Verdipapirforetaks organisering og virksomhet

Rundskrivet gjelder for

• Verdipapirforetak

Dette rundskrivet erstatter rundskriv 4/2015 og 5/2015.

1  Innledning

Verdipapirforetak skal organiseres og drives på en forsvarlig måte. Verdipapirhandelloven med tilhørende forskrifter inneholder en rekke krav som skal bidra til forsvarlig organisering og drift av verdipapirforetakene, herunder regler om ledelse og styre, håndtering av informasjon og interessekonflikter, retningslinjer og rutiner, internkontroll, dokumentasjon og god forretningsskikk. Formålet med dette rundskrivet er å klargjøre Finanstilsynets tolkning og forvaltningspraksis knyttet til reglene om verdipapirforetakenes organisering og virksomhet.

Kravene som gjelder for søknad om tillatelse til å yte investeringstjenester, herunder krav til rutiner og retningslinjer, er omtalt i en særskilt veileder på Finanstilsynets nettsted.¹⁾ Dette rundskrivet gir nærmere informasjon om løpende krav til verdipapirforetaks organisering og virksomhet.

Investeringstjenestene som definert i verdipapirhandelloven (vphl.) § 2-1 (1) nr. 1 til 7 omtales i dette rundskrivet på følgende måte: Mottak og formidling av ordre (nr. 1), utførelse av ordre (nr. 2), egenhandel (nr. 3), porteføljeforvaltning (nr. 4), investeringsrådgivning (nr. 5) og plassering (nr. 6 og 7). Rundskrivet omtaler også to tilknyttede tjenester som nevnt i vphl. § 2-6 (1) nr. 3 og 5, nemlig corporaterådgivning (nr. 3) og analyse (nr. 5).

Med verdipapirforetak menes i dette rundskrivet også kredittinstitusjoner med tillatelse til å yte investeringstjenester, med mindre noe annet fremgår av sammenhengen.

2  Styring og kontroll

2.1  Innledning

Styremedlemmer, daglig leder og andre som faktisk deltar i ledelsen av verdipapirforetak, skal til enhver tid ha tilstrekkelige kvalifikasjoner og erfaring, ha ført en hederlig vandel, og for øvrig ikke ha utvist utilbørlig atferd som gir grunn til å anta at stillingen eller vervet ikke vil kunne ivaretas på forsvarlig måte, jf. vphl. § 9-10 (1). Endringer i ledelsen skal meldes til Finanstilsynet, jf. vphl. § 9-10 (9).²⁾ Det samme gjelder endringer i complianceansvarlig, hvitvaskingsansvarlig og eventuelle filialledere og tilknyttede agenter.³⁾

Dette rundskrivet utfyller rundskriv 1/2020 når det gjelder egnethetsvurderinger av ledelsen i verdipapirforetak.⁴⁾

I sin tilsynspraksis legger Finanstilsynet også til grunn "Joint ESMA and EBA Guidelines on the assessment of the suitability of members of the management body and key function holders under Directive 2013/36/EU and Directive 2014/65/EU".⁵⁾

Kravene som Finanstilsynet legger til grunn i sin tilsynspraksis knyttet til verdipapirforetaks ledelse og internkontroll, er omtalt i punkt 2.3 til 2.12.

2.2  Rutiner og retningslinjer

Verdipapirforetak skal utarbeide en rekke rutiner og retningslinjer. Disse skal fungere som et hjelpemiddel for verdipapirforetaket i oppfyllelsen av foretakets plikter etter verdipapirhandelloven og annet regelverk, jf. vphl. § 9-16 (1) nr. 1. En oversikt over aktuelle rutinekrav er inntatt i veilederen nevnt i note 1.

2.3  Styret

For å sikre at verdipapirforetakets styre samlet har bred erfaring og tilstrekkelig kunnskap og kompetanse til å kunne forstå foretakets virksomhet, jf. vphl. § 9-10 (5), legger Finanstilsynet til grunn at styret skal ha minst tre medlemmer. Av disse skal minst ett medlem være eksternt. Med dette menes at vedkommende som utgangspunkt ikke har tilknytning til foretaket i form av å være ansatt eller eier (direkte eller indirekte). Det eksterne medlemmet kan heller ikke være ansatt i andre selskaper i samme konsern som foretaket eller i selskaper med eierinteresser i foretaket. Dette er begrunnet i kravet til styrets uavhengighet, jf. vphl. § 9-10 (6) og § 9-11 (1) nr. 4.

Hvert enkelt styremedlem må tilfredsstille lovens krav til kvalifikasjoner og erfaring, jf. vphl. § 9-10 (1). Det er likevel styrets samlede kompetanse som er avgjørende ved vurderingen av om styret tilfredsstiller vilkårene, jf. § 9-10 (5). Det kreves derfor ikke at alle styremedlemmene har erfaring fra verdipapirområdet. Det eksterne styremedlemmet må imidlertid ha slik erfaring, eventuelt sammen med andre eksterne styremedlemmer. Det er ikke tilstrekkelig at styrets erfaring på verdipapirområdet ivaretas av styremedlemmer som enten er ansatte i foretaket eller eiere. Hvilken erfaring som vil være tilstrekkelig, vurderes konkret der det blant annet ses hen til hvilken type virksomhet foretaket driver.

Daglig leder kan ikke være styreleder i foretaket, med mindre dette er tilfredsstillende begrunnet av foretaket og godkjent av Finanstilsynet, jf. vphl. § 9-10 (11). Finanstilsynet legger videre til grunn at andre ansatte i verdipapirforetaket som hovedregel heller ikke kan være styreleder i foretaket.

Hvorvidt daglig leder eller andre ledende ansatte i et verdipapirforetak kan være medlem av foretakets styre, vil bero på en konkret vurdering av i hvilken grad en slik organisering er til hinder for at styret kan utøve sitt kontrollansvar for virksomheten. Dersom daglig leder eller andre ledende ansatte er medlem av styret, må foretaket organisere styrets arbeid slik at behandling av styresaker er tilstrekkelig uavhengig av den daglige ledelsen.

