Od szeregu lat obserwujemy wzrost wykorzystania przez podmioty finansowe różnego rodzaju usług cyfrowych, które są świadczone przez tzw. zewnętrznych dostawców usług informacyjno-komunikacyjnych (ICT). Jest to w znacznym stopniu związane z chęcią instytucji finansowych dostosowania się do oczekiwań klientów, którzy przywykli do korzystania z dobrodziejstw technologii cyfrowych, czy to korzystając z bankowości internetowej, płatności mobilnych, czy różnego rodzaju platform inwestycyjnych. Jednocześnie technologie cyfrowe pozwalają podmiotom finansowym na uproszczenia procesów realizowanych w danej organizacji oraz redukcję kosztów jej działalności. Z tego względu podmioty finansowe powszechnie korzystają z usług cyfrowych, które m.in. wspierają obszary rozliczeń, back-office, płatności, scoringu, obsługi wierzytelności itp.
Oprócz niezaprzeczalnych korzyści związanych z wykorzystaniem technologii cyfrowych postępujące uzależnienie od usług świadczonych przez zewnętrzne podmioty z branży technologicznej stanowi coraz istotniejsze źródło ryzyka dla jakości oraz ciągłości usług świadczonych przez podmioty finansowe, a także dla bezpieczeństwa danych, które są przez nie przetwarzane.
Odpowiedź między innymi na powyższe ryzyko stanowić ma rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego (rozporządzenie DORA), które wprowadza nowe wymogi na rynku finansowym w zakresie zarządzania ryzykiem ICT. Większość instytucji finansowych, które działają w sektorze bankowym, ubezpieczeniowym czy inwestycyjnym, jest zobowiązana realizować nowe wymogi, począwszy od 17 stycznia 2025 r., co obejmuje również dostosowanie w tym terminie warunków obecnie obowiązujących umów zawartych przez podmioty finansowe z zewnętrznymi dostawcami usług ICT.
Rozporządzenie DORA w sposób kompleksowy odnosi się do ryzyka związanego z wykorzystaniem zewnętrznych dostawców usług ICT, regulując cały cykl życia umowy dot. świadczenia usług ICT, począwszy od fazy planowania zakupu, kończąc na rozwiązaniu umowy. Z wyjątkiem najmniejszych instytucji finansowych podmioty finansowe powinny opracować strategię dotyczącą ryzyka ze strony zewnętrznych dostawców usług ICT, która powinna obejmować politykę korzystania z usług wpierających krytyczne lub istotne funkcje świadczonych przez zewnętrznych dostawców usług ICT. Polityka co najmniej raz w roku powinna podlegać przeglądom i w razie potrzeby aktualizacji.
Jakie kroki należy wykonać, aby dostosować podmiot finansowy do nowych wymogów?
Identyfikacja i klasyfikacja
Rozporządzenie DORA wymaga, aby podmioty finansowe dysponowały solidnymi, kompleksowymi i udokumentowanymi ramami zarządzania ryzykiem związanym z ICT, w tym ryzykiem ze strony zewnętrznych dostawców usług ICT. To ostatnie ryzyko jest rozumiane jako ryzyko związane z ICT, które może wystąpić w przypadku podmiotu finansowego w związku z korzystaniem przez niego z usług ICT świadczonych przez zewnętrznych dostawców usług ICT lub przez ich podwykonawców.
Niezbędnym krokiem do skutecznego zarządzania ryzykiem ICT jest jego zidentyfikowanie, a następnie zrozumienie. Z tego względu podmioty finansowe zobowiązane są do identyfikowania oraz udokumentowania wszystkich procesów, sklasyfikowania ich pod kątem istotności oraz krytyczności, zidentyfikowania zewnętrznych dostawców usług ICT (oraz ewentualnie podwykonawców), z których rozwiązań korzystają, a następnie powiązania realizowanych procesów z zewnętrznymi dostawcami usług ICT, którzy wspierają realizację danych procesów. Co istotne, ocena, które usługi ICT wspierają krytyczne lub istotne funkcje, powinna być oparta na udokumentowanej metodyce.
Wykonanie niniejszych czynności analitycznych stanowi punkt wyjścia dla prawidłowej realizacji dalszych obowiązków z zakresu zarządzania ryzykiem ze strony zewnętrznych dostawców usług ICT.
Określenie potrzeb biznesowych
Każdorazowo zawarcie umowy z dostawcą usług ICT powinno być inicjowane poprzez określenie potrzeb biznesowych podmiotu finansowego. To potrzeba biznesowa powinna definiować cel zawarcia danej umowy oraz budżet na daną usługę. Ostatecznie zakup danej usługi ICT będzie przede wszystkim weryfikowany poprzez pryzmat tego, czy w sposób właściwy realizuje on założoną na wstępie potrzebę biznesową.
Powyższe oczywiście nie oznacza, że kryterium realizacji celu biznesowego jest jedynym, jakie należy brać pod uwagę przed zawarciem umowy dotyczącej usług ICT. Zawarcie takiej umowy powinno zostać poprzedzone: weryfikacją, czy zostały spełnione warunki nadzorcze dot. zawierania umów, oceną ryzyk związanych z danym ustaleniem umownym oraz oceną zewnętrznego dostawcy usług ICT.
