Stanowisko UKNF dotyczące wybranych zagadnień związanych z wejściem w życie Wytycznych EBA w sprawie outsourcingu i ich uwzględnianiem w działalności banków

16 września 2019 r.

Stanowisko UKNF dotyczące wybranych zagadnień związanych z wejściem w życie Wytycznych EBA w sprawie outsourcingu i ich uwzględnianiem w działalności banków

W związku z sygnalizowanymi przez sektor bankowy wątpliwościami dotyczącymi stosowania wchodzących w życie z dniem 30 września 2019 r. Wytycznych EBA w sprawie outsourcingu¹ (dalej: Wytyczne EBA), w kontekście dopuszczalnego zakresu powierzania wykonywania czynności w działalności bankowej w rozumieniu ustawy z dnia 29 sierpnia 1997 r. - Prawo bankowe² (dalej: Prawo bankowe), Urząd Komisji Nadzoru Finansowego (dalej: UKNF) przedstawia niniejsze stanowisko.

Bezpośrednimi adresatami stanowiska są banki, o których mowa w art. 12 Prawa bankowego. Instytucje płatnicze w rozumieniu ustawy z dnia 19 sierpnia 2011 r. o usługach płatniczych³ nie są bezpośrednimi adresatami niniejszego stanowiska, jednakże mając na uwadze objęcie ich zakresem Wytycznych EBA w sprawie outsourcingu, pożądane jest aby uwzględniły one niniejsze wskazania w zakresie, w którym mogą one ich dotyczyć.

Stanowisko posługuje się systematyką zgodną z Wytycznymi EBA, zgodnie z którą outsourcing oznacza umowę w dowolnej formie zawartą między instytucją, instytucją płatniczą lub instytucją pieniądza elektronicznego a usługodawcą, na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez samą instytucję, instytucję płatniczą lub instytucję pieniądza elektronicznego.

Zgodnie z ust. 28 Wytycznych EBA, co do zasady instytucje i instytucje płatnicze nie powinny traktować jako outsourcingu:

¹ EBA/GL/2019/02

² Dz. U. z 2018 r. poz. 2187 z późn. zm.

³ Dz. U. z 2019 r. poz. 659 z późn. zm.

Komisja Nadzoru Finansowego (dalej: KNF, organ nadzoru) zadeklarowała osiągnięcie do 28 grudnia 2020 r. zgodności z Wytycznymi EBA z wyłączeniami (w odniesieniu do części poświęconej outsourcingowi w chmurze stosowane będzie podejście krajowe), zatem będzie dokładała należytych starań, aby Wytyczne EBA były wdrożone i przestrzegane przez nadzorowane banki.

Oczekiwaniem organu nadzoru jest aby banki dostosowały się do Wytycznych EBA w terminie do 30 czerwca 2020 r. Termin ten został określony z uwzględnieniem konieczności dostosowania się banków do licznych wymogów zawartych w Wytycznych EBA.

Celem niniejszego stanowiska jest zaprezentowanie podejścia, jakie powinno być przyjmowane przez banki w odniesieniu do outsourcingu w rozumieniu Wytycznych EBA w kontekście interakcji z przepisami krajowymi, dlatego też koncentruje się ono na wybranych aspektach outsourcingu i kwestiach, których opisanie uznano za konieczne. Poruszane w tekście zagadnienia są omówione ze zróżnicowaną szczegółowością, wynikającą z doświadczeń praktyki nadzorczej.

Stanowisko nie odnosi się do kwestii outsourcingu w bankach hipotecznych i zasad dotyczących zatrudnienia, które są przedmiotem odrębnych prac w UKNF.

Stanowisko zostało wypracowane z wykorzystaniem dotychczasowych doświadczeń i działań nadzorczych podejmowanych przez organ nadzoru.

I. Ramy prawne outsourcingu a stosowanie Wytycznych EBA.............................................. 4

II. Stosowanie postanowień Wytycznych EBA w okresie przejściowym................................ 5

III. Umowy o współpracy i umowy outsourcingowe............................................................... 5

IV. Kwestie wyłączone z outsourcingu.................................................................................... 6

V. Model biznesowy a outsourcing........................................................................................ 9

VI. Ochrona tajemnicy bankowej i minimalizacja ryzyka nieuprawnionego dostępu do danych...................................................................................................................................... 11

VII. Ogólne zasady powierzania czynności pomiędzy bankami............................................. 11

VIII. Outsourcing procesów kredytowych, nabywanie wierzytelności................................... 11

IX. Outsourcing procesów związanych z emisjami instrumentów dłużnych......................... 12

X. Zarządzanie modelami oraz zarządzanie ryzykiem modeli............................................. 12

XI. Outsourcing procesów finansowo-księgowych................................................................ 13

XII. Outsourcing pozostałych procesów................................................................................. 14