For kredittinstitusjoner gjelder det egne krav til styret, jf. finansforetaksloven §§ 3-5 og 8-4 og finansforetaksforskriften § 9-2, jf. vphl. § 9-4. I kredittinstitusjoner skal styret ha minst fem medlemmer, og daglig leder kan ikke være styremedlem. Videre skal styreleder og til sammen minst to tredeler av styret ikke være ansatt i foretaket eller i foretak i samme konsern. Finanstilsynet legger til grunn at kredittinstitusjoner med tillatelse til å yte investeringstjenester skal ha minst ett styremedlem med kvalifikasjoner og erfaring fra verdipapirmarkedet.

2.4  Daglig og faktisk ledelse 

2.4.1  Krav til relevante kvalifikasjoner og yrkeserfaring

Faktisk leder i verdipapirforetak må normalt ha operativ erfaring fra den aktuelle investeringstjenestevirksomheten. Erfaringen bør som utgangspunkt være opparbeidet i to av de siste fem årene.

Hvilken erfaring som anses som relevant, vurderes på bakgrunn av hvilke investeringstjenester vedkommende skal være leder for. Generell erfaring fra verdipapirmarkedet vil ikke nødvendigvis være tilstrekkelig. Ved vurderingen ses det også hen til lederens teoretiske bakgrunn.

Personer som skal være ledere for investeringstjenesten porteføljeforvaltning, må i utgangspunktet ha operativ erfaring fra porteføljeforvaltning i et verdipapirforetak, forvaltningsselskap for verdipapirfond eller forvalter av alternative investeringsfond. Personer som skal lede investeringstjenesten investeringsrådgivning, må i utgangspunktet ha operativ erfaring fra investeringsrådgivning eller porteføljeforvaltning.

Hvorvidt erfaring fra en annen investeringstjeneste, eller annet område i verdipapirforetak enn vedkommende skal være faktisk leder for, er tilstrekkelig relevant erfaring, vurderes konkret.

Kravene som stilles til daglig leder avhenger av om foretaket har faktisk(e) leder(e) i tillegg. Dersom daglig leders rolle innebærer en administrativ lederstilling og foretaket har andre personer som er faktiske ledere for investeringstjenestene, stilles det mindre krav til daglig leders kvalifikasjoner og yrkeserfaring innenfor verdipapirområdet.

2.4.2  Antall ledere

Utgangspunktet er at verdipapirforetakets faktiske ledelse skal utøves av minst to personer, og at Finanstilsynet kan gjøre unntak fra dette kravet, jf. vphl. § 9-10 (10). Med minst to personer i den faktiske ledelsen menes daglig leder og minst én faktisk leder. Hvor mange ledere foretaket bør ha, vil blant annet bero på virksomhetens omfang og kompleksitet, kravene til forsvarlig håndtering av informasjon og interessekonflikter (jf. punkt 3), og plikten til å ha en klar organisasjonsstruktur og ansvarsfordeling. 

2.4.3 To faktiske ledere for samme investeringstjeneste

Finanstilsynet legger til grunn at verdipapirforetak som utgangspunkt ikke kan ha flere faktiske ledere for samme investeringstjeneste. Dette er begrunnet i verdipapirforetakenes plikt til å ha en klar organisasjonsstruktur og ansvarsfordeling.

Unntak fra dette utgangspunktet er akseptert dersom verdipapirforetaket er stort nok til å være organisert med klare skiller mellom ulike avdelinger som yter samme investeringstjenester. To faktiske ledere for samme investeringstjeneste kan eksempelvis aksepteres dersom foretaket ønsker å skille "aksjebord" og "rentebord", og anser det hensiktsmessig å ha egne faktiske ledere for disse enhetene. Tilsvarende kan en slik løsning være akseptabel dersom foretaket skiller virksomheten under investeringstjenesten plassering i egne enheter for egenkapital og fremmedkapital.

En forutsetning for at slike enheter kan ha egne egnethetsvurderte faktiske ledere er at de organisatoriske skillene er gjennomført fullt ut, og at ansvarsområdene til den enkelte faktiske leder er klare. Det må ikke være tvil om hvilken virksomhet som hører under den enkelte enhet og leder, og hvilke ansatte som rapporterer til hvilken leder. Ansatte kan ikke flyttes mellom enhetene med mindre det i enkelttilfeller foreligger spesielle omstendigheter som tilsier slik flytting.

2.5  Filialleder

Verdipapirforetak skal gi melding til Finanstilsynet før det oppretter filial i Norge. Filialen skal ha en leder som oppfyller kravene i vphl. § 9-10 (1), jf. vphl. § 9-21 (1). Filialleder må normalt ha operativ erfaring fra den investeringstjenestevirksomheten som ytes i filialen. Dersom filialleders rolle innebærer en administrativ lederstilling og filialen har en eller flere andre personer som er faktisk leder for investeringstjenestene som ytes i filialen, stilles det imidlertid mindre krav til filialleders kvalifikasjoner og yrkeserfaring innenfor verdipapirområdet. Faktisk leder for investeringstjenester som ytes i filialen, skal i så fall også egnethetsvurderes, og må som utgangspunkt ha operativ erfaring fra investeringstjenestene innenfor vedkommendes ansvarsområde.  

Dersom en filial har et tjenestespekter som nødvendiggjør informasjonssperrer, må filialen ha egne egnethetsvurderte faktiske ledere for disse investeringstjenestene, jf. punkt 3.3.

Alle forretningskontorer som et verdipapirforetak yter investeringstjenester gjennom i tillegg til hovedkontoret, skal i utgangspunktet anses som filialer. Disse skal dermed ha en leder som tilfredsstiller kravene i vphl. § 9-10 (1), jf. § 9-21 (1). Forretningskontor som er etablert i nær geografisk avstand til hovedkontoret, for eksempel i samme by, kan etter omstendighetene likevel anses som en enhet direkte underlagt hovedkontoret uten krav om egen egnethetsvurdert leder. Videre har Finanstilsynet i praksis lagt til grunn at såkalte underkontor av filialer kan etableres uten at underkontoret selv må anses som en filial med krav til egnethetsvurdert leder etter vphl. § 9-21 (1). Dette forutsetter at underkontoret er direkte underlagt en filial med en leder som tilfredsstiller egnethetskravene, at filiallederen faktisk utøver reell kontroll over virksomheten ved underkontoret, og at underkontoret bare yter investeringstjenester knyttet til ikke-komplekse finansielle instrumenter som definert i vphl. § 10-16 (1). Videre vil den geografiske avstanden fra underkontoret til filialen, antallet ansatte ved underkontoret og omfanget av underkontorets investeringstjenestevirksomhet ha betydning for hvorvidt underkontoret må anses som en filial med krav til en egen egnethetsvurdert leder.

