Czego dotyczą wytyczne?
Same wytyczne wskazują, iż ,,określają ustalenia dotyczące zasad zarządzania wewnętrznego, w tym rozsądnego zarządzania ryzykiem, które instytucje, instytucje płatnicze oraz instytucje pieniądza elektronicznego powinny wdrażać przy outsourcingu funkcji, w szczególności w przypadku outsourcingu funkcji krytycznych lub ważnych”.
By zrozumieć to niezwykle zawile sformułowane wyliczenie, należy zacząć od zdefiniowania, czym jest outsourcing.
Rozumienie outsourcingu w rozumieniu wytycznych jest dosyć proste: oznacza umowę w dowolnej formie, zawartą między instytucją a usługodawcą, na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez samą instytucję. Jednocześnie, jako outsourcing nie traktuje się:
funkcji, której wykonanie przez dostawcę usług jest wymagane na mocy prawa (np. badanie ustawowe);
usług związanych z dostarczaniem informacji rynkowych (np. udostępnienie danych przez Bloomberg, Moody’s, Standard & Poor’s, Fitch);
infrastruktury globalnej sieci (np. Visa, MasterCard);
systemów rozliczeniowych i rozrachunku pomiędzy izbami rozliczeniowymi, CCP i instytucjami rozliczeniowymi oraz ich członkami;
infrastruktury globalnej komunikacji finansowej podlegającej nadzorowi właściwych organów;
usług bankowości korespondencyjnej;
nabycia usług, które w innym przypadku nie zostałyby wykonane przez instytucję – wytyczne wprost wymieniają usługi architektów, prawników, sprzątania, pocztowe czy związane z utrzymaniem pomieszczeń danej instytucji.
Innymi słowy: bank, który potrzebuje usług kancelarii prawnej w związku np. z pozwem, nie dokonuje outsourcingu. Outsourcing musi być związany z przekazaniem komuś realizacji zadania, które normalnie zrobiłby ten bank, takie jak np. sprzedaż instrumentu finansowego.
Funkcje krytyczne i istotne
Kolejną istotną kwestią jest to, że wytyczne obejmują jedynie tzw. funkcje krytyczne i istotne. Wskazują przy tym na trzy okoliczności, które mogą czynić daną funkcję krytyczną lub istotną.
Po pierwsze, dana funkcja ma charakter krytyczny lub istotny, jeżeli błąd lub niepowodzenie w ich wykonaniu zagrażałyby w sposób istotny:
ciągłości wypełniania warunków zezwolenia lub innych zobowiązań wynikających z dyrektywy w sprawie rynków instrumentów finansowych, rozporządzenia w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, dyrektywy o usługach płatniczych lub dyrektywy w sprawie pieniądza elektronicznego oraz obowiązków regulacyjnych;
wynikom finansowym jednostki;
niezawodności lub ciągłości wykonywanych usług bankowych i płatniczych oraz działalności w tym zakresie;
Po drugie, funkcję należy uznać za krytyczną, w sytuacji gdy zleca się zadania operacyjne z zakresu kontroli wewnętrznej na zasadzie outsourcingu, chyba że ocena wykaże, że niewykonanie funkcji będącej przedmiotem outsourcingu lub niewłaściwe jej wykonanie nie będzie miało niekorzystnego wpływu na skuteczność funkcji kontroli wewnętrznej.
Ostatnią okolicznością jest sytuacja, gdy przedmiotem outsourcingu ma być działalność bankowa lub usługi płatnicze w zakresie wymagającym udzielenia zezwolenia przez właściwy organ.
Zasady te są uzupełniane przez zasadę proporcjonalności: należy zwrócić szczególną uwagę na krytyczność i wagę funkcji, jeżeli przedmiotem outsourcingu są funkcje związane z głównymi liniami biznesowymi i funkcjami krytycznymi zdefiniowanymi w dyrektywie ustanawiającej ramy na potrzeby prowadzenia działań naprawczych oraz restrukturyzacji i uporządkowanej likwidacji w odniesieniu do instytucji kredytowych i firm inwestycyjnych i zidentyfikowane przez instytucje na podstawie kryteriów określonych w art. 6 i 7 rozporządzenia delegowanego Komisji (UE) 2016/778 w sprawie okoliczności i warunków, w jakich zapłata nadzwyczajnych składek ex post może zostać częściowo lub całkowicie odroczona, oraz w zakresie kryteriów służących określeniu działań, usług i operacji w odniesieniu do funkcji krytycznych oraz określeniu linii biznesowych wraz z powiązanymi usługami w odniesieniu do głównych linii biznesowych.
