EBA & EIOPA | Retningslinjer for utkontraktering oversiktlig

Gått deg vill i jungelen av outsourcing-regler?

"Som følge av outsourcing-regler og retningslinjer for finansielle virksomheter, herunder outsourcing-kunngjøringen for kredittinstitutter mv. og EIOPAs retningslinjer for cloud-outsourcing, kan du som compliance officer befinne deg i en jungel av oppgaver der du mangler oversikt.

Sammen med de ledende ekspertene på cloud-outsourcing i Plesner Advokatpartnerselskab har vi utviklet en sterk compliance-løsning som med utgangspunkt i beste praksis gir deg klarhet, oversikt og en handlingsplan."

Alt i ett-plattform

Definer, overvåk og dokumenter alle outsourcing-arrangementer på ett sted, så slipper du ineffektivt arbeid på tvers av statiske Excel-ark.

Opprett gjennomsiktighet på tvers avdelinger

Generer rapporter med ett klikk

Integrer retningslinjer, processer og exit-strategi på et sted

Bli veiledet gjennom prosessen

Vi har gjort outsourcing-kunngjøringen om til et strukturert spørreskjema som gjenspeiler reglene i kunngjøringen.

Sjekkliste for krav til innebygd leverandørkontrakt

Trinnvis prosess som bidrar til compliance

Kartlegging av data og visuell oversikt over alle outsourcing-arrangementer

Integrert compliance og governance

Vi hjelper deg både med å bli compliant og opprettholde compliance med automatisering av kontroller, slik at du slipper det manuelle kontrollarbeidet.

Opprett årshjul med automatiske kontroller

Enkel dokumentasjon av viktige og kritiske arrangementer

Trekk ut det lovpålagte registeret til Finanstilsynet

Nøkkelfunksjoner i outsourcing-løsningen vår

KARTLEGGING

Du får hjelp til å få oversikt over alle outsourcing-arrangementer gjennom en komplett kartlegging av blant annet brukte leverandører. Du får også mulighet til å foreta en compliance-sjekk av outsourcing-policyen, exit-strategier og beredskapsplaner.

GAP-ANALYSE

Du får hjelp til å utarbeide gap-analyser i forbindelse med kontrakter, risikovurderinger osv. og vurderinger av hvorvidt outsourcing-arrangementene er viktige eller kritiske. Dette sikrer at du oppdager manglende etterlevelse av reglene.

RISIKOVURDERING

Du får hjelp til å utarbeide risikovurderinger i relasjon til de enkelte outsourcing-arrangementene. Du må kjenne til de konkrete risikoene ved de forskjellige arrangementene for å kunne vurdere hvilke tiltak du skal implementere

KONTROLLER

Du kan sette opp kontroller som bidrar til å sikre at organisasjonen kontinuerlig overholder outsourcing-reglene. I tillegg spiller kontroller en viktig rolle i dokumentasjonen av hvordan du følger reglene i det daglige.

DELEGER OPPGAVER

Du kan plassere konkrete oppgaver hos relevante medarbeidere og dermed plassere ansvaret for innsamling av informasjon om outsourcing-arrangementer hos de rette medarbeiderne.

REVISJON AV KONTROLLER

Du blir i stand til å foreta revisjoner av utførte kontroller og få oversikt over om dere etterlever outsourcing-reglene på tvers av organisasjonen.

Sett outsourcing i system

RISMA har i samarbeid med eksperter fra Plesner Advokatpartnerselskab utviklet en løsning for å hjelpe forsikringsselskaper og pensjonskasser med å sette håndteringen av cloud-outsourcing i system og dermed overholde EIOPAs retningslinjer for cloud-outsourcing.

Løsningen tar høyde for de eksisterende kravene til cloud-outsourcing i Solvens II-forordningen.Organisasjoner underlagt både EIOPA- og EBA-retningslinjer kan med fordel bruke løsningen til å håndtere alle organisasjonens outsourcing-arrangementer

Utviklet i samarbeid med ledende eksperter

I samarbeid med Plesner Advokatpartnerselskabs IT- og outsourcing-team har vi utviklet en outsourcing-løsning som kan hjelpe organisasjonen med å overholde outsourcing-reglene.

Kort fortalt er outsourcing-løsningen vår bygd opp på en måte som sikrer at dere kan etterleve outsourcing-reglene ved å veilede dere til å utføre en rekke praktiske oppgaver. For eksempel har teamet i Plesner utformet hele outsourcing-kunngjøringen som spørsmål og levert innhold til gap-analyseverktøyet, vurderingsverktøy, handlingsplaner og kontrollkatalog.

Outsourcing-løsningen sikrer deg dessuten full oversikt over alle medarbeidernes håndtering av oppgaver på tvers av avdelinger og systemer.

Compliance i forbindelse med outsourcing
Vi veileder deg gjennom prosessen trinn for trinn

Oversikt over organisationen

Du kan kartlegge og få oversikt over omfanget av organisasjonens arbeid med outsourcing, herunder leverandører, systemer og policyer.

Informasjonsinnsamling

Gjennom et tydelig og strukturert spørreskjema som gjenspeiler outsourcing-kunngjøringens mange regler, samler du og kollegene dine inn relevant informasjon om de enkelte outsourcing-arrangementene.

VURDERINGER OG GAP-ANALYSE

Løsningen vil støtte dine vurderinger, herunder om outsourcing-arrangementet er viktig eller kritisk. Gap-analysen kan vise om for eksempel utførte risikovurderinger er i overensstemmelse med kunngjøringen.

