Microsoft Word - Marek Piwko Outsourcing elementem zarzdzania ryzykiem w banku2.doc

Spis treści

Rozdział 1. Wprowadzenie

1.1. Istota outsourcingu

1.2. Motywy dla outsourcingu. Korzyści i zagrożenia

1.3. Ujęcie prawne

1.4. Outsourcing w działalności bankowej

Rozdział 2. Ryzyka w działalności bankowej

2.1. Istota ryzyka bankowego

2.2. Rodzaje ryzyka

2.2.1. Ryzyko kredytowe

2.2.2. Ryzyko kraju i transferu

2.2.3. Ryzyko rynkowe

2.2.4. Ryzyko stopy procentowej

2.2.5. Ryzyko płynności

2.2.6. Ryzyko operacyjne

2.2.7. Ryzyko prawne

2.2.8. Ryzyko utraty reputacji

2.3. Zarządzanie ryzykiem bankowym

2.4. Outsourcing jako źródło szczególnych ryzyk dla banku

2.4.1. Ryzyko operacyjne

2.4.2. Ryzyko strategiczne

2.4.3. Ryzyko prawne

2.4.4. Ryzyko utraty reputacji

2.2.5. Inne ryzyka

Rozdział 3. Instrumenty efektywnego zarządzania ryzykiem związanym z

wykorzystaniem outsourcingu w działalności bankowej

3.1. Etap przedkontraktowy

3.1.1. Praca koncepcyjna i planowanie

3.1.1.1. Wewnętrzna analiza przedsięwzięcia

3.1.1.2. Zakres przedmiotowy outsourcingu według ustawy – Prawo

bankowe

3.1.1.3. Plan przedsięwzięcia

3.1.2. Wybór usługodawcy

3.1.2.1. Zakres podmiotowy outsourcingu według ustawy – Prawo bankowe

3.1.2.2. Specyfikacja usługi

3.1.2.3. Lista potencjalnych usługodawców

3.1.2.4. Due dilligence

3.1.2.5. Zapytanie ofertowe

3.1.3. Negocjacje i zawarcie umowy

3.1.3.1. Protokół porozumienia

3.1.3.2. Obowiązek uczciwego negocjowania

3.1.3.3. Ochrona informacji poufnych

3.1.4. Tryb powierzania czynności bankowych podmiotom zewnętrznym

3.2. Zagadnienie umowy outsourcingowej

3.2.1. Znaczenie umowy

3.2.2. Podstawa prawna umowy

3.2.3. Forma umowy

3.2.4. Struktura umowy

3.2.5. Poziom świadczonych usług

3.3. Realizacja umowy outsourcingowej

3.3.1. Wdrożenie umowy outsourcingowej

3.3.2. Zarządzanie zasobami ludzkimi

3.3.3. Zarządzanie i monitoring przedsięwzięcia

3.3.3.1. Rola zarządu

3.3.3.2. Program zarządzania procesem outsourcingowym

3.3.3.3. Rola audytu

3.3.4. Tajemnica bankowa

3.3.5. Plany awaryjne

3.3.6. Odpowiedzialność z tytułu niewykonania lub nienależytego wykonania

umowy outsourcingowej

3.3.6.1. Zakaz ograniczania odpowiedzialności

3.3.6.2. Możliwość rozszerzenia odpowiedzialności insourcera

3.3.6.3. Kary umowne

3.3.6.4. Ubezpieczenie odpowiedzialności cywilnej insourcera

3.3.6.5. Bezpieczeństwo tajemnicy przedsiębiorstwa

3.3.7. Kontrola i nadzór nad realizacją umowy outsourcingowej

3.3.7.1. Środki kontroli

3.3.7.2. Środki nadzorcze

3.4. Zakończenie relacji outsourcingowej. Strategia wyjścia

Rozdział 4. Podsumowanie

Załącznik 1. Usługi w zakresie zapewnienia ciągłości działania i planów

awaryjnych na przykładzie oferty Hewlett-Packard

Bibliografia

Literatura

ródła

Akty prawne

Rozdział 1.

Wprowadzenie

Outsourcing, rozważany z perspektywy strategicznej, uważany jest obecnie za

jedną z najważniejszych i przynoszących największe korzyści metodologii

biznesowych. O jego doniosłości świadczy dobitnie fakt, iż został on uznany przez

Harvard Business Review za jedną z najważniejszych koncepcji w dziedzinie

zarządzania ostatniego 75-lecia.

Potwierdzeniem tego jest również jego

powszechne zastosowanie w działalności przedsiębiorstw. Z outsourcingu korzystają

przedstawiciele niemal wszystkich branż, by wymienić choćby farmaceutyczną, usług

finansowych, hotelarską czy transportową. Zauważalna jest też mnogość funkcji

przekazywanych podmiotom trzecim do wykonywania, jak np.: zarządzanie zasobami

ludzkimi, technologie informacyjne, obsługa klientów, marketing, księgowość,

administracja. Ta różnorodność odnosi się również do relacji łączących strony

stosunków outsourcingowych. I tak, zlecenia mogą przybierać postać nieformalnych

porozumień o świadczeniu usług w razie potrzeby, jak też i formalnych umów

dokładnie wyznaczających zasady współpracy.

1.1. Istota outsourcingu

Przechodząc do wyjaśnienia istoty outsourcingu, zauważyć należy, iż termin

ten jest neologizmem utworzonym poprzez połączenie trzech słów: outside resource

using, oznaczających wykorzystywanie zasobów zewnętrznych. Szerzej, sens tego

procesu wyraża się w wykorzystywaniu zasobów podmiotu zewnętrznego

realizacji czynności, które wcześniej były wykonywane przez przedsiębiorstwo lub

które w ramach tej struktury mogłyby być wykonywane. Efekty tych czynności, przy

tym, nie trafiają do obrotu jako samodzielny produkt, ale służą zlecającemu

wykonywaniu jego czynności.

Ch.L. Gay, J. Essinger, Outsourcing strategiczny. Koncepcja, modele i wdrażanie, Oficyna

Ekonomiczna, Kraków 2002, s. 12.

Podmiot zewnętrzny bywa tez określany mianem usługodawcy, insourcera, zleceniobiorcy, dostawcy

itp.

Podmiot zlecający bywa również określany mianem usługobiorcy, outsourcera, zleceniodawcy,

nabywcy itp.

R. Juchno, R.W. Kaszubski, Outsourcing w działalności bankowej, Glosa 6/2001, s. 8.

Podkreślenia wymaga w tym miejscu, iż nie została dotąd wypracowana

jednolita, powszechnie akceptowana definicja outsourcingu. Autorzy posługują się

różniącymi się między sobą określeniami, często akcentującymi różne aspekty tego

zjawiska. Dla przykładu wskazać można za Ianem Tho

, iż chodzi tu o działalność

polegającą na dostarczeniu przez jedną stronę dóbr lub usług, które pierwotnie były

wykonywane własnymi siłami w ramach przedsiębiorstwa nabywcy. Cytowany autor

podkreśla przy tym formalny jedynie, ramowy charakter proponowanej przez siebie

definicji. D. Zielińska

, z kolei, za outsourcing uważa długoterminowe zlecenie na

wyłączność realizacji pewnych funkcji lub procesów wykonywanych przez

pracowników danego przedsiębiorstwa firmie zewnętrznej specjalizującej się w danej

dziedzinie.

Na potrzeby opracowywanych przez siebie dokumentów, własne definicje

przyjmują również międzynarodowe organizacje czy gremia. Wskazać tu należy w

szczególności Komitet Bazylejski Nadzoru Bankowego

(KBNB) i Komitet

Europejskich Nadzorców Bankowych

. Rozumienie outsourcingu przez te ciała jest

zbieżne z tym zaproponowanym przez R. Juchno i R. Kaszubskiego. Podkreślenia

wymaga jednak, iż proponowane definicje nie obejmują swoim zakresem tzw.

purchasing contracts. Umowy te mają za przedmiot świadczenie usług, dóbr lub

funkcji bez przekazywania dostawcy przez ich odbiorcę informacji czy danych

dotyczących klientów odbiorcy. Mogą również dotyczyć dostarczania pewnych

standardowych produktów.

1.2. Motywy dla outsourcingu. Korzyści i zagrożenia

Omawiając ogólne aspekty outsourcingu, w dalszej kolejności uwagę należy

zwrócić na motywację, która prowadzi przedsiębiorców do wchodzenia w tego

rodzaju relacje, jak również związane z nimi korzyści i zagrożenia.

Wśród najważniejszych przyczyn stosowania outsourcingu przez firmy

wymieniane są

I. Tho, Managing the Risks of IT Outsourcing, Elsevier Butterworth-Heinemann, Oxford 2005, s. 7.

D. Zielińska, Kupowanie mocy obliczeniowej, Bank 1/2004.

The Joint Forum, Outsourcing in Financial Services, Basel Committee on Banking Supervision,

February 2005, s. 4.

Committee of European Banking Supervisors, Guidelines on Outsourcing, December 2006, s. 2.

Survey of Current and Potencial Outsourcing End-Users, The Outsourcing Institute Membership,

1998, za: Ch.L. Gay, J. Essinger, Outsourcing..., s. 16-17; The Joint Forum, Outsourcing..., s. 6.

redukcja i kontrola kosztów operacyjnych,

zwiększenie koncentracji firmy na podstawowej działalności,

uzyskanie dostępu do mocy produkcyjnych najlepszej jakości,

zwolnienie własnych zasobów do innych celów,

uzyskanie zasobów, którymi organizacja nie dysponuje,

przyspieszenie pojawienia się korzyści wynikających z restrukturyzacji,

uporanie się z funkcją trudną do wykonywania lub niemożliwą do

kontrolowania,

pozyskanie kapitału,

podział ryzyka,

dopływ gotówki.

Motywacja

wchodzenia

relacje

outsourcingowe

jest

silnie

zdeterminowana korzyściami związanymi z tą koncepcją zarządzania. Chodzi tu

przede wszystkim o umożliwienie przedsiębiorstwu skoncentrowania się na jego

podstawowej działalności (core business). Sferę core business wyznaczają zadania

krytyczne z punktu widzenia możliwości osiągnięcia przez przedsiębiorstwo przewagi

konkurencyjnej nad innymi.

Ich znaczenie potęguje fakt, że stanowią one kluczowy

czynnik wzrostu i rozwoju przedsiębiorstwa. Podkreśla się ponadto ich ścisły związek

z dziedziną relacji przedsiębiorstwo – klient

. Wśród korzyści płynących z

outsourcingu uwagi wymaga również założenie, iż podmiot zewnętrzny może

wykonać daną czynność taniej, lepiej i szybciej, niż gdyby wykonywać je w ramach

przedsiębiorstwa.

Rozważania dotyczące zagrożeń związanych z outsourcingiem – jak można w

pewnym uproszczeniu wskazać – koncentrują się wokół dwóch głównych zagadnień

– kwestii właściwego do niego podejścia oraz ryzyk związanych z praktykowaniem tej

metody prowadzenia biznesu. I tak, podkreśla się konieczność dogłębnego

zrozumienia tego, co dla firmy oznacza w rzeczywistości podjęcie inicjatywy

outsourcingowej. Niezbędne jest zrozumienie przez przedsiębiorstwo jego celów

działania, jak również wypracowanie spójnej strategicznej wizji i planu

funkcjonowania. Tak przygotowana organizacja powinna dopiero podejmować

I. Tho, Managing..., s. 42.

R. McIvor, Strategic Outsourcing: Lessons from a Systems Integrator, Business Strategy Review,

2000, Vol. 11, Iss. 3, s. 44; Ch.L. Gay, J. Essinger, Outsourcing strategiczny..., s. 34-35.

R. Juchno, R.W. Kaszubski, Outsourcing w działalności..., s. 6.

decyzję w kwestii outsourcingu. Należy ponadto gruntownie i szczegółowo

zaplanować cały proces współpracy z podmiotem zewnętrznym – począwszy od fazy

wstępnej, przygotowawczej, a skończywszy na kwestiach rozwiązania relacji.

Posiadanie klarownej, wewnętrznie niesprzecznej wizji oraz planu w tym zakresie

stanowi swoiste sine qua non prawidłowego i efektywnego zarządzania projektem

outsourcingowym na każdym etapie jego realizacji. W tym kontekście zwraca się

uwagę na fakt, iż tylko postrzeganie outsourcingu w kategoriach strategicznych

pozwala, z jednej strony, na czerpanie zeń jak największych korzyści, z drugiej zaś –

na unikanie podejmowania decyzji lub działań, które mogłyby skutkować

niepowodzeniem całego projektu.

Problem ryzyk wiążących się z outsourcingiem w tym miejscu jedynie

wskazuję. Zostanie on szerzej przedstawiony w dalszej części pracy.

1.3. Ujęcie prawne

Rozważania ogólne dotyczące outsourcingu winny być dopełnione jego

ujęciem w kategoriach prawnych. Jak wynika z powyższych wywodów, outsourcing

został ukształtowany i funkcjonuje jako pewna strategia zarządzania organizacją.

Jest to kategoria z pogranicza zarządzania i ekonomii. Prawo natomiast nie

wykształciło dotąd jednolitej odpowiadającej mu instytucji. Niemniej jednak znaczenia

przepisów prawnych w jego funkcjonowaniu nie należy nie doceniać. Rola, jaką

pełnią, wiąże się przede wszystkim z traktowaniem ich jako instrumentarium

mającego służyć należytemu ukształtowaniu i funkcjonowaniu relacji między stronami

stosunków outsourcingowych. W tym właśnie kontekście umowę outsourcingową

uważa się za jedno z głównych narzędzi efektywnego zarządzania przedmiotowym

projektem.

W związku ze wskazanym wyżej charakterem umów outsourcingowych,

należy podnieść, że kluczowe znaczenie – jako podstawa praw i obowiązków ich

stron – będzie miała zasada swobody umów (art. 353

k.c.). W jej ramach strony

mogą kształtować wzajemne relacje wedle własnego uznania. Jedyne ograniczenia

mogą w tym zakresie wynikać z natury stosunku prawnego, przepisów ustawy lub

zasad współżycia społecznego. Wydaje się, że w omawianej kwestii będą to przede

Zob. punkt 2.4.

wszystkim ograniczenia ustawowe – i to zarówno o charakterze prywatno–, jak i

publicznoprawnym. W pierwszej grupie znajdą się zwłaszcza uregulowania

kształtujące rodzaj stosunku prawnego, do którego dana umowa została

zakwalifikowana. Ograniczenia publicznoprawne z kolei odnosić się będą do

warunków, na jakich mogą być podejmowane określone rodzaje działalności

gospodarczej, jak również mogą przewidywać ingerencję określonych podmiotów w

jej prowadzenie, a zatem i w kwestie związane z zawieraniem umów

outsourcingowych. Zauważyć również należy, iż omawiane umowy są zazwyczaj

zawierane pomiędzy podmiotami prowadzącymi działalność gospodarczą, co

skutkuje

koniecznością

uwzględnienia

przy

ocenie

tychże

kontraktów

profesjonalnego charakteru ich stron. Ponadto podkreślenia wymaga, że związanie

się relacją outsourcingową łączy się zawsze z ujawnieniem kontrahentowi

(zleceniobiorcy) danych poufnych, stanowiących tajemnicę przedsiębiorstwa. Wiąże

się to z potrzebą – z jednej strony, odpowiedniego kontraktowego zabezpieczenia

interesu zleceniodawcy, z drugiej zaś – uwzględnienia przepisów regulujących tą

kwestię.

Konkludując, strony kontraktów outsourcingowych mogą ukształtować ich

treść wedle swojego uznania. Jednakże zawarcie umowy powinno poprzedzić

dokładne zbadanie, po pierwsze, czy istnieje prawna możliwość wejścia w taką

relację, a po drugie, czy istnieją przepisy z góry określające prawa i obowiązki stron,

jak również inne elementy stosunku outsourcingowego.

1.4. Outsourcing w działalności bankowej

Przedsiębiorcami wykorzystującymi outsourcing w swojej działalności są

również banki. O popularności tej metody zarządzania świadczą wyniki ankiety

przeprowadzonej przez Generalnego Inspektora Nadzoru Bankowego w czerwcu

2001 r. Omówione w piśmie Generalnego Inspektora skierowanym do prezesów

banków z dnia 15 marca 2002 r.

, ujawniły, że 84% wszystkich banków wykorzystuje

zasoby zewnętrzne do prowadzenia przez siebie działalności. Powołana ankieta

pokazała również, jakie czynności banki najczęściej zlecają do wykonywania

podmiotom zewnętrznym. Wskazać tu należy w szczególności:

Sygn. NB-BPN-I-022-13/02, Prawo Bankowe 4/2002, za: M. Olszak, Outsourcing w działalności

bankowej, LexisNexis, Warszawa 2006, s. 15-16.

sprzedaż produktów bankowych,

przetwarzanie danych,

administrowanie kredytami,

drukowanie, kopertowanie i wysyłanie korespondencji,

doradztwo finansowe i prawne,

windykację należności,

skanowanie, archiwizację dokumentów oraz ich niszczenie.

Banki, podejmując decyzje o wyoutsourcowaniu części swojej działalności, kierują się

motywami właściwymi innym podmiotom, oczekują też podobnych korzyści.

Tym jednak, co wyróżnia je spośród innych podmiotów decydujących się na tę

metodę prowadzenia biznesu, jest kwestia związanych z jej implementacją

konsekwencji. Nabierają one szczególnej doniosłości, jeśli zważyć na charakter

działalności bankowej jako genetycznie obarczonej ryzykiem, a przy tym będącej

działalnością gospodarczą, a więc zarobkową. Z tego też względu powszechnie

nadaje się bankom przymiot instytucji zaufania publicznego. Specyfika ta wpisana

jest już w ustawową definicję, określającą przedmiot ich działalności jako obciążanie

ryzykiem środków zgromadzonych pod jakimkolwiek tytułem zwrotnym

. Co więcej,

działalność ta opiera się głównie na środkach pochodzących od klientów. Środki

własne banków stanowią ich nieznaczną część.

Z drugiej strony

, relacja między

bankiem a klientem wiąże się z koniecznością ujawnienia przez tego pierwszego

szeregu informacji o charakterze konfidencjonalnym, chronionych w ramach prawa

do prywatności. Są one niezbędne bankowi do należytego świadczenia usług na

rzecz klienta. Wymaga to jednak zapewnienia, że nie zostaną one ujawnione osobom

trzecim.

Wynika stąd bezpośrednio podstawowy cel publicznoprawnej regulacji

działalności bankowej, a mianowicie zapewnienie bezpieczeństwa środków

zgromadzonych przez banki od ludności. Polega ona na poddaniu ich szczególnemu

reżimowi w zakresie tworzenia, organizacji i działania, a ponadto na ustanowieniu

nadzoru, który ma czuwać nad urzeczywistnieniem wskazanego celu. Naturalną

zatem konsekwencją uregulowania przez państwo działalności bankowej jest

Zostały one omówione wyżej.

Artykuł 2 ustawy z dnia 29 sierpnia 1997 r. – Prawo bankowe (tekst jedn.: Dz.U. z 2002 r., Nr 72,

poz. 665 z późn. zm.), dalej jako: pr. bank.

B. Smykla, Prawo bankowe. Komentarz, C.H. Beck, Warszawa 2005, s. 10.

R.W. Kaszubski, Funkcjonalne źródła prawa bankowego publicznego, Wolters Kluwer, Warszawa

2006, s. 113.

poddanie regulacji również i przypadków przekazywania przez banki części swojej

działalności do wykonywania przez podmioty zewnętrzne. Ratio jej stanowi potrzeba

zapewnienia, by czynności należące do działalności bankowej były wykonywane

przez insourcerów co najmniej tak bezpiecznie i solidnie, jak w razie wykonywania

ich przez banki w ramach ich przedsiębiorstwa

Z tak zarysowanej perspektywy należy patrzeć na polską regulację

przedmiotowego zagadnienia w obszarze bankowości. Została ona wprowadzona do

porządku prawnego ustawą z dnia 1 kwietnia 2004 r. o zmianie ustawy – Prawo

bankowe oraz o zmianie innych ustaw (Dz.U. Nr 91, poz. 870) oraz ustawę z dnia 27

maja 2004 r. o funduszach inwestycyjnych (Dz.U. Nr 146, poz. 1546 z późn. zm.).

Składają się na nią art. 6a-6d, jak również art. 104 ust. 5 i art, 111 ust. 1 pkt 9 pr.

bank., a także zmieniony art. 104 ust. 2 pkt 2 pr. bank. Regulacja weszła w życie dnia

1 maja 2004 r., przy czym na banki nałożony został obowiązek dostosowania do jej

zasad praktyk outsourcingowych podejmowanych przed tą datą – do dnia 1 stycznia

2005 r.

Dalsze rozważania zostaną zorganizowane w dwóch zasadniczych częściach.

Pierwsza dotyczyć będzie ryzyk w działalności bankowej – ich istoty, źródeł i

rodzajów. Podjęty tu zostanie problem znaczenia zarządzania tymi ryzykami z

uwzględnieniem outsourcingu jako jednej z metod w tym zakresie. Wreszcie

omówione zostaną ryzyka wynikające z wykorzystania outsourcingu w działalności

bankowej. Kolejna część stanowić będzie prezentację środków minimalizacji tychże

ryzyk. Nastąpi to z podziałem na etap przedkontraktowy, zagadnienia umowy

outsourcingowej, jej realizacji, a także zakończenia opartych o nią relacji, w

odniesieniu do przepisów prawa i standardów wypracowanych w praktyce.

M. Olszak, Outsourcing w działalności..., s. 10.

Rozdział 2.

Ryzyka w działalności bankowej

Ryzyko, jak to wskazano wyżej, wiąże się nieodłącznie z działalnością

prowadzoną przez banki. Wynika to z pełnionej przez nie w gospodarce roli

pośredników finansowych pomiędzy podmiotami mającymi nadwyżki i niedobory

pieniężne. Banki, przyjmując depozyty i udzielając na ich podstawie kredytów,

przejmują wynikające stąd ryzyko, dysponując jednocześnie instrumentami jego

dywersyfikacji, zmniejszania, kompensacji lub relokacji.

To genetyczne powiązanie

działalności bankowej z ryzykiem znajduje wprost odzwierciedlenie w legalnej

definicji banku. Można zatem prowadzenie działalności bankowej – w pewnym

uproszczeniu – traktować jako proces zarządzania ryzykiem. Należy nadto mieć na

uwadze fakt, że banki są instytucjami zaufania publicznego. Z jednej strony, przymiot

ten umożliwia w ogóle prowadzenie przez te podmioty tak określonej działalności

gospodarczej, z drugiej zaś, w znaczącym stopniu determinuje warunki jej

prowadzenia.

2.1. Istota ryzyka bankowego

Zasadniczo ryzyko jest rozumiane jako zagrożenie nieosiągnięcia zakładanych

celów.

Przy tym, zazwyczaj odnosi się je do zdarzeń mogących negatywnie

wpłynąć na działalność przedsiębiorstwa. W przypadku banku mogą one powodować

przykładowo: utratę płynności, wiarygodności czy klientów, a w skrajnych sytuacjach

prowadzić do upadłości. Z drugiej jednak strony, stopień realizacji celów może

przewyższać ten zakładany, a przez to korzystnie wpływać na prowadzenie

działalności. Te dodatkowe szanse mogą w przypadku banku wiązać się szczególnie

z korzystnym ukształtowaniem stóp procentowych lub kursów walut, a w

konsekwencji wpływać odpowiednio na wynik finansowy czy płynność. Niemniej

jednak, w rozumieniu ryzyka dominuje pierwsze z wskazanych ujęć.

