Utkontraktering fra banker
En analyse og vurdering av gjeldende regelverk
Kandidatnummer: 624
Leveringsfrist: 25. november 2022 kl. 12.00
Antall ord: 16106
Innholdsfortegnelse
1 INNLEDNING 1
1.1 Tema og problemstillinger 1
1.2 Avgrensninger 1
1.3 Eksempler på utkontraktering i praksis 2
1.3.1 IKT-funksjoner 2
1.3.2 Behandling av kontanter i forbindelse med uttak og innskudd 3
1.3.3 Administrative og driftsrelaterte funksjoner 3
1.4 Rettskildebildet 4
1.4.1 Lovbestemmelser 4
1.4.2 Forskrifter og rundskriv 4
1.4.3 EØS-kilder 5
1.4.4 Praksis fra Finanstilsynet 7
1.5 Metode 8
1.5.1 Den rettsdogmatiske analysen 8
1.5.2 Den rettspolitiske vurderingen 9
2 NÆRMERE OM HENSYNENE BAK UTKONTRAKTERINGSREGLENE 10
2.1 Innledning 10
2.2 Grunnleggende finansregulatoriske målsetninger 10
2.3 Hensyn for en vid utkontrakteringsadgang 11
2.4 Hensyn mot en vid utkontrakteringsadgang 13
2.4.1 Bankenes kontroll med funksjonene og deres utførelse 13
2.4.2 Svekkelse av tilsynsmyndighetenes mulighet til å utføre tilsyn 14
2.4.3 Dannelse av avhengighetsforhold 15
2.4.4 Feil og forsinkelser fra tjenesteleverandør 16
2.4.5 Konsesjonssystemet 16
2.4.6 Oppsummering 17
3 OVERORDNET OM REGELVERKET – VIRKEOMRÅDE, HOVEDREGEL OG SANKSJONER 18
3.1 Innledning 18
3.2 Virkeområde 18
3.2.1 Betydningen av spørsmålet 18
3.2.2 Utgangspunkter 18
3.2.3 Eksempler på grensedragningen i praksis 21
3.3 Hovedregelen om bankenes adgang til å utkontraktere 21
3.4 Inngrep- og sanksjonsmuligheter ved urettmessig utkontraktering 22
4 SKRANKER FOR UTKONTRAKTERING 23
4.1 Innledning 23
4.2 Forbudet mot utkontraktering av kjerneoppgave 24
4.2.1 Oversikt 24
4.2.2 Begrepet «kjerneoppgaver» i finansforetaksloven § 13-4 25
4.2.3 Forholdet til CRD IV og EBAs retningslinjer 26
4.2.4 Innebærer kontant i butikk utkontraktering av kjerneoppgave? 27
4.3 Forsvarlighetskravet 29
4.3.1 Utgangspunkter 29
4.3.2 «Forsvarlig» måte og omfang 29
4.3.3 Utkontraktering som vanskeliggjør tilsyn 30
4.3.4 Utkontrakterer norske alliansebanker «uforsvarlig»? 31
4.4 Oppsummering 32
5 PLIKTER VED UTKONTRAKTERING 32
5.1 Innledning 32
5.2 Risikobaserte plikter 33
5.2.1 Risikovurdering 33
5.2.2 Risikoredusering 34
5.2.3 Løpende risikostyring 35
5.3 Meldeplikten 36
5.3.1 Oversikt 36
5.3.2 «Kritisk eller viktig virksomhet» 37
5.4 Oppsummering 38
6 VURDERING AV UTKONTRAKTERINGSREGELVERKET 38
6.1 Innledning 38
6.2 Effektivitet og fleksibilitet 39
6.3 Konsesjonssystemet, bankenes egenkontroll og tilsynets kontroll 40
6.4 Avhengighetsforhold og IKT-konsentrasjonsrisiko 42
7 KILDELISTE 48
1 Innledning
1.1 Tema og problemstillinger
Banker har, som andre bedrifter, interesse av å kunne benytte seg av oppdragstakere ved utfø- relsen av enkelte arbeidsoppgaver. Fra foretakenes ståsted, kan utkontraktering bidra til å ef- fektivisere driften ved å omplassere enkelte oppgaver til aktører som har bedre forutsetninger til å utføre dem. Utkontraktering kan imidlertid også medføre særlige risikomomenter for ban- kene og for det finansielle systemet som en helhet. Adgangen til å utkontraktere oppgaver er derfor begrenset – og nærmere regulert i norsk og europeisk finansregelverk.
Problemstillingene som skal drøftes i oppgaven er a) hvilken adgang norske banker har til å utkontraktere oppgaver, b) hvilke plikter bankene har i de tilfellene hvor utkontraktering er tillatt og c) hvorvidt regelverket er egnet til å ivareta de angitte målsetningene lovgiver har lagt til grunn. De to førstnevnte problemstillingene er rettslige problemstillinger som vil bli besvart gjennom en rettsdogmatisk analyse, mens den sistnevnte problemstillingen vil bli besvart gjen- nom en rettspolitisk analyse som legger til grunn de målsetningene som er oppgitt av Finans- departementet i lovforarbeidene til finansforetaksloven.1
I resten av del 1 redegjøres det for rettskildebildet, relevante metodespørsmål og avgrensninger. I del 2 presenteres de sentrale hensynene som taler for og imot en adgang til å utkontraktere, samt hensyn for i og imot å stille krav til utkontrakteringen. I del 3 vil det redegjøres for utkon- trakteringsregelverkets virkeområde, hovedregel og sanksjonsmuligheter. I del 4 vil skrankene for bankenes utkontrakteringsadgang behandles. I del 5 presenteres de sentrale pliktene som påhviler bankene som utkontrakterer deler av sin virksomhet. I del 6 vil det foretas en vurdering av om utkontrakteringsregelverket er egnet til å fremme de positive - og redusere de negative effektene som kan oppstå av utkontraktering.
1.2 Avgrensninger
Oppgaven omhandler utkontrakteringsregelverket som gjelder for banker slik foretaksformen oppstilles i finansforetaksloven § 2-7 om rammene for bankers konsesjonsvirksomhet. Tilla- telse til å drive bankvirksomhet gir adgang til å motta innskudd og andre tilbakebetalingsplik- tige midler fra allmennheten, yte kreditt, stille garantier og til å yte betalingstjenester, jf. finans- foretaksloven § 2-7 første ledd.
1 Se nærmere om metode under oppgavens del 1.5.
De ulike finansforetaksformene som nevnes i finansforetaksloven § 1-3 er i utgangspunktet underlagt de samme utkontrakteringsreglene som banker. Av hensyn til oppgavens omfang av- grenses det likevel mot utkontrakteringsregelverkets betydning for andre former for foretak enn banker. Avgrensningen gjøres særlig for å danne et klarere bilde av utkontrakteringsregelver- kets betydning for banker gjennom eksempler som retter seg mot vanlig utkontrakteringspraksis for banker. Likheten til utkontrakteringsreglene for andre former for foretak kan likevel med- føre at praksis og tolkningsmomenter kan ha overføringsverdi på tvers av ulike foretaksformer.2 Det innebærer også at diskusjonene i denne oppgaven til en viss grad kan ha relevans for andre foretak enn banker.
1.3 Eksempler på utkontraktering i praksis
1.3.1 IKT-funksjoner
I oppgaven vil jeg presentere praktiske eksempler på utkontraktering for å belyse ulike sider av regelverket. Jeg vil derfor innledningsvis presentere tre funksjoner som ofte utkontrakteres av banker og som vil bli brukt løpende i oppgaven. Et første eksempel er IKT-funksjoner. Finans- sektoren har de siste årene gjennomgått omfattende digitaliseringsprosesser.3 Stadig flere tje- nester tilbys digitalt til kunden, og funksjoner som tidligere krevde fysisk utførelse, har blitt erstattet av digitale løsninger. Utkontraktering muliggjør en lettvint tilgang på slik ny teknologi for banker.4 Ifølge informasjon fra Finanstilsynet har tilnærmet alle foretak under tilsyn av Fi- nanstilsynet inngått avtaler som innebærer utkontraktering av IKT-virksomhet.5
Et illustrativt eksempel er digitaliseringen av betalingstjenester. Å overføre midler fra en konto til en annen krevde for 30 år siden en ikke ubetydelig grad av menneskelig innsats. Den samme handlingen kan i dag gjennomføres ved noen få tastetrykk i betalingstjenester som Vipps eller Apple Pay. Bankenes tilgang på slike teknologiske løsninger vil typisk basere seg på at banken kjøper den aktuelle tjenesten fra en tjenesteleverandør.6 En annen kategori av IKT-funksjoner som utkontrakteres i et økende omfang er skytjenester.7 Skytjenester er et samlebegrep på alt fra dataprosessering og datalagring til programvare på servere som er tilgjengelig fra eksterne serverparker tilknyttet internett.8
2 De norske utkontrakteringsreglene som gjelder for finansforetak generelt, er eksempelvis utformet med utgangs- punkt i forsikringsdirektivets utkontrakteringsbestemmelser. Se del 1.4.3.2.
3 EBAs “Background” punkt 2.
4 EBAs “Background” punkt 3.
5 Finanstilsynets ROS 2022 s. 47.
6 Se eksempelvis Tilsynsrapport 21/11746 Sparebanken Sogn og Fjordane s. 2.
7 Finanstilsynets ROS 2022 s. 47
8 Datatilsynets nettside (2018), Skytjenester
1.3.2 Behandling av kontanter i forbindelse med uttak og innskudd
Et annet eksempel er bankens bruk av butikker til håndtering av innskudd og uttak. Banker har i utgangspunktet enerett til å ta imot innskudd fra publikum, ettersom en bank som driver inn- skuddsvirksomhet må ha konsesjon.9 Tradisjonelt har bankenes innskuddsvirksomhet blitt ut- ført i sin helhet av bankens ansatte i egne lokaler. I nyere tid har banker gått bort fra den tradi- sjonelle praktiseringen av innskuddsvirksomheten til fordel for ordningen «bank i butikk», som senere har blitt til «kontant i butikk» (KiB).10 Ordningen innebærer en enkel løsning for inn- skudd og uttak i over 1400 dagligvarebutikker i Norge.11 KiB-ordningen-ordningen medfører at håndtering av kundenes kontanter i forbindelse med uttak og innskudd, utføres av butikkan- satte i butikk istedenfor av bankansatte i fysisk bankfilial. 12 KiB-ordningen fremstår som en medvirkende årsak til at norske banker har kunnet digitalisere driften og nedlegge fysiske filia- ler slik at bankene kan drives betydelig mer kostnadseffektivt. Ordningen kan derfor hevdes å ha fått store samfunnsmessige konsekvenser.
1.3.3 Administrative og driftsrelaterte funksjoner
Et tredje vanlig eksempel på utkontraktering er at foretakenes diverse dagligdagse funksjoner blir utført av andre enn foretakene selv. Slike funksjoner omtales gjerne som administrative eller driftsrelaterte oppgaver. Som eksempel på slike funksjoner kan bruk av oppdragstaker for å føre regnskap, inndrive fordringer og behandling av kundehenvendelser nevnes. 13 Mange norske sparebanker er for eksempel en del av såkalte «sparebankallianser»,14 der visse admi- nistrative og driftsrelaterte funksjoner utkontrakteres til en sentral allianseenhet. Eika-alliansen utgjør den største alliansen og består av 61 lokalbanker i Norge.15 Eksempler på tjenester som tilbys til medlemsbankene er utvikling og drift av IT og banktjenester, samt fagkunnskap innen sikkerhet, styring og kontroll, bærekraft og antihvitvasking.16
9 jf. Finansforetaksloven § 2-2.
10 Finanstilsynets tematilsyn 2021 s. 3. KiB ble etablert i 2020 som en videreførelse av ordningen «bank i butikk».
Bank i butikks omtales som etablert praksis allerede i 2014, se Prop. 125 L (2013-2014) s. 67.
11 DNBs nettside (u.å.), Kontanttjenester i butikk.
12 Finanstilsynets Tematilsyn 2021 s. 8
13 Rundskriv 7/21 s. 6
14 Sparebankforeningens nettside (u.å.), Medlemmer. 16 av foreningens 91 medlemsbanker er alliansefrie. Det er foreløpig tre sparebankallianser i Norge – EIKA-gruppen, SpareBank 1 og Lokalbank.
15 Eikas nettside (u.å.), Lokalbanker.
16 Eikas nettside (u.å.), Om Eika Gruppen
1.4 Rettskildebildet
1.4.1 Lovbestemmelser
Behandlingen av de rettsdogmatiske spørsmålene i oppgaven vil bygge på en gjennomgang av relevante rettskilder. Rettskildebildet er imidlertid relativt komplisert og omfattende. Det vil derfor brukes noe plass på å introdusere de viktigste rettskildene.
Reguleringen av utkontrakteringsadgangen er for det første direkte regulert i lov. Før 2014 var utkontrakteringsadgangen for banker kun begrenset av den generelle regelen i tidligere finan- sieringsvirksomhetsloven § 2-9 annet ledd om at en finansinstitusjon skal organiseres og drives på en «forsvarlig måte».17 Ved Banklovkommisjonens utredning om ny finanslovgivning i 2011, mente kommisjonen at foretakenes bruk av oppdragstakere hadde blitt så omfattende og mangeartet at foretakenes adgang til å utkontraktere burde avklares gjennom konkrete bestem- melser i den nye lovgivningen.18 Dette resulterte i bestemmelsen som i dag finnes i finansfore- taksloven19 § 13-4. 20 Bestemmelsen regulerer bankenes adgang til å gi et annet foretak i opp- drag å forestå utførelsen av deler av bankens virksomhet.
Finanstilsynsloven21 § 4 c inneholder regler om foretakenes meldeplikt ved utkontraktering og Finanstilsynets inngrepsmuligheter ved lovstridig utkontraktering. Lovregler om utkontrakte- ring er også å finne i særlovgivning. Av særlig interesse for banker er hvitvaskingsloven22 § 23 om utkontraktering av kundetiltak. Bestemmelsen har innholdsmessig lignende regler som fi- nansforetaksloven § 13-4 og finanstilsynsloven § 4c, men er særskilt utformet for å gjelde ut- kontraktering av «kundetiltak» i henhold til hvitvaskingsloven.
1.4.2 Forskrifter og rundskriv
Bruk av oppdragstakere i forbindelse med IKT-virksomhet har vært særregulert i forskrift siden 2003.23 Forskriften inneholder regler om utkontraktering av IKT-tjenester i forskriften § 12. Bestemmelsen oppstiller regler om ansvar og behandling av utkontrakterte oppgaver på tilsva- rende måte som i finansforetaksloven § 13-4 og finanstilsynsloven § 4c.
17 Prop. 87 L (2013-2014) s. 65. Bestemmelsen er videreført i finansforetaksloven § 13-5 første ledd.
18 NOU 2011:B s. 677.
19 Lov av 10. april 2015 nr. 17 om finansforetak og finanskonsern
20 Opprinnelig vedtatt i 2014 i lov 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner (finan- sieringsvirksomhetsloven) § 2-17 a.
21 Lov av 7. desember 1956 nr.1 om tilsynet med finansforetak mv.
22 Lov av 1. juni 2018 nr. 23 om tiltak mot hvitvasking og terrorfinansiering.
23 Forskrift av 21. mai 2003 nr. 630 om bruk av informasjons- og kommunikasjonsteknologi (IKT).
For å nærmere presisere innholdet i og omfanget av finansforetakenes meldeplikt har Finans- tilsynet, med hjemmel i finanstilsynsloven § 4c (3), fastsatt en forskrift om meldeplikt ved ut- kontraktering av virksomhet.24 Meldepliktforskriften trådte i kraft 1. januar 2022 og erstattet den tidligere forskriften om unntak fra meldeplikt ved utkontraktering av virksomhet.25
Meldepliktforskriften oppstiller regler om hvilke foretak som er unntatt fra meldeplikten, hvilke former for utkontrakteringsavtaler som skal meldes til Finanstilsynet og hva slike meldinger skal inneholde av opplysninger.
Som en del av Finanstilsynets forvaltning av utkontrakteringsregelverket er det utarbeidet et rundskriv om utkontraktering.26 Rundskrivet gir veiledning om hva som regnes som utkontrak- tering, begrensninger i adgangen til å utkontraktere, og hvordan foretak under tilsyn må identi- fisere, vurdere og håndtere risikoen knyttet til utkontraktering.27
1.4.3 EØS-kilder
1.4.3.1 Relevante rettsakter
Kapitalkravsdirektivet (CRD IV)28 ble vedtatt i juni 2013 og utgjør sammen med den tilhørende kapitalkravsforordningen (CRR) den overordnede rammen for kontroll med europeiske kreditt- institusjoners soliditet.29 CRD IV oppstiller i hovedsak krav om forsvarlig kapital og kapital- dekning for banker og kredittforetak. Direktivet inneholder likevel også noen krav til foretake- nes organisering og virksomhetsstyring. Det norske utkontrakteringsregelverket bidrar til å gjennomføre kravet i CRD artikkel 74 nr.1 hvor det kreves at banker skal ha en:
«…klar organisatorisk struktur med en veldefineret, gennemsigtig og konsekvent an- svarsfordeling og effektive procedurer til at identificere, styre, overvåge og indberette de risici, som institutterne er eller kan blive eksponeret for…»30
Det følger av CRD IV artikkel 74 nr. 2 at foretakets ordninger, prosedyrer og mekanismer for styring skal “stå i rimeligt forhold til arten, omfanget og kompleksiteten af risikoen i forret- ningsmodellen og instituttets aktiviteter”. Kravet om forsvarlig styring er direkte gjennomført i finansforetaksloven § 13-5, men er også av betydning for forståelsen av finansforetaksloven §
24 Forskrift av 15. september 2021 nr. 2777 om meldeplikt ved utkontraktering av virksomhet mv. 25 Forskrift av 5. juni 2015 nr. 613 om unntak fra meldeplikt ved utkontraktering av virksomhet. 26 Rundskriv 7/2021 Veiledning om utkontraktering.
