Wytyczne EBA w zakresie outsourcingu

Same wytyczne wskazują, iż ,,określają ustalenia dotyczące zasad zarządzania wewnętrznego, w tym rozsądnego zarządzania ryzykiem, które instytucje, instytucje płatnicze oraz instytucje pieniądza elektronicznego powinny wdrażać przy outsourcingu funkcji, w szczególności w przypadku outsourcingu funkcji krytycznych lub ważnych”.

By zrozumieć to niezwykle zawile sformułowane wyliczenie, należy zacząć od zdefiniowania, czym jest outsourcing.

Rozumienie outsourcingu w rozumieniu wytycznych jest dosyć proste: oznacza umowę w dowolnej formie, zawartą między instytucją a usługodawcą, na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez samą instytucję. Jednocześnie, jako outsourcing nie traktuje się:

• funkcji, której wykonanie przez dostawcę usług jest wymagane na mocy prawa (np. badanie ustawowe);

• usług związanych z dostarczaniem informacji rynkowych (np. udostępnienie danych przez Bloomberg, Moody’s, Standard & Poor’s, Fitch);

• infrastruktury globalnej sieci (np. Visa, MasterCard);

• systemów rozliczeniowych i rozrachunku pomiędzy izbami rozliczeniowymi, CCP i instytucjami rozliczeniowymi oraz ich członkami;

• infrastruktury globalnej komunikacji finansowej podlegającej nadzorowi właściwych organów;

• usług bankowości korespondencyjnej;

• nabycia usług, które w innym przypadku nie zostałyby wykonane przez instytucję – wytyczne wprost wymieniają usługi architektów, prawników, sprzątania, pocztowe czy związane z utrzymaniem pomieszczeń danej instytucji.

Innymi słowy: bank, który potrzebuje usług kancelarii prawnej w związku np. z pozwem, nie dokonuje outsourcingu. Outsourcing musi być związany z przekazaniem komuś realizacji zadania, które normalnie zrobiłby ten bank, takie jak np. sprzedaż instrumentu finansowego.

Funkcje krytyczne i istotne

Kolejną istotną kwestią jest to, że wytyczne obejmują jedynie tzw. funkcje krytyczne i istotne. Wskazują przy tym na trzy okoliczności, które mogą czynić daną funkcję krytyczną lub istotną.

Po pierwsze, dana funkcja ma charakter krytyczny lub istotny, jeżeli błąd lub niepowodzenie w ich wykonaniu zagrażałyby w sposób istotny:

• ciągłości wypełniania warunków zezwolenia lub innych zobowiązań wynikających z dyrektywy w sprawie rynków instrumentów finansowych, rozporządzenia w sprawie wymogów ostrożnościowych dla instytucji kredytowych i firm inwestycyjnych, dyrektywy o usługach płatniczych lub dyrektywy w sprawie pieniądza elektronicznego oraz obowiązków regulacyjnych;

• wynikom finansowym jednostki;

• niezawodności lub ciągłości wykonywanych usług bankowych i płatniczych oraz działalności w tym zakresie;

Po drugie, funkcję należy uznać za krytyczną, w sytuacji gdy zleca się zadania operacyjne z zakresu kontroli wewnętrznej na zasadzie outsourcingu, chyba że ocena wykaże, że niewykonanie funkcji będącej przedmiotem outsourcingu lub niewłaściwe jej wykonanie nie będzie miało niekorzystnego wpływu na skuteczność funkcji kontroli wewnętrznej.

Ostatnią okolicznością jest sytuacja, gdy przedmiotem outsourcingu ma być działalność bankowa lub usługi płatnicze w zakresie wymagającym udzielenia zezwolenia przez właściwy organ.

Zasady te są uzupełniane przez zasadę proporcjonalności: należy zwrócić szczególną uwagę na krytyczność i wagę funkcji, jeżeli przedmiotem outsourcingu są funkcje związane z głównymi liniami biznesowymi i funkcjami krytycznymi zdefiniowanymi w dyrektywie ustanawiającej ramy na potrzeby prowadzenia działań naprawczych oraz restrukturyzacji i uporządkowanej likwidacji w odniesieniu do instytucji kredytowych i firm inwestycyjnych i zidentyfikowane przez instytucje na podstawie kryteriów określonych w art. 6 i 7 rozporządzenia delegowanego Komisji (UE) 2016/778 w sprawie okoliczności i warunków, w jakich zapłata nadzwyczajnych składek ex post może zostać częściowo lub całkowicie odroczona, oraz w zakresie kryteriów służących określeniu działań, usług i operacji w odniesieniu do funkcji krytycznych oraz określeniu linii biznesowych wraz z powiązanymi usługami w odniesieniu do głównych linii biznesowych.

Za krytyczne lub istotne uznaje się funkcje niezbędne do wykonywania działań w ramach głównych linii biznesowych, lub funkcji krytycznych, chyba że w wyniku oceny dokonanej przez instytucję okaże się, że niewykonanie funkcji będącej przedmiotem outsourcingu lub niewłaściwe jej wykonanie nie będzie miało niekorzystnego wpływu na ciągłość operacyjną głównych linii biznesowych, lub funkcji krytycznych.

Wskazane zostały także liczne kryteria oceny tego, czy dana funkcja ma charakter krytyczny lub istotny. Sprawdzić należy m.in. czy umowa outsourcingu dotyczy bezpośrednio świadczenia usług działalności bankowej i usług płatniczych, w odniesieniu do których udzielono zezwolenia; potencjalny wpływ zakłócenia funkcji zleconych w ramach outsourcingu lub niewykonania przez dostawcę usługi na uzgodnionym gwarantowanym poziomie, wpływ na kondycję finansową, reputację, ciągłość działania instytucji, wpływ outsourcingu na możliwość identyfikacji ryzyka, spełnienia wymogów prawnych i regulacyjnych przez daną instytucję itp.

Zasady wynikające z wytycznych

Wytyczne zawierają szereg zasad, których powinny się trzymać instytucje, do których są skierowane. Pierwsza z zasad dotyczy zarządzania i ryzyka osoby trzeciej. Zgodnie z wytycznymi, elementem ogólnych ram kontroli wewnętrznej, w tym mechanizmów kontroli wewnętrznej każdej instytucji powinien być kompleksowy ramowy system zarządzania ryzykiem, obejmujący całą instytucję i wszystkie linie biznesowe oraz wewnętrzne jednostki instytucjonalne. Na podstawie tych ram instytucje identyfikować powinny ryzyko wynikające z ustaleń z osobami trzecimi, i zarządzać nim.

Ponadto outsourcing nie może naruszać zasad zarządzania: nie może skutkować oddelegowaniem odpowiedzialności organu zarządzającego na inny organ czy podmiot. Instytucje i instytucje płatnicze pozostać mają w pełni odpowiedzialne za wykonywanie obowiązków regulacyjnych, w tym muszą pozostać zdolne do nadzorowania outsourcingu funkcji krytycznych i istotnych. Outsourcing nie może ograniczać wymogu należytej staranności organu zarządzającego instytucji, jej dyrektorów i osób odpowiedzialnych za zarządzanie instytucją płatniczą oraz osób pełniących najważniejsze funkcje.

Instytucje powinny ponadto:

• jednoznacznie przydzielić obowiązki w zakresie dokumentowania umów outsourcingu, zarządzania i kontroli nad takimi umowami;

• przypisać dostateczne zasoby, aby zapewnić zgodność z wymogami prawnymi i regulacyjnymi oraz zapewnić dokumentowanie i monitorowanie wszystkich umów outsourcingu;

• ustanowić funkcję w zakresie outsourcingu lub wyznaczyć pracownika wyższego szczebla, który będzie bezpośrednio odpowiadał przed organem zarządzającym i ponosił odpowiedzialność za zarządzanie ryzykiem dotyczącym umów outsourcingu i zarządzał takim ryzykiem w ramach kontroli wewnętrznej oraz nadzorował dokumentację dotyczącą umów outsourcingu.

Małe i mniej złożone instytucje powinny zapewnić co najmniej jednoznaczny podział zadań i obowiązków w zakresie zarządzania umowami outsourcingu i kontroli nad nimi.

Wytyczne wskazują także, że instytucje nie mogą doprowadzić do sytuacji, gdy stracą swoją istotę i staną się „pustą strukturą” albo „podmiotem-skrzynką pocztową” (czy też, jak to się mówi w Polsce: firmą-słupem). W każdym czasie spełniać muszą wszystkie warunki zezwolenia.

Instytucje muszą zachować także jasne i przejrzyste ramy organizacyjne i strukturę umożliwiającą im zapewnienie zgodności z wymogami prawnymi i regulacyjnymi. Jeśli przedmiotem outsourcingu są zadania w ramach funkcji kontroli wewnętrznej (np. w przypadku outsourcingu w ramach grupy kapitałowej lub w ramach systemu ochrony instytucjonalnej), sprawować odpowiedni nadzór i posiadać zdolność zarządzania ryzykiem związanym z outsourcingiem funkcji krytycznych i istotnych.

Instytucje zlecające jakieś działania na zasadzie outsourcingu powinny co najmniej zapewnić, aby:

• wciąż mogły podejmować i realizować decyzje dotyczące ich działalności oraz krytycznych istotnych funkcji, w tym w odniesieniu do tych funkcji, które są przedmiotem outsourcingu;

• zachować prawidłowość prowadzenia działalności oraz świadczenia usług bankowych i płatniczych;

• ryzyko związane z bieżącymi i planowanymi umowami outsourcingu zostało odpowiednio zidentyfikowane, ocenione, zarządzane i ograniczone, w tym ryzyko związane z technologiami informacyjnymi i komunikacyjnymi oraz technologią finansową (FinTech);

• zawarto stosowne umowy o zachowaniu poufności w zakresie danych i innych informacji;

• zachowano odpowiedni przepływ stosownych informacji z dostawcami usług;

• w odniesieniu do outsourcingu krytycznych i istotnych funkcji są w stanie podjąć w stosownym terminie przynajmniej jedno z następujących działań:

• przeniesienie funkcji do innych dostawców usług;

• reintegracja funkcji; lub

• przerwanie wykonywania działalności, które są zależne od funkcji;

• w sytuacji, gdy dostawcy usług są zlokalizowani na obszarze UE lub państw trzecich, wdrożenie odpowiednich środków i przetwarzania danych zgodnie z RODO.