Za krytyczne lub istotne uznaje się funkcje niezbędne do wykonywania działań w ramach głównych linii biznesowych, lub funkcji krytycznych, chyba że w wyniku oceny dokonanej przez instytucję okaże się, że niewykonanie funkcji będącej przedmiotem outsourcingu lub niewłaściwe jej wykonanie nie będzie miało niekorzystnego wpływu na ciągłość operacyjną głównych linii biznesowych, lub funkcji krytycznych.
Wskazane zostały także liczne kryteria oceny tego, czy dana funkcja ma charakter krytyczny lub istotny. Sprawdzić należy m.in. czy umowa outsourcingu dotyczy bezpośrednio świadczenia usług działalności bankowej i usług płatniczych, w odniesieniu do których udzielono zezwolenia; potencjalny wpływ zakłócenia funkcji zleconych w ramach outsourcingu lub niewykonania przez dostawcę usługi na uzgodnionym gwarantowanym poziomie, wpływ na kondycję finansową, reputację, ciągłość działania instytucji, wpływ outsourcingu na możliwość identyfikacji ryzyka, spełnienia wymogów prawnych i regulacyjnych przez daną instytucję itp.
Zasady wynikające z wytycznych
Wytyczne zawierają szereg zasad, których powinny się trzymać instytucje, do których są skierowane. Pierwsza z zasad dotyczy zarządzania i ryzyka osoby trzeciej. Zgodnie z wytycznymi, elementem ogólnych ram kontroli wewnętrznej, w tym mechanizmów kontroli wewnętrznej każdej instytucji powinien być kompleksowy ramowy system zarządzania ryzykiem, obejmujący całą instytucję i wszystkie linie biznesowe oraz wewnętrzne jednostki instytucjonalne. Na podstawie tych ram instytucje identyfikować powinny ryzyko wynikające z ustaleń z osobami trzecimi, i zarządzać nim.
Ponadto outsourcing nie może naruszać zasad zarządzania: nie może skutkować oddelegowaniem odpowiedzialności organu zarządzającego na inny organ czy podmiot. Instytucje i instytucje płatnicze pozostać mają w pełni odpowiedzialne za wykonywanie obowiązków regulacyjnych, w tym muszą pozostać zdolne do nadzorowania outsourcingu funkcji krytycznych i istotnych. Outsourcing nie może ograniczać wymogu należytej staranności organu zarządzającego instytucji, jej dyrektorów i osób odpowiedzialnych za zarządzanie instytucją płatniczą oraz osób pełniących najważniejsze funkcje.
Instytucje powinny ponadto:
jednoznacznie przydzielić obowiązki w zakresie dokumentowania umów outsourcingu, zarządzania i kontroli nad takimi umowami;
przypisać dostateczne zasoby, aby zapewnić zgodność z wymogami prawnymi i regulacyjnymi oraz zapewnić dokumentowanie i monitorowanie wszystkich umów outsourcingu;
ustanowić funkcję w zakresie outsourcingu lub wyznaczyć pracownika wyższego szczebla, który będzie bezpośrednio odpowiadał przed organem zarządzającym i ponosił odpowiedzialność za zarządzanie ryzykiem dotyczącym umów outsourcingu i zarządzał takim ryzykiem w ramach kontroli wewnętrznej oraz nadzorował dokumentację dotyczącą umów outsourcingu.
Małe i mniej złożone instytucje powinny zapewnić co najmniej jednoznaczny podział zadań i obowiązków w zakresie zarządzania umowami outsourcingu i kontroli nad nimi.