27 Rundskriv 7/2021 s. 3. Foretakenes meldeplikt i henhold til finanstilsynsloven § 4c blir også omtalt i rundskrivet.
28 Directive 2013/36/EU of the European Parliament and of the Council on the access to the activity of credit institutions and the prudential supervision of credit institutions and investment firms
29Moloney (2016) s. 388.
30 CRD IV Artikkel 74 nr. 1.
13-4 om utkontraktering. Dette illustreres blant annet av artikkel 74 nr. 3 som gir det Europeiske Banktilsynet (EBA) hjemmel til å utstede retningslinjer for utkontraktering, som utfyller denne overordnede forsvarlighetsstandarden i artikkel 74 nr. 1. Disse retningslinjene omtales nærmere lenger ned.
Det såkalte Solvens-direktivet31 har i tillegg en særskilt regulering av utkontraktering i artikkel
49. Direktivet omfatter i utgangspunktet bare forsikringsforetak, og bestemmelsen er derfor ikke direkte anvendelig for banker. Som det fremgår av Banklovkommisjonens utredning til ny finanslovgivning ble det i forbindelse med deres vurdering av behovet for utkontrakteringsreg- ler likevel «lagt stor vekt på forsikringsdirektivets regler om utkontraktering av virksomhet for forsikringsforetak».32 Banklovkommisjonen fremhevet særlig artikkel 49 og 38 i direktivet ved at bestemmelsene oppstiller viktige elementer som bør gjelde for finansforetak generelt. Den nevnte bestemmelsen i finansforetaksloven § 13-4 – som også regulerer banker – er altså utfor- met med henblikk til Solvens-direktivet.33 Det er verdt å nevne at Banklovkommisjonens utta- lelser ble fremsatt før CRD IV ble vedtatt. Likevel tilsier forarbeidsuttalelsene at Solvens-di- rektivet kan yte som et tolkningsbidrag.
Den teknologiske utviklingen i finansnæringen har nylig ført til et forslag om en forordning om digital operasjonell motstandsdyktighet (Digital Operational Resilience Act, «DORA»). Den kommende forordningen har som formål å sikre at aktørene i det finansielle systemet har til- strekkelig rutiner og tiltak for å redusere cyberangrep og andre former for IKT-risiko. Den fo- reslåtte forordningen vil kreve at bankene skal kunne håndtere forstyrrelser og trusler som kan oppstå i forbindelse med IKT-virksomhet. XXXX-forslaget introduserer også et nytenkende tilsynsrammeverk som vil innebære nye tilsynsmuligheter av kritiske IKT-tjenestetilbydere.34 Forordningsforslaget har foreløpig ikke noe særlig rettskildemessig verdi, ettersom forslaget ennå ikke er vedtatt av Europakommisjonen. XXXX vil derfor først og fremst bli omtalt under den avsluttende rettspolitiske vurderingen av utkontrakteringsregelverket.
1.4.3.2 EBAs Guidelines om “outsourcing arrangements”
31 Directive 2009/138/EC of the European Parliament and of the Council of 25 November 2009 on the taking-up and pursuit of the business of Insurance and Reinsurance (Solvency II) (recast) (Text with EEA relevance).
32 NOU 2011:8 B s. 678.
33 Ibid.
34 XXXX-proposal artikkel 28-39
I tillegg til CRD IV-direktivets generelle krav til forsvarlig organisasjonsstruktur,35 har det eu- ropeiske banktilsynet, The European Banking Authority («EBA»), utformet retningslinjer som gir nærmere regler om utkontraktering.36
EBA ble i likhet med søsterinstitusjonene EIPOA og ESMA (med ansvar for henholdsvis forsikring/tjenestepen- sjon og verdipapirhandel) opprettet i etterkant av finanskrisen med det formål å etablere en møteplass og en felles tilsynskultur for banker i hele Europa,37 og et sentralt virkemiddel for å sikre uniform forvaltningspraksis er utgi- velse av slike retningslinjer.38 Myndigheten til å utstede retningslinjer følger av artikkel 16 i EBA sin opprettel- sesforordning.39 Adgangen til å utstede retningslinjer kan likevel også følge av andre bindende EU-rettsakter. Dette er blant annet tilfellet for CRD IV-direktivet som i artikkel 74 gir EBA mandat til å utstede retningslinjer for institusjonenes «governance arrangements».40 Norges deltakelse i EUs finanstilsynssystem muliggjøres gjennom en gjenspeiling av «to-pilar-strukturen» som ligger til grunn for Norges deltakelse i EØS-avtalen.41 Det innebærer at beslutningsmyndigheten som EBA har i EU utøves av EFTA-statenes kontrollorgan, ESA, for EFTA-statenes vedkommende.42
EBAs retningslinjer angis ikke å være formelt bindende. Det stilles ikke krav til at retningslin- jene gjennomføres som bindende nasjonale regler.43 Finanstilsynet har imidlertid lagt til grunn at norske foretak skal følge disse retningslinjene, slik at de i praksis utgjør en del av rettskilde- bildet som norske banker må forholde seg til.44 Hvilken rolle slike retningslinjer bør spille i den rettsdogmatiskeanalysen, drøftes under punkt 1.5.
1.4.4 Praksis fra Finanstilsynet
Finanstilsynet har en sentral rolle ved håndhevelsen av utkontrakteringsregelverket gjennom tilsyn og oppfølging av bankenes avtaler om utkontraktering. Finanstilsynets myndighet til å håndheve bankenes etterlevelse av utkontrakteringsregelverket følger av finanstilsynsloven § 4c (2). Mye av Finanstilsynets korrigering av bankenes utkontraktering skjer gjennom dialog med finansforetakene i forbindelse med deres plikt til å melde om utkontrakteringsavtaler til Finanstilsynet.45
35 CRD IV-direktivet artikkel 74(1)
36 EBA/GL2019/02: EBA Guidelines on outsourcing arrangements [ xxxxx://xxx.xxx.xxxxxx.xx/xxxxx/xxxxxxx/xxx- uments/files/documents/10180/2551996/38c80601-f5d7-4855-8ba3-702423665479/EBA revised Guidelines on outsourcing arrangements.pdf?retry=1]
37 Se for eksempel forordning 1093/2010 artikkel 29.1.
38 Bekkedal og Xxxxxxxx (2018) s. 138.
39 Forordning 1093/2010 establishing a European Supervisory Authority (European Banking Authority).
40 CRD IV artikkel 74 (3).
41 Bekkedal og Xxxxxxxx (2018) s. 132.
42 Ibid. Dette nødvendiggjøres av medlemskapsprinsippet i Grunnloven § 115 som krever at Norge er medlem av den organisasjonen som myndighet blir overført til.
43 Se eksempelvis sak C-911/19.
44 Rundskriv 7/2021 s. 3
45 Jf. finanstilsynsloven § 4c (1).
1.5 Metode
1.5.1 Den rettsdogmatiske analysen
I det følgende vil oppgavens metodiske tilnærming forklares nærmere. Del 3, 4 og 5 av oppga- ven vil benytte en rettsdogmatisk metode. Målet er å kartlegge hvilke rammer gjeldende rett setter for bankenes adgang til å utkontraktere virksomhet og hvilke krav som gjelder når utkon- traktering gjøres.46
En utfordring for rettsdogmatisk analyser av finansregulatorisk rett er at regelverket har stor rettskildemessig kompleksitet, samtidig som det foreligger lite rettspraksis. Mye av Finanstil- synets praksis på dette området foregår i tillegg gjennom en relativt «rund» dialog med foreta- kene.47 Et særlig fokus i oppgaven vil derfor være å systematisere rettstoffet, samt å identifisere og utdype de sentrale vurderingstemaene som avgjør om utkontraktering er tillatt eller ikke. For å vise hvordan regelverket kan slå ut i praksis, vil jeg likevel enkelte ganger bruke eksemplene trukket frem i 1.3 for å oppstille og drøfte mer konkrete rettsspørsmål.
Hva gjelder rettskildebruken, må regler som styrer finansiell virksomhet i utgangspunktet tolkes og anvendes etter vanlige norske rettskildeprinsipper. Dette innebærer normalt at man tar ut- gangspunkt i lovteksten, men at det også må sees hen til rettspraksis, forarbeider og reelle hen- syn mv.48 Denne oppgaven vil i stor grad behandle regler som gjennomfører EØS-rett, slik at prinsippet om EØS-konform tolkning legger føringer for reglenes innhold.49 Videre har propor- sjonalitetsprinsippet betydning på ulike måter ved tolkningen og praktiseringen av utkontrak- teringsregelverket. Prinsippet har blant annet tydelig tilstedeværelse i CRD IV artikkel 74 nr. 2 og EBAs retningslinjer.50
Rundskriv og veiledere som gir uttrykk for forvaltningens rettsoppfatning har i flere høyeste- rettssaker blitt tillagt nokså stor vekt.51 Veiledere er særlig relevant som støtteargument for løsninger som også har støtte i andre rettskildefaktorer.52 Finanstilsynets veileder om utkon- traktering vil derfor brukes som en støttende og oppklarende rettskildefaktor i oppgaven.
46 Graver (2008) s. 159.
47 Se eksempelvis tilsynsrapport 18/12687 Surnadal Sparebank.
48 Xxx Xxxxxx i Juridisk (2019) s. 78.
49 Dette innebærer å tolke nasjonal rett, så langt som mulig, i samsvar med EØS-retten Jf. blant annet Rt. 2000 s.
1811 Finanger
50 EBA GL punkt 18.
51 Eriksen (2019) s. 329. Se eksmpelvis Rt. 2013 s. 1601.
52 Eriksen (2019) s. 329.
Et særskilt metodisk spørsmål er hvilken relevans EBA sine retningslinjer har ved en analyse av de norske utkontrakteringsreglene. Som Bekkedal og Herzberg påpeker, er retningslinjenes rettslige status fremdeles noe uklar.53 Formelt sett er de ikke rettslig bindende. Ettersom de er vedtatt av EBA for å utfylle CRD IV artikkel 74, og kompetansen til å gjøre dette fremgår av direktivet selv, må man likevel anta at de er en relevant kilde for å fastlegge innholdet av den aktuelle EU-rettslige normen som følger av direktivet.54 Et slikt syn støttes av EU-domstolen i sak C-322 Grimaldi, hvor EU-domstolen uttalte at nasjonale rettsinstanser skal ta hensyn til fellesskapsrettslige kilder selv om de ikke er direkte bindende, når disse:
«kan bidrage til fortolkningen af nationale bestemmelser udstedt til gennemfoerelse heraf, eller naar der er tale om henstillinger, som har til formaal at udfylde bindende faellesskabsretlige bestemmelser .”.55
I den grad EBAs retningslinjer om utkontraktering kan bidra til å kaste lys over innholdet av de nasjonale reglene som gjennomfører rettsakter, er de derfor relevante rettskildefaktorer også for norske rettsanvendere. Ettersom finanstilsynet har lagt til grunn at retningslinjene gjelder for norske foretak, kan man også argumentere for at de gir uttrykk for forvaltningens rettsoppfat- ning. I tillegg har det en praktisk verdi å behandle retningslinjene som en integrert del av den rettsdogmatiske analysen når finanstilsynet har kommunisert til foretakene at de skal etterle- ves.56
EBA sine retningslinjer vil derfor bli vektlagt i analysen av regelverket. Eventuell motstrid eller disharmoni mellom retningslinjene og norske regler kan imidlertid ikke uten videre løses etter prinsippene om EØS-konform tolkning eller EØS-rettens forrang, ettersom retningslinjene ikke er bindende rettsakter.57 EØS-konform tolkning må eventuelt gjøres basert på kravet til forsvar- lig organisasjonsstruktur i CRD IV artikkel 74, hvor EBAs retningslinjer fungerer som et utdy- pende tolkningsmoment av denne. Der forholdet mellom EBAs Guidelines og norske skrevne kilder skaper tolkningsutfordringer, vil forholdet mellom disse kildene bli nærmere kommen- tert.
1.5.2 Den rettspolitiske vurderingen
53 Bekkedal og Xxxxxxxx (2018) s. 139
54 Schiavo og Türk (2016) s. 110
55 Sak C-322/88 avsnitt 18.
56 Rundskriv 7/21 s. 3.
57 Jf. blant annet Rt. 2000 s. 1811 Finanger 1.
I del 6 av oppgaven vil en rettspolitisk metode bli benyttet. Metoden i del 6 er rettspolitisk i den forstand at sammenhengen mellom utkontrakteringsregelverkets rettslige og politiske side skal vurderes.58 Det vil nærmere bestemt vurderes om utkontrakteringsregelverket er egnet til å imø- tekomme lovgivers målsetninger med utkontrakteringsregelverket. Disse målsetningene vil bli identifisert i oppgavens del 2. Jeg vil med andre ord legge til grunn de målsetninger departe- mentet selv la til grunn ved vedtakelse av finansforetaksloven, og ikke foreta noen egen nor- mativ vurdering av disse. Klargjøringen av lovgivers målsetninger vil derfor baseres på en gjen- nomgang av utkontrakteringsregelverkets forarbeider.59
2 Nærmere om hensynene bak utkontrakteringsreglene
2.1 Innledning
I den følgende delen av oppgaven vil det redegjøres for de aktuelle hensynene som gjør seg gjeldene ved regulering av bankers adgang til å utkontraktere. Identifikasjonen av de ulike hen- synene vil gjøres med utgangspunkt i finansforetakslovens forarbeider, hvor Finansdeparte- mentet relativt konsist presenterte ulike positive og negative effekter av utkontraktering.60 Ut- talelsene i forarbeidene er ganske knappe, utover å kategorisere de viktigste hensynene. Jeg vil derfor bruke andre kilder s for å utdype formålsbetraktningene. Konkret sees det hen til analyser og rapporter fra European Stabillity Risk Board («ESRB»), Norges Bank, Finanstilsynet og Financial Stability Board («FSB») for å vise hvordan de ulike positive og negative sidene av utkontraktering i dag forstås av disse aktørene.
2.2 Grunnleggende finansregulatoriske målsetninger
For bedre innsikt i de regelspesifikke hensynene anser jeg det som hensiktsmessig å kort pre- sentere målsetningene som generelt ligger til grunn for regulering av finanssektoren. De gene- relle finansregulatoriske målsetningene er aktuelle fordi de regelspesifikke hensynene på ulike måter kan knyttes til disse.
Hovedmålene ved regulering av finanssektoren angis gjerne for å være å være finansiell stabi- litet, samt effektive og velfungerende markeder.61 Finansiell stabilitet er blant annet definert i finansforetakslovens formålsbestemmelse, jf. § 1-1, hvor det fremgår at det med finansiell sta- bilitet menes:
58 Xxxxxxx (2017) s. 144.
59 Ibid.
60 Prop. 125 L (2013-2014) s. 72.
61 Myklebust (2011) s. 45.
«at det finansielle systemet er robust nok til å motta og utbetale innskudd og andre til- bakebetalingspliktige midler fra allmennheten, formidle finansiering, utføre betalinger og omfordele risiko på en tilfredsstillende måte.»
Hensynet til finansiell stabilitet har fått en særlig fremtredende plass etter finanskrisen i 2008, som i manges øyne demonstrerte at finanssektoren hadde generert for mye risiko.62 De siste 15 årene har regelverket som tar sikte på å sikre den finansielle stabiliteten blitt stadig mer omfat- tende og komplekst.63 Mye av det nye europeiske regelverket omhandler kapitalkrav – det vil si hvilke avsetninger foretak må gjøre for å sikre at de er rustet til å dekke løpende forpliktel- ser.64 Finansiell stabilitet realiseres imidlertid også gjennom regler om forsvarlig styring av foretakene, slik som utkontrakteringsregelverket.65 Hensynet til finansiell stabilitet kan omtales som en form for meta-hensyn, i den forstand at det mer eller mindre alltid vil tjene som et relevant argument ved utformingen, tolkningen og anvendelsen av finansregulatoriske regler.66
Målsetningene om effektive og velfungerende markeder knytter seg særlig til de delene av det finansielle systemet som muliggjør handel med ulike former for finansielle instrumenter.67 Vel- fungerende finansmarkeder er i den forbindelse gjerne forstått som en forutsetning for vekst og nyskaping68. Effektivtetshensyn kan på den annen side tjene som et argument for at regulering av finansbransjen burde gjøres gjennom enkle regler som legger til rette for at aktørene skal kunne drive virksomheten på en mest mulig effektiv og ressursbesparende måte. Fokuset fra et lovgiver- og tilsynsperspektiv vil derfor i stor grad være rettet mot oppnåelsen av finansiell stabilitet og at markedene er velfungerende, uten at aktørenes effektivitet svekkes i for stor grad.69
2.3 Hensyn for en vid utkontrakteringsadgang
62 Myklebust (2011) s. 50.
63 For å illustrere det økte fokuset på finansiell stabilitet, også på andre områder, kan det vises til at den nye sentralbankloven, i motsetning til den gamle, fremhever oppnåelsen av finansiell stabilitet som et overordnet mål jf. sentralbankloven av 2019 § 1-2, kontra sentralbankloven av 1985 § 1-1.
64 Eksempelvis CRD og CRR.
65 Se eksempelvis regler om forsvarlig styring i CRD artikkel 74.
66 EU-domstolen har også lagt stor vekt på hensynet i profilerte traktattolkningsaker på beslektede rettsområder i etterkant av eurokrisen, F.eks. sak C-370/12 Pringle mot Irland (avsnitt 135) og sak C-8/15 P Ledra Adverti- sing (avsnitt 71 til 76).
67 Myklebust (2011) s. 55.
68 Meld. St. 24 (2018–2019) pkt. 3.2
69 Reflekteres blant annet gjennom Finanstilsynets samfunnsoppdrag om å «bidra til finansiell stabilitet og vel- fungerande marknader». Se Finanstilsynets nettside (2022), Samfunnsoppdraget.
