Nye retningslinjer for outsourcing fra EBA - KPMG Norge
close
Share with your friends

Nye retningslinjer for outsourcing fra EBA

Nye retningslinjer for outsourcing fra EBA

Den 25. februar 2019 lanserte EBA nye retningslinjer for outsourcing; EBA Final Report on EBA Guidelines on outsourcing arrangements EBA/GL/19/02.

1000

Kontaktpersoner

Relatert innhold

EBA-retningslinjene (PDF, 1.49 MB) retter seg mot kredittforetak, betalingsforetak, e-pengeforetak og tilsynsmyndigheter og redegjør for hvordan virksomhetene bør integrere styring og kontroll av outsourcingsaktiviteter i sitt øvrige rammeverk for governance og risikostyring.

Retningslinjene erstatter CEBSs veiledning1 for outsourcing for kredittforetak fra 2006 og EBAs egne retningslinjer for outsourcing av skybaserte tjenester, og befester de europeiske myndighetenes sterke fokus på IKT, sikkerhet og foretakenes generelle driftssikkerhet.

Bakteppe

Den teknologiske utviklingen kombinert med endrede regulatoriske rammebetingelser for betalingstjenester åpner opp muligheter for nye aktører og legger til rette for konkurranse på tvers av landegrenser. Sammen med økte kapitalkrav og press på kostnader, skaper dette både incentiver og muligheter i finansbransjen for outsourcing av spesialiserte aktiviteter. Retningslinjene fokuserer særlig på outsourcing forbundet med betalingsformidling, IKT og skybaserte tjenester.

Styring og kontroll med outsourcing må være integrert i foretakenes øvrige virksomhetsstyring, jfr EBAs oppdaterte retningslinjer for virksomhetsstyring fra 2017, GL 112 - Guidelines on internal governance. EBAs nye retningslinjer for outsourcing innebærer imidlertid betydelig mer detaljerte krav og konkretisering av forventninger til foretakenes styring og kontroll av outsourcingsordninger. Retninglisnjene tar også opp i seg særskilte krav forbundet med GDPR (personverndirektivet) og PSD2 (betalingstjenestedirektiv 2).

Spørsmål og svar om EBAs nye retningslinjer for outsourcing

Hva er definert som "outsourcing" i henhold til EBA's retningslinjer?

Når en funksjon eller sett av aktiviteter som vanligvis utføres av foretakene selv, isteden leveres av en ekstern tjenesteyter - en tredjepart - vil ordningen som regel betraktes som outsourcing. Dette var også fastsatt i CEBS' retningslinjer fra 2006. De nye retningslinjene fra EBA peker imidlertid på at dette gjelder selv om det særskilte foretaket ikke på noe tidspunkt har utført disse oppgavene selv og heller ikke er i stand til å utføre dem. Videre legger EBA til grunn at leveransen må være gjentakende og foregå over en periode. Enkeltstående kjøp av varer, inkludert software lisenser, betraktes ikke som outsourcing. Retningslinjene legger dessuten særskilt vekt på outsourcing av kritiske eller viktige funksjoner.

Hvilke kriterier kjennetegner en kritisk eller viktig funksjon?

En funksjon anses som viktig eller kritisk dersom svikt i leveransen kan medføre vesentlige økonomiske tap, driftsbrudd og problemer med å innfri foretakets forpliktelse overfor egne kunder, eller manglende etterlevelse av regulatoriske krav3 . Dersom aktiviteten krever konsesjon fra myndighetene eller er vesentlig for foretakets internkontroll, vil dette også tilsi at funksjonen kan være kritisk eller viktig.

Hva sier EBAs retningslinjer om rammeverk og styring av risiko forbundet med outsourcing?

EBAs retningslinjer legger opp til at styring og kontroll av outsourcingsordninger skal være integrert i foretakets øvrige system for virksomhetsstyring, og være tuftet på prinsippet om tre forsvarslinjer, dvs. monitorering i 1. linje (som forestår outsourcingen og eier risikoen), kontroll utført av 2. linje og bekreftelse av 3. linje; internrevisjonen.

Rammeverk for outsourcing skal forankres i en policy for outsourcing og dekke vurdering av risikoer og konsekvenser ved å sette ut tjenester til tredjeparter, herunder risiko for interessekonflikter. Foretakene må dessuten påse at visse krav og rettigheter avtalefestes, for eksempel klausuler om beredskapsplaner, rett til å utføre leverandørrevisjoner m.v.

Hvilke krav gjelder ved outsourcing over landegrensene til et tredjeland?

EBAs retningslinjer gjøres gjeldende for konsern på konsolidert basis, og vil derfor også komme til anvendelse for datterselskaper i tredjeland som ikke er direkte underlagt retningslinjene.

Hva er konsekvensen av disse retningslinjene?

Foretakene må vurdere risikoene forbundet med å sette tjenester ut til tredjeparter og implementere rammeverk og rutiner som sikrer adekvat håndtering av risiko ved outsourcing. Disse nye retningslinjene fra EBA detaljerer hvordan dette bør gjøres.

EBA fremhever for øvrig tilsynsmyndighetenes forsterkede fokus på outsourcing og økte "arsenal" av virkemidler (tematilsyn, inspeksjoner, krav om konsesjon eller godkjenning, sanksjoner), og anmoder foretakene om å bidra til å yte en felles innsats med tilsynsmyndighetenes om informasjonsdeling og utvikling av beste praksis.

Når trer retningslinjene i kraft?

Retningslinjene trer i kraft fra 30. september 2019 men med en overgangsperiode frem til 31. desember 2021.

[1] Committee of European Banking Supervisors.

[2] Viderefører krav fra GL44, EBA guidelines on internal governance fra 2011.

[3] Spesifikt nevnt er kapitalkravregelverket / CRD IV og CRR, Mifid II, revidert betalingstjenestedirektiv / PSD2 og direktiv for e-pengedirektivet.

Ta kontakt

 

Ønsker du tjenester fra KPMG?

 

Be om tilbud