H O T Ă R Î R E

pentru aprobarea Regulamentului privind externalizarea activităţilor

şi operaţiunilor băncii şi modificarea unor acte normative

ale Băncii Naţionale a Moldovei

 

nr. 46  din  26.02.2020

 

Monitorul Oficial nr.87-93/319 din 20.03.2020

 

* * *

 

În temeiul art.5 alin.(1) lit.d), art.11 alin.(1), art.27 alin.(1) lit.c), art.44 lit.a) din Legea nr.548/1995 cu privire la Banca Naţională a Moldovei (republicată în Monitorul Oficial al Republicii Moldova, 2015, nr.297-300, art.544), cu modificările ulterioare, şi art.82 din Legea nr.202/2017 privind activitatea băncilor (Monitorul Oficial al Republicii Moldova, 2017, nr.434-439, art.727), cu modificările ulterioare, Comitetul executiv al Băncii Naţionale a Moldovei

HOTĂRĂŞTE:

1. Se aprobă Regulamentul privind externalizarea activităţilor şi operaţiunilor băncii (se anexează).

2. Se abrogă Regulamentul privind externalizarea activităţilor şi operaţiunilor băncii, aprobat prin Hotărârea Consiliului de administraţie al Băncii Naţionale a Moldovei nr.241/2011 (Monitorul Oficial al Republicii Moldova, 2011, nr.227-232, art.2099), cu modificările ulterioare.

3. La punctul 17 din Regulamentul cu privire la auditul extern al băncilor, aprobat prin Hotărârea Comitetului executiv al Băncii Naţionale a Moldovei nr.118/2018 (Monitorul Oficial al Republicii Moldova, 2018, nr.183-194, art.908), textul „Consiliului de administraţie al Băncii Naţionale a Moldovei nr.241 din 3 noiembrie 2011” se substituie cu textul „Comitetului executiv al Băncii Naţionale a Moldovei 46/2020”;

4. La punctul 68 din Regulamentul privind cadrul de administrare a activităţii băncilor, aprobat prin Hotărârea Comitetului executiv al Băncii Naţionale a Moldovei nr.322/2018 (Monitorul Oficial al Republicii Moldova, 2019, nr.1-5, art.56), textul „Consiliului de administraţie al Băncii Naţionale a Moldovei nr.241 din 3 noiembrie 2011” se substituie cu textul „Comitetului executiv al Băncii Naţionale a Moldovei nr.46/2020”;

5. La coloana numărul 4, tabelul ORD 3.3D şi punctul 31, Modelul de întocmire a Raportului privind informaţia diversă din Instrucţiunea privind modul de întocmire şi prezentare de către bănci a rapoartelor în scopuri prudenţiale, aprobată prin Hotărârea Consiliului de administraţie al Băncii Naţionale a Moldovei nr.279/2011 (Monitorul Oficial al Republicii Moldova, 2011, nr.216-221, art.2008), cuvântul „permisiunii” se substituie cu cuvintele „aprobării prealabile”.

6. Cererea şi documentele prezentate la Banca Naţională a Moldovei pentru obţinerea aprobării prealabile a Băncii Naţionale a Moldovei privind externalizarea activităţilor de importanţă materială şi nesoluţionate la data intrării în vigoare a prezentei hotărâri se examinează şi se soluţionează în conformitate cu prevederile regulamentului menţionat la punctul 1, cu condiţia completării acestora de către bancă în termen de cel mult 30 de zile de la data intrării în vigoare a prezentei hotărâri. Cererea şi documentele se examinează în conformitate cu termenele stabilite în capitolul III din regulamentul indicat la punctul 1, calculate de la data completării setului de documente. În cazul în care cererea şi documentele nu sunt completate în termenul specificat, Banca Naţională a Moldovei informează banca despre încetarea procedurii administrative.

7. Banca care a externalizat activităţi şi operaţiuni până la data intrării în vigoare a prezentei hotărâri:

1) se consideră că dispune de aprobarea prealabilă a Băncii Naţionale a Moldovei – în cazul externalizării activităţilor de importanţă materială cu permisiunea Băncii Naţionale a Moldovei;

2) va reperfecta, în conformitate cu prevederile regulamentului menţionat la punctul 1 din prezenta hotărâre, contractul de externalizare şi în cazul externalizării activităţii de importanţă materială îl va prezenta la Banca Naţională a Moldovei în termen de 4 luni de la data intrării în vigoare a prezentei hotărâri;

3) va reperfecta, în conformitate cu prevederile regulamentului menţionat la punctul 1 din prezenta hotărâre, reglementările interne privind evaluarea, gestionarea, controlul activităţilor şi operaţiunilor externalizate în termen de 4 luni de la data intrării în vigoare a prezentei hotărâri.

4) va asigura, în cazul externalizării TIC de importanţă materială, prin derogare de la subpunctele 2) şi 3) din prezentul punct, conformarea cu prevederile regulamentului menţionat la punctul 1 din prezenta hotărâre, în termen de 18 luni de la data intrării în vigoare a prezentei hotărâri.

8. Prezenta hotărâre intră în vigoare la expirarea termenului de o lună de la data publicării în Monitorul Oficial al Republicii Moldova.

 

 

 

Aprobat

prin Hotărârea Comitetului executiv

al Băncii Naţionale a Moldovei

nr.46 din 26 februarie 2020

 

REGULAMENT

privind externalizarea activităţilor şi operaţiunilor băncii

 

Capitolul I

DISPOZIŢII GENERALE

1. Prezentul regulament stabileşte cadrul normativ aferent externalizării activităţilor/operaţiunilor băncii care include cerinţe minime privind evaluarea furnizorului de către bancă, cerinţe minime faţă de contractul de externalizare a activităţilor/operaţiunilor băncii, particularităţile externalizării activităţilor de importanţă materială, modul de administrare a riscurilor asociate externalizării, de notificare şi raportare a externalizării şi de desfăşurare a auditului extern al activităţilor/operaţiunilor externalizate, prevederi privind externalizarea în lanţ.

2. Definiţiile şi termenii utilizaţi în prezentul regulament au semnificaţiile prevăzute în Legea nr.202/2017 privind activitatea băncilor (în continuare – Legea nr.202/2017), Legea nr.271/2017 privind auditul situaţiilor financiare, în actele normative elaborate în aplicarea acestora şi în Regulamentul privind cerinţe minime pentru sistemele informaţionale şi de comunicare ale băncilor, aprobat prin Hotărârea Comitetului executiv al Băncii Naţionale a Moldovei nr.47/2018.

În sensul prezentului regulament următoarele abrevieri semnifică:

1) CISA (Certified Information Systems Auditor) – auditor certificat în domeniul sistemelor informaţionale, certificare emisă de către Asociaţia de Audit şi Control al Sistemelor Informaţionale (ISACA), asociaţie profesională internaţională axată pe guvernarea IT;

2) QSA (Qualified Security Assessor) – certificare emisă de Consiliul pentru standardele de securitate a industriei cu carduri de plată (PCI SSC);

3) CISSP (Certified Information System Security Professional) – certificare emisă de către Consorţiul internaţional de certificare a securităţii sistemelor informaţionale ((ISC)²).

