W dniu 16 września 2019 r. Urząd Komisji Nadzoru Finansowego (KNF) poinformował o zamiarze stosowania wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie outsourcingu z 25 lutego 2019 r. (EBA/GL/2019/02; Wytyczne)[1], które zastąpią wytyczne z 2006 r.[2]
Czego dotyczą Wytyczne?
Wytyczne określają zasady zarządzania wewnętrznego, w tym zarządzania ryzykiem, w przypadku szeroko rozumianego outsourcingu, ze szczególnym uwzględnieniem outsourcingu funkcji krytycznych lub istotnych. Określają, m.in., szczegółowe wymogi dla treści umów outsourcingu, a także procesu i przesłanek wyboru dostawcy oraz planów zakończenia współpracy (tzw. exit planów).
Jednym z celów Wytycznych jest także dostosowanie wymogów regulacyjnych do rozwoju technologicznego, w związku z czym uwzględniają, m.in., procesy digitalizacji oraz rozwój FinTech. Obejmują także przetwarzanie w chmurze (w tym zakresie zastępując zalecenia EBA z marca 2018 r.), ale KNF zdecydowała się nie stosować ich w tym zakresie, po raz kolejny zapowiadając aktualizację swojego komunikatu ws. chmury z października 2017 r.
Kto musi je wdrożyć?
Poza organami nadzoru, Wytyczne adresowane są do (i) banków / instytucji kredytowych,
(ii) firm inwestycyjnych podlegających regulacjom rozporządzenia (UE) nr 575/2013 (CRR),
(iii) instytucji płatniczych oraz (iv) instytucji pieniądza elektronicznego. Banki / instytucje kredytowe oraz firmy inwestycyjne mają stosować Wytyczne na zasadzie indywidualnej, subskonsolidowanej oraz skonsolidowanej.[3]
Do kiedy trzeba je wdrożyć?
Oczekiwany przez KNF termin wdrożenia Wytycznych został wyznaczony na 30 czerwca 2020 r. – dotyczy on zmian w procedurach wewnętrznych i wzorów umów outsourcingu oraz zmiany rejestru umów. Wytyczne powinny być stosowane do umów zawieranych, odnawianych lub zmienianych po tej dacie.[4] Przegląd i zmiana, a także uzupełnianie dokumentacji dla wszystkich istniejących umów outsourcingu powinny natomiast zakończyć się do 31 grudnia 2021 r.
Co trzeba zrobić?
Wdrożenie Wytycznych będzie wiązało się, m.in., z następującymi działaniami:
Zmiany w regulacjach i procesach wewnętrznych
- dostosowanie systemu zarządzania ryzykiem (w tym w zakresie strukturalnym) oraz audytu wewnętrznego
- zmiana i uzupełnienie wewnętrznej polityki outsourcingu, w tym w zakresie oceny ryzyka umów outsourcingu oraz analizy due diligence usługodawcy
- dostosowanie planów ciągłości działania
- rozbudowanie rejestru umów outsourcingu
- uwzględnienie nowych obowiązków raportowych
Przygotowanie nowej dokumentacji outsourcingowej
- zmiana / uzupełnienie stosowanych wzorów umów outsourcingu, w tym uzupełnienie standardowych klauzul
- wyodrębnienie wzorów dla funkcji krytycznych lub istotnych
- aktualizacja standardowych list wymogów dla umów podoutsourcingu
Audyt istniejących umów
- ustalenie, które umowy wchodzą w zakres definicji outsourcingu
- ocena, czy dana umowa dotyczy funkcji krytycznych lub istotnych
- analiza zgodności umowy z Wytycznymi
- uzupełnienie analizy due diligence w zakresie wymaganym Wytycznymi
- aktualizacja strategii wyjścia
Proces zmian umów
- przygotowanie planu zmian w istniejących umowach, w tym strategii komunikacji
z usługodawcami - przeprowadzenie procesu negocjacji i podpisywania umów zmieniających
- rozstrzygnięcie losu umów, których nie udało się zmienić w terminie
Jak możemy pomóc?
Zapewniamy instytucjom kompleksowe wsparcie w zakresie wszystkich aspektów wdrożenia Wytycznych:
- Od lat kompleksowo doradzamy bankom i ich dostawcom w zakresie outsourcingu – od prostych modeli dystrybucyjnych po złożone projekty wielopoziomowego outsourcingu IT, w tym rozwiązania chmurowe.
- Nasze doświadczenie i kompetencje obejmują aspekty regulacyjne, kontraktowe, tajemnicę bankową / profesjonalną, dane osobowe, jak i aspekty podatkowe.
- Posiadamy wyspecjalizowany zespół dedykowany do zagadnień regulacji usług finansowych i instytucji finansowych oraz współpracujemy ze specjalistami w zakresie projektowania procesów i procedur wewnętrznych, a także zarządzania ryzykiem
i cyberbezpieczeństwa. - Jako jedna z największych kancelarii w Polsce jesteśmy w stanie przeprowadzić projekty regulacyjne o bardzo dużej skali.
[1] https://eba.europa.eu/documents/10180/2761380/EBA+revised+Guidelines+on+outsourcing_PL.pdf/7551b1c5-534d-44aa-b524-61eb8929154d
[2] https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_ws_outsourcingu_67075.pdf
[3] Termin zadeklarowany wobec EBA dla zgodności z wytycznymi to 28 grudnia 2020 r.
[4] Zgodnie z art. 4 ust. 1 pkt 47 i 48 CRR