Регулирование рисков аутсорсинга бизнес-процессов кредитной организации в цифровом пространстве

Введение

В современных реалиях увеличения количества бизнес-процессов в кредитных организациях, расширения технологической составляющей в их функционировании, а также с учетом необходимости снижения издержек и повышения операционной эффективности деятельности, кредитные организации активно передают свои функции на аутсорсинг. Передача ключевых функций кредитной организации на аутсорсинг может привести к появлению определенных рисков, например, связанных с потерей контроля над бизнес-процессами и снижением уровня оказываемых услуг. Также существует риск утечки данных, что является особенно важной проблемой для банковской сферы, где большая часть данных носит конфиденциальный характер. Для того чтобы кредитные организации успешно справлялись с рисками, связанными с аутсорсингом своих функций, услуг и бизнес-процессов, необходимо выстроить процесс регулирования риска аутсорсинга со стороны законодательства.

Вопросы управления операционным риском в кредитных организациях затрагиваются в ряде нормативных актов Центрального банка Российской Федерации, в том числе в Положении Банка России от 12.01.2022 N 787-П "Об обязательных для кредитных организаций требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг", Положении Банка России от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах", Положении Банка России от 03.10.2017 N 607-П "О требованиях к порядку обеспечения бесперебойности функционирования платежной системы, показателям бесперебойности функционирования платежной системы и методикам анализа рисков в платежной системе, включая профили рисков", Положении Банка России от 07.12.2020 N 744-П "О порядке расчета размера операционного риска ("Базель III") и осуществления Банком России надзора за его соблюдением", а также в Положении Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе", являющимся одним из основных законодательных актов, касающихся вопроса управления операционным риском в кредитных организациях.

В целях развития практики управления операционными рисками вопрос передачи функций кредитных организаций на аутсорсинг, под которым предлагается понимать выполнение третьим лицом на возобновляемой или постоянной основе функций, бизнес-процессов, операций, услуг и (или) этапов процессов кредитной организации, которые в иных случаях кредитная организация выполняла бы самостоятельно, должен быть урегулирован законодательно. В этой связи Положение Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" может быть дополнено, что и послужило целью исследования, проведенного в работе.

Научная новизна исследования заключается в выделении элементов, которые должны формировать методологию управления риском аутсорсинга, описании принципов организации контроля за данным риском, определении функций, операций, услуг и бизнес-процессов, передача которых на исполнение третьему лицу может признаваться аутсорсингом, а также в определении примеров и триггеров рисков, связанных с процессом аутсорсинга в кредитных организациях.

Организация системы управления риском аутсорсинга

Методология управления риском аутсорсинга, отвечающая не только требованиям Банка России, но и лучшим мировым практикам, должна включать:

1. Детальные критерии определения договоров аутсорсинга;

2. Перечень функций кредитной организации, передача которых на исполнение третьим лицам будет признаваться аутсорсингом (в том числе выделение среди них критически важных);

3. Форматы чек-листов (списков) для следующих целей:

· выявление заказчиками аутсорсинга в рамках своих потребностей в заключении отношений с третьими лицами признаков аутсорсинга;

· проведение анализа целесообразности передачи на аутсорсинг критически важных функций кредитной организации;

· регулярный мониторинг качества исполнения договоров критичного аутсорсинга;

4. Ролевую модель с разделением ответственности, включая выделение в кредитной организации подразделений, ответственных за организацию аутсорсинга, например:

· подразделение по взаимодействию с вендорами подразделений технологического развития кредитной организации (в части ИТ-аутсорсинга);

· подразделение по управлению операционными рисками (в части аутсорсинга всех прочих услуг).

В целях обеспечения устойчивости функционирования операционных и бизнес-функций кредитным организациям стоит сформировать систему управления риском аутсорсинга [2].

