Outsourcing po irlandzku, z domieszką ryzyka
Centralny Bank Irlandii o outsourcing-u
- „Omnia mutantur” – wszystko się zmienia. I coraz trudniej to powstrzymać. Coraz częściej problemem staje się nie zmiana ale dostosowanie się do niej. Specjaliści od ryzyka nie mają łatwo a będą mieli coraz trudniej. Nie da się długo bazować na wiedzy pozyskanej lata temu. Trzeba nieustannie śledzić otoczenie, uczyć się i wyciągać wnioski.
Kiedy na początku tego wieku w Polsce rozpanoszyła się moda na outsourcing wydawało się, że jest to krótkotrwałe zjawisko. O ile powierzanie realizacji pewnych usług, o charakterze pomocniczym, podmiotom obcym wydawało się sensowne z punktu widzenia ekonomicznego i obarczone niewielkim ryzykiem, o tyle powierzanie usług IT na zewnątrz kojarzyło się głównie z wręcz samobójczym poszukiwaniem ryzyka. No bo jakże to, z jednej strony podmioty deklarują jak wielką wagę przywiązują do wykorzystania narzędzi informatycznych a z drugiej nie wahają się oddać w obce ręce kluczowych procesów i funkcji. Wydawało się, że moda na outsourcing przeminie ale rozwój technologii informatycznych dostarcza coraz to nowych możliwości – również w zakresie współpracy i outsourcingu.
Nie jesteśmy bankowcami ale wydaje nam się, że póki co podmioty sektora finansowego w Polsce są dość dobrze obudowane regulacjami dotyczącymi outsourcingu w obszarze IT. Znaleźć je można nie tylko w prawie bankowym i skojarzonych rozporządzeniach ale również w publikacjach Komisji Nadzoru Finansowego. Przypomnijmy niektóre z nich:
- Urząd Komisji Nadzoru Finansowego (UKNF); Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach; 2013
- UKNF; Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach; 2013
- UKNF; Rekomendacja H dotycząca systemu kontroli wewnętrznej w bankach; 2017
- UKNF; Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w podmiotach infrastruktury rynku kapitałowego; 2017
- European Banking Authority (EBA); Wytyczne w sprawie outsourcingu; 2019
- UKNF; Stanowisko UKNF dotyczące wybranych zagadnień związanych z wejściem w życie Wytycznych EBA w sprawie outsourcingu i ich uwzględnianiem w działalności banków; 2019 (publikacja nawiązująca do Wytycznych EBA)
I ostatnia publikacja:
- UKNF; Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej; styczeń 2020
Dość szybko, bo już w marcu 2020 roku zmodyfikowana publikacją UKNF zatytułowaną:
- Zmiany postanowień zawartych w Komunikatu UKNF z 23 stycznia 2020 r. dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej
Nie zamierzamy się wypowiadać na temat jakości powyższych regulacji – ocenę pozostawiamy specjalistom z instytucji finansowych. Chcielibyśmy tylko donieść, że pojawiła się nowa publikacja dotycząca tematyki outsourcingu (IT). Została ona opracowana pod auspicjami Banku Centralnego Irlandii – Central Bank of Ireland i zatytułowana jest: „Cross-Industry Guidance on Outsourcing”. Jest to draft – wersja robocza, która została dopiero poddana konsultacjom. Być może wersja ostateczna będzie się nieco różnić od opublikowanej ale – jak uważamy – warto zwrócić na nią uwagę. Odnosi się – podobnie jak ostatnie Stanowisko KNF – również do zagadnień przetwarzania w chmurze (Cloud Computing). I dlatego, mimo że publikacja ma proweniencję bankową (nawiązuje m.in. wprost do Wytycznych EBA w sprawie outsourcingu) to mogą ją wykorzystać również podmioty z innych branż i sektorów – albowiem coraz więcej firm decyduje się na korzystanie z technologii „chmurowych”.
Autorzy publikacji wskazują, że powinna być ona traktowana „jako przewodnik po dobrych praktykach odnoszących się do outsourcingu” a także jako kompendium wiedzy o regulacjach dotyczących outsourcingu. I tak, na stronie 5 publikacji wskazano na inne międzynarodowe regulacje dotyczące ryzyka IT, bezpieczeństwa i przetwarzanie w chmurze – rzecz jasna dotyczące podmiotów rynku finansowego ale i dostawców usług IT. Nie przytaczamy ich i nie podajemy łącz (linków) – zainteresowani Czytelnicy dotrą do nich z łatwością.
Ryzyko znalazło swoje miejsce w rozdziale 5, zwracającym – w sposób skondensowany – uwagę na kilka kategorii ryzyka outsourcingu: ryzyko sub-outsourcingu (znamy to z rynku budowlanego w Polsce), ryzyko dotyczące danych wrażliwych, ryzyko koncentracji, ryzyko offshoring-u, ryzyko interwencji (step-in-risk), ryzyko związane z utrzymaniem ciągłości działania oraz ryzyko (zagrożenia) odnoszące się do zachowania odporności operacyjnej, ryzyko prawne, ryzyko reputacji jak również ryzyko związane z bezpieczeństwem i projektami IT – wdrażania przetwarzanie w chmurze.
Szczegółową ocenę przydatności irlandzkiej publikacji w polskich realiach systemu finansowego pozostawiamy specjalistom z banków, towarzystw ubezpieczeniowych, emerytalnych i innych podmiotów branżowych. Chcieliśmy tylko poinformować o tej publikacji, zwrócić na nią uwagę i zachęcić do zapoznania się i – być może – zainspirowania. Interesujące również może być porównanie przywoływanej publikacji Banku Centralnego Irlandii z ubiegłorocznymi Komunikatami Komisji Nadzoru Finansowego.
Prawdą jest, że publikacje UKNF, które przywołaliśmy a także sygnalizowana publikacja Banku Centralnego Irlandii są przeznaczone dla podmiotów rynku finansowego ale nic nie stoi na przeszkodzie, aby organizacje – szczególnie te duże – spoza tego rynku zapoznały się z tą publikacją oraz – jeżeli do tej pory nie znały publikacji KNF – korzystały na przykład z Rekomendacji M, D i H. Poza tym, zawsze warto wiedzieć jak potencjalni dostawcy kapitału i usługodawcy podchodzą do zagadnień ryzyka związanego z technologiami IT oraz usługami realizowanymi w ramach koncepcji outsourcingu.
Podmioty gospodarcze a także instytucje i organizacje spoza rynków finansowych mogą również skorzystać, na przykład, z zamieszczonego na stronach internetowych UKNF „Formularza samooceny stopnia zgodności prowadzonej działalności z wytycznymi IT w podmiotach infrastruktury rynku kapitałowego” – swoistej ankiety pomagającej opracować własne kryteria oceny funkcjonowania i zarządzania obszarem IT w organizacjach.