I den følgende redegjørelsen av de regelspesifikke hensynene for bankenes utkontrakteringsad- gang, tas det utgangspunkt i hensynene som ble ansett som relevante av Finansdepartementet i forarbeidene til finansforetaksloven.70 Om utkontrakteringsadgangens fordeler for finansfore- takene selv og for finansmarkedet uttaler Finansdepartementet at:
«Institusjonene vil kunne skaffe den nødvendige ekspertise til en lavere kostnad, og derved øke sin konkurranseevne. Utkontraktering vil også kunne gi bedre og mer drifts- sikre tjenester ved å gi foretaket tilgang til et profesjonelt miljø av en viss kritisk stør- relse. Slike større miljøer kan blant annet gi foretaket bedre tilgang til spisskompetanse og redusere dets avhengighet av nøkkelpersonell».71
Utkontraktering antas med andre ord å bidra til et effektivt finansmarked jf. de overordnede målsetningene over. Effektiviseringsformålet var helt sentralt da Banklovkommisjonen argu- menterte for rammene for finansforetakenes adgang til å utkontraktere burde være vide:
«Det naturlige utgangspunkt for en lovregulering er at finansforetakene, særlig ut fra kostnads- og effektiviseringshensyn, bør ha en ganske vid adgang til å gjøre bruk av oppdragstakere i sin virksomhet.»72
Argumentet her er med andre ord at utkontraktering bidrar til at visse funksjoner ved foretake- nes virksomhet blir utført av aktører som har bedre forutsetninger til å utføre funksjonene enn foretakene selv.73 Oppdragstakerens bedre forutsetninger medfører at de kan tilby å gjennom- føre funksjonene på en bedre måte og til en lavere pris enn dersom foretakene skulle utført funksjonene selv.74 Dette kan for eksempel føre til at prisen kundene betaler for de finansielle tjenestene blir lavere.75 Fra et rettsøkonomisk ståsted, kan man derfor argumentere for at utkon- traktering i visse tilfeller gir høyere samfunnsøkonomisk overskudd enn dersom foretaket utfø- rer funksjonen selv.76 Ny teknologi fra andre aktører enn bankene kan for eksempel bidra til at brukerne får billigere banktjenester.77
70 Prop. 125 L (2013-2014) s. 72.
71 Ibid.
72 NOU 2011: 8 B side 676
73 Slike bedre forutsetninger kan bestå av større og bedre kompetanse, utstyr og rutiner for å gjennomføre de aktuelle funksjonene.
74 EBA/GL/2019/02 «Background» punkt 2. hvor det pekes på at utkontraktering bidrar til å «reduce costs and improve flexibility and efficiency».
75 Eide og Stavang s. 74. Basert på grunnleggende markedsteoretiske prinsipper om prisdannelse i markeder med fullkommen konkurranse.
76 Eide og Stavang (2018) s. 108.
77 Norges Bank (2017) Finansiell infrastruktur s. 7
De positive effektene av utkontraktering som nevnes av Finansdepartementet har også en side til målsetningen om at finansmarkedet skal være velfungerende. Dette gjelder spesielt uttalel- sene om at utkontraktering kan bidra til bedre og mer «driftssikre tjenester» og tilgang på «spiss- kompetanse». Disse effektene av utkontraktering kan omtales som former for stordriftsfordeler som gjerne blir muliggjort ved at flere aktører benytter samme leverandør.78 Bankenes tilgang på slike stordriftsfordeler kan i seg selv redusere sannsynligheten for operasjonell svikt.79 Man kan for eksempel argumentere for at samarbeidet mellom sparebanker – som blant annet bygger på utkontraktering av en del alminnelige driftsfunksjoner - muliggjør at det opparbeides et spe- sialmiljø sentralt i en allianseenhet med tilstrekkelig kompetanse for å bistå lokalbankene med driftssikre tjenester.
2.4 Hensyn mot en vid utkontrakteringsadgang
2.4.1 Bankenes kontroll med funksjonene og deres utførelse
På den annen side ble det i forarbeidene til finansforetaksloven pekt på at utkontraktering kan medføre utfordringer for foretakene, andre markedsaktører og for tilsynsmyndighetene:
«Overføring av funksjon til andre vil kunne svekke institusjonens kontroll med funksjo- nen og dens utførelse, og vil kunne skape et avhengighetsforhold til utenforstående. Valg av en tjenesteleverandør som ikke har den nødvendige kvaliteten kan lede til feil og forsinkelser som i verste fall kan medføre systemrisiko for markedet som helhet. I tillegg kan tilsynsmyndighetens tilgang til informasjon om institusjonenes virksomhet reelt sett kunne forsinkes eller reduseres»80
Den første utfordringen som trekkes frem av departementet er at utkontraktering vil kunne svekke institusjonens kontroll med funksjonen og dens utførelse. Synspunktet er at man risikerer at bankene ikke er i stand til å følge opp at de utkontrakterte tjenestene leveres på et tilfredsstil- lende nivå – inkludert hvorvidt lovmessige krav opprettholdes. Dette synspunktet forsterkes når utkontrakteringsforholdet består av flere ledd med utkontraktering, slik det ofte gjør i finans- bransjen.81 Oppdragstakere benytter gjerne egne oppdragstakere ved utførelsen av finansfore- takets utkontrakterte funksjon. Utkontrakteringskjeder kan på denne måten bli komplekse.82 Som en konsekvens av dette kan det være vanskelig eller umulig for finansforetak å påvirke
78 Ibid., 5.
79 Ibid.
80 Prop. 125 L (2013-2014) s. 72
81 EBA omtaler fenomenet som «sub-outsourcing». I det norske regelverket omtales situasjonen som bruk av «un- derleverandør», jf. meldepliktforskriften § 4 bokstav d.
82 FSB (2021) s. 2
oppdragstakerens valg av underleverandører. Underleverandører vil i tillegg sjeldent være un- derlagt samme utkontrakteringsregler som finansforetakene. Resultatet kan være utfordringer knyttet til finansforetakenes identifisering og håndtering av risikoer som kan oppstå i utkon- trakteringens forsyningskjede.
Utfordringen med svekkelse av kontroll med lovpålagte oppgaver kan illustreres med KiB-ord- ningen. Ordningen innebærer at ulike anti-hvitvaskingsoppgaver blir utført av bankenesopp- dragstaker, Vipps. Blant de utkontrakterte oppgavene er bankenes plikt i henhold til hvitvas- kingsloven § 36 om å gi opplæring til «andre som utfører oppdrag for foretaket».83 Utkontrak- teringen innebærer at det er Vipps som gir opplæring til dagligvarebutikkansatte om bankenes ulike forpliktelser etter hvitvaskingsloven. Bankenes innsikt i utførelsen av84
2.4.2 Svekkelse av tilsynsmyndighetenes mulighet til å utføre tilsyn
Ved siden av at utkontraktering kan svekke institusjonenes egen kontroll med funksjonene, vil utkontraktering også, ifølge forarbeidene, kunne svekke myndighetenes tilgang på informasjon om institusjonenes virksomhet. Finanstilsynets samfunnsoppdrag er som nevntå bidra til «fi- nansiell stabilitet og velfungerende markeder» og vil gjennom sin tilsynsvirksomhet kunne kor- rigere uforsvarligheter ved tilsynsenhetenes virksomhet.85 Muligheten til å korrigere kan antas å reduseres dersom virksomhet utføres av andre enn finansforetakene selv. Dette gjelder særlig dersom oppdragstakeren utfører virksomheten i utlandet eller ikke selv er under tilsyn av Fi- nanstilsynet.86
Problematikken med utkontrakteringsforhold bestående av lange uoversiktlige forsyningskje- der gjør seg også gjeldene for Finanstilsynets mulighet til å utføre tilsyn.87Finanstilsynets inn- sikt i utførelsen av utkontrakterte funksjoner er i stor grad begrenset til den innsikten tilsynsen- heten selv har. Tilsynsenhetenes manglende innsikt i utkontrakteringens forsyningskjede vil derfor også prege Finanstilsynets mulighet til å føre tilsyn. Et ytterligere problem med mulig- heten til å utføre tilsyn er den økte teknologiske kompleksiteten av utkontrakterte funksjoner. Tilsyn og oppfølging av slike funksjoner krever personer med tilstrekkelig IKT-kompetanse.
83 Finanstilsynets tematilsyn 2021 s. 8
84 Tilsynsrapport 21/668 Eidsberg Sparebank s. 25. Finanstilsynet peker blant annet på bankens manglende «opp- følgig og kontroll med oppdragstaker».
85 Finanstilsynets nettsted, Samfunnsoppdraget (2022).
86 Jf. finanstilsynsloven § 1.
87 Som nevnt i del 2.3.1.
Begrenset tilgang på personer med tilstrekkelig IKT-kompetanse i Finanstilsynet eller bankene kan i den sammenheng utgjøre en xxxxxxxx xxxxxxxxxx.00
2.4.3 Dannelse av avhengighetsforhold
Videre trekkes det frem av Finansdepartementet at utkontraktering kan medføre dannelse av avhengighetsforhold mellom finansforetakene og deres oppdragstakere. Slike avhengighetsfor- hold vil typisk kunne oppstå dersom driftskritiske funksjoner utføres av andre enn foretaket selv. Problematikken forverres dersom oppdragstakeren er en dominant tjenesteleverandør som ikke kan erstattes, eller at foretaket mangler ressurser til å gjeninnføre egen utførelse av funk- sjonen.89 Dersom oppdragstakerens utførelse av driftskritiske funksjoner svikter i situasjoner hvor det utkontrakterende foretaket er avhengig av oppdragstakerens utførelse, vil det kunne true finansforetakenes samlede virksomhet. Avhengighetsforhold kan også føre til uønskede situasjoner hvor det utkontrakterende foretaket kan bli utnyttet av deres oppdragstakere basert på foretakets avhengighet av oppdragstakerens tjeneste. Det kan for eksempel tenkes å bli vans- kelig for banken å forhandle frem løsninger som styrker sikkerheten eller sikrer etterlevelse av lovpålagte krav.90
En stadig økende trussel for det finansielle systemet, som et resultat av avhengighetsforhold, er foretakenes eksponering for såkalt konsentrasjonsrisiko.91 Denne formen for risiko baserer seg på observasjonen om at konsentrert utkontraktering innebærer en større sårbarhet for foretakene enn dersom utkontrakteringen diversifiseres. Konsentrasjon av risiko i forbindelse med utkon- traktering vil typisk skje på to ulike måter. Som EBA angir i sine retningslinjer, kan konsentra- sjon av risiko for det første oppstå gjennom utkontraktering av funksjoner til en «dominant service provider that is not easily substitutable» og for det andre gjennom «multiple outsourcing arrangements with the same service provider». 92
Den økte aktualiteten av konsentrasjonsrisiko har særlig sammenheng med en forhøyet risiko for at finansteknologiske funksjoner og infrastruktur blir utsatt for cyberangrep eller på annen måte blir satt ut av drift.93 Dette gjelder særlig som følge av den globale uroen som har preget
88 FSB (2021) s. 4
89 Det rettes særlig fokus mot å forhindre denne formen for avhengighetsforhold. Se eksempelvis EBA GL pkt 66 a.
90 FSB (2021) s. 3
91 Ibid.
92 EBA punkt 66 bokstav a punkt i og ii.
93 ESRB (2020) s. 2.
verden de siste årene, herunder med angrep rettet mot finansbransjen fra prorussiske hacker- grupper som vil utføre digitale angrep mot land som støtter Ukraina i den pågående krigen.94 Det er også av betydning at teknologibransjen, som tilbyr IKT-tjenester til foretakene, er preget av store og mektige aktører. De største tilbyderne av skytjenester er også blant de største sel- skapene i verden – Amazon, Microsoft og Google. Estimater kan tyde på at de tre nevnte sel- skapene har en samlet andel på 66% av markedet for skytjenester.95 En svikt hos slike domine- rende aktører kan derfor få katastrofale konsekvenser for finanssystemet.96
2.4.4 Feil og forsinkelser fra tjenesteleverandør
Utkontraktering kan også medføre at funksjoner blir utplassert til oppdragstakere som ikke har tilstrekkelige kvalifikasjoner eller på andre måter ikke er egnet til å utføre funksjonene. Resul- tatet av dette er en økt risiko for feil og forsinkelser fra tjenesteleverandøren. Dette kan utgjøre en direkte trussel for foretakenes samlede drift og kan i verste fall medføre systemrisiko for markedet som helhet.97
Xxxxxxx i oppdragstakers etterlevelse av utkontrakterte oppgaver ble trukket frem av Finanstil- synet som et moment i en nylig tilsynssak mot Santander Consumer Bank AS, hvor banken ble ilagt en bot på 150 millioner kroner for brudd på hvitvaskingsloven.98 Oppdragstakerens feil hadde ført til manglende data om bankens kunder.99 Dette påvirket bankens evne til å foreta en risikobasert oppfølging av kundeforhold, jf. hvitvaskingsloven §§ 9 og 24.100
2.4.5 Konsesjonssystemet
Et siste, men svært sentralt hensyn bak reglene om utkontraktering er ivaretakelsen av selve konsesjonssystemet. Finansmarkedsreguleringer er bygget på et grunnleggende prinsipp om krav om tillatelse (konsesjon) fra myndighetene for å drive visse former for virksomhet (kon- sesjonspliktig virksomhet).101 Kravene til - og vilkårene for - tildeling av konsesjon er nøye
94 Finansnorge (2022), Et forventet angrep mot Norge.
95 Synergy research group (2022).
96 Peihani (2022) s. 152.
97 Prop. 125 L. (2013-2014) s. 72
98 Tilsynsrapport 21/6151.
99 Ibid.
100 Tilsynsrapport 21/6151 s. 14.
101 Prop. 125 L (2013-2014) s. 39.
regulert i finansforetaksloven kapittel 2 og 3. Fokuset på ivaretakelsen av konsesjonssystemet har også en sterk tilstedeværelse i de europeiske kildene.102
Tildelingen av konsesjon til finansforetak gjøres etter en konkret vurdering fra konsesjonsmyn- dighetenes side. Målet med vurderingen er å tilse at foretakene har tilstrekkelige forutsetninger for å drive den virksomhet som omfattes av den enkelte konsesjon på en forsvarlig måte i sam- svar med de hensyn finanslovgivningen skal ivareta.103 Konsesjonsbehandlingen har særlig som formål å vurdere om foretakets ledelsesforhold og økonomiske forhold vil være betryggende i forhold til den virksomhet foretaket tar sikte på å drive.104 Dette medfører blant annet omfat- tende krav rettet mot foretakenes økonomiske og operasjonelle forhold.105 En konsekvens av utkontraktering kan være at konsesjonspliktig virksomhet på ulike måter blir behandlet av andre enn foretaket som har mottatt konsesjon for å drive den aktuelle virksomheten. Utkontraktering kan derfor føre til at konsesjonspliktig virksomhet i realiteten utføres av aktører som ikke ville blitt vurdert som skikkede til å drive slik virksomhet. Konsesjonssystemet og de bakenforlig- gende hensynene vil på denne måten kunne undergraves av visse former utkontraktering
2.4.6 Oppsummering
. Utkontrakteringsreglene har til formål å motvirke de mange problematiske momentene som kan oppstå av utkontraktering, samtidig som bankene beholder muligheten til å effektivisere driften ved å sette ut oppgaver til underleverandører og tjenesteytere der dette er forsvarlig. Et for stort fokus på å hindre de negative effektene av utkontraktering kan påvirke effektivise- ringsfordelene. Utkontrakteringsregelverket må derfor tolkes og anvendes på bakgrunn av en balansegang mellom hensynet til effektivitet og hensynet til å motvirke de negative effektene av utkontraktering. Uten regulering av utkontrakteringsadgangen er det tenkelig at foretakene gjennom sin søken etter de effektiviseringsfordelene som kan oppnås gjennom utkontraktering i større grad kunne danne seg opportunistiske holdninger. Slike holdninger vil videre kunne føre til eksponering av for store risikomomenter gjennom bortprioritering av de vurderingene som foretakene burde gjennomføre før bortsetting av virksomhet. På denne måten innehar ut- kontrakteringsregelen en direkte rolle for å bidra til finansiell stabilitet og velfungerende mar- keder.
102 Eksempelvis EBA GL Background punkt 5, hvor det påpekes at utkontraktering som svekker konsesjonsgrunn- laget ikke skal tillates.
103 NOU 2011:8 B s. 676.
104 NOU 2011:8 B s. 709.
105 Jf. F.eks. finansforetaksloven § 3-2.
3 Overordnet om regelverket – virkeområde, hovedregel og sanksjoner.
3.1 Innledning
De følgende delene av oppgaven vil inneholde en analyse av det norske utkontrakteringsregel- verket, hvor målet er å besvare de to første problemstillingene angitt under punkt 1.1, altså hvilken adgang banker har til å utkontraktere tjenester ( del 4), og hvilke særskilte plikter en bank pålegges ved utkontraktering (del 5). I del (3) av vil jeg redegjøre for tre elementer ved regelverket, som er nødvendig for å behandle de nevnte problemstillingene. For det første skal jeg presentere regelverkets virkeområde gjennom å tolke utkontrakteringsbegrepet slik det fremgår av norske og europeiske rettskilder. Deretter skal jeg identifisere regelverkets hoved- regel for bankenes adgang til å utkontraktere virksomhet. Avslutningsvis i del 3 vil det sies noe kort om inngrep- og sanksjonsmuligheter dersom banker utkontrakterer virksomhet i strid med regelverket.
3.2 Virkeområde
3.2.1 Betydningen av spørsmålet
Banker inngår imidlertid mange dagligdagse avtaler med eksterne tjenesteytere som det ikke er naturlig å regulere i finansforetakslovgivningen. Et innledende spørsmål er derfor hva som fal- ler inn under regelverkets utkontrakteringsbegrep. Begrepets rekkevidde er eksempelvis avgjø- rende for om en avtale som sikrer utførelse av bankens ulike funksjoner faller innenfor virke- området for finansforetaksloven § 13-4 og finanstilsynsloven § 4c. Avtaler som ikke omfattes av utkontrakteringsbegrepet er derfor ikke direkte underlagt skrankene og pliktene som behand- les under del 4 og 5.106 Feilaktige vurderinger av om et forhold regnes som utkontraktering kan dermed medføre overtredelser av utkontrakteringsregelverket.
Problemstillingen i det videre er derfor hva som må foreligge for at bankens tjenesteutsetting skal omfattes av utkontrakteringsregelverkets plikter og skranker.