[Pct.2 modificat prin Hot.BNM nr.198 din 07.10.2021, în vigoare 05.12.2021]

 

3. Prezentul regulament se aplică băncilor, persoane juridice din Republica Moldova, sucursalelor băncilor din alte state, care sunt licenţiate de către Banca Naţională a Moldovei, denumite în continuare „bănci”.

4. Externalizarea nu va avea ca efect situaţiile prevăzute la art.82 alin.6 lit.b) din Legea nr.202/2017.

5. Externalizarea activităţilor de atragere de depozite ori de acordare de credite se efectuează în condiţiile prevăzute la art.82 alin.(2) din Legea nr.202/2017.

6. Responsabilitatea finală pentru administrarea corespunzătoare a riscurilor asociate activităţilor/ operaţiunilor externalizate îi revine băncii.

7. Banca are responsabilitatea primară de a evalua adecvarea furnizorului la cerinţele prevăzute în prezentul regulament.

8. Banca este responsabilă pentru respectarea prevederilor actelor normative aferente procesului de externalizare, precum şi de asigurarea supravegherii activităţilor/operaţiunilor externalizate.

9. Nu se consideră externalizare achiziţionarea de către bancă a următoarelor bunuri şi servicii:

1) activităţile care pot fi desfăşurate, conform prevederilor expres din legislaţie, doar de către un furnizor, inclusiv auditul extern;

2) serviciile de informare despre piaţă, inclusiv furnizarea de date de către agenţiile Bloomberg, Moody`s, Standard&Poor`s;

3) serviciile prestate prin infrastructurile de reţea globale ale sistemelor de plăţi cu carduri de plată, inclusiv Visa, Master Card;

4) serviciile sistemelor de compensare şi decontare sau ale altor structuri similare în vederea asigurării serviciilor de compensare şi decontare între casele de compensare, contrapărţile centrale (parteneri) şi instituţiile de decontare, pe de o parte, şi membrii acestora, pe de altă parte;

5) activităţile efectuate prin infrastructurile globale de mesagerie financiară care sunt supuse supravegherii de către autorităţile relevante, inclusiv sistemului SWIFT;

6) serviciile bancare corespondente;

7) achiziţiile de bunuri şi servicii care nu se desfăşoară de către bancă, inclusiv serviciile unui arhitect, acordarea unei opinii juridice şi reprezentare în faţa instanţelor de judecată şi a organelor administrative, serviciile de curăţenie, de grădinărit şi de întreţinere a sediilor băncii, serviciile medicale, serviciile de întreţinere a maşinilor de serviciu, serviciile de catering, serviciile de distribuţie automată a produselor, serviciile administrative, serviciile de călătorie, serviciile de registratură, recepţie, secretariat şi ale operatorilor de centrale telefonice, achiziţiile de bunuri (cardurile de plată, dispozitivele de citire a cardurilor de plată, rechizitele de birou, calculatoarele personale, mobilierul) sau utilităţi (electricitate, gaz, apă, linie telefonică);

8) activităţile/operaţiunile care nu implică accesul furnizorilor la informaţiile despre clienţii băncii, ce constituie secret bancar sau altă informaţie confidenţială referitoare la clienţi şi activităţile acestora sau informaţii cu privire la activităţile desfăşurate de către bancă.

10. Banca dezvăluie informaţia cu privire la externalizarea activităţilor/operaţiunilor băncii astfel cum este prevăzut în reglementările cu privire la publicarea de către băncile din Republica Moldova a informaţiei prudenţiale şi a informaţiei aferente activităţilor lor.

 

Capitolul II

EVALUAREA FURNIZORULUI ŞI CONTRACTUL

DE EXTERNALIZARE

11. Banca, înainte de a încheia contractul de externalizare, evaluează furnizorul, cu excepţia unei bănci, persoană juridică din Republica Moldova, şi unei sucursale a băncii din alt stat, în contextul reputaţiei în afaceri ţinând cont de prevederile pct.12.

Se consideră că furnizorul are o reputaţie bună de afaceri, dacă nu există informaţii negative în ceea ce priveşte competenţa profesională în desfăşurarea activităţii/operaţiunii externalizate şi integritatea acestuia.

12. Banca, la evaluarea furnizorului potrivit pct.11, va lua în consideraţie cel puţin următoarele:

1) modelul de afacere a furnizorului şi poziţionarea acestuia pe piaţă (natura, amploarea, complexitatea afacerii acestuia, situaţia sa financiară, inclusiv principalii indicatori de performanţă, structura organizatorică şi structura de proprietate a furnizorului, şi structura grupului, dacă există);

2) rezultatele evaluărilor şi revizuirilor reflectate în ultimul raport de evaluare, în cazul în care furnizorul este supravegheat de către o autoritate competentă;

3) rapoartele auditului intern şi/sau auditului extern pentru ultimul an al furnizorului înainte de a externaliza activitatea/operaţiunea băncii, dacă există;

4) informaţia cu privire la antecedentele penale şi aflarea sub urmărire penală, sancţiunile aplicate furnizorului potrivit legislaţiei fiscale, vamale, precum şi cu privire la măsurile şi sancţiunile aplicate de orice autoritate de supraveghere sau organism profesional în domeniul economic în raport cu furnizorul;

5) informaţia privind dispunerea de politici ce ţin de confidenţialitatea şi securitatea datelor deţinute ca urmare a externalizării.

Modalitatea de solicitare şi evaluare a informaţiei, în baza căreia va fi efectuată evaluarea furnizorului potrivit prezentului punct, forma în care aceasta este prezentată băncii (declaraţii pe proprie răspundere, certificate sau alte acte emise de autorităţi publice sau alte entităţi) este stabilită în reglementările interne ale băncii.

13. Banca consemnează în scris rezultatele evaluării menţionate la pct.11, inclusiv concluzia finală privind corespunderea furnizorului criteriilor stabilite în reglementările interne ale băncii cu privire la externalizarea activităţilor/operaţiunilor acesteia şi cerinţelor prezentului regulament.