Управление риском аутсорсинга должно осуществляться в целях снижения потерь от случаев реализации риска аутсорсинга, под которым предлагается понимать риск возникновения потерь в результате ошибок и недостатков организации и осуществления деятельности кредитной организации по передаче своих функций, операций, услуг и (или) этапов процессов на аутсорсинг третьим лицам, ненадлежащего исполнения ими переданных им функций, операций, услуг и (или) этапов процессов на аутсорсинг [8].

Цель управления риском аутсорсинга может быть достигнута на основе системного комплексного подхода, подразумевающего решение определенных задач:

· получение оперативных и объективных сведений об уровне риска аутсорсинга;

· выстраивание взаимодействия с третьими лицами, в адрес которых переданы на аутсорсинг бизнес-процессы кредитной организации [3];

· выявление и анализ риска аутсорсинга, возникающего у кредитной организации при передаче бизнес-процессов на аутсорсинг или при исполнении договоров аутсорсинга;

· количественная и качественная оценка (измерение) риска аутсорсинга;

· разработка мер реагирования на выявленный риск аутсорсинга [8];

· своевременное внесение изменений в нормативные акты и распорядительные документы кредитной организации в случае изменения законодательства Российской Федерации;

· соблюдение законодательных и иных нормативных правовых актов Российской Федерации, строгое и неукоснительное исполнение внутренних процедур, положений и правил;

· создание ресурсных (кадровых и финансовых) условий обеспечения функционирования аутсорсинга, включая установление требований к квалификации работников кредитной организации, а также обучение и развитие навыков работников в области управления риском аутсорсинга.

Организацию контроля за риском аутсорсинга предлагается осуществлять на основе следующих принципов:

· разграничение функций и ответственности подразделений и коллегиальных органов кредитной организации в рамках процесса управления риском аутсорсинга;

· разграничение функций и ответственности участников в рамках процесса управления риском аутсорсинга;

· определение процедур обеспечения функционирования аутсорсинга, процедуры управления риском аутсорсинга, а также порядка формирования отчетности по риску аутсорсинга [7].

В кредитной организации должен быть сформирован орган, обеспечивающий исполнение процедур управления риском аутсорсинга в рамках управления операционными рисками. Орган должен принимать решения и регулировать все вопросы, касающиеся риска в отношении переданных на аутсорсинг функций, утверждать соответствующие шаблоны, описывающие процесс аутсорсинга, анализ его целесообразности, карты мониторинга (к примеру, в формате опросника). Отдельно стоит выделить вопрос обеспечения ИТ-аутсорсинга, под которым предлагается понимать аутсорсинг функций кредитной организации, связанных с применением информационных технологий (аутсорсинг услуг по технической поддержке и сопровождению ИТ-систем, сопровождению и эксплуатации оборудования для ИТ-систем) и (или) с использованием услуг по предоставлению облачных платформ или облачной инфраструктуры. Для вопросов, связанных с ИТ-аутсорсингом, предлагается формировать отдельные органы, отвечающие, к примеру, отдельно за ИТ-архитектуру и ИТ-инфраструктуру.

В рамках процесса управления риском аутсорсинга предлагается выделять следующих участников:

1. Заказчик аутсорсинга, которым может являться любое структурное подразделение кредитной организации, ответственное за осуществление функций, передаваемых на аутсорсинг третьим лицам. Заказчик идентифицирует потребности в заключении договоров с третьими лицами по функциям в зоне своей ответственности; определяет принадлежность (признаки) аутсорсинга, либо критичного аутсорсинга в рамках договора с третьими лицами; отвечает за корректность, полноту и своевременность заполнения чек-листов аутсорсинга, разработанных для оценки целесообразности; отвечает за проведение закупок и процедур выбора третьих лиц, которым могут быть переданы на исполнение функции кредитной организации; обеспечивает исполнение договоров аутсорсинга.