XIII. Zasada proporcjonalności................................................................................................ 16

I. Ramy prawne outsourcingu a stosowanie Wytycznych EBA

1. Ramy prawne outsourcingu dopuszczalnego w działalności bankowej przyjęte na potrzeby niniejszego stanowiska są zawarte w pierwszej kolejności w Prawie bankowym oraz subsydiarnie w Wytycznych EBA. Prawo bankowe nie zawiera definicji pojęcia outsourcingu, jednakże należy przyjąć, że pojęcie outsourcingu w rozumieniu Wytycznych EBA obejmuje powierzenie przedsiębiorcy wykonywania w imieniu banku pośrednictwa w zakresie czynności, o których mowa w art. 5 oraz 6 Prawa bankowego, szczegółowo opisanych w art. 6a ust. 1 pkt 1 - 2).

2. Prawo bankowe w art. 6a ust. 1 pkt 2 stanowi, że bank może, w drodze umowy zawartej na piśmie, powierzyć przedsiębiorcy wykonywanie czynności faktycznych związanych z działalnością bankową. Muszą być one bezpośrednio związane z działalnością bankową, tzn. stanowić czynności cząstkowe (składowe) czynności wymienionych w art. 5 i 6⁴ Prawa bankowego lub tych, bez których podjęcia nie byłoby możliwe należyte wykonanie określonej umowy. Powierzenie wykonywania tych czynności w ramach outsourcingu jest dopuszczalne i nie wymaga uzyskania zezwolenia KNF.

3. Z uwagi na definicję "outsourcingu" zawartą w Wytycznych EBA, zgodnie z którą outsourcing oznacza umowę w dowolnej formie zawartą między instytucją, instytucją płatniczą lub instytucją pieniądza elektronicznego a usługodawcą, na mocy której usługodawca realizuje proces, usługę lub zadanie, które w przeciwnym razie byłoby realizowane przez samą instytucję, instytucję płatniczą lub instytucję pieniądza elektronicznego, należy przyjąć iż "outsourcing" jest pojęciem szerszym niż powierzenie wykonywania czynności w rozumieniu Prawa bankowego. Mając to na uwadze, ilekroć w niniejszym stanowisku jest mowa o "powierzaniu wykonywania czynności" należy uznać, że chodzi tu o powierzenie wykonywania czynności w reżimie art. 6a i następnych Prawa bankowego. Natomiast ilekroć używane jest pojęcie "outsourcingu", należy przyjąć, że mowa jest o tej kategorii w rozumieniu Wytycznych EBA, zatem, obejmującej także powierzanie wykonywania czynności. Pojęcie "powierzenia wykonywania czynności", o którym mowa w art. 6a Prawa bankowego mieści się w pojęciu powierzenia "funkcji" z Wytycznych EBA.

4. Zgodność z Wytycznymi EBA należy rozumieć, jako stosowanie standardów, które nie są łagodniejsze od zaleceń w nich zawartych. Krajowe przepisy ściśle regulują funkcjonowanie banku jedynie w odniesieniu do części obszaru outsourcingu (Prawo bankowe), dlatego też należy zwrócić uwagę na interakcję pomiędzy przepisami

⁴ Do katalogu czynności składowych należą np. przy procesach związanych z wydawaniem i wykorzystaniem kart płatniczych - autoryzacja transakcji, generowanie, drukowanie i dystrybucja zestawień transakcji oraz personalizacja kart płatniczych, drukowanie, kopertowanie i wysyłka wyciągów z ustaleniem salda na rachunku bankowym.

krajowymi a Wytycznymi EBA i korzystać z obydwu źródeł uregulowania, z zachowaniem hierarchii przepisów. Co do zasady należy stosować Wytyczne EBA, jako szerzej ujmujące omawiany obszar, jednak w sytuacji, gdy przepisy krajowe, rekomendacje lub stanowiska interpretacyjne skierowane przez organ nadzoru do wszystkich banków zawierają postanowienia bardziej rygorystyczne, rozumiane jako wymagające zwiększonego wysiłku lub ograniczające swobodę działania banku w stosunku do postanowień Wytycznych EBA, należy stosować w danym przypadku przepisy krajowe, rekomendacje lub stanowiska interpretacyjne skierowane przez organ nadzoru do wszystkich banków. Natomiast, gdy przepisy krajowe, dotychczas wydane rekomendacje lub stanowiska interpretacyjne skierowane przez organ nadzoru do wszystkich banków zawierają postanowienia mniej rygorystyczne niż Wytyczne EBA, należy stosować w danym przypadku Wytyczne EBA.

