Nye regler for finansielle virksomheders outsourcing ‒ øget fokus på risikostyring

De to høringsudkast kommer i forlængelse af det lovforslag, der blev fremsat i begyndelsen af februar 2020, om ændring af blandt andet lov om finansiel virksomhed (L109/2020). Lovforslaget indeholder blandt andet en ny definition af outsourcing. 

Formålet med lovforslaget er:

• at bringe de danske regler i overensstemmelse med Den Europæiske Banktilsynsmyndigheds (EBA) guidelines fra 2019 for så vidt angår kreditinstitutter mv.
• at ensarte reglerne på tværs af hele forsikringsområdet ‒ så gruppe-2 selskaberne følger regler svarende til dem, gruppe-1 selskaberne er underlagt i Solvens II forordningen (Kommissionens delegerede forordning (EU) 2015/35).

EBA's guidelines implementeres for danske kreditinstitutter 

Bekendtgørelse om outsourcing for kreditinstitutter mv. fastlægger de nye regler for banker, realkreditinstitutter, E-pengeinstitutter mv. Som noget nyt gælder bekendtgørelsen også for E-pengeinstitutter og betalingsinstitutter. Reglerne for outsourcing for disse virksomheder har ellers tidligere alene været reguleret i betalingslovens noget summariske bestemmelser.

Den nye bekendtgørelse vil omfatte alle outsourcinger, men stiller yderligere krav i de tilfælde hvor outsourcingen er kritisk eller vigtig. Som noget nyt nævnes der i bekendtgørelsen også en række eksempler på forhold, der ikke udgør outsourcing, og som kan hjælpe virksomheden med at vurdere, hvorvidt outsourcingen vil være omfattet af bekendtgørelsen eller ej. Udover eksempelvis clearingydelser og korrespondentbankydelser så fremhæves køb af tjenester, som ikke normalt ville høre ind under virksomhedens aktivitetsområder som eksempler, hvor bekendtgørelsen ikke gælder. 

Krav om Outsourcingpolitik, risikovurderinger og dokumentationskrav

Som tilfældet også er det nu, skal virksomheden have en outsourcingpolitik. Outsourcingpolitikken skal først og fremmest beskrive outsourcingens faser, og dertil knytte og beskrive de relevante interne processer og ansvarsfordelinger, herunder særligt bestyrelsens og direktionens ansvarsfordeling i relation til kritisk eller vigtig outsourcing. Outsourcingpolitikken skal desuden indeholde principper for, hvornår virksomheden anser en outsourcing for at være væsentligt, og hvordan leverandørerne overvåges og styres.

Virksomheden skal foretage en risikovurdering af alle outsourcinger, inden de foretages. En risikovurdering skal tage udgangspunkt i den enkelte outsourcing, men skal også tage højde for både (i) risikoen ved at samle flere outsourcede ydelser hos samme leverandør (koncentrationsrisiko) og (ii) risikoen ved virksomhedens samlede brug af outsourcing på tværs af virksomheden. Risikovurderingen skal konkret vurdere blandt andet karakteren af de outsourcede processer og aktiviteter, mængden og karakteren af data, der overlades til leverandøren, og de påtænkte sikkerhedsforanstaltninger samt leverandørens lokalitet (herunder også politisk og økonomisk stabilitet i de pågældende lande). 

Det er desuden nu et udtalt krav, at virksomheden fører et register med oplysninger om alle outsourcinger. For de outsourcinger, der ikke er kritiske eller vigtige, er der tale om stamoplysninger såsom; leverandør, omfattede ydelser, relevante datoer for ophør og genforhandling og i hvilket omfang, der er overført data og persondata til leverandøren. For outsourcing til cloud skal der endvidere være en beskrivelse af cloudtjenestens implementeringsmodeller. 

