sobota, Kwiecień 4

Outsourcing czynności operacyjnych, czyli pełna odpowiedzialność instytucji płatniczej

Google+ Pinterest LinkedIn Tumblr +

Niekiedy samodzielne wykonywanie czynności operacyjnych, np. w zakresie wideoweryfikacji czy innych usług informatycznych, może być nieopłacalne dla instytucji płatniczej. Ma to szczególne znaczenie w przypadku wyspecjalizowanych czynności, które wymagają nie tylko wiedzy, ale często rozbudowanej infrastruktury. Z pomocą przychodzi w takiej sytuacji outsourcing, czyli powierzenie czynności podmiotowi trzeciemu. W przypadku krajowych instytucji płatniczych skorzystanie z takiego rozwiązania obwarowane jest jednak szeregiem wymogów prawnych.

Przeniesienie wykonywania niektórych funkcji reguluje ustawa o usługach płatniczych (art. 86 i następne), jak również PSD2 (pomocniczo – art. 19). Obecnie trwają również intensywne prace nad EBA Guidelines on Outsourcing arrangements (niedawno zakończono proces konsultacji), które posiłkowo można stosować już teraz.

Dwa rodzaje czynności

Krajowa instytucja płatnicza może outsource’ować zasadniczo dwa rodzaj czynności operacyjnych: (i) nieistotne; oraz (ii) istotne. W stosunku do czynności istotnych zastosowanie mają surowsze wymogi, w tym w zakresie informowania KNF o takim zamiarze.

Czynnością operacyjną istotną będzie taka czynność, której niewykonanie lub niewłaściwe wykonanie mogłoby w poważnym stopniu zagrozić ciągłości spełniania przez instytucję wymogów zezwolenia lub innych wymogów nałożonych przez ustawę, jak również zagrażałoby jej wynikom finansowym, rzetelności lub ciągłości świadczonych usług. Innymi słowy są to wszystkie czynności, które mogłyby skutkować niestabilną działalnością instytucji. Zazwyczaj pokrywają się one z tymi czynnościami, które wskazane są w planie ciągłości działania (Business Continuity Plan) lub planie przymusowej restrukturyzacji czy naprawy. Przykładem takich czynności może być działalność w obszarze systemów informatycznych czy przetwarzania danych klientów.

O ile powierzenie czynności niebędących krytycznymi lub istotnymi nie jest obwarowane szczególnymi warunkami, tak w przypadku czynności istotnych ustawa nakłada dodatkowe wymogi. Takie powierzenie może więc nastąpić o ile nie wpłynie to niekorzystnie na prowadzenie przez instytucję płatniczą działalności zgodnie z przepisami prawa, wydanym zezwoleniem oraz nie wpłynie na stabilne i ostrożne zarządzanie tą instytucją.

Jakie wymagania musi spełnić outsourcer istotnych czynności operacyjnych?

Czy to wszystko? Niestety nie. Przedsiębiorca, któremu instytucja zamierza przekazać do wykonywania te czynności musi posiadać odpowiednie uprawnienia i/lub zezwolenia na ich wykonywanie, a także legitymować się niezbędną wiedzą i doświadczeniem i dysponować odpowiednimi warunkami technicznymi i organizacyjnymi (na marginesie należy wskazać, że na instytucji również ciąży taki obowiązek). Przedsiębiorca ten musi posiadać stabilną sytuację finansową.

Konsekwencją przyjęcia do wykonania istotnych czynności operacyjnych instytucji jest również poświęcenie pewnej niezależności. Outsourcer musi bowiem umożliwić instytucji skuteczny nadzór oraz zarządzanie ryzykiem nad powierzonymi czynnościami. Musi on udostępniać również instytucji wszelkie dokumenty i informacje, które związane są z outsourcingiem, szczególnie jeżeli żąda tego nadzór.

Prosta umowa czy rozbudowany dokument?

Zdecydowanie to drugie. Niezależnie od tego czy outsourcing dotyczy istotnych/krytycznych funkcji czy też “prosty” czynności operacyjnych umowa musi mieć formę pisemną i spełniać określone wymogi wskazane m.in. w projektowanych wytycznych EBA. Wśród elementów istotnych takiej umowy można znaleźć opis powierzonych czynności, zastrzeżenia dotyczące przetwarzania danych wrażliwych (w tym stanowiących tajemnicę zawodową), czy dane outsourcera (w tym miejsce wykonywania tych czynności – również w przypadku użycia usług w chmurze).

Dodatkowo, w przypadku powierzenia czynności istotnych należy dołączyć do umowy plan ciągłości działania, w którym opisany jest sposób zapewnienia ciągłego, bezpiecznego i niezakłóconego działania w zakresie objętym umową outsourcingu (w tym w przypadku rozwiązania umowy), tzw. exit plan. Zazwyczaj w takim planie zawiera się zobowiązanie outsourcera do świadczenia usług przez określony czas po rozwiązaniu umowy, np. do czasu wyboru nowego podwykonawcy. Plan musi zawierać również plany działania określające sposób w jaki odzyskiwane będą ewentualnie utracone dane, szczególnie mające status wrażliwych

W przypadku istotnych czynności zawarcie umowy musi być poprzedzone zawiadomieniem KNF o takim zamiarze (lub zmianie, rozwiązaniu lub wygaśnięciu takiej umowy) w terminie co najmniej 14 dni przed określonym zdarzeniem.

