Krav om outsourcingregister i finansbranchen

by House of Control | 03-06-2021 09:47:00

Nye EU-regler stiller strengere krav til banker og andre kreditinstitutters håndtering af outsourcing af fintech og inkluderer blandt andet krav om et centralt register over alle aftaler med underleverandører. Den første bank er allerede begyndt at anvende Complete Control til at håndtere kravene.

Udgangspunktet er «Guidelines on outsourcing arrangements» (EBA/GL/2019/02) fra European Banking Authority (EBA), som resulterer i nationale forskrifter. Reglerne kommer til at gælde for hele EU og EØS inklusive Danmark, Sverige og Norge.

Baggrunden for retningslinjerne er, at kreditinstitutter i stigende grad outsourcer forretningsvirksomhed for at sænke deres omkostninger og opnå større fleksibilitet og øget effektivitet. I indledningen til de nye retningslinjer skriver EBA, at dette hænger sammen med digitaliseringen og den stigende betydning af ny finansiel teknologi (fintech). Kreditinstitutter tilpasser deres forretningsmodeller, når de tager ny fintech i brug. Outsourcing som metode er nøglen til at give kreditinstitutterne enkel adgang til ny teknologi og opnå stordriftsfordele.

Jeg vil gerne blive kontaktet

De nye retningslinjer henvender sig til banker, kreditinstitutter, værdipapirinstitutter, betalingsinstitutter og e-pengeinstitutter og indeholder blandt andet detaljerede krav, som skal sikre, at den virksomhed, der outsourcer, har tilstrækkelig styring og kontrol over outsourcingen.

Et af de konkrete krav er en samlet oversigt over aftalerne i form af et outsourcingregister til dokumentation af hver enkelt kontrakt. I bilagene til den danske bekendtgørelse, som sandsynligvis kommer til at se nogenlunde ens ud i hele Norden og EU, defineres omkring 30 forskellige egenskaber, som et sådant register skal have. Det drejer sig blandt andet om:

  • Startdato, kontraktfornyelsesdatoer, slutdatoer og opsigelsesvarsler
  • En beskrivelse af den aktuelle tjenesteydelse eller aktivitet samt en kategorisering af aftalen
  • En beskrivelse af de data, der er outsourcet, om der er overført personoplysninger, og om behandlingen heraf er outsourcet til en leverandør (GDPR)
  • Information om det land, hvor de forskellige processer bliver udført, og hvilken lovgivning der skal finde anvendelse
  • Klarlæggelse af, hvorvidt der er tale om kritisk eller vigtig outsourcing
  • Datoen for den seneste vurdering af, om der er tale om kritisk eller vigtig outsourcing
  • Oplysninger om den pågældende cloudleverandør, hvilke implementeringsmodeller denne anvender, og hvor dataene faktisk bliver lagret
  • Vurdering af, om leverandøren kan skiftes ud (substituerbarhed), og hvorvidt kreditinstituttet selv kan overtage opgaverne

House of Control udvikler og lancerer nu sit eget modul til EBA-kravene. For nylig underskrev vi en aftale med den første bank, der tager Complete Control i brug med henblik på overholdelse (compliance) af de nye regler. Det nye modul er skræddersyet til at løse de udfordringer, som kreditinstitutterne får i form af dokumentation, administration, opfølgning og overblik, herunder varsler i god tid inden de relevante tidsfrister.

In English: 11 steps to qualify fintech outsourcing contractors

Som vi nævnte indledningsvis, dækker reglerne outsourcing af aktiviteter, som er underlagt koncession. Det betyder, at for eksempel rengøring, el og firmabil ikke er dækket af bekendtgørelsen. Vi anbefaler dog alle virksomheder at få central kontrol over denne type tjenester.

Kontakt os i dag for at få en snak om, hvordan vi kan hjælpe jer med at overholde de nye krav om outsourcingregister – og hvordan Complete Control kan give jer endnu flere besparelser og et bedre overblik.

Jeg vil gerne blive kontaktet

Additional Reading