Tilsynsrapport

KRAVIA AS Postboks 5788 Torgarden 7437 TRONDHEIM
VÅR REFERANSE	DERES REFERANSE		DATO
22/14347			26.01.2024

Tilsynsrapport

1. Innledning

Xxxxxx AS (911 611 163) fikk bevilling til å drive fremmedinkassovirksomhet 18. mars 2013, da under navnet Bonitet AS. Foretaket byttet i 2018 navn til Xxxxxx AS etter oppkjøp fra Kravia Gruppen (914 569 141) i 2017.

Finanstilsynet har gjennomført tilsyn av både inkassovirksomheten og IT-virksomheten til Kravia AS. Tilsynet ble gjennomført i foretakets lokaler i Bergen i perioden 6. til 9. februar 2023.

Tilsynsmøtet ble innledet med at foretaket ga en presentasjon av organiseringen av inkassovirksomheten, og systemet for og gjennomføringen av internkontrollen.

Tilsynet har omfattet gjennomgang av foretakets risikovurderinger, internkontroll, generelle rutiner for inndrivelsesprosessen, styreprotokoller for 2020 til 2023, rutiner for avstemming av klientmidler, etterlevelsen av risikostyringsforskriften og inkassoloven § 6, samt en gjennomgang av saksuttrekk fra inkassosystemet for en avgrenset periode. Videre omfattet tilsynet gjennomgang av IT-virksomheten for å kontrollere etterlevelse av kravene i IKT-forskriften.

Rapporten er basert på foretakets innsendte dokumentasjon i forkant av og under tilsynsmøtet, foretakets rapporteringer til Finanstilsynet, og en omfattende korrespondanse i etterkant av tilsynsmøtet.

Del I Inkassotilsyn

2. Saksbehandlingskontroll

2.1 Sammenslåing av krav

Det følger av Finanstilsynets rundskriv 1/2018 punkt 3 at når inkassoforetaket får oversendt to eller flere krav fra samme fordringshaver mot samme skyldner, og kravene er på samme stadium i innfordringsprosessen, skal kravene som utgangspunkt slås sammen før betalingsoppfordring sendes. Det er ikke nødvendig å slå sammen to krav hvis betalingsoppfordring allerede er sendt for det ene kravet når det andre mottas til inkasso. Dersom inkassoforetaket har brutt kravet til sammenslåing, skal inkassosalæret frafalles i alle saker som skulle ha vært slått sammen, jf. rundskrivet punkt 7.

Finanstilsynet fant en rekke saker som isolert sett oppfylte kravene til sammenslåing etter hovedregelen, men som likevel var inndrevet i separate saker. På denne bakgrunn ba Finanstilsynet

FINANSTILSYNET

Revierstredet 3

Postboks 1187 Sentrum

0107 Oslo

Telefon 00 00 00 00

xxxx@xxxxxxxxxxxxxx.xx xxx.xxxxxxxxxxxxxx.xx

Saksbehandler

Xxx Xxxxxxxx

Dir. tlf. 00 00 00 00

foretaket om å foreta en nærmere kartlegging av hvor mange saker som var rammet av avviket. Etter en lengre korrespondanse med foretaket ble det klart at det var 902 saker som ikke var sammenslått, men som skulle ha vært det i henhold til rundskrivet. Som del av opprettingen har foretaket tilbakeført 165 168,12 kroner til skyldnerne i de aktuelle sakene. De øvrige sakene er rettet ved nedjustering av salær og at det er sendt nytt inkassovarsel i sakene som ikke var gjort opp.

Foretaket redegjorde først for at årsaken til avviket en "begrensning" i systemet (dupliserte skyldnerkort). Foretaket opplyste om at det var identifisert, gjennomført og planlagt flere tiltak for å avverge feilen fremover. I forbindelse med senere oppfølging av saksforholdet har foretaket opplyst om en ny årsak til hvorfor krav ikke hadde blitt korrekt sammenslått; mangelfull håndtering av returpost, kombinert med xxxxxxx brevutsendelse.

Foretaket har opplyst at det er iverksatt tiltak for å avverge tilsvarende feil fremover. Finanstilsynet tar dette til etterretning.

2.2 Duplikate fakturaer

Under oppfølgingen av tilsynet viste Finanstilsynet til avviksrapporter fra februar 2020, november 2021, desember 2021, januar 2022 og februar 2022 hvor det fremkom at det var avdekket inndrivelse av duplikate fakturaer (samme krav registrert dobbelt). Som det fremkommer av avviksrapportene, har foretaket avdekket både enkeltstående tilfeller og at det var gjort dobbeltregistreringer på en sammenhengende rekke saker (opp mot 250 saker).

