Bilag 1

Bilag

Andre bilag

Outsourcingpolitik
Bilag 1

Krav til outsourcingpolitikken

1) Den skriftlige outsourcingpolitik skal angive de vigtigste faser i det forløb, som en outsourcing gennemgår, og fastlægge principper, ansvar og processer i forbindelse med outsourcing. Outsourcingpolitikken skal desuden som minimum indeholde en klar stillingtagen til:

a) Bestyrelsens og direktionens ansvar og opgaver og involvering i beslutningsprocesserne om kritisk eller vigtig outsourcing.

b) Inddragelse af forretningsområder, interne kontrolfunktioner og andre funktioner i forbindelse med outsourcing.

c) Planlægning af outsourcing, herunder

i) afdækning af forretningsmæssige krav for outsourcing,

ii) kriterier og fremgangsmåder, jf. § 4, til identifikation af kritisk eller vigtig outsourcing,

iii) risikoidentifikation, -vurdering og -styring, jf. § 19,

iv) krav til forudgående undersøgelse af leverandører, jf. § 20,

v) procedurer for identifikation, vurdering, forebyggelse og afhjælpning af potentielle interessekonflikter, jf. § 13,

vi) beredskabsplaner, jf. § 14, og

vii) godkendelsesprocessen for nye outsourcingaftaler.

d) Gennemførelse, styring og overvågning af outsourcing, herunder krav til

i) den løbende vurdering af leverandørens udøvelse af den outsourcede aktivitet,

ii) procedurer for at blive underrettet om og reagere på ændringer i outsourcingaftaler eller hos leverandører,

iii) om outsourcingvirksomheden vil acceptere videreoutsourcing og eventuelle procedurer for påbegyndelse eller ændringer i videreoutsourcing,

iv) uafhængig gennemgang og revision af overholdelsen af juridiske og forskriftsmæssige krav og politikker og

v) fornyelsesprocesser.

e) Dokumentation og register, jf. §§ 15 og 16.

f) Exitstrategier og opsigelsesprocesser, herunder krav til en dokumenteret exitplan for hver enkelt kritisk eller vigtig outsourcing, der tager hensyn til eventuelle driftsafbrydelser eller uventet opsigelse af en outsourcingkontrakt, hvor en sådan exit anses for mulig.

g) Hvordan der skelnes mellem følgende former for outsourcing:

i) Kritisk eller vigtig outsourcing og øvrig outsourcing.

ii) Outsourcing til leverandører, som er godkendt af en finansiel tilsynsmyndighed, og til leverandører, der ikke har en sådan godkendelse.

iii) Koncernintern outsourcing og outsourcing til leverandører udenfor koncernen.

iv) Outsourcing til leverandører, der ligger udenfor og indenfor Den Europæiske Union.

h) Outsourcingpolitikkens eventuelle anvendelse for øvrige enheder i koncernen.

i) Outsourcingpolitikkens anvendelse ved eventuel outsourcing til en leverandør, der indgår i en koncern.

2) Outsourcingpolitikken skal for virksomheder omfattet af § 1, stk. 1, nr. 1-3 og 7, også indeholde bestemmelser, der sikrer, at:

a) Outsourcingvirksomheden ikke fritages for reguleringsforpligtelser eller ansvaret overfor outsourcingvirksomhedens kunder.

b) Outsourcingvirksomheden tager hensyn til, om leverandøren har indført passende etiske standarder eller et adfærdskodeks.

c) Outsourcingvirksomhedens anvendelse af outsourcing ikke hindrer Finanstilsynets mulighed for at udøve et effektivt tilsyn med outsourcingvirksomheden.

d) Outsourcingvirksomhedens anvendelse af outsourcing ikke strider mod eventuelle tilsynsmæssige begrænsninger af tjenesteydelser og aktiviteter.

e) Outsourcingvirksomheden anvender outsourcing i overensstemmelse med sine retningslinjer for udvikling og godkendelse af nye tjenesteydelser og produkter, hvis virksomheden har sådanne retningslinjer.

3) Outsourcingpolitikken skal indeholde krav, der sikrer, at outsourcingvirksomheden i tilfælde af outsourcing, der involverer behandling eller videregivelse af personoplysninger eller fortrolige data, anvender en risikobaseret tilgang til datalagrings- og databehandlingslokaliteter og informationssikkerhedshensyn.

Særlige krav til kritisk eller vigtig outsourcing

4) Outsourcingpolitikken skal for kritisk eller vigtig outsourcing dække følgende potentielle virkninger, som der skal tages højde for ved beslutning om outsourcing:

a) Outsourcingvirksomhedens risikoprofil.

b) Outsourcingvirksomhedens mulighed for at overvåge og føre kontrol med leverandøren og for at styre risici som følge af outsourcingen.

c) Outsourcingvirksomhedens beredskabsplaner.

d) Betydningen for resultatet af outsourcingsvirksomhedens forretningsaktiviteter.