NB-BI-I-077-4/06 - Outsourcing

W związku z wprowadzeniem do ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe, wymogów formalnych w zakresie powierzania czynności przedsiębiorcy lub przedsiębiorcy zagranicznemu, a także zobowiązaniem banków do dostosowania swojej działalności do tych zmian w terminie do dnia 1 stycznia 2005 r., kwestie dotyczące outsourcingu były przedmiotem analiz GINB w 2005 roku, zarówno na etapie rozpatrywania wniosków i zawiadomień przesyłanych przez banki, jak i w trakcie czynności kontrolnych przeprowadzanych w części banków. Poniżej przekazuję Państwu wnioski wynikające z przeprowadzonych badań i analiz, z prośbą o zapoznanie się z nimi i dokonanie przeglądu stosowanych przez Państwa bank rozwiązań dotyczących zarządzania ryzykiem wynikającym z powierzania czynności.

Wnioski i zawiadomienia dotyczące umów o powierzenie czynności

Wyniki przeprowadzonych analiz wniosków i zawiadomień złożonych przez banki, dotyczących umów o po wierzenie czynności, jak również skala i treść korespondencji pomiędzy GINB i bankami wykazały, iż banki miały wiele wątpliwości dotyczących interpretacji nowych przepisów prawa, a także problemy z dostosowaniem umów o powierzenie czynności do przepisów art. 6a-6d ustawy Prawo bankowe (zarówno tych umów, które zostały zawarte przed datą wejścia wżycie ustawy, jak i umów zawieranych po tej dacie). Wątpliwości banków w szczególności dotyczyły: kwalifikacji umów outsourcingowych, zakresu odpowiedzialności za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania zobowiązań, możliwości objęcia umowy krajowymi regulacjami dotyczącymi outsourcingu w sytuacji, gdy podlega ona przepisom prawa obcego, sposobu wykonywania serwisu przez kontrahenta. Powyższe wątpliwości, a także szeroki zakres dokumentacji wymaganej przy składaniu wniosku o wydanie zezwolenia przez Komisję Nadzoru Bankowego spowodowały, że większość takich wniosków została złożona w ostatnich dniach grudnia 2004 roku. Składane przez banki wnioski w wielu przypadkach nie spełniały wymogów formalnych, wynikających z ustawy Prawo bankowe i uchwały nr 3/2004 KNB z dnia 8 września 2004 r. w sprawie określenia wykazu dokumentów dotyczących działalności gospodarczej przedsiębiorcy zagranicznego, który ma wykonywać powierzone przez bank czynności określone w art. 6a ust. 1 ustawy -Prawo bankowe (dalej: "Uchwała nr 3/2004"), a załączona dokumentacja często była niekompletna.

Stwierdzone, w toku analizy dokumentacji składanej przez banki, nieprawidłowości w zakresie zgodności z przepisami prawa dotyczyły w szczególności:

- Zawierania przez banki umów bez wymaganego zezwolenia KNB, o którym mowa w art. 6d ust. 1 ustawy Prawo bankowe, co w kilku przypadkach skutkowało udzieleniem przez KNB upomnienia za naruszenie art. 6a-6d ustawy Prawo bankowe.

- Dopuszczania w zawartych umowach możliwości powierzania przez przedsiębiorcę, z którym bank zawarł umowę, wykonywania powierzonych czynności innym podmiotom, niebędącym stroną umowy z bankiem.

- Ograniczania lub wyłączania odpowiedzialności przedsiębiorcy i banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy, co polegało najczęściej na ograniczaniu odpowiedzialności do bezpośrednich szkód lub do określonych kwot.

- Zamiaru powierzenia przez niektóre banki wykonywania czynności obejmujących zarządzanie i audyt wewnętrzny. Przedłożone przez banki urno wy/projekty umów nieprecyzyjnie określały zakres przedmiotowy powierzanych czynności, co utrudniało ich kwalifikację w zakresie podlegania rygorom outsourcingu. Występowały również przypadki niejasnego określania zakresu czynności objętych outsourcingiem, poprzez określanie terminem "doradztwo" czynności o charakterze zbliżonym do zarządzania (jaknp. doradztwo w zakresie gospodarki pieniężnej, co mogło sugerować powierzenie czynności departamentu skarbu w zakresie zarządzania). W niektórych przypadkach przeprowadzenie przez banki ponownej analizy charakteru usług, uwzględniającej opinie prawne w tym zakresie skutkowało wycofaniem wniosku bez dalszych działań lub złożeniem zawiadomienia o zamiarze powierzenia czynności.

