Odluka o upravljanju eksternalizacijom

16.11.2020. 07:00 / Izvor: Službeni glasnik Republike Srpske
Odluka o upravljanju eksternalizacijom

Ovom odlukom utvrđuju se minimalni standardi koje je banka dužna da osigura u postupku provođenja eksternalizacije te upravljanja eksternalizacijom i rizikom eksternalizacije.

 

Službeni glasnik Republike Srpske, broj 114, 16.11.2020.

 

Na osnovu člana 5. stav 1. tačka b), člana 20. stav 2. tačka b) i člana 37. Zakona o Agenciji za bankarstvo Republike Srpske (“Službeni glasnik Republike Srpske”, br. 59/13 i 4/17), člana 114. Zakona o bankama Republike Srpske (“Službeni glasnik Republike Srpske”, br. 4/17, 19/18 i 54/19) i člana 6. stav 1. tačka b) i člana 19. tačka b) Statuta Agencije za bankarstvo Republike Srpske (“Službeni glasnik Republike Srpske”, broj 63/17), Upravni odbor Agencije za bankarstvo Republike Srpske, na 27. sjednici, održanoj 29.10.2020. godine, d o n o s i

 

ODLUKU
O UPRAVLJANJU EKSTERNALIZACIJOM

Predmet

 Član 1.

(1) Ovom odlukom utvrđuju se minimalni standardi koje je banka dužna da osigura u postupku provođenja eksternalizacije te upravljanja eksternalizacijom i rizikom eksternalizacije.

(2) Odredbe ove odluke primjenjuju se na banke sa sjedištem u Republici Srpskoj, kojima je Agencija za bankarstvo Republike Srpske (u daljem tekstu: Agencija) izdala dozvolu za rad.

(3) Banka je dužna primjenjivati odredbe ove odluke na pojedinačnom i konsolidiranom osnovu.

(4) Na pitanja vezana za upravljanje rizicima u bankama koja nisu regulirana ovom odlukom, a regulirana su zakonom ili drugim podzakonskim propisima, primjenjuju se odredbe tog zakona ili drugog podzakonskog propisa.

Pojmovi

Član 2.

(1) Pojedini pojmovi koji se koriste u ovoj odluci imaju sljedeće značenje:

1) Eksternalizacija (engl. outsourcing) predstavlja ugovorno povjeravanje obavljanja aktivnosti banke pružaocima usluga, koje bi banka inače obavljala sama.

2) U smislu ove odluke, eksternalizacijom se ne smatraju:

1. aktivnosti koje po zakonu obavlja pružalac usluga (npr. vanjska revizija),

2. usluge servisa za međubankarsku komunikaciju (SWIFT) u slučaju kada se ključni resursi informacionog si- stema nalaze unutar banke,

3. usluge servisa za međubankarsku komunikaciju i trgovanje (Reuters, Bloomberg i sl.),

4. korištenje usluga pružanja informacija o tržištu od strane ECAI-a (Moody’s, Standard & Poor’s, Fitch i sl.),

5. usluge globalne mrežne infrastrukture (Visa, Master- Card i sl.),

6. usluge korespondentskog bankarstva,

7. sistemi poravnanja i usluge namirenja,

8. najam, zakup i nabavka robe (npr. plastičnih kartica, čitača kartica, uredskog materijala, računala, namještaja i dr.), te

9. druge aktivnosti koje banka inače ne obavlja sama (npr. arhitektonske usluge, usluge čišćenja, usluge održavanja objekata, servisno održavanje službenih automobila, ugostiteljske usluge, komunalne usluge, putničke usluge, poštanske usluge, pružanje pravnih mišljenja i zastupanje na sudu i pred organima uprave, zdravstvene usluge i dr.).

3) Aktivnosti koje bi banka inače obavljala sama jesu aktivnosti koje banci omogućavaju obavljanje djelatnosti pružanja bankarskih i/ili finansijskih usluga, uključujući i aktivnosti kojima se podržava obavljanje tih djelatnosti.

4) Rizik eksternalizacije je zajednički naziv za sve rizike koji nastaju kada banka ugovorno povjerava pružaocima usluga obavljanje aktivnosti koje bi inače sama obavljala.

5) Kritične funkcije - u skladu sa članom 2. stav 1. tačka 34. Zakona o bankama Republike Srpske (u daljem tekstu: Zakon o bankama), jesu aktivnosti, usluge ili poslovi čiji bi prekid obavljanja vjerovatno doveo do ugrožavanja stabilno- sti finansijskog sektora ili poremećaja u pružanju neophod- nih usluga realnom sektoru usljed veličine i tržišnog učešća subjekta koji ih obavlja i njegove povezanosti sa ostalim učesnicima u finansijskom sektoru, a naročito uzimajući u obzir mogućnost da neko drugi nesmetano preuzme obavljanje ovih aktivnosti, usluga ili poslova.

6) Ključne funkcije u banci - u skladu sa članom 76. Za- kona o bankama, jesu kontrolne funkcije i ostale funkcije u banci koje imaju značajan uticaj na upravljanje i poslovanje bankom.

7) Kontrolne funkcije - u skladu sa članom 92. Zakona o bankama, jesu: funkcija upravljanja rizicima, funkcija praćenja usklađenosti poslovanja i funkcija interne revizije.

8) Ključne poslovne aktivnosti - u skladu sa članom 2. stav 1. tačka 35. Zakona o bankama, jesu poslovne aktivno- sti i usluge povezane sa ovim aktivnostima čijim se obavljanjem ostvaruje značajan dio prihoda ili dobiti za banku ili bankarsku grupu kojoj ta banka pripada.

9) Pružalac usluga je treća strana koja obavlja određenu eksternaliziranu aktivnost djelimično ili u cjelini, na osnovu ugovora zaključenog sa bankom.

Pružalac usluga može biti:

1. članica bankarske grupe,

2. pravno lice koje je prema propisima države u kojoj je osnovano, odnosno u kojoj ima sjedište, ovlašćeno za obavljanje djelatnosti koja je predmet eksternalizacije ili

3. fizičko lice koje je prema propisima države u kojoj ima prebivalište ovlašćeno za obavljanje djelatnosti koja je predmet eksternalizacije.

10) Podizvođač je pravno lice kojem je pružalac usluga povjerio obavljanje dijela ugovora, odnosno specifičnih zadataka, koje je pružalac usluga ugovorio sa bankom.

11) Usluge clouda jesu usluge koje se pružaju korištenjem cloud infrastrukture, odnosno modela koji omogućava općeprisutan, prilagodljiv, “po zahtjevu” pristup mreži za- jedničke grupe podesivih računarskih resursa (npr. mreža, servera, skladišta podataka, aplikacija i usluga) koje mogu brzo snabdijevati korisnike uz minimalan napor upravljanja ili interakcije sa dobavljačem usluge. Razlikujemo tri tipa usluga (infrastruktura kao usluga - IaaS, platforma kao uslu- ga - PaaS, softver kao usluga - SaaS) i četiri modela upotrebe (javni, privatni, zajednički i hibridni).

