№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»

Об организации управления риском аутсорсинга

Вопрос

1. При определении кредитной организацией (головной кредитной организации банковской группы) (далее – кредитная организация) организационной структуры управления риском аутсорсинга, каким образом должны быть распределены функции управления риском аутсорсинга между органами управления кредитной организации?

2. Какое подразделение кредитной организации наиболее полно отвечает критериям специализированного подразделения по управлению риском аутсорсинга в соответствии с абзацем тринадцатым пункта 1.4 Положения Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П)? Необходимо ли выделять подразделение, ответственное за аутсорсинг информационных систем (далее – аутсорсинг ИС)?

3. В случае отсутствия функций, операций, услуг, процессов и (или) этапов процессов кредитной организации, передаваемых на аутсорсинг, требуется ли кредитной организации определять требования управления риском аутсорсинга во внутренних документах кредитной организации?

4. Могут ли оценку эффективности риска аутсорсинга проводить внешние эксперты или внешний аудит?

5. В соответствии с требованиями пункта 9.4 Положения № 716-П на небанковскую кредитную организацию (далее – НКО) не распространяются требования главы 8 «Управление риском информационных систем», в этой связи необходимо ли соблюдать требования в части управления риском аутсорсинга ИС?

Ответ

По вопросу 1.

Кредитная организация самостоятельно исходя из характера, масштаба своей деятельности и особенностей организационной структуры управления определяет уполномоченный коллегиальный орган в соответствии с абзацем четвертым подпункта 8¹.7.3 пункта 8¹.7 Положения № 716-П. Для целей соблюдения требований Положения № 716-П в части управления риском аутсорсинга считаем возможным распределение функций и ответственности органов управления кредитной организации, например, следующим образом.

К компетенции совета директоров (наблюдательного совета) кредитной организации, в рамках реализации положений подпункта 8¹.7.3 пункта 8¹.7 Положения № 716-П, относить вопросы организации аутсорсинга критически важных процессов и (или) их этапов, в частности:

- определение перечня таких процессов и (или) их этапов, которые могут быть переданы на аутсорсинг третьим лицам (внешним подрядчикам, контрагентам, участникам банковской группы) (далее – третьи лица);

- установление единых (общих) требований, предъявляемых к таким третьим лицам, например, путем определения требований к опыту оказания услуг и (или) выполнения работ на соответствующем рынке или по соответствующему виду деятельности, установление требований к финансовому положению таких лиц;

- установление единых (общих) требований к условиям передачи на аутсорсинг критически важных процессов и (или) их этапов, например, определение стоимости услуг третьих лиц, путем установления максимального и (или) минимального ее значения или порядка ее определения;

- рассмотрение отчетов по риску аутсорсинга критически важных процессов и (или) их этапов, в соответствии с подпунктом 8¹.12 Положения № 716-П (ежегодно).

К компетенции коллегиального исполнительного органа (правления или специализированного комитета) кредитной организации, в том числе в рамках реализации положения подпункта 8¹.7.6 пункта 8¹.7 и пункта 8¹.12 Положения № 716-П, относить следующие вопросы:

- выбор третьего лица, которому передаются на аутсорсинг критически важный(-е) процесс(-ы) и (или) их этап(-ы), соответствующее общим требованиям, установленным советом директоров кредитной организации, а также установление условий такого сотрудничества (в пределах общих требований, установленных советом директоров);

- рассмотрение отчетов о качестве выполнения третьими лицами критически важных процессов и (или) их этапов, переданных на аутсорсинг, а также принятие мер, указанных в подпункте 8¹.7.6 пункта 8¹.7 по итогам мониторинга выполнения третьими лицами аутсорсинга таких процессов и(или) их этапов;

- рассмотрение отчетов по риску аутсорсинга критически важных процессов и (или) их этапов, в соответствии с подпунктом 8¹.12 Положения № 716-П (ежеквартально) относится к компетенции коллегиального исполнительного органа (правления) кредитной организации.

По вопросу 2.

Кредитная организация самостоятельно определяет специализированные подразделения в соответствии с абзацем седьмым пункта 1.3 Положения № 716-П с учетом исключения конфликта интересов, в частности исключения случаев возложения одновременной ответственности за обеспечение информационной безопасности и функционирование информационных систем.

По вопросу 3.

Требования Положения № 716-П обязательны к исполнению всеми кредитными организациями, на которые распространяется его действие, вне зависимости от того, имеются ли у кредитной организации критически важные процессы и (или) их этапы, переданные на аутсорсинг, или нет. Кредитная организация утверждает внутренние документы по управлению риском аутсорсинга в соответствии с требованиями пункта 1.5 Положения № 716-П. При этом в случае отсутствия в кредитной организации критически важных процессов и (или) их этапов, переданных на аутсорсинг, кредитная организация вправе не определять детализированные процедуры управления риском аутсорсинга.

По вопросу 4.

В соответствии с пунктом 8¹.13 Положения № 716-П оценку эффективности управления риском аутсорсинга в рамках оценки эффективности системы управления операционным риском (далее – СУОР) проводит уполномоченное подразделение, определяемое кредитной организацией в соответствии с абзацем девятым пункта 1.3 Положения № 716-П. При этом в соответствии с пунктом 4.1.4 Положения № 716-П допускается привлечение для оценки эффективности функционирования СУОР внешних экспертов.

По вопросу 5.

В соответствии с абзацем шестым пункта 9.4 Положения № 716-П НКО обязана соблюдать требования главы 8¹ Положения № 716-П, в том числе требования к управлению риском аутсорсинга ИС.