- Braku precyzyjnego określenia w zawieranych umowach podmiotów mających dostęp do informacji objętych tajemnicą bankową oraz zakresu, w jakim te podmioty mogą mieć dostęp do tajemnicy bankowej.

- Braku szczegółowego określenia zakresu powierzanych usług konkretnym przedsiębiorcom w przypadku umów wielostronnych z przedsiębiorcami zagranicznymi.

- Występowania rozbieżności pomiędzy listą powierzonych czynności wskazaną w złożonym przez bank wniosku, a czynnościami wymienionymi w projekcie umowy z przedsiębiorcą.

Część banków nie przedstawiła kompletnej dokumentacji, wymaganej ustawą Prawo bankowe i Uchwałą nr 3/2004, potrzebnej do analizy wniosku o wydanie zezwolenia na zawarcie umowy o powierzenie czynności, w tym w szczególności w zakresie:

- Planów działania banku i przedsiębiorcy zapewniających ciągłe i niezakłócone prowadzenie działalności oraz opisów systemu kontroli wewnętrznej w zakresie objętym umową.

- Wyników specjalistycznego audytu bezpieczeństwa informatycznego przedsiębiorcy w zakresie świadczonych dla banku usług lub posiadanych certyfikatów bezpieczeństwa systemów informatycznych w zakresie świadczonych dla banku usług. Przedkładane przez banki dokumenty nie uzyskiwały akceptacji KNB głównie ze względu na fakt, że były wystawiane przez podmioty z tej samej grupy.

- Pozytywnych opinii właściwych władz nadzorczych.

- Uwierzytelnionych tłumaczeń dokumentów na język polski.

Występowały przypadki, że przedłożone przez banki dokumenty nie zawierały opisu rozwiązań mających na celu zapewnienie wykonywania przez KNB efektywnego nadzoru, a także wskazujących, iż powierzenie wykonywania czynności nie wpłynie niekorzystnie na ostrożne i stabilne zarządzanie bankiem oraz skuteczność systemu kontroli wewnętrznej.

W zawiadomieniach dotyczących umów o powierzenie czynności banki nie przedstawiały informacji, które zostały określone w piśmie GINB z dnia 3 sierpnia 2004 r. znak: NB-BPN-I-022-70/04 (najczęściej nieprecyzyjnie określano przedmiot umowy oraz podawano niepełne dane identyfikujące przedsiębiorcę, a niejednokrotnie zawiadomienia nie zawierały opisu rozwiązań, które zapewniają sprawowanie przez KNB efektywnego nadzoru nad wykonywaniem powierzonych czynności oraz skuteczne funkcjonowanie systemu kontroli wewnętrznej banku w zakresie obejmującym wykonywanie tych czynności).

GINB zgłaszał również uwagi do sytuacji ekonomiczno-finansowej niektórych przedsiębiorców, którym banki zamierzały powierzyć lub powierzyły wykonywanie określonych usług. Przykładowo, zastrzeżenia GINB pojawiały się w sytuacji, gdy audytor badający sprawozdanie przedsiębiorcy - spółki akcyjnej zawarł uwagę w opinii do sprawozdania finansowego, która dotyczyła znacznej kwoty ujemnego kapitału własnego i konieczności zwołania walnego zgromadzenia w celu powzięcia uchwały, co do dalszego kontynuowania działalności spółki.

Niezałączanie przez banki wymaganych dokumentów wraz z wnioskami o wydanie zezwolenia, o którym mowa w art. 6d ust. 1 ustawy Prawo bankowe, trudności w wyegzekwowaniu przez banki niezbędnej dokumentacji od przedsiębiorców zagranicznych, a także konieczność dostosowywania umów do obowiązujących przepisów prawa oraz potrzeba przekazywania dodatkowych wyjaśnień do złożonych materiałów powodowało przedłużanie terminu wydania przez KNB decyzji. W konsekwencji, w wielu wypadkach decyzje w sprawie zezwoleń na wnioski złożone w grudniu 2004 roku nie zostały jeszcze podjęte, ponieważ banki w dalszym ciągu nie przedstawiły pełnego zakresu wymaganej dokumentacji.

