EuropaPublikacjeWieści

Outsourcing po irlandzku, z domieszką ryzyka

Centralny Bank Irlandii o outsourcing-u

Ważne
  • „Omnia mutantur” – wszystko się zmienia. I coraz trudniej to powstrzymać. Coraz częściej problemem staje się nie zmiana ale dostosowanie się do niej. Specjaliści od ryzyka nie mają łatwo a będą mieli coraz trudniej. Nie da się długo bazować na wiedzy pozyskanej lata temu. Trzeba nieustannie śledzić otoczenie, uczyć się i wyciągać wnioski.

Kiedy na początku tego wieku w Polsce rozpanoszyła się moda na outsourcing wydawało się, że jest to krótkotrwałe zjawisko. O ile powierzanie realizacji pewnych usług, o charakterze pomocniczym, podmiotom obcym wydawało się sensowne z punktu widzenia ekonomicznego i obarczone niewielkim ryzykiem, o tyle powierzanie usług IT na zewnątrz kojarzyło się głównie z wręcz samobójczym poszukiwaniem ryzyka. No bo jakże to, z jednej strony podmioty deklarują jak wielką wagę przywiązują do wykorzystania narzędzi informatycznych a z drugiej nie wahają się oddać w obce ręce kluczowych procesów i funkcji. Wydawało się, że moda na outsourcing przeminie ale rozwój technologii informatycznych dostarcza coraz to nowych możliwości – również w zakresie współpracy i outsourcingu.

Nie jesteśmy bankowcami ale wydaje nam się, że póki co podmioty sektora finansowego w Polsce są dość dobrze obudowane regulacjami dotyczącymi outsourcingu w obszarze IT. Znaleźć je można nie tylko w prawie bankowym i skojarzonych rozporządzeniach ale również w publikacjach Komisji Nadzoru Finansowego. Przypomnijmy niektóre z nich:

  • Urząd Komisji Nadzoru Finansowego (UKNF); Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach; 2013
  • UKNF; Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach; 2013
  • UKNF; Rekomendacja H dotycząca systemu kontroli wewnętrznej w bankach; 2017
  • UKNF; Wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w podmiotach infrastruktury rynku kapitałowego; 2017
  • European Banking Authority (EBA); Wytyczne w sprawie outsourcingu; 2019
  • UKNF; Stanowisko UKNF dotyczące wybranych zagadnień związanych z wejściem w życie Wytycznych EBA w sprawie outsourcingu i ich uwzględnianiem w działalności banków; 2019 (publikacja nawiązująca do Wytycznych EBA)

I ostatnia publikacja:

  • UKNF; Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej; styczeń 2020

Dość szybko, bo już w marcu 2020 roku zmodyfikowana publikacją UKNF zatytułowaną:

  • Zmiany postanowień zawartych w Komunikatu UKNF z 23 stycznia 2020 r. dotyczącym przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej

Nie zamierzamy się wypowiadać na temat jakości powyższych regulacji – ocenę pozostawiamy specjalistom z instytucji finansowych. Chcielibyśmy tylko donieść, że pojawiła się nowa publikacja dotycząca tematyki outsourcingu (IT). Została ona opracowana pod auspicjami Banku Centralnego Irlandii – Central Bank of Ireland i zatytułowana jest: „Cross-Industry Guidance on Outsourcing”. Jest to draft – wersja robocza, która została dopiero poddana konsultacjom. Być może wersja ostateczna będzie się nieco różnić od opublikowanej ale – jak uważamy – warto zwrócić na nią uwagę. Odnosi się – podobnie jak ostatnie Stanowisko KNF – również do zagadnień przetwarzania w chmurze (Cloud Computing). I dlatego, mimo że publikacja ma proweniencję bankową (nawiązuje m.in. wprost do Wytycznych EBA w sprawie outsourcingu) to mogą ją wykorzystać również podmioty z innych branż i sektorów – albowiem coraz więcej firm decyduje się na korzystanie z technologii „chmurowych”.

Autorzy publikacji wskazują, że powinna być ona traktowana „jako przewodnik po dobrych praktykach odnoszących się do outsourcingu” a także jako kompendium wiedzy o regulacjach dotyczących outsourcingu. I tak, na stronie 5 publikacji wskazano na inne międzynarodowe regulacje dotyczące ryzyka IT, bezpieczeństwa i przetwarzanie w chmurze – rzecz jasna dotyczące podmiotów rynku finansowego ale i dostawców usług IT. Nie przytaczamy ich i nie podajemy łącz (linków) – zainteresowani Czytelnicy dotrą do nich z łatwością.

Ryzyko znalazło swoje miejsce w rozdziale 5, zwracającym – w sposób skondensowany – uwagę na kilka kategorii ryzyka outsourcingu: ryzyko sub-outsourcingu (znamy to z rynku budowlanego w Polsce), ryzyko dotyczące danych wrażliwych, ryzyko koncentracji, ryzyko offshoring-u, ryzyko interwencji (step-in-risk), ryzyko związane z utrzymaniem ciągłości działania oraz ryzyko (zagrożenia) odnoszące się do zachowania odporności operacyjnej, ryzyko prawne, ryzyko reputacji jak również ryzyko związane z bezpieczeństwem i projektami IT – wdrażania przetwarzanie w chmurze.

Szczegółową ocenę przydatności irlandzkiej publikacji w polskich realiach systemu finansowego pozostawiamy specjalistom z banków, towarzystw ubezpieczeniowych, emerytalnych i innych podmiotów branżowych. Chcieliśmy tylko poinformować o tej publikacji, zwrócić na nią uwagę i zachęcić do zapoznania się i – być może – zainspirowania. Interesujące również może być porównanie przywoływanej publikacji Banku Centralnego Irlandii z ubiegłorocznymi Komunikatami Komisji Nadzoru Finansowego.

Prawdą jest, że publikacje UKNF, które przywołaliśmy a także sygnalizowana publikacja Banku Centralnego Irlandii są przeznaczone dla podmiotów rynku finansowego ale nic nie stoi na przeszkodzie, aby organizacje – szczególnie te duże – spoza tego rynku zapoznały się z tą publikacją oraz – jeżeli do tej pory nie znały publikacji KNF – korzystały na przykład z Rekomendacji M, D i H. Poza tym, zawsze warto wiedzieć jak potencjalni dostawcy kapitału i usługodawcy podchodzą do zagadnień ryzyka związanego z technologiami IT oraz usługami realizowanymi w ramach koncepcji outsourcingu.

Podmioty gospodarcze a także instytucje i organizacje spoza rynków finansowych mogą również skorzystać, na przykład, z zamieszczonego na stronach internetowych UKNF „Formularza samooceny stopnia zgodności prowadzonej działalności z wytycznymi IT w podmiotach infrastruktury rynku kapitałowego” – swoistej ankiety pomagającej opracować własne kryteria oceny funkcjonowania i zarządzania obszarem IT w organizacjach.

Editor

In rebus prosperis et ad voluntatem nostram fluentibus superbiam magnopere, fastidium arrogantiamque fugiamus. >>> W sytuacjach pomyślnych i gdy wszystko dzieje się według naszej woli, wystrzegajmy się pychy, zuchwalstwa i buty.

Powiązane artykuły