/ / Новости PRAVO.BY
09.06.2020

Профессионально об актуальном: Аутсорсинг в банковской сфере

Материал подготовлен
с использованием нормативных
правовых актов по состоянию
на 11 марта 2020 г.

В последнее время в мире широко распространился аутсорсинг в банковской сфере. С целью повышения эффективности своей деятельности и минимизации затрат белорусские банки, следуя мировым трендам, стали передавать бизнес-процессы (как целиком, так и частично: этапы, подэтапы, отдельные функции, части функций) организациям-аутсорсерам. Однако данная деятельность осуществлялась белорусскими банками на свой страх и риск в условиях правовой неопределенности и правового вакуума, фактически в ходе реализации пилотных проектов. Само собой разумеется, что Национальный банк Республики Беларусь (далее – Национальный банк) как контролирующий, надзирающий и регулирующий деятельность банков орган не мог остаться в стороне от происходящего. Реакцией Национального банка явилось принятие Инструкции об управлении рисками при аутсорсинге, утвержденной постановлением Правления Национального банка от 8 января 2020 г. № 1 (далее – Инструкция), которая вступила в силу с 01.04.2020. Итак, аутсорсинг: что это такое, как он реализуется в мире, и что происходит у нас с 01.04.2020?

Понятие аутсорсинга

Аутсорсинг в Российской Федерации – передача организацией банковской системы РФ на основании договора на длительный срок сторонней (внешней) организации-поставщику услуг выполнения бизнес-функций организации банковской системы РФ, которые являются необходимыми для ее деятельности и которые в обычных условиях (без привлечения поставщика услуг) осуществлялись бы организацией банковской системы РФ самостоятельно. Поставщиком услуг является обслуживающая организация, специализирующаяся на предоставлении услуг, которой организации банковской системы РФ передают выполнение своих бизнес-функций на аутсорсинг. Отличительными характеристиками аутсорсинга, которые отличают аутсорсинг от других форм оказания услуг, являются:

  • передача полностью выполнения бизнес-функций поставщику услуг без участия в реализации указанных бизнес-функций работников организации банковской системы РФ;
  • передача поставщику услуг выполнения бизнес-функций на постоянной (непрерывной) основе на длительный период времени (например, не менее 1 года).

При этом под аутсорсингом не понимается привлечение организацией банковской системы РФ сторонних (внешних) организаций-поставщиков услуг в следующих случаях:

  • разовой передачи организацией банковской системы РФ выполнения своих бизнес-функций сторонним (внешним) организациям-поставщикам услуг;
  • привлечения организацией банковской системы РФ сторонних (внешних) организаций-поставщиков услуг для обслуживания организации банковской системы РФ, в том числе направленного на повышение качества услуг и (или) расширение перечня услуг, сопутствующих банковским операциям, осуществляемым организацией банковской системы РФ для своих клиентов (например, привлечение удостоверяющих центров, платежных агентов). Такие подходы закреплены в Стандарте Банка России. СТО БР ИББС-1.4-2018. Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности при аутсорсинге (далее – Стандарт Банка России).

Аутсорсинг в Республике Беларусь – полная или частичная передача банком отдельных функций, их частей, бизнес-процессов, видов деятельности, составляющих их работы, услуги (далее – функции), для выполнения сторонней организации либо лицу, осуществляющему деятельность в качестве индивидуального предпринимателя, которые выступают в качестве исполнителя услуг и осуществляют управление процессом реализации функции в рамках своей деятельности (далее – аутсорсинговая организация) (п. 2 Инструкции).

Таким образом, мы видим, что в отличие от РФ по белорусскому законодательству передача банком не полностью, а даже частично какой-либо функции стороннему лицу (причем не только организации, но и индивидуальному предпринимателю) в рамках оказания услуг независимо от срока оказания услуг подпадает под понятие «аутсорсинг».