2.6  Tilknyttede agenter

Verdipapirforetak kan benytte tilknyttede agenter, jf. vphl. § 10-22 og verdipapirforskriften (vpf.) §§ 10-8 til 10-12. Verdipapirforetaket er fullt og helt ansvarlig for virksomhet som agenten forestår på verdipapirforetakets vegne. Kravene som stilles for agentvirksomhet, er nærmere omtalt på Finanstilsynets nettsted.⁶⁾ Daglig leder hos agenten må tilfredsstille samme egnethetskrav som faktiske ledere og filialledere i verdipapirforetaket.

2.7  Stedfortreder

Etter vphl. § 9-16 (1) nr. 3 skal verdipapirforetak treffe rimelige tiltak som skal sikre kontinuitet og regelmessighet i investeringstjenestevirksomheten, herunder ha nødvendige systemer, ressurser og prosedyrer. Dette innebærer blant annet at foretaket må utpeke stedfortredere for daglig og faktisk leder ved deres fravær. Også ved utpeking av stedfortredere må foretaket være bevisst på kravene til forsvarlig håndtering av informasjon og interessekonflikter, jf. punkt 3.

Delegert kommisjonsforordning (EU) 2017/1943 artikkel 8 nr. 1 bokstav c) og d) og nr. 2, jf. vpf. § 9-3 (1), stiller særskilte egnethetskrav til stedfortreder i foretak med bare én person i den faktiske ledelsen. Ved vurderingen av stedfortreders egnethet er det naturlig å ta utgangspunkt i kravene som stilles til faktiske ledere, men i lys av at stedfortrederens fungering er av midlertidig art, stilles ikke like strenge krav for stedfortredere.

Foretak med bare én person i ledelsen skal holde Finanstilsynet løpende orientert om hvem som til enhver tid er stedfortreder for daglig leder.

2.8  Rapporteringslinjer

Finanstilsynet legger til grunn at faktisk leder skal rapportere direkte til daglig leder, som igjen rapporterer til styret. Leder for filial/agent skal rapportere direkte til faktisk(e) leder(e) for de investeringstjenestene som ytes av filialen/agenten.

I større foretak kan det være hensiktsmessig at faktisk leder rapporterer til en leder direkte underlagt daglig leder, eksempelvis en konserndirektør, som har ansvar for forretningsområdet der den aktuelle investeringstjenestevirksomheten utøves. Hvorvidt en slik organisering kan aksepteres, beror på en konkret vurdering hvor virksomhetens størrelse, omfang og kompleksitet tillegges vekt. Det er videre en forutsetning at lederen som faktisk leder rapporterer til, er egnethetsvurdert av Finanstilsynet. Det vil ikke stilles særlig omfattende krav til kvalifikasjoner og yrkeserfaring innenfor verdipapirområdet for denne lederen.

I større foretak kan det videre være hensiktsmessig at filialleder rapporterer til en leder direkte underlagt faktisk leder, eksempelvis en regionleder. Denne lederen vil normalt også anses som filialleder i verdipapirhandellovens forstand, og må egnethetsvurderes av Finanstilsynet Hvorvidt en slik organisering kan aksepteres, beror på en konkret vurdering hvor virksomhetens størrelse, omfang og kompleksitet tillegges vekt.

2.9  Ledelsens tilstedeværelse

Daglig leder og faktiske ledere skal ha sitt faste arbeidssted ved verdipapirforetakets hovedkontor, og filialleder skal ha sitt faste arbeidssted i filialen. Dette er ikke til hinder for at foretaket i rimelig utstrekning kan tillate sine ledere og øvrige medarbeidere å arbeide fra hjemmekontor, forutsatt at taushetsplikt, informasjonssikkerhet og øvrige krav til virksomheten overholdes.

Dersom en investeringstjeneste kun ytes i en eller flere av foretakets filialer, har Finanstilsynet lagt til grunn at faktisk leder for denne investeringstjenesten kan ha arbeidssted i en av filialene.

2.10  Compliancefunksjonen

Verdipapirforetak er etter vphl. § 9-16 (1) nr. 1 pålagt å ha tilstrekkelige og betryggende retningslinjer, rutiner og kontrollmetoder som skal sikre at foretaket, dets ledere, ansatte og tilknyttede agenter etterlever sine forpliktelser etter lov og forskrifter. I dette ligger blant annet at foretaket skal etablere en fast, effektiv og uavhengig kontrollfunksjon (compliancefunksjon) som overvåker foretakets etterlevelse av regelverket. Foretaket skal ha skriftlige rutiner for compliancefunksjonen.

De nærmere kravene til compliancefunksjonen i verdipapirforetak er fastsatt i delegert kommisjonsforordning (EU) 2017/565 artikkel 22, jf. vpf. § 2-2.

ESMA har utarbeidet "Guidelines on certain aspects of the MiFID II compliance function requirements". Finanstilsynet vil legge disse retningslinjene til grunn og følge dem opp i sin tilsynspraksis.⁷⁾ I det følgende vil Finanstilsynet gi noen ytterligere retningslinjer for compliancefunksjonen i norske verdipapirforetak.

Verdipapirforetakets ledelse (styret, daglig leder og andre som faktisk deltar i ledelsen av foretaket) må sørge for at foretaket har en god compliancekultur. En god compliancekultur er avgjørende for å bevisstgjøre foretakets ansatte om hensynene bak kravene om investorbeskyttelse og for etterlevelsen av foretakets forpliktelser. Foretakets ledelse må synliggjøre sin støtte til compliancefunksjonen i utøvelse av funksjonens oppgaver for å sikre at funksjonen får tilstrekkelig autoritet i organisasjonen.

Verdipapirforetaket er ansvarlig for all virksomhet som tilknyttede agenter forestår på foretakets vegne. Dersom foretaket benytter tilknyttede agenter, har ledelsen ansvar for at foretaket organiseres slik at det tas høyde for de særlige risikomomentene som følger av dette. Compliancefunksjonen må organiseres slik at foretaket sikrer etterlevelse av regelverket, også for den virksomheten som utføres av tilknyttede agenter.

Verdipapirforetak må utarbeide en periodisk complianceplan over planlagte complianceaktiviteter. Dette er et nødvendig arbeidsverktøy for å sikre at hele foretakets virksomhet er gjenstand for effektiv kontroll. Det må i tillegg gjøres løpende kontroller i tilknytning til situasjoner som oppstår. Complianceplanen bør godkjennes, og regelmessig følges opp, av styret.