I denne forbindelse ba Finanstilsynet om nærmere redegjørelse for avvikene, herunder om avviksrapportene hadde igangsatt større kartlegginger for å identifisere flere tilfeller av duplikate krav. Det ble også stilt spørsmål om hvilke kontrolltiltak som var opprettet for å avverge registrering og inndrivelse av duplikate krav, ettersom dette ikke fremkom av oversendt internkontrolldokumentasjon.

Foretaket har opplyst at det i etterkant av tilsynet har foretatt en kartlegging hvor det fremkom ytterligere 29 saker som var registrert med duplikate fakturaer. I 15 av de 29 sakene var det foretatt innbetalinger på duplikate krav. Innbetalingene har i ettertid blitt tilbakeført.

Etter det opplyste var 7 av de gjenstående 14 sakene allerede rettet før kartleggingen, ved tilbakeføring av for mye betalt til skyldner. Etter hva Finanstilsynet forstår, utarbeidet ikke foretaket avviksrapporter for disse avvikene da de ble identifisert og rettet. I forbindelse med tilbakeføringen har foretaket tatt tilbakeføringsgebyr. Finanstilsynet understreker at det ikke er anledning til å kreve tilbakeføringsgebyr når det er inkassoforetaket som er skyld i overbetalingen, jf. punkt 2.3 i denne rapporten. Foretaket har bekreftet at disse gebyrene nå er tilbakeført til de aktuelle skyldnerne.

Foretaket har opplyst at avvikene skyldes integrasjonsfeil eller feil ved den manuelle registreringsprosessen. Det opplyses videre om at det nå er etablert kontrollfunksjoner og tilgangsstyring som skal hindre registrering av duplikate fakturaer, og risikoen er identifisert i foretakets risiko- og internkontrollsystem.

2.3 Behandling av overbetalinger – tilbakeføringsgebyr

Som en konsekvens av at skyldnere (lovmessig) mottar flere kravbrev for samme krav i en inndrivelsesprosess, hender det at skyldner betaler samme krav flere ganger. Det hender også at en skyldner fortsetter å betale på nedbetalingsavtaler etter at kravet er nedbetalt. I andre tilfeller betaler

skyldner et høyere beløp enn kravets pålydende inkludert inkassoomkostningene. I slike tilfeller skal inkassoforetaket tilbakeføre det overskytende beløpet til skyldneren. Hvis skyldner har andre udekkede krav hos inkassoforetaket, kan beløpet i stedet benyttes til å dekke disse, når vilkårene for motregning er til stede og kravene ikke er bestridt.

Når inkassoforetaket tilbakefører et beløp, vil banken som regel avkreve inkassoforetaket for transaksjonsgebyr. Dette transaksjonsgebyret kan inkassoforetaket kreve dekket av skyldner, samt eventuelle andre timelige utgifter inkassoforetaket har ved å returnere midlene. Beløpet det kreves dekning for skal beregnes konkret og kan ikke bygge på en generell gebyrfastsettelse. Det er likevel lagt til grunn i tilsynspraksis at foretakene av effektivitetshensyn kan avkreve et standard beløp i forbindelse med tilbakeføringen dersom denne kostnaden erfaringsmessig er relativt lik i de fleste tilbakeføringstilfellene. Dette innebærer også at dersom overbetalingen er lavere enn tilbakeføringskostnadene, er det ikke nødvendig å sette i verk tilbakeføringen fordi dette i teorien kunne påført skyldner ytterligere kostnader. Det er uansett en absolutt forutsetning for å holde tilbake et tilbakeføringsgebyr at det er skyldner selv som er ansvarlig for overbetalingen. Dette betyr at dersom skyldner har foretatt en overbetaling fordi for eksempel inkassoforetaket har avkrevd et for høyt beløp eller fortsatt pågang på fullbetalte saker, så er det ikke anledning til å kreve erstattet tilbakeføringskostnadene.

I forbindelse med gjennomgangen av foretakets avstemmingsrutiner etterspurte Finanstilsynet saldolister som viste klientansvaret i enkeltsaker. Foretaket opplyste da at saldolister ikke inngikk i ordinære kontroller av avstemminger. Xxxxxxxxxxx ble fremlagt under tilsynsmøtet og kontrollert av Finanstilsynet. Gjennomgangen av saldolistene viste en rekke saker med overdekninger, og disse sakene ble nærmere undersøkt av Finanstilsynet i foretakets saksbehandlingssystem.

Finanstilsynet avdekket at foretakets rutiner for å holde tilbake gebyr ved tilbakeføringer ikke var i samsvar med regelverket. For eksempel foretok Xxxxxx en tilbakeføring med ett tilbakeføringsgebyr (fastsatt av foretaket til kr 100) per innbetaling fra skyldner. Det vil si at dersom skyldner foretok flere innbetalinger (overbetalinger) på samme dag, ble ikke saldo sett under ett når tilbakeføring skulle gjennomføres i ettertid av innbetalingene, og foretaket gjennomførte derfor flere etterfølgende tilbakeføringer enn nødvendig. Konsekvensen av dette var følgelig at foretaket holdt tilbake flere tilbakeføringsgebyr enn nødvendig.

