(1).jpg)
Выберите тему Программы повышения квалификации для юристов
Письмо Банка России от 10 ноября 2025 г. N 42-8-1/6498 “О применении норм Положения N 716-П”
Департамент надзора за системно значимыми кредитными организациями Банка России рассмотрел письмо1 Ассоциации банков России о вопросах банков, поступивших в чат встречи по теме риска аутсорсинга, и направляет в приложении к настоящему письму ответы на поступившие вопросы.
Приложение: 1 файл.
------------------------------
1 Письмо от 22.08.2025 N 02-05/1091.
------------------------------
|
Директор Департамента надзора за системно значимыми кредитными организациями |
М.Г. Любомудров |
Приложение
Вопросы банков по Указанию Банка России от 22.10.2024 N 6906-У
"О внесении изменений в Положение Банка России от 8 апреля 2020 года N 716-П "О требованиях к системе управления операционным риском в кредитной организации и банковской группе"
| N п/п | Содержание вопроса | Комментарий ДНСЗКО |
|---|---|---|
| 1. | В 6906-У указан критерий аутсорсинга: "кредитная организация (головная кредитная организация банковской группы) имеет возможность выполнять и (или) оказывать собственными силами, вне зависимости от того, выполнялись и (или) оказывались ли они ею ранее.". Можно ли раскрыть подробнее это определение? Что подразумевается под возможностью КО выполнять собственными силами? | Кредитная организация имеет возможность выполнять собственными силами процессы и (или) их этапы, которые определены ей в перечне процессов в соответствии с подпунктом 4.1.1 пункта 4.1 Положения N 716-П и которые кредитной организации в соответствии с действующим законодательством не запрещено выполнять самостоятельно. |
| 2. | Что следует понимать под возможностью выполнения критически важных процессов и (или) их этапов собственными силами кредитной организации (отсутствие регулятивных ограничений, отсутствие "узких" компетенций в штате КО и т.д.)? | См. ответ на вопрос 1. |
| 3. | Что является критически важной операцией? Есть ли связь с крит.важным процессом? | Понятие "критически важные операции" определено в абзаце третьем подпункта 4.1.1 пункта 4.1 Положения N 716-П. В соответствии с данным подпунктом критически важные процессы обеспечивают выполнение критически важных операций. |
| 4. | Если у Банка отсутствует свой процессинговый центр и привлекается сторонний, считается ли это аутсорсингом ИС? | В соответствии с абзацем вторым пункта 1 приложения 6 к Положению N 716-П в перечень функций, операций, услуг, процессов и (или) этапов процессов, передаваемых на аутсорсинг третьим лицам при аутсорсинге ИС включаются функции, операции, услуги, процессы и (или) этапы процессов, от выполнения и (или) оказания которых зависит выполнение критически важных операций, связанные с размещением, хранением и иной обработкой информации с использованием информационных систем и их компонентов, в рамках выполнения технологических процессов, перечень которых приведен в приложении к Положению N 850-П. В качестве основных критериев отнесения деятельности к аутсорсингу ИС полагаем целесообразным рассматривать следующие случаи: 1) размещение, хранение и иная обработка информации кредитной организации с использованием информационной инфраструктуры привлекаемой организации в рамках технологических процессов, перечень которых приведен в приложении к Положению N 850-П; 2) предоставление непосредственного (удаленного или физического) доступа привлекаемой организации к информационной инфраструктуре кредитной организации, обеспечивающей функционирование технологических процессов, перечень которых приведен в приложении к Положению N 850-П. |
