Outsourcing
elementem zarządzania ryzykiem
w banku
Marek Piwko
Praca napisana pod kierunkiem
dr. Remigiusza Kaszubskiego
Warszawa, maj 2007
2
Streszczenie
Niniejsza praca prezentuje zagadnienie wykorzystywania outsourcingu w
bankowości. Dotyczy ryzyk wiążących się z tą metodologią prowadzenia działalności
oraz instrumentów efektywnego nimi zarządzania.
Wprowadzenie dotyczy ogólnych kwestii związanych z outsourcingiem – jego
istoty, jak i korzyści i zagrożeń, które ze sobą niesie. Przedstawia również specyfikę
wykorzystywania tej koncepcji biznesowej w działalności bankowej.
Kolejny rozdział odnosi się do ryzyka w działalności bankowej. Omówiona jest
w nim istota tego ryzyka, jego rodzaje, a także zaprezentowany proces zarządzania
nim. Stanowi to punkt wyjścia dla przedstawienia outsourcingu jako źródła
szczególnych ryzyk.
Zasadnicza część pracy poświęcona jest opisowi instrumentów efektywnego
zarządzania ryzykiem związanym z wykorzystaniem zasobów podmiotów
zewnętrznych przez banki. Następuje to z podziałem na kolejne etapy realizacji
przedsięwzięcia – w odniesieniu do standardów wypracowanych w praktyce, jak i
przepisów prawa.
3
Spis treści
Rozdział 1. Wprowadzenie
7
1.1. Istota outsourcingu
7
1.2. Motywy dla outsourcingu. Korzyści i zagrożenia
8
1.3. Ujęcie prawne
10
1.4. Outsourcing w działalności bankowej
11
Rozdział 2. Ryzyka w działalności bankowej
14
2.1. Istota ryzyka bankowego
14
2.2. Rodzaje ryzyka
15
2.2.1. Ryzyko kredytowe
16
2.2.2. Ryzyko kraju i transferu
17
2.2.3. Ryzyko rynkowe
17
2.2.4. Ryzyko stopy procentowej
17
2.2.5. Ryzyko płynności
18
2.2.6. Ryzyko operacyjne
19
2.2.7. Ryzyko prawne
20
2.2.8. Ryzyko utraty reputacji
21
2.3. Zarządzanie ryzykiem bankowym
21
2.4. Outsourcing jako źródło szczególnych ryzyk dla banku
25
2.4.1. Ryzyko operacyjne
26
2.4.2. Ryzyko strategiczne
27
2.4.3. Ryzyko prawne
28
2.4.4. Ryzyko utraty reputacji
29
2.2.5. Inne ryzyka
29
Rozdział 3. Instrumenty efektywnego zarządzania ryzykiem związanym z
wykorzystaniem outsourcingu w działalności bankowej
31
3.1. Etap przedkontraktowy
32
3.1.1. Praca koncepcyjna i planowanie
32
3.1.1.1. Wewnętrzna analiza przedsięwzięcia
32
4
3.1.1.2. Zakres przedmiotowy outsourcingu według ustawy – Prawo
bankowe
33
3.1.1.3. Plan przedsięwzięcia
38
3.1.2. Wybór usługodawcy
39
3.1.2.1. Zakres podmiotowy outsourcingu według ustawy – Prawo bankowe
39
3.1.2.2. Specyfikacja usługi
42
3.1.2.3. Lista potencjalnych usługodawców
42
3.1.2.4. Due dilligence
43
3.1.2.5. Zapytanie ofertowe
43
3.1.3. Negocjacje i zawarcie umowy
44
3.1.3.1. Protokół porozumienia
45
3.1.3.2. Obowiązek uczciwego negocjowania
45
3.1.3.3. Ochrona informacji poufnych
45
3.1.4. Tryb powierzania czynności bankowych podmiotom zewnętrznym
46
3.2. Zagadnienie umowy outsourcingowej
49
3.2.1. Znaczenie umowy
49
3.2.2. Podstawa prawna umowy
50
3.2.3. Forma umowy
51
3.2.4. Struktura umowy
51
3.2.5. Poziom świadczonych usług
52
3.3. Realizacja umowy outsourcingowej
53
3.3.1. Wdrożenie umowy outsourcingowej
53
3.3.2. Zarządzanie zasobami ludzkimi
54
3.3.3. Zarządzanie i monitoring przedsięwzięcia
55
3.3.3.1. Rola zarządu
56
3.3.3.2. Program zarządzania procesem outsourcingowym
56
3.3.3.3. Rola audytu
57
3.3.4. Tajemnica bankowa
58
3.3.5. Plany awaryjne
59
3.3.6. Odpowiedzialność z tytułu niewykonania lub nienależytego wykonania
umowy outsourcingowej
61
3.3.6.1. Zakaz ograniczania odpowiedzialności
61
3.3.6.2. Możliwość rozszerzenia odpowiedzialności insourcera
63
5
3.3.6.3. Kary umowne
64
3.3.6.4. Ubezpieczenie odpowiedzialności cywilnej insourcera
65
3.3.6.5. Bezpieczeństwo tajemnicy przedsiębiorstwa
65
3.3.7. Kontrola i nadzór nad realizacją umowy outsourcingowej
67
3.3.7.1. Środki kontroli
67
3.3.7.2. Środki nadzorcze
69
3.4. Zakończenie relacji outsourcingowej. Strategia wyjścia
71
Rozdział 4. Podsumowanie
74
Załącznik 1. Usługi w zakresie zapewnienia ciągłości działania i planów
awaryjnych na przykładzie oferty Hewlett-Packard
76
Bibliografia
79
Literatura
79
Ź
ródła
82
Akty prawne
83
6
Rozdział 1.
Wprowadzenie
Outsourcing, rozważany z perspektywy strategicznej, uważany jest obecnie za
jedną z najważniejszych i przynoszących największe korzyści metodologii
biznesowych. O jego doniosłości świadczy dobitnie fakt, iż został on uznany przez
Harvard Business Review za jedną z najważniejszych koncepcji w dziedzinie
zarządzania ostatniego 75-lecia.
1
Potwierdzeniem tego jest również jego
powszechne zastosowanie w działalności przedsiębiorstw. Z outsourcingu korzystają
przedstawiciele niemal wszystkich branż, by wymienić choćby farmaceutyczną, usług
finansowych, hotelarską czy transportową. Zauważalna jest też mnogość funkcji
przekazywanych podmiotom trzecim do wykonywania, jak np.: zarządzanie zasobami
ludzkimi, technologie informacyjne, obsługa klientów, marketing, księgowość,
administracja. Ta różnorodność odnosi się również do relacji łączących strony
stosunków outsourcingowych. I tak, zlecenia mogą przybierać postać nieformalnych
porozumień o świadczeniu usług w razie potrzeby, jak też i formalnych umów
dokładnie wyznaczających zasady współpracy.
1.1. Istota outsourcingu
Przechodząc do wyjaśnienia istoty outsourcingu, zauważyć należy, iż termin
ten jest neologizmem utworzonym poprzez połączenie trzech słów: outside resource
using, oznaczających wykorzystywanie zasobów zewnętrznych. Szerzej, sens tego
procesu wyraża się w wykorzystywaniu zasobów podmiotu zewnętrznego
2
do
realizacji czynności, które wcześniej były wykonywane przez przedsiębiorstwo lub
które w ramach tej struktury mogłyby być wykonywane. Efekty tych czynności, przy
tym, nie trafiają do obrotu jako samodzielny produkt, ale służą zlecającemu
3
w
wykonywaniu jego czynności.
4
1
Ch.L. Gay, J. Essinger, Outsourcing strategiczny. Koncepcja, modele i wdrażanie, Oficyna
Ekonomiczna, Kraków 2002, s. 12.
2
Podmiot zewnętrzny bywa tez określany mianem usługodawcy, insourcera, zleceniobiorcy, dostawcy
itp.
3
Podmiot zlecający bywa również określany mianem usługobiorcy, outsourcera, zleceniodawcy,
nabywcy itp.
4
R. Juchno, R.W. Kaszubski, Outsourcing w działalności bankowej, Glosa 6/2001, s. 8.
7
Podkreślenia wymaga w tym miejscu, iż nie została dotąd wypracowana
jednolita, powszechnie akceptowana definicja outsourcingu. Autorzy posługują się
różniącymi się między sobą określeniami, często akcentującymi różne aspekty tego
zjawiska. Dla przykładu wskazać można za Ianem Tho
5
, iż chodzi tu o działalność
polegającą na dostarczeniu przez jedną stronę dóbr lub usług, które pierwotnie były
wykonywane własnymi siłami w ramach przedsiębiorstwa nabywcy. Cytowany autor
podkreśla przy tym formalny jedynie, ramowy charakter proponowanej przez siebie
definicji. D. Zielińska
6
, z kolei, za outsourcing uważa długoterminowe zlecenie na
wyłączność realizacji pewnych funkcji lub procesów wykonywanych przez
pracowników danego przedsiębiorstwa firmie zewnętrznej specjalizującej się w danej
dziedzinie.
Na potrzeby opracowywanych przez siebie dokumentów, własne definicje
przyjmują również międzynarodowe organizacje czy gremia. Wskazać tu należy w
szczególności Komitet Bazylejski Nadzoru Bankowego
7
(KBNB) i Komitet
Europejskich Nadzorców Bankowych
8
. Rozumienie outsourcingu przez te ciała jest
zbieżne z tym zaproponowanym przez R. Juchno i R. Kaszubskiego. Podkreślenia
wymaga jednak, iż proponowane definicje nie obejmują swoim zakresem tzw.
purchasing contracts. Umowy te mają za przedmiot świadczenie usług, dóbr lub
funkcji bez przekazywania dostawcy przez ich odbiorcę informacji czy danych
dotyczących klientów odbiorcy. Mogą również dotyczyć dostarczania pewnych
standardowych produktów.
1.2. Motywy dla outsourcingu. Korzyści i zagrożenia
Omawiając ogólne aspekty outsourcingu, w dalszej kolejności uwagę należy
zwrócić na motywację, która prowadzi przedsiębiorców do wchodzenia w tego
rodzaju relacje, jak również związane z nimi korzyści i zagrożenia.
Wśród najważniejszych przyczyn stosowania outsourcingu przez firmy
wymieniane są
9
:
5
I. Tho, Managing the Risks of IT Outsourcing, Elsevier Butterworth-Heinemann, Oxford 2005, s. 7.
6
D. Zielińska, Kupowanie mocy obliczeniowej, Bank 1/2004.
7
The Joint Forum, Outsourcing in Financial Services, Basel Committee on Banking Supervision,
February 2005, s. 4.
8
Committee of European Banking Supervisors, Guidelines on Outsourcing, December 2006, s. 2.
9
Survey of Current and Potencial Outsourcing End-Users, The Outsourcing Institute Membership,
1998, za: Ch.L. Gay, J. Essinger, Outsourcing..., s. 16-17; The Joint Forum, Outsourcing..., s. 6.
8
redukcja i kontrola kosztów operacyjnych,
zwiększenie koncentracji firmy na podstawowej działalności,
uzyskanie dostępu do mocy produkcyjnych najlepszej jakości,
zwolnienie własnych zasobów do innych celów,
uzyskanie zasobów, którymi organizacja nie dysponuje,
przyspieszenie pojawienia się korzyści wynikających z restrukturyzacji,
uporanie się z funkcją trudną do wykonywania lub niemożliwą do
kontrolowania,
pozyskanie kapitału,
podział ryzyka,
dopływ gotówki.
Motywacja
do
wchodzenia
w
relacje
outsourcingowe
jest
silnie
zdeterminowana korzyściami związanymi z tą koncepcją zarządzania. Chodzi tu
przede wszystkim o umożliwienie przedsiębiorstwu skoncentrowania się na jego
podstawowej działalności (core business). Sferę core business wyznaczają zadania
krytyczne z punktu widzenia możliwości osiągnięcia przez przedsiębiorstwo przewagi
konkurencyjnej nad innymi.
10
Ich znaczenie potęguje fakt, że stanowią one kluczowy
czynnik wzrostu i rozwoju przedsiębiorstwa. Podkreśla się ponadto ich ścisły związek
z dziedziną relacji przedsiębiorstwo – klient
11
. Wśród korzyści płynących z
outsourcingu uwagi wymaga również założenie, iż podmiot zewnętrzny może
wykonać daną czynność taniej, lepiej i szybciej, niż gdyby wykonywać je w ramach
przedsiębiorstwa.
12
Rozważania dotyczące zagrożeń związanych z outsourcingiem – jak można w
pewnym uproszczeniu wskazać – koncentrują się wokół dwóch głównych zagadnień
– kwestii właściwego do niego podejścia oraz ryzyk związanych z praktykowaniem tej
metody prowadzenia biznesu. I tak, podkreśla się konieczność dogłębnego
zrozumienia tego, co dla firmy oznacza w rzeczywistości podjęcie inicjatywy
outsourcingowej. Niezbędne jest zrozumienie przez przedsiębiorstwo jego celów
działania, jak również wypracowanie spójnej strategicznej wizji i planu
funkcjonowania. Tak przygotowana organizacja powinna dopiero podejmować
10
I. Tho, Managing..., s. 42.
11
R. McIvor, Strategic Outsourcing: Lessons from a Systems Integrator, Business Strategy Review,
2000, Vol. 11, Iss. 3, s. 44; Ch.L. Gay, J. Essinger, Outsourcing strategiczny..., s. 34-35.
12
R. Juchno, R.W. Kaszubski, Outsourcing w działalności..., s. 6.
9
decyzję w kwestii outsourcingu. Należy ponadto gruntownie i szczegółowo
zaplanować cały proces współpracy z podmiotem zewnętrznym – począwszy od fazy
wstępnej, przygotowawczej, a skończywszy na kwestiach rozwiązania relacji.
Posiadanie klarownej, wewnętrznie niesprzecznej wizji oraz planu w tym zakresie
stanowi swoiste sine qua non prawidłowego i efektywnego zarządzania projektem
outsourcingowym na każdym etapie jego realizacji. W tym kontekście zwraca się
uwagę na fakt, iż tylko postrzeganie outsourcingu w kategoriach strategicznych
pozwala, z jednej strony, na czerpanie zeń jak największych korzyści, z drugiej zaś –
na unikanie podejmowania decyzji lub działań, które mogłyby skutkować
niepowodzeniem całego projektu.
Problem ryzyk wiążących się z outsourcingiem w tym miejscu jedynie
wskazuję. Zostanie on szerzej przedstawiony w dalszej części pracy.
13
1.3. Ujęcie prawne
Rozważania ogólne dotyczące outsourcingu winny być dopełnione jego
ujęciem w kategoriach prawnych. Jak wynika z powyższych wywodów, outsourcing
został ukształtowany i funkcjonuje jako pewna strategia zarządzania organizacją.
Jest to kategoria z pogranicza zarządzania i ekonomii. Prawo natomiast nie
wykształciło dotąd jednolitej odpowiadającej mu instytucji. Niemniej jednak znaczenia
przepisów prawnych w jego funkcjonowaniu nie należy nie doceniać. Rola, jaką
pełnią, wiąże się przede wszystkim z traktowaniem ich jako instrumentarium
mającego służyć należytemu ukształtowaniu i funkcjonowaniu relacji między stronami
stosunków outsourcingowych. W tym właśnie kontekście umowę outsourcingową
uważa się za jedno z głównych narzędzi efektywnego zarządzania przedmiotowym
projektem.
W związku ze wskazanym wyżej charakterem umów outsourcingowych,
należy podnieść, że kluczowe znaczenie – jako podstawa praw i obowiązków ich
stron – będzie miała zasada swobody umów (art. 353
1
k.c.). W jej ramach strony
mogą kształtować wzajemne relacje wedle własnego uznania. Jedyne ograniczenia
mogą w tym zakresie wynikać z natury stosunku prawnego, przepisów ustawy lub
zasad współżycia społecznego. Wydaje się, że w omawianej kwestii będą to przede
13
Zob. punkt 2.4.
10
wszystkim ograniczenia ustawowe – i to zarówno o charakterze prywatno–, jak i
publicznoprawnym. W pierwszej grupie znajdą się zwłaszcza uregulowania
kształtujące rodzaj stosunku prawnego, do którego dana umowa została
zakwalifikowana. Ograniczenia publicznoprawne z kolei odnosić się będą do
warunków, na jakich mogą być podejmowane określone rodzaje działalności
gospodarczej, jak również mogą przewidywać ingerencję określonych podmiotów w
jej prowadzenie, a zatem i w kwestie związane z zawieraniem umów
outsourcingowych. Zauważyć również należy, iż omawiane umowy są zazwyczaj
zawierane pomiędzy podmiotami prowadzącymi działalność gospodarczą, co
skutkuje
koniecznością
uwzględnienia
przy
ocenie
tychże
kontraktów
profesjonalnego charakteru ich stron. Ponadto podkreślenia wymaga, że związanie
się relacją outsourcingową łączy się zawsze z ujawnieniem kontrahentowi
(zleceniobiorcy) danych poufnych, stanowiących tajemnicę przedsiębiorstwa. Wiąże
się to z potrzebą – z jednej strony, odpowiedniego kontraktowego zabezpieczenia
interesu zleceniodawcy, z drugiej zaś – uwzględnienia przepisów regulujących tą
kwestię.
Konkludując, strony kontraktów outsourcingowych mogą ukształtować ich
treść wedle swojego uznania. Jednakże zawarcie umowy powinno poprzedzić
dokładne zbadanie, po pierwsze, czy istnieje prawna możliwość wejścia w taką
relację, a po drugie, czy istnieją przepisy z góry określające prawa i obowiązki stron,
jak również inne elementy stosunku outsourcingowego.
1.4. Outsourcing w działalności bankowej
Przedsiębiorcami wykorzystującymi outsourcing w swojej działalności są
również banki. O popularności tej metody zarządzania świadczą wyniki ankiety
przeprowadzonej przez Generalnego Inspektora Nadzoru Bankowego w czerwcu
2001 r. Omówione w piśmie Generalnego Inspektora skierowanym do prezesów
banków z dnia 15 marca 2002 r.
14
, ujawniły, że 84% wszystkich banków wykorzystuje
zasoby zewnętrzne do prowadzenia przez siebie działalności. Powołana ankieta
pokazała również, jakie czynności banki najczęściej zlecają do wykonywania
podmiotom zewnętrznym. Wskazać tu należy w szczególności:
14
Sygn. NB-BPN-I-022-13/02, Prawo Bankowe 4/2002, za: M. Olszak, Outsourcing w działalności
bankowej, LexisNexis, Warszawa 2006, s. 15-16.
11
sprzedaż produktów bankowych,
przetwarzanie danych,
administrowanie kredytami,
drukowanie, kopertowanie i wysyłanie korespondencji,
doradztwo finansowe i prawne,
windykację należności,
skanowanie, archiwizację dokumentów oraz ich niszczenie.
Banki, podejmując decyzje o wyoutsourcowaniu części swojej działalności, kierują się
motywami właściwymi innym podmiotom, oczekują też podobnych korzyści.
15
Tym jednak, co wyróżnia je spośród innych podmiotów decydujących się na tę
metodę prowadzenia biznesu, jest kwestia związanych z jej implementacją
konsekwencji. Nabierają one szczególnej doniosłości, jeśli zważyć na charakter
działalności bankowej jako genetycznie obarczonej ryzykiem, a przy tym będącej
działalnością gospodarczą, a więc zarobkową. Z tego też względu powszechnie
nadaje się bankom przymiot instytucji zaufania publicznego. Specyfika ta wpisana
jest już w ustawową definicję, określającą przedmiot ich działalności jako obciążanie
ryzykiem środków zgromadzonych pod jakimkolwiek tytułem zwrotnym
16
. Co więcej,
działalność ta opiera się głównie na środkach pochodzących od klientów. Środki
własne banków stanowią ich nieznaczną część.
17
Z drugiej strony
18
, relacja między
bankiem a klientem wiąże się z koniecznością ujawnienia przez tego pierwszego
szeregu informacji o charakterze konfidencjonalnym, chronionych w ramach prawa
do prywatności. Są one niezbędne bankowi do należytego świadczenia usług na
rzecz klienta. Wymaga to jednak zapewnienia, że nie zostaną one ujawnione osobom
trzecim.
Wynika stąd bezpośrednio podstawowy cel publicznoprawnej regulacji
działalności bankowej, a mianowicie zapewnienie bezpieczeństwa środków
zgromadzonych przez banki od ludności. Polega ona na poddaniu ich szczególnemu
reżimowi w zakresie tworzenia, organizacji i działania, a ponadto na ustanowieniu
nadzoru, który ma czuwać nad urzeczywistnieniem wskazanego celu. Naturalną
zatem konsekwencją uregulowania przez państwo działalności bankowej jest
15
Zostały one omówione wyżej.
16
Artykuł 2 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (tekst jedn.: Dz.U. z 2002 r., Nr 72,
poz. 665 z późn. zm.), dalej jako: pr. bank.
17
B. Smykla, Prawo bankowe. Komentarz, C.H. Beck, Warszawa 2005, s. 10.
18
R.W. Kaszubski, Funkcjonalne źródła prawa bankowego publicznego, Wolters Kluwer, Warszawa
2006, s. 113.
12
poddanie regulacji również i przypadków przekazywania przez banki części swojej
działalności do wykonywania przez podmioty zewnętrzne. Ratio jej stanowi potrzeba
zapewnienia, by czynności należące do działalności bankowej były wykonywane
przez insourcerów co najmniej tak bezpiecznie i solidnie, jak w razie wykonywania
ich przez banki w ramach ich przedsiębiorstwa
19
.
Z tak zarysowanej perspektywy należy patrzeć na polską regulację
przedmiotowego zagadnienia w obszarze bankowości. Została ona wprowadzona do
porządku prawnego ustawą z dnia 1 kwietnia 2004 r. o zmianie ustawy – Prawo
bankowe oraz o zmianie innych ustaw (Dz.U. Nr 91, poz. 870) oraz ustawę z dnia 27
maja 2004 r. o funduszach inwestycyjnych (Dz.U. Nr 146, poz. 1546 z późn. zm.).
Składają się na nią art. 6a-6d, jak również art. 104 ust. 5 i art, 111 ust. 1 pkt 9 pr.
bank., a także zmieniony art. 104 ust. 2 pkt 2 pr. bank. Regulacja weszła w życie dnia
1 maja 2004 r., przy czym na banki nałożony został obowiązek dostosowania do jej
zasad praktyk outsourcingowych podejmowanych przed tą datą – do dnia 1 stycznia
2005 r.
Dalsze rozważania zostaną zorganizowane w dwóch zasadniczych częściach.
Pierwsza dotyczyć będzie ryzyk w działalności bankowej – ich istoty, źródeł i
rodzajów. Podjęty tu zostanie problem znaczenia zarządzania tymi ryzykami z
uwzględnieniem outsourcingu jako jednej z metod w tym zakresie. Wreszcie
omówione zostaną ryzyka wynikające z wykorzystania outsourcingu w działalności
bankowej. Kolejna część stanowić będzie prezentację środków minimalizacji tychże
ryzyk. Nastąpi to z podziałem na etap przedkontraktowy, zagadnienia umowy
outsourcingowej, jej realizacji, a także zakończenia opartych o nią relacji, w
odniesieniu do przepisów prawa i standardów wypracowanych w praktyce.
19
M. Olszak, Outsourcing w działalności..., s. 10.
13
Rozdział 2.
Ryzyka w działalności bankowej
Ryzyko, jak to wskazano wyżej, wiąże się nieodłącznie z działalnością
prowadzoną przez banki. Wynika to z pełnionej przez nie w gospodarce roli
pośredników finansowych pomiędzy podmiotami mającymi nadwyżki i niedobory
pieniężne. Banki, przyjmując depozyty i udzielając na ich podstawie kredytów,
przejmują wynikające stąd ryzyko, dysponując jednocześnie instrumentami jego
dywersyfikacji, zmniejszania, kompensacji lub relokacji.
