Сайт о бухгалтерском и налоговом учете, аудите, компаниях Москвы, предоставляющих бухгалтерские и аудиторские услуги

Банковский аутсорсинг

 

Одним из способов повышения эффективности функционирования любой организации, в том числе и кредитной, является аутсорсинг, который представляет собой передачу организацией на основании договора определенных бизнес-процессов или производственных функций на обслуживание другой организации, специализирующейся в соответствующей области.
Строго говоря, российское законодательство не содержит определения аутсорсинга. В то же время в Письме Банка России от 24.05.2005 N 76-Т "Об организации управления операционным риском в кредитных организациях", которое, правда, не носит нормативного характера, мы можем прочитать несколько измененное определение: аутсорсинг - привлечение специализированной сторонней организации (поставщика услуг) для выполнения отдельных видов работ.
В качестве такой организации (ее иногда называют провайдером) может выступить как аффилированное в пределах корпоративной группы юридическое лицо, так и лицо, которое является внешним по отношению к корпоративной группе. Мы будем считать, что эта организация станет выполнять на непрерывной основе определенную деятельность, которая в обычных условиях осуществлялась бы самой кредитной организацией либо в настоящий момент, либо в будущем. Непрерывность осуществления указанной деятельности является признаком, который отличает аутсорсинг от услуг сервиса и поддержки, имеющих разовый, эпизодический либо случайный характер; иначе говоря, аутсорсинг осуществляется на основе длительного контракта (не менее 1 - 2 лет).
Другим определяющим признаком является то обстоятельство, что третьей стороне передается конкретный бизнес-процесс - это отличает аутсорсинг от различных других форм оказания услуг и абонентского обслуживания.
Иногда выделяют аутсорсинг существенных функций, т.е. передачу сторонней организации функций, которые:
- обладают такой важностью, что любой сбой или ошибка в их исполнении может оказать значительное влияние на способность лицензированной кредитной организации выполнять свои обязанности, связанные с обязательствами перед надзорными (регулирующими) органами, и (или) продолжать свой бизнес;
- связаны с управлением рисками, присущими осуществлению таких функций;
- предполагают любые другие виды деятельности, требующие лицензирования со стороны надзорного (регулирующего) органа;
- оказывают существенное воздействие на риск-менеджмент банка.
Напротив, аутсорсинг несущественных функций предполагает передачу сторонней организации функций, которые не несут в себе потенциальных рисков, а также тех функций, аутсорсинг которых не влияет на выполнение банком всех требований регулирующих и надзорных органов.
В самом общем случае необходимо также различать первичный аутсорсинг, который связан с исходной передачей деятельности (или части этой деятельности) от кредитной организации третьему лицу, и последующий аутсорсинг, который предполагает передачу деятельности (или ее части) от одного третьего лица, являющегося поставщиком услуг, другому, иногда рассматриваемому в качестве субподрядчика. В некоторых юрисдикциях и первичный аутсорсинг также рассматривается как субподрядный договор.
Особой формой аутсорсинга является офшорный аутсорсинг - передача некритичных для бизнеса процессов компаниям, находящимся в географическом удалении, нередко за границей.

 

Причины, обусловившие появление аутсорсинга

 

Идея аутсорсинга восходит к ранней работе "Природа фирмы" (1937 г.) нобелевского лауреата по экономике (1991 г.) Рональда Гарри Коуза. В названной статье он показал, что покупка и наем факторов производства требуют составления контрактов, а использование факторов в производстве товаров и услуг требует знания цен. И то и другое требует затрат реальных ресурсов; когда издержки таких рыночных трансакций достигают определенного уровня, становится выгодным заменить рыночный механизм централизованной организацией, функционирующей на иерархических принципах, т.е. фирмой. Однако издержки управления ресурсами увеличиваются по мере роста фирмы, и это устанавливает предел размера фирмы. При превышении этого размера дополнительные трансакции передаются другим фирмам. По сути дела это и есть аутсорсинг.
Не последнюю роль среди причин, вынуждающих применять аутсорсинг, играет возможность сбережения значительных расходов путем передачи выполнения ряда бизнес-процессов оператору, который управляет развитием систем в специфической деловой сфере, или оператору, который имеет доступ к более дешевым трудовым ресурсам в другом регионе или в другой стране. (Этим даже в рамках одной кредитной организации часто пользуются головные банки, создавая региональные филиалы.)
Кроме того, среди главных причин использования аутсорсинга часто называют:
- избавление от функций, трудных для управления или контроля;
- преимущества и возможности, предоставляемые офшорами, в части как более дешевой рабочей силы, так и более льготного налогообложения;
- снижение и разделение рисков, связанных с реализацией бизнес-процессов;
- сокращение времени доступа к рынку;
- более быстрое получение выгод от реинжиниринга деятельности;
- доступ к ресурсам, недоступным внутри организации;
- получение выгод в результате доступа к технологиям мирового уровня, использование специализированного оборудования и знаний;
- высвобождение ресурсов для других проектов;
- управление операционными издержками и снижение их, использование конкуренции на рынке провайдеров;
- концентрация (сосредоточенность) на главном направлении развития организации, как заказчика, так и исполнителя аутсорсинговых услуг, за счет чего может быть достигнут синергетический эффект;
- решение проблем, связанных с масштабом хозяйствующей системы;
- качество обслуживания;
- гибкость и возможность генерации изменений;
- сокращение влияния неуправляемых факторов;
- по существу дополнительный доступ к финансам и повышение инвестиционной привлекательности организации.
Хотя в дальнейшем мы будем рассматривать правоотношения, связанные с аутсорсингом, в которых банк будет стороной, передающей на аутсорсинг определенные бизнес-процессы, не следует упускать из виду и такую возможность, когда кредитная организация может выступать в качестве провайдера услуг, передаваемых на аутсорсинг. Например, согласно п. 2 ст. 824 ГК РФ обязательства финансового агента по договору финансирования под уступку денежного требования (им может быть и кредитная организация) могут включать ведение для клиента бухгалтерского учета, а также предоставление клиенту иных финансовых услуг, связанных с денежными требованиями, являющимися предметом уступки.

