[Wprowadzenie] W dniu dzisiejszym UKNF opublikował stanowisko dotyczące wybranych zagadnień związanych z wejściem w życie Wytycznych EBA w sprawie outsourcingu i ich uwzględnianiem w działalności banków („Wytyczne EBA”)(„Stanowisko”). Jest to Stanowisko przygotowane w odpowiedzi na wątpliwości instytucji nadzorowanych, związane z prawidłowym zastosowaniem Wytycznych EBA w świetle odpowiednich przepisów prawa krajowego.
[Przedłużenie terminu na wdrożenie Wytycznych EBA] Zgodnie z brzmieniem Wytycznych EBA ich postanowienia mają zastosowanie do umów outsourcingu zawartych lub zmienionych po 30 września 2019 r. Termin ten został jednak wydłużony w Stanowisku – UKNF oczekuje, by banki dostosowały się do Wytycznych EBA w terminie do 30 czerwca 2020 r.
[Relacja między pojęciem outsourcingu w rozumieniu przepisów krajowych a w rozumieniu Wytycznych EBA] Zgodnie z ustawą Prawo bankowe bank może powierzyć przedsiębiorcy wykonywanie czynności faktycznych związanych z działalnością bankową (muszą one stanowić czynności składowe czynności wymienionych w art. 5 i 6 Prawa bankowego). Pojęcia outsourcingu w rozumieniu Wytycznych EBA jest szersze, niż pojęcie powierzenia wykonywania czynności w rozumieniu Prawa bankowego. W związku z tym, pojęcie „powierzenia wykonywania czynności”, o którym mowa w art. 6a Prawa bankowegomieści się w pojęciu powierzenia „funkcji” z Wytycznych EBA.
Zgodność z Wytycznymi EBA należy rozumieć jako stosowanie standardów, które nie są łagodniejsze od zaleceń w nich zawartych. Należy zwrócić uwagę na interakcję przepisów krajowych i Wytycznych EBA w tej materii i korzystać z obydwu źródeł uregulowania, z zachowanie odpowiedniej hierarchii przepisów – co do zasady należy stosować Wytyczne EBA, ze względu na fakt, że szerzej obejmują one dany obszar. Jednak w sytuacji, gdy przepisy krajowe, rekomendacje lub stanowiska interpretacyjne skierowane przez organ nadzoru mają charakter bardziej rygorystyczny od Wytycznych EBA, należy stosować wówczas uregulowania krajowe.
[Kwestie wyłączone z outsourcingu] W Stanowisku UKNF przedstawiono szeroką wykładnie przepisów Prawa bankowego dotyczących zakazu powierzania czynności obejmujących zarządzanie bankiem oraz przeprowadzanie audytu wewnętrznego banku. Dla dokonania oceny, czy powierzenie wykonywania konkretnej czynności byłoby niedozwolone, jako stanowiące powierzenie zarządzania bankiem, kluczową kwestią jest aspekt dotyczący samego podjęcia decyzji tj. określenie, po której stronie pozostaje akt podjęcia decyzji w sprawach, które mogą wchodzić w zakres zarządzania bankiem – czy po stronie banku powierzającego, czy zostaje on przeniesiony na dostawcę usługi. Drugi wariant należy uznać za sprzeczny z Prawem bankowym. UKNF podkreślił, że umowa outsourcingowa nie może zawierać postanowień wprowadzających możliwość ograniczenia samodzielności zarządzania podmiotem.
[Outsourcing funkcji krytycznych lub istotnych] Wytyczne EBA odnoszą się między innym do outsourcingu funkcji krytycznych lub istotnych. Z uwagi na postanowienia Prawa bankowego outsourcing funkcji krytycznych lub istotnych nie jest dopuszczalny w takim zakresie, w jaki miałby obejmować czynności związane z zarządzaniem bankiem. W zakresie jednak w jakim zlecanie tych czynności jest dozwolone, również na gruncie przepisów krajowych, Wytyczne EBA przewidują konieczność powiadamiania organu nadzoru lub nawiązywania z nim dialogu w zakresie planowanego outsourcingu funkcji krytycznych lub istotnych lub gdy funkcja podlegająca outsourcingowi nabywa takiego charakteru. UKNF wskazuje, że w tym zakresie należy wykorzystywać formy komunikacji przewidziane dla kontaktów banków z organem nadzoru.