II. Stosowanie postanowień Wytycznych EBA w okresie przejściowym

5. Co do zasady (z zastrzeżeniem ust. 63. lit. b Wytycznych EBA), postanowienia Wytycznych EBA mają zastosowanie do umów outsourcingu zawartych, odnowionych lub zmienionych po 30 września 2019 r. (co w świetle wskazanego we wstępie do niniejszego stanowiska oczekiwania organu nadzoru, należy rozumieć, jako nie później, niż 30 czerwca 2020 r.). Zastosowany w polskiej wersji językowej Wytycznych EBA termin "odnowienie", powinien być rozumiany, jako "zmiana umowy", natomiast nie należy go utożsamiać z instytucją "nowacji" w rozumieniu prawa cywilnego.

6. Zastosowany w Wytycznych EBA termin "rejestr" powinien być rozumiany jako "ewidencja umów", o której mowa w art. 6c ust. 3 Prawa bankowego. Z uwagi na szerszy zakres danych wynikający z Wytycznych EBA, które powinny być zawarte w rejestrze, organ nadzoru rekomenduje prowadzenie przez banki jednego rejestru, gromadzącego dane wynikające zarówno z Prawa bankowego, jak i z Wytycznych EBA.

7. Postanowienia Wytycznych EBA dotyczące dokumentacji związanej z zawartymi umowami, zakładają, że dokumentacja będzie uzupełniana przy zmianie umowy. Przewidują okres przejściowy do 31 grudnia 2021 r., w czasie którego dokumentacja ma zostać uzupełniona, także gdy umowa nie była zmieniana.

III. Umowy o współpracy i umowy outsourcingowe

8. W ramach grupy mogą być zawierane generalne umowy o współpracy podmiotów wchodzących w jej skład. Umowy te powinny zawierać postanowienia wskazujące, które procesy lub czynności uregulowane są umowami outsourcingowymi, w tym umowami o powierzenie wykonywania czynności, zgodnie z przepisami Prawa bankowego.

9. Banki powinny identyfikować, oceniać i monitorować wszelkie ryzyka wynikające z umów z podmiotami zewnętrznymi w zakresie outsourcingu, na które są lub mogą być narażone i powinny zarządzać tymi ryzykami.

10. Zawierając umowy outsourcingowe banki powierzające wykonywanie czynności powinny uwzględnić skutki, w tym natury organizacyjnej i prawnej, wynikające z lokalizacji dostawcy usług.

11. Umowa outsourcingowa powinna zawierać zamknięty katalog procesów, usług i czynności, których wykonywanie będzie przedmiotem powierzenia wraz z jednoznacznym wskazaniem podmiotu decyzyjnego właściwego na wszystkich etapach ich realizacji. W załącznikach do umowy outsourcingowej powinny zostać przedstawione graficzne prezentacje poszczególnych procesów podlegających powierzeniu, wraz ze wskazaniem poszczególnych czynności / kroków w procesie i określeniem podmiotu decyzyjnego.

IV. Kwestie wyłączone z outsourcingu

12. Zgodnie z art. 6a ust. 3 Prawa bankowego, powierzenie wykonywania czynności nie może obejmować:

13. Zgodnie z art. 368 § 1 k.s.h. zarząd prowadzi sprawy spółki i reprezentuje spółkę. Zgodnie z art. 48 Prawa spółdzielczego zarząd kieruje działalnością spółdzielni oraz reprezentuje ją na zewnątrz (§ 1). Podejmowanie decyzji niezastrzeżonych w ustawie lub statucie dla innych organów należy do zarządu (§ 2). Zarządzanie bankiem w rozumieniu art. 6a ust. 3 pkt 1 Prawa bankowego obejmuje prowadzenie spraw (kierowanie) banku oraz jego reprezentację. Prowadzenie spraw (kierowanie) banku polega nie tylko na kierowaniu bieżącą działalnością banku (tj. nadzorowaniu i kontrolowaniu przebiegu działalności), lecz również zarządzaniu w szerokim znaczeniu tego słowa, tj. świadomym podejmowaniu decyzji mających za przedmiot rozstrzyganie spraw istotnych dla 5 Ustawa z dnia 15 września 2000 r. Kodeks spółek handlowych, Dz. U. z 2019 r. poz. 505 z późn. zm. 6 Ustawa z dnia 16 września 1982 r. Prawo spółdzielcze, Dz. U. z 2018 r. poz. 1285 z późn. zm. 7 funkcjonowania banku i dokonywaniu wyboru celów, sposobów i środków działania, przejawiającym się w szczególności w:

14. Bank zawierając, zgodnie z art. 6a ust. 1 Prawa bankowego umowę, na podstawie której powierza dostawcy usługi wykonanie określonych w tym przepisie czynności, obowiązany jest w taki sposób określić w umowie swoje relacje z dostawcą usługi, aby nie doszło do przeniesienia kompetencji ustawowo przypisanych zarządowi banku.