Analiza procesu zarządzania ryzykiem wynikającym z powierzania czynności

Zgodnie z planem inspekcji, kwestie dotyczące outsourcingu były w 2005 roku przedmiotem badań GINB w części banków, które powierzają czynności w istotnych obszarach swojej działalności. W ramach przeprowadzanych czynności kontrolnych inspektorzy nadzoru bankowego, obok weryfikacji spełniania przez banki wymogów formalnych wynikających z obowiązujących przepisów ustawy Prawo bankowe, oceniali również jakość zarządzania i systemu kontroli w zakresie ryzyka związanego z powierzaniem czynności podmiotom zewnętrznym. Przeprowadzone badania koncentrowały się na ocenie procesu zarządzania ryzykiem związanym z powierzaniem czynności kluczowych dla działalności banku. W szczególności analizie i ocenie poddano:

- zasady podejmowania decyzji o powierzeniu czynności,

- przyjmowane rozwiązania organizacyjne w zakresie zarządzania ryzykiem związanym

z powierzaniem czynności oraz stosowane metody oceny tego ryzyka,

- system monitorowania wywiązywania się przedsiębiorcy z umowy oraz ocenę jakości

świadczonych przez niego usług.

Zbadane przez inspektorów umowy dotyczyły najczęściej obszarów związanych z pośrednictwem kredytowym oraz technologią informatyczną (w tym usługi w zakresie kart płatniczych i kredytowych oraz usług bankomatowych).

Wyniki przeprowadzonych badań wykazały, że część banków w niewystarczającym zakresie zarządzała ryzykiem związanym z powierzaniem usług podmiotom zewnętrznym. Stwierdzone nieprawidłowości - które znalazły odzwierciedlenie w zaleceniach poinspekcyjnych - dotyczyły zarówno sposobu podejmowania decyzji o powierzeniu czynności, jak i kontroli ryzyka nad powierzonymi czynnościami.

Zasady dotyczące powierzania czynności podmiotom zewnętrznym były ujmowane w strategii działania banku bądź w innym formalnym dokumencie, takim jak np. polityka bezpieczeństwa, bądź instrukcja służbowa. Jednakże nie wszystkie banki posiadały regulacje wewnętrzne, normujące kompleksowo system oceny ryzyka związanego z powierzaniem czynności, bądź też posiadane procedury były niekompletne (np. nie określały zasad dokonywania oceny ryzyka oraz analizy korzyści i zagrożeń w procesie podejmowania decyzji o korzystaniu z usług przedsiębiorców). Przy badaniu tego zagadnienia stwierdzono również przypadki naruszania wewnętrznych procedur dotyczących zasad zawierania umów z podmiotami zewnętrznymi w zakresie powierzonych czynności.

W zakresie organizacji procesu zarządzania ryzykiem wynikającym z outsourcingu, najczęściej przyjmowanym rozwiązaniem było przypisanie nadzoru nad powierzonymi czynnościami członkom Zarządu odpowiedzialnym merytorycznie za obszar działalności banku, którego dotyczyło powierzenie czynności. Zarówno w bankach, w których outsourcing dotyczył tylko jednego obszaru, jak i w tych, gdzie miało miejsce powierzenie czynności w kilku obszarach istotnych dla ich działalności, nie wyznaczono osób lub komórek organizacyjnych, które byłyby odpowiedzialne za kompleksowe zarządzanie ryzykiem związanym z outsourcingiem. Stosowane rozwiązania organizacyjne (brak scentralizowanego procesu zarządzania ryzykiem) znajdowały również odzwierciedlenie w zróżnicowaniu jakości zarządzania i kontroli ryzyka związanego z outsourcingiem w różnych obszarach działalności banku (przykładowo: przyjęte rozwiązania w zakresie powierzania czynności w obszarze pośrednictwa kredytowego były oceniane pozytywnie, podczas gdy zarządzanie tym ryzykiem w innych dziedzinach działalności budziło zastrzeżenia).

