Wyszukaj np. artykuły, raporty, "JPK", wydarzenia, "podzielona płatność", "podatek u źródła", "schematy podatkowe", "niedostateczna kapitalizacja", "limit odliczalności", "innovation box"

Wyszukaj w PwC Studio...

Szukaj

Wytyczne w sprawie należytego zarządzania ryzykiem związanym z podmiotami trzecimi – harmonizacja w sektorze finansowym czy nowe, dodatkowe obowiązki?

22-07-2025 11:50 • Autorzy: Aleksandra Bańkowska • Łukasz Łyczko • Konrad Frąckowiak • Jakub Derulski •

Europejski Urząd Nadzoru Bankowego (EBA) rozpoczął publiczne konsultacje w sprawie projektu wytycznych dotyczących należytego zarządzania ryzykiem związanym z outsourcingiem wydanych pierwotnie 25 lutego 2019 roku. To już kolejny projekt wytycznych dotyczących zarzadzania ryzykiem związanym z relacją z podmiotami trzecimi, obok Wytycznych EBA w sprawie outsourcingu oraz Wytycznych EBA w sprawie zarządzania wewnętrznego zgodnego z dyrektywą (UE) 2019/ 2034.   

 

Rewizja dotychczasowych wytycznych EBA – dlaczego właśnie teraz? 

Od momentu wejścia w życie Wytycznych EBA w sprawie outsourcingu w 2019 r., spektrum regulacji dotyczących regulowanego outsourcingu znacznie się powiększył. W ostatnich kilku latach byliśmy świadkami wdrożenia DORA (Digital Operational Resilience Act), Rozporządzenia AI, komunikatu KNF ws. chmury obliczeniowej, czy zmian do przepisów prawa bankowego (tzw. “Warzywniak”).  

Celem rewizji EBA jest ustanowienie ujednoliconych ram zarządzania ryzykiem związanym z korzystaniem przez instytucje finansowe z usług zewnętrznych dostawców (ang. Third Party Service Providers), określonych dotychczas w wielu unijnych i lokalnych regulacjach, zapewnienie spójnego podejścia do zarządzania tym ryzykiem w szerszym niż dotychczas katalogu podmiotów finansowych oraz uwzględnienie wejścia w życie regulacji dotyczących relacji z podmiotami trzecimi z sektora ICT (tj. uwzględnienie wymogów rozporządzenia DORA).  

Zmiany te, jak wskazuje EBA, wynikają także z rosnącej zależności sektora finansowego od zewnętrznych dostawców, w tym gigantów technologicznych, co rodzi nowe wyzwania w zakresie zarządzania ryzykiem.  

Co najbardziej istotne, nowe wytyczne mają zastąpić dotychczasowe wytyczne EBA ws. outsourcingu.  

 

Nowe podmioty zobowiązane do stosowania Wytycznych EBA – o kogo chodzi? 

Już nie tylko banki i instytucje płatnicze - zgodnie z projektem wytycznych, zakres zastosowania ma zostać rozszerzony o firmy inwestycyjne, które nie spełniają wszystkich warunków, aby zakwalifikować się jako małe i niepowiązane wzajemnie firmy inwestycyjne zgodnie z art. 12 ust. 1 rozporządzenia (UE) 2019/2033, emitentów tokenów powiązanych z aktywami, podlegających rozporządzeniu w sprawie rynków kryptoaktywów, oraz „kredytodawców” zdefiniowanych w pkt 2 art. 4 dyrektywy w sprawie kredytów hipotecznych (2014/17/UE), którzy są instytucjami finansowymi. 

Co to oznacza w praktyce? Wiele podmiotów, które dotychczas nie miały rozbudowanych mechanizmów oraz procedur wewnętrznych pod kątem identyfikacji oraz zarządzania ryzykiem związanym z zewnętrznymi dostawcami usług będzie musiało przygotować się na objęcie procesem regulowanego outsourcingu działalności. Skutkiem takowej zmiany dla podmiotów nieobjętych dotychczas regulacją będzie przede wszystkim konieczność weryfikacji procedur wewnętrznych pod kątem oceny ryzyka, identyfikacji funkcji krytycznych i istotnych z perspektywy działalności, a także dostosowania procesu zarządzania umowami outsourcingowymi z perspektywy odpowiednio przeprowadzanego due dilligence.   

