KNF a outsourcing, czyli kolejne "starcie" ze stanowiskiem Urzędu w sprawie wytycznych EBA

W jednym z ostatnich artykułów poruszyłem kilka istotnych kwestii dotyczących stanowiska KNF w sprawie wytycznych EBA dot. outsourcingu. Dzisiaj i w kolejnych publikacjach przejdziemy przez kolejne elementy stanowiska, w tym omówimy czynności, które nie mogą stanowić outsourcingu bankowego (oraz jak model biznesowy wpływa na profil i poziom ryzyka outsourcingu), a także przejdziemy przez wymagania w zakresie ochrony tajemnicy bankowej oraz specyficznego outsourcingu międzybankowego. Są to tematy niezwykle istotne w dynamicznie zmieniającym się otoczeniu, gdzie możliwość szybkiego i efektywnego wdrożenia nowych rozwiązań (bez konieczności tworzenia kosztownej infrastruktury IT) może dać istotną przewagę na niełatwym rynku finansowym. Zaczynamy!

Dwie podstawowe funkcje zostały „wyłączone” z outsourcingu, a więc nie można ich powierzyć w ogóle innemu podmiotowi (co wynika wprost z art. 6a ust. 3 Prawa bankowego). Pierwsza z nich to zarządzanie bankiem (co obejmuje nie tylko kwestie stricte zarządcze, ale również zarządzanie szeroko pojętym ryzykiem), a druga to audyt wewnętrzny banku.

Zarządzanie bankiem i audyt wewnętrzny

Brak możliwości powierzenie szeroko rozumianych funkcji zarządzania bankiem innemu podmiotowi ma doniosłe konsekwencje. Jak wspominałem m.in. w tym artykule przed podpisaniem umowy podmiot zlecający musi wykonać szereg czynności, w tym zidentyfikować charakter powierzanych czynności oraz ryzyka związane z outsourcingiem. W samej już umowie należy zapewnić, że relacje pomiędzy podmiotem zlecającym a outsourcerem nie skutkują de facto przeniesieniem konsekwencji przypisanych ustawowo (oraz statutowo) do zarządu banku.

Jak jednak dokonać takiej oceny? Rzeczywiście nie jest to łatwe. KNF wskazuje tutaj, że istotą jest to czy przeniesiony jest tzw. element decyzyjny (decision-making). Jeżeli więc podmiot wykonujący umowę outsourcingową może de facto podejmować decyzję za bank (oczywiście w tych aspektach, które „łapią” się pod zarządzaniem bankiem) to ryzyko naruszenia przepisów Prawa bankowego rośnie.

Stanowisko KNF wskazuje jakie czynności mogą „podpadać” pod tą kategorię. Jest to w szczególności:

Organizowanie działalności banku, w tym ustalanie struktury organizacyjnej;
Określaniu polityk czy strategii banku oraz celów szczegółowych i sposób ich realizacji;
Ocenianie realizacji tych polityk i strategii, a także ich rewizja.

Dodatkowo, zarządzanie bankiem (co wcale nie musi wydawać się intuicyjne) obejmuje również zarządzanie ryzykiem banku (w tym także compliance), do czego zaliczyć można:

identyfikowanie ryzyk;
dokonywanie ich oceny;
kontrola ryzyka i zarządzanie tym ryzykiem;
raportowanie o ryzyku;
zarządzanie aktywami i pasywam, w tym monitoring ekspozycji kredytowych;
ocena zdolności kredytowej i analiza ryzyka kredytowego.

I tutaj warto zwrócić uwagę na jeszcze jedną kwestię. Nie ma możliwości powierzenia funkcji zarządzania realizacją umów outsourcingowych, ponieważ to zarząd w pełni odpowiada za ten aspekt działalności banku. Nie wyklucza to oczywiście powierzenia pewnych funkcji technicznych innemu podmiotowi, np. oceny realizacji wyznaczonych Key Performance Indicators – KPI. Decyzje w zakresie oceny i powiązanych z tą oceną konsekwencji prawnych podejmować musi jednak sam bank, czyli upoważniona osoba.

Ocena zdolności kredytowej poza outsourcingiem?

Punkt dotyczący oceny zdolności kredytowej i analizy ryzyka kredytowego na pierwszy rzut oka może budzić zdziwienie. Czy oznacza to, że nie można wykorzystywać zautomatyzowanych rozwiązań do oceny zdolności kredytowej, o których pisałem chociażby tutaj, jeżeli nie znajdują się one po stronie banku? Oczywiście nie byłaby to poprawna interpretacja. Ogólnie zarządzanie ryzykiem kredytowym jest jednym z podstawowych zadań banków, które opierają w dużej mierze swoją działalność właśnie na działalności kredytowej.

Poza oczywistymi wymogami w zakresie identyfikacji i oceny tego ryzyka wynikającej m.in. z Rozporządzenia 575/2013 (CRR) oraz Rozporządzenia Ministra Finansów w sprawie zarządzania ryzykiem (w szczególności par. 18), mamy jeszcze art. 70 i następne Prawa bankowego. Przepis ten wskazuje, że przyznanie kredytu jest uzależnione od oceny zdolności kredytowej. Na banku ciąży więc obowiązek podjęcia „właściwej” decyzji w tym zakresie. I tutaj dochodzimy do sedna. Można oczywiście wykorzystywać rozwiązania, które automatyzują i ułatwiają ocenę ryzyka kredytobiorcy, np. poprzez wykorzystanie sztucznej inteligencji, która opracowuje scoring klienta na podstawie zebranych danych, ale to upoważniony pracownik banku podejmuje ostatecznie decyzję o (nie)przyznaniu kredytu.

