Finansinstitusjoners revisjons- og kontrolltiltak overfor teknologileverandører

| Innsikt

Teknologileverandører vil i stadig større grad konfronteres med til dels inngripende krav fra kunder som er banker, kredittforetak, verdipapirforetak og finanskonsern (sammenfatningsvis "finansinstitusjoner").

Innledning
Foruten finansinstitusjonenes iboende behov for å ha en viss kontroll over teknologileverandørers kapasitet til å levere tjenesten, følger det av EUs kapitalkravsdirektiv (CRD IV og V) (2013/36/EU og (EU) 2019/878) og krisehåndteringsdirektiv (2014/59/EU) at finansinstitusjoner har en forhøyet plikt til å påse tilstrekkelig adgang til å foreta revisjon og kontroll av avtaleforholdet med teknologileverandøren for å sikre kontinuitet i dets virksomhet.

Begge direktivene foranlediger interessante og omfattende juridiske vurderinger. I denne artikkelen er fokuset på de konkrete følgene direktivene særlig får overfor teknologileverandører, herunder hvordan disse påvirkes.


Bakgrunn
Kapitalkrav- og krisehåndteringsdirektivet er et resultat av finanskrisen i 2008. Direktivets vesentlige funksjon er å etablere et regelverk for krisehåndtering som sikrer finansiell stabilitet. Dette gjøres ved å gi finansinstitusjoner og myndigheter praktiske verktøy for å håndtere kriser på et så tidlig stadium som mulig, blant annet ved å sikre at større banker skal kunne avvikles uten at medlemsstatenes finansielle stabilitet trues. Finansforetakene pålegges å organisere seg på en slik måte at hele eller deler av virksomheten lar seg avvikle i størst mulig grad uten at det skal bli nødvendig med ytterligere offentlig «bail-outs». Tanken er at bankenes investorer skal dekke brorparten av tapet – ikke skattebetalerne.

Leverandører med usikret gjeld kan bli utsatt for nedskriving av gjeld og konvertering av gjeld til egenkapital. En leverandøravtale vil også kunne gjøres gjeldende ved endring av kontroll over finansforetaket eller ved overføring av dets virksomhet til et nytt finansforetak. Det er nettopp i denne forbindelse myndighetene (og indirekte finansinstitusjonene) vil ha en interesse i å få tilgang til informasjon som vedrører teknologileverandøren som går langt lengre enn hva man tradisjonelt ville godtatt.

Teknologileverandører får i stadig større grad henvendelser fra finansinstitusjoner som krever visse kontroll- og revisjonsrettigheter som vil kunne fremstå som overdrevet inngripende. Disse kravene fremmes primært ved inngåelse eller fornyelse av nye teknologikontrakter. Finansinstitusjoner fremmer imidlertid også revisjonskrav for allerede løpende (og bindende) tjenestekontrakter. Særlig for sistnevnte blir vi ofte bedt om å ta stilling til om teknologileverandøren rent juridisk er forpliktet til å akseptere endringer.


Relevante bestemmelser

a. Kapitalkravsdirektivet (CRD IV) artikkel 65(3):

«1. Competent authorities shall have all information gathering and investigatory powers that are necessary for the exercise of their functions. Without prejudice to other relevant provisions laid down in this Directive and in Regulation (EU) No 575/2013 those powers shall include:

(a) the power to require the following natural or legal persons to provide all information that is necessary in order to carry out the tasks of the competent authorities, including information to be provided at recurring intervals and in specified formats for supervisory and related statistical purposes:

(i) institutions established in the Member State concerned;
(ii) financial holding companies established in the Member State concerned;
(iii) mixed financial holding companies established in the Member State concerned;
(iv) mixed-activity holding companies established in the Member State concerned;
(v) persons belonging to the entities referred to in points (i) to (iv);
(vi) third parties to whom the entities referred to in points (i) to (iv) have outsourced operational functions or activities;

(b) the power to conduct all necessary investigations of any person referred to in points (a)(i) to (vi) established or located in the Member State concerned where necessary to carry out the tasks of the competent authorities, including:

(i) the right to require the submission of documents;
(ii) to examine the books and records of the persons referred to in points(a)(i) to (vi) and take     copies or extracts from such books and records;
(iii) to obtain written or oral explanations from any person referred to in points (a) (i) to (vi) or their representatives or staff; and
(iv) to interview any other person who consents to be interviewed for the purpose of collecting information relating to the subject matter of an investigation;