Większość zbadanych banków posiadała narzędzia kontroli ryzyka związanego z powierzaniem czynności. Rodzaj wykorzystywanych narzędzi został określony w treści umów podpisanych z podmiotami zewnętrznymi. Większość banków zapewniła sobie również możliwość dostępu do informacji i dokumentów (w tym m. in. na temat sytuacji ekonomiczno-finansowej przedsiębiorcy i stosowanych przez niego procedur), a także prawo do przeprowadzania czynności kontrolnych u przedsiębiorcy. Wystąpiły jednak przypadki, iż - pomimo zapewnienia sobie możliwości dostępu do odpowiednich dokumentów - banki nie korzystały z tych uprawnień lub korzystały, ale nie analizowały pozyskanych informacji.

Jakość informacji zarządczei w zakresie zagadnień dotyczących powierzania czynności podmiotom zewnętrznym budziła zastrzeżenia. Uwagi inspektorów dotyczyły w szczególności:

- braku kompleksowej oceny ryzyka wynikającego z powierzenia wykonywania czynności podmiotom zewnętrznym w tych bankach, gdzie miało miejsce powierzenie czynności w kilku obszarach istotnych dla ich działalności (opracowane raporty dotyczyły pojedynczych umów lub obszarów działania, w tym najczęściej obszaru działalności kredytowej);

- raporty przekazywane były najczęściej wyłącznie do osób nadzorujących obszar, w którym zostały powierzone czynności, co niewątpliwie było konsekwencją - opisanych wcześniej - przyjętych rozwiązań organizacyjnych.

Zakres sprawowanej kontroli wewnętrznej był bardzo zróżnicowany w poszczególnych bankach - w niektórych sprawowana była wyłącznie kontrola bieżąca w zakresie prawidłowości postępowania pracowników przy zawieraniu umów o współpracy oraz poprawności i jakości wykonywanych przez przedsiębiorcę usług, a część banków objęła kontrolą wewnętrzną również przedsiębiorców zewnętrznych. W większości przypadków audyt wewnętrzny nie obejmował badaniami wszystkich istotnych zagadnień związanych z outsourcingiem. Przypadki niepełnego realizowania zadań w szczególności wynikały z:

- braku zasięgania opinii komórki organizacyjnej audytu wewnętrznego odnośnie prawidłowości rozwiązań na etapie podejmowania decyzji o powierzeniu czynności podmiotom zewnętrznym,

- niedokonywania oceny przestrzegania przez bank wymogów formalnych wynikających z obowiązujących przepisów prawa dotyczących outsourcingu,

- ograniczania działań kontrolnych do jednego obszaru (np. umów dotyczących powierzania czynności z zakresu technologii informatycznych) przy pomijaniu kontroli nad innymi istotnymi dziedzinami działalności, w których nastąpiło powierzenie czynności, co powodowało brak kompleksowej kontroli całego procesu związanego z outsourcingiem.

Ustalenia inspekcyjne wykazały, iż najczęściej spotykanym problemem związanym z outsourcingiem była kwestia dotycząca obowiązku posiadania planów działania zapewniających ciągłe i niezakłócone prowadzenie działalności na wypadek niezdolności do wykonywania powierzonych czynności przez przedsiębiorcę. Znacząca część zbadanych banków nie posiadała planów określających zasady kontynuowania powierzonej czynności przez bank lub przez alternatywnego przedsiębiorcę. Występowały również sytuacje, że plany były opracowane dla wybranych podmiotów (np. dla pośredników kredytowych), a w innych obszarach nie dopełniono tego obowiązku. W bankach, które przygotowały plany, znikoma liczba pracowników odpowiedzialnych za nadzór nad powierzonymi czynnościami, zapoznana była z obowiązującymi planami.

Podsumowując, należy stwierdzić, iż banki jeszcze nie w pełni dostosowały swoją działalność w zakresie powierzania czynności do obowiązujących przepisów prawa, a zarządzanie ryzykiem wynikającym z powierzania usług podmiotom zewnętrznym wymaga poprawy. Poniżej przekazuję Państwu oczekiwania GINB dotyczące zarządzania ryzykiem związanym z outsourcingiem, wskazując na dobre praktyki bankowe jakie powinny być stosowane, zarówno na etapie podejmowania decyzji o powierzeniu czynności jak i w procesie kontroli ryzyka wynikającego z outsourcingu.