20
To genetyczne powiązanie
działalności bankowej z ryzykiem znajduje wprost odzwierciedlenie w legalnej
definicji banku. Można zatem prowadzenie działalności bankowej – w pewnym
uproszczeniu – traktować jako proces zarządzania ryzykiem. Należy nadto mieć na
uwadze fakt, że banki są instytucjami zaufania publicznego. Z jednej strony, przymiot
ten umożliwia w ogóle prowadzenie przez te podmioty tak określonej działalności
gospodarczej, z drugiej zaś, w znaczącym stopniu determinuje warunki jej
prowadzenia.
2.1. Istota ryzyka bankowego
Zasadniczo ryzyko jest rozumiane jako zagrożenie nieosiągnięcia zakładanych
celów.
21
Przy tym, zazwyczaj odnosi się je do zdarzeń mogących negatywnie
wpłynąć na działalność przedsiębiorstwa. W przypadku banku mogą one powodować
przykładowo: utratę płynności, wiarygodności czy klientów, a w skrajnych sytuacjach
prowadzić do upadłości. Z drugiej jednak strony, stopień realizacji celów może
przewyższać ten zakładany, a przez to korzystnie wpływać na prowadzenie
działalności. Te dodatkowe szanse mogą w przypadku banku wiązać się szczególnie
z korzystnym ukształtowaniem stóp procentowych lub kursów walut, a w
konsekwencji wpływać odpowiednio na wynik finansowy czy płynność. Niemniej
jednak, w rozumieniu ryzyka dominuje pierwsze z wskazanych ujęć.
20
J.H. Górka, Specyfika ryzyka w bankowości elektronicznej, Materiały i Studia Zeszyt 205, NBP, IV
2006, s. 22.
21
P. Matkowski, Zarządzanie ryzykiem operacyjnym, Wolters Kluwer, Kraków 2006, s. 14-15; R.W.
Kaszubski, Funkcjonalne..., s. 188; Z. Zawadzka, [w:] Bankowość. Podręcznik akademicki, pod red.
W.L. Jaworskiego i Z. Zawadzkiej, Poltext, Warszawa 2005, s. 627; J.H. Górka, Specyfika..., s. 22.
14
Ponadto, w ekonomii i statystyce dokonuje się rozróżnienia ryzyka i
niepewności
22
. Przez ryzyko rozumie się sytuacje, w których znane są
prawdopodobieństwa wystąpienia określonych zdarzeń, a zatem i wartość
oczekiwana zmiennej losowej. Niepewność zaś stanowi określenie sytuacji, w
których rozkład prawdopodobieństwa nie jest znany. Podkreśla się przy tym
obiektywny charakter ryzyka jako kategorii niezależnej od stopnia posiadanej wiedzy.
Jego przeciwieństwem jest odznaczająca się subiektywnością niepewność. Może się
ona zmniejszać w miarę powiększania naszego zasobu wiedzy o danym obiekcie.
23
Wedle tego ujęcia, w działalności bankowej mamy głównie do czynienia z
niepewnością, a nie ryzykiem.
Rozmiary ryzyka występującego w działalności bankowej uzależnione są od
wielu wzajemnie na siebie oddziałujących czynników. Wyróżnia się wśród nich te o
charakterze zewnętrznym (niezależne od banku) oraz te o charakterze
wewnętrznym. W obrębie pierwszej grupy wskazać należy czynniki: ogólnospołeczne
(polityka gospodarcza państwa, polityka banku centralnego, stopa inflacji i in.),
społeczne (zachowania klientów banku, skłonności do oszczędzania), polityczne
(tendencje i wydarzenia mające wpływ na sytuację społeczno-gospodarczą),
demograficzne (struktura ludności, stopa bezrobocia) oraz techniczne (stan
infrastruktury). Druga grupa natomiast obejmuje w szczególności: gwałtowny wzrost
aktywów objętych podwyższonym ryzykiem, wysokie koszty ogólne, spadek
współczynnika wypłacalności czy agresywną kampanię reklamową.
24
2.2. Rodzaje ryzyka
W literaturze przedmiotu prezentowane są różne klasyfikacje ryzyka.
25
Jak się
podkreśla, brak jednoznacznego, powszechnie akceptowanego podziału jest
wynikiem, z jednej strony, złożoności roli banków w funkcjonowaniu współczesnych
gospodarek,
z
drugiej
zaś,
jednoczesnego,
wzajemnego
oddziaływania
poszczególnych rodzajów ryzyka na sytuację banku.
26
22
Ibidem.
23
P. Matkowski, Zarządzanie..., s. 15.
24
Z. Zawadzka, [w:] Bankowość..., s. 634.
25
Zob. w szczególności: R.W. Kaszubski, Funkcjonalne..., s. 189-191; J.H. Górka, Specyfika..., s. 22-
29 i powołane tam przykłady klasyfikacji.
26
Z. Zawadzka, [w:] Bankowość..., s. 628.
15
Klasyfikacja ryzyka bankowego przyjęta w niniejszej pracy oparta jest na tej
zaproponowanej przez KBNB.
27
Obejmuje ona najistotniejsze oraz najczęściej
spotykane i wyróżniane jego rodzaje. Ponadto jest wyrazem kreowanych pod
auspicjami KBNB międzynarodowych standardów w tym zakresie. I tak, wyróżnia ona
następujące rodzaje ryzyka w działalności bankowej: kredytowe, kraju i transferu,
rynkowe, stopy procentowej, płynności, operacyjne, prawne oraz utraty reputacji.
2.2.1. Ryzyko kredytowe
W ogólnym ujęciu oznacza ono niebezpieczeństwo, że kredytobiorca nie
wypełni zobowiązań i warunków umowy, narażając kredytodawcę na powstanie
straty finansowej.
28
Jest ono uznawane za podstawowy rodzaj ryzyka w bankowości,
jako że kredytowanie stanowi główny przedmiot działalności bankowej. Obejmuje ono
bardzo szeroki zakres tej działalności: udzielone kredyty, przyznane, ale nie pobrane
kredyty, gwarancje i akcepty bankowe, akredytywy, lokaty międzybankowe, jak
również instrumenty rynku kapitałowego (w tym akcje, obligacje, instrumenty
pochodne). Ryzyko to dotyczy zatem bilansowych, jak i pozabilansowych
zobowiązań banku.
Ryzyko kredytowe nie jest kategorią jednolitą. Wyróżnia się w jego ramach
ryzyko kredytowe aktywne i pasywne.
29
Pierwsze stanowi zagrożenie niespłacenia
przez kredytobiorcę przypadających rat kapitałowych wraz z odsetkami, prowizjami i
innymi opłatami w ustalonych w umowie kredytowej wysokości i terminie. Drugie
natomiast oznacza zagrożenie wcześniejszego, niż wynika to z umowy, wycofania
przez klienta zdeponowanych środków lub zagrożenie nieuzyskania kredytów
refinansowych.
W zakresie zarządzania ryzykiem kredytowym podstawowe znaczenie mają
regulacje odnoszące się do limitów koncentracji zaangażowań (art. 71 pr. bank.),
adekwatności kapitałowej (art. 128 pr. bank.) czy obowiązku tworzenia rezerw
celowych (art. 81 ust. 2 pkt 8 lit. c ustawy o rachunkowości
30
).
27
Basel Committee on Banking Supervision, Core Principles for Effective Banking Supervision, No.
30, Basel, September 1997; polska wersja językowa na stronie www.nbp.pl.
28
M.S. Wiatr, [w:] Bankowość..., s. 659.
29
Ibidem, s. 660.
30
Ustawa z dn. 29.09.1994 r. o rachunkowości (tekst jedn.: Dz.U. z 2002 r. Nr 76, poz. 694 z późn.
zm.). Na podstawie delegacji zawartej w powołanym przepisie wydane zostało rozporządzenie
16
2.2.2. Ryzyko kraju i transferu
Ryzyko to dotyka banki w związku z ich działalnością o charakterze
transgranicznym. W jego ramach wyodrębnia się dwa aspekty. Pierwszy – ryzyko
kraju – dotyczy zagrożeń związanych ze środowiskiem ekonomicznym, społecznym i
politycznym kraju macierzystego kredytobiorcy. Aspekt drugi – ryzyko transferu –
pojawia się wówczas, gdy zobowiązanie kredytobiorcy nie jest denominowane w
walucie miejscowej. Waluta zobowiązania może stać się niedostępna dla
kredytobiorcy bez względu na jego sytuację finansową. Omawiane ryzyko jest
minimalizowane w oparciu o system monitorowania adekwatności kapitałowej i
tworzenia rezerw celowych.
2.2.3. Ryzyko rynkowe
Wynika ono ze zmiany cen rynkowych i naraża na straty banki działające na
różnych rynkach finansowych. Z drugiej strony, fluktuacje te mogą okazać się dla
banków korzystne. Omawiane zagrożenie ma charakter złożony i – w ramach
transakcji bilansowych i pozabilansowych – obejmuje ryzyko: stopy procentowej,
walutowe, zmiany kursu akcji czy cen metali szlachetnych. Składają się na nie ryzyka
cenowe związane z konstrukcją portfela handlowego banku.
31
Redukcja odbywa się
w oparciu o system wyznaczania wymogów kapitałowych z tytułu poszczególnych
rodzajów ryzyka i adekwatności kapitału.
2.2.4. Ryzyko stopy procentowej
Ryzyko to oznacza sytuację, gdy zmiany stóp procentowych mogą narazić
bank na straty. Wpływa ono zarówno na dochody banku, jak i na wartość
ekonomiczną jego aktywów, pasywów i instrumentów finansowych. Jest ono ściśle
powiązane z ryzykiem rynkowym i również ma złożony charakter. Ustawowe
odniesienie dla minimalizacji tego ryzyka stanowią przepisy art. 133 ust. 2 pkt 2 pr.
bank. Na jego mocy organ nadzoru bankowego w ramach wykonywanych przez
Ministra Finansów z dnia 10 grudnia 2003 r. w sprawie zasad tworzenia rezerw na ryzyko związane z
działalnością banków (Dz.U. Nr 218, poz. 2147).
31
R.W. Kaszubski, Funkcjonalne..., s. 185.
17
siebie czynności bada jakość systemu zarządzania bankiem, w szczególności
systemu zarządzania ryzykiem.
2.2.5. Ryzyko płynności
Jest ono określane jako zagrożenie przejściowej lub całkowitej utraty
płynności przez bank. Powstaje wskutek niemożności poradzenia sobie przez bank
ze spadkiem pasywów lub z finansowaniem wzrostu aktywów. Podkreślenia wymaga,
ż
e stanowi ono główny element łączący pozostałe rodzaje ryzyka w działalności
banku. Ziszczenie się bowiem któregokolwiek z nich zagraża w rezultacie płynności.
Utrata zaś płynności przekłada się w konsekwencji na utratę reputacji przez bank,
pamiętać wszak trzeba, że jest on instytucją zaufania publicznego.
Ryzyko płynności nie jest kategorią jednolitą wewnętrznie. W ramach jednego
z podziałów wyróżnia się ryzyko płynności pierwotne i wtórne.
32
W przypadku
pierwszego z nich zagrożenie wyniku finansowego wynika z samego
gospodarowania aktywami i pasywami banku. Drugie jest rezultatem niekorzystnych
zmian cen i utraty kapitału. Inny podział wiąże się z gospodarowaniem składnikami
bilansu.
33
I tak, aktywne ryzyko płynności (ryzyko terminu) to zagrożenie wywołane
nieplanowanym wydłużeniem zaangażowania kapitału w operacjach aktywnych. Z
kolei pasywne ryzyko uzupełniającego refinansowania wiąże się z niezgodnością
okresów, na jakie pozyskano i zainwestowano kapitał. Wreszcie ryzyko zawartych
umów oznacza możliwość wystąpienia nieoczekiwanych roszczeń beneficjentów do
realizacji przyrzeczonych kredytów i gwarancji (aktywne) lub też niebezpieczeństwo
nieoczekiwanego wycofania depozytów (pasywne).
Na gruncie polskiego ustawodawstwa banki są zobowiązane do utrzymywania
płynności płatniczej dostosowanej do rozmiarów i rodzaju działalności w sposób
zapewniający wykonanie wszystkich zobowiązań zgodnie z terminami ich płatności
(art. 8 pr. bank.). Ponadto na podstawie delegacji zawartej w przepisie art. 128 ust. 8
pr. bank. Komisja Nadzoru Bankowego ustaliła wiążące banki normy płynności.
34
32
B. Gruszka, [w:] Bankowość..., s. 752-753.
33
Ibidem, s. 753.
34
Rekomendacja P dotycząca systemu monitorowania płynności finansowej, z 2002 .
18
2.2.6. Ryzyko operacyjne
Określenie istoty tego rodzaju ryzyka opiera się o dwa podejścia. Z jednej
strony jest ono pojmowane w sposób negatywny jako tzw. pozostałe ryzyko, tj. takie,
którego nie sposób zakwalifikować jako kredytowe ani rynkowe. Z drugiej zaś strony,
podejmowane są próby stworzenia definicji pozytywnych.
35
Za przykładową posłużyć
może definicja przyjęta przez KBNB
36
. I tak, ryzyko operacyjne jest to ryzyko strat
wynikających z niedostosowania lub zawodności wewnętrznych procesów, ludzi i
systemów technicznych lub ze zdarzeń zewnętrznych. Obejmuje ono ryzyko prawne,
nie uwzględnia natomiast strategicznego i reputacji.
Zaprezentowane wyżej ujęcie pokazuje wewnętrzną złożoność ryzyka
operacyjnego. W jego ramach można wskazać następujące aspekty:
ryzyka o charakterze organizacyjnym – wiążące się ze stratami powstałymi w
wyniku błędów w przyjętych procedurach albo też braku wymaganych
procedur (np. wady funkcjonowania kontroli wewnętrznej i zasad zarządzania
bankiem); straty te powodowane są nieumyślnie, mogą być następstwem
błędów;
ryzyka o charakterze personalnym – wiążące się ze stratami spowodowanymi
umyślnym przekroczeniem przepisów przez obecnych lub byłych pracowników
(w
szczególności:
oszustwa,
przekroczenie
uprawnień,
zaniedbanie
obowiązków);
ryzyka o charakterze technicznym – wiążące się ze stratami spowodowanymi
przez awarie systemów lub technologii (np. programów informatycznych);
ryzyka o charakterze vis maior – wiążące się ze stratami spowodowanymi
przez działanie sił natury lub działanie osoby trzeciej (np. powódź,
przedłużające się awarie elektryczne).
37
Konieczność zarządzania ryzykiem operacyjnym wynika bezpośrednio z jego
znaczenia dla instytucji. Z analiz przeprowadzonych przez KBNB wynika jego 25%
35
P. Matkowski, Zarządzanie..., s. 24, 28-30 i prezentowane tam przykłady.
36
Basel Committee on Banking Supervision, International Convergence of Capital Measurement and
Capital Standards a Revised Framework, Bank for International Settlements, Basel 2004.
37
R.W. Kaszubski, Funkcjonalne..., s. 199; P. Matkowski, Zarządzanie..., 25-26.
19
udział w całości ryzyka ponoszonego przez banki.
38
Wskazana konieczność znajduje
odniesienie ustawowe w kompetencji organu nadzoru do badania jakości
zarządzania ryzykiem (art. 133 ust. 2 pkt 2 pr. bank.).
39
Zadaniem nadzoru w tym
zakresie jest w szczególności sprawdzenie poprawności wdrożenia i funkcjonowania
procedur systemów kontroli wewnętrznej, systemów zarządzania ryzykiem lub
redukowania ryzyka operacyjnego poprzez tworzenie adekwatnych do jego poziomu
planów awaryjnych.
40
2.2.7. Ryzyko prawne
Banki, będąc przedsiębiorcami, uczestniczą w obrocie gospodarczym. Z uwagi
jednak na specyfikę prowadzonej działalności, są obarczone szczególnym statusem
w obrocie, jak również podlegają szczególnym regulacjom prawnym. Tutaj też należy
szukać istoty ryzyka prawnego związanego z ich funkcjonowaniem. U jego źródeł
leży prawem określona możliwość banków bycia podmiotami praw i obowiązków oraz
możliwość kształtowania stosunków prawnych poprzez zawieranie czynności
prawnych.
Przede wszystkim wskazać należy, że banki działają w danym środowisku
prawnym. Składają się nań przepisy prawa regulujące ich działalność – zarówno
powszechnie obowiązujące, jak i wewnętrzne, przepisy tak prywatno-, jak i
publicznoprawne. Banki, a ściślej osoby występujące w ich imieniu, są zobligowane
do działania zgodnego z tymi regulacjami. Wymaga to oczywiście ich znajomości.
Ponadto, niezbędne jest zapewnienie zgodności z aktualnymi uregulowaniami
wszelkich regulaminów, wzorców umownych czy procedur wewnętrznych
funkcjonujących w bankach.
38
R.W. Kaszubski, Funkcjonalne..., s. 200. Warto na marginesie wskazać, iż przyjmuje się również, że
ryzyko operacyjne odpowiedzialne jest za 35% zmienności w osiąganych wynikach finansowych,
podczas gdy ryzyko kredytowe – za 50%, a rynkowe – za 15% (za: P. Matkowski, Zarządzanie..., s.
32).
39
Istotna zmiana w zakresie zarządzania ryzykiem operacyjnym wynika z postanowień Nowej Umowy
kapitałowej, która przewiduje objęcie go systemem adekwatności kapitałowej. Wyrazem tego są
postanowienia uchwały 1/2007 KNB z dnia 13 marca 2007 r., implementującej regulacje NUK do
prawa polskiego. Ponadto wskazać należy w szczególności następujące dokumenty opracowane
przez KNB: Rekomendację M dotyczącą zarządzania ryzykiem operacyjnym w bankach z 2004 r.,
Rekomendację D dotyczącą zarządzania ryzykami towarzyszącymi systemom informatycznym i
telekomunikacyjnym używanym przez banki, tekst zaktualizowany w 2002 r., oraz Rekomendację H
dotyczącą kontroli wewnętrznej w banku, tekst zaktualizowany w 2002 r.
40
R.W. Kaszubski, Funkcjonalne..., s. 201.
20
Istotnym czynnikiem omawianego ryzyka okazuje się także zmienność
przepisów prawa dotyczących zarówno banku i czynności przez niego
wykonywanych, jak i zmiany statusu prawnego partnera transakcji lub właściwego dla
niego środowiska prawnego.
41
Zmienność ta powinna być rozpatrywana w
perspektywie kraju siedziby banku oraz, jeśli prowadzi działalność transgranicznie, w
perspektywie kraju siedziby kontrahenta.
Ponadto, ryzyko prawne występuje w szczególności w związku z
42
:
niedoskonałością lub częstymi zmianami przepisów prawa,
niewłaściwymi poradami prawnymi,
nieprawidłowym prowadzeniem dokumentacji,
niekorzystnymi orzeczeniami sądowymi,
angażowaniem się w nowe rodzaje transakcji,
dokonywaniem transakcji z partnerami o nieustalonej pozycji prawnej.
2.2.8. Ryzyko utraty reputacji
Ryzyko to jest uwarunkowane istnieniem innych ryzyk w działalności
bankowej. Zmaterializowanie się zagrożeń stanowiących ich istotę zawsze
negatywnie wpływa na reputację banku. Co więcej, ryzyko to jest szczególnie
dotkliwe ze względu na to, że pozycja banku w obrocie oparta jest na szczególnym
zaufaniu – nie tylko jego klientów, ale także wierzycieli i rynku w ogóle. Stąd też
niezwykle istotne jest zapewnienie jak największego profesjonalizmu pracowników
banku. Ponadto, z uwagi na fakt, iż ryzyko to nie jest połączone z vis maior, można (i
należy) tworzyć plany awaryjne, które mogłyby być zastosowane w razie ujawnienia
się zdarzeń stanowiących składnik tego ryzyka.
43
2.3. Zarządzanie ryzykiem bankowym
Zarządzanie ryzykiem, zorientowanie na ograniczanie niepewności, jest
procesem polegającym przede wszystkim na zrozumieniu ryzyka i w konsekwencji
41
Ibidem, s. 202.
42
Basel Committee on Banking Supervision, Core principles..., s. 38.
43
R.W. Kaszubski, Funkcjonalne..., s. 206.
21
podjęciu działań, które mają je zmniejszyć.
44
Obejmuje ono przedsięwzięcia mające
na celu analizę, sterowanie ryzykami oraz kontrolę podejmowanych działań.
Zarządzanie powinno mieć przy tym charakter planowy i celowy, tzn. składające się
nań przedsięwzięcia winny być realizowane systematycznie i długofalowo.
45
Niezwykle istotna jest również jego proaktywność, oznaczająca podejmowanie
działań prewencyjnych w zakresie zdarzeń, które mogą mieć negatywne
konsekwencje dla banku. Ponadto, profesjonalizm w omawianej sytuacji wymaga
przyjęcia sprawdzonych i kompleksowych metodologii pozwalających na należyte
podejście do ryzyka na każdym etapie zarządzania nim. Wreszcie, pamiętać trzeba,
iż proces ten ma charakter ciągły – nie jest projektem, który ma początek i koniec.
46
Zarządzanie ryzykiem stanowi istotę funkcjonowania banków jako podmiotów
pełniących w gospodarce rolę pośredników finansowych. Można w nim wyróżnić trzy
etapy:
identyfikacji i kwantyfikacji ryzyka,
sterowania ryzykiem,
kontroli podejmowanych przedsięwzięć.
47
Identyfikacja oznacza określenie, na jakie rodzaje ryzyka narażony jest bank w
danym momencie. Następnie dokonuje się pomiaru ryzyka, tzn. jego kwantyfikacji.
Ma to znaczenie ze względu na fakt, że zarządzać można jedynie tym mierzalnym.
48
Ponadto, na omawianym etapie istotne jest rozróżnienie ryzyka indywidualnego od
ryzyka łącznego
49
. Ryzyko pojedynczej transakcji zależy od wysokości możliwej
straty i prawdopodobieństwa jej wystąpienia, ryzyko łączne z kolei – od wysokości
pojedynczych rodzajów ryzyka, prawdopodobieństwa ich wystąpienia oraz
współzależności między nimi. Im mniejsza jest to zależność, tym mniejsze ryzyko
łączne.
Sterowanie ryzykiem jest treścią drugiego etapu zarządzania nim. Polega ono
na odpowiednim balansowaniu jego rozmiarów i zakładanego poziomu rentowności.
44
P. Matkowski, Zarządzanie..., s. 18.
45
Z. Zawadzka, [w:] Bankowość..., s. 637.
46
P. Matkowski, Zarządzanie..., s. 34.
47
Z. Zawadzka, [w:] Bankowość..., s. 637.
48
Wśród ryzyk niekwantyfikowalnych wyróżnić można w szczególności ryzyko prawne i utraty
reputacji. Dyskusyjna jest z kolei mierzalność ryzyka operacyjnego. Wskazać jednak należy, że KBNB
w Nowej Umowie Kapitałowej uznaje je za ryzyko kwantyfikowalne.
49
R.W. Kaszubski, Funkcjonalne..., s. 207-208.
22
Obowiązek określenia zakresu dopuszczalnego ryzyka spoczywa na zarządzie
banku. Na omawianym etapie podejmowane mogą być dwa rodzaje działań:
koncentrujące się na przyczynach występowania ryzyka i podejmowane w
celu ograniczenia jego wielkości, w szczególności polegające na unikaniu
transakcji
nadmiernie
nim
obarczonych,
dywersyfikacji
ryzyka
czy
przenoszeniu go na inne podmioty; jest to tzw. aktywna strategia
przeciwdziałania ryzyku;
koncentrujące się na skutkach i podejmowane w celu zmniejszenia ich
negatywnego wpływu na pozycję banku, w szczególności polegające na
zwiększeniu kapitału, rezerw czy partycypacji w systemach ubezpieczenia
wkładów; jest to tzw. pasywna strategia przeciwdziałania ryzyku.
50
Ostatnim z omawianych etapów jest kontrola. Ma ona na celu badanie
efektywności realizowanych przedsięwzięć w zakresie ograniczania ryzyka. Powinna
być oparta o opracowane przez banki procedury dotyczące podejmowania ryzyka,
jak również zapobiegania i ograniczania występowania jego niekorzystnych skutków.
