Externalizarea – pas cu pas

Oana Oprea

Privacy, Compliance, Risk Management Expert

Motto: „ Fă ceea ce faci cel mai bine și externalizează restul„

Peter Drucker

Externalizarea activităţilor este o modalitate de eficientizare şi optimizare a activităţilor unei companii, dar aduce cu sine şi expunerea la potenţiale riscuri. Contracararea acestor riscuri se poate realiza prin măsuri organizatorice, operaţionale şi prin aranjamente contractuale adecvate. Este vorba despre o delegare de responsabilităţi al cărei succes rezidă, în principal, în modalitatea de monitorizare şi control al activităţilor ce fac obiectul externalizării.

Care sunt paşii premergători unei externalizări?

Este important să se definească în detaliu activităţile ce se doresc a fi externalizate şi să se evalueze corect atât partenerul de business, cât şi implicaţiile şi riscurile asociate externalizării.

• Stabilirea activităţilor ce se doresc externalizate – se vor analiza procesele existente şi se vor selecta acele activităţi ce vor face obiectul externalizării, luând în considerare toate elementele de relevanţă în acest context: fluxuri, resurse umane, sisteme, aplicaţii, baze de date etc.

• Identificarea nevoilor implicate de externalizare: servicii de consultanţă, derularea unor procese prealabile impuse de nevoia de business sau de cerinţele legale (concediere colectivă etc.), desemnarea unei echipe de proiect la nivelul companiei care să analizeze toate implicaţiile şi riscurile asociate externalizării, precum şi să coordoneze planul de acţiuni necesar implementă

• Identificarea impactului deciziei de externalizare: reducerea numărului de personal implicat în derularea activităţilor externalizate (se vor avea în vedere prevederile Codului Muncii în ceea ce privește concedierea angajatului pentru motive ce nu ţin de persoana acestuia – ex. concediere colectivă), relocarea sa parţială către alte arii de activitate din cadrul companiei (se va avea în vedere organizarea de programe de pregătire profesională sau reconversie, care să uşureze integrarea personalului relocat în noul mediu de lucru) sau transferul acestuia către prestatorul de servicii externalizate, după

• Identificarea şi evaluarea viitorului furnizor din perspectiva cerinţelor legale în materie de:
  • prevenirea spălării banilor şi finanţării terorismului, ca parte din procesul de cunoaştere a clienţilor/partenerilor de afaceri (surse disponibile de informare – de exemplu, risco.ro, termene.ro, orbis.bvdinfo.com, portal.just.ro etc.)
  • prelucrare a datelor cu caracter personal, sens în care se recomandă evaluarea potenţialului furnizor, apropo de respectarea cadrului legal aferent prelucrării datelor cu caracter personal, precum şi de implementarea de către acesta în activităţile curente, a unor măsuri organizatorice şi de securitate adecvate unei prelucrări conforme şi în condiţii de siguranţă.

• Dacă externalizarea implică utilizarea unei platforme software care presupune prelucrarea de date cu caracter personal, atunci se va proceda la evaluarea platformei din perspectiva cerinţelor de securitate şi a adecvării acesteia la cadrul legal privind protecţia datelor cu caracter personal.

• Se vor analiza, de la caz la caz, temeiul şi scopurile prelucrării şi se va derula o evaluare de legitimitate a prelucrării, în măsura în care interesul legitim al operatorului este principalul temei al prelucrării, pentru a asigura un echilibru rezonabil între interesele operatorului şi drepturile şi libertăţile persoanelor vizate.

Care sunt principalele elemente contractuale recomandabil a fi avute în vedere?

Documentaţia contractuală trebuie să conţină o descriere corectă şi completă a responsabilităţilor părţilor, garanţii adecvate din partea furnizorului, mecanisme de evaluare a eficienţei performanţei furnizorului, o reglementare specifică a coordonatelor aferente prelucrării datelor cu caracter personal, dupa caz.

• Fiind vorba de o externalizare de activităţi, este recomandabil ca instrucțiunile privind modalitatea de derulare a activităţilor să fie clar detaliate în contract, creând cadrul necesar beneficiarului serviciilor de a se îndrepta împotriva prestatorului, în eventualitatea în care acesta din urma nu îsi îndeplinește responsabilităţile, afectând astfel activitatea beneficiarului.

• Se recomandă includerea unor indicatori de monitorizare a performanţei furnizorului, precum şi termene de răspuns clare pe fiecare tip de activităţi prestate, care să permită o corectă evaluare a furnizorului, din punct de vedere cantitativ, dar şi calitativ.

• În cazul în care furnizorul eșuează în îndeplinirea obligaţiilor sale, este recomandabil ca beneficiarul să aibă posibilitatea de a ieși din contract cu usurință, iar în context, va fi necesar să se includă în contract şi un plan de exit care să detalieze modul în care se vor transfera activităţile prestate înapoi către beneficiar sau către un alt furnizor de servicii, după cum va decide beneficiarul.

• Mai ales pentru situaţia în care activităţile externalizate sunt de importanţă semnificativă pentru beneficiar sau acesta din urmă nu mai deţine intern expertiza şi resursele necesare respectivelor activităţi, este recomandabil ca furnizorul să ofere şi un plan de back-up sau de continuitate. Un asemenea plan ar urma să permită preluarea activităţilor, parțial sau total, de către un alt furnizor.

• În cazul în care prestarea serviciilor implică o prelucrare de date cu caracter personal, context în care furnizorul ar urma să acţioneze ca procesator sau împuternicit al beneficiarului, atunci va fi necesar să se încheie şi un Acord de prelucrare date cu caracter personal. Un asemenea acord include elemente precum coordonatele prelucrării (categoriile de date prelucrate, categoriile de persoane vizate, perioada de stocare etc.), instrucţiuni de prelucrare, indicarea terţilor implicaţi în prelucrare, după caz, precum si referinţa la eventuale transferuri în afara Uniunii Europene, la mecanismul de gestionare a potenţialelor incidente, cereri din partea autorităţilor sau a persoanelor vizate.

Care sunt pașii necesari post-externalizare?

După demararea colaborării cu furnizorul, beneficiarul serviciilor îsi păstrează responsabilitatea cu privire la derularea în condiţii de eficiență şi siguranță a activităţilor externalizate, asigurându-se astfel că afacerea sa este protejată de pierderi financiare, de riscuri operaţionale, de fraudă, de sancţionare de către autorităţile competente sau de risc reputaţional.

• Alinierea procedurilor de lucru interne pentru a reflecta activităţile externalizate şi pentru a introduce controalele şi verificările necesare unui management eficient al procesului şi unei monitorizări adecvate a relaţiei cu furnizorul/furnizorii.

• Menţinerea unui registru de riscuri potenţiale asociate activităţilor externalizate şi desemnarea unui responsabil cu monitorizarea măsurilor de prevenire sau după caz de contracarare a riscurilor identificate.

• Auditarea periodică a furnizorului, având ca scop activităţile ce fac obiectul externalizării, urmărind atât aspecte operaţionale, cât şi cele legate de siguranţă şi securitatea datelor cu caracter personal prelucrate, după caz. De menţionat că procesatorul are, conform legii, obligaţia de a pune la dispoziţia operatorului toate informaţiile necesare şi de a permite acestuia din urmă desfăşurarea de audituri.

• În cazul în care activităţile externalizate presupun o complexitate aparte sau implică operaţiuni detaliate de prelucrare a datelor cu caracter personal, se recomandă organizarea de sesiuni de training, derulate cu suportul sau la inițiativa şi sub coordonarea beneficiarului.

Cu speranţa că informațiile de mai sus vor folosi drept repere în design-ul unui proiect de externalizare, în articolele viitoare ele vor fi abordate pe rând şi detaliat.