NB-BPN-I-022-13/02 - Outsourcing.

W ubiegłym roku Generalny Inspektorat Nadzoru Bankowego skierował do banków ankietę dotyczącą stosowania przez banki outsorcingu. Jej celem było przeprowadzenie analizy zlecania przez banki czynności związanych z działalnością bankową. Komisja Nadzoru Bankowego zapoznała się z wynikami analizy odpowiedzi nadesłanych przez banki.

Outsourcing, zwłaszcza w działalności bankowej i w takim zakresie, w jakim występuje obecnie, jest zjawiskiem nowym i dlatego nie ma jednolitego międzynarodowego standardu normującego jego stosowanie. Analiza przepisów obowiązujących w wybranych krajach członkowskich Komitetu Bazylejskiego pokazuje, że szczegółowe warunki określane są w regulacjach wydawanych przez nadzorców bankowych. We wszystkich tych krajach:

* outsourcing w działalności bankowej jest dozwolony, ale w ograniczonym zakresie, a jego granice wyznaczają:

- prawo powszechnie obowiązujące,

- możliwość zarządzania przedsiębiorstwem bankowym i kontrolowania go przez kierownictwo co najmniej na dotychczasowym poziomie,

- możliwość efektywnego wykonywania przez nadzór bankowy jego obowiązków,

* przed wprowadzeniem outsourcingu bank powinien powiadomić nadzór o swym zamiarze, a także przedstawić planowane rozwiązania w tym zakresie (nadzór ma prawo zgłaszania zastrzeżeń, które są wiążące dla banków),

* przekazanie przez bank podmiotowi zewnętrznemu czynności istotnych dla działalności bankowej nie wiąże się z przeniesieniem odpowiedzialności za ich wykonanie (wobec klienta oraz nadzoru bankowego bank odpowiada za czynności zlecone tak, jakby je sam wykonywał),

* bank ma możliwość zlecania usług podmiotom zagranicznym, ale wówczas jest obowiązany wykazać, że będzie zagwarantowane wykonywanie czynności kontrolnych zarówno przez kontrolę wewnętrzną banku, audytora banku, jak i przez nadzór bankowy,

* banki mogą przekazywać swoim usługodawcom informacje objęte tajemnicą bankową pod warunkiem powiadomienia klienta o tym fakcie (na przykład w ogólnych warunkach umów), a usługodawcę wiąże tajemnica bankowa tak samo jak bank,

* banki są zobowiązane do opracowania odpowiednich planów awaryjnych na wypadek zaprzestania świadczenia usług przez usługodawcę.

Polskie przepisy również nie odnoszą się wprost do outsourcingu - nie zakazują zlecania przez banki podmiotom zewnętrznym czynności związanych z wykonywaniem działalności bankowej ani też nie regulują szczegółowo tego zagadnienia. Niemniej banki, decydując się na outsourcing, muszą spełniać powszechnie obowiązujące wymogi określone w różnych regulacjach. W szczególności jest to prawo bankowe, ustawa o ochronie danych osobowych oraz ustawa o rachunkowości.

Ankieta skierowana do banków miała na celu zebranie informacji na temat zjawiska outsourcingu w polskich bankach i związanego z nim stopnia przestrzegania przez te banki przepisów prawa, a w wypadku banków zależnych od banków zagranicznych również standardów obowiązujących w krajach pochodzenia podmiotu dominującego, a zwłaszcza:

* skali stosowania przez banki outsourcingu,

* zakresu czynności zlecanych przez banki podmiotom zewnętrznym,

* stopnia przestrzegania przez banki przepisów dotyczących tajemnicy bankowej,

* podejścia banków do oceny i równoważenia ryzyka związanego z outsourcingiem.

Analiza ankiet wykazała, że banki powszechnie stosują outsourcing (84 procent wszystkich banków), przy czym, im większe banki, tym częściej sięgają do rozwiązań outsourcingowych. Nieco częściej jest on stosowany przez banki zagraniczne (90 procent banków).