Instytucjonalnym wyrazem prezentowanych zagadnień jest funkcjonowanie w
bankach systemu zarządzania
51
. Stanowi on zbiór zasad i mechanizmów
odnoszących się do procesów decyzyjnych zachodzących w banku oraz do oceny
jego działalności. Odpowiedzialność za zaprojektowanie, wdrożenie oraz
funkcjonowanie tego systemu ponosi zarząd banku. W gestii rady nadzorczej
natomiast leży sprawowanie nadzoru nad jego wprowadzeniem oraz ocena jego
adekwatności i efektywności. Koniecznymi elementami systemu zarządzania w
banku są systemy: zarządzania ryzykiem oraz kontroli wewnętrznej.
Zadaniem systemu zarządzania ryzykiem jest identyfikacja, pomiar lub
szacowanie oraz monitorowanie ryzyka występującego w działalności banku, służące
zapewnieniu procesu wyznaczania i realizacji szczegółowych celów prowadzonej
przez bank działalności. Podkreślić należy, że system ten powinien być adekwatny
do wielkości i profilu ponoszonego przez bank ryzyka.
Niezbędnym komponentem systemu zarządzania bankiem jest kontrola
wewnętrzna. Ma ona na celu wspomaganie procesów decyzyjnych w banku,
50
Z. Zawadzka, [w:] Bankowość..., s. 640-641.
51
Przepisy art. 9-9f pr. bank. w kształcie obowiązującym od dnia 1 kwietnia 2007 r., ustalonym na
mocy art. 1 pkt 2 ustawy z dnia 26 stycznia 2007 r. o zmianie ustawy – Prawo bankowe (Dz.U. Nr 42,
poz. 272). Uzupełnieniem tych regulacji jest uchwała 4/2007 KNB z dnia 13 marca 2007 r.
23
usprawnienie realizacji jego zadań oraz, co szczególnie znaczące, zapewnienie
bezpieczeństwa i stabilności jego funkcjonowania.
52
System kontroli wewnętrznej
obejmuje: mechanizmy kontroli ryzyka, badanie zgodności działania banku z
przepisami prawa i regulacjami wewnętrznymi oraz audyt wewnętrzny.
Zarządzanie ryzykiem w bankach znajduje się również w polu zainteresowania
nadzoru bankowego, którego celem jest zapewnienie bezpieczeństwa środków
gromadzonych w toku działalności depozytowej banków. W ramach procesu
nadzorczego jego rola w szczególności polega na ograniczaniu możliwości
podejmowania przez banki nadmiernego ryzyka oraz czuwaniu nad przestrzeganiem
prawa i zasad ostrożnego działania, ale także zapewnieniu, że ryzyko ponoszone
przez banki jest monitorowane i odpowiednio zarządzane.
53
W tym celu organ
nadzoru został wyposażony w kompetencje do opracowywania regulacji oraz
wymogów ostrożnościowych
54
i kierowania ich do władz banków. Ocena działalności
banków dokonywana jest w oparciu o określone w nich kryteria. Z kolei dane
niezbędne do dokonania tej oceny nadzorca uzyskuje w trakcie inspekcji
przeprowadzanych w bankach, jak również poprzez analizę przekazywanych przez
nie danych.
Efektywne zarządzanie ryzykiem stanowi kluczowy obowiązek banków jako
instytucji zaufania publicznego. Jego celem jest zapewnienie jak największego
bezpieczeństwa środków zgromadzonych od ludności. Jednocześnie trzeba mieć na
uwadze, że ryzyka z działalności bankowej nie sposób całkowicie wyeliminować. Co
więcej, działalność ta, jako działalność gospodarcza, a zatem i zarobkowa, skłania
banki do akceptowania większego ryzyka, bowiem jest z nim związany większy zysk.
Stąd też wynika konieczność jak największego profesjonalizmu w zarządzaniu
ryzykiem w bankach. Ryzyko to nie wiąże się bowiem tylko z tym, jakich czynności
finansowych dokonuje bank, ale i z tym, w jaki sposób te czynności wykonuje.
52
Rekomendacja H, s. 1.
53
R.W. Kaszubski, Funkcjonalne..., s. 209.
54
Wskazać tu należy w szczególności uchwały KNB (1-6/2007), stanowiące przepisy wykonawcze do
ustawy – Prawo bankowe. Do tej grupy zaliczyć także należy rozporządzenie Ministra Finansów w
sprawie rezerw celowych. Ponadto KNB opracowuje dokumenty niemające charakteru wiążącego,
takie jak rekomendacje czy inne zalecenia określające pożądane przez nadzór praktyki w danym
obszarze działalności banków. Wskazać tu także należy Podręcznik inspekcji na miejscu oraz System
punktowej oceny banków z 2007 r.
24
2.4. Outsourcing jako źródło szczególnych ryzyk dla banku
Powracając w tym miejscu do kwestii outsourcingu, zauważyć na wstępie
należy, iż wykorzystywanie tej metodologii biznesowej stawia banki wobec
szczególnego zadania. Są one bowiem jako instytucje zaufania publicznego
zobligowane do dbania o bezpieczeństwo zgromadzonych depozytów. W sytuacji zaś
outsourcingu na ryzyka typowe związane z działalnością bankową nakładają się te
związane z wykorzystywaniem zasobów podmiotów zewnętrznych. Toteż banki w
ramach zarządzania ryzykiem bankowym powinny ze szczególną uwagą zajmować
się wynikającymi stąd zagrożeniami.
Podkreślenia wymaga także dwukierunkowe działanie outsourcingu – jedne
ryzyka zmniejsza, inne zwiększa.
55
W szczególności w pewnym zakresie ryzyka
zostają
przetransferowane
z
organizacji
zleceniodawcy
na
organizację
zleceniobiorcy.
56
Ta właściwość uważana jest za korzyść wynikającą z outsourcingu i
stanowi jeden z motywów wyboru tego modelu zarządzania. Ryzyka pierwotnie
zlokalizowane po stronie zlecającego przenoszone są na insourcera wraz z
przekazanymi procesami, zasobami czy personelem. W ten sposób zleceniobiorca
zyskuje możliwość skupienia się na innych zadaniach czy przedsięwzięciach,
istotnych ze względu na ich przynależność do sfery core competencies. Dla
przykładu, uwolnione w ten sposób środki mogą być przeznaczone na zarządzanie
tymi obszarami działalności, w tym związanymi z nimi ryzykami. Z kolei korzyścią dla
zleceniobiorcy jest otrzymane wynagrodzenie.
Z drugiej jednak strony, obserwuje się, że pomimo wskazanych profitów
przyszli zleceniodawcy często wahają się wejść w tego typu relacje. Występują
bowiem sytuacje, w których bez względu na przekazanie podmiotowi zewnętrznemu
wykonywania określonych czynności, ryzyka pozostają po stronie zleceniodawcy.
Ponadto, zmniejszenie ryzyka w pewnych obszarach nie oznacza redukcji
całkowitego ryzyka po stronie outsourcera. Przeciwnie, pewne jego rodzaje mogą się
wzmagać, mogą też zachodzić nowe, dotąd niewystępujące. Ta rezerwa odnośnie
wikłania się w projekty outsourcingowe ma też związek z możliwością utraty kontroli
55
J.H. Górka, Specyfika..., s. 37.
56
I. Tho, Managing..., s. 58.
25
nad przekazywanym obszarem działalności, jak również niepewnością co do nowych
rodzajów ryzyka, z zarządzaniem którymi zleceniobiorcy musieliby się zmierzyć.
57
Jak się wydaje, z punktu widzenia banków jako podmiotów o szczególnym
charakterze, decydującą rolę odgrywa drugi ze wskazanych wyżej aspektów
outsourcingu.
Przechodząc do omówienia ryzyk związanych z outsourcingiem, należy
zwrócić uwagę na ich różnorodność. Mają one swe źródła zarówno w samej istocie
outsourcingu, jak również w jego przedmiocie w konkretnej sytuacji, czy też sposobie
zarządzania nim. Ponadto, ich charakter różni się między poszczególnymi modelami,
ale i od przypadku do przypadku. W literaturze przedmiotu wskazuje się, iż głównym
ź
ródłem tych zagrożeń jest asymetria informacyjna między uczestnikami
przedsięwzięcia, połączona z niemożnością kontroli działań drugiej strony czy też
czynników zewnętrznych skłaniających partnera do oportunistycznego zachowania w
trakcie trwania projektu.
58
W związku z powyższym występuje wiele klasyfikacji przedmiotowego
ryzyka
59
, częstokroć znacznie od siebie odbiegających. Niżej zostaną przedstawione
te najistotniejsze z punktu widzenia wykorzystania outsourcingu w bankowości. I tak,
omówione zostaną ryzyka: operacyjne, strategiczne, prawne, utraty reputacji, a
ponadto wskazane inne jego aspekty.
2.4.1. Ryzyko operacyjne
Specyfika tego rodzaju ryzyka w przypadku outsourcingu wiąże się z
zakłóceniami w procesie świadczenia usług przez insourcera. Tak jak to zostało
przedstawione wyżej
60
, odnosi się ono do zagrożeń wywołanych przez następujące
czynniki: ludzi, procesy wewnętrzne, systemy i vis maior. Wśród aspektów tego
ryzyka wskazuje się między innymi zamierzone przez usługodawcę oszustwa, ale i
jego błędy. Ponadto, składające się nań niebezpieczeństwa mogą powstawać jako
57
Ibidem, s. 58.
58
I. Tho, Managing..., s. 57.
59
Zob. w szczególności: The Joint Forum, Outsourcing..., s. 11-12; I. Tho, Managing..., s. 88 i n.; C.W.
Axelrod, Outsourcing Information Security, Artech House, Inc., Boston-London, 2004, s. 49 i n.; R.
Aron, E.K. Clemons, S. Reddi, Just Right Outsourcing: Understanding and Mitigating Risk, Journal of
Management Information Systems, Fall 2005, Vol. 22, No. 2, s. 41; R.R. Zdzieborski, Outsourcing w
działalności bankowej. Zagadnienia podstawowe (cz. I), Prawo Bankowe 11/2005, s. 46-47 i powołane
tam przykłady.
60
Zob. punkt 2.2.6.
26
rezultat złożoności świadczonych usług, geograficznego oddalenia między
kontrahentami oraz związanej z tym odmienności kulturowej. Nie bez znaczenia są
także ograniczenia w komunikacji między partnerami outsourcingowymi i ich
systemami. Co więcej, ryzyko to jest też wiązane z sytuacją, gdy usługodawca może
nie zdołać wykonać swoich zobowiązań, w tym w zakresie ewentualnej
odpowiedzialności odszkodowawczej.
Z drugiej strony, to w zakresie ryzyka operacyjnego ujawnia się najwyraźniej
wspomniana dwukierunkowość outsourcingu. Wszak, mimo że bank uzależnia się od
strony trzeciej, za której działania ponosi odpowiedzialność, to jednak może również
zlecić stworzenie infrastruktury zapasowej i planu awaryjnego partnerowi, który w
przypadku uszkodzenia systemu macierzystego banku, przejmie na siebie ciężar
obsługi klientów, udostępniając bankowi np. swoje serwery, pomieszczenia czy
zasoby przygotowane specjalnie na ten cel.
61
2.4.2. Ryzyko strategiczne
Ten rodzaj ryzyka jest szczególnie istotny z punktu widzenia zgodności
ś
wiadczenia przez insourcera usług z celami strategicznymi banku. Podmiot
zewnętrzny może wszakże podejmować zamierzone działania nakierowane na
maksymalizację swoich zysków kosztem zleceniodawcy. Jego praktyki mogą
przybierać zasadniczo trzy formy.
62
Pierwsza z nich polega na zamierzonym
ś
wiadczeniu usług poniżej uzgodnionego standardu przy niezmienionych żądaniach
odnośnie wynagrodzenia. Druga z kolei wiąże się z czerpaniem przez zleceniobiorcę
korzyści z danych udostępnionych przez zleceniodawcę w celu umożliwienia mu
ś
wiadczenia usług w ramach projektu. Praktyka ta ma miejsce poza wiedzą i zgodą
outsourcera. Należy podkreślić niebezpieczeństwo tego typu działań w sytuacji
outsourcingu bankowego wobec ustawowego dopuszczenia insourcera do informacji
objętych tajemnicą bankową.
63
Wreszcie, trzecią formą praktyk sprzecznych z celami
strategicznymi podmiotu zlecającego jest wymuszanie przez usługodawcę
korzystnych dla niego zmian umowy, jeśli okazuje się, że usługobiorca nie ma
61
J.H. Górka, Specyfika..., s. 37. Przykład usług wykonywanych przez insourcera w zakresie
zapewnienia ciągłości działania i planów awaryjnych został przedstawiony w załączniku 1.
62
Są one określane jako odpowiednio: poaching, shirking i vendor holdup (R. Aron, E.K. Clemons, S.
Reddi, Just Right Outsourcing..., s. 41-43).
63
Zob. art. 104 ust. 2 pkt 2 pr. bank.
27
alternatywy odnośnie wyboru partnera outsourcingowego. Jako uzależniony od
podmiotu, który aktualnie świadczy usługi, musi godzić się na wysuwane żądania, w
szczególności odnośnie wynagrodzenia.
2.4.3. Ryzyko prawne
Wydaje się, że można je ujmować jako element ryzyka prawnego wiążącego
się z działalnością bankową w ogólności
64
. W sytuacji korzystania przez banki z
zasobów
podmiotów
zewnętrznych
jest
ono
uzupełniane
o
dodatkowe
charakterystyki.
Ogólnie, w omawianym przypadku zachodzi niebezpieczeństwo podlegania
przez bank sankcjom prawnym w razie uchybienia wymogom określonym przepisami
ustawy lub przez regulatora. W szczególności może zaistnieć sytuacja naruszenia
przez usługodawcę przepisów prawa, zwłaszcza chroniących tajemnicę bankową czy
dane osobowe, jak również chroniące konsumenta czy wyznaczające normy
ostrożnościowe. Ponadto, na ryzyko to składają się trudności regulatora w
sprawowaniu jego obowiązków w zakresie efektywnego nadzoru banku. Może mieć
to zwłaszcza związek z niedostatecznym dostępem nadzorcy do danych czy
informacji odnoszących się do zleceniobiorcy w zakresie świadczonych przez niego
usług.
Kolejnym specyficznym czynnikiem omawianego ryzyka jest sama umowa
outsourcingowa. Może ona zwłaszcza powodować sztuczne utrzymywanie relacji do
końca przewidzianego okresu, często dość długiego. W połączeniu z naturalną
zmiennością realiów biznesowych sytuacja taka okazuje się niekorzystna dla obu
stron. Niemniej jednak, kontrakt outsourcingowy pozwala na uniknięcie ryzyk
związanych z tym przedsięwzięciem, a przede wszystkim właśnie ryzyka prawnego.
Jest on bowiem równocześnie podstawą prawną relacji i podstawowym narzędziem
zarządzania nią, w tym wynikającymi z niej ryzykami.
Zwrócić należy również uwagę na szczególną pozycję banku z punktu
widzenia jego odpowiedzialności wobec klientów za szkody im wyrządzone wskutek
niewykonania lub nienależytego wykonania umowy outsourcingowej przez podmiot
64
Zob. punkt 2.2.7.
28
zewnętrzny. Mianowicie, odpowiedzialności banku w tym zakresie nie można ani
ograniczyć, ani tym bardziej wyłączyć.
65
2.4.4. Ryzyko utraty reputacji
Podobnie jak w przypadku ryzyka prawnego, ryzyko utraty reputacji związane
z outsourcingiem należy widzieć jako element tego wynikającego z działalności
bankowej w ogóle
66
. Chodzi tu zwłaszcza o przypadki uchybiania przez usługodawcę
przewidzianym standardom, które bezpośrednio dotykając klientów banku lub też
będąc podane do publicznej wiadomości, mogą wpłynąć na postrzeganie banku na
rynku. Odnośne standardy mogą być określone przez ustawodawcę, regulatora czy
też przewidziane umową.
Wydaje się, że ze względu na specyficzną konstrukcję outsourcingu w
działalności bankowej, jak i na charakter omawianego ryzyka, należy je uznać za
najpoważniejsze niebezpieczeństwo dla banku związane ze stosowaniem
przedmiotowej metodologii biznesowej. Ponadto, czynnikami mającymi wpływ na
reputację banku-outsourcera są skutki zaistnienia wszelkich pozostałych ryzyk.
2.2.5. Inne ryzyka
Oprócz przedstawionych wyżej czterech głównych rodzajów ryzyka, z
wykorzystywaniem outsourcingu wiąże się szereg innych, bardziej szczegółowych. Z
ryzykiem prawnym, dla przykładu, związek ma ryzyko braku strategii wyjścia. Łączy
się ono ze zbytnim poleganiu na usługach insourcera, co połączone z utratą
wewnętrznych zasobów w tym zakresie, może prowadzić do istotnych trudności z
powrotnym przejęciem wydzielonego obszaru. Kolejny rodzaj ryzyka jest związany z
lokalizacją usługodawcy, zwłaszcza gdy usługa ma być świadczona z terytorium
innego państwa niż państwo macierzyste banku. Niepewność w tej sytuacji jest
kreowana przez czynniki polityczne, społeczne, kulturowe czy regulacje prawne.
Należy ponadto zauważyć ryzyko koncentracji i systemowe zagrażające bankom w
razie skupienia usług w ręku małej liczby usługodawców.
65
Zob. art. 6b ust. 2 pr. bank.
66
Zob. punkt 2.2.8.
29
Reasumując wywody prowadzone w ramach niniejszego rozdziału, należy
zwrócić uwagę na to, iż zrozumienie istoty ryzyka, jego wewnętrznego zróżnicowania
i wzajemnych współzależności między poszczególnymi jego aspektami jest punktem
wyjścia dla efektywnego nim zarządzania. Spostrzeżenie to nabiera szczególnej
doniosłości w przypadku outsourcingu bankowego. Zagrożenia związane z
wykorzystywaniem tej metody prowadzenia działalności nakładają się bowiem na
ryzyko bankowe i wzmagają je w pewnych obszarach. Ma to miejsce zwłaszcza w
zakresie ryzyka operacyjnego, prawnego czy utraty reputacji. Nie mniej istotny
okazać się też może wpływ ryzyk outsourcingowych na płynność banku
67
.
Powyższa prawidłowość wpływa w konsekwencji na bezpieczeństwo
działalności bankowej. Należy też mieć na uwadze fakt, że bank musi liczyć się z
tym, iż niezależnie od tego, czy w swojej działalności korzysta z usług podmiotów
zewnętrznych, czy nie, wobec klienta zawsze sam ponosi odpowiedzialność. Zatem
w jego interesie jest należyta troska o to, w jakie relacje wchodzi, i jak nimi kieruje.
Dalsze rozważania, opierając się na omówionej w niniejszym rozdziale istocie
ryzyka i zarządzania nim, dotyczyć będą instrumentów efektywnego minimalizowania
ryzyk związanych z wykorzystaniem outsourcingu przez banki.
67
Spowodowane to może być w szczególności zmasowanym kierowaniem do banku przez klientów
roszczeń odszkodowawczych, ale także może dotyczyć bezpośrednio relacji bank – insourcer i
polegać na przedstawionym wyżej tzw. vendor holdup.
30
Rozdział 3.
Instrumenty efektywnego zarządzania ryzykiem związanym z wykorzystaniem
outsourcingu w działalności bankowej
Decydując się na wykorzystanie w prowadzonej działalności zasobów
podmiotów zewnętrznych, banki stają wobec konieczności należytego zarządzania
wynikłymi stąd relacjami, w tym zwłaszcza związanym z nimi ryzykiem. Wymaga to
stosowania instrumentów mających zapewnić jak największe bezpieczeństwo ich
funkcjonowania. Można wśród tych środków wyróżnić te, które są wymagane na
mocy przepisów ustawy, jak również takie, które przybierają postać dobrych praktyk.
Pierwszą grupę tworzą określone przez ustawodawcę warunki, na jakich banki
mogą wykorzystywać outsourcing w swojej działalności. Stanowią one minimum
mające zapewnić bezpieczeństwo działalności bankowej. Doniosłą wśród nich rolę
odgrywają uprawnienia organu nadzoru do wkraczania w relacje między bankiem a
insourcerem. Jest to uzasadnione celem nadzoru, bowiem w gestii Komisji Nadzoru
Bankowego
68
leży weryfikacja, czy banki, stosując się do określonych przepisami
prawa wymogów, w sposób należyty prowadzą swoją działalność.
Rozwinięciem, a zarazem dopełnieniem instrumentów przewidzianych
ustawowo są tzw. dobre praktyki. Tworzą je wykształcone w praktyce zasady, na
których powinno opierać się efektywne i wszechstronne zarządzanie projektem
outsourcingowym. Wyznaczają one, niemające prawnie wiążącego charakteru,
standardy w tym zakresie. Pośród nich szczególną uwagę zwrócić należy na
opracowywane i kierowane do banków przez regulatora zalecenia i interpretacje
69
.
Niżej przedstawione zostaną instrumenty należące do obydwu grup.
Rozważania te zorganizowane będą w czterech podrozdziałach odpowiadających
kluczowym etapom zarządzania projektem outsourcingowym. I tak, wyróżnione
zostaną: etap przedkontraktowy, zagadnienie umowy outsourcingowej, etap jej
realizacji i wreszcie zakończenie relacji outsourcingowych.
68
Na mocy ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz.U. Nr 157, poz.
119), z dniem 1 stycznia 2008 r. kompetencje organu nadzoru bankowego przejmie Komisja Nadzoru
Finansowego.
69
Wskazać tu należy zwłaszcza: (1) Pismo nr NB-BPN-I-022-70/04 z dnia 3.08.2004 r. w sprawie
stosowania niektórych przepisów dotyczących outsourcingu, Prawo Bankowe 10/2004 oraz (2) Pismo
nr NB-BPN-I-022-70/04 z dnia 21.12.2004 r. w sprawie rekomendowanych kierunków
interpretacyjnych przepisów ustawy – Prawo bankowe dotyczących outsourcingu, Prawo Bankowe
2/2005.
31
3.1. Etap przedkontraktowy
Kluczowym elementem efektywnego zarządzania ryzykiem jest jego
zrozumienie. Rozpoznanie czynników mogących niekorzystnie wpłynąć na
działalność banku stanowi punkt wyjścia dla podjęcia działań mających na celu
zapewnienie jak największego jej bezpieczeństwa. Również w przypadku
outsourcingu należy przedsięwziąć środki umożliwiające jak najwcześniejsze
dostrzeżenie wszelkich rodzajów ryzyka, a w konsekwencji skuteczną ich redukcję.
Stąd też etap poprzedzający zawarcie umowy outsourcingowej należy traktować jako
krytyczny z punktu widzenia powodzenia całego projektu.
3.1.1. Praca koncepcyjna i planowanie
Wejście w relację outsourcingową, rozumianą w kategoriach strategicznych,
wymaga od banku przeprowadzenia na wstępie odpowiedniej pracy koncepcyjnej
umożliwiającej należyte zaplanowanie przedsięwzięcia. Jej wyrazem ma być
opracowanie wszechstronnej polityki w zakresie zarządzania projektem, w tym w
szczególności związanymi z nim ryzykami.
70
Powinna ona uwzględniać wszystkie
fazy współpracy z usługodawcą, od etapu przedkontraktowego aż do wyjścia z relacji
outsourcingowej. Z kolei jej zakres przedmiotowy winien obejmować wszelkie
aspekty związane z korzystaniem z zasobów podmiotu zewnętrznego.
3.1.1.1. Wewnętrzna analiza przedsięwzięcia
Punktem wyjścia jest w omawianym zakresie dokonanie na najwyższym
stopniu zarządzania banku wewnętrznej analizy przedsięwzięcia. Ma ona umożliwić
zidentyfikowanie roli outsourcingu w kontekście ogólnej strategii i jego celów
biznesowych. Analiza ta odnosi się w szczególności do kwestii podstawowej
działalności banku (core competencies), mocnych i słabych stron związanych z
kierowaniem nim, jak również do ogólnych wartości i celów instytucji.
70
Zob. w szczególności: The Joint Forum, Outsourcing..., s. 14-15; Committee of European Baking
Supervisors, Guidelines..., s. 6-7; Federal Reserve Bank of New York, Outsourcing Financial Services
Activities: Industry Practices to Mitigate Risks, October 1999, s. 7-10.