2. Подразделение, ответственное за организацию аутсорсинга, которое разрабатывает методологию управления риском аутсорсинга и является ответственным за качество ее корректности и своевременное актуализирование; осуществляет планирование мероприятий по минимизации рисков, связанных с аутсорсингом, на регулярной основе, включая контроль за качеством выполнения функций, переданных на аутсорсинг, и снижением негативного влияния риска аутсорсинга; отвечает за подготовку отчетов по риску аутсорсинга по результатам, например, ежегодного мониторинга; осуществляет консультирование работников по вопросам управления риском аутсорсинга; отвечает за соблюдение процедур управления операционным риском.

3. Подразделение, ответственное за организацию ИТ-аутсорсинга, которое осуществляет контроль соблюдения работниками положений в части ИТ-аутсорсинга; осуществляет планирование и контроль обеспечения функционирования ИТ-аутсорсинга, а также разрабатывает предложения по совершенствованию процедур обеспечения функционирования ИТ-аутсорсинга в рамках комплекса мероприятий, направленных на повышение эффективности управления риском аутсорсинга и уменьшение негативного влияния риска аутсорсинга.

В целях минимизации рисков аутсорсинга в кредитной организации должны быть установлены требования к передаче функций на аутсорсинг, включающие обоснование передачи функции на аутсорсинг, а также требования к анализу целесообразности аутсорсинга функций.

В рамках определения потребности в аутсорсинге функций могут быть использованы следующие способы:

· анализ базы событий операционного риска на предмет выявления узких мест и концентрации рисков на отдельных этапах бизнес-процессов кредитной организации;

· анализ результатов качественной оценки операционного риска;

· анализ результатов оценки эффективности управления операционным риском [8].

Анализ целесообразности аутсорсинга может включать в себя:

· анализ текущих ограничений передачи на аутсорсинг функций или бизнес-процессов (например, изучение законодательных требований, анализ рынка, оценка ограничений по предоставлению доступа к ИТ-системам или данным);

· проведение оценки экономической выгоды кредитной организации от передачи на аутсорсинг функций (на основе, например, снижения и контроля операционных издержек [5], высвобождения кадровых ресурсов, повышения гибкости функционирования кредитной организации [6], улучшения качества выполнения функций, ускорения реорганизации (реинжиниринга) бизнес-процессов, передачи (или частичной передачи) риска третьим лицам);

· выявление и оценку рисков, возникающих при аутсорсинге функций (стратегический риск, операционный риск, правовой риск, страновой риск, риск концентрации на третье лицо).

Процедуры управления риском аутсорсинга должны включать в себя:

· идентификацию (выявление) риска аутсорсинга;

· выявление, регистрацию и учет событий риска аутсорсинга (под событием риска аутсорсинга предлагается понимать случай фактической реализации риска аутсорсинга, характеризующийся наличием прямых или непрямых потерь кредитной организации);

· качественную оценку риска аутсорсинга;

· мониторинг риска аутсорсинга, включая мониторинг соответствия фактических значений ключевых индикаторов риска аутсорсинга установленным целевым значениям;

· реагирование на риск аутсорсинга.

События риска аутсорсинга могут быть связаны с ошибками (сбоями) на стороне третьего лица, оказывающими влияние на качество исполнения третьим лицом функций кредитной организации, а также различными внешними причинами и ошибками на стороне кредитной организации в части процесса управления третьим лицом и осуществления контроля за его деятельностью.

В рамках проведения процедуры качественной оценки уровня риска аутсорсинга могут быть оценены внешние факторы, связанные с его осуществлением, в том числе:

· возможное влияние передачи отдельных функций кредитной организации на аутсорсинг на соблюдение требований действующего законодательства [8];

· величина возможного негативного влияния, в том числе величина финансовых потерь и иных видов потерь, связанных с возможностью несанкционированного доступа к информации кредитной организации [1].

Также могут быть оценены внутренние факторы, в том числе:

· наличие аффилированных связей между кредитной организацией и третьим лицом;

· стоимость услуг [8].

