Fra 1. januar 2022 setter nye EU-regler større krav til hvordan finansinstitusjoner håndterer outsourcing av fintech. Det inkluderer krav til et sentralt register for alle avtaler med underleverandører. De første bankene har allerede begynt å bruke Complete Control for å håndtere kravene.
Utgangspunktet er «Guidelines on outsourcing arrangements» (EBA/GL/2019/02) fra European Banking Authority (EBA), som resulterer i nasjonale forskrifter. Reglene vil gjelde for hele EU og EØS, inkludert Danmark, Sverige og Norge. Danske myndigheter har sagt at den nye forskriften vil gjelde fra 1. januar 2022, og vi forventer at andre land legger seg på samme frist.
Les også: Dette mener Finanstilsynet er viktig når dere velger fintech-leverandører
Bakgrunnen for retningslinjene er at finansinstitusjoner i økende grad outsourcer forretningsvirksomhet for å redusere kostnader, samt å oppnå mer fleksibilitet og økt effektivitet. I innledningen til de nye retningslinjene skriver EBA at dette henger sammen med digitalisering, og den økende betydningen av ny finansiell teknologi (fintech). Finansinstitusjoner tilpasser sine forretningsmodeller når de tar i bruk ny fintech. Outsourcing som metode er nøkkelen for at finansinstitusjonene skal få enkel tilgang til nye teknologier og oppnå stordriftsfordeler.
De nye retningslinjene retter seg mot banker, kredittforetak, verdipapirforetak, betalingsforetak og e-pengeforetak, og inneholder blant annet detaljerte krav for å sikre at foretaket som outsourcer virksomhet har tilstrekkelig styring og kontroll med utkontrakteringen.
Ett av de konkrete kravene er en samlet oversikt over avtalene i form av et avtaleregister for dokumentasjon av hver enkelt kontrakt. I bilagene til den danske forskriften, som trolig blir ganske lik også i resten av Norden og EU, defineres rundt 30 ulike egenskaper et slikt register skal ha. Blant disse er:
- Startdato, dato for fornyelse av avtalene, utløpstid og oppsigelsesvarsler
- En beskrivelse av aktuelle tjenesten eller aktiviteten – samt en kategorisering av avtalen
- En beskrivelse av hvilke data som er outsourcet, hvorvidt det er overført personopplysninger og om behandlingen av disse er outsourcet til en leverandør (GDPR)'
- Informasjon om i hvilke land ulike prosesser blir utført og hvilken lovgivning som gjelder
- Klargjøring om de outsourcede aktivitetene oppfyller kravene til såkalt kritisk eller viktig outsourcing
- Hvilken dato vurderingen av om kritisk eller viktig outsourcing sist ble gjennomført
- Informasjon om hvilken skyleverandør (cloud) som brukes, hvilke implementeringsmodeller som brukes og hvor data faktisk er lagret
- Vurderinger av om leverandøren kan byttes ut (substituerbarhet) og hvorvidt finansinstitusjonen selv kan overta oppgavene
House of Control har utviklet en egen modul for EBA-kravene. Allerede i 2020 begynte den første banken å bruke Complete Control for å håndtere overholdelse (compliance) av det nye regelverket. Den nye modulen vil være skreddersydd til å løse utfordringene som finansinstitusjonene får i form av dokumentasjon, forvaltning, oppfølging og oversikt – inkludert varslinger i god tid før relevante frister.
Som nevnt innledningsvis dekker reglene outsourcing av aktiviteter som er underlagt konsesjon. Det betyr at for eksempel rengjøring, strøm og bilhold ikke er dekket av forskriften. Vi kan imidlertid anbefale alle selskaper å få en sentral kontroll også med slike tjenester.
Ta kontakt i dag for en diskusjon om hvordan vi kan hjelpe dere å oppfylle de nye kravene til avtaleregister – og hvordan Complete Control også kan gi dere andre besparelser og bedre oversikt.
Les også: Dette mener Finanstilsynet er viktig når dere velger fintech-leverandører