32
Istotny jej element dotyczy ryzyk. Przede wszystkim banki powinny mieć na
względzie fakt, iż żaden przypadek outsourcingu nie jest od nich wolny. Stąd wynika
konieczność jak najgłębszego ich zbadania oraz identyfikacji obszarów, na których
mogą się pojawić. Należy w szczególności zwrócić uwagę na możliwe sytuacje
koncentracji ryzyk, jak również na maksymalny dopuszczalny poziom ryzyka
związanego z powierzeniem wykonania wielu czynności jednemu insourcerowi.
Dane uzyskane na podstawie wyżej przedstawionych analiz stanowią
podstawę do wyznaczenia konkretnych celów outsourcingu
71
, jak również do
określenia tych obszarów działalności banku, które zostaną powierzone podmiotowi
zewnętrznemu.
Należy podkreślić, iż banki, dokonując wyboru funkcji przeznaczonych do
outsourcingu, winny mieć na względzie jego główny cel. Chodzi mianowicie o
ułatwienie przedsiębiorstwu skupienia się na podstawowych kompetencjach, aby
mogło sprostać wymaganiom rynku, wymuszającego stały wzrost poziomu jakości
produktów i usług.
72
3.1.1.2. Zakres przedmiotowy outsourcingu według ustawy – Prawo bankowe
Istotne ograniczenia odnośnie czynności mogących być przedmiotem
outsourcingu zostały przewidziane w ustawie – Prawo bankowe. Swoboda banków w
tym zakresie podlega ograniczeniu przez ustawodawcę na dwa sposoby. Z jednej
strony, określa on katalog czynności, które mogą stanowić przedmiot outsourcingu, z
drugiej zaś, przewiduje czynności, których wykonywanie w żadnym wypadku nie
może być powierzone podmiotowi zewnętrznemu.
1. Czynności, których wykonywanie bank może powierzyć podmiotowi
zewnętrznemu, zostały wymienione w art. 6a ust. 1 pr. bank. w dwóch grupach.
Pierwsza z nich obejmuje:
Zawieranie i zmianę – według wzoru zatwierdzonego przez bank – umów
rachunków
oszczędnościowych,
oszczędnościowo-rozliczeniowych
oraz
terminowych lokat oszczędnościowych.
71
Zob. pkt 1.2.
72
Ch.L. Gay, J. Essinger, Outsourcing..., s. 70.
33
Zawieranie i zmianę umów kredytu na sfinansowanie inwestycji na
zaspokojenie własnych potrzeb mieszkaniowych kredytobiorcy w rozumieniu
przepisów o podatku dochodowym od osób fizycznych
73
.
Zawieranie i zmianę umów kredytu konsumenckiego w rozumieniu ustawy o
kredycie konsumenckim
74
.
Zawieranie i zmianę umów ugody w sprawie spłaty wskazanych wyżej
kredytów.
Zawieranie i zmianę umów dotyczących ustanowienia prawnego
zabezpieczenia wskazanych wyżej kredytów.
Zawieranie i zmianę umów o kartę płatniczą, których stroną jest konsument w
rozumieniu ustawy o kredycie.
Przyjmowanie wpłat, dokonywanie wypłat oraz obsługa czeków związanych z
prowadzeniem rachunków bankowych przez bank-outsourcera.
Dokonywanie wypłat i przyjmowanie spłat udzielonych kredytów i pożyczek
pieniężnych przez bank-outsourcera.
Przyjmowanie wpłat na rachunki bankowe prowadzone przez inne banki niż
outsourcer.
Przyjmowanie dyspozycji przeprowadzenia bankowych rozliczeń pieniężnych
związanych z prowadzeniem rachunków bankowych przez bank-outsourcera.
Ponadto, w ramach pierwszej grupy mieści się wykonywanie innych czynności,
ale po uzyskaniu zezwolenia organu nadzoru (art. 6a ust. 1 pkt 1 lit. k pr. bank.). W
pierwszej kolejności należy określić zakres pojęcia inne czynności. Redakcja art. 6a
ust. 1 pr. bank. sugeruje, iż chodzi tu o inne czynności bankowe niż wymienione pkt.
1 lit. a-j tego przepisu. Przy tym, ze względu na ujęcie w pkt. 2 czynności faktycznych
związanych z działalnością bankową, można by uznać, że zakres omawianego
pojęcia czynności faktycznych nie obejmuje
75
. W przeciwnym wypadku, jakby się
mogło wydawać, racjonalny ustawodawca w tym punkcie posłużyłby się określeniem
inne czynności faktyczne związane z działalnością bankową. Jednakże taka
interpretacja wydaje się nieprzekonująca. Przede wszystkim bowiem wskazać
73
Do dnia 1 stycznia 2007 r. obowiązywał art. 26b ust. 1 ustawy z dnia 26 lipca 1991 r. o podatku
dochodowym od osób fizycznych (tekst jedn. Dz.U. z 2000 r. Nr 14, poz. 176 z późn. zm.). Ustawą z
dnia 16 listopada 2006 r. o zmianie ustawy o podatku dochodowym od osób fizycznych oraz o zmianie
niektórych innych ustaw (Dz.U. Nr 217, poz. 1588) został on uchylony z dniem 1 stycznia 2007 r.
74
Ustawa z dnia 20 lipca 2001 r. o kredycie konsumenckim (Dz.U. Nr 100, poz. 1081 z późn. zm.).
75
Tak: B. Smykla, Prawo bankowe..., s. 54-55. Odmiennie: M. Olszak, Outsourcing..., s. 35.
34
należy, iż samo pojęcie czynności bankowej jest rozumiane jako zespół
pozostających ze sobą w funkcjonalnym związku czynności prawnych i
faktycznych
76
. Jego złożony charakter uzasadnia z kolei wymóg powierzania
czynności wskazanych w ust. 1 pkt. 1 jedynie na podstawie umowy agencyjnej.
Niezależnie od typu agencji (pośrednicza, przedstawicielska czy mieszana) w zakres
obowiązków agenta-insourcera wchodzić będzie wykonywanie czynności faktycznych
w zakresie powierzonych mu czynności bankowych.
77
Wobec powyższego, art. 6a ust. 1 pkt 1 lit. k pr. bank. obejmuje wykonywanie
innych czynności – zarówno prawnych, jak i faktycznych – w zakresie czynności
bankowych.
78
Zlecanie ich przez banki może nastąpić tylko za zgodą organu
nadzoru. Ten może jej udzielić, jeśli powierzenie wykonywania tych czynności jest
niezbędne do prowadzenia działalności w sposób ostrożny i stabilny lub istotnego
obniżenia kosztów tej działalności (art. 6a ust. 3 pr. bank.). Posłużenie się przez
ustawodawcę alternatywą nierozłączną (spójnik lub), uzasadnia wniosek, iż dla
uzyskania przedmiotowego zezwolenia wystarczające jest spełnienie co najmniej
jednej ze wskazanych przesłanek. Jednocześnie podkreślić należy, że mimo
alternatywnego ich ujęcia, istotne obniżenie kosztów w żadnym razie nie może
zagrażać ostrożnemu i stabilnemu prowadzeniu działalności bankowej, a zatem jej
bezpieczeństwu
79
.
Druga grupa czynności wymienionych w art. 6a ust. 1 pr. bank. to czynności
faktyczne związane z działalnością bankową (pkt 2). W celu ustalenia jej zakresu
należy w pierwszej kolejności odnieść się do pojęcia działalności bankowej. Mimo
braku zgodności co do jej istoty, przyjmuje się, że jest to działalność wykonywana
przez bank, której zasady prowadzenia, a w szczególności zakres, określają
właściwe przepisy
80
. Obejmuje ona przy tym zarówno czynności bankowe (art. 5 ust.
1 i 2 pr. bank.), jak i inne czynności wykonywane przez banki (art. 6 ust. 1 pr. bank.).
Wobec jednak
wyżej poczynionych ustaleń odnośnie innych czynności
przewidzianych w art. 6a ust. 1 pkt 1 lit. k) pr. bank., z zakresu czynności faktycznych
76
B. Smykla, Prawo bankowe..., s. 42.
77
A. Kidyba, Prawo handlowe, C.H. Beck, Warszawa 2005, s. 828-829.
78
W ramach tej grupy wskazać należy przykładowo: zawieranie i zmianę umów rachunków:
rozliczeniowych, lokat terminowych, powierniczych, zawieranie i zmianę umów o kartę płatniczą, której
stroną nie jest konsument czy też zawieranie i zmianę umów kredytu na sfinansowanie inwestycji
związanych z prowadzoną przez kredytobiorcę działalnością gospodarczą, umów ugody w sprawie
spłaty tego kredytu, jak i umów dotyczących ustanowienia jego prawnego zabezpieczenia.
79
Argument z art. 6c ust. 1 pkt 2-4 oraz art. 133 ust. 1 pkt 1 pr. bank.
80
Tak: M. Olszak, Outsourcing..., s. 39; B. Smykla, Prawo bankowe..., s. 56.
35
omawianych obecnie należy wyłączyć te, które zostały objęte regulacją powołanego
przepisu
81
.
W dalszej kolejności analizy wymaga kwestia powiązania powierzanych
czynności faktycznych z działalnością bankową. Za Generalnym Inspektorem
Nadzoru Bankowego wskazać należy, iż związek ten ma charakter funkcjonalny i
bezpośredni
82
. Warunek ten spełniają czynności, które:
można uznać za cząstkowe (składowe) względem czynności wskazanych w
art. 5 i 6 ust. 1 pr. bank.
83
lub
bez których podjęcia – ze względu na istotę lub charakter czynności bankowej
lub czynności z art. 6 ust. 1 pr. bank. (z którymi są one związane) – nie jest
możliwe należyte wykonanie umowy, mającej za przedmiot dokonanie
czynności wymienionych w art. 5 i 6 ust. 1 pr. bank.
84
Ponadto, zdaniem GINB, istotnym (choć nie wyłącznym) kryterium uzasadniającym
zaliczenie danej czynności do omawianej grupy, jest dostęp jej wykonawcy do
informacji wrażliwych z punktu widzenia prowadzonej działalności bankowej, w
szczególności objętych tajemnicą bankową
85
.
2. Przedmiotowe ograniczenie swobody banku w korzystaniu z zasobów
podmiotów zewnętrznych polega również na ustawowym określeniu czynności, które
w żadnym wypadku nie mogą być wyoutsourcowane. Katalog tych czynności
przewidziany został w art. 6a ust. 2 pr. bank. i obejmuje zarządzanie bankiem oraz
przeprowadzanie audytu wewnętrznego.
Odnośnie zarządzania bankiem, zauważyć należy, iż ustawa nie definiuje tego
pojęcia, posiłkując się odesłaniem do odpowiednich przepisów kodeksu spółek
handlowych i ustawy – Prawo spółdzielcze
86
. Wskazane przepisy nie wyjaśniają tego
pojęcia, a jedynie określają główne sfery działalności zarządu, tj. prowadzenie spraw
(kierowanie działalnością) i reprezentowanie spółki (spółdzielni). Wydaje się jednak,
81
Odmiennie: B. Smykla, Prawo bankowe..., s. 56.
82
Pismo GINB z dnia 21.12.2004 r.
83
W szczególności wykonywanie przez insourcera autoryzacji transakcji kartowych, generowanie,
drukowanie i dystrybucja zestawień takich transakcji oraz personalizację kart płatniczych.
84
Na przykład drukowanie, kopertowanie i wysyłanie wyciągów z ustaleniem salda na rachunku.
85
Z tego względu z zakresu omawianej grupy wyłączyć należy w szczególności: czynności polegające
na reklamowaniu oferty banku skierowane ad personas incertas; czynności podejmowane w zakresie
technicznego serwisu bankomatów; czynności polegające na udostępnianiu bankowi łączy
telekomunikacyjnych czy linii łączności; nabywanie i serwis sprzętu komputerowego; nabywanie,
instalacja i serwis oprogramowania.
86
Chodzi o art. 368 § 1 ustawy z dnia 15 września 2000 r. – Kodeks spółek handlowych (tekst jedn.
Dz.U. Nr 94, poz. 1037 z późn. zm.) oraz art. 48 ustawy z dnia 16 września 1982 r. – Prawo
spółdzielcze (tekst jedn. Dz.U. z 2003 r. Nr 188, poz. 1848 z późn. zm.).
36
ż
e w rozumieniu art. 6a ust. 2 pkt 1 pr. bank. jego zakres należy ograniczyć do
wewnętrznej sfery działalności banku, tzn. do podejmowania decyzji zarządczych.
87
Należy bowiem zauważyć, że działania banku w sferze zewnętrznej są zawsze
uwarunkowane decyzjami podejmowanymi w sferze wewnętrznej, mają zatem
charakter wtórny.
Analizowany przepis wymienia ponadto jeden z aspektów zarządzania
bankiem – zarządzanie ryzykiem związanym z jego działalnością. Nie powinno to
budzić wątpliwości, jako że stanowi ono przejaw aktywności decydujący o istocie tej
instytucji. Innymi słowy, zarządzanie ryzykiem traktować należy jako główną z core
competencies banku. Przy tym, jak wskazuje ustawodawca, omawiana funkcja
obejmuje w szczególności: zarządzanie aktywami i pasywami, dokonywanie oceny
zdolności kredytowej i analizy ryzyka kredytowego, a więc działania podejmowane
zarówno na szczeblu zarządu (strategicznym), jak i na niższych szczeblach
funkcjonowania banku (operacyjnych)
88
.
Ustawa przewiduje również zakaz outsourcingu przeprowadzania audytu
wewnętrznego banku (art. 6a ust. 2 pkt 2 pr. bank.). Wobec braku ustawowej definicji
audytu wewnętrznego, dla określenia jego istoty należy posłużyć się wskazanymi w
art. 9d ust. 2 pr. bank. zadaniami komórki audytu. Przepis ten wskazuje w tym
względzie na badanie i ocenę, w sposób niezależny i obiektywny, adekwatności i
skuteczności systemu kontroli wewnętrznej oraz opiniowanie systemu zarządzania
bankiem, w tym skuteczności zarządzania ryzykiem związanym z działalnością
banku. Omawiane wyłączenie należy ocenić jako zbyt daleko idące. Wydaje się, że w
niektórych przypadkach potrzeba niezależnej i obiektywnej kontroli wewnętrznej w
banku, może wymagać sięgnięcia po profesjonalne zasoby zewnętrzne.
3.
Podsumowując
rozważania
dotyczące
zakresu
przedmiotowego
outsourcingu, zauważyć należy, iż przedmiotem regulacji ustawowej są czynności
łączące się z ryzykiem dla działalności bankowej. Wyróżnione one zostały ze
względu na ich związek z wykonywanymi przez bank czynnościami bankowymi (art.
5 ust. 1 i 2 pr. bank.) oraz innymi czynnościami określającymi działalność bankową
87
Tak: R.R. Zdzieborski, Outsourcing... (cz. II), Prawo Bankowe 12/2005, s. 46-49; K. Kohutek, Prawo
bankowe... Z kolei za uwzględnieniem funkcji reprezentowania banku: M. Olszak, Outsourcing..., s.
48-48; B. Smyka, Prawo bankowe..., s. 59-60.
88
Uzasadnione wątpliwości co do trafności takiego ujęcia przedstawił R.R. Zdzieborski, Outsourcing...
(cz. II), s. 47-48.
37
(art. 6 ust. 1 pr. bank.). Mogą one zatem w sposób istotny wpływać na
bezpieczeństwo banku.
W ramach funkcjonowania banków można jednakże wyróżnić określone sfery
aktywności, które ze względu na brak ich związku z prowadzeniem podlegającej
licencjonowaniu działalności bankowej nie podlegają regulacji ustawy – Prawo
bankowe, a zatem i przepisom dotyczącym outsourcingu. Wobec tego czynności
będące przejawami takiej aktywności, mogą być przez banki zlecane podmiotom
zewnętrznym na zasadach ogólnych, tj. bez zastosowania art. 6a-6d pr. bank.
89
3.1.1.3. Plan przedsięwzięcia
Przeprowadzenie przez bank wnikliwej analizy pozwala na rozpoznanie jego
wewnętrznej sytuacji, specyficznych potrzeb i możliwych sposobów ich zaspokojenia.
Faza ta poprzedza podjęcie przez zarząd decyzji odnośnie zastosowania
outsourcingu w prowadzonej działalności. Dane uzyskane w wyniku tych działań
stanowią uzasadnienie dla tej decyzji, a jednocześnie punkty odniesienia dla procesu
zarządzania całym projektem.
Konsekwencją decyzji w kwestii outsourcingu, jak i warunkiem koniecznym
powodzenia przedsięwzięcia jest opracowanie metodologii postępowania. Będący jej
wyrazem plan, określa strukturę działań i systematyzuje je tak, aby możliwe było
osiągnięcie oczekiwanych korzyści. Innymi słowy, stanowi on zespół instrukcji
przeznaczonych dla określonych osób, którym wskazuje konkretne zadania,
jednocześnie określając sposób, czas i zasoby (ludzkie i rzeczowe) niezbędne do
wykonania tych zadań.
Plan taki powinien się odznaczać wszechstronnością, szczegółowością i
konkretnością. Powinien obejmować wszystkie fazy przedsięwzięcia, a dla każdej z
nich artykułować specyficzne cele, a także uwzględniać należytą jej analizę. Winna
ona w szczególności określać potencjalne ryzyka oraz działania dla uniknięcia lub
minimalizacji ich konsekwencji. Ponadto, ważne jest, ażeby plan identyfikował
niezbędną dla każdej fazy dokumentację oraz wymagane zgody właściwych
89
Jako przykłady takich czynności należy wskazać: utrzymywanie porządku i czystości na terenie
banku, opiekę socjalną pracowników, korzystanie ze środków transportu, prowadzenie stołówki dla
pracowników.
38
organów. Niezwykle istotne jest również przygotowanie na tym etapie niezbędnych
planów awaryjnych, jak i strategii wyjścia.
90
Opracowana w powyższy sposób metodologia działania banku przy
przeprowadzaniu
projektu
outsourcingowego stanowi
niezbędne
narzędzie
zarządzania wiążącym się z tym przedsięwzięciem ryzykiem. Jest ona jednocześnie
najpełniejszym wyrazem proaktywnego podejścia banku do tej kwestii. Należy
bowiem podkreślić, że jej założenia przekładają się na przebieg procesu selekcji
insourcera, kształt umowy outsourcingowej oraz praktykę zarządzania wynikłą z jej
zawarcia relacją. Stąd też należyta staranność w zakresie planowania outsourcingu
jest istotną częścią ostrożnego i stabilnego zarządzania bankiem, jak również
koniecznym warunkiem tego, by powierzenie wykonywania czynności nie wpłynęło
niekorzystnie na prowadzenie przezeń działalności zgodnie z przepisami prawa
91
.
3.1.2. Wybór usługodawcy
Kolejny etap przedsięwzięcia outsourcingowego ma na celu przede wszystkim
uniknięcie przez bank ryzyka strategicznego. Zagrożenie to polega głównie na
powstaniu stosunku zależności banku wobec niezadowalającego usługodawcy w
sytuacji, gdy zakończenie tej relacji wiąże się dla banku z nadmiernymi kosztami czy
możliwymi zakłóceniami działalności.
3.1.2.1. Zakres podmiotowy outsourcingu według ustawy – Prawo bankowe
Rozważania związane z wyborem insourcera należy rozpocząć od
przedstawienia wymogów ustawowych w tej materii.
Zgodnie z brzmieniem art. 6a ust. 1 pr. bank. bank może powierzyć
wykonywanie czynności w ramach outsourcingu przedsiębiorcy lub przedsiębiorcy
zagranicznemu. Nie przewidując własnej definicji tych podmiotów, ustawa – Prawo
bankowe odsyła w tym zakresie do przepisów ustawy o swobodzie działalności
gospodarczej
92
. I tak, przedsiębiorcą jest osoba fizyczna, osoba prawna i jednostka
organizacyjna niebędąca osobą prawną, której ustawa przyznaje zdolność prawną –
90
Federal Reserve Bank of New York, Outsourcing..., s. 8-9.
91
Zob. art. 6c ust. 1 pkt 4 pr. bank.
92
Ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. Nr 173, poz. 1807 z
późn. zm.), dalej jako: u.s.d.g.
39
wykonująca we własnym imieniu działalność gospodarczą (art. 4 ust. 1 u.s.d.g. w zw.
z art. 4 ust. 1 pkt 16a pr. bank.). Z kolei przedsiębiorcą zagranicznym jest –
prowadząca działalność gospodarczą za granicą – osoba fizyczna mająca miejsce
zamieszkania za granicą i nieposiadająca obywatelstwa polskiego, osoba prawna z
siedzibą za granicą oraz posiadająca zdolność prawną jednostka organizacyjna
niebędąca osobą prawną i mająca siedzibę za granicą (art. 5 pkt 3 u.s.d.g. w zw. z
art. 4 ust. 1 pkt 16b pr. bank.).
Zauważyć nadto należy, że spośród przedsiębiorców zagranicznych
mogących być insourcerami, ustawodawca wyodrębnia pewną grupę. Mianowicie
wskazuje na przedsiębiorców zagranicznych niemających miejsca zamieszkania na
terytorium
państwa
członkowskiego
UE.
Zawarcie
przez
bank
umowy
outsourcingowej z takimi przedsiębiorcami wymaga na mocy art. 6d ust. 1 pr. bank.
zezwolenia organu nadzoru.
W związku z regulacją zakresu podmiotowego outsourcingu pozostaje
kontrowersyjna na gruncie polskiego prawa kwestia dopuszczalności tzw.
suboutsourcingu (outsourcingu łańcuchowego). Doniosłość jej wynika z faktu
popularności tego modelu w praktyce bankowej, w szczególności w odniesieniu do
technologii informatycznych. Powołany termin stosuje się dla określenia przypadku
podzlecania przez usługodawcę powierzonych mu czynności podmiotom trzecim, w
całości lub w części.
Przede wszystkim stwierdzić należy, że ustawa – Prawo bankowe nie
przewiduje zakazu korzystania z outsourcingu łańcuchowego. Zgodnie jednak z
interpretacją GINB
93
, wykonawcą usług outsourcingowch może być jedynie
przedsiębiorca będący stroną umowy z bankiem.
94
Stanowisko to wydaje się
nieuzasadnione.
95
Po pierwsze, wobec braku wyraźnego wyłączenia ustawowego należy
dopuścić stosowanie takiego modelu na zasadach ogólnych (art. 353
1
k.c.). Ponadto,
uprawnienie insourcera do korzystania z usług podwykonawców znajduje podstawę
w innych przepisach kodeksu cywilnego. W szczególności wierzyciel (bank-
outsourcer) może żądać osobistego świadczenia dłużnika (insourcera) tylko
93
Pismo GINB z dnia 3.08.2004 r.
94
Stanowisko GINB podzielają: M. Olszak, Outsourcing..., s. 54-55 oraz B. Smykla, Prawo bankowe...,
s. 52-53.
95
Tak też: R.R. Zdzieborski, Outsourcing... (cz. II), s. 50-52; Forum Outsourcingu, Analiza prawna i
biznesowa Ustawy – Prawo bankowe art. 6, s. 5-6.
40
wówczas, gdy wynika to z treści czynności prawnej, z ustawy lub z właściwości
ś
wiadczenia (art. 356 § 1 k.c.). Przy tym, za działania lub zaniechania
podwykonawców dłużnik-insourcer ponosi odpowiedzialność tak, jak za działania lub
zaniechania własne (art. 474 k.c.).
Po drugie, argumentem za dopuszczeniem stosowania suboutsourcingu jest
brzmienie art. 6b ust. 1 pr. bank. Przepis ten stanowi, że odpowiedzialności podmiotu
zewnętrznego wobec banku za szkody wyrządzone klientom wskutek niewykonania
lub nienależytego wykonania umowy outsourcingowej nie można wyłączyć ani
ograniczyć. Wynika stąd wniosek, że względem banku stroną odpowiedzialną jest
zawsze insourcer, wobec czego ewentualne ryzyko związane z suboutsourcingiem
obciąża podmiot zewnętrzny. Zatem należy przyjąć, iż decyzje o skorzystaniu z usług
podwykonawców będzie on podejmował, mając na względzie swój interes.