14. Orice externalizare trebuie să fie obiectul unui contract de externalizare care se încheie în formă scrisă şi conţine cel puţin următoarele:

1) descrierea detaliată a activităţii/operaţiunii externalizate;

2) cerinţe cantitative şi calitative specifice activităţii/operaţiunii externalizare, care să permită băncii să evalueze şi să monitorizeze, pe durata contractului, dacă desfăşurarea/efectuarea acesteia este corespunzătoare;

3) specificarea locului desfăşurării activităţii/operaţiunii externalizate, inclusiv obligativitatea furnizorului de a informa banca în cazul schimbării locaţiei respective;

4) definirea în mod clar a drepturilor şi obligaţiilor băncii şi ale furnizorului, urmărindu-se buna executare a activităţilor/operaţiunilor externalizate şi asigurarea respectării cerinţelor prudenţiale pe durata contractului;

5) clauze de rezoluţiune unilaterală a contractului de către bancă care să permită transferul activităţii/operaţiunii către un alt furnizor agreat de bancă sau reintegrarea acesteia în bancă şi care includ cel puţin următoarele situaţii:

a) în cazul în care furnizorul încalcă legea, reglementările şi/sau dispoziţiile contractului de externalizare aplicabile;

b) în cazul în care banca identifică impedimente care influenţează negativ performanţa activităţii/operaţiunii externalizate;

c) în cazul în care există deficiente în ceea ce priveşte gestionarea şi securitizarea datelor sau a informaţiilor confidenţiale, personale sau de altă natură şi/sau;

d) în cazul în care încetarea contractului este prescrisă de Banca Naţională a Moldovei;

6) prevederi aferente protecţiei informaţiilor ce constituie secret bancar şi alte secrete protejate de lege, inclusiv în domeniul protecţiei datelor cu caracter personal, procesarea acestor informaţii şi păstrarea acestor secrete de către furnizor, cel puţin în aceeaşi măsură ca şi banca;

7) prevederi aferente monitorizării şi evaluării permanente de către bancă a modului de executare a contractului de către furnizor, astfel încât aceasta să poată întreprinde prompt măsurile necesare;

8) stabilirea în sarcina furnizorului a obligaţiei:

a) de a pune la dispoziţia băncii orice informaţie, ori de câte ori este necesar, privind activitatea/operaţiunea externalizată;

b) de a permite accesul complet al auditului intern din cadrul băncii la informaţiile procesate de către furnizor aferente obiectului contractului de externalizare şi inspectarea, precum şi auditarea, fără restricţii, a respectivelor informaţii de către auditorul extern al băncii;

c) de a permite accesul direct a persoanelor menţionate la art.75¹ alin.(1) din Legea nr.548/1995 cu privire la Banca Naţională a Moldovei la informaţiile furnizorului, care sunt procesate de către bancă, aferente obiectului contractului de externalizare, precum şi efectuarea de către Banca Naţională a Moldovei a controalelor pe teren (inspecţii) conform Regulamentului privind controalele pe teren (inspecţiile) la bănci, aprobat prin Hotărârea Comitetului executiv al Băncii Naţionale a Moldovei nr.282/2018;

d) de a solicita acordul prealabil al băncii pentru externalizarea în lanţ;

9) stabilirea termenului contractului şi a perioadei de tranziţie adecvate, în cazul în care furnizorul, după rezoluţiunea contractului de externalizare, ar continua să furnizeze activitatea/operaţiunea externalizată;

10) descrierea detaliată a drepturilor şi obligaţiilor părţilor în cazul încetării contractului înainte de termen, în scopul asigurării continuităţii desfăşurării activităţii/efectuării operaţiunii;

11) prevederi privind asigurarea continuităţii desfăşurării activităţii/operaţiunii externalizate, inclusiv ca urmare a transferului drepturilor şi obligaţiunilor care reiese din contractul de externalizare, în cazul aplicării unuia sau mai multor instrumente de rezoluţie conform Legii nr.232/2016 privind redresarea şi rezoluţia băncilor;

12) expunerea modului de soluţionare a litigiilor;

13) alte prevederi privind activitatea băncilor care nu contravin actelor normative privind activitatea băncilor, concurenţa, prevenirea şi combaterea spălării banilor şi finanţării terorismului, procesul de externalizare aprobate de Banca Naţională a Moldovei, precum şi politicilor şi procedurilor interne ale băncii.

15. La elaborarea contractului de externalizare, banca va lua în considerare nivelul de monitorizare, evaluare, inspecţie şi auditare care va fi proporţional cu dimensiunea, profilul de risc, natura şi modelul de afaceri, amploarea şi complexitatea activităţii/operaţiunii externalizate.

16. În cazul în care contractul de externalizare include mai multe tipuri de activităţi/operaţiuni externalizate, banca va expune în contract aspectele care includ toate aceste tipuri.

17. În sensul prevederilor pct.14 subpct.2), la evaluarea caracterului corespunzător al desfăşurării activităţii/efectuării operaţiunii externalizate de către furnizor, banca poate utiliza informaţiile din rapoartele referitoare la activitatea/operaţiunea externalizată întocmite de auditul intern şi/sau, în cazul externalizării activităţii de importanţă materială, rapoartele întocmite de auditul extern al băncii şi/sau de auditul intern şi/sau auditul extern al furnizorului.

18. Banca Naţională a Moldovei are dreptul să prescrie rezoluţiunea contractului de externalizare în cazurile prevăzute la art.82 alin.(9) din Legea nr.202/2017.

 

Capitolul III

PARTICULARITĂŢILE EXTERNALIZĂRII ACTIVITĂŢILOR

DE IMPORTANŢĂ MATERIALĂ

19. Banca externalizează activităţi de importanţă materială doar după obţinerea aprobării prealabile a Băncii Naţionale a Moldovei, conform cerinţelor stabilite în prezentul capitol.

20. Banca depune la Banca Naţională a Moldovei o cerere pentru obţinerea aprobării prealabile a Băncii Naţionale a Moldovei la care se anexează cel puţin următoarele documente şi informaţii:

1) hotărârea privind externalizarea activităţii de importanţă materială emisă de către organul de conducere abilitat prin lege sau statut;

2) rezultatele evaluării furnizorului potrivit pct.13;

3) fundamentarea economică a externalizării activităţii de importanţă materială şi descrierea detaliată a activităţii de importanţă materială externalizată şi a motivelor pentru care această activitate a fost calificată drept una de importanţă materială;

4) planul de analiză şi gestiune a riscurilor asociate externalizării activităţii de importanţă materială, inclusiv măsurile ce urmează a fi implementate de către bancă în scopul asigurării stabilităţii, performanţei şi continuităţii la nivelul activităţii în cauză;

5) impactul estimat asupra situaţiei şi performanţei financiare a băncii urmare externalizării;

6) prezentarea informaţiei despre furnizor, care să cuprindă cel puţin: denumirea, sediul, genurile de activitate, capacitatea, resursele, inclusiv umane, IT şi financiare, piaţa de operare şi poziţia de piaţă a acestuia, structura organizatorică, date privind experienţa relevantă a angajaţilor responsabili de desfăşurarea activităţii de importanţă materială externalizată cu anexarea certificatului/calificărilor de performanţă, dacă există, modelul de afacere a furnizorului, natura, amploarea şi complexitatea activităţii acestuia, situaţiile financiare pe cel puţin ultimii 3 ani de activitate, indicarea apartenenţei furnizorului la grupul din care face parte şi precizarea includerii sau neincluderii acestuia în supravegherea consolidată la nivel de grup;

7) proiectul contractului de externalizare;

