EBA: Reglerne for finansielle virksomheders outsourcing skal harmoniseres

Nye retningslinjer sendt i høring

Den 22. juni 2018 sendte EBA et sæt retningslinjer for finansielle virksomheders outsourcing i høring. Forgængeren til de retningslinjer, der nu er i høring, er Committee of European Banking Supervisors' (CEBS) "Guidelines on Outsourcing" fra 2006. Disse guidelines dannede også grundlag for den danske outsourcingbekendtgørelse fra 2010, der fortsat er gældende.

I de nye retningslinjer peger EBA på, at der er behov for en generel opdatering af regelsættet. I den forbindelse er det særligt interessant, at de anbefalinger for outsourcing til cloud, der blev udsendt i december 2017 er direkte inkorporeret i de nye retningslinjer.

Det danske finanstilsyn nærmer sig således allerede en implementering af EBA's retningslinjer med sin høring af en revideret outsourcingbekendtgørelse. Anbefalingerne for outsourcing til cloud bortfalder som selvstændige anbefalinger, når de nye retningslinjer træder i kraft.

CEBS' guidelines gjaldt, som udgangspunkt, kun for kreditinstitutter. De nye retningslinjer vil gælde for alle finansielle virksomheder inden for EBA's tilsynsområde, herunder også investeringsselskaber og e-pengeinstitutter.

Risikostyring og kontrol er centrale elementer ved 'væsentlig outsourcing'

Kernen i reguleringen af finansielle virksomheders outsourcing er outsourcingen af kritiske eller væsentlige funktioner. Det samme gælder for både de tidligere CEBS guidelines, outsourcingbekendtgørelsen og de seneste cloud-anbefalinger.

Definitionen af kritiske eller væsentlige funktioner er taget fra MiFID II, hvor der lægges vægt på, om en fejl i den pågældende funktion "[…] materielt ville forringe investeringsselskabets muligheder for fortsat at opfylde betingelserne og forpligtelserne i henhold til sin tilladelse eller sine øvrige forpligtelser […] eller ville forværre dets finansielle resultater eller dets mulighed for fortsat eller på et sundt grundlag at yde investeringsservice og udføre investeringsaktiviteter."

Der er således lagt op til, at der skal foretages en risikobaseret tilgang til væsentlighedsvurderingen. Med andre ord: Jo større risiko, jo større sandsynlighed for, at der er tale om væsentlig outsourcing. Hvordan den enkelte finansielle virksomhed tilrettelægger sin risikovurdering, dikterer EBA's retningslinjer ikke. EBA angiver dog en bruttoliste over, hvad der bør indgå i en risikovurdering.

I tillæg til de tidligere kendte risici (som eksempelvis risiko for manglende tilgængelighed til data og IT-systemer), er der også en række "nyere" risici i EBA's retningslinjer. Disse er formentlig baseret på EBA's vurdering af den stigende brug af outsourcing i sektoren. Der nævnes blandt andet:

• Concentration risk – Virksomheden outsourcer store dele af sin drift hos en leverandør eller hos en leverandør, der er så dominerende, at det kan være vanskeligt at skifte leverandør.
• Aggregation risk – Virksomheden outsourcer så store dele af sine aktiviteter på tværs af forretningsområder, at den samlede risiko er betydelig.
   

Derudover nævner EBA de risici, der måtte være ved outsourcing til leverandører (eller underleverandører) uden for EU, herunder særligt leverandørernes overholdelse af EU-regler om eksempelvis persondatabeskyttelse.

Det er således ikke længere tilstrækkeligt blot at risikovurdere den enkelte, forestående oursourcing. Fremover skal denne vurderes i det samlede perspektiv for virksomhedens outsourcing-strategi. EBA peger særligt på, at retningslinjerne skal sikre, at de finansielle virksomheder ikke bliver "tomme skaller", hvor al væsentlig forretning er outsourcet. I den forbindelse er det væsentligt at bemærke, at retningslinjerne også kræver, at der føres et register over alle outsourcing-aftaler, uanset om disse vedrører kritiske eller væsentlige funktioner eller ej.

Risikostyring på eget ansvar

Det er et gennemgående tema, at den finansielle virksomhed skal have fokus på sin risikostyring. Virksomheden må ikke overlade hverken denne eller de nødvendige kontrolmekanismer til andre. Det skal altså være den finansielle virksomhed, der vurderer såvel leverandørens soliditet som kvaliteten af leverandørens ydelser. Det er den daglige ledelses ansvar, at dette overholdes, og dette ansvar kan – som tidligere – ikke delegeres.

De hidtidige krav om udarbejdelse af interne politikker for outsourcing, due diligence af leverandøren og kravet til en intern organisation, der kan monitorere og følge op på outsourcing-aftalerne, består stadig. 

Som en del af fokusset på risiko peger retningslinjerne også på behovet for robuste exit-planer for outsourcing-aftaler. De enkelte exit-planer afhænger selvsagt af genstanden for outsourcingen. Fælles for alle exit-planer er dog, at de skal tillade virksomheden at komme ud af aftalen med leverandøren, uden at dette forringer den løbende drift. Øvrige generelle principper for exit bør indarbejdes i virksomhedens outsourcing-politik.

Nye krav og længe ventede forbedringer

EBA's nye retningslinjer giver en større grad af frihed til, at parterne kan fastlægge indholdet af deres aftale. Den grundlæggende konstruktion, der også kendes fra outsourcingbekendtgørelsen, består fortsat. Hermed dikterer retningslinjerne et minimumsindhold til parternes kontrakt, og det er således stadig et krav, at der eksempelvis aftales:

• konkrete servicemål
• rapporteringsindhold og -frekvens 
• hvorfra ydelserne leveres. 
   

Blandt listens nye punkter kan nævnes, at parterne nu skal tage stilling til:

• hvorvidt leverandøren skal tegne forsikring mod visse risici
• test af contingency-planer 
• eksplicit regulering af, at den finansielle virksomhed altid skal have adgang til data, også i tilfælde af leverandørens insolvens.
   

Større autonomi ved kontraktforhandlinger

Et par væsentlige ændringer er også taget med – herunder særligt af områder, der tidligere har voldt væsentlige problemer ved kontraktforhandlinger:

Øget frihed til at aftale brugen af underleverandører

Parterne skal selv aftale om – og i hvilket omfang – underleverandører kan bruges, og hvilke krav der stilles hertil. Fremadrettet vil kravet om virksomhedens forudgående, aktive godkendelse af en udskiftning i kredsen af underleverandører kun være et absolut krav, hvis underleverandøren behandler data, der er omfattet af GDPR. For øvrige underleverandører kan parterne aftale sig til andre mekanismer, herunder en model om underretning og mulighed for at opsige aftalen med et passende varsel.

Ubetinget fortsat levering af ydelser i forbindelse med ophør

Kravet om ubetinget fortsat levering af ydelserne i forbindelse med ophør indgår ikke eksplicit i retningslinjerne. Hvor leverandøren tidligere var forpligtet til at levere ydelserne, indtil en overlevering til tredjepart eller en insourcing havde fundet sted, så skal parterne fremadrettet:

• fastsætte en passende transitionsperiode, hvor leverandøren skal fortsætte levering
• klart beskrive, hvad transitionsydelsen består i, og hvad leverandørens forpligtelser er
• sikre, at aftalen indeholder en forpligtelse for leverandøren til at ”supportere” i forbindelse med en overdragelse.
   

Begge punkter giver således parterne en større autonomi i forhandlingerne, og det må forventes, at regulatoriske forhindringer i større omfang blive ændret til forhandlingsparametre.

Der vil stadig være knaster i forhandlingerne

EBA's retningslinjer indeholder, som nævnt, fortsat en minimumsliste over, hvad en outsourcing-aftale skal indeholde. Dette har været, og vil formentlig fortsat være, en anledning til diskussion om fortolkning af retningslinjerne mellem kunde og leverandør. Dette gælder særligt i relation til tilsynsmyndighedernes ubetingede inspektionsret ved alle lokationer hos leverandøren, der er relevante i relation til levering af ydelserne.

Udgangspunktet er fortsat, at parterne ikke kan aftale begrænsninger i audit-retten.

I den forbindelse kan det ses som et plaster på såret, at de nye retningslinjer er mere eksplicitte om, at audits (også tilsynsmyndighedernes) bør varsles i god tid. Dette gælder i det omfang det er muligt og uden at forpurre formålet med en audit. Samtidig anerkender EBA, at en tredjeparts certificeringer eller erklæringer (eks. revisionserklæringer) delvist kan erstatte behovet for audits.

Høring afsluttes snart

EBA's høring om udkastet til retningslinjer udløber den 24. september 2018.

Kromann Reumert følger op på udviklingen, når EBA offentliggør resultatet af høringen. Vi vil se nærmere på, hvilke ændringer høringssvarene måtte have haft på udkastet til retningslinjerne, og hvilke tiltag Finanstilsynet påtænker, herunder en mulig opdatering af outsourcingbekendtgørelsen.

Læs det fulde høringsmateriale.