Videre var rutinen at dersom skyldner foretok en innbetaling som var lavere enn tilbakeføringsgebyret (for eksempel kr. 90), ble dette beløpet beholdt og inntektsført av foretaket. Imidlertid ble det også beholdt nytt beløp (kr. 100) til dekning av tilbakeføringen dersom det ble foretatt ny innbetaling på saken, selv om foretaket kun hadde hatt kostnader ved én tilbakeføring i saken. I praksis betyr dette at foretaket holdt tilbake kr. 190 i forbindelse med én tilbakeføring, hvilket er et høyere beløp enn hva foretaket selv har beregnet at kostnadene ved tilbakeføringer utgjør. Finanstilsynet påpekte i denne forbindelse at inkassoforetakene må akkumulere overbetalingene i disse tilfellene, og påse at det ikke holdes tilbake for høye beløp til dekning av tilbakeføringskostnader.

Foretaket har erkjent at det ikke har hatt kontroller for disse tilfellene, og at dette er årsaken til avvikene. Ettersom foretaket har funnet at det ikke er tilstrekkelig systemstøtte i saksbehandlingssystemet for korrekt håndtering, er det besluttet å ikke lenger holde tilbake tilbakeføringsgebyr. Foretaket har også gjennomført en kartlegging av saker hvor det er holdt

tilbake for mye til dekning av tilbakeføringskostnader, og har som resultat av dette tilbakeført totalt 2 755,40 kroner til skyldnere i åtte saker.

2.4 Slettet/konkurs oppdragsgiver

Konkurs innebærer at alle virksomhetens eiendeler blir beslaglagt til fordel for kreditorene, og alle som opptrer på vegne av virksomheten, mister umiddelbart råderetten over eiendelene, jf. konkursloven § 100 og avtaleloven § 23. Virksomhetens utestående fordringer anses å være en slik eiendel. Råderetten over eiendelene overføres til konkursboet ved bostyreren. Dette innebærer at dersom et inkassoforetak skal fortsette inndrivingen av et utestående krav som eies av en konkurskreditor og som inngår i boet, må det inngås avtale om dette med bostyrer.

Finanstilsynet avdekket en aktiv sak i foretakets saksbehandlingssystem hvor det var registrert merknad om at kreditor var slettet 23. desember 2020, det vil si en relativt lang tid før tilsynet ble gjennomført. Foretaket har redegjort for at årsaken til at det var fortsatt inndrivelse på vegne av slettet oppdragsgiver, var at det ikke forelå noen kontroller for dette i dagjeldende internkontrollsystem. Foretaket har videre redegjort for at det er inndrevet krav på vegne av 45 oppdragsgivere etter sletting/konkursåpning uten at det har vært avtale med boet om videre inndrivelse. I forbindelse med tilsynet har foretaket derfor tilbakeført 40 273,29 kroner som skyldnere har innbetalt i de aktuelle sakene.

Foretaket erkjenner at rutinen for å avdekke konkurs eller sletting på oppdragsgiversiden ikke har vært tilstrekkelig, og at dette er årsaken til at avvikene ikke ble oppdaget før tilsynet.. For å avverge nye avvik fremover har foretaket innført ny rutine i saksbehandlingssystemet med direkte integrasjon mot Brønnøysundregistrene som skal gi daglig beskjed om sletting/konkurs. Foretaket har også bekreftet overfor Finanstilsynet at det er innført halvårlige kontroller av at ny rutine fungerer etter sin hensikt.

2.5 For kort tid mellom utsendt inkassovarsel og betalingsoppfordring

Det følger av inkassoloven § 9 at før en inkassator kan sette i verk inkassotiltak, skal fordringshaveren eller inkassatoren etter kravets forfall ha sendt skyldneren skriftlig varsel om at inkasso vil bli satt i verk (inkassovarsel) med minimum 14 dagers betalingsfrist. Det følger videre av inkassoloven § 10 at inkassator kan sende betalingsoppfordring først når fristen i inkassovarselet har løpt ut.

Finanstilsynets stikkprøvekontroll viste en rekke saker hvor det hadde gått kortere tid enn 14 dager fra utsendelse av inkassovarsel til utsendelse av betalingsoppfordring. På denne bakgrunn ba Finanstilsynet om tilbakemelding på avviket, og om at foretaket kartla hvor mange saker som var omfattet av avviket i perioden 1. mars 2021 til 15. februar 2023.

Foretaket har redegjort for at det er flere årsaker til avviket, deriblant menneskelig feil, samt svakheter ved manuell registrering fra [foretakets] kundeplattform. Det ble videre opplyst om at det i den angitte perioden var 181 saker som var omfattet av feilen, hvorav 58 var betalt. Foretaket har nå rettet sakene ved å tilbakeføre innbetalt salær, mens de øvrige 123 sakene er startet på nytt ved nedskriving av salæret og utsendelse av nytt inkassovarsel.