3.2.2 Utgangspunkter
Kapitalkravdirektivet inneholder ikke regler som direkte omhandler adgangen til å utkontrak- tere. Direktivet har derfor heller ikke en definisjon av utkontrakteringsbegrepet. Som tidligere
106 Avtaler som grenser til utkontrakteringsbegrepet, kan imidlertid være underlagt begrensinger i annen lovgiv- ning. Dette er blant annet tilfellet for adgangen til å leie inn arbeidskraft, se rundskriv 7/21 s. 7.
nevnt utdypes likevel direktivets normer for bankers utkontrakteringsadgang i EBAs retnings- linjer. Utkontraktering (eller«outsourcing») defineres på følgende måte i retningslinjene:
“(Outsourcing) means an arrangement of any form between an institution, a payment institution or an electronic money institution and a service provider by which that ser- vice provider performs a process, a service or an activity that would otherwise be un- dertaken by the institution, the payment institution or the electronic money institution itself”107
Retningslinjenes ordlyd “would otherwise be undertaken by the institution” poengterer et viktig element ved det finansregulatoriske utkontrakteringsbegrepet. Angivelsen medfører en mer snever forståelse av «outsourcing» enn den som ellers kunne ha blitt utledet av en alminnelig språklig forståelse av begrepet. 108 Resultatet er en definisjon som omfatter tjenesteutsetting av arbeidsoppgaver som normalt faller innenfor bankenes vanlige virksomhet. Ved avgjørelsen av om en avtale om tjenesteutsetting skal regnes som utkontraktering utdyper EBA at det skal vektlegges om:
“this function (or part thereof) would normally fall within the scope of functions that would or could realistically be performed by institutions or payment institutions, even if the institution or payment institution has not performed this function in the past it- self.”109
EBAs omtale peker mot at vurderingen må hensynta hvorvidt den aktuelle funksjonen i fravær av tjenesteutsetting realistisk sett kunne vært utført av banken selv. Dette harmonerer godt med utkontrakteringsbegrepet slik det fremgår av finansforetaksloven. Ifølge finansforetaksloven § 13-4 foreligger det utkontraktering når et «finansforetak» gir et «annet foretak» i oppdrag å forestå utførelsen av «deler av virksomheten». Ordlyden indikerer på samme måte som EBAs retningslinjer at bestemmelsens virkeområde retter seg mot situasjoner hvor deler av bankens vanlige virksomhet utføres av andre enn banken selv.
I dette må det ligge en avgrensning mot helt dagligdagse tjenester som strømleveranse, kanti- netjenester og vasketjenester. Dette samsvarer med regelverkets bakenforliggende hensyn - tje- nesteutsetting av slike tjenester vil ikke ha det samme skadepotensiale for det finansielle syste-
107 EBA GL punkt 12. En tilsvarende definisjon følger av Solvens II-direktivet artikkel 13 avsnitt 28.
108 En slik alminnelig vid forståelse av utkontrakteringsbegrepet kan i utgangspunktet sies å omfatte enhver form for tjenesteutsetting.
109 EBA GL punkt 26.
met som foretakenes tjenesteutsetting av finansiell virksomhet. Det er derfor, også i lys av pro- porsjonalitetsprinsippet, ikke like stort behov for å regulere denne formen for tjenesteutsetting for å imøtekomme de grunnleggende finansregulatoriske målsetningene som nevnt i del 2.2. De bakenforliggende hensynene gjør seg på samme måte gjeldene når EBA presiserer at:
“consideration should be given to whether the function (or a part thereof) that is out- sourced to a service provider is performed on a recurrent or an ongoing basis by the service provider”110
EBAs omtale antyder med dette at bankenes tjenesteutsetting må ha en viss vedvarende karakter for at det skal være tale om utkontraktering.111 Øvrig omtale i EBA og Finanstilsynets rundskriv tyder i den forbindelse på at det må avgrenses mot tjenesteutsetting i form av enkeltstående oppdrag.112 Enkeltstående rådgivning fra advokater eller konsulenter vil derfor eksempelvis ikke anses som utkontraktering.113
Utkontrakteringsbegrepet må , ut ifra systembetraktninger, rekke lengre enn utsetting av fore- takets kjerneoppgaver eller kritiske og viktige funksjoner. Regelverket bygger, som det vil bli vist lenger ned, på at disse kategoriene er spesielle former for utkontraktering som reguleres på en særskilt måte – noe som nødvendigvis forutsetter at selve utkontrakteringsbegrepet forstås bredere.114 Foretakets «vanlige virksomhet» omfatter også andre funksjoner som er nødvendige for at foretakets virksomhet skal bestå, men som i seg selv ikke er finansielle tjenester – slik som for eksempel IKT-tjenester eller ulike lovpliktige kontrollfunksjoner.115 Det er også spesi- fikt angitt i § 13-4 annet ledd at tjenesteutsetting av «markedsføring, formidling eller salg av finansforetakets finansielle tjenester» regnes som utkontraktering.
Samlet sett må man fra en norsk rettsanvenders ståsted legge til grunn at lovens inngangsvilkår er oppfylt når «deler av virksomheten» settes bort, jf. finansforetaksloven § 13-4. Det nærmere vurderingstemaet må videre tolkes i lys av de relevante hensynene, samt retningslinjene EBA har utstedt med hjemmel i CRD IV artikkel 74. Basert på disse kildene, kan utkontrakterings- regelverkets anvendelsesområde sammenfattes til tjenesteutsetting av funksjoner som er en nødvendig forutsetning for at banken kan levere produkter til sine kunder, men at det avgrenses mot den type nødvendige tjenester som ikke er særegent for foretakets virksomhet som bank, samt mot enkeltoppdrag eller engangsinnkjøp som ikke er løpende tjenester.
110 EBA GL punkt 26.
111 Se også Xxxxxxxxxxx punkt 3.
112 Rundskriv 7/21 s. 6 og EBA GL punkt 28 bokstav g.
113 Rundskriv 7/21 s. 6.
114 Se del 4.2.2 (kjerneoppgaver) og 5.3.2 (kritisk eller viktig virksomhet).
115 For eksempel risikostyringsfunksjonen, etterlevelsesfunksjonen (compliance) eller internrevisjonsfunksjonen jf. fiannsforetaksloven § 13-5 annet ledd.
3.2.3 Eksempler på grensedragningen i praksis.
Et praktisk viktig skille for utkontrakteringsreglenes anvendelsesområde er grensen mellom kjøp av programvarer ("software") og utkontraktering av IKT-virksomhet, som omtalt under punkt 1.3.1. Skillet henger sammen med at ordlyden i finansforetaksloven § 13-4 retter seg mot tilfeller hvor andre enn banken har som «oppdrag å forestå deler av virksomheten» til banken. Xxxx produktkjøp omfattes derfor ikke av utkontrakteringsbegrepet.
Det er dermed ikke en utkontrakteringssituasjon når en bank kjøper en programvare som instal- leres på bankens egen server og som driftes av banken selv. I slike tilfeller vil banken selv drifte, behandle og oppbevare sin egen data.116 Det vil på den annen side være utkontraktering dersom banken benytter oppdragstakere til å drifte programvaren på bankenes egen server. En stadig vanligere måte for foretak å skaffe tilgang til IKT-tjenester er gjennom avtaler der fore- takets gis rett til å bruke programvare, plattform og/eller infrastruktur som driftes av en opp- dragstaker på oppdragstakerens egen server (SaaS, PaaS og IaaS). Slike avtaler anses som ut- kontraktering.117
For tilfeller der banken innhenter driftsressurser, som nevnt i punkt 1.3.2, vil utkontrakterings- regelverket ikke få anvendelse dersom det foreligger et ansettelsesforhold mellom banken og den som har som «oppdrag å forestå deler av virksomheten» for banken, jf. finansforetaksloven
§ 13-4.118 Det kan eksempelvis tenkes en situasjon hvor en bank har behov for å forbedre sin lovpliktige compliance-funksjon, jf. finansforetaksloven § 13-5 annet ledd. Bankens forbedring av compliance-funksjonen kan både gjøres gjennom å ansette en compliance-medarbeider eller engasjere en ekstern tjenestetilbyder med spesialkunnskap om bankens compliance-plikt. Må- ten tjenesteytingen blir organisert på kan i slike tilfeller få innvirkning på om utkontrakterings- regelverket får anvendelse eller ikke. Kun det sistnevnte alternativet vil i dette tilfellet innebære en utkontrakteringssituasjon.
3.3 Hovedregelen om bankenes adgang til å utkontraktere
I tråd med finansforetaksloven § 13-4 første ledd første punktum er utgangspunktet og hoved- regelen at «et finansforetak kan gi et annet foretak i oppdrag å forestå utførelsen av deler av
116 Rundskriv 7/21 s. 5.
117 Rundskriv 7/21 s. 5. Bruk av IaaS, PaaS eller SaaS innebærer utkontraktering av driften, behandlingen og/eller oppbevaringen av data i forbindelse med bruken av slike programvarer og tjenester.
118 Rundskriv 7/21 s. 7.
virksomheten». Ordlyden i bestemmelsen bekrefter det utgangspunktet som ellers hadde fulgt av prinsippet om avtalefrihet.119
Det er imidlertid viktig å presisere at utkontraktering ikke innebærer at finansforetaket fritas for det juridiske ansvaret for virksomheten som utkontrakteres.120Dette kommer til uttrykk i finans- foretaksloven. § 13-4 tredje ledd:
«Bruk av oppdragstaker er uten innvirkning på finansforetaks plikter og ansvar overfor kunder, offentlig myndighet og andre.»121
Plikter og ansvar overfor «offentlig myndighet» vil bestå av ulike offentligrettslige krav og reguleringer. Prinsippet som fremgår av finansforetaksloven § 13-4 tredje ledd, medfører der- med at tredjeparters brudd på slike er å regne som bankens egne. I forarbeidene pekes det på plikter i henhold til markedsføringsloven, forsikringsavtaleloven og finansavtaleloven som ek- sempler på relevante regler. Et annet praktisk viktig eksempel er selvsagt plikter og ansvar som følger av finansforetaksloven selv. En bank kan for eksempel ikke bli fritatt de innholdsmessige kravene til internrevisjon som følger av finansforetaksloven. § 8-16 ved å peke på at ansvaret for internrevisjonen ble utkontraktert til et eksternt revisjonsselskap. I tillegg presiserer hvit- vaskingsloven § 23 at prinsippet omfatter bankenes plikter i henhold til hvitvaskingsloven. Flere banker har fått sanksjoner og kritikk av Finanstilsynet som følge av svikt i oppdragstakers utførelse av bankens anti-hvitvaskingsplikter.122
Plikter og ansvar overfor «kunder» vil typisk være av privatrettslig art, og innebærer at foreta- kene ikke kan frasi seg ansvaret gjennom avtale med den som påtar seg å utføre oppdraget.123 Dette samsvarer med det kontraktsrettslige utgangspunktet. En avtale med en tredjepart vil ikke frita en bank fra kontraktsmessig oppfyllelse overfor en kundellelsen.124
Hovedregelen kan oppsummeres til å innebære at banker kan utkontraktere deler av sin samlede virksomhet, men at de ikke kan fritas fra plikter og ansvar gjennom slik utkontraktering.
3.4 Inngrep- og sanksjonsmuligheter ved urettmessig utkontraktering
119 Xxxxxxxxxxx (2015) s. 392.
120 Prop.L (2013-2014) s. 73.
121 Prinsippet kan også utledes av alminnelige rettsregler, jf. Prop. L (2013-2014) s. 196. Fremgår også av EBA GL punkt 36.
122 Tilsynsrapport 21/6151 Santander Consumer Bank og Tilsynsrapport 21/668 Eidsberg Sparebank.
123 Xxxxxxxxxxx (2015) s. 389.
124 Ibid.
Finanstilsynet har i henhold til finanstilsynsloven § 4c (2) anledning til å sette vilkår for utkon- traktering eller gi foretaket pålegg om ikke å iverksette eller om å avslutte oppdraget. Slikt inngrep fra Finanstilsynet krever at:
«tilsynet finner at utkontraktering skjer i et omfang eller på en måte som ikke kan anses som forsvarlig, vanskeliggjør tilsynet med den utkontrakterte virksomhet eller med fo- retakets samlede virksomhet, eller er i strid med bestemmelser gitt i eller i medhold av lov.»
Ordlyden i bestemmelsen tilsier at terskelen for inngrep er den samme som oppstilles i finans- foretaksloven § 13-4 om utkontrakteringens lovlighet. Dersom finansforetak ikke etterkommer Finanstilsynets pålegg, kan foretaket ilegges en daglig løpende mulkt til forholdet er rettet, jf. finanstilsynsloven § 10 annet ledd.
Basert på den tilgjengelige tilsynspraksisen, har jeg ikke sett at Finanstilsynet har fattet vedtak om inngrep eller sanksjoner for urettmessig utkontraktering. Som nevnt, er det imidlertid grunn til å tro at store deler av Finanstilsynets oppfølging av bankenes utkontrakteringsavtaler skjer gjennom korrigerende dialoger med aktørene, som en forlengelse av meldepliktsystemet, jf. § finanstilsynsloven § 4c.
Det har imidlertid forekommet flere ganger at banker har fått kritikk for manglende kontroll med bankenes tjenesteleverandører.125 Bankers overtredelse av hvitvaskingsloven § 23 har i tillegg vært en medvirkende faktor i saker hvor Finanstilsynet har ilagt overtredelsesgebyr i tråd med hvitvaskingsloven § 49.
4 Skranker for utkontraktering
4.1 Innledning
I den følgende delen av oppgaven vil jeg fastlegge de rettslige rammene for tjenesteutsetting som omfattes av utkontrakteringsregelverket for banker. Utgangspunktet er som nevnt at banker kan utkontraktere deler av sin virksomhet. Den endelige normen for bankenes adgang til å ut- kontraktere krever likevel en fastlegging av innholdet for de ulike skrankene som oppstilles i finansforetaksloven § 13-4. Jeg vil derfor i det følgende analysere skrankene i finansforetaks- loven § 13-4 om utkontraktering av kjerneoppgaver, uforsvarlig utkontraktering og utkontrak- tering som svekker Finanstilsynets mulighet til å føre tilsyn.
125 F.eks. Tilsynrapport 21/11746 s. 3 og Finanstilsynets tematilsyn av tjenensten «Kontant i butikk» (2021) s. 12.
4.2 Forbudet mot utkontraktering av kjerneoppgave
4.2.1 Oversikt
Finansforetaksloven § 13-4 første ledd oppstiller et forbud mot å utkontraktere «kjerneoppga- ver». Forbudet er, med mindre det er gitt hjemmel for det andre steder, absolutt.126 Dette inne- bærer blant annet at det er uten betydning om kjerneoppgaver utkontrakteres til oppdragstakere med tilsvarende konsesjon som oppdragsgiveren. En bank kan for eksempel ikke overlate utfø- relsen av kjerneoppgaver til en annen bank, selv om banken som påtar seg oppgaven har kon- sesjon til å drive bankvirksomhet. Forbudets absolutte karakter innebærer også at kjerneoppga- ver heller ikke kan settes bort til foretak i samme konsern.
Til illustrasjon for sistnevnte kan det vises til Finanstilsynets rapport etter tilsyn med Knif Trygghet Forsikring, som eide et agentforetak i Sverige. 127 Finanstilsynet reiste spørsmål om utkontrakteringen av den svenske forsik- ringsvirksomheten kunne være i strid med forbudet mot utkontraktering av kjerneoppgaver. Finanstilsynet påpekte at det ville være utkontraktering av kjerneoppgaver dersom det var agentforetaket som i realiteten priset risikoen og satt vilkårene i forsikringstilbudene. At Knif Trygghet eide 100 prosent av agentforetaket som priset risikoen, endret ikke dette.
En rettskildemessig utfordring med kjerneoppgaveforbudet i finansforetaksloven § 13-4 er at det ikke oppstilles et tilsvarende uttrykkelig forbud i det europeiske regelverket. EBA opererer likevel med mer detaljerte regler dersom funksjonene som utkontrakteres er «critical or im- portant” for foretakenes virksomhet.128 «Critical or important» retter seg, i likhet med begrepet
«kjerneoppgaver», mot arten av den eller de funksjonene som utkontrakteres. Begrepet er like- vel et videre begrep enn «kjerneoppgaver», med andre rettsvirkninger.129 Det som kan spores av materielle begrensinger i foretakenes adgang til å utkontraktere må eventuelt basere seg på
126 Forbudet mot utkontraktering av kjerneoppgaver gjelder ifølge finanforetaksloven § 13-4 første ledd annet punktum ikke dersom noe annet følger av bestemmelser gitt i eller i medhold av lov. Lovgiver oppstiller her et generelt unntak fra forbudet i tilfeller hvor andre lov- eller forskriftsbestemmelser gir finansforetak adgang til å utkontraktere kjernevirksomhet. Det foreligger likevel få lov- og forskriftsbestemmelser om utkontrak- tering, og ingen av disse medfører et slikt unntak fra forbudet i finansforetaksloven § 13-4. Det er vanskelig å se for seg situasjoner hvor unntak fra forbudet kan være aktuelt på generelt grunnlag. For «særlige» tilfeller kan Finansdepartementet i henhold til ffl. § 1-6 (3) unnta finansforetak fra forbudet mot utkontraktering av kjerneoppgaver. I slike tilfeller hvor utkontraktering av kjerneoppgaver tillates, vil det på vanlig måte kunne settes vilkår. Finansdepartementet kan ifølge § 13-4 (4) også gi forskrift om utkontraktering, herunder fast- sette forbud mot utkontraktering til nærmere angitte jurisdiksjoner utenfor EØS eller at slik utkontraktering kun kan skje med tillatelse fra Finanstilsynet
127 Tilsynsrapport, sak 21/6402. Saken omhandler et forsikringsforetak, som også er underlagt kjerneoppgavefor- budet i finansforetaksloven § 13-4.
