Outsourcing guideline: sono state approvate le nuove linee guida dell’Autorità Bancaria Europea in materia di esternalizzazioni dei servizi. Un’opportunità (non solo per gli istituti bancari) per migliorare il processo di sourcing, il governo dei contratti e la resilienza di attività critiche.
Il contesto di riferimento
Come noto a Febbraio 2019, l’EBA, dopo una consultazione partita nel 2018, ha emanato le “Linee Guida (EBA/GL/2019/02) in materia di esternalizzazioni”.
Nonostante che le linee guida non richiedano una gestione totalmente nuova rispetto a quanto già in essere in molti istituti bancari a seguito dalla Circolare di Banca d’Italia n. 285/2013, d’ora in poi è necessario per gli enti creditizi – ma anche per altri istituti come vedremo nel seguito – adeguare la gestione degli accordi di esternalizzazione con quanto previsto. Infatti, a partire proprio da domani (01 ottobre 2019) gli istituti interessati saranno chiamati ad integrare, oltre agli aspetti contrattuali, la governance interna ed il processo di controllo di un insieme più esteso di contratti (anche nell’ambito dello stesso gruppo) in quanto le linee guida dovranno essere applicate a tutte le esternalizzazioni e non solo a quelle di funzioni operative importanti o critiche.
Le ragioni delle linee guida
È chiaro che il sempre maggiore ricorso all’outsourcing di attività (soprattutto per i servizi ICT) che è intervenuto nel mondo finanziario negli ultimi anni pone un fondamentale problema di sicurezza e di resilienza delle forniture sia a livello di singolo istituto che, soprattutto, di sistema nel suo complesso. Ne consegue che la robustezza dei processi di approvvigionamento è posta sotto sempre maggiore attenzione da parte dei soggetti regolatori nazionali e europei. Negli ultimi anni gli enti regolatori nazionali ed europei sono così intervenuti numerose volte su questa tema, in tutti gli aggiornamento della Circolare 285/13 di Banca d’Italia e nell’emanazione più recente delle “Linee Guida (EBA/GL/2019/02), si è cercato di disegnare un modello di sourcing, di governo e di responsabilità – posta in capo agli istituti bancari ed agli stessi fornitori – che trova raramente eguali in altri settori e che anzi dovrebbe costituire materia di approfondimento per molti di essi.
Soggetti interessati e contratti in ambito
Nel riesaminare la precedente normativa in tema di outsourcing (diretta finora ai soli enti creditizi), si è cercato di stabilire un quadro più armonizzato coinvolgendo tutte le istituzioni finanziarie la cui regolamentazione compete all’EBA, in particolare i soggetti interessati all’applicazione delle guideline sono:
- gli enti creditizi e le imprese di investimento, soggetti alla direttiva sui requisiti patrimoniali (Capital Requirements Directive – “CRD”)
- gli istituti di pagamento (IP), soggetti alla direttiva sui servizi di pagamento (Payment Services Directive – “PSD2”)
- gli istituti di moneta elettronica (IMEL) soggetti alla direttiva sulla moneta elettronica (e-money Directive)
Relativamente ai contratti in ambito, la principale criticità riscontrata finora nell’applicazione della normativa era l’individuazione delle cosiddette FOI (Funzioni Operative Importanti): le linee guida EBA non la risolvono completamente, ma supportano le analisi interne mediante una elencazioni di attività che non possono essere considerate esternalizzazioni.
