Stanowisko UKNF dotyczące niektórych aspektów stosowania outsourcingu przez zakłady ubezpieczeń i zakłady reasekuracji
Pismo z dnia 25 marca 2024 r. Urząd Komisji Nadzoru Finansowego Stanowisko UKNF dotyczące niektórych aspektów stosowania outsourcingu przez zakłady ubezpieczeń i zakłady reasekuracji
Urząd Komisji Nadzoru Finansowego ("UKNF") przeprowadził przegląd zasad outsourcingu wdrożonych przez zakłady ubezpieczeń i zakłady reasekuracji ("zakłady").
Badaniu podlegała klasyfikacja przez zakłady funkcji należących do systemu zarządzania oraz podstawowych lub ważnych czynności. W wyniku przeglądu, a także na podstawie analizy zawiadomień przekazywanych przez zakłady 1 , UKNF zidentyfikował niejednolitą praktykę stosowaną przez zakłady, która może mieć istotny wpływ na przestrzeganie ustawy.
Wybór dostawcy usług outsourcingu - w odniesieniu do funkcji należących do systemu zarządzania oraz podstawowych lub ważnych czynności - powinien uwzględniać warunki organizacji outsourcingu 2 . Proces ten powinien brać pod uwagę także Wytyczne EIOPA, dotyczące systemu zarządzania, ("Wytyczne EIOPA") oraz sprawozdanie końcowe z konsultacji publicznych w sprawie Wytycznych nr 14.017 3 , ("Sprawozdanie EIOPA z konsultacji publicznych") - w zakresie dotyczącym zasad klasyfikowania funkcji należących do systemu zarządzania oraz podstawowych lub ważnych czynności. Oznacza to, że w toku klasyfikacji funkcji oraz czynności jako podstawowych lub ważnych, zakłady nie powinny ograniczać się tylko - odpowiednio - do funkcji zarządzania ryzykiem, zgodności z przepisami, audytu wewnętrznego i funkcji aktuarialnej oraz katalogu czynności ubezpieczeniowych lub reasekuracyjnych. Przedmiotem przeglądu w tym zakresie - a w konsekwencji również decyzji zakładu o uznaniu danej funkcji lub czynności za podstawową lub ważną - powinny być wszystkie procesy, usługi lub działania, które są lub mogą być przedmiotem outsourcingu zdefiniowanego w art. 3 ust. 1 pkt 27 ustawy.
Właściwa klasyfikacja funkcji należących do systemu zarządzania oraz czynności jako podstawowych lub ważnych - w ramach wszystkich procesów, usług lub działań, które są przedmiotem outsourcingu - ma zasadnicze znaczenie dla zapewnienia prawidłowego stosowania regulacji prawnych. W przypadku outsourcingu czynności ubezpieczeniowych lub reasekuracyjnych oraz funkcji należących do systemu zarządzania, zakład powinien uwzględnić wymogi, o których mowa w art. 74 ustawy. Natomiast w przypadku outsourcingu funkcji należących do systemu zarządzania oraz czynności uznanych za podstawowe lub ważne zakłady zobowiązane są zawiadomić organ nadzoru (art. 75 ust. 2 ustawy) oraz wdrożyć wymogi określone w art. 75 ust. 1 ustawy. Ponadto wskazane powyżej funkcje i czynności podlegają wymogom z art. 274 ust. 2-5 Rozporządzenia 2015/35.
Aby zapewnić spójną interpretację wspomnianych przepisów i prawidłowo je stosować, UKNF opracował stanowisko w zakresie outsourcingu. Uwzględnia w nim szczególnie kryteria, które należy stosować w toku uznawania funkcji lub czynności zlecanej w ramach outsourcingu za podstawową lub ważną.
Kryteria oceny funkcji należących do systemu zarządzania lub czynności uznawanych za podstawowe lub ważne dla zakładu
Przy ustalaniu, które z funkcji lub czynności należy uznać za podstawowe lub ważne, zakład powinien przeprowadzić ocenę tego, czy bez zapewnienia sprawnej realizacji tej funkcji lub czynności, byłby w stanie świadczyć usługi na rzecz ubezpieczających, ubezpieczonych lub uprawnionych z umów ubezpieczenia oraz cedentów. Przeprowadzając tę ocenę, zakład powinien także uwzględnić wpływ outsourcingu funkcji lub czynności na zachowanie stabilnego systemu zarządzania, utrzymanie prawidłowej kondycji finansowej oraz zgodność działalności z przepisami prawa.