Særlige krav til kritisk eller vigtig outsourcing

Der gælder en række yderligere krav, hvis der er tale om kritisk og væsentlig outsourcing, navnlig at:

• kontrakten skal indeholde en række konkrete bestemmelser, som nærmere beskrevet i bilag 3 til bekendtgørelsen, herunder
  - hvorvidt leverandøren kan videreoutsource hele eller dele af ydelserne
  - adgang, tilgængelighed, integritet, databeskyttelse og sikkerhed med hensyn til data
  - leverandørens forpligtelser til at foretage indberetninger til virksomheden af enhver udvikling hos leverandøren, der kan have en væsentlig indflydelse på leverandørens evne til effektivt at udføre den outsourcede kritiske eller vigtige proces, tjenesteydelse eller aktivitet
  - krav, der sikrer, at leverandøren er forpligtet til at samarbejde med Finanstilsynet, Finansiel Stabilitet og andre personer udpeget af disse myndigheder
  - virksomhedens eller en tredjepart udpeget af virksomheden og Finanstilsynets ubegrænsede ret til at undersøge og foretage revision hos leverandøren med hensyn til især kritisk eller vigtig outsourcing
• der skal foreligge en exitplan for hver enkelt outsourcing, ligesom politikken skal angive grænserne for de effekter en kritisk eller vigtig outsourcing kan have på virksomhedens samlede risikoprofil
• der i risikovurderingen skal være yderligere fokus på de risici, der kan opstå, hvis leverandøren har mulighed for at videreoutsource, herunder de risici for manglende effektiv kontrol, der kan opstå, hvis der sker videreoutsourcing til flere underleverandører, og der dermed er et meget fragmenteret leveranceapparat
• outsourcingregistret blandt andet skal suppleres af oplysninger om seneste risikovurdering af outsourcingen, muligheden for at hjemtage ydelsen og en identifikation af alternative leverandører.

Sondringen mellem kritisk eller vigtig outsourcing og anden outsourcing er relevant for at fastslå, om yderligere krav til eksempelvis outsourcingregistret og kontrakten med leverandøren finder anvendelse

Den nuværende bekendtgørelses afgrænsning af "væsentlige aktivitetsområder" er erstattet, så EBA's formulering "kritisk eller vigtig outsourcing" anvendes. En outsourcing er kritisk eller vigtig

1. hvis en fejl vil forringe:
   - muligheden for at overholde betingelserne i sin tilladelse
   - finansielle resultater, eller
   - muligheden for på et forsvarligt grundlag at yde tjenesteydelser og udøve sine aktiviteter eller 
2. det omfatter outsourcing af tilladelsespligtige aktiviteter eller outsourcing af operationelle opgaver i interne kontrolfunktioner. 

Selvom bekendtgørelsen på nogle område giver mere fleksibilitet end tidligere og på en række punkter giver flere eksempler og bedre guidance til beslutningsprocesserne, så indeholder bekendtgørelsen samlet set også en lang række yderligere krav end den nuværende bekendtgørelse. Det gælder særligt i relation til risikovurderinger, dokumentation og kravene til outsourcingpolitikker, der gennemgås nedenfor.

Bekendtgørelsen gør også op med kravet om "aktiv godkendelse" af videreoutsourcing for kritisk eller vigtig outsourcing. I stedet er det nu muligt at parterne aftaler en "opt-out" model, hvor virksomheden kan opsige kontrakten i tilfælde af, at en videreoutsourcing ikke kan accepteres. I det bilag til bekendtgørelsen, der stiler krav til outsourcingkontrakten, fremgår der et krav om udtrykkelig godkendelse eller ret til at modsætte sig en videreoutsourcing ‒ vi forventer dog, at bilaget vil blive ensrettet med selve bekendtgørelsen i den endelige version.

Bekendtgørelsen vil blive fulgt op af en vejledning, når høringsfasen er afsluttet, og den endelige tekst er på plads.

Reglerne for gruppe 2 forsikringsselskaber ensrettes med regler for gruppe 1

Den anden nye bekendtgørelse ("Bekendtgørelse om outsourcing for gruppe-2 forsikringsselskaber, Arbejdsmarkedets Tillægspension og Lønmodtagernes Dyrtidsfond") har til formål at ensrette kravene til gruppe-2 forsikringsselskaber (samt ATP og LD) med de krav, der gælder for gruppe-1 selskaberne i Solvens II Forordningen.

Også i denne bekendtgørelse findes der krav til virksomheden om udarbejdelse af en intern outsourcingpolitik. Indholdet af eller kravene til outsourcingpolitikken er ikke nærmere defineret i bekendtgørelsen, men skal tage hensyn til indvirkningen af outsourcing på virksomheden og fastlægge de rapporterings- og overvågningssystemer, der skal indføres i forbindelse med outsourcing. Outsourcingpolitikken skal alene udarbejdes for outsourcing af ydelser, der er omfattet Finanstilsynets kontrol.