Ocena zewnętrznego dostawcy usług ICT (należyta staranność)
Zanim podmiot finansowy podejmie decyzję o skorzystaniu z oferty danego dostawcy usług ICT, powinien w sposób drobiazgowy dokonać oceny potencjalnego dostawcy, co powinno m.in. obejmować ocenę, czy dostawca cieszy się odpowiednią reputacją biznesową, posiada odpowiednie kompetencje i zasoby finansowe, ludzkie i techniczne, stosuje standardy bezpieczeństwa informacji, posiada mechanizmy zarządzania ryzykiem, jest w stanie monitorować istotne zmiany technologiczne i określić wiodące praktyki w zakresie bezpieczeństwa ICT oraz wdrażać je, czy i w jakiem zakresie korzysta z podwykonawców, czy wyraża zgodę na postanowienia umowne, które zapewniają realną możliwość przeprowadzenia audytów u dostawcy przez podmiot finansowy, czy przez wyznaczone osoby trzecie lub właściwe organy. W przypadku, gdy dana usługa ICT ma wspierać krytyczne lub istotne funkcje, należy zweryfikować, czy dostawca stosuje najbardziej aktualne i najwyższe standardy bezpieczeństwa informacji.
Zaznaczyć należy, iż polityka w zakresie ustaleń umownych dot. korzystania z usług ICT powinna precyzować metodykę oceny potencjalnych dostawców usług ICT, która może opierać się m.in. na audytach przeprowadzonych przez podmiot finansowy lub w jego imieniu, korzystaniu z niezależnych sprawozdań z audytu sporządzanych na wniosek zewnętrznego dostawcy usług ICT czy na przykład stosowaniu odpowiednich certyfikatów wydanych przez osoby trzecie.
Osobnym elementem, który powinien podlegać analizie, jest zweryfikowanie przez podmiot finansowy występowania faktycznych lub potencjalnych konfliktów interesów wynikających z korzystania z usług zewnętrznych dostawców usług ICT.
Ocena ryzyka ze strony zewnętrznych dostawców usług ICT
Podmioty finansowe powinny określić i ocenić wszystkie rodzaje ryzyka związanego z umową, co w przypadku usług ICT wpierających krytyczne lub istotne funkcje powinno w szczególności obejmować analizę ryzyka koncentracji w obszarze ICT, ryzyka operacyjnego, ryzyka prawnego, ryzyka związanego z ICT, ryzyka utraty reputacji czy ryzyka związanego z ochroną lub dostępnością danych. Podkreślić należy, iż czynności te nie powinny mieć charakteru jednorazowego. Podmioty finansowe powinny w trakcie cyklu życia umowy dokonywać regularnych przeglądów ryzyk zidentyfikowanych w odniesieniu do ustaleń umownych dot. korzystania z usług ICT wspierających krytyczne lub istotne funkcje.
Klauzule umowne i monitorowanie ustaleń umownych
Rozporządzenia DORA określa szczegółowe wymogi w zakresie treści umów zawieranych z zewnętrznymi dostawcami usług ICT. Poziom wymogów w tym zakresie zależy przede wszystkim od tego, czy usługa wspiera funkcje krytyczne lub istotne w danym podmiocie finansowym. Jednym z istotnych elementów, który powinien zostać uregulowany w umowie dotyczącej usług wspierających funkcje krytyczne lub istotne stanowi określenie środków i kluczowych wskaźników służących bieżącemu monitorowaniu wyników zewnętrznych dostawców usług ICT. Dotychczas stosowane na rynku praktyki w zakresie monitorowania poziomu współpracy z dostawcami usług ICT sprowadzały się zwykle do czynności ankietowych, w których dostawcy przeprowadzali samoocenę poziomu spełnienia przez siebie wymagań. W przypadku dostawców usług ICT na gruncie rozporządzenia DORA takie praktyki mogą okazać się niewystarczające, dlatego podmioty finansowe powinny częściej korzystać z uprawnień w zakresie audytów i kontroli czy też monitorowania poziomu realizacji tzw. kluczowych wskaźników efektywności, do których zaliczać się będą m.in. zastrzeżone umownie poziomy świadczenia usługi (SLA), takie jak czasy reakcji, niedostępności usług etc.
Ustalenie strategii wyjścia
Polityka korzystania z usług ICT powinna również zawierać wymogi dotyczące planu wyjścia w odniesieniu do ustaleń umowy dot. usług wspierających funkcje krytyczne lub istotne. Plany takie powinny podlegać okresowym przeglądom oraz być testowane. Plany wyjścia powinny przewidywać sposób postępowania na wypadek przerwy w świadczeniu usług, nieodpowiedniego poziomu świadczenia usług lub wypowiedzenia umowy.
W zależności od ryzyka i złożoności usług
Rozporządzenie DORA wraz z aktami wykonawczymi w sposób detaliczny podchodzi do zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT, przy czym ostateczny kształt ram zarządzania tym ryzykiem w danej organizacji zależny będzie od wielkości, ogólnego profilu ryzyka podmiotu finansowego, charakteru, skali i złożoności realizowanych usług, działań i operacji. Ostateczną odpowiedzialność w zakresie zarządzania niniejszym ryzykiem rozporządzenie DORA wprost przypisuje organowi zarządzającemu podmiotu finansowego.
Podmioty finansowe nie mogą zwolnić się z odpowiedzialności, wskazując, że naruszenia wymogów bezpieczeństwa czy ciągłości działania wystąpiły z przyczyn leżących po stronie ich zewnętrznego dostawcy usług ICT lub jego podwykonawcy, jeśli wcześniej podmiot finansowy nie zidentyfikował ani prawidłowo nie monitorował tego ryzyka. Stąd tak istotne jest należyte wdrożenie strategii i polityki zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług ICT, które będą pozwalały na właściwe zarządzanie tym ryzykiem.
Artykuł powstał we współpracy z siecią Kancelarie RP