Στις 25 Φεβρουαρίου 2019, η Ευρωπαϊκή Αρχή Τραπεζών (European Banking Authority) δημοσίευσε τις νέες κατευθυντήριες γραμμές σχετικά με την εξωτερική ανάθεση δραστηριοτήτων οι οποίες εφαρμόζονται από τις 30 Σεπτεμβρίου 2019.

Οι νέες κατευθυντήριες γραμμές προσδιορίζουν τις ρυθμίσεις εσωτερικής διακυβέρνησης και ορθής διαχείρισης κινδύνου που θα πρέπει να εφαρμόζουν τα ιδρύματα κατά την εξωτερική ανάθεση κυρίως ουσιωδών ή σημαντικών λειτουργιών. Εισάγουν πλήθος αλλαγών για τα ιδρύματα και τα ιδρύματα πληρωμών.

Οι κυριότερες αλλαγές περιγράφονται συνοπτικά παρακάτω:

— Διεύρυνση του πεδίου εφαρμογής με ενσωμάτωση αφενός των ιδρυμάτων ηλεκτρονικού χρήματος και έκδοσης ηλεκτρονικού χρήματος και αφετέρου των υπηρεσιών που παρέχονται με τη χρήση υπολογιστικού νέφους (cloud).

— Αποτύπωση των δραστηριοτήτων οι οποίες δεν συνιστούν εξωτερική ανάθεση (π.χ. υποχρεωτικός έλεγχος ή παγκόσμιες υποδομές δικτύων).

— Επιπτώσεις στο πλαίσιο διακυβέρνησης των ιδρυμάτων καθώς προβλέπουν:

a) υποχρέωση συγκρότησης λειτουργίας εξωτερικής ανάθεσης ή ορισμού ανώτερου μέλους του προσωπικού που λογοδοτεί απευθείας στο διοικητικό όργανο του ιδρύματος. Για τα μικρότερα ιδρύματα, η συγκεκριμένη αρμοδιότητα δύναται να ανατεθεί σε μέλος του διοικητικού οργάνου.
b) αποτύπωση συγκεκριμένων υποχρεώσεων της Λειτουργίας Εσωτερικού Ελέγχου (οι οποίες καθιστούν απαραίτητη την ενσωμάτωσή τους στον Κανονισμό Λειτουργίας της και στις σχετικές πολιτικές και διαδικασίες).

— Εξειδίκευση του ελάχιστου περιεχομένου της πολιτικής εξωτερικής ανάθεσης με ανάθεση της ευθύνης για την έγκριση, τακτική επανεξέταση και επικαιροποίηση αυτής στο διοικητικό όργανο του ιδρύματος.

— Προσδιορισμός συγκεκριμένων βημάτων που πρέπει να ακολουθούνται στη φάση της ανάλυσης πριν από την εξωτερική ανάθεση δραστηριοτήτων, περιλαμβανομένης της υποχρέωσης:

a) εντοπισμού, αξιολόγησης και διαχείρισης συγκρούσεων συμφερόντων σε σχέση με τις συμφωνίες εξωτερικής ανάθεσης.
b) ενσωμάτωσης σεναρίων πιθανών συμβάντων κινδύνου, τεκμηρίωσης των διενεργηθεισών αναλύσεων και των αποτελεσμάτων τους καθώς και εκτίμησης του βαθμού στον οποίο η συμφωνία εξωτερικής ανάθεσης θα αυξήσει ή θα μειώσει τον λειτουργικό τους κίνδυνο.

— Υποχρέωση διατήρησης επικαιροποιημένου μητρώου πληροφοριών για όλες τις συμφωνίες εξωτερικής ανάθεσης στο οποίο θα αποτυπώνονται συγκεκριμένες πληροφορίες για όλες τις υφιστάμενες συμφωνίες και πρόσθετες πληροφορίες για την εξωτερική ανάθεση κρίσιμων ή σημαντικών λειτουργιών.

— Περιγραφή του ελάχιστου περιεχομένου των συμβάσεων εξωτερικής ανάθεσης αναφορικά με τα δικαιώματα και τις υποχρεώσεις των εμπλεκόμενων μερών.

— Υποχρέωση διατήρησης τεκμηριωμένης στρατηγικής εξόδου και δοκιμών, σε περιοδική βάση, κατάλληλων σχεδίων επιχειρησιακής συνέχειας. Στην παρούσα φάση το εποπτικό πλαίσιο στον χρηματοπιστωτικό κλάδο στην Ελλάδα καθορίζεται με βάση το Παράρτημα 1 της Πράξης Διοικητή της Τράπεζας της Ελλάδος 2577/9.3.2006. Σε αυτό περιγράφονται οι υποχρεώσεις των ιδρυμάτων αναφορικά με την τήρηση σχετικής πολιτικής, τη σύναψη σύμβασης με τον πάροχο υπηρεσιών καθώς και τη θέσπιση ενός συνολικού προγράμματος διαχείρισης των κινδύνων το οποίο περιλαμβάνει την περιοδική αξιολόγηση του παρόχου υπηρεσιών με βάση προκαθορισμένα ποιοτικά και ποσοτικά κριτήρια.

Γίνεται σαφές ότι οι νέες κατευθυντήριες γραμμές καθιστούν αναγκαία αφενός την υιοθέτηση αλλαγών στις υφιστάμενες δομές των ιδρυμάτων και αφετέρου την επικαιροποίηση σχετικών εγγράφων (πολιτική, συμβάσεις, μητρώο, κ.ά.). Ως εκ τούτου, απαιτείται η αξιολόγηση από τα ιδρύματα των επιπτώσεων που αυτές επιφέρουν και η διαμόρφωση ενός πλάνου εργασιών (“action plan”) για την υλοποίηση των απαιτούμενων αλλαγών προκειμένου να διασφαλίσουν τη συμμόρφωση με τις νέες απαιτήσεις.