​Finansinspektionens syn på revisionsrätten för verksamhet som läggs ut på molntjänstleverantörer

I början av 2015 blev jag kontaktad av ett antal finansiella institut under FI:s tillsyn med frågor relaterat till möjligheten att nyttja molntjänstleverantörer givet de då förhållandevis nya föreskrifterna FFFS 2014:1, 4 och 5. En återkommande frågeställning hos instituten var hur den så kallade revisionsrätten skulle hanteras då molntjänstleverantörerna där och då ställde sig frågande till möjligheten att ge kunden (och tillsynsmyndigheten) fullständig tillgång till exempelvis datahallen. Det är därför väldigt positivt att FI:s promemoria daterad 2018-03-15 adresserar den osäkerhet som alltjämt har funnits på området.

De rekommendationer för användning av molntjänster som EBA (Europeiska bankmyndigheten) beslutade om i december 2017, börjar gälla den 1 juli 2018. Här framgår bland annat att företagen, dess revisorer och tillsynsmyndighet bör ha full tillgång till molntjänstleverantörens lokaler samt obegränsade möjligheter att granska, och på plats inspektera, den utlagda verksamheten.

Finansinspektionen klargör i sin promemoria att om en molntjänstleverantör av legitima skäl vill begränsa tillgången till exempelvis datahallen, och att denna obegränsade tillgång inte är nödvändig för att företaget och/eller inspektionen ska kunna kontrollera verksamheten, så ska detta inte hindra parterna från att ingå avtal. Det framgår dock tydligt i promemorian att avtal som innebär begränsningar i revisionsrätten ska föregås av grundlig riskanalys och därtill en tydlig motivering varför begränsningen inte påverkar institutets kontrollmöjligheter.

Revisionsrätten grundar sig på den övergripande principen att det är företaget som ansvarar för att uppdragstagaren hanterar risker i den utlagda verksamheten på ett adekvat sätt. Det ansvaret kan inte läggas ut på en uppdragstagare – alldeles oavsett om det rör sig om en molntjänst eller inte. Företaget behöver därför analysera vilka risker – inte minst för informationssäkerheten – som en utläggning av verksamheten innebär.

Värt att notera är också att FI skriver att även om EBA:s riktlinjer och rekommendationer endast riktas mot kreditinstitut och värdepappersbolag, så är motsvarande regler om utläggning för andra företag under tillsyn, baserade på samma övergripande principer och söker uppnå samma syfte. Här betraktar FI revisionsrätten på samma sätt oavsett regelverk, men i just denna promemoria har man utgått ifrån EBA:s rekommendationer.

Läs FI:s promemoria här

Läs EBA:s utökade rekommendationer om molntjänster här

Författare: Martin Bohlin