Wytyczne wskazują także, że instytucje nie mogą doprowadzić do sytuacji, gdy stracą swoją istotę i staną się „pustą strukturą” albo „podmiotem-skrzynką pocztową” (czy też, jak to się mówi w Polsce: firmą-słupem). W każdym czasie spełniać muszą wszystkie warunki zezwolenia.
Instytucje muszą zachować także jasne i przejrzyste ramy organizacyjne i strukturę umożliwiającą im zapewnienie zgodności z wymogami prawnymi i regulacyjnymi. Jeśli przedmiotem outsourcingu są zadania w ramach funkcji kontroli wewnętrznej (np. w przypadku outsourcingu w ramach grupy kapitałowej lub w ramach systemu ochrony instytucjonalnej), sprawować odpowiedni nadzór i posiadać zdolność zarządzania ryzykiem związanym z outsourcingiem funkcji krytycznych i istotnych.
Instytucje zlecające jakieś działania na zasadzie outsourcingu powinny co najmniej zapewnić, aby:
wciąż mogły podejmować i realizować decyzje dotyczące ich działalności oraz krytycznych istotnych funkcji, w tym w odniesieniu do tych funkcji, które są przedmiotem outsourcingu;
zachować prawidłowość prowadzenia działalności oraz świadczenia usług bankowych i płatniczych;
ryzyko związane z bieżącymi i planowanymi umowami outsourcingu zostało odpowiednio zidentyfikowane, ocenione, zarządzane i ograniczone, w tym ryzyko związane z technologiami informacyjnymi i komunikacyjnymi oraz technologią finansową (FinTech);
zawarto stosowne umowy o zachowaniu poufności w zakresie danych i innych informacji;
zachowano odpowiedni przepływ stosownych informacji z dostawcami usług;
w odniesieniu do outsourcingu krytycznych i istotnych funkcji są w stanie podjąć w stosownym terminie przynajmniej jedno z następujących działań:
przeniesienie funkcji do innych dostawców usług;
reintegracja funkcji; lub
przerwanie wykonywania działalności, które są zależne od funkcji;
w sytuacji, gdy dostawcy usług są zlokalizowani na obszarze UE lub państw trzecich, wdrożenie odpowiednich środków i przetwarzania danych zgodnie z RODO.
Polityka outsourcingu
W wytycznych wiele miejsca poświęcono także polityce outsourcingu. Organ zarządzający instytucji, która zawarła umowę outsourcingu lub planuje zawarcie takiej umowy, powinien dokonać przeglądu i aktualizacji pisemnej polityki w zakresie outsourcingu oraz zapewnić jej wdrożenie, w zależności od przypadku, na zasadzie indywidualnej, subskonsolidowanej lub skonsolidowanej.
Polityka outsourcingu powinna obejmować główne fazy cyklu funkcjonowania umów outsourcingu i określać zasady, zakres odpowiedzialności i procesy dotyczące outsourcingu
Konflikty interesów
Instytucje płatnicze powinny także identyfikować i oceniać konflikty interesów dotyczące zawartych przez nie umów outsourcingu i zarządzać tymi konfliktami. Jeżeli w związku z outsourcingiem wystąpi istotny konflikt interesów, w tym konflikt pomiędzy podmiotami w ramach tej samej grupy lub systemu ochrony instytucjonalnej, instytucje i instytucje płatnicze podjąć mają odpowiednie środki na rzecz rozwiązania takich konfliktów interesów.
Audyt wewnętrzny
Czynności w ramach funkcji audytu wewnętrznego powinny zgodnie z podejściem opartym na analizie ryzyka obejmować niezależną weryfikację czynności zleconych na zasadzie outsourcingu. Plan i program audytu powinny w szczególności obejmować umowy outsourcingu funkcji krytycznych i istotnych.
Plany ciągłości działania
Wytyczne zalecają także ustanowienie, utrzymanie i regularne testowanie planów ciągłości działania. Dotyczą one krytycznych i istotnych funkcji będących przedmiotem outsourcingu. Plany ciągłości działania powinny uwzględniać sytuację, w której jakość realizacji funkcji krytycznej lub istotnej będącym przedmiotem outsourcingu spadnie do niedopuszczalnego poziomu, lub zawiedzie.