For å forebygge at tilsvarende feil skjer fremover, er det lagt inn sperrer i saksbehandlingssystemet slik at det ikke skal være mulig å skrive ut betalingsoppfordring før det har gått 15 dager fra utsendt inkassovarsel. I foreløpig rapport la Finanstilsynet til grunn at foretaket følger opp dette tiltaket med

jevnlige kontroller og test av sperren. Foretaket har bekreftet å ha opprettet slike kontroller og testing av sperren.

3. Klientmiddelbehandling

3.1 Kontoer for mottak og oppbevaring av klientmidler

Det fremgår av Finanstilsynets rundskriv 8/2017 (Innkrevjing av ikkje-forfalne krav) at:

Flere inkassoføretak driv óg fakturaadministrasjon, det vil seie å drive inn ikkje-forfalne krav. Også middel frå slik tilleggsverksemd er klientmiddel og skal derfor avstemmast. […]

Finanstilsynet vurderer det som ikkje forsvarleg og trygt at inkassoføretak som driv fakturaadministrasjon, handterer klientmiddel som ikkje er sikra. For å vareta tilliten til føretak lunder tilsyn, er det nødvendig at óg klientmiddel som føretaka mottek i tilknytning til tilleggsverksemda, skal sikrast med særskild sikkerheitsstilling/forsikring.

I foretakets senere halvårlige rapporteringer til Finanstilsynet har foretaket svart «nei» på spørsmål om foretaket mottar innbetalinger knyttet til ikke-forfalte pengekrav tilhørende oppdragsgivere (fakturaadministrasjon). Foretaket har svart «ja» på spørsmål om faktisk leder har kontrollert riktigheten av opplysningene.

Ifølge mottatt saksmateriale benytter imidlertid foretaket to klientkontoer til fakturaadministrasjon. Finanstilsynet har stilt spørsmål knyttet til foretakets avstemming av midler knyttet til fakturaadministrasjon og om det er stilt særskilt sikkerhet for midler knyttet til fakturaadministrasjon.

Foretaket har opplyst at det har vært gjennomført månedlig avstemming av midler knyttet til fakturaadministrasjon, men at avstemmingene ikke har vært i henhold til Finanstilsynets rundskriv 7/2013 (Avstemming av klientmidler). Foretaket har bekreftet at rutinen nå er endret slik at avstemmingen skjer i samsvar med rundskrivet.

Foretaket har videre gitt tilbakemelding om at det ikke har hatt særskilt sikkerhetsstillelse for midler knyttet til fakturaadministrasjon. Det er etter det opplyste blitt opprettet særskilt sikkerhetsstillelse for disse midlene med tilbakevirkende kraft fra 1. januar 2023. Foretaket har også innarbeidet risiko for at sikkerhetsstillelsen er for lav, med tilhørende kvartalsvis kontroll av forsikringssummen.

Finanstilsynet ser alvorlig på at foretaket i en lengre periode har manglet tilstrekkelig sikkerhetsstillelse.

Det er videre opplyst fra foretakets side at det fra og med 2019 har vært innrapportert feil til Finanstilsynet og at det har vært for dårlig kontroll av skjemaet før innsendelse. På denne bakgrunn har foretaket innarbeidet feilrapportering som en risiko i sitt risikostyringssystem, og det er besluttet at rapporteringsskjemaet skal kvalitetssikres av både daglig og faktisk leder før innsendelse til Finanstilsynet.

Finanstilsynet understreker viktigheten av at foretakene under tilsyn gir korrekte opplysninger i rapporteringene til Finanstilsynet. Ved å gi uriktige opplysninger har foretaket forhindret normal tilsynsmessig oppfølging. Det er grunnleggende for Finanstilsynets tilsynsvirksomhet at foretakene

overholder sin opplysningsplikt overfor Finanstilsynet. Finanstilsynet forutsetter at foretaket gir korrekte opplysninger fremover.

3.2 Rutiner for mottak og oppbevaring av rettsgebyrer

Det fremgår av inkassoloven § 16 annet ledd at «Inkassatoren plikter å holde innkasserte midler og andre midler som tilhører klienter, adskilt fra egne midler og midler som ikke tilhører klienter». Til merknadene til inkassoloven § 16 i Ot. prp. nr. 77 (1992-93) om lov om endringer i

rettergangslovgivningen fremgår det at «[...]Plikten til å holde klientmidler adskilt fra egne gjelder også andre klientmidler enn innkasserte midler, i første rekke fordringshaveres forskuddsbetalinger av rettsgebyrer og andre utgifter».