Аутсорсинг в сфере финансовых услуг (Совместный форум Базельского комитета по банковскому надзору, Международной организации комиссий по ценным бумагам и Международной ассоциации по надзору за страховой деятельностью, Базель, февраль 2005 года)

В документе «Аутсорсинг в сфере финансовых услуг», разработанном Совместным форумом Базельского комитета по банковскому надзору, Международной организации комиссий по ценным бумагам и Международной ассоциации по надзору за страховой деятельностью, в Базеле в феврале 2005 года (далее – Базельский стандарт) подробно рассматриваются основные вопросы и риски и приводятся принципы, которые могут служить критериями эффективности аутсорсинга. Аутсорсинг определяется как привлечение регулируемой организацией третьей стороны (как аффилированной организации в составе корпоративной группы, так и внешней по отношению к группе организации) для выполнения на непрерывной основе (в настоящее время или в будущем) функций, которые обычно выполняются регулируемой организацией.

В разных странах компании, предоставляющие финансовые услуги, все чаще пользуются услугами третьих сторон, которые выполняют виды деятельности, обычно осуществлявшиеся самими компаниями. Отраслевые исследования и опросы, проводимые регулирующими органами, свидетельствуют о том, что финансовые компании проводят аутсорсинг значительной части своей регулируемой и нерегулируемой деятельности. Такая аутсорсинговая деятельность также становится все более сложной.

В настоящее время аутсорсинг все чаще используется как средство снижения расходов и достижения стратегических целей. Его потенциальное воздействие можно увидеть в различных видах деятельности, включая информационные технологии (например, разработка приложений, программирование и кодирование), специальные операции (например, вопросы, связанные с финансированием и бухгалтерским учетом, деятельностью бэк-офиса и обработкой информации в этом подразделении, а также администрированием) и функции по контракту (например, центры телефонного обслуживания). Отраслевые отчеты и обзоры отраслевой практики показывают, что финансовые компании заключают контракты, по которым другие компании – связанные компании, входящие в корпоративную группу, и поставщики услуг, являющиеся третьей стороной, выполняют значительную часть регулируемой и нерегулируемой деятельности предприятия. Разрабатываются все более сложные схемы, согласно которым связанные организации выполняют одни функции, в то время как несвязанные поставщики услуг выполняют другие.

В Базельском стандарте отмечается, что аутсорсинг вызывает вопросы, связанные с передачей риска и управления им, зачастую на трансграничной основе, и представители отрасли и регулирующие органы признают, что повышенное доверие к аутсорсингу может повлиять на способность регулируемых организаций управлять своими рисками и проводить мониторинг выполнения регулятивных требований. Кроме того, озабоченность регулирующих органов вызывает вопрос, каким образом аутсорсинг может оказать потенциальное воздействие на способность регулируемых организаций убедить регулирующие органы (например, во время проверок) в том, что они предпринимают должные шаги для управления своими рисками и соблюдения применяемых норм. Среди вопросов, вызывающих особую озабоченность, выделяется возможность потенциального возникновения излишнего доверия к аутсорсинговой деятельности, которая имеет важное значение для текущей жизнеспособности регулируемой организации, а также выполнения ее обязательств перед клиентами.

Минимизировать риски аутсорсинговой деятельности согласно Базельскому стандарту можно путем:

  • разработки всеобъемлющей и определенной четким образом политики (стратегии) аутсорсинга;
  • внедрения эффективных программ управления риском;
  • гарантирования регулируемой организацией, что мероприятия по аутсорсингу не снижают ее способности выполнять свои обязательства перед клиентами и регулирующими органами и не препятствуют эффективному надзору со стороны регулирующих органов;
  • проявления регулируемой организацией соответствующей должной осмотрительности при выборе поставщиков услуг, являющихся третьей стороной, анализа финансовых ресурсов поставщика услуг и его возможностей, связанных с инфраструктурой;
  • заключения письменных контрактов, в которых четким образом прописаны все значимые аспекты соглашения об аутсорсинге, включая права и сферы ответственности всех сторон, а также ожидаемые ими результаты;
  • наличия и обновления у регулируемой организации и организации, предоставляющей ей услуги планов действий в чрезвычайных ситуациях, включая план возобновления деятельности после возникновения чрезвычайных ситуаций и план периодического тестирования резервного оборудования;
  • сохранения надежного корпоративного управления в регулируемой организации;
  • принятия надлежащих мер регулируемой организацией и поставщиками услуг в целях защиты конфиденциальной информации от преднамеренного или неумышленного раскрытия неуполномоченным лицам.

Особенности регулирования аутсорсинга в ряде стран:

  • Канада: в мае 2001 года OSFI было представлено руководство В-10, в котором указывались случаи, когда возможно прибегать к услугам аутсорсинга;
  • Франция: аутсорсинг должен быть оформлен в виде письменного контракта, в котором недвусмысленным образом разрешаются проверки на местах финансовой организацией и Банковской комиссией;
  • Германия: аутсорсинг операционной деятельности не должен нанести ущерб: законности такой деятельности или таких услуг; способности руководителей осуществлять управление такой деятельностью и ее мониторинг; праву BaFin на осуществление аудиторской проверки кредитной организации, находящейся в его юрисдикции, и его способности осуществить мониторинг его деятельности;
  • Швейцария: запрещено осуществлять аутсорсинг функций правления, а также основных функций, выполняемых руководством финансовой организации.

Разъяснения Национального банка

1. Письмо Национального банка от 31 декабря 2008 г. № 23-14/125 «О совершенствовании управления рисками, связанными с аутсорсингом в сфере финансовых услуг» (далее – письмо № 23-14/125).

В письме № 23-14/125 Национальный банк разъяснил, что в условиях функционирования рынка финансовых услуг Республики Беларусь, представленного преимущественно банками, деятельность которых регулируется Национальным банком, Базельский стандарт может служить руководством для создания системы управления рисками, связанными с аутсорсингом в банковском секторе и на рынке ценных бумаг. Аутсорсинг позволяет передавать специализированным компаниям (поставщикам услуг) виды деятельности, которые не являются ключевыми для банка и в которых, как правило, не прогнозируются новации, способные дать банку конкурентное преимущество на рынке финансовых услуг. Аутсорсинг целесообразно осуществлять в случае, если поставщик услуг способен обеспечить экономию ресурсов банка и (или) более высокий уровень услуг, в том числе за счет специализации, более дешевых трудовых ресурсов или эффекта масштаба.

Банки чаще всего пользуются услугами сторонних поставщиков услуг для обслуживания объектов недвижимости, осуществления маркетинга, обеспечения деятельности центров телефонного обслуживания (колл-центры), управления человеческими ресурсами. Однако наиболее активно осуществляется аутсорсинг в таких видах (направлениях) деятельности, как логистика (материально-техническое обеспечение), администрирование и информационные технологии.

В целях снижения уровня рисков, связанных с аутсорсингом, банку необходимо интегрировать управление ими в общую систему управления рисками (в составе операционного риска). По мнению Национального банка, качество управления рисками, связанными с аутсорсингом, может признаваться хорошим в случае, если банком будет обеспечено совокупное решение следующих задач:

  • распределение полномочий и ответственности в области организации управления рисками, связанными с аутсорсингом, между уполномоченным органом управления банком и исполнительными органами банка;
  • закрепление в локальных нормативных правовых актах банка стратегии, политики, методик и процедур управления рисками, связанными с аутсорсингом, и их соблюдение на практике;
  • выявление, измерение, мониторинг, ограничение рисков, связанных с аутсорсингом, наличие системы лимитов и их соблюдение, составление отчетности;
  • организация внутреннего контроля и управления рисками, связанными с аутсорсингом, осуществление внутреннего аудита.

Для решения этих задач банку необходимо предпринять шаги, направленные на разработку четкой и всеобъемлющей политики аутсорсинга, внедрение эффективного механизма управления связанными с ним рисками, на анализ и оценку финансовых и иных ресурсов поставщика услуг, разработку процедуры и критериев принятия решений о передаче отдельных видов деятельности поставщикам услуг, разработку и обновление плана действий в чрезвычайных ситуациях и предъявление требования составления подобного плана действий поставщику услуг, обеспечение защиты информации.

Национальный банк довел до банков в письме № 23-14/125 критерии надежности поставщика услуг, критерии качества услуг, оказываемых поставщиком, критерии управляемости поставщика услуг.

2. Письмо Национального банка от 29 декабря 2017 г. № 23-11/103 «О совершенствовании внешнего, внутреннего аудита, деятельности аудиторских комитетов в банках и их взаимодействии с надзорным органом» (далее – письмо № 23-11/103). Письмо № 23-11/103 посвящено анализу лучших мировых практик (документы Базельского комитета «Внешний аудит банков» (2014 г.) и «Внутренний аудит в банках» (2012 г.)) относительно аутсорсинга аудита в банковской сфере.

3. Письмо Национального банка от 1 ноября 2019 г. № 23-13/83 «О совершенствовании управления киберриском» (далее – письмо № 23-13/83). В письме № 23-13/83 Национальный банк анализирует аутсорсинг сквозь призму таких понятий как «киберриск», «кибербезопасность», «киберустойчивость», «киберугрозы», «киберинцидент», «кибератака».

Аутсорсинг с 01.04.2020 в Республике Беларусь

1. В пункте 3 Инструкции банкам дано право самостоятельно определять функции, которые передаются (будут переданы) на аутсорсинг, но с учетом следующего.

Критически важные для банка функции (это функции, передача которых на выполнение аутсорсинговой организации может повлечь угрозу стабильности банковской системы Республики Беларусь и защите интересов вкладчиков и иных кредиторов и (или) нарушение банком лицензионных требований, установленных статьей 94 Банковского кодекса Республики Беларусь, а также способна оказать негативное влияние на эффективность функций внутреннего контроля и осуществление контроля в сфере предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения) передавать на аутсорсинг нельзя, и их осуществляют банки самостоятельно.

К критически важным функциям Национальный банк отнес:

  • корпоративное управление банком, в том числе управление рисками в банке, внутренний контроль и внутренний аудит банка, организация системы компенсаций и вознаграждений. Относительно внутреннего аудита немного непонятно, ведь в пункте 25 Инструкции об организации системы внутреннего контроля в банках, открытом акционерном обществе «Банк развития Республики Беларусь», небанковских кредитно-финансовых организациях, банковских группах и банковских холдингах, утвержденной постановлением Правления Национального банка Республики Беларусь от 30 ноября 2012 г. № 625, как раз речь и идет об аутсорсинге внутреннего аудита банка;
  • деятельность в сфере предотвращения легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, за исключением случаев, когда такая деятельность в соответствии с законодательными актами может выполняться третьими лицами (см.: ст. 8 Закона Республики Беларусь от 30 июня 2014 г. № 165-З «О мерах по предотвращению легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения»);
  • принятие решений об осуществлении банком операций и иных сделок, результаты которых могут существенно повлиять на уровень принимаемых банком рисков и (или) привести к созданию положения, угрожающего безопасному функционированию банка и (или) интересам его вкладчиков и иных кредиторов банка;
  • бухгалтерский учет и составление бухгалтерской и (или) финансовой отчетности;
  • банковская деятельность, в том числе осуществление операций по банковским счетам клиентов банка, за исключением случаев, когда передача на аутсорсинг осуществляется банку, имеющему специальное разрешение (лицензию) на осуществление соответствующей банковской операции.

Таким образом, например, работа с залогом, проблемной задолженностью не относится к критически важным функциям и может быть передана банками на аутсорсинг. Если же говорить о России, то Стандарт Банка России приводит примеры бизнес-функций, которые могут быть переданы на аутсорсинг:

