RISIKO
Konsentrasjon av kjernebank: – Forventer at det enkelte foretak tar dette med i sin risikovurdering
Finanstilsynet vil ikke kommentere enkeltsaker, men påpeker at de vil følge opp foretakenes risikoanalyser ved valg av kjernebankleverandør.
Publisert
Sist oppdatert
Mandag kom nyheten om at Sparebanken Norge velger Tietoevry som sin kjernebankleverandør. Det er nærliggende å tro at det kan føre til at resten av Frendegruppen, som består av blant annet Lokalbanksamarbeidet, vil følge etter, ettersom et samarbeid på én teknisk løsning har vært et uttalt mål lenge.
Til tross for dette mener både lederne for Frendegruppen og Lokalbanksamarbeidet at Sparebanken Norge sitt valg ikke påvirker prosessen for de andre bankene, der 10 av dem befinner seg hos SDC i dag. Tidligere i våres bestemte også Fana Sparebank seg for å gjøre en helomvending i kjernebank-valget, og avbrøt avtalen med SDC til fordel for Tietoevry.
Kan innebære økt risiko
Finanstilsynet har i tidligere risiko- og IKT-rapporter påpekt risikoen rundt konsentrasjon i markedet, og påpeker at det er vurderinger selskapene må legge ved når de gjør sine valg av kjernebankleverandør.
– Finanstilsynet ønsker ikke å kommentere denne saken spesifikt, men generelt kan vi si at økt utkontraktering av tjenester til noen få leverandører kan innebære konsentrasjonsrisiko, som vanskelig kan håndteres av det enkelte foretak, sier seksjonsleder IT og betalingstjenester Olav Johannessen i Finanstilsynet til BankShift.
– Likevel forventes det at det enkelte foretak tar dette med i sine risikovurderinger ved valg av leverandør, legger han til.
DORA
Johannessen viser til DORA-forordningen, som igjen påpeker at konsentrasjonsrisiko kan påvirke både det enkelte foretaket, og den finansielle stabiliteten, og beskriver konsentrasjonsrisiko slik:
«IKT-konsentrasjonrisiko, en eksponering mot enkelte eller flere tilknyttede kritiske tredjepartsleverandører av IKT-tjenester som skaper en grad av avhengighet av slike leverandører, slik at manglende tilgjengelighet, feil eller annen type svikt hos en slik leverandør kan sette en finansiell enhets evne til å levere kritiske eller viktige funksjoner i fare, eller føre til at den rammes av andre former for negative virkninger, inkludert store tap, eller sette den finansielle stabiliteten i Unionen som helhet i fare».
– Det er viktig at det finnes alternative tilbydere av slike tjenester som kan redusere denne konsentrasjonsrisikoen DORA-bestemmelsene peker på, sier Johannessen.
Ny i klassen
Inn kommer Netcompany. Det danske IT-selskapet som nå er i prosess med å kjøpe opp kjernebankleverandøren SDC. Problemet for konsentrasjonsrisikoen er kanskje at oppkjøpet kommer midt i en periode der flere av bankene på SDCs plattform er i en vurderingsprosess.
– Vi hadde håpet at Sparebanken Norge ville være en del av vår ambisjon om å skape fremtidens bankplattform sammen med Netcompany, men har full forståelse for deres valg, da Sparebanken Norge står foran en fusjonsprosess som ville gjort et kjernebankskifte mer komplekst, sa administrerende direktør Torben Finnemann i SDC til BankShift da nyheten kom på mandag.
For å ikke få en for høy konsentrasjon i bransjen hos Tietoevry, viser Finanstilsynet igjen til DORA-forordningen og hva som står der, i tillegg til å påpeke at de kommer til å følge opp risikoanalysene foretakene selv gjør.
– I DORA er det stilt flere krav til foretakene, blant annet gode due dilligence-prosesser ved inngåelse av avtaler, exitstrategier og exitplaner, inkludert vurdering og planer for alternative leverandører. Finanstilsynet følger opp at foretakene gjør, og skal gjøre, gode risikoanalyser ved valg av leverandører, sier Johannessen.
