Orientações da EBA sobre Subcontratação
PUBLICAÇÕES SÉRVULO 12 Mar 2019
No dia 25 de fevereiro de 2019 a Autoridade Bancária Europeia (“EBA”) procedeu à publicação de orientações revistas sobre acordos de subcontratação.
Tais orientações focam-se maioritariamente em temas de Governance, devendo por isso ser interpretadas em consonância com o disposto nas orientações da EBA sobre governação interna, em virtude de a externalização ser um dos aspetos mais comuns das estruturas de governação das instituições. Tais orientações devem ainda ser interpretadas conjuntamente com as orientações da EBA relativas aos procedimentos e metodologias comuns a seguir no âmbito do processo de revisão e avaliação pelo supervisor (“SREP”), com as Orientações da EBA relativas às tecnologias da informação e comunicação (“TIC”) no âmbito do processo de revisão e avaliação pelo supervisor (“SREP”) e por fim, com as orientações da EBA sobre a informação que deve ser prestada para a autorização de instituições de pagamento.
Atendendo à crescente tendência das empresas para celebrarem acordos de subcontratação como mecanismo para reduzir os custos e aumentar a eficiência, nomeadamente em IT, as orientações estabelecem e harmonizam um enquadramento para acordos de subcontratação de instituições financeiras, nomeadamente para instituições de crédito e para empresas de investimento sujeitas à Diretiva de Requisitos de Fundos Próprios, bem como para instituições de pagamento e de moeda eletrónica.
A fim de preservar um denominador comum, as orientações fornecem também uma definição clara de externalização que está em conformidade com a estabelecida no Regulamento Delegado da Comissão n.º 2017/565, juntamente com critérios detalhados para determinar se uma determinada atividade, serviço, processo ou função subcontratada é considerada "crítica ou importante" ao abrigo da DMIF II.
Na mesma senda, as diretrizes preveem ainda uma estrutura de Governance detalhada que deverá ser adotada aquando da celebração de acordos de subcontratação.
Nesta medida, o extenso framework prescreve requisitos que visam garantir, entre outros, que:
- a administração de topo ou o órgão de administração leve a cabo uma gestão e supervisão diária eficaz;
- exista uma política e um processo sólido de subcontratação;
- todos os riscos associados à subcontratação de funções críticas ou importantes sejam identificados, avaliados, monitorizados, geridos, reportados e, quando necessário, mitigados;
- existam planos adequados para a denuncia de acordos de subcontratação de funções críticas ou importantes;
A este respeito, a EBA promove ainda a necessidade de os acordos de subcontratação relativos a funções críticas e importantes terem que estabelecer direitos de auditoria, extraindo-se assim, em sentido diverso, que em acordos de subcontratação não críticos a implementação de direitos de auditoria deverá ser avaliada casuisticamente à luz do princípio da proporcionalidade.
Em face de tudo o que precede, a EBA entende que os acordos de subcontratação devem assegurar que “as instituições e as instituições de pagamento devem garantir que o provedor de serviços lhes conceda, bem como às autoridades competentes, direitos ilimitados de inspeção e auditoria relacionados com o acordo de subcontratação, de modo a permitir que eles supervisionem o acordo de subcontratação assim como todos os requisitos regulamentares e contratuais aplicáveis ”.
De igual modo, os contratos de subcontratação também devem garantir “direitos de acesso e de informação”, que se traduzem num acesso total a todas as instalações comerciais relevantes, incluindo toda a gama de dispositivos, sistemas, redes, informações e dados relevantes utilizados para fornecer a função subcontratada, incluindo informações financeiras relacionadas, colaboradores, e auditores externos do prestador de serviços.
Adite-se ainda que, os acordos de subexternalização são também abrangidos pelas orientações, uma vez que a EBA se concentrou em estabelecer os termos pelos quais tais acordos possam ser celebrados, as atividades que são excluídas da subexternalização e a responsabilidade pela sua supervisão.
Note-se por fim que, aquando da sua entrada em vigor, - no dia 30 de setembro de 2019 -, estas orientações revogarão as diretrizes do Comité das Autoridades Europeias de Supervisão Bancária (“CEBS”) sobre subcontratação (emitidas no ano de 2006), bem como as recomendações específicas da EBA sobre cloud outsourcing. Em resultado, as instituições bancárias terão até ao dia 31 de dezembro de 2021 para avaliar os seus acordos de subcontratação em vigor e, ao fazê-lo, devem verificar se um incumprimento ou falha no desempenho de uma função subcontratada prejudicaria materialmente o seu desempenho financeiro, a conformidade regulatória ou a continuidade dos negócios.
Michael-Sean Boniface