Foretaket må sørge for både å dokumentere sine kontrollhandlinger og å ha et samlet register over hendelser og avvik som oppstår uavhengig av konkrete kontrollhandlinger. Dette som et nødvendig verktøy for hensiktsmessig rapportering, og for å skape notoritet over hvilket arbeid som faktisk er utført av compliancefunksjonen – både internt og overfor Finanstilsynet. Slik dokumentasjon vil også kunne sette foretaket i stand til å avdekke om den enkelte hendelse/avvik er en tilfeldig feil eller et utslag av mer systematisk bevisste eller ubevisste feilvurderinger. Slik dokumentasjon er også nødvendig for å avdekke om det er enkelte avdelinger, seksjoner eller områder som skiller seg ut, og hvor det er nødvendig å iverksette tiltak for å avhjelpe manglende etterlevelse av regelverket.

Verdipapirforetak må sørge for hensiktsmessig intern compliancerapportering. Med dette menes her rapportering hvor rapporteringslinjer, detaljnivå og hyppighet er tilpasset virksomhetens art, omfang og kompleksitet. Hensiktsmessig rapportering er nødvendig for å gi foretakets ledelse et regelmessig overordnet bilde over etterlevelsen av regelverket, og å gi grunnlag for eventuelt å iverksette nødvendige tiltak fra overordnet nivå – både akutte ad hoc-inngrep, men også når det gjelder mer planmessig og langsiktig arbeid knyttet til etterlevelse. Hensiktsmessig rapportering er også viktig som et bidrag til å skape notoritet internt, og eksternt overfor Finanstilsynet, over hvilket arbeid som faktisk er utført av compliancefunksjonen. Det skal etableres en direkte rapporteringslinje fra compliancefunksjonen til styret. Den periodiske rapporteringen bør fastsettes i rutinene for compliancefunksjonen, og styret skal vurdere hvilken rapporteringsfrekvens som er hensiktsmessig.

For å sikre compliancefunksjonens uavhengighet bør beslutninger om oppsigelse av complianceansvarlig tas av foretakets styre. Compliancemedarbeidere kan ikke være styremedlem i foretaket. Daglig leder eller andre personer som er involvert i ytelsen av investeringstjenester, kan normalt ikke være complianceansvarlig, med mindre kontrolloppgavene samtidig utkontrakteres.

Ved utkontraktering av compliancefunksjonen må det utpekes en medarbeider som har ansvaret for å følge opp de utkontrakterte oppgavene. I mindre foretak kan dette være daglig leder. Foretaket må sørge for at det etableres en rapporteringslinje direkte fra tjenesteyter til styret, i tillegg til rapportering til complianceansvarlig i foretaket. Normalt vil det være nødvendig at tjenesteyter regelmessig er til stede i foretaket, herunder hos eventuelle tilknyttede agenter, for å få den nødvendige nærheten til funksjonene som kontrolleres.

2.11  Risikostyringsfunksjon og internrevisjon

Alle verdipapirforetak er underlagt forskrift om risikostyring og internkontroll. Risikostyringen og internkontrollen skal tilpasses etter arten, omfanget av og kompleksiteten i foretakets virksomhet, jf. forskriften § 2.⁸⁾

Verdipapirforetak skal, dersom det er hensiktsmessig og står i forhold til deres virksomhets art, størrelse og kompleksitet og arten og omfanget av investeringstjenestene og investeringsvirksomheten de utfører, innføre og opprettholde en uavhengig risikostyringsfunksjon, jf. delegert kommisjonsforordning (EU) 2017/565 artikkel 23 nr. 2, jf. vpf. § 2-2. Foretaket skal eventuelt også innføre og opprettholde en uavhengig internrevisjonsfunksjon, jf. artikkel 24.

Små verdipapirforetak med begrenset virksomhet kan ha en samlet compliance- og risikostyringsfunksjon. Større foretak med bredt tjenestespekter og komplisert risikobilde må ha separate compliance- og risikostyringsfunksjoner, og bør etter omstendighetene også vurdere å ha en uavhengig internrevisjon som rapporterer til styret. En plikt til internrevisjon kan også følge av forskrift om risikostyring og internkontroll § 9.⁹⁾

2.12  Hvitvaskingsansvarlig

Verdipapirforetak skal forebygge og avdekke transaksjoner med tilknytning til utbytte av straffbare handlinger eller med tilknytning til terrorfinansiering. Nærmere regler om tiltak mot hvitvasking og terrorfinansiering finnes i hvitvaskingsloven (hvvl.) og hvitvaskingsforskriften. Foretakets rutiner skal utarbeides med bakgrunn i risikovurderingen som er gjort for virksomheten. Både rutiner og risikovurdering skal være skriftlige, og de skal oppdateres jevnlig, jf. hvvl. §§ 7 og 8.

Foretaket skal utpeke en hvitvaskingsansvarlig i ledelsen som er ansvarlig for at hvitvaskingsrutinene gjennomføres og etterleves i virksomheten, jf. hvvl. § 8 (5). Dersom foretakets art og omfang tilsier det, skal foretaket også utpeke en etterlevelsesansvarlig, jf. hvvl. § 35 (2) (a). Etterlevelsesansvarlig kan ikke være samme person som hvitvaskingsansvarlig.

Kravene i hvitvaskingsloven er nærmere omtalt i Finanstilsynets rundskriv 4/2022 Veileder til hvitvaskingsloven.¹⁰⁾

2.13  Utkontraktering

Verdipapirforetak skal treffe betryggende tiltak slik at operasjonell risiko begrenses til et minimum når det benytter seg av en tredjepart til å utføre operasjonelle funksjoner, jf. vphl. § 9-16 (1) nr. 4. Foretaket kan ikke overlate viktige operasjonelle funksjoner til en tredjepart dersom dette fører til at foretakets internkontroll og evne til å påse etterlevelsen av dets forpliktelser blir merkbart forringet, eller at Finanstilsynets mulighet for å føre tilsyn med virksomheten merkbart forringes eller vanskeliggjøres, jf. vphl. § 9-16 (2).

Utfyllende regler om utkontraktering er gitt i delegert kommisjonsforordning (EU) 2017/565 artikkel 30 til 32, jf. vpf. § 2-2.

