№ 716-П от 08.04.2020 Положение Банка России «О требованиях к системе управления операционным риском в кредитной организации и банковской группе»

О процедурах управления риском аутсорсинга

Вопрос

1. Мероприятия и процедуры управления риском аутсорсинга проводятся в отношении только критически важных процессов или всех процессов кредитной организации (головной кредитной организации банковской группы) (далее – кредитная организация), переданных на аутсорсинг?

2. Каким образом регистрировать события риска информационной безопасности (далее – риск ИБ) и риска информационных систем (далее – риск ИС), вызванных реализацией риска аутсорсинга?

3. Какие контрольные показатели риска аутсорсинга следует определить кредитной организации?

4. В случае отсутствия функций, операций, услуг, процессов и (или) этапов процессов кредитной организации, передаваемых на аутсорсинг, требуется ли кредитной организации определять контрольные показатели по риску аутсорсинга?

5. При определении контрольных показателей риска ИБ для контроля риска аутсорсинга ИС в части уровня защиты информации оценивается процесс компании третьего лица (внешнего подрядчика, контрагента, участника банковской группы) (далее – третье лицо) в целом или только по объектам и (или) услугам в части, касающейся аутсорсинга?

6. Какие отчеты по риску аутсорсинга и об организации аутсорсинга должна формировать кредитная организация?

7. В соответствии с пунктом 9.4 Положения Банка России от 08.04.2020 № 716-П «О требованиях к системе управления операционным риском в кредитной организации и банковской группе» (далее – Положение № 716-П) небанковская кредитная организация (далее – НКО) не проводит качественную оценку уровня операционного риска. При этом в главе 8¹ есть ссылки на требования пункта 2.1.5 Положения № 716-П. Необходимо ли их применять в отношении риска аутсорсинга?

Ответ

По вопросу 1.

В соответствии с пунктом 8¹.3 Положения № 716-П требования к процедурам управления риском аутсорсинга устанавливаются в отношении функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг критически важных процессов кредитной организации.

По вопросу 2.

При регистрации указанных событий в базе событий в качестве основного риска кредитной организации следует указывать риск ИС или риск ИБ. Одновременно, в поле «взаимосвязь с другими видами риска» следует указать риск аутсорсинга в качестве источника.

По вопросу 3.

В целях контроля за уровнем риска аутсорсинга кредитная организация самостоятельно определяет перечень контрольных показателей уровня риска аутсорсинга. В данный перечень могут быть включены показатели, детализирующие отдельные контрольные показатели операционного риска, приведенные в подпункте 1.1 пункта 1 приложения 1 к Положению № 716-П, и (или) иные показатели в зависимости от характера и масштабов деятельности кредитной организации, в том числе специфики и объема функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг третьим лицам. Например, такими показателями могут быть:

- отношение общей суммы прямых потерь, понесенных кредитной организацией от реализации событий риска аутсорсинга за определенный период с начала календарного года (первый квартал, полугодие, девять месяцев, год), к величине капитала, выделяемой кредитной организацией на покрытие потерь от реализации операционного риска;

- отношение общей суммы прямых потерь, понесенных кредитной организацией от реализации событий риска аутсорсинга за определенный период с начала календарного года (первый квартал, полугодие, девять месяцев, год), к величине дохода, полученного от осуществления и (или) оказания функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг третьим лицам;

- отношение общей суммы прямых потерь, понесенных кредитной организацией от реализации событий риска аутсорсинга за определенный период с начала календарного года (первый квартал, полугодие, девять месяцев, год), к общей сумме прямых потерь за аналогичный период, понесенных кредитной организацией от реализации событий операционного риска;

- доля реализовавшихся событий риска аутсорсинга за определенный период с начала календарного года (первый квартал, полугодие, девять месяцев, год), которые привели к нарушению операционной устойчивости кредитной организации, в общем количестве событий операционного риска за аналогичный период, вследствие которых произошло нарушение операционной устойчивости кредитной организации.

При этом порядок установления целевых значений контрольных показателей риска аутсорсинга должен быть идентичным порядку установления контрольных показателей уровня операционного риска.

Контроль за уровнем риска аутсорсинга ИС кредитным организациям следует осуществлять на основе показателей, предусмотренных абзацами двадцать вторым — двадцать четвертым подпункта 1.2.1 пункта 1 приложения 1 к Положению № 716-П, и показателей операционной надежности, предусмотренных абзацами вторым — четвертым пункта 4 Положения Банка России от 13.01.2025 № 850-П «Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг» (далее – Положение № 850-П). При этом влияние событий риска аутсорсинга ИС должно учитываться в рамках контроля за риском ИБ и риском нарушения непрерывности деятельности, связанным с нарушением операционной надежности (в случае наличия связи с указанными рисками).

С целью исключения дублирования показателей полагаем целесообразным придерживаться подхода, при котором контрольные показатели риска аутсорсинга ИС рассматриваются в качестве подвида контрольных показателей риска ИБ и риска нарушения непрерывности деятельности, связанного с нарушением операционной надежности.

Кредитная организация в целях управления риском аутсорсинга ИС вправе определить дополнительные контрольные показатели.

По вопросу 4.

Кредитная организация вправе не определять контрольные показатели по риску аутсорсинга, в случае отсутствия у нее критически важных процессов и (или) их этапов, переданных на аутсорсинг.

По вопросу 5.

Контроль за уровнем риска аутсорсинга ИС на основе показателей, предусмотренных абзацами двадцать вторым — двадцать четвертым подпункта 1.2.1 пункта 1 приложения 1 к Положению № 716-П, полагаем целесообразным осуществлять в целом в отношении информационной инфраструктуры третьих лиц с учетом взаимосвязей между ее компонентами и различием в подходах третьих лиц к ее сегментированию.

По вопросу 6.

Кредитная организация формирует отчеты в соответствии с абзацем десятым подпункта 8¹.7.6 пункта 8¹.7, абзацем пятым подпункта 8¹.10.1 пункта 8¹.10 и пунктом 8¹.12 Положения № 716-П. При этом допускается объединение отчетов с учетом соблюдения требований Положения № 716-П к порядку и периодичности их составления. Отчеты об организации аутсорсинга и отчеты о качестве выполнения функций, переданных на аутсорсинг, формирует подразделение, ответственное за организацию аутсорсинга.

По вопросу 7.

В соответствии с главой 9 Положения № 716-П НКО не проводит качественную оценку уровня операционного риска в соответствии с подпунктом 2.1.5 пункта 2.1 Положения № 716-П, при этом НКО в отношении риска аутсорсинга должна проводить оценку внутренних и внешних факторов в соответствии с подпунктом 8¹.4 Положения № 716-П для целей последующего выбора способа реагирования на риск аутсорсинга.