12) Javni cloud jeste cloud infrastruktura kojoj može pristupiti šira javnost.

13) Privatni cloud jeste cloud infrastruktura kojoj može pristupiti samo jedan subjekt.

14) Zajednički cloud jeste cloud infrastruktura raspoloživa samo određenom broju subjekata.

15) Hibridni cloud jeste cloud infrastruktura koja je sastavljena od dvije ili više različitih cloud infrastruktura (npr. javni i privatni).

(2) Pojmovi koji nisu definirani ovim članom, a koriste se u ovoj odluci, imaju značenje u skladu sa zakonskim propisima i drugim podzakonskim propisima.

Uvjeti za eksternalizaciju

Član 3.

(1) Banka smije eksternalizirati aktivnosti koje joj omogućavaju obavljanje djelatnosti pružanja bankarskih ili finansijskih usluga, uključujući i aktivnosti kojima se  podržava obavljanje tih djelatnosti, ako eksternalizacija ne narušava:

1) obavljanje redovnog poslovanja banke,

2) efikasno upravljanje rizicima banke,

3) sistem unutrašnjih kontrola banke i

4) mogućnost obavljanja nadzora Agencije nad eksternaliziranim materijalno značajnim aktivnostima.

(2) Banka ne smije eksternalizirati djelatnost pružanja bankarskih ili finansijskih usluga za koje je dobila dozvolu za rad i ovlašćenje od strane Agencije, u skladu sa važećim propisima.

(3) Banka ugovorima o eksternalizaciji ne smije delegirati ili prenijeti prava i obaveze organa upravljanja koje se, između ostalog, odnose na uspostavljanje strategije, politike i procedura za upravljanje rizicima.

(4) Banka ne smije eksternalizirati ključne funkcije u banci, uključujući i kontrolne funkcije.

(5) Izuzetno od stava 4. ovog člana, banka smije ekster- nalizirati aktivnosti interne revizije koje se odnose na određene specifične segmente poslovanja koji zahtijevaju posebna specijalistička znanja (npr. interna revizija informacionih sistema) uz sljedeće uvjete:

1) da banka povjeri aktivnost interne revizije privrednom društvu koje je ovlašćeno za obavljanje interne revizije ili članici iste bankarske grupe,

2) da se prilikom provođenja interne revizije poštuju odredbe Zakona o bankama i podzakonskih propisa Agencije kojima se regulira oblast interne revizije u Republici Srpskoj,

3) da lica koja obavljaju internu reviziju posjeduju struč- na znanja i vještine iz oblasti koja je predmet interne revizije (npr. međunarodno priznate certifikate za reviziju informacionog sistema),

4) da banka, ukoliko provođenje interne revizije odre- đenog segmenta poslovanja povjeri privrednom društvu za reviziju, osigura da isto privredno društvo ne može u toj godini vršiti vanjsku reviziju tog segmenta poslovanja banke.

Materijalno značajne aktivnosti

Član 4.

(1) Materijalno značajne aktivnosti jesu:

1) aktivnosti od takvog značaja da bilo kakva slabost ili greška u pružanju tih aktivnosti može imati znatan uticaj na mogućnost banke da zadovolji zakonske i regulatorne zahtjeve i/ili nastavi svoje poslovanje, odnosno pružanje bankarskih usluga i aktivnosti,

2) aktivnosti koje mogu imati znatan uticaj na upravljanje rizicima i finansijski rezultat banke,

3) aktivnosti koje banci omogućavaju obavljanje ključnih poslovnih aktivnosti i kritičnih funkcija i

4) sve aktivnosti vezane za obavljanje funkcije interne revizije, koje se u skladu sa članom 3. stav 5. mogu eksternalizirati.

(2) Prilikom procjene da li je aktivnost koja se eksternalizira materijalno značajna banka uzima u obzir sljedeće:

1) Da li je ugovor o eksternalizaciji direktno povezan sa pružanjem bankarskih usluga i obavljanjem poslova za koje je banka dobila dozvolu za rad;

2) Mogući uticaj bilo kakvog prekida eksternalizirane aktivnosti ili nemogućnosti pružaoca usluga da kontinuirano i na adekvatan način vrši eksternalizirane aktivnosti na:

1. kratkoročno i dugoročno poslovanje banke, uključujući, ako je primjenjivo, uticaj na finansijski rezultat, kapital i likvidnost,

2. kontinuitet poslovanja banke,

3. operativni rizik, uključujući rizik izvršenja, rizik informaciono-komunikacionih tehnologija (u daljem tekstu: IKT) te pravni rizik,

4. reputacioni rizik,

5. plan oporavka i restrukturiranja, mogućnost restrukturiranja i kontinuitet poslovanja banke u situaciji rane intervencije, oporavka ili restrukturiranja;

3) Mogući uticaj ugovora o eksternalizaciji na sposobnost banke da:

1. utvrđuje i prati rizike te upravlja njima,

2. ispunjava sve zakonske i regulatorne zahtjeve,

3. provodi reviziju eksternaliziranih aktivnosti u skladu sa članom 17. ove odluke;

4) Mogući uticaj na usluge koje banka pruža svojim kli- jentima;

5) Sve ugovore o eksternalizaciji, ukupnu izloženost banke prema istom pružaocu usluga i mogući kumulativni efekat ugovora o eksternalizaciji koji se odnose na isti segment poslovanja;

6) Veličinu i složenost područja poslovanja obuhvaćenog eksternalizacijom;

7) Mogućnost prilagođavanja predloženog ugovora o eksternalizaciji bez zamjene ili revidiranja osnovnog ugovora;

8) Mogućnost prijenosa, ugovorno i u praksi, ugovora o eksternalizaciji na drugog pružaoca usluga ako je to potrebno, uključujući procijenjene rizike, prepreke za osiguranje kontinuiteta poslovanja, troškove i vremenski okvir u kojem to treba učiniti (“zamjenjivost”);

9) Okolnosti koje mogu dovesti do toga da aktivnost koja inicijalno nije procijenjena kao materijalno značajna naknadno postane materijalno značajna;

10) Mogućnost vraćanja eksternalizirane aktivnosti unutar banke, ako je to potrebno;

11) Zaštitu podataka i mogući uticaj povrede povjerljivosti ili propusta u osiguravanju raspoloživosti i integriteta podataka na banku i njene klijente.

(3) Banka smije eksternalizirati materijalno značajne aktivnosti sljedećim pružaocima usluga:

1) članici bankarske grupe ili

2) bilo kojem pravnom licu koje je prema propisima države u kojoj je osnovano, odnosno u kojoj ima sjedište ovlašćeno za obavljanje djelatnosti koje su predmet eksternalizacije.

Odgovornosti nadzornog odbora i uprave banke 

Član 5.

