Вопрос: 1. Какие критерии применяются для признания функций, операций, услуг, процессов и (или) этапов процессов аутсорсингом для целей Положения Банка России от 08.04.2020 N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе" (далее - Положение N 716-П)?
2. Что рекомендуется понимать под функцией кредитной организации (головной кредитной организации банковской группы) (далее - кредитная организация)?
3. Что следует понимать под возможностью выполнения критически важных процессов и (или) их этапов собственными силами кредитной организации?
4. Какие критерии применяются для признания функций, операций, услуг, процессов и (или) этапов процессов аутсорсингом информационных систем (далее - аутсорсинг ИС) в соответствии с Положением N 716-П?
5. Какие функции, операции, услуги, процессы и (или) этапы процессов кредитная организация вправе не признавать аутсорсингом для целей Положения N 716-П?
6. Какие процессы следует включать в перечень функций, операций, услуг, процессов и (или) этапов процессов кредитной организации, передаваемых на аутсорсинг, в случае если кредитная организация не передает свои процессы на аутсорсинг?
7. Может ли кредитная организация для целей определения перечня функций, операций, услуг, процессов и (или) этапов процессов кредитной организации, передаваемых на аутсорсинг, применять дополнительные критерии, например определять пороговое значение минимальной суммой договора с третьим лицом (внешним подрядчиком, контрагентом, участником банковской группы) (далее - третье лицо)?
Ответ: По вопросу 1
Перечень функций, операций, услуг, процессов и (или) этапов процессов кредитной организации, передаваемых на аутсорсинг, определен в приложении 6 к Положению N 716-П:
- кредитная организация в целях управления риском аутсорсинга включает в перечень функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг, функции, операции, услуги, процессы и (или) этапы процессов, от выполнения и (или) оказания которых зависит выполнение критически важных операций и которые выполняются и (или) оказываются третьим лицом на основании договора или иного соглашения между кредитной организацией и третьим лицом и которые кредитная организация имеет возможность выполнять и (или) оказывать собственными силами вне зависимости от того, выполнялись и (или) оказывались ли они ею ранее;
- кредитная организация включает в перечень функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг, функции, операции, услуги, процессы и (или) этапы процессов, которые выполняются и (или) оказываются третьими лицами на периодической или постоянной основе (бессрочно или со сроком двенадцать и более месяцев);
- кредитная организация включает в перечень функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг, функции, операции, услуги, процессы и (или) этапы процессов, которые могут повлечь невыполнение обязательств перед клиентами и (или) контрагентами, несоблюдение требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", Трудового кодекса Российской Федерации, Федерального закона "О банках и банковской деятельности" и (или) иное в соответствии с абзацем третьим подпункта 4.1.1 пункта 4.1 Положения N 716-П (за исключением функций, операций, услуг, процессов и (или) этапов процессов, приведенных в пункте 3 приложения 6 к Положению N 716-П).
Например, услуги инкассации и обеспечения физической безопасности могут относиться к критически важным процессам кредитной организации, в случае если от них зависит выполнение кредитной организацией обязательств перед клиентами и (или) требований Федерального закона от 02.12.1990 N 395-I "О банках и банковской деятельности", а также в зависимости от влияния нарушения их выполнения на соблюдение требований к порядку ведения кассовых операций и правил хранения, перевозки и инкассации, которые установлены для кредитных организаций законодательством РФ и нормативными актами Банка России.
При этом, например, форма договора (агентский договор, договор ГПХ, договор о совместительстве и иные) не является критерием отнесения (неотнесения) функций, операций, услуг, процессов и (или) этапов процессов к составу функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг. При определении функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг, кредитная организация руководствуется приложением 6 к Положению N 716-П.
По вопросу 2
Под функцией рекомендуется понимать все функции органов управления и подразделений кредитной организации, определяемые кредитной организацией во внутренних документах.
По вопросу 3
Кредитная организация имеет возможность выполнять собственными силами процессы и (или) их этапы, которые определены ею в перечне процессов в соответствии с подпунктом 4.1.1 пункта 4.1 Положения N 716-П и которые кредитной организации в соответствии с действующим законодательством не запрещено выполнять самостоятельно.
По вопросу 4
В соответствии с абзацем вторым пункта 1 приложения 6 к Положению N 716-П в перечень функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг третьим лицам при аутсорсинге ИС, включаются функции, операции, услуги, процессы и (или) этапы процессов, от выполнения и (или) оказания которых зависит выполнение критически важных операций, связанных с размещением, хранением и иной обработкой информации с использованием информационных систем и их компонентов, в рамках выполнения технологических процессов, перечень которых приведен в приложении к Положению Банка России от 13.01.2025 N 850-П "Об обязательных для кредитных организаций, иностранных банков, осуществляющих деятельность на территории Российской Федерации через свои филиалы, требованиях к операционной надежности при осуществлении банковской деятельности в целях обеспечения непрерывности оказания банковских услуг" (далее - Положение N 850-П).
В качестве основных критериев отнесения деятельности к аутсорсингу ИС целесообразно рассматривать следующие случаи:
1) размещение, хранение и иная обработка информации кредитной организации с использованием информационной инфраструктуры привлекаемой организации в рамках технологических процессов, перечень которых приведен в приложении к Положению N 850-П;
2) предоставление непосредственного (удаленного или физического) доступа привлекаемой организации к информационной инфраструктуре кредитной организации, обеспечивающей функционирование технологических процессов, перечень которых приведен в приложении к Положению N 850-П.
Таким образом, аутсорсингом ИС признаются, например, следующие услуги:
- использование облачных сервисов;
- размещение информации в ЦОД;
- сопровождение банкоматов;
- услуги, связанные с обработкой платежей и операциями с картами (например, привлечение процессинговой компании, эквайринг и персонализация пластиковых карт);
- услуги сторонних платежных систем и платежных агентов (за исключением услуг платежных систем, в рамках которых определяются правила эмиссии международных платежных карт в соответствии с абзацем четвертым пункта 3 приложения 6 к Положению N 716-П);
- техническая поддержка, заключающаяся в поддержании работоспособности автоматизированных систем и процессов;
- поддержка программного обеспечения, предоставляемого по лицензионному договору;
- обеспечение информационной безопасности (например, услуги по защите от DDoS-атак).
Кроме того, выполнение бизнес-процессов, обеспечиваемых технологическими процессами, перечень которых приведен в приложении к Положению N 850-П, не представляется возможным без поддержания ликвидности, ведения бухгалтерского учета и др. Таким образом, размещение, хранение и иная обработка информации кредитной организации в информационных системах с привлечением третьих лиц в рамках указанных критически важных операций также учитываются в составе аутсорсинга ИС для технологических процессов, перечень которых приведен в приложении к Положению N 850-П.
По вопросу 5
Кредитная организация не включает в перечень функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг:
- функции, операции, услуги, процессы и (или) этапы процессов, от выполнения и (или) оказания которых не зависит выполнение критически важных операций;
- функции, операции, услуги, процессы и (или) этапы процессов, выполняемые (оказываемые) третьими лицами на разовой основе, например разовое привлечение третьих лиц для разработки (доработки) программного обеспечения или приобретение лицензии на его использование;
- функции, операции, услуги, процессы и (или) этапы процессов, для выполнения (оказания) которых обязательно привлечение третьих лиц в соответствии с законодательством Российской Федерации (например, проведение обязательного внешнего аудита);
- функции, операции, услуги, процессы и (или) этапы процессов входят в перечень исключений в соответствии с пунктом 3 приложения 6 к Положению N 716-П.
Например, кредитная организация вправе не признавать аутсорсингом следующие услуги, оказываемые третьими лицами:
- создание концепций рекламных компаний;
- производство радио- и (или) видеороликов;
- проведение исследований (например, методом "тайный покупатель");
- техническую поддержку, заключающуюся в консультировании по работе программного обеспечения;
- доработку и обновление программного обеспечения в связи с изменениями в регулировании;
- приобретение антивирусного программного обеспечения и его последующее использование;
- передачу налоговых деклараций в ИФНС через специализированные системы;
- тестирование и (или) обучение сотрудников.
По вопросу 6
Кредитная организация включает в перечень функций, операций, услуг, процессов и (или) этапов процессов кредитной организации, передаваемых на аутсорсинг, функции, операции, услуги, процессы и (или) этапы процессов кредитной организации, фактически переданные на выполнение третьим лицам. В случае отсутствия функций, операций, услуг, процессов, переданных на аутсорсинг, формировать перечень, указанный в абзаце втором пункта 8(1).1 Положения N 716-П, не требуется.
По вопросу 7
Кредитная организация вправе устанавливать дополнительные критерии для целей определения состава аутсорсинга, например пороговую сумму договора оказания услуг. При этом в качестве основного критерия при его определении следует рассматривать влияние прерывания выполнения функций, операций, услуг и (или) этапов процессов. Обращаем внимание, что дополнительные критерии могут применяться кредитной организацией только для целей расширения перечня функций, операций, услуг, процессов и (или) этапов процессов кредитной организации, передаваемых на аутсорсинг.
24.12.2025