1. Zasady dotyczące powierzania czynności powinny być ujęte w strategii działania banku, polityce bezpieczeństwa lub innym dokumencie zatwierdzonym przez Zarząd banku. Zasady te powinny wskazywać osoby odpowiedzialne za podejmowanie decyzji, a także określać sposób wyboru przedsiębiorcy oraz minimalne wymagania dotyczące zarządzania ryzykiem, wynikającym z powierzenia czynności przedsiębiorcy.

2. Przy podejmowaniu decyzji o powierzeniu czynności niezbędnym elementem jest uwzględnienie wyników analizy korzyści i zagrożeń, wynikających z powierzenia wykonywania czynności osobom trzecim, w tym m.in. możliwości:

- redukcji / wzrostu kosztów działania,

- zwiększenia / obniżenia efektywności działania,

- poprawy / pogorszenia jakości usług oferowanych klientom,

- zwiększenia / ograniczenia dostępu do wiedzy i nowych technologii,

oraz analizy ryzyka związanego z outsourcingiem, uwzględniającej m.in.:

- poziom istotności powierzonej czynności dla banku,

- zagrożenia dla prowadzenia przez bank działalności zgodnie z przepisami prawa oraz dla ostrożnego i stabilnego zarządzania bankiem,

- skuteczność systemu kontroli wewnętrznej w banku,

- obowiązek ochrony taj emnicy prawnie chronionej,

- możliwość zastąpienia przedsiębiorcy w razie jego niemożności wywiązania się z umowy i czas niezbędny do zmiany przedsiębiorcy oraz ewentualne koszty, które mogą wystąpić w przypadku nagłego przerwania realizacji usług lub konieczności zmiany usługodawcy.

3. Przed podjęciem decyzji i podpisaniem umowy o powierzenie czynności, bank powinien przeanalizować informacje na temat m.in.: sytuacji finansowej przedsiębiorcy, jego zdolności do wywiązania się z terminowej i jakościowej realizacji usług w zakresie objętym umową, a także sposobu i jakości zabezpieczania baz danych, do których przedsiębiorca ma dostęp.

4. W umowach o powierzenie czynności powinny być określone przynajmniej takie elementy jak:

- szczegółowy opis czynności realizowanych w ramach umowy,

- czas trwania umowy, hierarchia wykonywania usług w warunkach awaryjnych,

- możliwość kontaktowania się z przedsiębiorcą w trybie ciągłym w celu szybkiego rozwiązywania pojawiających się problemów,

- zapewnienie przez przedsiębiorcę poufności danych,

- warunki rozwiązania umowy, ze szczególnym uwzględnieniem uprawnień przedsiębiorcy w tym zakresie,

- zagwarantowanie bankowi możliwości podejmowania w każdym czasie czynności kontroli wewnętrznej w ich siedzibie i we wszystkich miejscach wykonywania zleconych umową czynności, w zakresie związanym z realizacją tej umowy;

- zapewnienie bankowi prawa do wykonywania nadzoru w zakresie realizowanej umowy poprzez możliwość zlecenia lub przeprowadzania audytu sprawozdania finansowego podmiotu świadczącego usługę oraz zapewnienie dostępu do zbadanych przez biegłego rewidenta sprawozdań finansowych,

- zapewnienie, że przedsiębiorca będzie przekazywał niezwłocznie na żądanie banku pełne informacje i dokumenty, mające związek z realizacją postanowień umowy outsourcingowej,

- określenie zakresu odpowiedzialności przedsiębiorcy wobec banku za szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania umowy,

- warunki zapewniające wykonywanie przez Komisję Nadzoru Bankowego efektywnego nadzoru nad realizacją powierzonych czynności, w szczególności poprzez uwzględnienie postanowień zobowiązujących przedsiębiorców do:

* umożliwienia w każdym czasie uprawnionym inspektorom nadzoru bankowego oraz osobom upoważnionym przez KNB przeprowadzenia kontroli w siedzibie tych przedsiębiorców i we wszystkich miejscach wykonywania czynności powierzonych na podstawie umowy, o której mowa w art. 6a ust. 1 prawa bankowego, w zakresie, który wynika z przedmiotu tej umowy,