DEMPENDE TILTAK OG KONTROLLER

Du får en oversikt over hvilke områder som krever dempende tiltak. Du kan også overvåke arbeidet og opprettholde compliance med løpende kontroller av for eksempel leverandører.

DOKUMENTASJON

Du kan når som helst generere relevante rapporter, slik at du kan dokumentere arbeidet overfor relevante interessenter. Du kan for eksempel trekke ut det lovpålagte registeret over outsourcing-arrangementer til Finanstilsynet.

Implementering av outsourcing-løsningen

For å få den best mulige starten står kundesuksess-teamet klare til å hjelpe din organisasjon godt i gang med et tilrettelagt implementeringsforløp.

Du har naturligvis også mulighet til å få løpende support når behovet oppstår, slik at du kan være sikker på å få størst mulig utbytte av løsningen.

Utforsk vår 5-trinns implementeringen ➝

En GRC-plattform som bringer hele organisasjonen sammen

Styrk organisasjonen ved å koble sammen data, team, handlingsplaner og rapportering i én integrert GRC-plattform.

Enten du implementerer én, to eller flere av GRC-plattformens løsninger, sørger plattformen for økt samarbeid, større gjennomsiktighet og tidsbesparelser som skaper stor verdi for alle.

Utforsk GRC-plattformen vår ➝

STRØMLINJET KONTROLLER

Automatiser, dokumenter og rapporter alle kontroller – inkludert vurdering, demping og overvåking i én plattform.

LES OM INTERNE KONTROLLER →

ORGANISERT RISIKOSTYRING

Definer, analyser, vurder og demp organisasjonens risikoer og bruk din innsikt til å oppnå strategiske fordeler.

LES OM RISIKOSTYRINGS-LØSNINGEN→

OPTIMERT GDPR-COMPLIANCE

Erstatt den rotete informasjonsinnhentingen, manuelle prosesser og ekstremt upålitelige Excel-ark med en optimert GDPR-løsning.

LES OM GDPR-LØSNINGEN →

Vanlige spørsmål

Inneholder RISMAs outsourcing-løsning en registerfunksjon der vi kan registrere alle våre outsourcing-arrangementer?

Ja, RISMAs outsourcing-løsning gjør det mulig å oppfylle registerkravene for både vanlige outsourcing-arrangementer og viktige eller kritiske outsourcing-arrangementer.

Er det en fordel å velge å systemstøtte vår håndtering av outsourcing-arrangementer?

Tidligere har det vært vanlig at finansielle virksomheter har håndtert sine outsourcing-arrangementer i Excel e.l.

De nye outsourcing-reglene stiller imidlertid langt flere krav til hvert enkelt outsourcing-arrangement – også arrangementer som ikke er viktige eller kritiske. Her gjelder også skjerpede krav til dokumentasjon av alle vurderinger dere foretar, samt at dere skal kunne utlevere opplysninger fra deres nye register i elektronisk lesbart format til Finanstilsynet.

Les retningslinjene for outsourcing som gjenspeiler EBAs retningslinjer.

Samtidig er det blitt tydelig at dere må ha mer aktiv kontroll med leverandørene deres – både for å overholde outsourcing-reglene og GDPR.

De aller fleste brukere opplever at muligheten til å dokumentere, registrere og overvåke outsourcing-arrangementer blir mindre kompleks og mer korrekt når de velger å få systemstøtte til sin håndtering av outsourcing-arrangementer.

I tillegg sikrer dere at dere enkelt kan flytte arrangementer hvis det skjer endringer i organisasjonen, og at hele organisasjonen kan samarbeide om de enkelte arrangementene. For eksempel er det ofte nødvendig at innkjøp, risiko, IT-sikkerhet, jus osv. er involvert i prosessen.

Finnes det krav til outsourcing-arrangementer som ikke er viktige eller kritiske?

Outsourcing-reglene inneholder som noe nytt også krav til outsourcing-arrangementer som ikke er viktige eller kritiske.

Dere skal blant annet:

foreta en risikovurdering av alle outsourcing-arrangementer
sørge for å oppfylle kravene til outsourcing-kontrakter, herunder oppsigelsestilganger i kontrakten
registrere alle outsourcing-arrangementer i deres register.

Hva medfører outsourcing-reglene for min organisasjon?

Outsourcing-reglene omfatter en rekke forpliktelser. Nedenfor nevnes bare noen av de viktigste.

Organisasjonen skal utarbeide en outsourcing-policy, exit-strategier og beredskapsplaner.
Organisasjonen skal gjennomføre en grundig pre-outsourcing-analyse av alle outsourcing-arrangementer, inkludert due diligence og undersøkelse av interessekonflikter.
Organisasjonen må foreta en grundig risikovurdering av alle outsourcing-arrangementer.
Organisasjonen skal vurdere om outsourcing-arrangementer er viktige eller kritiske, og viktige eller kritiske arrangementer skal legges frem og godkjennes av styret sammen med resultatet av pre-outsourcing-analysen.
Organisasjonen må sørge for at det utarbeides exit-planer for alle viktige eller kritiske outsourcing-arrangementer.
Organisasjonen må sørge for at outsourcing-kontraktene oppfyller kontraktskravene.
Organisasjonen skal føre et register over alle outsourcing-arrangementer og dokumentere alle vurderinger.
Organisasjonen må overvåke outsourcing-arrangementer og outsourcing-leverandører.

Programvare for outsourcing-compliance