Kiedy nie można powierzyć istotnych czynności?

W dwóch przypadkach. Gdy może to doprowadzić do zaprzestania faktycznego świadczenia usług płatniczych przez instytucję oraz jeżeli skutkować to będzie przekazaniem prawa do reprezentowania instytucji płatniczej lub zarządzania tą instytucją. Nie można więc, co wydaje się oczywiste, outsource’ować czynności zarządzania taką instytucją. Zarząd zawsze musi pozostawać wewnątrz instytucji.

Pod znakiem zapytania pozostaje również procentowy udział powierzonych czynności w skali całego biznesu instytucji. Wydaje się, że przeniesienie znaczącej części istotnych czynności może zagrażać stabilnemu działaniu instytucji, nawet przy zapewnieniu odpowiednich rozwiązań organizacyjnych i prawnych, a więc – co do zasady – nie powinno mieć miejsca.

A co z instytucją płatniczą?

Na instytucji ciąży szereg obowiązków. Musi ona przede wszystkim posiadać takie rozwiązania organizacyjne, które zapewniają odpowiedni nadzór nad czynnościami powierzanymi w ramach outsourcingu. Tutaj niezwykle istotna jest funkcja Compliance, która powinna sprawować pieczę nad prawidłowością wykonywanych czynności. Konieczne jest również prowadzenie rejestru umów outsourcingowych z wyszczególnieniem pozycji na czynności istotne i nieistotne. Rozwiązania te muszą również gwarantować prawidłowe zarządzanie konfliktami interesów.

Bardzo istotne jest również opracowanie i wdrożenie szeregu dokumentów, w tym przede wszystkim polityki outsourcingu, która określała będzie m.in. sposób przeprowadzania due diligence potencjalnych dostawców. Ważna jest również procedura wyboru tych dostawców. Instytucja jest również zobowiązana do informowania KNF o każdej zmianie outsourcera, a także reagowania na każde wezwanie Urzędu do przedstawienia dokumentów czy informacji w zakresie powierzonych czynności. Niezastosowanie się do tego obowiązku może skutkować dotkliwymi sankcjami. Na marginesie należy również wskazać, że KNF przysługuje uprawnienie do nakazania rozwiązania lub zmiany umowy outsourcingowej.

Odpowiedzialność za outsourcing

Generalnie instytucja płatnicza pozostaje w pełni odpowiedzialna względem użytkowników swoich usług płatniczych niezależnie od powierzenia tych usług podmiotom trzecim. Co istotne, takiej odpowiedzialności nie można w żaden sposób wyłączyć, ani ograniczyć. Nie ma więc sensu implementować do umowy outsourcingowej takich postanowień, gdyż będą one nieważne. Analogicznie nie można wyłączyć ani ograniczyć odpowiedzialności dostawcy za niewykonanie lub nienależyte wykonanie takiej umowy.

Codzienny nadzór nad podwykonawcą, czyli outsourcing w praktyce

Powierzenie istotnych czynności operacyjnych przez instytucję to ryzyko tej instytucji. W celu ograniczenia tego ryzyka bardzo istotny jest bieżący nadzór nad działalnością dostawcy usług. W tym celu w samej umowie należy określić sposób sprawowania tego nadzoru, a także określić odpowiednie wskaźniki efektywności, jak np. KPIs czy KCIs (Key Control Indicators). Na tej podstawie możliwe jest wprowadzanie odpowiednich zmian, które zapewnią stabilność funkcjonowania biznesu.

Bardzo istotne jest również “wymuszenie” na outsourcerze stosowania odpowiednich procedur czy polityk, które stosowane są w instytucji dla realizacji istotnych funkcji operacyjnych. Tym bardziej, że ostatecznie to instytucja bierze odpowiedzialność za taką działalność. Niezależnie od prawa regresu, reputacji nie da się tak łatwo odbudować. 

Z tego względu należy zadbać o to, aby w samej instytucji wyznaczone zostały osoby, które dokonują weryfikacji poprawności i efektywności powierzenia określonych czynności. W tym celu należy prowadzić również odpowiedni rejestr funkcji, który zawierał będzie istotne informacje oraz przypisane osoby odpowiedzialne.

Outsourcing to sposób na obniżenie kosztów prowadzenia działalności, jak i wykorzystanie efektu synergii, ale wymaga on rozwagi oraz odpowiedniego przygotowania. Tym bardziej, że nad całym procesem czuwa również KNF.

Udostępnij.

Zostaw komentarz