[Outsourcing czynności do chmury] UKNF zadeklarował, że w zakresie outsourcingu czynności do chmury stosowane będzie podejście krajowe tj. obecnie obowiązujący komunikat KNF z 23 października 2017 r. Jednocześnie UKNF poinformował w Stanowisku, iż trwają prace nad nowym stanowiskiem chmurowym, które zastąpi komunikat z października 2017 r. Opracowywany model referencyjny przetwarzania danych w chmurze będzie wskazywał jednolite ramy techniczne, organizacyjne i prawne, z uwzględnieniem wymagań cyberbezpieczeństwa oraz zmian technologicznych i związanej z tym konieczności ciągłego dostosowywania procesów nadzorczych i praktyki podmiotów nadzorowanych.
[Zarządzenie ryzykiem] Zasady zarządzania dotyczące outsourcingu muszą być spójne z indywidulanym profilem ryzyka, charakterem i modelem biznesowym banku oraz skalą złożoności jego działalności i umożliwiać bankowi spełnianie wymogów regulacyjnych. Banki powinny sprawować odpowiedni nadzór i posiadać zdolność zarządzania ryzykiem związanym z outsourcingiem, w szczególności ocenić wpływu umów outsourcingu na ich ryzyko operacyjne. Banki, które nie są dostatecznie przygotowane do sprawowania należytego nadzoru i zarządzania ryzykiem związanym z outsourcingiem nie powinny podejmować decyzji o powierzaniu wykonywania takich czynności.
[Nowe wymogi dotyczące umów outsourcingu] UKNF wskazał, że oprócz dotychczasowych wymogów dotyczących umów outsourcingu, a także oprócz tych wskazanych w Wytycznych EBA, umowa outsourcingu powinna zawierać zamknięty katalog procesów, usług i czynności, których wykonywanie będzie przedmiotem powierzenia wraz z jednoznacznym wskazaniem podmiotu decyzyjnego właściwego na wszystkich etapach ich realizacji. W załącznikach do umowy outsourcingowej powinny zostać przedstawione graficzne prezentacje poszczególnych procesów podlegających powierzeniu, wraz ze wskazaniem poszczególnych czynności / kroków w procesie i określeniem podmiotu decyzyjnego.
[Ogólne zasady powierzania czynności pomiędzy bankami, ze szczególnym uwzględnieniem banków spółdzielczych] UKNF wyjaśnił, że w przypadku powierzania czynności pomiędzy bankami, każda ze stron umowy (bank powierzający i bank dostawca) mają obowiązek zarządzać ryzykiem związanym z prowadzoną działalnością w sposób niezależny. Zarząd i rada nadzorcza każdego z banków ponoszą pełną odpowiedzialność za zarządzane i nadzór nad procesem zarządzania ryzykiem związanym z prowadzeniem działalności bankowej w jednostkach im podległych. Nadzór ten każdorazowo powinien uwzględniać zasadę proporcjonalności.
Stosowanie zasady proporcjonalności jest szczególnie ważne w przypadku współpracy banków funkcjonujących w sektorze bankowości spółdzielczej w formule zrzeszeń. Należy wówczas uwzględnić szczególne cechy prawne banku zrzeszającego, co umożliwia stosowanie przepisów proporcjonalnie do charakteru, skali i stopnia złożoności ryzyk, wynikających z modelu działania zrzeszeń i charakteru powiązań banków z zakresem świadczonych na ich rzecz usług przez bank zrzeszający. Specyfika usług świadczonych przez bank zrzeszający na podstawie zawartej umowy zrzeszenia ogranicza ryzyka związane z ich powierzaniem przez banki zrzeszone, wobec czego należy dopuścić proporcjonalne stosowanie do nich wymogów prawnych w zakresie outsourcingu. Umowy zawierane przez banki – członków zrzeszenia z bankiem zrzeszającym, dotyczące czynności lub świadczenia usługi przez bank zrzeszający, nie stanowią umów outsourcingu bankowego, jeżeli taka umowa jest zawierana w wykonaniu zobowiązania zawartego w umowie zrzeszenia. W przypadku, w którym bank zrzeszający świadczy na rzecz banku zrzeszonego czynności nieprzewidziane w umowie zrzeszenia, zastosowanie mają ogólne zasady wynikające z przepisów prawa oraz zasady przedstawione w niniejszym stanowisku.
[Outsourcing innych wybranych procesów] Oprócz aspektów wskazanych w niniejszym alercie, UKNF zawarł w swoim stanowisku inne szczegółowe kwestie dotyczące m.in. outsourcingu procesów kredytowych, nabywania wierzytelności, procesów związanych z emisjami instrumentów dłużnych, procesów finansowo – księgowych, zarządzania zasobami ludzkimi, jak również outsourcingu w obszarze IT.