Derudover stiller bekendtgørelsen en række krav i forbindelse med beslutningen om den konkrete outsourcing, hvis den er kritisk eller væsentlig. Virksomheden skal således foretage en grundig undersøgelse af den påtænkte leverandør (due diligence), der blandt andet skal fokusere på leverandørens interne risikostyrings- og kontrolforanstaltninger, har fyldestgørende beredskabsplaner og har de nødvendige ressourcer og kvalificerede medarbejdere til at løfte opgaven på be-tryggende vis. 

Ensretningen med reglerne i Solvens II Forordningen betyder, at en række af de krav, der fremgår af Forordningens artikel 274 er gentaget i den nye bekendtgørelse. Det medfører også, at en række af de mindstekrav til parternes kontrakt fra Solvens II Forordningen (artikel 274.4), der traditionelt giver udfordringer i forhandlingerne med outsourcingleverandøren ‒ særligt i cloud kontrakter ‒ også fremgår af den nye bekendtgørelse. Det er blandt andet krav om overholdelse af al lovgivning samt krav om at, virksomhedens skal kunne udstede generelle politikker og konkrete instrukser til leverandø-ren.

Nye EIOPA Guidelines for brug af Cloud

Den europæiske tilsynsmyndighed for forsikrings- og arbejdsmarkedspensionsordninger (EIOPA) har i begyndelsen af februar 2020 udsendt nye guidelines for brug af cloud-ydelser for forsikringsselskaber. De har blandt andet til formål at ensrette de regulatoriske krav for forsikringsselskaber med de, som gælder for banker mv. i regi af EBA guidelines. Gruppe-2 forsikringsselskaber, Arbejdsmarkedets Tillægspension og Lønmodtagernes Dyrtidsfond er ikke direkte omfat-tet af EIOPA's retningslinjer (som gruppe-1 forsikringsselskaberne er det), men Finanstilsynet udtaler i høringsbrevet til den nye bekendtgørelse, at gruppe-2 forsikringsselskaber, ATP og LD også bør iagttage disse retningslinjer.

I de nye guidelines kommer EIOPA blandt andet med retningslinjer om:

• styring (governance) af outsourcing til cloud, herunder håndtering af dokumentationskrav og underretning af myndigheder
• den forudgående risikoanalyse af outsourcingen, herunder hvilke kriterier der kan lægges til grund, når det skal vurderes om en outsourcing til cloud er en kritisk eller vigtig aktivitet 
• hvordan der foretages "due diligence" af de(n) påtænkte leverandører
• kravene til kontrakten med cloud-leverandøren og dennes underleverandører
• praktisk håndtering af audit og løbende tilsyn med leverandøren.

Også for forsikringsselskaberne gøres der i EIOPA guidelines op med kravet om "aktiv godkendelse" af videreoutsourcing. 

Få ændringer for Gruppe-1 Forsikringsselskaber

Gruppe-1 forsikringsselskaberne vil ikke være omfattet af reglerne i de to nye bekendtgørelser. Særreglerne for forsikringsselskaber i den nuværende bekendtgørelse, herunder forpligtelsen til at underrette Finanstilsynet om forestående outsourcinger er nu indsat direkte i forslaget til ændring af lov om finansiel virksomhed. Samtidig indeholder bestemmelsen en hjemmel til, at der også for gruppe-1 selskaberne kan udstedes en bekendtgørelse.

Vi forventer dog, at de nye krav for andre finansielle virksomheder vil have en afsmittende effekt på Finanstilsynets forventninger til gruppe-1 selskabernes dokumentation, governance og risikostyring.

Vi følger snart op med en mere tilbundsgående artikel, der behandler de nye EIOPA guidelines.

De nye bekendtgørelser forventes at træde i kraft den 1. juli 2020 ‒ samtidig med ændringen af lov om finansiel virksomhed. I den mellemliggende periode vil der blandt andet blive afgivet høringssvar fra en række interessenter, og vi følger op, når høringssvarene bliver offentliggjort.