PARTNER SERWISU
juoryico

15 czerwca ruszają warsztaty on-line pt. Problematyka rozwiązań chmurowych i outsourcingu w sektorze finansowym

Już w dniach 15-16 czerwca 2023 r. odbędzie się warsztat on-line, organizowany przez MMC Polska na temat problematyki rozwiązań chmurowych i outsourcingu w sektorze finansowym.

Źródło. MMC Polska

Outsourcing w instytucji finansowej – jak prawidłowo nim zarządzać?

Outsourcing usług niesie za sobą wiele korzyści, takich jak redukcja kosztów, dostęp do wyspecjalizowanej wiedzy oraz zwiększenie efektywności operacyjnej. Jednak odpowiednie zarządzanie tymi procesami jest niezwykle istotne, bo pozwala uniknąć potencjalnych zagrożeń dla bezpieczeństwa, zgodności oraz jakości usług. Kluczowe kwestie, jakie należy wziąć pod uwagę pod kątem zarządzania outsourcingiem w sektorze finansowym to m.in.:

  • Wybór dostawcy – należy upewnić się, że firma outsourcingowa ma odpowiednie doświadczenie w branży finansowej, sprawdzone referencje i zachowuje najwyższe standardy jakości. Odpowiednia due diligence to klucz do uniknięcia ryzyka operacyjnego i reputacyjnego;
  • Zawierane z dostawcami umowy SLA (Service Level Agreement) powinny określać wyraźne cele, oczekiwania oraz kryteria oceny współpracy. Dokumenty muszą obejmować również procedury w przypadku naruszenia zasad bezpieczeństwa, zgodności i kwestie ewentualnego zadośćuczynienia;
  • Kwestia bezpieczeństwa danych – dostawca musi stosować odpowiednie środki bezpieczeństwa do ochrony poufnych danych finansowych oraz przestrzegać przepisów dotyczących ich prywatności;
  • Zgodność regulacyjna: outsourcing nie zwalnia instytucji finansowej z odpowiedzialności za przestrzeganie przepisów. Należy upewnić się, że dostawca również się do nich stosuje;
  • Komunikacja i monitoring: niezwykle istotna podczas współpracy z dostawcą outsourcingowym jest stała komunikacja, śledzenie postępów i realizacji założonych celów. Warto określić kluczowe KPI, które pozwolą ocenić efektywność i identyfikować ewentualne obszary do poprawy;
  • Podczas wdrażania outsourcingu należy opracować plan zarządzania ryzykiem, obejmujący identyfikację potencjalnych zagrożeń, ocenę ich prawdopodobieństwa oraz opracowanie środków zaradczych;

Odpowiednie zarządzanie outsourcingiem usług IT w sektorze finansowym jest kluczowe dla osiągnięcia korzyści z tego procesu, a jednocześnie minimalizacji potencjalnych ryzyk.

Wyzwania związane z wdrożeniami chmurowymi

Wdrożenie chmury w sektorze finansowym to wyzwanie, wymagające uwzględnienia aspektów bezpieczeństwa danych, zgodności z przepisami, zarządzania ryzykiem, kontroli nad danymi i infrastrukturą IT oraz struktury kosztów. Kluczowe jest zabezpieczanie i szyfrowanie danych wrażliwych, takich jak informacje klientów czy dane finansowe.

Zgodność z przepisami jest konieczna, a dostawcy chmurowi powinni wykazywać się wiedzą i doświadczeniem w tym zakresie. Instytucje finansowe muszą monitorować i kontrolować działania dostawców chmurowych, aby upewnić się o zgodności z obowiązującymi regulacjami.

Zarządzanie ryzykiem to kolejny ważny aspekt, obejmujący analizę ryzyka, opracowanie planów awaryjnych i strategii zarządzania ryzykiem, by zapewnić ciągłość działania. Należy dokładnie zbadać dostawców usług chmurowych, opracować strategie zarządzania dostępem do danych oraz monitorować infrastrukturę.

Wdrożenie chmury może wpłynąć na strukturę kosztów, jednak prawidłowo przeanalizowany model płatności za usługi chmurowe i dostosowany budżet pozwolą na osiągnięcie korzyści. Pomimo wyzwań, odpowiednio wdrożone rozwiązania chmurowe przynoszą większą elastyczność, efektywność operacyjną i konkurencyjność dla instytucji finansowych.

Wytyczne EBA i KNF, Komunikat Chmurowy KNF

Europejski Urząd Nadzoru Bankowego (EBA) oraz Komisja Nadzoru Finansowego (KNF) wydały wytyczne dotyczące outsourcingu w instytucjach finansowych, aby zapewnić bezpieczeństwo, stabilność i odpowiedni poziom zarządzania ryzykiem w tym sektorze. Wytyczne poszczególnych instytucji odnoszą się do stworzenia swoistej polityki outsourcingu dla konkretnej instytucji, procesów due diligence, umów i SLA, zarządzania ryzykiem, monitorowania i kontroli czy nacisku na większą komunikację z organami nadzorczymi.

