Практическая реализация управления риском аутсорсинга

Аутсорсинг, будучи относительно новым инструментом для многих компаний, не гарантирует автоматической эффективности. Без тщательной проработки требований и выбора надежного подрядчика он может дать обратный эффект.

Это ярко проявляется в IT-системе: непредвиденный сбой в работе переданных систем вынуждает отвлекаться от стратегических задач на решение технических инцидентов. В результате вместо оптимизации затрат возникают незапланированные издержки, а ожидаемая операционная эффективность не достигается.

Аутсорсинг в банковской сфере

По оценкам ЦБ РФ половина кредитных и финансовых организаций применяют аутсорсинг. Исследование показывает, что доля аутсорсинга ИБ и ИТ у банков, с учётом размера организаций, варьируется от 25% до 67% в период с 2022 по 2025 год (согласно исследованию системного интегратора «Информзащита»).

С 1 октября 2025 года вступили в силу изменения в регулировании банковской деятельности: начали действовать поправки к Положению Банка России № 716-П, касающиеся управления операционным риском.

Банки и банковские группы теперь обязаны уделять особое внимание риску аутсорсинга, поскольку документ дополнен главой 8(1), систематизирующей и ужесточающей требования к передаче отдельных видов деятельности сторонним исполнителям.

Какие меры необходимо предпринять банкам для управления риском аутсорсинга:

• Разработать и принять комплект внутренних документов, регламентирующих управление риском аутсорсинга
• Пересмотреть или выстроить организационную структуру так, чтобы полномочия и зоны ответственности были четко определены
• Обеспечить обучение сотрудников, вовлеченных в процессы аутсорсинга

Независимо от того, прибегает ли кредитная организация к услугам сторонних поставщиков для выполнения своих ключевых функций, обязательным является утверждение внутренних нормативных документов, регламентирующих управление рисками аутсорсинга.

При этом достаточно утверждения политики управления риском аутсорсинга, без необходимости разработки детальных процедур ее исполнения.

Рекомендации ЦБ по управлению аутсорсингом: функции совета директоров и комитетов

Согласно разъяснениям Банка России, кредитная организация самостоятельно определяет уполномоченный коллегиальный орган.

Рекомендуется следующее распределение:

• Совет директоров (наблюдательный совет) определяет, какие ключевые процессы могут быть переданы сторонним исполнителям. Он также устанавливает общие требования к поставщикам (опыт, финансовая устойчивость), согласовывает условия договоров (включая стоимость) и ежегодно оценивает риски, связанные с аутсорсингом
• Коллегиальный исполнительный орган (специализированный комитет или правление) выбирает конкретных аутсорсеров, соответствующих критериям совета директоров. Этот орган утверждает условия предоставления услуг, ежеквартально анализирует отчеты о качестве работы исполнителей и предпринимает меры для управления рисками аутсорсинга по результатам мониторинга

Управление риском аутсорсинга в кредитных организациях

Ключевыми целями управления риском аутсорсинга являются:

В структуре управления рисками аутсорсинга в банке можно определить четыре ключевых элемента:

• Во-первых, заказчик, который инициирует передачу процессов, отдельных функций, операций или их этапов внешним исполнителям и обосновывает целесообразность такого решения
• Во-вторых, подразделение (или должностное лицо), ответственное за организацию аутсорсинга, в задачи которого входят координация процесса и управление сопутствующими рисками
• Ответственность за аутсорсинг информационных систем, обеспечивающая технологическую безопасность
• Уполномоченные коллегиальные органы — Совет директоров и Правление Банка, которые определяют стратегические направления, утверждают политику и принимают решения по наиболее значимым сделкам

В число вовлеченных структур входят подразделения ИБ, ответственные за формирование требований к аутсорсерам в части ИБ. Служба внутреннего аудита (СВА) осуществляет оценку соответствия требованиям по управлению аутсорсинговыми рисками и проводит анализ эффективности.

Далее представлена схема полномочий и ответственности по управлению риском аутсорсинга:

Что считается аутсорсингом информационных систем (ИС)

Особое внимание уделяется аутсорсингу информационных систем, который составляет значительную часть в общем объёме аутсорсинга и имеет свою специфику как реализации аутсорсинга, так и организации процесса.

Под аутсорсингом ИС понимается передача тех задач и процессов, которые жизненно важны для работы с информацией: её размещением, хранением и обработкой.

Основные критерии, по которым определяются задачи:

• Использование инфраструктуры третьих лиц для технологических процессов, предусмотренных Положением № 850-П
• Предоставление третьим лицам доступа к инфраструктуре банка

Минимизация операционных рисков при аутсорсинге

Аутсорсинг ИС включает:

• Облачные сервисы
• Размещение информации в ЦОД
• Сопровождение банкоматов
• Платежные операции
• Поддержка ПО
• Обеспечение ИБ

Исходя из того, что зависимость банковских организаций от аутсорсинга достаточно высокая, то и процессы управления аутсорсингом и соответствующими рисками требуют особого внимания в рамках системы управления операционными рисками.

Таким образом, успех будет зависеть не от формального соответствия, а от создания банком живой, работающей системы —от стратегического выбора на уровне совета директоров до оперативного контроля со стороны правления.

Чёткое понимание границ аутсорсинга, особенно в сфере ИС, и грамотное распределение ролей внутри организации становятся критическими факторами минимизации операционных рисков.