(1) Nadzorni odbor dužan je, kao minimum, da:

1) uspostavi adekvatan sistem upravljanja eksternalizacijom i rizikom eksternalizacije te svim drugim rizicima povezanim sa eksternalizacijom,

2) donese adekvatne strategije, odnosno politike za upravljanje rizikom eksternalizacije, osigura uvjete za njihovo provođenje i nadzire njihovo provođenje, uzimajući u obzir poslovni model banke i sklonost ka preuzimanju rizika,

3) osigura postupanje banke po zakonu, ovoj odluci i drugim propisima, strategiji, odnosno politikama,

4) identificira potencijalni sukob interesa, procijeni ga i upravlja njime,

5) propiše sadržaj i periodičnost izvještavanja nadzornog odbora i drugih relevantnih odbora, tijela ili lica u vezi sa eksternaliziranim aktivnostima, a najmanje jednom godišnje,

6) donosi odluku o materijalno značajnoj eksternalizaciji i

7) uspostavi efikasan sistem unutrašnje kontrole i osigura da kontrolne funkcije banke kontinuirano prate i provjeravaju da li banka eksternalizaciju aktivnosti obavlja u skladu  sa zakonom, ovom odlukom, drugim propisima, strategijom, politikama, procedurama i drugim internim aktima banke.

(2) Uprava banke dužna je, kao minimum, da:

1) priprema i nadzornom odboru predlaže strategije, odnosno politiku za upravljanje rizikom eksternalizacije, te donosi ostale interne akte u vezi sa eksternalizacijom,

2) najmanje jednom godišnje analizira strategije i politike za upravljanje rizikom eksternalizacije, prilagođava ih promjenama ekonomsko-tržišnih uvjeta i predlaže nadzornom odboru njihovo usvajanje,

3) uspostavi i osigura primjenu procedura za identifikaciju, mjerenje, odnosno procjenu, praćenje, analizu i kontrolu rizika eksternalizacije te svih drugih rizika povezanih sa eksternalizacijom,

4) osigura praćenje ekonomskih i tržišnih uvjeta radi predviđanja mogućih promjena, uključujući finansijsko stanje pružaoca usluga,

5) osigura provođenje efikasnog sistema unutrašnje kontrole i uvjete da kontrolne funkcije banke kontinuirano prate i ocjenjuju politike, procedure i ostale interne akte i njihovo provođenje,

6) osigura povjerljivost u smislu zaštite podataka i drugih informacija putem ugovora,

7) osigura nesmetan tok relevantnih informacija sa pružaocem usluga,

8) pravovremeno osigura nesmetano provođenje eksternaliziranih aktivnosti koje su materijalno značajne (npr. kada se ta aktivnost prenosi na drugog pružaoca usluga, kada banka preuzima navedenu aktivnost od pružaoca usluge i slično) i

9) uspostavi i implementira odgovarajući sistem izvještavanja uprave i nadzornog odbora o eksternaliziranim aktivnostima.

(3) Organi upravljanja banke zadržavaju punu odgovornost za efikasnu primjenu ove odluke i usklađivanje predmet- ne eksternalizacije sa svim regulatornim zahtjevima i u slučaju eksternalizacije aktivnosti u okviru iste bankarske grupe.

Standardi za upravljanje rizikom eksternalizacije 

Član 6.

(1) Banka je dužna uspostaviti efikasan sistem upravljanja eksternalizacijom i rizikom eksternalizacije, srazmjeran vrsti, obimu i složenosti poslova banke i složenosti eksternaliziranih aktivnosti.

(2) Banka je dužna osigurati da članovi organa upravlja- nja banke imaju vještine i sposobnosti koje osiguravaju adekvatno upravljanje eksternaliziranim aktivnostima i nadzor nad njima te da eksternalizirane aktivnosti budu na adekvatan način obuhvaćene sistemom unutrašnjih kontrola banke.

(3) Banka je dužna donijeti i provoditi odgovarajuće interne akte kojima se propisuju postupci u vezi sa eksternalizacijom, a koji obuhvaćaju, kao minimum, sljedeće:

1) Jasno definirane nadležnosti i odgovornosti u pogledu donošenja odluka o eksternalizaciji i njihovim izmjenama, upravljanja eksternalizacijom i rizikom eksternalizacije unutar banke;

2) Procedure i postupke koji se provode prije sklapanja ugovora sa pružaocem usluga, uključujući:

1. definiranje poslovnih zahtjeva u pogledu ugovora o eksternalizaciji,

2. kriterije i postupke za utvrđivanje materijalno značajnih aktivnosti,

3. način utvrđivanja, procjene i ublažavanja rizika koji proizilaze iz eksternalizacije,

4. način provođenja dubinske analize potencijalnih pružalaca usluga u ovisnosti o rezultatima procjene rizika,

5. postupke za utvrđivanje i procjenu potencijalnih sukoba interesa, upravljanje tim sukobima i njihovo smanjenje,

6. način planiranja kontinuiteta poslovanja,

7. definiranje kriterija za izbor pružaoca usluga i

8. postupak odobravanja novih ugovora o eksternalizaciji;

3) Način provođenja, praćenja i upravljanja ugovorima o eksternalizaciji, uključujući:

1. kontinuiranu procjenu rada pružaoca usluga,

2. postupke obavještavanja o promjenama i postupanja banke u slučaju promjena ugovora o eksternalizaciji ili okolnostima u vezi sa pružaocem usluga (npr. finansijsko stanje, organizaciona ili vlasnička struktura, odnosi sa podizvođa- čima itd.),

3. neovisnu provjeru usklađenosti sa zakonskim i regulatornim zahtjevima i internim aktima banke od strane funkcije praćenja usklađenosti poslovanja i

4. postupke obnavljanja ugovora;

4) Način dokumentiranja i vođenja registra o eksternaliziranim aktivnostima;

5) Način definiranja izlaznih strategija i postupaka za otkaz ili raskid ugovora;

6) Način obavljanja nadzora nad aktivnostima koje su predmet ugovora, odnosno obaveze i odgovornosti nadležnog organizacionog dijela, osiguravajući adekvatan nivo znanja i iskustva uposlenika koji obavljaju nadzor nad ek- sternalizacijom i upravljanje njome i

7) Način izvještavanja nadzornog odbora i uprave banke o aktivnostima i rizicima eksternalizacije.

(4) Banka treba u svojim internim aktima napraviti razliku između:

1) eksternalizacija materijalno značajnih aktivnosti i drugih eksternalizacija,

2) eksternalizacija unutar grupe i eksternalizacija izvan grupe i

3) eksternalizacija pružaocima usluga u Bosni i Hercegovini i eksternalizacija pružaocima usluga u drugim zemljama.

Registar eksternaliziranih aktivnosti

Član 7.