 

Kluczowe obszary regulacji 

Nowy projekt wytycznych w sprawie outsourcingu wprowadza istotne zmiany dotyczące procesu zarządzania ryzykiem związanym z podmiotami trzecimi.  

W przeciwieństwie do poprzednich regulacji EBA, które koncentrowały się na wyłączeniu umów dotyczących usług, które podmiot finansowy sam by nie realizował, nowe wytyczne skupiają się na umowach mających istotny wpływ na ekspozycję na ryzyko i odporność operacyjną. Z zakresu regulacji wyłączono usługi o niskim wpływie, a także media, które już podlegają innym regulowanym systemom. Celem zapewnienia spójności i równych warunków działania dla wszystkich podmiotów finansowych, nowe wytyczne wykorzystują definicje i sformułowania z DORA, MiFID II i Solvency II. EBA podkreśla istotność uspójnienia definicji umowy z podmiotem trzecim, obejmującą również outsourcing, która jest kluczowa dla właściwego zrozumienia i stosowania tych regulacji. Dodatkowo, z myślą o zapewnieniu spójności, projekt promuje ujednolicenie rejestru informacji dotyczących outsourcingu, zachęcając do jego integrację z rejestrem wymaganym na potrzeby DORA. 

W podejściu do zarządzania ryzykiem obserwuje się przesunięcie akcentu z krytyczności samej umowy na krytyczność funkcji realizowanej przez podmiot trzeci. Podmioty finansowe będą dążyć do opracowania bardziej elastycznych i proporcjonalnych metod zarządzania ryzykiem, dopasowanych do specyfiki poszczególnych funkcji. Podejście prezentowane przez EBA oparte jest na definicji "funkcji krytycznej lub istotnej", która jest spójna z DORA, MiFID II oraz rozporządzeniem delegowanym Komisji (UE) 2017/565. 

Zaprezentowane wytyczne dążą również do zapewnienia spójności z innymi regulacjami UE oraz standardami międzynarodowymi, ujednolicając ramy zarządzania umowami outsourcingowymi, które nie dotyczą usług ICT świadczonych przez podmioty zewnętrzne. Działania te mają zostać osiągnięte poprzez ujednolicenie wymogów dla podmiotów finansowych w głównym zakresie koncentrując się na odpowiedzialności organów zarządzających podmiotem finansowym, rozszerzenia katalogu ustaleń umownych z podmiotami trzecimi oraz ustanowienia jednolitych ram dla procesów identyfikacji ryzyka oraz nadzorowania nad wykonywaniem umowy przez zewnętrznych dostawców usług.  Celem tych działań jest zapewnienie równych warunków oraz wspieranie nadzoru nad outsourcingiem działalności podmiotów finansowych, ze szczególnym uwzględnieniem ryzyka związanego z dostawcami usług spoza Unii Europejskiej. 

 

Obowiązki podmiotów objętych regulacją 

Wytyczne EBA wprowadzają szereg nowych obowiązków dla podmiotów finansowych w obszarze outsourcingu. Organ zarządzający zyskuje jednoznacznie określony zakres odpowiedzialności, gdzie wytyczne wprowadzają katalog minimum funkcji, obejmujący nadzór nad ryzykiem związanym z outsourcingiem z jednoczesnym bieżącym monitorowaniem nad przebiegiem czynności zlecanych w ramach outsourcingu i proaktywnym podejściem do nadzoru nad umowami. Organ zarządzający powinien, na podstawie oceny ogólnego profilu ryzyka podmiotu finansowego oraz z uwzględnieniem zasady proporcjonalności, regularnie dokonywać przeglądu ryzyka zidentyfikowanego w odniesieniu do umów z podmiotami trzecimi dotyczących korzystania z usług wspierających krytyczne lub istotne funkcje. Powyższe obejmuje także ustanowienie formalnego procesu monitorowania ustaleń audytu wewnętrznego, w tym terminowej weryfikacji i naprawy istotnych ustaleń audytowych, które mogą mieć wpływ na właściwe wykonanie wszelkich umów z podmiotami trzecimi.  

