Trochę o outsourcingu w kontekście zarządzania ryzykiem, czyli wydajemy pieniądz elektroniczny. Część 3. Ryzyko outsourcingu

W zeszłym tygodniu omówiliśmy sobie pierwszą część zasad dotyczących zarządzania ryzykiem w (przyszłej) instytucji pieniądza elektronicznego. Te zasady, jak i dokumenty które je opisują, stanowią bardzo ważny element badania przez Komisję Nadzoru Finansowego na etapie ubiegania się o licencję, jak i już w działalności operacyjnej. Ponieważ temat jest niezwykle rozbudowany w ostatnim artykule zatrzymaliśmy się na roli kontroli wewnętrznej, w tym audytu w procesie zarządzania ryzykiem operacyjnym i bezpieczeństwa. Dzisiaj przejdziemy przez outsourcing, który w samych wytycznych Europejskiego Urzędu Nadzoru Bankowego jest opisany dość krótko, jednakże przepisów odnoszących się do niego mamy znacznie więcej. Zaczynamy!

Możliwość zlecenia podwykonawstwa niektórych czynności jest szczególnie istotna w przypadku bardziej rozbudowanych instytucji, a także tych instytucji, które zamierzają świadczyć swoje usługi z użyciem Application Programming Interface „podłączonego” do banku (wprawdzie artykuł odnosi się do instytucji e-money, to jednak wiele elementów jest wspólnych dla „klasycznych” instytucji płatniczych), np. poprzez tzw. Huby. Jakie więc zasady nim zarządzą i jak to się ma do kwestii zarządzania ryzykiem?

Co z tym outsourcingiem?

Zanim przejdziemy do wytycznych EBA, krótkie przypomnienie. Ustawa o usługach płatniczych (art. 86) dopuszcza możliwość powierzenia wykonania określonych czynności operacyjnych (w tym związanych z wydawaniem pieniądza elektronicznego) innemu podmiotowi. Kwestie bardziej szczegółowe określają kolejne przepisy, a także wytyczne Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie outsourcingu (tutaj jedno zastrzeżenie – dostawcy świadczący usługę dostępu do rachunku – Account Information Service Providers – są wyłączeni spod obowiązku stosowania tych wytycznych).

Samo powierzenie tych czynności (jakie to czynności opiszę za chwilę) nastąpić może wyłącznie na mocy stosownej umowy, która podlega ewidencjowaniu (najczęściej jest to rejestr prowadzony przez komórkę compliance).

Istotne, mniej istotne?

W zależności od tego jakie czynności zamierzamy powierzyć jako instytucja, musimy liczyć się albo z łagodnym, albo „regulacyjnym” reżimem zawierania umowy. Art. 86 wyraźnie wskazuje, że powierzyć można określone czynności operacyjne, czyli takie które generują ryzyko straty wynikające z np. nieodpowiedniego ukształtowania procederu i procesów czy błędów ludzkich pociągające za sobą np. wadliwe funkcjonowanie infrastruktury.

Pomocne przy definiowaniu takich czynności są również inne wytyczne EBA (w sprawie raportowania incydentów), które wskazują czym jest incydent operacyjny. Patrząc przez pryzmat definicji tam wskazanej możemy stwierdzić, że czynności operacyjne to takie które charakteryzując się prawdopodobieństwem negatywnego wpływu na integralność, dostępność, poufność, autentyczność i ciągłość działalności dostawcy.

Ustawa o usługach płatniczych wprowadza większe wymagania, jeżeli podmiot zamierza powierzyć wykonywanie czynności operacyjnych o charakterze istotnym (w innym przypadku mamy obowiązek informowania o zmianach). Uznamy ją za taką, jeżeli jej niewykonanie lub niewłaściwe wykonanie mogłoby w poważnym stopniu zagrozić działalności instytucji (definicja jest szersza), m.in. w aspekcie regulacyjnym, finansowym czy reputacyjnym. Przykładowo więc, jeżeli instytucja zamierza skorzystać usług zewnętrznego podmiotu dostarczającego infrastrukturę i oprogramowanie w zakresie zabezpieczenia wrażliwych danych klientów, to taką umowę uznać można za istotną (kryterium może być bez wątpienia fakt „udostępnienia” danych stanowiących tajemnicę zawodową – art. 11 uUP). Należy zauważyć przy tym, że opis rozwiązań i wykaz umów w zakresie outsourcingu operacyjnego to również niezbędny element we wniosku o wydanie zezwolenia.

Co w związku z tym?

Musimy zawiadomić KNF w ogóle o zamiarze zawarcia takiej umowy (ale i jej zmianie, rozwiązaniu lub wygaśnięciu) przynajmniej na 14 dni wstecz. Urząd w związku z zamiarem zawarcia takiej umowy ma określone uprawnienia. Może m.in. zażądać kopii umowy czy złożenia wyjaśnień, a także przedstawienia dokumentów dotyczących podwykonawcy (o wymogach względem takiego przedsiębiorcy poniżej).