(1) Banka je dužna da vodi detaljan registar eksternaliziranih aktivnosti, koji kao minimum treba da sadrži sljedeće podatke:

1) broj, naziv i datum potpisivanja ugovora,

2) trajanje ugovora kao i ugovoreni otkazni rok,

3) predmet eksternalizacije, opis eksternaliziranih aktivnosti, podatke koji se eksternaliziraju i informaciju o tome da li se vrši prijenos osobnih podataka,

4) procjenu troškova eksternalizacije na godišnjem nivou,

5) naziv pružaoca usluge,

6) procjenu troškova eksternalizacije na godišnjem nivou,

7) naziv podizvođača u slučaju angažmana,

8) oznaku materijalne značajnosti i kratak opis razloga zašto se aktivnost smatra materijalno značajnom,

9) ime lica, odnosno naziv organizacionog dijela banke odgovornog za eksternalizaciju,

10) zemlju ili zemlje gdje će se usluga vršiti, lokaciju čuvanja i obrade podataka,

11) u slučaju pružanja usluge clouda, tip usluge, model upotrebe, vrstu podataka i lokaciju njihovog čuvanja,

12) datum posljednje procjene materijalne značajnosti aktivnosti.

(2) U slučaju eksternalizacije materijalno značajnih aktivnosti, registar eksternaliziranih aktivnosti, pored navedenog u stavu 1. ovog člana, treba da sadrži i:

1) spisak svih banaka ili privrednih društava unutar iste grupe koji koriste te eksternalizirane usluge, ukoliko je primjenjivo,

2) podatak da li je pružalac usluga ili podizvođač dio grupe ili je u vlasništvu neke od članica grupe,

3) mjerodavno pravo,

4) datum posljednje procjene rizika vezane uz datu ek- sternalizaciju i pregled glavnih zaključaka,

5) datum posljednje i sljedeće planirane revizije, ako je primjenjivo,

6) nazive svih podizvođača kojima je eksternalizirano obavljanje dijelova materijalno značajnih aktivnosti,

7) rezultat procjene zamjenjivosti pružaoca usluga (laka, teška, nemoguća), te mogućnost da banka nastavi obavljanje eksternalizirane materijalno značajne aktivnosti ili uticaj prekida u obavljanju materijalno značajne aktivnosti,

8) identifikaciju alternativnih pružalaca usluga u skladu sa tačkom 7. ovog stava,

9) podatak o tome da li je eksternalizirana materijalno značajna aktivnost koja podržava poslovne aktivnosti koje su vremenski kritične.

Analiza prije eksternalizacije 

Član 8.

(1) Prije donošenja svake odluke o eksternalizaciji banka je dužna:

1) Utvrditi da li planirani poslovni odnos, odnosno pla- nirani ugovor sa pružaocem usluga odgovara definiciji eksternalizacije. U okviru te procjene banka treba uzeti u obzir da li pružalac usluga aktivnost (ili neki njen dio) koja mu se eksternalizira izvršava redovno ili kontinuirano i da li ta ak- tivnost (ili neki njen dio) predstavlja aktivnost koju bi banka inače obavljala sama;

2) Procijeniti da li su ispunjeni uvjeti za eksternalizaciju iz člana 3. ove odluke;

3) Procijeniti složenost eksternaliziranih usluga i njihovu materijalnu značajnost u skladu sa članom 4. ove odluke;

4) Identificirati i procijeniti sve rizike koji proizilaze iz eksternalizacije, a najmanje:

1. Utvrditi i razvrstati relevantne aktivnosti i povezane podatke i sisteme s obzirom na njihovu osjetljivost i potrebne mjere zaštite;

2. Provesti detaljnu analizu aktivnosti i povezanih poda- taka i sistema koje obuhvaća eksternalizacija, te razmotriti moguće rizike, prije svega operativne, uključujući pravni, reputacioni, IKT rizik i rizik usklađenosti. Ova procjena tre- ba uključivati, prema potrebi, scenarije mogućih događaja povezanih sa rizikom, uključujući događaje s velikim gubicima. U okviru analize scenarija banka treba procijeniti mogući uticaj prekida pružanja usluga ili njihovog neadekvatnog pružanja, uključujući rizike koji proizlaze iz neuspješnih ili neadekvatnih procesa, sistema, propusta u radu uposlenika ili eksternih događaja;

3. Razmotriti uticaj rizika koncentracije koji proizilaze iz eksternalizacije značajnom pružaocu usluga kojeg nije jednostavno zamijeniti i većeg broja ugovora o eksternalizaciji sklopljenih sa istim pružaocem usluga ili povezanim pružao- cima usluga, te ukupne rizike koji proizilaze iz eksternalizi- ranih aktivnosti banke;

4. Utvrditi rizik koji može proizilaziti iz potrebe pružanja finansijske podrške pružaocu usluga koji se suočava sa poteškoćama ili zbog potrebe preuzimanja njegovih poslovnih djelatnosti;

5. Razmotriti uticaj lokacije pružaoca usluga (u BiH ili izvan BiH), moguća ograničenja u pogledu nadzora povezana sa zemljama u kojima će se pružati eksternalizirane usluge i skladištiti i obrađivati podaci, te razmotriti političku stabilnost i sigurnosno stanje predmetnih država, kao i rele- vantni regulatorni okvir;

6. Definirati i donijeti odluku o adekvatnom nivou zašti- te povjerljivosti podataka, kontinuitetu poslovanja pružaoca usluga, te integritetu podataka i sistema u kontekstu planira- ne eksternalizacije. Banka treba da razmotri i konkretne mje- re koje se odnose na skladištenje, upotrebu i prijenos podataka, uključujući mogućnost upotrebe tehnologija enkripcije;

5) Provesti odgovarajuću analizu potencijalnih pružalaca usluga;

6) Ako ugovor o eksternalizaciji materijalno značajne aktivnosti uključuje mogućnost da pružalac usluga angažira podizvođača, banka treba da uzme u obzir sve povezane rizike, uključujući dodatne rizike koji mogu nastati ako je lokacija podizvođača u zemlji različitoj od one u kojoj je pružalac usluga i

7) Utvrditi i procijeniti sukobe interesa koji bi mogli proizaći iz eksternalizacije, te preduzeti odgovarajuće mjere radi upravljanja tim sukobima interesa.

(2) Kada je riječ o materijalno značajnim aktivnostima, banka treba provesti dubinsku analizu pružaoca usluga, tj. treba osigurati da pružalac usluga ima poslovni ugled, odgovarajuće sposobnosti, stručnost, kapacitete, resurse (npr. ljudske, IKT, finansijske), organizacionu strukturu, te da je registrovan za obavljanje materijalno značajnih aktivnosti. Ovo uključuje i:

1) analizu poslovnog modela, prirodu, veličinu, slože- nost, finansijsko stanje i vlasničku strukturu pružaoca usluga,

2) analizu dugoročnih odnosa sa pružaocima usluga koji su već procijenjeni i pružaju usluge banci.

(3) Ako eksternalizacija uključuje obradu osobnih ili povjerljivih podataka, banka se treba uvjeriti da pružalac usluga provodi odgovarajuće tehničke i organizacione mjere potrebne za zaštitu podataka.