Komunikat chmurowy KNF

Komunikat chmurowy KNF dotyczy stosowania usług chmurowych przez podmioty nadzorowane. KNF zaleca, aby instytucje finansowe stosowały się do wytycznych EBA dotyczących outsourcingu, a także dodatkowo uwzględniały wytyczne KNF odnoszące się do wdrożenia usług chmurowych. Wskazówki te obejmują między innymi aspekty takie, jak: ocena ryzyka, zawieranie umów z dostawcami chmurowymi, monitorowanie i kontrola usług, zgodność z przepisami o ochronie danych, a także planowanie awaryjne i ciągłość działania.

Czy Pani zdaniem, polskie instytucje finansowe są w tej chwili już odpowiednio przygotowane na dostosowanie się do wytycznych poszczególnych instytucji?

– Powierzanie czynności zewnętrznym dostawcom w niektórych aspektach nadal stanowi wyzwanie dla podmiotów nadzorowanych. Jednym z nich jest kwalifikacja powierzonych czynności. W praktyce obrotu można zaobserwować wiele przykładów, w których podmioty nadzorowane wręcz „nadmiarowo” uznają dany proces powierzenia zewnętrznemu dostawcy za podlegający reżimowi outsourcingu, z pominięciem np. wyłączeń z white list na gruncie Wytycznych EBA w sprawie outsourcingu. Wynika to z pewnego automatyzmu pokutującego w sektorze bankowym, iż każda umowa z zewnętrznym dostawcą, zawierająca element ujawnienia informacji stanowiących tajemnicę bankową winna być kwalifikowana jako powierzenie wykonywania czynności na zasadzie outsourcingu. Dodatkowym wyzwaniem jest kwestia dopuszczalności podoutsourcingu, w tym oceny czy podpowierzenie ma charakter pomocniczy wobec działalności głównego insourcera. To są w zasadzie kwestie, które od kilkunastu lat nie doczekały się wyjaśnienia, pomimo ich fundamentalnego znaczenia z perspektywy podmiotów nadzorowanych. Należy podkreślić, że w świetle coraz bardziej popularnych na rynku finansowym (w tym polskim) modeli embedded finance, outsourcing staje się jednym z decydujących procesów, bez którego nie byłby możliwy rozwój nowych produktów i usług finansowych – ocenia Marta Dzieciuch, Attorney-at-law, Senior Associate, DLK Legal Korus.

Outsourcing chmurowy po DORA – wymogi regulatorów a praktyka

DORA (Digital Operational Resilience Act) to unijne rozporządzenie mające na celu wzmocnienie cyberbezpieczeństwa i odporności operacyjnej instytucji finansowych. Po jego wprowadzeniu, outsourcing chmurowy będzie musiał spełniać dodatkowe wymogi w zakresie zarządzania ryzykiem, zgodności i ciągłości działania. DORA wpłynie na wzmocnienie zarządzania ryzykiem, wprowadzi jednolite ramy regulacyjne dla wszystkich państw członkowskich UE oraz wymóg regularnego testowania i oceny usług chmurowych (chodzi tu chociażby o testy penetracyjne czy ocenę ryzyka) czy postawi na większe wymogi w zakresie komunikacji z organami nadzorczymi.

W praktyce wprowadzenie DORA spowoduje, że instytucje finansowe będą musiały dokładniej analizować swoje stosunki z dostawcami usług chmurowych, a także wzmocnić swoje procedury zarządzania ryzykiem, zgodności i ciągłości działania. Chociaż wprowadzenie nowych regulacji może początkowo wywołać dodatkowe obciążenie dla instytucji, ostatecznie powinno to przyczynić się do zwiększenia bezpieczeństwa, stabilności i zaufania w sektorze finansowym.

Co Pani zdaniem jest najistotniejsze, jeśli chodzi o wybór właściwego dostawcy usług chmurowych? Na co należy zwrócić szczególną uwagę?

– W wyborze dostawcy usług chmurowych najistotniejszym jest zweryfikowanie czy dostawca spełnia minimalne wymagania z zakresu bezpieczeństwa informacji, jak i zarządzania ciągłością działania. Niejednokrotnie bowiem dostawcy usług chmurowych nie są w stanie wykazać spełniania podstawowych wymagań technicznych i organizacyjnych, np. poprzez zgodność z odnośnymi normami ISO. Compliance działania dostawcy usług chmurowych w tych obszarach minimalizuje ryzyko ujawnienia informacji prawnie chronionych przetwarzanych w chmurze obliczeniowej, jak również pozwala zapewnić nieprzerwane świadczenie usług (dzięki odpowiednim Business Continuity Plans), co jest szczególnie istotne z perspektywy oceny ryzyka nawiązania współpracy z danym dostawcą. Ważnym elementem procesu weryfikacji dostawcy chmurowego jest także ustalenie lokalizacji centrum przetwarzania danych (na terenie EOG czy poza EOG), jak również ustalenie czy i w jakim zakresie dostawca zamierza korzystać z poddostawców. Powyższe będzie mieć istotne przełożenie na planowanie projektu chmurowego, szczególnie w przypadku banków, ponieważ harmonogram projektu powinien uwzględniać uzyskanie zezwolenia UKNF (np. jeśli dostawca będzie miał siedzibę poza EOG), jak również ocenę dopuszczalności tzw. łańcuchowego podoutsourcingu – mówi Marta Dzieciuch, Attorney-at-law, Senior Associate, DLK Legal Korus.

