Umowa outsourcingowa na funkcje krytyczne. Analiza ryzyka oraz due diligence przed zawarciem umowy.

W ostatnim artykule przeanalizowaliśmy podstawowe elementy umowy outsourcingowej zakładającej powierzenie funkcji istotnych/krytycznych. Dzisiaj przejdziemy przez etap poprzedzający podpisanie takiej umowy, czyli analiza ryzyka powierzenia dostawcy określonych funkcji. Temat ten jest o tyle istotny, że niewłaściwa ocena może doprowadzić do „odrzucenia” umowy przez KNF, co wiązać się może z dodatkowymi kosztami oraz koniecznością powtórzenia procesu (np. ogłoszenia przetargu), a nawet ponownym skonstruowaniem umowy outsourcingowej. Zbyt wysokie ryzyko wpływa również wymogi regulacyjne, w tym kapitałowe instytucji i ewentualną odpowiedzialność podmiotu w przypadku wystąpienia incydentu.

Zakres regulacyjno-prawny całego procesu jest dość szeroki. Obejmuje on przede wszystkim art. 6a i następne oraz art. 111b Prawa bankowego (podmioty uzyskujące dostęp do tajemnicy bankowej), a w odniesieniu do usług płatniczych przede wszystkim art. 86 i następne ustawy o usługach płatniczych. Nie można także zapominać o innych przepisach, które odnoszą się „pośrednio” do tego zagadnienia, tj. zarządzania ryzykiem outsourcingu (tutaj pomocne będzie rozporządzenie Ministra Finansów w sprawie zasad zarządzania ryzykiem).

Mamy również szereg aktów regulacyjnych, które będą w tym miejscu istotne. Są to:

  1. Wytyczne EBA w sprawie outsourcingu;
  2. Komunikat KNF w sprawie stosowania powyższych wytycznych EBA (pisałem o nim tutaj);
  3. Komunikat KNF w sprawie cloud computing (przy czym czekamy na jego kolejną wersję (więcej w tym artykule);
  4. Rekomendacje grupy ds. Polish API przy ZBP, jeżeli podmiot będzie korzystał z dostępu do API bankowych (więcej w tym artykule);
  5. Rekomendacja D KNF;
  6. Wytyczne EBA w sprawie ryzyk operacyjnych i bezpieczeństwa;
  7. Wytyczne EBA w sprawie zgłaszania incydentów (oraz komunikat KNF w tej sprawie);
  8. W pewnym zakresie Rozporządzenie Ministra Finansów w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwo (jest już projektowane nowe);
  9. Wytyczne EBA w sprawie ryzyk o charakterze teleinformatycznych dla banków (w kontekście badania BION).

Analiza wstępna 

Wytyczne EBA w sprawie outsourcingu wskazuje na pięć etapów, które powinny poprzedzać wejście w jakąkolwiek relację opartą na outsourcingu. Są to:

  1. Ocena powierzanej funkcji pod kątem jej istotności lub krytyczności;
  2. Ocena spełnienia wymogów w zakresie możliwości sprawowania efektywnego nadzoru nad outsourcerem przez regulatora (wytyczna 12.1);
  3. Identyfikacja i ocena wszystkich istotnych ryzyk związanych z outsourcingiem (zgodnie z systemem zarządzania ryzykiem wdrożonym w banku/podmiocie);
  4. Przeprowadzenie należytego due diligence podmiotu, któremu zamierza się powierzyć funkcje;
  5. Ocena występowania ewentualnych konfliktów interesów (w tym w przypadku, gdy podmioty są w tej samej grupie kapitałowej).

Ocena ryzyk

Każdy podmiot musi przeprowadzić analizę potencjalnego wpływu ryzyk wynikających z outsourcingu, szczególnie w kontekście ryzyk operacyjnych (ICT). Wynik takiej analizy może wpływać na decyzję o nieoutsourceowaniu określonej funkcji, jeżeli okaże się, że ryzyko jest nadmiernie wysokie i nie ma możliwości zastosowania odpowiednich mitygantów.

Taka analiza powinna opierać się na różnych scenariuszach (w tym o dużym negatywnym wpływie na instytucje), które mogłyby się zmaterializować, np. ataki hakerskie, utrata łączności z dostawcą czy nawet wpływ sytuacji politycznej i gospodarczej na sytuację dostawcy. Zakres i ilość rozpatrywanych wariantów powinna uwzględniać poziom „krytyczności” danej funkcji podlegającej powierzeniu (zasada proporcjonalności). Ważne jest przy tym, aby sama ocena ryzyka uwzględniała także analizę SWOT, która jest z resztą jednym z elementów oceny w przypadku zamiaru korzystania z rozwiązań chmurowych. W praktyce oznacza to, że jeżeli możliwe (i korzystne zarówno w aspekcie kosztowym, jak i operacyjnym) wykonanie danej funkcji krytycznej lub istotnej „własnymi siłami”, to takie rozwiązanie będzie (raczej) preferowane.