Utkontraktering av viktig eller kritisk virksomhet skal meldes til Finanstilsynet, jf. finanstilsynsloven § 4c og forskrift om meldeplikt ved utkontraktering av virksomhet mv. § 3. Slik melding skal gis ved bruk av Altinn-skjema KRT-1121.¹¹⁾

Utkontrakteringsregelverket er nærmere omtalt i Finanstilsynets rundskriv 7/2021 Veiledning om utkontraktering.¹²⁾

2.14  Grensekryssende virksomhet

Verdipapirforetak kan drive grensekryssende virksomhet i andre EØS-stater enten direkte fra forretningssted i Norge, jf. vphl. § 9-32, eller ved etablering av filial eller bruk av tilknyttet agent i en annen EØS-stat, jf. vphl. § 9-33.¹³⁾ Informasjon om dette og tilhørende skjemaer som skal benyttes, er tilgjengelig på Finanstilsynets nettsted.¹⁴⁾ Etablering av datterselskap eller filial utenfor EØS krever tillatelse fra Finanstilsynet, jf. vphl. § 9-21 (3). Grensekryssende virksomhet utenfor EØS uten tilhørende etablering er ikke regulert i verdipapirhandelloven, men kan være underlagt begrensninger i vedkommende stat. Slik virksomhet kan for øvrig innebære særskilte risikoer, som verdipapirforetaket må påse at blir håndtert på en tilfredsstillende måte. 

3  Håndtering av informasjon og interessekonflikter

3.1  Innledning

Investeringstjenestevirksomhet har en rekke iboende interessekonflikter. Enkelte investeringstjenester og kombinasjoner av slike tjenester vil være mer utsatt for interessekonflikter enn andre. Med interessekonflikt menes her tilfeller hvor ulike parter – verdipapirforetaket, verdipapirforetakets ulike avdelinger, dets kunder og/eller ansatte – har ulik interesse av utfallet av en transaksjon, et oppdrag eller en tjeneste.

Verdipapir­foretak skal treffe alle rimelige forholdsregler med hensyn til å identifisere interessekonflikter mellom foretaket og kundene og kundene imellom, samt være bygget opp og organisert på en slik måte at risikoen for slike interesse­konflikter begrenses til et minimum, jf. vphl. §§ 10-2 (1) og 9-16 (1) nr. 2.

Verdipapirforetak vil tidvis også kunne besitte innsideinformasjon, som stiller særlige krav til informasjonshåndtering, både eksternt og internt.¹⁵⁾ Ansatte, tillitsvalgte og personer med bestemmende innflytelse i verdipapirforetak har også en generell taushetsplikt om det de i sin virksomhet får kjennskap til om andres forhold, med mindre annet er bestemt i lov eller forskrifter gitt med hjemmel i lov, jf. vphl. § 10-5. Dette må det tas hensyn til ved verdipapirforetaks organisering.

Verdipapirforetak bør med utgangspunkt i ovennevnte bestemmelse pålegge alle ansatte å undertegne en taushetserklæring. Erklæringen bør som minimum inneholde henvisning til relevante lovbestemmelser og en presisering av at taushetsplikten gjelder overfor enhver, også overfor personer internt i verdipapirforetaket som ikke har et saklig behov for den aktuelle informasjonen i sitt arbeid.

Verdipapirforetak skal videre gjennom intern opplæring sørge for at ansattes bevissthet om regelverket er høy.

Håndtering av potensielle interessekonflikter og hindring av spredning av konfidensiell informasjon må videre ivaretas gjennom detaljerte rutiner, systemer og krav til organisering av verdipapir­foretak (informasjonssperrer). Med informasjonssperrer menes her ethvert tiltak som tar sikte på å hindre at konfidensiell informasjon som er kjent hos personer i en del av foretaket, kan tilflyte personer i en annen del av foretaket. Informasjonssperrer har med andre ord et tosidig formål, som er å minimere risikoen for interessekonflikter og å hindre spredning av konfidensiell informasjon mellom foretakenes ulike avdelinger. Informasjonssperrer må være tette, og både utstedere og investorer må ha tillit til at fortrolig informasjon ikke flyter mellom avdelingene.

Det skal foreligge informasjonssperrer mellom ulike deler av virksomheten (avdelinger). Informasjonssperrene skal utformes slik at de hindrer interessekonflikter og flyt av konfidensiell informasjon internt i foretaket. Dersom verdipapirforetak har effektive informasjons­sperrer, vil personer på den andre siden av sperren ikke bli ansett å inneha informasjon som besittes innenfor sperren.

Verdipapirforetak bør også ha informasjonssperrer internt på de enkelte avdelingene. Informasjonssperrenes karakter og omfang må bero på en totalvurdering hvor forhold som avdelingens størrelse målt ut fra antall ansatte, avdelingens eventuelle organisering i sektorteam/prosjektteam o.l., oppdragenes sensitivitet og oppdragsgivers behov må tas særlig hensyn til.

Finanstilsynet presiserer at formelle rutiner og bruk av informasjonssperrer må respekteres og følges opp internt. Det er viktig i den forbindelse at ledelse og ansatte i verdipapirforetaket er bevisst når det gjelder interessene de skal tjene, og bygger en kultur i foretaket som understøtter dette og gir tillit utad.

Nedenfor beskrives enkelte tiltak som verdipapirforetak må ha på plass for å sikre god håndtering av informasjon og interessekonflikter. 

3.2  Godkjenningsfunksjon for oppdrag

Med mindre verdipapirforetaket har begrenset virksomhet og tjenestespekter, bør verdipapirforetaket ha en overordnet og sentralisert funksjon (en ­godkjenningsfunksjon for oppdrag, også ofte omtalt som Engagement Committee, Evaluation Committee, Deal Committee e.l. – heretter omtalt som komiteen), som skal ha totaloversikt over alle foretakets engasjementer. Foretaket må utarbeide rutiner for komiteens organisering, oppgaver og saksbehandling.

Komiteen skal ved hvert nytt oppdrag identifisere mulige interessekonflikter og påse at det blir iverksatt tiltak for å hindre eller håndtere slike. I ytterste konsekvens kan komiteens beslutning måtte bli at foretaket ikke kan påta seg oppdraget fordi interessekonfliktene ikke kan håndteres på en forsvarlig måte. Med "oppdrag" menes i denne forbindelse primært oppdrag innen foretakets corporaterådgivning og plasseringsvirksomhet (både relatert til egen- og fremmedkapital). Etter omstendighetene vil imidlertid også oppdrag innen foretakets annenhåndsvirksomhet (mottak og formidling av ordre, utførelse av ordre og egenhandel) kunne være relevant, dersom oppdraget vurderes som spesielt (på grunn av størrelse, oppdragsgiver e.l.). 