Zgodnie z zasadą proporcjonalności, ocena wpływu powinna brać pod uwagę:
jakiego rodzaju czynności lub funkcji dotyczy outsourcing;
czy warunki i potencjalne zakłócenia w wykonywaniu outsourcingu nie wpływają na zdolność zakładu do spełniania wymogów wynikających z posiadania zezwolenia na prowadzenie działalności ubezpieczeniowej lub działalności reasekuracyjnej;
czy warunki i potencjalne zakłócenia w wykonywaniu outsourcingu nie wpływają na zdolność zakładu do spełniania innych wymogów regulacyjnych w związku z prowadzoną działalnością (np. przepisy dotyczące ochrony danych osobowych, rynku kapitałowego czy przepisy prawa ochrony konkurencji i konsumentów);
czy potencjalne zakłócenia w wykonywaniu outsourcingu nie wpływają na stabilność lub ciągłość i jakość działania zakładu, w tym w zakresie usług świadczonych na rzecz ubezpieczających, ubezpieczonych lub uprawnionych z umów ubezpieczenia oraz cedentów;
jaki jest wpływ finansowy outsourcingu na zakład, w tym koszt wynagrodzenia dostawcy i ewentualny koszt (dla zakładów lub dla ubezpieczających, ubezpieczonych lub uprawnionych z umów ubezpieczenia oraz cedentów) wynikający z niewywiązania się przez dostawcę z umowy;
jaki jest skumulowany wpływ na zakład outsourcingu kilku funkcji lub czynności, w przypadku wykonywania ich przez dostawców usług powiązanych ze sobą kapitałowo i organizacyjnie.
Ocena ryzyka dostawcy
Przy identyfikacji funkcji należących do systemu zarządzania lub czynności jako podstawowych lub ważnych, zakład powinien wziąć pod uwagę potencjalne skutki materializacji ryzyka niewykonania lub nienależytego wykonania przez dostawcę zleconych funkcji lub czynności (ryzyko dostawcy). Powinien ocenić wpływ ryzyka dostawcy na działalność ubezpieczeniową i reasekuracyjną oraz na zapewnienie ciągłości swojego działania.
Jako istotne powinno być brane pod uwagę ryzyko związane z koncentracją tych funkcji lub czynności wykonywanych w drodze outsourcingu przez jednego dostawcę, którego charakteryzuje dominująca pozycja rynkowa i którego zastąpienie w krótkim czasie może być znacząco utrudnione. W przypadku problemów z realizacją outsourcingu, zmiana dostawcy może być trudna w odpowiednio krótkich ramach czasowych. Inne istotne ryzyka dostawcy mogą, w specyficznych sytuacjach, wynikać z zawarcia wielu umów outsourcingu z podmiotami powiązanymi ze sobą kapitałowo i organizacyjnie.
Oceniając ryzyko dostawcy, zakład powinien identyfikować i brać pod uwagę także ryzyko konfliktu interesów, w przypadku zawartych przez niego umów outsourcingu. W związku z tym, w odpowiednich politykach (zasadach) outsourcingu zakład powinien określić:
źródła potencjalnych konfliktów interesów dla zakładu, w tym wskazanie funkcji należących do systemu zarządzania lub czynności, których zlecenie określonemu dostawcy może generować ryzyko konfliktu interesów dla zakładu, np. w związku z równoczesnym świadczeniem innych usług dla zakładu przez tego dostawcę;
mechanizmy kontrolne służące zapobieganiu konfliktom interesów i minimalizowaniu ryzyka ich występowania, np. odpowiedni podział obowiązków, ustanowienie barier informacyjnych;
zasady monitorowania konfliktów interesów oraz raportowania o nich.
Bezstronność lub niezależność w wykonywaniu outsourcingu może być bowiem zagrożona, gdy zakład i dostawca usług, któremu zlecono wykonywanie funkcji należących do systemu zarządzania lub czynności uznanych za podstawowe lub ważne, są powiązani kapitałowo, osobowo lub łączą ich inne stosunki umowne. Typowym przykładem konfliktu interesów, wynikającym z takich powiązań jest:
powierzenie temu samemu dostawcy, jednocześnie, czynności operacyjnych oraz funkcji kontrolnych;
powierzenie tej samej osobie zadań, w ramach zleconej w drodze outsourcingu funkcji lub czynności, zarówno w zakładzie, jak i po stronie dostawcy.
Zakład powinien zapewnić przyjęcie przez dostawcę wszelkich środków, zapewniających, aby zaspokojeniu potrzeb zakładu nie zagrażał żaden faktyczny lub potencjalny konflikt interesów, wynikający z powiązań kapitałowych, osobowych lub charakteru relacji gospodarczych, łączących zakład i dostawcę.