(c) the power, subject to other conditions set out in Union law, to conduct all necessary inspections at the business premises of the legal persons referred to in points (a)(i) to (vi) and any other undertaking included in consolidated supervision where a competent authority is the consolidating supervisor, subject to the prior notification of the competent authorities concerned. If an inspection requires authorisation by a judicial authority under national law, such authorisation shall be applied for.»


b. Krisehåndteringsdirektivet artikkel 63(1)(a):

«1.  Member States shall ensure that the resolution authorities have all the powers necessary to apply the resolution tools to institutions and to entities referred to in points (b), (c) and (d) of Article 1(1) that meet the applicable conditions for resolution. In particular, the resolution authorities shall have the following resolution powers, which they may exercise individually or in any combination:

(a) the power to require any person to provide any information required for the resolution authority to decide upon and prepare a resolution action, including updates and supplements of information provided in the resolution plans and including requiring information to be provided through on-site inspections


Nærmere om direktivene
Rent teoretisk vil nok ikke teknologileverandører være forpliktet til å godta ensidig avtalerevisjon. Det er finansinstitusjonene som har plikt til å etterleve direktivene. I praksis vil imidlertid leverandøren ofte bli tvunget til å akseptere visse endringer. Dette allerede av den grunn av at den aktuelle endringen er foranlediget av offentligrettslige krav, som står utenfor partenes reelle kontroll. Ved å nekte etterlevelse av slike endringskrav, vil leverandøren i bestefall ikke få fornyet kontrakten. Avhengig av den aktuelle kontrakten vil leverandøren i verste fall, og som følge av bristende forutsetninger og/eller avtaleloven § 36, kunne kreve heving av avtalen ved fortsatt revisjonsnektelse.

Vårt råd vil nok være å godta finansinstitusjoners kontroll- og revisjonskrav i henhold til kapitalkravs- og krisehåndteringsdirektivene. Det betyr imidlertid ikke at leverandøren skal akseptere ethvert krav som fremmes. Ofte vil finansinstitusjonene ha en interesse i å strekke endringsordlyden så langt som mulig, slik at den i praksis går lengre enn det som kreves av direktivene. Eksempelvis vil det kunne fremmes krav om at finansinstitusjonen selv skal ha revisjonsadgang, til enhver tid/på kort varsel, at man skal ha fysisk adgang, at leverandøren skal dekke kostnadene, osv. Som det imidlertid fremgår av direktivene så er det i utgangspunktet kun tilsynsmyndigheten som skal ha inspeksjonsrett.

Det er dermed viktig at man ser nøye gjennom foreslåtte endringer og diskuterer disse med juridiske rådgivere. Som teknologileverandør kan man ikke kun ta hensyn til den enkelte finansinstitusjon man har som kunde. Ofte vil man ha kunder i flere andre sensitive sektorer, som eksempelvis forsvar, politi, helse, og øvrige forskningsmiljøer. For teknologileverandøren vil disse medføre en forhøyet ansvarsrisiko som følge av annen relevant lovgivning. Det inkluderer blant annet sikkerhetsloven, personopplysningsloven/GDPR, lov om vern av forretningshemmeligheter, ekomloven og lignende.


Fornuftig håndtering
Det er ikke mulig å gi en fasit på hvordan man skal håndtere disse sakene. De enkelte komponentene i revisjonsadgangen må vurderes konkret i hvert enkelt tilfelle. Det kan være flere grunner til at kontroll- og revisjonsadgangen skal utvides eller begrenses i det enkelte tilfellet. Avgjørende vil eksempelvis være teknologileverandørens øvrige portefølje og finansielle robusthet, samt hvor avhengig finansinstitusjonen er av den den aktuelle tjenesten.

Som rettesnor bør nok imidlertid teknologileverandører begrense adgangen til sine systemer så langt som mulig. Det betyr at man så langt det lar seg gjøre kompartmentaliserer de enkelte kundenes data, også finansinstitusjonens, og virksomhetens øvrige finansielle informasjon. Det er viktig å balansere finansinstitusjonens behov for revisjonsadgang og leverandørens behov for å sikre øvrig data som måtte befinne seg på det aktuelle området.

I praksis betyr ikke dette at teknologileverandøren utelukkende bør godta revisjon av tilsynsmyndigheten. Det kan også være tillatelig at finansinstitusjonen eller en nøytralt oppnevnt gransker får tilgang (etter nærmere bestemte vilkår), og at kostnadene forbundet med dette eksempelvis dekkes av finansinstitusjonen såfremt det ikke avdekkes vesentlige mangler. Adgangen bør også begrenses antallsmessig gjennom avtaleperioden (eksempelvis én gang per år).