У заключній статті нашої міні-серіалу «Посібник з практикуючих практикуючих» до аутсорсингу », Ріаннон Монахан, асоційований директор нашої групи управління та консалтингових послуг, підкреслює ключові компоненти надійної програми управління постачальниками, включаючи ключові норми, які мають бути включені до вашої діяльності з нагляду та належної ретельності.
Примітка: Хоча ця стаття використовує фразу “управління постачальниками” протягом усього часу, читачі повинні розуміти, що це загальне посилання на рамки, які використовуються для управління та нагляду за їхніми аутсорсинками, делегованими та іншими сторонніми домовленостями.
Основи управління постачальниками
Як підкреслюється в останній статті ЄЦБ про тенденції аутсорсингу в банківському секторі, опора, розміщена банками на аутсорсингу, продовжує зростати; З усіма показаннями, що вказують на цю тенденцію, що продовжується в осяжному майбутньому. Крім того, навряд чи ця тенденція обмежується банківським сектором, оскільки ми продовжуємо бачити фірми в ширшій галузі фінансових послуг, що вивчають оперативні та комерційні можливості збільшення автоматизації та використання технологій штучного інтелекту (“AI”).
Визнаючи цю зростаючу залежність від аутсорсингу ІТ у час збільшення регуляторної складності, ця стаття має на меті виділити ключові компоненти надійної програми управління постачальниками, яка підтримуватиме фірми в управлінні та регулювання їхніх сторонніх домовленостей, а також досягнення своєї технології та стратегії AI.
1. Централізоване сховище
Оскільки багато фірм реалізували під час реалізації керівних принципів ЄБА щодо домовленостей щодо аутсорсингу та/або керівництва між центральним банком Ірландії щодо аутсорсингу (колективно “рекомендацій щодо аутсорсингу”), складаючи точний і повний перелік усіх зовнішніх провайдерів послуг та інтагрупи, які підтримують ваші операції, є чітко прямими. Натомість фірми часто стикаються з низкою складних факторів, які, як відомо, включають:
- Відсутність централізованого сховища договорів у фірмі та/або групи
- Деталі зовнішніх сторонніх постачальників послуг, що розповсюджуються в різних платежах та платіжних системах
- Домовленості про трансфертне ціноутворення, які не фіксують повну обсяг внутрішньогрупових домовленостей про аутсорсинг – наприклад, у ситуації, коли витрати, пов'язані з ІТ -послугами та пов'язана з цим, підтримують найбільший суб'єкт доходу, що генерує дохід, на відміну від суб'єктів, що користуються послугами; і
- Непередбачувані наслідки внутрішньої мобільності в груповій структурі щодо здатності визначити найбільш підходящу договірну організацію, а також розташування надання послуг та розташування зберігання та обробки даних.
Однак, без цього цілісного погляду на постачальників послуг, фірма неможливо повністю оцінити та керувати ІКТ та стороннім ризиком, що виникає в їхньому аутсорсинговій всесвіті. Крім того, якщо фірма не має чіткої видимості у всіх послугах, отриманих від постачальника послуг, це може значно зменшити їх здатність розробити ефективні стратегії безперервності та стійкості бізнесу, або домовитись про пільгові умови або ставки плати зі своїми постачальниками послуг.
2. Стандартизовані методології та процеси
Щоб точно визначити, класифікувати та класифікувати домовленості про аутсорсинг, кожна пропозиція щодо залучення постачальника послуг повинна підлягати однакову стандартизовану оцінку до виконання договору та на постійній основі після цього. Простіше кажучи, незалежно від того, хто є постачальником послуг або які види послуг повинні бути надані, фірма не повинна підходити до управління або нагляду за будь -якою домовленістю по -різному, поки такий час, як не визначило принаймні наступне:
- Чи узгоджена домовленість до бізнес -моделі, стратегії та апетиту до ризику фірми
- Які юридичні та регуляторні вимоги застосовуються до управління та нагляду за домовленістю (детальніше див. Нижче)
- Незалежно від того, чи є домовленість сама критична чи важлива та/або підтримує ефективність критичної чи важливої бізнес -послуги чи функції; і
- Чи підпадає під дію домовленість регуляторне повідомлення та вимоги щодо подання.
