig for å oppnå tilstrekkelig uavhengighet fra den operasjonelle virksomheten. For eksempel vil en revisor som driver alene, ikke kunne oppfylle lovkravet til etablering av et forsvarlig internt kvalitetskontrollsystem uten å utkontraktere de sykliske kontrollene som inngår som ledd i revisjonsselskapets overvåking av egen revisjonsvirksomhet. Dersom det ikke er andre enn daglig leder som kan ivareta kontrollfunksjonen, må oppdragstaker også rapportere til styret, i tillegg til å rapportere til daglig leder som ansvarlig for kontrollfunksjonen.

Vurdering av oppdragstaker

Før en utkontraktering må foretaket vurdere oppdragstaker og også underleverandører der dette er aktuelt. Rundskrivet nevner en rekke forhold som kan ha betydning.

Utkontrakteringsavtalen

Utkontrakteringsavtalen må gi foretaket de rettighetene som er nødvendige for at utkontrakteringen skal anses som forsvarlig. Avtalen må blant annet sikre at utkontraktert virksomhet til enhver tid drives i samsvar med det regelverket som gjelder for foretaket og foretakets virksomhet, og at Finanstilsynet kan føre tilsyn.

Risikostyring og internkontroll

Styret må fastsette prinsipper og overordnede retningslinjer for hvordan utkontraktering skal skje, og hvordan utkontraktert virksomhet skal følges opp og overvåkes. I samsvar med prinsippene og retningslinjene styret har fastsatt, har daglig leder ansvar for å iverksette tiltak som sikrer styring og kontroll med utkontraktert virksomhet.

  • For å sikre at all utkontraktert virksomhet drives forsvarlig, må det etableres retningslinjer og rutiner for foretakets utkontraktering som skal ligge til grunn for den enkelte utkontrakteringsavtale. Rundskrivet gir nærmere anvisning på hva som må behandles i retningslinjene og rutinene.
  • Unntaksvis kan det aksepteres at foretak med begrenset virksomhet og med få og lite komplekse utkontrakteringsavtaler, kan unnlate å fastsette skriftlige retningslinjer og rutiner for utkontraktering. Dette gjelder for eksempel regnskapsførerforetak eller revisjonsforetak der virksomheten drives av en person alene. Selv om foretaket ikke har skriftlige retningslinjer og rutiner for utkontraktering, må foretaket dokumentere en risikovurdering og hvilke kontrolltiltak som er iverksatt.
  • Foretaket må ha kapasitet og kompetanse til å inngå, følge opp og avvikle utkontrakteringsavtaler.