J.H. Górka, Specyfika ryzyka w bankowości elektronicznej, Materiały i Studia Zeszyt 205, NBP, IV

2006, s. 22.

P. Matkowski, Zarządzanie ryzykiem operacyjnym, Wolters Kluwer, Kraków 2006, s. 14-15; R.W.

Kaszubski, Funkcjonalne..., s. 188; Z. Zawadzka, [w:] Bankowość. Podręcznik akademicki, pod red.
W.L. Jaworskiego i Z. Zawadzkiej, Poltext, Warszawa 2005, s. 627; J.H. Górka, Specyfika..., s. 22.

Ponadto, w ekonomii i statystyce dokonuje się rozróżnienia ryzyka i

niepewności

. Przez ryzyko rozumie się sytuacje, w których znane są

prawdopodobieństwa wystąpienia określonych zdarzeń, a zatem i wartość

oczekiwana zmiennej losowej. Niepewność zaś stanowi określenie sytuacji, w

których rozkład prawdopodobieństwa nie jest znany. Podkreśla się przy tym

obiektywny charakter ryzyka jako kategorii niezależnej od stopnia posiadanej wiedzy.

Jego przeciwieństwem jest odznaczająca się subiektywnością niepewność. Może się

ona zmniejszać w miarę powiększania naszego zasobu wiedzy o danym obiekcie.

Wedle tego ujęcia, w działalności bankowej mamy głównie do czynienia z

niepewnością, a nie ryzykiem.

Rozmiary ryzyka występującego w działalności bankowej uzależnione są od

wielu wzajemnie na siebie oddziałujących czynników. Wyróżnia się wśród nich te o

charakterze zewnętrznym (niezależne od banku) oraz te o charakterze

wewnętrznym. W obrębie pierwszej grupy wskazać należy czynniki: ogólnospołeczne

(polityka gospodarcza państwa, polityka banku centralnego, stopa inflacji i in.),

społeczne (zachowania klientów banku, skłonności do oszczędzania), polityczne

(tendencje i wydarzenia mające wpływ na sytuację społeczno-gospodarczą),

demograficzne (struktura ludności, stopa bezrobocia) oraz techniczne (stan

infrastruktury). Druga grupa natomiast obejmuje w szczególności: gwałtowny wzrost

aktywów objętych podwyższonym ryzykiem, wysokie koszty ogólne, spadek

współczynnika wypłacalności czy agresywną kampanię reklamową.

2.2. Rodzaje ryzyka

W literaturze przedmiotu prezentowane są różne klasyfikacje ryzyka.

Jak się

podkreśla, brak jednoznacznego, powszechnie akceptowanego podziału jest

wynikiem, z jednej strony, złożoności roli banków w funkcjonowaniu współczesnych

gospodarek,

drugiej

zaś,

jednoczesnego,

wzajemnego

oddziaływania

poszczególnych rodzajów ryzyka na sytuację banku.

Ibidem.

P. Matkowski, Zarządzanie..., s. 15.

Z. Zawadzka, [w:] Bankowość..., s. 634.

Zob. w szczególności: R.W. Kaszubski, Funkcjonalne..., s. 189-191; J.H. Górka, Specyfika..., s. 22-

29 i powołane tam przykłady klasyfikacji.

Z. Zawadzka, [w:] Bankowość..., s. 628.

Klasyfikacja ryzyka bankowego przyjęta w niniejszej pracy oparta jest na tej

zaproponowanej przez KBNB.

Obejmuje ona najistotniejsze oraz najczęściej

spotykane i wyróżniane jego rodzaje. Ponadto jest wyrazem kreowanych pod

auspicjami KBNB międzynarodowych standardów w tym zakresie. I tak, wyróżnia ona

następujące rodzaje ryzyka w działalności bankowej: kredytowe, kraju i transferu,

rynkowe, stopy procentowej, płynności, operacyjne, prawne oraz utraty reputacji.

2.2.1. Ryzyko kredytowe

W ogólnym ujęciu oznacza ono niebezpieczeństwo, że kredytobiorca nie

wypełni zobowiązań i warunków umowy, narażając kredytodawcę na powstanie

straty finansowej.

Jest ono uznawane za podstawowy rodzaj ryzyka w bankowości,

jako że kredytowanie stanowi główny przedmiot działalności bankowej. Obejmuje ono

bardzo szeroki zakres tej działalności: udzielone kredyty, przyznane, ale nie pobrane

kredyty, gwarancje i akcepty bankowe, akredytywy, lokaty międzybankowe, jak

również instrumenty rynku kapitałowego (w tym akcje, obligacje, instrumenty

pochodne). Ryzyko to dotyczy zatem bilansowych, jak i pozabilansowych

zobowiązań banku.

Ryzyko kredytowe nie jest kategorią jednolitą. Wyróżnia się w jego ramach

ryzyko kredytowe aktywne i pasywne.

Pierwsze stanowi zagrożenie niespłacenia

przez kredytobiorcę przypadających rat kapitałowych wraz z odsetkami, prowizjami i

innymi opłatami w ustalonych w umowie kredytowej wysokości i terminie. Drugie

natomiast oznacza zagrożenie wcześniejszego, niż wynika to z umowy, wycofania

przez klienta zdeponowanych środków lub zagrożenie nieuzyskania kredytów

refinansowych.

W zakresie zarządzania ryzykiem kredytowym podstawowe znaczenie mają

regulacje odnoszące się do limitów koncentracji zaangażowań (art. 71 pr. bank.),

adekwatności kapitałowej (art. 128 pr. bank.) czy obowiązku tworzenia rezerw

celowych (art. 81 ust. 2 pkt 8 lit. c ustawy o rachunkowości

Basel Committee on Banking Supervision, Core Principles for Effective Banking Supervision, No.

30, Basel, September 1997; polska wersja językowa na stronie www.nbp.pl.

M.S. Wiatr, [w:] Bankowość..., s. 659.

Ibidem, s. 660.

Ustawa z dn. 29.09.1994 r. o rachunkowości (tekst jedn.: Dz.U. z 2002 r. Nr 76, poz. 694 z późn.

zm.). Na podstawie delegacji zawartej w powołanym przepisie wydane zostało rozporządzenie

2.2.2. Ryzyko kraju i transferu

Ryzyko to dotyka banki w związku z ich działalnością o charakterze

transgranicznym. W jego ramach wyodrębnia się dwa aspekty. Pierwszy – ryzyko

kraju – dotyczy zagrożeń związanych ze środowiskiem ekonomicznym, społecznym i

politycznym kraju macierzystego kredytobiorcy. Aspekt drugi – ryzyko transferu –

pojawia się wówczas, gdy zobowiązanie kredytobiorcy nie jest denominowane w

walucie miejscowej. Waluta zobowiązania może stać się niedostępna dla

kredytobiorcy bez względu na jego sytuację finansową. Omawiane ryzyko jest

minimalizowane w oparciu o system monitorowania adekwatności kapitałowej i

tworzenia rezerw celowych.

2.2.3. Ryzyko rynkowe

Wynika ono ze zmiany cen rynkowych i naraża na straty banki działające na

różnych rynkach finansowych. Z drugiej strony, fluktuacje te mogą okazać się dla

banków korzystne. Omawiane zagrożenie ma charakter złożony i – w ramach

transakcji bilansowych i pozabilansowych – obejmuje ryzyko: stopy procentowej,

walutowe, zmiany kursu akcji czy cen metali szlachetnych. Składają się na nie ryzyka

cenowe związane z konstrukcją portfela handlowego banku.

Redukcja odbywa się

w oparciu o system wyznaczania wymogów kapitałowych z tytułu poszczególnych

rodzajów ryzyka i adekwatności kapitału.

2.2.4. Ryzyko stopy procentowej

Ryzyko to oznacza sytuację, gdy zmiany stóp procentowych mogą narazić

bank na straty. Wpływa ono zarówno na dochody banku, jak i na wartość

ekonomiczną jego aktywów, pasywów i instrumentów finansowych. Jest ono ściśle

powiązane z ryzykiem rynkowym i również ma złożony charakter. Ustawowe

odniesienie dla minimalizacji tego ryzyka stanowią przepisy art. 133 ust. 2 pkt 2 pr.

bank. Na jego mocy organ nadzoru bankowego w ramach wykonywanych przez

Ministra Finansów z dnia 10 grudnia 2003 r. w sprawie zasad tworzenia rezerw na ryzyko związane z
działalnością banków (Dz.U. Nr 218, poz. 2147).

R.W. Kaszubski, Funkcjonalne..., s. 185.

siebie czynności bada jakość systemu zarządzania bankiem, w szczególności

systemu zarządzania ryzykiem.

2.2.5. Ryzyko płynności

Jest ono określane jako zagrożenie przejściowej lub całkowitej utraty

płynności przez bank. Powstaje wskutek niemożności poradzenia sobie przez bank

ze spadkiem pasywów lub z finansowaniem wzrostu aktywów. Podkreślenia wymaga,

e stanowi ono główny element łączący pozostałe rodzaje ryzyka w działalności

banku. Ziszczenie się bowiem któregokolwiek z nich zagraża w rezultacie płynności.

Utrata zaś płynności przekłada się w konsekwencji na utratę reputacji przez bank,

pamiętać wszak trzeba, że jest on instytucją zaufania publicznego.

Ryzyko płynności nie jest kategorią jednolitą wewnętrznie. W ramach jednego

z podziałów wyróżnia się ryzyko płynności pierwotne i wtórne.

W przypadku

pierwszego z nich zagrożenie wyniku finansowego wynika z samego

gospodarowania aktywami i pasywami banku. Drugie jest rezultatem niekorzystnych

zmian cen i utraty kapitału. Inny podział wiąże się z gospodarowaniem składnikami

bilansu.

I tak, aktywne ryzyko płynności (ryzyko terminu) to zagrożenie wywołane

nieplanowanym wydłużeniem zaangażowania kapitału w operacjach aktywnych. Z

kolei pasywne ryzyko uzupełniającego refinansowania wiąże się z niezgodnością

okresów, na jakie pozyskano i zainwestowano kapitał. Wreszcie ryzyko zawartych

umów oznacza możliwość wystąpienia nieoczekiwanych roszczeń beneficjentów do

realizacji przyrzeczonych kredytów i gwarancji (aktywne) lub też niebezpieczeństwo

nieoczekiwanego wycofania depozytów (pasywne).

Na gruncie polskiego ustawodawstwa banki są zobowiązane do utrzymywania

płynności płatniczej dostosowanej do rozmiarów i rodzaju działalności w sposób

zapewniający wykonanie wszystkich zobowiązań zgodnie z terminami ich płatności

(art. 8 pr. bank.). Ponadto na podstawie delegacji zawartej w przepisie art. 128 ust. 8

pr. bank. Komisja Nadzoru Bankowego ustaliła wiążące banki normy płynności.

B. Gruszka, [w:] Bankowość..., s. 752-753.

Ibidem, s. 753.

Rekomendacja P dotycząca systemu monitorowania płynności finansowej, z 2002 .

2.2.6. Ryzyko operacyjne

Określenie istoty tego rodzaju ryzyka opiera się o dwa podejścia. Z jednej

strony jest ono pojmowane w sposób negatywny jako tzw. pozostałe ryzyko, tj. takie,

którego nie sposób zakwalifikować jako kredytowe ani rynkowe. Z drugiej zaś strony,

podejmowane są próby stworzenia definicji pozytywnych.

Za przykładową posłużyć

może definicja przyjęta przez KBNB

. I tak, ryzyko operacyjne jest to ryzyko strat

wynikających z niedostosowania lub zawodności wewnętrznych procesów, ludzi i

systemów technicznych lub ze zdarzeń zewnętrznych. Obejmuje ono ryzyko prawne,

nie uwzględnia natomiast strategicznego i reputacji.

Zaprezentowane wyżej ujęcie pokazuje wewnętrzną złożoność ryzyka

operacyjnego. W jego ramach można wskazać następujące aspekty:

ryzyka o charakterze organizacyjnym – wiążące się ze stratami powstałymi w

wyniku błędów w przyjętych procedurach albo też braku wymaganych

procedur (np. wady funkcjonowania kontroli wewnętrznej i zasad zarządzania

bankiem); straty te powodowane są nieumyślnie, mogą być następstwem

błędów;

ryzyka o charakterze personalnym – wiążące się ze stratami spowodowanymi

umyślnym przekroczeniem przepisów przez obecnych lub byłych pracowników

szczególności:

oszustwa,

przekroczenie

uprawnień,

zaniedbanie

obowiązków);

ryzyka o charakterze technicznym – wiążące się ze stratami spowodowanymi

przez awarie systemów lub technologii (np. programów informatycznych);

ryzyka o charakterze vis maior – wiążące się ze stratami spowodowanymi

przez działanie sił natury lub działanie osoby trzeciej (np. powódź,

przedłużające się awarie elektryczne).

Konieczność zarządzania ryzykiem operacyjnym wynika bezpośrednio z jego

znaczenia dla instytucji. Z analiz przeprowadzonych przez KBNB wynika jego 25%

P. Matkowski, Zarządzanie..., s. 24, 28-30 i prezentowane tam przykłady.

Basel Committee on Banking Supervision, International Convergence of Capital Measurement and

Capital Standards a Revised Framework, Bank for International Settlements, Basel 2004.

R.W. Kaszubski, Funkcjonalne..., s. 199; P. Matkowski, Zarządzanie..., 25-26.

udział w całości ryzyka ponoszonego przez banki.

Wskazana konieczność znajduje

odniesienie ustawowe w kompetencji organu nadzoru do badania jakości

zarządzania ryzykiem (art. 133 ust. 2 pkt 2 pr. bank.).

Zadaniem nadzoru w tym

zakresie jest w szczególności sprawdzenie poprawności wdrożenia i funkcjonowania

procedur systemów kontroli wewnętrznej, systemów zarządzania ryzykiem lub

redukowania ryzyka operacyjnego poprzez tworzenie adekwatnych do jego poziomu

planów awaryjnych.

2.2.7. Ryzyko prawne

Banki, będąc przedsiębiorcami, uczestniczą w obrocie gospodarczym. Z uwagi

jednak na specyfikę prowadzonej działalności, są obarczone szczególnym statusem

w obrocie, jak również podlegają szczególnym regulacjom prawnym. Tutaj też należy

szukać istoty ryzyka prawnego związanego z ich funkcjonowaniem. U jego źródeł

leży prawem określona możliwość banków bycia podmiotami praw i obowiązków oraz

możliwość kształtowania stosunków prawnych poprzez zawieranie czynności

prawnych.

Przede wszystkim wskazać należy, że banki działają w danym środowisku

prawnym. Składają się nań przepisy prawa regulujące ich działalność – zarówno

powszechnie obowiązujące, jak i wewnętrzne, przepisy tak prywatno-, jak i

publicznoprawne. Banki, a ściślej osoby występujące w ich imieniu, są zobligowane

do działania zgodnego z tymi regulacjami. Wymaga to oczywiście ich znajomości.

Ponadto, niezbędne jest zapewnienie zgodności z aktualnymi uregulowaniami

wszelkich regulaminów, wzorców umownych czy procedur wewnętrznych

funkcjonujących w bankach.

R.W. Kaszubski, Funkcjonalne..., s. 200. Warto na marginesie wskazać, iż przyjmuje się również, że

ryzyko operacyjne odpowiedzialne jest za 35% zmienności w osiąganych wynikach finansowych,
podczas gdy ryzyko kredytowe – za 50%, a rynkowe – za 15% (za: P. Matkowski, Zarządzanie..., s.
32).

Istotna zmiana w zakresie zarządzania ryzykiem operacyjnym wynika z postanowień Nowej Umowy

kapitałowej,  która  przewiduje  objęcie  go  systemem  adekwatności  kapitałowej.  Wyrazem  tego  są
postanowienia  uchwały  1/2007  KNB  z  dnia  13  marca  2007  r.,  implementującej  regulacje  NUK  do
prawa  polskiego.  Ponadto  wskazać  należy  w  szczególności  następujące  dokumenty  opracowane
przez  KNB:  Rekomendację  M  dotyczącą  zarządzania  ryzykiem  operacyjnym  w  bankach  z  2004  r.,
Rekomendację  D  dotyczącą  zarządzania  ryzykami  towarzyszącymi  systemom  informatycznym  i
telekomunikacyjnym  używanym  przez  banki,  tekst  zaktualizowany  w  2002  r.,  oraz  Rekomendację  H
dotyczącą kontroli wewnętrznej w banku, tekst zaktualizowany w 2002 r.

R.W. Kaszubski, Funkcjonalne..., s. 201.

Istotnym czynnikiem omawianego ryzyka okazuje się także zmienność

przepisów prawa dotyczących zarówno banku i czynności przez niego

wykonywanych, jak i zmiany statusu prawnego partnera transakcji lub właściwego dla

niego środowiska prawnego.

Zmienność ta powinna być rozpatrywana w

perspektywie kraju siedziby banku oraz, jeśli prowadzi działalność transgranicznie, w

perspektywie kraju siedziby kontrahenta.

Ponadto, ryzyko prawne występuje w szczególności w związku z

niedoskonałością lub częstymi zmianami przepisów prawa,

niewłaściwymi poradami prawnymi,

nieprawidłowym prowadzeniem dokumentacji,

niekorzystnymi orzeczeniami sądowymi,

angażowaniem się w nowe rodzaje transakcji,

dokonywaniem transakcji z partnerami o nieustalonej pozycji prawnej.

2.2.8. Ryzyko utraty reputacji

Ryzyko to jest uwarunkowane istnieniem innych ryzyk w działalności

bankowej. Zmaterializowanie się zagrożeń stanowiących ich istotę zawsze

negatywnie wpływa na reputację banku. Co więcej, ryzyko to jest szczególnie

dotkliwe ze względu na to, że pozycja banku w obrocie oparta jest na szczególnym

zaufaniu – nie tylko jego klientów, ale także wierzycieli i rynku w ogóle. Stąd też

niezwykle istotne jest zapewnienie jak największego profesjonalizmu pracowników

banku. Ponadto, z uwagi na fakt, iż ryzyko to nie jest połączone z vis maior, można (i

należy) tworzyć plany awaryjne, które mogłyby być zastosowane w razie ujawnienia

się zdarzeń stanowiących składnik tego ryzyka.

2.3. Zarządzanie ryzykiem bankowym

Zarządzanie ryzykiem, zorientowanie na ograniczanie niepewności, jest

procesem polegającym przede wszystkim na zrozumieniu ryzyka i w konsekwencji

Ibidem, s. 202.

Basel Committee on Banking Supervision, Core principles..., s. 38.

R.W. Kaszubski, Funkcjonalne..., s. 206.

podjęciu działań, które mają je zmniejszyć.

Obejmuje ono przedsięwzięcia mające

na celu analizę, sterowanie ryzykami oraz kontrolę podejmowanych działań.

Zarządzanie powinno mieć przy tym charakter planowy i celowy, tzn. składające się

nań przedsięwzięcia winny być realizowane systematycznie i długofalowo.

Niezwykle istotna jest również jego proaktywność, oznaczająca podejmowanie

działań prewencyjnych w zakresie zdarzeń, które mogą mieć negatywne

konsekwencje dla banku. Ponadto, profesjonalizm w omawianej sytuacji wymaga

przyjęcia sprawdzonych i kompleksowych metodologii pozwalających na należyte

podejście do ryzyka na każdym etapie zarządzania nim. Wreszcie, pamiętać trzeba,

iż proces ten ma charakter ciągły – nie jest projektem, który ma początek i koniec.

Zarządzanie ryzykiem stanowi istotę funkcjonowania banków jako podmiotów

pełniących w gospodarce rolę pośredników finansowych. Można w nim wyróżnić trzy

etapy:

identyfikacji i kwantyfikacji ryzyka,

sterowania ryzykiem,

kontroli podejmowanych przedsięwzięć.

Identyfikacja oznacza określenie, na jakie rodzaje ryzyka narażony jest bank w

danym momencie. Następnie dokonuje się pomiaru ryzyka, tzn. jego kwantyfikacji.

Ma to znaczenie ze względu na fakt, że zarządzać można jedynie tym mierzalnym.

Ponadto, na omawianym etapie istotne jest rozróżnienie ryzyka indywidualnego od

ryzyka łącznego

. Ryzyko pojedynczej transakcji zależy od wysokości możliwej

straty i prawdopodobieństwa jej wystąpienia, ryzyko łączne z kolei – od wysokości

pojedynczych rodzajów ryzyka, prawdopodobieństwa ich wystąpienia oraz

współzależności między nimi. Im mniejsza jest to zależność, tym mniejsze ryzyko

łączne.

Sterowanie ryzykiem jest treścią drugiego etapu zarządzania nim. Polega ono

na odpowiednim balansowaniu jego rozmiarów i zakładanego poziomu rentowności.

P. Matkowski, Zarządzanie..., s. 18.

Z. Zawadzka, [w:] Bankowość..., s. 637.

P. Matkowski, Zarządzanie..., s. 34.

Z. Zawadzka, [w:] Bankowość..., s. 637.

Wśród ryzyk niekwantyfikowalnych wyróżnić można w szczególności ryzyko prawne i utraty

reputacji. Dyskusyjna jest z kolei mierzalność ryzyka operacyjnego. Wskazać jednak należy, że KBNB
w Nowej Umowie Kapitałowej uznaje je za ryzyko kwantyfikowalne.

R.W. Kaszubski, Funkcjonalne..., s. 207-208.

Obowiązek określenia zakresu dopuszczalnego ryzyka spoczywa na zarządzie

banku. Na omawianym etapie podejmowane mogą być dwa rodzaje działań:

koncentrujące się na przyczynach występowania ryzyka i podejmowane w

celu ograniczenia jego wielkości, w szczególności polegające na unikaniu

transakcji

nadmiernie

nim

obarczonych,

dywersyfikacji

ryzyka

czy

przenoszeniu go na inne podmioty; jest to tzw. aktywna strategia

przeciwdziałania ryzyku;

koncentrujące się na skutkach i podejmowane w celu zmniejszenia ich

negatywnego wpływu na pozycję banku, w szczególności polegające na

zwiększeniu kapitału, rezerw czy partycypacji w systemach ubezpieczenia

wkładów; jest to tzw. pasywna strategia przeciwdziałania ryzyku.

Ostatnim z omawianych etapów jest kontrola. Ma ona na celu badanie

efektywności realizowanych przedsięwzięć w zakresie ograniczania ryzyka. Powinna

być oparta o opracowane przez banki procedury dotyczące podejmowania ryzyka,

jak również zapobiegania i ograniczania występowania jego niekorzystnych skutków.

Instytucjonalnym wyrazem prezentowanych zagadnień jest funkcjonowanie w

bankach systemu zarządzania

. Stanowi on zbiór zasad i mechanizmów

odnoszących się do procesów decyzyjnych zachodzących w banku oraz do oceny

jego działalności. Odpowiedzialność za zaprojektowanie, wdrożenie oraz

funkcjonowanie tego systemu ponosi zarząd banku. W gestii rady nadzorczej

natomiast leży sprawowanie nadzoru nad jego wprowadzeniem oraz ocena jego

adekwatności i efektywności. Koniecznymi elementami systemu zarządzania w

banku są systemy: zarządzania ryzykiem oraz kontroli wewnętrznej.

Zadaniem systemu zarządzania ryzykiem jest identyfikacja, pomiar lub

szacowanie oraz monitorowanie ryzyka występującego w działalności banku, służące

zapewnieniu procesu wyznaczania i realizacji szczegółowych celów prowadzonej

przez bank działalności. Podkreślić należy, że system ten powinien być adekwatny

do wielkości i profilu ponoszonego przez bank ryzyka.

