Så påverkas internrevisorer av EBA:s nya riktlinjer för outsourcing
Nya riktlinjer för outsourcing från EBA ställer nya krav på oss internrevisorer.
Nya riktlinjer för outsourcing
Den 30 september 2019 trädde nya riktlinjer från European Banking Authority (EBA) ikraft (GL 2019/02). Dessa riktlinjer ersätter de tidigare utgivna riktlinjerna från 2006 från Committee of European Banking Supervisors (CEBS) som var EBA.s företrädare liksom EBA:s rekommendationer rörande utkontraktering av molnstjänster från 2017.
Riktlinjer från EBA är att likställas med allmänna råd. I praktiken innebär det att riktlinjer från EBA ska följas och i de fall en organisation väljer att inte följa dem ska en rimlig förklaring ges.
EBA:s nya riktlinjer för outsourcing (EBA/GL/2019/02) syftar till att skapa en mer gemensam syn på och hantering av outsourcing bland finansiella institut inom den Europeiska unionen och på så sätt säkra en robusthet i det finansiella systemet.
Som nyttjare av det finansiella systemet ska man i princip inte märka om ett institut har outsourcat en verksamhet utan det ska fungera som om den utfördes av institutet självt.
De nya riktlinjerna kommer att kunna implementeras under en övergångsfas. Dock gäller att alla avtal som ingås efter 30 september 2019 ska ske i enlighet med de nya riktlinjerna. För befintliga avtal har institutet tid på sig fram till 31 december 2021 att gå igenom och göra nödvändiga justeringar. Om institutet bedömer att man inte kommer att hinna behöver Finansinspektionen informeras och en handlingsplan behöver presenteras.
Riktlinjerna handlar i stort om att ha en god styrning och kontroll över sin verksamhet och specifikt den outsourcade verksamheten och instituten bör redan idag ha det mesta som finns i riktlinjerna på plats. I riktlinjerna framhålls bl.a. att institutet måste ha en god beställarkompetens, sunda styrformer, en outsourcingpolicy, process för hantering av intressekonflikter, robusta kontinuitetsplaner och att institutet behöver genom dokumentation kunna visa att det finns på plats.
Bedömningar inför utläggning av verksamhet
Riktlinjerna syftar bl.a. till att säkra stabiliteten i verksamheten och trycker därför på vikten av bra riskbedömningar och hantering av risker. Innan utläggning av verksamhet sker måste följande bedömningar göras:
- Hur påverkar utläggningen bankens operativa risker?
- Uppnås en bättre riskhantering genom utläggning?
- Medför utläggningen koncentrationsrisker?
- Medför utläggningen risker på konsoliderad nivå?
- Visar en due dilligence att företaget är lämpligt att göra affärer med?
Styrelsen är ytterst ansvarig för outsourcingriskerna
EBA betonar att det är styrelsen som är ytterst ansvarig för outsourcing och riskerna förknippade med den. Styrelsen bör därför besluta om övergripande policys och strategier, liksom att hålla sig informerade om vad som har outsourcats, bedömda risker samt hur avtal fullgörs. Det bör även finnas en central outsourcingfunktion, en ändamålsenlig beslutsorganisation för outsourcing liksom en lämplig rapporterings- och eskaleringsrutin.
Proportionalitetstänk och anpassning av riktlinjerna till den unika situationen
I riktlinjerna tas upp möjligheten till proportionalitetstänk och ger således utrymme att anpassa riktlinjerna till den egna verksamheten Faktorer som påverkar är t.ex. hur omfattande och komplex verksamheten är, hur ett specifikt uppdrag påverkar kontinuiteten i verksamheten, hur den konsoliderade situationen ser ut osv.
Riktlinjerna fokuserar vidare på kritisk eller viktig utlagd verksamhet, dock behöver instituten göra en riskbedömning av alla avtal med en tredje part, oavsett om det är att betrakta som utlagd verksamhet eller inte.
För att överhuvudtaget avgöra om något omfattas av riktlinjerna måste institutet avgöra om det handlar om outsourcing av tjänst, process eller verksamhet eller om det snarare är inköp av en vara eller tjänst. Finansinspektionen säger att ” Utlagd verksamhet (utkontraktering, outsourcing) är när ett företag sluter avtal med en leverantör om att utföra (helt eller delvis) en process, tjänst eller annan aktivitet som företaget i annat fall själv skulle utföra.”. Detta gör att exempelvis externrevisonstjänster, städning, inköp av kontorsmaterial mm inte faller under outsourcing. Diskussioner i branschen pekar också på att en konsult som tar en anställds plats inte är outsourcing, inte heller t.ex. licensköp. Att tänka på är att även internt utlagd verksamhet omfattas, t.ex. inom en koncern.
Vad innebär de nya riktlinjerna för outsourcing för oss internrevisorer?
EBA har valt att inte reglera vad och hur ofta internrevisionen ska granska efterlevnaden av riktlinjerna. Istället säger man att internrevisionsfunktionens verksamhet bör omfatta en oberoende granskning av outsourcade aktiviteter utifrån ett riskbaserat angreppsätt. Revisionsplanen bör särskilt omfatta outsourcing av kritiska eller viktiga funktioner. När det gäller outsourcingprocessen bör den interna revisionsfunktionen åtminstone säkerställa att:
- Institutets ramverk för outsourcing, inklusive outsourcingpolicy, är ändamålsenlig och effektiv och i linje med tillämpliga lagar och regelverk, riskstrategi och beslut från ledningsorganet.
- Bedömning av om funktioner är kritiska eller viktiga är ändamålsenlig och effektiv.
- Riskbedömningen för outsourcinglösningen är ändamålsenlig och effektiv och att riskerna är i linje med institutets riskstrategi.
- Styrande organ är involvera på ett adekvat sätt.
- Outsourcinglösningar övervakas och förvaltas på effektivt sätt.
Med det sagt är vår bedömning att det trots allt kommer att krävas en insats av internrevisionen då många finansiella bolag outsourcar flera viktiga eller kritiska funktioner. Mot bakgrund av det som EBA menar att internrevisionen bör täcka i sin granskning och att internrevisionen i sin riskanalys ska utgå ifrån vilka kritiska och viktiga funktioner som har outsourcats bedömer vi att granskning av outsourcing kommer att ske i princip årligen men med olika fokus, t.ex. på den övergripande styrningen av outsourcing eller specifika kritiska och viktiga funktioner som har outsourcats.
Oaktat dessa riktlinjer borde varje internrevision beakta dessa perspektiv i samband med att riskanalys genomförs som grund för revisionsplanen, då outsourcing av kritisk verksamhet tycks vara här för att stanna. Och slutligen, att outsourca en tjänst, process eller verksamhet får aldrig innebära att ansvaret och kontrollen över verksamheten går förlorad.