 

Функции, передаваемые кредитными организациями на аутсорсинг

 

Может показаться, что широкому внедрению аутсорсинга в кредитных организациях воспрепятствуют их специальная правоспособность и обязанность соблюдения банковской тайны.
Тем не менее возможности для применения аутсорсинга в кредитных организациях достаточно обширны. В частности, Базельский комитет по банковскому надзору в документе Outsourcing in Financial Services (2005 г.) называет следующие виды работ и услуг, которые наиболее часто передаются на аутсорсинг финансовыми организациями (в порядке возрастания частоты передачи на аутсорсинг):
- транспортные услуги;
- недвижимое имущество, организация ремонтных работ;
- продажи (маркетинг);
- контактные центры (колл-центры);
- трудовые ресурсы;
- финансы;
- дистрибуция и логистика;
- администрирование;
- информационные технологии.
Подобная классификация не единственная и не исчерпывающая. Например, мы не видим в ней в явной форме охранных, инкассационных, коллекторских и некоторых других видов услуг.
Если обратиться к Письму Банка России от 13.05.2002 N 59-Т "О рекомендациях Базельского комитета по банковскому надзору", то увидим, что в нем, в частности, проводится идея возможной организации внутреннего аудита через аутсорсинг. Такая схема работы рекомендуется для некрупных банков с относительно простыми операциями. Считается, что аутсорсинг деятельности по внутреннему аудиту, когда он осуществляется на ограниченной и конкретно ориентированной основе, может принести кредитным организациям определенные преимущества, такие как доступ к специализированной экспертизе и опыту при специальной аудиторской проверке объекта, которые отсутствуют в организации. Если вспомнить про банковскую тайну, то в ст. 26 Закона о банках и банковской деятельности уже содержится норма о том, что аудиторские организации не вправе раскрывать третьим лицам сведения об операциях, о счетах и вкладах кредитных организаций, их клиентов и корреспондентов, полученные в ходе проводимых ими проверок, за исключением случаев, предусмотренных федеральными законами. За разглашение банковской тайны аудиторские и иные организации, а также их должностные лица и их работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом.
В то же время аутсорсинг деятельности по внутреннему аудиту несет для банка риск утраты или ослабления контроля над деятельностью внешнего провайдера внутреннего аудита. Поэтому этими рисками необходимо управлять и вести их мониторинг. Аутсорсинг внутреннего аудита может привести к размыванию сущности банковской лицензии.
Президиум Высшего Арбитражного Суда РФ в п. 16 Информационного письма от 13.09.2011 N 146 "Обзор судебной практики по некоторым вопросам, связанным с применением к банкам административной ответственности за нарушение законодательства о защите прав потребителей при заключении кредитных договоров" констатировал, что уступка банком лицу, не обладающему статусом кредитной организации, не исполненного в срок требования по кредитному договору с заемщиком-гражданином не противоречит закону и не требует согласия заемщика. И даже банковская тайна не является препятствием для такой уступки, поскольку согласно ст. 26 Закона о банках и банковской деятельности цессионарий, его должностные лица и работники обязаны хранить ставшую им известной информацию, составляющую банковскую тайну, и эти лица несут установленную законом ответственность за ее разглашение (в том числе и в виде обязанности возместить заемщику причиненный разглашением банковской тайны ущерб).
Из того факта, что при уступке права требования по кредитному договору банковская тайна уже не является препятствием, еще не следует, что она утратила свое значение и на нее можно не обращать внимания при аутсорсинге.
Когда на аутсорсинг передаются бизнес-процессы, не связанные с банковской тайной, скажем, те же транспортные услуги, услуги по содержанию и ремонту недвижимого имущества и т.д., в этом случае все достаточно просто и особых проблем не возникает.
Передачу на аутсорсинг функций, связанных с внутренним аудитом, одобрил Банк России, а законодатель позаботился о том, чтобы при таком аутсорсинге не возникало конфликта со ст. 26 "Банковская тайна" Закона о банках и банковской деятельности.
Однако есть еще как минимум две важные позиции, в которых вопрос о банковской тайне встает во всей остроте, - это информационные технологии и трудовые ресурсы. В последнем случае имеется в виду не подбор кадров, а то, что сейчас принято называть аутстаффингом.

 

Аутсорсинг, связанный с информационными технологиями

 

Что касается аутсорсинга, связанного с информационными технологиями, то определенные советы в отношении его мы можем найти, в частности, в Письме Банка России от 26.10.2010 N 141-Т "О рекомендациях по подходам кредитных организаций к выбору провайдеров и взаимодействию с ними при осуществлении дистанционного банковского обслуживания".
Аутсорсинг в сфере информационных технологий (ИТ) может осуществляться по различным направлениям:
- разработка и сопровождение программного обеспечения автоматизированной банковской системы;
- хостинг приложений и поддержка сайтов кредитной организации;
- процессинг;
- абонентское обслуживание компьютеров и парка оргтехники. При таком виде обслуживания кредитной организации предлагается комплексный набор услуг, позволяющий ей обойтись без собственного системного администратора или же значительно снизить его загрузку. Абонентское обслуживание компьютеров обычно включает в себя следующие виды услуг:
1) наладку и модернизацию аппаратной части технических средств;
2) ремонт и замену оборудования;
3) установку и обновление программного обеспечения;
4) предотвращение хакерских атак и удаление вредоносных программ;
5) проведение профилактических работ, предусмотренных техническими регламентами в целях предотвращения преждевременного износа оборудования;
6) поставку расходных материалов;
- услуги, связанные с обеспечением доступа кредитных организаций на рынки ценных бумаг, валютные и т.д.
Хотя некоторые из перечисленных услуг и не затрагивают банковскую тайну, этого нельзя сказать об аутсорсинге в ИТ-сфере в целом, особенно если речь идет об обработке данных. Столкнемся ли мы здесь с нарушением банковской тайны? Думается, что нет. Такое мнение опирается опять-таки на логику Президиума ВАС РФ, которая прослеживается в п. 16 Информационного письма от 13.09.2011 N 146. И хотя мы здесь говорим не о кредитных договорах и не о коллекторской деятельности, тем не менее ссылка на ст. 26 Закона о банках и банковской деятельности по аналогии применима и в этом случае, поскольку "за разглашение банковской тайны... кредитные, аудиторские и иные организации... а также их должностные лица и их работники несут ответственность, включая возмещение нанесенного ущерба, в порядке, установленном федеральным законом". Другими словами, ответственность за нарушение банковской тайны распространяется и на иные организации, а также их должностных лиц и работников. Так почему в качестве "иной организации" не может выступить провайдер аутсорсинговых услуг? Речь идет не о передаче информации неопределенному кругу лиц, а об ограниченном круге деловых партнеров банка, на которых (и персонал которых) Законом возложена обязанность блюсти банковскую тайну.
Пункт 5 ч. 1 ст. 6 Закона о персональных данных однозначно гласит, что согласия субъекта персональных данных не требуется, в частности, в том случае, если "обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных".
Напомним, что под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных. Поэтому если кредитная организация в целях более эффективного исполнения договора, одной из сторон которого является субъект персональных данных, прибегнет к аутсорсингу, то данное деяние не следует рассматривать как противоправное.

 

Аутстаффинг

 

Более сложная ситуация складывается вокруг аутстаффинга. Под этим термином обычно понимают вывод сотрудника за штат организации-заказчика и оформление его в штат организации-провайдера, хотя при этом он продолжает работать на прежнем месте и выполнять свои прежние функции, несмотря на то что обязанности работодателя по отношению к нему выполняет уже другое лицо - организация-провайдер.
Иногда проводится различие между аутсорсингом и аутстаффингом, поскольку аутсорсинг - это передача ранее самостоятельно реализуемых организацией-заказчиком функций внешней организации - исполнителю, специализирующейся на выполнении таких функций, тогда как аутстаффинг предполагает передачу не функций, а конкретных работающих в организации сотрудников. При этом эти сотрудники оформляются в штат сторонней организации, а фактически работают на прежнем месте и выполняют прежние обязанности.
Однако такой точки зрения придерживаются не все. Так, мнение о том, что аутстаффинг - это всего лишь форма аутсорсинга, можно встретить у налоговиков, например в Приказе ФНС России от 30.05.2007 N ММ-3-06/333@ "Об утверждении Концепции системы планирования выездных налоговых проверок". Однако пока в российском законодательстве не будет сформулировано нормативное определение названных понятий, разночтения будут встречаться.
Иногда аутстаффинг трактуют более широко и помимо выведения персонала за штат (собственно out-staffing) в содержание этого понятия еще включают подбор временного персонала (temporary staffing), а также лизинг персонала (staff leasing).
Различие между упомянутыми тремя разновидностями аутстаффинга заключается в следующем. При выведении персонала за штат организация-провайдер (это может быть кадровое агентство, но не обязательно) не подбирает персонал, а оформляет в свой штат сотрудников организации-клиента, которые при этом остаются трудиться на прежнем рабочем месте. В качестве клиента может выступить и деловой партнер.
Если говорить конкретно о кредитных организациях, то в качестве провайдера может выступить бридж-банк (от английского bridge - мост); именно это и приходилось чаще всего наблюдать после кризиса 1998 г., когда банки, оказавшиеся в сложном положении, вынуждены были в целях жесткой экономии переводить свой персонал в "дружеские" банки (их-то и называли бридж-банками). При этом переведенный персонал продолжал выполнять отдельные функции в прежнем банке (неполный аутстаффинг). В последнем случае аутстаффинг можно было расценить как антикризисное мероприятие.
Временный персонал подбирается по заявке клиента для краткосрочных проектов - от одного дня до нескольких месяцев (обычно в пределах одного квартала). Такой персонал может использоваться в случае болезни или отпуска штатных сотрудников, в качестве обслуживающего персонала на презентациях, выставках, ярмарках или в промоакциях, а также в случае пиковых нагрузок (авралов), в том числе и сезонных.
Что касается лизинга персонала, то в этом случае кадровое агентство - провайдер подбирает и заключает трудовой договор с работником от своего имени на основании заявки клиента, после чего направляет его на работу к заказчику на более длительный срок, нежели срок, характерный для временного персонала.
Уже упоминалось, что аутстаффинг в российской правовой системе - явление недостаточно урегулированное, этим и объясняются проблемы, связанные с его использованием. С одной стороны, в пп. 19 п. 1 ст. 264 НК РФ читаем, что к прочим расходам, связанным с производством и реализацией, можно относить "расходы на услуги по предоставлению работников (технического и управленческого персонала) сторонними организациями для участия в производственном процессе, управлении производством либо для выполнения иных функций, связанных с производством и (или) реализацией".
В то же время налоговые органы достаточно косо смотрели на то, как организации, у которых нет права на применение упрощенной системы налогообложения (УСН) (к ним, как известно, относятся и кредитные организации), выводят свой штат в фирмы, применяющие УСН.
В судебных спорах по поводу подобной практики налоговые органы опирались на ст. 122 НК РФ "Неуплата или неполная уплата сумм налога (сбора)". Можно было бы пытаться сэкономить на уплате взносов в Фонд социального страхования по страхованию от несчастных случаев и профессиональных заболеваний. Дело в том, что сумма страхового взноса по этому виду страхования определяется на основе страхового тарифа, а его конкретное значение для каждой организации зависит от класса профессионального риска, присвоенного организации в соответствии с ее видом деятельности, и варьируется в пределах от 0,2 до 8,5. Однако для кредитных организаций, которые и так относятся к 1-му классу профессионального риска (с самой низкой ставкой страхового взноса), это совершенно неактуально.
Таким образом, кредитные организации, прибегая в настоящее время к аутстаффингу, в основном преследуют цель повысить эффективность.
Депутатами Госдумы РФ подготовлен проект закона "О внесении изменений в отдельные законодательные акты Российской Федерации", который прямо направлен против аутстаффинга. Названным законопроектом предлагается:
- запретить организациям заключать с лицами, ищущими работу, трудовые договоры с целью передачи (предоставления) их другим организациям или индивидуальным предпринимателям;
- пп. 19 п. 1 ст. 264 НК РФ (см. выше) признать утратившим силу;
- внести в Трудовой кодекс РФ и в Закон о правовом положении иностранных граждан в Российской Федерации изменения, которые блокируют применение "заемного" труда (как иногда называют аутстаффинг);
- установить административную ответственность за уклонение от заключения трудового договора в случаях, когда отношения, связанные с использованием личного труда, фактически являются трудовыми, т.е. имеют признаки трудовых отношений, установленные трудовым законодательством, но оформляются договором гражданско-правового характера или не оформляются каким-либо договором, а также в случаях, когда использование личного труда осуществляется путем фактического допущения работника к работе без ведома или поручения работодателя, его уполномоченного на это представителя или иного лица, выполняющего от имени работодателя какие-либо организационно-распорядительные функции.
Пока на аутстаффинг не наложен законодательный запрет, есть смысл в связи с его использованием рассмотреть вопрос о банковской тайне, поскольку к ней могут получить доступ сотрудники стороннего работодателя. Другими словами, кредитную организацию и провайдера должен связывать договор, в котором должна быть предусмотрена обязанность сохранять и обязательная ответственность за сохранение банковской тайны как самого провайдера, так и его должностных лиц и работников, включая возмещение нанесенного ущерба (на основании ст. 26 Закона о банках и банковской деятельности).
Точно так же, как и в случае аутсорсинга ИТ-услуг, решается вопрос о персональных данных.
Итак, если сам по себе традиционный аутсорсинг с точки зрения российского законодательства особых нареканий не вызывает, то аутстаффинг несет значительно более высокие правовые риски, которые связаны не столько с банковской тайной и персональными данными, сколько с общей правовой неопределенностью.

 

Основные риски аутсорсинга

 

Несмотря на несомненные преимущества и достоинства аутсорсинга, нельзя не принимать во внимание множество рисков, которые с ним связаны и которыми необходимо эффективно управлять. Некоторые из этих рисков уже упоминались, когда речь шла о передаче на аутсорсинг внутреннего аудита в соответствии с рекомендациями Письма Банка России от 13.05.2002 N 59-Т "О рекомендациях Базельского комитета по банковскому надзору". Здесь мы рассмотрим ряд других рисков, присущих аутсорсингу.
Первый риск - это риск потери репутации. Он связан с неудовлетворительным оказанием услуг третьим лицом. Под этим можно понимать, в частности, тот факт, что взаимодействие с клиентами не соответствует внутренним стандартам, установленным кредитной организацией, или же деятельность третьего лица не соответствует нормам (этическим и т.д.), установленным заказчиком. Согласно ст. 403 ГК РФ должник отвечает за неисполнение или ненадлежащее исполнение обязательства третьими лицами, на которых было возложено исполнение, если только законом не установлено, что ответственность несет являющееся непосредственным исполнителем третье лицо.
Заметим, что даже в том случае, когда просроченная задолженность продается коллектору, а не осуществляется путем передачи ее на аутсорсинг, неблаговидные действия коллектора могут бросить тень на кредитную организацию.
Некачественное обслуживание может дискредитировать кредитную организацию. Впрочем, данный риск достаточно легко поддается контролю по принципу "контрольной закупки". Частота проверок устанавливается внутренними документами кредитной организации.
Причиной неудовлетворительного оказания услуг третьим лицом может быть отсутствие у провайдера услуг адекватной системы исполнения и контроля, что, в свою очередь, свидетельствует о некомпетентности и непрофессионализме руководства.
Некачественное обслуживание может быть связано с операционным риском, причиной которого может стать неудачная технология, недостаточной финансовой компетентностью для выполнения принятых на себя аутсорсером обязательств и (или) для исправления ситуации, откровенным мошенничеством или неумышленными ошибками. Способствовать проявлению этого риска может то обстоятельство, что кредитная организация сочтет затруднительным либо слишком дорогостоящим осуществление инспектирования и должного контроля.
С неспособностью кредитной организации правильно и качественно оценить финансовое состояние аутсорсера связан риск контрагента. Однако этот риск может проявиться и позднее, в результате ухудшения качества дебиторской задолженности.
Для аутсорсинга характерен так называемый риск стратегии выхода. Он связан с тем, что соответствующие стратегии выхода имеют определенные изъяны. Основными являются три из них. Во-первых, переоценка поставщика услуг или исполнителя работ, а поскольку он не справляется с переданным ему по аутсорсингу бизнес-процессом, то возникает необходимость либо искать нового провайдера услуг, либо снова возвратить бизнес-процесс в лоно кредитной организации. При этом может оказаться, что сама кредитная организация уже утратила важные навыки, компетенцию, интеллектуальную историю и столкнулась с нехваткой персонала, а это воспрепятствует возврату соответствующей деятельности внутрь кредитной организации, - это второй момент. В качестве третьего изъяна могут выступить недостатки контрактов, которые делают быстрый "выход из аутсорсинга" предельно (запретительно) дорогим.
Недостатки контрактов порождают свой - договорный - риск. Причиной этого риска может послужить возможность навязывания контракта. Для офшорного аутсорсинга очень важен выбор применимого права - либо страны заказчика аутсорсинговых услуг, либо страны поставщика услуг.
В самом общем случае аутсорсингу может быть присущ страновой риск. Он возникает, когда планируется использовать офшорный аутсорсинг. В этом случае политический, социальный и юридический климат иностранного государства может создать дополнительный риск - он-то и называется страновым риском. В этих условиях достаточно сложно планировать и обеспечивать непрерывность бизнеса.
С аутсорсингом может быть связан и стратегический риск, который провоцируется рядом причин - как внешних (присущих аутсорсеру - исполнителю работ), так и внутренних (связанных с заказчиком - кредитной организацией). К первой группе причин можно отнести неисполнение, вызванное оплошностью привлекаемого для выполнения работ третьего лица (поставщика услуг). Кроме того, третье лицо может осуществлять аутсорсинговую деятельность в своих собственных интересах, которые несовместимы с общими стратегическими целями кредитной организации. Ко второй группе причин можно отнести недостаточную компетенцию для надзора за поставщиком услуг.
Известно, что кредитные организации представляют достаточно обширную отчетность регуляторам, главным образом Банку России. Однако мероприятия, связанные с аутсорсингом, могут воспрепятствовать поднадзорной кредитной организации своевременно представлять регуляторам необходимую информацию и данные. К тому же для регулятора понимание деятельности поставщика услуг по аутсорсингу представляет дополнительный уровень сложности. Здесь мы сталкиваемся с так называемым риском доступа.
Наконец, когда несколько кредитных организаций используют в целях аутсорсинга одного и того же поставщика услуг, возникает риск концентрации, а уязвимость финансовой отрасли в целом от небольшого числа поставщиков услуг, выполняемых по аутсорсингу, может порождать системный риск, особенно в условиях недостаточного контроля деятельности провайдера со стороны отдельных кредитных организаций.

 

Принципы Базельского комитета, касающиеся аутсорсинга

 

Принимая во внимание тот факт, что аутсорсингу присущи достаточно серьезные риски, которые могут негативно сказаться не только на деятельности отдельной кредитной организации, но и на всей финансовой системе в целом (системный риск), можно сделать вывод о необходимости соблюдения очень взвешенного подхода к передаче отдельных бизнес-процессов и функций третьим лицам. По этой причине в упоминавшемся документе Базельского комитета по банковскому надзору Outsourcing in Financial Services были сформулированы определенные руководящие принципы, которых должны придерживаться все финансовые организации, чтобы минимизировать связанные с ним риски.
Первые семь принципов охватывают обязанности и ответственность поднадзорных объектов (включая кредитные организации; кроме них под финансовыми организациями понимаются еще страховые компании и участники рынков ценных бумаг), когда они передают на аутсорсинг часть своей деятельности (функций), а последние два принципа определяют роль и ответственность регуляторов.
Принцип 1. Поднадзорная финансовая организация, стремящаяся привлекать третьих лиц для выполнения работ (оказания услуг), должна располагать всесторонней стратегией, которая позволяла бы оценить, может ли (и каким образом) определенная деятельность быть передана надлежащим образом третьим лицам для выполнения работ. Совет директоров или эквивалентный орган несет ответственность за политику привлечения третьих лиц для выполнения работ и полную ответственность за все действия, предпринятые в рамках осуществления этой политики.
До того как приступить к аутсорсингу некоторых видов деятельности, поднадзорная финансовая организация должна сформулировать определенные политику и критерии для принятия решений об аутсорсинге. Они должны включать оценку того, какая деятельность и в каком объеме подходит для аутсорсинга. Должны быть учтены риск концентрации, приемлемые рамки общего уровня аутсорсинговой деятельности и риски, возникающие из-за передачи на аутсорсинг многих видов деятельности одному и тому же поставщику услуг.
Если поднадзорная финансовая организация желает передать на аутсорсинг любой вид своей деятельности, то ее менеджмент должен выработать всестороннее понимание связанных с этим преимуществ и затрат. Этот анализ требует оценки основных способностей организации, сильных и слабых сторон администрации, а также будущих целей.
Финансовая организация должна также иметь у себя стратегии, которые гарантируют ее способность эффективно наблюдать за деятельностью, переданной на аутсорсинг (см. принцип 2). Соответствующая структура управления с ясно определенными ролями и обязанностями со стороны аутсорсера должна существовать на протяжении процесса вхождения в контакт и срока действия контракта.
Финансовая организация должна принять соответствующие меры, чтобы гарантировать свою способность выполнять требования закона и регуляторов как у себя в стране, так и в других странах, в которых будут осуществляться работы, переданные на аутсорсинг.
Деятельность не должна передаваться третьим лицам для выполнения работ, если это ослабит права надзорного органа по оцениванию и его способность контролировать бизнес поднадзорной финансовой организации (см. принцип 3).
Совет директоров поднадзорной финансовой организации (или эквивалентный орган) несет полную ответственность за обеспечение того, что все принятые финансовой организацией решения по аутсорсингу и деятельность, осуществляемая третьими лицами, будут выполнены с соблюдением ее аутсорсинговой политики. Роль внутреннего аудита финансовой организации также будет важна в этом отношении.
Принцип 2. Финансовая организация должна разработать всестороннюю программу управления рисками, связанными с привлечением третьих лиц к выполнению работ, и координации работ с поставщиком услуг.
Создавая программу управления рисками, связанными с аутсорсингом, необходимо учитывать риски финансовой организации, которые будут зависеть от нескольких факторов, включая рамки и значимость деятельности, передаваемой на аутсорсинг: как хорошо финансовая организация управляет, осуществляет мониторинг и контролирует риски, связанные с аутсорсингом (включая ее общее управление операционным риском), и насколько хорошо сам поставщик услуг управляет и контролирует потенциальные риски, связанные с переданными на выполнение операциями.
Некоторые факторы, которые могли бы помочь в рассмотрении значимости программы управления рисками, включают следующее:
1) как скажутся сбои в работе поставщика услуг на финансовом состоянии, репутации и функциональности кредитной организации;
2) издержки, связанные с применением аутсорсинга;
3) потенциальные потери клиентов кредитной организации и их партнеров в случае некачественной работы поставщика услуг;
4) последствия воздействия аутсорсинговой деятельности на способность и нагрузку кредитной организации по части соответствия требованиям регулятора и изменениям в этих требованиях, взаимосвязь аутсорсинговой деятельности с другими операциями, осуществляемыми в рамках кредитной организации;
5) присоединение или другие отношения между кредитной организацией и поставщиком услуг;
6) как регулируется деятельность поставщика услуг;
7) каковы затраты времени, необходимого для выбора альтернативного поставщика услуг или возврата аутсорсинговой деятельности внутрь кредитной организации, если это будет необходимо;
8) сложность мероприятий, связанных с аутсорсингом. Например, возможность контролировать риски в случае, если более чем один поставщик услуг сотрудничает с другими контрагентами, чтобы обеспечить выполнение аутсорсинговой услуги от начала до конца, т.е. в случае последующего аутсорсинга.
На защиту данных, безопасность и другие риски может оказать негативное воздействие географическое местоположение поставщика аутсорсинговых услуг. При этом следует осуществить экспертизу угроз, связанных со страновым риском государства, например политические или юридические условия. Эти исследования могут потребоваться, когда аутсорсинговые мероприятия планируется проводить за рубежом.
Тем самым всесторонняя программа управления аутсорсинговыми рисками должна обеспечить непрерывный контроль и управление всеми взаимосвязанными аспектами аутсорсинговых мероприятий и процедур, необходимых для осуществления корректирующих воздействий, которые потребуются в случае возникновения определенных событий.
Принцип 3. Поднадзорная финансовая организация должна гарантировать, что мероприятия, связанные с аутсорсингом, не снизят ее способность выполнять свои обязательства перед клиентами и регуляторами, а также не воспрепятствуют эффективному надзору со стороны регуляторов.
Привлечение третьих лиц для выполнения работ не должно оказывать воздействия на права клиента по отношению к кредитной организации.
Аутсорсинговые мероприятия не должны вредить способности регулятора осуществлять свои надзорные обязанности, такие как надлежащее наблюдение за поднадзорной кредитной организацией.
Принцип 4. Финансовая организация должна очень разборчиво подходить к выбору третьей стороны в качестве поставщика услуг.
Финансовая организация должна разработать критерии, которые позволят ей оценить еще до окончательного выбора производительность и способность поставщика услуг эффективно выполнять аутсорсинговую деятельность, т.е. надежно и согласно высоким стандартам, а также факторы любого потенциального риска, связанные с данным конкретным поставщиком услуг.
В качестве примера можно привести:
- выбор поставщиков необходимой квалификации и с адекватными ресурсами, необходимыми для выполнения аутсорсинговых работ;
- обеспечение гарантии того, что поставщик услуг понимает и отвечает целям кредитной организации в указанном виде деятельности;
- выяснение, обладает ли потенциальный поставщик услуг финансовой устойчивостью, достаточной для того, чтобы исполнять свои обязательства. Любые специальные потребности, такие как обслуживание в условиях географически рассредоточенной деятельности, должны быть определены и удовлетворяться при помощи третьих лиц с соответствующими возможностями.
Деятельность (функции) не следует передавать на аутсорсинг поставщику услуг, который не отвечает установленным критериям.
Если поставщик услуг терпит неудачу или, иначе говоря, не способен осуществлять аутсорсинговую деятельность, может оказаться слишком дорогостоящим или проблематичным находить другие решения. Поэтому издержки перемещения, а также возможность разрушения бизнеса также следует предусматривать.
Дополнительные проблемы возникают, если аутсорсинг будет представлять собой деятельность за границей. Например, в критической ситуации кредитная организация может встретиться с затруднениями при совершении адекватных ответных действий уместным образом. В этой связи высшему менеджменту кредитной организации может потребоваться оценить экономические, юридические и политические условия, которые могли бы неблагоприятно отразиться на способности поставщика услуг эффективно функционировать в интересах заказчика.
Принцип 5. Аутсорсинговые отношения должны регулироваться письменными контрактами, в которых должны быть ясно определены все существенные аспекты аутсорсинговых мероприятий, включая права, ответственность и ожидания сторон.
Аутсорсинговыми мероприятиями следует руководить в соответствии с четко прописанным контрактом, сущность и детали которого должны соответствовать важности аутсорсинговой деятельности с учетом непрерывности бизнеса кредитной организации. Письменный контракт - сильный инструмент управления, и соответствующие договорные условия могут уменьшить риск невыполнения или разногласия относительно границ, сущности и качества услуг, которые должны быть предоставлены. В качестве некоторых ключевых условий такого контракта можно назвать следующие:
- контракт должен недвусмысленно определять, какую деятельность собираются передать на аутсорсинг, включая соответствующие услуги и уровень производительности. Способность поставщика услуг отвечать требованиям эффективности - как в количественном, так и в качественном отношении - должна быть оценена заранее;
- контракт не должен препятствовать поднадзорной финансовой организации исполнять соответствующие обязательства перед регулятором, равно как не должен препятствовать регулятору осуществлять надзорные функции и властные полномочия;
- кредитная организация должна позаботиться о том, чтобы иметь возможность доступа ко всем книгам, отчетам и информации, связанной с аутсорсинговой деятельностью поставщика услуг;
- контракт должен предусматривать непрерывный контроль и оценку поставщика услуг со стороны кредитной организации, для того чтобы любые необходимые корректирующие меры могли быть немедленно приняты;
- условия завершения и минимальные периоды времени, необходимые для того, чтобы осуществить процедуры завершения, если таковые считаются необходимыми, должны быть включены в договор. Это позволит передать аутсорсинговые услуги другому третьему лицу - поставщику услуг или вновь осуществлять их внутри кредитной организации. Такой пункт должен включать условия, касающиеся банкротства или других существенных изменений в корпоративной структуре поставщика услуг, и ясную картину правообладания интеллектуальной собственностью после завершения контракта, включая передачу информации назад, финансовой организации (см. принцип 6), а также других элементов, которые продолжают оказывать свое действие и после завершения контракта;
- контрактные проблемы, специфические для аутсорсингового мероприятия, должны быть четко определены. Например, когда поставщик услуг расположен за границей, контракт должен включать условия выбора применимого закона, взаимное согласие по отдельным статьям договора и относящиеся к юрисдикции соглашения, которые предусматривают судебное разрешение споров между сторонами в рамках законов определенной юрисдикции;
- контракт должен включать, где это необходимо, условия заключения субподрядных договоров поставщика услуг, являющегося третьей стороной, для всей или части аутсорсинговой деятельности. В необходимых случаях может потребоваться одобрение со стороны кредитной организации использования субподрядчиков поставщиком услуг, являющимся третьей стороной, для всех или части сервисных услуг или передаваемой деятельности. Короче говоря, контракт должен предоставить кредитной организации возможность сохранить адекватный контроль над рисками, когда поставщик услуг привлекает третьих лиц для выполнения работ, как и в случае с первичным аутсорсинговым мероприятием.
Принцип 6. Финансовая организация и ее поставщик услуг должны создать и утвердить планы на случай чрезвычайных обстоятельств, включая планы относительно восстановления в результате аварии и периодического испытания резервных средств обслуживания.
В то время как финансовые организации должны располагать глобальной относящейся к организации политикой, содержащей планы на случай исключительных ситуаций, специальные планы на случай чрезвычайных обстоятельств должны быть отдельно разработаны для каждого аутсорсингового мероприятия, как это делается в индивидуальных сферах деятельности. Финансовая организация должна предпринять соответствующие шаги, чтобы выявить и оценить возможные последствия разрушения бизнеса или других проблем, возникших у поставщика услуг. В особенности следует рассмотреть планы на случай форс-мажорных обстоятельств у поставщика услуг, координацию чрезвычайных планов как финансовой организации, так и поставщика услуг и чрезвычайные планы финансовой организации на случай неисполнения договора поставщиком услуг.
Периодически возникающие проблемы, связанные с отсутствием всесторонних планов на случай чрезвычайных обстоятельств у поставщика услуг и финансовой организации, могут привести к непредусмотренной уязвимости, финансовым потерям, упущенным бизнес-возможностям, а также репутационным и юридическим проблемам.
Необходимы надежные технологии информационной безопасности. Расстройство производительности может навредить способности финансовой организации выполнять свои обязательства перед другими участниками рынка, нарушить частные интересы ее клиентов, подмочить репутацию финансовой организации и повлиять на профиль общего операционного риска.
Финансовые организации должны стремиться гарантировать, чтобы поставщики услуг поддерживали информационную безопасность на должном уровне и при необходимости обладали способностью к восстановлению после аварийных ситуаций.
Планы на случай чрезвычайных обстоятельств при ухудшении производительности должны принимать во внимание расходы, связанные с выбором альтернативных вариантов. Перед лицом неудовлетворительной быстроты реакции поставщика услуг выбор финансовой организации может включать смену поставщика услуг, перевод деятельности внутрь организации или иногда даже выход из бизнеса. Это могут быть очень дорогостоящие варианты, которые порой следует рассматривать только как крайнюю меру. Однако к этим возможностям и связанным с ними издержкам следует обратиться во время процесса переговоров и определиться с ними в контракте. В действующих контрактах такие пункты должны быть добавлены при возобновлении.
Принцип 7. Финансовая организация должна принять меры для того, чтобы поставщик услуг обеспечил защиту конфиденциальной информации (как самой финансовой организации, так и ее клиентов) от преднамеренного или неосторожного раскрытия ее неуполномоченным лицам.
Ожидается, что финансовая организация, которая планирует аутсорсинг, примет соответствующие меры к защите конфиденциальной информации клиента и убедится, что она не будет неправильно использована или незаконно присвоена. Такие шаги могут включать соответствующие условия в контракте с третьим лицом, запрещающие поставщику услуг и его агентам использовать или раскрывать информацию, принадлежащую финансовой организации или ее клиентам, за исключением необходимой для осуществления услуг, предусмотренных контрактом, и требуемой регулятором на основании закона. Финансовая организация должна также рассмотреть вопрос о надлежащем уведомлении клиентов о том, что данные клиента могут быть переданы поставщику услуг, принимая во внимание любые установленные законом или регулятором условия, которые могут быть применены.
Принцип 8. Регуляторы должны принять во внимание аутсорсинговую деятельность как неотъемлемую часть деятельности поднадзорной финансовой организации. Регуляторы сами должны убедиться, что любые мероприятия по аутсорсингу не препятствуют способности поднадзорной финансовой организации отвечать требованиям регулятора.
Регуляторы должны рассматривать риски аутсорсинговой деятельности как часть совокупного риска, связанного с поднадзорной финансовой организацией.
Для того чтобы оценить и контролировать политику аутсорсинга и программу поднадзорной финансовой организации по управлению риском, связанным с аутсорсингом, регуляторы должны быть в состоянии после запроса быстро получить любые необходимые книги и отчеты, имеющие отношение к аутсорсинговой деятельности, независимо от того, находятся ли они во владении финансовой организации, применяющей аутсорсинг, или поставщика услуг, который является третьей стороной, и получить любую дополнительную информацию относительно аутсорсинговой деятельности. Доступ регулятора к таким книгам и отчетам может быть прямым или косвенным, хотя поднадзорная финансовая организация должна всегда поддерживать прямой доступ к таким книгам и отчетам. Этот доступ может включать требование, чтобы книги и отчеты были предъявлены в юрисдикцию регулятора или что поставщик услуг соглашается направлять оригиналы или копии книг и отчетов в юрисдикцию регулятора после запроса.
Регуляторы должны рассматривать выполнение соответствующих инструкций и мер, разработанных, чтобы обеспечить доступ к книгам, отчетам и информации поставщика услуг о выполнении деятельности, связанной с аутсорсингом. Это можно реализовать путем включения требования, которое поднадзорные организации включают в договорные условия об аутсорсинговых мероприятиях, согласно которым финансовая организация наделяется доступом и правом осмотра книг и отчетов поставщика услуг, имеющих отношение к аутсорсинговой деятельности, и аналогичным доступом к книгам и отчетам любого субподрядчика, а также договорных условий, в соответствии с которыми поставщик услуг обязуется сделать книги, отчеты и другую информацию об аутсорсинговой деятельности, осуществляемой поставщиком услуг, доступной для регулятора по запросу.
Принцип 9. Регуляторы должны быть осведомлены о принятых потенциальных рисках, когда аутсорсинговая деятельность многих подконтрольных субъектов концентрируется среди ограниченного числа поставщиков услуг.
Когда ограниченное число поставщиков аутсорсинговых услуг (иногда только один) предоставляет аутсорсинговые услуги многим поднадзорным финансовым организациям, операционные риски соответственно концентрируются и могут представлять системную угрозу. Аналогично если многие поставщики услуг, являющиеся третьими сторонами, зависят от того же самого поставщика бизнес-услуг, нарушение, которое затрагивает большое количество тех субъектов, может привести к нехватке производительности для обеспечения непрерывности бизнеса.
Соглашаясь, что некоторая форма концентрации риска является неизбежной, как только финансовые организации используют аутсорсинг для повышения эффективности и экономии за счет роста производства, в процессе оценки и контроля аутсорсинговой политики и программы управления рисками поднадзорного юридического лица, регуляторы должны обратить особое внимание на способ, которым поднадзорная финансовая организация принимает во внимание потенциальный риск, вызываемый концентрацией.
Пока риски концентрации имеют место, существуют и доступные сдерживающие инструменты. Они включают, прежде всего, адекватное планирование на случай чрезвычайных обстоятельств в рамках поднадзорных объектов (см. принцип 6), сдерживающие инструменты регулятора, такие как непрерывный контроль и программы информирования, согласования с надзорными органами, оценки рисков и другие действия.