Publicerad: 2019-03-29
Introduktion
Den 25:e februari publicerade Europeiska Bankmyndigheten (EBA) reviderade riktlinjer för outsourcing. De nya riktlinjerna uppdaterar CEBS riktlinjer från 2006 och inkorporerar även EBA:s tidigare rekommendationer om outsourcing till molntjänstleverantörer. Utöver kreditinstitut och värdepappersbolag har de nya riktlinjerna utökats till att även omfatta betalningsinstitut och institut för elektroniska pengar.
Riktlinjerna innehåller bland annat bestämmelser om bedömning av outsourcingarrangemang, ramverk för styrning, outsourcingprocessen och riktlinjer riktade till behöriga myndigheter. Riktlinjernas krav fokuserar på outsourcing av kritiska och viktiga funktioner, men alla outsourcade tjänster måste beaktas.
Riktlinjerna har samma rättsliga status som Finansinspektionens allmänna råd och de företag som omfattas är således skyldiga att motivera avvikelser från tillämpningen. De nya riktlinjerna ska tillämpas på outsourcingavtal som har ingåtts, reviderats eller justerats efter 30:e september 2019. Nedan presenterar vi några av de utmaningar i outsourcingprocessen som aktualiseras av riktlinjerna.
Utmaningar
Inför avtal
Innan ett företag ingår ett outsourcingavtal ska det genomföra en så kallad ”pre-outsourcing analysis”. Som ett led i analysen ska företagen bedöma om det aktuella avtalet omfattar en kritisk eller viktig funktion samt identifiera och utvärdera alla relevanta risker som kan uppstå i samband med att verksamheten outsourcas. Om företagen bedömer att en kritisk eller viktig funktion ska outsourcas ställs högre krav på hanteringen av uppdraget. Företagen bör även tillämpa scenarioanalyser där de bedömer den potentiella effekt som kan uppstå om risker realiserar i samband med specifika outsourcingavtal. Företag är även skyldiga att identifiera och bedöma eventuella intressekonflikter som kan uppstå då verksamhet outsourcas samt säkerställa att det införs lämpliga arrangemang för att övervaka den utlagda verksamheten.
Pågående uppdrag
Under ett pågående outsourcinguppdrag ska förtagen löpande monitorera det pågående uppdraget med avseende på bland annat tjänsteleverantörens förmåga, hur väl tjänsten levereras i förhållande till vad som avtalats samt efterlevnad av kontraktskrav och andra regler. Vad gäller outsourcing till molnleverantörer är det av särskild vikt att övervaka och hantera de koncentrationsrisker som kan uppstå till följd av att branschen domineras av ett litet antal leverantörer.
De nya riktlinjerna innehåller även dokumentationskrav avseende uppdraget vilket bland annat innefattar en beskrivning av den utlagda funktionen, en bedömning huruvida funktionen är kritisk eller viktig, datum och resultat från den senaste riskbedömningen samt identifiering av alternativa tjänsteleverantörer. Dokumentationen ska alltid finnas tillgänglig för tillsynsmyndigheten som kan komma att granska denna som ett led i dess pågående tillsynsarbete. Tillsynsmyndigheten ska även informeras angående planerade eller förändrade outsourcingarrangemang som kan ha en väsentlig inverkan på fortsatt tillhandahållande av tjänster, särskilt vad gäller kritiska eller viktiga funktioner. Det slutliga ansvaret för outsourcing ligger vid varje tillfälle hos företagen vilket innebär att korrekt dokumentation och tydliga processer blir en grundläggande del i efterlevnaden av de nya riktlinjerna.
Avslutande av uppdrag
För varje ingånget outsourcingavtal som berör viktiga eller kritiska funktioner ska företagen ha upprättat och dokumenterat en s.k. ”exit strategy”. Strategin ska bland annat hantera situationer där ett avtal sägs upp eller då den tillhandahållna tjänsten ej kan levereras till följd av störningar eller avbrott hos leverantören samt om väsentliga risker har identifierats i samband med uppdraget. Strategin ska således innehålla lämpliga planer för utträde från outsourcingarrangemang, t.ex. genom att övergå till en annan tjänsteleverantör eller genom att ta hem kritiska eller viktiga funktioner. Det ska också tydligt framgå när exitstrategin ska tillämpas.
Hur kan vi på zeb hjälpa till?
Vi på zeb har mångårig erfarenhet av regelverken som styr hantering av outsourcing och kan bistå företag i anpassningen till de nya riktlinjerna. Vi kan exempelvis hjälpa till med att upprätta ett ramverk innefattandes riktlinjer och rutiner för hantering av outsourcing samt genomföra eller stötta verksamheten i de riskanalyser som ska genomföras. Vi kan även bistå i arbetet med att identifiera lämpliga rutiner för övervakning av pågående outsourcingavtal. Hör gärna av er om ni vill veta mer!
Mikael Flod
DELA