15. Jako szczególny element zarządzania bankiem, przepis art. 6a ust. 3 pkt 1 Prawa bankowego wymienia zarządzanie ryzykiem związanym z prowadzeniem działalności bankowej. Faktyczne zarządzanie ryzykami związanymi z działalnością bankową obejmuje w szczególności:

16. W kontekście pojęcia "zarządzanie bankiem" przedmiotem umowy outsourcingowej nie mogą być czynności związane w szczególności z:

17. Dla dokonania oceny, czy powierzenie wykonywania konkretnej czynności byłoby niedozwolone jako stanowiące powierzenie zarządzania bankiem, istotny jest w szczególności aspekt dotyczący samego podjęcia decyzji, a mianowicie stwierdzenia, po której stronie pozostaje akt podjęcia decyzji w sprawach, które mogą wchodzić w zakres zarządzania bankiem - czy po stronie banku powierzającego, czy też zostaje on przeniesiony na dostawcę usługi, przy czym ten drugi wariant uznać należy za sprzeczny z Prawem bankowym i wyrażonym w nim zakazem powierzania wykonywania czynności zarządzania. Aspekt decyzyjny jak i zakres przedmiotowy nie powinien budzić wątpliwości i powinien wynikać z treści umowy outsourcingowej. Umowa outsourcingowa nie może zawierać postanowień wprowadzających możliwość ograniczenia samodzielności zarządzania podmiotem.

18. Powierzenie wykonywania czynności nie może obejmować wykonywania funkcji audytu wewnętrznego. Należy jednak wskazać, że komórka audytu wewnętrznego banku współpracuje z analogicznymi komórkami podmiotu dominującego i podmiotów zależnych oraz z biegłym rewidentem. Współpraca może przejawiać się zarówno w postaci wymiany wiedzy, doświadczenia czy sformalizowanych procedur i metodyk badania audytowego, jak i we współpracy w ramach przeprowadzania badań audytowych. Zasady oraz warunki tej współpracy określa Rekomendacja H KNF.

19. Wytyczne EBA za dopuszczalne uznają stosowanie podoutsourcingu nie podlegającego ograniczeniom analogicznym do określonych w przepisach krajowych. Podoutsourcing funkcji krytycznych lub istotnych został odpowiednio: wyłączony lub ograniczony przepisami Prawa bankowego oraz ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi⁷. Wytyczne EBA należy stosować w tym obszarze, zgodnie z ogólnymi zasadami opisanymi w pkt 4 niniejszego stanowiska. Stosowanie podoutsourcingu jest możliwe wyłącznie w sposób wynikający z Prawa bankowego oraz ustawy z dnia 29 lipca 2005 r. o obrocie instrumentami finansowymi.

V. Model biznesowy a outsourcing

20. Zasady zarządzania dotyczące outsourcingu muszą być spójne z indywidualnym profilem ryzyka, charakterem i modelem biznesowym banku oraz skalą i złożonością jego działalności i umożliwiać bankowi spełnienie wymogów regulacyjnych. Zasady te powinny być ujęte w polityce banku w zakresie outsourcingu.

21. Banki powierzające wykonywanie czynności na zasadzie outsourcingu podmiotom zewnętrznym powinny:

22. Banki, które nie są dostatecznie przygotowane do sprawowania należytego nadzoru i zarządzania ryzykiem związanym z outsourcingiem (w szczególności w zakresie opisanym w pkt 21 niniejszego stanowiska), nie powinny podejmować decyzji o powierzaniu wykonywania takich czynności innym podmiotom.

23. Banki oceniają potencjalny wpływ umów outsourcingu (w tym zwłaszcza w przypadku dużej skali outsourcingu) na ich ryzyko operacyjne, uwzględniają wyniki tej oceny na potrzeby podjęcia decyzji o powierzeniu danego procesu lub czynności na zasadzie outsourcingu.

⁷ Dz. U. z 2018 r. poz. 2286, z późn. zm. 10

24. Banki identyfikują i oceniają konflikty interesów dotyczące zawartych przez nie umów outsourcingu i zarządzają nimi. Jeżeli w związku z outsourcingiem wystąpi konflikt interesów, w tym konflikt pomiędzy podmiotami w ramach tej samej grupy, podejmowane są odpowiednie środki na rzecz rozwiązania takich konfliktów.