Co więcej, takie jednoznaczne przypisanie odpowiedzialności oznacza dla
banku jasną sytuację w razie konieczności dochodzenia naprawienia szkody –
niezależnie od tego, czy wynikła ona wskutek działania lub zaniechania insourcera,
czy podwykonawcy. Wiąże się to niewątpliwie z mniejszym poziomem ryzyka
operacyjnego (w tym prawnego), na jakie narażony jest bank w przypadku
dopuszczenia outsourcingu łańcuchowego – w porównaniu ze stanowiskiem GINB,
ż
e usługodawcą może być tylko strona umowy z bankiem. Warto też podkreślić, iż
skutkiem przyjęcia drugiego z modeli będzie również obciążenie banku dodatkowym
– ryzykogennym – obowiązkiem koordynacji relacji między insourcerami
ś
wiadczącymi usługi cząstkowe składające się na usługę główną.
Wskazać ponadto należy, że nieuzasadnione są wątpliwości odnośnie braku
możliwości oddziaływania nadzorcy na tak ukształtowane relacje. Ustawa przewiduje
bowiem jako jeden z warunków dopuszczalności outsourcingu zapewnienie
sprawowania przez organ nadzoru efektywnego nadzoru nad wykonywaniem
powierzonych czynności (art. 6c ust. 1 pkt 2 pr. bank.). Wymóg ten odnosi się
zarówno do outsourcingu zwykłego, jak i łańcuchowego. W obydwu przypadkach
jego spełnienie uzależnione jest od działań banku. Będą one polegać na zawarciu w
umowie z insourcerem określonych klauzul. Ponadto, w umowie tej bank może
uzależnić dopuszczalność suboutsourcingu od swojej uprzedniej zgody.
Jednocześnie należy zaznaczyć, iż niezależnie od zastosowanego modelu
relacji, na banku i outsourcerze z mocy ustawy leży obowiązek posiadania planów
działania zapewniających ciągłe i niezakłócone prowadzenie działalności w zakresie
41
objętym umową (art. 6c ust. 1 pkt 3 pr. bank.). W razie korzystania z outsourcingu
łańcuchowego, plany te powinny uwzględniać jego specyfikę.
Konkludując, należy opowiedzieć się za dopuszczalnością suboutsourcingu w
bankowości. Za takim rozwiązaniem przemawiają przedstawione wyżej argumenty
prawne i funkcjonalne. Jest ono również zgodne z wymogami praktyki i aprobowane
przez KBNB
96
oraz CEBS
97
, jak i powszechnie przez regulatorów rynku usług
bankowych
98
.
Podkreślenia
też
wymaga,
ż
e
praktykowanie
outsourcingu
łańcuchowego nie wpłynie na bezpieczeństwo działalności bankowej, jako że jego
zapewnienie jest warunkiem możliwości korzystania z tej metodologii biznesowej.
Jego spełnienie podlega zaś kontroli ze strony organu nadzoru.
3.1.2.2. Specyfikacja usługi
Specyfikacja jest podstawową instrukcją, do której ma się stosować
usługodawca, wprowadzając ewentualnie udoskonalenia zgodne ze swoją wiedzą i
doświadczeniem.
99
Jej sporządzenie przez bank rozpoczyna formalny proces selekcji
insourcera. Powinna ona przy tym uwzględniać następujące kluczowe kwestie:
określenie wymaganych wyników współpracy,
określenie stanu wyjściowego,
określenie pożądanego kształtu relacji z usługodawcą.
3.1.2.3. Lista potencjalnych usługodawców
Opracowanie wymagań odnośnie usługodawców umożliwia stworzenie
wstępnej listy kandydatów na partnerów outsourcingowych. Należy zgromadzić na
ich temat jak najwięcej danych, poddać je analizie, a następnie przygotować
prognozę korzyści możliwych do osiągnięcia dzięki współpracy z nimi. Informacje te
bank powinien uzyskać z wielu dostępnych źródeł. Szczególnie pomocne jest
opracowanie i przesłanie do potencjalnych kontrahentów próśb o informacje (ang.
request for information – RFI) w formie kwestionariuszy. Dane uzyskane w oparciu o
96
The Joint Forum, Outsourcing..., s. 17.
97
Committee of European Banking Supervisors, Guidelines..., s. 9.
98
R.R. Zdzieborski, Outsourcing... (cz. II), s. 50 i powołane tam przykłady.
99
Ch.L. Gay, J. Essinger, Outsourcing..., s. 90.
42
RFI pozwalają na dokonanie wstępnej selekcji i stworzenie tzw. krótkiej listy
kandydatów.
3.1.2.4. Due dilligence
Proces oceny potencjalnych usługodawców powinien być jednym z
kluczowych elementów polityki banku w zakresie outsourcingu. Jego zadaniem jest
bowiem jak najwcześniejsza identyfikacja wszelkich rodzajów ryzyka, jakie wiążą się
z jego wykorzystywaniem oraz pomóc w skutecznym jego zmniejszeniu. Ocena taka
w związku z tym powinna być powiązana z celami outsourcingu, a jednocześnie
przebiegać w oparciu o jasne i obiektywne kryteria, służące zapewnieniu jak
największego bezpieczeństwa działalności banku.
Wśród podstawowych kryteriów due dilligence należy wskazać
100
:
posiadanie przez usługodawcę odpowiednich kwalifikacji oraz zasobów,
zrozumienie przez niego celów i wymagań banku odnośnie powierzanych
czynności,
odpowiednią sytuację finansową insourcera, umożliwiającą mu wypełnienie
zobowiązań wobec banku,
w przypadku offshoringu – istnienie ekonomicznych, politycznych i prawnych
warunków umożliwiających efektywne wykonywanie powierzonych funkcji na
rzecz banku.
Niezwykle istotna jest również zbieżność przyszłych partnerów outsourcingowych
pod względem kultury organizacyjnej i reprezentowanych wartości.
3.1.2.5. Zapytanie ofertowe
Równolegle z opracowywaniem ram i przeprowadzaniem due dilligence należy
sporządzić i rozesłać do kandydatów zakwalifikowanych na krótką listę zapytania
ofertowe (ang. request for proposal – RFP). Powinno ono zawierać:
opracowaną specyfikację,
podstawowe założenia planowanego przedsięwzięcia,
instrukcje dla oferentów dotyczące sposobu udzielenia odpowiedzi na RFP.
101
100
The Joint Forum, Outsourcing..., s. 15-16.
101
Ch.L. Gay, J. Essinger, Outsourcing..., s. 101-102.
43
Oferty składane przez usługodawców podlegają finalnej ocenie banku. Jej rezultatem
jest wybór tej, która będzie podstawą rozpoczęcia negocjacji w celu zawarcia
kontraktu outsourcingowego.
3.1.3. Negocjacje i zawarcie umowy
Zawarcie umowy wskutek przeprowadzonych między bankiem a usługodawcą
negocjacji jest ostatnim etapem fazy przedkontraktowej. Rokowania odbywają się w
znacznej mierze w oparciu o funkcjonujące w obrocie zwyczaje czy przyjęte praktyki
– wszak dzieją się między profesjonalistami. Niemniej jednak, na gruncie prawa
polskiego w kwestii tej pod uwagę należy wziąć odpowiednie przepisy kodeksu
cywilnego.
Na wstępie dodać jeszcze trzeba, iż negocjacje stanowią dla banku znaczące
ź
ródło ryzyka prawnego związanego z projektem outsourcingowym, stąd konieczne
jest zachowanie przezeń w ich trakcie należytej staranności. Ponadto, rokowania są
ostatnim momentem, w którym bank dysponuje znaczną swobodą kształtowania
inicjowanej relacji. W momencie podpisania przez strony kontraktu, możliwości w tym
względzie ulegają istotnemu ograniczeniu.
Negocjacje określa się jako proces polegający na dialogu pomiędzy dwoma
potencjalnymi kontrahentami zmierzającymi do uzgodnienia woli zawarcia określonej
umowy
102
. Polegają one na stopniowym ustalaniu postaci przyszłej umowy. Za ich
początek uważa się pierwsze oświadczenie strony, nawet jeśli nie ma ono charakteru
oferty, lecz np. zaproszenia do zawarcia umowy – skierowanego do
zindywidualizowanego adresata
103
. Za ich koniec z kolei uznać można moment
zawarcia umowy. Został on określony przez ustawodawcę jako chwila, gdy strony
dojdą do porozumienia co do wszystkich jej postanowień, które były przedmiotem
negocjacji (art. 72 § 1 k.c.).
102
A. Brzozowski, [w:] Kodeks cywilny. Komentarz, Tom I, pod red. K. Pietrzykowskiego, C.H. Beck,
Warszawa 2003, s. 287.
103
A. Michalak, Ochrona tajemnic handlowych w trakcie negocjacji, Monitor Prawniczy 13/2003, s.
588.
44
3.1.3.1. Protokół porozumienia
Proces negocjacji – ze swej natury złożony – może być rozłożony w czasie.
Jest to cecha charakterystyczna większych kontraktów, w tym outsourcingowych. Jej
wyrazem jest prowadzenie negocjacji w dwóch zasadniczych etapach: opracowaniu
protokołu porozumienia, a następnie uzgodnieniu ostatecznej treści umowy.
Protokół stanowi krótszą formę porozumienia, w którym obie strony
stwierdzają swoje zamiary oraz zobowiązują się do prowadzenia dalszych negocjacji
w dobrej wierze. Zawiera on ogólnie sformułowane cele obu stron, w szczególności
wynegocjowanie kontraktu w przewidzianym czasie. Może także w zarysie określać
zasady, które mają obowiązywać w kontrakcie, zwłaszcza w odniesieniu do kwestii
mogących w toku rokowań rodzić kontrowersje.
Sprawa wiążącej mocy takiego protokołu jest na tle obowiązującego stanu
prawnego dyskusyjna
104
.
3.1.3.2. Obowiązek uczciwego negocjowania
Ustawodawca przewidział również obowiązek prowadzenia przez strony
negocjacji zgodnie z dobrymi obyczajami (art. 72 § 2 k.c.). Jako przykład praktyki
sprzecznej z tym obowiązkiem wskazany przepis określa rozpoczęcie lub
prowadzenie negocjacji bez zamiaru zawarcia umowy.
Naruszenie wskazanej zasady przez negocjującą stronę rodzi obowiązek
naprawienia szkody, jaką druga strona poniosła przez to, że liczyła na zawarcie
umowy.
3.1.3.3. Ochrona informacji poufnych
Kodeks cywilny nakłada również na negocjujące strony obowiązek
zachowania poufności odnośnie informacji udostępnionych przez drugą stronę z
zastrzeżeniem ich poufności. I tak, w myśl art. 72
1
§ 1, strona, której zostały takie
104
Taki charakter omawianych dokumentów uznają: P. Machnikowski, Zmiany w przepisach k.c. o
zawieraniu umów w trybie ofertowym i rokowaniowym, Przegląd Prawa Handlowego 1/2004, s. 12; D.
Rogoń, Problemy negocjacyjnego trybu zawarcia umowy po nowelizacji kodeksu cywilnego, Przegląd
Prawa Handlowego 10/2003, s. 5-6. Przeciwne stanowisko zajmuje w tej kwestii W. Kocot, Ofertowy i
negocjacyjny tryb zawarcia umowy w ujęciu znowelizowanych przepisów kodeksu cywilnego, Przegląd
Prawa Handlowego 5/2003, s. 22.
45
informacje powierzone z zastrzeżeniem ich poufności, obowiązana jest do
nieujawniania i nieprzekazywania ich innym osobom oraz do niewykorzystywania ich
dla własnych celów.
Przepis ten ma szczególną doniosłość z punktu widzenia banku w przypadku
dochodzenia do umowy outsourcingowej. Wszak wymaga ono zazwyczaj ujawnienia
potencjalnemu kontrahentowi informacji stanowiących tajemnicę przedsiębiorstwa.
Informacje te mają dla banku znaczenie strategiczne ze względu na ich wpływ na
jego pozycję konkurencyjną. Stąd w razie ich ujawnienia, może on domagać się od
nieuczciwego kontrahenta naprawienia wynikłej stąd szkody albo wydania
uzyskanych przezeń korzyści (art. 72
1
§ 2 k.c.).
3.1.4. Tryb powierzania czynności bankowych podmiotom zewnętrznym
Kończąc rozważania na temat fazy przedkontraktowej przedsięwzięcia
outsourcingowego, przedstawić należy określone przez ustawodawcę tryby
powierzania czynności podmiotom zewnętrznym przez banki.
W pierwszej kolejności wskazać trzeba warunki, które powinny być spełnione
(łącznie), aby bank mógł powierzyć insourcerowi wykonywanie czynności
określonych w art. 6a ust. 1 pr. bank. Zgodnie z brzmieniem art. 6c ust. 1 pr. bank.,
są to:
zawiadomienie przez bank organu nadzoru z co najmniej 14-dniowym
wyprzedzeniem o zamiarze zawarcia takiej umowy (pkt 1)
105
;
zapewnienie wykonywania przez organ nadzoru efektywnego nadzoru nad
wykonywaniem powierzonych czynności (pkt 2);
posiadanie przez bank i insourcera planów działania zapewniających ciągłe i
niezakłócone prowadzenie działalności w zakresie objętym umową (pkt 3);
zapewnienie, że powierzenie wykonania czynności nie wpłynie niekorzystnie
na prowadzenie przez bank działalności zgodnie z przepisami prawa, ostrożne
i stabilne zarządzanie bankiem, skuteczność systemu kontroli wewnętrznej w
banku, możliwość wykonywania obowiązków przez biegłego rewidenta
upoważnionego do badania sprawozdań finansowych banku na podstawie
zawartej z bankiem umowy oraz ochronę tajemnicy prawnie chronionej (pkt 4).
105
Zakres informacji przekazywanych nadzorcy w tym zawiadomieniu został określony w Piśmie GINB
z dnia 3.08.2004 r.
46
Zauważyć należy, że poza obowiązkiem zawiadomienia nadzorcy, powyższy
katalog zawiera warunki o charakterze merytorycznym, mające postać klauzul
generalnych. Wydaje się ponadto, iż spełnienie tych wymogów przez bank będzie
wyrazem prowadzenia działalności w sposób niezagrażający środkom pieniężnym
zgromadzonym od ludności, a zatem korespondujący z głównym celem nadzoru
bankowego. Trzeba wszak pamiętać, że spełnienie przez bank powyższych
wymogów podlega kontroli ze strony organu nadzoru.
Omawiane warunki nie mogą jednakże być traktowane jako warunki
dopuszczalności zawarcia umowy outsourcingowej. Ich niespełnienie w związku z
tym nie rodzi skutku nieważności tej umowy. Może stanowić jednakże podstawę do
zastosowania
względem
banku
przewidzianych
przez
ustawę
ś
rodków
nadzorczych.
106
Obok spełnienia wyżej przedstawionych warunków, ustawa w określonych
sytuacjach nakłada na banki obowiązek uzyskania zezwolenia na zawarcie umowy
outsourcingowej
107
i to pod rygorem nieważności tej umowy
108
.
Po pierwsze, zgoda nadzoru jest wymagana w przypadku powierzenia
podmiotowi zewnętrznemu wykonywania innych czynności niż określone w art. 6a
ust. 1 pkt 1 lit. a-j pr. bank. (art. 6a ust. 1 pkt 1 lit k pr. bank.). Organ nadzoru może
wydać przedmiotowe zezwolenie, jeżeli powierzenie przez bank wykonywania tych
czynności jest niezbędne do prowadzenia działalności bankowej w sposób ostrożny i
stabilny lub istotnego obniżenia kosztów tej działalności (art. 6a ust. 3 pr. bank.).
Po drugie, zgoda nadzoru jest niezbędna w przypadku korzystania przez bank
z outsourcingu, w którym występuje wskazany przez ustawę czynnik zagraniczny.
Może on, zgodnie z art. 6d ust. 1 pr. bank., wiązać się z:
podmiotem będącym insourcerem – w przypadku, gdy jest nim przedsiębiorca
zagraniczny niemający miejsca stałego zamieszkania lub nieposiadający
siedziby na terytorium państwa członkowskiego UE albo innego państwa
należącego do Europejskiego Obszaru Gospodarczego (art. 6d ust. 1 w zw. z
art. 4 ust. 3 pr. bank.); albo
miejscem wykonywania czynności przewidzianych umową – w przypadku, gdy
ma ono być zlokalizowane za granicą, przez co należy rozumieć obszar
106
K. Kohutek, Prawo bankowe...
107
Wydaje się, że wymóg uzyskania przez bank zgody nadzorcy na korzystanie z usług pomiotu
zewnętrznego, dezaktualizuje obowiązek notyfikacyjny przewidziany w art. 6c ust. 1 pkt 1 pr. bank.
108
K. Kohutek, Prawo bankowe...
47
znajdujący się poza granicami Polski, a zatem obejmujący pozostałe państwa
członkowskie UE
109
oraz państwa niebędące członkami UE.
Omawiane zgody wydawane są na wniosek banku i do niego adresowane. Do
wniosku – zgodnie z art. 6d ust. 2 pr. bank. – bank załącza:
dokumenty
dotyczące
działalności
gospodarczej
przedsiębiorcy
zagranicznego, który ma wykonywać powierzone czynności
110
,
projekt umowy outsourcingowej, która ma być zawarta z przedsiębiorcą
zagranicznym,
plany działania zapewniające ciągłe i niezakłócone prowadzenie działalności
w zakresie objętym umową,
zezwolenia lub promesy zezwoleń wymaganych w państwie, w którym
czynności mają być wykonywane wraz z pozytywną opinią właściwych władz
nadzorczych,
opis rozwiązań technicznych i organizacyjnych, zapewniających bezpieczne i
prawidłowe wykonywanie powierzonych czynności, w szczególności ochronę
tajemnicy prawnie chronionej.
Wreszcie wskazać należy przewidziane w art. 6d ust. 4 przesłanki
umożliwiające organowi nadzoru odmowę wydania lub cofnięcie zezwolenia:
istnienie zagrożenia naruszenia tajemnicy prawnie chronionej,
obowiązywanie w państwie, w którym powierzone czynności mają być
wykonywane, prawa uniemożliwiającego polskiemu nadzorcy bankowemu
wykonywanie efektywnego nadzoru,
zaistnienie sytuacji, gdy powierzenie wykonania czynności może wpłynąć
niekorzystnie na prowadzenie przez bank działalności zgodnie z przepisami
prawa, ostrożne i stabilne zarządzanie bankiem, skuteczność systemu kontroli
wewnętrznej w banku oraz możliwość wykonywania obowiązków przez
109
Powoduje to istnienie odmiennych reżimów prawnych dla outsourcingu realizowanego na obszarze
Polski oraz na obszarze innych państw członkowskich UE. Stąd pojawiają się wątpliwości odnośnie
zgodności takiego rozwiązania z prawem wspólnotowym. Szerzej: T. Czech, A. Werner, Outsourcing
działalności bankowej wykonywany poza granicami Polski w świetle Traktatu o utworzeniu Wspólnoty
Europejskiej, Przegląd Prawa Gospodarczego 11/2005.
110
Wykaz tych dokumentów został określony uchwałą nr 3/2004 KNB z dnia 8 września 2004 r. w
sprawie
określenia
dokumentów
dotyczących
działalności
gospodarczej
przedsiębiorcy
zagranicznego, który ma wykonywać powierzone przez bank czynności określone w art. 6a ust. 1
ustawy – prawo bankowe (Dz.Urz. NBP Nr 14, poz. 24).
48
biegłego rewidenta upoważnionego do badania sprawozdań finansowych
banku na podstawie zawartej z bankiem umowy.
3.2. Zagadnienie umowy outsourcingowej
Zawarcie przez strony umowy kończy etap przedkontraktowy w relacjach
banku z usługodawcą.
3.2.1. Znaczenie umowy
Umowa outsourcingowa jest prawną podstawą stosunku pomiędzy bankiem a
insourcerem. Łączy ona te podmioty gospodarcze w związek, który w znaczący
sposób wpływa na ich funkcjonowanie. Z jednej strony, stanowi instrument służący
osiągnięciu określonych korzyści, z drugiej natomiast, jest źródłem znaczących
zagrożeń. Ta zależność jest szczególnie doniosła w przypadku powierzania
czynności bankowych przez banki. Czynnikiem determinującym postrzeganie
kontraktu outsourcingowego przez banki powinno stąd być założenie, że jest on
dokumentem definiującym strukturę relacji z usługodawcą oraz swoistą mapą tejże
relacji.
Zawarcie omawianej umowy powinno znaleźć uzasadnienie w polityce
wypracowanej na etapie koncepcyjnym, a jednocześnie być konsekwencją
strategicznych celów banku. Kontrakt ten stanowi swoistą syntezę, ukonkretyzowanie
i realizację tej polityki. Ważne przy tym, by odznaczał się elastycznością. Trzeba
mieć bowiem na uwadze, że typowy stosunek outsourcingowy trwa przeciętnie 5-10
lat. Stąd też trudno jest przewidzieć w momencie jego zawiązania wszelkie możliwe
problemy, jakie napotka. Równocześnie zmianom podlegać będą realia rynku
określające warunki prowadzenia działalności. Elastyczność pozwoli na uniknięcie
przez bank ryzyka strategicznego.
Kontrakt jest kluczowym instrumentem efektywnego, a zarazem proaktywnego
zarządzania ryzykiem związanym z przedsięwzięciem outsourcingowym. Stanowi
wyraz przewidywanych problemów czy niebezpieczeństw mogących wyniknąć w
trakcie jego trwania. Jednocześnie zawiera postanowienia, które służą ich redukcji
lub eliminacji. Bank powinien dochować należytej staranności przy kształtowaniu ich
49
tak, by w jak największym zakresie zminimalizować ryzyko prawne relacji z
insourcerem.
Dlatego też powinien on jasno, precyzyjnie i zrozumiale określać zakres
działalności, do której się odnosi, oraz jednoznacznie definiować cele,
odpowiedzialność, obowiązki i oczekiwania stron. W razie zaś konfliktu lub
niewywiązywania się z umowy, powinny mieć zastosowanie przewidziane procedury i
sankcje.
111
Co więcej, zauważyć należy, iż zrozumiała i precyzyjnie sformułowana umowa
outsoourcingowa stanowi niezastąpione narzędzie efektywnej komunikacji między jej
stronami. Przy tym, jako że artykułuje rzeczywiste zamiary kontrahentów w
momencie zawiązania relacji, jest punktem odniesienia w miarę ich ewolucji.
3.2.2. Podstawa prawna umowy
Ustawodawca polski nie wyróżnia odrębnego typu umów outsourcingowych.
Dlatego też w tym zakresie strony organizować będą relacje między sobą, co do
zasady, w oparciu o swobodę umów – swobodę wyboru formy prawnej umów. Ze
względu na istotę przedsięwzięcia będą to przede wszystkim umowy mające za
przedmiot świadczenie usług – zarówno nazwane, jak i nienazwane.
Z tego punktu widzenia rozpatrywać należy kwestię podstawy prawnej umów
outsourcingowych związanych z działalnością bankową. Jednakże ustawodawca
częściowo ogranicza powołaną swobodę wyboru formy prawnej. Mianowicie,
podejmowanie czynności wskazanych w art. 6a ust. 1 pkt 1 pr. bank. może przybrać
wyłącznie formę pośrednictwa świadczonego w imieniu i na rzecz banku na
podstawie umowy agencyjnej (art. 758 i n. k.c.).
Natomiast odnośnie czynności faktycznych związanych z działalnością
bankową, o których mowa w art. 6a ust. 1 pkt 2 pr. bank., ustawodawca nie
przewiduje wymagań co do formy prawnej. Oznacza to, że wybór jej następuje w
oparciu o swobodę kontraktowania.
111
Ch.L. Gay, J. Essinger, Outsourcing..., s. 108.