128 EBA GL punkt 29.
129 Se del 5.3.2.
det generelle kravet til forsvarlig organisasjonsstruktur i CRD IV artikkel 74 (1).130 Ettersom EBAs retningslinjer er antatt å presisere innholdet av normen om bankers utkontrakteringsad- gang som kan utledes av CRD IV artikkel 74, er det et spørsmål om en anvendelse av kjerne- oppgave-begrensningen som et selvstendig rettsgrunnlag, kan komme på kant med EØS-retten. Dette drøftes nærmere i del 4.2.3.
4.2.2 Begrepet «kjerneoppgaver» i finansforetaksloven § 13-4
Spørsmålet er i det følgende hva som må foreligge for at en «kjerneoppgave» skal anses utkon- traktert etter § 13-4. En naturlig språklig forståelse av ordlyden «kjerneoppgaver», slik dette brukes i loven, tilsier at begrepet er ment å omfatte helt fundamentale deler av et foretaks virk- somhet, som er nødvendig for foretakets totale virksomhet og eksistens. Denne forståelsen av
«kjerneoppgaver» gjør det naturlig å tolke begrepet i sammenheng med systemet for tildeling av konsesjon for å etablere og drive virksomhet som bank.131 Sammenhengen mellom ordlyden
«kjerneoppgaver» og foretakenes konsesjon bekreftes i forarbeidene, hvor lovgiver presiserer at hva som skal anses som kjerneoppgaver vil bero på en konkret vurdering med utgangspunkt i om oppgaven er en nødvendig og integrert del av den konsesjonsbelagte virksomhet som fo- retaket driver.132 Det er altså særlig hensynet til konsesjonssystemet som begrunner dette for- budet.
I forarbeidene gis det ulike eksempler på virksomhet som omfattes av forbudet mot utkontrak- tering av kjerneoppgaver.133 I den forbindelse blir innskuddsvirksomhet trukket frem som et eksempel på konsesjonsbelagt virksomhet. Videre pekes det på utbetaling av kontanter og ban- kenes kredittvurderinger som eksempler på oppgaver som må anses som en nødvendig og in- tegrert del av bankenes konsesjonsbelagte virksomhet. I forarbeidene nyanseres det imidlertid et skille mellom utkontraktering av kjerneoppgaver og tilfeller hvor banker benytter seg av medhjelpere eller eksternt utviklede systemer for å utføre kjerneoppgaver.134
Basert på ordlyden i finansforetaksloven § 13-4, sammenhengen med konsesjonssystemet og uttalelsene i forarbeidene kan begrepet «kjerneoppgaver» sammenfattes til konsesjonspliktig virksomhet og funksjoner som er en «nødvendig og integrert del» av den konsesjonspliktige
130 Eventuelle inngrep eller sanksjoner mot uønsket utkontraktering må begrunnes i at utkontrakteringen medfører en uforsvarlig organisasjonsstruktur.
131 Se oppgavens del 2.4.5.
132 Prop. L (2013-2014) s. 196.
133 Prop. L (2013-2014) s. 72.
134 Ibid. Bankenes kredittvurderinger blir i den forbindelse brukt som eksempel for å illustrere dette skillet. Ut- gangspunktet er som tidligere nevnt at kredittvurderinger ikke kan utkontrakteres. Bankene står likevel fritt til å motta kredittopplysninger fra eksterne tilbydere, eller at eksternt utviklede systemer brukes for kredittana- lyser.
virksomhet. For banker vil i hvert fall deres innskuddsvirksomhet, samt kredittgivning, utgjøre områder hvor «nødvendige og integrerte» aspekter av tjenestene ikke kan utkontrakteres.135
4.2.3 Forholdet til CRD IV og EBAs retningslinjer
Som nevnt oppstilles det ikke noe form for uttrykkelig forbud mot utkontraktering av kjerne- oppgaver i det europeiske regelverket. EBAs skjerpede retningslinjer for «critical or important» funksjoner medfører kun rettslig virkninger i form av mer detaljerte og omfattende plikter.136 Det gjelder for eksempel mer omfattende krav til dokumentasjon av utkontrakteringsforholdet dersom et foretak utkontrakterer funksjoner som er «critical or important 137. EBA forutsetter imidlertid flere steder i sine retningslinjer at «critical or important» funksjoner kan utkontrak- teres.138
Til tross for at det ikke oppstilles et direkte forbud i EBAs retningslinjer, så fremheves det likevel i retningslinjenes «Background» punkt 5 at utkontraktering som fører til følgende effekt ikke skal tillates:
«undermining the conditions of its authorisation or removing or modifying any of the conditions subject to which the institution’s or payment institution’s authorisation was granted»
Når EBA uttaler at visse former for utkontraktering ikke skal tillates må det leses i sammenheng med CRD IV artikkel 74 nr. 1 som EBAs retningslinjer er ment å utfylle. Utkontraktering som undergraver, fjerner eller endrer grunnlaget som lå til grunn for foretakets konsesjon vil derfor anses som eksempler på uforsvarlig organisasjonsstruktur i direktivbestemmelsens forstand.
Foretakets konsesjon er også helt sentral ved vurderingen av det norske forbudet om utkontrak- tering av kjerneoppgaver. Selv om EBAs retningslinjer ikke har noe som tilsvarer «kjerneopp- gaver»-forbudet, tilsier det overnevnte at det vil være betydelig overlapp mellom «kjerneopp- gaver» og den virksomhet som EBA mener ikke bør utkontrakteres. I lys av hensynet til enhetlig praktisering i EØS-området, samt CRD IV fokus på harmonisering av rettskilder, kan man argumentere for at norske myndigheter bør håndheve kjerneforbudet i lys av hensynene som
135 Se finansforetakslovens kapittel 2 om ulike former for konsesjonspliktig virksomhet, særlig §§ 2-1 og 2-2 om finansieringsvirksomhet og innskuddsvirksomhet.
136 EBA GL “Executive summary” (s.5).
137 EBA GL punkt 55.
138 For eksempel punkt EBA GL 55 og 70. Solvens II-direktivet artikkel 49 nr. 2 forutsetter det samme. I norsk lovgivning indikerer «kritisk eller viktig» skillet mellom utkontrakteringsavtaler som omfattes av meldeplik- ten i finanstilsynsloven § 4c, jf, meldepliktforskriften § 3. Se. Punkt 5.3.2.
trekkes frem av EBA, også om det skulle føre til en innskrenkende tolkning av «kjerneopp- gave»-begrensningen.139 Spørsmålet om «nødvendig og integrert», som beskrevet over, vil i så fall måtte suppleres med en vurdering av om utkontrakteringen er av en slik art at den kan undergrave, fjerne eller endre grunnlaget som lå til grunn for bankens konsesjon.
4.2.4 Innebærer kontant i butikk utkontraktering av kjerneoppgave?
For å illustrere hvordan dette slår ut i en konkret problemstilling, kan vi benytte eksempelet om kontant i butikk som er redegjort for under punkt 1.4. Bankene som tilbyr KiB-tjenesten har ifølge Finanstilsynet utkontraktert gjennomføringen av tjenesten til Vipps/BankAxept i samar- beid med Norgesgruppen.140 Om det nærmere innholdet av de utkontrakterte funksjonene utta- les det i tematilsynsrapporten av KiB-ordningen at den praktiske gjennomføringen av denne tjenesten utføres av Vipps. 141 Dette inkluderer opplæring av ansatte i brukerstedene som skal motta eller levere ut kontanter til brukere av tjenesten.
Innskuddsvirksomhet som sådan er en kjerneoppgave og kan derfor ikke utkontrakteres.142 Et spørsmål om utkontraktering av kjerneoppgaver reiser seg fordi XxX innebærer at kundene kan sette inn opptil 20 000 kr i butikkasse i stedet for hos banken.143 Det er derfor relevant å spørre om KiB-ordningen innebærer at bankene utkontrakterer en «nødvendig og integrert del» av innskuddsvirksomheten.
Dagligvarebutikkenes oppgaver i utkontrakteringskjeden består av selve interaksjonen med bankens kunder, herunder kontanthåndtering i forbindelse med bankenes innskudds- og uttaks- virksomhet. 144 Dagligvarebutikkenes kundeinteraksjon på vegne av bankene innebærer også at de står i «frontlinjen» ved utførelsen av bankenes hvitvaskingsfunksjoner.145 Mye tyder derfor på at de utkontrakterte funksjonene er nødvendige for at kundene skal kunne gjøre innskudd.
Spørsmålet er dermed om de utkontrakterte funksjonene utgjør en integrert del av bankenes innskuddstjeneste. Et mulig synspunkt er at selve kontanthåndteringen er en tjeneste som kan skilles fra selve innskuddsvirksomheten, ved at bankene fortsatt innehar og drifter systemene
139 EBA GL Background punkt 5.
140 Finanstilsynets tematilsyn 2021 s. 3
141 Finanstilsynets tematilsyn 2021 s. 8
142 Prop. 125 L (2013-2014) s. 73
143 DNB sin nettside (u.å.),Kontanttjenester i butikk.
144 Bankene utkontrakterer den praktiske gjennomføringen til Vipps, som videre benytter dagligvarebutikker som underleverandører ved utførelse av bankenes utkontrakterte funksjoner.
145 Jf. hvitvaskingsloven § 36. Gjennom plikten til yte opplæring til «andre som utfører oppdrag for foretaket» skal bankens oppdragstakere være i stand til å til å «gjenkjenne forhold som kan indikere hvitvasking og terrorfi- nansiering».
som sikrer at deres kunder får sine innskutte midler godskrevet på sine kontoer. Man kan se det slik at butikken kun tar på seg å håndtere midlene på kundens og bankens vegne, og at bankene har beholdt kjerneoppgaven. På den annen side kan det fremstå kunstig å løsrive den fysiske leveringen av kontanter fra godskrivingen i bankens systemer. Det kan hevdes at det nettopp er kombinasjonen av den fysiske leveringen av midler og godskrivingen av bankens systemer som utgjør et innskudd.
I praksis vil det antakeligvis få avgjørende vekt at forholdet mellom utkontrakteringsreglene og
«bank i butikk» - forløperen til KiB - ble vurdert av Finansdepartementet i forarbeidene til finansforetaksloven.146 Finansdepartementets syn var at ordningen bank i butikk ikke medførte urettmessig utkontraktering. Hovedpoenget til Finansdepartementet var at bank i butikk uansett ikke medfører en utkontraktering av hele innskuddsvirksomheten.147 Synspunktet var, i likhet med argumentasjonen over, at kontanttjenester ikke medfører en situasjon hvor andre enn ban- kene forestår utførelsen av de mekanismene som sikrer at kunden får «godskrevet sitt inn- skudd». Ordningen endrer derfor ikke på det faktum at bankkundene får godskrevet sine inn- skudd på samme måte som innskudd i en av bankens filialer.148På bakgrunn av hensynene som trekkes frem i EBAs retningslinjer, vil det videre være vanskelig å argumentere for at bankens konsesjonsgrunnlag blir undergravet, fjernet eller endret av bankenes utkontrakteringsforhold gjennom KiB-tjenesten.
Selv om KiB, på bakgrunn av redegjørelsen ovenfor, neppe vil bli sanksjonert som utkontrak- tering av kjerneoppgaver, er det verdt å nevne at Finanstilsynet i tematilsynet av kontant i butikk i 2021 mente å finne betydelige sårbarheter ved tjenesten.149 Gjennom tilsynet avdekket Finans- tilsynet: «mangler ved bankenes identifisering og vurdering av tjenestens sårbarhet og risiko, vurdering av nødvendige tiltak for å redusere risiko og rutiner, herunder rutiner for løpende oppfølging, opplæring samt undersøkelser av identifiserte mistenkelige forhold».150 Dette indi- kerer i hvert fall et betydelig forbedringspotensialer for bankenes oppfølging av de utkontrak- teringsforholdene som stammer fra KiB-tjenesten.
146 Prop. 125 L (2013-2014) s. 68. Uttalelsene retter seg mot «bank i butikk» som var en forgjenger til «kontant i butikk».
147 Ibid. Uttales indirekte gjennom henvisning til bankenes innskuddsmonopol og at det er avgjørende at kundene får godskrevet sine innskudd på samme måte som kundene ville ha fått hvis kundene hadde henvendt seg direkte i en av bankens filialer.
148 Ibid. Av den informasjonen som er tilgjengelig for hva som utkontrakteres ved bankenes bruk av KiB-tjenesten fremstår det ikke som at overgangen fra «bank i butikk» til «kontant i butikk» har endret på dette.
149 Tematilsyn 2021 s. 3
150 Tematilsyn 2021 s. 12. Informasjon om de konkrete sårbarhetene med tjenesten er unntatt offentligheten fordi
«innsyn ville lette gjennomføringa av straffbare handlingar», jf. offentleglova § 24 tredje ledd
4.3 Forsvarlighetskravet
4.3.1 Utgangspunkter
Ved siden av forbudet mot utkontraktering av kjerneoppgave taler ordlyden i finansforetakslo- ven § 13-4 første ledd første punktum for at det gjelder en kvantitativ begrensning i hovedrege- len for adgangen til å utkontraktere. Det presiseres at utkontraktering ikke kan skje i et «om- fang» eller på en «måte» som ikke kan anses som «forsvarlig» eller som gjør at «tilsynet med den utkontrakterte virksomhet» eller «foretakets samlede virksomhet blir vanskeliggjort».151 Disse elementene av finansforetaksloven § 13-4 sin ordlyd henger i stor grad sammen og vil derfor behandles samlet i det følgende.
4.3.2 «Forsvarlig» måte og omfang
Henvisningen til at utkontraktering kun kan skje i et omfang som er «forsvarlig» viser at det overordnende vurderingstemaet må vurderes i lys av kravet til forsvarlig organisasjonsstruk- tur.152 «Forsvarlig» fremstår som en rettslig standard. Øvrige kilder kan imidlertid brukes til å si noe nærmere om hvilke momenter som er av betydning i vurderingen.
Ett viktig moment kan etter mitt syn utledes av formålsbetraktninger. Begrensinger i utkontrak- teringens omfang vil på samme måte som kjerneoppgave-regelen ha som et viktig delmål å forhindre utkontraktering som svekker foretakenes konsesjonsgrunnlag.153 Ut i fra dette hensy- net, så vel som uttalelser fra EBA og Finanstilsynet, fremstår det som et viktig moment hvorvidt utkontrakteringen har fått et omfang som etterlater den aktuelle banken som et «tomt skall». 154 Svekkelsen av konsesjonsgrunnlaget gjennom et stort utkontrakteringsomfang kan oppstå ved at et stort antall av bankens funksjoner utføres av andre enn banken selv. Det kan for eksempel tenkes at en bank utfører de konsesjonspliktige funksjonene selv155, men benytter oppdragsta- kere ved utførelsen av bankes øvrige virksomhet. I slike tilfeller vil mye tale for at utkontrak- teringen ansees uforsvarlig.
Ved siden av utkontrakteringens omfang vil utkontrakteringens «måte» også være av betydning for vurderingen av utkontrakteringens forsvarlighet, jf. finansforetaksloven § 13-4. Ordlydens
151 At foretakene bare kan utkontraktere «deler av virksomheten» indikerer også at det går en grense for hvor stor
del av den totale virksomheten som kan utføres av oppdragstakere.
152 Se punkt 4.1.1.3 om kjerneoppgaver.
153 EBA GL «Background» pkt. 5
154 EBA GL punkt 39. Se også rundskriv 7/2021 s. 7 hvor Finanstilsynet omtaler det samme som «tomme skall».
155 Jf. finansforetaksloven § 2-7, for eksempel funksjoner knyttet til innskuddsvirksomhet og kredittstillelse.
henvisning til utkontrakteringens «måte» retter seg mot hvordan banken har gjennomført ut- kontrakteringen. Et poeng som trekkes frem av Finanstilsynet og EBA, er hvorvidt foretaket har sikret seg ressurser og rutiner til å følge opp og eventuelt avvikle utkontrakteringsavtaler. Det vil også være av betydning om bankene har tilstrekkelig kontinuitet dersom oppgavene må tas tilbake.156 Tilsynspraksis kan likevel tyde på at omfangsbegrensningen i realiteten er vid så lenge foretakene kan vise til at det er foretatt en risikovurdering knyttet til omfanget av utkon- traktert virksomhet, og at risikoen er forsvarlig håndtert.157 God risikohåndtering kan derfor tilsynelatende avhjelpe et stort utkontrakteringsforhold som i utgangspunktet er problematisk.
Et tredje moment av betydning for forsvarlighetsvurderingen kan sammenfattes til å gjelde ulike kvaliteter hos bankenes oppdragstakere. I finansforetakslovens forarbeider påpekes det at det er en «mindre restriktiv holdning» til utkontraktering i konsernforhold.158 At bankenes opp- dragstaker inngår i samme konsern som banken er følgelig et moment som kan tale for at ut- kontrakteringsforholdet er forsvarlig. I forarbeidene pekes det også på betydning av om utkon- trakteringen «skjer til et foretak som ligger i en annen jurisdiksjon».159 Det vil i tråd med for- arbeidsuttalelsene vil det være mindre betenkelig om utkontrakteringen skjer til en annen juris- diksjon innenfor EØS enn til en jurisdiksjon utenfor EØS.160
Det kan være verdt å nevne at momentene som har blitt presentert over ikke vil være uttøm- mende ved forsvarlighetsvurderingen som oppstilles i finansforetaksloven § 13-4. Forsvarlig- hetsbegrepets karakter av å være en rettslig standard medfører at vurderingen trolig må forstås som en relativt åpen totalvurdering.
4.3.3 Utkontraktering som vanskeliggjør tilsyn
Som en siste skranke, følger det av finansforetaksloven § 13-4 at utkontraktering ikke kan skje i et «omfang eller på en måte» som gjør at «tilsynet med den utkontrakterte virksomhet eller foretakets samlede virksomhet blir vanskeliggjort» At tilsynet med den utkontrakterte virksom- het eller foretakets samlede virksomhet ikke skal bli vanskeliggjort, innebærer at tilsynsmyn- dighetene må ha tilgang til nødvendige opplysninger som knytter seg til den utkontrakterte
156 Rundskriv 7/2021 s. 7. Samme momenter trekkes frem i EBA GL punkt 39.
157 Tilsynsrapport 18/12687 Surnadal s. 3. Se del 5.2 om bankenes risikobaserte plikter.
158 Prop. 125 L (2013-2014) s. 197
159 Ibid.
160 Ibid.
virksomheten. Det vil også innebære at utkontrakteringsforhold ikke må vanskeligjøre Finans- tilsynets mulighet til å utføre stedlig tilsyn av bankens virksomhet, herunder utførelsen av ut- kontrakterte funksjoner.
