Pénzintézeti kiszervezések: kihívást jelent a rendszeres ellenőrzés

A bizonytalanságot és kockázatokat növeli, ha a bank nem fordít kellő figyelmet külső partnerei tevékenységére, ha viszont túl sokat foglalkozik velük, az már a szolgáltatók hatékony munkáját veszélyezteti. Mindkét fél számára megoldást jelenthet a kiszervezett tevékenységek egységes auditálása - ráadásul mindez nem csak a pénzintézeti szektorban lehet hasznos.

Ralph van Uden, a Deloitte Vállalati kockázatkezelési üzletágának igazgatója elmondta: A bérszámfejtés, vagy a személyzeti (HR) és az IT területek egyes folyamatainak kiszervezése komoly megtakarítást jelenthet a bankok számára, de ez a megoldás gyakran kockázatokat is von maga után. Nem ritka, hogy a megbízó pénzintézet nincs tisztában azzal, hogy pontosan milyen feladatokat végez a vele szerződésben álló külső szolgáltató, a cég milyen hozzáférési jogosultsággal rendelkezik a bank rendszereiben, és hogyan bánik a rábízott érzékeny adatokkal.

A kiszervezett tevékenységek kontrollja az Enron-botrányt követően vált kötelezővé. A szabályozás (Sarbanes-Oxley törvény) értelmében minden pénzintézetnek megfelelően dokumentálnia kell belső folyamatait, ha pedig a pénzintézet a főbb tevékenységeit kiszervezi, azokat is rendszeresen ellenőriznie kell, illetve saját, belső szakember híján köteles egy külső szakértőt megbízni ezzel. A pénzintézeti szektorban külön jelentőséggel bír a kiszervezett tevékenységek auditjának elvégzése, hiszen a felügyeleti szervnek (PSZÁF) ellenőrzési jogköre van ezek felett.

A legtöbb pénzintézet ennek ellenére nem rendelkezik meghatározott munkatervvel a kiszervezett tevékenységet végző szolgáltatók felügyeletére, a kisebb bankokra pedig jellemző, hogy bár viszonylag több funkciót szerveznek ki, a szerényebb létszámú belső ellenőrzési osztályuk számára aránytalanul nagy kihívást okoz a kiszervezett tevékenységek megfelelő felügyelete.

Ralph van Uden kiemelte: Azoknál a szolgáltató cégeknél, amelyek egyszerre több, a saját kockázatait komolyan vevő ügyféllel is szerződésben állnak, a biztonsági ellenőrzések, auditok idővel szinte egymást érik. Olyannyira, hogy mindez már a szolgáltatónál végzett munka minőségét is veszélyezteti, hiszen a rendszeres biztonsági átvilágítás az érintett cég dolgozóinak idejét és türelmét is igénybe veszi. Ezek az ellenőrzések nem egy meghatározott sablon szerint épülnek fel, minden audit egyedi törődést igényel, hiszen a különböző ügyfelek különböző kontrollok meglétét tartják szükségesnek a kiszervezett tevékenységet végző cégeknél, és nem jellemző, hogy a vizsgálatnak alávetett cég érdekében lemondanának ezekről.

A külső szolgáltatók szempontjából ebben a környezetben kézenfekvő megoldás lehet, ha a rengeteg energiát és időt felemésztő külső audit-vizsgálatok helyett inkább ők maguk kérnek fel egy olyan külső szakértőt, aki képes egyetlen vizsgálat (például "SAS70") keretében ellenőrizni a cég által átvállalt összes feladatot, és hitelesen, a bankok és egyéb ügyfelek elvárásának megfelelően minősíteni a végrehajtásuk módszerét is. A SAS 70, illetve a 2011-től helyébe lépő nemzetközi "ISAE 3402", illetve amerikai "SSAE 16" szabványok olyan egységes audit módszereket nyújtanak, amelyeknek köszönhetően a folyamataikat kiszervező bankok, és egyéb vállalkozások könyvvizsgálói hiteles képet kaphatnak a szolgáltató cégeknél alkalmazott kontrollrendszerről, az információtechnológiai és egyéb kapcsolódó folyamatoknál alkalmazott kontrollok hatékonyságáról - tette hozzá a Deloitte Zrt. szakértője.

Egy ilyen "önként vállalt" szolgáltatói audit lefolytatása mind a tevékenységeiket kiszervező pénzintézetek, mind a szolgáltató cégek szempontjából előnyös lehet. A vállalkozásnak egy évben mindössze egyszer kell komolyabb biztonsági ellenőrzésnek alávetnie magát, amely vizsgálatnak az eredményét akár az összes ügyfelének át tudja adni. A bank számára pedig az elkészült jelentés egyértelmű bizonyosságot nyújt arra vonatkozóan, hogy adatai jó kezekben vannak és komoly, megbízható szolgáltató partnerrel működik együtt. További előnyt jelenthet a bankok számára az, hogy mivel a felügyeleti szerv figyelembe veszi az elkészült auditot, a felügyeleti ellenőrzések is lerövidülhetnek.

Ralph van Uden hangsúlyozta: Természetesen a kiszervezett tevékenységek auditjának megléte nem csupán a bankszektort kiszolgáló vállalatok számára lehet fontos, hanem iparágtól függetlenül szinte bármely szolgáltató cégnek is. A szolgáltatást nyújtó vállalatok így rengeteg időt és energiát megtakarítva bizonyíthatják folyamataik - és a hozzájuk tartozó kontrollok - megfelelő működését, megrendelőik szemében pedig ennek köszönhetően transzparens és megbízható vállalatként jelenhetnek meg.