25. Jeżeli czynności powierzone wykonuje podmiot należący do grupy, warunki, w tym finansowe, dotyczące usługi będącej przedmiotem outsourcingu są ustalane na zasadach rynkowych.

26. Wewnętrzne zasady, procesy i mechanizmy zarządzania wynikające z outsourcingu obowiązujące w grupie powinny być opracowywane i wprowadzane z zachowaniem zgodności z przepisami krajowymi. Outsourcing funkcji krytycznych lub istotnych w rozumieniu Wytycznych EBA

27. Wytyczne EBA odnoszą się między innymi do outsourcingu funkcji krytycznych lub istotnych (określonych w ust. 12 Wytycznych EBA). Z uwagi na treść przepisów Prawa bankowego, outsourcing funkcji krytycznych lub istotnych nie jest dopuszczalny w takim zakresie, w jakim miałby obejmować czynności związane z zarządzaniem bankiem.

28. Wytyczne EBA przewidują konieczność powiadamiania organu nadzoru lub nawiązywania z nim dialogu w zakresie planowanego outsourcingu funkcji krytycznych lub istotnych albo, gdy funkcja podlegająca outsourcingowi, nabywa takiego charakteru. W tym zakresie należy wykorzystywać formy komunikacji przewidziane dla kontaktów banków z organem nadzoru.

Odpowiedzialność zarządu za nadzorowanie realizacji procesu outsourcingu

29. W sytuacji, gdy bank powierzający zawarł umowy outsourcingowe z dostawcami usług, jego zarząd ponosi pełną odpowiedzialność za ich zgodność ze wszelkimi wymogami regulacyjnymi.

30. Zarząd banku powierzającego jest w pełni odpowiedzialny za nadzorowanie realizacji umów outsourcingowych.

VI. Ochrona tajemnicy bankowej i minimalizacja ryzyka nieuprawnionego dostępu do danych

31. Umowa, w ramach której zostaje powierzone wykonywanie czynności, powinna zawierać zobowiązanie, że dostawca usług zapewni ochronę informacji poufnych, osobowych lub innych informacji szczególnie chronionych i spełnia wszystkie wymogi prawne dotyczące ochrony danych, które mają zastosowanie do banków (np. ochrona danych osobowych, oraz w stosownych przypadkach przestrzeganie obowiązku zachowania tajemnicy bankowej lub podobnych obowiązków w zakresie poufności w odniesieniu do informacji klientów).

VII. Ogólne zasady powierzania czynności pomiędzy bankami

32. W sytuacji, gdy powierzanie czynności ma miejsce pomiędzy bankami, każda ze stron umowy - bank powierzający wykonywanie czynności i bank pełniący funkcję dostawcy usługi - zarządzają ryzykiem związanym z prowadzoną działalnością w sposób niezależny. Zarząd i rada nadzorcza każdego z banków ponoszą pełną odpowiedzialność za zarządzanie i nadzór nad procesem zarządzania ryzykiem związanym z prowadzeniem działalności bankowej w jednostkach im podległych, w szczególności to bank powierzający wykonywanie czynności zarządza ryzykiem związanym z procesem kredytowym.

33. Bank powierzający wykonywanie czynności powinien posiadać dostateczne zasoby i zdolność do sprawowania kontroli nad czynnościami powierzonymi i zapewnienia ich zgodności z obowiązującymi przepisami prawa, standardami nadzorczymi i zobowiązaniami wynikającymi z umowy outsourcingu.

34. Wszelkie decyzje mające wpływ na działalność i sytuację ekonomiczno-finansową banku powierzającego czynności, powinny być podejmowane przez ten bank.

VIII. Outsourcing procesów kredytowych, nabywanie wierzytelności

35. W przypadku udzielania kredytów, czynności w zakresie wstępnej analizy zdolności kredytowej oraz wstępna ocena ryzyka mogą być przeprowadzane poza bankiem powierzającym wykonywanie czynności, o ile w procesie kredytowym nie jest przewidziane podejmowanie na tym etapie decyzji, ani formułowanie wiążących rekomendacji. Dopuszczalne są: gromadzenie, wprowadzanie i analiza danych i dokumentów przedstawionych przez kredytobiorcę oraz innych niezbędnych do przeprowadzenia procesu kredytowego. Czynności te powinny być przeprowadzone na podstawie jednoznacznych i precyzyjnych wytycznych, założeń oraz modeli, których właścicielem jest bank powierzający wykonywanie czynności. 12

