Frågor och svar om utlagd verksamhet

Den 30 september 2019 trädde Europeiska bankmyndighetens uppdaterade riktlinjer om utlagd verksamhet (outsourcing) i kraft – Riktlinjer för utkontraktering (EBA/GL/2019/02). Här har FI samlat frågor och svar om riktlinjerna och om FI:s syn på utlagd verksamhet.


Vilka bolag omfattas av EBA:s uppdaterade riktlinjer om utkontraktering?

Riktlinjerna omfattar utöver kreditinstitut även värdepappersföretag, betalningsinstitut och institut för elektroniska pengar. FI ser dock på utlagd verksamhet på samma sätt oavsett regelverk. Finansiella företag förväntas därmed hantera tredjepartsrisker på ett likvärdigt sätt oavsett vilket område av finansmarknaden företaget agerar på (bank, kreditinstitut, betalningsinstitut, marknadsinfrastrukturbolag, försäkring).

När trädde EBA:s riktlinjer i kraft och vad innebär det?

Riktlinjerna trädde i kraft den 30 september 2019 och alla avtal som ingås eller revideras på eller efter detta datum omfattas av dem. Finansiella företag bör uppdatera och revidera existerande avtal för att säkerställa att de efterlever de nya riktlinjerna.

Kommer EBA:s rekommendationer om utkontraktering till molntjänstleverantörer från 2017 också att uppdateras nu?

Nej, dessa rekommendationer har införlivats i de nya riktlinjerna. I och med att EBA:s nya riktlinjer om utkontraktering träder i kraft upphävs både CEBS riktlinjer om outsourcing från 2006 och EBA:s rekommendationer om utkontraktering till molntjänstleverantörer från 2017.

Hur kommer FI att tillämpa EBA:s riktlinjer och hur ser FI på riktlinjerna och de krav som ställs på företag som står under tillsyn av FI?

FI följer EBA:s riktlinjer om utkontraktering och har inte för avsikt att avvika från riktlinjernas krav på finansiella företag i Sverige.

Hur definierar man utlagd verksamhet?

Utlagd verksamhet (utkontraktering, outsourcing) är när ett företag sluter avtal med en leverantör om att utföra (helt eller delvis) en process, tjänst eller annan aktivitet som företaget i annat fall själv skulle utföra.

Vad är tredjepartsrisk?

Tredjepartsrisker är de risker som ett företag exponeras mot eller kan exponeras mot som ett resultat av ett avtal med en annan part.

Var går skiljelinjen mellan utkontraktering av tjänst, och köp av tjänst?

Skiljelinjen mellan utkontraktering och köp av tjänst är dynamisk och beror i varje enskilt fall av vilka tjänster som avses och hur kritiska dessa tjänster är för bolagets verksamhet. Att definiera om ett visst avtal är utkontraktering eller köp av tjänst kan endast med säkerhet göras baserat på en genomförd riskanalys. Alltså bör all verksamhet som involverar tredjepartsleverantörer analyseras utifrån ett riskperspektiv och hanteras i enlighet med analysens utfall.

Varför växlar man mellan så många olika uttryck till exempel tredjepartsrisk, outsourcing, utkontraktering och utlagd verksamhet?

Det har helt enkelt uppkommit ett flertal olika svenska och engelska uttryck som används omväxlande. Det viktigaste – oavsett vilket uttryck man använder sig av – är att de risker som följer av att lägga ut delar av verksamheten till ett annat företag än det egna måste hanteras.

Mitt företag vill lägga ut en del av verksamheten, vad ska man tänka på i första hand?

Att ansvaret för tjänster och risker som är kopplade till verksamheten kan aldrig läggas ut på en annan part. Det finansiella företagets egen riskanalys är helt avgörande för om verksamhet alls kan läggas ut samt i vilken omfattning uppföljningsarbete ska genomföras. Utlagd verksamhet ställer alltid krav på god intern styrning, riskhantering och kontroll.