* przekazywania na żądanie ww. kontrolerów wszelkich informacji i dokumentów, które pozostają w kontrolowanym zakresie oraz niezwłocznego usuwania stwierdzonych nieprawidłowości i realizowania zaleceń pokontrolnych,

* przekazywania bankowi wszelkich informacji i dokumentów, związanych z wykonywaniem umowy outsourcingowej, o które zwróci się organ nadzoru bankowego,

* przekazywania swoich sprawozdań finansowych bankowi,

* umożliwienia biegłemu rewidentowi zbadania ich sytuacji finansowej, jeżeli z żądaniem zlecenia przez bank dokonania takiego badania zwróci się KNB (w myśl art. 141h ust. 3 w związku z art. 6c ust. 7 prawa bankowego).

Istotnym elementem umowy jest również zapewnienie bankowi wyłączności w zakresie powierzania czynności (tj. wyeliminowanie możliwości powierzania przez przedsiębiorcę wykonywania powierzonych czynności innym podmiotom). Umowy dotyczące powierzenia czynności - przed ich zawarciem - powinny być analizowane i akceptowane przez prawników banku.

5. Kierownictwo banku powinno zapewnić odpowiedni, tj. dostosowany do skali i zakresu czynności świadczonych przez podmioty zewnętrzne, nadzór nad powierzonymi czynnościami. Właściwa organizacja procesu zarządzania ryzykiem wynikającym z outsourcingu pod kątem zapewnienia kompleksowej oceny i kontroli tego ryzyka jest istotna zwłaszcza w tych bankach, które powierzają istotne czynności w wielu obszarach swojej działalności.

6. Bank powinien zapewnić sobie dostęp do informacji na temat posiadanych przez przedsiębiorcę zasad bezpieczeństwa, procedur i mechanizmów kontroli, a także możliwość weryfikacji tych dokumentów. Przynajmniej raz w roku powinna być sporządzana ocena przedsiębiorcy uwzględniająca m.in.: sytuację ekonomiczno - finansową, jakość świadczonych usług, stopień wywiązywania się przez niego z warunków umowy oraz możliwość zapewnienia ciągłości wykonywania powierzonych czynności.

7. Wsparciem dla procesu zarządzania ryzykiem związanym z outsourcingiem powinien być system kontroli wewnętrznej banku, obejmujący kompleksowo cały obszar dotyczący powierzania czynności, tj. zarówno proces podejmowania decyzji i etap związany z zawarciem umowy, jak i proces monitorowania ryzyka.

8. Istotną kwestią dotyczącą outsourcingu jest obowiązek posiadania, zarówno przez bank, jak i przedsiębiorcę planu działania zapewniającego ciągłe i niezakłócone prowadzenie działalności w zakresie objętym umową. Konieczność opracowania planów na wypadek niezdolności do wykonywania powierzonych czynności przez przedsiębiorcę jest o tyle istotna, że outsourcing nie powoduje przeniesienia odpowiedzialności banku za zapewnienie ciągłości funkcjonowania na przedsiębiorcę. Podkreślić przy tym należy, iż plany ciągłości działania dotyczące powierzania czynności wpływają na jakość planu działalności całego banku. Jednocześnie bank powinien posiadać plany przedsiębiorców, którym powierzył czynności, albo przynajmniej mieć do nich dostęp, aby zweryfikować, czy przedsiębiorca określił sposób postępowania i zapewnił jasny podział obowiązków w przypadku wystąpienia sytuacji awaryjnej. Brak uzgodnień w tym zakresie pomiędzy bankiem a przedsiębiorcą może spowodować problemy w koordynacji działań mających na celu zapewnienie ciągłości funkcjonowania banku lub odtworzenie jego działalności.

Stosowanie powyższych zasad będzie przedmiotem weryfikacji i oceny podczas czynności kontrolnych wykonywanych przez inspektorów GINB.

Jednocześnie wyrażam nadzieję, że przedstawione uwagi i wskazówki przyczynią się do podniesienia jakości zarządzania ryzykiem w bankach.