Комплекс мероприятий по минимизации рисков, направленный на предотвращение или снижение вероятности реализации риска аутсорсинга может включать:

· реализацию кредитной организацией процедур контроля за выполнением функций кредитной организации, переданных на аутсорсинг;

· регулярное взаимодействие и мониторинг отношений с третьим лицом;

· мониторинг взаимосвязей между третьими лицами;

· мониторинг уровня концентрации функций кредитной организации на одного или нескольких третьих лиц [8].

Комплекс мероприятий по минимизации рисков, направленный на ограничение размера потерь от реализации событий риска аутсорсинга, может включать:

· неустойки за нарушение условий выполнения функций кредитной организации, предусмотренные в договорах аутсорсинга;

· наличие договоров с другими (резервными) третьими лицами и иных стратегий прекращения отношений с третьим лицом по передаче ему функций кредитной организации на аутсорсинг;

· мероприятия, направленные на выполнение обязательств кредитной организации перед Банком России и органами государственной власти в рамках выполнения ими надзорных мероприятий [8].

Кредитным организациям также необходимо определить перечень функций, операций, услуг и бизнес-процессов, передача которых на исполнение третьему лицу признается аутсорсингом (табл. 1).

Таблица 1

Перечень функций, операций, услуг и бизнес-процессов, передача которых на исполнение третьему лицу может признаваться аутсорсингом

№	Функции	Критичная функция
I	Услуги, связанные с обеспечением осуществления кредитной организацией операций / сделок с клиентами	да / нет
1	Услуги, связанные с обеспечением размещения привлеченных средств от своего имени и за свой счет (включая кредитование)	да
2	Услуги, связанные с обеспечением привлечения денежных средств физических и юридических лиц во вклады	да
3	Услуги, связанные с обеспечением открытия и ведения банковских счетов физических и юридических лиц	да
4	Услуги, связанные с обеспечением переводов денежных средств физических и юридических лиц	да
5	Услуги, связанные с осуществлением расчетно-кассового обслуживания физических и юридических лиц	да
6	Услуги, связанные с осуществлением эквайринга	да
7	Услуги, связанные с обеспечением купли-продажи иностранной валюты в наличной и безналичной формах	нет
8	Услуги, связанные с обеспечением выполнения операций на финансовых рынках	да
9	Услуги по информационно-справочной поддержке клиентов	нет
10	Услуги по работе с обращениями клиентов	нет
II	Услуги по поддержанию внутренних процессов кредитной организации (бэк-офис)	да / нет
11	Услуги инкассации	нет
12	Услуги по поддержанию собственной ликвидности	да
13	Услуги процессингового центра	да
14	Услуги по внедрению бухгалтерского учета	да
15	Услуги по формированию и предоставлению регуляторной отчетности	да
16	Услуги по сопровождению кредитного процесса (андеррайтинг, скоринг)	нет
17	Услуги по работе с проблемной задолженностью	нет
18	Услуги по работе с залоговым имуществом	нет
19	Услуги хранения ценностей кредитной организации	да
20	Услуги по идентификации в сфере ПОД/ФТ, включая биометрическую	да
21	Услуги по техническому обслуживанию специализированного оборудования, используемого для осуществления банковских операций	нет
22	Услуги по персонализации банковских карт	нет
23	Услуги хранения документации	нет
24	Услуги по подбору и управлению персоналом	нет
25	Услуги по обеспечению информационной безопасности	да
III	ИТ (включая облачные)	да / нет
26	Услуги по технической поддержке, сопровождению и обслуживанию ИТ-систем или поддерживающих сервисов, включая ИТ-системы и сервисы, обеспечивающие работу онлайн-сервисов дистанционного обслуживания и доступ к осуществлению операций в онлайн-сервисах дистанционного обслуживания	нет
27	Сопровождение и эксплуатация оборудования для ИТ-систем кредитной организации	да
28	Услуги по предоставлению облачных платформ или облачной инфраструктуры	нет

Источник: составлено автором

Выявление и оценка рисков, связанных с передачей функций на аутсорсинг

В процессе передачи функций на выполнение третьими лицами кредитная организация подвергается определенным рискам. Каждый вид риска имеет свои особенности, примеры и триггеры, которые необходимо учитывать при принятии решений о передаче функций на аутсорсинг.

