Den 30 september 2019 trädde Europeiska bankmyndighetens uppdaterade riktlinjer om utlagd verksamhet (outsourcing) i kraft – Riktlinjer för utkontraktering (EBA/GL/2019/02). Här har FI samlat frågor och svar om riktlinjerna och om FI:s syn på utlagd verksamhet.
Vilka bolag omfattas av EBA:s uppdaterade riktlinjer om utkontraktering?
Riktlinjerna omfattar utöver kreditinstitut även värdepappersföretag, betalningsinstitut och institut för elektroniska pengar. Men FI anser att riktlinjerna borde kunna fungera som god vägledning för alla slags företag inom finanssektorn där egna riktlinjer inte finns – oavsett företagstyp; bank, kreditinstitut, betalningsinstitut, marknadsinfrastrukturbolag – för hur det går att hantera risker i samband med utlagd verksamhet. Att följa riktlinjerna kan vara ett sätt att uppfylla de regler som gäller om utlagd verksamhet även om riktlinjerna inte formellt avser den egna verksamheten.
När trädde EBA:s riktlinjer i kraft och vad innebär det?
Riktlinjerna trädde i kraft den 30 september 2019 och alla avtal som ingås eller revideras på eller efter detta datum omfattas av dem. Riktlinjerna innebär också att existerande avtal behöver uppdateras och revideras.
Reviderade avtal som tidigare anmälts in till FI behöver inte anmälas på nytt. Har omfattande ändringar av avtalet genomförts kan företagen, om man ser anledning att göra det, anmäla in avtal på nytt till FI.
Kommer EBA:s rekommendationer om utkontraktering till molntjänstleverantörer från 2017 också att uppdateras nu?
Nej, dessa rekommendationer har införlivats i de nya riktlinjerna. I och med att EBA:s nya riktlinjer om utkontraktering träder i kraft upphävs både CEBS riktlinjer om outsourcing från 2006 och EBA:s rekommendationer om utkontraktering till molntjänstleverantörer från 2017.
Hur kommer FI att tillämpa EBA:s riktlinjer och hur ser FI på riktlinjerna och de krav som ställs på företag som står under tillsyn av FI?
FI följer EBA:s riktlinjer om utkontraktering och de krav som riktlinjerna ställer på finansiella företag i Sverige. FI:s uppfattning är att riktlinjer från EBA är likvärdiga med svenska allmänna råd. Företag ska därför "med alla tillgängliga medel söka följa riktlinjerna" (förordning (EU) nr 1093/2010). Riktlinjerna kan även användas i FI:s tillsynsaktiviteter.
FI har ännu inte reviderat sina föreskrifter på området med anledning av att EBA:s riktlinjer trätt i kraft, men kan komma att göra det.
Hur definierar man utlagd verksamhet?
Utlagd verksamhet (utkontraktering, outsourcing) är när ett företag sluter avtal med en leverantör om att utföra (helt eller delvis) en process, tjänst eller annan aktivitet som företaget i annat fall själv skulle utföra.
Vad är tredjepartsrisk?
Tredjepartsrisker är de risker som ett företag exponeras mot eller kan exponeras mot som ett resultat av ett avtal med en annan part.
Var går skiljelinjen mellan utkontraktering av tjänst, och köp av tjänst?
Skiljelinjen mellan utkontraktering och köp av tjänst är dynamisk och beror i varje enskilt fall av vilka tjänster som avses och hur kritiska dessa tjänster är för bolagets verksamhet. Att definiera om ett visst avtal är utkontraktering eller köp av tjänst kan endast med säkerhet göras baserat på en genomförd riskanalys. Alltså bör all verksamhet som involverar tredjepartsleverantörer analyseras utifrån ett riskperspektiv och hanteras i enlighet med analysens utfall.
Varför växlar man mellan så många olika uttryck till exempel tredjepartsrisk, outsourcing, utkontraktering och utlagd verksamhet?
Det har helt enkelt uppkommit ett flertal olika svenska och engelska uttryck som används omväxlande. Det viktigaste – oavsett vilket uttryck man använder sig av – är att de risker som följer av att lägga ut delar av verksamheten till ett annat företag än det egna måste hanteras.
Mitt företag vill lägga ut en del av verksamheten, vad ska man tänka på i första hand?
Att ansvaret för tjänster och risker som är kopplade till verksamheten aldrig kan läggas ut på en annan part. Det finansiella företagets egen riskanalys är helt avgörande för om verksamhet alls kan läggas ut samt i vilken omfattning uppföljningsarbete ska genomföras. Utlagd verksamhet ställer alltid krav på god intern styrning, riskhantering och kontroll.
Stämmer det att riktlinjerna anger att man bör föra ett register över samtliga avtal om utlagd verksamhet, och i så fall varför?
Ja det stämmer. Syftet är att registret ska ingå i företagets riskramverk. Det syftar också till att myndigheten ska kunna utöva en effektiv tillsyn över de finansiella företagens utlagda verksamhet, inklusive att identifiera och bedöma risker i samband med den utlagda verksamheten.
Gäller kraven i riktlinjerna även internt utlagd verksamhet?
Ja, riktlinjerna gäller även då. Att verksamheten utförs inom koncernen innebär inte att de risker som är förknippade med den utlagda verksamheten nödvändigtvis är lägre än om den utförts av en extern leverantör. Företagen behöver i dessa fall även specifikt beakta risker förknippade med intressekonflikter.
Mitt bolag har många leverantörsavtal. EBA:s riktlinjer fokuserar på utläggning av kritisk eller viktig verksamhet. Det anser vi inte att våra avtal omfattas av. Betyder det att riktlinjerna inte gäller oss?
Det stämmer att riktlinjerna fokuserar på kritisk eller viktig utlagd verksamhet, men företagen behöver göra en riskbedömning av alla avtal med en tredje part, oavsett om det är att betrakta som utlagd verksamhet eller inte. Bolaget behöver identifiera, värdera, övervaka och hantera alla de risker som de exponeras mot eller kan exponeras mot som ett resultat av ett avtal med en tredje part. Exakt hur riskbedömningen ska genomföras, och i vilken omfattning, beror på bolagets karaktär och specifika förutsättningar.
Behöver jag tänka på något särskilt när jag lägger ut verksamhet till länder utanför EU (så kallat tredjeland)?
Utläggning av verksamhet till länder utanför EU utgör en större geopolitisk risk och ställer högre krav på riskbegränsande åtgärder för att säkerställa att utläggningen inte orsakar en ökad risk för verksamheten eller begränsar nationella myndigheters möjlighet att effektivt utöva tillsyn.
Det sägs att FI motsätter sig användning av molntjänster, stämmer det?
FI ser inte någon principiell anledning till varför finansiella företag inte skulle kunna använda molntjänster hos externa leverantörer. Men företag som tänker använda molntjänster behöver vara specifikt uppmärksamma på avtalsvillkoren och säkerställa att de avtal som de ingår, eller har ingått, inte innehåller begränsningar som försvårar eller omöjliggör riskhantering, kontroll och tillsyn.
Är användning av molntjänster förenligt med andra regelverk kring dataskydd, till exempel dataskyddsförordningen (GDPR)?
Finansiella företag måste säkerställa fullgott skydd av persondata och måste efterleva kraven enligt dataskyddsförordningen. Företag som lägger ut it-infrastruktur eller it-tjänster måste även säkerställa att de efterlever internationellt erkända informations- och säkerhetsstandarder.
Alla molntjänster mitt bolag använder är gratis eller "prova på"-tjänster. Då omfattas vi väl inte av riktlinjerna?
Det saknar betydelse om företaget behöver betala för tjänsten. En riskbedömning behöver göras precis som för alla andra avtal.
De stora molntjänstleverantörerna använder sig ofta av standardavtal som är svåra för enskilda svenska företag att omförhandla. Kan inte FI meddela vilka standardavtal som kan anses godkända och som enligt FI följer regelverket så att företagen lättare kan avgöra om de kan ingå dessa avtal eller inte?
Varje bolag har sin unika karaktär och sina specifika förutsättningar att ta hänsyn till när de träffar avtal med en tredje part. Bolaget behöver identifiera, värdera, övervaka och hantera alla de risker som de exponeras mot eller kan exponeras mot som ett resultat av ett avtal med en tredje part. Slutsatsen av sådan riskbedömning har en avgörande betydelse för hur avtalet bör utformas. FI kommer alltså inte att tillhandahålla någon så kallad vitlistning, eller förhandsgodkännande av leverantörer, eller godkänna vissa standardavtal eftersom en leverantörs lämplighet och ett avtals utformning helt beror på företagets unika förutsättningar.
Vid överföring av personuppgifter till tredjeland kan företaget vidta olika skyddsåtgärder, som exempel kan standardavtalsparagrafer som godkänts av EU-kommissionen användas. Mer information finns på EU-kommissionens webbplats.
Vad innebär uttrycket obegränsad revisionsrätt, som EBA:s riktlinjer anger, för mitt bolag i praktiken?
En oinskränkt (obegränsad) revisionsrätt, det vill säga en rätt för företaget och tillsynsmyndigheter att få besöka lokaler och få tillgång till information, system, processer etcetera som har att göra med den utlagda verksamheten, får inte begränsas i en avtalstext. Om företaget väljer att utföra en revision i egen regi, genom en utsedd tredje part, sin egen internrevision eller externrevision eller om möjligt tillsammans med andra bestämmer företaget själv, baserat på sin riskanalys och situation med hänsyn till händelser som påverkar risk som hör samman med den utlagda verksamheten. Det är alltså ingenting som får avtalas bort. I de specifika fall där det uppstår en risk för molntjänsteleverantörens andra kunder vid en begärd revision ska företaget erbjudas andra möjligheter att få samma försäkring om att risker är hanterade som en revision hade inneburit.
Vad är sub-outsourcing eller så kallad chain outsourcing?
Det innebär att en leverantör som man lägger ut sin verksamhet till i sin tur lägger ut denna verksamhet till en annan leverantör. Detta ökar riskexponeringen ytterligare och möjligheten till god styrning och kontroll av den utlagda verksamheten försämras.
Kan en gemensam revision ske genom molntjänstleverantörens försorg, genom att denne anlitar en extern part som gör revisionen och att molntjänstleverantörens kunder sedan får ta del av revisionen?
Om leverantören är villig att bistå ett företag som önskar utföra en revision genom att samordna med andra företag, kan företaget välja att göra en gemensam revision. Observera att detta är en valmöjlighet som företaget har, om leverantören hjälper till att samordna. I annat fall ska företaget kunna utnyttja sin rätt till att göra n revision i egen regi. Det är alltså ett påbjudet alternativ för företaget att riskbaserat välja, i stället för att utföra en revision i egen regi. Företaget ska även kunna välja att ta del av en revision utförd av en part som leverantören uppdragit en revision till. Även detta är ett val som företaget gör baserat på sin riskbedömning, alltså inte en ersättning för möjligheten för företaget att utföra en revision i egen regi.
I grund och botten behöver företagen uppnå syftet med riskhanteringen. Revision på plats kan vara ett verktyg för detta.
Innebär revisions- och tillträdesrätten att jag som kund och/eller FI måste besöka min leverantörs datahall?
Tillträdesrätten utgör en rättighet för företaget att besöka leverantörens lokaler. Ett företag som lägger ut sin verksamhet måste dock på ett riskbaserat sätt kontrollera de risker som utläggningen för med sig. Ett företag kan därför behöva besöka en leverantörs lokaler.
Finns det någon dialog eller något samarbete mellan myndigheter inom EU i dessa frågor?
FI deltar i internationella samarbeten genom EU:s tillsynsmyndigheter Europeiska bankmyndigheten (EBA), Europeiska försäkrings- och tjänstepensionsmyndigheten (Eiopa) och Europeiska värdepappers- och marknadsmyndigheten (Esma) kring dessa och andra regelverk.
Om jag har andra frågor om utlagd verksamhet eller molntjänster till FI, var vänder jag mig då?
Frågor till FI skickas till finansinspektionen@fi.se.