Artikel:

Uitbestedingsrichtlijn EBA voor banken: DNB monitort actief op naleving

10 december 2020

In eerdere artikelen informeerden wij over de implementatie van de nieuwe uitbestedingsrichtlijn van de EBA. Hierbij gaven wij inzicht in de belangrijkste verschillen met de oude uitbestedingsrichtlijn van de CEBS en de impact van de nieuwe uitbestedingsrichtlijn op banken en betaalinstellingen. Afgelopen week verscheen het nieuwbericht vanuit de DNB, waaruit blijkt dat de DNB actief monitort op de naleving van de uitbestedingsverplichtingen.

Uitkomsten monitoring DNB

De DNB stelde recentelijk vast dat contracten tussen onder toezicht staande instellingen en een grote IT leverancier structureel niet voldeden aan wet- en regelgeving. In deze contracten was geen ‘right to audit’ en geen ‘right to examine’ voor de toezichthouder opgenomen. Dit is een belangrijke verplichting voortvloeiend uit de uitbestedingsrichtlijnen.

Naar aanleiding van deze constatering heeft DNB verzocht aan banken en betaalinstellingen om na te gaan in welke mate hun uitbestedingscontracten voldoen aan de eisen in de uitbestedingsrichtlijn van de EBA.

Verplichtingen vanuit de richtlijn

Het is voor banken en betaalinstellingen van belang om zich te realiseren dat de eisen die worden gesteld aan uitbestedingscontracten slechts één onderdeel is van de nieuwe uitbestedingsrichtlijn. De richtlijn bevat namelijk verplichtingen ten aanzien van het gehele uitbestedingsproces, waarbij het zwaartepunt van de uitbestedingsrichtlijn ligt op de inrichting en monitoring van de uitbesteding. 

Verplichten ten aanzien van inrichting van het uitbestedingsproces
De uitbestedingsrichtlijn bevat specifieke verplichtingen ten aanzien van de inrichting van het uitbestedingsproces. De belangrijkste elementen zijn:

  • De verplichting om een uitbestedingsbeleid te hebben waar specifieke eisen in moeten zijn opgenomen;
  • De verplichting om een contractenregister bij te houden waar specifieke eisen in moeten zijn opgenomen;
  • De verplichting om de uitbesteding periodiek onafhankelijk te laten toetsen door de Internal Audit functie.

Verplichtingen ten aanzien van de monitoring van de uitbesteding
Naast de verplichtingen ten aanzien van de inrichting bevat de uitbestedingsrichtlijn specifieke elementen ten aanzien van de monitoring op uitbestedingen. De belangrijkste verplichtingen (per fase) zijn: 

  • Pre-uitbesteding fase: uitvoeren van due diligence onderzoek, beoordeling of het een kritische uitbesteding betreft en het uitvoeren van een risicoanalyse;
  • Contractuele fase: specifieke elementen die moeten worden opgenomen in het uitbestedingscontract zoals bijvoorbeeld ‘right to audit’ en ‘right to examine’ van de toezichthouder;
  • Uitbestedingsfase: periodieke monitoring op de uitbesteding, reguliere update van de risicoanalyse en het nemen van maatregelen als tekortkomingen worden gesignaleerd;
  • Beëindigingsfase: het hebben van een gedocumenteerde exit strategie waar specifieke eisen in moeten zijn opgenomen.

Hoe kan BDO uw organisatie helpen?

Wij hebben in dit artikel een aantal belangrijke voorwaarden vanuit de uitbestedingsrichtlijn toegelicht. Dit overzicht is echter niet limitatief. De nieuwe voorwaarden van de richtlijn zijn zeer uitgebreid.

De implementatie heeft een significante impact op de huidige inrichting van uitbesteding. BDO kan u helpen om aantoonbaar te voldoen aan de voorwaarden uit de uitbestedingsrichtlijn.

In navolging op het advies van DNB kan BDO tevens beoordelen of uw bestaande uitbestedingscontracten voldoen aan de voorwaarden uit de uitbestedingsrichtlijn en u hierover adviseren. Tevens is het mogelijk om een beoordeling uit te laten voeren op de implementatie van de richtlijn in uw organisatie. Met andere woorden, in hoeverre voldoet u momenteel aan de richtlijn?

Wilt u meer weten over de dienstverlening van BDO op dit specifieke gebied? Neem dan contact op met onze specialisten.