Valvottavatiedote 25.6.2026 - 36/2026

Teema-arvio: Lakisääteistä työeläkevakuutustoimintaa harjoittavien eläkesäätiöiden ja -kassojen sisäisen valvonnan ulkoistamisessa tunnistettu riskejä ja kehittämistarpeita

Finanssivalvonta on arvioinut lakisääteistä työeläkevakuutustoimintaa harjoittavien eläkesäätiöiden ja -kassojen sisäisen valvonnan osa-alueiden ulkoistamista. Teema-arvion perusteella sisäisen valvonnan keskeisiä osa-alueita on sektorilla ulkoistettu laajasti ja ulkoistukset ovat monin paikoin keskittyneet harvoille palveluntuottajille. Ulkoistaminen voi olla tarkoituksenmukainen tapa hankkia osaamista ja järjestää toimintaa tehokkaasti, mutta hallituksen on pystyttävä varmistumaan siitä, että ulkoistetutkin toiminnot muodostavat käytännössä toimivan, riippumattoman ja riittävän sisäisen valvonnan kokonaisuuden. Ulkoistamista ei tule tarkastella vain sopimussuhteena tai hallinnollisena järjestelynä, vaan osana eläkelaitoksen hallintojärjestelmää.

Teema-arvion toteutus ja rajaukset

Teema-arvion tavoitteena oli selvittää, miten lakisääteistä työeläkevakuutustoimintaa harjoittavat eläkesäätiöt ja -kassat ovat järjestäneet sisäisen valvonnan, jos riskienhallinnan, compliance-toiminnon tai toimitusjohtajan tehtäviä oli ulkoistettu. Arvion kohteena olivat erityisesti sisäisen valvonnan rakenteet, vastuut ja menettelytavat sekä ulkoistuksiin liittyvän seurannan ja raportoinnin käytännöt.

Arviointi kohdistui kaikkiin kymmeneen lakisääteistä työeläkevakuutustoimintaa harjoittavaan eläkesäätiöön ja -kassaan. Teema-arviossa ei tarkasteltu julkisen hallintotehtävän hoitoa tai julkisen vallan käyttöä. Arvion ulkopuolelle rajattiin myös laitosten sijoitustoiminta- ja vakavaraisuuskysymykset.

Keskeiset havainnot

Laaja ulkoistaminen ja palveluntuottajakeskittymät korostavat valvontatarvetta

Teema-arvion perusteella sektorin kokonaistilaa leimaa se, että sisäisen valvonnan keskeiset osa-alueet on järjestetty laajasti ulkoistamalla ja ulkoistukset ovat monin paikoin keskittyneet harvoille palveluntuottajille. Useissa järjestelyissä sama palveluntuottaja tuottaa samanaikaisesti riskienhallintaa, compliance-toimintoa ja keskeisiä operatiivisia palveluja. Joissakin tapauksissa myös useita valvonnallisesti keskeisiä rooleja on keskittynyt samoille vastuuhenkilöille. Tämä korostaa eturistiriita-, keskittymä-, avainhenkilö- ja jatkuvuusriskejä sekä hallituksen velvollisuutta varmistua siitä, että ulkoistettu kokonaisuus muodostaa käytännössä riittävän ja riippumattoman sisäisen valvonnan rakenteen.

Ulkoistusten hallinnan dokumentaatio ei aina vastaa ulkoistusten merkittävyyttä

Ulkoistuksia koskeva dokumentaatio ei useilla eläkelaitoksilla muodosta riittävän jäsentynyttä ja todennettavaa kokonaisuutta. Vain harva laitos on laatinut erilliset ulkoistamisen toimintaperiaatteet tai kuvannut selkeästi ja kattavasti ulkoistamisprosessin.

Dokumentaation puutteet eivät ole vain muodollinen ongelma, vaan ne heikentävät valvottavan mahdollisuuksia ohjata, valvoa ja arvioida ulkoistettuja toimintoja. Kun ulkoistamista koskevat periaatteet ja prosessit eivät muodosta jäsentynyttä ja todennettavaa kokonaisuutta, operatiivisen johdon ja compliance- sekä riskienhallintatoimintojen on vaikea käytännössä riittävästi ohjata ja valvoa ulkoistettuja toimintoja asianmukaisella tavalla. Tällöin hallituksen edellytykset muodostaa perusteltu kokonaisarvio siitä, ovatko sisäinen valvonta ja riskienhallinta järjestetty asianmukaisesti myös ulkoistetuissa toiminnoissa, heikkenevät.

Ulkoistusten valvonta edellyttää hallitukselta aktiivista roolia

Useiden valvottavien hallituksilla on muodolliset puitteet ulkoistettujen toimintojen seurantaan eikä teema-arvion perusteella ole nähtävissä yksittäistä, selvästi sääntelyn vastaista toimintamallia. Kyse on ennen kaikkea rakenteellisista riskitekijöistä, joiden merkitys korostuu silloin, kun hallituksen seuranta nojaa pääosin ulkoistettujen toimijoiden omaan raportointiin. Lisäksi vastausten perusteella sisäisen valvonnan riippumattomuuden varmistaminen jää usein sopimusten, palvelukuvausten ja muiden muodollisten järjestelyjen varaan ilman käytännön varmistustoimia.