(4) Banka treba preduzeti odgovarajuće korake kako bi osigurala da pružaoci usluga postupaju u skladu sa njenim vrijednostima i kodeksom ponašanja. Konkretno, kada je riječ o pružaocima usluga u drugim zemljama i, ako je pri- mjenjivo, njihovim podizvođačima, banka se treba uvjeriti da pružalac usluga posluje na etički i društveno odgovoran način.

(5) Odluka o eksternalizaciji treba biti usklađena sa poslovnom strategijom i ciljevima banke i treba da sadrži obrazloženje koje obuhvaća detaljan opis aktivnosti koje se namjeravaju eksternalizirati i razloge donošenja odluke o ek- sternalizaciji.

Ugovorni odnos banke i pružaoca usluga 

Član 9.

(1) Pri sklapanju ugovora sa pružaocem usluga banka je dužna voditi računa o tome da ugovorne odredbe prema svom obimu i sadržaju budu odgovarajuće, tj. srazmjerne rizicima eksternalizacije te obimu i složenosti eksternaliziranih aktivnosti.

(2) Banka je dužna sa pružaocem usluga sklopiti ugovor u pisanom obliku, koji će jasno definirati sve relevantne pojmove, uvjete, prava, obaveze i odgovornosti ugovornih strana.

(3) Ugovor o eksternalizaciji kao minimum sadrži sljedeće:

1) detaljan opis aktivnosti koje su predmet ugovora,

2) mjesto, vrijeme i način ispunjavanja ugovornih obaveza,

3) trajanje ugovora, tj. datum početka i kraja ugovora,

4) način nadzora nad obavljanjem aktivnosti koje su predmet ugovora od strane banke na kontinuiranom osnovu, te obavezu izvještavanja banke od strane pružaoca usluga, 

5) opis očekivanog kvaliteta i nivoa usluga,

6) finansijske obaveze ugovornih strana,

7) lokaciju gdje će se aktivnost izvršavati, uključuju- ći eventualno skladištenje podataka i uvjete koji se moraju ispuniti, te zahtjev o obavještavanju banke ukoliko pružalac usluge odluči da promijeni lokaciju obavljanja aktivnosti,

8) mogućnost angažiranja podizvođača, uz navođenje neophodnih uvjeta,

9) obavezu pružaoca usluga da pri pružanju usluga u pot- punosti postupa u skladu sa postojećim propisima Republike Srpske i Bosne i Hercegovine,

10) obavezu čuvanja poslovne tajne, te obavezu čuvanja i način zaštite povjerljivih podataka, zahtjeve za raspoloživost i integritet relevantnih podataka,

11) obavezu pružaoca usluga da pravovremeno obavije- sti banku o svim činjenicama i promjenama okolnosti koje znatno utiču, ili bi mogle znatno uticati, na ispunjavanje ugo- vornih obaveza,

12) detaljan opis uvjeta za raskid i/ili otkaz ugovora, uključujući pravo banke da raskine, odnosno otkaže ugovor sa pružaocem usluga (na zahtjev banke ili po nalogu Agen- cije),

13) odredbe u pogledu pravovremenog otklanjanja sigur- nosnih rizika i drugih nedostataka identificiranih u pružanju usluge (na zahtjev banke ili po nalogu Agencije),

14) pravo pristupa podacima od strane banke u slučaju stečaja, restrukturiranja ili prekida poslovnih aktivnosti pru- žaoca usluga,

15) obavezu pružaoca usluga o saradnji sa Agencijom, uključujući i druga lica koja ona imenuje,

16) izbor mjerodavnog prava i

17) način rješavanja sporova.

(4) Ukoliko se radi o eksternalizaciji materijalno značaj- nih aktivnosti, ugovor, osim odredaba iz stava 3. ovog člana, mora sadržati i sljedeće:

1) obavezu pružaoca usluga da Agenciji omogući oba- vljanje direktnog nadzora nad dijelom poslovanja pružaoca usluga koji ima veze ili se može dovesti u vezu sa eksternalizacijom, kao i direktni nadzor nad obavljanjem aktiv- nosti koje su predmet ugovora, te da osigura pravovremen, neograničen i nesmetan pristup dokumentaciji, prostorijama, odgovornim licima i podacima koji su povezani sa eksternalizacijom, a u posjedu su pružaoca usluga,

2) obavezu pružaoca usluga da neće trećim licima otkriti ili objaviti posjetu od strane Agencije,

3) zahtjev da pružalac usluga ima ugovor o osiguranju od profesionalne odgovornosti,

4) detaljan opis prava i obaveza ugovornih strana u slučaju pokretanja postupka restrukturiranja banke, posebno uzevši u obzir ovlašćenja Agencije iz čl. 235-238. Zakona o bankama,

5) detaljan opis prava i obaveza ugovornih strana u slučaju prijevremenog prestanka ugovora radi osiguranja kontinuiteta pružanja usluga,

6) zahtjeve za primjenu i testiranje planova kontinuiteta poslovanja.

(5) Pružalac usluga ima obavezu da, prije zaključenja ugovora sa podizvođačem, osigura da je ugovor pružaoca usluga sa podizvođačem usaglašen sa stavkama ugovora banke i pružaoca usluga, te da podizvođač ispunjava sve zahtjeve definirane ugovorom, ovom odlukom i drugim zakonskim i podzakonskim propisima, kao i da osigura ista prava pristupa i nadzora banci i Agenciji kao što je osigurao pružalac usluga.

(6) U slučaju eksternalizacije dijela materijalno značajne aktivnosti na podizvođača potrebno je da banka ugovorom zahtijeva od pružaoca usluga i sljedeće:

1) Detaljan opis aktivnosti koje će biti prenesene na podizvođača;

2) Navođenje određenih uvjeta koji moraju biti ispunjeni u tom slučaju;

3) Obavezu pružaoca usluge da u pisanom obliku i u skladu sa ugovorenim rokovima obavijesti banku o svakom planiranom angažiranju podizvođača ili značajnim promje- nama, posebno ukoliko one mogu uticati na sposobnost pru- žaoca usluga da ispuni svoje obaveze iz ugovora o eksternalizaciji. Ugovoreni rokovi za obavještavanje banke trebaju najmanje omogućiti banci da provede procjenu rizika prije angažiranja podizvođača ili značajnih promjena;

4) Obavezu pružaoca usluga da vrši kontrolu nad prenesenim aktivnostima;

5) Da osigura da banka ima pravo prigovora na planirano angažiranje podizvođača ili njene značajne promjene ili da se zahtijeva izričito odobrenje banke za planirano angažiranje podizvođača ili njene značajne promjene i

6) Mogućnost banke da raskine ugovor u slučaju da prijenos usluga na podizvođača povećava rizike kojima je banka izložena samom eksternalizacijom.

