През последните години финансовите институции все повече възлагат различни бизнес дейности на външни изпълнители с цел намаляване на разходите, както и предлагане на по-гъвкави услуги на клиентите си. Дигитализацията на процесите и навлизането на пазара на доставчиците на нови финансови технологии (FinTech) все повече налагат адаптиране на бизнес моделите на финансовите институции, включително ползване/интегриране на външни изпълнители в процесите.

Считано от 30.09.2019 г. банки, посредници, платежни институции и дружества за електронни пари („институции“) следва да спазват Насоките за възлагане на дейности на външни изпълнители на Европейския банков орган (EBA/GL/2019/02) (https://eba.europa.eu/documents/10180/2761380/EBA+revised+Guidelines+on+outsourcing_BG.pdf). Насоките определят правила за вътрешно управление, преценка на рисковете и наблюдение от страна на институциите по отношение на възлагане на процеси, услуги или дейности на външни изпълнители, които дейности иначе институциите биха извършвали сами. Насоките посочват кои споразумения с трети страни се считат за възлагане на дейности на външни изпълнители и предоставят критерии за определяне кои са критични или важни функции. Ако такива критични или важни функции са възложени на външен изпълнител, важат по-строги изисквания спрямо избора, договореностите и контрола към този изпълнител. Насоките се прилагат включително и при възлагане на функции между институциите, когато те действат като доставчици на услугата.

Институциите следва да направят/изготвят:

1. Оценка на дейностите, възложени към външни изпълнители – дали попадат под Насоките (напр. задължителния одит, услуги от глобални мрежови инфраструктури като Visa, MasterCard, правни услуги и др. не попадат), вкл. дали са възложени важни или критични функции (напр. облачните услуги е вероятно да попаднат, тъй като грешка или проблем при тази услуга би засегнала съществено надеждността и непрекъснатостта на дейността на институцията).

2. Да актуализират вътрешните си документи и предвидят рамка за надеждно идентифициране и управление на рисковете, произтичащи от трети страни и рамка за надеждно управление и възлагане на дейности на външни изпълнители.

3. Да определят лице, което отговаря за възлагане на дейности на външни изпълнители или да възложат тази функция на старши служител (напр. лице, заемащо ключова контролна позиция). За по-малки и некомплексни институции тази функция може да бъде възложена и на член на ръководен орган.

4. Писмена политика на възлагане на дейности на външни изпълнители с подробно уреден процес на възлагане на дейности (анализ, оценка на риска, подбор, надеждна проверка, договорна фаза, др.), както и стратегии за изход при възлагане на важни или критични функции.

5. Да актуализират плана за непрекъснатост на дейността си по отношение на възложени критични или важни функции.

6. Да поддържат актуален регистър с информация за възложени функции на външен изпълнител.

7. Да преразгледат и изменят договорите с доставчиците – важно е договорите да са добре балансирани и конкретни, защото крайната отговорност е винаги на институцията.

Ако до 31.12.2021 г. не бъде приключен прегледа на споразумения за възлагане на външни изпълнители на критични или важни функции, институциите трябва да информират надзорния си орган, включително за планираните мерки за приключване на прегледа или стратегията за изход; насоките предвиждат извършването на промени и в заварените споразумения с евентуалното изключване на договорите за облачни услуги. Всички нови (вкл. преразгледани и изменени) договори, сключени на или след 30.09.2019 г. трябва да отговарят в пълна степен на насоките.

Насоките обръщат специално внимание и на необходимостта от спазване на Общия регламент за личните данни (GDPR) от страна на външните изпълнители, условията да бъдат ползвани подизпълнители, както и спазване на международните стандарти за правата на човека, опазването на околната среда и подходящите условия на труд (включително забраната за детския труд) от страна на външните изпълнители и техните подизпълнители.

Насоките отменят предишните от 16.12.2006 г., както и препоръките на Европейския банков орган за възлагане на външни изпълнители на дейност в облак.

Статията не представлява правно становище или съвет, свързан с конкретна ситуация или субект. Поради ограничения й обхват същата не претендира за изчерпателност по темата. За повече информация по засегнатите по-горе въпроси можете да се обърнете към автора на e-mail: bliznakova@tmlawoffice.bg или на www.tmlawoffice.bg