I Finanstilsynets rundskriv 19/2016 (Retningslinjer for inkassators innkrevjing og behandling av rettslege saksomkostningar) punkt 3 fremgår det at «Innbetalte rettsgebyr frå skyldnaren som del av utanrettsleg forlik er klientmiddel, på lik linje med forskotsinnbetalte rettsgebyr frå fordringshavaren. Midla skal stå på klientkonto inntil fakturaen frå Statens innkrevingssentral er betalt».

Finanstilsynets gjennomgang av transaksjoner på inkassators driftskonto for desember 2022 identifiserte utbetalinger på til dels likelydende beløp på om lag 48 000 kroner til skyldnere og om lag 36 000 kroner til oppdragsgivere/kreditorer.

Foretaket har opplyst at utbetalingene til skyldnere og oppdragsgivere/kreditorer fra driftskonto var tilbakeføring av innbetalte rettsgebyr som ikke hadde påløpt, og at gebyrene feilaktig var blitt overført fra klient- til driftskonto. Foretaket har opplyst at det med virkning fra desember 2022 ble innført daglig rutine for gjennomgang av innbetalte rettsgebyr.

Finanstilsynet legger på grunnlag av foretakets opplysninger til grunn at innbetalte rettsgebyr over tid har stått på driftskonto, noe som innebærer sammenblanding mellom klientmidler (rettsgebyr) og foretakets egne midler. En slik sammenblanding er i strid med inkassoloven § 16 annet ledd og inkassoforskriften § 4-1 første ledd, i tillegg til retningslinjene i rundskriv 19/2016.

Finanstilsynet ser alvorlig på dette forholdet. Det trekkes spesielt frem at sammenblandingen varte over en lengre periode og omfattet mange saker. Etter Finanstilsynets oppfatning burde foretaket hatt kontrolltiltak som raskt avdekket sammenblandingen, og som kunne initiert kartleggingen og opprettingen på et langt tidligere tidspunkt. Finanstilsynet tar imidlertid til etterretning at forholdet ble brakt i orden fra desember 2022.

3.3 Avstemming av klientmidler

Foretak som mottar og oppbevarer klientmidler, må kunne dokumentere at klientmidlene til enhver tid dekker klientansvaret, jf. Finanstilsynets rundskriv 7/2013. Faktisk leder må gjennomgå de månedlige klientmiddelavstemmingene, og kontroll og oppfølging av eventuelle åpne poster må dokumenteres.

Under tilsynsmøtet ble foretakets rutiner for avstemming gjennomgått. Gjennomgangen viste at foretaket gjennomførte avstemminger av innestående ifølge bank mot innestående ifølge regnskap, samt avstemming av innestående ifølge regnskap mot klientansvar. Gjennomgangen viste også at klientansvaret var splittet på forskjellige hovedbokskontoer, og det ble foretatt separate ansvarsavstemminger. Foretaket hadde heller ingen dokumentasjon på kontroll av saldolister, det vil

si avstemming av brutto kreditsaldoer reskontro mot klientansvar (avstemmingspunkt 3 i nevnte rundskriv).

Finanstilsynet har fulgt opp klientmiddelavstemmingene i etterkant av det stedlige tilsynet gjennom flere oppfølgingsbrev, og oppsett og gjennomføring av avstemminger er nå endret og i samsvar med rundskrivet. Foretaket har også bekreftet at klientmiddelavstemmingene skal gjennomgås av faktisk leder hver måned, og at faktisk leders kontroll og oppfølging blir dokumentert. I tillegg skal avstemmingene gjennomgås halvårlig av foretakets daglige leder.

4. Risikostyring, internkontroll og faktisk leders plikter

4.1 Rettslig grunnlag og Finanstilsynets forventninger

Inkassoforetak er underlagt forskrift om risikostyring og internkontroll (risikostyringsforskriften), jf. finanstilsynsloven § 4 og risikostyringsforskriften § 1.

Bestemmelsene i risikostyringsforskriften suppleres av inkassoloven § 6. Det følger av denne at bevillingshaver (både faktisk leder og foretaket) plikter å påse at virksomheten utøves i samsvar med nærmere angitte bestemmelser, herunder generalbestemmelsen om god inkassoskikk.

Faktisk leders plikter er nærmere angitt i Finanstilsynets rundskriv 9/2012. Blant annet skal faktisk leder kartlegge risikoområder ved inndrivelsesprosessen, etablere skriftlige rutiner for inndrivelsesprosessen, etablere løpende kontrollaktiviteter for å avdekke eventuelle systematiske feil ved virksomhetsutøvelsen, og ha en løpende gjennomgang og evaluering/revisjon av de fastsatte rutinene og kontrollaktivitetene. Finanstilsynet har også utarbeidet en veileder for forståelsen av risikostyringsforskriften, se Finanstilsynets rundskriv 3/2009.

Det følger av risikostyringsforskriften at styret har det overordnede ansvaret for internkontrollen, jf.