Ad esempio: funzioni legalmente tenute ad essere svolte da un fornitore di servizi, ad esempio la revisione di bilancio); servizi di informazione di mercato; utilizzo di infrastrutture di rete globali, ad esempio Visa, MasterCard; accordi e servizi di compensazione e regolamento; ecc…
Inoltre, viene esteso l’ambito prevedendo che i contratti esternalizzati a cui si dovranno applicare le linee guida non riguarderanno solo le «critiche o importanti», ma tutte le funzioni esternalizzate. Per cercare di circoscrivere meglio il nuovo perimetro, viene data – a dire il vero in totale continuità con le attuali statuizioni – anche una definizione di esternalizzazione (outsourcing): «per esternalizzazione si intende un accordo di qualsiasi forma tra un istituto, un istituto di pagamento o moneta elettronica e un prestatore di servizi in virtù del quale il fornitore esegue un processo, un servizio o un’attività che altrimenti sarebbe stata intrapresa dall’istituzione, l’istituto di pagamento o lo stesso istituto di moneta elettronica»
Pertanto, sarà cura degli istituti, preventivamente all’inizio del processo di sourcing di un nuovo contratto o nel momento della ricontrattualizzazione di accordo esistente, stabilire se l’attività oggetto del contratto con un terzo rientra nella definizione di esternalizzazione e se essa debba essere considerata FOI.
Le principali aree di intervento
Sono stati scritti molti articoli sui contenuti delle EBA/GL/2019/02, sulle principali differenze rispetto a quanto previsto nella circolare 285/13 di Banca D’Italia nonché su alcuni temi molto specifici della guideline come il principio di proporzionalità, gli elementi caratterizzanti le FOI, le responsabilità del management ecc, di seguito cercheremo di dare maggiore concretezza alla problematica individuando le aree di intervento sulle quali si dovranno concentrare gli sforzi per allineare il modello di gestione dei contratti esternalizzati alle linee guida, in questo documento ne abbiamo individuate 4 e cioè:
1. Governance
Le guideline EBA dedicano un particolare focus alla responsabilità da parte dei soggetti che esternalizzano le attività mentre vengono indicati puntuali ambiti in cui si dovrà operare per migliorare l’efficacia ed efficienza del processo di governance, in particolare:
- Policy di Outsourcing e definizione di uno specifico processo per l’attivazione di tali contratti e del loro ciclo di vita (valutazione preliminare – gestione contratto – closing con passaggio ad altro fornitore e/o internalizzazione). Nella descrizione della policy particolare attenzione dovrà essere dedicata alle modalità di valutazione preliminare e successive dei rischi che l’esternalizzazione introduce sul modello di funzionamento dell’Ente;
- Individuazione di una figura/funzione responsabile degli accordi di outsourcing;
- Valutazione e gestione dei conflitti di interessi, soprattutto se l’accordo è stipulato tra società dello stesso gruppo;
- Funzione dell’internal audit nel costante monitoraggio della corretta implementazione framework delle esternalizzazioni definito soprattutto relativamente alla costante verifica dei rischi e misurazione dei kpi;
- Predisposizione di un sistema per trasmettere alle autorità regolamentari il registro degli accordi ed ogni informativa in merito a situazioni critiche o sottoscrizione/modifica degli accordi
2. Contract Management
- Al fine di rafforzare il presidio e la tracciabilità delle funzioni/attività oggetto di esternalizzazione, viene richiesta la predisposizione ed il continuo aggiornamento di un registro dei contratti esternalizzati (distinguendo tra FOI ed altre esternalizzazioni), in cui siano ben identificati e documentati i principali elementi del contratto e del venditore e degli eventuali subcontractor. Tali registri dovranno essere sempre tempestivamente essere messi a disposizione delle autorità di vigilanza.