| 5. | Относится ли к аутсорсингу ИС передача функций критических процессов, связанных с обработкой информации, но не относящихся напрямую к техпроцессам по 850-П, например, бухгалтерия, маркетинг и т.д.? | Выполнение бизнес-процессов, обеспечиваемых технологическими процессами, перечень которых приведен в приложении к Положению N 850-П, не представляется возможным без поддержания ликвидности, ведения бухгалтерского учета и др. Таким образом, размещение, хранение и иная обработка информации банка в ИС с привлечением третьих лиц в рамках указанных критически важных операций также учитываются в составе аутсорсинга ИС для технологических процессов, перечень которых приведен в приложении к Положению N 850-П. |
| 6. | Если процесс является КВП, но не относится к тех. процессам, можем ли мы относить его к аутсорсингу ИС? Например, сопровождение системы, которая поддерживает КВП. | См. комментарии по вопросам 4 и 5. |
| 7. | Сопровождение ИС относится к риску аутсорсинга или аутсорсинга ИС? То есть сопровождение - это аутсорсинг или еще и аутсорсинг ИС? Или в зависимости от ИС нужно рассматривать, если ИС участвует в технологическом процессе, то процедуры применяются по аутсорсингу и по аутсорсингу ИС, если ИС не участвует в перечне ТП по 850-П, то процедуры по риску аутсорсинга не применяются? Исходя из понятия Риск аутсорсинга ИС, который ссылается на требования 850-П, а не все ТП подлежат контролю в рамках 850-П, например сдача отчетности. | См. комментарии по вопросам 4 и 5. |
| 8. | Необходимо ли относить к аутсорсингу разработку ПО/донастройку/доработку ПО, поддерживающего КВП? | См. комментарии по вопросам 4 и 5. При этом в соответствии с абзацем вторым пункта 2 приложения 6 к Положению N 716-П кредитная организация не включает в перечень функций, операций, услуг, процессов и (или) их этапов, передаваемых на аутсорсинг, услуги, функции, операции, процессы и (или) их этапы, выполняемые третьими лицами на разовой основе, например, разовое привлечение третьих лиц для разработки (доработки) программного обеспечения или приобретение лицензии на его использование. |
| 9. | КО определен процесс "поддержание работоспособности автоматизированных систем и процессов" как критически важный процесс. Есть подрядчик, с ним заключен договор на техническую поддержку ПО. Будет ли для КО в этом случае подрядчик определяться как аутсорсер? | См. комментарии по вопросу 4. |
| 10. | Использование антивируса Касперский - это будет являться аутсорсингом? возможно мы бы и сами смогли написать какой-либо антивирус, но вряд ли он будет соответствовать всем критериям. | См. комментарии по вопросу 8. |
| 11. | Относятся ли к аутсорсингу услуги по передаче налоговых деклараций в ИФНС через систему КонтурЭкстерн? | См. комментарии по вопросу 8. |
| 12. | Следует ли относить к аутсорсингу процесс доработки ПО, если договор заключается на более чем 12 мес (например, подрядчик постоянно выполняет мелкие доработки по функционалу системы)? | См. комментарии по вопросу 8. |
| 13. | Совместители являются работниками в соответствии с Трудовым кодексом Российской Федерации, это означает что работающий по совместительству реализует трудовую функцию, установленную трудовым договором, а не оказывает услугу в соответствии с Гражданским кодексом Российской Федерации. Вправе ли Банк дополнить перечень функций, операций, услуг, процессов и/или этапов процессов, признаваемый не аутсорсингом и определенный в пункте 3 Приложения 6 Положения N 716-П? Например, так: - договор по совместительству (т.к. регулируется Трудовым договором); - аутстаффинг (согласно Докладу Банка России для общественных консультаций "Управление рисками аутсорсинга на финансовом рынке" 2022 года)? | Позицию подтверждаем. Обращаем внимание, что Положение N 716-П не регулирует вопросы аутстаффинга. |
| 14. | Договоры ГПХ являются аутсорсингом? | Форма договора не является критерием отнесения передачи функций, операций, услуг, процессов и (или) этапов процессов на выполнение третьим лицам к аутсорсингу. Такими критериями являются уровень критичности передаваемых функций, операций, услуг, процессов и (или) этапов процессов, характер и сроки оказания услуг и другие критерии в соответствии с приложением 6 к Положению N 716-П. |
