job Kontroll og sikkerhet

Styring av tredjepartsrisiko og krav til outsourcing i finansbransjen

Når et foretak engasjeres for å utføre tjenester for en annen virksomhet, er det iboende risiko for mangelfull innfrielse av oppgaven på grunn av utilfredsstillende kvalitet i egne eller underleverandørers prosesser eller operasjonelle svikt.

Stadig flere virksomheter engasjerer leverandører og tredjeparter for å få tilgang til nye tjenester, teknologi eller markeder. En annen motivasjon kan være å oppnå kostnadsgevinster gjennom kjøp fra leverandører som realise­rer skalafordeler gjennom spesialisering og volum på sine kjerneområder. Dette skaper behov for å tilpasse virksomhetenes risikostyring til å også håndtere risiko forbundet med outsourcing og tredjeparter.

Fremfor å utvikle, investere i eller ansette en ønsket kompetanse eller funksjon, kan virksomheter i stedet knytte til seg leverandører eller tredjeparter som utfører de aktuelle oppgavene. Dette kan gjelde alt fra å engasjere en agent i et nytt land som virksomheten ønsker å satse på, til å sette ut kantinetjenester eller outsource drift av IT infrastruktur. På denne måten kan virksomheter sikre fleksibilitet samtidig som den oppnår lavere og mer forutsigbare kostnader enn ved å investere eller ansette selv, og slik redusere økonomisk risiko. Å sette ut en oppgave, betyr imidlertid ikke at ansvaret opphører – tvert imot vil bruk av tredjeparter eksponere virksomheten for nye risikoer og kreve nye rutiner for å sikre kontroll.

Tredjeparter brukes i denne sammenheng om leverandører og under­leverandører, agenter og partnere.

Operasjonell risiko og compliance

Når et foretak engasjeres for å utføre tjenester for en annen virksomhet, er dette med en iboende risiko for mangelfull innfrielse av oppgaven på grunn av utilfredsstillende kvalitet i egne eller underleverandørers prosesser eller operasjonelle svikt. I tillegg til kontraktbetingelsene, vil tredjeparten også måtte etterleve relevante lover og regler. Om tredjeparten bryter disse kravene i forbindelse med leveranse, for eksempel brudd på arbeidsmiljølov, personvern eller miljøkrav, kan oppdragsgiver stilles til ansvar. I verste fall kan brudd på straffeloven forekomme, for eksempel hvitvasking eller korrupsjon.

Det er naturlig nok langt mer krevende å ha kontroll over prosesser og ansatte når disse ligger i et annet foretak.

Som et minimum er det derfor viktig å gjøre en evaluering av tredjepartens forutsetninger for å levere, risiko forbundet med outsourcing av den aktu- elle tjenesten eller funksjonen, og integrity due diligence (1) i forkant av kontraktsinngåelse, og sikre seg mulighet til å overvåke tredjepartens pro- sesser, styring og kontroll.

Samfunnsansvar

Kontroll og styring av leverandørkjeden er også et sentralt tema innen samfunnsansvar. Et foretak som tar samfunnsansvar på alvor, må sikre at også bruk av tredjeparter støtter oppunder og ikke er i konflikt med for eksempel virksomhetens bærekraftsmål og etiske anbefalinger. Dette kan innebære mer omfattende kontroll av tredjeparten og krav til tiltak som å samarbeide med selskapets leverandører om strategi og handlingsplaner innenfor samfunnsansvar og til å bidra til å skape kontinuerlig forbedring i leverandørenes utøvelse av samfunnsansvar. Dette gjelder både ved anskaffelser av innsatsfaktorer til egen produksjon og ved outsourcing av tjenester og funksjoner.

Styring av risiko forbun­det med tredjeparter i finansbransjen

Økte kapitalkrav og press på kostnader har lenge skapt incentiv for bruk av tredjeparter i finansbransjen. I tillegg kommer teknologisk utvikling og endrede og internasjonalt harmoniserte regulatoriske rammebetingelser for betalingstjenester. Endrede «spilleregler» åpner opp for nye aktører og legger til rette for konkurranse og leveranser på tvers av landegrensene.

Videre gir det ytterliggere motivasjon og muligheter for utkontraktering av aktiviteter eller funksjoner til tredjeparter.

EBAs guidelines for outsourcing representerer anerkjent praksis og gode råd uansett bransje.