8) reglementările interne ale băncii privind activitatea de importanţă materială externalizată, aprobate de organul de conducere abilitat prin statut sau lege, care conţin cel puţin următoarele:

a) criteriile de selectare a furnizorului în funcţie de activitatea/operaţiunea externalizată;

b) principiile utilizate în procesul de externalizare ţinând cont de specificul activităţii/operaţiunii externalizate;

c) descrierea modului de reintegrare a respectivei activităţi în activitatea băncii, a cadrului de evaluare a riscurilor asociate activităţii de importanţă materială externalizată şi a procesului de evaluare, gestionare, şi control al acesteia, conform pct.31 şi 32;

d) cerinţele cu privire la modul de ajustare şi perfecţionare a mecanismului de control intern şi a funcţiei de audit intern, a sistemului de raportare internă, inclusiv raportarea către organul de conducere a băncii despre schimbările profilului de risc aferent activităţii/operaţiunii externalizate, pentru a se asigura că activitatea de importanţă materială externalizată nu afectează guvernanţa corporativă eficientă a băncii;

9) copia, semnată de către bancă, a licenţei sau a autorizaţiei furnizorului, dacă există, cu excepţia cazului în care potenţialul furnizor este o bancă din Republica Moldova sau un prestator de servicii de plată nebancar, licenţiat conform Legii nr.114/2012 cu privire la serviciile de plată şi moneda electronică, pentru desfăşurarea activităţii care urmează a fi externalizată, valabilă la data depunerii cererii.

21. Determinarea caracterului de importanţă materială a activităţilor externalizate se efectuează potrivit prevederilor stabilite la art.82 alin.(3) din Legea nr.202/2017.

22. Cererea, documentele şi informaţiile menţionate la pct.20 se întocmesc în limba română şi se semnează de către persoana împuternicită de către bancă.

23. În cazul în care documentele şi/sau informaţiile specificate la pct.20 sunt incomplete, Banca Naţională a Moldovei înştiinţează în scris banca despre acest fapt în termen de 10 zile lucrătoare de la data depunerii cererii. Banca, în termen de 20 zile lucrătoare de la data recepţionării scrisorii Băncii Naţionale a Moldovei, completează şi prezintă la Banca Naţională a Moldovei documentele şi/sau informaţiile care lipsesc.

24. În cazul în care banca nu completează în termenul prevăzut la pct.23 setul de documente şi informaţii, Banca Naţională a Moldovei informează banca despre încetarea procedurii administrative în termen de 3 zile lucrătoare de la expirarea termenului acordat.

25. În termen de 30 de zile de la data primirii setului complet de documente în conformitate cu prezentul capitol, Banca Naţională a Moldovei eliberează aprobarea prealabilă privind externalizarea activităţii de importanţă materială sau respinge cererea, informând în scris banca despre decizia sa.

26. În cazul în care documentele şi informaţiile prezentate conform prezentului capitol sunt insuficiente pentru a lua o decizie cu privire la cererea de aprobare prealabilă privind externalizarea activităţii de importanţă materială, Banca Naţională a Moldovei este în drept să solicite prezentarea documentelor şi a informaţiilor suplimentare. Banca Naţională a Moldovei poate stabili un termen mai mare pentru emiterea deciziei prevăzute la pct.25, care nu va depăşi 90 de zile, în condiţiile Codului Administrativ, cu informarea băncii.

27. Banca este obligată să prezinte informaţiile şi documentele suplimentare în termenul indicat de Banca Naţională a Moldovei, perioadă pe parcursul căreia termenul prevăzut la pct.25, după caz, pct.26, se suspendă.

28. Aprobarea prealabilă a Băncii Naţionale a Moldovei privind externalizarea activităţii de importanţă materială nu este transferabilă altei persoane şi este valabilă doar pe durata contractului de externalizare încheiat între bancă şi furnizor.

29. În caz de respingere a cererii pentru obţinerea aprobării prealabile a Băncii Naţionale a Moldovei privind externalizarea activităţii de importanţă materială, se vor indica temeiurile în baza cărora se respinge cererea. Drept temei de respingere a cererii pentru obţinerea aprobării prealabile a Băncii Naţionale a Moldovei privind externalizarea activităţii de importanţă materială sunt considerate următoarele:

1) prezentarea la Banca Naţională a Moldovei a informaţiei eronate pentru luarea deciziei cu privire la eliberarea aprobării prealabile privind externalizarea activităţii de importanţă materială şi/sau;

2) cazul în care informaţia de care dispune Banca Naţională a Moldovei, inclusiv rezultatele evaluării menţionate la pct.13 şi/sau orice fapte sau circumstanţe cunoscute Băncii Naţionale a Moldovei generează suspiciunea că furnizorul nu dispune de o reputaţie de afacere bună;

3) neprezentarea documentelor şi a informaţiilor prevăzute la pct.26, şi/sau;

4) necorespunderea proiectului contractului de externalizare cu cerinţele minime specificate la capitolul II;

5) necorespunderea activităţii băncii cu prevederile Legii nr.202/2017 şi ale actelor normative adoptate întru executarea acesteia ca urmare a externalizării activităţii respective;

6) constatarea disproporţionalităţii, inclusiv a insuficienţei măsurilor de control ale băncii raportate la riscurile asociate externalizării sau constatarea unor riscuri semnificative disproporţionale beneficiilor invocate de către bancă.

 

Capitolul IV

ADMINISTRAREA RISCURILOR ASOCIATE EXTERNALIZĂRII

30. Banca alocă suficiente resurse pentru a asigura respectarea cerinţelor aferente externalizării stabilite de către Banca Naţională a Moldovei în actele normative şi întreprinde măsurile necesare pentru a asigura continuitatea desfăşurării activităţilor/operaţiunilor externalizate, precum documentarea şi monitorizarea activităţilor/operaţiunilor externalizate, inclusiv externalizării în lanţ.

31. Banca, ţinând cont de principiul proporţionalităţii, stabileşte şi asigură implementarea politicii de externalizare, care va include dezvoltarea principalelor etape ale procesului de externalizare, definirea principiilor, responsabilităţilor şi proceselor legate de externalizare, inclusiv modul de gestionare a riscurilor aferente activităţii/operaţiunii externalizate, la nivel individual, după caz, la nivel consolidat, prin reglementările sale interne, care cuprind cel puţin următoarele:

1) stabilirea responsabilităţilor organului de conducere, inclusiv implicarea sa, după caz:

a) în luarea deciziilor privind externalizarea activităţii de importanţă materială;

b) asigurarea evaluării furnizorului, cu excepţia unei bănci, persoană juridică din Republica Moldova, şi unei sucursale a băncii din alt stat, la etapa precontractuală şi periodic pe parcursul etapei contractuale în baza reglementărilor interne;

c) monitorizarea şi evaluarea corespunzătoare a supravegherii zilnice a activităţii/operaţiunii băncii, inclusiv gestionarea riscurilor asociate externalizării, a performanţei financiare, precum şi a structurii organizatorice/structurii proprietarilor furnizorului, astfel încât să poată fi luate cu promptitudine orice măsuri necesare;

2) implicarea liniilor de afaceri şi a funcţiilor de control intern în ceea ce priveşte activitatea/operaţiunea de externalizare;