Wśród różnorodnych czynności zlecanych podmiotom zewnętrznym banki wymieniały:

- pośrednictwo w sprzedaży produktów bankowych,

- administrowanie kredytami,

- obsługę płatności w obrocie z zagranicą,

- obsługę kasową,

- obsługę obrotu oszczędnościowego i czekowego,

- drukowanie, kopertowanie i wysyłanie korespondencji,

- czynności związane z emisją listów zastawnych,

- zarządzanie aktywami,

- usługi powiernicze (przechowywanie papierów wartościowych),

- doradztwo finansowe i prawne,

- windykację należności,

- serwis i obsługę systemu informatycznego,

- przetwarzanie danych,

- ochronę banku,

- transport wartości pieniężnych,

- transport dokumentów bankowych,

- skanowanie, archiwizację dokumentów oraz ich niszczenie.

Pośrednictwo w sprzedaży produktów bankowych wymieniane jest przez banki najczęściej (71 procent banków), natomiast przetwarzanie danych, powszechnie dyskutowany przedmiot outsourcingu, wymienia 29 procent banków, co daje mu czwarte miejsce pod względem częstości występowania.

Stosowanie przez bank outsourcingu nierozerwalnie wiąże się z ujawnieniem informacji chronionych tajemnicą bankową. Dzieje się tak, ponieważ usługodawca musi na ogół uzyskać dostęp do danych chronionych tajemnicą bankową, co wynika z samej istoty zlecanych czynności. Z przeprowadzonej ankiety wynika, że ma to miejsce w zdecydowanej większości (85 procent banków), w tym we wszystkich bankach z grupy piętnastu największych.

Zazwyczaj banki mają upoważnienie klienta do przekazywania informacji objętych tajemnicą bankową. Przybiera ono postać odrębnego oświadczenia lub stosownego postanowienia umownego. Bez wiedzy klienta wiadomości stanowiące tajemnicę bankową udostępnia usługodawcy 13 procent banków (w tym jeden z grupy pięciu największych), uważając, że przekazanie ma związek z wykonywaniem czynności bankowej. Powołując się na art. 104 ust. 1 prawa bankowego, banki te nie zwracają się do klientów z prośbą o odpowiednie upoważnienie, a nawet nie informują ich o stosowaniu outsourcignu.

Powoływanie się na art. 104 ust. 1 prawa bankowego nie zapewnia jednak dostatecznej ochrony interesów beneficjenta tajemnicy bankowej, którym jest klient banku. W efekcie nie wie on nawet, że bank udostępnia jego dane osobom trzecim. Ponadto, czynności zlecane przez banki nie są na ogół "czynnościami bankowymi" w rozumieniu prawa bankowego, chociaż mogą być z nimi powiązane.

Banki, przekazując podmiotom zewnętrznym informacje o kliencie, stosują różnego rodzaju zabezpieczenia. Najczęściej (43 procent banków) są to pełne zabezpieczenia:

- prawne (stosowne postanowienia w mowach),

- organizacyjne (procedury) oraz różne zabezpieczenia techniczne.

W grupie pięciu największych banków postępują tak cztery banki, natomiast w drugiej i trzeciej piątce - po jednym banku. Po 25 procent banków stosuje wyłącznie zabezpieczenia organizacyjno-techniczne albo wyłącznie prawne. Żadnych zabezpieczeń nie stosuje 7 procent banków.

Oddzielną, bardzo istotną kwestię stanowi zarządzanie ryzykiem, jakie niesie ze sobą outsourcing. Przede wszystkim należy stwierdzić, że wśród zlecanych czynności przeważają takie, które w subiektywnej ocenie samych banków mają co najmniej istotne znaczenie. Spośród banków komercyjnych 20 stwierdza, że wśród zlecanych przez nie czynności znajdują się takie, które mają znaczenie krytyczne, 55 - istotne, a 27 - pozostałe. Jedynie 4 banki zaliczyły zlecane przez siebie czynności wyłącznie do kategorii pozostałe. Ponadto, niemal wszystkie banki (ponad 90 procent, a w grupie 15 największych - wszystkie) stwierdziły, że przed podjęciem decyzji o stosowaniu outsourcingu dokonały analizy ekonomicznej, prawnej oraz analizy ryzyka. Zdecydowana większość (89 procent) banków deklaruje też prowadzenie monitoringu zagrożeń związanych z outsourcingiem. Wreszcie zaledwie 10 procent banków twierdzi, że ich polityka bezpieczeństwa nie obejmuje outsourcingu.