- Allineamento alle guideline EBA per tutti i nuovi contratti siglati a partire dal 30 settembre 2019 e adeguamento di tutti i rimanenti entro il 31/12/2021 mediante il rafforzamento degli stessi con una puntuale e chiara definizione degli obblighi per il fornitore (es. modalità di gestione dei dati, processi di business continuity/disaster recovery, gestione subcontratti, ecc)
3. Monitoraggio e controllo funzioni esternalizzate
- Previsione all’interno dei contratti di un sistema per il monitoraggio delle principali attività esternalizzare e definizione di un sistema di kpi per il loro controllo con tempestiva evidenza di eventuali scostamenti;
- Definizione di un framework che prima e durante la vita del contratto sia utilizzato a supporto del monitoraggio e gestione dei rischi derivanti dall’esternalizzazione sia in base al tipo di attività esternalizzata che alle specificità del fornitore (esperienza – solidità finanziaria – ecc)
4. Modalità di salvaguardia e protezione
- Gli istituti devono definire e gestire continuamente dei business continuity plan, che assicurino in caso di difficoltà dell’outsoucer dei livelli di servizio minimi garantiti;
- Disaster recovery: cioè specifici piani di emergenza – da testare e verificare periodicamente – nel caso in cui il servizio si blocchi parzialmente o totalmente
- Exit Strategies, dovranno essere definite delle exit strategies che, in caso di conclusione del contratto, impegnano l’outsourcer alla continuità del servizio e al suo trasferimento ad altro fornitore/risorse interne dell’istituto
Conclusioni
Le indicazioni fornite dall’EBA nelle Linee Guida EBA/GL/2019/02 avranno un impatto significativo per i destinatari delle stesse ampliando la platea di coloro che si dovranno adeguare (non solo banche ma anche istituti di pagamento e di moneta elettronica) imponendo una revisione/ rafforzamento del modello di gestione delle esternalizzazioni attualmente adottato.
Si dovrà intervenire sia sulle policy aziendali in materia di esternalizzazione di funzioni/attività aziendali, che sui relativi processi sottostanti allineandoli ai principi espressi dalle guideline. Si dovrà implementare il registro relativo ai contratti di outsourcing che, se ben strutturato oltre a adempiere alle obbligazioni riportate da EBA, potrà supportare gli Uffici Acquisti e i Responsabili interni delle attività a migliorare la gestione ed il controllo di tutte le esternalizzazioni.
Alcune novità come la definizione di strategie di uscita e piani di disaster recovery connessi ad ogni contratto di esternalizzazione di FOI, richiederanno poi in sede di sourcing e/o di rinnovo dei contratti ulteriori accurate valutazioni sul fornitore e relativi competitor. Sarà inoltre necessario introdurre, sia nei contratti di futura stipula che in quelli già in essere (a partire dalla prima data di rinnovo), gli elementi/requisiti minimi richiesti dall’Autorità e questo sarà un tema molto più complesso soprattutto per contratti molto datati dove potrebbe essere necessaria la loro completa ristrutturazione e riscrittura invece che semplici amendements di articoli.
Riteniamo che quanto esposto finora, se da una parte può preoccupare gli istituti che dovranno operare degli investimenti ulteriori sia in termini di effort interni che di eventuali spese addizionali, dall’altra costituisce una importante occasione per una approfondita analisi dei contratti in essere che renderà le attività sottese più resilienti ed oggetto di maggior controllo. Tale analisi dei contratti esternalizzati potrebbe anche essere occasione per rivedere gli attuali costi dei servizi per adeguarli ai best pricing di mercato e magari il tutto potrebbe avere con segno positivo sui bilanci degli istituti.
Crediamo infine che il modello proposto, se sicuramente dovrà essere applicato agli istituti indicati nelle EBA/GL/2019/02, potrà costituire un importante spunto di riflessione anche nell’impostazione del modello di outsourcing di altre industry a cominciare proprio dagli stessi fornitori dei servizi di outsourcing sui quali l’EBA non può intervenire direttamente.
AES Buyer, nel corso degli ultimi anni ha maturato una significativa esperienza in tale attività supportando istituti di medie dimensioni nel disegno del modello e nella pratica realizzazione di un framework interno che possa essere in linea con le esigenze espresse nella 285/2013 e poi nella ultima EBA/GL/2019/02 e che al contempo risulti di facile ed utile applicazione e sia assolutamente sostenibile dal punto di vista dei costi soprattutto per le istituzioni medio-piccole.
