Rámec řízení rizik při realizaci outsourcingu
25. Povinná osoba zavede a udržuje ucelený systém řízení a kontroly přípravy a využívání outsourcingu v souladu se schválenou strategií pro využívání outsourcingu. Za tímto účelem zavede a udržuje zásady a postupy pro řízení, sledování a posuzování přípravy a využívání outsourcingu jako celku a jeho jednotlivých případů, které zejména zabezpečí řádné a obezřetné využívání outsourcingu a soulad se schválenou strategií povinné osoby.
26. Před zahájením využívání outsourcingu povinná osoba provede dostatečnou analýzu rizik spojených s daným záměrem, včetně posouzení možných nepříznivých dopadů na řídicí a kontrolní činnosti a funkce povinné osoby, a stanoví konkrétní metody a postupy, jakými budou takto rozpoznaná rizika řízena, které následně zavede a udržuje.
27. Povinná osoba posuzuje rizika outsourcingu rovněž s přihlédnutím k možným střetům zájmů včetně možného střetu zájmů, pokud existuje mezi povinnou osobou a poskytovatelem outsourcingu ovládání.
28. V rámci systému vnitřní kontroly povinná osoba zajistí, že je průběžně prováděno sledování a hodnocení jednotlivých případů outsourcingu, a to zejména z hlediska kontroly souladu s právními předpisy a souladu se sjednanou mírou a kvalitou takto vykonávaných činností a rovněž z hlediska řízení rizik a bezpečnosti a spolehlivosti přenosu, zpracování a zabezpečení informací, zejména dat podléhajících ochraně.
29. Předmětem posuzování využívání outsourcingu, které pravidelně provádí povinná osoba, je zejména zda
a) je činnost trvale vykonávána v souladu s příslušnými právními předpisy a smlouvou,
b) je poskytovatel outsourcingu nadále důvěryhodný a právně, finančně, odborně a technicky způsobilý k zajišťování dané činnosti,
c) zabezpečení informací podléhajících ochraně je zajištěno trvale a dostatečně a
d) poskytovatel outsourcingu pravidelně prověřuje funkčnost a dostatečnost svých systémů vnitřní kontroly a řízení rizik včetně řízení rizika výskytu mimořádných událostí, které by mohly mít významný negativní vliv na řádný výkon dané činnosti.
30. Využívání outsourcingu povinná osoba posuzuje prostřednictvím osoby či osob s adekvátními znalostmi a zkušenostmi v dané oblasti či oblastech a v dostatečném rozsahu.
31. Povinná osoba před zahájením využívání outsourcingu stanoví, jak často a kým bude kontrolován a posuzován, včetně případné kontroly kvality dané činnosti a účinnosti vnitřní kontroly a řízení rizik přímo u poskytovatele outsourcingu.
32. V případě zjištění významného nedostatku při outsourcingu zajistí povinná osoba bez zbytečného odkladu nápravu, v případě jiných nedostatků nápravu zajistí v přiměřené době.