3) planificarea externalizării, care include cel puţin următoarele:

a) luarea în considerare în mod explicit, la efectuarea analizei de risc înainte de externalizare, a efectelor potenţiale ale externalizării activităţii/operaţiunii asupra anumitor activităţi importante în cadrul băncii;

b) stabilirea termenelor, condiţiilor de realizare a activităţilor/operaţiunilor externalizate şi a cerinţelor cu privire la activitatea/operaţiunea externalizată, inclusiv a cerinţelor de selectare a furnizorului, ţinând cont de faptul că acesta dispune de suficiente resurse, abilităţi, competenţe, standarde etice corespunzătoare sau de un cod de conduită, având în vedere şi calitatea desfăşurării activităţii/efectuării operaţiunii externalizate de către acesta;

c) criteriile şi procesele de identificare a activităţilor de importanţă materială;

d) proceduri privind identificarea, evaluarea, monitorizarea şi gestionarea riscurilor asociate activităţii/operaţiunii externalizate, inclusiv impactul asupra activităţii financiare şi continuităţii activităţii de către bancă, a riscurilor cu care se poate confrunta banca urmare externalizării, cost-beneficiul proiectului de externalizare, precum şi privind stabilirea metodelor ce urmează a fi utilizate pentru administrarea acestor riscuri, pe bază de proporţionalitate;

e) proceduri pentru identificarea, evaluarea, gestionarea şi atenuarea potenţialelor conflicte de interese în cadrul procesului de externalizare/externalizarea în lanţ;

f) planificarea continuităţii activităţii externalizate;

g) procesul de aprobare a contractelor de externalizare;

4) stabilirea condiţiilor şi modului de desfăşurare a auditului extern a activităţii/operaţiunii externalizate;

5) stabilirea modului de implementare, monitorizare şi gestionare a procesului de externalizare/ externalizare în lanţ, care va conţine cel puţin următoarele;

a) evaluarea periodică a reputaţiei de afacere a furnizorului, cu excepţia unei bănci, persoană juridică din Republica Moldova, şi unei sucursale a băncii din alt stat, ţinând cont de prevederile pct.11-13;

b) procedurile de notificare şi de răspuns la modificările din cadrul procesului de externalizare, după caz, externalizare în lanţ, sau în situaţia furnizorului ce ţin de poziţia sa financiară, structurile organizatorice sau de proprietate;

c) revizuirea independentă a conformităţii cu cerinţele din reglementările sale interne;

d) procesele de ieşire şi de recuperare a activităţilor/operaţiunilor externalizate;

e) în cazul externalizării de importanţă materială, monitorizarea oricărui indice care arată că furnizorul nu poate îndeplini eficient activitatea/operaţiunea externalizată în conformitate cu actele normative aferente procesului de externalizare.

6) stabilirea modului de ajustare şi perfecţionare a mecanismului de control intern şi a funcţiei de audit intern, a sistemului de raportare internă, inclusiv raportarea către organul de conducere a băncii despre schimbările profilului de risc aferent activităţii/operaţiunii externalizate, pentru a se asigura că activitatea/operaţiunea externalizată nu afectează capacitatea băncii de a desfăşura o guvernanţă corporativă eficientă;

7) stabilirea clară a responsabilităţilor în cadrul băncii pentru monitorizarea şi administrarea cerinţelor expuse la subpct.5) din prezentul punct şi pentru documentarea, gestionarea şi controlul procesului de externalizare, după caz, externalizarea în lanţ. Documentarea va include în sine şi obligativitatea ţinerii unui registru actualizat privind toate contractele de externalizare la nivelul băncii, dacă este cazul, la nivel consolidat;

8) dispunerea, menţinerea şi testarea periodică, cel puţin o dată pe an, a planului de continuitate, a planurilor de ieşire şi de recuperare, ca rezultat al unor situaţii excepţionale identificate în baza analizei de risc, în cazul în care furnizorul preconizează să înceteze desfăşurarea activităţii/efectuarea operaţiunii înainte de termenul enunţat în contractul de externalizare;

9) stabilirea modului de întocmire şi prezentare a rapoartelor privind expunerea la riscuri asociate externalizării către organul de conducere abilitat prin lege sau statut.

32. Reglementările interne ale băncii trebuie să diferenţieze cel puţin următoarele:

1) externalizarea activităţii de importanţă materială şi alte activităţi/operaţiuni externalizate;

2) furnizorii care deţin o licenţă sau autorizaţie şi cei care nu deţin;

3) externalizarea activităţilor/operaţiunilor în cadrul unui grup şi în afara grupului; şi

4) externalizarea activităţilor/operaţiunilor către furnizorii din ţară şi din alt stat.

33. Banca, în cazul externalizării activităţilor/operaţiunilor permise băncii conform art.14 din Legea nr.202/2017 către un furnizor din alt stat, trebuie să se asigure că externalizarea activităţii/operaţiunii, în măsura în care desfăşurarea acesteia necesită licenţierea/autorizarea/înregistrarea din partea unei autorităţi competente din statul de origine a furnizorului, se realizează de către un furnizor din alt stat licenţiat/autorizat/înregistrat să desfăşoare activitatea/operaţiunea respectivă şi supravegheat de o autoritate relevantă din statul de origine.

34. Reglementările interne ale băncii în domeniul externalizării activităţii/operaţiunii vor determina etapele importante ale unei externalizări:

1) etapa decizională, constând în luarea deciziei de a externaliza activitatea/operaţiunea sau de a modifica un contract de externalizare/contract de externalizare în lanţ;

2) etapa precontractuală, constând în evaluarea furnizorului, cu excepţia unei bănci, persoană juridică din Republica Moldova, şi unei sucursale a băncii din alt stat, de către bancă din perspectiva reputaţiei în afaceri, inclusiv a capacităţii acestuia de a desfăşura activitatea/efectua operaţiunea externalizată cu respectarea cerinţelor cantitative şi calitative stabilite de către bancă, precum şi în elaborarea proiectului de contract şi a specificaţiilor referitoare la desfăşurarea activităţii/efectuarea operaţiunii externalizate;

3) etapa contractuală, constând în:

a) implementarea, monitorizarea şi gestionarea unui contract de externalizare în cadrul căreia poate fi inclusă şi monitorizarea modificărilor în situaţia furnizorului, cum ar fi modificări importante la poziţia sa financiară, în structurile organizatorice sau de proprietate, în strategiile şi profitabilitatea operaţiunilor acestuia, externalizarea în lanţ a activităţii/operaţiunii, după caz;

b) evaluarea periodică, cel puţin o dată pe an, a furnizorului, cu excepţia unei bănci, persoană juridică din Republica Moldova, şi unei sucursale a băncii din alt stat, conform pct.11-13, pentru a evalua capacitatea acestuia de a-şi îndeplini în continuare obligaţiile aferente externalizării;

c) monitorizarea realizării contractului de externalizare de către funcţia de conformitate şi de audit intern;

d) stabilirea procesului de ieşire şi/sau de recuperare a activităţilor/operaţiunilor externalizate;

4) etapa post-contractuală, constând în gestionarea situaţiilor de încetare a contractului şi de întrerupere a desfăşurării activităţii/efectuării operaţiunii externalizate de către furnizor, care include cel puţin stabilirea strategiilor de încetare şi întrerupere a desfăşurării activităţii/efectuării operaţiunii externalizate, cerinţa unui plan de ieşire şi/sau de recuperare documentat pentru fiecare activitate de importanţă materială externalizată, în cazul în care o astfel de ieşire/recuperare este considerată posibilă luând în considerare eventualele întreruperi ale activităţii/operaţiunii externalizate sau încetarea neaşteptată a unui contract de externalizare.