Stämmer det att riktlinjerna anger att man bör föra ett register över samtliga avtal om utlagd verksamhet, och i så fall varför?

Ja det stämmer. Syftet är att registret ska ingå i företagets riskramverk. Det syftar också till att myndigheten ska kunna utöva en effektiv tillsyn över de finansiella företagens utlagda verksamhet, inklusive att identifiera och bedöma risker i samband med den utlagda verksamheten.

Gäller kraven i riktlinjerna även internt utlagd verksamhet?

Ja, riktlinjerna gäller även då. Att verksamheten utförs inom koncernen innebär inte att de risker som är förknippade med den utlagda verksamheten nödvändigtvis är lägre än om den utförts av en extern leverantör. Företagen behöver i dessa fall även specifikt beakta risker förknippade med intressekonflikter.

Mitt bolag har många leverantörsavtal. EBA:s riktlinjer fokuserar på utläggning av kritisk eller viktig verksamhet. Det anser vi inte att våra avtal omfattas av. Betyder det att riktlinjerna inte gäller oss?

Det stämmer att riktlinjerna fokuserar på kritisk eller viktig utlagd verksamhet, men företagen behöver göra en riskbedömning av alla avtal med en tredje part, oavsett om det är att betrakta som utlagd verksamhet eller inte. Bolaget behöver identifiera, värdera, övervaka och hantera alla de risker som de exponeras mot eller kan exponeras mot som ett resultat av ett avtal med en tredje part. Exakt hur riskbedömningen ska genomföras, och i vilken omfattning, beror på bolagets karaktär och specifika förutsättningar.

Behöver jag tänka på något särskilt när jag lägger ut verksamhet till länder utanför EU (så kallat tredjeland)?

Utläggning av verksamhet till länder utanför EU ställer högre krav på riskbegränsande åtgärder för att säkerställa att utläggningen inte orsakar en ökad risk för verksamheten eller begränsar nationella myndigheters möjlighet att effektivt utöva tillsyn.

Det sägs att FI motsätter sig användning av molntjänster, stämmer det?

FI ser inte någon principiell anledning till varför finansiella företag inte skulle kunna använda molntjänster hos externa leverantörer. Men företag som tänker använda molntjänster behöver vara specifikt uppmärksamma på avtalsvillkoren och säkerställa att de avtal som de ingår, eller har ingått, inte innehåller begränsningar som försvårar eller omöjliggör riskhantering, kontroll och tillsyn.

Är användning av molntjänster förenligt med andra regelverk kring dataskydd, till exempel dataskyddsförordningen (GDPR)?

Finansiella företag måste säkerställa fullgott skydd av persondata och måste efterleva kraven enligt dataskyddsförordningen. Företag som lägger ut it-infrastruktur eller it-tjänster måste även säkerställa att de efterlever internationellt erkända informations- och säkerhetsstandarder.

Alla molntjänster mitt bolag använder är gratis eller "prova på"-tjänster. Då omfattas vi väl inte av riktlinjerna?

Det saknar betydelse om företaget behöver betala för tjänsten. En riskbedömning behöver göras precis som för alla andra avtal.

De stora molntjänstleverantörerna använder sig ofta av standardavtal som är svåra för enskilda svenska företag att omförhandla. Kan inte FI meddela vilka standardavtal som kan anses godkända och som enligt FI följer regelverket så att företagen lättare kan avgöra om de kan ingå dessa avtal eller inte?

Varje bolag har sin unika karaktär och sina specifika förutsättningar att ta hänsyn till när de träffar avtal med en tredje part. Bolaget behöver identifiera, värdera, övervaka och hantera alla de risker som de exponeras mot eller kan exponeras mot som ett resultat av ett avtal med en tredje part. Slutsatsen av sådan riskbedömning har en avgörande betydelse för hur avtalet bör utformas. FI kommer alltså inte att tillhandahålla någon så kallad vitlistning, eller förhandsgodkännande av leverantörer, eller godkänna vissa standardavtal eftersom en leverantörs lämplighet och ett avtals utformning helt beror på företagets unika förutsättningar.

