Nya regler om outsourcing av verksamhet
European Banking Authority, EBA, har publicerat ett utkast till nya riktlinjer för bankers utläggning av verksamhet, outsourcing. Reglerna kan komma att omfatta onödigt mycket och är otydliga gällande vad som ska anmälas till tillsynsmyndigheten, anser bland andra Bankföreningen som också ifrågasätter delar av reglerna om molntjänster.
En bank behöver inte själv utföra allt i sin verksamhet, utan kan välja att lägga ut vissa delar till någon annan, till exempel till ett företag i samma finansiella koncern eller till en helt extern part. Genom att lägga ut verksamhet eller vissa processer kan banken dra nytta av stordriftsfördelar som den inte kan uppnå på egen hand, eller få tillgång till expertkompetens som inte finns i det egna företaget. Banken kan dock inte undkomma ansvar genom outsourcingen, som också kan medföra en del risker, till exempel att uppdraget inte utförs som man har kommit överens om.
Regler om outsourcing finns på flera håll i den finansiella lagstiftningen, även på EU-nivå. De ska förhindra att banken lägger ut så mycket verksamhet att den bara blir ett tomt skal. Banken måste ha kompetens kvar för att kunna kontrollera det som lagts ut, samt ha en åtgärdsplan om det skulle uppstå problem. Lägger man ut någonting som är ’väsentligt’ - det kan röra sig om något som påverkar kunderna - måste det anmälas till Finansinspektionen.
European Banking Authority, EBA, håller nu på att se över riktlinjerna för outsourcing, som är från 2006. Ett syfte med översynen är att harmonisera reglerna om outsourcing för alla företag inom EBA:s verksamhetsområde. Förutom banker omfattas till exempel betaltjänstföretag som lyder under regelverket i PSD II.
Utkastet till uppdaterade riktlinjer som EBA publicerade under sommaren har givit upphov till mycket diskussioner.
- Själva definitionen av outsourcing är väldigt vid vilket gör att onödigt mycket kan komma att omfattas. Utkastet är också otydligt vad gäller rekvisiten för vad som ska anses vara sådan ’väsentlig’ outsourcing som ska anmälas till tillsynsmyndigheten, säger Sara Ekstrand, jurist på Bankföreningen.
Sedan tidigare har riktlinjerna om outsourcing till molntjänster, som EBA publicerade 2017, medfört en del tillämpningsproblem. En molntjänst innebär att banken sparar data på servrar hos en extern part. Bland annat är kravet på att banken ska ha tillgång till serverhallarna svårt att uppfylla i praktiken.
- Dessutom är det svårt att se att just tillgången till serverhallen skulle vara väsentlig för hanteringen av risken med outsourcingen. Det är snarare tillgång till andra delar av montjänstleverantören som är viktig, som rätt personer, dataloggar och annat.
Riktlinjerna om molntjänster ska nu läggas in i de uppdaterade riktlinjerna om outsourcing generellt.
I Sverige bjöd Finansinspektionen före sommaren in finansiella företag och molntjänstleverantörer till rundabordssamtal om molntjänstriktlinjerna. Det blev under samtalen tydligt att både finansiella företag och molntjänstleverantörer har identifierat samma problem med riktlinjerna.
Det finns inget datum för ikraftträdande ännu.
Bankfokus NR 3 • OKTOBER 2 0 1 8