Незважаючи на обсяг правил, які нещодавно були запроваджені для управління технологіями та послугами AI, регулятори дали зрозуміти, що кожна нова вимога призначена для побудови останнього. Прийнявши цей підхід, є чітке сподівання, що наглядові рамки, прийняті кожною фірмою, можуть бути постійно зменшені та адаптовані для включення вимог, що вводяться кожним регулюванням, яке станом на час цієї статті може включати:
| Регулювання | В першу чергу застосовується до: |
| Загальний регламент захисту даних (GDPR) | Будь -яка фірма, яка обробляє особисті дані жителів ЄС. |
| Керівні принципи ESMA щодо аутсорсингу для хмарних постачальників (353 Кб) | AIFMS, компанії з управління UCIT, певні фірми -інвестиції та кредитні установи, центральні контрагенти, центральні депозитарії цінних паперів, агенції кредитних рейтингів, сховища сек'юритизації та адміністратори критичних орієнтирів. |
| Посібник ЄЦБ щодо аутсорсингу хмарних послуг для постачальників хмарних послуг (PDF, 214 Кб) | Будь -яка установа, яка безпосередньо контролюється банківським наглядом ЄЦБ. |
| Керівництво Центрального банку Ірландії щодо оперативної стійкості (PDF, 995 Кб) | Усі фірми, регульовані Центральним банком Ірландії. |
| Директива про мережеві та інформаційні системи, 2022/2555 (NIS2) | Окремі фірми, що працюють у вісімнадцяти критичних секторах, названих у законодавстві, за винятком цих фінансових організацій, що мають обсяг Закону про стійкість цифрової оперативності (Dora) |
| Закон про цифрову оперативну стійкість (Dora) (PDF, 1458 Кб) | Усі типи фінансових організацій, перелічені в статті 2 Дори |
| У мене є вчинок | Постачальники та розгортання технологій AI |
| Директива про платіжні послуги та Правила платіжних послуг | Банки та небанківські постачальники платежів та фірми електронних грошей, які підтримують платежі в ЄС |
| Директива про корпоративну звітність | Великі фірми, що мають ЄС, які відповідають щонайменше двом із наступних критеріїв: річний чистий оборот, що перевищує 50 мільйонів євро, баланс загальної кількості перевищує 25 мільйонів євро, або в середньому 250 працівників. Фірми, які не є ЄС, які мають істотні операції в межах ЄС, такі як дочірні компанії або філії. |
Це означає на практиці, що фірми не мають часу переглядати свої домовленості та договори щоразу, коли вводиться нова вимога. Натомість, збирання всієї необхідної інформації на початку домовленості та забезпечення її в курсі періодичних оглядів дозволяє фірмам йти в ногу з регуляторними змінами та забезпечує збагачену інформацію в управлінні та прийняття рішень правління.
3. Чіткість ролей та обов'язків
Щоб ефективно керувати та контролювати домовленість з постачальником послуг, особливо тим, хто підтримує критичну чи важливу послугу чи функцію, потрібно чітко зрозуміти, хто відповідає за те, що в рамках програми управління постачальниками, а також того, хто може бути закликаний для подальшої підтримки та настанови. Роз'яснюючи ролі та обов'язки кожного зацікавленого сторонів, фірма виграє від:
- Посилення відносин постачальника послугЧерез координований та приєднаний підхід до нагляду та належної ретельності, тобто постачальнику послуг не просить боротися з кількома командами/особами
- Оптимізована продуктивність постачальника послуг як ризик, відповідність, оперативна, технологія тощо. Запити та проблеми можна швидко визначити та вирішити; і
- Посилена чіткість у очікуванні постачальників послуг Оскільки багатодисциплінарна команда фірми сприяє розробці нагляду та належної ретельності, включаючи вміст угоди про рівень обслуговування.
Визначаючи ролі та відповідальність, важливо визнати, що ресурси, доступні фірмам, ймовірно, значно відрізняються залежно від природи, масштабу та складності їхніх операцій та того, чи є вони частиною ширшої групової структури. За його словами, відповідно до керівних принципів аутсорсингу, фірми повинні гарантувати, що вони покладають відповідальність за нагляд за аутсорсингом ризику та аутсорсингу домовленості відповідним призначеним, функціонуванню та/або комітетом, і що вони підтримують відповідні навички та знання, щоб ефективно наглядати за аутсорсинговими домовленостями з початку висновку. Це особливо важливо, коли діяльність, що перебуває на передачі аутсорсингу, має технічний та/або складний характер, наприклад, у випадку аутсорсингу для постачальників ІТ -послуг.
Якщо програма управління постачальниками фірми керує або координовано в центрі своєї групи, необхідно надати обережність щодо забезпечення того, щоб будь-який нагляд проводився відповідно до місцевих вимог, а місцева особа/функція делегована відповідальність за нагляд за ризиком аутсорсингу та аутсорсингом, може виконати свої зобов'язання.
4. Визначений підхід до пропорційності
Занадто часто фірми вирішують адаптувати або вносити зміни до нагляду та вимог до ретельності, які вони застосовують до постачальників послуг під виглядом пропорційно застосування. З часом ці зміни ненавмисно створюють невідповідності підходу, прийнятого до подібних домовленостей і в кінцевому рахунку підривають цілісність програми управління постачальниками фірми. Таким же чином фірми повинні мати визначений підхід до визначення та класифікації домовленостей, вони також повинні мати визначену методологію до того, як і коли буде застосовано принцип пропорційності, який повинен враховувати принаймні наступне:
- Регуляторні очікування, які застосовуються до фірми, виходячи з її призначеного рейтингу Prism/SREP.
- Чим вищий загальний профіль ризику фірми, тим більш надійним та всебічним буде її внутрішній контроль та управління управлінням.
- Важливість загальних відносин із постачальником послуг.
- Частота та інтенсивність нагляду та належна ретельність будь -якого постачальника послуг повинні бути проінформовані про рівень залежності, який фірма має від безперебійної надання послуг постачальником послуг.
- Важливість конкретних послуг, отриманих фірмою, для її подальших операцій.
- Деякі ліцензовані послуги підлягають суворим регуляторним та юридичним вимогам. Якщо постачальник послуг займається підтримкою послуг, які лежать в основі ліцензованої діяльності та авторизації фірми, нагляд за цими послугами повинен бути пропорційно посилений.
Офіційно документуючи критерії, які будуть використовуватися при визначенні відповідної частоти та інтенсивності нагляду та належної ретельності, яка застосовується до кожного постачальника послуг, фірма отримає користь від масштабованого та стандартизованого підходу до управління постачальниками, який витримає ретельну перевірку як клієнтів, так і регуляторів.
Ця стаття містить загальний підсумок розробок і не є повним або остаточним твердженням закону. Слід отримати конкретну юридичну консультацію, де це доречно.
