AZEXO

Надежда Скакун

Управление риском аутсорсинга в соответствии с Положением Банка России № 716-П: Практическое руководство

Надежда Скакун
в
Эксперт по информационной безопасности с фокусом на регуляторику РФ. Более 10 лет помогаю компаниям выстраивать защиту в соответствии с требованиями ФСТЭК и ФСБ.

Передача функций, операций и процессов третьим лицам (аутсорсинг) позволяет кредитным организациям оптимизировать расходы и сосредоточиться на ключевых компетенциях. Однако это создает существенные операционные риски. Положение Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее — Положение 716-П) [ссылка] устанавливает жесткие рамки для управления риском аутсорсинга.

В данной статье мы разберем ключевые регуляторные требования и сформируем пошаговый алгоритм действий для построения compliant-процесса управления аутсорсингом.

1. Что считается аутсорсингом по 716-П?

Первый шаг — корректная идентификация отношений. Не всякое взаимодействие с подрядчиком является аутсорсингом в понимании регулятора.

Согласно Приложению 6 к Положению 716-П [ссылка], в перечень функций, передаваемых на аутсорсинг, включаются только те, от выполнения которых зависит выполнение критически важных операций, и которые организация может выполнять собственными силами.

Критерии аутсорсинга:

  • Длительность: Услуги оказываются на постоянной основе (бессрочно) или на срок 12 месяцев и более. Разовые услуги не считаются аутсорсингом.
  • Существенность: Функция влияет на критически важные операции.
  • Возможность инсорсинга: Кредитная организация теоретически может выполнять эту функцию сама.

Что НЕ считается аутсорсингом (исключения):

  • Обязательный внешний аудит.
  • Услуги информационных агентств.
  • Клиринг и расчеты с центральными контрагентами.
  • Юридическое сопровождение (в том числе в суде).
  • Услуги по уборке, питанию, коммунальные услуги, связь.
  • Закупка товаров (мебель, ПК, канцелярия и т.д.).

Рекомендация: Проведите инвентаризацию всех действующих договоров с третьими лицами. Разделите их на «аутсорсинг» и «закупку услуг/товаров» согласно критериям Приложения 6. Только для первой группы применяются требования Главы 8(1) Положения 716-П.

2. Организация системы управления риском аутсорсинга

Положение 716-П требует, чтобы управление риском аутсорсинга было встроено в общую систему управления операционным риском.

Необходимые элементы:

  1. Нормативная база: Внутренние документы должны описывать порядок идентификации, оценки, мониторинга и контроля риска аутсорсинга.
  2. Разделение обязанностей: Подразделение, ответственное за организацию аутсорсинга, не должно совпадать с подразделением-заказчиком (конфликт интересов).
  3. Контрольные показатели (KPI): Установите сигнальные и контрольные значения показателей уровня риска аутсорсинга (например, доля критических процессов на аутсорсинге, концентрация на одном провайдере).

3. Пошаговый алгоритм действий

Этап 1: Инициация и обоснование (Due Diligence)

Прежде чем передать процесс, необходимо доказать целесообразность.

Действия:

  • Анализ потребности: Почему мы не можем сделать это сами? (Отсутствие кадров, технологий, экономическая нецелесообразность).
  • Оценка рисков: Проведите качественную и количественную оценку риска.
    • Внешние факторы: Репутационные потери, финансовые убытки при сбое у провайдера, утечка данных.
    • Внутренние факторы: Зависимость процессов, возможность замены провайдера, стоимость услуг.
  • Особенности ИТ-аутсорсинга: Если передается обработка информации (ИТ-аутсорсинг), оцените риски нарушения операционной надежности и конфиденциальности данных с учетом требований:
    • Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» [ссылка];
    • Федерального закона от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» [ссылка] (если применимо);
    • Приказа ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите персональных данных при их обработке в информационных системах персональных данных» [ссылка];
    • Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» [ссылка].

Результат: Заключение о целесообразности аутсорсинга, подписанное заказчиком и подразделением по рискам.

Этап 2: Выбор поставщика и принятие решения

Регулятор требует тщательной проверки контрагента, особенно для критических процессов.

Требования к поставщику:

  • Наличие квалификации и ресурсов (кадровых, технических).
  • Наличие необходимых лицензий и сертификатов (в т.ч. лицензия ФСТЭК/ФСБ при работе с защищаемой информацией).
  • Финансовое положение и деловая репутация.
  • Отсутствие ограничений (в т.ч. трансграничная передача данных).
  • Проверка на связанность: Есть ли связь между сотрудниками банка и поставщика?

Решение: Принимается уполномоченным коллегиальным органом. В решении фиксируются условия, стоимость и состав допустимых поставщиков.

Важно: Для критических процессов запрещена передача единственному третьему лицу без процедур контроля рисков концентрации. Если провайдер один — план выхода должен быть безупречным.

Этап 3: Договорная работа

Договор — основной инструмент контроля. Положение 716-П диктует обязательные условия.

Обязательные пункты договора:

  1. Целевые показатели качества (SLA): Должны обеспечивать соблюдение контрольных показателей операционного риска банка.
  2. Доступ к информации: Банк должен иметь доступ к данным, обеспечивающим выполнение процесса.
  3. Непрерывность: Обязательства поставщика по обеспечению непрерывности и восстановлению процесса (с учетом требований СТО БР БФБО-1.8-2024 «Безопасность финансовых (банковских) операций» [ссылка], если применимо).
  4. Информирование: Обязанность поставщика сообщать об инцидентах операционного риска, влияющих на процесс.
  5. Безопасность данных: Особенно важно при ИТ-аутсорсинге (конфиденциальность, трансграничная передача) в соответствии с 152-ФЗ [ссылка] и Постановлением Правительства РФ от 15.09.2008 № 687 [ссылка].
  6. Право на проверку: Возможность банка контролировать выполнение обязательств.
  7. План выхода (Exit Strategy): Условия прекращения сотрудничества и передачи функций обратно в банк или новому поставщику.

Этап 4: Мониторинг и контроль

Управление риском не заканчивается подписанием договора.

Регулярные мероприятия (не реже 1 раза в год):

  • Проверка соблюдения SLA.
  • Анализ отчетности поставщика.
  • Пересмотр целесообразности: Актуален ли аутсорсинг? Не появились ли более выгодные предложения на рынке?
  • Проверка на концентрацию: Не возникла ли критическая зависимость от одного провайдера?

Действия при нарушениях:

  • Фиксация событий риска аутсорсинга в Базе событий операционных рисков.
  • Применение штрафных санкций.
  • Активация плана выхода (при критических сбоях).

Этап 5: Прекращение аутсорсинга

Процедура выхода должна быть безопасной для банка.

Требования:

  • Возврат или уничтожение данных банка у поставщика (под контролем банка) в соответствии с требованиями 152-ФЗ [ссылка].
  • Прекращение доступа к информационным системам.
  • Акт о прекращении выполнения процессов (взаиморасчеты, отсутствие задолженностей).

4. Особенности аутсорсинга критических процессов

Если процесс отнесен к критически важным (обеспечивает выполнение операций по ст. 5 Федерального закона «О банках и банковской деятельности», бухучет, отчетность в ЦБ и т.д.), требования ужесточаются:

  1. Запрет на бесконтрольность: Нельзя передавать процесс, если банк не может контролировать его выполнение.
  2. Стратегия прекращения: Обязательна разработка стратегии на случай невозможности выполнения процесса поставщиком (инсорсинг или смена вендора).
  3. Трансграничная передача: При аутсорсинге ИС с трансграничной передачей данных требуются специальные планы мероприятий по прекращению такой передачи в случае рисков (с учетом требований 152-ФЗ [ссылка] и Постановления Правительства РФ от 09.02.2022 № 140 [ссылка]).

5. Отчетность перед Банком России

Кредитная организация обязана информировать регулятора о рисках.

  • Отчеты по риску аутсорсинга: Формируются подразделением, ответственным за организацию аутсорсинга, и направляются в коллегиальный исполнительный орган.
  • Информация в ЦБ: В соответствии с п. 8(1).12 Положения 716-П [ссылка], сведения о риске аутсорсинга включаются в отчетность, направляемую в Банк России (в рамках отчетов по операционному риску).
  • Уведомление о лицах: Организации, поднадзорные ЦБ, обязаны сообщать информацию о лицах, которым поручена идентификация клиентов или обновление информации (в контексте ПОД/ФТ, но это часть общей системы контроля).

6. Чек-лист для самопроверки

Используйте этот список для аудита текущей системы управления аутсорсингом:

  • [ ] Утвержден ли перечень функций, передаваемых на аутсорсинг (согласно Приложению 6 к Положению 716-П [ссылка])?
  • [ ] Разделены ли функции заказчика и организатора аутсорсинга?
  • [ ] Проводится ли оценка риска до подписания договора для всех критических процессов?
  • [ ] Содержат ли договоры пункты о праве банка на аудит и проверке SLA?
  • [ ] Есть ли план действий при банкротстве или сбое у ключевого поставщика (Exit Plan)?
  • [ ] Фиксируются ли инциденты, произошедшие по вине аутсорсеров, в Базе событий операционных рисков?
  • [ ] Проводится ли ежегодный пересмотр целесообразности аутсорсинга?

Заключение

Управление риском аутсорсинга по 716-П — это не просто бюрократическое требование, а инструмент обеспечения устойчивости банка. Ключевой принцип регулятора: ответственность за переданную функцию остается на кредитной организации. Даже если процесс выполняет внешний поставщик, за сбой, утечку данных или нарушение прав клиентов перед регулятором и клиентами отвечает банк.

Внедрение описанных выше процедур позволит не только избежать штрафов со стороны Банка России, но и реально снизить вероятность операционных потерь, связанных с зависимостью от третьих лиц.

Дополнительные нормативные ссылки для углубленного изучения:

ДокументСсылка
Положение ЦБ РФ от 08.04.2020 № 716-П[открыть]
152-ФЗ «О персональных данных»[открыть]
187-ФЗ «О безопасности КИИ»[открыть]
Приказ ФСТЭК России от 11.02.2013 № 17[открыть]
Постановление Правительства РФ от 01.11.2012 № 1119[открыть]
СТО БР БФБО-1.8-2024[открыть]
Банк данных угроз ФСТЭК[открыть]

Настоящая статья носит информационный характер и не является индивидуальной рекомендацией. При внедрении требований руководствуйтесь актуальной редакцией Положения Банка России № 716-П и нормативными актами Банка России.