35. Auditul intern periodic evaluează actualitatea şi caracterul adecvat al reglementărilor interne, inclusiv procesul de gestionare a riscurilor asociate externalizării.

36. Banca în vederea asigurării unei abordări complexe şi eficiente a procesului de planificare şi asigurare a continuităţii activităţilor ce ţin de administrarea riscurilor, în special riscul operaţional şi riscul de concentrare, asociate activităţilor/operaţiunilor externalizate:

1) asigură corespunderea politicilor privind administrarea riscurilor aferente acestor activităţi/operaţiuni modelului de afaceri al băncii;

2) examinează cel puţin planurile şi procedurile de asigurare a continuităţii activităţilor/operaţiunilor externalizate şi de restabilire, ca rezultat al unor situaţii excepţionale identificate în baza analizei de risc, care se testează periodic, cel puţin o dată pe an, în vederea asigurării corespunderii acestora politicilor şi procedurilor cu privire la externalizare.

 

Capitolul V

NOTIFICAREA ŞI RAPORTAREA EXTERNALIZĂRII

37. Banca, în perioada externalizării activităţilor de importanţă materială, notifică Banca Naţională a Moldovei în termen de 10 zile lucrătoare de la data constatării uneia din situaţiile menţionate în prezentul punct despre cel puţin următoarele:

1) modificările din informaţiile menţionate la pct.20 subpct.6), 7) şi/sau 9), inclusiv modificările care au ca rezultat neîncadrarea furnizorului în condiţiile stabilite în prezentul regulament;

2) eventuala reintegrare în cadrul băncii a activităţilor de importanţă materială externalizate, cu prezentarea planului detaliat de acţiuni şi a termenelor concrete;

3) rezultatul evaluării efectuate conform pct.34 subpct.3) lit.b), în baza căruia banca concluzionează că furnizorul nu mai este adecvat pentru a desfăşura activitatea/operaţiunea externalizată şi/sau nu mai respectă cerinţele prezentului regulament şi/sau ale reglementărilor interne ale băncii.

4) orice evoluţii semnificative care ar putea afecta activitatea furnizorului de activităţi de importanţă materială şi/sau capacitatea acestuia de a-şi îndeplini obligaţiile, eventualele măsuri adoptate de bancă în aceste cazuri, inclusiv schimbarea furnizorului, modificări în rezoluţiunea contractului de externalizare.

38. Banca, în termen de 10 zile lucrătoare după externalizarea unei activităţi de importanţă materială, notifică Banca Naţională a Moldovei despre acest fapt, anexând copia contractului de externalizare.

39. Banca raportează Băncii Naţionale a Moldovei informaţia privind activităţile de importanţă materială externalizate în conformitate cu cerinţele actelor normative ale Băncii Naţionale a Moldovei aferente raportării prudenţiale.

40. Banca notifică Banca Naţională a Moldovei despre orice incident, evoluţie semnificativă înregistrată la nivelul riscurilor asociate activităţii/operaţiunii externalizate, care reprezintă o situaţie sau efect din perspectiva administrării riscurilor aferente activităţii băncii ce ar putea conduce la întreruperea activităţii/operaţiunii externalizate şi la incapacitatea băncii de a se conforma cu legislaţia de domeniu în termen de cel mult 5 zile lucrătoare de la depistarea incidentului.

41. Notificările menţionate la pct.37 şi 40 se întocmesc în limba română şi se semnează de către persoana abilitată de către bancă.

 

Capitolul VI

AUDITUL EXTERN AL ACTIVITĂŢILOR/OPERAŢIUNILOR

EXTERNALIZATE

42. Auditul extern al activităţilor/operaţiunilor externalizare se efectuează de către o societate de audit agreată de Banca Naţională a Moldovei conform criteriilor stabilite la pct.44.

43. Banca efectuează anual auditul extern la activităţile de importanţă materială externalizare.

44. În cadrul auditului extern anual al activităţilor de importanţă materială externalizate de bancă, societatea de audit se consideră agreată de către Banca Naţională a Moldovei, dacă întruneşte cel puţin următoarele criterii:

1) dispune de minimum 3 ani de experienţă în domeniul auditului, din care un an în auditul în cadrul entităţilor de interes public;

2) experienţa societăţii de audit include proiecte de audit similare celui care urmează a fi desfăşurat în legătură cu activitatea de importanţă materială externalizată;

3) societatea de audit, precum şi echipa societăţii de audit desemnată pentru misiunea de audit a activităţii de importanţă materială externalizate aderă la cele mai bune standarde şi practici în domeniul auditului şi deţin certificate ce atestă acest fapt;

4) în cazul auditării activităţii de importanţă materială externalizate ce ţine de procesarea plăţilor cu carduri de plată:

a) societatea de audit deţine calificarea QSA, în cazul în care furnizorul nu este supus unui audit anual efectuat de către o societate de audit ce deţine calificarea QSA, sau;

b) cel puţin un auditor din echipa de audit deţine calificarea CISA sau CISSP, în cazul în care furnizorul este supus unui audit anual efectuat de către o societate de audit ce deţine calificarea QSA, iar raportul acesteia este disponibil pentru bancă şi pentru Banca Naţională a Moldovei.

5) în cazul auditării serviciilor/sistemelor tehnologiilor informaţiei şi comunicaţiilor externalizate (în continuare – externalizare TIC) de importanţă materială, cel puţin un auditor dispune de certificat/certificate de audit în sisteme informaţionale CISA.

[Pct.44 modificat prin Hot.BNM nr.198 din 07.10.2021, în vigoare 05.12.2021]

 

45. În cadrul auditului extern anual al activităţilor de importanţă materială externalizate de bancă, societatea de audit verifică şi evaluează cel puţin următoarele aspecte, fără a se limita la acestea:

1) adecvarea şi implementarea reglementărilor interne ale băncii în domeniul externalizării;

2) corespunderea reglementărilor interne ale furnizorului naturii activităţilor de importanţă materială externalizate;

3) capacitatea furnizorului (financiară, tehnologică, organizatorică etc.) pentru desfăşurarea calitativă, sigură şi continuă a activităţilor de importanţă materială externalizate;

4) modul de gestionare a riscurilor şi a incidentelor aferente externalizării;

5) respectarea cadrului contractual al externalizării.

