Zarządzanie dostawcami usług ICT w technicznych wytycznych rozporządzenia DORA

Co zawiera polityka korzystania z usług dostawców ICT?

Projekt tego standardu technicznego definiuje wymagania, które muszą spełniać podmioty finansowe objęte zakresem rozporządzenia DORA, tworząc strategię oraz politykę korzystania z usług dostawców ICT. Polityka powinna dotyczyć wszystkich usług ICT, które wspierają krytyczne lub istotne funkcje w organizacji (gdzie krytyczne lub istotne funkcje zgodnie z definicją zawartą w DORA oznaczają funkcje, których zakłócenie w sposób istotny wpłynęłoby na wyniki finansowe podmiotu finansowego, na bezpieczeństwo lub ciągłość usług i działalności tego podmiotu lub której zaprzestanie lub wadliwe lub zakończone niepowodzeniem działanie w sposób istotny wpłynęłoby na dalsze wypełnianie przez podmiot finansowy warunków i obowiązków wynikających z udzielonego mu zezwolenia lub jego innych obowiązków wynikających z obowiązujących przepisów dotyczących usług finansowych), jednakże sama DORA określa też wymagania w zakresie zarządzania ryzykiem usług ICT wpierających inne funkcje niż krytyczne lub istotne.

Co istotne, jako dostawców ICT należy traktować również podmioty dostarczające usługi w ramach jednej grupy (tj. ICT intra-group third-party providers – TPPs).

Polityka w zakresie ustaleń dotyczących korzystania z usług ICT świadczonych przez zewnętrznych dostawców usług ICT powinna być dostosowana do całego cyklu życia relacji ze stroną trzecią, poczynając od planowania pozyskania usług ICT, poprzez monitorowanie i audyt, aż po zakończenie współpracy z dostawcą i określać wymagania dla każdego etapu cyklu życia korzystania z usług ICT takie jak:

• Obowiązki organu zarządzającego, w tym role i obowiązki wewnętrzne w zakresie zatwierdzania, zarządzania, monitorowania i dokumentowania umów oraz relacji z dostawcami usług ICT zgodnie z zasadą, że odpowiedzialności organów zarządzających w podmiotach finansowych za zarządzanie ryzykiem związanym z usługami dostarczanymi przez strony trzecie
• Opis procesów, które uwzględniają ocenę ryzyka, procesy due diligence,
• Proces prowadzenia, monitorowania i zarządzania umowami,
• Prowadzenie dokumentacji i rejestru,
• Strategie wyjścia oraz proces zakończenia umowy.

Należy zaznaczyć, że przed zawarciem umowy, polityka powinna jasno zdefiniować potrzeby biznesowe oraz wymagać przeprowadzenia oceny ryzyka przed wejściem w jakiekolwiek relacje biznesowe z dostawcą. Polityka powinna być stosowana na poziomie indywidualnym, jak i - w odpowiednich przypadkach - na poziomie skonsolidowanym i subskonsolidowanym. Oznacza to, że wymagania dotyczące zarządzania usługami ICT muszą być jednolite dla całej organizacji, niezależnie od jej struktury organizacyjnej i obszarów odpowiedzialności.
 

Rozporządzenie DORA a outsourcing

Zarządzanie usługami ICT świadczonymi przez zewnętrznych dostawców ICT jest często utożsamiane z outsourcingiem. DORA, która ma na celu konsolidację, wypełnienie braków, eliminację niespójności i aktualizację wymogów dotyczących ryzyka związanego z ICT jako części wymogów dotyczących ryzyka operacyjnego zawartych dotychczas osobno w różnych unijnych aktach prawnych, realizuje ten cel również w obszarze wymogów dotyczących outsorucingu, biorąc pod uwagę fakt, że wytyczne w tym zakresie są na różnym poziomie dojrzałości dla różnych segmentów rynku finansowego i dotyczą różnych elementów (m.in. wyłącznie usług chmurowych). Należy przy tym pamiętać że, DORA jak i standardy techniczne odnoszą się do usług ICT również w zakresie umów niebędących outsourcingiem.

Pomioty finansowe, które były zobowiązane do wymogów zgodnie z wcześniejszymi wytycznymi EBA dotyczącymi m.in. outsourcingu bankowego (EBA/GL/2019/02 z 2019 r.), powinny być w pewnym stopniu przygotowane na nowe wytyczne DORA w obszarze zarządzania stronami trzecimi w obszarze ICT. Nie zwalnia to ich z konieczności weryfikacji, czy spełniają nowe wymogi. Podmioty, które do tej pory nie podlegały wytycznym EBA, będą miały do wykonania bardzo dużą pracę, aby już na początku 2025 roku móc powiedzieć, że są zgodne z rozporządzeniem DORA.

Ponadto, pomimo działań odnoszących się do outsourcingu, m.in. w postaci wytycznych EUNB w sprawie outsourcingu, zaleceń ESMA w sprawie outsourcingu zlecanego dostawcom usług chmurowych z 2021 r. czy peer rewiew w zakresie outsourcingu przeprowadzonym przez EIOPA w 2022 r. w unijnych przepisach niewystarczającą uwagę poświęca się problemowi przeciwdziałania ryzyku systemowemu, które może powstać w wyniku kontaktu sektora finansowego z ograniczoną liczbą kluczowych zewnętrznych dostawców usług ICT. Zgodnie z preambułą do rozporządzenia DORA, ten brak przepisów na szczeblu unijnym jest spotęgowany brakiem krajowych przepisów dotyczących kompetencji i narzędzi umożliwiających organom nadzoru finansowego osiągnięcie właściwego zrozumienia zależności od zewnętrznych dostawców usług ICT i odpowiednie monitorowanie zagrożeń wynikających z koncentracji zależności od zewnętrznych dostawców usług ICT. Jednym z celów DORA jest właśnie zarządzenie ryzykiem systemowym poprzez m.in. konieczność oceny ryzyka koncentracji ze strony zewnętrznych dostawców usług ICT.
 

Co dalej w świetle wymogów rozporządzenia DORA?

Wymogi regulacyjne w zakresie tworzenia strategii oraz polityki budzą wiele wątpliwości, które dotyczą m.in.: różnic w traktowaniu dostawców zewnętrznych i wewnętrznych (dostawcy wewnętrzni, mimo tego, że w teorii generują mniejsze ryzyko, w świetle wymogów DORA podlegają identycznemu traktowaniu co dostawcy zewnętrzni) czy rozumienia łańcucha dostaw oraz zlecania podwykonawstwa krytycznych funkcji (zagadnienie ma być przedmiotem osobnego pakietu standardów technicznych), czego wyrazem są liczne komentarze i uwagi zgłaszane do projektów standardów technicznych w trakcie publicznych konsultacji. Niezależnie od dalszego rozwoju wymogów DORA i towarzyszących mu standardów technicznych w zakresie posiadania polityki korzystania z usług dostawców ICT, organizacje powinny opracować efektywny i dobrany do specyfiki podmiotu proces zarządzania ryzykiem stron trzecich i zarządzania relacją w całym cyklu życia, który pozwala na zwiększenie bezpieczeństwa świadczonych usług i ciągłości działania.

Strategia i polityka zarządzania ryzykiem w obszarze usług ICT są kluczowymi elementami odpowiedzialnego funkcjonowania instytucji finansowych. Rejestr informacji, który także jest przedmiotem konsultacji społecznych, będący narzędziem umożliwiającym efektywne monitorowanie, raportowanie i zarządzanie procesem zarządzania stronami trzecimi odgrywa tu bardzo ważną rolę. W tym świetle rozporządzenie DORA jest bardzo aktualnym i potrzebnym dokumentem, który nie tylko ustanawia wspólne ramy zarządzania ryzykiem stron trzecich w obszarze usług ICT, ale może znacznie ułatwić zarządzanie organizacją i jej dostawcami (w tym ryzykiem związanym z dostawcami) i zwiększyć jego efektywność przynosząc realną wartość dodaną.