Jak zidentyfikować outsourcing w bankowości? Praktyczny przewodnik dla instytucji finansowych

Outsourcing w bankowości podlega ścisłym regulacjom, a jego prawidłowa klasyfikacja to klucz do uniknięcia ryzyk prawnych i nadzorczych. Sprawdź kiedy współpraca z dostawcą staje się outsourcingiem i jak zarządzać taką relacją zgodnie z przepisami.

Banki i banki spółdzielcze mierzą się z ciągle rosnącą presją regulacyjną. Regularnie muszą weryfikować i dostosowywać procesy w swojej działalności do krajowych i europejskich standardów – między innymi wytycznych EBA, rozporządzenia DORA i rekomendacji KNF. Obszarem, na który regulatorzy zwracają szczególną uwagę, jest outsourcing. To model, który przynosi instytucjom finansowym szereg korzyści, od redukcji kosztów, po możliwość skupienia większych zasobów na kluczowych obszarach ich działalności. Problemem jest jednak prawidłowa klasyfikacja współpracy z dostawcami. Błędy w tym obszarze mogą prowadzić do konsekwencji prawnych i finansowych – od kar nakładanych przez regulatorów, po konieczność natychmiastowego wypowiedzenia umowy z dostawcą.

Czym jest outsourcing według EBA?

Zgodnie z wytycznymi Europejskiego Urzędu Nadzoru Bankowego (EBA/GL/2019/02), outsourcing to każda umowa, w ramach której bank zleca firmie zewnętrznej wykonanie usługi lub zadania, które normalnie realizowałby we własnym zakresie.

Aby taka współpraca została uznana za outsourcing, musi cechować się:

• Powtarzalnością – usługa nie ma charakteru jednorazowego, lecz jest realizowana cyklicznie lub w sposób ciągły;
• Pozytywnym wynikiem testu – polegającego na zbadaniu czy dana funkcja (lub jej część) mogłaby być wykonywana przez instytucję, nawet jeżeli nie wykonywała takiej funkcji w przeszłości.

Należy zauważyć, że pojęcie outsourcingu według Wytycznych EBA jest szersze niż outsourcing bankowy w rozumieniu art. 6a Prawa Bankowego. Krajowe przepisy regulują jedynie część zagadnień objętych outsourcingiem w rozumieniu EBA. W praktyce oznacza to, że jako regulację podstawową należy stosować Wytyczne EBA. Wyjątek stanowią sytuacje, w których przepisy krajowe są bardziej rygorystyczne – czyli nakładają większe wymagania lub bardziej ograniczają swobodę działania banku. W takich przypadkach pierwszeństwo mają przepisy krajowe.

Outsourcing a outsourcing zrzeszeniowy

W klasycznym modelu outsourcingu bank zleca wykonanie określonych zadań podmiotowi zewnętrznemu, z którym nie jest powiązany kapitałowo ani organizacyjnie. W przypadku banków spółdzielczych sytuacja jest bardziej złożona – funkcjonują one w ramach zrzeszeń, co tworzy dodatkowy mechanizm tzw. outsourcingu zrzeszeniowego.

Outsourcing zrzeszeniowy występuje wtedy, gdy bank spółdzielczy korzysta z usług banku zrzeszającego lub innej instytucji wchodzącej w skład tej samej struktury. Co do zasady, jeśli usługa świadczona przez bank zrzeszający wynika wprost z obowiązków określonych w umowie zrzeszenia, nie jest traktowana jako outsourcing.

Jeśli jednak bank zrzeszający wykonuje dla zrzeszonego usługi, które nie zostały przewidziane w tej umowie, bank spółdzielczy musi ocenić, czy dana współpraca spełnia warunki outsourcingu zaprezentowane powyżej. Jeśli tak, należy stosować ogólne zasady wynikające z przepisów o outsourcingu.

W praktyce oznacza to, że sam fakt działania w strukturze zrzeszeniowej nie zwalnia banku spółdzielczego z obowiązku analizy każdej usługi pod kątem zgodności z regulacjami outsourcingowymi. W zależności od wyniku takiej oceny może to skutkować koniecznością:

• zawarcia odrębnej umowy outsourcingowej z bankiem zrzeszającym,
• spełnienia obowiązków raportowych (zgłoszenie, rejestracja, ocena ryzyka),
• objęcia usługi audytem zgodności.

Co musi się znaleźć w umowie outsourcingu?

Jeśli współpraca z dostawcą zostanie zakwalifikowana jako outsourcing, bank ma obowiązek zawrzeć z nim umowę w formie pisemnej. To podstawowy wymóg wynikający z obowiązujących regulacji – zarówno krajowych, jak i europejskich.

