FI förtydligar sin syn på revisionsrätten för molntjänstleverantörer

FI:s syn på revisionsrätten har hittills inneburit att företag som vill ingå avtal med molntjänstleverantörer måste säkerställa att företaget, dess revisorer och FI får tillgång till relevant information och lokaler.

I en promemoria publicerad 16 mars förtydligar FI sin syn på frågan och skriver bland annat att ”om en molntjänstleverantör av legitima skäl vill begränsa tillgången till exempelvis datahallen, och en begränsad tillgång inte är nödvändig för att kontrollera den utlagda verksamheten, behöver det inte nödvändigtvis förhindra ett avtal med leverantören.” 

I promemorian skriver FI också att regelverken för utläggning av verksamhet är under utveckling, vilket innefattar Europeiska Bankmyndighetens (EBA) riktlinjer på området.

Men de krav som finns på finansiella företags förmåga att hantera risker gäller också molntjänster. FI skriver därför att ett företag som ingår avtal med begränsningar i revisionsrätten måste ha gjort en grundlig riskanalys och kunna motivera för FI varför begränsningarna inte påverkar företagets kontrollmöjligheter. Enligt FI finns dock ”inget självändamål att företag säkerställer tillgång till information eller lokaler som inte är nödvändiga för att på ett relevant sätt kunna kontrollera eller inspektera den utlagda verksamheten.”

– Det är bra att FI förtydligar och visar en pragmatisk ansats kring användningen av molntjänster som ju skapar förutsättningar för högre tillgänglighet och effektivisering i hanteringen av information. Grundprincipen är dock fortfarande densamma, man måste som finansiellt institut kontrollera riskerna med en utlagd verksamhet och man äger fortfarande sina risker, säger Ester Sundström, partner inom Risk Advisory på Deloitte och specialiserad inom IT-risker i finansiell sektor.