Эксперты российского платежного рынка проанализировали стандарты финансового аутсорсинга Европейской службы по банковскому надзору (EBA)
27 апреля 2023 года Ассоциация участников рынка электронных денег организовала вебинар-презентацию перевода на русский язык Руководства Европейской службы по банковскому надзору (EBA) по аутсорсингу, принятого в 2019 году. Мероприятие провели Виктор Достов и Павел Шуст.
Как сообщил Павел Шуст, основная причина, по которой аутсорсинг на финансовом рынке становится все более актуальным, — это стремление финансовых организаций к снижению издержек. Другими важными стимулами к переходу на аутсорсинг являются потребность в большей гибкости доступных ресурсов, ускоренная адаптация к новым условиям и более активное сотрудничество с финтех-компаниями. Согласно отчету World Retail Banking Report 2020, 77% банков отдают на аутсорсинг как минимум одну функцию.
Эксперт отметил, что аутсорсинг становится регулятивным вопросом, поскольку регулятор видит в таком формате работы как риски, так и возможности: концепция банка как закрытой системы исчезает. Кроме того, спектр функций для аутсорсинга и спектр поставщиков платежных услуг постоянно расширяются, а появление трансграничного аутсорсинга особенно актуально для небольших рынков. Этот вид аутсорсинга становится проще, а контроль за ним — соответственно сложнее.
По версии EBA, аутсорсинг — это передача третьей стороне функции, которая должна или могла бы выполняться самой финансовой организацией, при этом отдавать на аутсорсинг можно и функции, требующие авторизации. Однако к аутсорсингу не относятся покупка непрофильных услуг, использование платежных инфраструктур (VISA, Mastercard) и обязательный аутсорсинг, например внешний аудит.
Эксперт обратил внимание на так называемые критические/существенные функции, передача которых на аутсорсинг попадает под дополнительные требования для финансовых организаций. Европейский регулятор не разработал списка функций, относящихся к этой категории, но представил их основные признаки. Финансовая организация самостоятельно определяет во внутренних документах, что относится к такого вида функциям, перед заключением договора аутсорсинга.
Основные признаки критических/существенных функций:
- сбои при их выполнении приведут к нарушению лицензионных требований. Например, это могут быть требования к размеру капитала или соблюдению определенных нормативов;
- сбои, которые приведут к неустойчивости и нестабильности оказания услуг;
- функция связана с внутренним контролем;
- функция относится к Core Business Lines (ключевые направления деятельности, приносящие основную прибыль).
При принятии решения относительно того, является ли функция критической/существенной, организации также должны учитывать следующие факторы:
- масштаб бизнеса;
- взаимное влияние между аутсорсинговыми соглашениями (не только внутри отдельной организации, но и внутри финансовой группы, если компания принадлежит к таковой);
- возможность смены поставщика;
- возможность взять на себя функцию обратно.
Помимо этого компании следует принять ряд организационных мер при работе с аутсорсингом. Крупным финансовым организациям необходимо назначение специального сотрудника для отслеживания и контроля всех аутсорсинговых соглашений. Небольшие организации могут не ставить в штатное расписание отдельного сотрудника, а возложить эти функции на кого-то из имеющегося персонала. Кроме того, компания обязана вести реестр соглашений об аутсорсинге (по запросу информацию из реестра необходимо передавать регулятору), внутренний аудит и план непрерывности деятельности.
Финансовым организациям следует проводить надлежащую проверку провайдера аутсорсинговых услуг. Помимо очевидных мер (проверка репутации и надежности, наличия необходимых ресурсов и способов защиты персональных данных) необходима также проверка поставщика на соответствие ценностям и кодексу поведения, принятым в конкретной стране и конкретной организации или финансовой группе. Например, это могут быть требования по охране окружающей среды и условиям труда.
Европейский регламент также устанавливает особые требования к заключению аутсорсинговых договоров. На компанию, которая оказывает аутсорсинговые услуги, должна возлагаться обязанность сотрудничать с европейским регулятором и предоставлять ему по запросу документы или информацию. Кроме того, у финансовой организации должен быть доступ к информационным системам третьей стороны, чтобы иметь возможность проверить, защищены ли данные, осуществляется ли аудит и т.д.
В системе внутреннего контроля или в специальной программе по регулированию аутсорсинга компаниям необходимо прописать стратегию выхода (Exit Strategy). Что будет в случае, если действие соглашения прекратится, произойдет сбой на стороне поставщика или ухудшится качество его услуг? В таком случае финансовой организации необходимо будет расторгнуть договор и принять часть функций на себя либо быстро передать их другому поставщику. В том числе в этой стратегии выхода может быть предусмотрен вариант, когда третья сторона будет обязана оказывать услуги до момента их передачи другому провайдеру. Иначе говоря, в случае расторжения договора может возникнуть множество различных рисков — формализовать их все в нормативном документе непросто, но в то же время прервать оказание услуг моментально нельзя, поскольку банк должен работать непрерывно.
С точки зрения EBA, финансовым организациям также разрешен субаутсорсинг, в том числе для критических функций. На субаутсорсинговые компании распространяются те же требования, что и на аутсорсинг. Каких-либо специальных ограничений в этой связи на данный момент не предусмотрено.
Аутсорсинг логично встраивается в те реформы и изменения финансового рынка, которые происходят ежедневно. В некоторой степени аутсорсинг и его регулирование суммируют те возможности и проблемы, которые возникают вследствие регуляторных и технологических инноваций.
В частности, европейский регулятор озабочен тем, что на рынке могут появиться так называемые банки-оболочки — финансовые организации, которые отдали на аутсорсинг вообще все. Другой важный вопрос — концентрация рынка. Этот фактор может положительно сказаться на конкуренции, но также может привести к появлению монополий аутсорсинговых компаний, которые контролируют, например, ПО или хранение данных всех финансовых организаций в стране. Регулятор также обращает внимание на конфликты интересов между организациями и поставщиками услуг: есть случаи, когда финтех-компании начинают конкурировать с организациями, которым они оказывают услуги. Наконец, возникает вопрос, связанный с трансграничным аутсорсингом: каким образом контролировать те третьи стороны, которые находятся в другой стране.