Denne utviklingen påkaller naturlig nok tilsynsmyndighetenes oppmerksomhet. European Banking Authoritys (EBA) oppdaterte anbefalinger for virksomhetsstyring fra 2017 (2)stadfester at styring og kontroll med outsourcing må være integrert i foretakenes øvrige virksomhetsstyring. 25. februar 2019 lanserte EBA egne anbefalinger (3) for outsourcingsordninger (4) om (med enkelte unntak) gjøres gjeldende fra 30. september 2019. Disse erstatter CEBS5 sin veiledning for outsourcing for kredittforetak tilbake fra 2006 og EBAs egne anbefalinger for outsourcing av skybaserte tjenester. Anbefalingene fra EBA gjelder for kredittforetak, betalingsforetak, e-pengeforetak og tilsynsmyndigheter, og bygger på «følg eller forklar»-prinsippet; foretakene i EU må følge anbefalingene eller kunne forklare hvorfor de avviker fra dem. Videre gir det ytterligere motivasjon og muligheter for utkontraktering av aktiviteter eller funksjoner til tredjeparter.

EBAs nye anbefalinger for outsourcing innebærer mer detaljerte krav til foretakenes styring og kontroll av outsourcingsordninger. Fokuset rettes særlig mot outsourcing forbundet med betalingsformidling, IKT og skybaserte tjenester, som bekrefter de europeiske myndighetenes sterke fokus på IKT, sikkerhet og foretakenes generelle driftssikkerhet. Anbefalingene hensyntar også krav forbundet med GDPR (personverndirektivet).

Hva gjelder i Norge

Anbefalinger fra EBA blir gjeldende når Finanstilsynet bekrefter overfor EBA at de vil følges. Dette gjøres normalt noe tid etter at anbefalinger er EBA lansert. Det foreligger ikke enda slik bekreftelse for anbefalingene for outsourcing, men Finanstilsynet bekreftet i 2018 EBAs anbefalinger for bruk av skytjenesteleverandør, som nå er tatt opp i dette settet med anbefalinger og det vil derfor ikke være uventet at Finanstilsynet også bekrefter disse anbefalingene. Uansett utgjør prinsippene i EBAs anbefalinger ledende praksis for risikostyring forbundet med utkontraktering.

Overordnet vurdering av outsourcingsordninger

Anbefalingene er delt inn i fire bolker;

  • virkeområde og forholdsmessighet,
  • overordnet vurdering av outsourcingsordninger,
  • rammeverk for styring og kontroll av tredjepartsrisiko,
  • selve outsourcingsprosessen

EBA definerer outsourcing som en funksjon eller sett av aktiviteter som vanligvis utføres av virksomheten, og som isteden leveres av en ekstern tjenesteyter – en tredjepart. Anbefalingene fra EBA peker på at dette gjelder selv om foretaket ikke på noe tidspunkt har utført disse oppgavene selv og heller ikke er i stand til å utføre dem. Videre legger EBA til grunn at leveransen må være gjentakende og foregå over en periode. Anbefalingene gir flere eksempler på anskaffelser som ikke er å betrakte som outsourcing i henhold til deres anbefalinger, bl.a. enkeltstående kjøp av varer eller software lisenser.

Kritiske eller viktige funksjoner

Anbefalingene er dessuten rettet mot outsourcing relatert til kritiske eller viktige funksjoner. I hovedtrekk anses en funksjon som viktig eller kritisk dersom svikt i leveransen kan påføre virksomheten vesentlige økonomiske tap, driftsbrudd og problemer med å innfri foretakets forpliktelser overfor egne kunder, eller føre til manglende etterlevelse av regulatoriske krav (6). EBA angir nærmere evalueringskriterier som skal legges til grunn. Der- som aktiviteten krever konsesjon fra myndighetene eller er vesentlig for foretakets internkontroll, vil dette også tilsi at funksjonen kan være kritisk eller viktig.

Rammeverk for styring og kontroll av tredjepartsrisiko

Å sette ut en tjeneste til en tredjepart, fritar ikke ledelse og styret for ansvar. Det vil si at det fortsatt er foretakets ledelse og styre som har ansvar for fastsetting av strategi og risikoappetitt, intern organisering, oppfølging av den daglige driften inkludert aktivitetene som leveres av tredjeparter, håndtering av risikoer og interessekonflikter og at foretaket etterlever de kravene som settes for å få og beholde konsesjon. Dette igjen setter en rekke krav til kontroll, monitorerings- og rapporteringsrutiner samt til avtalene med tredjeparter, slik at ledelse og styret kan ta informerte beslutninger i tide og har et handlingsrom i forhold til avtalemotpartene. Hovedkomponentene i et rammeverk for risikostyring forbundet med outsourcing i henhold til EBAs anbefalinger, er illustrert i figur 2.