Niezbędnym komponentem systemu zarządzania bankiem jest kontrola

wewnętrzna. Ma ona na celu wspomaganie procesów decyzyjnych w banku,

Z. Zawadzka, [w:] Bankowość..., s. 640-641.

Przepisy art. 9-9f pr. bank. w kształcie obowiązującym od dnia 1 kwietnia 2007 r., ustalonym na

mocy art. 1 pkt 2 ustawy z dnia 26 stycznia 2007 r. o zmianie ustawy – Prawo bankowe (Dz.U. Nr 42,
poz. 272). Uzupełnieniem tych regulacji jest uchwała 4/2007 KNB z dnia 13 marca 2007 r.

usprawnienie realizacji jego zadań oraz, co szczególnie znaczące, zapewnienie

bezpieczeństwa i stabilności jego funkcjonowania.

System kontroli wewnętrznej

obejmuje: mechanizmy kontroli ryzyka, badanie zgodności działania banku z

przepisami prawa i regulacjami wewnętrznymi oraz audyt wewnętrzny.

Zarządzanie ryzykiem w bankach znajduje się również w polu zainteresowania

nadzoru bankowego, którego celem jest zapewnienie bezpieczeństwa środków

gromadzonych w toku działalności depozytowej banków. W ramach procesu

nadzorczego jego rola w szczególności polega na ograniczaniu możliwości

podejmowania przez banki nadmiernego ryzyka oraz czuwaniu nad przestrzeganiem

prawa i zasad ostrożnego działania, ale także zapewnieniu, że ryzyko ponoszone

przez banki jest monitorowane i odpowiednio zarządzane.

W tym celu organ

nadzoru został wyposażony w kompetencje do opracowywania regulacji oraz

wymogów ostrożnościowych

i kierowania ich do władz banków. Ocena działalności

banków dokonywana jest w oparciu o określone w nich kryteria. Z kolei dane

niezbędne do dokonania tej oceny nadzorca uzyskuje w trakcie inspekcji

przeprowadzanych w bankach, jak również poprzez analizę przekazywanych przez

nie danych.

Efektywne zarządzanie ryzykiem stanowi kluczowy obowiązek banków jako

instytucji zaufania publicznego. Jego celem jest zapewnienie jak największego

bezpieczeństwa środków zgromadzonych od ludności. Jednocześnie trzeba mieć na

uwadze, że ryzyka z działalności bankowej nie sposób całkowicie wyeliminować. Co

więcej, działalność ta, jako działalność gospodarcza, a zatem i zarobkowa, skłania

banki do akceptowania większego ryzyka, bowiem jest z nim związany większy zysk.

Stąd też wynika konieczność jak największego profesjonalizmu w zarządzaniu

ryzykiem w bankach. Ryzyko to nie wiąże się bowiem tylko z tym, jakich czynności

finansowych dokonuje bank, ale i z tym, w jaki sposób te czynności wykonuje.

Rekomendacja H, s. 1.

R.W. Kaszubski, Funkcjonalne..., s. 209.

Wskazać tu należy w szczególności uchwały KNB (1-6/2007), stanowiące przepisy wykonawcze do

ustawy  –  Prawo  bankowe.  Do  tej  grupy  zaliczyć  także  należy  rozporządzenie  Ministra  Finansów  w
sprawie  rezerw  celowych.  Ponadto  KNB  opracowuje  dokumenty  niemające  charakteru  wiążącego,
takie  jak  rekomendacje  czy  inne  zalecenia  określające  pożądane  przez  nadzór  praktyki  w  danym
obszarze działalności banków. Wskazać tu także należy Podręcznik inspekcji na miejscu oraz System
punktowej oceny banków z 2007 r.

2.4. Outsourcing jako źródło szczególnych ryzyk dla banku

Powracając w tym miejscu do kwestii outsourcingu, zauważyć na wstępie

należy, iż wykorzystywanie tej metodologii biznesowej stawia banki wobec

szczególnego zadania. Są one bowiem jako instytucje zaufania publicznego

zobligowane do dbania o bezpieczeństwo zgromadzonych depozytów. W sytuacji zaś

outsourcingu na ryzyka typowe związane z działalnością bankową nakładają się te

związane z wykorzystywaniem zasobów podmiotów zewnętrznych. Toteż banki w

ramach zarządzania ryzykiem bankowym powinny ze szczególną uwagą zajmować

się wynikającymi stąd zagrożeniami.

Podkreślenia wymaga także dwukierunkowe działanie outsourcingu – jedne

ryzyka zmniejsza, inne zwiększa.

W szczególności w pewnym zakresie ryzyka

zostają

przetransferowane

organizacji

zleceniodawcy

organizację

zleceniobiorcy.

Ta właściwość uważana jest za korzyść wynikającą z outsourcingu i

stanowi jeden z motywów wyboru tego modelu zarządzania. Ryzyka pierwotnie

zlokalizowane po stronie zlecającego przenoszone są na insourcera wraz z

przekazanymi procesami, zasobami czy personelem. W ten sposób zleceniobiorca

zyskuje możliwość skupienia się na innych zadaniach czy przedsięwzięciach,

istotnych ze względu na ich przynależność do sfery core competencies. Dla

przykładu, uwolnione w ten sposób środki mogą być przeznaczone na zarządzanie

tymi obszarami działalności, w tym związanymi z nimi ryzykami. Z kolei korzyścią dla

zleceniobiorcy jest otrzymane wynagrodzenie.

Z drugiej jednak strony, obserwuje się, że pomimo wskazanych profitów

przyszli zleceniodawcy często wahają się wejść w tego typu relacje. Występują

bowiem sytuacje, w których bez względu na przekazanie podmiotowi zewnętrznemu

wykonywania określonych czynności, ryzyka pozostają po stronie zleceniodawcy.

Ponadto, zmniejszenie ryzyka w pewnych obszarach nie oznacza redukcji

całkowitego ryzyka po stronie outsourcera. Przeciwnie, pewne jego rodzaje mogą się

wzmagać, mogą też zachodzić nowe, dotąd niewystępujące. Ta rezerwa odnośnie

wikłania się w projekty outsourcingowe ma też związek z możliwością utraty kontroli

J.H. Górka, Specyfika..., s. 37.

I. Tho, Managing..., s. 58.

nad przekazywanym obszarem działalności, jak również niepewnością co do nowych

rodzajów ryzyka, z zarządzaniem którymi zleceniobiorcy musieliby się zmierzyć.

Jak się wydaje, z punktu widzenia banków jako podmiotów o szczególnym

charakterze, decydującą rolę odgrywa drugi ze wskazanych wyżej aspektów

outsourcingu.

Przechodząc do omówienia ryzyk związanych z outsourcingiem, należy

zwrócić uwagę na ich różnorodność. Mają one swe źródła zarówno w samej istocie

outsourcingu, jak również w jego przedmiocie w konkretnej sytuacji, czy też sposobie

zarządzania nim. Ponadto, ich charakter różni się między poszczególnymi modelami,

ale i od przypadku do przypadku. W literaturze przedmiotu wskazuje się, iż głównym

ródłem tych zagrożeń jest asymetria informacyjna między uczestnikami

przedsięwzięcia, połączona z niemożnością kontroli działań drugiej strony czy też

czynników zewnętrznych skłaniających partnera do oportunistycznego zachowania w

trakcie trwania projektu.

W związku z powyższym występuje wiele klasyfikacji przedmiotowego

ryzyka

, częstokroć znacznie od siebie odbiegających. Niżej zostaną przedstawione

te najistotniejsze z punktu widzenia wykorzystania outsourcingu w bankowości. I tak,

omówione zostaną ryzyka: operacyjne, strategiczne, prawne, utraty reputacji, a

ponadto wskazane inne jego aspekty.

2.4.1. Ryzyko operacyjne

Specyfika tego rodzaju ryzyka w przypadku outsourcingu wiąże się z

zakłóceniami w procesie świadczenia usług przez insourcera. Tak jak to zostało

przedstawione wyżej

, odnosi się ono do zagrożeń wywołanych przez następujące

czynniki: ludzi, procesy wewnętrzne, systemy i vis maior. Wśród aspektów tego

ryzyka wskazuje się między innymi zamierzone przez usługodawcę oszustwa, ale i

jego błędy. Ponadto, składające się nań niebezpieczeństwa mogą powstawać jako

Ibidem, s. 58.

I. Tho, Managing..., s. 57.

Zob. w szczególności: The Joint Forum, Outsourcing..., s. 11-12; I. Tho, Managing..., s. 88 i n.; C.W.

Axelrod, Outsourcing Information Security, Artech House, Inc., Boston-London, 2004, s. 49 i n.; R.
Aron, E.K. Clemons, S. Reddi, Just Right Outsourcing: Understanding and Mitigating Risk, Journal of
Management Information Systems, Fall 2005, Vol. 22, No. 2, s. 41; R.R. Zdzieborski, Outsourcing w
działalności bankowej. Zagadnienia podstawowe (cz. I), Prawo Bankowe 11/2005, s. 46-47 i powołane
tam przykłady.

Zob. punkt 2.2.6.

rezultat złożoności świadczonych usług, geograficznego oddalenia między

kontrahentami oraz związanej z tym odmienności kulturowej. Nie bez znaczenia są

także ograniczenia w komunikacji między partnerami outsourcingowymi i ich

systemami. Co więcej, ryzyko to jest też wiązane z sytuacją, gdy usługodawca może

nie zdołać wykonać swoich zobowiązań, w tym w zakresie ewentualnej

odpowiedzialności odszkodowawczej.

Z drugiej strony, to w zakresie ryzyka operacyjnego ujawnia się najwyraźniej

wspomniana dwukierunkowość outsourcingu. Wszak, mimo że bank uzależnia się od

strony trzeciej, za której działania ponosi odpowiedzialność, to jednak może również

zlecić stworzenie infrastruktury zapasowej i planu awaryjnego partnerowi, który w

przypadku uszkodzenia systemu macierzystego banku, przejmie na siebie ciężar

obsługi klientów, udostępniając bankowi np. swoje serwery, pomieszczenia czy

zasoby przygotowane specjalnie na ten cel.

2.4.2. Ryzyko strategiczne

Ten rodzaj ryzyka jest szczególnie istotny z punktu widzenia zgodności

wiadczenia przez insourcera usług z celami strategicznymi banku. Podmiot

zewnętrzny może wszakże podejmować zamierzone działania nakierowane na

maksymalizację swoich zysków kosztem zleceniodawcy. Jego praktyki mogą

przybierać zasadniczo trzy formy.

Pierwsza z nich polega na zamierzonym

wiadczeniu usług poniżej uzgodnionego standardu przy niezmienionych żądaniach

odnośnie wynagrodzenia. Druga z kolei wiąże się z czerpaniem przez zleceniobiorcę

korzyści z danych udostępnionych przez zleceniodawcę w celu umożliwienia mu

wiadczenia usług w ramach projektu. Praktyka ta ma miejsce poza wiedzą i zgodą

outsourcera. Należy podkreślić niebezpieczeństwo tego typu działań w sytuacji

outsourcingu bankowego wobec ustawowego dopuszczenia insourcera do informacji

objętych tajemnicą bankową.

Wreszcie, trzecią formą praktyk sprzecznych z celami

strategicznymi podmiotu zlecającego jest wymuszanie przez usługodawcę

korzystnych dla niego zmian umowy, jeśli okazuje się, że usługobiorca nie ma

J.H. Górka, Specyfika..., s. 37. Przykład usług wykonywanych przez insourcera w zakresie

zapewnienia ciągłości działania i planów awaryjnych został przedstawiony w załączniku 1.

Są one określane jako odpowiednio: poaching, shirking i vendor holdup (R. Aron, E.K. Clemons, S.

Reddi, Just Right Outsourcing..., s. 41-43).

Zob. art. 104 ust. 2 pkt 2 pr. bank.

alternatywy odnośnie wyboru partnera outsourcingowego. Jako uzależniony od

podmiotu, który aktualnie świadczy usługi, musi godzić się na wysuwane żądania, w

szczególności odnośnie wynagrodzenia.

2.4.3. Ryzyko prawne

Wydaje się, że można je ujmować jako element ryzyka prawnego wiążącego

się z działalnością bankową w ogólności

. W sytuacji korzystania przez banki z

zasobów

podmiotów

zewnętrznych

jest

ono

uzupełniane

dodatkowe

charakterystyki.

Ogólnie, w omawianym przypadku zachodzi niebezpieczeństwo podlegania

przez bank sankcjom prawnym w razie uchybienia wymogom określonym przepisami

ustawy lub przez regulatora. W szczególności może zaistnieć sytuacja naruszenia

przez usługodawcę przepisów prawa, zwłaszcza chroniących tajemnicę bankową czy

dane osobowe, jak również chroniące konsumenta czy wyznaczające normy

ostrożnościowe. Ponadto, na ryzyko to składają się trudności regulatora w

sprawowaniu jego obowiązków w zakresie efektywnego nadzoru banku. Może mieć

to zwłaszcza związek z niedostatecznym dostępem nadzorcy do danych czy

informacji odnoszących się do zleceniobiorcy w zakresie świadczonych przez niego

usług.

Kolejnym specyficznym czynnikiem omawianego ryzyka jest sama umowa

outsourcingowa. Może ona zwłaszcza powodować sztuczne utrzymywanie relacji do

końca przewidzianego okresu, często dość długiego. W połączeniu z naturalną

zmiennością realiów biznesowych sytuacja taka okazuje się niekorzystna dla obu

stron. Niemniej jednak, kontrakt outsourcingowy pozwala na uniknięcie ryzyk

związanych z tym przedsięwzięciem, a przede wszystkim właśnie ryzyka prawnego.

Jest on bowiem równocześnie podstawą prawną relacji i podstawowym narzędziem

zarządzania nią, w tym wynikającymi z niej ryzykami.

Zwrócić należy również uwagę na szczególną pozycję banku z punktu

widzenia jego odpowiedzialności wobec klientów za szkody im wyrządzone wskutek

niewykonania lub nienależytego wykonania umowy outsourcingowej przez podmiot

Zob. punkt 2.2.7.

zewnętrzny. Mianowicie, odpowiedzialności banku w tym zakresie nie można ani

ograniczyć, ani tym bardziej wyłączyć.

2.4.4. Ryzyko utraty reputacji

Podobnie jak w przypadku ryzyka prawnego, ryzyko utraty reputacji związane

z outsourcingiem należy widzieć jako element tego wynikającego z działalności

bankowej w ogóle

. Chodzi tu zwłaszcza o przypadki uchybiania przez usługodawcę

przewidzianym standardom, które bezpośrednio dotykając klientów banku lub też

będąc podane do publicznej wiadomości, mogą wpłynąć na postrzeganie banku na

rynku. Odnośne standardy mogą być określone przez ustawodawcę, regulatora czy

też przewidziane umową.

Wydaje się, że ze względu na specyficzną konstrukcję outsourcingu w

działalności bankowej, jak i na charakter omawianego ryzyka, należy je uznać za

najpoważniejsze niebezpieczeństwo dla banku związane ze stosowaniem

przedmiotowej metodologii biznesowej. Ponadto, czynnikami mającymi wpływ na

reputację banku-outsourcera są skutki zaistnienia wszelkich pozostałych ryzyk.

2.2.5. Inne ryzyka

Oprócz przedstawionych wyżej czterech głównych rodzajów ryzyka, z

wykorzystywaniem outsourcingu wiąże się szereg innych, bardziej szczegółowych. Z

ryzykiem prawnym, dla przykładu, związek ma ryzyko braku strategii wyjścia. Łączy

się ono ze zbytnim poleganiu na usługach insourcera, co połączone z utratą

wewnętrznych zasobów w tym zakresie, może prowadzić do istotnych trudności z

powrotnym przejęciem wydzielonego obszaru. Kolejny rodzaj ryzyka jest związany z

lokalizacją usługodawcy, zwłaszcza gdy usługa ma być świadczona z terytorium

innego państwa niż państwo macierzyste banku. Niepewność w tej sytuacji jest

kreowana przez czynniki polityczne, społeczne, kulturowe czy regulacje prawne.

Należy ponadto zauważyć ryzyko koncentracji i systemowe zagrażające bankom w

razie skupienia usług w ręku małej liczby usługodawców.

Zob. art. 6b ust. 2 pr. bank.

Zob. punkt 2.2.8.

Reasumując wywody prowadzone w ramach niniejszego rozdziału, należy

zwrócić uwagę na to, iż zrozumienie istoty ryzyka, jego wewnętrznego zróżnicowania

i wzajemnych współzależności między poszczególnymi jego aspektami jest punktem

wyjścia dla efektywnego nim zarządzania. Spostrzeżenie to nabiera szczególnej

doniosłości w przypadku outsourcingu bankowego. Zagrożenia związane z

wykorzystywaniem tej metody prowadzenia działalności nakładają się bowiem na

ryzyko bankowe i wzmagają je w pewnych obszarach. Ma to miejsce zwłaszcza w

zakresie ryzyka operacyjnego, prawnego czy utraty reputacji. Nie mniej istotny

okazać się też może wpływ ryzyk outsourcingowych na płynność banku

Powyższa prawidłowość wpływa w konsekwencji na bezpieczeństwo

działalności bankowej. Należy też mieć na uwadze fakt, że bank musi liczyć się z

tym, iż niezależnie od tego, czy w swojej działalności korzysta z usług podmiotów

zewnętrznych, czy nie, wobec klienta zawsze sam ponosi odpowiedzialność. Zatem

w jego interesie jest należyta troska o to, w jakie relacje wchodzi, i jak nimi kieruje.

Dalsze rozważania, opierając się na omówionej w niniejszym rozdziale istocie

ryzyka i zarządzania nim, dotyczyć będą instrumentów efektywnego minimalizowania

ryzyk związanych z wykorzystaniem outsourcingu przez banki.

Spowodowane to może być w szczególności zmasowanym kierowaniem do banku przez klientów

roszczeń odszkodowawczych, ale także może dotyczyć bezpośrednio relacji bank – insourcer i
polegać na przedstawionym wyżej tzw. vendor holdup.

Rozdział 3.

Instrumenty efektywnego zarządzania ryzykiem związanym z wykorzystaniem

outsourcingu w działalności bankowej

Decydując się na wykorzystanie w prowadzonej działalności zasobów

podmiotów zewnętrznych, banki stają wobec konieczności należytego zarządzania

wynikłymi stąd relacjami, w tym zwłaszcza związanym z nimi ryzykiem. Wymaga to

stosowania instrumentów mających zapewnić jak największe bezpieczeństwo ich

funkcjonowania. Można wśród tych środków wyróżnić te, które są wymagane na

mocy przepisów ustawy, jak również takie, które przybierają postać dobrych praktyk.

Pierwszą grupę tworzą określone przez ustawodawcę warunki, na jakich banki

mogą wykorzystywać outsourcing w swojej działalności. Stanowią one minimum

mające zapewnić bezpieczeństwo działalności bankowej. Doniosłą wśród nich rolę

odgrywają uprawnienia organu nadzoru do wkraczania w relacje między bankiem a

insourcerem. Jest to uzasadnione celem nadzoru, bowiem w gestii Komisji Nadzoru

Bankowego

leży weryfikacja, czy banki, stosując się do określonych przepisami

prawa wymogów, w sposób należyty prowadzą swoją działalność.

Rozwinięciem, a zarazem dopełnieniem instrumentów przewidzianych

ustawowo są tzw. dobre praktyki. Tworzą je wykształcone w praktyce zasady, na

których powinno opierać się efektywne i wszechstronne zarządzanie projektem

outsourcingowym. Wyznaczają one, niemające prawnie wiążącego charakteru,

standardy w tym zakresie. Pośród nich szczególną uwagę zwrócić należy na

opracowywane i kierowane do banków przez regulatora zalecenia i interpretacje

Niżej przedstawione zostaną instrumenty należące do obydwu grup.

Rozważania te zorganizowane będą w czterech podrozdziałach odpowiadających

kluczowym etapom zarządzania projektem outsourcingowym. I tak, wyróżnione

zostaną: etap przedkontraktowy, zagadnienie umowy outsourcingowej, etap jej

realizacji i wreszcie zakończenie relacji outsourcingowych.

Na mocy ustawy z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym (Dz.U. Nr 157, poz.

119), z dniem 1 stycznia 2008 r. kompetencje organu nadzoru bankowego przejmie Komisja Nadzoru
Finansowego.

Wskazać tu należy zwłaszcza: (1) Pismo nr NB-BPN-I-022-70/04 z dnia 3.08.2004 r. w sprawie

stosowania niektórych przepisów dotyczących outsourcingu, Prawo Bankowe 10/2004 oraz (2) Pismo
nr NB-BPN-I-022-70/04 z dnia 21.12.2004 r. w sprawie rekomendowanych kierunków
interpretacyjnych przepisów ustawy – Prawo bankowe dotyczących outsourcingu, Prawo Bankowe
2/2005.

3.1. Etap przedkontraktowy

Kluczowym elementem efektywnego zarządzania ryzykiem jest jego

zrozumienie. Rozpoznanie czynników mogących niekorzystnie wpłynąć na

działalność banku stanowi punkt wyjścia dla podjęcia działań mających na celu

zapewnienie jak największego jej bezpieczeństwa. Również w przypadku

outsourcingu należy przedsięwziąć środki umożliwiające jak najwcześniejsze

dostrzeżenie wszelkich rodzajów ryzyka, a w konsekwencji skuteczną ich redukcję.

Stąd też etap poprzedzający zawarcie umowy outsourcingowej należy traktować jako

krytyczny z punktu widzenia powodzenia całego projektu.

3.1.1. Praca koncepcyjna i planowanie

Wejście w relację outsourcingową, rozumianą w kategoriach strategicznych,

wymaga od banku przeprowadzenia na wstępie odpowiedniej pracy koncepcyjnej

umożliwiającej należyte zaplanowanie przedsięwzięcia. Jej wyrazem ma być

opracowanie wszechstronnej polityki w zakresie zarządzania projektem, w tym w

szczególności związanymi z nim ryzykami.

Powinna ona uwzględniać wszystkie

fazy współpracy z usługodawcą, od etapu przedkontraktowego aż do wyjścia z relacji

outsourcingowej. Z kolei jej zakres przedmiotowy winien obejmować wszelkie

aspekty związane z korzystaniem z zasobów podmiotu zewnętrznego.

3.1.1.1. Wewnętrzna analiza przedsięwzięcia

Punktem wyjścia jest w omawianym zakresie dokonanie na najwyższym

stopniu zarządzania banku wewnętrznej analizy przedsięwzięcia. Ma ona umożliwić

zidentyfikowanie roli outsourcingu w kontekście ogólnej strategii i jego celów

biznesowych. Analiza ta odnosi się w szczególności do kwestii podstawowej

działalności banku (core competencies), mocnych i słabych stron związanych z

kierowaniem nim, jak również do ogólnych wartości i celów instytucji.

Zob. w szczególności: The Joint Forum, Outsourcing..., s. 14-15; Committee of European Baking

Supervisors, Guidelines..., s. 6-7; Federal Reserve Bank of New York, Outsourcing Financial Services
Activities: Industry Practices to Mitigate Risks, October 1999, s. 7-10.

Istotny jej element dotyczy ryzyk. Przede wszystkim banki powinny mieć na

względzie fakt, iż żaden przypadek outsourcingu nie jest od nich wolny. Stąd wynika

konieczność jak najgłębszego ich zbadania oraz identyfikacji obszarów, na których

mogą się pojawić. Należy w szczególności zwrócić uwagę na możliwe sytuacje

koncentracji ryzyk, jak również na maksymalny dopuszczalny poziom ryzyka

związanego z powierzeniem wykonania wielu czynności jednemu insourcerowi.