50
3.2.3. Forma umowy
Przepis art. 6a ust. 1 pr. bank. wskazuje, iż powierzenie wykonywania
czynności insourcerowi przez bank powinno nastąpić w drodze zawarcia umowy na
piśmie. Wobec braku szczególnego zastrzeżenia, forma ta została przewidziana dla
celów dowodowych (art. 74 § 1 k.c.). Z uwagi jednak na wyłączenie przez art. 74 § 3
k.c. stosowania przepisów o formie pisemnej ad probationem w stosunkach między
przedsiębiorcami, art. 6a ust. 1 pr. bank. w zakresie odnoszącym się do formy
umowy nie rodzi żadnych skutków prawnych.
Niemniej, ze względu na złożoność kontraktu, związane z outsourcingiem
ryzyka czy kwestie nadzoru bankowego, w praktyce wykluczyć należy
niezastosowanie formy pisemnej.
3.2.4. Struktura umowy
Zasadniczo kontrakt outsourcingowy składa się z dwóch części:
warunków i postanowień ogólnych – są to klauzule regulujące ogólne aspekty
relacji między stronami;
załączników – oddzielnych dokumentów regulujących szczegółowo stosunki
między stronami; są one integralną częścią umowy.
Wśród najważniejszych postanowień umowy znajdują się
112
:
wyodrębnienie zakresu działalności banku podlegającego powierzeniu,
wymogi odnoszące się do sposobu świadczenia usług przez podmiot
zewnętrzny,
wzajemne prawa i obowiązki banku i insourcera,
kwestie zakończenia umowy i strategie wyjścia,
gwarancje ochrony informacji konfidencjonalnych, w tym objętych tajemnicą
bankową,
zasady stałej kontroli i oceny sposobu wykonywania powierzonych czynności
oraz środki korygujące ewentualne nieprawidłowości,
112
Committee of European Banking Supervisors, Guidelines..., s. 7-8.
51
zapewnienie jednostce kontroli wewnętrznej banku pełnego dostępu do
wszelkich danych związanych z wykonywaniem przez podmiot zewnętrzny
powierzonych czynności oraz nieograniczonej możliwości kontroli tych danych,
zapewnienie organowi nadzoru bankowego bezpośredniego dostępu do
wszelkich
danych
związanych
z
wykonywaniem
przez
insourcera
powierzonych czynności,
obowiązek informowania banku przez usługodawcę o wszelkich zaistniałych
okolicznościach mogących mieć istotny wpływ na proces outsourcingowy,
zapewnienie bankowi możliwości jednostronnego rozwiązania umowy w
sytuacji, gdy zażąda tego organ nadzoru bankowego.
Ponadto, umowa outsourcingowa powinna regulować kwestie związane z:
okresem przejściowym wdrażania relacji,
metodami pozasądowego rozwiązywania ewentualnych sporów,
wynagrodzeniem za wykonywanie powierzonych czynności przez podmiot
zewnętrzny,
zasobami ludzkimi,
obowiązkiem posiadania przez obie strony planów awaryjnych i okresowego
ich testowania.
3.2.5. Poziom świadczonych usług
Charakterystyka świadczonych usług (ang. service level agreement – SLA)
jest zespołem postanowień i warunków dotyczących standardów, w oparciu o które
insourcer ma wykonywać powierzone mu czynności.
113
Może ona być ujęta w treści
umowy outsourcingowej albo stanowić załącznik do niej.
Zasadniczo w jej skład wchodzą opisy takich procesów, jak
114
:
bieżące gromadzenie danych dotyczących czasu reakcji, wielkości transakcji,
opóźnienia prac itp.,
kontrola błędów – raportowanie o pomiarach, które przekroczyły wartości
progowe,
113
A.D. Vereshack, A Practical Guide to Outsourcing Agreements, LexisNexis Butterworths 2005, s.
137 i n.
114
Ch.L. Gay, J. Essinger, Outsourcing..., s. 85.
52
raporty dzienne lub tygodniowe – bieżąca sprawozdawczość w celu śledzenia
poziomu usług.
Ponadto, w SLA przewidziane są środki mające na celu utrzymywanie określonego
poziomu usług w sytuacji zakłóceń po stronie insourcera.
Standardy odnoszące się do poziomu usług powinny mieć formę precyzyjnie
określonych ilościowych oraz jakościowych wskaźników, w oparciu o które bank
będzie mógł dokonać oceny działalności insourcera. Jednocześnie zasadne jest
korzystanie przez bank z zewnętrznych narzędzi wspomagających taką ocenę, jak
np. zewnętrznego audytu.
Podkreślenia wreszcie wymaga, ze wskaźniki zawarte w SLA stanowią w
praktyce punkty odniesienia dla ustalenia wynagrodzenia insourcera czy też
wysokości kar umownych.
3.3. Realizacja umowy outsourcingowej
Podpisanie umowy stawia bank i podmiot zewnętrzny wobec wyzwań
związanych z jej realizacją. Zapoczątkowuje ono relację komercyjną o złożonym
charakterze, która często bywa określana mianem strategicznego aliansu czy
partnerstwa. Terminy te oznaczają, że strony mają wspólne cele i interesy, a przede
wszystkim podkreślają charakter outsourcingu jako przedsięwzięcia opartego na
wzajemnym zaufaniu. Trzeba jednak pamiętać, że bank jest przedsiębiorcą o
szczególnej charakterystyce, która w przemożny sposób determinuje kształt jego
relacji z insourcerem.
3.3.1. Wdrożenie umowy outsourcingowej
Między zawarciem kontraktu a pełnym jego wdrożeniem niezbędny jest
pewien okres przejściowy. Jest to czas potrzebny na dokonanie zmian w
wykonywaniu funkcji po jej przejęciu przez nowy podmiot. Charakter tych zmian i
czas na nie potrzebny powinny być przedmiotem szczegółowego uzgodnienia między
stronami.
W trakcie okresu przejściowego następuje przeniesienie powierzanych przez
bank czynności, ich integracja w ramach przedsiębiorstwa podmiotu zewnętrznego
oraz dostosowanie do wskaźników określonych w SLA. Odbywa się to zazwyczaj w
53
oparciu o przygotowany przez insourcera plan (ang. transition plan) stanowiący
integralną część kontraktu outsourcingowego. Dokument ten określa w
szczególności
115
:
zasady zarządzania procesem przejściowym i oceny stopnia realizacji planu,
sposób przejęcia przez insourcera powierzanych funkcji oraz odpowiadające
mu obowiązki banku,
etapy osiągania zgodności podejmowanych czynności z kryteriami
określonymi w SLA,
procedury kontroli realizacji procesu przejścia,
plany awaryjne na okres przejściowy,
długość okresu przejściowego.
Należy podkreślić, że umowa outsourcingowa powinna przewidywać, iż
realizacja przez podmiot zewnętrzny planu przejścia nie wpłynie negatywnie na
działalność banku oraz na jakość i ciągłość usług będących przedmiotem
outsourcingu. Z drugiej strony, bank powinien gwarantować insourcerowi
odpowiednie wsparcie w zakresie tych usług. Jasne określenie odpowiedzialności
pozwoli na zredukowanie ryzyka operacyjnego w trakcie fazy przejściowej.
3.3.2. Zarządzanie zasobami ludzkimi
Jedną z głównych kwestii decydujących o powodzeniu outsourcingu stanowi
zarządzanie zasobami ludzkimi. Istotnym bowiem źródłem ryzyka operacyjnego,
zwłaszcza w fazie początkowej, jest potencjalne zachowanie personelu. Mianowicie,
ujawnienie (oficjalnie lub nieoficjalnie) informacji o podejmowanym przedsięwzięciu
wpływa na poczucie bezpieczeństwa pracowników, zarówno w nie zaangażowanych,
jak i niezaangażowanych. Może to doprowadzić do zakłóceń w funkcjonowaniu
banku, błędów, spadku efektywności, obniżenia morale załogi czy utraty znaczących
pracowników. Niewykluczone jest ponadto – w skrajnych przypadkach – umyślne
odwetowe działanie na szkodę banku. Zarysowana tu sytuacja może rodzić także
konsekwencje prawne czy związane z utratą reputacji.
115
A.D. Vereshack, A Practical Guide..., s. 32-35.
54
Dlatego też warto zwrócić uwagę na określone zasady postępowania wobec
pracowników w związku z outsourcingiem. Przede wszystkim, bank powinien docenić
znaczenie odpowiedniej komunikacji z personelem. Proces ten winien być
skoordynowany z innymi działaniami, musi je wspomagać i czynić odpowiedni użytek
z dostarczanych przez nie informacji. Najwłaściwszy moment podjęcia dialogu z
załogą nie jest jasny, jednakże z pewnością nie należy go rozpoczynać na etapie
wewnętrznej analizy przedsięwzięcia. Przemawia za tym brak pewności co do tego,
czy dojdzie ono do skutku. Trzeba przy tym pamiętać, że celem komunikacji jest w
szczególności należyte przygotowanie pracowników do outsourcingu.
Pozostawiona do uzgodnień między stronami jest kwestia wykorzystania przez
usługodawcę zasobów ludzkich banku w wykonywaniu powierzonych czynności. W
szczególności sytuacja przejęcia ich przez insourcera powinna być przedmiotem
ustaleń. Należy jednak pamiętać, że wówczas zastosowanie znajdą przepisy
kodeksu pracy dotyczące przejścia zakładu pracy lub jego części na innego
pracodawcę
116
. Przewidują one zasadę kontynuacji – nowy pracodawca staje się z
mocy prawa stroną w dotychczasowych stosunkach pracy. Co więcej, za
zobowiązania wynikające ze stosunku pracy, powstałe przed przejściem części
zakładu pracy na innego pracodawcę, dotychczasowy i nowy pracodawca
odpowiadają solidarnie.
W razie przejęcia przez insourcera personelu banku, niezwykle istotne jest, by
odbyło się ono w oparciu o szczegółowy plan. Dotyczy on przede wszystkim sposobu
wyznaczenia pracowników pozostających w banku lub przechodzących do
usługodawcy, polityki obu kontrahentów, jak również stopnia dopasowania pod
względem kultury organizacyjnej. Ponadto, plan ten określa harmonogram
wszystkich kluczowych decyzji oraz szczegóły dotyczące polityki informacyjnej na
cały okres przedsięwzięcia outsourcingowego.
117
3.3.3. Zarządzanie i monitoring przedsięwzięcia.
Wdrożenie przedsięwzięcia outsourcingowego stawia bank wobec nowych
wyzwań. W sytuacji bowiem wykonywania określonych czynności własnymi siłami,
116
Art. 23
1
ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (tekst jedn. Dz.U. z 1998 r. Nr 21, poz.
94 z późn. zm).
117
Ch.L. Gay, J. Essinger, Outsourcing..., s. 125.
55
zarządzanie koncentruje się zarówno na samym procesie, jak i na jego rezultatach. Z
kolei outsourcing powoduje rozdzielenie tych zadań. Zarządzanie procesem zostaje
powierzone insourcerowi, bank skupia się natomiast na osiągnięciu oczekiwanych
korzyści.
3.3.3.1. Rola zarządu
Odnosząc się do szczegółowych kwestii związanych z zarządzaniem
realizacją procesu outsourcingowego, należy w pierwszej kolejności zwrócić uwagę
na rolę kierownictwa banku. Mianowicie, zarząd pozostaje w pełni odpowiedzialny za
przebieg przedsięwzięcia tak, jakby bank wykonywał powierzone czynności własnymi
siłami. W żadnym wypadku nie jest dopuszczalna rezygnacja z tej odpowiedzialności.
Służy to w szczególności zapewnieniu zgodności przebiegu przedsięwzięcia z
opracowaną przez zarząd polityką. Nie oznacza to jednak wyłączenia
odpowiedzialności insourcera. W jego gestii bowiem leży bezpośrednie zarządzanie
procesem.
3.3.3.2. Program zarządzania procesem outsourcingowym
Zarządzanie procesem outsourcingowym, zwłaszcza ryzykiem, winno znaleźć
odzwierciedlenie w systemie zarządzania bankiem. Należy w nim uwzględnić przede
wszystkim zakres i charakter powierzanych czynności w odniesieniu do takich
czynników, jak
118
:
finansowy, reputacyjny i operacyjny wpływ zakłóceń w wykonywaniu
zleconych czynności na bank,
potencjalne straty klientów banku i ich kontrahentów w razie zakłóceń procesu
outsourcingowego,
wpływ outsourcingu na możliwość wypełniania przez bank wymogów
nadzorczych,
koszty,
powiązanie przekazanych czynności z innymi obszarami działalności banku,
118
The Joint Forum, Outsourcing..., s. 14.
56
istniejące związki organizacyjne i gospodarcze między bankiem a
insourcerem,
publicznoprawny status podmiotu zewnętrznego,
stopień trudności i czas wymagany na przekazanie powierzonych czynności
alternatywnemu insourcerowi lub ponowne ich przejęcie przez bank,
stopień złożoności kontraktu outsourcingowego.
Ogólnie
ujmując,
wszechstronny
program
zarządzania
ryzykiem
outsourcingowym powinien zapewnić stałą kontrolę banku nad wszelkimi aspektami
przedsięwzięcia oraz przewidywać odpowiednie środki zaradcze w razie wystąpienia
zakłóceń. Należy przy tym pamiętać, że nie sposób dokładnie przewidzieć przebiegu
relacji, zwłaszcza ze względu na jej długoterminowy charakter. Dlatego bank
powinien w szczególności zapewnić sobie w umowie outsourcingowej odpowiednie
ś
rodki zabezpieczające przed niespodziewanymi okolicznościami, które mogą
wystąpić w miarę realizacji kontraktu. Minimum w tym względzie stanowi
119
:
wpływ na personel podmiotu zewnętrznego w zakresie związanym z realizacją
umowy,
wpływ na sposób wykonywania przez insourcera powierzonych czynności.
3.3.3.3. Rola audytu
System kontroli wewnętrznej odgrywa kluczową rolę dla bezpieczeństwa
działalności banku, jest istotnym elementem systemu zarządzania ryzykiem. Należy
zatem
podkreślić
jego
doniosłe
znaczenie
także
w
ramach
projektu
outsourcingowego. Wszak dostarcza niezależnego oglądu, niezbędnego do
zapewnienia, że przedsięwzięcie jest wdrażane zgodnie z celami, jakie są przed nim
stawiane. Po wdrożeniu zaś, audyt sprawuje stalą kontrolę nad bieżącą realizacją
kontraktu – dostarcza obiektywnej oceny efektywności, adekwatności i skuteczności
funkcjonującego programu zarządzania ryzykiem oraz jakości wykonywania
powierzonych podmiotowi zewnętrznemu czynności.
119
T.W. Nagel, M.T. Murphy, Structuring Technology Outsourcing Relationships: Customer Concerns,
Strategies And Processes, International Journal of Law and Information Technology, Vol. 4 No. 2, s.
166-167.
57
Biorąc pod uwagę korzyści płynące z niezależnie dokonywanych ocen
przedsięwzięcia, banki mogą rozważyć wykorzystywanie do prowadzonych kontroli
insourcera również audyt przeprowadzany przez zewnętrzne wyspecjalizowane
firmy. W tej sytuacji konieczne jest jednak zapewnienie zgodności między wynikami
ocen uzyskanymi w ten sposób z metodologią stosowaną w audytach bankowych.
Należy jednak podkreślić, że ze względu na ograniczenie przewidziane w art. 6a ust.
2 pkt 2 pr. bank., stosowanie zewnętrznych audytów może pełnić jedynie rolę
uzupełniającą.
3.3.4. Tajemnica bankowa
Z mocy art. 104 ust. 2 pkt 2 pr. bank. insourcer uzyskał dostęp do informacji
objętych tajemnicą bankową. Rozwiązanie to usuwa wątpliwości co do możliwości ich
przekazywania podmiotowi zewnętrznemu. Swoistą jednak za nie ceną jest
konieczność zapewnienia przez bank bezpieczeństwa udostępnionych danych.
Stanowi ono bowiem jeden z dominujących czynników ryzyka prawnego związanych
z outsourcingiem.
Generalny obowiązek zachowania tajemnicy bankowej statuuje art. 104 ust. 1
pr. bank. Zgodnie z jego brzmieniem, bank, osoby w nim zatrudnione oraz osoby, za
pośrednictwem których bank wykonuje czynności bankowe, są obowiązane
zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące
czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji
umowy, na podstawie której bank tę czynność wykonuje. Na tle przytoczonego
przepisu powstaje jednak problem dotyczący jego zastosowania względem kategorii
insourcerów określonych w art. 6a ust. 1 pkt 1 i w art. 6a ust. 1 pkt 2 pr. bank.
Ze względu na wyraźne brzmienie pierwszego z wyżej powołanych przepisów,
nie budzi wątpliwości, że obowiązkiem zachowania tajemnicy bankowej objęty jest
przedsiębiorca lub przedsiębiorca zagraniczny, któremu powierzono wykonywanie
wskazanych w nim czynności. Inaczej w przypadku insourcerów wykonujących
czynności faktyczne związane z działalnością bankową, o których mowa w art. 6a
ust. 1 pkt 2 pr. bank. Trudno ich bowiem uznać za osoby, za pośrednictwem których
bank wykonuje czynności bankowe, skoro ustawodawca nie odwołuje się w tym
przypadku do kategorii pośrednictwa. Stąd osoby te nie są ex lege zobligowane do
zachowania tajemnicy bankowej, jako że nie mają zazwyczaj do niej dostępu.
58
Niemniej jednak, obowiązek taki winien wynikać z postanowień kontraktu
outsourcingowego, przewidującego również sankcje za nieprzestrzeganie tej
tajemnicy przez przedsiębiorców.
120
Odnosząc się do regulacji ustawowej, wskazać nadto należy, że usługodawcy
oraz podmioty w nich zatrudnione, którym w związku z zawartą umową
outsourcingową bank udzielił lub ujawnił informacje objęte tajemnicą bankową, mogą
wykorzystać je wyłącznie w celu zawarcia i realizacji tej umowy (art. 104 ust. 5 pr.
bank.).
Ochrona omawianej tajemnicy w ustawie – Prawo bankowe odbywa się
również na drodze prawno-karnej. Mianowicie, zgodnie z brzmieniem art. 171 ust. 5,
osoby obowiązane do jej zachowania, które ujawniają bądź wykorzystują informacje
objęte nią niezgodnie z upoważnieniem określonym w ustawie, podlegają grzywnie
do miliona złotych i karze pozbawienia wolności do lat 3. Jest to zatem stosunkowo
surowa kara. Wydaje się przy tym, w świetle ustaleń poczynionych wyżej, że przepis
ten zastosowanie będzie miał jedynie do podmiotów zewnętrznych wykonujących
czynności powierzone na podstawie art. 6a ust. 1 pkt 1 pr. bank.
W zakresie tajemnicy bankowej banki powinny zapewnić, ażeby poziom jej
ochrony przez insourcera zgodny był ze standardami stosowanymi przez nie w
ramach własnej struktury. Istotne jest ujęcie tego w ramach kontraktowych.
3.3.5. Plany awaryjne
Outsourcing kreuje stan zależności między bankiem a usługodawcą. Naraża
to bank na poważne konsekwencje w razie zaprzestania świadczenia usług przez
podmiot zewnętrzny. Dlatego zarząd, w ramach działań zabezpieczających, powinien
opracować i wdrożyć:
plany utrzymania ciągłości działania (ang. business continuity plans), służące
zapewnieniu bezawaryjnego świadczenia usług przez insourcera,
plany awaryjne na wypadek zaistnienia awarii (ang. contingency plans),
mające na celu odtworzenie lub wznowienie działalności w obszarze
dotkniętym awarią, zgodnie z przyjętymi celami odtworzenia.
121
120
Tak: M. Swora, Outsourcing bankowy w świetle znowelizowanych przepisów prawa bankowego,
Glosa 7/2004, s. 16-17.
121
Rekomendacja M, s. 24-25.
59
Opracowanie i wdrożenie takich planów – zarówno przez bank, jak i
usługodawcę – jest jednym z ustawowych warunków outsourcingu (art. 6c ust. 1 pkt
3 pr. bank.). Powinny być one wiarygodne i adekwatne do zakresu powierzanych
czynności i ich złożoności.
Ze względu na różnorodność czynności, które mogą być przedmiotem
outsourcingu, nie sposób określić jednolitych rozwiązań, które powinny mieć
zastosowanie w każdym przypadku. Z pewnością jednak, przy ich opracowywaniu
należy wziąć pod uwagę
122
:
liczbę podmiotów świadczących tego samego typu usługi na danym rynku,
renomę i kondycję finansową usługodawcy,
stopień złożoności zleconej przez bank usługi,
fakt bycia przez insourcera podmiotem zależnym od banku,
fakt świadczenia usługi w kraju lub za granicą.
Zagwarantowanie ciągłego i niezakłóconego podejmowania zleconych działań
może przykładowo polegać na
123
:
zapewnieniu alternatywnego dostawcy usług,
przechowywaniu kopii zapasowych oprogramowania,
replikacji danych,
zagwarantowaniu w umowie obowiązku niezwłocznego poinformowania banku
o zaprzestaniu działalności w zakresie objętym umową czy też o zmianie
przedmiotu działalności lub o sytuacji finansowej, która może mieć wpływ na
wykonywanie umowy z bankiem,
odpowiednio długi okres wypowiedzenia,
obowiązek dotychczasowego insourcera świadczenia usługi do czasu podjęcia
czynności przez inny podmiot zewnętrzny i obowiązek przekazania mu
wszelkiej dokumentacji, baz danych czy materiałów niezbędnych do dalszego
ich podejmowania.
Ważne jest dokonywanie okresowych przeglądów planów awaryjnych i planów
ciągłości działania. Ponadto, plany awaryjne powinny być okresowo testowane w
122
R. Juchno, R.W. Kaszubski, Outsourcing w działalności..., s. 10.
123
M. Olszak, Outsourcing..., s. 66.
60
celu zapewnienia ich odpowiedniego funkcjonowania w przypadku zaistnienia
niekorzystnych zdarzeń lub awarii.
Faktem jest, że korzystanie z tego typu narzędzi wiąże się z istotnymi
kosztami. Niemniej jednak, posiadanie planów awaryjnych i planów ciągłości
działania przez bank oraz przez usługodawców może skutkować uniknięciem
niezamierzonych strat finansowych, zmarnowania możliwości rozwoju czy problemów
prawnych oraz utraty reputacji.
3.3.6. Odpowiedzialność z tytułu niewykonania lub nienależytego wykonania
umowy outsourcingowej
Odpowiedzialność z tytułu świadczenia usług outsourcingowych kształtowana
jest, co do zasady, przez przepisy ogólne kodeksu cywilnego. Podstawowe
znaczenie w tym, względzie ma art. 471 k.c., statuujący ogólne zasady
odpowiedzialności kontraktowej. Zgodnie z jego brzmieniem, na dłużniku ciąży
obowiązek naprawienia szkody wynikłej z niewykonania lub nienależytego wykonania
zobowiązania, chyba że niewykonanie lub nienależyte wykonanie jest następstwem
okoliczności, za które dłużnik nie ponosi odpowiedzialności. Przy tym, na mocy art.
472 k.c. dłużnik odpowiedzialny jest również za zachowanie należytej staranności, a
więc tak za swoje zawinione, jak i niezawinione zachowanie. Wyjątki w tym względzie
wynikać mogą z przepisów ustawy lub treści czynności prawnej.
3.3.6.1. Zakaz ograniczania odpowiedzialności
Powyższe zasady doznają istotnej modyfikacji w przypadku outsourcingu
bankowego. Swoboda kontraktowa w zakresie ustalania zasad odpowiedzialności
została ograniczona zarówno na płaszczyźnie relacji bank – klient, jak i insourcer –
bank. W pierwszym przypadku chodzi o ochronę interesów klienta banku, który
pozbawiony jest wpływu na jakość wykonywanych na jego rzecz w imieniu banku
przez insourcera usług, a także na samą decyzję banku odnośnie korzystania z
zasobów podmiotów zewnętrznych. Tym samym nie może być obarczany
negatywnymi skutkami wynikającymi z niewykonania lub nienależytego wykonania
umowy outsourcingowej. W drugim zaś przypadku, ratio polega na ochronie
61
stabilności oraz bezpieczeństwa finansowego banku, a zatem i bezpieczeństwa
zdeponowanych w nim środków.