Wymagania dotyczące umów z zewnętrznymi dostawcami zostają rozszerzone o nowe klauzule, zwiększając transparentność i kontrolę nad łańcuchem outsourcingu stawiając jako priorytet kontrolę nad zapewnieniem odpowiedniej ochrony poufności, integralności i dostępności danych. W przypadku powierzania podmiotom trzecim funkcji krytycznych lub istotnych, instytucje finansowe muszą upewnić się, że dany podmiot posiada odpowiednie mechanizmy kontroli wewnętrznej oraz procedury zarządzania ryzykiem, w tym zdolność do minimalizowania ryzyka operacyjnego, zwłaszcza tego związanego z łańcuchem dostaw. Istotne jest także uwzględnienie zależności geograficznych i efektywne zarządzanie ryzykiem związanym z otoczeniem ekonomicznym, finansowym, politycznym, prawnym i regulacyjnym w jurysdykcji, w której świadczona jest usługa. 

 Powyższe zmiany nakładają na podmioty finansowe obowiązek udokumentowania planowanego harmonogramu wdrożenia poszczególnych obszarów Wytycznych EBA. Zgodnie z projektowanym stanem prawnym podmioty finansowe powinny uzupełnić dokumentację wszystkich istniejących umów zgodnie z niniejszymi Wytycznymi po pierwszej dacie odnowienia każdej istniejącej umowy z podmiotem trzecim, ale nie później niż w ciągu 2 lat od daty rozpoczęcia stosowania Wytycznych.  

 

Podsumowanie 

Nowe przepisy: 

  • rozszerzają zakres podmiotów objętych nadzorem,  
  • precyzują definicje i  
  • nakładają większą odpowiedzialność na organy zarządzające instytucji finansowych.  

Po opublikowaniu projektu wytycznych następuje faza konsultacji projektu wytycznych.  Strony zainteresowane mają możliwość zgłaszania uwag i komentarzy do 8 października 2025 roku. Po zebraniu opinii w ramach konsultacji i sfinalizowaniu zmienionych wytycznych, podmioty objęte ich zakresem otrzymają dwuletni okres przejściowy. W tym czasie będą zobowiązane do przeglądu i aktualizacji istniejących umów z podmiotami trzecimi oraz do dostosowania swoich rejestrów outsourcingu do wymogów Rejestru Informacji DORA, co ma zapewnić płynne i sprawne przejście na nowe regulacje.  

Czy Twoja organizacja jest gotowa na nowe regulacje dotyczące outsourcingu? Skontaktuj się z ekspertami PwC, aby dowiedzieć się, jak dostosować swoje procesy i zapewnić zgodność z wymogami EBA. 

Autorzy:

Author profile picture
Aleksandra Bańkowska

Partner

+48 519 507 324

Skontaktuj się z autorem

Author profile picture
Łukasz Łyczko

Director

+48 519 507 952

Skontaktuj się z autorem

Author profile picture
Konrad Frąckowiak

Manager

+48 519 506 167

Skontaktuj się z autorem

Author profile picture
Jakub Derulski

Senior Associate

+48 571 779 173

Skontaktuj się z autorem

Kategorie

Udostępnij ten artykuł

Twitter LinkedIn Email

Polecamy

Artykuł zewnętrzny

PwC | Doradztwo prawne

Prawo

Nowy cel klimatyczny na rok 2040? Komisja Europejska prezentuje propozycję

Prawo

Projekt kluczowych zmian w taryfach dla wody i ścieków