Стратегический риск. Риск неблагоприятного изменения результатов деятельности кредитной организации вследствие принятия ошибочных решений в процессе управления кредитной организацией, в том числе при разработке, утверждении и реализации стратегии развития кредитной организации, ненадлежащего исполнения принятых решений, а также неспособности органов управления кредитной организации учитывать изменения внешних факторов. Например, финансовые потери или отрицательные результаты принятия неверных управленческих решений при передаче функций на аутсорсинг.

Основные примеры рисков: риск усложнения процессов и повышения затрат в связи с использованием устаревших технологий; риск отсутствия интеграции новых и бизнес-потребностей (риск возникновения нецелевых инвестиций и несогласованных ожиданий); риски потери компетенции работников кредитной организации по выполнению отдельных критических функций в связи с их передачей на аутсорсинг.

Триггеры: заключение договоров с подрядчиками, использующими устаревшие технологии; заключение договоров на сопровождение системы, которая не согласована с бизнес-стратегией [10]; заключение договоров, подразумевающих полную передачу определенной функции на аутсорсинг и полный вывод данной функции из периметра кредитной организации.

Репутационный риск. Риск возникновения убытков в результате негативного восприятия кредитной организации со стороны акционеров кредитной организации, контрагентов, надзорных органов и иных заинтересованных сторон, которое может негативно повлиять на способность кредитной организации поддерживать существующие отношения, а также сохранять доступ к источникам финансирования [8].

Негативное восприятие кредитной организации по причине: неудовлетворительного оказания услуг клиентам посредством третьих лиц, в том числе через сервисы поддержки клиентов; некорректной работы или недоступности систем; нарушения законодательства в результате нарушения сохранности информации в отношении клиента, её утраты и в результате несанкционированного доступа к такой информации; некорректного предоставления информации и уведомлениями третьим лицам с целью получения ими незаконной выгоды; взаимодействия с подрядчиком с плохой репутацией.

Триггеры: заключение договоров на передачу функций по оказанию клиентских услуг (например, услуги колл-центра); заключение договоров с подрядчиком, при котором подрядчик несет ответственность за доступность систем, связанных с клиентским обслуживанием (например, приложение мобильного банка); заключение договоров с подрядчиком с возможностью передачи ему персональных данных клиентов или сотрудников с конфиденциальной информацией [9]; заключение договоров на привлечение подрядчика, вовлеченного в коррупционные или мошеннические схемы или внесенного в санкционные списки.

Правовой риск. Риск возникновения у кредитной организации потерь вследствие нарушения кредитной организацией или его контрагентами условий заключенных договоров, допускаемых кредитной организацией правовых ошибок при осуществлении деятельности (например, неправильные юридические консультации или неверное составление документов, в том числе при рассмотрении спорных вопросов в судебных органах), несовершенства правовой системы (например, противоречивость законодательства, отсутствие правовых норм по регулированию отдельных вопросов, возникающих в деятельности кредитной организации) [8].

Основные примеры рисков: риски нарушения контрагентами условий договора; риски, возникающие при привлечении поставщиков услуг-нерезидентов, связанные с особенностями регулирования в соответствующей юрисдикции.

Триггеры: заключение договора с подрядчиком, ранее нарушившим условия договора; заключение договора с подрядчиком-нерезидентом из страны, законодательство которой имеет существенные различия с законодательством Российской Федерации.

Страновой риск. Риск возникновения у кредитной организации убытков в результате неисполнения иностранными контрагентами обязательств, ограничения деятельности кредитной организации на территории иностранных государств из-за экономических, политических, социальных изменений.

