Krav på register för finansbranschens outsourcing - House of Control

Nya EU-regler ställer större krav på hur banker och andra finansiella institutioner hanterar outsourcing av fintech. Dessa innehåller krav på ett centralt register för alla avtal med underleverantörer. Den första banken har redan börjat använda Complete Control för att hantera kraven.

Utgångspunkten är “Guidelines on outsourcing arrangements” (EBA/GL/2019/02) från European Banking Authority (EBA), som resulterar i nationella förordningar. Reglerna kommer gälla för hela EU och EES, inklusive Danmark, Sverige och Norge.

Bakgrunden till riktlinjerna är att finansiella institutioner i allt högre grad outsourcar verksamheten för att minska kostnaderna, samt för att få mer flexibilitet och ökad effektivitet. I inledningen till de nya riktlinjerna skriver EBA att detta är relaterat till digitalisering och den växande betydelsen av ny finansiell teknik (fintech). Finansiella institutioner anpassar sina affärsmodeller när de börjar använda nya typer av fintech. Outsourcing som metod är nyckeln till att finansiella institut ska ha enkel tillgång till ny teknik och uppnå stordriftsfördelar.

De nya riktlinjerna riktar sig till banker, kreditföretag, värdepappersbolag, betalningsföretag och e-pengaföretag, och innehåller bland annat detaljerade krav för att säkerställa att företaget som outsourcar verksamhet har tillräcklig förvaltning och kontroll av utkontrakteringen.

Ett av de konkreta kraven är en samlad översikt över avtalen i form av ett avtalsregister för dokumentation i varje enskilt kontrakt. I bilagorna till den danska förordningen, som troligtvis blir ganska lika även i resten av Norden och EU, definieras ungefär 30 olika egenskaper som ett sådant register ska ha. Dessa inkluderar bland annat:

• Startdatum, datum för avtalsförnyelse, utgångsdatum och uppsägningstid
• En beskrivning av den aktuella tjänsten eller verksamheten – samt en kategorisering av avtalet
• En beskrivning av vilka data som har outsourcats, om personuppgifter har överförts och om hanteringen av dessa har outsourcats till en leverantör (GDPR)
• Information om i vilka länder olika processer genomförs och vilken lagstiftning som gäller
• Förtydligande av om outsourcade aktiviteter uppfyller kraven för så kallad kritisk eller viktig outsourcing
• Vilket datum bedömning av huruvida det är kritisk eller viktig outsourcing senast genomfördes
• Information om vilken molnleverantör (cloud) som används, vilka implementeringsmodeller som används och var data faktiskt lagras
• Bedömningar av om leverantören kan bytas ut (substituerbarhet) och om det finansiella institutet själv kan ta över uppgifterna

In English: 11 steps to qualify fintech outsourcing contractors

House of Control utvecklar och lanserar nu en separat modul för EBA-kraven. Och nyligen tecknade vi ett avtal med den första banken som börjar använda Complete Control för att hantera överensstämmelse (compliance) med de nya reglerna. Den nya modulen kommer att skräddarsys för att lösa de utmaningar som de finansiella institutionerna står inför i form av dokumentation, hantering, uppföljning och översikt – inklusive varningar i god tid före relevanta tidsfrister.

Som nämndes i inledningen täcker reglerna outsourcing av aktiviteter som är licensierade. Detta innebär att exempelvis städning, el och bilunderhåll inte omfattas av förordningen. Vi kan dock rekommendera alla företag att ha en central kontroll, även för sådana tjänster.

Ta kontakt idag för att diskutera hur vi kan hjälpa er att uppfylla de nya kraven på avtalsregister – och hur Complete Control också kan ge er andra besparingar och en bättre översikt.