Informacje te sugerują, że banki, świadome zagrożeń związanych z outsourcingiem, a zwłaszcza banki zależne od banków zagranicznych, które powinny dodatkowo kierować się zasadami obowiązującymi ich podmioty dominujące, przykładają należytą wagę do kwestii bezpieczeństwa. Przeczą temu wyniki ankiety, dotyczące planów awaryjnych oraz działania audytu wewnętrznego i zewnętrznego.

Pytania dotyczące audytu i planów awaryjnych pokazały, że 83 procent banków (w grupie 15 największych 9 banków) nie zleca audytorowi badania zleceniobiorcy albo nawet nie wie, czy zleceniobiorca poddaje się takiemu badaniu. W nadesłanych odpowiedziach powtarza się wyjaśnienie, że fakt wybrania firmy renomowanej daje bankowi poczucie bezpieczeństwa. Częściej już obejmuje zleceniobiorcę swym badaniem audytor wewnętrzny banku. Zlecane czynności i sam usługodawca nie są przedmiotem zainteresowania komórek audytu wewnętrznego w 28 procentach banków.

Za bardzo ryzykowne należy uznać podejście banków do planów awaryjnych dotyczących zlecanych czynności. W 57 procentach banków (w 70 procentach banków krajowych, w grupie pięciu największych - w 40 procentach, w grupie piętnastu największych - w 50 procentach) plany awaryjne nie obejmują zlecanych czynności. Banki nie interesują się też planami awaryjnymi usługodawców - 72 procent banków twierdzi, że nie wiedzą, czy firmy, z którymi podpisują umowy mają plany awaryjne albo - wręcz - czy plany takie istnieją.

W bankach, których podmiotami dominującymi są banki zagraniczne, sytuacja niewiele różni się od średniej dla całego sektora. Dzieje się tak, choć należałoby oczekiwać, że w tych wypadkach przestrzegane będą zasady obowiązujące w krajach, z których pochodzą banki macierzyste.

Obraz, jaki wyłania się z przeprowadzonej ankiety, budzi poważne zaniepokojenie nadzoru bankowego. Dotyczy to zwłaszcza przestrzegania przez banki tajemnicy bankowej oraz niewłaściwego zarządzania ryzykiem związanym ze zlecaniem czynności uznanych przez same banki za krytyczne lub istotne.

Chciałbym w związku z tym zwrócić uwagę, że 7.01.2002 r., po wejściu w życie przepisów dotyczących nadzoru skonsolidowanego, Komisja Nadzoru Bankowego uzyskała nowe uprawnienia, które mają zastosowanie także w wypadku outsourcingu. Banki zlecają bowiem wykonywanie pewnych czynności albo podmiotom zależnym od siebie lub działającym w tym samym holdingu, albo też podmiotom, które można uznać za blisko powiązane z nimi w rozumieniu art. 4 pkt 15 znowelizowanego prawa bankowego. Zgodnie z brzmieniem tego przepisu, bliskie powiązania to posiadanie przez podmiot bezpośrednio lub pośrednio ponad 10 procent kapitału innego podmiotu lub prawa do wykonywania co najmniej 10 procent głosów w organach innego podmiotu, lub pozostawanie z innym podmiotem w takim związku gospodarczym, opartym na stałej współpracy, w szczególności wynikającej z zawartej umowy lub umów, który w ocenie Komisji Nadzoru Bankowego może mieć istotny wpływ na pogorszenie się sytuacji finansowej jednego z podmiotów. Podmioty zależne od banku lub działające z bankiem w tym samym holdingu oraz blisko z nim powiązane podlegają natomiast, zgodnie z prawem bankowym, nadzorowi skonsolidowanemu.

Efektywne sprawowanie nadzoru nad outsourcingiem w przypadku, gdy stroną umowy z bankiem jest podmiot posiadający z nim bliskie powiązania umożliwi również art. 136 ust. 3 znowelizowanego prawa bankowego. Nakłada on bowiem na biegłego rewidenta badającego sprawozdania finansowe podmiotów mających bliskie powiązania z bankiem obowiązek niezwłocznego powiadomienia Komisji Nadzoru Bankowego o ujawnionych faktach wskazujących na:

* popełnienie przestępstwa,

* naruszenie przepisów regulujących działalność banku,

* naruszenie zasad dobrej praktyki bankowej lub inne zagrożenie interesów klientów banku,

* istnienie przesłanek do wyrażenia opinii negatywnej na temat sprawozdania finansowego banku lub odmowy wyrażenia tej opinii.

Szczególnie istotna dla Komisji Nadzoru Bankowego jest możliwość zakwalifikowania danego podmiotu do kategorii blisko powiązanych z bankiem poprzez pozostawanie z nim w stałym związku gospodarczym, wynikającym w szczególności z zawartych umów. Sytuacja taka może bowiem mieć miejsce w razie zlecania przez bank pewnych istotnych czynności osobom trzecim. W takim wypadku Komisja Nadzoru Bankowego może wykorzystać wybrane elementy nadzoru skonsolidowanego, między innymi:

* obowiązek przekazywania przez banki, na podstawie art. 141g ust. 1 prawa bankowego, do Komisji Nadzoru Bankowego skonsolidowanego sprawozdania finansowego oraz sprawozdań finansowych wszystkich podmiotów zależnych lub z którymi bank posiada bliskie powiązania,

* możliwość dokonywania przez inspektorów nadzoru bankowego, na podstawie art. 141h ust. 1 prawa bankowego, czynności kontrolnych na miejscu w podmiotach nie będących bankami, w stosunku do których podmiotem dominującym jest bank, podmiotach, które posiadają bliskie powiązania z tym bankiem oraz w podmiotach wchodzących w skład holdingów,

* możliwość żądania od banku lub od podmiotu dominującego w holdingu, na podstawie art. 141h ust. 4 prawa bankowego, zlecenia niezależnemu biegłemu rewidentowi zbadania sytuacji finansowej podmiotów zależnych lub podmiotów posiadających bliskie powiązania z tym bankiem w przypadku, gdy w ocenie Komisji Nadzoru Bankowego istnieją wątpliwości co do rzetelności zatwierdzonych sprawozdań lub gdy konieczne jest zbadanie związku gospodarczego z innym podmiotem,

* nałożony, na podstawie art. 141i prawa bankowego, na podmiot dominujący w stosunku do banku działającego w holdingu finansowym lub w holdingu o działalności mieszanej obowiązek zapewnienia właściwego funkcjonowania wewnętrznej kontroli danych i informacji wymaganych w związku ze sprawowaniem nadzoru skonsolidowanego, a także udzielenia, na żądanie Komisji Nadzoru Bankowego lub osób upoważnionych przez Komisję, wszelkich informacji i wyjaśnień dotyczących działalności holdingu oraz wchodzących w jego skład podmiotów,

* możliwość ingerowania przez Komisję Nadzoru Bankowego, na podstawie art. 138 ust. 7 prawa bankowego, w umowy zawarte przez bank krajowy z podmiotami od niego zależnymi lub z którymi posiada bliskie powiązania oraz umowy zawarte przez bank krajowy z podmiotami działającymi w tym samym holdingu finansowym lub holdingu o działalności mieszanej.

Z przeprowadzonej ankiety wynika, że zleceniobiorcami usług świadczonych w ramach outsourcingu są przedsiębiorcy działający w różnych formach prawnych, to znaczy osoby fizyczne prowadzące działalność gospodarczą, spółki prawa handlowego, w niektórych wypadkach banki. W większości podmioty te nie są zależne od banków - zleceniodawców i świadczą usługi na rzecz różnych instytucji zarówno finansowych, jak i niefinansowych. W wybranych sytuacjach istotnie wpływających na współpracujące z nimi banki można je uznać za podmioty blisko powiązane z bankiem w rozumieniu art. 4 pkt 15 prawa bankowego, co pozwala na sprawowanie nad nimi nadzoru skonsolidowanego.

Outsourcing, niezależnie od powszechnie przytaczanych korzyści, zwiększa ryzyko związane z działalnością banków. Tym większą staranność muszą przykładać zarządy do bezpieczeństwa kierowanych przez siebie banków. Należy pamiętać, że niezależnie od oferowanych bankom rozwiązań technicznych, organizacyjnych lub prawnych nie można zlecić usługobiorcy wzięcia na siebie odpowiedzialności za bezpieczeństwo zgromadzonych środków oraz za prowadzenie działalności zgodnie z obowiązującym prawem.