Sedan 30 september 2019 gäller EBA:s regler för outsourcing. Riktlinjerna, som kommer från European Banking Authority (EBA), är framtagna för att vägleda, men i praktiken innebär dessa ett nytt regelverk för outsourcing inom bank och finans. Reglerna ligger dessutom under övervakning från Finansinspektionen och är förknippade med höga sanktionsavgifter. Lästid 4 min.
Vad innebär de nya reglerna?
Enligt EBA:s regler för outsourcing ska alla avtal med externa leverantörer av it-tjänster granskas så att de överensstämmer med de nya kraven.
Alla avtal med externa leverantörer måste vara granskade och omförhandlade före den 31 december 2021, om inte:
- anmäla undantag med namngivna leverantörer till Finansinspektionen
- inklusive en handlingsplan att fullgöra granskning eller exitstrategi
Varför fanns det ett behov av ny vägledning för outsourcing?
Vägledningen är inte ”ny” utan utgör en uppdatering av EBA:s riktlinjer från 2006. Dessutom har man inkorporerat vägledningen från 2017 som specifikt rörde användning av molntjänster.
Bank och finans präglas av stora förändringar genom teknisk utveckling. Förändringarna i sig tenderar att leda till att allt mer verksamhet läggs ut, dvs. outsourcas, och därför behövdes uppdaterade riktlinjer.
Med hjälp av outsourcing är det möjligt att på ett enkelt sätt få tillgång till de tekniska framstegen inom fintech för att kunna ägna sig åt kärnverksamheten i er organisation. I bästa fall ger outsourcing upphov till stordriftsfördelar och fungerar såväl flexibelt som kostnadseffektivt. Vad som ibland förekommer inom bank och finans är den felaktiga uppfattningen om att outsourcing även fungerar gällande ansvar. Dvs. tron att om man förlägger delar av verksamheten på en extern aktör är det denne enbart som ansvarar för att alla regelverk följs. Med denna artikel förstår du vad som gäller specifikt för er ifråga om outsourcing.
Vilka organisationer omfattar EBAs regler för outsourcing?
Ett första steg är att förstå vilken verksamhet Europeiska bankmyndighetens uppdaterade riktlinjer om utlagd verksamhet (outsourcing) i kraft – Riktlinjer för utkontraktering (EBA/GL/2019/02) EBAs vägledning omfattar. Vägledningen räknar upp följande aktörer:
- Kreditinstitut,
- Vissa värdepappersbolag, (inte bolag utan sidotillstånd)
- Betaltjänstinstitut,
- Institut för elektroniska pengar, men även
- försäkringsbranschen (enligt Finansinspektionen).
Denna uppräkning till trots, omfattar vägledningen, enligt svenska Finansinspektionen, alla bolag som ligger under deras tillsyn. Finansinspektionen kan därför använda EBA:s riktlinjer för outsourcing som bas för vad som utgör ”best practice” i sitt tillsynsarbete. Dessutom håller Europeiska värdepappers- och marknadsmyndigheten (ESMA) i dagsläget på att utveckla motsvarande regler för börser, handelsplatser och centrala motparter.
Se Finansinspektionens FAQ angående reglerna för outsourcing som även fastslår att företag verksamma inom försäkringsbranschen omfattas av dessa nya krav.
Riktlinjerna sanktioneras med sanktionsavgifter på upp till 10 % av omsättning
Finansinspektionen kan utfärda sanktionsavgifter på upp till 10 procent av företagets, eller koncernens, årliga omsättning. Storleken på sanktionsavgiften beror bl.a. på hur allvarliga brister det rör sig om och hur länge dessa har förelegat. Därför är det viktigt att ni ser över även era befintliga avtal för outsourcing för att se att dessa uppfyller vägledningens krav.
Ni som organisation har fram till 2021-12-31 på sig att granska alla era existerande avtal och arrangemang som innefattar eller kan innefatta outsourcing. Om ni av någon anledning inte hinner klart innan dess, måste ni anmäla detta till Finansinspektionen tillsammans med en tydlig plan för hur ni planerar att färdigställa granskningen.
Vad innebär ”outsourcing”?
Outsourcing definieras som alla situationer då ett företag sluter avtal med en leverantör om att denne, helt eller delvis, ska utföra en process, tjänst eller annan aktivitet som företaget i annat fall hade kunnat utföra. Dvs. outsourcing, eller utkontraktering, kan omfatta såväl din organisations rekrytering, sophantering som användning av molntjänster.
Finansinspektionen har definierat ”utlagd verksamhet” enligt följande:
Utlagd verksamhet (utkontraktering, outsourcing) är när ett företag sluter avtal med en leverantör om att utföra (helt eller delvis) en process, tjänst eller annan aktivitet som företaget i annat fall själv skulle utföra.
