Wytyczne EBA: nowe wymogi dla banków oraz instytucji płatniczych w zakresie outsourcingu

Analizy

Wytyczne EBA: nowe wymogi dla banków oraz instytucji płatniczych w zakresie outsourcingu

Alert prawny: 11/2019 | 20 września 2019 r.

Wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie outsourcingu (zwane dalej „Wytycznymi”) zastąpią wkrótce wytyczne Komitetu Europejskich Urzędów Nadzoru Bankowego (CEBS) z 2006 r. dotyczące outsourcingu oraz Zalecenia EBA dotyczące zlecania zadań dostawcom usług w chmurze z 2018 r.

Adresaci

Wytyczne EBA kierowane są do właściwych organów, a także – do instytucji kredytowych, instytucji płatniczych oraz instytucji pieniądza elektronicznego (zwanych dalej „instytucjami”).

Zakres przedmiotowy

Określają one zasady zarządzania wewnętrznego, w tym rozsądnego zarządzania ryzykiem, które instytucje powinny wdrażać przy outsourcingu funkcji, w szczególności w przypadku outsourcingu funkcji krytycznych lub ważnych. 

Wytyczne w szczególności:

  • regulują zasady zarządzania ryzykiem, 
  • przewidują konieczność identyfikowania konfliktu interesów dotyczącego zawartych przez instytucje umów outsourcingu i zarządzania nimi,
  • wskazują elementy jakie powinien posiadać plan ciągłości działania (np. plany ciągłości działania powinny uwzględniać sytuację, w której jakość realizacji funkcji krytycznej lub istotnej będącym przedmiotem outsourcingu spadnie do niedopuszczalnego poziomu lub zawiedzie),
  • wskazują rolę, jaką w odniesieniu do outsourcingu pełni funkcja audytu zewnętrznego,
  • wymagają od instytucji posiadania stosownej dokumentacji, takiej jak w szczególności – polityka outsourcingu oraz prowadzenia rejestru umów outsourcingowych.
Wejście w życie i przepisy przejściowe

Pierwotnie – Wytyczne EBA miały mieć zastosowanie od dnia 30 września 2019 r. do wszystkich umów outsourcingu zawartych, odnowionych lub zmienionych po tej dacie . Zgodnie jednak ze stanowiskiem KNF z dnia 16 września 2019 r. - oczekiwaniem organu nadzoru jest, aby banki dostosowały się do Wytycznych w terminie do 30 czerwca 2020 r. Termin ten został określony z uwzględnieniem konieczności dostosowania się banków do licznych wymogów zawartych w Wytycznych.

Definicja outsourcingu

Zgodnie z definicją zawartą w Wytycznych – outsourcing oznacza umowę w dowolnej formie zawartą między instytucją a usługodawcą, na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez samą instytucję.

W związku z powyższym, instytucje zobowiązane są ustalić, czy umowa zawarta z osobą trzecią wchodzi w zakres definicji outsourcingu. W ramach tej oceny należy w szczególności rozważyć czy zlecana funkcja (lub jej część) jest przez dostawcę wykonywana regularnie czy na bieżąco.

Wytyczne wskazują, jakich sytuacji instytucje nie powinny traktować jako outsourcingu; dotyczy to w szczególności: 

  • funkcji, której wykonanie przez dostawcę usług jest wymagane na mocy prawa, 
  • nabycia usług, które w innym przypadku nie zostałyby wykonane przez instytucję (np. porada architekta, udzielenie opinii prawnej i reprezentacja przed sądem i organami administracyjnymi, usługi medyczne, serwisowanie samochodów służbowych, catering, usługi biurowe, usługi turystyczne, usługi pocztowe, usługi związane z obsługą recepcji, sekretariatu lub centrali), towarów (np. plastikowych kart, czytników kart, towarów biurowych, komputerów osobistych, mebli) lub mediów (np. energii elektrycznej, gazu, wody, linii telefonicznej).
Funkcje krytyczne lub istotne

Wytyczne EBA przewidują szczegółowe wymagania przewidziane dla outsourcingu funkcji krytycznych lub istotnych. Instytucje uznają funkcję za krytyczną lub istotną m.in.:

  • w sytuacji gdy przedmiotem outsourcingu ma być działalność bankowa lub usługi płatnicze w zakresie wymagającym udzielenia zezwolenia przez właściwy organ;
  • w sytuacji gdy zleca się zadania operacyjne funkcji kontroli wewnętrznej na zasadzie outsourcingu;
  • o ile błąd lub niepowodzenie w ich wykonaniu zagrażałyby w sposób istotny ciągłości wypełniania warunków zezwolenia, wynikom finansowym instytucji lub bezpieczeństwu i ciągłość świadczenia usług bankowych lub płatniczych przez instytucję.
Zasada proporcjonalności

Instytucje stosując Wytyczne EBA lub właściwe organy sprawując nadzór nad ich stosowaniem - uwzględniają zasadę proporcjonalności. Wymaga ona, aby zasady zarządzania, w tym te dotyczące outsourcingu, były spójne z indywidualnym profilem ryzyka, charakterem i modelem biznesowym instytucji oraz skalą i złożonością jej działalności, tak aby skutecznie osiągnąć cele wymogów regulacyjnych.

Subskrybuj "Alerty prawne"

Otrzymuj powiadomienia na e-mail o nowych Alertach prawnych Deloitte Legal

Czy ta strona była pomocna?