Krav til regnskapsforetak om å ha samlet oversikt over utkontrakteringsavtaler

Regnskapsforetak er fra og med 2022 pliktig til ha en oppdatert oversikt over avtaler om utkontraktering. Det omfatter bl.a. avtaler om ekstern IT-drift og programvare.

Del

Plikten er regulert i ny forskrift om meldeplikt ved utkontraktering av virksomhet (meldepliktforskriften), som gjelder for foretak under tilsyn. Forskriften medfører at flere tilsynsgrupper enn før skal omfattes av meldeplikten. Regnskaps- og revisjonsforetak er imidlertid fortsatt unntatt fra meldeplikten (forskriften § 2), men det har tilkommet nytt krav om at alle foretak under tilsyn skal ha en oppdatert oversikt over alle sine utkontrakteringsavtaler (forskriften § 1). Dette gjelder da også for regnskaps- og revisjonsforetak. Bakgrunnen for kravet er at Finanstilsynet skal kunne følge opp risikoen knyttet til utkontrakteringsavtaler, også der det ikke foreligger meldeplikt.

I forlengelsen av den nye forskriften har Finanstilsynet også utgitt en ny veiledning om utkontraktering; Rundskriv 7/2021. Rundskrivet erstatter tidligere rundskriv 3/2020.

Det nye rundskrivet gir veiledning om hva som regnes som utkontraktering, begrensninger i adgangen til å utkontraktere og hvordan foretak under tilsyn må identifisere, vurdere og håndtere risikoen knyttet til utkontraktering. Rundskrivet omtaler også meldeplikten for dem det gjelder, og kravet til å oversikt over utkontrakteringsavtalene. Nedenfor redegjøres det for noen hovedpunkter.

Generelt om utkontraktering

Det er utkontraktering når et foretak velger å la en annen juridisk enhet (oppdragstaker) utføre oppgaver på vegne av foretaket. Dette gjelder også når foretaket er i samme konsern eller konsernlignende gruppe som oppdragstaker.

Hvor viktig oppgaven(e) er for foretakets virksomhet eller omfanget av oppgaven(e), er ikke av betydning for om en avtale innebærer utkontraktering, men det kan ha betydning for hvilke regler som gjelder.

Eksempler på utkontraktering

Finanstilsynet har i sitt rundskriv 7/2021 gitt eksempler på hva som er utkontraktering og hva som ikke er det. To av disse, og som er spesielt aktuelle for regnskapsforetak er:

IKT-virksomhet

  • Kjøp av programvare som installeres på foretakets egen server og som driftes av foretaket selv, innebærer ikke utkontraktering av IKT-virksomhet. Ved bruk av slik programvare drifter, behandler og oppbevarer foretaket selv sine data.
  • Hvis foretaket har programvare på egen server, men setter bort driften av serveren til en oppdragstaker, innebærer dette utkontraktering av IKT-virksomhet.
  • Avtale om rett til bruk av programvare, plattform og/eller infrastruktur (IKT-systemer og -tjenester) som driftes av oppdragstaker på oppdragstakerens servere, anses som utkontraktering av foretakets IKT-virksomhet. Eksempelvis: a. IaaS (Infrastructure as a Service) b. PaaS (Platform as a Service) c. SaaS (Software as a Service). Bruk av IaaS, PaaS eller SaaS innebærer at foretaket også utkontrakterer driften, behandlingen og/eller oppbevaringen av data som registreres i forbindelse med bruken av slike programvarer og tjenester.

Bruk av eksterne i oppdragsutførelsen

  • Det er utkontraktering dersom et regnskapsforetak benytter en oppdragstaker til oppgaver som er nødvendige for å oppfylle regnskapsførerloven eller god regnskapsføringsskikk-standardens krav til oppdragsutførelsen. Eksempelvis avtale med andre foretak om utføring av bokføringsoppgaver.

For flere eksempler og avgrensninger vises til rundskrivet punkt 3.

Adgang til utkontraktering

Foretaket kan bare utkontraktere virksomhet dersom det anses forsvarlig. Dette forutsetter blant annet at oppdragstaker har kompetanse og ressurser som oppdraget krever. Videre må foretaket selv ha kapasitet og kompetanse til å sikre nødvendig styring og kontroll med utkontraktert virksomhet. Foretaket må også sikre at Finanstilsynet kan føre tilsyn med utkontraktert virksomhet.

Selv om en oppgave ikke kan utkontrakteres, kan foretaket normalt utkontraktere IKT-virksomhet som understøtter gjennomføringen av den aktuelle oppgaven. Typisk her er nettopp regnskapssystemer o.l.

For nærmere om vurderinger og begrensninger i hvilke oppgaver som kan utkontrakteres, se rundskrivet punkt 4. Videre vises til punkt 5 om hvilke vurderinger som må gjøres av oppdragstaker.