Komiteen må være innrettet/sammensatt på en slik måte at den har oversikt over alle foretakets engasjementer uavhengig av informasjonssperrer. Grunnen til dette er at det skal kunne foretas en reell vurdering av eventuelle interessekonflikter knyttet til et potensielt oppdrag. I banker med tillatelse til å yte investeringstjenester bør komiteen også ha medlemmer fra bankens kredittområde. Komiteen bør, så langt det er praktisk mulig, bestå av administrative, og ikke operative, personer.

Foretakets compliancefunksjon må følge med på komiteens arbeid og ha tilgang til all relevant informasjon som behandles der.

3.3  Organisatoriske informasjonssperrer

For å motvirke interessekonflikter skal verdipapirforetak som utgangspunkt ha egen faktisk leder for investeringstjenesten porteføljeforvaltning. Foretak med begrenset tjenestespekter vil etter omstendighetene kunne ha en samlet faktisk ledelse for porteføljeforvaltning og andre investeringstjenester. Foretaket må i så fall dokumentere hvordan en slik organisering vil være forenlig med foretakets plikt til å være oppbygd og organisert på en slik måte at risikoen for interessekonflikter begrenses til et minimum, jf. vphl. § 9-16 (1) nr. 2 og § 10-2.

Foretak som regelmessig besitter innsideinformasjon, skal ha en egen faktisk leder for de investeringstjenestene der slik informasjon behandles.

3.4  Systemmessige informasjonssperrer

Avdelinger som regelmessig er i besittelse av konfidensiell informasjon, skal ha egne områder i foretakets IKT-system, som ansatte ved andre av foretakets avdelinger ikke skal ha tilgang til.

Det skal også etableres systemmessige informasjonssperrer internt i avdelinger som regelmessig er i besittelse av innsideinformasjon, som sikrer at kun de som jobber med de aktuelle sakene, har elektronisk tilgang til disse.  

3.5  Fysiske informasjonssperrer

Avdelinger/ansatte som regelmessig er i besittelse av innsideinformasjon, som avdelinger/ansatte som yter investeringstjenesten plassering og den tilknyttede tjenesten corporaterådgivning innenfor egen- og fremmedkapital, skal være fysisk atskilt og avlåst fra foretakets øvrige virksomhet/ansatte. Tilsvarende bør også gjelde for avdelinger som yter investeringstjenesten porteføljeforvaltning eller driver analysevirksomhet. I større kredittinstitusjoner bør det også være fysiske informasjonssperrer mellom meglerbordet og kredittinstitusjonens øvrige virksomhet.

Verdipapirforetak må vurdere om foretakenes ovennevnte avdelinger er av en slik størrelse at det også er behov for fysiske informasjonssperrer internt i avdelingene for å sikre at informasjonen ikke spres til andre ansatte enn de som har saklig behov for tilgang til informasjonen.

Møter for ovennevnte avdelinger skal holdes på egne møterom atskilt fra foretakets øvrige virksomhet og uten innsyn fra andre medarbeidere.

3.6  Overvåkingslister

Verdipapirforetak skal føre overvåkingslister som inneholder oversikt over alle oppdrag foretaket til enhver tid har, som i seg selv utgjør innsideinformasjon eller som inneholder innsideinformasjon, samt indikasjoner på slike oppdrag. Listen skal være konfidensiell og kun tilgjengelig for dem som har et saklig behov for tilgang til listen. Medlemmer i godkjenningsfunksjonen for oppdrag vil normalt ha slikt saklig behov, jf. punkt 3.2 ovenfor. Foretakets compliancefunksjon har ansvar for at overvåkingslisten blir ført.

4  Sentrale virksomhetskrav

4.1  Innledning

Verdipapirforetakenes virksomhet er regulert i en rekke bestemmelser i verdipapirhandelloven og verdipapirforskriften. Sentrale bestemmelser knyttet til god forretningsskikk, interessekonflikter, kundeklassifisering, kundetesting og opplysningsplikt har som formål å ivareta den alminnelige tilliten til verdipapirmarkedet. I sin løpende tilsynsvirksomhet og ved gjennomføring av stedlige tilsyn retter Finanstilsynet særlig oppmerksomheten mot verdipapirforetakenes rutiner, atferd, styring og kontroll på disse områdene. Alvorlige overtredelser her kan gi grunnlag for tilbakekall av konsesjonen.

Finanstilsynet legger til grunn ESMAs retningslinjer knyttet til verdipapirforetakenes virksomhet (om produktstyring, egnethetsvurdering, ansattes godtgjørelse, kompetansekrav for ansatte mv.). En oversikt over disse er tilgjengelig på Finanstilsynets nettsted.¹⁶⁾

Det pekes i det følgende på enkelte områder hvor Finanstilsynet gjennom sin tilsynspraksis har sett behov for veiledning. Temaene som omtales i det følgende, er svært viktige ledd i investorbeskyttelsen. Det vises for øvrig til Finanstilsynets offentlige tilsynsrapporter¹⁷⁾ og likelydende brev¹⁸⁾ til verdipapirforetak på Finanstilsynets nettsted.

4.2  God forretningsskikk 

Det følger av vphl. § 10-9 (1) at verdipapirforetak skal utøve sin virksomhet i samsvar med god forretningsskikk. Foretaket skal opptre ærlig, redelig og profesjonelt i tråd med kundens beste interesse og påse at markedets integritet ivaretas på beste måte. Foretakene skal følge dette overordnede prinsippet i all sin virksomhet, og ikke kun når det ytes investeringstjenester. Dette innebærer at et verdipapirforetak er underlagt kravene om god forretningsskikk også når det driver annen næringsvirksomhet (jf. vphl. § 10-3), som for eksempel å tilby andre produkter enn finansielle instrumenter. Dette innebærer også at et foretak må dokumentere hele sin virksomhet, slik at Finanstilsynet kan kontrollere dette.