Som ordlyden i finansforetaksloven § 13-4 indikerer, vil utkontrakteringens «omfang» og
«måte», på samme måte som ved forsvarlighetsvurderingen, danne grunnlaget for vurderingen av om tilsynet blir vanskeliggjort. De aktuelle momentene som ble presentert under del 4.3.2 vil derfor i utgangspunktet være aktuelle også her. Det vil eksempelvis være vanskelig å føre tilsyn med en bank som har utkontraktert i et omfang som medfører at banken er et «empty shell». Det er imidlertid grunn til å påpeke visse at momenter vil være av særlig interesse for Finanstilsynets mulighet til å føre tilsyn. I den forbindelse vil utkontrakteringsavtalens utfor- ming være av særlig betydningen.
Dette henger sammen med at bankenes avtale med deres oppdragstakere i større eller mindre grad kan muliggjøre bankens og Finanstilsynets adgang til å kontrollere utførelsen av den ut- kontrakterte funksjonen. En avtale som begrenser en slik mulighet for kontroll, kan derfor ar- gumenteres for å vanskeliggjøre tilsynet. Et særlig moment som er tillagt vekt av Finanstilsynet i den forbindelse, er at bankene må utkontraktere på en måte som sikrer tilgangsstyring og opp- følging av tjenesteleverandørens utførelse av den utkontrakterte funksjonen.161
Videre er det grunn til å lese skranken i sammenheng med opplysningene som bankene plikter å melde fra om til tilsynet i henhold til meldepliktforskriften § 4.162 Dersom en bank ikke evner å oppdrive slike opplysninger på etterspørsel fra Finanstilsynet, kan det tale for at banken har utkontraktert på en måte som har vanskeliggjort tilsynet.
4.3.4 Utkontrakterer norske alliansebanker «uforsvarlig»?
I lys av eksemplene i punkt 1.3, og drøftelsene over, kan det være aktuelt å spørre om enkelte av de norske alliansebankenes utkontraktering av alminnelige driftsfunksjoner nærmer seg ytterkanten av forsvarlighetskravet som er redegjort for i punkt 4.3.2. Som eksempel kan det vises til tilsynsrapport av tidligere Surnadal Sparebank hvor Finanstilsynet blant annet utførte tilsyn av bankens utkontrakteringsavtaler.163 Banken hadde på tilsynstidspunktet utkontraktert en rekke driftsoppgaver til EIKA - det forelå utkontrakteringsavtaler med Eika Gruppen AS (IT, korttjenester, betalingsformidling og oppgjørstjenester, samt enkelte funksjoner mot hvit- vasking), Eika Kundesenter, Eika Økonomiservice (avtale om innleid økonomisjef), Eika Ka- pitalforvaltning AS og Eika Boligkreditt AS.164
161 Tilsynsrapport 21/11746 Sparebanken Sogn og Fjordane s. 4. Se del 5.2.3.
162 Se del 5.3.1.
163 Tilsynsrapport 18/12687 s. 3
164 Ibid.
En slik omfattende utkontraktering av bankens funksjoner, som tilsynelatende dekker mange sentrale aspekter ved banktilbudet, kan antakelig i noens øyne få sparebanken til å fremstå som et «tomt skall». Det kan argumenteres for at store deler av bankenes virksomhet, som er avgjø- rende for bankens utførelse av den konsesjonspliktige virksomheten, i realiteten styres av en sentral allianseenhet.
På den annen side inngår alliansebankene i et konsernforhold med allianseenheten, som utgjør bankenes oppdragstaker.165 Som vist ovenfor, er dette et moment som taler i retning av at ut- kontrakteringen er forsvarlig.
I den konkrete tilsynssaken av Surnadal Sparebank spurte finanstilsynet om en risikovurdering knyttet til omfanget av den utkontrakterte virksomheten. Spørsmålsstillelsen til Finanstilsynet viser at omfangsbegrensningen i finansforetaksloven § 13-4 er reell og at begrensningen kan være aktuell for tilfeller hvor banker utkontrakterer store deler av sine driftsoppgaver til allian- seenheter. I den forbindelse vil det være aktuelt å vurdere om «bankens organisering og beman- ning er dimensjonert med tilstrekkelige ressurser og kompetanse til å følge opp omfanget av utkontraktert virksomhet».166 Finanstilsynet fant ikke grunn til å følge opp saken med Surnadal Sparebank ved at bankens styre la til grunn at utkontraktering til Eika Gruppen var «håndter- bar».167 Tilsynssaken av Surnadal Sparebank illustrerer at forsvarlighetsnormen i finansfore- taksloven § 13-4 i realiteten åpner for utkontraktering i et nokså stort omfang.
4.4 Oppsummering
Finansforetaksloven § 13-4 oppstiller skranker for bankenes utkontraktering knyttet til arten av funksjon som utkontrakteres, utkontrakteringens omfang og hvordan utkontrakteringen gjen- nomføres. For å avgjøre om det utkontrakteres i strid med finansforetaksloven § 13-4 må det vurderes om utkontrakteringens art, omfang og måte fører til at bankens konsesjonsgrunnlag undergraves, fjernes eller endres. Utkontrakteringsforhold som vanskeligjør Finanstilsynets til- synsmuligheter, kan også medføre at det utkontrakteres i strid med bestemmelsen.
5 Plikter ved utkontraktering
5.1 Innledning
165 Xxxxx.xx (u.å), Aksjeposter i Eika Gruppen AS. Tallene viser at Eika i sin helhet er eid av alliansens medlemmer
166 Ibid. s. 4. Spørsmålet ble stilt til Surnadal Sparebank i «foreløpig tilsynsrapport».
167 Ibid. s, 3.
Problemstillingen som skal drøftes i den følgende delen av oppgaven er hvilke plikter bankene har i de tilfellene hvor utkontraktering er tillatt. Det vises her til de særskilte pliktene som utløses av utkontrakteringsforholdet, og avgrenses mot de alminnelige plikter som banken be- holder ved utkontrakteringen jf. hovedregelen beskrevet i 3.3. Det norske utkontrakteringsre- gelverkets ulike plikter oppstilles i hovedsak gjennom finanstilsynsloven § 4c med tilhørende meldepliktforskrift.168 Det nærmere innholdet av bankenes plikter ved utkontraktering er imid- lertid i stor grad utdypet i EBAs retningslinjer og i Finanstilsynets retningslinjer. Pliktene som oppstår ved utkontraktering av virksomhet kan grovt sammenfattes i to kategorier – risikoba- serte plikter og meldeplikt til Finanstilsynet om utkontrakteringsavtaler.
5.2 Risikobaserte plikter
5.2.1 Risikovurdering
Kravet til risikovurdering oppstilles i meldepliktforskriften § 4 bokstav f ved at det påpekes at
«(melding om utkontraktering) skal inneholde opplysninger om foretakets risikovurdering av utkontrakteringen». Det utdypes likevel ikke noe nærmere om hvilke innholdsmessige krav som stilles til foretakenes risikovurdering. Både EBA og Finanstilsynet har på den annen side opp- stilt detaljerte retningslinjer for foretakenes risikovurderinger.
Som EBA påpeker i sine retningslinjer er hensikten med risikovurderingene at foretakene skal vurdere «the potential impact of outsourcing arrangements on their operational risks» og i den sammenheng «avoid undue additional operational risks».169 Det nærmere innholdet av risiko- vurderingene vil for det første være å konkretisere de ulike risikomomentene som kan gjøre seg gjeldene.170 Dette innebærer å identifisere mulige risikomomenter og scenarier hvor disse kan materialisere seg.171 Etter konkretiseringen av relevante risikomomenter må foretakene vurdere sannsynligheten for at de aktuelle risikoene materialiseres og konsekvensene av slik materiali- sering for foretakets virksomhet. Det er naturlig at disse elementene av risikovurderingen vur- deres sammen for å gi et klart bilde av risikomomentenes samlede betydning.
Foretakenes risikovurdering må videre inneholde en overveielse av muligheten for å terminere avtalen uten at det skaper vesentlige forstyrrelser i virksomheten, og på en måte som sikrer
168 Kravene som utløses av bankenes utkontraktering kan i utgangspunktet også utledes av forsvarlighetsnormen i finansforetaksloven § 13-4 og CRD IV artikkel 74.
169 EBA GLpunkt 64.
170 Rundskriv 7/21 s. 4.
171 EBA GL 65.
oppfyllelsen av lovkrav og forpliktelsene overfor kundene.172 For å sikre kontinuerlig oppfyl- lelse vil det være aktuelt å se på muligheter for at den utkontrakterte funksjonen flyttes til en annen oppdragstaker. Ved en risikovurdering av å utkontraktere datalagringsfunksjoner til skyt- jenesteleverandøren Google Cloud vil det for eksempel være aktuelt å vurdere mulighetene for å bytte til en annen skytjenesteleverandør dersom det skulle bli nødvendig.173
I tråd med proporsjonalitetsprinsippet stilles det i realiteten gradvis strengere krav ved behand- lingen av utkontrakterte oppgaver basert på:
“the complexity of the outsourced functions, the risks arising from the outsourcing arrangement, the criticality or importance of the outsourced function and the potential impact of the outsourc- ing on the continuity of their activities.”174
EBAs omtale medfører at det vil være grunn til å praktisere gradvis strengere krav til bankenes risikovurderinger basert på hvor «kritisk eller viktig» den utkontrakterte funksjonen er. 175
Proporsjonalitetsprinsippets betydning for bankenes risikovurdering kan også gis utslag basert på bankens størrelse og kompleksitet. Med dette menes det at prinsippet kan medføre et lempe- ligere krav til mindre "non-complex" foretak sine vurderingsmetoder og rutiner i forbindelse med deres utkontraktering.176 Det må eksempelvis trolig gjelde strengere innholdsmessige krav til DnB sine risikovurderinger enn for en mindre sparebank. Det gjelder på den annen side ikke noe lempeligere krav til de materielle skrankene som oppstilles i utkontrakteringsregelverket. Et mindre foretak kan med andre ord ikke utkontraktere "kjerneoppgaver" eller i et bredere omfang enn større banker. Det må likevel nevnes at mangelfulle risikovurderinger i seg selv kan utgjøre et moment i vurdering av om en utkontrakteringsavtale er uforsvarlig.177
5.2.2 Risikoredusering
Som nevnt ovenfor skal foretakenes risikovurdering også bidra til å «avoid undue additional operational risks».178Det innebærer blant annet at foretakene, basert på risikovurderingen, må avgjøre om det er behov for noen risikoreduserende tiltak. En forsvarlig vurdering av oppdrags-
172 Rundskriv 7/21 s. 4
173 For eksempel Microsoft Azure eller Amazon Web Services (AWS).
174 EBA GL pkt. 19.
175 Jf. meldepliktforskriften § 3. Se punkt 5.
176 EBA GL punk 65.
177 Se punkt 4.3.1 om utkontrakteringens «måte».
178 EBA punkt 64.
taker og innholdet av utkontrakteringsavtalen er i den forbindelse eksempler på viktige risiko- reduserende tiltak.179 En vurdering av oppdragstaker vil innebære å vurdere om den tiltenkte oppdragstakeren er egnet til å utføre den utkontrakterte funksjonen på vegne av foretaket.180 Slike vurderinger kan potensielt avdekke forhold som tydeliggjør behovet for å benytte en an- nen oppdragstaker for å redusere risikoen. Utformingen av utkontrakteringsavtalen kan videre utgjøre et effektivt virkemiddel for å redusere risikomomenter ved bankenes bruk av oppdrags- takere. Hovedelementene ved avtalens utforming som risikoreduserende virkemiddel er å bidra til at utkontraktert virksomhet utføres i samsvar med det regelverket som gjelder for banken og at Finanstilsynet kan føre tilsyn.181
5.2.3 Løpende risikostyring
De utkontrakterende foretakenes plikter fortsetter å løpe også etter inngåelsen av avtalen med deres oppdragstakere. De løpende pliktene består av foretakenes risikostyring og kontroll med de utkontrakterte oppgavene og utgjør en nødvendig forlengelse av den grunnleggende regelen om at foretakene ikke kan utkontraktere seg bort fra eget ansvar.182
Pliktene kan for det første utledes av forsvarlighetsnormen i både finansforetakloven §§ 13-4 og 13-5, i den forstand at manglende risikostyring og kontroll ofte vil være uforsvarlig. Videre spesifiseres det i finansforetaksloven § 13-5 (1) at foretakene skal ha "klare og hensiktsmessige styrings og kontrollordninger". Det spesifiseres også at foretakene skal "ha hensiktsmessige retningslinjer og rutiner for å identifisere, styre, overvåke og rapportere risiko foretaket er, eller kan bli, eksponert for". Et sentralt element ved styringsplikten er at foretakene må ha retnings- linjer og rutiner som sikrer at foretakene utarbeider en oversikt over alle utkontrakteringsavta- ler, at oversikten inneholder nødvendig informasjon og at den oppdateres løpende.183
Som belyst i en nylig tilsynssak av Sparebanken Sogn og Fjordane, vil også bankenes rutiner for tilgangsstyring og oppfølging av deres tjenesteleverandører utgjøre en sentral del av deres risikostyringsplikt.184Finanstilsynet avdekket manglende rutiner knyttet til bankens utkontrak- tering til finansbransjen felles operasjonelle infrastruktur (FOI).185 Finanstilsynet anså:
179 Rundskriv 7/21 s. 4
180 EBA punkt 69 “that the service provider is suitable”.
181 Rundskriv 7/21 s. 10.
182 Jf. finansforetaksloven § 13-4 (3).
183 Rundskriv 7/21 s. 18
184 Tilsynsrapport 21/11746 Sparebanken Sogn og Fjordane s.3
185 Ibid., 2.
«manglene knyttet bankens styring og kontroll med tilgangsrettigheter ved utkontraktert virksomhet som alvorlige og forventer at banken, sammen med IKT-tjenesteleverandør, snarlig iverksetter tiltak og etablerer løsninger og kontrollrutiner for tilgangsstyring som sikrer at tilganger i størst mulig grad tildeles for det enkelte oppdrag utfra tjenstlige be- hov.»186
Finanstilsynets bemerkninger illustrerer viktigheten av at bankene følger opp deres oppdrags- takere og fokuset som rettes mot aktørene faktisk etterlever plikten. Finanstilsynet uttalelser signaliserer også at hver enkelt bank har ansvar for tjenesteleverandørens utførelse, selv om den aktuelle tjenesten er en fellesløsning.
5.3 Meldeplikten
5.3.1 Oversikt
Ifølge finanstilsynsloven § 4c skal alle former for foretak som omfattes av loven, herunder banker, melde fra til Finanstilsynet ved inngåelse av avtale om utkontraktering av virksomhet, ved endring av slik avtale og ved bytte av oppdragstaker. Slik melding skal gis minst 60 dager før iverksettelsen av avtalen, avtaleendringen eller byttet av oppdragstaker. Hensikten bak mel- deplikten er at Finanstilsynet skal kunne kontrollere utkontrakteringen, og gripe inn dersom institusjonen setter bort oppgaver i strid med lov, eller på en måte som ikke er betryggende.187 Dette er bakgrunnen for at meldeplikten inntreffer før utkontrakteringen gjennomføres og at melding skal sendes i rimelig tid før gjennomføringen. Finanstilsynet har på denne måten mu- ligheten til å foreta reelle vurderinger av meldingene de mottar.
Det nærmere innholdet av meldeplikten utdypes i meldepliktforskriften. I forskriftens § 4 opp- stilles det en rekke innholdsmessige krav til meldingen som skal sendes inn til Finanstilsynet. Meldingen skal ifølge bestemmelsen inneholde ulike opplysninger om oppdragstaker, den ut- kontrakterte virksomheten, avtalen, ansvarshåndtering og risikovurdering.188 For utkontrakte- ring av IKT-virksomhet oppstilles det i tillegg krav om at meldingen skal inneholde utkontrak- teringsavtalen og styremøteprotokoll som viser at forholdet er behandlet av foretakets styre.
186 Ibid., 3.
187 Prop. 87 L (2013-2014) s. 73
188 Uavhengig av de nevnte avgrensningene fra meldeplikten i meldepliktforskriften §§ 2 og 3 skal alle foretak som omfattes av finanstilsynsloven § 1 ha en oppdatert oversikt over alle avtaler om utkontraktering, jf. mel- depliktforskriften § 1. Oversikten som foretakene plikter å oppbevare må inneholde de samme opplysningene som ellers kreves i henhold til forskriftens § 4.