Taka analiza powinna obejmować kilka podstawowych elementów:

  1. Ryzyko koncentracji:
    1. Łatwość w „podmianie” danego dostawcy (np. wiele podmiotów na rynku, które oferuje taki sam Service Level);
    2. Wiele umów outsourcingowych z jednym dostawcą czy też bliskie powiązania pomiędzy dostawcami;
  2. Całkowity poziom ryzyka związany z powierzonymi funkcjami – ten będzie wpływał na poziom ;
  3. Potencjalna konieczność wsparcia finansowanego dla outsourcera w przypadku wystąpienia trudności (dla tzw. SIFIs);
  4. Zasady identyfikacji, mierzenia i zarządzania ryzykami związanymi z outsourcingiem.

W tym miejscu warto zwrócić uwagę na wytyczne EBA w sprawie ryzyk operacyjnych i bezpieczeństwa. Te wyraźnie wskazują, że przy ocenie ryzyka istotne jest uprzednie wyznaczenie określonych poziomów bezpieczeństwa i akceptowalnego ryzyka operacyjnego, a także sposób monitorowania ryzyka po stronie outsourcera (np. w oparciu o Key Performance Indicators), w tym również regulacyjnych.

Z kolei rekomendacje grupy ds. PolishAPI wskazują na konieczność wdrożenia polityki i procedur zarządzania dostawcami usług, które będą pozwalały oszacować i ograniczać ryzyko outsourcingu. Oznacza to konieczność skorelowania polityki outsourcingu z polityką zarządzania ryzykiem. Istotne będzie również wyodrębnienie tych funkcji, które mają krytyczne znaczenie dla podmiotu i które mogą być „dotknięte” pośrednio niewykonaniem usługi przez outsourcera (dlatego regulator na etapie procedury o udzielenie zezwolenia wymaga graficznego przedstawienia zależności pomiędzy wszystkimi podmiotami zaangażowanymi w świadczenie usługi – również w aspekcie technologicznym i/lub pomocniczym).

Warto tutaj zwrócić uwagę na paragraf 22 komunikatu KNF w sprawie outsourcingu, gdzie Urząd wyraźnie wskazał, że „Banki, które nie są dostatecznie przygotowane do sprawowania należytego nadzoru i zarządzania ryzykiem związanym z outsourcingiem (..) nie powinny podejmować decyzji o powierzaniu wykonywania takich czynności innym podmiotom”.

Dodatkowe wymogi w przypadku podwykonawstwa

Te zasadniczo wydają się oczywiste. Instytucja powinna dokonać oceny jakie ryzyko rodzi zawarcie umowy o podwykonawstwo. Biorąc pod uwagę fakt, że zazwyczaj w umowie zawierane jest zastrzeżenie, że takie dalsze powierzenie wymaga zgody instytucji zlecającej, zazwyczaj jest ono minimalne (ponieważ dodatkowe badanie odbywa się przed wyrażeniem zgody). Zwrócić uwagę należy jednak, że nadmiernie rozbudowane sieci podwykonawstwa mogą być istotną trudnością w sprawowaniu efektywnego nadzoru po stronie instytucji powierzającej oraz regulatora. Prawdopodobnie więc nadzorca może mieć wątpliwości co do efektywności takiego rozwiązania.

Jakie inne wymogi?

Prawidłowe zarządzanie ryzykiem outsourcingu wymaga również przeprowadzania identyfikacji wszystkich systemów, oprogramowania i infrastruktury IT, która będzie wykorzystywana w ramach outsourcingu, np. pod kątem spełnienia odpowiednich norm i standardów bezpieczeństwa. Innym istotnym elementem będzie badanie „lokalizacji” podmiotu i możliwości stosowania odpowiednich narzędzi nadzorczych, a także stabilności politycznej czy gospodarczej (ważne będzie tutaj przeprowadzenie tzw. equivalence assessment pod kątem wymogów regulacyjnych w zakresie ochrony informacji wrażliwych).

Jest to de facto element due diligence, czyli badania samego dostawcy. Komunikat KNF w sprawie outsourcingu wyraźnie wskazuje, że „(…) zarząd ponosi pełną odpowiedzialność za ich [dostawców] zgodność ze wszelkimi wymogami regulacyjnymi”.

Due diligence

Po lub w trakcie analizy ryzyka należy przeprowadzić ocenę dostawcy (w szczególności w kontekście powierzenia funkcji krytycznych lub istotnych). Takie due diligence obejmuje ocenę m.in.:

  1. Reputacji podmiotu;
  2. Kwalifikacji technicznych;
  3. Dostępnych środków (w tym finansowych);
  4. Struktury organizacyjnej;
  5. Spełnienia (ewentualnych) wymogów regulacyjnych.

Dodatkowo należy wziąć pod uwagę model biznesowy, strukturę akcjonariatu (udziałowców), dotychczasową współpracę czy też spełnienie warunków w zakresie ochrony danych wrażliwych oraz posiadanych rozwiązań technologicznych oraz w zakresie bezpieczeństwa. Istotne będzie również badanie czy dany podmiot stosuje się do standardów i dobrych praktyk, a także czy posiada stosowne certyfikacje. Dobrym punktem wyjścia są również zaudytowane sprawozdania finansowe.

 

 

 

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *