Artikel 49 ‐ Outsourcing

4.10 Artikel 49 - Outsourcing

enheden underlagt direktivet, som har det fulde ansvar for de opgaver, som er outsourcet.²¹⁶ Virksomheden skal løbende have en opdateret outsourcingspolitik som er ledelsesgodkendt. Denne politik skal bl.a. indeholde overvejelser om, hvilken effekt en eventuel outsourcing vil have for virksomheden, herudover rapporterings- og overvågningsprocesser i forbindelse med den outsourcede opgave.²¹⁷

Som nævnt ovenfor er virksomheden fuldt ansvarlig for kvaliteten af de opgaver som bliver outsourcet.

Med andre ord står virksomheden på mål for, at den overholder direktivet, uafhængigt af om opgaven er udført internt eller eksternt. På grund af dette beskriver CEIOPS, at virksomheden som et led i deres RM-processer skal have en proces, som overvåger og gennemgår kvaliteten af de udførte opgaver.

CEIOPS skriver endvidere, at det ikke vurderes som værende effektivt, såfremt denne overvågning og review af kontroller, afholdes internt i den serviceenhed som udfører opgaverne for virksomheden, hvormed virksomheden som effekt heraf skal have den fornødne kompetence til at udføre den løbende overvågning samt sikre kvaliteten af de udførte handlinger.²¹⁸

Som det fremgår af stk. 2 i artiklen må outsourcing af nøglefunktioner ikke have en negativ effekt på kvaliteten af ledelsessystemet, medføre forøget operationel risiko, være til hindrer for tilsynsmyndighedens adgang til væsentlig data eller have en negativ effektiv på den service som den forsikrede modtager. Nøglefunktioner bliver af CEIOPS beskrevet som værende alle de funktioner, der er en del af virksomhedens primære drift eller en del af virksomhedens overvågningssystem.²¹⁹

Virksomheden skal ved udvælgelse af en serviceenhed i forbindelse med outsourcing af eventuelle opgaver kontrollere en række elementer (pkt. a -f ). Det primære formål hermed er at sikre kvaliteten af serviceleverandøren. Nedenfor er punkterne præsenteret.²²⁰

 Undersøgelse af en potentiel serviceleverandørs evne samt kapacitet til at løse opgaven

 Sikre at der ikke er risiko for potentiel interessekonflikt mellem enhed og serviceleverandør

 Skriftlig aftalt hvor ansvarsfordeling indgår (se nedenfor for yderligere råd til aftalens indhold)

 Sikre at outsourcingsaftalens overordnede krav er forstået af enhedens administrative ledelse eller bestyrelse

 Sikre at samarbejde med serviceleverandøren ikke medfører brud på kravene om databeskyttelse eller andre love/reguleringer

216 CEIOPS' Advice, pkt. 3.347

217 CEIOPS' Advice, pkt. 3.350-3.351

218 CEIOPS' Advice, pkt. 3.352

219 CEIOPS' Advice, pkt. 3.354

220 CEIOPS' Advice, pkt. 3.356

 Klientinformationer er lige så sikre hos serviceleverandøren som hos enheden.

Formålet med denne indledende handling er udover at sikre, at valget af serviceleverandøren er forsvarligt også at fortælle om de primære risici der er i forbindelse med outsourcing og i forbindelse hermed finde en passende strategi til udførelsen.²²¹

Som det er nævnt tidligere, er det enheden underlagt direktivet som har ansvaret for opgavens udførelse, hvorfor der i forbindelse med indgåelse af opgaven skal der udarbejdes en kontrakt, hvortil CEIOPS anbefaler en række krav til indholdet. Kontraktens formål er at skabe det optimale aftalegrundlag mellem enhed og serviceleverandør og hermed være med til sikre overholdelse af gældende lovgivning.

CEIOPS' råd til kontraktens indhold er listet nedenfor:²²²

 Klar opgave / ansvarsfordeling mellem enhed og serviceleverandør

 Serviceleverandør skal bekræfte at overholde gældende lovgivning samt andre gældende retningslinjer

 Serviceleverandør skal løbende holde enheden opdateret vedrørende deres evne til at løse opgaven

 Serviceleverandør kan kun afbryde samarbejdet med en tidsfrist som muliggør, at enheden finder en alternativ løsning

 Enheden skal have mulighed for at afbryde samarbejde inden for en rimelig tidsgrænse, såfremt denne finder dette nødvendigt

 Enheden har rettigheder til information som vedrører den outsourcede opgave, herudover rettigheder til at udstikke guidelines til, hvordan opgavens skal løses

 Serviceleverandør skal beskytte information som vedrører enheden og dens klienter

 Enheden, dens eksterne revisor samt tilsynsmyndigheden, skal have effektiv adgang til al information som vedrører de outsourcede funktioner/aktiviteter samt serviceleverandørens præmisser for levering af ydelsen.

 Tilsynsmyndigheden skal have rettighed til direkte at tage kontakt til serviceleverandøren.

Som det fremgår af ovenstående er det primære formål med dette af CEIOPS' råd, at enheden sikrer fuld adgang til information samt en løbende opdatering fra serviceleverandøren såfremt deres forudsætninger for løsningen af opgaven har ændret sig. Herudover skal kontrakten sikre, at tilsynsmyndigheden løbende har ubegrænset adgang til relevant information, og at tilsynsmyndigheden i forbindelse hermed

221 CEIOPS' Advice, pkt. 3.357

222 CEIOPS' Advice, pkt. 3.358

kan tage kontakt direkte til serviceleverandøren. Som nævnt tidligere omhandler artikel 38 i direktivet også outsourcing, dog mere specifikt tilsynsprocessen.²²³

Artiklens overordnede formål er efter vor overbevisning, at muliggøre en optimal tilsynsproces.

CEIOPS nævner i deres råd til artikel 49, at opfølgning af punkt b), h) og i), oplistet ovenfor, efter deres overbevisning vil skabe overholdelse af artikel 38, nedenfor: ²²⁴

CEIOPS considers that a written agreement between an undertaking and its service provider, contained in the requirements set out in paragraph 3.358 b), h) and i), is all the undertaking can do to ensure compliance with Article 38 before the outsourcing. Such a written agreement will also ensure that, irrespective of whether or not a service provider is located in the EU, the undertaking’s supervisory authorities will be able to assess the undertaking’s compliance with its obligations.

Endeligt skal enheden sikre, at serviceleverandøren har tilstrækkelig risikostyring og i forbindelse hermed forsvarlige interne kontroller. Herudover skal enheden sikre, at de processer som udføres af serviceleverandøren er underlagt denne risikostyring.²²⁵

4.10.3 Analyse 

Enhedernes mulighed for at outsource opgaver til hhv. interne og eksterne serviceleverandører, bliver i direktivet behandlet i hhv. artikel 38 samt 49. Artikel 49 er efter vores vurdering den primære artikel, hvor artikel 38 alene fokuserer på, at tilsynsmyndigheden skal have mulighed for at føre tilstrækkelig tilsyn med den outsourcede opgave. Som det fremgår af fortolkningen ovenfor, primært baseret på CEIOPS råd, kan enhederne sikre compliance iht. artikel 38 ved at udforme en kontrakt med serviceleverandøren, som indeholder de af CEIOPS nævnte punkter.

Som det fremgår af ovenstående, opstiller de relevante artikler ikke de store begrænsninger iht.

muligheden for outsourcing af opgaver, hvorfor det primære krav derfor er, at kvaliteten på den løste opgave ikke må blive væsentlige forringet. Samtidigt vil det altid være enheden, som er underlagt direktivet der er ansvarlig for løsning af opgaven. I forbindelse hermed fremgår det også af CEIOPS' Advices, at virksomhederne skal indhente grundig information inden aftalens indgåelse, og videre at aftalen skal indgås på baggrund af en række forudsætninger. Formålene hermed er bl.a. at sikre, at serviceleverandøren leverer en tilstrækkelig service, samt at tilsynet sikres fuld adgang til information som måtte vedrøre virksomheden.

223 Solvens II-direktivet, Artikel 38

224 CEIOPS' Advice, pkt. 3.369

225 CEIOPS' Advice, pkt. 3.366

Derudover nævner CEIOPS, at virksomheden skal indeholde en proces som overvåger og gennemgår kvaliteten af den outsourcede ydelse, da det kun er ydelsen men ikke ansvaret som kan outsources. Dette betyder, at virksomheden vil være nødt til at indeholde ressourcer til at udføre en sådan kontrol, hvormed især de små forsikringsvirksomheder vurderes at have udfordringer ved outsourcing. Dette er gældende, da disse vil have forholdsmæssigt sværere ved at indeholde sådanne overvågende, pga. bl.a.

omkostningen ved en sådan.

Det skal her nævnes at det allerede af dansk lovgivning fremgår at virksomhedens kan outsource opgaven men ikke ansvaret for løsningen.²²⁶

226 VEJ 37, pkt. 1.2