Outsourcing funkcji należących do systemu zarządzania
UKNF jest zdania, że wszystkie funkcje należące do systemu zarządzania, będące innymi funkcjami kluczowymi, tj. funkcja:
aktuarialna,
zarządzania ryzykiem,
zgodności z przepisami,
audytu wewnętrznego, mają podstawowe znaczenie dla działalności ubezpieczeniowej i reasekuracyjnej.
Analogiczne podejście prezentowane jest w Wytycznych EIOPA (pkt 1.4). Zgodnie z nimi, co najmniej wymienione funkcje uwzględnione w systemie zarządzania uważane są za kluczowe i tym samym są ważne lub podstawowe dla działalności zakładów.
Ponadto, w ocenie UKNF, o ile zakład uznał dodatkową funkcję (np. finansową/rachunkową, prawną lub inną) jako funkcję kluczową, powinna ona zostać uznana za ważną lub podstawową i podlegać tym samym zasadom, jak wskazane cztery funkcje kluczowe należące do systemu zarządzania.
W ślad za Wytycznymi EIOPA oraz Sprawozdaniem EIOPA z konsultacji publicznych (pkt 2.288), jednorazowe doradztwo w zakresie funkcji zgodności z przepisami, audytu wewnętrznego, zarządzania ryzykiem lub funkcji aktuarialnej, z reguły nie będzie outsourcingiem funkcji. Jeżeli natomiast zakład zleca stale lub okresowo wykonywanie przez dostawcę określonych zadań danej funkcji (np. w przypadku funkcji zgodności z przepisami zleca regularną i bieżącą ocenę możliwego wpływu wszelkich zmian stanu prawnego na operacje zakładu), wówczas powinien rozważyć zasadność klasyfikacji tego jako outsourcing funkcji należącej do systemu zarządzania, w tym jej części. Każdorazowo, za taki outsourcing, powinno być bowiem uznane dostarczanie regularnego (stałego) wsparcia w realizacji zadań przypisanych wszystkim funkcjom należącym do systemu zarządzania.
Wybrane przykłady outsourcingu
Uwzględniając opisane kryteria - dotyczące obowiązku zapewnienia należytego świadczenia usług na rzecz ubezpieczających, ubezpieczonych lub uprawnionych z umów ubezpieczenia oraz cedentów, a także zachowania stabilnego systemu zarządzania, utrzymania prawidłowej kondycji finansowej oraz zgodności działalności z przepisami prawa - zakład ustalając, które z czynności należy uznać za podstawowe lub ważne, powinien brać pod uwagę, między innymi czynności wymienione poniżej:
ocenę ryzyka w umowach ubezpieczenia i umowach gwarancji ubezpieczeniowych;
ustalanie przyczyn i okoliczności zdarzeń losowych;
ustalanie wysokości szkód oraz rozmiaru odszkodowań i innych świadczeń należnych uprawnionym z umów ubezpieczenia lub umów gwarancji;
składanie oświadczeń woli w sprawach roszczeń o odszkodowania lub inne świadczenia należne z tytułu umów ubezpieczenia lub umów gwarancji ubezpieczeniowych;
wypłacanie odszkodowań i innych świadczeń należnych z tytułu umów ubezpieczenia lub umów gwarancji ubezpieczeniowych;
ustalanie wartości przedmiotu ubezpieczenia;
tworzenie produktów;
prowadzenie postępowań regresowych oraz windykacyjnych związanych z wykonywaniem umów ubezpieczenia i umów gwarancji ubezpieczeniowych;
lokowanie środków zakładu;
składanie oświadczeń woli w sprawach roszczeń o odszkodowania lub inne świadczenia należne z tytułu umów reasekuracji czynnej i umów retrocesji;
prowadzenie postępowań regresowych oraz windykacyjnych związanych z wykonywaniem umów reasekuracji w zakresie cedowania ryzyka z umów ubezpieczenia i umów gwarancji ubezpieczeniowych;
przechowywanie i archiwizację danych prawnie chronionych;
zapewnianie ciągłego utrzymania i wsparcia systemów informatycznych.
