Kapitel 9 Overvågning og kontrol
Outsourcingvirksomheden skal ud fra en risikobaseret tilgang løbende overvåge, undersøge og kontrollere leverandørens arbejde og foretage revisionsmæssige gennemgange af leverandøren.
Stk. 2 Outsourcingvirksomheden skal før et planlagt besøg hos en leverandør sikre, at outsourcingvirksomheden, revisorer eller tredjeparter, der handler på vegne af outsourcingvirksomheden, giver leverandøren et rimeligt varsel.
Stk. 3 Leverandøren skal ikke modtage et rimeligt varsel, hvis det ikke er muligt på grund af en nødsituation eller krisesituation, eller hvis besøgets formål vil blive forspildt.
Stk. 4 Ved gennemførelse af et besøg, jf. stk. 2, skal outsourcingvirksomheden tage behørigt hensyn til leverandørens drift og sikkerhed, hvis leverandøren betjener andre kunder. Outsourcingvirksomhedens repræsentanter skal have relevante kvalifikationer og viden til at gennemføre besøget.
Stk. 5 Outsourcingvirksomheden skal løbende ajourføre sine vurderinger i overensstemmelse med §§ 5 og 19.
Stk. 6 Outsourcingvirksomheden skal overvåge sine interne koncentrationsrisici som følge af outsourcing under hensyntagen til § 19, stk. 4.
Stk. 7 Outsourcingvirksomheden skal løbende sikre, at en outsourcing opfylder hensigtsmæssige resultat- og kvalitetsstandarder i overensstemmelse med outsourcingvirksomhedens politikker ved at
-
1) sikre, at outsourcingvirksomheden modtager passende rapportering fra leverandøren,
-
2) evaluere de leverancer, der modtages fra leverandøren ved brug af værktøjer, herunder centrale præstations- og kontrolindikatorer, rapporter om udførelsen af tjenesterne, selvcertificering og uafhængige undersøgelser og
-
3) gennemgå alle andre relevante oplysninger modtaget fra leverandøren, herunder rapporter om beredskabsplaner og test af disse.
Stk. 8 Outsourcingvirksomheden skal overvåge, om leverandøren overholder de aftalte data- og systemsikkerhedskrav, hvis outsourcing vedrører it-ydelser.
Outsourcingvirksomheden skal træffe passende foranstaltninger, og om nødvendigt bringe outsourcingkontrakten til ophør med øjeblikkelig virkning, hvis den finder mangler i varetagelsen af den outsourcede proces, tjenesteydelse eller aktivitet.
Outsourcingvirksomheden skal, såfremt den operationelle overvågning og kontrol af kritisk eller vigtig outsourcing er centraliseret, sikre, at den centraliserede overvågningsfunktion
-
1) har mulighed for uafhængigt af outsourcingvirksomheden at foretage overvågning af leverandøren og
-
2) foretage en passende overvågning af outsourcingvirksomheden.
Stk. 2 Outsourcingvirksomheden skal som minimum, såfremt den operationelle overvågning og kontrol af outsourcing er centraliseret, fra den centraliserede overvågningsfunktion modtage
-
1) årlig rapportering, der indeholder et sammendrag af risikovurderingen, jf. § 19, og rapportering om relevante resultat- og kvalitetsstandarder, jf. § 23, stk. 7 og 8, og
-
2) et sammendrag af de relevante revisionsrapporter for så vidt angår kritisk eller vigtig outsourcing og mulighed for at få stillet den fulde revisionsrapport til rådighed.
Outsourcingvirksomheden kan anvende fælles revision, der tilrettelægges og udføres i fællesskab med andre af leverandørens kunder, eller en tredjepart, udpeget af outsourcingvirksomheden og andre af leverandørens kunder i fællesskab.
Outsourcingvirksomheden kan anvende tredjepartscertificeringer, tredjepartsrevisionsrapporter og interne revisionsrapporter stillet til rådighed af leverandøren, hvis betingelserne i nr. 1-7 er opfyldte:
-
1) Outsourcingvirksomheden vurderer, at revisionsplanen for den outsourcede proces, tjenesteydelse eller aktivitet er tilstrækkelig.
-
2) Outsourcingvirksomheden sikrer, at anvendelsesområdet for certificeringen eller revisionsrapporten omfatter de centrale systemer og nøglekontroller, som outsourcingvirksomheden har udpeget, og at certificeringen eller revisionsrapporten overholder relevante myndighedskrav.
-
3) Outsourcingvirksomheden vurderer indholdet af certificeringerne eller revisionsrapporterne løbende og verificerer, at de ikke er forældede.
-
4) Outsourcingvirksomheden er tilfreds med egnetheden hos den eller de parter, der udfører certificeringen eller revisionen.
-
5) Outsourcingvirksomheden sikrer, at certificeringerne og revisionerne udføres i henhold til anerkendte relevante branchestandarder og omfatter test af nøglekontrollernes operationelle effektivitet.
-
6) Outsourcingvirksomheden har kontraktuel ret til at kræve, at certificeringernes eller revisionsrapporternes anvendelsesområde udvides til andre relevante systemer og kontroller.
-
7) Outsourcingvirksomheden bevarer den kontraktuelle ret til at skønne, om der skal udføres egne revisionshandlinger for så vidt angår kritisk eller vigtig outsourcing.
Stk. 2 Anvender outsourcingvirksomheden tredjepartscertificeringer, tredjepartsrevisionsrapporter eller interne revisionsrapporter stillet til rådighed af leverandøren, skal den sikre, at outsourcingvirksomheden kan opfylde sine regulatoriske forpligtelser.
Stk. 3 Outsourcingvirksomheden må for kritisk eller vigtig outsourcing ikke over tid udelukkende forlade sig på tredjepartscertificeringer, tredjepartsrevisionsrapporter eller interne revisionsrapporter, der er stillet til rådighed af leverandøren.