Bankernes it får outsourcing-håndjern på

Det var åbenbart ikke nok med gode råd og henstillinger, så nu bliver skruen strammet med detaljeret lovgivning om outsourcing for bankerne.

1. oktober træder en ny lov om finansielle virksomheder i kraft, og den vil kunne mærkes hos it-folk i bankerne og hos bankernes leverandører, lyder det fra konsulentfirmaet Aggrit.

»Det er ikke som et revisionsfirma, der kan komme med bemærkninger og anbefalinger. Hvis ikke de her nye krav bliver fulgt, kan Finanstilsynet politianmelde et firma og i sidste ende fratage dem licensen til at drive finansiel virksomhed,« siger Bo Thygesen, direktør for Aggrit.

Nu skal der ifølge loven blandt andet være indlagt en række kontroller af outsourcing-partneren, ligesom loven udpensler, hvordan outsourcing-kontrakten skal udformes.

»Det er de to banebrydende punkter i loven. Så specifikke har man aldrig været før, at man nu i liberale Danmark bestemmer, hvad der skal stå i kontrakten mellem to virksomheder,« siger direktøren.

Skød skylden på leverandøren Baggrunden for lovstramningen er, at der har været eksempler på, at outsourcing af it-opgaver gav bankdirektørerne en måde at løbe fra ansvaret på. Derfor fremgår det fremover også klart, at bankledelsen er fuldt ud ansvarlige for, hvad outsourcing-partnere foretager sig.

»Finanstilsynet har oplevet nogle ret grelle eksempler på, at man omgår sit ledelsesansvar, når man placerer opgaver hos outsourcing-partner. Så vasker man sine hænder, hvis noget går galt og siger, at det var partnerens skyld,« lyder det fra Bo Thygesen.

Han nævner som eksempel på problemerne nedbrud i netbanker og værdipapirhandel, fordi en leverandør har svigtet.

»Det viser, at der i det her marked er it-leverandører, som ikke er dygtige nok til at drive it i den finansielle sektor. Samtidigt er der på den anden side kunder, altså banker, som ikke har været opgaven som outsourcing-kunde voksen,« lyder hans vurdering.

Selvom for eksempel selve netbank-teknikken bliver placeret hos en erfaren leverandør af it-løsninger til bankerne, kan det gå galt, hvis en bank ved siden af køber en webside-løsning hos et andet firma, der så viser sig ikke at leve op til de krav om oppetid, som en bank har brug for.

»Hvis hjemmesiden er nede, hjælper det ikke, at netbanken fungerer, når hjemmesiden er den eneste indgang for kunderne,« siger Bo Thygesen.

Sådan bliver reglerne Den kommende lov vil stille krav om, at it-leverandøren altid underretter bankkunderne om forhold, der kan komme til at betyde noget for bankdriften. Så har it-leverandørerne det ikke i forvejen, får de brug for et ledelsesværktøj til at sikre, at det sker.

Derudover skal Finanstilsynet altid kunne komme på uanmeldt kontrolbesøg hos leverandøren, og hvis leverandøren får løst en opgave hos andre, altså videreoutsourcer, skal det også altid berettes til kunden.

Kravene om bestemte punkter i outsourcingkontrakterne gælder ikke for de kontrakter, der allerede er skrevet under. Men når de bliver genforhandlet, slår lovgivningen igennem. Senest 2012 skal alle outsourcing-kontrakter følge kravene i loven, dog senest 2014 hvis kontrakten ikke kan genforhandles.

Selvom der er ekstra tid til banker med fastlåste kontrakter, kan det stadig give problemer, vurderer Bo Thygesen.

»Det kommer til at stille store krav til leverandørerne om fleksibilitet, for hvis man har kontrakter, der løber længere tid end det, og ikke kan genforhandles, har man et problem. En kontrakt med de store amerikanske it-firmaer er jo typisk så svær at lave om på, at genforhandling nærmest er umulig,« siger han.