Dane uzyskane na podstawie wyżej przedstawionych analiz stanowią

podstawę do wyznaczenia konkretnych celów outsourcingu

, jak również do

określenia tych obszarów działalności banku, które zostaną powierzone podmiotowi

zewnętrznemu.

Należy podkreślić, iż banki, dokonując wyboru funkcji przeznaczonych do

outsourcingu, winny mieć na względzie jego główny cel. Chodzi mianowicie o

ułatwienie przedsiębiorstwu skupienia się na podstawowych kompetencjach, aby

mogło sprostać wymaganiom rynku, wymuszającego stały wzrost poziomu jakości

produktów i usług.

3.1.1.2. Zakres przedmiotowy outsourcingu według ustawy – Prawo bankowe

Istotne ograniczenia odnośnie czynności mogących być przedmiotem

outsourcingu zostały przewidziane w ustawie – Prawo bankowe. Swoboda banków w

tym zakresie podlega ograniczeniu przez ustawodawcę na dwa sposoby. Z jednej

strony, określa on katalog czynności, które mogą stanowić przedmiot outsourcingu, z

drugiej zaś, przewiduje czynności, których wykonywanie w żadnym wypadku nie

może być powierzone podmiotowi zewnętrznemu.

1. Czynności, których wykonywanie bank może powierzyć podmiotowi

zewnętrznemu, zostały wymienione w art. 6a ust. 1 pr. bank. w dwóch grupach.

Pierwsza z nich obejmuje:

Zawieranie i zmianę – według wzoru zatwierdzonego przez bank – umów

rachunków

oszczędnościowych,

oszczędnościowo-rozliczeniowych

oraz

terminowych lokat oszczędnościowych.

Zob. pkt 1.2.

Ch.L. Gay, J. Essinger, Outsourcing..., s. 70.

Zawieranie i zmianę umów kredytu na sfinansowanie inwestycji na

zaspokojenie własnych potrzeb mieszkaniowych kredytobiorcy w rozumieniu

przepisów o podatku dochodowym od osób fizycznych

Zawieranie i zmianę umów kredytu konsumenckiego w rozumieniu ustawy o

kredycie konsumenckim

Zawieranie i zmianę umów ugody w sprawie spłaty wskazanych wyżej

kredytów.

Zawieranie i zmianę umów dotyczących ustanowienia prawnego

zabezpieczenia wskazanych wyżej kredytów.

Zawieranie i zmianę umów o kartę płatniczą, których stroną jest konsument w

rozumieniu ustawy o kredycie.

Przyjmowanie wpłat, dokonywanie wypłat oraz obsługa czeków związanych z

prowadzeniem rachunków bankowych przez bank-outsourcera.

Dokonywanie wypłat i przyjmowanie spłat udzielonych kredytów i pożyczek

pieniężnych przez bank-outsourcera.

Przyjmowanie wpłat na rachunki bankowe prowadzone przez inne banki niż

outsourcer.

Przyjmowanie dyspozycji przeprowadzenia bankowych rozliczeń pieniężnych

związanych z prowadzeniem rachunków bankowych przez bank-outsourcera.

Ponadto, w ramach pierwszej grupy mieści się wykonywanie innych czynności,

ale po uzyskaniu zezwolenia organu nadzoru (art. 6a ust. 1 pkt 1 lit. k pr. bank.). W

pierwszej kolejności należy określić zakres pojęcia inne czynności. Redakcja art. 6a

ust. 1 pr. bank. sugeruje, iż chodzi tu o inne czynności bankowe niż wymienione pkt.

1 lit. a-j tego przepisu. Przy tym, ze względu na ujęcie w pkt. 2 czynności faktycznych

związanych z działalnością bankową, można by uznać, że zakres omawianego

pojęcia czynności faktycznych nie obejmuje

. W przeciwnym wypadku, jakby się

mogło wydawać, racjonalny ustawodawca w tym punkcie posłużyłby się określeniem

inne czynności faktyczne związane z działalnością bankową. Jednakże taka

interpretacja wydaje się nieprzekonująca. Przede wszystkim bowiem wskazać

Do dnia 1 stycznia 2007 r. obowiązywał art. 26b ust. 1 ustawy z dnia 26 lipca 1991 r. o podatku

dochodowym od osób fizycznych (tekst jedn. Dz.U. z 2000 r. Nr 14, poz. 176 z późn. zm.). Ustawą z
dnia 16 listopada 2006 r. o zmianie ustawy o podatku dochodowym od osób fizycznych oraz o zmianie
niektórych innych ustaw (Dz.U. Nr 217, poz. 1588) został on uchylony z dniem 1 stycznia 2007 r.

Ustawa z dnia 20 lipca 2001 r. o kredycie konsumenckim (Dz.U. Nr 100, poz. 1081 z późn. zm.).

Tak: B. Smykla, Prawo bankowe..., s. 54-55. Odmiennie: M. Olszak, Outsourcing..., s. 35.

należy, iż samo pojęcie czynności bankowej jest rozumiane jako zespół

pozostających ze sobą w funkcjonalnym związku czynności prawnych i

faktycznych

. Jego złożony charakter uzasadnia z kolei wymóg powierzania

czynności wskazanych w ust. 1 pkt. 1 jedynie na podstawie umowy agencyjnej.

Niezależnie od typu agencji (pośrednicza, przedstawicielska czy mieszana) w zakres

obowiązków agenta-insourcera wchodzić będzie wykonywanie czynności faktycznych

w zakresie powierzonych mu czynności bankowych.

Wobec powyższego, art. 6a ust. 1 pkt 1 lit. k pr. bank. obejmuje wykonywanie

innych czynności – zarówno prawnych, jak i faktycznych – w zakresie czynności

bankowych.

Zlecanie ich przez banki może nastąpić tylko za zgodą organu

nadzoru. Ten może jej udzielić, jeśli powierzenie wykonywania tych czynności jest

niezbędne do prowadzenia działalności w sposób ostrożny i stabilny lub istotnego

obniżenia kosztów tej działalności (art. 6a ust. 3 pr. bank.). Posłużenie się przez

ustawodawcę alternatywą nierozłączną (spójnik lub), uzasadnia wniosek, iż dla

uzyskania przedmiotowego zezwolenia wystarczające jest spełnienie co najmniej

jednej ze wskazanych przesłanek. Jednocześnie podkreślić należy, że mimo

alternatywnego ich ujęcia, istotne obniżenie kosztów w żadnym razie nie może

zagrażać ostrożnemu i stabilnemu prowadzeniu działalności bankowej, a zatem jej

bezpieczeństwu

Druga grupa czynności wymienionych w art. 6a ust. 1 pr. bank. to czynności

faktyczne związane z działalnością bankową (pkt 2). W celu ustalenia jej zakresu

należy w pierwszej kolejności odnieść się do pojęcia działalności bankowej. Mimo

braku zgodności co do jej istoty, przyjmuje się, że jest to działalność wykonywana

przez bank, której zasady prowadzenia, a w szczególności zakres, określają

właściwe przepisy

. Obejmuje ona przy tym zarówno czynności bankowe (art. 5 ust.

1 i 2 pr. bank.), jak i inne czynności wykonywane przez banki (art. 6 ust. 1 pr. bank.).

Wobec jednak

wyżej poczynionych ustaleń odnośnie innych czynności

przewidzianych w art. 6a ust. 1 pkt 1 lit. k) pr. bank., z zakresu czynności faktycznych

B. Smykla, Prawo bankowe..., s. 42.

A. Kidyba, Prawo handlowe, C.H. Beck, Warszawa 2005, s. 828-829.

W ramach tej grupy wskazać należy przykładowo: zawieranie i zmianę umów rachunków:

rozliczeniowych, lokat terminowych, powierniczych, zawieranie i zmianę umów o kartę płatniczą, której
stroną nie jest konsument czy też zawieranie i zmianę umów kredytu na sfinansowanie inwestycji
związanych z prowadzoną przez kredytobiorcę działalnością gospodarczą, umów ugody w sprawie
spłaty tego kredytu, jak i umów dotyczących ustanowienia jego prawnego zabezpieczenia.

Argument z art. 6c ust. 1 pkt 2-4 oraz art. 133 ust. 1 pkt 1 pr. bank.

Tak: M. Olszak, Outsourcing..., s. 39; B. Smykla, Prawo bankowe..., s. 56.

omawianych obecnie należy wyłączyć te, które zostały objęte regulacją powołanego

przepisu

W dalszej kolejności analizy wymaga kwestia powiązania powierzanych

czynności faktycznych z działalnością bankową. Za Generalnym Inspektorem

Nadzoru Bankowego wskazać należy, iż związek ten ma charakter funkcjonalny i

bezpośredni

. Warunek ten spełniają czynności, które:

można uznać za cząstkowe (składowe) względem czynności wskazanych w

art. 5 i 6 ust. 1 pr. bank.

lub

bez których podjęcia – ze względu na istotę lub charakter czynności bankowej

lub czynności z art. 6 ust. 1 pr. bank. (z którymi są one związane) – nie jest

możliwe należyte wykonanie umowy, mającej za przedmiot dokonanie

czynności wymienionych w art. 5 i 6 ust. 1 pr. bank.

Ponadto, zdaniem GINB, istotnym (choć nie wyłącznym) kryterium uzasadniającym

zaliczenie danej czynności do omawianej grupy, jest dostęp jej wykonawcy do

informacji wrażliwych z punktu widzenia prowadzonej działalności bankowej, w

szczególności objętych tajemnicą bankową

2. Przedmiotowe ograniczenie swobody banku w korzystaniu z zasobów

podmiotów zewnętrznych polega również na ustawowym określeniu czynności, które

w żadnym wypadku nie mogą być wyoutsourcowane. Katalog tych czynności

przewidziany został w art. 6a ust. 2 pr. bank. i obejmuje zarządzanie bankiem oraz

przeprowadzanie audytu wewnętrznego.

Odnośnie zarządzania bankiem, zauważyć należy, iż ustawa nie definiuje tego

pojęcia, posiłkując się odesłaniem do odpowiednich przepisów kodeksu spółek

handlowych i ustawy – Prawo spółdzielcze

. Wskazane przepisy nie wyjaśniają tego

pojęcia, a jedynie określają główne sfery działalności zarządu, tj. prowadzenie spraw

(kierowanie działalnością) i reprezentowanie spółki (spółdzielni). Wydaje się jednak,

Odmiennie: B. Smykla, Prawo bankowe..., s. 56.

Pismo GINB z dnia 21.12.2004 r.

W szczególności wykonywanie przez insourcera autoryzacji transakcji kartowych, generowanie,

drukowanie i dystrybucja zestawień takich transakcji oraz personalizację kart płatniczych.

Na przykład drukowanie, kopertowanie i wysyłanie wyciągów z ustaleniem salda na rachunku.

Z tego względu z zakresu omawianej grupy wyłączyć należy w szczególności: czynności polegające

na reklamowaniu oferty banku skierowane ad personas incertas; czynności podejmowane w zakresie
technicznego serwisu bankomatów; czynności polegające na udostępnianiu bankowi łączy
telekomunikacyjnych czy linii łączności; nabywanie i serwis sprzętu komputerowego; nabywanie,
instalacja i serwis oprogramowania.

Chodzi o art. 368 § 1 ustawy z dnia 15 września 2000 r. – Kodeks spółek handlowych (tekst jedn.

Dz.U. Nr 94, poz. 1037 z późn. zm.) oraz art. 48 ustawy z dnia 16 września 1982 r. – Prawo
spółdzielcze (tekst jedn. Dz.U. z 2003 r. Nr 188, poz. 1848 z późn. zm.).

e w rozumieniu art. 6a ust. 2 pkt 1 pr. bank. jego zakres należy ograniczyć do

wewnętrznej sfery działalności banku, tzn. do podejmowania decyzji zarządczych.

Należy bowiem zauważyć, że działania banku w sferze zewnętrznej są zawsze

uwarunkowane decyzjami podejmowanymi w sferze wewnętrznej, mają zatem

charakter wtórny.

Analizowany przepis wymienia ponadto jeden z aspektów zarządzania

bankiem – zarządzanie ryzykiem związanym z jego działalnością. Nie powinno to

budzić wątpliwości, jako że stanowi ono przejaw aktywności decydujący o istocie tej

instytucji. Innymi słowy, zarządzanie ryzykiem traktować należy jako główną z core

competencies banku. Przy tym, jak wskazuje ustawodawca, omawiana funkcja

obejmuje w szczególności: zarządzanie aktywami i pasywami, dokonywanie oceny

zdolności kredytowej i analizy ryzyka kredytowego, a więc działania podejmowane

zarówno na szczeblu zarządu (strategicznym), jak i na niższych szczeblach

funkcjonowania banku (operacyjnych)

Ustawa przewiduje również zakaz outsourcingu przeprowadzania audytu

wewnętrznego banku (art. 6a ust. 2 pkt 2 pr. bank.). Wobec braku ustawowej definicji

audytu wewnętrznego, dla określenia jego istoty należy posłużyć się wskazanymi w

art. 9d ust. 2 pr. bank. zadaniami komórki audytu. Przepis ten wskazuje w tym

względzie na badanie i ocenę, w sposób niezależny i obiektywny, adekwatności i

skuteczności systemu kontroli wewnętrznej oraz opiniowanie systemu zarządzania

bankiem, w tym skuteczności zarządzania ryzykiem związanym z działalnością

banku. Omawiane wyłączenie należy ocenić jako zbyt daleko idące. Wydaje się, że w

niektórych przypadkach potrzeba niezależnej i obiektywnej kontroli wewnętrznej w

banku, może wymagać sięgnięcia po profesjonalne zasoby zewnętrzne.

Podsumowując

rozważania

dotyczące

zakresu

przedmiotowego

outsourcingu, zauważyć należy, iż przedmiotem regulacji ustawowej są czynności

łączące się z ryzykiem dla działalności bankowej. Wyróżnione one zostały ze

względu na ich związek z wykonywanymi przez bank czynnościami bankowymi (art.

5 ust. 1 i 2 pr. bank.) oraz innymi czynnościami określającymi działalność bankową

Tak: R.R. Zdzieborski, Outsourcing... (cz. II), Prawo Bankowe 12/2005, s. 46-49; K. Kohutek, Prawo

bankowe... Z kolei za uwzględnieniem funkcji reprezentowania banku: M. Olszak, Outsourcing..., s.
48-48; B. Smyka, Prawo bankowe..., s. 59-60.

Uzasadnione wątpliwości co do trafności takiego ujęcia przedstawił R.R. Zdzieborski, Outsourcing...

(cz. II), s. 47-48.

(art. 6 ust. 1 pr. bank.). Mogą one zatem w sposób istotny wpływać na

bezpieczeństwo banku.

W ramach funkcjonowania banków można jednakże wyróżnić określone sfery

aktywności, które ze względu na brak ich związku z prowadzeniem podlegającej

licencjonowaniu działalności bankowej nie podlegają regulacji ustawy – Prawo

bankowe, a zatem i przepisom dotyczącym outsourcingu. Wobec tego czynności

będące przejawami takiej aktywności, mogą być przez banki zlecane podmiotom

zewnętrznym na zasadach ogólnych, tj. bez zastosowania art. 6a-6d pr. bank.

3.1.1.3. Plan przedsięwzięcia

Przeprowadzenie przez bank wnikliwej analizy pozwala na rozpoznanie jego

wewnętrznej sytuacji, specyficznych potrzeb i możliwych sposobów ich zaspokojenia.

Faza ta poprzedza podjęcie przez zarząd decyzji odnośnie zastosowania

outsourcingu w prowadzonej działalności. Dane uzyskane w wyniku tych działań

stanowią uzasadnienie dla tej decyzji, a jednocześnie punkty odniesienia dla procesu

zarządzania całym projektem.

Konsekwencją decyzji w kwestii outsourcingu, jak i warunkiem koniecznym

powodzenia przedsięwzięcia jest opracowanie metodologii postępowania. Będący jej

wyrazem plan, określa strukturę działań i systematyzuje je tak, aby możliwe było

osiągnięcie oczekiwanych korzyści. Innymi słowy, stanowi on zespół instrukcji

przeznaczonych dla określonych osób, którym wskazuje konkretne zadania,

jednocześnie określając sposób, czas i zasoby (ludzkie i rzeczowe) niezbędne do

wykonania tych zadań.

Plan taki powinien się odznaczać wszechstronnością, szczegółowością i

konkretnością. Powinien obejmować wszystkie fazy przedsięwzięcia, a dla każdej z

nich artykułować specyficzne cele, a także uwzględniać należytą jej analizę. Winna

ona w szczególności określać potencjalne ryzyka oraz działania dla uniknięcia lub

minimalizacji ich konsekwencji. Ponadto, ważne jest, ażeby plan identyfikował

niezbędną dla każdej fazy dokumentację oraz wymagane zgody właściwych

Jako przykłady takich czynności należy wskazać: utrzymywanie porządku i czystości na terenie

banku, opiekę socjalną pracowników, korzystanie ze środków transportu, prowadzenie stołówki dla
pracowników.

organów. Niezwykle istotne jest również przygotowanie na tym etapie niezbędnych

planów awaryjnych, jak i strategii wyjścia.

Opracowana w powyższy sposób metodologia działania banku przy

przeprowadzaniu

projektu

outsourcingowego stanowi

niezbędne

narzędzie

zarządzania wiążącym się z tym przedsięwzięciem ryzykiem. Jest ona jednocześnie

najpełniejszym wyrazem proaktywnego podejścia banku do tej kwestii. Należy

bowiem podkreślić, że jej założenia przekładają się na przebieg procesu selekcji

insourcera, kształt umowy outsourcingowej oraz praktykę zarządzania wynikłą z jej

zawarcia relacją. Stąd też należyta staranność w zakresie planowania outsourcingu

jest istotną częścią ostrożnego i stabilnego zarządzania bankiem, jak również

koniecznym warunkiem tego, by powierzenie wykonywania czynności nie wpłynęło

niekorzystnie na prowadzenie przezeń działalności zgodnie z przepisami prawa

3.1.2. Wybór usługodawcy

Kolejny etap przedsięwzięcia outsourcingowego ma na celu przede wszystkim

uniknięcie przez bank ryzyka strategicznego. Zagrożenie to polega głównie na

powstaniu stosunku zależności banku wobec niezadowalającego usługodawcy w

sytuacji, gdy zakończenie tej relacji wiąże się dla banku z nadmiernymi kosztami czy

możliwymi zakłóceniami działalności.

3.1.2.1. Zakres podmiotowy outsourcingu według ustawy – Prawo bankowe

Rozważania związane z wyborem insourcera należy rozpocząć od

przedstawienia wymogów ustawowych w tej materii.

Zgodnie z brzmieniem art. 6a ust. 1 pr. bank. bank może powierzyć

wykonywanie czynności w ramach outsourcingu przedsiębiorcy lub przedsiębiorcy

zagranicznemu. Nie przewidując własnej definicji tych podmiotów, ustawa – Prawo

bankowe odsyła w tym zakresie do przepisów ustawy o swobodzie działalności

gospodarczej

. I tak, przedsiębiorcą jest osoba fizyczna, osoba prawna i jednostka

organizacyjna niebędąca osobą prawną, której ustawa przyznaje zdolność prawną –

Federal Reserve Bank of New York, Outsourcing..., s. 8-9.

Zob. art. 6c ust. 1 pkt 4 pr. bank.

Ustawa z dnia 2 lipca 2004 r. o swobodzie działalności gospodarczej (Dz.U. Nr 173, poz. 1807 z

późn. zm.), dalej jako: u.s.d.g.

wykonująca we własnym imieniu działalność gospodarczą (art. 4 ust. 1 u.s.d.g. w zw.

z art. 4 ust. 1 pkt 16a pr. bank.). Z kolei przedsiębiorcą zagranicznym jest –

prowadząca działalność gospodarczą za granicą – osoba fizyczna mająca miejsce

zamieszkania za granicą i nieposiadająca obywatelstwa polskiego, osoba prawna z

siedzibą za granicą oraz posiadająca zdolność prawną jednostka organizacyjna

niebędąca osobą prawną i mająca siedzibę za granicą (art. 5 pkt 3 u.s.d.g. w zw. z

art. 4 ust. 1 pkt 16b pr. bank.).

Zauważyć nadto należy, że spośród przedsiębiorców zagranicznych

mogących być insourcerami, ustawodawca wyodrębnia pewną grupę. Mianowicie

wskazuje na przedsiębiorców zagranicznych niemających miejsca zamieszkania na

terytorium

państwa

członkowskiego

UE.

Zawarcie

przez

bank

umowy

outsourcingowej z takimi przedsiębiorcami wymaga na mocy art. 6d ust. 1 pr. bank.

zezwolenia organu nadzoru.

W związku z regulacją zakresu podmiotowego outsourcingu pozostaje

kontrowersyjna na gruncie polskiego prawa kwestia dopuszczalności tzw.

suboutsourcingu (outsourcingu łańcuchowego). Doniosłość jej wynika z faktu

popularności tego modelu w praktyce bankowej, w szczególności w odniesieniu do

technologii informatycznych. Powołany termin stosuje się dla określenia przypadku

podzlecania przez usługodawcę powierzonych mu czynności podmiotom trzecim, w

całości lub w części.

Przede wszystkim stwierdzić należy, że ustawa – Prawo bankowe nie

przewiduje zakazu korzystania z outsourcingu łańcuchowego. Zgodnie jednak z

interpretacją GINB

, wykonawcą usług outsourcingowch może być jedynie

przedsiębiorca będący stroną umowy z bankiem.

Stanowisko to wydaje się

nieuzasadnione.

Po pierwsze, wobec braku wyraźnego wyłączenia ustawowego należy

dopuścić stosowanie takiego modelu na zasadach ogólnych (art. 353

k.c.). Ponadto,

uprawnienie insourcera do korzystania z usług podwykonawców znajduje podstawę

w innych przepisach kodeksu cywilnego. W szczególności wierzyciel (bank-

outsourcer) może żądać osobistego świadczenia dłużnika (insourcera) tylko

Pismo GINB z dnia 3.08.2004 r.

Stanowisko GINB podzielają: M. Olszak, Outsourcing..., s. 54-55 oraz B. Smykla, Prawo bankowe...,

s. 52-53.

Tak też: R.R. Zdzieborski, Outsourcing... (cz. II), s. 50-52; Forum Outsourcingu, Analiza prawna i

biznesowa Ustawy – Prawo bankowe art. 6, s. 5-6.

wówczas, gdy wynika to z treści czynności prawnej, z ustawy lub z właściwości

wiadczenia (art. 356 § 1 k.c.). Przy tym, za działania lub zaniechania

podwykonawców dłużnik-insourcer ponosi odpowiedzialność tak, jak za działania lub

zaniechania własne (art. 474 k.c.).

Po drugie, argumentem za dopuszczeniem stosowania suboutsourcingu jest

brzmienie art. 6b ust. 1 pr. bank. Przepis ten stanowi, że odpowiedzialności podmiotu

zewnętrznego wobec banku za szkody wyrządzone klientom wskutek niewykonania

lub nienależytego wykonania umowy outsourcingowej nie można wyłączyć ani

ograniczyć. Wynika stąd wniosek, że względem banku stroną odpowiedzialną jest

zawsze insourcer, wobec czego ewentualne ryzyko związane z suboutsourcingiem

obciąża podmiot zewnętrzny. Zatem należy przyjąć, iż decyzje o skorzystaniu z usług

podwykonawców będzie on podejmował, mając na względzie swój interes.

