close
Share with your friends

Toezicht op outsourcing bij financiële instellingen wordt omvangrijker

Meer toezicht outsourcing financiële instellingen

De European Banking Authority (EBA) heeft op 25 februari 2019 de finale versie van de ‘EBA Guidelines on outsourcing arrangements’ (hierna ‘Richtlijn’) gepubliceerd.

Gerelateerde content

Nl pebbles

Nieuwe EBA Guidelines voor outsourcing

De Richtlijn beschrijft de wijze waarop financiële instellingen outsourcingrelaties aangaan, monitoren en beheersen en treedt in werking vanaf 30 september 2019. Alle outsourcingsovereenkomsten die zijn ingegaan op of na deze datum moeten voldoen aan de nieuwe Richtlijn. Voor bestaande outsourcings­overeenkomsten geldt een overgangsregeling, waarbij de overeenkomsten moeten worden aangepast conform de Richtlijn bij de eerstvolgende contractverleningsmogelijkheid, maar in ieder geval vóór 31 december 2021.

Outsourcing is een bewezen manier om toegang te krijgen tot (technologische) innovaties en schaalvoordelen. Door outsourcing ontstaan echter ook weer nieuwe risico's bij financiële instellingen, derde partijen én toezichthouders. De nieuwe Richtlijn beoogt deze risico's te identificeren, adresseren en mitigeren.

Een allesomvattende outsourcingrichtlijn op Europees niveau

De Committee of European Banking Supervisors (CEBS), de voorganger van de EBA, heeft in 2006 richtlijnen voor outsourcing gepubliceerd. Deze richtlijnen komen te vervallen wanneer de Richtlijn op 30 september 2019 in werking treedt. De nieuwe Richtlijn vervangt tevens de in 2018 gepubliceerde EBA-aanbevelingen voor outsourcing aan cloudserviceproviders. Met de nieuwe Richtlijn introduceert de EBA één allesomvattende outsourcingrichtlijn die als nieuwe norm geldt voor financiële instellingen binnen de EU. Dit sluit aan bij de roep vanuit toezichthoudende instanties voor meer overkoepelende regelgeving in plaats van een complexe verzameling van losstaande en lokale richtlijnen.

Richtlijn voor outsourcing: de financiële instelling mag geen lege huls worden

De Richtlijn schrijft voor dat de outsourcingspolicy van financiële instellingen moet aansluiten bij de levenscyclus van outsourcing, waarbij risico's en verantwoordelijkheden per fase worden geadresseerd.

Om de vereisten per fase duidelijk weer te geven is de Richtlijn op hoofdlijnen opgebouwd uit de volgende onderdelen:

  1. proportionaliteit en groepstoepassing;
  2. assessment van outsourcingsovereenkomsten;
  3. governance framework; en
  4. outsourcingsproces.

Zie het volledige artikel in pdf voor een gedetaileerde toelichting per onderdeel.

Impact op de financiële sector

De nieuwe Richtlijn raakt niet alleen financiële instellingen, maar ook toezichthouders en serviceproviders. Er is een verregaande impact wanneer de Richtlijn in werking treedt op 30 september, maar de invloed van de nieuwe regelgeving op de outsourcingsactiviteiten en het bijbehorende risico verschilt per betrokkene.

Toezichthouders dienen een nieuwe vorm van concentratierisico te bewaken

Technologische vernieuwing is een van de speerpunten van DNB in de 'Visie op Toezicht 2018-2022'. De analyse van de consequenties en nieuwe risico's van een meer 'open' bankensector voor het prudentiële en integriteitstoezicht staan sterk in relatie tot de publicatie van de nieuwe Richtlijn voor outsourcing.

Naast toezicht op de financiële instellingen, wordt DNB door de nieuwe Richtlijn verantwoordelijk voor het monitoren van het zogenoemde concentratierisico. Dit risico ontstaat wanneer bepaalde bedrijfsactiviteiten door verschillende financiële instellingen worden uitbesteed bij eenzelfde serviceprovider. Dit kan de continuïteit en operationele weerbaarheid van financiële instellingen in het gedrang brengen indien de serviceprovider in (financiële) problemen komt. Aangezien outsourcingsovereenkomsten op dit moment niet, of nog niet volledig, centraal worden geregistreerd is er op dit moment geen volledig beeld.

In 2017 heeft DNB een thematisch onderzoek uitgevoerd bij banken, beleggingsondernemingen en betaalinstellingen naar de omvang en beheersing van het uitbestedingsrisico's. In juni 2018 is hieruit de 'Good practices beheersing risico's bij uitbesteding' voortgekomen, welke onder meer de eis voor financiële instellingen toelicht om outsourcing van materiële activiteiten te melden bij de toezichthouder. Op dit moment onderhoudt DNB een register van alle lopende outsourcings­overeenkomsten aan cloudserviceproviders. Met de nieuwe Richtlijn wordt deze meldplicht medio 2019 verder uitgebreid naar overige uitbestedingen om een volledig beeld te krijgen van (onder)uitbestedingen door financiële instellingen. Dit stelt de toezichthouder in staat om de concentratie van outsourcing te monitoren en het risico beter te beheersen. Daarnaast stelt het DNB in staat om te monitoren dat er geen financiële instellingen ontstaan waarbij vrijwel alle activiteiten zijn uitbesteed en de instelling zelf niet veel meer is dan een 'lege huls'.