Основные примеры рисков: риски досрочного расторжения договора в связи с наложением санкций на подрядчиков; риски существенного увеличения стоимости аутсорсинга, связанные с изменением валютного курса; риски информационной безопасности, возникающие при привлечении иностранных поставщиков услуг.

Триггеры: заключение договора с подрядчиком, находящимся на территории недружественных стран; заключение договора с подрядчиком, внесенным в санкционные списки; заключение договора в иностранной валюте; заключение договора аутсорсинга, подразумевающего трансграничную передачу данных.

Риск концентрации. Риск потерь кредитной организации, обусловленный зависимостью выполнения, например, двух и более услуг от ограниченного количества третьих лиц.

Основные примеры рисков: риск зависимости от поставщика услуг, имеющего значительную долю на рынке оказываемых услуг или монопольное положение; риск одновременного нарушения непрерывности нескольких процессов при передаче их одному подрядчику.

Триггеры: заключение договора с поставщиком услуг, занимающим монопольное положение на рынке или имеющим значительную долю на рынке; заключение договора с одним и тем же поставщиком услуг на выполнение нескольких критически важных процессов кредитной организации.

Операционный риск. Риск возникновения прямых и непрямых потерь в результате несовершенства или ошибочных внутренних процессов кредитной организации, действий персонала и иных лиц, сбоев и недостатков информационных, технологических и иных систем, а также в результате реализации внешних событий [8].

Основные примеры рисков: сбой, простой или деградация ИТ-системы кредитной организации, переданной подрядчику, или ИТ-системы подрядчика; нарушение информационной безопасности на стороне подрядчика; разглашение конфиденциальной информации по вине подрядчика; недостаточная квалификация или ошибки персонала подрядчика; досрочное прекращение договора оказания услуг; прекращение (приостановление) деятельности подрядчика.

Триггеры: заключение договора с подрядчиком, при котором подрядчик несет ответственность за доступность систем, связанных с клиентским обслуживанием (например, приложение мобильного банка); заключение договора с подрядчиком с возможностью передачи ему персональных данных клиентов или сотрудников; заключение договора с подрядчиком, в рамках которого предполагается передача ценностей или документов на хранение [4]; заключение договора с подрядчиком, вовлеченным в коррупционные или мошеннические схемы; недостаточная проработанность детализированных требований к подрядчику.

Заключение

В условиях глобализации и расширения возможностей цифровых технологий аутсорсинг бизнес-процессов кредитных организаций становится неотъемлемой частью их операционной деятельности, при этом возрастает и уровень сопутствующих рисков, которые могут оказывать значительное влияние на их деятельность. Недостаточное внимание к управлению риском аутсорсинга может привести к негативным последствиям, таким как утечка конфиденциальной информации, нарушение обязательств перед клиентами и контрагентами, а также снижение доверия к самой организации. Эффективное управление риском аутсорсинга требует комплексного подхода, подразумевающего разграничение функций и ответственности подразделений и коллегиальных органов кредитной организации в рамках управления риском, определения процедур обеспечения функционирования аутсорсинга, процедур управления риском аутсорсинга, а также порядка формирования отчетности по данному риску. Такой подход позволит не только минимизировать возможные угрозы, но и создать надежные механизмы для своевременного обнаружения и устранения событий риска аутсорсинга. Внедрение стандартов и практик управления риском аутсорсинга – один из ключевых факторов поддержания стабильности и безопасности кредитных организаций в условиях динамично меняющегося под воздействием новых технологий экономического ландшафта. Предложенные в статье подходы к управлению риском аутсорсинга (с выделением ИТ-аутсорсинга в отдельную категорию) могут быть использованы в рамках урегулирования данного вопроса в банковском законодательстве, например, Банком России в части актуализации Положения Банка России от 8 апреля 2020 г. № 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе".