EBA-kravene til register for outsourcing av fintech

by House of Control | Aug 7, 2020 1:15:36 PM

Nye EU-regler setter større krav til hvordan banker og andre finansinstitusjoner håndterer outsourcing av fintech. Det inkluderer krav til et sentralt register for alle avtaler med underleverandører. Den første banken har allerede begynt å bruke Complete Control for å håndtere kravene.

Utgangspunktet er «Guidelines on outsourcing arrangements» (EBA/GL/2019/02) fra European Banking Authority (EBA), som resulterer i nasjonale forskrifter. Reglene vil gjelde for hele EU og EØS, inkludert Danmark, Sverige og Norge.

Bakgrunnen for retningslinjene er at finansinstitusjoner i økende grad outsourcer forretningsvirksomhet for å redusere kostnader, samt å oppnå mer fleksibilitet og økt effektivitet. I innledningen til de nye retningslinjene skriver EBA at dette henger sammen med digitalisering, og den økende betydningen av ny finansiell teknologi (fintech). Finansinstitusjoner tilpasser sine forretningsmodeller når de tar i bruk ny fintech. Outsourcing som metode er nøkkelen for at finansinstitusjonene skal få enkel tilgang til nye teknologier og oppnå stordriftsfordeler.

De nye retningslinjene retter seg mot banker, kredittforetak, verdipapirforetak, betalingsforetak og e-pengeforetak, og inneholder blant annet detaljerte krav for å sikre at foretaket som outsourcer virksomhet har tilstrekkelig styring og kontroll med utkontrakteringen.

Ett av de konkrete kravene er en samlet oversikt over avtalene i form av et avtaleregister for dokumentasjon av hver enkelt kontrakt. I bilagene til den danske forskriften, som trolig blir ganske lik også i resten av Norden og EU, defineres rundt 30 ulike egenskaper et slikt register skal ha. Blant disse er:

• Startdato, dato for fornyelse av avtalene, utløpstid og oppsigelsesvarsler
• En beskrivelse av aktuelle tjenesten eller aktiviteten – samt en kategorisering av avtalen
• En beskrivelse av hvilke data som er outsourcet, hvorvidt det er overført personopplysninger og om behandlingen av disse er outsourcet til en leverandør (GDPR)
• Informasjon om i hvilke land ulike prosesser blir utført og hvilken lovgivning som gjelder
• Klargjøring om de outsourcede aktivitetene oppfyller kravene til såkalt kritisk eller viktig outsourcing
• Hvilken dato vurderingen av om kritisk eller viktig outsourcing sist ble gjennomført
• Informasjon om hvilken skyleverandør (cloud) som brukes, hvilke implementeringsmodeller som brukes og hvor data faktisk er lagret
• Vurderinger av om leverandøren kan byttes ut (substituerbarhet) og hvorvidt finansinstitusjonen selv kan overta oppgavene

House of Control utvikler og lanserer nå en egen modul for EBA-kravene. Og nylig signerte vi en avtale med den første banken som tar i bruk Complete Control for å håndtere overholdelse (compliance) av det nye regelverket. Den nye modulen vil være skreddersydd til å løse utfordringene som finansinstitusjonene får i form av dokumentasjon, forvaltning, oppfølging og oversikt – inkludert varslinger i god tid før relevante frister.

Som nevnt innledningsvis dekker reglene outsourcing av aktiviteter som er underlagt konsesjon. Det betyr at for eksempel rengjøring, strøm og bilhold ikke er dekket av forskriften. Vi kan imidlertid anbefale alle selskaper å få en sentral kontroll også med slike tjenester.

Ta kontakt i dag for en diskusjon om hvordan vi kan hjelpe dere å oppfylle de nye kravene til avtaleregister – og hvordan Complete Control også kan gi dere andre besparelser og bedre oversikt.

Subscribe Now

Additional Reading