36. W przypadku nabywania przez bank portfela wierzytelności:

a) Bank nabywający portfel wierzytelności powinien określić jednoznaczne, precyzyjne kryteria dotyczące przejmowanego portfela. Tego rodzaju postanowienia powinny znaleźć się w ramowej umowie o nabyciu wierzytelności, a bank zbywający powinien zapewnić, że wszystkie wierzytelności wchodzące w skład przenoszonych portfeli poolingowych będą spełniać kryteria określone przez bank nabywający i zawarte w tej umowie (np.: brak default, brak zaległości bieżących (portfel regularny), określony przez nabywającego profil ryzyka parametru PD). Bank nabywający dokonuje badania portfela w oparciu o ustalone przez siebie kryteria.

b) Przy przenoszeniu portfela wierzytelności nie ma konieczności dokonywania ponownej oceny zdolności kredytowej przejmowanych wierzytelności. Jednocześnie, należy podkreślić, że bank nabywający portfel wierzytelności obowiązany jest do badania jakości portfela, zgodnie z zasadami określonymi w Rekomendacji R KNF dotyczącej zasad identyfikacji bilansowych ekspozycji kredytowych, które utraciły wartość, wyznaczania odpisów aktualizujących z tytułu utraty wartości bilansowych ekspozycji kredytowych oraz rezerw na pozabilansowe ekspozycje kredytowe.

IX. Outsourcing procesów związanych z emisjami instrumentów dłużnych

37. Określając zasady współpracy w tym obszarze pomiędzy bankiem powierzającym i innym bankiem, należy wskazać zakres czynności wykonywanych poza bankiem powierzającym na tej podstawie, aby jednoznacznie wynikało z nich, że poza bankiem będą wykonywane wyłącznie czynności pomocnicze (o technicznym charakterze) a wszelkie decyzje i czynności mieszczące się w pojęciu zarządzania bankiem, lub jego aktywami i pasywami będą w istocie podejmowane i realizowane przez bank powierzający.

38. Zarząd banku powierzającego jest w pełni odpowiedzialny za przebieg procesu emisji instrumentów dłużnych, niezależnie od sposobu jego przeprowadzenia. X. Zarządzanie modelami oraz zarządzanie ryzykiem modeli

39. W przypadku wewnętrznych modeli grupowych przygotowywanych na potrzeby obliczania wymogów kapitałowych⁸ zarządzanie jest realizowane co do zasady przez właściciela modelu. Niemniej jednak, w ramach oceny przez UKNF stosowane jest podejście, że bank stosujący model grupowy musi znać zasady jego funkcjonowania (w szczególności jego ograniczenia) i przynajmniej regularnie weryfikować jakość i adekwatność oszacowań modelu w odniesieniu do swojego portfela (monitoring modelu). Oczekiwaniem organu nadzoru jest też, aby bank uczestniczył w budowie/rozwoju modelu grupowego⁹, jak również przeprowadzał niezależne walidacje wewnętrzne oraz audyty wewnętrzne lub uczestniczył w takich projektach realizowanych przez właściciela modelu¹⁰. W ramach zarządzania modelami każdorazowo powinny być wykorzystywane wszelkie dostępne informacje wynikające z przeprowadzanych ocen jakości funkcjonowania modelu (monitoring, walidacja wewnętrzna i audyt wewnętrzny), niezależnie od tego, czy są one dokonywane przez bank stosujący model, czy przez właściciela modelu¹¹.

⁸ Model zewnętrzny wykorzystywany przez bank, w opracowaniu którego istotną rolę odgrywał podmiot z tej samej grupy co dany bank.

40. W odniesieniu do zarządzania ryzykiem modeli (modele pomiaru ryzyka), zastosowanie mają standardy wynikające z Rekomendacji W KNF dotyczącej zarządzania ryzykiem modeli w bankach, w tym m.in. rekomendacje: 7 (dot. audytu wewnętrznego)¹², 8 (dot. zarządzania ryzykiem modeli, w tym w odniesieniu do modeli zewnętrznych, w tym grupowych), 16.10 (dot. walidacji modeli zewnętrznych, w tym grupowych).

XI. Outsourcing procesów finansowo-księgowych

41. W przypadku rachunkowości jednostki, w rozumieniu art. 4 ust. 3 ustawy o rachunkowości, obejmującej prowadzenie ksiąg rachunkowych oraz sporządzanie sprawozdań finansowych, mamy do czynienia z podejmowaniem decyzji o charakterze zarządczym. Tym samym prowadzenie ksiąg rachunkowych oraz sporządzanie sprawozdań finansowych należy uznać za elementy zarządzania bankiem zgodnie z art. 6a ust. 3 pkt 1 Prawa bankowego, czyli czynności wyłączone z zakresu powierzania.

