FI: Så bör försäkringsbolagen förbättra avtal om it-outsourcning
Vissa försäkringsföretag har svårt att överblicka och hantera konsekvenserna av sina uppdragsavtal inom it. Det visar en färsk tillsynsrapport från Finansinspektionen. Bland annat saknas regelbunden kontroll av den utlagda verksamheten för att avgöra om den tidigare riskbedömningen fortfarande är aktuell. Finansinspektionen föreslår nu ett antal förbättringsåtgärder.
Finansinspektionen har genomfört en granskning av försäkringsbranschens it-lösningar, bland annat när det gäller it-verksamheter som outsourcas.
FI konstaterar i sin granskning att digitaliseringen ökar, och att nya innovationer bidrar till högre krav på kontroll av it-verksamheten – särskilt när det gäller it-verksamhet som omfattas av uppdragsavtal. Enligt FI kan utsourcning av it-verksamhet kan leda till både kvalitetshöjningar och besparingar. Nya eller små aktörer inom försäkring kan med moderna och jämförelsevis billiga tjänster från professionella it-leverantörer konkurrera på marknader som de annars inte skulle haft tillgång till.
Samtidigt kan extern it påverka ett försäkringsföretags förmåga att överblicka och hantera konsekvenserna av sina vägval inom it.
Finansinspektionens slutsats av granskningen är att försäkringsföretagen har överlag en god styrning och kontroll av sin it-verksamhet. Men man har också hittat fall där försäkringsföretag har svårt att överblicka och hantera konsekvenserna av sina uppdragsavtal.
— Givet den ökade digitaliseringen visar FI:s analys att det finns ett antal förbättringsområden som behöver särskilt fokus, skriver Finansinspektionen.
Det här är något av det som FI menar behöver förbättras
• Uppdaterade it-strategier.
• Komplett översikt över it-leverantörer, inklusive leverantörer som inte bidrar till leverans av it-funktioner av väsentlig betydelse.
• Beskrivningen av konsekvenser av utlagd verksamhet.
• Styrdokument för uppdragsavtal.
• En klar uppfattning om hur ett uppdragsavtal ska avslutas.
• Regelbunden kontroll av den utlagda verksamheten för att avgöra om riskbedömningen som gjordes vid upphandlingstillfället fortfarande är aktuell.
• Regelbunden test av beredskapsplaner.
• Medvetenhet om operativa risker i styrprocesserna.
• Utbildning och systematisk bevakning av cyberrisker.