(7) Ugovorom o eksternalizaciji treba izričito omogućiti banci da otkaže ugovor, u skladu sa mjerodavnim pravom, u sljedećim situacijama:

1) ako pružalac usluga krši mjerodavno pravo, propise ili ugovorne odredbe,

2) ako se utvrde prepreke koje bi mogle izmijeniti način obavljanja eksternalizirane aktivnosti,

3) ako postoje materijalno značajne promjene koje utiču na eksternalizaciju ili pružaoca usluga (npr. angažiranje podizvođača ili promjena podizvođača),

4) ako postoje slabosti u pogledu upravljanja povjerljivim, osobnim ili na drugi način osjetljivim podacima ili in- formacijama ili u pogledu njihove sigurnosti i

5) ako Agencija izda takav nalog (na primjer, ako Agencija zbog eksternalizacije više nije u mogućnosti efikasno obavljati nadzor nad bankom).

(8) Ugovorom o eksternalizaciji treba definirati moguć- nost prijenosa eksternalizacije na drugog pružaoca usluga ili vraćanja aktivnosti unutar banke. Iz tog razloga pisanim ugovorom o eksternalizaciji treba:

1) jasno utvrditi obaveze postojećeg pružaoca usluga u slučaju prijenosa eksternalizirane aktivnosti na drugog pru- žaoca usluga ili vraćanja aktivnosti unutar banke, uključujući obaveze u pogledu postupanja sa podacima,

2) utvrditi odgovarajući otkazni rok kako bi se smanjio rizik prekida obavljanja eksternalizirane aktivnosti i

3) utvrditi obavezu pružaoca usluga da pruži podršku banci prilikom prijenosa aktivnosti u slučaju raskida i/ili ot- kaza ugovora o eksternalizaciji.

Izlazna strategija 

Član 10.

(1) Banka je dužna, u skladu sa članom 6. stav 3. tačka 5. ove odluke, da usvoji izlaznu strategiju i postupke za slučaje- ve kada dođe do otkaza ugovora o eksternalizaciji, stečaja ili likvidacije pružaoca usluga, narušavanja kvaliteta eksternaliziranih aktivnosti i potencijalnih poslovnih poremećaja pro- uzrokovanih neodgovarajućim ili neuspješnim obavljanjem eksternalizirane aktivnosti. Izlazna strategija uključuje:

1) ciljeve,

2) analizu uticaja u smislu identificiranja potrebnih finansijskih i ljudskih resursa s ciljem implementacije strategije i vremena koje je potrebno za njeno provođenje,

3) raspodjelu odgovornosti i nadležnosti za upravljanje izlaznom strategijom i prijenosom aktivnosti,

4) kriterije po kojima se ocjenjuje da li je prijenos aktivnosti i podataka izvršen na adekvatan način, 

5) indikatore koji treba da upućuju na aktiviranje izlazne strategije,

6) strategiju nastavka obavljanja eksternaliziranih aktivnosti od strane drugog pružaoca usluga ili vraćanje istih aktivnosti unutar banke, te osiguranje uvjeta za njeno pro- vođenje.

(2) Banka je dužna da u okviru svog redovnog testiranja kontinuiteta poslovanja uključi i scenario vezan za nemogućnost pružaoca usluga da na adekvatan način vrši eksternalizirane materijalno značajne aktivnosti. Navedeni scenario treba da uključi i mogućnost stečaja ili likvidacije pružaoca usluga ili uticaj relevantnih rizika na poslovanje pružaoca usluge (npr. politički rizici u državi pružaoca usluga).

Sigurnost podataka 

Član 11.

(1) Banka treba osigurati da pružaoci usluga, kad je to relevantno, poštuju odgovarajuće standarde IKT sigurnosti.

(2) Prema potrebi (npr. kad je riječ o eksternalizaciji usluga clouda ili drugoj eksternalizaciji u području IKT-a), banka treba u ugovoru o eksternalizaciji definirati zahtjeve u pogledu sigurnosti podataka i sistema te kontinuirano pratiti usklađenost sa tim zahtjevima.

(3) U slučaju eksternalizacije usluga clouda i drugih ugovora o eksternalizaciji, koji uključuju rukovanje osobnim ili povjerljivim podacima te njihov prijenos, banka treba primjenjivati pristup zasnovan na procjeni rizika s obzirom na lokaciju ili lokacije (tj. zemlju ili regiju) za skladištenje i obradu podataka, te pitanja sigurnosti in- formacija.

(4) Ukoliko se lokacija za skladištenje i obradu podata- ka nalazi izvan teritorije Bosne i Hercegovine, neophodno je uzeti u obzir razlike među nacionalnim propisima o zaštiti podataka. Banka treba osigurati da ugovor o eksterna- lizaciji uključuje obavezu pružaoca usluga da čuva povjer- ljive, osobne ili na drugi način osjetljive informacije, te da poštuje sve zakonske i regulatorne zahtjeve koji se odnose na zaštitu podataka, a primjenjuju se na banku (npr. zaštita osobnih podataka i poštovanje bankarske tajne ili sličnih zakonskih i regulatornih obaveza u pogledu povjerljivosti koje se odnose na informacije o klijentima, ukoliko je pri- mjenjivo).

Pravo pristupa podacima i pravo na reviziju 

Član 12.

(1) Banka je dužna osigurati da pružalac usluga omogući samoj banci, ovlašćenom revizoru banke, Agenciji i trećim stranama koje imenuje Agencija pravovremen, neograničen i nesmetan pristup dokumentaciji, relevantnim poslovnim prostorima (sjedište, računarski centar i dr.), uključujući pristup svim relevantnim uređajima, sistemima, mrežama, informacijama i podacima koji se koriste za pružanje ekster- nalizirane aktivnosti, a nalaze se u posjedu pružaoca usluga ili podizvođača, kao i svim povezanim finansijskim informacijama i odgovornim licima.

(2) Ukoliko se radi o eksternalizaciji aktivnosti koje nisu materijalno značajne, banka je pravo pristupa i pravo na reviziju iz stava 1. ovog člana dužna osigurati na bazi procjene rizika, imajući u vidu prirodu eksternalizirane aktivnosti, te povezani operativni i reputacioni rizik, uticaj na kontinuirano obavljanje aktivnosti i ugovoreni period.

(3) Banka je dužna osigurati da se ugovorom o ek- sternalizaciji ili nekim drugim ugovorom ne sprečava, niti ugrožava njeno uspješno ostvarivanje prava pristupa i prava na reviziju banke, kao ni pravo pristupa i pra- vo na reviziju Agencije ili trećih lica koja je imenovala Agencija.

(4) Ugovori i nalazi, kao i izvještaji internih i vanjskih revizora koji se odnose na eksternalizirane aktivnosti, treba

da budu dostupni na jednom od zvaničnih jezika u Republici Srpskoj.

(5) Banka treba ostvarivati svoja prava pristupa i prava na reviziju, utvrđivati učestalost revizije i područja u kojima treba provesti reviziju na osnovu pristupa zasnovanog na procjeni rizika, te poštovati relevantne nacionalne i međuna- rodne standarde revizije.