46. Banca Naţională a Moldovei poate solicita iniţierea unui audit extern al activităţilor/operaţiunilor externalizate.

Banca Naţională a Moldovei înaintează cerinţe privind modul, forma, perioada, condiţiile de desfăşurare a verificării şi evaluării, inclusiv cerinţele faţă de echipa de audit, şi data-limită de prezentare a raportului auditorului extern al activităţilor/operaţiunilor externalizate.

47. În cazul externalizării activităţilor de importanţă materială, Banca Naţională a Moldovei poate, în cadrul eliberării aprobării prealabile menţionate la pct.19, să stabilească cerinţe specifice auditului extern al activităţilor de importanţă materială externalizate.

48. Auditul extern al activităţii/operaţiunii externalizate poate fi desfăşurat la iniţiativa şi pe seama furnizorului, cu condiţia respectării cerinţelor prevăzute la pct.42-47, precum şi a prezentării de către furnizor a raportului auditorului extern al activităţilor/operaţiunilor externalizate.

 

Capitolul VII

EXTERNALIZAREA ÎN LANŢ

49. Banca evaluează şi administrează riscurile asociate unei externalizări în lanţ.

50. Banca poate consimţi la o externalizare în lanţ doar dacă subcontractorul îşi asumă aceleaşi obligaţii ca şi cele stabilite în sarcina furnizorului, inclusiv obligaţiile în relaţie cu Banca Naţională a Moldovei.

51. Subcontractarea este permisă doar cu acordul prealabil al băncii şi în aceleaşi condiţii ca şi externalizarea activităţilor/operaţiunilor către furnizor.

52. Banca revizuieşte subcontractarea activităţii/operaţiunii externalizate pentru a se asigura că riscul operaţional şi alte riscuri nu se majorează în urma metodelor inadecvate de control sau a altor deficienţe ale furnizorului care preia activităţile/operaţiunile respective.

53. Banca ia măsurile corespunzătoare cu privire la riscurile asociate neîndeplinirii sau îndeplinirii necorespunzătoare a activităţilor/operaţiunilor subcontractate, care au un impact negativ asupra capacităţii furnizorului de a-şi respecta obligaţiile asumate prin contract.

54. Subcontractarea activităţilor de importanţă materială externalizate (externalizarea în lanţ) nu se permite.

 

Capitolul VIII

EXTERNALIZAREA TEHNOLOGIEI INFORMAŢIEI ŞI COMUNICAŢIILOR

 

Secţiunea 1

Dispoziţii generale

55. Prezentul capitol se aplică băncilor care intenţionează să externalizeze TIC.

56. În cazul externalizării TIC care reprezintă activităţi de importanţă materială pentru bancă, aceasta urmează să obţină aprobarea prealabilă a Băncii Naţionale a Moldovei în conformitate cu cerinţele prevăzute la pct.19-29, în modul corespunzător, şi la pct.58-60, după caz.

57. Notificarea, raportarea şi desfăşurarea auditului extern la externalizarea TIC se va efectua conform prevederilor pct.37-41, în modul corespunzător.

 

Secţiunea 2

Contractul de externalizare TIC şi administrarea

riscurilor asociate externalizării TIC

58. În cazul externalizării TIC, banca întocmeşte proiectul contractului de externalizare TIC cu furnizorul în conformitate cu prevederile pct.11-18, şi respectiv va include cel puţin:

1) perioada de notificare prealabilă privind modificările ce pot surveni la contract;

2) obligativitatea furnizorului, la necesitate, de a încheia un contract de asigurare obligatorie aferentă unor riscuri specifice;

3) clauze privind securitatea informaţiei şi continuitatea activităţii, care vor conţine cel puţin următoarele:

a) obligativitatea furnizorului de a se conforma cu reglementările TIC şi standardele de securitate a informaţiei şi continuitate a activităţii aplicabile băncii;

b) cerinţe specifice de securitate şi continuitate înaintate de bancă pentru TIC externalizate ce stochează sau conţin date cu caracter personal;

c) cerinţe cu privire la asigurarea accesibilităţii, disponibilităţii, integrităţii şi confidenţialităţii datelor băncii în cadrul sistemului informaţional al furnizorului;

d) obligativitatea furnizorului de a stoca datele băncii în cadrul sistemelor informatice şi bazelor de date într-o manieră care să permită identificarea, exportul/extragerea şi ştergerea datelor la solicitarea băncii;

e) cerinţe faţă de furnizor cu privire la timpul de restabilire a serviciilor de externalizare TIC de importanţă materială prestate în cazul producerii unor incidente;

f) obligativitatea furnizorului de a dezvolta planuri de restabilire aferente serviciilor de externalizare TIC de importanţă materială prestate băncii;

g) obligativitatea furnizorului de a efectua anual testele de continuitate a serviciilor de externalizare TIC de importanţă materială cu raportarea rezultatelor către bancă.

4) prevederi cu privire la dreptul de acces al băncii la TIC şi la informaţie, care vor conţine cel puţin următoarele:

a) obligativitatea furnizorului de a permite Băncii Naţionale a Moldovei, sau oricărei alte entităţi, sau persoanelor delegate de bancă accesul complet la toate încăperile, echipamentele şi sistemele utilizate pentru a presta serviciile de externalizare TIC;

b) dreptul băncii şi a autorităţilor de supraveghere de a cere şi de a primi de la furnizor, fără întârzieri nejustificate, jurnale de audit şi copii de rezervă aferente, ca urmare a unor investigaţii, misiuni de audit sau în cazul întreruperii relaţiei cu furnizorul din orice motive;

c) dreptul băncii la auditul TIC externalizate cu utilizarea în acest scop a rapoartelor de control ale autorităţilor de supraveghere ale furnizorului. După caz, unde este relevant, banca se va asigura de posibilitatea efectuării testelor de penetrare a serviciilor de externalizare TIC prestate băncii de către furnizor;

5) prevederi cu privire la asigurarea gestionării eficiente a riscurilor, în cazul încetării relaţiei cu furnizorul, care vor conţine cel puţin următoarele aspecte cu privire la dreptul de încetare a relaţiei cu furnizorul:

a) posibilitatea de încetare a relaţiei cu furnizorul cel puţin în următoarele cazuri:

neconformarea furnizorului cu prevederile legale aferente domeniului TIC, securităţii informaţiei, a datelor cu caracter personal sau continuităţii activităţii;

identificarea unor impedimente capabile să afecteze performanţa sau calitatea prestării serviciilor de externalizare TIC de către furnizor;

existenţa vulnerabilităţilor critice ce pot afecta securitatea informaţiei şi a datelor cu caracter personal ale clienţilor băncii, pe care furnizorul refuză să le remedieze sau timpul prognozat pentru remediere poate avea impact negativ asupra clienţilor băncii;

b) o perioadă de tranziţie în cazul încetării relaţiei cu furnizorul sau al transferului către alt furnizor, cu obligativitatea furnizorului de a acorda suport băncii;

c) obligativitatea furnizorului de a crea mecanisme ce vor permite identificarea şi ştergerea tuturor datelor ce ţin de bancă, inclusiv cele aferente procesului de prestare de către furnizor a serviciilor de externalizare TIC, cu excepţia cazurilor când datele ce ţin de bancă sunt necesare a fi păstrate pentru conformarea cu cerinţele legislaţiei naţionale.