42. Zgodnie z art. 11 ust. 2 ustawy o rachunkowości jednostka może powierzyć usługowe prowadzenie ksiąg rachunkowych przedsiębiorcy, o którym mowa w art. 76a ust. 3 ustawy o rachunkowości (prowadzącemu działalność gospodarczą w rozumieniu przepisów ustawy z dnia 6 marca 2018 r. - Prawo przedsiębiorców, tzn. wykonującemu zorganizowaną działalność zarobkową we własnym imieniu i w sposób ciągły). Powierzeniu podlegałyby wtedy czynności związane z prowadzeniem ksiąg, określone w art. 4 ust. 3 pkt 2 - 6) ustawy o rachunkowości, tzn.:

⁹ Powinna być zapewniona możliwość budowy/modyfikacji modelu grupowego w sposób zapewniający jego właściwe funkcjonowanie w banku niebędącym jego właścicielem.

¹⁰ Działania te powinny obejmować również aspekty funkcjonowania modelu w banku niebędącym jego właścicielem.

¹¹ Dopuszczalne jest również dokonywanie ocen, przy zachowaniu odpowiednich warunków, przez firmy zewnętrzne.

¹² Gdzie wskazano, że czynnikiem wspierającym, który może wzmocnić w istotny sposób kontrolę nad ryzykiem modeli (przy spełnieniu warunków wskazanych w rekomendacji szczegółowej 7.8) jest zlecanie dodatkowych audytów profesjonalnym instytucjom zewnętrznym specjalizującym się w badaniu omawianego obszaru.

43. W kontekście rozważań dotyczących prowadzenia ksiąg banku przez inny bank należy podkreślić, że przepisy szczegółowe w zakresie funkcjonowania banków jako podmiotów o szczególnym charakterze, stanowiących jednostki zainteresowania publicznego, określają odrębnie zasady prowadzenia działalności bankowej, w tym wymogi ograniczające możliwości outsourcingu. Prawo bankowe w art. 5 i 6 determinuje zakres czynności wykonywanych przez banki, nie przewidując usługowego prowadzenia ksiąg rachunkowych. Należy zaznaczyć, że usługowe prowadzenie ksiąg rachunkowych nie może być uznane za świadczenie innych usług finansowych, o którym mowa w art. 6 ust. 1 pkt 7 Prawa bankowego.

44. Określając zasady współpracy pomiędzy bankiem powierzającym i innym bankiem w obszarze prowadzenia ksiąg rachunkowych, należy tak określić zakres czynności wykonywanych poza bankiem powierzającym na tej podstawie, aby jednoznacznie z niego wynikało, że poza bankiem będą wykonywane wyłącznie czynności pomocnicze (o technicznym charakterze) a prowadzenie ksiąg będzie w istocie wykonywane przez bank powierzający.

XII. Outsourcing pozostałych procesów Zarządzanie zasobami ludzkimi

45. Zadanie zarządzania zasobami ludzkimi jest realizowane przez bank. Jednocześnie, w ramach przyjętej przez bank powierzający polityki zarządzania zasobami ludzkimi oraz w oparciu o podjęte samodzielnie przez zarząd decyzje kierunkowe dopuszcza się możliwość zawarcia innej, niż agencyjna, umowy cywilnoprawnej, której przedmiotem będzie powierzenie cząstkowych czynności w ramach procesów zarządzania zasobami ludzkimi, np.:

46. W odniesieniu do obszaru technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach obligatoryjne zastosowanie mają Rekomendacja D KNF dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach i Rekomendacja M KNF dotycząca zarządzania ryzykiem operacyjnym w bankach, w zakresie w jakim zawierają postanowienia odnoszące się do systemów informacyjnych wspierających realizację procesów krytycznych i kluczowych, podlegających outsourcingowi w kontekście zarządzania ryzykiem cyberbezpieczeństwa. Kwestie związane z chmurą obliczeniową