5.3.2 «Kritisk eller viktig virksomhet»
Bankenes meldeplikt ble gjennom meldepliktforskriftens ikrafttredelse 1. januar 2022 begren- set til å kun gjelde utkontraktering av virksomhet som er «kritisk eller viktig» for foretaket, jf. forskriften § 3.189 Bestemmelsen innebærer at foretakene må foreta en konkret vurdering av den utkontrakterte funksjonens betydning for foretakets samlede virksomhet.190 Risikovurderingen som foretakene likevel må gjøre i forbindelse med en utkontrakteringsavtale, vil normalt danne tilstrekkelig grunnlag for å vurdere om avtalen er «kritisk eller viktig». Funksjoner som er sent- rale for styringen og kontrollen av foretakenes virksomhet vil her som hovedregel omfattes av meldeplikten. Vurderingen må likevel foretas konkret, slik at momenter som for eksempel av- talens varighet kan trekke i retning av at utkontrakteringen ikke er kritisk eller viktig.191
Ordlyden i meldepliktforskriften har en parallell til EBAs retningslinjer. I EBAs retningslinjer utgjør «critical or important functions» terskelen for hvilke bestemmelser i retningslinjene som gjelder. Utkontraktering av slike funksjoner medfører strengere saksbehandlingsregler enn ut- kontraktering av andre funksjoner.192 At det skal være meldeplikt for alle slike funksjoner er et nasjonalt valg innenfor rammen av retningslinjene.193 EBA oppstiller i den forbindelse detal- jerte vurderingsmomenter for å identifisere om deler av bankens virksomhet er «critical or im- portant». Finanstilsynets veileder påpeker også at det i praksis er momentene i EBAs retnings- linjer som danner utgangspunktet for om en utkontrakteringsavtale omfattes av meldeplikten.194
Essensen av EBAs vurderingstema for om en funksjon er “critical or important” er om: “a defect or failure in its performance would materially impair their continuing compliance with the conditions of their authorisation, (…) their financial performance or the soundness or con- tinuity of their banking and payment services and activities”.195 EBAs omtale viser at bankenes konsesjon, i likhet med kjerneoppgaveforbudet i finansforetaksloven § 13-4, utgjør en sentral del av vurderingen av om en funksjon er «kritisk eller viktig» for foretakets virksomhet. Et viktig aspekt som imidlertid skiller «kritisk eller viktig»-vurderingen fra kjerneoppgaveforbu- det, er at vurderingen knyttes opp til konsekvensene av «a defect or failure» av funksjonens
189 Den tidligere meldeplikten hadde unntak for IKT-utkontraktering som ikke "hadde betydning for foretakets virksomhet jf. IKT-forskriften § 1 jf. Forskrift 12.06.15 nr. 613 om unntak fra meldeplikt ved utkontraktering av virksomhet§ 2 nr 2.
190 Rundskriv 7/21 s. 13.
191 Rundskriv 7/21 s. 13.
192 Slik det omtales under EBAs «executive summary». Viser seg også gjennom konkrete regler, se for eksempel punkt 55 om strengere krav til dokumentasjon. Begrepet «critical or important functions» er å gjenfinne i andre europeiske rettsakter og guidelines.
000 XXX XX x. 62.
194 Rundskriv 7/21 s. 13.
195 EBA GL punkt 29 bokstav a.
utførelse. Vurderingen er dermed hypotetisk ved at vurderingstemaet blir om bankens konse- sjonsgrunnlag vil bli svekket dersom utførelsen av funksjonen feiler. Kjerneoppgaveforbudet retter seg på den annen side mot funksjoner som i seg selv svekker konsesjonsgrunnlaget der- som de utføres av andre enn bankene.
En funksjon vil videre være «kritisk eller viktig» dersom en feil i utførelsen av funksjonen svekker bankenes finansielle resultater eller bankens mulighet til å yte banktjenester. Dette kan altså være en vesentlig videre krets av funksjoner enn hva som regnes som kjerneoppgaver.
5.4 Oppsummering
Bankenes utkontraktering av virksomhet utløser ulike plikter i form av risikobaserte plikter og meldeplikt til Finanstilsynet om utkontrakteringsavtaler. De risikobaserte pliktene danner grunnlaget for å identifisere, redusere og styre risikomomenter og uforsvarligheter som kan oppstå ved utkontraktering. Bankenes meldeplikt danner på sin side grunnlaget for Finanstilsy- nets innsikt og kontroll med foretakenes utkontrakteringsavtaler.
6 Vurdering av utkontrakteringsregelverket
6.1 Innledning
Utkontrakteringsregelverket vil i det følgende vurderes slik det ble presentert under oppgavens del 3,4 og 5. Vurderingen vil basere seg på de ulike hensynene som reglene bygger på.196 Målet med vurderingen er å identifisere i hvilken grad regelverket er egnet til å fremme de positive- og redusere de negative effektene av utkontraktering. Det tas forbehold om at den følgende vurderingen er basert på oppgavens rettsdogmatiske analyse av regelverket og at det kan fore- ligge alternativ praksis hos Finanstilsynet eller bankene som ikke har blitt dekket av analysen.
Jeg vil først si noe kort om den overordnede strukturen i regelverket. Systemet i utkontrakte- ringsregelverket innebærer at bankene selv identifiserer både hvilke former for tjenesteutsetting som innebærer utkontraktering, hvilken risiko dette innebærer, og hvorvidt det utkontrakteres i konflikt med de lovfestede skrankene som ble omtalt under del 4. Finanstilsynets kontroll- og inngrepsmuligheter er til en viss grad avhengig av at bankene foretar korrekte vurderinger og melder fra om sine utkontrakteringsavtaler i samsvar med meldeplikten. Systemet baserer seg videre på at det utløses mer omfattende plikter, og etter hvert også skranker, i tråd med at risi- koen forbundet med utkontraktering øker.
196 Som nevnt under punkt 2.
Reglene bygger på at bankenes ulike funksjoner lar seg kategorisere basert på hvor sentral funk- sjonen er for bankens samlede virksomhet, og kan illustreres på følgende måte:197
Figuren kan bidra til å illustrere sammenhengen mellom funksjonenes viktighet og rettsvirk- ningene av at bestemte funksjoner utkontrakteres. Grensen mellom den blå og den grønne ringen illustrerer skillet mellom funksjoner som omfattes av meldeplikten i finanstilsynsloven
§ 4c og funksjoner som kan utkontrakteres uten å melde fra til Finanstilsynet. Begge kategori- ene for utkontraktering er likevel underlagt de samme prosessuelle reglene om utarbeidelse og oppbevaring av opplysninger i forbindelse med utkontraktering av virksomhet.198 I tråd med proporsjonalitetsprinsippet vil det likevel kunne stilles gradvis mer omfattende krav til utkon- traktering av funksjoner som lar seg plassere mer sentralt i figuren.199 Den innerste røde sirkelen illustrerer funksjoner som omfattes av kjerneoppgave-forbudet i finansforetaksloven § 13-4. Utkontraktering av slike funksjoner vil derfor anses om lovstridig utkontraktering.
6.2 Effektivitet og fleksibilitet
Som nevnt i del 2.2 har lovgiver sett det som ønskelig at bankene kan utkontraktere for å sikre effektivitet og fleksibilitet. Dette hensynet imøtekommes først og fremst gjennom regelverkets klare utgangspunkt om at banker kan utkontraktere deler av sin virksomhet. Generelt fremstår det som at foretakene har stor frihet til å organisere egen drift gjennom utkontraktering av funk- sjoner til andre. Her kan det vises til bankenes bruk av KiB-tjenesten og sparebankallianser som
197 Figuren illustrerer ikke det faktum at regelverket parallelt oppstiller skranker for omfanget av bankenes samlede utkontrakterte virksomhet og måten utkontrakteringen skjer på.
198 Jf. meldepliktforskriften § 1, jf. § 4.
199 EBA GL punkt 19.
eksempler på hvor utkontrakteringen aksepteres til tross for at det kan identifiseres flere nega- tive konsekvenser med disse ordningene.200
Et moment som likevel kan tenkes å virke dempende for foretakenes effektivitet og fleksibilitet er omfanget av plikter som oppstår når foretakenes utkontrakterer virksomhet. Det kan for ek- sempel tenkes situasjoner hvor foretak avstår fra å inngå tjenlige utkontrakteringsavtaler basert på at de ikke har ressurser nok til å sikre at de aktuelle pliktene etterleves. Det kan være res- surskrevende å vurdere og håndtere de ulike risikomomentene som kan oppstå ved utkontrak- tering. Det uklare rettskildebildet med to veiledere som ikke «snakker sammen» kan i denne sammenheng føre til at effektiviserende avtaler ikke inngås grunnet usikkerhet rundt regelver- ket. Finanstilsynets dialogbaserte tilsynspraksis vil likevel kunne bidra med å veilede banker i retning av tilstrekkelig etterlevelse av regelverket.201 Totalt sett, basert på analysene i denne oppgaven, er det neppe grunnlag for å si at utkontrakteringsregelverket i for stor grad hemmer effektivisering og fleksibilitet hos bankene.
6.3 Konsesjonssystemet, bankenes egenkontroll og tilsynets kontroll
Ivaretakelse av bankenes konsesjonsgrunnlag er som nevnt et sentralt hensyn bak utkontrakte- ringsregelverket.202 Skrankene for bankenes adgang til å utkontraktere eksisterer hovedsakelig for å ivareta konsesjonssystemet.203 I teorien bør kjerneoppgaveforbudet og forsvarlighetskra- vet i finansforetaksloven § 13-4 kunne anvendes for å hindre samtlige former for utkontrakte- ring som kan svekke konsesjonssystemet. Analysen ovenfor kan imidlertid gi inntrykk av at det skal ganske mye til før en utkontrakteringsavtale rammes av skrankene.
Problematikken rundt at utkontraktering kan svekke bankenes kontroll med funksjonene og de- res utførelse, imøtekommes for det første gjennom den grunnleggende regelen om at banker ikke kan utkontraktere seg bort fra plikter og ansvar, jf. finansforetaksloven § 13-4 tredje ledd.204 Kravene til løpende risikostyring vil også bidra til bankenes bevisstgjøring og kontroll med utkontrakterte funksjoner, jf. § 13-5 første ledd.
Den særlige utfordringen knyttet til bankenes kontroll som kan oppstå ved lange utkontrakte- ringskjeder, imøtekommes til en viss grad ved at meldepliktforskriften § 4 bokstav d krever at bankene har oversikt over underleverandører som bankens oppdragstaker bruker ved utførelse
200 Se del 4
201 F.eks. EBA GL punkt 64.
202 Se Del 2.4.5.
203 Se Del 4.
204 Også hvitvaskingsloven § 23 og IKT-forskriften § 12
av oppgaver på vegne av banken. Likevel er det et kjent problem at lange og uoversiktlige utkontrakteringskjeder i praksis gjør det utfordrende å danne en fullstendig oversikt over alle underleverandører i et utkontrakteringsforhold.205 Samtidig kan det likevel fremstå som utford- rende å håndtere problemet gjennom økt, eller annen, regulering av bankenes utkontrakterings- adgang.206
Bankenes meldeplikt i henhold til finanstilsynsloven § 4c vil i utgangspunktet medføre at Fi- nanstilsynet får tilgang til relevant informasjon om bankenes utkontrakterte virksomhet. Fi- nanstilsynets informasjonstilgang gjennom bankenes meldeplikt forutsetter likevel at bankene melder fra om sine «kritiske og viktige» utkontrakteringsavtaler. Meldepliktsystemet forutsetter også at bankene faktisk oppgir korrekt informasjon til Finanstilsynet om deres utkontrakterings- avtaler, og – kanskje viktigst – at bankene korrekt vurderer hvilke avtaler som er «kritiske og viktige».
Meldepliktsystemets avhengighet av bankenes innsats kan argumenteres for å være en av svak- het ved utkontrakteringsregelverket. Hvis bankene unnlater eller feilaktig vurderer om en ut- kontrakteringsavtale omfattes av meldeplikten, vil Finanstilsynet ha begrensede muligheter til å kontrollere utkontrakteringens forsvarlighet. Alternativet vil likevel være meget ressurskre- vende, ved at det hadde krevet Finanstilsynets kontroll av samtlige utkontrakteringsavtaler. Kost-nyttebetraktninger kan dermed tilsi at dagens meldepliktsystem utgjør det beste alternati- vet, til tross for systemets tilsynelatende svakheter.
Uttalelser fra Finanstilsynet kan likevel tyde på at bankene etterlever meldeplikten på en stadig mer tilfredsstillende måte:
«Meldingene Finanstilsynet mottar, er i stor grad av bedre kvalitet og mer omfattende, de- taljerte og fullstendige enn tidligere. Kvaliteten på foretakenes analyser og vurderinger av risiko forut for gjennomføring av IKT-utkontrakteringer viser også bedring. Kvaliteten på leverandøravtaler og foretakenes forankring av avtaler om utkontraktering i egen ledelse, viser også en positiv utvikling.»207
En mulig forklaring på at foretakene tilsynelatende etterlever utkontrakteringsregelverkets mel- deplikt på en stadig mer tilfredsstillende måte er at det ofte vil være i foretakenes egne interesser å innarbeide rutiner for å sikre forsvarlige utkontrakteringer. Banker vil naturligvis forsøke å unngå utkontraktering av virksomhet til oppdragstakere som ikke er tilstrekkelig kvalifisert.
205 FSB (2021) s. 3.
206 Ibid., 2.
207 Finanstilsynets ROS 2022 s. 47. Uttalelsene retter seg mot utkontraktering av IKT-virksomhet.
Slik utkontraktering kan lede til økt risiko for økonomisk tap gjennom svikt i oppdragstakerens utførelse av funksjonene. I samspill med ansvarsregelen i finansforetaksloven § 13-4 tredje ledd, medfører dette at bankene har et økonomisk insentiv til å foreta forsvarlige utkontrakte- ringer. Muligheten for økonomisk tap basert på tjenesteleverandørens feil og mangler medfører også et insentiv for føre kontroll med utførelsen av utkontrakterte funksjoner gjøres på en for- svarlig måte. Tilsynspraksis viser at Finanstilsynet aktivt håndhever ansvarsregelen og påpeker manglende rutiner for kontroll og oppfølging.208
6.4 Avhengighetsforhold og IKT-konsentrasjonsrisiko
Avhengighetsforhold kan utgjøre en uforsvarlighet i henhold til finansforetaksloven § 13-4. Dersom Finanstilsynet avdekker avhengighetsdannende utkontrakteringsavtaler, kan disse i ut- gangspunktet korrigeres med grunnlag i inngrepshjemmelen i finanstilsynsloven § 4c annet ledd. Karakteren av avhengighetsforhold som problem innebærer likevel at avhengighetsdan- nende utkontrakteringsavtaler burde stanses på et stadium før en eventuell avtaleinngåelse. Dette henger sammen med at skadene allerede har skjedd dersom avhengighetsforholdene først har oppstått ved at det kan være utfordrende å løsrive seg fra eksisterende avhengighetsfor- hold209
Utkontrakteringsregelverket inneholder i den forbindelse ulike mekanismer som kan bidra til at avhengighetsdannende avtaleinngåelser ikke oppstår. For det første vil foretakenes risikovur- deringsplikt i meldepliktforskriften § 4 bokstav f kunne øke foretakenes bevissthet rundt mulige dannelser av avhengighetsforhold. For det annet vil meldepliktordningen i finanstilsynsloven § 4c kunne bidra med at avtaler korrigeres før de iverksettes, ved at Finanstilsynet foretar vurde- ringer og kontroll av utkontrakteringsavtalene.
Det kan likevel fremstå som at hensynet til å motvirke avhengighetsforhold stadig kommer i konflikt med, og nedprioriteres til fordel for hensynet til effektivitet. Dette virker tilsynelatende å være tilfellet for bankenes deltakelse i teknologiske fellesløsninger og utkontraktering av da- talagringsfunksjoner til skytjenestelevernadører. Opparbeidelsen av fellesløsninger for finans- bransjen har blitt stadig mer utbredt og bygger særlig på to argumenter - effektivisering og sikkerhet.210På den annen side medfører fellesløsninger økt konsentrasjonsrisiko.211Selv om fellesløsninger bidrar til økt sikkerhet, vil det fremdeles være muligheter for at fellesløsningene
208 Tilsynsrapport 21/668 Eidsberg Sparebank s. 25.
209 FSB (2021) s.3.
210 Norges bank (2017) Finansiell infrastruktur s. 5.
211 Finanstilsynets ROS 2022 s. 49
blir satt ut av drift. Resultatet vil da være at alle deltakerne rammes samtidig. Fra et systemper- spektiv kan dette få alvorlige konsekvenser.
Bankenes risikovurderinger kan bidra til å forhindre former for utkontraktering som medfører konsentrasjonsrisiko som retter seg mot hver enkelt bank.212 Konsentrasjonsrisiko har likevel også en side som retter seg mot det finansielle systemet direkte. I et IKT-perspektiv kan dette omtales som «IKT-konsentrasjonsrisiko»213. Denne formen for konsentrasjonsrisiko lar seg ikke motvirke gjennom bankenes risikobaserte plikter på samme måte som konsentrasjonsrisiko som retter seg direkte mot hver enkelt aktør. Dette henger sammen med at hver enkelt bank mangler innsikt i konsentrasjonsrisikoen som strekker seg på tvers av det finansielle syste- met.214 Videre er det uvisst om bankene kunne gjort noe nevneverdig med problemet selv om denne informasjonen hadde vært tilgjengelig.215
IKT-konsentrasjonsrisiko er foreløpig lite berørt i utkontrakteringsregelverket. Digitaliserings- prosessens dynamiske preg gjør det i tillegg utfordrende å forhindre økningen av IKT-kon- sentrasjonsrisiko gjennom lovgivning.216 Samtidig kan IKT-konsentrasjonsrisiko vanskelig håndteres på andre måter enn nettopp korrigerende tiltak fra myndighetene. I den forbindelse kan det trekkes paralleller mellom oppbyggingen av IKT-konsentrasjonsrisiko og det rettsøko- nomiske konseptet om allmenningens tragedie.217 Allmenningens tragedie brukes som en be- skrivelse om en tilstand der en felles ressurs blir sterkere belastet enn det som er samfunnsøko- nomisk gunstig. Den enkelte aktør vil bare regne med den fortjeneste han selv kan oppnå ved å benytte fellesressursen og ikke nedgangen i fortjeneste som andre brukere av ressursen vil opp- leve. Fellesressursen som overbelastes i vår kontekst er IKT-tjenester og belastningen skjer gjennom bankenes utkontraktering til tjenestetilbyderne. Konsentrasjonsrisikoen for det finan- sielle systemet vil gradvis øke gjennom at flere banker benytter seg av samme tjenenesteleve- randør. Hver enkelt aktør har imidlertid ikke insentiv eller mulighet til å hensynta annen risiko enn den som direkte retter seg mot deres egen virksomhet.
Selv om økt IKT-konsentrasjonsrisiko er et resultat av ulike faktorer, så utgjør bankenes utkon- traktering en medvirkende faktor. Det kan derfor tenkes at utkontrakteringsadgangen for banker kan reguleres på en måte som kan bidra til å redusere IKT-konsentrasjonsrisiko. Et nyttig vir- kemiddel for å forstå omfanget av systemrisikoen vil kunne være å kartlegge finansielle og
212 F.eks. gjennom valg av en alternativ oppdragstaker som et risikoreduserende tiltak basert på risikovurderings- momentene i EBA GL punkt 66 bokstav a.