Vad innebär uttrycket obegränsad revisionsrätt, som EBA:s riktlinjer anger, för mitt bolag i praktiken?

En oinskränkt (obegränsad) revisionsrätt, det vill säga en rätt för företaget och tillsynsmyndigheter att få besöka lokaler och få tillgång till information, system, processer etcetera som hör att göra med den utlagda verksamheten, får inte begränsas i en avtalstext. Om företaget väljer att utföra en revision i egen regi, genom en utsedd tredje part, sin egen internrevision eller externrevision eller om möjligt tillsammans med andra bestämmer företaget själv, baserat på sin riskanalys och situation med hänsyn till händelser som påverkar risk som hör samman med den utlagda verksamheten. Det är alltså ingenting som får avtalas bort. I de specifika fall där det uppstår en risk för molntjänsteleverantörens andra kunder vid en begärd revision ska företaget erbjudas andra möjligheter att få samma försäkring om att risker är hanterade som en revision hade inneburit.

Vad är sub-outsourcing eller så kallad chain outsourcing?

Det innebär att en leverantör som man lägger ut sin verksamhet till i sin tur lägger ut denna verksamhet till en annan leverantör. Detta ökar riskexponeringen ytterligare.

Kan en gemensam revision ske genom molntjänstleverantörens försorg, genom att denne anlitar en extern part som gör revisionen och att molntjänstleverantörens kunder sedan får ta del av revisionen?

Kan en gemensam revision ske genom molntjänstleverantörens försorg, genom att denne anlitar en extern part som gör revisionen och att molntjänstleverantörens kunder sedan får ta del av revisionen?

Om leverantören är villig att bistå ett företag som önskar utföra en revision genom att samordna med andra företag, kan företaget välja att göra en gemensam revision. Observera att detta är en valmöjlighet som företaget har, om leverantören hjälper till att samordna. I annat fall ska företaget kunna utnyttja sin rätt till att göra n revision i egen regi. Det är alltså ett påbjudet alternativ för företaget att riskbaserat välja, i stället för att utföra en revision i egen regi. Företaget ska även kunna välja att ta del av en revision utförd av en part som leverantören uppdragit en revision till. Även detta är ett val som företaget gör baserat på sin riskbedömning, alltså inte en ersättning för möjligheten för företaget att utföra en revision i egen regi.

I grund och botten behöver företagen uppnå syftet med riskhanteringen. Revision på plats kan vara ett verktyg för detta.

Innebär revisions- och tillträdesrätten att jag som kund och/eller FI måste besöka min leverantörs datahall?

Tillträdesrätten utgör en rättighet för företaget att besöka leverantörens lokaler. Ett företag som lägger ut sin verksamhet måste dock på ett riskbaserat sätt kontrollera de risker som utläggningen för med sig. Ett företag kan därför behöva besöka en leverantörs lokaler.

Finns det någon dialog eller något samarbete mellan myndigheter inom EU i dessa frågor?

FI deltar i internationella samarbeten genom EU:s tillsynsmyndigheter Europeiska bankmyndigheten (EBA), Europeiska försäkrings- och tjänstepensionsmyndigheten (Eiopa) och Europeiska värdepappers- och marknadsmyndigheten (Esma) kring dessa och andra regelverk.

Det finns så många olika regelverk, praxis och instruktioner kring användning av molntjänster. Hur kan FI hjälpa mig att navigera rätt bland dessa?

Ett lämpligt sätt att komma i kontakt med FI när det gäller frågor kring molntjänster är att mejla till FI:s Innovationscenter på innovationscentret@fi.se.

Utöver att sammanställa dessa frågor och svar har FI spelat in ett poddradioavsnitt som just handlar om utlagd verksamhet. Det går att lyssna på där poddar finns och på FI:s webbplats på sidan FI-podden

Senast granskad: 2019-09-30
Laddar sidan