Figur 2 Hovedkomponentene i et risikostyringsrammeverk for outsourcing

En overordnet forutsetning, er at styring av tredjepartsrisiko skal være integrert i virksomhetens rammeverk for helhetlig risikostyring. Foretakene må forankre dette i en egen policy som definerer prinsippene for alle faser ved en outsourcing, inkludert prinsipper for håndtering av interessekonflikter forbundet med å sette ut funksjoner eller oppgaver til tredjeparter. EBA setter også krav til at finansforetakene må rigge – og teste – sine beredskapsplaner slik at de kan implementere disse selv ved svikt i leveranse fra tredjeparter.

Outsourcingsprosessen

Selve outsourcingsprosessen omfatter foranalyse og kontraktsinngåelse. Det er i denne fasen foretakene kan legge fundamentet for adekvat styring og kontroll. Anbefalingene fra EBA anfører konkrete punkter som må dekkes, fra gjennomgang av konsesjonskrav, til vurdering av risikoer forbundet med utkontrakteringen og due diligence av tredjeparter. Den endelige kontrakten må regulere en rekke forhold, som for eksempel tredjeparters underleverandører, krav til data- og systemsikkerhet, informasjonstilgang, kundens rett til å gjennomføre revisjoner og til å terminere avtalen.

Dokumentasjon og oversikt

I tillegg til robuste prosesser for risikovurdering og –styring forbundet med den enkelte outsourcingsavtalen, kreves en samlet oversikt for å sikre helhetlig risikostyring. De færreste foretak har eller har hatt en samlet oversikt over alle outsourcingsavtaler. I praksis vil avtaler være inngått av ulike miljøer, og i den grad Innkjøp har vært involvert, har det vært forbundet med å sikre konkurransedyktige betingelser og kontrakter som ivaretar foretakets juridiske interesser og rettigheter. EBAs krav til dokumentasjon og oversikt over alle outsourcingsforhold krever derfor etablering av en sentralisert prosess for forvaltning av slike avtaler.

Exit­strategier

I tillegg til termineringsklausuler i kontrakter med tredjeparter, krever EBAs anbefalinger at foretaket også etablerer exit-strategier, som skal praktisk muliggjøre en terminering ved for eksempel svikt i leveranse eller ved implementering av en beredskapsplan. Utvikling av en exit-strategi tar utgangspunkt i en målsetting for exit-strategi, konsekvensanalyse, fordeling av roller, ansvar og ressursallokering ved utøvelse av exit-strategi og overføring av funksjoner og aktiviteter.

Oppsummering

EBAs anbefalinger for outsourcingsordninger vil tre i kraft ved inngåelse av nye avtaler i EU fra 30. september mens eksisterende avtaler må utfases og erstattes med avtaler som møter kravene innen 31. desember 2021.

EBAs anbefalinger for outsourcing er imidlertid i tråd og har således gyldighet og relevans også for andre bransjer. Utvikling av et helhetlig rammeverk for styring av tredjepartsrisiko må speile virksomhetens aktivitet og særskilte risikobilde og ikke begrenses til tredjeparter forbundet med outsourcing. Også leverandører ved anskaffelse av innsatsfaktorer til virksomheters produksjon, infrastruktur, maskiner, utstyr og konsulentbistand til avtaler med partnere, agenter og sponsorer bør vurderes dekket av rammeverk for styring av tredjepartsrisiko.

Fotnoter

(1) Integrity Due Diligence: undersøkelse av tredjeparten, dets eieres og nøkkelpersoners integritet, dvs. omdømme og historikk mhp forretningsetisk adferd.
(2) GL 11: Guidelines on internal Governance.
(3) Finanstilsynet anvender «anbefalinger» ved oversettelse av EBAs «guidelines».
(4) EBA Financial Report on EBA Guidelines on outsourcing arrangements EBA/GL/19/02
(5) Committee of European Banking Supervisors
(6) Spesifikt nevnt er kapitalkravregelverket CRD IV og CRR, MiFID II, revidert betalingstjenestedirektiv PSD2 og e-pengedirektivet.