213 Begrepet introduseres i den foreslåtte DORA-forordningen artikkel 3 nr. 21 «ICT concentration risk».
214 Peihani (2022) s. 156.
215 Ibid.
216 Ibid., 141.
217 Eide og Stavang (2018) s. 168.
teknologiske forbindelser på tvers av det finansielle systemet.218 En slik kartlegging vil kunne bidra til å synliggjøre mulige sårbarheter for det finansielle systemet som ellers ikke ville blitt oppdaget gjennom foretakenes individuelle risikovurderinger. Bevissthet rundt slike sårbarhe- ter kan videre brukes for styrke motstandskraften der det er særlig behov for tiltak.
Meldepliktordningen kan danne et godt utgangspunkt for Finanstilsynets muligheter til å foreta slik kartlegging.219 I Finanstilsynets risiko- og sårbarhetsanalyse for 2022 virker det som at det allerede foreligger innsikt i relevante sårbarheter for det finansielle systemet som stammer fra utkontraktering av IKT-virksomhet.220 Det pekes blant annet på konsentrasjonsrisikoen som stammer fra finansbransjens fellesløsninger, herunder bankenes felles operasjonelle infrastruk- tur (FOI), BankID, BankAxept og økende bruk av skytjenester.221
Det interessante spørsmålet er om regulering av utkontrakteringsadgangen kan bidra til å redu- sere disse identifiserte sårbarhetene og eventuelt på hvilken måte. En mulighet er å bruke infor- masjonen fra kartleggingsprosessen til å «de-konsentrere» utkontrakteringsforhold på tvers av finansbransjen. I teorien kan dette gjennomføres med å dele opp finansbransjens fellesløsninger og begrense antallet banker som kan bruke samme tjenesteleverandør. Dette vil likevel være utfordrende å gjennomføre i praksis. En oppdeling av fellesløsninger vil for det første være kontraintuitivt i et effektiviseringsperspektiv. For det andre vil begrensninger i antall banker hos samme tjenesteleverandør trolig kreve betydelige avtalemessige inngrep fra myndighetene.
Forslaget til DORA-forordningen inneholder i denne sammenheng nytenkende metoder for å motvirke ulike former for IKT-risiko, herunder problemet med konsentrasjonsrisiko som nevnt over. En viktig erkjennelse ved regulering av ulike former for IKT-risiko er likevel at forebyg- ging av IKT-risiko ikke er et resultat eller en slutt-tilstand som det kan forventes at banker kan oppnå.222 Forebyggingen er en kontinuerlig prosess for å forbedre og tilpasse seg ettersom nye former for IKT-risikoer vil utvikle seg. Bestemmelsene i den kommende forordningen er derfor preget av denne tilnærmingen. Det innebærer blant annet at strategien i forordningen hovedsa- kelig er å gjøre finansnæringen motstandsdyktige overfor IKT-risikoer.223Samtidig har forord- ningen som hensikt å fremme homogene og enhetlige regler om risikostyring på IKT-relaterte områder, herunder om utkontraktering.
218 Peihani s. 153
219 Finanstilsynsloven § 4c.
220 ROS 2022 s. 49
221 Ibid.
222 Peihani (2022) s.150.
223 I tråd med den foreslåtte forordningens navn: Digital operational «resilience» act. På norsk: forordning om digital operasjonell «motstandsdyktighet».
Den foreslåtte DORA-forordningens mest nytenkende bidrag til å imøtekomme IKT-konsentra- sjonsrisiko består trolig av forslaget om å opprette et tilsynsrammeverk for kritiske IKT-tjenes- televerandører.224. Det foreslåtte rammeverket er nytenkende ved at det vil medføre at ikke- finansielle tredjepartsleverandører blir underlagt finansregulatoriske regler og tilsyn.225 En di- rekte kontroll med bankenes kritiske tjenesteleverandører vil kunne utgjøre et effektivt virke- middel for å bidra til det leveres mer driftssikre og forsvarlige tjenester til bankene.226Det fore- slåtte tilsynssystemet vil også kunne gjøre det enklere å kartlegge IKT-konsentrasjonsrisiko på tvers av landegrenser i Europa. Samlet sett kan det derfor fremstå som at DORA-forordningen kan utgjøre et bra tilskudd for å imøtekomme utkontrakteringsregelverkets største svakhet – håndteringen av IKT-konsentrasjonsrisiko.
6.5 Konklusjon
På grunnlag av den foretatte vurderingen av utkontrakteringsregelverket kan det for det første pekes på at reglene til en viss grad er egnet til å fremme de positive og redusere de negative effektene som utkontraktering kan medføre. Bankene tilkjennes med andre ord en vid adgang til å organisere egen drift gjennom utkontraktering. Effektivitetsfordelene som er tilgjengelig for bankene gjennom utkontraktering kan dermed i stor grad utnyttes uten nevneverdig hinder fra regelverket.
På den annen side kan det pekes på at utkontrakteringsinstituttets særskilte risikomomenter stort sett blir adressert av regelverkets skranker og plikter. Det kan likevel pekes på noen forhold ved utkontrakteringsregelverkets oppbygging og utforming som medfører, eller kan medføre, at re- gelverket feiler med å imøtekomme de mulige negative effektene av utkontraktering.
Det første forholdet retter seg mot at utkontrakteringspraksis blant bankene kan gi inntrykk av at effektivitetshensynet gjennomgående blir prioritert foran hensynene om å imøtekomme de negative effektene av utkontraktering. De kryssende hensynene kan spores tilbake til den ibo- ende konflikten mellom aktørenes ønske om effektivitet og målsetningen om finansiell stabilitet og velfungerende markeder. Problematikken kan derfor sies å prege det finansielle systemet generelt og har sammenheng med mer overhengende politiske tendenser i samfunnet. Det kan derfor stilles spørsmål om hva som faktisk er politisk ønskelig med utkontrakteringsregelverket. Det fremstår imidlertid som at regelverket med fordel kan bli praktisert mer intenst hvor det faktisk avdekkes overtredelser av utkontrakteringsregelverket.
224 XXXX-proposal artikkel 28-39.
225 XXXX-proposal artikkel 31-33.
226 Peihani (2022) s. 156.
Videre kan det pekes på meldepliktsystemets avhengighet av at bankene korrekt vurderer hvilke avtaler som Finanstilsynet skal kontrollere. Det kan fremstå som paradoksalt at det nettopp er bankene som pålegges å identifisere om deres utkontrakteringsforhold er verdig Finanstilsynets kontroll. Paradokset består av at det økte fokuset på finansiell stabilitet og detaljregulering kan spores tilbake til bankenes opportunistiske holdninger og risikotaking i forkant av finanskrisen i 2008.227 Det kan derfor fremstå som kontra-intuitivt å plassere de samme opportunistiske ak- tørene i «førersetet» for å avgjøre hvilke former for utkontraktering som er risikabelt nok for at utkontrakteringsregelverkets plikter og skranker får anvendelse. Som nevnt vil det likevel være vanskelig å imøtekomme meldepliktsystemets svakheter uten at det medfører en uforholdsmes- sig stor belastning for Finanstilsynets kontroll av bankene.
Avslutningsvis kan det pekes på at regelverket har vist seg å ikke være i stand til å følge «tem- poet» til den hyppige digitaliseringen av finansbransjen. Dette har blant annet bidratt til frem- veksten av omfattende digitale tilknytningsforhold på tvers av det finansielle systemet i form av IKT-konsentrasjonsrisiko. For å imøtekomme IKT-konsentrasjonsrisikoens trussel for sys- temkriser, har det derfor oppstått et skifte i lovgivningsstrategien fra å forhindre IKT-risiko til å heller gjøre finansnæringen motstandsdyktige. Det blir interessant å følge med på hvilken effekt den foreslåtte DORA-forordningen vil ha for bankenes utkontrakteringspraksis og om den vil kunne holde problematikken med IKT-konsentrasjonsrisiko i sjakk.
227 Myklebust (2011) s. 50.
7 Kildeliste
EU-rettsakter:
Directive 2009/138/EC
Directive 2013/36/EU
Directive 2009/138/EC of the European Parliament and of the Council of 25 November 2009 on the taking-up and pursuit of the business of Insurance and Reinsurance (Solvency II) (recast) (Text with XXX xxxx- xxxxx).
Directive 2013/36/EU of the European Parliament and of the Council of 26 June 2013 on access to the activity of credit institutions and the prudential supervision of credit institutions and investment firms, amending Directive 2002/87/EC and repealing Directives 2006/48/EC and 2006/49/EC.
Regulation (EU) No 1093/2010
Regulation (EU) No 1093/2010 of the European Parliament and of the Council of 24 November 2010 establishing a European Supervisory Authority (European Banking Authority), amending Decision No 716/2009/EC and repealing Commission Decision 2009/78/EC.
Regulation (EU) No 575/2013
Regulation (EU) No 575/2013 of the European Parliament and of the Council of 26 June 2013 on prudential requirements for credit institu- tions and investment firms and amending Regulation (EU) No 648/2012 Text with EEA relevance.
XXXX-proposal Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the fi- nancial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014.
EBA/GL/2019/02 Final Report on EBA Guidelines on outsourcing arrangements 25 Feb- ruary 2019 (EBA/GL/2019/02).
Lover og forskrifter:
1956 Lov 7. desember 1956 nr.1 om tilsynet med finansforetak mv. (finans- tilsynsloven).
1988 | Lov 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitu- sjoner (finansieringsvirksomhetsloven). |
2006 | Lov 19. mai nr. 19 om rett til innsyn i dokument i offentleg verksemd (offentleglova). |
2015 | Lov 10. april 2015 nr. 17 om finansforetak og finanskonsern (finans- foretaksloven). |
2018 | Lov 1. juni 2018 nr. 23 om tiltak mot hvitvasking og terrorfinansiering (hvitvaskingsloven). |
2003 | Forskrift 21. mai 2003 nr. 630 om bruk av informasjons- og kommu- nikasjonsteknologi (IKT). |
2015 | Forskrift 5. juni 2015 nr. 613 om unntak fra meldeplikt ved utkontrak- tering av virksomhet. |
2021 | Forskrift 15. september 2021 nr. 2777 om meldeplikt ved utkontrakte- ring av virksomhet mv |
Forarbeider:
NOU 2011:8 B Ny finanslovgivning Lov om finansforetak og finanskonsern Utred- ning nr. 24 fra Banklovkommisjonen.
Prop. 87 L (2013-
2014)
Endringer i børsloven og verdipapirhandelloven mv. og lov om kreditt- vurderingsbyråer.
Prop. 125 L
(2013-2014)
Meld. St. 24
(2018–2019)
Finanstilsynet 2014
Lov om finansforetak og finanskonsern (finansforetaksloven).
Gjennomføring av CRD IV i norsk regelverk, Høringsnotat og for- skriftsforslag. [ xxxxx://xxx.xxxxxxxxxxx.xx/xxxxxx- tassets/e36394fbee644e189699f846d7d46999/horingsnotat_crdiv.pdf
]
Rettsavgjørelser fra Høyesterett:
Rt. 2000 s. 1811 Finanger 1
Rt. 2013 s. 1601
Rettsavgjørelser fra EU-domstolen:
Sak C-322/88 Xxxxxxxxx Xxxxxxxx v Fonds des maladies professionnelles ( Occupational
Diseases Fund ).
Sak C-370/12 Xxxxxx Xxxxxxx v Government of Ireland and Others.
Sak C-8/15 P Ledra Advertising Ltd and Others v European Commission and European Central Bank (ECB).
Sak C-911/19 Fédération bancaire française (FBF) v Autorité de contrôle prudentiel et de
résolution (ACPR).
Forvaltningspraksis og rundskriv:
Finanstilsynet. mai 2022.
Finanstilsynet. 24.12.2021.
Finanstilsynet. 21.12.2021.
Finanstilsynet. 25.6.2019.
Finanstilsynet. 29.9.2022.
Finanstilsynet. 27.10.2022.
Finanstilsynet. 28.10.2022.
Finanssektorens bruk av informasjons- og kommunikasjonsteknologi (IKT) - Risiko- og sårbarhetsanalyse (ROS) 2022.
Hvitvaskingstilsyn av tjenesten "Kontant i butikk", Tematilsyn 2021.
Veiledning om utkontraktering, Rundskriv 7/2021.
Tilsyn av Surnadal Sparebank, Tilsynsrapport 18/12687.
Tilsyn av Eidsberg Sparebank, Tilsynsrapport 21/668.
Tilsyn av Sparebanken Sogn og Fjordane, Tilsynsrapport 21/11746.
Tilsyn av Santander Consumer Bank, Tilsynsrapport 21/6151.
Litteratur:
Xxxxxxxxxxx, Xxxxxxx. "Utkontraktering Fra Finansforetak." Lov Og Rett 54, no. 7 (2015): 383-
402.
Xxxxxxxxx, Xxxxx. Innføring I Finansmarkedsrett. Bergen: Fagbokforl, 2011.
Xxxxxxx, Xxxxx. "The 2013 Capital Requirements Directive IV and Capital Requirements Regulation: Implications and Institutional Effects." Zeitschrift Für öffentliches Recht (Vienna, Austria : 1996) 71, no. 3 (2016): 385-423.
Xxxxxxxx, Xxxxxx, and Xxxxxx Xxxxxxxxx. "Suverenitet Og Homogenitet." Lov Og Rett 57, no. 3 (2018): 131-57.
Xxxxxxx, Xxxxxx Xx and Xxxx, Xxxxxxxxx in Europe in Crisis : A Structural Analysis. Xxxxxx, Xxxxx Xxxxxx. 1st Ed. 2016. ed. London: Palgrave Macmillan UK : Imprint: Palgrave Macmil- lan, 2016.
Xxxxxx, Xxxx Xxxxxx. "Vanlig Juridisk Metode? Om Rettsdogmatikken Som Juridisk Sjanger."
Tidsskrift for Rettsvitenskap 121, no. 2 (2008): 149-78.
Xxxxxxx, Xxxxxxxxxxx X. "Om Rettspolitikk." Kritisk Juss (Online) 38, no. 3-04 (2017): 139-157.
Xxxxxxx, Xxxxxx. "Regulation of Cyber Risk in the Banking System: A Canadian Case Study." Journal of Financial Regulation, 2022, Journal of Financial Regulation, 2022: 139-161.
Xxxxxx, Xxx. «Rettens kilder og anvendelse.» I Juridisk metode og tenkemåte. Xxx Xxxxxx Xxx- xxxx og Xxxx Xxxxxxxxx Xxxxx red., Oslo: Universitetsforlaget, 2019, s. 77-113.
Xxxxxxx, Xxxxxxxxxxx X. «Forvaltningspraksis som rettskildefaktor.» I Juridisk metode og ten- kemåte. Xxx Xxxxxx Xxxxxxx og Xxxx Xxxxxxxxx Xxxxx red., Oslo: Universitetsforlaget, 2019, s. 293-332.
Xxxx, Xxxxxx, and Xxxxx Xxxxxxx. Rettsøkonomi. 2. Utg. ed. Oslo: Cappelen Damm Akade- misk, 2018.
Nettsider:
Datatilsynet. Skytjenetser (23.06.2018). [xxxxx://xxx.xxxxxxxxxxxx.xx/xxxxxxxxxx-xx-xxxxx-xx- rader/internett-og-apper/skytjenester/] [Henvist 19.11.2022]
DNB. Kontanttjeneste i butikk (u.å). [xxxxx://xxx.xxx.xx/xxxxxxxxxx/xxxxxxxxx/xxxxxxx-x-xx- tikk] [Henvist 19.11.2022]
Sparebankforeningen. Medlemmer (u.å). [xxxxx://xxx.xxxxxxxxxxxxxxxxxxx.xx/xxxxxx-xx-xxxx- telser/medlemmer/] [Henvist 20.11.2022]
EIKA. Om EIKA-gruppen (u.å.). [xxxxx://xxxx.xx/xxxx-xxxxxxxxx/xxxxxxxxxxx] [Henvist 20.11.2022]
EIKA. Lokalbanker (u.å). [ xxxxx://xxxx.xx/xxxx-xxxxxxxxx/xxxxxxxxxxx ] [Henvist 20.11.2022]
Finanstilsynet. Samfunnsoppdraget (8.8.2022). [xxxxx://xxx.xxxxxxxxxxxxxx.xx/xx-xxxxxxxxxxx- net/samfunnsoppdraget/ ] [Henvist 20.11.2022]
Synergy Research Group. Q3 Cloud Spending Up Over $11 Billion from 2021 Despite Major Headwinds; Google Increases its Market Share (27.10.2022). [ xxxxx://xxx.xxxxxxx- xxxx.xxx/xxxxxxxx/x0-xxxxx-xxxxxxxx-xx-xxxx-00-xxxxxxx-xxxx-0000-xxxxxxx-xxxxx-xxxxxxxxx- google-increases-its-market-share ] [Henvist 22.11.2022]
Finans Norge. Et forventet angrep mot Norge (29.6.2022). [ xxxxx://xxx.xxxxxxxxxxx.xx/xxxx- elt/nyheter/2022/06/et-forventet-angrep-mot-norge/ ] [Henvist 22.11.2022]
ESRB. Systemic cyber risk (Februar 2020). [ xxxxx://xxx.xxxx.xxxxxx.xx/xxx/xxx/xx- ports/esrb.report200219_systemiccyberrisk~101a09685e.en.pdf ] [Henvist 23.11.2022]
FSB. Regulatory and Supervisory Issues relating to Outsourcing and Third-Party Relationships
- Overview of Responses to the Public Consultation (14.06.2021). [ xxxxx://xxx.xxx.xxx/xx- content/uploads/P140621.pdf ] [Henvist 23.11.2022]
Proff. Eika Gruppen AS - Aksjeposter (u.å). [ xxxxx://xxxxx.xx/xxxxxx%X0%X0xxx/-/xxxx-xxxx- pen-as/979319568 ] [Henvist 24.11.2022]