(6) U provođenju svog prava pristupa i prava na reviziju banka može primjenjivati:

1) grupne revizije, organizirane zajedno sa drugim kli- jentima istog pružaoca usluga, koje provode one same i ti klijenti ili treća strana koju su oni imenovali da bi se racionalnije iskoristili resursi za reviziju i da bi se klijentima i pružaocu usluga smanjilo organizaciono opterećenje i

2) certifikate trećih strana i revizorske izvještaje trećih strana ili izvještaje interne revizije koje je pružalac usluga stavio na raspolaganje.

(7) Ukoliko se radi o materijalno značajnim aktivnosti- ma, banka treba procijeniti da li su certifikati i izvještaji trećih strana navedeni u stavu 6. tačka 2. ovog člana dovoljni za ispunjavanje regulatornih zahtjeva, pri čemu se ne treba dugoročno oslanjati samo na ove izvještaje.

(8) Banka se treba služiti metodom iz stava 6. tačka 2. ovog člana samo u sljedećim slučajevima:

1) ako je zadovoljna planom revizije za eksternaliziranu aktivnost,

2) ako osigura da obuhvat certifikacije ili revizorskog izvještaja uključuje sisteme (tj. postupke, aplikacije, infrastrukturu, računarske centre itd.) i kontrole koje je banka utvrdila kao ključne, kao i usklađenost sa relevantnim regu- latornim zahtjevima,

3) ako detaljno i kontinuirano pregleda sadržaj revizor- skih izvještaja i obuhvat certifikacije, te provjerava da navedeni nisu zastarjeli, tj. da su i dalje relevantni,

4) ako je zadovoljna osposobljenošću privrednog društva koje obavlja reviziju i pravnog lica koje provodi certifikaciju (npr. u pogledu promjene privrednog društva koje obavlja reviziju i pravnog lica za certifikaciju, kvalifikacija, struč- nosti i sl.),

5) ako se uvjerila da se certifikati izdaju i revizije provo- de u skladu sa relevantnim profesionalnim standardima, te uključuju testiranje operativne efikasnosti postojećih ključ- nih kontrola,

6) ako ima ugovorno pravo zatražiti proširenje obuhva- ta certifikacije ili revizorskih izvještaja na druge relevantne sisteme i kontrole, pri čemu broj i učestalost takvih zahtjeva treba da budu razumni i opravdani sa stanovišta upravljanja rizicima i

7) ako zadržava ugovorno pravo obavljanja, prema vla- stitoj odluci, pojedinačnih revizija materijalno značajnih eksternaliziranih aktivnosti.

(9) Banka je dužna osigurati provođenje penetracionih testiranja kako bi provjerila efikasnost implementiranih mjera zaštite, kontrola i postupaka u području IKT-a, u slučajevi- ma kada se podaci (ključni IKT sistemi) nalaze kod pružaoca usluga.

(10) Banka, Agencija ili treće strane koje su Agencija ili banka imenovale treba da pravovremeno obavijeste pružaoca usluga o obavljanju revizije na lokaciji pružaoca usluga, osim u slučajevima kada bi to dovelo do situacije u kojoj revizija više ne bi bila efikasna.

(11) Pri obavljanju revizija u okruženjima sa više klijena- ta treba preduzeti mjere kojima se izbjegavaju ili ublažavaju rizici za okruženje nekog drugog klijenta (npr. uticaj na nivo usluge, raspoloživost podataka, povjerljivost itd.).

(12) Ako eksternalizacija podrazumijeva visok nivo teh- ničke složenosti, na primjer u slučaju eksternalizacije usluga clouda, banka treba provjeriti da li lice koje provodi reviziju, bez obzira na to radi li se o njenim internim revizorima, grupi revizora ili vanjskim revizorima, ima odgovarajuće i relevantne vještine i znanja za efikasno provođenje revizije i/ ili procjena. Isto se odnosi i na lica u banci koja vrše pregled revizorskih izvještaja i certifikate trećih strana.

Nadzor nad eksternaliziranim aktivnostima

Član 13.

(1) Banka je dužna preduzeti odgovarajuće mjere kako bi osigurala da eksternalizirane aktivnosti zadovoljavaju standarde kvaliteta koji bi bili primijenjeni u slučaju obavljanja istih aktivnosti unutar banke. Pri tome, banka je u potpunosti odgovorna za ispunjenje svih regulatornih zahtjeva koji se tiču eksternaliziranih aktivnosti.

(2) Banka je dužna kontinuirano pratiti rad pružaoca usluga kada je riječ o svim ugovorima o eksternalizaciji, na bazi procjene rizika, a obavezno ukoliko se radi o eksterna- lizaciji materijalno značajnih aktivnosti, uključujući raspo- loživost, integritet i povjerljivost podataka i informacija. Pri tome je dužna da:

1) osigura da joj pružaoci usluga dostavljaju odgovarajuće izvještaje,

2) ocjenjuje rad pružaoca usluga na osnovu ključnih pokazatelja uspješnosti, izvještaja o isporuci usluge, relevant- nih certifikata i izvještaja o neovisnim provjerama i

3) prati i analizira sve druge relevantne informacije primljene od pružaoca usluge, uključujući planove kontinuiteta poslovanja i izvještaje o njihovom testiranju.

(3) Banke su dužne redovno ažurirati svoje procjene rizika, kao i materijalnu značajnost eksternalizirane usluge, u skladu sa čl. 4. i 8. ove odluke, najmanje jednom godišnje, a obavezno prilikom značajne promjene u pružanju eksterna- lizirane usluge. Banke su u okviru navedenih procjena rizika dužne pratiti i rizike koncentracije prouzrokovane eksternalizacijom i upravljati njima.

(4) Banka treba preduzeti odgovarajuće mjere ako utvrdi nedostatke u pružanju eksternalizirane aktivnosti. Konkret- no, banka treba reagirati na sve naznake da pružaoci usluga možda ne obavljaju materijalno značajnu aktivnost efikasno ili u skladu sa primjenjivim zakonima i regulatornim zahtjevima. Ako se utvrde nedostaci, banka treba preduzeti odgovarajuće korektivne mjere. Prema potrebi, te mjere mogu uključivati otkaz ugovora o eksternalizaciji.

Obavještavanje Agencije 

Član 14.

(1) Ako banka namjerava eksternalizirati materijalno zna- čajne aktivnosti, dužna je da o tome prethodno obavijesti Agen- ciju i dostavi kompletnu propisanu dokumentaciju.

(2) Agencija, u roku od 90 dana od dana prijema oba- vijesti, odnosno kompletne propisane dokumentacije, utvr- đuje da li su ispunjeni uvjeti za eksternalizaciju u skladu sa zakonskim i podzakonskim aktima i o rezultatima procjene obavještava banku.

(3) Banka, nakon dobivanja obavijesti da su ispunjeni uvjeti za eksternalizaciju iz stava 2. ovog člana, može sklo- piti ugovor o materijalno značajnoj eksternalizaciji.

(4) Banka je dužna pravovremeno obavijestiti Agenciju o svakoj značajnoj promjeni (uključujući i angažiranje ili zamjenu angažiranih podizvođača) i/ili ozbiljnim događa- jima koji bi eventualno mogli materijalno ugroziti ugovor o eksternalizaciji i imati posljedice na poslovne aktivnosti, profitabilnost ili reputaciju banke. Uz navedenu obavijest, potrebno je dostaviti i ponovnu procjenu rizika, uzimajući u obzir navedenu promjenu.