§ 3. Styret skal påse at foretaket har hensiktsmessige systemer for risikostyring og internkontroll. Styret skal videre fastsette prinsipper for risikostyring og internkontroll, og påse at risikostyringen og internkontrollen er gjennomført og overvåket. I § 4 er det fastsatt plikter for daglig leder, blant annet at vedkommende skal etablere en forsvarlig risikostyring og internkontroll på basis av en vurdering av aktuelle risikoer etter retningslinjer fastsatt av styret og påse at denne er dokumentert, gjennomført og overvåket på en forsvarlig måte.

Ifølge § 6 skal foretaket løpende vurdere hvilke vesentlige risikoer som er knyttet til virksomheten. Ved endringer eller etablering av produkter og rutiner av vesentlig betydning skal slik risikovurdering foreligge før endringen igangsettes. Det skal minst en gang årlig foretas en gjennomgang av vesentlige risikoer for alle virksomhetsområder, og etter § 7 skal det minst en gang årlig foretas en oppsummerende vurdering av om internkontrollen har vært gjennomført på en tilfredsstillende måte.

Risikovurderingene skal dokumenteres og være tilgjengelige for Finanstilsynet i minst tre år, jf. risikostyringsforskriften § 8. Formålet med kravet om dokumentasjon er å sikre at tilstrekkelig informasjon om gjennomføringen av risikostyringen og internkontrollen, blant annet om registrerte brudd og svakheter, rapporteres til ledelse og styre. For å oppnå dette må det etableres et systematisk opplegg for overvåkning og rapportering som omfatter alle nivåer i foretaket. Selv om vesentlige svakheter og feil umiddelbart rettes opp, skal disse rapporteres slik at de ansvarlige for

kontrollen kan vurdere om igangsatte tiltak er hensiktsmessige og om internkontrollen virker som forutsatt.

For å redusere risikoen for feil i inkassovirksomheten må saksbehandlere gis nødvendig opplæring i bruk av saksbehandlingssystem og det må utarbeides saksbehandlingsrutiner. Videre må foretaket ha rutiner for å kontrollere at saksbehandlingsrutinene blir fulgt (skriftlige kontrollrutiner). Som del av dette må det utarbeides sjekklister for hvilke kontrollhandlinger som skal utføres, og rapporter med angivelse av avvikene som kommer frem av kontrollen, hvordan disse er fulgt opp og tiltak/rutineendringer for å forebygge gjentakelser. Videre må avvikene rapporteres til ansvarlig ledelse, som på sin side skal vurdere om igangsatte kontrolltiltak er hensiktsmessige og om internkontrollen virker som forutsatt – og i motsatt fall – hvilke forbedringstiltak som anses nødvendig i form av forbedrede eller nye saksbehandlingsrutiner, kontrollrutiner eller opplæringstiltak slik at internkontrollsystemet virker etter hensikten.

4.2 Vurdering av foretakets risikostyringssystem

Finanstilsynet gjennomgang av foretakets risikovurdering på tidspunktet for tilsynsmøtet viste at denne var utpreget overordnet og i stor grad bare behandlet risikoer knyttet til IT og drift. Under tilsynsmøtet ble Finanstilsynet også presentert for foretakets nye risikostyringssystem RISMA.

Gjennomgangen viste at det ikke var identifisert konkrete risikoer i de ulike fasene ved gjennomføringen av en inkassoprosess. Finanstilsynet bemerket overfor foretaket at en risikovurdering skal danne grunnlaget for skriftlige saksbehandlingsrutiner og for internkontrollen, og at foretakets risikovurderingsdokument ikke var egnet for dette formålet.

I ettertid sendte foretaket ny risikovurdering fra RISMA, som viste at foretaket hadde identifisert 22 risikoer knyttet til temaene før-inkasso, inkasso, rettslig inkassobehandling og klientmiddelbehandling. Finanstilsynets vurdering av risikopunktene i foreløpig tilsynsrapport var at disse virket tilfeldig utvalgt og utpreget generelle. Selv om de omfattet enkelte av de sentrale risikoene for utøvelsen av inkassovirksomhet, var det flere risikoer som ikke var identifisert. Det var blant annet ikke identifisert enkelte risikoer som er til stede i enhver inkassovirksomhet, for eksempel risikoer i forbindelse med registrering av oppdragsgivere og saker, at betalingsfrister er utløpt før nytt kravbrev sendes, behandling/salærberegning ved returpost, renteberegning, dekningsrekkefølge, gjeldsforhandlinger og kvalitetssikring av krav før rettslig behandling.