Hallituksen rooli sisäisen valvonnan varmistamisessa korostuu silloin, kun operatiivista toimintaa ja sisäistä valvontaa on ulkoistettu samalle toimijalle eikä sisäistä tarkastusta ole. Teema-arviossa ei pystytty varmistumaan siitä, että hallitukset valvovat ulkoistettuja toimintoja käytännössä ulkoistusrakenteiden tuomien riskien edellyttämällä tavalla.

Lainsäädännön vaatimukset ja Finanssivalvonnan odotukset valvottaville

Eläkelaitoksella on oltava laitoksen toiminnan laatuun ja laajuuteen nähden riittävä sisäinen valvonta, joka mm. kattaa keskeiset toiminnot. Siksi Finanssivalvonta edellyttää havaintojen merkittävyyden ja laajan esiintymisen huomioiden, että eläkesäätiöt ja -kassat käsittelevät teema-arvion havainnot sekä jäljempänä esitetyt lainsäädännön vaatimukset hallituksissaan ja arvioivat niiden merkityksen oman toimintansa ulkoistusrakenteen, hallintomallin ja riskiprofiilin kannalta.

Toimintaperiaatteet ja ulkoistamisprosessi

  • Hyvinä käytäntöinä valvottavien tulisi kehittää dokumentaatiotaan ainakin siten, että kokonaisuus ulkoistusten ja niiden valvonnan osalta olisi selkeä ja dokumentaatiossa kuvattaisiin myös ulkoistusprosessia ottaen huomioon sen hallinta ja elinkaari.
  • Ulkoistuksiin liittyvät riskianalyysit tulisi myös saattaa ulkoistuksesta päättävän toimielimen tietoon ennen ulkoistamispäätöstä, ulkoistamissopimuksen olennaista muuttamista tai sopimuksen uusimista.

Hallituksen toiminta

  • Hallituksen tulee arvioida vähintään vuosittain, onko sisäinen valvonta asianmukaisesti järjestetty myös ulkoistettujen toimintojen osalta.
  • Hyvänä käytänteenä arvioinnissa tulisi ottaa huomioon toimintaperiaatteiden ja sopimusehtojen lisäksi ulkoistettujen palvelujen toteutunut toiminta, palveluntuottajan raportointi sekä eläkelaitoksen oma seuranta ja varmistuminen valvonnan toimivuudesta.

Compliance

  • Compliance-toiminnon tulee valvoa myös ulkoistettuja toimintoja.
  • Compliance-toiminnolla tulisi hyvänä käytänteenä olla säännöllinen mahdollisuus keskustella hallituksen kanssa ilman operatiivisen johdon läsnäoloa.

Riskienhallinta

  • Valvottavien tulee tunnistaa ja arvioida toiminnan laatuun ja laajuuteen nähden olennaiset sisäisen valvonnan keskeisten toimintojen ulkoistamiseen liittyvät riskit.
  • Hyvänä käytänteenä voidaan pitää sitä, että ulkoistetun riskienhallinnan raportointi on riittävän säännöllistä suhteessa eläkelaitoksen toiminnan laatuun, laajuuteen ja ulkoistusrakenteeseen. Finanssivalvonnan näkemyksen mukaan vain yhden kerran vuodessa toteutettu raportointi ei lähtökohtaisesti ole riittävää.
  • Ulkoistetun riskienhallinnan raportoinnin tulisi sisältää sijoitus- ja vakavaraisuusriskien lisäksi nykyistä kattavammin myös operatiiviset riskit, ulkoistettujen palvelujen poikkeamat, palveluntuottajien virheet sekä palveluntuottajakeskittymiin liittyvät riskit. Näillä hyvillä käytänteillä varmistetaan hallituksen mahdollisuudet toteuttaa omaa valvontavelvoitettaan asianmukaisesti.

Sisäinen tarkastus

  • Valvottavien tulisi hyvänä käytänteenä arvioida sisäisen tarkastuksen tai muun riippumattoman varmennuksen tarvetta suhteessa omaan ulkoistusrakenteeseensa. Arvioinnissa tulisi ottaa huomioon tilanteet, joissa sisäisen valvonnan toimintoja ja operatiivisia palveluja on ulkoistettu laajasti tai keskitetty samalle palveluntuottajalle.

Jatkotoimet

Finanssivalvonta toimittaa teema-arvioon osallistuneille valvottavakohtaiset havainnot kehittämistoimista. Finanssivalvonta seuraa havaintojen perusteella tehtävien korjaavien toimenpiteiden toteuttamista ja hyödyntää teema-arvion havaintoja riskiperusteisen valvonnan kohdentamisessa.

Tiedotteen ruotsinkielinen versio julkaistaan myöhemmin.

Lisätietoja antaa

Mikko Myllymäki, vanhempi valvoja, mikko.myllymaki(at)finanssivalvonta.fi