De Richtlijn benadrukt dat financiële instellingen een clausule in de outsourcingspolicy en ‑overeenkomst moeten opnemen welke DNB en andere toezichthoudende instanties het recht geeft om inspecties uit te voeren indien en waar nodig geacht. Hoewel deze clausule al verplicht werd gesteld in eerdere EBA guidelines, blijkt in de praktijk dat de clausule veelal niet is opgenomen in outsourcingsovereenkomsten.

Financiële instellingen worden extra gewezen op hun zorgplicht

De nieuwe Richtlijn heeft een grote impact op de financiële instellingen, waarbij op hoofdlijnen een vierdeling kan worden gemaakt van de problematiek en uitdagingen:

  1. behoud van (eind)verantwoordelijkheid en voorkomen van 'lege huls';
  2. operationele weerbaarheid financiële instellingen;
  3. centrale vastlegging uitbestedingen en managementinformatie;
  4. concurrentie en reputatierisico.

Zie het volledige artikel in pdf voor een gedetaileerde toelichting per onderdeel.

Serviceproviders vallen niet buiten schot: nieuwe vereisten door de Richtlijn

De nieuwe Richtlijn heeft niet alleen een grote impact op financiële instellingen, maar ook op serviceproviders. Hoewel zij niet direct vallen onder de reikwijdte van de Richtlijn, is de verwachting dat financiële instellingen de vereisten zullen opleggen aan serviceproviders om te kunnen voldoen aan de nieuwe Richtlijn. Als gevolg hiervan zullen FinTech-bedrijven en andere toetreders voor de uitdaging komen te staan om innovatief en concurrerend te blijven in een snel veranderende markt, terwijl ze tegelijkertijd geconfronteerd worden met de administratieve uitdagingen van het (indirect) naleven van de Richtlijn. Vooral het implementeren van robuuste beheersprocessen en het voldoen aan (interne) documentatievereisten kunnen een aanzienlijke lastenverzwaring zijn voor opkomende serviceproviders.

Kortom, de nieuwe Richtlijn heeft een verregaande impact

De Richtlijn heeft een verregaande impact op de financiële sector en met name voor banken en hun serviceproviders. Het governance framework van de instellingen dient te worden geëvalueerd en mogelijk herzien op meerdere aspecten om naleving van de nieuwe regelgeving te waarborgen. Daarnaast wordt het met de toename van uitbestedingen steeds belangrijker dat financiële instellingen een goede interne beheersing hebben. Hierbij spelen ingebouwde controles een belangrijke rol, zoals het 'three lines of defence'-model waarbij functiescheiding en monitoring door onafhankelijke afdelingen worden nageleefd. Het aanpassen van het governance framework, de outsourcingspolicy, processen, outsourcingsovereenkomsten en dergelijke kost veel tijd en dient grondig, maar vooral ook tijdig, te gebeuren om sancties van toezichthoudende instanties te voorkomen.

Vervolgstappen

De Richtlijn treedt in werking op 30 september 2019. Het is daarom van belang dat financiële instellingen én serviceproviders een gedetailleerde review uitvoeren op onder andere de outsourcingspolicy en -overeenkomsten en deze waar nodig herzien om te voldoen aan de nieuwe Richtlijn.

We zien in de praktijk dat financiële instellingen de gedetailleerde review vaak onderschatten en dat de benodigde aanpassingen voor voldoen aan de Richtlijn complexer blijken dan in eerste instantie gedacht. Het reviewen en aanpassen van de outsourcingspolicy kan vaak niet zonder een update van de governance policy, waardoor het risico ontstaat dat onderdelen over het hoofd worden gezien en er inconsistenties optreden tussen de verschillende documenten. Het is daarom van belang dat instellingen een tijdige en grondige review uitvoeren om uitdagingen door tijdsdruk en complexiteit te voorkomen.

Daarnaast willen wij benadrukken dat financiële instellingen ervoor moeten waken om een 'lege huls' te worden door de toenemende mate van outsourcing. Zoals beschreven dient de instelling eindverant­woordelijkheid te behouden. Door de nieuwe Richtlijn zal er hernieuwde aandacht van toezicht­houders zijn voor dit onderdeel, met mogelijk verregaande consequenties indien niet meer aan de voorwaarden van de licenties wordt voldaan.

KPMG kan assisteren bij iedere fase van de levenscyclus van outsourcing. Ons team heeft de juiste kennis, ervaring én sectorkennis om te helpen bij een gedetailleerde risicoanalyse en de aanpak voor een effectieve beheersing van outsourcingrisico's. Het KPMG-controleframework verzekert u ervan dat alle aspecten van de Richtlijn in overweging worden genomen en waarborgt dat u de vereisten van de nieuwe regelgeving naleeft.

Meer artikelen en blogs over dit thema lezen?

Wij houden u op de hoogte per e-mail. Geef uw voorkeuren door.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

loading image Offerteaanvraag (RFP)