Når det gjaldt risikoer knyttet til klientmiddelbehandling, var det kun identifisert tre risikoer, hvorav en var overordnet («Ikke avstemmer og dokumenterer klientmidler tilstrekkelig omfang og til rett tid») og to var spesifikke («Bankgebyr trekkes fra klientkonto» og «Overføring fra drift til klient ved feilføring»). Finanstilsynet kunne ikke se at foretaket hadde sett risikoen for overføring fra klientkonto til driftskonto, selv om det motsatte tilfellet var realisert, jf. punkt 3.2. Finanstilsynet bemerket også i foreløpig tilsynsrapport at foretaket ikke hadde identifisert flere sentrale risikoer i tilknytning til klientmiddelbehandling. Når det gjaldt den overordnede risikoen angående avstemming og dokumentasjon, fremkom det av risikobeskrivelsen at risikoen blant annet innebar at man ikke avdekket feil knyttet til feiloverføringer, overbetalinger, og informasjon vedrørende tilbakebetalinger. For å kunne opprette adekvate risikoreduserende tiltak mener Finanstilsynet at disse risikoene må vurderes separat med tanke på sannsynlighet og konsekvens, ikke som del av en overordnet risiko.

Kravia AS har de siste årene innfusjonert en rekke mindre inkassoforetak. Disse foretakene har benyttet seg av andre saksbehandlingssystem enn Xxxxxx AS. Når ulike saksbehandlingssystem skal integreres, er det en rekke feil som kan forekomme. Finanstilsynet kunne imidlertid ikke se av styreprotokollene som var oversendt, at foretaket hadde identifisert noen risikoer knyttet til integrasjonen mellom saksbehandlingssystemene. Finanstilsynet understreker viktigheten av en slik risikovurdering med tilhørende tiltak for å avverge feil som potensielt kan oppstå i integrasjonsprosessen.

Når det gjelder internkontrollen i foretaket, var det på tidspunktet for tilsynsmøtet opprettet en rekke saksbehandlingsrutiner og kontroller for å avverge/avdekke feil, selv om disse ikke var forankret i konkrete risikovurderinger. Foretaket fremla også avviksrapporter som dokumenterte at de etablerte kontrollene hadde fungert etter sin hensikt, i den forstand at de ulike kontrollpunktene hadde avdekket feil. Flere av avvikene som ble funnet, var imidlertid ikke fulgt opp ved å gjøre utvidede kontroller, eller ved å opprette nye risikoreduserende tiltak, hvilket medførte at samme avvik hadde forekommet flere ganger, se for eksempel inndrivelse av duplikate krav, jf. punkt 2.2. Etter Finanstilsynets vurdering er isolerte opprettinger som heller ikke fører til revidering av risikovurderingen og internkontrollen, ikke en forsvarlig avvikshåndtering. Finanstilsynet la derfor til grunn i foreløpig tilsynsrapport at Xxxxxx over tid hadde hatt et mangelfullt risikostyringssystem.

Foretaket har nå fremlagt ny og vesentlig utbedret risikovurdering som skal ivareta Finanstilsynets påpekninger i foreløpig tilsynsrapport. Finanstilsynet tar dette til etterretning. Det legges til grunn at foretaket fremover foretar en løpende revisjon av risikovurderingsdokumentet på bakgrunn av avdekkede avvik og nye risikoer, og at det i denne sammenheng utarbeides tilhørende kontroll- og saksbehandlingsrutiner.

Del II IT-tilsyn

5. Mangelfull styring og dokumentasjon av IKT-virksomheten

I henhold til IKT-forskriften § 2 første ledd skal foretaket fastsette overordnede mål, strategier, og sikkerhetskrav for IKT-virksomheten. Det skal i denne forbindelse foreligge en beskrivelse av den enkelte prosessen og hvordan ansvaret for administrasjon, anskaffelse, utvikling, drift, systemvedlikehold, sikring av informasjon og avvikling skal utføres på en betryggende

måte. Videre stiller IKT-forskriften § 13 krav til at foretaket skal ha en oppdatert oversikt over organisasjon, utstyr, IKT-systemer og vesentlige forhold i IKT-virksomheten.

Etter Finanstilsynets vurdering må foretaket sikre at etterlevelse av IKT-forskriften er dokumentert og sporbar. Finanstilsynet pekte i foreløpig rapport på at rutinene på IT-området ikke var koblet til kravene i IKT-forskriften.

Finanstilsynet har fra foretakets svar merket seg at foretaket har utarbeidet en overordnet struktur for dokumentasjonen på IKT-området, som med utgangspunkt i IKT-forskriften, har lenker til rutiner for de enkelte områdene av IKT-virksomheten.

6. IKT-sikkerhet

IKT-forskriften § 5 stiller krav til at foretaket skal ha prosedyrer for å sikre beskyttelse av utstyr, systemer og informasjon av betydning for foretakets virksomhet, mot skader, misbruk, uautorisert adgang og endring, samt hærverk.

6.1 Brukernavn og passord i klartekst

Det å oppbevare og dele dokumenter med brukernavn og passord i klartekst, samt at tilganger deles slik at det ikke er mulig å spore hvem som faktisk har brukt tilgangen, øker vesentlig risikoen for uautorisert bruk av tilgangene. Finanstilsynet vurderer dette som et alvorlig brudd på IKT- forskriftens IKT-forskriften § 5.

Finanstilsynet viste i foreløpig rapport til at brukernavn og passord framkom i klartekst i noen av rutinene Finanstilsynet mottok.

Finanstilsynet har fra foretakets svar merket seg at foretaket vurderer dette som alvorlig og i strid med etablert praksis. Tilgangene var avviklet på det tidspunktet Finanstilsynet mottok dokumentasjonen. Foretaket viser til at de har oppdatert sikkerhetsretningslinjene i personalhåndboka og at denne distribueres årlig til de ansatte.

Finanstilsynet tar til etterretning at foretaket nå har sikret en annen praksis.

6.2 Bruk av umaskerte produksjonsdata til test

Inkassoforetak håndterer personopplysninger, noe som stiller sterke krav til beskyttelse av personvernet. Innebygd personvern er et sentralt krav i personopplysningsloven og betyr at det skal tas hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Hensynet bak kravet er å sørge for at informasjonssystemene oppfyller personvernprinsippene, og at de ivaretar de registrertes rettigheter.

Under tilsynet fremkom det at foretaket bruker kopi av produksjonsdata til testing, uten at dataene er maskert eller anonymisert. Finanstilsynet påpekte i foreløpig rapport at kun anonymiserte data faller utenfor personvernregelverket, og stilte spørsmål ved om foretaket hadde vurdert risikoen ved bruk av umaskerte produksjonsdata i testmiljøet.

Foretaket viser i sitt svar til at kopi av produksjonsdatabasen ble brukt i et testmiljø med identisk infrastruktur som produksjonsmiljøet dvs. med samme tilgangsstyring, kryptering og beskyttelse av data. Risikoen for at data kom på avveie fra testmiljøet, var begrenset på samme måte som fra produksjonsmiljøet. Foretaket viser videre til at de etter tilsynet har begrenset hvor mange som har tilgang til testmiljøet og at de har gjort en opprydning i testmiljøet for å fjerne/maskere data som inneholder opplysninger om privatpersoner.

Finanstilsynet tar foretakets svar til etterretning.

6.3 Mangelfull kontroll av tilganger

Kravene i IKT-forskriften § 5 innebærer at tilgang til IT-systemer skal godkjennes og kontrolleres av relevant leder som tildeler og kjenner oppgavene til den ansatte. Relevant leder bestiller oftest den tekniske oppdateringen fra IT-avdelingen inkludert oppretting, endring og fjerning av tilganger.

Finanstilsynet viste i foreløpig rapport til at foretakets regelmessige kontroller av de ansattes tilganger ble gjennomført av IT-leder og ikke av den ansattes relevante leder. Fra foretakets svar kan ikke Finanstilsynet se at foretaket har endret denne praksisen.

Finanstilsynet forventer at foretaket påser at regelmessige gjennomganger og kontroller av de ansattes tilganger gjennomføres av relevant leder som bestiller effektuering av oppdateringene fra IT-leder.

6.4 Autentisering til kreditorportalen

Finanstilsynet pekte i foreløpig rapport på at for å logge inn i kreditorportalen, er det tilstrekkelig med e-postadresse og passord. Det er ikke krav til to-faktor-autentisering. I portalen får kreditor tilgang til data om alle sine skyldnere, herunder konfidensiell person- og betalingsinformasjon. For å sikre tilstrekkelig beskyttelse av dataene i portaler med denne typen informasjon, vurderer Finanstilsynet at innlogging med to-faktor-autentisering er beste praksis.

Finanstilsynet tar til etterretning at foretaket skal sette i gang et utviklingsprosjekt for å teste og rulle ut en løsning for to-faktor-autentisering i Q3/2024.

7. Utkontraktering

Foretaket plikter å ha retningslinjer som sikrer at utkontraktert virksomhet oppfyller kravene i IKT- forskriften § 12, jf. IKT-forskriften § 2 annet ledd. Blant annet stiller IKT-forskriften § 12 første ledd krav til skriftlig avtale som skal sikre foretakets rett til å kontrollere/revidere leverandørens aktiviteter, og den må sikre håndtering av taushetsbelagt informasjon, jf. § 12 første ledd.

I foretakets mal for vedlegg til avtale ved utkontraktering var det referanse til risikostyringsforskriften og bokføringsforskriften, men ikke til IKT-forskriften. Etter Finanstilsynets oppfatning skal avtaler om utkontraktering også inneholde en referanse til IKT- forskriften for å sikre tilstrekkelig oppmerksomhet rundt kravene som stilles her.

Finanstilsynet har fra foretakets svar merket seg at vedlegg til avtale ved utkontraktering er oppdatert med referanse til IKT-forskriften.

For Finanstilsynet

Xxxx Xxxxxxx Xxxx Xxxxxxxxxxx

konstituert seksjonssjef seksjonssjef

Dokumentet er godkjent elektronisk og har derfor ikke håndskrevne signaturer.