| 15. | Агентские договора по привлечению клиентов являются риском аутсорсинга? Передача функций по лидогенерации (привлечение клиентов на обслуживание) относится к аутсорсингу по смыслу 716-П? | См. комментарии по вопросу 14. |
| 16. | Среди критически важных процессов в 716-П упоминаются процессы соблюдения требований 152-ФЗ, Трудового кодекса, ФЗ О банках и банковской деятельности. Этапы многих процессов так или иначе связаны с соблюдением требований указанных ФЗ и ТК. Помогите, пожалуйста, с критериями отнесения к критически важным таких процессов. | Кредитная организация самостоятельно определяет перечень процессов и подразделяет их по уровню критичности в соответствии с требованиями подпункта 4.1.1 пункта 4.1 Положения N 716-П. |
| 17. | Уточните, пожалуйста, по информационному письму о подходах к передаче критически важных процессов на аутсорсинг. При организации управления риском аутсорсинга Банк России рекомендует не передавать на аутсорсинг (за исключением отдельных процессов и (или) этапов процессов*): ... * Например, технологические процессы, обеспечивающие ведение бухгалтерского учета или составление и представление отчетности в Банк России при условии сохранения ответственности за их реализацию за кредитной организацией (головной кредитной организацией банковской группы). Что означает сохранение ответственности за реализацию? Если она сохранена, то передача на аутсорсинг выделенных функций (ведение бухучета, составление и предоставление отчетности в Банк России и т.д.) возможна? | Позицию подтверждаем. Передача отдельных процессов и (или) этапов процессов в рамках выполнения кредитной организацией функций, указанных в информационном письме, допускается. |
| 18. | Нужно ли устанавливать КПУОР, если нет аутсорсинга в Банке? | В случае отсутствия в кредитной организации критически важных процессов и (или) их этапов, переданных на аутсорсинг, кредитная организация вправе не определять КПУР по риску аутсорсинга. |
| 19. | Может ли КО не вносить риск аутсорсинга во внутренние документы банка, если аутсорсинга не планируется? | Требования Положения N 716-П обязательны к исполнению всеми кредитными организациями, на которые распространяются его действия, вне зависимости от того, имеются ли у кредитной организации критически важные процессы и (или) их этапы, переданные на аутсорсинг, или нет. При этом в случае отсутствия в кредитной организации критически важных процессов и (или) их этапов, переданных на аутсорсинг, кредитная организация вправе не определять детализированные процедуры управления риском аутсорсинга. |
| 20. | Каким образом должна поступить КО в ситуации, когда контрагент (аутсорсер) по ранее заключенному договору отказывается при ежегодном пересмотре включить sla в такой договор? | Требования, указанные в подпункте 81.7.5 пункта 81.7 Положения N 716-П, рекомендуется включать в состав договоров аутсорсинга, заключаемых между кредитной организацией (головной кредитной организации банковской группы) и третьими лицами (далее - договор). В особых случаях считаем возможным закрепить их, например, в дополнительном соглашении к договору (например, соглашении об уровне оказания услуг1) или ином документе, закрепляющем порядок оказания услуг третьими лицами. В случае отказа поставщика закреплять в договоре требования кредитной организации (головной кредитной организации банковской группы), указанные в подпункте 81.7.5 пункта 81.7 Положения N 716-П, кредитная организация (головная кредитная организация банковской группы) должна предусмотреть иные способы соблюдения данных требований, например, замену поставщика услуг или в рамках комплекса мероприятий, направленных на повышение эффективности управления риском аутсорсинга и уменьшение негативного влияния риска аутсорсинга, реализуемых собственными силами кредитной организации (головной кредитной организации банковской группы). |