Co więcej, takie jednoznaczne przypisanie odpowiedzialności oznacza dla

banku jasną sytuację w razie konieczności dochodzenia naprawienia szkody –

niezależnie od tego, czy wynikła ona wskutek działania lub zaniechania insourcera,

czy podwykonawcy. Wiąże się to niewątpliwie z mniejszym poziomem ryzyka

operacyjnego (w tym prawnego), na jakie narażony jest bank w przypadku

dopuszczenia outsourcingu łańcuchowego – w porównaniu ze stanowiskiem GINB,

e usługodawcą może być tylko strona umowy z bankiem. Warto też podkreślić, iż

skutkiem przyjęcia drugiego z modeli będzie również obciążenie banku dodatkowym

– ryzykogennym – obowiązkiem koordynacji relacji między insourcerami

wiadczącymi usługi cząstkowe składające się na usługę główną.

Wskazać ponadto należy, że nieuzasadnione są wątpliwości odnośnie braku

możliwości oddziaływania nadzorcy na tak ukształtowane relacje. Ustawa przewiduje

bowiem jako jeden z warunków dopuszczalności outsourcingu zapewnienie

sprawowania przez organ nadzoru efektywnego nadzoru nad wykonywaniem

powierzonych czynności (art. 6c ust. 1 pkt 2 pr. bank.). Wymóg ten odnosi się

zarówno do outsourcingu zwykłego, jak i łańcuchowego. W obydwu przypadkach

jego spełnienie uzależnione jest od działań banku. Będą one polegać na zawarciu w

umowie z insourcerem określonych klauzul. Ponadto, w umowie tej bank może

uzależnić dopuszczalność suboutsourcingu od swojej uprzedniej zgody.

Jednocześnie należy zaznaczyć, iż niezależnie od zastosowanego modelu

relacji, na banku i outsourcerze z mocy ustawy leży obowiązek posiadania planów

działania zapewniających ciągłe i niezakłócone prowadzenie działalności w zakresie

objętym umową (art. 6c ust. 1 pkt 3 pr. bank.). W razie korzystania z outsourcingu

łańcuchowego, plany te powinny uwzględniać jego specyfikę.

Konkludując, należy opowiedzieć się za dopuszczalnością suboutsourcingu w

bankowości. Za takim rozwiązaniem przemawiają przedstawione wyżej argumenty

prawne i funkcjonalne. Jest ono również zgodne z wymogami praktyki i aprobowane

przez KBNB

oraz CEBS

, jak i powszechnie przez regulatorów rynku usług

bankowych

Podkreślenia

też

wymaga,

praktykowanie

outsourcingu

łańcuchowego nie wpłynie na bezpieczeństwo działalności bankowej, jako że jego

zapewnienie jest warunkiem możliwości korzystania z tej metodologii biznesowej.

Jego spełnienie podlega zaś kontroli ze strony organu nadzoru.

3.1.2.2. Specyfikacja usługi

Specyfikacja jest podstawową instrukcją, do której ma się stosować

usługodawca, wprowadzając ewentualnie udoskonalenia zgodne ze swoją wiedzą i

doświadczeniem.

Jej sporządzenie przez bank rozpoczyna formalny proces selekcji

insourcera. Powinna ona przy tym uwzględniać następujące kluczowe kwestie:

określenie wymaganych wyników współpracy,

określenie stanu wyjściowego,

określenie pożądanego kształtu relacji z usługodawcą.

3.1.2.3. Lista potencjalnych usługodawców

Opracowanie wymagań odnośnie usługodawców umożliwia stworzenie

wstępnej listy kandydatów na partnerów outsourcingowych. Należy zgromadzić na

ich temat jak najwięcej danych, poddać je analizie, a następnie przygotować

prognozę korzyści możliwych do osiągnięcia dzięki współpracy z nimi. Informacje te

bank powinien uzyskać z wielu dostępnych źródeł. Szczególnie pomocne jest

opracowanie i przesłanie do potencjalnych kontrahentów próśb o informacje (ang.

request for information – RFI) w formie kwestionariuszy. Dane uzyskane w oparciu o

The Joint Forum, Outsourcing..., s. 17.

Committee of European Banking Supervisors, Guidelines..., s. 9.

R.R. Zdzieborski, Outsourcing... (cz. II), s. 50 i powołane tam przykłady.

Ch.L. Gay, J. Essinger, Outsourcing..., s. 90.

RFI pozwalają na dokonanie wstępnej selekcji i stworzenie tzw. krótkiej listy

kandydatów.

3.1.2.4. Due dilligence

Proces oceny potencjalnych usługodawców powinien być jednym z

kluczowych elementów polityki banku w zakresie outsourcingu. Jego zadaniem jest

bowiem jak najwcześniejsza identyfikacja wszelkich rodzajów ryzyka, jakie wiążą się

z jego wykorzystywaniem oraz pomóc w skutecznym jego zmniejszeniu. Ocena taka

w związku z tym powinna być powiązana z celami outsourcingu, a jednocześnie

przebiegać w oparciu o jasne i obiektywne kryteria, służące zapewnieniu jak

największego bezpieczeństwa działalności banku.

Wśród podstawowych kryteriów due dilligence należy wskazać

100

posiadanie przez usługodawcę odpowiednich kwalifikacji oraz zasobów,

zrozumienie przez niego celów i wymagań banku odnośnie powierzanych

czynności,

odpowiednią sytuację finansową insourcera, umożliwiającą mu wypełnienie

zobowiązań wobec banku,

w przypadku offshoringu – istnienie ekonomicznych, politycznych i prawnych

warunków umożliwiających efektywne wykonywanie powierzonych funkcji na

rzecz banku.

Niezwykle istotna jest również zbieżność przyszłych partnerów outsourcingowych

pod względem kultury organizacyjnej i reprezentowanych wartości.

3.1.2.5. Zapytanie ofertowe

Równolegle z opracowywaniem ram i przeprowadzaniem due dilligence należy

sporządzić i rozesłać do kandydatów zakwalifikowanych na krótką listę zapytania

ofertowe (ang. request for proposal – RFP). Powinno ono zawierać:

opracowaną specyfikację,

podstawowe założenia planowanego przedsięwzięcia,

instrukcje dla oferentów dotyczące sposobu udzielenia odpowiedzi na RFP.

101

100

The Joint Forum, Outsourcing..., s. 15-16.

101

Ch.L. Gay, J. Essinger, Outsourcing..., s. 101-102.

Oferty składane przez usługodawców podlegają finalnej ocenie banku. Jej rezultatem

jest wybór tej, która będzie podstawą rozpoczęcia negocjacji w celu zawarcia

kontraktu outsourcingowego.

3.1.3. Negocjacje i zawarcie umowy

Zawarcie umowy wskutek przeprowadzonych między bankiem a usługodawcą

negocjacji jest ostatnim etapem fazy przedkontraktowej. Rokowania odbywają się w

znacznej mierze w oparciu o funkcjonujące w obrocie zwyczaje czy przyjęte praktyki

– wszak dzieją się między profesjonalistami. Niemniej jednak, na gruncie prawa

polskiego w kwestii tej pod uwagę należy wziąć odpowiednie przepisy kodeksu

cywilnego.

Na wstępie dodać jeszcze trzeba, iż negocjacje stanowią dla banku znaczące

ródło ryzyka prawnego związanego z projektem outsourcingowym, stąd konieczne

jest zachowanie przezeń w ich trakcie należytej staranności. Ponadto, rokowania są

ostatnim momentem, w którym bank dysponuje znaczną swobodą kształtowania

inicjowanej relacji. W momencie podpisania przez strony kontraktu, możliwości w tym

względzie ulegają istotnemu ograniczeniu.

Negocjacje określa się jako proces polegający na dialogu pomiędzy dwoma

potencjalnymi kontrahentami zmierzającymi do uzgodnienia woli zawarcia określonej

umowy

102

. Polegają one na stopniowym ustalaniu postaci przyszłej umowy. Za ich

początek uważa się pierwsze oświadczenie strony, nawet jeśli nie ma ono charakteru

oferty, lecz np. zaproszenia do zawarcia umowy – skierowanego do

zindywidualizowanego adresata

103

. Za ich koniec z kolei uznać można moment

zawarcia umowy. Został on określony przez ustawodawcę jako chwila, gdy strony

dojdą do porozumienia co do wszystkich jej postanowień, które były przedmiotem

negocjacji (art. 72 § 1 k.c.).

102

A. Brzozowski, [w:] Kodeks cywilny. Komentarz, Tom I, pod red. K. Pietrzykowskiego, C.H. Beck,

Warszawa 2003, s. 287.

103

A. Michalak, Ochrona tajemnic handlowych w trakcie negocjacji, Monitor Prawniczy 13/2003, s.

588.

3.1.3.1. Protokół porozumienia

Proces negocjacji – ze swej natury złożony – może być rozłożony w czasie.

Jest to cecha charakterystyczna większych kontraktów, w tym outsourcingowych. Jej

wyrazem jest prowadzenie negocjacji w dwóch zasadniczych etapach: opracowaniu

protokołu porozumienia, a następnie uzgodnieniu ostatecznej treści umowy.

Protokół stanowi krótszą formę porozumienia, w którym obie strony

stwierdzają swoje zamiary oraz zobowiązują się do prowadzenia dalszych negocjacji

w dobrej wierze. Zawiera on ogólnie sformułowane cele obu stron, w szczególności

wynegocjowanie kontraktu w przewidzianym czasie. Może także w zarysie określać

zasady, które mają obowiązywać w kontrakcie, zwłaszcza w odniesieniu do kwestii

mogących w toku rokowań rodzić kontrowersje.

Sprawa wiążącej mocy takiego protokołu jest na tle obowiązującego stanu

prawnego dyskusyjna

104

3.1.3.2. Obowiązek uczciwego negocjowania

Ustawodawca przewidział również obowiązek prowadzenia przez strony

negocjacji zgodnie z dobrymi obyczajami (art. 72 § 2 k.c.). Jako przykład praktyki

sprzecznej z tym obowiązkiem wskazany przepis określa rozpoczęcie lub

prowadzenie negocjacji bez zamiaru zawarcia umowy.

Naruszenie wskazanej zasady przez negocjującą stronę rodzi obowiązek

naprawienia szkody, jaką druga strona poniosła przez to, że liczyła na zawarcie

umowy.

3.1.3.3. Ochrona informacji poufnych

Kodeks cywilny nakłada również na negocjujące strony obowiązek

zachowania poufności odnośnie informacji udostępnionych przez drugą stronę z

zastrzeżeniem ich poufności. I tak, w myśl art. 72

§ 1, strona, której zostały takie

104

Taki charakter omawianych dokumentów uznają: P. Machnikowski, Zmiany w przepisach k.c. o

zawieraniu umów w trybie ofertowym i rokowaniowym, Przegląd Prawa Handlowego 1/2004, s. 12; D.
Rogoń, Problemy negocjacyjnego trybu zawarcia umowy po nowelizacji kodeksu cywilnego, Przegląd
Prawa Handlowego 10/2003, s. 5-6. Przeciwne stanowisko zajmuje w tej kwestii W. Kocot, Ofertowy i
negocjacyjny tryb zawarcia umowy w ujęciu znowelizowanych przepisów kodeksu cywilnego, Przegląd
Prawa Handlowego 5/2003, s. 22.

informacje powierzone z zastrzeżeniem ich poufności, obowiązana jest do

nieujawniania i nieprzekazywania ich innym osobom oraz do niewykorzystywania ich

dla własnych celów.

Przepis ten ma szczególną doniosłość z punktu widzenia banku w przypadku

dochodzenia do umowy outsourcingowej. Wszak wymaga ono zazwyczaj ujawnienia

potencjalnemu kontrahentowi informacji stanowiących tajemnicę przedsiębiorstwa.

Informacje te mają dla banku znaczenie strategiczne ze względu na ich wpływ na

jego pozycję konkurencyjną. Stąd w razie ich ujawnienia, może on domagać się od

nieuczciwego kontrahenta naprawienia wynikłej stąd szkody albo wydania

uzyskanych przezeń korzyści (art. 72

§ 2 k.c.).

3.1.4. Tryb powierzania czynności bankowych podmiotom zewnętrznym

Kończąc rozważania na temat fazy przedkontraktowej przedsięwzięcia

outsourcingowego, przedstawić należy określone przez ustawodawcę tryby

powierzania czynności podmiotom zewnętrznym przez banki.

W pierwszej kolejności wskazać trzeba warunki, które powinny być spełnione

(łącznie), aby bank mógł powierzyć insourcerowi wykonywanie czynności

określonych w art. 6a ust. 1 pr. bank. Zgodnie z brzmieniem art. 6c ust. 1 pr. bank.,

są to:

zawiadomienie przez bank organu nadzoru z co najmniej 14-dniowym

wyprzedzeniem o zamiarze zawarcia takiej umowy (pkt 1)

105

;

zapewnienie wykonywania przez organ nadzoru efektywnego nadzoru nad

wykonywaniem powierzonych czynności (pkt 2);

posiadanie przez bank i insourcera planów działania zapewniających ciągłe i

niezakłócone prowadzenie działalności w zakresie objętym umową (pkt 3);

zapewnienie, że powierzenie wykonania czynności nie wpłynie niekorzystnie

na prowadzenie przez bank działalności zgodnie z przepisami prawa, ostrożne

i stabilne zarządzanie bankiem, skuteczność systemu kontroli wewnętrznej w

banku, możliwość wykonywania obowiązków przez biegłego rewidenta

upoważnionego do badania sprawozdań finansowych banku na podstawie

zawartej z bankiem umowy oraz ochronę tajemnicy prawnie chronionej (pkt 4).

105

Zakres informacji przekazywanych nadzorcy w tym zawiadomieniu został określony w Piśmie GINB

z dnia 3.08.2004 r.

Zauważyć należy, że poza obowiązkiem zawiadomienia nadzorcy, powyższy

katalog zawiera warunki o charakterze merytorycznym, mające postać klauzul

generalnych. Wydaje się ponadto, iż spełnienie tych wymogów przez bank będzie

wyrazem prowadzenia działalności w sposób niezagrażający środkom pieniężnym

zgromadzonym od ludności, a zatem korespondujący z głównym celem nadzoru

bankowego. Trzeba wszak pamiętać, że spełnienie przez bank powyższych

wymogów podlega kontroli ze strony organu nadzoru.

Omawiane warunki nie mogą jednakże być traktowane jako warunki

dopuszczalności zawarcia umowy outsourcingowej. Ich niespełnienie w związku z

tym nie rodzi skutku nieważności tej umowy. Może stanowić jednakże podstawę do

zastosowania

względem

banku

przewidzianych

przez

ustawę

rodków

nadzorczych.

106

Obok spełnienia wyżej przedstawionych warunków, ustawa w określonych

sytuacjach nakłada na banki obowiązek uzyskania zezwolenia na zawarcie umowy

outsourcingowej

107

i to pod rygorem nieważności tej umowy

108

Po pierwsze, zgoda nadzoru jest wymagana w przypadku powierzenia

podmiotowi zewnętrznemu wykonywania innych czynności niż określone w art. 6a

ust. 1 pkt 1 lit. a-j pr. bank. (art. 6a ust. 1 pkt 1 lit k pr. bank.). Organ nadzoru może

wydać przedmiotowe zezwolenie, jeżeli powierzenie przez bank wykonywania tych

czynności jest niezbędne do prowadzenia działalności bankowej w sposób ostrożny i

stabilny lub istotnego obniżenia kosztów tej działalności (art. 6a ust. 3 pr. bank.).

Po drugie, zgoda nadzoru jest niezbędna w przypadku korzystania przez bank

z outsourcingu, w którym występuje wskazany przez ustawę czynnik zagraniczny.

Może on, zgodnie z art. 6d ust. 1 pr. bank., wiązać się z:

podmiotem będącym insourcerem – w przypadku, gdy jest nim przedsiębiorca

zagraniczny niemający miejsca stałego zamieszkania lub nieposiadający

siedziby na terytorium państwa członkowskiego UE albo innego państwa

należącego do Europejskiego Obszaru Gospodarczego (art. 6d ust. 1 w zw. z

art. 4 ust. 3 pr. bank.); albo

miejscem wykonywania czynności przewidzianych umową – w przypadku, gdy

ma ono być zlokalizowane za granicą, przez co należy rozumieć obszar

106

K. Kohutek, Prawo bankowe...

107

Wydaje się, że wymóg uzyskania przez bank zgody nadzorcy na korzystanie z usług pomiotu

zewnętrznego, dezaktualizuje obowiązek notyfikacyjny przewidziany w art. 6c ust. 1 pkt 1 pr. bank.

108

K. Kohutek, Prawo bankowe...

znajdujący się poza granicami Polski, a zatem obejmujący pozostałe państwa

członkowskie UE

109

oraz państwa niebędące członkami UE.

Omawiane zgody wydawane są na wniosek banku i do niego adresowane. Do

wniosku – zgodnie z art. 6d ust. 2 pr. bank. – bank załącza:

dokumenty

dotyczące

działalności

gospodarczej

przedsiębiorcy

zagranicznego, który ma wykonywać powierzone czynności

110

projekt umowy outsourcingowej, która ma być zawarta z przedsiębiorcą

zagranicznym,

plany działania zapewniające ciągłe i niezakłócone prowadzenie działalności

w zakresie objętym umową,

zezwolenia lub promesy zezwoleń wymaganych w państwie, w którym

czynności mają być wykonywane wraz z pozytywną opinią właściwych władz

nadzorczych,

opis rozwiązań technicznych i organizacyjnych, zapewniających bezpieczne i

prawidłowe wykonywanie powierzonych czynności, w szczególności ochronę

tajemnicy prawnie chronionej.

Wreszcie wskazać należy przewidziane w art. 6d ust. 4 przesłanki

umożliwiające organowi nadzoru odmowę wydania lub cofnięcie zezwolenia:

istnienie zagrożenia naruszenia tajemnicy prawnie chronionej,

obowiązywanie w państwie, w którym powierzone czynności mają być

wykonywane, prawa uniemożliwiającego polskiemu nadzorcy bankowemu

wykonywanie efektywnego nadzoru,

zaistnienie sytuacji, gdy powierzenie wykonania czynności może wpłynąć

niekorzystnie na prowadzenie przez bank działalności zgodnie z przepisami

prawa, ostrożne i stabilne zarządzanie bankiem, skuteczność systemu kontroli

wewnętrznej w banku oraz możliwość wykonywania obowiązków przez

109

Powoduje to istnienie odmiennych reżimów prawnych dla outsourcingu realizowanego na obszarze

Polski oraz na obszarze innych państw członkowskich UE. Stąd pojawiają się wątpliwości odnośnie
zgodności takiego rozwiązania z prawem wspólnotowym. Szerzej: T. Czech, A. Werner, Outsourcing
działalności bankowej wykonywany poza granicami Polski w świetle Traktatu o utworzeniu Wspólnoty
Europejskiej, Przegląd Prawa Gospodarczego 11/2005.

110

Wykaz tych dokumentów został określony uchwałą nr 3/2004 KNB z dnia 8 września 2004 r. w

sprawie

określenia

dokumentów

dotyczących

działalności

gospodarczej

przedsiębiorcy

zagranicznego, który ma wykonywać powierzone przez bank czynności określone w art. 6a ust. 1
ustawy – prawo bankowe (Dz.Urz. NBP Nr 14, poz. 24).

biegłego rewidenta upoważnionego do badania sprawozdań finansowych

banku na podstawie zawartej z bankiem umowy.

3.2. Zagadnienie umowy outsourcingowej

Zawarcie przez strony umowy kończy etap przedkontraktowy w relacjach

banku z usługodawcą.

3.2.1. Znaczenie umowy

Umowa outsourcingowa jest prawną podstawą stosunku pomiędzy bankiem a

insourcerem. Łączy ona te podmioty gospodarcze w związek, który w znaczący

sposób wpływa na ich funkcjonowanie. Z jednej strony, stanowi instrument służący

osiągnięciu określonych korzyści, z drugiej natomiast, jest źródłem znaczących

zagrożeń. Ta zależność jest szczególnie doniosła w przypadku powierzania

czynności bankowych przez banki. Czynnikiem determinującym postrzeganie

kontraktu outsourcingowego przez banki powinno stąd być założenie, że jest on

dokumentem definiującym strukturę relacji z usługodawcą oraz swoistą mapą tejże

relacji.

Zawarcie omawianej umowy powinno znaleźć uzasadnienie w polityce

wypracowanej na etapie koncepcyjnym, a jednocześnie być konsekwencją

strategicznych celów banku. Kontrakt ten stanowi swoistą syntezę, ukonkretyzowanie

i realizację tej polityki. Ważne przy tym, by odznaczał się elastycznością. Trzeba

mieć bowiem na uwadze, że typowy stosunek outsourcingowy trwa przeciętnie 5-10

lat. Stąd też trudno jest przewidzieć w momencie jego zawiązania wszelkie możliwe

problemy, jakie napotka. Równocześnie zmianom podlegać będą realia rynku

określające warunki prowadzenia działalności. Elastyczność pozwoli na uniknięcie

przez bank ryzyka strategicznego.

Kontrakt jest kluczowym instrumentem efektywnego, a zarazem proaktywnego

zarządzania ryzykiem związanym z przedsięwzięciem outsourcingowym. Stanowi

wyraz przewidywanych problemów czy niebezpieczeństw mogących wyniknąć w

trakcie jego trwania. Jednocześnie zawiera postanowienia, które służą ich redukcji

lub eliminacji. Bank powinien dochować należytej staranności przy kształtowaniu ich

tak, by w jak największym zakresie zminimalizować ryzyko prawne relacji z

insourcerem.

Dlatego też powinien on jasno, precyzyjnie i zrozumiale określać zakres

działalności, do której się odnosi, oraz jednoznacznie definiować cele,

odpowiedzialność, obowiązki i oczekiwania stron. W razie zaś konfliktu lub

niewywiązywania się z umowy, powinny mieć zastosowanie przewidziane procedury i

sankcje.

111

Co więcej, zauważyć należy, iż zrozumiała i precyzyjnie sformułowana umowa

outsoourcingowa stanowi niezastąpione narzędzie efektywnej komunikacji między jej

stronami. Przy tym, jako że artykułuje rzeczywiste zamiary kontrahentów w

momencie zawiązania relacji, jest punktem odniesienia w miarę ich ewolucji.

3.2.2. Podstawa prawna umowy

Ustawodawca polski nie wyróżnia odrębnego typu umów outsourcingowych.

Dlatego też w tym zakresie strony organizować będą relacje między sobą, co do

zasady, w oparciu o swobodę umów – swobodę wyboru formy prawnej umów. Ze

względu na istotę przedsięwzięcia będą to przede wszystkim umowy mające za

przedmiot świadczenie usług – zarówno nazwane, jak i nienazwane.

Z tego punktu widzenia rozpatrywać należy kwestię podstawy prawnej umów

outsourcingowych związanych z działalnością bankową. Jednakże ustawodawca

częściowo ogranicza powołaną swobodę wyboru formy prawnej. Mianowicie,

podejmowanie czynności wskazanych w art. 6a ust. 1 pkt 1 pr. bank. może przybrać

wyłącznie formę pośrednictwa świadczonego w imieniu i na rzecz banku na

podstawie umowy agencyjnej (art. 758 i n. k.c.).

Natomiast odnośnie czynności faktycznych związanych z działalnością

bankową, o których mowa w art. 6a ust. 1 pkt 2 pr. bank., ustawodawca nie

przewiduje wymagań co do formy prawnej. Oznacza to, że wybór jej następuje w

oparciu o swobodę kontraktowania.

111

Ch.L. Gay, J. Essinger, Outsourcing..., s. 108.