Na tym uprawnienia KNF się nie kończą. Urząd może stwierdzić, że powierzenie czynności zagrażać może stabilnemu zarządzaniu instytucją lub takie czynności mogłyby być wykonywane przez podmiot do tego nieuprawniony (np. ze względu na brak odpowiednich certyfikatów czy zezwoleń). W takiej sytuacji KNF może wydać decyzję (przysługuje na nią skarga) w sprawie nakazania instytucji dokonania zmian w umowie lub nawet jej rozwiązania.

Jakie wymogi outsourcer’om stawia ustawa?

Przedsiębiorca wykonujący istotne czynności operacyjne musi spełnić szereg wymagań, w tym posiadać odpowiednie uprawnienia, wiedzę, doświadczenie, ale także posiadać odpowiedni „status” finansowy (niezagrażający jego sytuacji) – tutaj istotne będzie zweryfikowanie audytowanego sprawozdania finansowego tego przedsiębiorcy. Ponadto, taki podwykonawca musi poddać się „nadzorowi” instytucji na rzecz której świadczy określone działania, a także umożliwić jej dostęp do wszelkich istotnych informacji. Po stronie instytucji jest zaś zapewnienie, że nadzór jest skuteczny i efektywny (a więc musi być sprawowany przez kompetentne osoby).

Co z dostawcami IT?

Pewne szczególne wymogi są stawiane dostawcom świadczących usługi teleinformatyczne i z zakresu bezpieczeństwa. Tutaj można posiłkowo skorzystać z Rekomendacji D dla banków oraz już bezpośrednio – Rekomendacji KNF w sprawie bezpieczeństwa transakcji płatniczych (SecurePay). Dla pewnych szczególnych kategorii dostawców istotna będzie ustawa o cyberbezpieczeństwie i projektowane rozporządzenie w sprawie rozwiązań organizacyjnych.

A co na to wytyczne w sprawie ryzyk?

Wytyczne nie są bardziej „szczegółowe” niż przepisy ustawy. Zasadniczo ograniczają się do stwierdzenia, że zasady zarządzania ryzykiem operacyjnym i bezpieczeństwa wyrażone w tym dokumencie powinny na zasadzie stosownego i proporcjonalnego podejścia być stosowane w odniesieniu do umów outsourcingowych. Ważne jest więc zapewnienie odpowiedniego monitorowania wykonania tych umów (w przypadku szczególnie istotnych czynności jak najczęściej). Szczególne znaczenie będzie również miało opracowanie odpowiednich rozwiązań organizacyjnych, w tym określenie poziomu odpowiedzialności poszczególnych pracowników oraz zasad eskalacji i komunikacji z „dostawcą” czynności operacyjnych, szczególnie w odniesieniu do infrastruktury IT.

Często stosowanym rozwiązaniem jest oddelegowywanie pracownika instytucji do siedziby danego podwykonawcy, co umożliwia bardziej skuteczną kontrolę i bardziej efektywne reagowanie na ewentualne incydenty.

Co w ramach procesu licencyjnego?

Powinniśmy przedstawić politykę outsourcingu, której zakres dobrze określają wytyczne EBA w sprawie outsourcingu (str. 33), a także rozwiązania organizacyjne, w tym regulaminy poszczególnych jednostek odpowiedzialnych za monitoring (i prowadzenie właściwego rejestru). Istotne jest również przedstawienie (i uwzględnienie) ryzyka outsourcingu w polityce zarządzania ryzykiem, jak również tzw. compliance risk assessment policy/procedure.

A co z wytycznymi EBA w sprawie outsourcingu?

O samych wytycznych pisałem tutaj (artykuł tylko w j. angielskim). Warto zwrócić uwagę, że „reżim” outsourcingu w tym dokumencie uległ nieznacznemu złagodzeniu, szczególnie w odniesieniu do korzystania z chmury obliczeniowej (cloud computing). Tematyka jest bardzo rozbudowane i wykracza poza niniejsze opracowanie, ale warto zwrócić uwagę na kilka aspektów.

Po pierwsze dużą wagę EBA przykłada do tzw. exit plans, czyli rozwiązań związanych z rezygnacją z usług określonego dostawcy (te kwestie znajdują się również w Planach Ciągłości Działania – BCP). Pewne szczególne wymogi stawiane są również dostawcom rozwiązań chmurowych z siedzibą poza Europejskim Okręgiem Gospodarczym. Istotne jest również podkreślenie roli regulatorów w procesie monitorowania wypełnienia obowiązków w zakresie outsourcingu.

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *