Stanowisko KNF nt. stosowania wytycznych EBA w sprawie outsourcingu

W dniu 16 września 2019 r. Urząd Komisji Nadzoru Finansowego (KNF) poinformował o zamiarze stosowania wytycznych Europejskiego Urzędu Nadzoru Bankowego (EBA) w sprawie outsourcingu z 25 lutego 2019 r. (EBA/GL/2019/02; Wytyczne)[1], które zastąpią wytyczne z 2006 r.[2]

Czego dotyczą Wytyczne?

Wytyczne określają zasady zarządzania wewnętrznego, w tym zarządzania ryzykiem, w przypadku szeroko rozumianego outsourcingu, ze szczególnym uwzględnieniem outsourcingu funkcji krytycznych lub istotnych. Określają, m.in., szczegółowe wymogi dla treści umów outsourcingu, a także procesu i przesłanek wyboru dostawcy oraz planów zakończenia współpracy (tzw. exit planów).

Jednym z celów Wytycznych jest także dostosowanie wymogów regulacyjnych do rozwoju technologicznego, w związku z czym uwzględniają, m.in., procesy digitalizacji oraz rozwój FinTech. Obejmują także przetwarzanie w chmurze (w tym zakresie zastępując zalecenia EBA z marca 2018 r.), ale KNF zdecydowała się nie stosować ich w tym zakresie, po raz kolejny zapowiadając aktualizację swojego komunikatu ws. chmury z października 2017 r.

Kto musi je wdrożyć?

Poza organami nadzoru, Wytyczne adresowane są do (i) banków / instytucji kredytowych,
(ii) firm inwestycyjnych podlegających regulacjom rozporządzenia (UE) nr 575/2013 (CRR),
(iii) instytucji płatniczych oraz (iv) instytucji pieniądza elektronicznego. Banki / instytucje kredytowe oraz firmy inwestycyjne mają stosować Wytyczne na zasadzie indywidualnej, subskonsolidowanej oraz skonsolidowanej.[3]

Do kiedy trzeba je wdrożyć?

Oczekiwany przez KNF termin wdrożenia Wytycznych został wyznaczony na 30 czerwca 2020 r. – dotyczy on zmian w procedurach wewnętrznych i wzorów umów outsourcingu oraz zmiany rejestru umów. Wytyczne powinny być stosowane do umów zawieranych, odnawianych lub zmienianych po tej dacie.[4] Przegląd i zmiana, a także uzupełnianie dokumentacji dla wszystkich istniejących umów outsourcingu powinny natomiast zakończyć się do 31 grudnia 2021 r.

Co trzeba zrobić?

Wdrożenie Wytycznych będzie wiązało się, m.in., z następującymi działaniami:

Zmiany w regulacjach i procesach wewnętrznych

  • dostosowanie systemu zarządzania ryzykiem (w tym w zakresie strukturalnym) oraz audytu wewnętrznego
  • zmiana i uzupełnienie wewnętrznej polityki outsourcingu, w tym w zakresie oceny ryzyka umów outsourcingu oraz analizy due diligence usługodawcy
  • dostosowanie planów ciągłości działania
  • rozbudowanie rejestru umów outsourcingu
  • uwzględnienie nowych obowiązków raportowych

Przygotowanie nowej dokumentacji outsourcingowej

  • zmiana / uzupełnienie stosowanych wzorów umów outsourcingu, w tym uzupełnienie standardowych klauzul
  • wyodrębnienie wzorów dla funkcji krytycznych lub istotnych
  • aktualizacja standardowych list wymogów dla umów podoutsourcingu

Audyt istniejących umów

  • ustalenie, które umowy wchodzą w zakres definicji outsourcingu
  • ocena, czy dana umowa dotyczy funkcji krytycznych lub istotnych
  • analiza zgodności umowy z Wytycznymi
  • uzupełnienie analizy due diligence w zakresie wymaganym Wytycznymi
  • aktualizacja strategii wyjścia

Proces zmian umów

  • przygotowanie planu zmian w istniejących umowach, w tym strategii komunikacji
    z usługodawcami
  • przeprowadzenie procesu negocjacji i podpisywania umów zmieniających
  • rozstrzygnięcie losu umów, których nie udało się zmienić w terminie

Jak możemy pomóc?

Zapewniamy instytucjom kompleksowe wsparcie w zakresie wszystkich aspektów wdrożenia Wytycznych:

  • Od lat kompleksowo doradzamy bankom i ich dostawcom w zakresie outsourcingu – od prostych modeli dystrybucyjnych po złożone projekty wielopoziomowego outsourcingu IT, w tym rozwiązania chmurowe.
  • Nasze doświadczenie i kompetencje obejmują aspekty regulacyjne, kontraktowe, tajemnicę bankową / profesjonalną, dane osobowe, jak i aspekty podatkowe.
  • Posiadamy wyspecjalizowany zespół dedykowany do zagadnień regulacji usług finansowych i instytucji finansowych oraz współpracujemy ze specjalistami w zakresie projektowania procesów i procedur wewnętrznych, a także zarządzania ryzykiem
    i cyberbezpieczeństwa.
  • Jako jedna z największych kancelarii w Polsce jesteśmy w stanie przeprowadzić projekty regulacyjne o bardzo dużej skali.

Pobierz alert w wersji PDF

[1] https://eba.europa.eu/documents/10180/2761380/EBA+revised+Guidelines+on+outsourcing_PL.pdf/7551b1c5-534d-44aa-b524-61eb8929154d

[2] https://www.knf.gov.pl/knf/pl/komponenty/img/Stanowisko_UKNF_ws_outsourcingu_67075.pdf

[3] Termin zadeklarowany wobec EBA  dla zgodności z wytycznymi to 28 grudnia 2020 r.

[4] Zgodnie z art. 4 ust. 1 pkt 47 i 48 CRR

 

Powiązane