Strategia wyjścia, czyli…

No właśnie, co to takiego? Na co ma to być sposób? 

Zacznijmy od definicji…

Jedna z definicji mówi, że jest to określenie sposobu, w jaki przedsiębiorca zamierza wycofać się danej działalności biznesowej. Ale to jest strategii dotyczące nas, czyli gdy my się chcemy wycofać.

DORA wprowadza szereg zmian w podejściu do współpracy z dostawcami usług ICT, w tym wprowadza pewne postanowienia, co do zawartości umów z firmami świadczącymi usług ICT. Zgodnie z art. 30 Rozporządzenia DORA, prawa i obowiązki banku i zewnętrznego dostawcy usług ICT będą musiały być określone na piśmie, a umowa będzie musiała obejmować klauzule o gwarantowanym poziomie usług. W sumie dość oczywiste i jakbym już gdzieś to czytał (np. warunki SLA). 

Do najważniejszych postanowień została zakwalifikowana również kwestia ochrony danych. Umowy będą musiały zawierać zapisy dotyczące dostępności, autentyczności, integralności i poufności w odniesieniu do ochrony danych. Tu chyba też nikt nie powinien być zaskoczonym.

Poza tym, umowa ma zobowiązywać do realizacji działań w ramach sprawozdawczości dostawców usług ICT. I to też jest jakby nam znane, tylko do tej pory niewidziane. Owszem niewidziane, bo nie zapisane wprost, ale jeżeli rekomendacja D nakładała jakiś obowiązek na służy IT banku, a tymi służbami stawał się zewnętrzny dostawca (outsourcing serwerowni, stanowiska ASI itd.), to oczywistym było, że całe raportowanie np. z odtwarzania kopii, testów PCD, testów podatnościowych itp. przechodziło na dostawcę, ale ja w sumie nie o tym, bo to banalne…

„Dora” nakazuje też zawrzeć w umowach odpowiednio długie okresy wypowiedzenia umowy i tu znowu temat nie powinien nikogo zaskoczyć, bo zgodnie z zasadami PCD okres wypowiedzenia umowy ze strony dostawcy powinien być adekwatny do czasu znalezienia nowego dostawcy i wdrożenia nowego rozwiązania. Prawda?

Skoro więc mamy ogarnięte oczywiste zapisy, to dorzucę na koniec jeszcze jeden wymóg, który powinien być stosowany, a mianowicie zapis pochodzący jeszcze z czasów ‘starej’ rekomendacji D i paru innych wytycznych, mówiący o tym, że w umowie z dostawcą oprogramowania powinny być zawarte zapisy dotyczące depozytu kodów. Tak, tak, to baaardzo stara i od jakiegoś czasu nie stosowana, baaardzo dobra praktyka wpisująca się w wymagania DORY.

I ta niestosowana, od jakiegoś czasu praktyka przyprowadziła nas do ponoć niefajnego zapisu, czyli wymogu DORY, zwanego: strategia wyjścia, czyli procedury przekazania obowiązków innemu dostawcy ICT w przypadku rozwiązania umowy przez obecnego dostawcę. Gdzie w zakres funkcji krytycznych lub istotnych wpisuje się oczywiście trzech muszkieterów, tj.: Novum, Asseco
i SoftNet (kolejność przypadkowa).

I co z tym zrobić? No ja nie wiem. A nie wiem, bo nie znam wszystkich, ale tak zupełnie wszystkich umów, ustaleń zakulisowych itp.

Ale mam pewien pomysł, jak do tego podejść. A, że piszę o sprawach wszystkim znanych nie będę osobno pisał  dla banków SoftNet’owych, Novum’owskich czy Def’owskich.

Zaczynamy?

Weźmy na tapet, dla mnie najprostszy przypadek, czyli bank SoftNet’owy. Ci z Państwa, dla których pisaliśmy PCD powinni mieć taką procedurę: „X. Procedura na wypadek upadłości Dostawcy, firmy SoftNet”, która stanowiła załącznik do PCD i to z czasów 2016-2017.
Nie ma za co.

Czas na… Def’a

Tak się zastanawiałem, co się stanie, gdy upadłość ogłosi SGB Bank SA (czego broń Boże nie życzę ani SGB, ani Bankom, ani sobie tj. nam).

Otóż… nic się nie wydarzy. Przyjdzie KNF, wyznaczy komisarza i karawana pójdzie dalej. Oczywiście w znacznym uproszczeniu. Ale konia z rzędem temu, kto przewidzi co nastąpi dalej, zwłaszcza z bankiem spółdzielczym bez prawa do samodzielności. Nie sądzę, aby pojedynczy bank spółdzielczy miał coś przedsięwziąć na własna rękę. I to jest pierwsza wskazówka do strategii wyjścia.

A co się stanie, gdy upadnie Asseco? Odetchnie Novum, czyli jeszcze bardzie nic… ale na poważnie. SGB powinno mieć zagwarantowany depozyt kodów, to raz. A dwa, wyobrażacie sobie Państwo, że ktoś pozwoli na to, aby defowskie banki rozpierzchły się jak mrówki po innych dostawcach? No, nie. Wówczas (mam taką  nadzieję) SGB Bank podejmie działania zmierzające do pozyskania kogoś, kto przejmie kontrole na kodem Def’a  i docelowo wdroży w jego miejsce swój system. Tak mi mówi logika. I to jest druga podstawa do napisania strategii wyjścia.

No i czas na Novum. Niby przypadek najtrudniejszy, ale czy na pewno? Z głowy możemy sobie wybić pisanie: idziemy do Def’a, idziemy do SoftNetu, zejdźmy na ziemię. Ponad 100 banków na raz, to i Bill Gates nie łyknie. Przyjrzyjmy się więc udziałom w spółce ZUI Novum. Internet mów, że: Asseco Poland SA posiada 639 (sześćset trzydzieści dziewięć) udziałów o łącznej wysokości 319.500 (trzysta dziewiętnaście tysięcy pięćset) złotych, to może to jest kierunek działań strategicznych, bo kto straci w tym miejscu najwięcej, czyli komu powinno zależeć na utrzymaniu relacji biznesowej? Nie ma chyba lepszej podstawy do napisania prawdziwej strategii wyjścia.

I na koniec, bo powoli sam nie ogarniam Ustawy o języku polskim w kontekście innych definicji: Usługi ICT obejmują konsulting technologiczny, wdrażanie systemów, zarządzanie infrastrukturą IT czy bezpieczeństwo IT.

Jacek Rembikowski, Poznań 2024