124
Zgodnie z brzmieniem art. 6b ust. 2 pr. bank. odpowiedzialności banku z
szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania
umowy outsourcingowej nie można wyłączyć ani ograniczyć. Natomiast, jak stanowi
ustęp 1 powołanego przepisu, nie jest dopuszczalne ograniczenie ani wyłączenie
odpowiedzialności insourcera względem banku za szkody wyrządzone klientom
wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej.
Zamieszczenie zatem w kontrakcie (outsourcingowym oraz w umowie banku z
klientem) postanowienia, na mocy którego dłużnik (odpowiednio: insourcer lub bank)
ogranicza swoją odpowiedzialność wobec drugiej strony (odpowiednio banku lub
klienta), jedynie do szkody wyrządzonej z winy umyślnej, jest obarczone
bezskutecznością. Sama zaś umowa (odpowiednio: banku z insourcerem lub z
klientem) jest ważna w pozostałym zakresie (art. 58 § 3 k.c.).
Podstawa odpowiedzialności banku wobec klienta wynika z art. 474 k.c., na
mocy którego dłużnik (bank) odpowiada – tak, jak za własne – za działania i
zaniechania osób, którym powierza wykonanie zobowiązania (tu: podmiotów
zewnętrznych). Oznacza to, że bank jest zobowiązany do wypłaty klientowi
odszkodowania w razie, gdyby ten poniósł szkodę w wyniku zachowania insourcera.
Wysokość tego odszkodowania jest limitowana przepisem art. 6b ust. 2 pr. bank.
Jego zaś wypłata przez bank powoduje powstanie po jego stronie szkody, którą
insourcer obowiązany jest naprawić. Zakres regresu banku do usługodawcy
określony jest zaś treścią umowy outsourcingowej, z zastrzeżeniem art. 6b ust. 1 pr.
bank.
Szczególnym przejawem szkody banku-outsourcera jest spowodowana
działaniem lub zaniechaniem podmiotu zewnętrznego utrata reputacji. Jak to już
wyżej zostało wyjaśnione, chodzi tu głównie o przypadki uchybiania przez insourcera
określonym standardom, które, dotykając bezpośrednio klientów banku lub tez będąc
podane do publicznej wiadomości, mogą wpłynąć na postrzeganie banku na rynku.
Przy tym, renoma czy reputacja jest dobrem osobistym o szczególnej
charakterystyce. Mianowicie, w przypadku jej naruszenia szkoda w ten sposób
powstała jest trudna do wyliczenia, a zatem i wyceny (naprawienia). Trudno bowiem
124
K. Kohutek, Prawo bankowe...
62
o jednoznaczny jej miernik. Co więcej, utrata przez bank reputacji jest szkodą
dotykająca najważniejszego elementu jego relacji z klientem – zaufania.
Stąd też niezwykle istotne jest, by usługodawca dawał rękojmię należytego,
pewnego i długotrwałego wykonywania powierzonych czynności. W szczególności,
zarząd banku powinien mieć pewność, że insourcer jest w dobrej kondycji finansowej
oraz że posiada odpowiednio wykwalifikowany personel umożliwiający świadczenie
usług na poziomie satysfakcjonującym bank i jego klientów. Ważną rolę w tym
względzie pełnią także mechanizmy stałej kontroli insourcera przez bank.
Należy zauważyć, że z ustawowego zakazu wyłączenia lub ograniczenia
odpowiedzialności insourcera nie można wysnuwać wniosku, że na podstawie art. 6b
ust. 1 pr. bank. jego odpowiedzialność jest nieograniczona. Jest on zobligowany do
naprawienia szkody, zatem rekompensata następuje do wysokości tej szkody.
Obejmuje ona przy tym, co do zasady, zarówno straty poniesione przez
poszkodowanego, jak i korzyści, które mógłby osiągnąć, gdyby szkody mu nie
wyrządzono (art. 361 § 2 k.c.).
3.3.6.2. Możliwość rozszerzenia odpowiedzialności insourcera
Przepisy ustawy – Prawo bankowe ograniczają swobodę kształtowania
odpowiedzialności jedynie jednostronnie, wyznaczając minimalne wymagania. Nic
nie stoi natomiast na przeszkodzie, ażeby strony rozszerzyły jej zakres. Podstawą
normatywną jest tu art. 473 § 1 k.c. Zgodnie z jego brzmieniem, dłużnik (tu:
insourcer) może przez umowę przyjąć odpowiedzialność za niewykonanie lub
nienależyte wykonanie zobowiązania z powodu oznaczonych okoliczności, za które
odpowiedzialności z mocy ustawy nie ponosi. W szczególności może zgodzić się na
odpowiedzialność na zasadzie ryzyka. Można też wskazać w umowie, że
usługodawca ma odpowiadać za niewykonanie zobowiązania z powodu ściśle
określonych okoliczności przypadkowych, a nawet za vis maior.
125
125
T. Wiśniewski, [w:] Komentarz do kodeksu cywilnego. Ksiega trzecia. Zobowiązania. Tom 1, pod
red. G. Bieńka, LexisNexis, Warszawa 2005, s. 563-564.
63
3.3.6.3. Kary umowne
W praktyce często spotykane jest zastrzeganie przez strony umowy
outsourcingowej kar umownych. Są one rodzajem sankcji cywilnoprawnej na
wypadek niewykonania lub nienależytego wykonania zobowiązania (art. 483 k.c.).
Pełnią przy tym funkcję odszkodowawczą, jako że mają na celu naprawienie
szkody.
126
Przy tym, mimo że obowiązek zapłaty kary umownej wiąże się częstokroć
z zawinieniem działania przez usługodawcę, możliwa jest taka konstrukcja, że
obowiązek jej zapłaty powstawać będzie w przypadku samego faktu niewykonania
zobowiązania. Ta druga sytuacja stanowi istotne ułatwienie dla banku, jako że będzie
on zwolniony z udowadniania winy podmiotu zewnętrznego.
127
Kara umowna może zostać zastrzeżona wyłącznie w odniesieniu do
zobowiązania niepieniężnego (zobowiązanie insourcera jest takim ze swej natury) i
może obejmować trzy grupy zdarzeń:
niewykonanie zobowiązania,
nienależyte wykonanie zobowiązania w ogólności,
konkretne uchybienie w zakresie sposobu wykonania zobowiązania.
Warto także zwrócić uwagę na fakt, iż co do zasady, kara umowna należy się
wierzycielowi w zastrzeżonej w umowie wysokości bez względu na wysokość
rzeczywiście poniesionej szkody (art. 484 § 1 k.c.). W momencie zaś zawierania
umowy nie sposób dokładnie przewidzieć wielkości ewentualnych szkód. Stąd też
bank powinien zwrócić szczególną uwagę na to, by w kontrakcie znalazły się
postanowienia umożliwiające dochodzenie odszkodowania w zakresie niepokrytym
karą umowną. Dopuszcza to wskazany przepis.
Wysokość kary może być ustalona w różny sposób. Może być określona
kwotowo jako konkretna suma pieniężna, jak również procentowo w relacji do kwoty
kontraktu. Korzystne wydaje się również odniesienie jej do poziomu świadczonych
usług przez podmiot zewnętrzny. W tej sytuacji kwota kary stanowić będzie określony
procent wynagrodzenia w zależności od tego, w jakim zakresie usługodawca spełnia
126
Ibidem, s. 583-588.
127
M. Paltynowicz, M. Jakubisiak, Outsourcing w aspekcie praktycznym, Prawo Spółek 11/2000, s.
34-35.
64
standardy przewidziane w SLA. Insourcer otrzyma wówczas wynagrodzenie
pomniejszone o kwotę naliczonej kary.
3.3.6.4. Ubezpieczenie odpowiedzialności cywilnej insourcera
Umowne ukształtowanie zasad odpowiedzialności podmiotu zewnętrznego nie
gwarantuje jeszcze zaspokojenia roszczeń odszkodowawczych banku. Stąd też
istotne jest posiadanie przez zleceniobiorcę polisy ubezpieczenia odpowiedzialności
cywilnej z tytułu świadczonych usług. Skutkuje to przeniesieniem na zakład
ubezpieczeń ryzyka związanego z ewentualną wypłatą odszkodowania i
uniezależnienie jej od wypłacalności podmiotu zewnętrznego.
128
Wskazany jest przy tym wpływ banku na następujące kwestie związane z
zawarciem umowy ubezpieczeniowej:
wybór zakładu ubezpieczeń,
suma gwarancyjna,
okres ubezpieczenia,
zakres umowy ubezpieczeniowej,
ograniczenia odpowiedzialności zakładu ubezpieczeń.
Powinny one być przedmiotem postanowień umowy outsourcingowej.
3.3.6.5. Bezpieczeństwo tajemnicy przedsiębiorstwa
Niezwykle istotna w praktyce outsourcingowej jest kwestia zapewnienia
bezpieczeństwa danych stanowiących tajemnicę przedsiębiorstwa. Z samej bowiem
natury omawiane przedsięwzięcie wiąże się z dostępem do poufnych informacji. W
szczególności chodzi o
129
:
dane dotyczące personelu zleceniodawcy,
poufne informacje komercyjne,
informacje mające wpływ na cenę akcji outsourcera,
poufne informacje dotyczące insourcera, do których usługobiorca życzy sobie
uzyskać dostęp.
128
Ibidem, s. 35-36.
129
Ch.L. Gay, J. Essinger, Outsourcing..., s. 115-116.
65
Obowiązek
zachowania
poufności
dotyczy
zatem
obu
stron
kontraktu
outsourcingowego i powinien być w nim jasno określony.
Obok ogólnych zasad wynikających z kodeksu cywilnego omawiana kwestia
jest przedmiotem regulacji przepisów szczególnych. Uwagi zwłaszcza wymaga
ochrona tajemnicy przedsiębiorstwa określona ustawą o zwalczaniu nieuczciwej
konkurencji
130
. Zgodnie z art. 11 ust. 1 tej ustawy, przekazanie, ujawnienie lub
wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich
nabycie od osoby nieuprawnionej – jeśli zagraża to istotnym interesom
przedsiębiorcy – stanowi czyn nieuczciwej konkurencji. Tajemnica przedsiębiorstwa
jest tu rozumiana jako nie ujawnione do wiadomości publicznej informacje
techniczne, technologiczne, handlowe lub organizacyjne przedsiębiorstwa, co do
których przedsiębiorca podjął niezbędne działania w celu zachowania poufności (art.
11 ust. 4 u.z.n.k.).
Na mocy tej ustawy ochrona wskazanych informacji odbywa się na drodze
cywilnoprawnej i prawno-karnej. Mianowicie, w razie stwierdzenia przez stronę (bank
lub insourcera) dokonania czynu nieuczciwej konkurencji, druga strona – zgodnie z
art. 18 ust. 1 u.z.n.k. – może żądać:
zaniechania niedozwolonych działań,
usunięcia skutków niedozwolonych działań,
złożenia jednokrotnego lub wielokrotnego oświadczenia odpowiedniej treści i
w odpowiedniej formie,
naprawienia, na zasadach ogólnych, wyrządzonej szkody,
wydania, na zasadach ogólnych, bezpodstawnie uzyskanych korzyści,
zasądzenia odpowiedniej sumy pieniężnej na określony cel społeczny
związany ze wspieraniem kultury polskiej lub dziedzictwa narodowego – jeśli
czyn nieuczciwej konkurencji był zawiniony.
Dopełnieniem wskazanych środków jest sankcja karna przewidziana w art. 23
ust. 1 u.z.n.k. Zgodnie z jego brzmieniem, ten, kto wbrew ciążącemu na nim
obowiązkowi w stosunku do przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we
własnej działalności gospodarczej informacje stanowiące tajemnicę przedsiębiorstwa
130
Ustawa z dnia 16 kwietnia 1993 r. (tekst jedn. Dz.U. z 2003 r. Nr 153, poz. 1503 z późn. zm.), dalej
jako: u.z.n.k.
66
– jeśli wyrządza to szkodę przedsiębiorcy – podlega grzywnie, karze ograniczenia
wolności albo pozbawienia wolności do lat 2.
3.3.7. Kontrola i nadzór nad realizacją umowy outsourcingowej
Realizacja przez banki umowy outsourcingowej znajduje się w sferze
zainteresowania nadzoru bankowego. Jest to oczywiście zasadne, jeśli zważyć na
podstawowy cel nadzoru – zapewnienie bezpieczeństwa funkcjonowania banków.
Podejmując się realizacji przedsięwzięcia outsourcingowego, bank staje przed
koniecznością określenia i wdrożenia odpowiednich zasad zarządzania nim.
Zadaniem zaś nadzorcy jest czuwanie, by nie naraziło to bezpieczeństwa
zdeponowanych w nim środków.
Z tego względu nadzorca bankowy, na mocy przepisów ustawy – Prawo
bankowe, został wyposażony w odpowiednie środki, mające zagwarantować
realizację przedsięwzięć outsourcingowych w należyty sposób. Są one
zorganizowane w dwustopniową strukturę, obejmującą środki kontroli oraz
instrumenty nadzoru.
3.3.7.1. Środki kontroli
Ś
rodki kontroli, którymi dysponuje organ nadzoru, reprezentują zasadniczo
model kontroli faktycznej – stosowane są w trakcie trwania umowy outsourcingowej.
Jest to o tyle zasadne, że dopiero na tym etapie jej realizacji istnieje możliwość
zweryfikowania, czy zostały spełnione warunki określone w art. 6c ust. 1 pr. bank.
I tak, przede wszystkim bank jest obowiązany zawiadomić nadzór w terminie
14 dni o każdej zmianie, rozwiązaniu lub wygaśnięciu umowy outsourcingowej (art.
6c ust. 2 pr. bank.). Ponadto, w ramach postępowania kontrolnego nadzorca może
żą
dać od banku, zgodnie z art. 6c ust. 3 pr. bank., w szczególności:
przedstawienia kopii zawartej umowy,
złożenia wyjaśnień dotyczących zawartej umowy,
przedstawienia planu awaryjnego i planu utrzymania ciągłości działania,
przedstawienia dokumentów określających status przedsiębiorcy lub
przedsiębiorcy zagranicznego, z którym bank zawarł umowę,
67
dostarczenia opisu rozwiązań technicznych i organizacyjnych, zapewniających
bezpieczne i prawidłowe wykonywanie powierzonych czynności, w
szczególności ochronę tajemnicy bankowej.
Przykładowe wyliczenie oznacza, że nadzorca bankowy może użyć także innych
ś
rodków, w ramach kompetencji przyznanych mu przez inne przepisy prawa
bankowego.
Uprawnienia kontrolne organu nadzoru nie ograniczają się wyłącznie do
banku. Umowa outsourcingowa powinna zapewnić temu organowi wykonywanie
efektywnego nadzoru nad jej realizacją, a zatem i w stosunku do podmiotu
zewnętrznego.
Ponadto, celowi temu służy ustawowe uznanie insourcera za podmiot
posiadający bliskie powiązania z bankiem (art. 6c ust. 7 pr. bank.). Rozwiązanie to
eliminuje konieczność każdorazowego przeprowadzania postępowania przed
organem nadzoru w celu stwierdzenia występowania bliskich powiązań (art. 4a ust. 1
pr. bank.). Należy stwierdzić, że takie rozwiązanie odpowiada charakterowi relacji
między bankiem a usługodawcą. Konsekwencją powyższego jest rozciągniecie
stosowania przepisów dotyczących nadzoru skonsolidowanego również na
działalność insourcera.
Oznacza to, że:
Biegli rewidenci, badający sprawozdanie finansowe insourcera, mają
obowiązek niezwłocznego powiadomienia nadzoru o ujawnionych faktach
wskazujących
na:
popełnienie
przestępstwa,
naruszenie
przepisów
regulujących działalność banku, naruszenie zasad dobrej praktyki bankowej
lub inne zagrożenie interesów klientów banku, istnienie przesłanek do
wyrażenia opinii negatywnej na temat sprawozdania finansowego insourcera
lub odmowy wyrażenia tej opinii (art. 136 ust. 1 w zw. z art. 6c ust. 7 pr.
bank.).
Obowiązek banku przekazania nadzorcy bankowemu także sprawozdania
finansowego insourcera (jeśli sprawozdanie to nie zostało ujęte w
skonsolidowanym sprawozdaniu finansowym banku-outsourcera). Powinno to
nastąpić niezwłocznie, nie później jednak niż w terminie 30 dni od daty, w
której nastąpiło jego zatwierdzenie przez właściwy organ outsourcera.
Sprawozdanie to przekazuje się wraz z opinią i raportem biegłego rewidenta.
Organ nadzoru może, na uzasadniony wniosek banku, zwolnić go z
68
omawianego obowiązku lub ograniczyć jego zakres. Ponadto, omawianych
zasad nie stosuje się do insourcerów, którzy zgodnie z przepisami o
rachunkowości nie są zobowiązani do sporządzania skonsolidowanych
sprawozdań finansowych. (art. 141g w zw. z art. 6c ust. 7 pr. bank)
Możliwość wykonywania przez inspektorów nadzoru bankowego lub inne
osoby upoważnione czynności kontrolnych u insourcera (art. 141h ust. 1 w zw.
z art. 6c ust. 7 pr. bank.).
Możliwość żądania przez organ nadzoru od banku zlecenia niezależnemu
biegłemu rewidentowi zbadania sytuacji finansowej insourcera, w przypadku
gdy w ocenie nadzorcy istnieją wątpliwości co do rzetelności zatwierdzonych
sprawozdań lub gdy konieczne jest zbadanie związku gospodarczego z innym
podmiotem. Jednakże gdyby w wyniku tego badania nie stwierdzono
wątpliwości, jego koszty ponosi Narodowy Bank Polski. (art. 141h ust. 3 i 4 w
zw. z art. 6c ust. 7 pr. bank.)
Wskazane wyżej środki służą uzyskaniu przez organ nadzoru bankowego
informacji odnoszących się do legalności działalności insourcera, a także jego
sytuacji finansowo-ekonomicznej. Jest to konieczne dla zweryfikowania przez
nadzór, czy nie zachodzą przesłanki uzasadniające zastosowanie przez nią środków
nadzorczych.
3.3.7.2. Środki nadzorcze
Nadzór nad działalnością outsourcingową banku nie jest dokonywany
wyłącznie w oparciu o kryterium legalności, ale ma także charakter merytoryczny.
Ś
wiadczy o tym katalog przesłanek, których stwierdzenie upoważnia organ nadzoru
do zastosowania środków nadzoru. Zgodnie z art. 6c ust. 4 pr. bank, są nimi:
zagrożenie ostrożnego i stabilnego zarządzania bankiem,
utrata przez podmiot zewnętrzny będący stroną umowy wymaganych
uprawnień niezbędnych do wykonywania powierzonych czynności.
Katalog ten ma charakter zamknięty. Do zastosowania zaś środków nadzoru
wystarczające jest wystąpienie jednej z nich.
69
Przechodząc do przedstawienia katalogu środków nadzoru, należy zauważyć
na wstępie, że organ nadzoru może je kierować z mocy ustawy jedynie do banku.
Charakterystyczna jest także ich dwustopniowość.
I tak, w pierwszej kolejności, w razie stwierdzenia okoliczności wskazanych w
art. 6c ust. 4 pr. bank., nadzór nakazuje bankowi podjęcie działań zmierzających do
zmiany lub rozwiązania umowy z insourcerem. Stanowi to sytuację wyjątkową w
odniesieniu do przewidzianej w art. 138 ust. 7 pr. bank. zasady, że środki nadzoru o
charakterze administracyjnym stosowane przez organ nadzoru bankowego nie mogą
naruszać umów zawartych przez bank.
Przedmiotowy nakaz kierowany jest do banku w drodze decyzji
administracyjnej. Jak się podnosi w literaturze
131
, jej treść, zgodnie z zasadą
proporcjonalności, winna być adekwatna do stwierdzonych naruszeń i odnosić się
bezpośrednio do określonych postanowień umowy, w przypadku gdy nakaz dotyczy
jej zmiany. Dodatkowym elementem takiej decyzji powinno być wyznaczenie terminu
na podjęcie działań zmierzających do wykonania nakazu.
Od powyższej decyzji bankowi przysługuje prawo wniesienia skargi do sądu
administracyjnego w terminie 14 dni od dnia doręczenia decyzji. Wniesienie skargi
nie wstrzymuje jednak jej wykonania. Ponadto, wyłączona została możliwość
wniesienia przez bank wniosku do nadzoru o ponowne rozpatrzenie sprawy. (art. 6c
ust. 5 pr. bank.)
Dalej, jeśli bank w wyznaczonym terminie nie doprowadzi do zmiany lub
rozwiązania umowy outsourcingowej, nadzorca może, bez konieczności uprzedniego
pisemnego upomnienia, zastosować środki o charakterze sankcyjnym (art. 6c ust. 6
pr. bank.). Należą do nich:
możliwość wystąpienia do właściwego organu banku z wnioskiem o odwołanie
prezesa,
wiceprezesa
lub
innego
członka
zarządu
bezpośrednio
odpowiedzialnego za stwierdzone nieprawidłowości,
możliwość zawieszenia w czynnościach prezesa, wiceprezesa lub innego
członka
zarządu
bezpośrednio
odpowiedzialnego
za
stwierdzone
nieprawidłowości do czasu podjęcia uchwały w sprawie wniosku o ich
odwołanie przez radę nadzorczą na najbliższym posiedzeniu,
131
M. Swora, Outsourcing bankowy..., s. 14.
70
możliwość ograniczenia zakresu działalności banku lub jego jednostek
organizacyjnych,
możliwość nałożenia na bank kary finansowej w wysokości do miliona złotych,
możliwość uchylania zezwolenia na utworzenie banku i podjęcie decyzji o jego
likwidacji.
Należy podkreślić, że wskazane środki nalezą do bardzo dotkliwych. Stąd też
ich zastosowanie i wymiar powinny być adekwatne do stwierdzonych naruszeń. Są
one wymierzane na podstawie decyzji administracyjnej, podlegającej zaskarżeniu w
trybie art. 11 ust. 2 pr. bank.
3.4. Zakończenie relacji outsourcingowej. Strategia wyjścia.
Zagadnieniem nie mniejszej wagi niż odpowiednie przygotowanie banku do
przedsięwzięcia outsourcingowego i jego realizacja jest zakończenie tejże relacji.
Należyta troska o rozwiązanie współpracy z insourcerem pozwoli uniknąć zarówno
ryzyka strategicznego, jak i operacyjnego. Z jednej strony bowiem, zapobiegnie
utknięciu w niesatysfakcjonującej relacji, z drugiej zaś, umożliwi sprawne z niej
wyjście w razie nienależytego czy zagrażającemu bezpieczeństwu działalności
bankowej wykonywania przez usługodawcę powierzonych czynności.
Zakończenie współpracy outsourcingowej winno mieć umocowanie w polityce
banku i być ujęte w formie strategii wyjścia (ang. exit strategy), stanowiącej
integralną cześć kontraktu. Strategia wyjścia ma na celu przede wszystkim
identyfikację możliwych ryzyk, określenie potencjalnych strat oraz zapewnienie
ciągłości działalności banku w zakresie powierzanych usług. Rozstrzyga także o
przeznaczeniu czynności wykonywanych przez dotychczasowego kontrahenta – o
tym, czy bank włączy je z powrotem w ramy własnego przedsiębiorstwa, czy
ponownie zleci ich wykonywanie.
Do najistotniejszych kwestii strategii wyjścia należy zatem zaliczyć
132
:
Okoliczności zakończenia umowy. Wymienić tu trzeba: upływ terminu,
nastąpienie określonych okoliczności uzasadniających jej rozwiązanie,
132
BITS Key Contractual Considerations for Developing an Exit Strategy, May 2005, s. 1-3.
71
porozumienie stron. Niezwykle istotne jest również zapewnienie możliwości
wypowiedzenia umowy w razie, gdy żądać tego będzie nadzorca.
Zapewnienie przez bank należytego poziomu świadczenia usług przez
dotychczasowego partnera w okresie przejściowym, do czasu definitywnego
zakończenia relacji. Przede wszystkim chodzi o zobligowanie usługodawcy do
utrzymywania standardów określonych w SLA, jak i stosowania się do innych
postanowień umowy.
Bezpieczeństwo i poufność danych. Istotne jest w tym zakresie jest
zapewnienie, by przekazywane bankowi przez insourcera informacje związane
z wykonywanymi przez niego usługami, obejmowały również dane dotyczące
klientów tych usług. Powinna ponadto być przewidziana metoda zniszczenia
bądź
usunięcia
przez
insourcera
danych
stanowiących
tajemnicę
przedsiębiorstwa banku.
Dokumentacja i transfer wiedzy. Bank powinien zagwarantować sobie prawo
do nabycia od zleceniobiorcy określonych dóbr, licencji czy oprogramowania
niezbędnych do dalszego wykonywania czynności. Ponadto, ważne jest
uzyskanie od insourcera dostępu do wszystkiego, co będzie niezbędne do
utrzymania usługi. Należy też przewidzieć i określić poziom świadczenia przez
podmiot zewnętrzny dodatkowych usług w związku z zakończeniem relacji
(np. szkolenia pracowników banku lub nowego usługodawcy).
Koszty. Przede wszystkim bank powinien ukształtować umowę w sposób
wyłączający jego odpowiedzialność za zerwanie umowy z przyczyn przez
niego niezawinionych. Istotne jest również określenie wynagrodzenia za
wszelkie czynności związane z zakończeniem przedsięwzięcia. Cenne mogą
okazać się także takie postanowienia, które będą zachęcały usługodawcę do
współpracy w ramach realizacji strategii wyjścia.
Personel. W tym względzie bank powinien mieć prawo do zatrudnienia
pracowników insourcera, którzy bezpośrednio wykonywali zleconą czynność.
Powinien ponadto zagwarantować, że osoby zaangażowane w outsourcing na
rzecz banku, będą pracować przy nim aż do definitywnego zakończenia
relacji. Wreszcie ważne jest, ażeby przewidzieć powołanie specjalnego
zespołu zarządzającego realizacją strategii wyjścia.
72
Podsumowując, należy podkreślić, że strategia wyjścia stanowi efektywne
narzędzie zakończenia współpracy spowodowanego różnorodnymi czynnikami, jak
np. uwarunkowania biznesowe, nienależyte wykonywanie umowy, zmiana strategii
czy fuzje. Z tego tez względu kontrakt powinien być tak skonstruowany, ażeby
umożliwiał odpowiednio elastyczne reagowanie na te czynniki. Nie należy jednak
tracić z pola widzenia charakteru outsourcingu, będącego relacją długoterminową.
Strategia wyjścia nie może zatem powodować ciągłej niepewności co do dalszego
trwania współpracy, a przez to podważać wzajemnego zaufania stron.
73
Rozdział 4.
Podsumowanie
W niniejszej pracy zaprezentowane zostało zagadnienie outsourcingu w
bankowości. Miała ona na celu przedstawienie tego przedsięwzięcia w kontekście
zarządzania ryzykiem w banku. Udowodniono, że ze względu na szczególne ryzyka
związane z tą koncepcją prowadzenia przedsiębiorstwa, niezbędne dla
bezpieczeństwa działalności bankowej jest stosowanie określonych środków ich
minimalizacji. Przedmiotowe rozważania zorganizowane były w trzech częściach.
W pierwszej kolejności, przedstawiono ogólne wiadomości dotyczące
outsourcingu. Wskazano jego znaczenie oraz istotę – zarówno z punktu widzenia
ekonomii i zarządzania, jak i prawa. Zasygnalizowano kwestię motywacji oraz
korzyści i zagrożeń wiążących się z tą strategią biznesową. Zaprezentowano
wreszcie – ogólny obraz wykorzystywania zasobów podmiotów zewnętrznych w
prowadzeniu działalności bankowej.
Dalsze rozważania koncentrowały się wokół ryzyk związanych z
wykorzystywaniem omawianej techniki zarządzania przez banki. Przedstawione
zostały w szerszej perspektywie – jako element ryzyka związanego z działalnością
bankową w ogóle. Stąd też w niniejszej pracy znalazły się wywody odnoszące się do
natury ryzyka bankowego, jego rodzajów oraz konieczności i istoty zarządzania nim.
Należy bowiem pamiętać, że ryzyka outsourcingowe nie pozostają w stosunku do
niego w izolacji, ale poszerzają je o dodatkowe charakterystyki uwarunkowane
specyfiką relacji między bankiem a insourcerem. Nie ulega wątpliwości, że sytuacja
ta stanowi czynnik istotnie wpływający na poziom bezpieczeństwa funkcjonowania
banku.
Konieczne jest przeto podejmowanie właściwych środków mających na celu
redukcję wskazanych ryzyk. Minimum w tym zakresie określił ustawodawca,
poddając przedmiotowe zagadnienie regulacji ustawowej. Niemniej jednak,
przeważający ciężar spoczywa na banku, który jako przedsiębiorca powinien być
zainteresowany takim ukształtowaniem relacji outsourcingowej, ażeby nie dotknęła
ona negatywnie jego klientów.
74
Trzecia – zasadnicza – część niniejszej rozprawy poświęcona była prezentacji
ś
rodków, jakimi dysponuje bank w celu zminimalizowania ryzyka outsourcingowego.
Zostały one ujęte w ramach procesu zarządzania przedsięwzięciem. Można w nim
wyróżnić fazę przedkontraktową (przygotowawczą), fazę realizacji umowy oraz fazę
zakończenia współpracy. Dla każdej z nich wskazano najważniejsze zagrożenia i
instrumenty ich uniknięcia. Ponadto, wyróżnione zostało zagadnienie kontraktu
outsourcingowego jako najistotniejszego narzędzia efektywnego zarządzania
współpracą z podmiotem zewnętrznym.
Przedmiot powyższych rozważań stanowiły przede wszystkim kwestie
praktyczne, przed jakimi bank może stanąć w miarę rozwoju relacji z usługodawcą.
Byłyby one przy tym niepełne, w razie nieuwzględnienia materii regulowanej w
szczególności przez Prawo bankowe oraz inne ustawy. Problematyka ta stanowiła
uzupełnienie głównego nurtu dociekań.
Na podstawie powyższych wywodów wskazać można najistotniejsze elementy
wpływające
na
bezpieczeństwo
realizowanych
przez
bank
projektów
outsourcingowych. Są to:
traktowanie przedsięwzięcia w kategoriach strategicznych, znajdujące wyraz w
należytym przeprowadzeniu etapu koncepcyjno-planistycznego,
staranny wybór partnera,
wszechstronna, precyzyjnie sformułowana umowa outsourcingowa jako
podstawa proaktywnego zarządzania relacją,
jednoznaczne określenie odpowiedzialności insourcera,
zapewnienie przez bank nieograniczonej kontroli wewnętrznej usługodawcy w
zakresie realizowanej umowy,
zapewnienie przez bank możliwości sprawowania efektywnego nadzoru
bankowego nad zleceniobiorcą w zakresie realizowanej umowy.
Powyższe wymogi mają na celu ukształtowanie relacji z insourcerem w taki
sposób, ażeby odpowiadała szczególnej charakterystyce banku. Jest on bowiem,
jako instytucja zaufania publicznego, zobligowany do należytej troski o
bezpieczeństwo prowadzonej przez siebie działalności.
75
Załącznik 1.
Usługi w zakresie zapewnienia ciągłości działania i planów awaryjnych na
przykładzie oferty Hewlett-Packard
Przykład usług zmierzających do zapewnienia ciągłości działania i środowiska
zapasowego w zakresie technologii informatycznych stanowi oferta firmy Hewlett-
Packard.
133
Jest ona ukierunkowana na ograniczenie ryzyka operacyjnego poprzez
znaczące zmniejszenie możliwości wystąpienia przerw w działalności i utrzymanie
ciągłości krytycznych procesów biznesowych. Składają się na nią dwa główne
moduły:
1. HP B usiness Continu ity Cons ult ing S ervices. W tym zakresie HP
zapewnia outsourcerowi kompleksowe usługi doradcze, obejmujące fazę
koncepcyjną, wdrożeniową i zarządczą.
Faza analityczna ma na celu sprecyzowanie wymagań klienta i pomoc w
opracowaniu najbardziej odpowiedniej strategii zapewnienia ciągłości działania.
Proponowane tu usługi polegają na:
Business Continuity Assessment – jest to gruntowna ocena
funkcjonującego u klienta programu zapewnienia ciągłości działania i
ś
rodowiska IT pod kątem bezpieczeństwa służąca wypracowaniu propozycji
ich ulepszenia.
Business Impact Analysis – obejmuje identyfikację procesów kluczowych
dla utrzymania ciągłości działania, identyfikację – w ujęciu ilościowym i
jakościowym – skutków przerw w działalności, a także określenie celów planu
zapewnienia ciągłości działania.
Risk Assessment – polega na wskazaniu czynników i uwarunkowań
stanowiących zagrożenie dla ciągłości procesów biznesowych, określenie ich
prawdopodobieństwa i możliwych skutków oraz na wypracowaniu na tej
podstawie planów postępowania.
133
Broszura HP Business Continuity and Recorvery Services, March 2007.
76
Faza wdrożeniowa składa się z działań mających na celu zaprojektowanie i
wprowadzenie strategii utrzymania ciągłości działania. Usługi w tym zakresie
obejmują:
Business Continuity Infrastructure Design and Implementation –
zapewnienie szczegółowego projektu (opartego na uprzednio opracowanych
celach, strategii i scenariuszach utrzymania ciągłości funkcjonowania) i
wdrożenie infrastruktury technologicznej niezbędnej do odzyskania utraconych
czy zniszczonych zasobów oraz kontynuowania procesów opartych o
technologię informatyczną.
Business Continuity Plan Developement – polega na przygotowaniu
dostosowanego do indywidualnych potrzeb klienta planu ciągłości działania,
uwzględniającego zasoby ludzkie, technologiczne i procesy wymagane do
kontynuowania krytycznych funkcji biznesowych w razie awarii czy katastrofy.
Faza zarządcza skupia się na utrzymaniu planu działania w zgodności z
wymaganiami i celami biznesowymi klienta po jego wdrożeniu. W tym zakresie HP
proponuje:
Business Continuity Program Management – obejmuje on okresowe
testowanie planów działania, ich aktualizację oraz szkolenia dla personelu.
2. HP Business Recover y and Data Continuity Services. Polega na
wspieraniu klienta w zapewnieniu ciągłości działania w razie wystąpienia awarii czy
katastrofy. W skład tego modułu wchodzą:
Business Recovery Services for the Data Center – polegające na
zapewnieniu zapasowego centrum przetwarzania danych. Może ono być
zlokalizowane zarówno w ramach zasobów HP, jak i w innym wskazanym
przez klienta miejscu. HP dokłada przy tym starań, by systemy klientów nie
były ze sobą powiązane, a użytkowane sieci – geograficznie wystarczająco od
siebie oddalone.
Business Recovery Services for the Office – służą zapewnieniu
ś
rodowiska zapasowego w zakresie przestrzeni biurowej, call center czy
bezpośredniej obsługi klienta. Środowisko to obejmuje w szczególności pełne
wyposażenie biur oraz recepcji (komputery, infrastruktura telekomunikacyjna),
jak również wsparcie odpowiednio wyszkolonego personelu.
77
Data Continuity Services – w tym obszarze HP oferuje między innymi:
Zapewnienie bezpieczeństwa danych tak w centrali klienta, jak i w
rozproszonych jednostkach organizacyjnych, poprzez umożliwienie ich
transferu do alternatywnych lokalizacji (El ect roni c Vaulti ng),
Zaprojektowanie
i
wdrożenie
odpowiedniej
infrastruktury
minimalizującej
skutki
awarii
czy
katastrof,
zakładającej
w
szczególności podział danych klienta i przechowywanie ich w dwóch
niezależnych
centrach
(Disast er
T olerant
D esi g n
and
Implement at ion),
Fizyczne utrzymywanie i zarządzanie (całością lub częścią)
infrastruktury zapewniającej ciągłość działania klienta (Manag ed
Disast er T oler ant S erv ice),
Zapewnienie bieżącego wsparcia w zakresie funkcjonowania rozwiązań
w zakresie ciągłości działania (Dat a C onti nuity S ol uti on C ent er).
78
Bibliografia
Literatura
R. Aron, E.K. Clemons, S. Reddi, Just Right Outsourcing: Understanding and
Mitigating Risk, Journal of Management Information Systems, Fall 2005, Vol.
22, No. 2.
C.W. Axelrod, Outsourcing Information Security, Artech House, Inc., Boston-London,
2004.
P. Babiarz, Dopuszczalność zlecania przez bank wykonywania niektórych czynności
podmiotom zewnętrznym, Monitor Prawniczy 10/2000.
P. Babiarz, Udostępnianie przez bank danych klientów, Monitor Prawniczy 5/2001.
Bankowość. Podręcznik akademicki, pod red. W.L. Jaworskiego i Z. Zawadzkiej,
Poltext, Warszawa 2005.
J. Byrski, Tajemnica bankowa a outsourcing działalności bankowej. Rozważania na
tle
powierzenia
przez
bank
czynności
dotyczących
technologii
informatycznych, Przegląd Ustawodawstwa Gospodarczego 4/2006.
R.L. Click, T.N. Duening, Business Process Outsourcing. The Competitive
Advantage, John Wiley & Sons, Inc., 2005.
T. Czech, A. Werner, Outsourcing działalności bankowej wykonywany poza
granicami Polski w świetle Traktatu o utworzeniu Wspólnoty Europejskiej,
Przegląd Ustawodawstwa Gospodarczego 11/2005.
T. Czech, Powołanie agenta konsorcjum kredytowego w świetle przepisów o
outsourcingu czynności bankowych, Monitor Prawniczy 4/2005.
T. Czech, Zastosowanie art. 6a-6d Prawa bankowego do oddziałów instytucji
kredytowych, cz. 1 i 2, Prawo Bankowe 7-8 i 9/2005.
T. Dukiet-Nagórska, Rodzaje umów outsourcingowych zawieranych przez banki,
Prawo Bankowe 11/2004.
T. Dukiet-Nagórska, Uprawnienie banków do korzystania z usług firm
windykacyjnych, Prawo Bankowe 11/2002.
Forum Outsourcingu, Analiza prawna i biznesowa Ustawy – Prawo bankowe.
Ch.L. Gay, J. Essinger, Outsourcing strategiczny. Koncepcja, modele i wdrażanie,
Oficyna Ekonomiczna, Kraków 2002.
79
P. Gottschalk, H. Stolli-Staether, Managing Successful IT Outsourcing Relationships,
IRM Press, 2006.
J.H. Górka, Specyfika ryzyka w bankowości elektronicznej, Materiały i Studia Zeszyt
205, NBP, IV 2006.
J.K. Halvey, B.M. Melby, Information Technology Outsourcing Transactions. Process,
Strategies and Contracts, John Wiley & Sons, Inc., 2005.
R. Juchno, R.W. Kaszubski, Outsourcing w działalności bankowej, Glosa 6/2001.
R. Juchno, R.W. Kaszubski, Outsourcing wybranych czynności bankowych, Glosa
8/2001.
R. W. Kaszubski, Funkcjonalne źródła prawa bankowego publicznego, Wolters
Kluwer, Kraków 2006.
R. W. Kaszubski, Outsourcing w banku, Glosa 9/2002.
A. Kidyba, Prawo handlowe, C.H. Beck, Warszawa 2005.
J. Klosek, Data Privacy and Security Are a Significant Part of the Outsourcing
Equation, Intellectual Property & Technology Law Journal, Jun. 2005, Vol. 17
No. 6.
K. Kohutek, Komentarz do art. 6a-6d [w:] Prawo bankowe. Komentarz, Tom I, pod
red. F. Zolla Zakamycze 2005.
M. Krzysztofek, Outsourcing a tajemnica bankowa. Stan aktualny i postulaty de lege
ferenda, Prawo Bankowe 9/2003.
P. Matkowski, Zarządzanie ryzykiem operacyjnym, Wolters Kluwer, Kraków 2006.
R. McIvor, Strategic Outsourcing: Lessons from a Systems Integrator, Business
Strategy Review, 2000, Vol. 11 Iss. 3.
T.W. Nagel, M.T. Murphy, Structuring Technology Outsourcing Relationships:
Customer Concerns, Strategies and Processes, International Journal of Law
and Information Technology, Vol. 4 No. 2.
M. Olszak, Outsourcing w działalności bankowej, LexisNexis, Warszawa 2006.
M. Olszak, Powierzanie przez bank podmiotom zewnętrznym wykonywania
czynności związanych z działalnością bankową (outsourcing) w świetle
przepisów znowelizowanej ustawy – Prawo bankowe – wybrane zagadnienia,
Przegląd Ustawodawstwa Gospodarczego 7/2004.
M. Pałtynowicz, M. Jakubisiak, Outsourcing w aspekcie praktycznym, Prawo Spółek
11/2000.
80
A. Rychter, O dopuszczalności outsourcingu procesu windykacji należności
bankowych w świetle przepisów prawa bankowego, Prawo Bankowe 2/2005.
B. Smykla, Dostęp do tajemnicy bankowej, Glosa 10/2001.
B. Smykla, Outsourcing i tajemnica bankowa w znowelizowanym Prawie bankowym,
[w:] Nowe regulacje bankowe, NBP 2004.
B. Smykla, Prawo bankowe. Komentarz, C. H. Beck, Warszawa 2005.
B. Smykla, Prawo, outsourcing i windykacje, Gazeta Bankowa 11/2004.
B. Smykla, Wybrane obszary regulacji o charakterze publicznoprawnym, Prawo
Bankowe 5/2004.
B. Smykla, Wykorzystanie outsourcingu w działalności banków w świetle przepisów
prawa bankowego. Stan obecny i postulowane kierunki zmian, Prawo
Bankowe 12/2002.
M. Spyra, A. Wacławik, Regulacje outsourcingu czynności bankowych w wybranych
systemach prawnych – uwagi porównawcze na tle art. 6a-d projektu
nowelizacji prawa bankowego, Prawo Bankowe 11/2003.
M. Swora, Outsourcing bankowy w świetle znowelizowanych przepisów prawa
bankowego, Glosa 7/2004.
E. Szkic-Czech, Możliwości powoływania sojuszy outsourcingowych; rzecz o
granicach dopuszczalności stosowania outsourcingu, [w:] Informatyka w
bankowości i finansach, pod red. F. Mareckiego i J. K. Grabary, PTI, Katowice
2005.
E. Szkic-Czech, Sojusze outsourcingowe – źródła zagrożeń i porażek, PTI, Szcyrk
2005.
W.A. Tanenbaum, Why Combining Force Majeure and Disaster Recovery Provisions
Makes Sense, Intellectual Property & Technology Law Journal, Oct. 2006, Vol.
18 No. 10.
I. Tho, Managing the Risks of IT Outsourcing, Elsevier Butterworth-Heinemann,
2005.
M. Trocki, Outsourcing. Metoda restrukturyzacji działalności gospodarczej, PWE,
Warszawa 2001.
A. D. Vereshack, A Practical Guide to Outsourcing Agreements, LexisNexis Canada
Inc. 2005.
C. Warren Axelrod, Outsourcing Information Security, Artech House, Inc., Boston,
London 2004.
81
P.C. Young, J. Hood, Risk and the Outsourcing of Risk Management Services: the
Case of Claims Management, Public Budgeting & Finance, Fall 2003.
R.R. Zdzieborski, Outsourcing w działalności bankowej. Zagadnienia podstawowe,
cz. 1 i 2, Prawo Bankowe 11 i 12/2005.
R.R. Zdzieborski, Ponadnarodowe standardy w przedmiocie outsourcingu w
działalności bankowej, cz. 1 i 2, Prawo Bankowe 3 i 4/2006.
D. Zielińska, Kupowanie mocy obliczeniowej, Bank 1/2004.
Ź
ródła
Basel Committee on Banking Suprevision, Compliance and the Compliance Function
in Banks, Basel, April 2005.
Basel Committee on Banking Suprevision, Core Principles for Effective Banking
Supervision, No. 30, Basel, September 1997.
Basel Committee on Banking Suprevision, Core Principles for Effective Banking
Supervision, Basel, October 2006.
Basel Committee on Banking Suprevision, Core Principles methodology, Basel,
October 2006.
Basel Committee on Banking Suprevision, Enhancing Corporate Governance for
Banking Organisations, Basel, February 2006.
Basel Committee on Banking Supervision, International Convergence of Capital
Measurement and Capital Standards a Revised Framework, Bank for
International Settlements, Basel 2004.
BITS Framework for Managing Technology Risk for IT Service Provider
Relationships, Version II, November 2003.
BITS IT Service Providers Expectations Matrix, January 2004.
BITS Key Contractual Considerations for Developing an Exit Strategy, May 2005.
Committee of European Banking Supervisors, Consultation Paper on High Level
Principles on Outsourcing, April 2004.
Committee of European Banking Supervisors, Guidelines on Outsourcing, December
2006.
The Joint Forum, Outsourcing in Financial Services, February 2005.
82
The Joint Forum, Operational Risk Transfer across Financial Sectors, Basel
Committee on Banking Suprevision, Basel, August 2003.
The Joint Forum, High-Level Principles for Business Continuity, Basel Committee on
Banking Suprevision, Basel, August 2006.
Outsourcing Financial Services Activities: Industry Practices to Mitigate Risks,
Federal Reserve Bank of New York, October 1999.
Outsourcing in the EU Banking Sector [w:] European Central Bank. Report on EU
Banking Structure, November 2004.
Outsourcing Technology Services. IT Examination Handbook, Federal Financial
Institution Examination Council, June 2004.
Pismo nr NB-BPN-I-022-70/04 z dnia 3.08.2004 r. w sprawie stosowania niektórych
przepisów dotyczących outsourcingu, Prawo Bankowe 10/2004.
Pismo nr NB-BPN-I-022-70/04 z dnia 21.12.2004 r. w sprawie rekomendowanych
kierunków interpretacyjnych przepisów ustawy – Prawo bankowe dotyczących
outsourcingu, Prawo Bankowe 2/2005.
Rekomendacja D dotycząca zarządzania ryzykami towarzyszącymi systemom
informatycznym i telekomunikacyjnym używanym przez banki, tekst
zaktualizowany w 2002 r.
Rekomendacja H dotycząca kontroli wewnętrznej w banku.
Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach.
Rekomendacja P dotycząca systemu monitorowania płynności finansowej.
Akty prawne
Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (tekst jedn.: Dz.U. z 2002 r., Nr
72, poz. 665 z późn. zm.).
Ustawa z dn. 29 września 1994 r. o rachunkowości (tekst jedn.: Dz.U. z 2002 r. Nr
76, poz. 694 z późn. zm.).
Ustawa z dnia 26 stycznia 2007 r. o zmianie ustawy – Prawo bankowe (Dz.U. Nr 42,
poz. 272).
Ustawa z dnia 20 lipca 2001 r. o kredycie konsumenckim (Dz.U. Nr 100, poz. 1081 z
późn. zm.).
83
Ustawa z dnia 15 września 2000 r. – Kodeks spółek handlowych (tekst jedn. Dz.U. Nr
94, poz. 1037 z późn. zm.).
Ustawa z dnia 16 września 1982 r. – Prawo spółdzielcze (tekst jedn. Dz.U. z 2003 r.
Nr 188, poz. 1848 z późn. zm.).
Ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz. U. Nr 173,
poz. 1807 z późn. zm.).
Ustawa z dnia 26 czerwca 1974 r. – Kodeks pracy (tekst jedn. Dz.U. z 1998 r. Nr 21,
poz. 94 z późn. zm.).
Ustawa z dnia 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (tekst jedn.
Dz. U. z 2003 r. Nr 153, poz. 1503 z późn. zm.).
Ustawa z dnia 1 kwietnia 2004 r. o zmianie ustawy – Prawo bankowe oraz o zmianie
innych ustaw (Dz.U. Nr 91, poz. 870).
Ustawa z dnia 27 maja 2004 r. o funduszach inwestycyjnych (Dz.U. Nr 146, poz.
1546 z późn. zm.).
Ustawa z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz.U. Nr 157,
poz. 1119).
Uchwała nr 1/2007 Komisji Nadzoru Bankowego z dnia 13 marca 2007 r.
Uchwała nr 4/2007 Komisji Nadzoru Bankowego z dnia 13 marca 2007 r.