december 16, 2020

Tjekliste: Bliv compliant med den nye outsourcing-bekendtgørelse

Skrevet af Henning Gershof

Med en række skærpede regler i den såkaldte outsourcingbekendtgørelse stiller Finanstilsynet blandt andet større krav til finansielle virksomheders risikostyring, due diligence og governance, når de outsourcer.

De nye regler skal sikre, at den danske outsourcingbekendtgørelse stemmer overens med nye retningslinjer udstedt af Den Europæiske Banktilsynsmyndighed (”EBA”) i 2019.

Læs med her, hvor vi giver dig et overblik over, hvordan du sikrer compliance med den nye outsourcingbekendtgørelse.

Deadline for compliance med den nye outsourcingbekendtgørelse

De nye regler i outsourcingbekendtgørelsen blev udstedt i midten af juni og trådte allerede i kraft den 1. juli. Dog indeholder reglerne en overgangsperiode for eksisterende aftaler. Det betyder, at alle nye outsourcingkontrakter skal leve op til de nye krav, hvorimod deadline for outsourcingkontrakter indgået inden den 1. juli 2020 først er den 31. december 2022.

Timeline fra EBA udsteder nye retningslinjer for outsourcing i 2019 til Finanstilsynet udsteder ny outsourcingbekendtgørelse i 2020 med deadline for compliance for nye aftaler i juli 2020 og eksisterende aftaler i december 2022.

Reglerne gælder for pengeinstitutter, realkreditinstitutter, fondsmæglerselskaber, investeringsselskaber, sparevirksomheder, fælles datacentraler, operatører af regulerede markeder, Danmarks Skibskredit A/S og som noget nyt også e-pengeinstitutter og betalingsinstitutter.

For gruppe 2-forsikringsselskaber og enkelte andre forsikringsselskaber er der udstedt en særskilt outsourcingbekendtgørelse. Den indeholder nye krav, som er sammenlignelige med Solvens II-reglerne, der i dag gælder for gruppe 1-forsikringsselskaber.

Gratis whitepaper

10 gode råd til overvågning af din formue

Få 10 konkrete råd til overvågning af din kapitalforvaltning, så du kan få mest muligt ud af investeringerne og sikre dig, at dine investeringsrammer bliver overholdt.

Download her →

Gratis whitepaper

10 gode råd til overvågning af din formue

Få 10 konkrete råd til overvågning af din kapitalforvaltning,
så du kan få mest muligt ud af investeringerne og sikre
dig, at dine investeringsrammer bliver overholdt.

Download her →

Gratis whitepaper

10 gode råd til overvågning af din formue

Få 10 konkrete råd til overvågning af din kapitalforvaltning, så du kan få mest muligt ud af investeringerne og sikre dig, at dine investeringsrammer bliver overholdt.

Download her →

Disse krav skal du især være opmærksom på for at blive outsourcing-compliant

Hvor den gamle bekendtgørelse kun var gældende for outsourcing af såkaldt væsentlige aktivitetsområder, omfatter reglerne nu alle outsourcingaktiviteter, om end der er strengere krav at leve op til, hvis der er tale om kritisk eller vigtig outsourcing.

Derudover stiller de nye regler større krav til risikovurdering, leverandør due diligence samt indholdet af outsourcingkontrakter og virksomheders outsourcingpolitik. Det er desuden nødvendigt for de omfattede virksomheder at implementere en række nye tiltag for at blive compliant med de nye regler.

Disse indebærer etablering af et outsourcingregister, udpegning af en intern outsourcingansvarlig samt implementering af procedurer for identificering af en outsourcingaktivitet som henholdsvis kritisk/vigtig outsourcing eller øvrig outsourcing.

Få styr på de væsentligste ændringer i de nye regler i grafikken herunder:

Grafikken viser seks steps til at sikre compliance med reglerne i den nye outsourcingbekendtgørelse.

Få overblik over, hvordan du sikrer compliance for både kritisk eller vigtig outsourcing og øvrig outsourcing

Med de skærpede outsourcingregler bliver de fleste omfattede virksomheder nødt til at gennemgå hver enkelt outsourcingaftale for at sikre, at alle nye og eksisterende aftaler lever op til de nye krav.

Først skal virksomheden vurdere, om der er tale om kritisk outsourcing eller ej, og herefter skal compliance sikres.

I beslutningstræet nedenfor kan du få et overblik over beslutningsprocessen, ligesom vi har tilføjet en overordnet compliance-tjekliste for henholdsvis kritisk eller vigtig outsourcing og øvrig outsourcing.

Grafikken viser processen fra at definere en aktivitet som outsourcing til at identificere outsourcing som enten vigtig eller kritisk outsourcing eller øvrig outsourcing. Derudover vises en overordnet compliance tjekliste for at efterleve den nye outsourcingbekendtgørelse.

Compliance tjekliste – vigtig/kritisk outsourcing

Dokumentér identifikation af outsourcing-aktiviteten som vigtig/kritisk outsourcing.

Foretag risikovurdering af outsourcing-aktiviteten.

Foretag undersøgelse af leverandøren (leverandør due diligence).

Sørg for, at aftalen lever op til outsourcingpolitikken, herunder særlige krav til vigtig/kritisk outsourcing.

Sørg for compliance med alle kontraktmæssige krav, herunder særlige krav til vigtig/kritisk outsourcing.

Dokumentér beredskabsplaner og exitplan skriftligt.

Sørg for, at eventuelle underleverandører er kontraktmæssigt forpligtede ved videreoutsourcing.

Indhent godkendelse af outsourcingaftalen fra virksomhedens bestyrelse.

Notificér Finanstilsynet om den planlagte outsourcing i god tid.

Tilføj outsourcingaktiviteten til virksomhedens outsourcingregister.

Foretag løbende governance.

Compliance tjekliste – øvrig outsourcing

Dokumentér identifikation af outsourcing-aktiviteten som øvrig outsourcing.

Foretag risikovurdering af outsourcing-aktiviteten.

Foretag undersøgelse af leverandøren (leverandør due diligence).

Sørg for, at aftalen lever op til outsourcingpolitikken.

Sørg for compliance med alle kontraktmæssige krav, herunder særlige krav til vigtig/kritisk outsourcing.

<img data-tf