De nieuwe richtsnoer is van toepassing op alle uitbestedingen door financiële instellingen die onder de definitie van 'outsourcing' vallen:
Outsourcing means means an arrangement of any form between an institution, a payment institution or an electronic money institution and a service provider by which that service provider performs a process, a service or an activity that would otherwise be undertaken by the institution, the payment institution or the electronic money institution itself.
Een instelling moet altijd controleren of een bepaalde afspraak met een derde valt onder de definitie van outsourcing. Bij dit onderzoek moet onder andere worden overwogen of de uitbestede activiteit wordt uitgevoerd op een terugkerende of doorlopende basis en deze activiteit valt onder de reikwijdte van activiteiten die realistisch gezien kán worden uitgevoerd door de instelling zelf (zelfs als de instelling deze activiteit nog niet eerder heeft uitgevoerd).
In het algemeen zijn de volgende activiteiten geen 'outsourcing':
- een activiteit die wettelijk verplicht is om te worden uitgevoerd door een derde dienstverlener (bijvoorbeeld wettelijke controles);
- marktinformatiediensten (bijvoorbeeld data die wordt aangeleverd door Bloomberg, Moody's, S&P en Fitch);
- global network infrastructures, zoals Visa en Mastercard;
- clearing- en settlementdiensten tussen clearinginstellingen, centrale tegenpartijen en settlementinstellingen en hun leden;
- global financial messaging infrastructures die zijn onderworpen aan toezicht door relevante autoriteiten;
- corespondent banking services; en
- de verkrijging van diensten die anders niet door de instelling zouden zijn uitgevoerd.
Een activiteit is kritiek of belangrijk in de volgende situaties:
- wanneer een defect of falen in de uitvoer van de activiteit een materiële beperking veroorzaakt in i) compliance met bijvoorbeeld marktoegangsregels zoals MiFID II, ii) de financiële performance van de instelling, of iii) de continuïteit van bijvoorbeeld de bank- of betaaldienst;
- wanneer de activiteit een operationele taak of een interne controlefunctie betreft, tenzij deze uitbestede activiteit geen impact heeft op de effectiviteit van de interne controlefunctie;
- wanneer de uitbestede activiteit een bancaire functie of betaalfunctie betreft die dusdanig wordt uitbesteed dat een autorisatie van een bevoegde autoriteit nodig is.
Voor de beoordeling wanneer een activiteit kritiek of belangrijk is noemt EBA tien niet-limitatieve factoren, waaronder of de activiteit direct verbonden is met vergunningplichtige bancaire- of betalingsactiviteiten, de mogelijke impact van of disruptie door de uitbestede activiteit op bijvoorbeeld de financiële stabiliteit, continuïteit of reputatie, of op de dienstverlening aan de klanten van de instelling.
Voor een volledig overzicht van alle voorschriften verwijs ik u naar de richtsnoer zelf. Klik hier om de richtsnoer in te zien.