Link do zapisów na event:

https://mmcpolska.pl/kalendarz-wydarzen/chmura-i-outsourcing-w-sektorze-finansowym-regulacje-prawne-i-praktyczne-problemy

StockWatch.pl

StockWatch.pl wspiera inwestorów indywidualnych dostarczając m.in:

- analizy raportów finansowych i prospektów emisyjnych spółek przygotowywane przez zawodowych, niezależnych finansistów,

- moderowane forum użytkowników wolne od chamstwa i naganiania,

- aktualne i zweryfikowane przez pracownika dane finansowe spółek,

- narzędzia analizy fundamentalnej i technicznej.

>> Sprawdź z czego możesz korzystać za darmo i co oferujemy w Strefie Premium

Najnowsze wiadomości (aktualności, giełda, akcje)
  • Sygnis liderem Europejskiej Fabryki Dronów. W konsorcjum firmy z Polski, Niemiec i Finlandii

    Sygnis wraz z siedmioma partnerami z Polski, Niemiec, Finlandii i USA utworzyła konsorcjum Europejska Fabryka Dronów, które ma produkować systemy bezzałogowe dla wojska, służb i sektora cywilnego. Projekt wykorzystuje doświadczenia z frontu wojny na Ukrainie.

  • RPP wskazuje ryzyka dla inflacji

    Rada Polityki Pieniężnej ścięła stopy procentowe NBP o 0,25 pkt proc., akcentując, że dla niskiej inflacji kluczowe ryzyka to polityka fiskalna, ożywienie konsumpcji i dynamika płac. Niewiadomą pozostają ceny energii oraz globalna ścieżka inflacji.

  • RPP sprawiła niespodziankę w sprawie stóp procentowych

    Rada Polityki Pieniężnej zaskoczyła ekonomistów i zdecydowała się na obniżkę stóp procentowych o 0,25 pkt proc., sprowadzając stopę referencyjną do 4,5 proc. w skali roku.

  • Kruk z rekordowymi spłatami powyżej 1 mld zł w III kwartale 2025

    Grupa Kruk odnotowała historycznie najwyższy poziom spłat – ponad 1 mld zł w trzecim kwartale 2025 roku. Spółka zwiększyła także wartość inwestycji w portfele wierzytelności, mimo sezonowych wyzwań i stabilnej aktywności na rynkach zagranicznych.

  • Decyzja RPP w centrum uwagi, gorąco na KGHM, Jujubee i JSW

    Środowa sesja na giełdzie w Warszawie rozpoczęła się od niewielkich spadków, które później zostały szybko wyzerowane. Gwiazdą sesji jest drożejący w ślad za metalami KGHM. Na szerokim rynku wyróżniają się JSW, Neuca, Rainbow Tours i XTPL. Cały czas w centrum uwagi pozostają banki. Wydarzeniem dnia w Polsce będzie decyzja Rady Polityki Pieniężnej w sprawie stóp procentowych.

Więcej wiadomości »


Czaty - Webinary - Konferencje
Więcej czatów »
AKTUALNOŚCI
Sprawdź bieżące wiadomości »

Współpraca
Biuro Maklerskie Alior Bank Bossa tradingview PayU Szukam-Inwestora.com Kampanie reklamowe - emisje akcji, obligacji, crowdfunding udziałowy Forex Kursy walut Akcje Giełda Waluty Kryptowaluty
Trading jest ryzykowny i możesz stracić część lub całość zainwestowanego kapitału. Treści publikowane w portalu służą wyłącznie celom informacyjnym i edukacyjnym. Nie stanowią żadnego rodzaju porady finansowej ani rekomendacji inwestycyjnej. Portal StockWatch.pl nie ponosi jakiejkolwiek odpowiedzialności za decyzje inwestycyjne podjęte na podstawie lektury zawartych w nim treści.
peek-a-boo
×

FOSA – nowa usługa analityczna poświęcona zagranicznym spółkom w StockWatch.pl

Sprawdź
cookie-monstah

Serwis wykorzystuje ciasteczka w celu ułatwienia korzystania i realizacji niektórych funkcjonalności takich jak automatyczne logowanie powracającego użytkownika czy odbieranie statystycznych o oglądalności. Użytkownik może wyłączyć w swojej przeglądarce internetowej opcję przyjmowania ciasteczek, lub dostosować ich ustawienia.

Dostosuj   Ukryj komunikat