Det er avgjørende for et verdipapirforetaks etterlevelse av kravet til god forretningsskikk at foretakets ledelse sørger for en god kultur i hele organisasjonen, og at den aktivt synliggjør sitt engasjement for dette. Ledelsen må sørge for at foretakets ansatte er bevisst hensynene bak kravene om god forretningsskikk, interessekonflikter og investorbeskyttelse, og at etterlevelse av dette er en grunnleggende forutsetning for foretakets virksomhet.

4.3  Kundeklassifisering 

Alle foretakets kunder skal klassifiseres som enten ikke-profesjonell, profesjonell eller kvalifisert motpart, jf. vphl. §§ 10-6, 10-7 og 10-23. Det er viktig at den enkelte kunde er korrekt klassifisert, slik at kunden kan motta den graden av investorbeskyttelse kunden har krav på.

En ikke-profesjonell kunde kan be om å bli behandlet som profesjonell dersom to av tre spesifiserte kriterier er oppfylt, jf. vphl. § 10-7 (2). Profesjonelle kunder har ikke krav på samme beskyttelse som ikke-profesjonelle, og det følger derfor særlige krav til prosedyren ved kunders avkall på beskyttelse som ikke-profesjonell, jf. vphl. § 10-8. Omklassifisering fra ikke-profesjonell til profesjonell skal skje på kundens eget initiativ, og kundens anmodning om dette skal være skriftlig. Kunden skal opplyse om dette gjelder generelt, eller bare i relasjon til en bestemt investeringstjeneste, transaksjon eller produkt. Verdipapirforetaket skal gi kunden en tydelig skriftlig advarsel om investorbeskyttelsen og rettighetene kunden gir avkall på. Kunden skal i et annet dokument enn kundeavtalen erklære skriftlig at følgene av å gi avkall på denne investorbeskyttelsen er forstått.

Profesjonelle kunder kan be om å bli behandlet som ikke-profesjonelle, jf. vphl. § 10‑6 (3).

Kunder som har akseptert å bli behandlet som kvalifiserte motparter, har kun krav på den laveste graden av investorbeskyttelse. Det er utelukkende kunder som nevnt i 
vphl. § 10-23 (2) som kan klassifiseres som kvalifisert motpart.¹⁹⁾ Det er ikke anledning for en ikke-profesjonell eller profesjonell kunde til å be om å bli behandlet som kvalifisert motpart.

4.4  Vurdering av egnethet og hensiktsmessighet 

Verdipapirforetak plikter å gjennomføre en egnethets- eller en hensiktsmessighetsvurdering av kunden før det ytes investeringstjenester, jf. vphl. § 10-15. Utfyllende regler om gjennomføring av egnethets- og hensiktsmessighetsvurdering er gitt i delegert kommisjonsforordning (EU) 2017/565 artikkel 54 til 56, jf. vpf. § 2-2.

Ved ytelse av porteføljeforvaltning eller investeringsrådgivning skal foretaket gjennomføre en egnethetsvurdering hvor det skal innhentes opplysninger om kundens kunnskap om og erfaring fra det aktuelle investeringsområdet, kundens finansielle situasjon og kundens investeringsmål, herunder kundens risikotoleranse og evne til å bære tap, jf. vphl. § 10-15 (1). Undersøkelsene skal sette foretaket i stand til å anbefale de finansielle instrumentene som egner seg for kunden. Opplysningene om kundens investeringsmål skal også omfatte eventuelle bærekraftspreferanser, jf. forordning (EU) 2017/565 artikkel 54 nr. 2 bokstav a) og nr. 5.

Ved ytelse av andre investeringstjenester skal foretaket gjennomføre en hensiktsmessighetsvurdering hvor det skal innhentes opplysninger om kundens kunnskap om og erfaring fra det aktuelle investeringsområdet, jf. vphl. § 10-15 (3). Undersøkelsene skal sette foretaket i stand til å vurdere om det påtenkte finansielle instrumentet er hensiktsmessig for kunden.

Foretakets undersøkelsesplikt ved egnethets- og hensiktsmessighetsvurderingen varierer etter om kunden er klassifisert som ikke-profesjonell eller profesjonell, og etter om eventuell klassifisering som profesjonell følger av loven eller av en anmodning om omklassifisering, jf. forordning (EU) 2017/565 artikkel 54 nr. 3 og artikkel 56 nr. 1 annet ledd.

Det følger av det ovennevnte at det ved ytelse av investeringsrådgivning eller porteføljeforvaltning stilles langt strengere krav til verdipapirforetakets undersøkelser av kundens situasjon enn ved ytelse av andre investeringstjenester. Formålet er å øke investorbeskyttelsen, og det er ikke-profesjonelle kunder som har det sterkeste vernet. Grunnleggende forutsetninger for å etterleve kravene knyttet til egnethetsvurderingen er at foretaket har sørget for korrekt kundeklassifisering, at foretaket er bevisst hvilken investeringstjeneste som faktisk ytes, og at foretakets vurderinger er basert på oppdatert informasjon om kundens situasjon. Investeringsrådgivning er definert i vphl. § 2-3 (4) og nærmere omtalt i CESRs Q&A "Understanding the definition of advice under MiFID",²⁰⁾ og vil etter omstendighetene ytes både fra et foretaks "meglerbord" og fra andre deler av et foretaks virksomhet. Foretaket må påse at kundeinformasjonen oppdateres jevnlig, jf. forordning (EU) 2017/565 artikkel 54 nr. 7. Hyppigheten i oppdateringen bør være risikobasert, hvor blant annet forhold som type investeringstjeneste og type finansielle instrumenter inkluderes i vurderingen.

Det sentrale temaet i både egnethets- og hensiktsmessighetsvurderingen er kundens forhold til risiko. Foretaket må, ved vurdering av både egnethet og hensiktsmessighet, innhente tilstrekkelige opplysninger til å vurdere om kunden er i stand til å forstå risikoen knyttet til det konkrete finansielle instrumentet og den konkrete transaksjonen. I tillegg må foretaket ved vurdering av egnethet innhente tilstrekkelige opplysninger til å vurdere om kunden både er villig og har finansiell evne til å påta seg risikoen knyttet til den konkrete transaksjonen. Foretaket må dokumentere at det er foretatt en reell egnethets- eller hensiktsmessighetsvurdering. I praksis innebærer dette at foretaket må dokumentere både hvilke opplysninger om kunden det har innhentet, konklusjonene som er trukket, og begrunnelsen for disse konklusjonene.