A co z audytem?

Audytu wewnętrznego, którego zasady funkcjonowania określa m.in. Rekomendacja H KNF, nie powierzymy podmiotowi zewnętrznemu, co wydaje się również oczywiste. Takie komórki dokonują niezależnej oceny adekwatności i skuteczności systemu zarządzania ryzykiem i systemu kontroli wewnętrznej (ryzyko i compliance). W praktyce takie komórki audytują cała działalność banku, w tym również procesy związane z realizacją polityki outsourcingu i towarzyszącym im procesów. Powierzenie takich obowiązków innemu przedsiębiorcy byłoby oczywistym naruszeniem niezależności i obiektywności tej jednostki, a także utrudniałoby praktyczne wykonywania powierzonych zadań, tym bardziej że taka komórka raportuje bezpośrednio do zarządu i rady nadzorczej.

Model biznesowy a outsourcing

To kolejny ciekawy i ważny temat poruszony przez KNF, który w wytycznych EBA został poruszony przy okazji zasady proporcjonalności. Generalnie można stwierdzić, że to jakie zasady zarządzania ryzykiem outsourcingu będzie wynikało przede wszystkim z tego jaki model biznesowy (i powiązane z nim ryzyka) realizuje bank, a także czy powierza funkcje krytyczne/istotne. Ważna będzie tutaj odpowiednio przygotowana polityka outsourcingu (więcej na jej temat w tym artykule).

KNF wskazuje jakie obowiązki ciążą na banku, który zamierza powierzać czynności w ramach outsourcingu. Jest to przede wszystkim:

ciągłe utrzymywanie warunków zezwolenia oraz wymogów regulacyjnych;
utrzymywanie jasnych i przejrzystych ram organizacyjnych (tutaj dużą rolę będzie miała funkcja kontroli wewnętrznej);
odpowiednie zarządzanie ryzykiem outsourcingu (w tym sprawowanie nadzoru) – w dużej mierze będzie tutaj miała znaczenie dobrze skonstruowana umowa outsourcingowa (więcej w tym artykule);
posiadanie odpowiednich zasobów, w tym odpowiednio wyszkolonych pracowników mogących efektywnie „kontrolować” outsourcera;
korzystanie z rozwiązań, które umożliwiają prawidłowe nadzorowanie procesów outsourcingu (w tym zasady eskalacji i odpowiedzialności);
zapewnianie prawidłowości działalności bankowej;
zachowanie poufności (obejmuje to również tajemnicę bankową).

Jeżeli bank nie jest w stanie zapewnić, że powyższe wymagania będą spełnione, to nie powinien decydować się na outsourcing (będzie to miało szczególne znaczenie w przypadku korzystania z rozwiązań chmurowych – więcej w tym artykule). Dlatego tak istotne będzie wdrożenie odpowiednich rozwiązań organizacyjnych, operacyjnych i technologicznych, które umożliwią efektywny nadzór nad outsourcerami (istotny będzie tutaj także rejestr umów outsourcingowych i jego wykorzystanie na potrzeby oceny KPI).

Na dziś to tyle

W kolejnej odsłonie wrócimy do kolejnych elementów stanowiska.

Flash News

Europejski Urząd Nadzoru Bankowego o platformach w sektorze finansowym. Idzie nowe, a chyba nie wszyscy są gotowi

Etyka i uprzedzenie, czyli algorytmy korporacji przewozowych w praktyce

Zmiany do Rozporządzenia 2015/847 w sprawie transferu środków są znaczące. Szczególnie dla fanów kryptoaktywów

Open Banking “pod” PSD2 nadal sprawia trudności. EBA publikuje kolejne wyjaśnienia

Projekt ustawy o zmianie niektórych ustaw w związku z zapewnieniem rozwoju rynku finansowego oraz ochrony inwestorów na tym rynku

Wytyczne BaFin w sprawie sztucznej inteligencji dla sektora finansowego. Dobry przykład, dobre praktyki

Z kim pójdziesz na randkę? Czy algorytm zadecyduje za Ciebie?

To instytucje finansowe i dostawcy RegTech muszą “popracować nad sobą”, czyli raport EBA w sprawie rozwiązań RegTech. Są i rekomendacje

Emitent kryptoaktywów jest administratorem danych. Europejski Inspektor Ochrony Danych o projekcie w sprawie kryptoaktów (MICA)

EBA bierze się za obniżenie kosztów nadzorczych. Duży nacisk na technologię RegTech oraz SupTech

KNF a outsourcing, czyli kolejne “starcie” ze stanowiskiem Urzędu w sprawie wytycznych EBA

Zarządzanie bankiem i audyt wewnętrzny

Ocena zdolności kredytowej poza outsourcingiem?

A co z audytem?

Model biznesowy a outsourcing

Dodaj komentarz Anuluj pisanie odpowiedzi