Rundskriv fra Finanstilsynet om utkontraktering

Det er utarbeidet en veiledning om utkontraktering for foretak under tilsyn. Den påvirker ikke dagens rammer for regnskapsbedrifter, men det er flere forhold å tenke på.

Del

I regnskapsbransjen er det spesielt utkontraktering av IT som har det største omfanget, og som omtales videre her. Utkontraktering av IT var tematilsyn i 2015, og resultatene for vår bransje var ikke positive. Mye av det formelle manglet. Tilsynet valgte ikke å sanksjonere i 2015 på manglende etterlevelse, men sa samtidig at det fremover vil være grunnlag for sanksjonering.

Rundskriv 3/2020 setter klare krav til regnskapsvirksomhetene når disse utkontrakterer deler av sin virksomhet. 

Regnskap Norge IT-forum har verktøyet

Regnskap Norge IT-forum tok tak i tilsynsrapporten fra 2015, ved at Regnskap Norge i samarbeid med systemleverandørene utarbeidet to kravspesifikasjoner for utkontraktering av IT. Disse anbefales, lagt ved de kommersielle kontraktene som inngås mellom regnskapsvirksomhetene og IT-leverandørene, for å sikre samsvar med tilsynets krav ved utkontraktering. Den ene gjelder bruk av programvare, den andre gjelder IT-drift. Se lenke til disse til høyre på siden. 

Kjenn din risiko

Det er en klar forutsetning at du som regnskapsvirksomhet kjenner til risikoen ved å utkontraktere IT.

Kravene i veiledningen er:

  • en konkretisering av de ulike risikoene,
  • sannsynligheten for at de aktuelle hendelsene inntreffer, og
  • hvilke konsekvenser det i så fall vil kunne ha for foretakets virksomhet.

Foretakets vurdering må også inkludere muligheten til å terminere avtalen uten at det skaper vesentlige forstyrrelser i virksomheten, og på en måte som sikrer oppfyllelsen av lovkrav og forpliktelsene overfor kundene.

Husk at beredskapsplanen til regnskapsvirksomheten må inkludere det som er utkontraktert og hvordan normal drift skal gjenopprettes sammen med den utkontrakterende parten. 

Er aktøren seriøs?

Vurdering av virksomheten som oppgavene utkontrakteres til er en del av risikovurderingen. Forhold som må vurderes kan inkludere; Er aktøren kjent og anerkjent? Har de kapasitet og relevant kompetanse (eksempelvis på bokføringsregelverket)? Har de tilferedsstillende intern kontroll? Sikkerhetsløsninger? Hvor er dataene oppbevart? Har de relevante sertifiseringer som underbygger kompetanse og kvaltet?

Risikovurderingens omfang må reflektere kritikaliteten til det som utkontrakteres. For vår bransje er IT et avgjørende produksjons- og rapporteringssystem, og risikovurderingen må derfor reflektere dette. 

Når er det utkontraktering?

Veiledningen til tilsynet eksemplifiserer når det er utkontraktering og ikke.

  • Kjøp av programvare som installeres på foretakets egen server og som driftes av foretaket selv, innebærer ikke utkontraktering av IKT-virksomhet. Ved bruk av slik programvare drifter, behandler og oppbevarer foretaket selv sine data.
  • Hvis foretaket har programvare på egen server, men setter bort driften av serveren til en oppdragstaker, innebærer dette utkontraktering av IKT-virksomhet.
  • Avtale om rett til bruk av programvare, plattform og/eller infrastruktur (IKT-systemer og -tjenester) som driftes av oppdragstaker på oppdragstakerens servere, anses som utkontraktering av foretakets IKT-virksomhet. Som eksempler på dette nevnes:
    a. IaaS – (Infrastructure as a Service)
    b. PaaS – (Platform as a Service)
    c. SaaS – (Software as a Service)
    Bruk av IaaS, PaaS eller SaaS innebærer at foretaket også utkontrakterer driften, behandlingen og/eller oppbevaringen av data som registreres i forbindelse med bruken av slike programvarer og tjenester.

Hva med taushetsplikten ved utkontraktering av IT?

Lovbestemt taushetsplikt eller plikter knyttet til informasjonshåndtering er normalt ikke til hinder for at foretaket kan utkontraktere oppgaver som innebærer at oppdragstaker får tilgang til slik informasjon. Finanstilsynet omtaler dette i sin veiledning om taushetsplikt (rundskriv 3/2019).

Foretaket har plikt til å iverksette risikoreduserende tiltak som hindrer at informasjon kommer på avveie eller misbrukes, for eksempel ved bruk av taushetserklæringer. Særskilte krav til å beskytte informasjon kan følge av annet regelverk, for eksempel krav om databehandleravtale.

Foretakets vurdering av oppdragstakeren og regulering og oppfølging av informasjonshåndteringen i avtalen er viktige bidrag for å hindre at informasjon kommer på avveie.

Normalt vil databehandleravtalen regulere taushetsplikten, men vi får jevnlig spørsmål om IT-hjelpere / suppportpersonell som er innom for å ordne i generelle IT-problemer. Her vil en taushetserklæring signert av supportpersonellet være tilstrekkelig dokumentasjon. 

Bruk kravspesifikasjonene!

Vi anbefaler på det sterkeste at regnskapsvirksomhetene bruker kravspesifikasjonene vi har utarbeidet i sine avtaler med IT-leverandøren. Kravspesifikasjonene kan inngås og signeres i ettertid uavhengig av den inngåtte kontrakten på programvare eller drift.