Finansinspektionens syn på revisionsrätten för verksamheter som läggs ut på molntjänstleverantörer
I december 2017 beslutade EBA (Europeiska bankmyndigheten) om rekommendationer för användning av molntjänster som böjar gälla den 1 juli 2018. I EBA:s riktlinjer och rekommendationer framgår det att företagen, dess revisorer och Finansinspektionen bör ha full tillgång till molntjänsternas lokaler, samt obegränsade möjligheter att granska (och på plats inspektera) den utlagda verksamheten (s.k. revisionsrätt).
I promemorian besvarar Finansinspektionen den osäkerhet som uttryckts kring revisionsrätt med ett förtydligande:
Om en molntjänstleverantör av legitima skäl vill begränsa tillgången till exempelvis datahallen, och en obegränsad tillgång inte är nödvändig för att kontrollera den utlagda verksamheten, behöver en sådan begränsning enligt FI inte nödvändigtvis hindra företaget från att ingå avtal. Ett företag som ingår avtal med begränsningar i revisionsrätten måste emellertid ha gjort en grundlig riskanalys och kunna motivera för FI varför begränsningarna inte påverkar företagets kontrollmöjligheter. Det är enligt FI inget självändamål att företag säkerställer tillgång till information eller lokaler som inte är nödvändiga för att på ett relevant sätt kunna kontrollera eller inspektera den utlagda verksamheten.
Vidare lyfts vikten av grundlig riskanalys fram, vilket är ett krav för att kunna motivera för FI varför begräsningarna i revisionsrätten inte påverkar företagets kontrollmöjlighet. De positiva aspekterna med molntjänster lyfts också där man bland annat nämner att molntjänster medverkar till bättre och billigare finansiella tjänster för konsumenter.
Läs Finansinspektionens promemoria Här!
Har ni några frågor eller behöver stöd i frågor rörande informationssäkerhet och molntjänster så tveka inte att höra av er till oss på FCG.