Intern kontroll över säkerhetskyddschefen – Finansinspektionen publicerar rättsligt ställningstagande
Finansinspektionen (FI) har publicerat ett rättsligt ställningstagande som klargör att en säkerhetsskyddschef enligt Säkerhetsskyddslagen (2018:585) ingår i verksamhetsutövarens operativa verksamhet och därmed omfattas av kraven på intern kontroll.
Säkerhetsskyddslagen (2018:585) är tillämplig på den som bedriver säkerhetskänslig verksamhet. Till sådan verksamhet hör bland annat större verksamheter som är av betydelse för Sveriges ekonomi, till exempel större kreditinstitut. För de verksamhetsutövare som omfattas av lagen tillkommer vissa krav. Bland annat måste en sådan verksamhetsutövare genomföra en säkerhetsskyddsanalys och, med utgångspunkt i denna, vidta nödvändiga säkerhetsskyddsåtgärder. Säkerhetsskyddsarbetet ska ledas av en säkerhetsskyddschef som organisatoriskt är direkt underställd den verkställande direktören i ett aktiebolag. Säkerhetsskyddschefens ansvar kan inte delegeras.
För kreditinstitut gäller samtidigt krav på intern kontroll enligt lagen (2004:297) om bank- och finansieringsrörelse (LBF) för de funktioner som ingår i dess operativa verksamhet. Varken av säkerhetsskyddslagen eller LBF framgår tydligt huruvida säkerhetsskyddschefens funktion ingår i verksamhetsutövarens operativa verksamhet. FI har i ett rättsligt ställningstagande (FI dnr 25–31002) klargjort denna fråga. I förarbetena till lagen anges att det finns krav på att säkerhetsskyddschefen ska vara aktiv och operativ i utförandet av sin funktion. Enligt FI innebär formuleringen om säkerhetsskyddschefens aktiva roll “att säkerhetsskyddschefen är en funktion i en verksamhetsutövares operativa verksamhet”.
Att säkerhetsskyddschefens funktion ingår i den operativa verksamheten innebär att funktionen är föremål för företagets kontroller och granskningar av funktionerna för riskkontroll, regelefterlevnad och internrevision.
FI:s ställningstagande innebär att säkerhetsskyddschefens funktion tydligt ska omfattas av institutets ordinarie ramverk för intern styrning och kontroll. Kreditinstitut bör därför säkerställa att roll och rapporteringsvägar är korrekt definierade, att funktionen täcks av funktionerna för riskkontroll, regelefterlevnad och internrevision samt att säkerhetsskyddsanalysen och vidtagna säkerhetsskyddsåtgärder integreras i institutets samlade riskhantering och uppföljning.