47. Organ nadzoru zadeklarował zgodność z Wytycznymi EBA z wyłączeniami. W odniesieniu do części poświęconej outsourcingowi w chmurze stosowane będzie podejście krajowe. Obecnie obowiązuje w omawianym zakresie komunikat organu nadzoru z 23 października 2017 r. Organ nadzoru opracowuje model referencyjny przetwarzania danych prawnie chronionych w chmurze obliczeniowej o charakterze publicznym lub publiczno-prywatnym, w szczególności poprzez stworzenie jednolitych ram technicznych, organizacyjnych i prawnych, z uwzględnieniem wymagań cyberbezpieczeństwa oraz zmian technologicznych i związanej z tym konieczności ciągłego dostosowywania procesów nadzorczych i praktyki podmiotów nadzorowanych. Opracowywany model referencyjny uwzględni Wytyczne EBA oraz doświadczenia europejskich nadzorów w ujednolicaniu stosowania chmury obliczeniowej przez podmioty rynku finansowego. Stanowisko to zastąpi komunikat z października 2017 r. Czynności niebędące outsourcingiem

48. Wytyczne EBA przedstawiają w ust. 28 tzw. "white list" zawierającą szereg czynności, których co do zasady instytucje i instytucje płatnicze nie powinny traktować jako outsourcingu. Organ nadzoru wskazuje, że w tym kontekście aktualna pozostaje Opinia Generalnego Inspektoratu Nadzoru Bankowego z dnia 21 grudnia 2004 r.¹³, w takiej części w jakiej nie jest ona sprzeczna z postanowieniami ust. 28 Wytycznych EBA.

¹³ Opinia Generalnego Inspektoratu Nadzoru Bankowego z dnia 21 grudnia 2004 r. Narodowy Bank Polski NBBPN-I-022-70/04)

49. Należy mieć na uwadze, że czynności dotyczące, np. sporządzania opinii prawnych dotyczących bieżących zagadnień związanych z czynnościami bankowymi oraz zastępstwa procesowego należy traktować jako nabycie usług, które w innym przypadku nie zostałyby wykonane przez podmiot powierzający (ust. 28 Wytycznych EBA) i konsekwentnie nie należy ich traktować jako outsourcingu.

50. Czynności w zakresie świadczenia przez adwokatów lub radców prawnych pomocy prawnej na rzecz banków mogą być wykonywane poza bankiem powierzającym. Dotyczy to w szczególności czynności związanych z obsługą spraw sądowych dotyczących udzielanych kredytów (np. analiza zasadności roszczeń, wstępna ocena szans procesowych, koordynacja działań na etapie postępowania sądowego, prowadzenie na bieżąco rejestru spraw sądowych) oraz bieżącej działalności bankowej (projektowanie i sporządzanie zmian umów kredytowych, projektowanie wzorów umów kredytowych, umów rachunków bankowych).

XIII. Zasada proporcjonalności

51. Nadzór nad działalnością banków w zakresie outsourcingu procesów lub czynności powinien uwzględniać zasadę proporcjonalności. Celem zasady proporcjonalności jest zapewnienie, aby zasady zarządzania, w tym te dotyczące outsourcingu, były spójne z indywidualnym profilem ryzyka, charakterem i modelem biznesowym banku oraz skalą i złożonością jego działalności, tak aby skutecznie osiągnąć cele wymogów regulacyjnych.

52. Stosowanie zasady proporcjonalności jest w szczególności uzasadnione w zakresie współpracy banków funkcjonujących w sektorze bankowości spółdzielczej w formule zrzeszeń, w rozumieniu ustawy z dnia 7 grudnia 2000 r. o funkcjonowaniu banków spółdzielczych, ich zrzeszaniu się i bankach zrzeszających¹⁴ (dalej: ustawa o bankach spółdzielczych). Należy uwzględnić szczególne cechy prawne banku zrzeszającego, co umożliwia stosowanie przepisów proporcjonalnie do charakteru, skali i stopnia złożoności ryzyk, wynikających z modelu działania zrzeszeń i charakteru powiązań banków z zakresem świadczonych na ich rzecz usług przez bank zrzeszający. Specyfika usług świadczonych przez bank zrzeszający na podstawie zawartej umowy zrzeszenia ogranicza ryzyka związane z ich powierzaniem przez banki zrzeszone, wobec czego należy dopuścić proporcjonalne stosowanie do nich wymogów prawnych w zakresie outsourcingu.

¹⁴ Dz. U. z 2018 r. poz. 613, z późn. zm.

53. Umowy zawierane przez banki - członków zrzeszenia z bankiem zrzeszającym, dotyczące czynności lub świadczenia usługi przez bank zrzeszający, nie stanowią umów outsourcingu bankowego, jeżeli taka umowa jest zawierana w wykonaniu zobowiązania zawartego w umowie zrzeszenia.

54. W przypadku, w którym bank zrzeszający świadczy na rzecz banku zrzeszonego czynności nieprzewidziane w umowie zrzeszenia, zastosowanie mają ogólne zasady wynikające z przepisów prawa oraz zasady przedstawione w niniejszym stanowisku.