EBA przemówiła: nowe wytyczne dotyczące outsourcingu
25 lutego EBA (European Banking Authority) opublikowała finalny draft wytycznych ws. outsourcingu (EBA Draft Guidelines on outsourcing arrangements). Nowe wytyczne wejdą w życie 30 września 2019 r., zastępując dotychczasowe wytyczne z 2006 r., a także Zalecenia EBA dot. cloud computingu z 2017r.
Instytucje finansowe powinny zapewnić zgodność swoich stosunków prawnych kreujących outsourcing (zarównoon-premise’owy, jak i chmurowy) do 31 grudnia 2021 r. Mowa tu nie tylko o „nowych” umowach z zewnętrznymi dostawcami, ale także o tych już istniejących.
Co wynika z nowych wytycznych?
„Duch” wytycznych EBA ws. outsourcingu oraz wymagań KNF (odnośnie do IT, zgrupowanych przede wszystkim w Rekomendacji D i Komunikacie dotyczącym korzystania z usług przetwarzania danych w chmurze obliczeniowej z października 2017 r.) jest w gruncie rzeczy ten sam. Istotą obu jest zapewnienie przez instytucje finansowe efektywnego nadzoru nad powierzonymi zewnętrznemu dostawcy czynnościami, wykształcenie wewnętrznych procedur i instytucji kontrolnych, zapewnienie identyfikacji i oceny ryzyka oraz mechanizmów zarządzania nim, a także zbudowanie odpowiednich planów zakończenia współpracy z dostawcą (exit plan).
Jakkolwiek, jest kilka różnic pomiędzy podejściem EBA a aktualnymi wytycznymi KNF. Poniżej prezentujemy ich krótkie podsumowanie.
1. Wskazanie definicji outsourcingu
EBA definiuje outsourcing jako relację pomiędzy instytucją finansową a zewnętrznym dostawcą usług, na podstawie której dostawca realizuje czynności, które w innym wypadku byłyby realizowane przez instytucję samodzielnie. Dodatkowo, EBA rekomenduje przyjęcie zasady, że outsourcingu nie stanowi powierzenie dostawcy wymienionych w wytycznych konkretnych funkcji (jak np. korzystanie z sieci operatorów kart płatniczych).
Niestety definicja nie rozstrzyga podstawowych wątpliwości, kiedy realizacja procesów IT wpada do puli outsourcingu, a kiedy pozostaje poza nią. Daje jednak pewne wyobrażenie o wymaganiach regulatora. Stanowi to niewątpliwie pozytyw względem polskich regulacji, gdzie outsourcing nie jest definiowany ani na poziomie ustawowym, ani soft law.
2. Podział outsourcowanych czynności na krytyczne i ważne oraz pozostałe
Nowe wytyczne nakazują, przed rozpoczęciem właściwego procesu organizowania outsourcingu, ocenić stopień krytyczności czynności, jakie miałyby zostać powierzone zewnętrznemu dostawcy. Powierzenie wykonywania czynności krytycznych i ważnych jest obarczone rygorystycznymi wymaganiami, w przeciwieństwie do mniej istotnych czynności. To zasadniczo odróżnia podejścia EBA i KNF. Nasz rodzimy regulator, stwierdza co prawda, że należy ocenić poziom krytyczności powierzonych insourcerowi czynności i że od jego wysokości zależy stopień intensywności środków kontroli… ale, no właśnie.. nic wiele ponad to. Tymczasem, EBA nie tylko rozróżnia skalę obowiązków wobec outsourcingu ważnych i krytycznych czynności oraz pozostałych procesów, ale definiuje też, czym są owe krytyczne i ważne czynności, a nawet udziela wskazówek, jak dokonać tej kwalifikacji.
Za krytyczne i ważne czynności potencjalnie stanowiące przedmiot outsourcningu, w kontekście IT, należy uważać takie czynności, których niewykonanie lub nienależyte wykonanie osłabi zgodność instytucji finansowej z wymaganiami prawnymi i regulacyjnymi, kondycję finansową lub solidność i ciągłość świadczonych usług.
Natomiast przy ocenie stopnia krytyczności, wytyczne zalecają wziąć pod uwagę:
- czy dane czynności dotyczą bezpośrednio czynności bankowych / usług płatniczych;
- wpływ zakłócenia lub przerwania czynności na finanse instytucji, jej ciągłość biznesową, ryzyko operacyjne czy reputację;
- wpływ outsourcingu danych czynności na zarządzanie ryzykiem;
- wpływ powierzenia czynności dostawcy na usługi świadczone bezpośrednio klientowi docelowemu;
- „rozmiar” i poziom skomplikowania czynności;
- możliwość i łatwość skalowania zakresu outsourcingu;
- możliwość powierzenia outsourcowanych czynności innemu dostawcy lub ich przywrócenia do samodzielnego operowania przez instytucję;
- kwestię ochrony danych i skutków ewentualnego naruszenia obszaru ich poufności.
3. Due dilligence insourcera
Wytyczne przewidują, że w każdym przypadku outsourcingu instytucja finansowa powinna odpowiednio ocenić potencjalnego insourcera, tak aby powierzenie czynności nastąpiło tylko w ręce odpowiednio profesjonalnego i stabilnego rynkowo podmiotu. Jednak w odniesieniu do outsourcingu krytycznych i ważnych czynności, EBA zaleca przeprowadzenie kompletnego due dilligence, którego kryteria szczegółowo opisują wytyczne.
4. Zarządzanie ryzykami wynikającymi z podoutsourcingu
O ile nowe wytyczne w zasadzie nie reglamentują podoutsourcingu mniej istotnych procesów, o tyle podoutsourcing czynności krytycznych i ważnych jest obarczony rygorystycznymi obowiązkami.
Po pierwsze, podoutsourcing jest możliwy tylko w takim zakresie, w jakim zgadza się na to instytucja finansowa. Po drugie, umowa outsourcingowa powinna określać szczegółowo obowiązki insourcera w wypadku zdecydowania się na dalsze powierzenie (w tym informowania outsourcera o wszystkich zmianach w tym zakresie). Po trzecie, podoutsourcing może być dopuszczalny tylko jeśli podinsourcer spełnia wszystkie wymagania prawne oraz regulacyjne, a także jeśli daje on instytucji finansowej uprawnienia kontrolne i audytowe (right of access and audit) w zakresie tożsamym z uprawnieniami instytucji wobec bezpośredniego insourcera. Finalnie, umowa z insourcerem powinna przewidywać prawo instytucji finansowej do wycofania się z niej, jeśli dojdzie do naruszenia umowy w obszarze podoutsourcingu.
5. Rejestr umów
Instytucja finansowa korzystająca z usług zewnętrznych dostawców powinna prowadzić rejestr umów i informacji o outsourcingu, z uwzględnieniem podziału na outsourcing czynności krytycznych i ważnych oraz pozostałych. Co prawda polskie regulacje przewidują konieczność utrzymywania takiego rejestru, jednak w nowych wytycznych EBA zawartość rejestru jest ukształtowana nieco inaczej.
6. Monitorowanie ryzyka koncentracji
Wytyczne przestrzegają, zwłaszcza w kontekście cloud computingu, przed ryzykiem koncentracji, tj. skupieniem w rękach niewielkiej liczby insourcerów, znacznej części procesów instytucji finansowych. EBA wydaje się patrzeć na tę kwestię nie tylko z punktu widzenia pojedynczej instytucji, ale całego rynku. Rodzi to pewne ryzyka związane z korzystaniem przez instytucje z tych samych dostawców usług chmurowych.
Wszystkie ręce do aneksów?
Nowe wytyczne EBA nie rewolucjonizują sytuacji instytucji finansowych, ale z pewnością je zmieniają. Szczególnie istotną luką do „zasypania” są kwestie analizy krytyczności powierzanych czynności oraz oceny dostawcy usług (insourcera), z uwagi na dotychczasowe wymagania KNF, które są w tych aspektach nieco luźniejsze niż wymagania EBA. Do 31 grudnia 2021 r. czasu jeszcze dużo, nie mniej już teraz trzeba zaktualizować wewnętrzne procedury, polityki i wzory umów dla nowych przedsięwzięć outsourcingowych. Co trudniejsze, trzeba także rozpocząć prace nad ewentualnym aneksowaniem dotychczasowych umów outsourcingowych, w celu osiągnięcia zgodności z wymaganiami EBA.
Trzeba się zatem spieszyć, ale zalecamy „spieszyć się powoli”. Przed zainicjowaniem konkretnych zmian w dokumentach i procedurach, należy je mądrze zaudytować. Następnie ocenić, w jakich obszarach faktycznie występuje niezgodność z wymaganiami EBA. I skorygować jedynie w tym właściwym zakresie.
 |  |
Associate w praktyce transformacji cyfrowej | Partner w praktyce transformacji cyfrowej |