Utkontrakteringsavtalen

Utkontrakteringsavtalen må gi foretaket de rettighetene som er nødvendige for at utkontrakteringen skal anses som forsvarlig. Avtalen må blant annet sikre at utkontraktert virksomhet til enhver tid drives i samsvar med det regelverket som gjelder for foretaket og foretakets virksomhet, og at Finanstilsynet kan føre tilsyn.

Avtale om utkontraktering skal være skriftlig, og skal ifølge rundskrivet minst inneholde:

  • Entydig identifikasjon av kontraktspartene (organisasjonsnummer eller lignende).
  • Klar beskrivelse av hva oppdraget går ut på, herunder spesifikasjon av leveransen med kvalitetsmål.
  • Avtaleperiode og oppsigelsestid.
  • Særlig rett for foretaket til å bringe avtalen til opphør.
  • Foretakets rett til å kontrollere utførelsen av oppgaven(e).
  • Foretakets rett til å kreve informasjon eller rapportering, i det formatet som er nødvendig, for at foretaket skal kunne følge opp utkontraktert virksomhet og for å kunne oppfylle foretakets egne rapporteringsplikter.
  • Bestemmelse som sikrer foretaket en løpende kontroll med at oppdragstaker overholder taushetsplikten og at foretakets plikter etter personopplysningslovgivningen er oppfylt.
  • Rett for Finanstilsynet til å få tilgang til alle opplysninger som anses nødvendige som ledd i tilsynet med foretaket, og til å føre tilsyn med utkontraktert virksomhet uten begrensninger.
  • Forbud mot videreutkontraktering, med mindre oppdragstaker skal ha en slik rett.

I tillegg må foretaket vurdere om det er behov for å regulere følgende forhold:

  • Særlige krav til oppdragstakers organisering, soliditet, eierskap, forsikringsdekning, garantistillelse m.m., og hva som i så fall skal gjelde dersom det oppstår endringer i disse forutsetningene. Det kan for eksempel kreves forutgående samtykke eller plikt til å varsle foretaket med eventuelle frister for varsling.
  • Lovvalg og hvor en tvist skal avgjøres (hvilket land).
  • Plikt for oppdragstaker til å samarbeide med relevante myndigheter i en beredskapssituasjon når dette er et krav i sektorregelverket.
  • Klar beskrivelse av partenes plikter ved opphør av avtalen, herunder oppdragstakers forpliktelser til å bistå i avviklingsfasen. For eksempel en plikt for oppdragstaker til å bidra til å sikre og overføre data til foretaket eller en annen mottaker som foretaket bestemmer, og i det formatet foretaket ber om.
  • At oppdragstaker er forpliktet til å ivareta oppgavene som foretaket har forutsatt i fastsettelsen av egne beredskapsplaner, herunder plikt for oppdragstaker til å medvirke til å iverksette kriseløsninger.

Samlet oversikt over avtaler om utkontraktering

Som nevnt innledningsvis påhviler det ikke meldeplikt for regnskaps- og revisjonsforetak om utkontrakteringsavtaler. Gjeldende for alle foretak under tilsyn, og dermed også regnskaps- og revisjonsforetak, er imidlertid at de må ha en oppdatert oversikt over slike avtaler.

En slik samlet og oppdatert oversikt er en nødvendig del av grunnlaget for foretakets egen risikovurdering, styring og kontroll av utkontraktert virksomhet (se om dette i rundskrivet punkt 2 Vurderinger som må gjennomføres før utkontraktering og punkt 8 Risikostyring og internkontroll).

Hvilke opplysninger oversikten skal inneholde, følger av meldepliktforskriften § 1 gjennom henvisningen til § 4 første ledd. Dette innebærer at oversikten skal inneholde opplysninger om:

  • navn og organisasjonsnummer på oppdragstaker
  • virksomheten/oppgavene som utkontrakteres
  • oppdragstaker driver virksomhet i Norge, i norsk selskap, i filial eller som grensekryssende virksomhet. Dersom oppdragstaker er etablert i utlandet, skal det også opplyses om hvilket land foretakets hovedkontor er etablert i.
  • navn og organisasjonsnummer på underleverandører som oppdragstaker bruker ved utførelse av oppgaver på vegne av foretaket. Dersom underleverandør er etablert i utlandet, bes det opplyst om hvilket land.
  • avtalens oppstarts- og opphørsdato, herunder opplysninger om rullerende avtaleperiode
  • hvordan foretaket vil følge opp sitt ansvar for den utkontrakterte virksomheten, samt foretakets risikovurdering av utkontrakteringen

Oversikten vil kunne bli etterspurt og benyttet av Finanstilsynet i tilsynsarbeidet.