59. Banca, suplimentar la prevederile pct.30-36, defineşte cerinţe cu privire la asigurarea continuităţii TIC, securităţii informaţiilor, performanţei şi calităţii externalizării TIC şi evaluează cel puţin următoarele:

1) impactul potenţial al oricărei întreruperi sau perturbări în prestarea de către furnizor a externalizării TIC;

2) viabilitatea externalizării TIC pe termen scurt şi pe termen lung, inclusiv costurile financiare aferente;

3) impactul externalizării TIC asupra salariaţilor băncii;

4) aspectele legale şi reputaţionale aferente procesului de externalizare TIC;

5) impactul externalizării TIC asupra capacităţii băncii de a gestiona riscurile TIC şi de securitate a informaţiei, de a respecta cerinţele legale şi de reglementare;

6) impactul externalizării TIC asupra capacităţii băncii de a efectua misiuni de audit, inclusiv a serviciilor externalizate;

7) impactul externalizării TIC asupra riscului operaţional;

8) impactul potenţial al externalizării TIC asupra calităţii serviciilor prestate clienţilor băncii;

9) riscul de concentrare, inclusiv riscul de contractare a unui furnizor dominant sau care nu este uşor de substituit;

10) riscul agregat ce rezultă din externalizarea mai multor funcţii ale băncii către acelaşi furnizor;

11) riscul de pierdere de către bancă a controlului asupra externalizării TIC;

12) dacă furnizorul este supus supravegherii din partea autorităţilor competente;

13) în cazul furnizorilor de sisteme de tip cloud (ansamblu distribuit de sisteme/de stocare a datelor ale căror servicii sunt disponibile la cerere, accesate printr-o reţea, pentru care nu se cunoaşte amplasarea fizică exactă), riscurile asociate tipului de cloud utilizat (public/privat/hibrid) şi locaţiei fizice a stocării/procesării datelor;

14) riscul de portabilitate a tehnologiilor utilizate de către furnizor;

15) posibilitatea de a extinde sau a reduce volumul externalizării TIC fără a revizui aranjamentele contractuale;

16) capacitatea băncii de a transfera externalizarea TIC către un alt furnizor, inclusiv costurile estimative, timpul necesar, dificultăţile ce pot apărea;

17) capacitatea băncii de a reintegra TIC externalizate în cadrul activităţilor băncii.

60. În cazul externalizării TIC în afara ţării, banca urmează să identifice riscul de ţară aferent furnizorului în cauză. La identificarea riscului de ţară aferent furnizorului respectiv, banca va evalua cel puţin următoarele:

1) complexitatea reglementărilor privind prestarea serviciilor de externalizare TIC, protecţia datelor cu caracter personal şi insolvabilitatea;

2) riscul de instabilitate politică care ar putea să aibă impact asupra furnizorului;

3) riscul climateric şi al mediului unde este amplasat echipamentul furnizorului;

4) problemele culturale şi/sau lingvistice cu privire la aşteptările băncii faţă de serviciile de externalizare TIC;

5) fusul orar în care este amplasat furnizorul şi disponibilitatea personalului său de a remedia incidentele în timp util.

61. În cazul externalizării TIC în lanţ, banca se va conforma prevederilor pct.49-54, în modul corespunzător.

 

Secţiunea 3

Controlul activităţilor TIC externalizate

62. Banca, pentru a se asigura că gestionează eficient riscurile asociate reintegrării TIC externalizate, la întreruperea relaţiei cu furnizorul, va întreprinde cel puţin următoarele măsuri:

1) elaborarea unei strategii de reintegrare a TIC externalizate, care va asigura continuitatea activităţilor băncii, conformarea cu cerinţele cadrului de reglementare şi evitarea impactului asupra calităţii deservirii clienţilor în cazul întreruperii relaţiei cu furnizorul;

2) asigurarea că strategia prevăzută la subpct.1) din prezentul punct va conţine cel puţin următoarele:

a) obiectivele strategiei;

b) analiza de impact şi analiza de riscuri aferente procesului de reintegrare a externalizării TIC;

c) identificarea resurselor tehnico-organizatorice, umane şi financiare, inclusiv a perioadei necesare implementării strategiei;

d) alocarea rolurilor şi responsabilităţilor pentru gestiunea strategiei;

e) factorii critici de succes în procesul de reintegrare;

f) indicatorii de performanţă şi calitate ai serviciilor externalizate ce urmează a fi monitorizaţi de către bancă şi care vor declanşa aplicarea strategiei;

3) revizuirea, cel puţin o dată pe an, a strategiei de reintegrare a TIC externalizate pentru a asigura viabilitatea ei.

63. Banca, cu excepţia entităţilor care sunt filiale a acesteia, pentru a asigura continuitatea activităţii în cazuri excepţionale, pentru TIC externalizate de importanţă materială, se va conforma cel puţin cu următoarele aspecte:

1) alocarea de suficiente resurse tehnice pentru a asigura, în conformitate cu planul de continuitate, la sediul băncii continuitatea TIC externalizate şi abilitatea de recuperare sau acomodare rapidă la situaţii nefavorabile sau schimbări în cazul unui incident major/situaţie excepţională la furnizor sau declanşarea de către autoritatea de rezoluţie a procedurii de rezoluţie sau lichidare a băncii;

2) deţinerea de resurse umane ce posedă cunoştinţe suficiente pentru a asigura la necesitate reintegrarea/substituirea/continuitatea în conformitate cu planul de continuitate al băncii, a TIC externalizate;

3) dezvoltarea planurilor de continuitate care să permită, în timp optim, reluarea integrală la sediul băncii a oricărei TIC de importanţă materială externalizate;

4) organizarea, în comun cu furnizorul, a testării planurilor de continuitate a TIC de importanţă materială externalizate cu restabilirea acestora la sediul băncii;

64. Banca, pentru a asigura o supraveghere eficientă a externalizării TIC, se va conforma cu prevederile pct.35 şi cu cel puţin următoarele:

1) alocarea suficientă a resurselor tehnice, financiare, inclusiv umane, ce deţin cunoştinţe pentru a asigura o monitorizare eficientă a externalizării TIC;

2) monitorizarea, în mod continuu, a performanţelor şi calităţii serviciilor de externalizare TIC prestate de furnizor pentru a se asigura că acestea corespund cu cerinţele stabilite în contract. Evaluarea performanţei poate fi efectuată prin intermediul următoarelor surse, fără a se limita la acestea: rapoartele privind livrarea serviciului prestat de către furnizor, indicatorii de performanţă, de calitate, de continuitate, revizuirile independente, certificările, rapoartele privind testele de continuitate;

3) revizuirea periodică şi raportarea către organul de conducere al băncii despre schimbările profilului de risc aferent externalizării TIC.