(5) U slučaju raskida ugovora, banka je dužna, najkasnije 30 dana prije raskida ugovora, obavijestiti Agenciju te dostaviti izvještaj o načinu obavljanja aktivnosti, odnosno budućim planovima za nastavak obavljanja eksternaliziranih aktivnosti.

(6) Banka je dužna pravovremeno obavijestiti Agenciju u slučaju promjene materijalne značajnosti prethodno eksternalizirane aktivnosti, te dostaviti procjenu materijalne značajnosti.

Zahtjev za dokumentaciju u slučaju eksternalizacije materijalno značajnih aktivnosti
Član 15.

Banka je dužna uz nacrt odluke nadzornog odbora banke o eksternalizaciji, koja se odnosi na materijalno značajne ak- tivnosti, priložiti i sljedeće dokumente:

1) izvod iz sudskog ili drugog odgovarajućeg registra, iz kojeg se može utvrditi vlasnička struktura pružaoca usluga, u originalu ili ovjerenoj kopiji, ne stariji od šest mjeseci od dana dostavljanja odluke,

2) spisak lica u posebnom odnosu sa bankom, koja su ujedno povezana sa pružaocem usluga, te opis načina na koji su povezani,

3) revizorske izvještaje pružaoca usluga za prethodnu kalendarsku godinu,

4) dokaz o dosadašnjem iskustvu pružaoca usluga na poslovima koji su predmet eksternalizacije,

5) revizorske izvještaje pružaoca usluga za prethodnu kalendarsku godinu (finansijske i, ukoliko je primjenjivo, izvještaje revizora IT sistema). Ukoliko pružalac usluga ne podliježe obavezi revizije finansijskih izvještaja, banka je dužna dostaviti kopije bilansa stanja i bilansa uspjeha pružaoca usluga za prethodne dvije kalendarske godine,

6) dokaz da nije otvoren stečajni postupak, odnosno postupak likvidacije pružaoca usluga,

7) nacrt ugovora, koji sadrži elemente definirane ovom odlukom, a banka ga namjerava sklopiti sa pružaocem usluga u vezi sa eksternalizacijom materijalno značajnih aktivnosti,

8) rezultate procjene rizika povezanih sa eksternalizacijom,

9) rezultate dubinske analize pružaoca usluga,

10) rezultate procjene uticaja eksternalizacije iz člana 4. stav 2. ove odluke,

11) opis obaveza i odgovornosti odjeljenja ili uposlenika koji će biti zaduženi za nadzor nad ugovornim odnosom sa pružaocem usluga i upravljanje tim odnosom,

12) izlaznu strategiju banke,

13) interne akte koji se odnose na eksternalizaciju iz člana 6. stav 3. ove odluke,

14) detaljan opis tehničkih i organizacionih rješenja koja omogućuju sigurno i kvalitetno obavljanje aktivnosti koje se namjeravaju eksternalizirati, uključujući opis načina zaštite povjerljivosti, raspoloživosti i integriteta podataka,

15) izjavu banke da članovi organa upravljanja nisu u direktnom ili indirektnom interesu sa pružaocem usluga, te da ne postoji nikakva druga vrsta sukoba interesa i

16) ostale akte koje banka smatra važnim.

Dodatni zahtjevi 

Član 16.

(1) Agencija zadržava pravo nalaganja specifičnih uvjeta, odnosno zabrane eksternalizacije, ukoliko procije- ni da banka u namjeravanoj i/ili postojećoj eksternalizaciji ne može na odgovarajući način upravljati rizicima koji su povezani sa eksternalizacijom ili ukoliko procijeni da bi eksternalizacija dovela do postojanja rizika prevelike izloženosti banke prema istom pružaocu usluga ili rizika izloženosti više banaka prema istom pružaocu usluga, što može imati potencijalni uticaj na banku ili bankarski sistem u cjelini.

(2) Osim dokumenata iz čl. 14. i 15. ove odluke, Agen- cija može zatražiti i drugu dokumentaciju, za koju smatra  da je potrebna za procjenu ispunjenosti uvjeta za eksterna- lizaciju.

Revizija eksternaliziranih aktivnosti 

Član 17.

(1) Funkcija interne revizije banke dužna je redovno obavljati reviziju eksternaliziranih aktivnosti i o tome izvještavati odbor za reviziju i nadzorni odbor. Plan i program rada interne revizije u ovom segmentu treba utvrditi na način da učestalost revizije i područja u kojima treba provesti reviziju budu definirani na osnovu pristupa zasnovanog na procjeni rizika koji proizilaze iz eksternalizacije. Bez obzira na rezultat procjene rizika, svaka materijalno značajna eksternalizirana aktivnost treba biti u potpunosti obuhvaćena revizijom u periodu od tri godine.

(2) Revizija iz stava 1. ovog člana treba minimalno da obuhvati sljedeće:

1) ocjenu pravilne i efikasne primjene internih akata vezanih za eksternalizaciju,

2) adekvatnost, kvalitet i efikasnost procjene materijalno značajnih aktivnosti,

3) adekvatnost, kvalitet i efikasnost procjene rizika eksternalizacije i to da je isti usklađen sa strategijom za preuzimanje rizika,

4) adekvatnost uključivanja organa upravljanja u sam proces eksternalizacije,

5) adekvatnost praćenja i upravljanja eksternaliziranim aktivnostima,

6) kontrolno okruženje kod pružaoca usluga i/ili podizvođača putem neposredne provjere, gdje je to primjenjivo, uzimajući u obzir odredbe člana 12. ove odluke.

(3) Vanjska revizija banke dužna je uzeti u obzir eksternalizirane aktivnosti i njihovu značajnost i uticaj na poslovanje banke, te u skladu s tim sačiniti plan revizije i efikasniji pristup reviziji.

Stupanje na snagu 

Član 18.

(1) Ova odluka stupa na snagu osmog dana od dana objave u “Službenom glasniku Republike Srpske”.

(2) Banke su dužne uskladiti svoje poslovanje sa odredbama ove odluke najkasnije do 31.3.2021. godine.

(3) Banke su dužne uskladiti postojeće ugovore o eksternalizaciji sa odredbama ove odluke do 31.12.2021. godine.

(4) Stupanjem na snagu ove odluke prestaje važiti Odluka o upravljanju eksternalizacijom (“Službeni glasnik Republike Srpske”, broj 75/17).

 

Broj: UO-188/20
29. oktobra 2020. godine

Banjaluka

 

Predsjednik Upravnog odbora, 

Bratoljub Radulović, s.r.

PRIKAŽI VIŠE TEKSTA

TAGOVI:

eksternalizacija

NAPOMENA: Komentari odražavaju stavove njihovih autora, a ne nužno i stavove internet portala Akta.ba.