EBA:s vägledning om outsourcing omfattar även när en del av din organisation träffar sådana avtal med en annan del av organisationen. Detsamma gäller för koncerner som utkontrakterar utförandet av vissa tjänster till ett dotterbolag. Anledningen till detta är för att denna typ av ”intern outsourcing” är nära förknippade med mycket specifika typer av risker. Exempelvis risken för intressekonflikter, dvs. att annat hamnar i fokus än era kunders bästa.
Det går därför inte nog att understryka hur viktigt det är att alltid noga dokumentera och motivera varför man ingår ett avtal om outsourcing.
Följande anses inte vara outsourcing
Vissa avgränsningar har dock gjorts i vilka outsourcingavtal som EBA:s riktlinjer omfattar. Vägledningen omfattar inte sådan utkontraktering som definieras som ”tjänsteavtal” och inte heller sådana funktioner som enligt lag ska utföras av en tjänsteleverantör. Det är exempelvis ett krav enligt svensk lag att revision ska utkontrakteras.
Gränsen mellan tjänsteavtal och outsourcing är i vissa fall tydlig och annars måste man göra en bedömning i det enskilda fallet. Bedömningen syftar till att utreda hur kritiska de specifika tjänsterna är för bolagets verksamhet.
Finansinspektionen om skiljelinjen mellan utkontraktering av tjänst och köp av tjänst:
Skiljelinjen mellan utkontraktering och köp av tjänst är dynamisk och beror i varje enskilt fall av vilka tjänster som avses och hur kritiska dessa tjänster är för bolagets verksamhet. Att definiera om ett visst avtal är utkontraktering eller köp av tjänst kan endast med säkerhet göras baserat på en genomförd riskanalys. Alltså bör all verksamhet som involverar tredjepartsleverantörer analyseras utifrån ett riskperspektiv och hanteras i enlighet med analysens utfall.
Följande anses inte vara outsourcing:
- lagstadgad revision
- marknadsinformationstjänster, t.ex. Bloombergs, Moody’s etc.
- Globala nätverksinfrastrukturer, t.ex. MasterCard, VISA
- Clearing- och avvecklingssystem mellan clearingorganisationer, centrala motparts- och avräkningsinstitut och deras medlemmar
- Globala infrastrukturer för finansiella meddelanden (underställda tillsyn)
- Korrespondentbanktjänster
Inte heller anses tjänster som inte har att göra med finans- och försäkringsmarknaden som t.ex. anlitande av leverantörer för juridiska tjänster, arkitekt, städning, service av firmabilar, catering, resetjänster, posttjänster, växeloperatörer, varor, eller allmännyttiga tjänster som elektricitet och vatten.
Vad som är outsourcing och vad som är köp av tjänst kan i andra fall vara svårt att avgöra. Det kräver att företaget genomför en riskanalys av bl.a. följande aspekter:
- Vilket samband har tjänsteavtalet med företagets auktorisation?
- Finns det andra tänkbara leverantörer?
- Vilken möjlighet finns att granska funktionen?
- Påverkar avtalet tjänster som ni tillhandahåller till kunder?
- Storleken och komplexiteten hos varje affärsområde som berörs.
Omfattas molntjänster av EBA:s definition av outsourcing?
En vanlig fråga rör huruvida EBA:s riktlinjer gäller för olika typer av molntjänster. Molntjänster är typiskt sett sådan funktion som omfattas av outsourcingbegreppet. Därför måste ni även se över era avtal med molntjänstelevarantörer. Det som är särskilt viktigt att granska är förekomsten av personuppgifter i molntjänsten. Sådan funktionalitet ska som regel föregås av att ni genomför en s.k. Data Protection Impact Assessment (DPIA). Vi återkommer till diskussionen om vad som gäller för molntjänster i slutet av denna artikel.
Se särskilt om vad du bör tänka på vid molntjänstavtal i vår artikel om SaaS avtal och relevanta nyckelfrågor att ställa till leverantören.
Vilka krav ställer EBA:s regler för outsourcing?
Riskanalys och dokumentation
Alla institut under Finansinspektionens tillsyn ska enligt EBA:s riktlinjer för outsourcing föra register över alla sina outsourcingavtal.
Syftet med registren är tudelat: för det första underlättar registerföringen för Finansinspektionen i sin tillsynsverksamhet genom att snabbt ge en överblick över befintliga avtal. För det andra ska registret ingå i institutets riskramverk.
Genom att veta vad man har för avtal är det lättare att dels identifiera och dels värdera de risker som man är exponerad mot genom outsourcingen. Från den riskanalysen ska institutet även utforma en plan på hur man ska hantera riskerna och övervaka dem. Man kan göra riskbedömningar på många olika sätt och bedömningen kommer att se olika ut beroende på institutets förutsättningar och karaktär.
Observera att s.k. sub-outsourcing innebär en extra riskexponering som måste hanteras.