Finanstilsynet presiserer at verdipapirforetak må kartlegge kundens profil og risikotoleranse uavhengig av sitt eget produkt- og tjenestespekter. Først når kundens profil og risikotoleranse er kartlagt, kan foretaket gå videre og vurdere hvilke tjenester, produkter og transaksjoner som er egnet for den aktuelle kunden. Det kan derfor oppstå situasjoner der ingen av foretakets tilbudte tjenester, produkter eller transaksjoner kan anses egnet for en kunde.

4.5  Produktstyring 

Regelverket oppstiller en rekke krav knyttet til produktstyring for å sikre at verdipapirforetak har høy bevissthet og kunnskap om de finansielle instrumentene som produseres og/eller distribueres, og at produktene og tjenestene som verdipapirforetaket har til hensikt å tilby eller anbefale, er forenlige med den identifiserte målgruppens behov, egenskaper og mål. Produktstyring er regulert i vphl. §§ 9-19 og 10-9, og i vpf. kapittel 9, punkt VII og VIII.

Verdipapirforetak kan være både produsent og distributør av et finansielt instrument, og må etterleve de korresponderende kravene. Alle verdipapirforetak har minst en av rollene. Med produksjon menes å skape, utvikle, utstede eller utforme finansielle instrumenter, jf. vpf. § 9‑15. Tilretteleggere av emisjoner i finansielle instrumenter er produsenter. Med distribusjon menes å tilby eller anbefale finansielle instrumenter som foretaket ikke selv har produsert, jf. vphl. § 9-19 (4). Rollen som distributør forutsetter ikke at det er inngått distribusjonsavtale med en produsent. Det er tilstrekkelig at produktet tilbys, eksempelvis via en nettbasert handelsplattform.

Ved identifisering av målgruppe skal produsenter og distributører benytte de fem kategoriene beskrevet i ESMAs retningslinjer om produktstyring. Ved identifisering av distribusjonsstrategi skal produsenter og distributører vurdere aktuell investeringstjeneste med tilhørende nivå av investorbeskyttelse og nødvendige kundeopplysninger (egnethetsvurdering, hensiktsmessighetsvurdering, "execution-only"). Type distribusjonskanaler bør også vurderes (telefon, sms, e-post, nettbasert, fysisk møte etc.).

Produktstyringen skal være forholdsmessig, og detaljgraden i målgruppevurderingen skal tilpasses blant annet kompleksiteten og risikoen i produktene. Det er for eksempel anledning til å identifisere målgruppe for en gruppe produkter som innehar tilstrekkelig sammenlignbare egenskaper. En felles vurdering av målgruppe og distribusjonsstrategi for en gruppe produkter forutsetter dermed at produktgruppen ikke er for bredt sammensatt av produkter med ulike egenskaper og risiko. Verdipapirforetak må ta hensyn til en rekke faktorer ved en slik gruppering av produkter, herunder produktenes kompleksitet, risikofaktorer, likviditet, volatilitet, kostnadsstruktur og eventuell belåningsgrad/gearing. Finanstilsynet forventer at et foretaks godkjente produktgrupper fremgår av foretakets rutiner for produktstyring.

4.6  Informasjon om risiko og kostnader 

Det følger av vphl. § 10-10 at verdipapirforetak skal påse at all informasjon til kunder eller potensielle kunder er balansert, klar og ikke villedende, og at kunder og potensielle kunder i god tid før det ytes investeringstjeneste eller tilknyttet tjeneste gis relevant informasjon om blant annet finansielle instrumenter, foreslåtte investeringsstrategier og alle kostnader og gebyrer i samsvar med denne bestemmelsen. Informasjonen om finansielle instrumenter og foreslåtte investeringsstrategier skal omfatte hensiktsmessig veiledning og advarsel om risiko forbundet med investeringer i de aktuelle instrumentene eller foreslåtte investeringsstrategiene, og informasjon om det finansielle instrumentet er tiltenkt ikke-profesjonelle eller profesjonelle kunder.

Utfyllende regler om opplysninger som skal gis av verdipapirforetak om kostnader og tilknyttede gebyrer, er gitt i delegert kommisjonsforordning (EU) 2017/565 artikkel 50, jf. vpf. § 2-2. Kravene er også nærmere omtalt i ESMAs "Q&A on MiFID II and MiFIR investor protection and intermediaries topics" kapittel 9.²¹⁾

4.7  Investeringsrådgivning og andre konsepter rettet inn mot kortsiktig overdreven verdipapirhandel 

Kortsiktige og hyppige transaksjoner vil medføre økte transaksjonskostnader for kunden og økte inntekter for verdipapirforetaket. Hensyntatt transaksjonskostnader som "spread" (differansen mellom kjøps- og salgskurs) og kurtasje vil kortsiktig og hyppig handel sannsynligvis ikke være en lønnsom strategi for kunden over tid, og vil dermed i mange tilfeller ikke være i kundens interesse. Verdipapirforetak som yter investeringsråd basert på kortsiktig og hyppig handel, vil raskt komme i strid med kravet om god forretningsskikk og håndtering av interessekonflikter. Som også antydet i avsnitt 88 i fortalen til delegert kommisjonsforordning (EU) 2017/565, vil investeringsråd som innebærer kortsiktig og hyppig handel over tid mest sannsynlig være uegnet for de fleste kunder. Finanstilsynet har gjennom sin tilsynsvirksomhet observert at kunder som har fulgt en kortsiktig handelsstrategi, i mange tilfeller har tapt penger. Når en slik strategi i tillegg inkluderer belåning eller handel på margin, gjennom for eksempel handel i finansielle differansekontrakter (CFD-er) – som gir mulighet for svært høy belåningsgrad, forsterkes tapene eksponentielt i forhold til belåningsgraden.  

For verdipapirforetak som på annet vis enn gjennom investeringsrådgivning er pådriver for kunders kortsiktige og hyppige handel (ved å fremme kortsiktige handelsstrategier gjennom eksempelvis konsepter som "modellporteføljer" o.l. eller hyppige utsendelser av kortsiktige investeringsanbefalinger), vil det også over tid være svært krevende å etterleve kravene til god forretningsskikk og håndtering av interessekonflikter. Finanstilsynet har som utgangspunkt at slike konsepter over tid neppe vil være økonomisk bærekraftige for kunden, og de vil dermed ikke være i kundens interesse.

Noter