3.2.3. Forma umowy

Przepis art. 6a ust. 1 pr. bank. wskazuje, iż powierzenie wykonywania

czynności insourcerowi przez bank powinno nastąpić w drodze zawarcia umowy na

piśmie. Wobec braku szczególnego zastrzeżenia, forma ta została przewidziana dla

celów dowodowych (art. 74 § 1 k.c.). Z uwagi jednak na wyłączenie przez art. 74 § 3

k.c. stosowania przepisów o formie pisemnej ad probationem w stosunkach między

przedsiębiorcami, art. 6a ust. 1 pr. bank. w zakresie odnoszącym się do formy

umowy nie rodzi żadnych skutków prawnych.

Niemniej, ze względu na złożoność kontraktu, związane z outsourcingiem

ryzyka czy kwestie nadzoru bankowego, w praktyce wykluczyć należy

niezastosowanie formy pisemnej.

3.2.4. Struktura umowy

Zasadniczo kontrakt outsourcingowy składa się z dwóch części:

warunków i postanowień ogólnych – są to klauzule regulujące ogólne aspekty

relacji między stronami;

załączników – oddzielnych dokumentów regulujących szczegółowo stosunki

między stronami; są one integralną częścią umowy.

Wśród najważniejszych postanowień umowy znajdują się

112

wyodrębnienie zakresu działalności banku podlegającego powierzeniu,

wymogi odnoszące się do sposobu świadczenia usług przez podmiot

zewnętrzny,

wzajemne prawa i obowiązki banku i insourcera,

kwestie zakończenia umowy i strategie wyjścia,

gwarancje ochrony informacji konfidencjonalnych, w tym objętych tajemnicą

bankową,

zasady stałej kontroli i oceny sposobu wykonywania powierzonych czynności

oraz środki korygujące ewentualne nieprawidłowości,

112

Committee of European Banking Supervisors, Guidelines..., s. 7-8.

zapewnienie jednostce kontroli wewnętrznej banku pełnego dostępu do

wszelkich danych związanych z wykonywaniem przez podmiot zewnętrzny

powierzonych czynności oraz nieograniczonej możliwości kontroli tych danych,

zapewnienie organowi nadzoru bankowego bezpośredniego dostępu do

wszelkich

danych

związanych

wykonywaniem

przez

insourcera

powierzonych czynności,

obowiązek informowania banku przez usługodawcę o wszelkich zaistniałych

okolicznościach mogących mieć istotny wpływ na proces outsourcingowy,

zapewnienie bankowi możliwości jednostronnego rozwiązania umowy w

sytuacji, gdy zażąda tego organ nadzoru bankowego.

Ponadto, umowa outsourcingowa powinna regulować kwestie związane z:

okresem przejściowym wdrażania relacji,

metodami pozasądowego rozwiązywania ewentualnych sporów,

wynagrodzeniem za wykonywanie powierzonych czynności przez podmiot

zewnętrzny,

zasobami ludzkimi,

obowiązkiem posiadania przez obie strony planów awaryjnych i okresowego

ich testowania.

3.2.5. Poziom świadczonych usług

Charakterystyka świadczonych usług (ang. service level agreement – SLA)

jest zespołem postanowień i warunków dotyczących standardów, w oparciu o które

insourcer ma wykonywać powierzone mu czynności.

113

Może ona być ujęta w treści

umowy outsourcingowej albo stanowić załącznik do niej.

Zasadniczo w jej skład wchodzą opisy takich procesów, jak

114

bieżące gromadzenie danych dotyczących czasu reakcji, wielkości transakcji,

opóźnienia prac itp.,

kontrola błędów – raportowanie o pomiarach, które przekroczyły wartości

progowe,

113

A.D. Vereshack, A Practical Guide to Outsourcing Agreements, LexisNexis Butterworths 2005, s.

137 i n.

114

Ch.L. Gay, J. Essinger, Outsourcing..., s. 85.

raporty dzienne lub tygodniowe – bieżąca sprawozdawczość w celu śledzenia

poziomu usług.

Ponadto, w SLA przewidziane są środki mające na celu utrzymywanie określonego

poziomu usług w sytuacji zakłóceń po stronie insourcera.

Standardy odnoszące się do poziomu usług powinny mieć formę precyzyjnie

określonych ilościowych oraz jakościowych wskaźników, w oparciu o które bank

będzie mógł dokonać oceny działalności insourcera. Jednocześnie zasadne jest

korzystanie przez bank z zewnętrznych narzędzi wspomagających taką ocenę, jak

np. zewnętrznego audytu.

Podkreślenia wreszcie wymaga, ze wskaźniki zawarte w SLA stanowią w

praktyce punkty odniesienia dla ustalenia wynagrodzenia insourcera czy też

wysokości kar umownych.

3.3. Realizacja umowy outsourcingowej

Podpisanie umowy stawia bank i podmiot zewnętrzny wobec wyzwań

związanych z jej realizacją. Zapoczątkowuje ono relację komercyjną o złożonym

charakterze, która często bywa określana mianem strategicznego aliansu czy

partnerstwa. Terminy te oznaczają, że strony mają wspólne cele i interesy, a przede

wszystkim podkreślają charakter outsourcingu jako przedsięwzięcia opartego na

wzajemnym zaufaniu. Trzeba jednak pamiętać, że bank jest przedsiębiorcą o

szczególnej charakterystyce, która w przemożny sposób determinuje kształt jego

relacji z insourcerem.

3.3.1. Wdrożenie umowy outsourcingowej

Między zawarciem kontraktu a pełnym jego wdrożeniem niezbędny jest

pewien okres przejściowy. Jest to czas potrzebny na dokonanie zmian w

wykonywaniu funkcji po jej przejęciu przez nowy podmiot. Charakter tych zmian i

czas na nie potrzebny powinny być przedmiotem szczegółowego uzgodnienia między

stronami.

W trakcie okresu przejściowego następuje przeniesienie powierzanych przez

bank czynności, ich integracja w ramach przedsiębiorstwa podmiotu zewnętrznego

oraz dostosowanie do wskaźników określonych w SLA. Odbywa się to zazwyczaj w

oparciu o przygotowany przez insourcera plan (ang. transition plan) stanowiący

integralną część kontraktu outsourcingowego. Dokument ten określa w

szczególności

115

zasady zarządzania procesem przejściowym i oceny stopnia realizacji planu,

sposób przejęcia przez insourcera powierzanych funkcji oraz odpowiadające

mu obowiązki banku,

etapy osiągania zgodności podejmowanych czynności z kryteriami

określonymi w SLA,

procedury kontroli realizacji procesu przejścia,

plany awaryjne na okres przejściowy,

długość okresu przejściowego.

Należy podkreślić, że umowa outsourcingowa powinna przewidywać, iż

realizacja przez podmiot zewnętrzny planu przejścia nie wpłynie negatywnie na

działalność banku oraz na jakość i ciągłość usług będących przedmiotem

outsourcingu. Z drugiej strony, bank powinien gwarantować insourcerowi

odpowiednie wsparcie w zakresie tych usług. Jasne określenie odpowiedzialności

pozwoli na zredukowanie ryzyka operacyjnego w trakcie fazy przejściowej.

3.3.2. Zarządzanie zasobami ludzkimi

Jedną z głównych kwestii decydujących o powodzeniu outsourcingu stanowi

zarządzanie zasobami ludzkimi. Istotnym bowiem źródłem ryzyka operacyjnego,

zwłaszcza w fazie początkowej, jest potencjalne zachowanie personelu. Mianowicie,

ujawnienie (oficjalnie lub nieoficjalnie) informacji o podejmowanym przedsięwzięciu

wpływa na poczucie bezpieczeństwa pracowników, zarówno w nie zaangażowanych,

jak i niezaangażowanych. Może to doprowadzić do zakłóceń w funkcjonowaniu

banku, błędów, spadku efektywności, obniżenia morale załogi czy utraty znaczących

pracowników. Niewykluczone jest ponadto – w skrajnych przypadkach – umyślne

odwetowe działanie na szkodę banku. Zarysowana tu sytuacja może rodzić także

konsekwencje prawne czy związane z utratą reputacji.

115

A.D. Vereshack, A Practical Guide..., s. 32-35.

Dlatego też warto zwrócić uwagę na określone zasady postępowania wobec

pracowników w związku z outsourcingiem. Przede wszystkim, bank powinien docenić

znaczenie odpowiedniej komunikacji z personelem. Proces ten winien być

skoordynowany z innymi działaniami, musi je wspomagać i czynić odpowiedni użytek

z dostarczanych przez nie informacji. Najwłaściwszy moment podjęcia dialogu z

załogą nie jest jasny, jednakże z pewnością nie należy go rozpoczynać na etapie

wewnętrznej analizy przedsięwzięcia. Przemawia za tym brak pewności co do tego,

czy dojdzie ono do skutku. Trzeba przy tym pamiętać, że celem komunikacji jest w

szczególności należyte przygotowanie pracowników do outsourcingu.

Pozostawiona do uzgodnień między stronami jest kwestia wykorzystania przez

usługodawcę zasobów ludzkich banku w wykonywaniu powierzonych czynności. W

szczególności sytuacja przejęcia ich przez insourcera powinna być przedmiotem

ustaleń. Należy jednak pamiętać, że wówczas zastosowanie znajdą przepisy

kodeksu pracy dotyczące przejścia zakładu pracy lub jego części na innego

pracodawcę

116

. Przewidują one zasadę kontynuacji – nowy pracodawca staje się z

mocy prawa stroną w dotychczasowych stosunkach pracy. Co więcej, za

zobowiązania wynikające ze stosunku pracy, powstałe przed przejściem części

zakładu pracy na innego pracodawcę, dotychczasowy i nowy pracodawca

odpowiadają solidarnie.

W razie przejęcia przez insourcera personelu banku, niezwykle istotne jest, by

odbyło się ono w oparciu o szczegółowy plan. Dotyczy on przede wszystkim sposobu

wyznaczenia pracowników pozostających w banku lub przechodzących do

usługodawcy, polityki obu kontrahentów, jak również stopnia dopasowania pod

względem kultury organizacyjnej. Ponadto, plan ten określa harmonogram

wszystkich kluczowych decyzji oraz szczegóły dotyczące polityki informacyjnej na

cały okres przedsięwzięcia outsourcingowego.

117

3.3.3. Zarządzanie i monitoring przedsięwzięcia.

Wdrożenie przedsięwzięcia outsourcingowego stawia bank wobec nowych

wyzwań. W sytuacji bowiem wykonywania określonych czynności własnymi siłami,

116

Art. 23

ustawy z dnia 26 czerwca 1974 r. – Kodeks pracy (tekst jedn. Dz.U. z 1998 r. Nr 21, poz.

94 z późn. zm).

117

Ch.L. Gay, J. Essinger, Outsourcing..., s. 125.

zarządzanie koncentruje się zarówno na samym procesie, jak i na jego rezultatach. Z

kolei outsourcing powoduje rozdzielenie tych zadań. Zarządzanie procesem zostaje

powierzone insourcerowi, bank skupia się natomiast na osiągnięciu oczekiwanych

korzyści.

3.3.3.1. Rola zarządu

Odnosząc się do szczegółowych kwestii związanych z zarządzaniem

realizacją procesu outsourcingowego, należy w pierwszej kolejności zwrócić uwagę

na rolę kierownictwa banku. Mianowicie, zarząd pozostaje w pełni odpowiedzialny za

przebieg przedsięwzięcia tak, jakby bank wykonywał powierzone czynności własnymi

siłami. W żadnym wypadku nie jest dopuszczalna rezygnacja z tej odpowiedzialności.

Służy to w szczególności zapewnieniu zgodności przebiegu przedsięwzięcia z

opracowaną przez zarząd polityką. Nie oznacza to jednak wyłączenia

odpowiedzialności insourcera. W jego gestii bowiem leży bezpośrednie zarządzanie

procesem.

3.3.3.2. Program zarządzania procesem outsourcingowym

Zarządzanie procesem outsourcingowym, zwłaszcza ryzykiem, winno znaleźć

odzwierciedlenie w systemie zarządzania bankiem. Należy w nim uwzględnić przede

wszystkim zakres i charakter powierzanych czynności w odniesieniu do takich

czynników, jak

118

finansowy, reputacyjny i operacyjny wpływ zakłóceń w wykonywaniu

zleconych czynności na bank,

potencjalne straty klientów banku i ich kontrahentów w razie zakłóceń procesu

outsourcingowego,

wpływ outsourcingu na możliwość wypełniania przez bank wymogów

nadzorczych,

koszty,

powiązanie przekazanych czynności z innymi obszarami działalności banku,

118

The Joint Forum, Outsourcing..., s. 14.

istniejące związki organizacyjne i gospodarcze między bankiem a

insourcerem,

publicznoprawny status podmiotu zewnętrznego,

stopień trudności i czas wymagany na przekazanie powierzonych czynności

alternatywnemu insourcerowi lub ponowne ich przejęcie przez bank,

stopień złożoności kontraktu outsourcingowego.

Ogólnie

ujmując,

wszechstronny

program

zarządzania

ryzykiem

outsourcingowym powinien zapewnić stałą kontrolę banku nad wszelkimi aspektami

przedsięwzięcia oraz przewidywać odpowiednie środki zaradcze w razie wystąpienia

zakłóceń. Należy przy tym pamiętać, że nie sposób dokładnie przewidzieć przebiegu

relacji, zwłaszcza ze względu na jej długoterminowy charakter. Dlatego bank

powinien w szczególności zapewnić sobie w umowie outsourcingowej odpowiednie

rodki zabezpieczające przed niespodziewanymi okolicznościami, które mogą

wystąpić w miarę realizacji kontraktu. Minimum w tym względzie stanowi

119

wpływ na personel podmiotu zewnętrznego w zakresie związanym z realizacją

umowy,

wpływ na sposób wykonywania przez insourcera powierzonych czynności.

3.3.3.3. Rola audytu

System kontroli wewnętrznej odgrywa kluczową rolę dla bezpieczeństwa

działalności banku, jest istotnym elementem systemu zarządzania ryzykiem. Należy

zatem

podkreślić

jego

doniosłe

znaczenie

także

ramach

projektu

outsourcingowego. Wszak dostarcza niezależnego oglądu, niezbędnego do

zapewnienia, że przedsięwzięcie jest wdrażane zgodnie z celami, jakie są przed nim

stawiane. Po wdrożeniu zaś, audyt sprawuje stalą kontrolę nad bieżącą realizacją

kontraktu – dostarcza obiektywnej oceny efektywności, adekwatności i skuteczności

funkcjonującego programu zarządzania ryzykiem oraz jakości wykonywania

powierzonych podmiotowi zewnętrznemu czynności.

119

T.W. Nagel, M.T. Murphy, Structuring Technology Outsourcing Relationships: Customer Concerns,

Strategies And Processes, International Journal of Law and Information Technology, Vol. 4 No. 2, s.
166-167.

Biorąc pod uwagę korzyści płynące z niezależnie dokonywanych ocen

przedsięwzięcia, banki mogą rozważyć wykorzystywanie do prowadzonych kontroli

insourcera również audyt przeprowadzany przez zewnętrzne wyspecjalizowane

firmy. W tej sytuacji konieczne jest jednak zapewnienie zgodności między wynikami

ocen uzyskanymi w ten sposób z metodologią stosowaną w audytach bankowych.

Należy jednak podkreślić, że ze względu na ograniczenie przewidziane w art. 6a ust.

2 pkt 2 pr. bank., stosowanie zewnętrznych audytów może pełnić jedynie rolę

uzupełniającą.

3.3.4. Tajemnica bankowa

Z mocy art. 104 ust. 2 pkt 2 pr. bank. insourcer uzyskał dostęp do informacji

objętych tajemnicą bankową. Rozwiązanie to usuwa wątpliwości co do możliwości ich

przekazywania podmiotowi zewnętrznemu. Swoistą jednak za nie ceną jest

konieczność zapewnienia przez bank bezpieczeństwa udostępnionych danych.

Stanowi ono bowiem jeden z dominujących czynników ryzyka prawnego związanych

z outsourcingiem.

Generalny obowiązek zachowania tajemnicy bankowej statuuje art. 104 ust. 1

pr. bank. Zgodnie z jego brzmieniem, bank, osoby w nim zatrudnione oraz osoby, za

pośrednictwem których bank wykonuje czynności bankowe, są obowiązane

zachować tajemnicę bankową, która obejmuje wszystkie informacje dotyczące

czynności bankowej, uzyskane w czasie negocjacji, w trakcie zawierania i realizacji

umowy, na podstawie której bank tę czynność wykonuje. Na tle przytoczonego

przepisu powstaje jednak problem dotyczący jego zastosowania względem kategorii

insourcerów określonych w art. 6a ust. 1 pkt 1 i w art. 6a ust. 1 pkt 2 pr. bank.

Ze względu na wyraźne brzmienie pierwszego z wyżej powołanych przepisów,

nie budzi wątpliwości, że obowiązkiem zachowania tajemnicy bankowej objęty jest

przedsiębiorca lub przedsiębiorca zagraniczny, któremu powierzono wykonywanie

wskazanych w nim czynności. Inaczej w przypadku insourcerów wykonujących

czynności faktyczne związane z działalnością bankową, o których mowa w art. 6a

ust. 1 pkt 2 pr. bank. Trudno ich bowiem uznać za osoby, za pośrednictwem których

bank wykonuje czynności bankowe, skoro ustawodawca nie odwołuje się w tym

przypadku do kategorii pośrednictwa. Stąd osoby te nie są ex lege zobligowane do

zachowania tajemnicy bankowej, jako że nie mają zazwyczaj do niej dostępu.

Niemniej jednak, obowiązek taki winien wynikać z postanowień kontraktu

outsourcingowego, przewidującego również sankcje za nieprzestrzeganie tej

tajemnicy przez przedsiębiorców.

120

Odnosząc się do regulacji ustawowej, wskazać nadto należy, że usługodawcy

oraz podmioty w nich zatrudnione, którym w związku z zawartą umową

outsourcingową bank udzielił lub ujawnił informacje objęte tajemnicą bankową, mogą

wykorzystać je wyłącznie w celu zawarcia i realizacji tej umowy (art. 104 ust. 5 pr.

bank.).

Ochrona omawianej tajemnicy w ustawie – Prawo bankowe odbywa się

również na drodze prawno-karnej. Mianowicie, zgodnie z brzmieniem art. 171 ust. 5,

osoby obowiązane do jej zachowania, które ujawniają bądź wykorzystują informacje

objęte nią niezgodnie z upoważnieniem określonym w ustawie, podlegają grzywnie

do miliona złotych i karze pozbawienia wolności do lat 3. Jest to zatem stosunkowo

surowa kara. Wydaje się przy tym, w świetle ustaleń poczynionych wyżej, że przepis

ten zastosowanie będzie miał jedynie do podmiotów zewnętrznych wykonujących

czynności powierzone na podstawie art. 6a ust. 1 pkt 1 pr. bank.

W zakresie tajemnicy bankowej banki powinny zapewnić, ażeby poziom jej

ochrony przez insourcera zgodny był ze standardami stosowanymi przez nie w

ramach własnej struktury. Istotne jest ujęcie tego w ramach kontraktowych.

3.3.5. Plany awaryjne

Outsourcing kreuje stan zależności między bankiem a usługodawcą. Naraża

to bank na poważne konsekwencje w razie zaprzestania świadczenia usług przez

podmiot zewnętrzny. Dlatego zarząd, w ramach działań zabezpieczających, powinien

opracować i wdrożyć:

plany utrzymania ciągłości działania (ang. business continuity plans), służące

zapewnieniu bezawaryjnego świadczenia usług przez insourcera,

plany awaryjne na wypadek zaistnienia awarii (ang. contingency plans),

mające na celu odtworzenie lub wznowienie działalności w obszarze

dotkniętym awarią, zgodnie z przyjętymi celami odtworzenia.

121

120

Tak: M. Swora, Outsourcing bankowy w świetle znowelizowanych przepisów prawa bankowego,

Glosa 7/2004, s. 16-17.

121

Rekomendacja M, s. 24-25.

Opracowanie i wdrożenie takich planów – zarówno przez bank, jak i

usługodawcę – jest jednym z ustawowych warunków outsourcingu (art. 6c ust. 1 pkt

3 pr. bank.). Powinny być one wiarygodne i adekwatne do zakresu powierzanych

czynności i ich złożoności.

Ze względu na różnorodność czynności, które mogą być przedmiotem

outsourcingu, nie sposób określić jednolitych rozwiązań, które powinny mieć

zastosowanie w każdym przypadku. Z pewnością jednak, przy ich opracowywaniu

należy wziąć pod uwagę

122

liczbę podmiotów świadczących tego samego typu usługi na danym rynku,

renomę i kondycję finansową usługodawcy,

stopień złożoności zleconej przez bank usługi,

fakt bycia przez insourcera podmiotem zależnym od banku,

fakt świadczenia usługi w kraju lub za granicą.

Zagwarantowanie ciągłego i niezakłóconego podejmowania zleconych działań

może przykładowo polegać na

123

zapewnieniu alternatywnego dostawcy usług,

przechowywaniu kopii zapasowych oprogramowania,

replikacji danych,

zagwarantowaniu w umowie obowiązku niezwłocznego poinformowania banku

o zaprzestaniu działalności w zakresie objętym umową czy też o zmianie

przedmiotu działalności lub o sytuacji finansowej, która może mieć wpływ na

wykonywanie umowy z bankiem,

odpowiednio długi okres wypowiedzenia,

obowiązek dotychczasowego insourcera świadczenia usługi do czasu podjęcia

czynności przez inny podmiot zewnętrzny i obowiązek przekazania mu

wszelkiej dokumentacji, baz danych czy materiałów niezbędnych do dalszego

ich podejmowania.

Ważne jest dokonywanie okresowych przeglądów planów awaryjnych i planów

ciągłości działania. Ponadto, plany awaryjne powinny być okresowo testowane w

122

R. Juchno, R.W. Kaszubski, Outsourcing w działalności..., s. 10.

123

M. Olszak, Outsourcing..., s. 66.

celu zapewnienia ich odpowiedniego funkcjonowania w przypadku zaistnienia

niekorzystnych zdarzeń lub awarii.

Faktem jest, że korzystanie z tego typu narzędzi wiąże się z istotnymi

kosztami. Niemniej jednak, posiadanie planów awaryjnych i planów ciągłości

działania przez bank oraz przez usługodawców może skutkować uniknięciem

niezamierzonych strat finansowych, zmarnowania możliwości rozwoju czy problemów

prawnych oraz utraty reputacji.

3.3.6. Odpowiedzialność z tytułu niewykonania lub nienależytego wykonania

umowy outsourcingowej

Odpowiedzialność z tytułu świadczenia usług outsourcingowych kształtowana

jest, co do zasady, przez przepisy ogólne kodeksu cywilnego. Podstawowe

znaczenie w tym, względzie ma art. 471 k.c., statuujący ogólne zasady

odpowiedzialności kontraktowej. Zgodnie z jego brzmieniem, na dłużniku ciąży

obowiązek naprawienia szkody wynikłej z niewykonania lub nienależytego wykonania

zobowiązania, chyba że niewykonanie lub nienależyte wykonanie jest następstwem

okoliczności, za które dłużnik nie ponosi odpowiedzialności. Przy tym, na mocy art.

472 k.c. dłużnik odpowiedzialny jest również za zachowanie należytej staranności, a

więc tak za swoje zawinione, jak i niezawinione zachowanie. Wyjątki w tym względzie

wynikać mogą z przepisów ustawy lub treści czynności prawnej.

3.3.6.1. Zakaz ograniczania odpowiedzialności

Powyższe zasady doznają istotnej modyfikacji w przypadku outsourcingu

bankowego. Swoboda kontraktowa w zakresie ustalania zasad odpowiedzialności

została ograniczona zarówno na płaszczyźnie relacji bank – klient, jak i insourcer –

bank. W pierwszym przypadku chodzi o ochronę interesów klienta banku, który

pozbawiony jest wpływu na jakość wykonywanych na jego rzecz w imieniu banku

przez insourcera usług, a także na samą decyzję banku odnośnie korzystania z

zasobów podmiotów zewnętrznych. Tym samym nie może być obarczany

negatywnymi skutkami wynikającymi z niewykonania lub nienależytego wykonania

umowy outsourcingowej. W drugim zaś przypadku, ratio polega na ochronie

stabilności oraz bezpieczeństwa finansowego banku, a zatem i bezpieczeństwa

zdeponowanych w nim środków.

124

Zgodnie z brzmieniem art. 6b ust. 2 pr. bank. odpowiedzialności banku z

szkody wyrządzone klientom wskutek niewykonania lub nienależytego wykonania

umowy outsourcingowej nie można wyłączyć ani ograniczyć. Natomiast, jak stanowi

ustęp 1 powołanego przepisu, nie jest dopuszczalne ograniczenie ani wyłączenie

odpowiedzialności insourcera względem banku za szkody wyrządzone klientom

wskutek niewykonania lub nienależytego wykonania umowy outsourcingowej.

Zamieszczenie zatem w kontrakcie (outsourcingowym oraz w umowie banku z

klientem) postanowienia, na mocy którego dłużnik (odpowiednio: insourcer lub bank)

ogranicza swoją odpowiedzialność wobec drugiej strony (odpowiednio banku lub

klienta), jedynie do szkody wyrządzonej z winy umyślnej, jest obarczone

bezskutecznością. Sama zaś umowa (odpowiednio: banku z insourcerem lub z

klientem) jest ważna w pozostałym zakresie (art. 58 § 3 k.c.).

Podstawa odpowiedzialności banku wobec klienta wynika z art. 474 k.c., na

mocy którego dłużnik (bank) odpowiada – tak, jak za własne – za działania i

zaniechania osób, którym powierza wykonanie zobowiązania (tu: podmiotów

zewnętrznych). Oznacza to, że bank jest zobowiązany do wypłaty klientowi

odszkodowania w razie, gdyby ten poniósł szkodę w wyniku zachowania insourcera.

Wysokość tego odszkodowania jest limitowana przepisem art. 6b ust. 2 pr. bank.

Jego zaś wypłata przez bank powoduje powstanie po jego stronie szkody, którą

insourcer obowiązany jest naprawić. Zakres regresu banku do usługodawcy

określony jest zaś treścią umowy outsourcingowej, z zastrzeżeniem art. 6b ust. 1 pr.

bank.

Szczególnym przejawem szkody banku-outsourcera jest spowodowana

działaniem lub zaniechaniem podmiotu zewnętrznego utrata reputacji. Jak to już

wyżej zostało wyjaśnione, chodzi tu głównie o przypadki uchybiania przez insourcera

określonym standardom, które, dotykając bezpośrednio klientów banku lub tez będąc

podane do publicznej wiadomości, mogą wpłynąć na postrzeganie banku na rynku.

Przy tym, renoma czy reputacja jest dobrem osobistym o szczególnej

charakterystyce. Mianowicie, w przypadku jej naruszenia szkoda w ten sposób

powstała jest trudna do wyliczenia, a zatem i wyceny (naprawienia). Trudno bowiem

124

K. Kohutek, Prawo bankowe...

o jednoznaczny jej miernik. Co więcej, utrata przez bank reputacji jest szkodą

dotykająca najważniejszego elementu jego relacji z klientem – zaufania.

Stąd też niezwykle istotne jest, by usługodawca dawał rękojmię należytego,

pewnego i długotrwałego wykonywania powierzonych czynności. W szczególności,

zarząd banku powinien mieć pewność, że insourcer jest w dobrej kondycji finansowej

oraz że posiada odpowiednio wykwalifikowany personel umożliwiający świadczenie

usług na poziomie satysfakcjonującym bank i jego klientów. Ważną rolę w tym

względzie pełnią także mechanizmy stałej kontroli insourcera przez bank.

Należy zauważyć, że z ustawowego zakazu wyłączenia lub ograniczenia

odpowiedzialności insourcera nie można wysnuwać wniosku, że na podstawie art. 6b

ust. 1 pr. bank. jego odpowiedzialność jest nieograniczona. Jest on zobligowany do

naprawienia szkody, zatem rekompensata następuje do wysokości tej szkody.

Obejmuje ona przy tym, co do zasady, zarówno straty poniesione przez

poszkodowanego, jak i korzyści, które mógłby osiągnąć, gdyby szkody mu nie

wyrządzono (art. 361 § 2 k.c.).

3.3.6.2. Możliwość rozszerzenia odpowiedzialności insourcera

Przepisy ustawy – Prawo bankowe ograniczają swobodę kształtowania

odpowiedzialności jedynie jednostronnie, wyznaczając minimalne wymagania. Nic

nie stoi natomiast na przeszkodzie, ażeby strony rozszerzyły jej zakres. Podstawą

normatywną jest tu art. 473 § 1 k.c. Zgodnie z jego brzmieniem, dłużnik (tu:

insourcer) może przez umowę przyjąć odpowiedzialność za niewykonanie lub

nienależyte wykonanie zobowiązania z powodu oznaczonych okoliczności, za które

odpowiedzialności z mocy ustawy nie ponosi. W szczególności może zgodzić się na

odpowiedzialność na zasadzie ryzyka. Można też wskazać w umowie, że

usługodawca ma odpowiadać za niewykonanie zobowiązania z powodu ściśle

określonych okoliczności przypadkowych, a nawet za vis maior.

125

T. Wiśniewski, [w:] Komentarz do kodeksu cywilnego. Ksiega trzecia. Zobowiązania. Tom 1, pod

red. G. Bieńka, LexisNexis, Warszawa 2005, s. 563-564.

3.3.6.3. Kary umowne

W praktyce często spotykane jest zastrzeganie przez strony umowy

outsourcingowej kar umownych. Są one rodzajem sankcji cywilnoprawnej na

wypadek niewykonania lub nienależytego wykonania zobowiązania (art. 483 k.c.).

Pełnią przy tym funkcję odszkodowawczą, jako że mają na celu naprawienie

szkody.

126

Przy tym, mimo że obowiązek zapłaty kary umownej wiąże się częstokroć

z zawinieniem działania przez usługodawcę, możliwa jest taka konstrukcja, że

obowiązek jej zapłaty powstawać będzie w przypadku samego faktu niewykonania

zobowiązania. Ta druga sytuacja stanowi istotne ułatwienie dla banku, jako że będzie

on zwolniony z udowadniania winy podmiotu zewnętrznego.

127

Kara umowna może zostać zastrzeżona wyłącznie w odniesieniu do

zobowiązania niepieniężnego (zobowiązanie insourcera jest takim ze swej natury) i

może obejmować trzy grupy zdarzeń:

niewykonanie zobowiązania,

nienależyte wykonanie zobowiązania w ogólności,

konkretne uchybienie w zakresie sposobu wykonania zobowiązania.

Warto także zwrócić uwagę na fakt, iż co do zasady, kara umowna należy się

wierzycielowi w zastrzeżonej w umowie wysokości bez względu na wysokość

rzeczywiście poniesionej szkody (art. 484 § 1 k.c.). W momencie zaś zawierania

umowy nie sposób dokładnie przewidzieć wielkości ewentualnych szkód. Stąd też

bank powinien zwrócić szczególną uwagę na to, by w kontrakcie znalazły się

postanowienia umożliwiające dochodzenie odszkodowania w zakresie niepokrytym

karą umowną. Dopuszcza to wskazany przepis.

Wysokość kary może być ustalona w różny sposób. Może być określona

kwotowo jako konkretna suma pieniężna, jak również procentowo w relacji do kwoty

kontraktu. Korzystne wydaje się również odniesienie jej do poziomu świadczonych

usług przez podmiot zewnętrzny. W tej sytuacji kwota kary stanowić będzie określony

procent wynagrodzenia w zależności od tego, w jakim zakresie usługodawca spełnia

126

Ibidem, s. 583-588.

127

M. Paltynowicz, M. Jakubisiak, Outsourcing w aspekcie praktycznym, Prawo Spółek 11/2000, s.

34-35.

standardy przewidziane w SLA. Insourcer otrzyma wówczas wynagrodzenie

pomniejszone o kwotę naliczonej kary.

3.3.6.4. Ubezpieczenie odpowiedzialności cywilnej insourcera

Umowne ukształtowanie zasad odpowiedzialności podmiotu zewnętrznego nie

gwarantuje jeszcze zaspokojenia roszczeń odszkodowawczych banku. Stąd też

istotne jest posiadanie przez zleceniobiorcę polisy ubezpieczenia odpowiedzialności

cywilnej z tytułu świadczonych usług. Skutkuje to przeniesieniem na zakład

ubezpieczeń ryzyka związanego z ewentualną wypłatą odszkodowania i

uniezależnienie jej od wypłacalności podmiotu zewnętrznego.

128

Wskazany jest przy tym wpływ banku na następujące kwestie związane z

zawarciem umowy ubezpieczeniowej:

wybór zakładu ubezpieczeń,

suma gwarancyjna,

okres ubezpieczenia,

zakres umowy ubezpieczeniowej,

ograniczenia odpowiedzialności zakładu ubezpieczeń.

Powinny one być przedmiotem postanowień umowy outsourcingowej.

3.3.6.5. Bezpieczeństwo tajemnicy przedsiębiorstwa

Niezwykle istotna w praktyce outsourcingowej jest kwestia zapewnienia

bezpieczeństwa danych stanowiących tajemnicę przedsiębiorstwa. Z samej bowiem

natury omawiane przedsięwzięcie wiąże się z dostępem do poufnych informacji. W

szczególności chodzi o

129

dane dotyczące personelu zleceniodawcy,

poufne informacje komercyjne,

informacje mające wpływ na cenę akcji outsourcera,

poufne informacje dotyczące insourcera, do których usługobiorca życzy sobie

uzyskać dostęp.

128

Ibidem, s. 35-36.

129

Ch.L. Gay, J. Essinger, Outsourcing..., s. 115-116.

Obowiązek

zachowania

poufności

dotyczy

zatem

obu

stron

kontraktu

outsourcingowego i powinien być w nim jasno określony.

Obok ogólnych zasad wynikających z kodeksu cywilnego omawiana kwestia

jest przedmiotem regulacji przepisów szczególnych. Uwagi zwłaszcza wymaga

ochrona tajemnicy przedsiębiorstwa określona ustawą o zwalczaniu nieuczciwej

konkurencji

130

. Zgodnie z art. 11 ust. 1 tej ustawy, przekazanie, ujawnienie lub

wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich

nabycie od osoby nieuprawnionej – jeśli zagraża to istotnym interesom

przedsiębiorcy – stanowi czyn nieuczciwej konkurencji. Tajemnica przedsiębiorstwa

jest tu rozumiana jako nie ujawnione do wiadomości publicznej informacje

techniczne, technologiczne, handlowe lub organizacyjne przedsiębiorstwa, co do

których przedsiębiorca podjął niezbędne działania w celu zachowania poufności (art.

11 ust. 4 u.z.n.k.).

Na mocy tej ustawy ochrona wskazanych informacji odbywa się na drodze

cywilnoprawnej i prawno-karnej. Mianowicie, w razie stwierdzenia przez stronę (bank

lub insourcera) dokonania czynu nieuczciwej konkurencji, druga strona – zgodnie z

art. 18 ust. 1 u.z.n.k. – może żądać:

zaniechania niedozwolonych działań,

usunięcia skutków niedozwolonych działań,

złożenia jednokrotnego lub wielokrotnego oświadczenia odpowiedniej treści i

w odpowiedniej formie,

naprawienia, na zasadach ogólnych, wyrządzonej szkody,

wydania, na zasadach ogólnych, bezpodstawnie uzyskanych korzyści,

zasądzenia odpowiedniej sumy pieniężnej na określony cel społeczny

związany ze wspieraniem kultury polskiej lub dziedzictwa narodowego – jeśli

czyn nieuczciwej konkurencji był zawiniony.

Dopełnieniem wskazanych środków jest sankcja karna przewidziana w art. 23

ust. 1 u.z.n.k. Zgodnie z jego brzmieniem, ten, kto wbrew ciążącemu na nim

obowiązkowi w stosunku do przedsiębiorcy, ujawnia innej osobie lub wykorzystuje we

własnej działalności gospodarczej informacje stanowiące tajemnicę przedsiębiorstwa

130

Ustawa z dnia 16 kwietnia 1993 r. (tekst jedn. Dz.U. z 2003 r. Nr 153, poz. 1503 z późn. zm.), dalej

jako: u.z.n.k.

– jeśli wyrządza to szkodę przedsiębiorcy – podlega grzywnie, karze ograniczenia

wolności albo pozbawienia wolności do lat 2.

3.3.7. Kontrola i nadzór nad realizacją umowy outsourcingowej

Realizacja przez banki umowy outsourcingowej znajduje się w sferze

zainteresowania nadzoru bankowego. Jest to oczywiście zasadne, jeśli zważyć na

podstawowy cel nadzoru – zapewnienie bezpieczeństwa funkcjonowania banków.

Podejmując się realizacji przedsięwzięcia outsourcingowego, bank staje przed

koniecznością określenia i wdrożenia odpowiednich zasad zarządzania nim.

Zadaniem zaś nadzorcy jest czuwanie, by nie naraziło to bezpieczeństwa

zdeponowanych w nim środków.

Z tego względu nadzorca bankowy, na mocy przepisów ustawy – Prawo

bankowe, został wyposażony w odpowiednie środki, mające zagwarantować

realizację przedsięwzięć outsourcingowych w należyty sposób. Są one

zorganizowane w dwustopniową strukturę, obejmującą środki kontroli oraz

instrumenty nadzoru.

3.3.7.1. Środki kontroli

rodki kontroli, którymi dysponuje organ nadzoru, reprezentują zasadniczo

model kontroli faktycznej – stosowane są w trakcie trwania umowy outsourcingowej.

Jest to o tyle zasadne, że dopiero na tym etapie jej realizacji istnieje możliwość

zweryfikowania, czy zostały spełnione warunki określone w art. 6c ust. 1 pr. bank.

I tak, przede wszystkim bank jest obowiązany zawiadomić nadzór w terminie

14 dni o każdej zmianie, rozwiązaniu lub wygaśnięciu umowy outsourcingowej (art.

6c ust. 2 pr. bank.). Ponadto, w ramach postępowania kontrolnego nadzorca może

żą

dać od banku, zgodnie z art. 6c ust. 3 pr. bank., w szczególności:

przedstawienia kopii zawartej umowy,

złożenia wyjaśnień dotyczących zawartej umowy,

przedstawienia planu awaryjnego i planu utrzymania ciągłości działania,

przedstawienia dokumentów określających status przedsiębiorcy lub

przedsiębiorcy zagranicznego, z którym bank zawarł umowę,

dostarczenia opisu rozwiązań technicznych i organizacyjnych, zapewniających

bezpieczne i prawidłowe wykonywanie powierzonych czynności, w

szczególności ochronę tajemnicy bankowej.

Przykładowe wyliczenie oznacza, że nadzorca bankowy może użyć także innych

rodków, w ramach kompetencji przyznanych mu przez inne przepisy prawa

bankowego.

Uprawnienia kontrolne organu nadzoru nie ograniczają się wyłącznie do

banku. Umowa outsourcingowa powinna zapewnić temu organowi wykonywanie

efektywnego nadzoru nad jej realizacją, a zatem i w stosunku do podmiotu

zewnętrznego.

Ponadto, celowi temu służy ustawowe uznanie insourcera za podmiot

posiadający bliskie powiązania z bankiem (art. 6c ust. 7 pr. bank.). Rozwiązanie to

eliminuje konieczność każdorazowego przeprowadzania postępowania przed

organem nadzoru w celu stwierdzenia występowania bliskich powiązań (art. 4a ust. 1

pr. bank.). Należy stwierdzić, że takie rozwiązanie odpowiada charakterowi relacji

między bankiem a usługodawcą. Konsekwencją powyższego jest rozciągniecie

stosowania przepisów dotyczących nadzoru skonsolidowanego również na

działalność insourcera.

Oznacza to, że:

Biegli rewidenci, badający sprawozdanie finansowe insourcera, mają

obowiązek niezwłocznego powiadomienia nadzoru o ujawnionych faktach

wskazujących

na:

popełnienie

przestępstwa,

naruszenie

przepisów

regulujących działalność banku, naruszenie zasad dobrej praktyki bankowej

lub inne zagrożenie interesów klientów banku, istnienie przesłanek do

wyrażenia opinii negatywnej na temat sprawozdania finansowego insourcera

lub odmowy wyrażenia tej opinii (art. 136 ust. 1 w zw. z art. 6c ust. 7 pr.

bank.).

Obowiązek banku przekazania nadzorcy bankowemu także sprawozdania

finansowego insourcera (jeśli sprawozdanie to nie zostało ujęte w

skonsolidowanym sprawozdaniu finansowym banku-outsourcera). Powinno to

nastąpić niezwłocznie, nie później jednak niż w terminie 30 dni od daty, w

której nastąpiło jego zatwierdzenie przez właściwy organ outsourcera.

Sprawozdanie to przekazuje się wraz z opinią i raportem biegłego rewidenta.

Organ nadzoru może, na uzasadniony wniosek banku, zwolnić go z

omawianego obowiązku lub ograniczyć jego zakres. Ponadto, omawianych

zasad nie stosuje się do insourcerów, którzy zgodnie z przepisami o

rachunkowości nie są zobowiązani do sporządzania skonsolidowanych

sprawozdań finansowych. (art. 141g w zw. z art. 6c ust. 7 pr. bank)

Możliwość wykonywania przez inspektorów nadzoru bankowego lub inne

osoby upoważnione czynności kontrolnych u insourcera (art. 141h ust. 1 w zw.

z art. 6c ust. 7 pr. bank.).

Możliwość żądania przez organ nadzoru od banku zlecenia niezależnemu

biegłemu rewidentowi zbadania sytuacji finansowej insourcera, w przypadku

gdy w ocenie nadzorcy istnieją wątpliwości co do rzetelności zatwierdzonych

sprawozdań lub gdy konieczne jest zbadanie związku gospodarczego z innym

podmiotem. Jednakże gdyby w wyniku tego badania nie stwierdzono

wątpliwości, jego koszty ponosi Narodowy Bank Polski. (art. 141h ust. 3 i 4 w

zw. z art. 6c ust. 7 pr. bank.)

Wskazane wyżej środki służą uzyskaniu przez organ nadzoru bankowego

informacji odnoszących się do legalności działalności insourcera, a także jego

sytuacji finansowo-ekonomicznej. Jest to konieczne dla zweryfikowania przez

nadzór, czy nie zachodzą przesłanki uzasadniające zastosowanie przez nią środków

nadzorczych.

3.3.7.2. Środki nadzorcze

Nadzór nad działalnością outsourcingową banku nie jest dokonywany

wyłącznie w oparciu o kryterium legalności, ale ma także charakter merytoryczny.

wiadczy o tym katalog przesłanek, których stwierdzenie upoważnia organ nadzoru

do zastosowania środków nadzoru. Zgodnie z art. 6c ust. 4 pr. bank, są nimi:

zagrożenie ostrożnego i stabilnego zarządzania bankiem,

utrata przez podmiot zewnętrzny będący stroną umowy wymaganych

uprawnień niezbędnych do wykonywania powierzonych czynności.

Katalog ten ma charakter zamknięty. Do zastosowania zaś środków nadzoru

wystarczające jest wystąpienie jednej z nich.

Przechodząc do przedstawienia katalogu środków nadzoru, należy zauważyć

na wstępie, że organ nadzoru może je kierować z mocy ustawy jedynie do banku.

Charakterystyczna jest także ich dwustopniowość.

I tak, w pierwszej kolejności, w razie stwierdzenia okoliczności wskazanych w

art. 6c ust. 4 pr. bank., nadzór nakazuje bankowi podjęcie działań zmierzających do

zmiany lub rozwiązania umowy z insourcerem. Stanowi to sytuację wyjątkową w

odniesieniu do przewidzianej w art. 138 ust. 7 pr. bank. zasady, że środki nadzoru o

charakterze administracyjnym stosowane przez organ nadzoru bankowego nie mogą

naruszać umów zawartych przez bank.

Przedmiotowy nakaz kierowany jest do banku w drodze decyzji

administracyjnej. Jak się podnosi w literaturze

131

, jej treść, zgodnie z zasadą

proporcjonalności, winna być adekwatna do stwierdzonych naruszeń i odnosić się

bezpośrednio do określonych postanowień umowy, w przypadku gdy nakaz dotyczy

jej zmiany. Dodatkowym elementem takiej decyzji powinno być wyznaczenie terminu

na podjęcie działań zmierzających do wykonania nakazu.

Od powyższej decyzji bankowi przysługuje prawo wniesienia skargi do sądu

administracyjnego w terminie 14 dni od dnia doręczenia decyzji. Wniesienie skargi

nie wstrzymuje jednak jej wykonania. Ponadto, wyłączona została możliwość

wniesienia przez bank wniosku do nadzoru o ponowne rozpatrzenie sprawy. (art. 6c

ust. 5 pr. bank.)

Dalej, jeśli bank w wyznaczonym terminie nie doprowadzi do zmiany lub

rozwiązania umowy outsourcingowej, nadzorca może, bez konieczności uprzedniego

pisemnego upomnienia, zastosować środki o charakterze sankcyjnym (art. 6c ust. 6

pr. bank.). Należą do nich:

możliwość wystąpienia do właściwego organu banku z wnioskiem o odwołanie

prezesa,

wiceprezesa

lub

innego

członka

zarządu

bezpośrednio

odpowiedzialnego za stwierdzone nieprawidłowości,

możliwość zawieszenia w czynnościach prezesa, wiceprezesa lub innego

członka

zarządu

bezpośrednio

odpowiedzialnego

stwierdzone

nieprawidłowości do czasu podjęcia uchwały w sprawie wniosku o ich

odwołanie przez radę nadzorczą na najbliższym posiedzeniu,

131

M. Swora, Outsourcing bankowy..., s. 14.

możliwość ograniczenia zakresu działalności banku lub jego jednostek

organizacyjnych,

możliwość nałożenia na bank kary finansowej w wysokości do miliona złotych,

możliwość uchylania zezwolenia na utworzenie banku i podjęcie decyzji o jego

likwidacji.

Należy podkreślić, że wskazane środki nalezą do bardzo dotkliwych. Stąd też

ich zastosowanie i wymiar powinny być adekwatne do stwierdzonych naruszeń. Są

one wymierzane na podstawie decyzji administracyjnej, podlegającej zaskarżeniu w

trybie art. 11 ust. 2 pr. bank.

3.4. Zakończenie relacji outsourcingowej. Strategia wyjścia.

Zagadnieniem nie mniejszej wagi niż odpowiednie przygotowanie banku do

przedsięwzięcia outsourcingowego i jego realizacja jest zakończenie tejże relacji.

Należyta troska o rozwiązanie współpracy z insourcerem pozwoli uniknąć zarówno

ryzyka strategicznego, jak i operacyjnego. Z jednej strony bowiem, zapobiegnie

utknięciu w niesatysfakcjonującej relacji, z drugiej zaś, umożliwi sprawne z niej

wyjście w razie nienależytego czy zagrażającemu bezpieczeństwu działalności

bankowej wykonywania przez usługodawcę powierzonych czynności.