  • ИТ-аутсорсинг: аутсорсинг офисной печати, аутсорсинг центров обработки данных, облачные вычисления (по модели предоставления сервиса SaaS, PaaS, IaaS), обслуживание информационных (автоматизированных) систем организации банковской системы РФ, разработка программного обеспечения;
  • аутсорсинг в финансовой сфере: инвентаризационный аудит, обеспечение взаиморасчетов с персоналом;
  • аутсорсинг в сфере управления персоналом: использование внештатного персонала (аутстаффинг), аутсорсинг обучения и повышения осведомленности;
  • аутсорсинг в сфере безопасности: аутсорсинг инкассации, аутсорсинг информационной безопасности;
  • аутсорсинг в сфере маркетинговых коммуникаций: телемаркетинг, аутсорсинг центров обработки вызовов;
  • аутсорсинг в административно-хозяйственной сфере: аутсорсинг питания;
  • аутсорсинг в сфере документооборота: аутсорсинг архивного хранения документов, аутсорсинг уничтожения документов на физических носителях.

2. Национальный банк обязывает банки при передаче функций на аутсорсинг обеспечить соблюдение банком и аутсорсинговой организацией следующих основных условий (принципов) (п. 4 Инструкции):

  • конфиденциальность информации;
  • безопасность передачи информации;
  • защита персональных данных и сведений, составляющих банковскую тайну;
  • раскрытие в согласии клиента на передачу информации (в письменной форме, в виде электронного документа или в иной электронной форме) состава информации, которая будет передаваться, а также перечня лиц, которым такая информация будет представляться, указание целей использования информации и периода, в течение которого информация может передаваться третьим лицам. В согласии клиента на передачу информации предусматривается право клиента на отказ от согласия, отзыв ранее предоставленного согласия в полном объеме или частично;
  • недопустимость передачи банковских операций на аутсорсинг, за исключением случаев, когда передача на аутсорсинг осуществляется банку, имеющему специальное разрешение (лицензию) на осуществление соответствующей банковской операции.

Запрещено передавать на аутсорсинг функции резидентам оффшорных зон (см.: Указ Президента Республики Беларусь от 25 мая 2006 г. № 353).

Банк на регулярной основе осуществляет оценку финансовой устойчивости аутсорсинговой организации в краткосрочной и долгосрочной перспективе, включая активы, капитал, ликвидность, прибыль и убытки.

При передаче функций на аутсорсинг банк обеспечивает, в том числе путем включения соответствующих условий в договоры аутсорсинга:

  • получение банком документов аутсорсинговой организации, необходимых для оценки связанных с аутсорсингом рисков банка;
  • сохранность, целостность и конфиденциальность полученной аутсорсинговой организацией от банка информации, в том числе сведений, составляющих банковскую и иную охраняемую законом тайну.

В соответствии с пунктом 5 Инструкции в случае передачи функций на аутсорсинг банк оценивает в составе операционного риска и интегрирует в общую систему управления рисками банка следующие виды рисков, связанные с аутсорсингом: стратегический риск, репутационный риск, комплаенс-риск, риск технологических сбоев, риск отсутствия стратегии выхода из договора аутсорсинга, риск контрагента, страновой риск, договорный риск, риск доступа, риск концентрации и системный риск.

Национальный банк обязывает банки:

  • размещать на своих сайтах в глобальной компьютерной сети Интернет следующую информацию об аутсорсинге:
    • перечень функций, переданных банком на аутсорсинг;
    • наименование аутсорсинговой организации, с которой заключен договор аутсорсинга, с указанием информации о бенефициарных собственниках аутсорсинговой организации (п. 6 Инструкции);
  • вести реестр договоров, заключенных с аутсорсинговыми организациями. Реестр должен включать следующую информацию:
    • реквизиты и период действия договора с аутсорсинговой организацией;
    • описание функции, переданной на аутсорсинг;
    • перечень информации, передаваемой аутсорсинговой организации;
    • наименование аутсорсинговой организации, обязательные реквизиты, резидентство (п. 7 Инструкции).

Сафаревич Д.З.,
юрист

С иными материалами правоприменительной практики можно ознакомиться в системах
«ЭТАЛОН» и «ЭТАЛОН-ONLINE»

Материал предоставлен Национальным центром правовой информации Республики Беларусь
При использовании материала ссылка на Национальный центр правовой информации Республики Беларусь обязательна!