Fokus på ”kritisk och viktig funktion”
EBA:s riktlinjer avseende outsourcing betonar att riskanalys är viktigast avseende för verksamheten kritiska funktioner. Men enligt Finansinspektionen är det viktigt att man granskar även andra outsourcing-avtal enligt synsättet som regelverket förespråkar.
Bedömningen av om något utgör en kritisk funktion utgår från följande tre punkter:
- Kan ett felaktigt utförande av tjänsten allvarligt försämra organisationens skyldigheter, finansiella resultat eller sundhet/kontinuitet?
- Innefattar tjänsteavtalet att verkställighet hos interna kontrollfunktioner?
- Innebär avtalet att man kan behöva auktorisation?
Får inte avtala bort revisionsrätten i outsourcingavtalet
EBA:s riktlinjer anger att beställarens revisionsrätt ska vara ”obegränsad”. Det innebär att tjänsteavtalet inte får avtala bort rätten och möjligheten till att bl.a. fysiskt undersöka leverantörens lokaler och system.
Ifråga om molntjänsteavtal kan detta ställa till vissa praktiska problem, se nedan.
Särskilt om molntjänster i förhållande till EBA:s regler för outsourcing
FI ser inget hinder mot att använda molntjänster dock ska hänsyn tas till revisionsrätt och sekretess
Finansinspektionen uttalar att de inte ser något principiellt hinder mot att instituten använder sig av molntjänster. Finansinspektionen ställer dock extra krav på att man följer EBA:s riktlinjer för outsourcing innan molntjänsteavtal träffas. Det innebär bl.a. att man måste göra en noggrann riskbedömning. Det gäller att särskilt granska avtalsvillkor och försäkra sig om att det inte innehåller bestämmelser som begränsar t.ex. revisionsrätten eller tillämplig sekretessreglering.
För leverantörer av molntjänster kan revisionsrätten vara problematisk. Detta eftersom en extern revision kan ge upphov till risk för leverantörens andra kunder. Enligt riktlinjerna tillåter man i sådana specifika fall att institutet får annan försäkran om riskhanteringen hos leverantören som är minst lika bra som en revision.
Molntjänster kan innebära att man lägger ut verksamheten till länder utanför EU vilket i sig kräver ännu större riskmedvetenhet och hantering av detsamma. Utläggningen får inte orsaka en ökad risk för verksamheten eller för den delen begränsa Finansinspektionens tillsynsmöjligheter.
För dina avtal med molntjänsteleverantörer i Storbritannien, läs vår artikel om att förbereda dina avtal för Brexit.
Hur kan din organisation förbereda sig?
För att hantera EBA:s regler för outsourcing krävs typsikt sett sex steg:
- Bedömning av lämplighet av outsourcing
- Faller aktuell lösning inom kraven på outsourcing?
- Bedömning om viktig eller kritisk process
- Åtgärder före outsourcing
- Bedömning om viktig eller kritisk funktion
- Bedömning om lösningen kräver tillstånd hos leverantören
- Identifiera relevanta risker
- Planera due diligence av den potentiella leverantören
- Identifera och bedöma intressekonflikter
- Beakta särskilda krav om leverantören hemmahör utanför EU
- Checklista för intern avstämning innan avtalsförhandling
- Due Diligence av levernatör
- Checklista för lämplighetsbedömning
- Kontroll av nödvändiga tillstånd
- Kontroll av GDPR compliance
- Vid outourcing utanför EU ska även överensstämmelse med etik, människorätt, miljöskydd, arbetsförhållanden kontrolleras
- Avtalsförhandling
- Checklista för granskning av avtalsinnehåll
- Löpande uppföljning
- Hur revision kan hanteras
- Avslut / Exit
- Kontroll av nödvändiga uppsägningsmöjligheter
- Krav på dokumentation av en exitstrategi vid avslut/byte av leverantör
Nya dokumentationskrav – outsourcing policy och registerföring
EBA:s regler för outsourcing kräver att er organisation har en dokumenterad styrning i form av en outsourcing policy. I korthet bör den ha följande innehåll:
- Överblick över vår outsourcingprocess
- Ansvarsområden
- Vilka personer som involveras vid outsourcing
- Planering av outsourcing
- Genomförande, övervakning och förvaltning
- Dokumentationskrav
- Existrategier
Organisationer måste även ha en särskild registerföring både för all utlagd verksamhet och för kritiska och viktiga funktioner.
Hur vi kan hjälpa till
Vi erbjuder en serie av tjänster till både leverantör såväl som inköpare av IT-tjänster till bank- och finanssektorn, se mer på vår hemsida Stöd vid IT-outsourcing inom bank och finans. Om du är intresserad av att ta del av vår erfarenhet av att rådge aktörer i fintech och försäkringsbranschen hur man på ett enkelt sätt kan möta de nya kraven, är du välkommen att höra av dig till oss.
Vi kan granska era avtal och stötta vid omförhandling, vare sig du är företrädare för en beställare eller leverantör.