W przypadku gdy przedmiotem umowy jest nabycie usług od sektora ICT, zakres takiej umowy musi być rozszerzony o dodatkowe elementy, które mają kluczowe znaczenie z punktu widzenia bezpieczeństwa operacyjnego i ciągłości działania banku. Oprócz standardowych zapisów dotyczących odpowiedzialności stron czy okresu wypowiedzenia umowa powinna zawierać m.in.:

 tryb i zasady zgłaszania incydentów i sytuacji awaryjnych (zarówno przez bank, jak i usługodawcę),

 zasady raportowania zdarzeń operacyjnych i incydentów,

 parametry SLA (Service Level Agreement), czyli mierzalne wskaźniki jakości świadczonych usług,

 zasady realizacji testów BCP (Bussines Contunity Plan) - planów awaryjnych, które mają zapewnić utrzymanie kluczowych procesów biznesowych banku w sytuacjach zakłóceń,

 parametry RTO (Recovery Time Objective), czyli maksymalny dopuszczalny czas przywrócenia usługi, systemu lub procesu po awarii,

 dopuszczalność i warunki dalszego zlecania usług przez dostawcę (podwykonawstwo),

 możliwości banku i organu nadzoru (KNF) do przeprowadzania audytów u usługodawcy.

Kiedy współpraca z dostawcą nie jest outsourcingiem?

Nie każda umowa z zewnętrzną firmą podlega regulacjom dotyczącym outsourcingu. Dla większej przejrzystości EBA w swoich Wytycznych wskazała konkretne przykłady współpracy, które nie są uznawane za outsourcing.

Przykładowo, nie mówimy o outsourcingu, gdy:

• usługi są wymagane przepisami prawa, np. badanie sprawozdań przez biegłego rewidenta,
• dostawca świadczy usługi związane z dostępem do informacji rynkowych, np. dane od takich podmiotów jak Bloomberg, Moody’s, Standard & Poor’s czy Fitch,
• mamy do czynienia z usługą specjalistyczną, niezwiązaną z działalnością operacyjną banku – np. porada architekta, opinia prawna, reprezentacja przed sądem lub urzędami,
• chodzi o usługi o charakterze technicznym lub pomocniczym, takie jak na przykład: sprzątanie, serwis samochodów służbowych, obsługa recepcji, sekretariatu, dostawy materiałów, sprzętu biurowego czy mediów. 

W praktyce oznacza to, że dla oceny, czy dana współpraca podlega regulacjom outsourcingowym, kluczowe znaczenie ma jej wpływ na działalność operacyjną banku i stopień integracji usługi z jego procesami.

Kiedy mamy do czynienia z outsourcingiem bankowym?

CHECKLISTA: „Czy ta usługa to outsourcing?”

Aby prawidłowo ocenić, czy dana usługa podlega regulacjom outsourcingowym, warto przeprowadzić wewnętrzną analizę, opartą na kilku kluczowych pytaniach:

• Czy usługa ma charakter powtarzalny (cykliczny, ciągły)?
• Czy wpływa na procesy bankowe (np. operacje, obsługę klienta, bezpieczeństwo)?
• Czy dotyczy danych klientów, infrastruktury ICT lub systemów transakcyjnych?
• Czy jej niedostępność lub awaria może skutkować ryzykiem operacyjnym lub prawnym dla banku?
• Czy bank byłby w stanie wykonać tę usługę we własnym zakresie?

Jeśli odpowiedzi na większość z tych pytań brzmią „tak”, istnieje duże prawdopodobieństwo, że mamy do czynienia z outsourcingiem. W takiej sytuacji należy zawrzeć z dostawcą odpowiednią umowę i wdrożyć wszystkie wymagane mechanizmy nadzorcze.

Kluczowe zasady bezpiecznej współpracy z dostawcami

Dostosowanie się do regulacji dotyczących outsourcingu to nie tylko wymóg prawny, ale też element odpowiedzialnego zarządzania ryzykiem operacyjnym. W sektorze bankowości spółdzielczej, gdzie wiele usług jest realizowanych w modelu zrzeszeniowym, szczególnego znaczenia nabiera dokładna analiza charakteru każdej współpracy z podmiotami zewnętrznymi, ale też instytucjami współpracującymi w ramach zrzeszenia.

Prawidłowa kwalifikacja usługi, zawarcie odpowiedniej umowy oraz nadzór nad jej realizacją to podstawowe filary, które wspierają zgodność z regulacjami – zarówno z rozporządzeniem DORA, jak i wytycznymi EBA czy rekomendacjami KNF.