Rejestr informacji na temat outsourcingu
Instytucje w ramach swojego ramowego systemu zarządzania ryzykiem powinny prowadzić zaktualizowany rejestr informacji na temat wszystkich umów outsourcingu na szczeblu instytucji oraz, w stosownych przypadkach, na szczeblu subskonsolidowanym lub skonsolidowanym oraz odpowiednio dokumentować wszystkie aktualne umowy outsourcingu dokonując rozróżnienia pomiędzy outsourcingiem funkcji krytycznych i istotnych a pozostałymi umowami outsourcingu.
Instytucje przy uwzględnieniu przepisów prawa krajowego przechowują w rejestrze przez odpowiedni okres dokumentację zakończonych umów outsourcingu i dokumentację uzupełniającą. Wytyczne wskazują niezbędne elementy takiego rejestru..
Analiza przed zawarciem umowy outsourcingu
Wytyczne sugerują powzięcie odpowiednich działań jeszcze przed zawarciem umowy. Przed zawarciem umowy outsourcingu instytucje i instytucje płatnicze powinny m. in. ocenić, czy umowa outsourcingu dotyczy krytycznej lub istotnej funkcji, ocenić, czy spełniono warunki w zakresie nadzoru dotyczące outsourcingu, zidentyfikować i ocenić wszystkie istotne zagrożenia umowy, przeprowadzić odpowiednią analizę due diligence dotyczącą przyszłego dostawcy usług, zidentyfikować i ocenić konflikty interesów, do których może doprowadzić outsourcing. Umowa określić też powinna, czy jest dopuszczalny outsourcing funkcji krytycznych lub istotnych.
Strategie wyjścia
W przypadku outsourcingu krytycznych lub istotnych funkcji instytucje powinny posiadać także udokumentowaną strategię wyjścia zgodną z ich polityką w zakresie outsourcingu i planami ciągłości działania, która powinna uwzględniać co najmniej:
możliwość rozwiązania umów outsourcingu,
niewykonanie świadczenia ze strony dostawcy usług,
pogorszenie jakości wykonywanej funkcji,
rzeczywiste lub potencjalne zakłócenia działalności spowodowane niewłaściwym wykonaniem funkcji, lub jej niewykonaniem.
Konieczne jest także uwzględnienie istotne zagrożenia dla odpowiedniego i ciągłego wykonywania danej funkcji.
Podsumowanie
Jak widać, wytyczne są w swej treści bardzo ogólne. Nie dziwi to, biorąc pod uwagę, że nie stanowią wiążącego źródła prawa. Wskazują one jednak pewien standard i cel, który powinny spełniać instytucje, które powierzają część swoich funkcji na zasadzie outsourcingu.
Instytucje finansowe mogą wywieść z nich jednak dla siebie szereg nowych obowiązków formalnych, organizacyjnych oraz kontrolnych, które zapewne niedługo staną się powszechnym standardem praktyki rynkowej. Z tego względu, niedostosowanie się do wytycznych może prowadzić do obniżenia wiarygodności danej instytucji oraz zaufania do niej. Wytyczne też będą też w przyszłości ważnym źródłem inspiracji nie tylko dla polskiego KNF, ale też unijnego prawodawcy, który może uznać za stosowne przetworzenie części wytycznych w twarde, obowiązujące prawo UE. Już dziś warto więc dostosować w odpowiedni sposób procedury funkcjonujące w instytucjach.
Pytania i odpowiedzi
Wytyczne EBA nie są formalnie wiążące, jednak ze względu na autorytet wydającej je instytucji, szybko stają się standardem na rynku usług finansowych.
Adresatem wytycznych są organy nadzoru finansowego, instytucje kredytowe (np. banki), instytucje płatnicze oraz instytucje pieniądza elektronicznego.
Wspomniane wyżej instytucje powinny m.in. prowadzić wstępną analizę umów outsourcingowych, badać ewentualne konflikty interesów, dbać o to, by nie została wyłączona odpowiedzialność organów zarządzających, posiadać strategię wyjścia, dokonywać audytu tych umów pod kątem kryteriów zawartych w wytycznych.
Zaufali nam: