outsourcing eba

Artykuł

Konsultacje w sprawie nowych wytycznych EBA dotyczących outsourcingu

Biuletyn prawny: Finanse i bankowość | Wrzesień 2018 r.

Europejski Urząd Nadzoru Bankowego w dniu 22 czerwca 2018 r. opublikował dokument konsultacyjny w sprawie projektu wytycznych dotyczących outsourcingu. Nowe Wytyczne mają zastąpić obecnie obowiązujące wytyczne CEBS z 2006 r. dotyczące outsourcingu w sektorze bankowym.

Zakresem nowych wytycznych mają być objęte nie tylko instytucje kredytowe i firmy inwestycyjne, do których stosuje się Dyrektywę CRD, ale również instytucje płatnicze i instytucje pieniądza elektronicznego. EBA uzasadniła, iż objęcie Wytycznymi instytucji nadzorowanych przez EBA pozwoli na ustanowienie zharmonizowanych ram regulacyjnych w zakresie outsourcingu. Ponadto, Wytyczne obejmują również zalecenia dotyczące zasad zlecania zadań dostawcom usług w chmurze opublikowane w grudniu 2017 r.

Celem nowych wytycznych jest utrzymanie zaufania do wiarygodności systemu finansowego, przy jednoczesnym wspieraniu nowych tendencji, rozwoju technologii i zmieniających się potrzeb instytucji finansowych, w tym obejmujących zmniejszanie kosztów prowadzenia działalności z równoczesnym zwiększaniem elastyczności i wydajności.

Projekt Wytycznych EBA obejmuje następujące kluczowe kwestie:

  • Określenie jakie umowy ze stronami trzecimi mogą być uważane za umowy outsourcingu, analogicznie jak w Rozporządzeniu Delegowanym Komisji (UE) 2017/565 dot. wymogów organizacyjnych i warunków prowadzenia działalności przez firmy inwestycyjne;
  • Kryteria na podstawie których ocenia się, czy umowa outsourcingu dotyczy istotnych lub krytycznych funkcji, celem zapewnienia zharmonizowanej oceny umów, która determinować będzie wymogi i obowiązki związane z ich zawieraniem; 
  • W przypadku outsourcingu z krajów trzecich wskazano na konieczność zapewnienia zgodności działania z obowiązującymi w Unii Europejskiej regulacjami np. w zakresie ochrony danych osobowych. Outsourcing do państw trzecich nie może prowadzić do wzrostu ryzyka lub zmniejszać możliwości skutecznego nadzoru właściwych organów;
  • Wprowadzenie zasady, że członkowie zarządu są odpowiedzialni za wypełnianie obowiązków związanych z outsourcingiem i spełnianie wymogów regulacyjnych w tym zakresie przez instytucje nadzorowane;
  • Zobowiązanie kadry zarządzającej do ustanowienia odpowiednich procedur i wymogów dla outsourcingu procesów, ich implementacji i stosowania w ramach grupy; 
  • Nakaz zapewnienia przez zarząd odpowiednich zasobów, na potrzeby wsparcia i realizacji wykonywania obowiązków związanych ze zlecaniem usług podmiotom trzecim; 
  • Zobowiązanie instytucji do posiadania odpowiednich wewnętrznych procedur, polityk outsourcingu z przypisanym właścicielstwem. W szczególności procedury powinny obejmować kwestie dotyczące przeprowadzania procesów due diligence podmiotów trzecich, tak aby umowy outsourcingu były zawierane z wiarygodnymi dostawcami usług zapewniającymi stałe świadczenie usług i zgodność z wymogami regulacyjnymi;
  • EBA wskazuje, że zgodnie z wytycznymi w sprawie zarządzania wewnętrznego instytucje powinny identyfikować, szacować i zarządzać konfliktem interesów w ramach zawieranych umów outsourcingu; 
  • Wskazano sposoby dokonywania audytu na zasadzie ryzyka oraz kwestie dotyczące obciążenia organizacyjnego dla stron umowy outsourcingowej, jak również w zakresie poufności, bezpieczeństwa, dostępu do określonych typów pomieszczeń, lokali itp.; 
  • W przypadku podwykonawstwa, wprowadzenie wymogu zawarcia postanowień dotyczących obowiązku uzyskania uprzedniej zgody instytucji będącej stroną umowy na podwykonawstwo oraz zapewnienie, że podwykonawca będzie stosował się do wymogów regulacyjnych, jak również umożliwi dostęp oraz audyt na tych samych zasadach jak w stosunku do wykonawcy;
  • Zapewnienie prawa do rozwiązania umowy, jeżeli planowane zmiany w outsourcowanych usługach, w tym zmiany spowodowane podwykonawstwem, miałyby niekorzystny wpływ na ocenę ryzyka outsourcingu.
     

Komentarz eksperta: Cel i wytyczne EBA

Celem wytycznych jest uregulowanie kwestii outsourcingu w sposób bardziej kompleksowy niż do tej pory, z uwzględnieniem postępu technologicznego (m.in. coraz większej popularności outsourcingu względem dostawców chmury obliczeniowej). Wytyczne, ze względu na ich szerszy zakres podmiotowy, mają być spójne z wymogami przewidzianymi w takich aktach jak dyrektywa CRD, PSD2, pakiet MiFID II, czy BRRD. Postanowienia wytycznych powinny być odczytywane łącznie z innymi dokumentami wydanymi przez organy nadzoru, np. z Rekomendacją D oraz Rekomendacją M. Co istotne, wymogi wskazane w wytycznych powinny być stosowane zgodnie z zasadą proporcjonalności.

Zaproponowany przez EBA dokument kładzie nacisk na system zarządzania umowami outsourcingowymi, który pozwoli instytucjom finansowym na utrzymanie wysokiego poziomu usług i niezależności. W związku z tym konieczne będzie posiadanie polityki outsourcingowej oraz wprowadzenie odpowiednich procesów, oszacowanie wpływu outsourcingu na profil ryzyka instytucji, wprowadzenie odpowiedniego nadzoru i kontroli wewnętrznej nad outsourcingiem oraz odpowiednie zidentyfikowanie ryzyk związanych z outsourcingiem istotnych funkcji.

Wytyczne zwracają też uwagę na obowiązek przygotowania się na konieczność zakończenia umowy outsourcingowej (np. ze względu na niewywiązywanie się partnera z obowiązków) np. poprzez opracowanie planów wyjścia (exit plans) w szczególności, jeśli outsourcing dotyczy istotnych funkcji. Ma to zagwarantować nieprzerwaną działalność instytucji finansowej oraz zapewnić, aby zakończenie umowy outsourcingowej nie wpływało na poziom świadczenia usług oraz nie miało negatywnych konsekwencji dla klientów.

Wytyczne wskazują też wprost, że zasady w nich określone powinny być stosowane również do outsourcingu wewnątrzgrupowego. Ponadto, w takich przypadkach należy szczególnie zadbać o to, aby umowy zawierane były na warunkach rynkowych (zgodnie z zasadą arm’s lenght) oraz aby zaadresować i podjąć próbę złagodzenia występujących ryzyk, w tym konfliktów interesów.
 

Czy ta strona była pomocna?