Zakończenie współpracy outsourcingowej winno mieć umocowanie w polityce

banku i być ujęte w formie strategii wyjścia (ang. exit strategy), stanowiącej

integralną cześć kontraktu. Strategia wyjścia ma na celu przede wszystkim

identyfikację możliwych ryzyk, określenie potencjalnych strat oraz zapewnienie

ciągłości działalności banku w zakresie powierzanych usług. Rozstrzyga także o

przeznaczeniu czynności wykonywanych przez dotychczasowego kontrahenta – o

tym, czy bank włączy je z powrotem w ramy własnego przedsiębiorstwa, czy

ponownie zleci ich wykonywanie.

Do najistotniejszych kwestii strategii wyjścia należy zatem zaliczyć

132

Okoliczności zakończenia umowy. Wymienić tu trzeba: upływ terminu,

nastąpienie określonych okoliczności uzasadniających jej rozwiązanie,

132

BITS Key Contractual Considerations for Developing an Exit Strategy, May 2005, s. 1-3.

porozumienie stron. Niezwykle istotne jest również zapewnienie możliwości

wypowiedzenia umowy w razie, gdy żądać tego będzie nadzorca.

Zapewnienie przez bank należytego poziomu świadczenia usług przez

dotychczasowego partnera w okresie przejściowym, do czasu definitywnego

zakończenia relacji. Przede wszystkim chodzi o zobligowanie usługodawcy do

utrzymywania standardów określonych w SLA, jak i stosowania się do innych

postanowień umowy.

Bezpieczeństwo i poufność danych. Istotne jest w tym zakresie jest

zapewnienie, by przekazywane bankowi przez insourcera informacje związane

z wykonywanymi przez niego usługami, obejmowały również dane dotyczące

klientów tych usług. Powinna ponadto być przewidziana metoda zniszczenia

bądź

usunięcia

przez

insourcera

danych

stanowiących

tajemnicę

przedsiębiorstwa banku.

Dokumentacja i transfer wiedzy. Bank powinien zagwarantować sobie prawo

do nabycia od zleceniobiorcy określonych dóbr, licencji czy oprogramowania

niezbędnych do dalszego wykonywania czynności. Ponadto, ważne jest

uzyskanie od insourcera dostępu do wszystkiego, co będzie niezbędne do

utrzymania usługi. Należy też przewidzieć i określić poziom świadczenia przez

podmiot zewnętrzny dodatkowych usług w związku z zakończeniem relacji

(np. szkolenia pracowników banku lub nowego usługodawcy).

Koszty. Przede wszystkim bank powinien ukształtować umowę w sposób

wyłączający jego odpowiedzialność za zerwanie umowy z przyczyn przez

niego niezawinionych. Istotne jest również określenie wynagrodzenia za

wszelkie czynności związane z zakończeniem przedsięwzięcia. Cenne mogą

okazać się także takie postanowienia, które będą zachęcały usługodawcę do

współpracy w ramach realizacji strategii wyjścia.

Personel. W tym względzie bank powinien mieć prawo do zatrudnienia

pracowników insourcera, którzy bezpośrednio wykonywali zleconą czynność.

Powinien ponadto zagwarantować, że osoby zaangażowane w outsourcing na

rzecz banku, będą pracować przy nim aż do definitywnego zakończenia

relacji. Wreszcie ważne jest, ażeby przewidzieć powołanie specjalnego

zespołu zarządzającego realizacją strategii wyjścia.

Rozdział 4.

Podsumowanie

W niniejszej pracy zaprezentowane zostało zagadnienie outsourcingu w

bankowości. Miała ona na celu przedstawienie tego przedsięwzięcia w kontekście

zarządzania ryzykiem w banku. Udowodniono, że ze względu na szczególne ryzyka

związane z tą koncepcją prowadzenia przedsiębiorstwa, niezbędne dla

bezpieczeństwa działalności bankowej jest stosowanie określonych środków ich

minimalizacji. Przedmiotowe rozważania zorganizowane były w trzech częściach.

W pierwszej kolejności, przedstawiono ogólne wiadomości dotyczące

outsourcingu. Wskazano jego znaczenie oraz istotę – zarówno z punktu widzenia

ekonomii i zarządzania, jak i prawa. Zasygnalizowano kwestię motywacji oraz

korzyści i zagrożeń wiążących się z tą strategią biznesową. Zaprezentowano

wreszcie – ogólny obraz wykorzystywania zasobów podmiotów zewnętrznych w

prowadzeniu działalności bankowej.

Dalsze rozważania koncentrowały się wokół ryzyk związanych z

wykorzystywaniem omawianej techniki zarządzania przez banki. Przedstawione

zostały w szerszej perspektywie – jako element ryzyka związanego z działalnością

bankową w ogóle. Stąd też w niniejszej pracy znalazły się wywody odnoszące się do

natury ryzyka bankowego, jego rodzajów oraz konieczności i istoty zarządzania nim.

Należy bowiem pamiętać, że ryzyka outsourcingowe nie pozostają w stosunku do

niego w izolacji, ale poszerzają je o dodatkowe charakterystyki uwarunkowane

specyfiką relacji między bankiem a insourcerem. Nie ulega wątpliwości, że sytuacja

ta stanowi czynnik istotnie wpływający na poziom bezpieczeństwa funkcjonowania

banku.

Konieczne jest przeto podejmowanie właściwych środków mających na celu

redukcję wskazanych ryzyk. Minimum w tym zakresie określił ustawodawca,

poddając przedmiotowe zagadnienie regulacji ustawowej. Niemniej jednak,

przeważający ciężar spoczywa na banku, który jako przedsiębiorca powinien być

zainteresowany takim ukształtowaniem relacji outsourcingowej, ażeby nie dotknęła

ona negatywnie jego klientów.

Trzecia – zasadnicza – część niniejszej rozprawy poświęcona była prezentacji

rodków, jakimi dysponuje bank w celu zminimalizowania ryzyka outsourcingowego.

Zostały one ujęte w ramach procesu zarządzania przedsięwzięciem. Można w nim

wyróżnić fazę przedkontraktową (przygotowawczą), fazę realizacji umowy oraz fazę

zakończenia współpracy. Dla każdej z nich wskazano najważniejsze zagrożenia i

instrumenty ich uniknięcia. Ponadto, wyróżnione zostało zagadnienie kontraktu

outsourcingowego jako najistotniejszego narzędzia efektywnego zarządzania

współpracą z podmiotem zewnętrznym.

Przedmiot powyższych rozważań stanowiły przede wszystkim kwestie

praktyczne, przed jakimi bank może stanąć w miarę rozwoju relacji z usługodawcą.

Byłyby one przy tym niepełne, w razie nieuwzględnienia materii regulowanej w

szczególności przez Prawo bankowe oraz inne ustawy. Problematyka ta stanowiła

uzupełnienie głównego nurtu dociekań.

Na podstawie powyższych wywodów wskazać można najistotniejsze elementy

wpływające

bezpieczeństwo

realizowanych

przez

bank

projektów

outsourcingowych. Są to:

traktowanie przedsięwzięcia w kategoriach strategicznych, znajdujące wyraz w

należytym przeprowadzeniu etapu koncepcyjno-planistycznego,

staranny wybór partnera,

wszechstronna, precyzyjnie sformułowana umowa outsourcingowa jako

podstawa proaktywnego zarządzania relacją,

jednoznaczne określenie odpowiedzialności insourcera,

zapewnienie przez bank nieograniczonej kontroli wewnętrznej usługodawcy w

zakresie realizowanej umowy,

zapewnienie przez bank możliwości sprawowania efektywnego nadzoru

bankowego nad zleceniobiorcą w zakresie realizowanej umowy.

Powyższe wymogi mają na celu ukształtowanie relacji z insourcerem w taki

sposób, ażeby odpowiadała szczególnej charakterystyce banku. Jest on bowiem,

jako instytucja zaufania publicznego, zobligowany do należytej troski o

bezpieczeństwo prowadzonej przez siebie działalności.

Załącznik 1.

Usługi w zakresie zapewnienia ciągłości działania i planów awaryjnych na

przykładzie oferty Hewlett-Packard

Przykład usług zmierzających do zapewnienia ciągłości działania i środowiska

zapasowego w zakresie technologii informatycznych stanowi oferta firmy Hewlett-

Packard.

133

Jest ona ukierunkowana na ograniczenie ryzyka operacyjnego poprzez

znaczące zmniejszenie możliwości wystąpienia przerw w działalności i utrzymanie

ciągłości krytycznych procesów biznesowych. Składają się na nią dwa główne

moduły:

1. HP B usiness Continu ity Cons ult ing S ervices. W tym zakresie HP

zapewnia outsourcerowi kompleksowe usługi doradcze, obejmujące fazę

koncepcyjną, wdrożeniową i zarządczą.

Faza analityczna ma na celu sprecyzowanie wymagań klienta i pomoc w

opracowaniu najbardziej odpowiedniej strategii zapewnienia ciągłości działania.

Proponowane tu usługi polegają na:

Business Continuity Assessment – jest to gruntowna ocena

funkcjonującego u klienta programu zapewnienia ciągłości działania i

rodowiska IT pod kątem bezpieczeństwa służąca wypracowaniu propozycji

ich ulepszenia.

Business Impact Analysis – obejmuje identyfikację procesów kluczowych

dla utrzymania ciągłości działania, identyfikację – w ujęciu ilościowym i

jakościowym – skutków przerw w działalności, a także określenie celów planu

zapewnienia ciągłości działania.

Risk Assessment – polega na wskazaniu czynników i uwarunkowań

stanowiących zagrożenie dla ciągłości procesów biznesowych, określenie ich

prawdopodobieństwa i możliwych skutków oraz na wypracowaniu na tej

podstawie planów postępowania.

133

Broszura HP Business Continuity and Recorvery Services, March 2007.

Faza wdrożeniowa składa się z działań mających na celu zaprojektowanie i

wprowadzenie strategii utrzymania ciągłości działania. Usługi w tym zakresie

obejmują:

Business Continuity Infrastructure Design and Implementation –

zapewnienie szczegółowego projektu (opartego na uprzednio opracowanych

celach, strategii i scenariuszach utrzymania ciągłości funkcjonowania) i

wdrożenie infrastruktury technologicznej niezbędnej do odzyskania utraconych

czy zniszczonych zasobów oraz kontynuowania procesów opartych o

technologię informatyczną.

Business Continuity Plan Developement – polega na przygotowaniu

dostosowanego do indywidualnych potrzeb klienta planu ciągłości działania,

uwzględniającego zasoby ludzkie, technologiczne i procesy wymagane do

kontynuowania krytycznych funkcji biznesowych w razie awarii czy katastrofy.

Faza zarządcza skupia się na utrzymaniu planu działania w zgodności z

wymaganiami i celami biznesowymi klienta po jego wdrożeniu. W tym zakresie HP

proponuje:

Business Continuity Program Management – obejmuje on okresowe

testowanie planów działania, ich aktualizację oraz szkolenia dla personelu.

2. HP Business Recover y and Data Continuity Services. Polega na

wspieraniu klienta w zapewnieniu ciągłości działania w razie wystąpienia awarii czy

katastrofy. W skład tego modułu wchodzą:

Business Recovery Services for the Data Center – polegające na

zapewnieniu zapasowego centrum przetwarzania danych. Może ono być

zlokalizowane zarówno w ramach zasobów HP, jak i w innym wskazanym

przez klienta miejscu. HP dokłada przy tym starań, by systemy klientów nie

były ze sobą powiązane, a użytkowane sieci – geograficznie wystarczająco od

siebie oddalone.

Business Recovery Services for the Office – służą zapewnieniu

rodowiska zapasowego w zakresie przestrzeni biurowej, call center czy

bezpośredniej obsługi klienta. Środowisko to obejmuje w szczególności pełne

wyposażenie biur oraz recepcji (komputery, infrastruktura telekomunikacyjna),

jak również wsparcie odpowiednio wyszkolonego personelu.

Data Continuity Services – w tym obszarze HP oferuje między innymi:

Zapewnienie bezpieczeństwa danych tak w centrali klienta, jak i w

rozproszonych jednostkach organizacyjnych, poprzez umożliwienie ich

transferu do alternatywnych lokalizacji (El ect roni c Vaulti ng),

Zaprojektowanie

wdrożenie

odpowiedniej

infrastruktury

minimalizującej

skutki

awarii

czy

katastrof,

zakładającej

szczególności podział danych klienta i przechowywanie ich w dwóch

niezależnych

centrach

(Disast er

T olerant

D esi g n

and

Implement at ion),

Fizyczne utrzymywanie i zarządzanie (całością lub częścią)

infrastruktury zapewniającej ciągłość działania klienta (Manag ed

Disast er T oler ant S erv ice),

Zapewnienie bieżącego wsparcia w zakresie funkcjonowania rozwiązań

w zakresie ciągłości działania (Dat a C onti nuity S ol uti on C ent er).

Bibliografia

Literatura

R. Aron, E.K. Clemons, S. Reddi, Just Right Outsourcing: Understanding and

Mitigating Risk, Journal of Management Information Systems, Fall 2005, Vol.

22, No. 2.

C.W. Axelrod, Outsourcing Information Security, Artech House, Inc., Boston-London,

2004.

P. Babiarz, Dopuszczalność zlecania przez bank wykonywania niektórych czynności

podmiotom zewnętrznym, Monitor Prawniczy 10/2000.

P. Babiarz, Udostępnianie przez bank danych klientów, Monitor Prawniczy 5/2001.

Bankowość. Podręcznik akademicki, pod red. W.L. Jaworskiego i Z. Zawadzkiej,

Poltext, Warszawa 2005.

J. Byrski, Tajemnica bankowa a outsourcing działalności bankowej. Rozważania na

tle

powierzenia

przez

bank

czynności

dotyczących

technologii

informatycznych, Przegląd Ustawodawstwa Gospodarczego 4/2006.

R.L. Click, T.N. Duening, Business Process Outsourcing. The Competitive

Advantage, John Wiley & Sons, Inc., 2005.

T. Czech, A. Werner, Outsourcing działalności bankowej wykonywany poza

granicami Polski w świetle Traktatu o utworzeniu Wspólnoty Europejskiej,

Przegląd Ustawodawstwa Gospodarczego 11/2005.

T. Czech, Powołanie agenta konsorcjum kredytowego w świetle przepisów o

outsourcingu czynności bankowych, Monitor Prawniczy 4/2005.

T. Czech, Zastosowanie art. 6a-6d Prawa bankowego do oddziałów instytucji

kredytowych, cz. 1 i 2, Prawo Bankowe 7-8 i 9/2005.

T. Dukiet-Nagórska, Rodzaje umów outsourcingowych zawieranych przez banki,

Prawo Bankowe 11/2004.

T. Dukiet-Nagórska, Uprawnienie banków do korzystania z usług firm

windykacyjnych, Prawo Bankowe 11/2002.

Forum Outsourcingu, Analiza prawna i biznesowa Ustawy – Prawo bankowe.

Ch.L. Gay, J. Essinger, Outsourcing strategiczny. Koncepcja, modele i wdrażanie,

Oficyna Ekonomiczna, Kraków 2002.

P. Gottschalk, H. Stolli-Staether, Managing Successful IT Outsourcing Relationships,

IRM Press, 2006.

J.H. Górka, Specyfika ryzyka w bankowości elektronicznej, Materiały i Studia Zeszyt

205, NBP, IV 2006.

J.K. Halvey, B.M. Melby, Information Technology Outsourcing Transactions. Process,

Strategies and Contracts, John Wiley & Sons, Inc., 2005.

R. Juchno, R.W. Kaszubski, Outsourcing w działalności bankowej, Glosa 6/2001.

R. Juchno, R.W. Kaszubski, Outsourcing wybranych czynności bankowych, Glosa

8/2001.

R. W. Kaszubski, Funkcjonalne źródła prawa bankowego publicznego, Wolters

Kluwer, Kraków 2006.

R. W. Kaszubski, Outsourcing w banku, Glosa 9/2002.

A. Kidyba, Prawo handlowe, C.H. Beck, Warszawa 2005.

J. Klosek, Data Privacy and Security Are a Significant Part of the Outsourcing

Equation, Intellectual Property & Technology Law Journal, Jun. 2005, Vol. 17

No. 6.

K. Kohutek, Komentarz do art. 6a-6d [w:] Prawo bankowe. Komentarz, Tom I, pod

red. F. Zolla Zakamycze 2005.

M. Krzysztofek, Outsourcing a tajemnica bankowa. Stan aktualny i postulaty de lege

ferenda, Prawo Bankowe 9/2003.

P. Matkowski, Zarządzanie ryzykiem operacyjnym, Wolters Kluwer, Kraków 2006.

R. McIvor, Strategic Outsourcing: Lessons from a Systems Integrator, Business

Strategy Review, 2000, Vol. 11 Iss. 3.

T.W. Nagel, M.T. Murphy, Structuring Technology Outsourcing Relationships:

Customer Concerns, Strategies and Processes, International Journal of Law

and Information Technology, Vol. 4 No. 2.

M. Olszak, Outsourcing w działalności bankowej, LexisNexis, Warszawa 2006.

M. Olszak, Powierzanie przez bank podmiotom zewnętrznym wykonywania

czynności związanych z działalnością bankową (outsourcing) w świetle

przepisów znowelizowanej ustawy – Prawo bankowe – wybrane zagadnienia,

Przegląd Ustawodawstwa Gospodarczego 7/2004.

M. Pałtynowicz, M. Jakubisiak, Outsourcing w aspekcie praktycznym, Prawo Spółek

11/2000.

A. Rychter, O dopuszczalności outsourcingu procesu windykacji należności

bankowych w świetle przepisów prawa bankowego, Prawo Bankowe 2/2005.

B. Smykla, Dostęp do tajemnicy bankowej, Glosa 10/2001.

B. Smykla, Outsourcing i tajemnica bankowa w znowelizowanym Prawie bankowym,

[w:] Nowe regulacje bankowe, NBP 2004.

B. Smykla, Prawo bankowe. Komentarz, C. H. Beck, Warszawa 2005.

B. Smykla, Prawo, outsourcing i windykacje, Gazeta Bankowa 11/2004.

B. Smykla, Wybrane obszary regulacji o charakterze publicznoprawnym, Prawo

Bankowe 5/2004.

B. Smykla, Wykorzystanie outsourcingu w działalności banków w świetle przepisów

prawa bankowego. Stan obecny i postulowane kierunki zmian, Prawo

Bankowe 12/2002.

M. Spyra, A. Wacławik, Regulacje outsourcingu czynności bankowych w wybranych

systemach prawnych – uwagi porównawcze na tle art. 6a-d projektu

nowelizacji prawa bankowego, Prawo Bankowe 11/2003.

M. Swora, Outsourcing bankowy w świetle znowelizowanych przepisów prawa

bankowego, Glosa 7/2004.

E. Szkic-Czech, Możliwości powoływania sojuszy outsourcingowych; rzecz o

granicach dopuszczalności stosowania outsourcingu, [w:] Informatyka w

bankowości i finansach, pod red. F. Mareckiego i J. K. Grabary, PTI, Katowice

2005.

E. Szkic-Czech, Sojusze outsourcingowe – źródła zagrożeń i porażek, PTI, Szcyrk

2005.

W.A. Tanenbaum, Why Combining Force Majeure and Disaster Recovery Provisions

Makes Sense, Intellectual Property & Technology Law Journal, Oct. 2006, Vol.

18 No. 10.

I. Tho, Managing the Risks of IT Outsourcing, Elsevier Butterworth-Heinemann,

2005.

M. Trocki, Outsourcing. Metoda restrukturyzacji działalności gospodarczej, PWE,

Warszawa 2001.

A. D. Vereshack, A Practical Guide to Outsourcing Agreements, LexisNexis Canada

Inc. 2005.

C. Warren Axelrod, Outsourcing Information Security, Artech House, Inc., Boston,

London 2004.

P.C. Young, J. Hood, Risk and the Outsourcing of Risk Management Services: the

Case of Claims Management, Public Budgeting & Finance, Fall 2003.

R.R. Zdzieborski, Outsourcing w działalności bankowej. Zagadnienia podstawowe,

cz. 1 i 2, Prawo Bankowe 11 i 12/2005.

R.R. Zdzieborski, Ponadnarodowe standardy w przedmiocie outsourcingu w

działalności bankowej, cz. 1 i 2, Prawo Bankowe 3 i 4/2006.

D. Zielińska, Kupowanie mocy obliczeniowej, Bank 1/2004.

ródła

Basel Committee on Banking Suprevision, Compliance and the Compliance Function

in Banks, Basel, April 2005.

Basel Committee on Banking Suprevision, Core Principles for Effective Banking

Supervision, No. 30, Basel, September 1997.

Basel Committee on Banking Suprevision, Core Principles for Effective Banking

Supervision, Basel, October 2006.

Basel Committee on Banking Suprevision, Core Principles methodology, Basel,

October 2006.

Basel Committee on Banking Suprevision, Enhancing Corporate Governance for

Banking Organisations, Basel, February 2006.

Basel Committee on Banking Supervision, International Convergence of Capital

Measurement and Capital Standards a Revised Framework, Bank for

International Settlements, Basel 2004.

BITS Framework for Managing Technology Risk for IT Service Provider

Relationships, Version II, November 2003.

BITS IT Service Providers Expectations Matrix, January 2004.

BITS Key Contractual Considerations for Developing an Exit Strategy, May 2005.

Committee of European Banking Supervisors, Consultation Paper on High Level

Principles on Outsourcing, April 2004.

Committee of European Banking Supervisors, Guidelines on Outsourcing, December

2006.

The Joint Forum, Outsourcing in Financial Services, February 2005.

The Joint Forum, Operational Risk Transfer across Financial Sectors, Basel

Committee on Banking Suprevision, Basel, August 2003.

The Joint Forum, High-Level Principles for Business Continuity, Basel Committee on

Banking Suprevision, Basel, August 2006.

Outsourcing Financial Services Activities: Industry Practices to Mitigate Risks,

Federal Reserve Bank of New York, October 1999.

Outsourcing in the EU Banking Sector [w:] European Central Bank. Report on EU

Banking Structure, November 2004.

Outsourcing Technology Services. IT Examination Handbook, Federal Financial

Institution Examination Council, June 2004.

Pismo nr NB-BPN-I-022-70/04 z dnia 3.08.2004 r. w sprawie stosowania niektórych

przepisów dotyczących outsourcingu, Prawo Bankowe 10/2004.

Pismo nr NB-BPN-I-022-70/04 z dnia 21.12.2004 r. w sprawie rekomendowanych

kierunków interpretacyjnych przepisów ustawy – Prawo bankowe dotyczących

outsourcingu, Prawo Bankowe 2/2005.

Rekomendacja D dotycząca zarządzania ryzykami towarzyszącymi systemom

informatycznym i telekomunikacyjnym używanym przez banki, tekst

zaktualizowany w 2002 r.

Rekomendacja H dotycząca kontroli wewnętrznej w banku.

Rekomendacja M dotycząca zarządzania ryzykiem operacyjnym w bankach.

Rekomendacja P dotycząca systemu monitorowania płynności finansowej.

Akty prawne

Ustawa z dnia 29 sierpnia 1997 r. – Prawo bankowe (tekst jedn.: Dz.U. z 2002 r., Nr

72, poz. 665 z późn. zm.).

Ustawa z dn. 29 września 1994 r. o rachunkowości (tekst jedn.: Dz.U. z 2002 r. Nr

76, poz. 694 z późn. zm.).

Ustawa z dnia 26 stycznia 2007 r. o zmianie ustawy – Prawo bankowe (Dz.U. Nr 42,

poz. 272).

Ustawa z dnia 20 lipca 2001 r. o kredycie konsumenckim (Dz.U. Nr 100, poz. 1081 z

późn. zm.).