Uwzględniając opisane kryteria, przykładami czynności, które - co do zasady - nie muszą być brane pod uwagę przez zakłady przy uznawaniu ich za czynności podstawowe lub ważne, są:
zapewnianie bezpieczeństwa budynków i personelu;
rekrutowanie pracowników, usługi kadrowo-płacowe, szkolenia personelu;
usługi doradcze, które nie są częścią działalności zakładu, np. usługi prawne, szkolenia;
usługi marketingowe, badania rynkowe;
usługi kurierskie, pocztowe, transportowe;
administracja budynków i czynności obsługowe;
usługi wykonywane w ramach umów, których zawarcie wymagane jest z mocy prawa, np. badanie ustawowe - badanie sprawozdania finansowego;
usługi wykonywane w ramach umów na dostarczanie informacji rynkowych, np. Bloomberg, Standard&Poor, Fitch.
Monitoring charakteru funkcji lub czynności zleconej w ramach outsourcingu
Outsourcing funkcji należących do systemu zarządzania lub czynności uznanych za podstawowe lub ważne powinien być realizowany w sposób zapewniający odpowiednią stabilność finansową i operacyjną zakładu, jak również niezależność i obiektywizm realizowanych procesów. Tym samym, pod szczególnym nadzorem zakładu powinien znajdować się sposób wykonywania przez dostawców umów outsourcingu tego typu funkcji i czynności.
Zakłady powinny przeprowadzać okresową weryfikację wszystkich funkcji lub czynności realizowanych w ramach outsourcingu, aby ustalić, czy nie występują czynniki powodujące konieczność uznania tych funkcji należących do systemu zarządzania lub czynności za podstawowe lub ważne. Należy bowiem wziąć pod uwagę możliwość zmian okoliczności zewnętrznych, zmian w organizacji lub profilu działalności zakładu, które spowodują konieczność modyfikacji dotychczasowej klasyfikacji danej funkcji lub czynności.
Organ nadzoru oczekuje, że zakłady przeprowadzą przegląd polityk (zasad) outsourcingu, ewentualnie je zmodyfikują oraz dokonają przeglądu zawartych umów outsourcingu i ewentualnie wprowadzą niezbędne modyfikacje, tak, aby uwzględnić to stanowisko. Biorąc pod uwagę kryteria wskazane w pierwszej części stanowiska, zakład powinien zweryfikować, w odniesieniu do outsourcingu których funkcji lub czynności wymagane jest przekazanie zawiadomienia do organu nadzoru w trybie art. 75 ust. 2 ustawy i powinien dopełnić tego obowiązku.
Jednocześnie, UKNF zwraca uwagę na Rozporządzenie DORA 4 . Jednym z obszarów uregulowanych w jego ramach są środki w zakresie należytego zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT. Wymogi te znajdują się w rozdziale V Rozporządzenia DORA. Istotne znaczenie dla doprecyzowania obowiązków wynikających z tego rozporządzenia w obszarze outsourcingu będą miały także opracowywane obecnie akty wykonawcze - w szczególności regulacyjne standardy techniczne dotyczące wzoru rejestru informacji w odniesieniu do wszystkich ustaleń umownych dotyczących korzystania z usług ICT, świadczonych przez zewnętrznych dostawców tych usług, czy też dotyczące szczegółowej treści polityki korzystania z usług ICT wspierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców takich usług. UKNF sygnalizuje zatem konieczność uwzględnienia przez zakłady powyższych przepisów w obszarze outsourcingu.
Organ nadzoru oczekuje, że zakłady dostosują działalność do stanowiska:
do 31 grudnia 2024 r. - w odniesieniu do przeglądu i modyfikacji polityk (zasad) outsourcingu oraz uwzględnienia stanowiska w nowo zawieranych umowach outsourcingu,
do 31 marca 2025 r. - w odniesieniu do pozostałych umów outsourcingu.
na podstawie art. 75 ust. 2 ustawy z dnia 11 września 2015 r. o działalności ubezpieczeniowej i reasekuracyjnej (Dz. U. z 2023 roku, poz. 656, ze zm.; "ustawa")
zawarte w art. 274 ust. 2-5 rozporządzenia delegowanego Komisji (UE) 2015/35 z dnia 10 października 2014 r. uzupełniającego dyrektywę Parlamentu Europejskiego i Rady 2009/138/WE w sprawie podejmowania i prowadzenia działalności ubezpieczeniowej i reasekuracyjnej (Wypłacalność II) (Dz. U. UE. L. z 2015 r. Nr 12, str. 1 z późn. zm., "Rozporządzenie 2015/35") oraz w art. 74 i 75 ust. 1 ustawy
Sprawozdanie końcowe z konsultacji publicznych w sprawie Wytycznych nr 14.017 (EIOPA-BoS-14/253)
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające Rozporządzenia (WE) nr 1060/2099, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 z dnia 4 grudnia 2022 r. (Dz. Urz. UE.L Nr 333, str. 1, "Rozporządzenie DORA")