| 21. | Когда и за какой период должны быть сформированы первый раз следующие отчеты: - отчеты о качестве выполнения критически важных процессов и/или их этапов, переданных на аутсорсинг; - отчет об организации аутсорсинга; - отчет по риску аутсорсинга; - отчет по событиям риска аутсорсинга, - по итогам 2025 года или по итогам 2026 года (учитывая, что изменения вступают в силу только с 1 октября, и информацию за весь 2025 год будет собрать трудоемко). | Формирование кредитными организациями полноценных отчетов ожидается начиная с 2026 года. При этом отчеты об организации аутсорсинга в соответствии с абзацем пятым подпункта 81.10.1 пункта 81.10 Положения N 716-П и отчеты по риску аутсорсинга, предусмотренные пунктом 81.12 Положения N 716-П, целесообразно формировать с учетом имеющейся информации с 4 квартала 2025 года. |
| 22. | В соответствии с п.п. 8(1).10.2. в целях управления РА составляются отчеты по событиям риска аутсорсинга и направляются в службу управления рисками. В какой форме должен быть данный отчет, состав информации в отчете? | Отчеты по риску аутсорсинга должны формироваться с учетом требований пункта 4.2 Положения N 716-П. |
| 23. | Если договор сопровождения АС необходимо рассматривать как Аутсорсинг ИС, получается решение о заключении таких договоров необходимо выносить на СД? | В соответствии с подпунктом 81.7.3 пункта 81.7 Положения N 716-П уполномоченный коллегиальный орган принимает решение о передаче функций, операций, услуг, процессов и (или) этапов процессов. При принятии указанного решения определяются общие условия аутсорсинга критически важных процессов и (или) их этапов, стоимость, состав третьих лиц, которым могут быть переданы на аутсорсинг критически важные процессы и (или) их этапы, и (или) специальные требования к третьим лицам. При этом требования в соответствии с подпунктами 81.7.4 и 81.7.5 пункта 81.7 Положения N 716-П определяются кредитной организацией в рамках процедуры выбора поставщика и составления договора, т.е. после принятия решения уполномоченным коллегиальным органом. |
| 24. | Кем должен утверждаться ВНД Банка по аутсорсингу? В соотв. с разъяснениями Банка России от 19.08, решение о передаче КП на аутсорсинг должен принимать решение СД, то есть нужно прописать функции СД о принятии решения о передачи КП на аутсорсинг, соответственно ВНД должен утвердить СД? | Кредитная организация утверждает внутренние документы по управлению риском аутсорсинга в соответствии с требованиями пункта 1.5 Положения N 716-П. |
| 25. | 6906-У допускает несколько специализированных подразделений. Верным ли будет решение банка распределить функционал и ответственность в зависимости от действующей оргструктуры и процессов? | Позицию подтверждаем. Кредитная организация самостоятельно определяет специализированное подразделение или несколько подразделений, ответственное (ответственных) за управление риском аутсорсинга исходя из характера и масштабов своей деятельности. |
| 26. | С учётом того, что письмо было направлено 19.08, а новый вид ОР должен вступить в силу с 01.10 - ВНД по риску аутсорсинга утвердить на СД практически невозможно по срокам. Можно ли отложить введение данного вида ОР на 1-3 месяца? В том числе с учётом количества вопросов от сообщества по данной инициативе. | Срок вступления в силу установлен решением Совета директоров Банка России в соответствии с релизным подходом. Обращаем внимание, что проведение надзорных мероприятий Банком России в отношении соблюдения требований к управлению риском аутсорсинга планируется не ранее 2026 года. |
| 27. | Дайте, пожалуйста, пояснения по видам конфликтов интересов, связанных с аутсорсингом, примеры. | Понятие конфликт интересов определено статьей 10 Федерального закона от 25.12.2008 N 273-ФЗ. |
------------------------------
1 Service Level Agreement (SLA).
Обзор документа
Банк России ответил на ряд вопросов по аутсорсингу, в т. ч.:
- что является критически важной операцией и есть ли связь с критически важным процессом;
- если у банка отсутствует свой процессинговый центр и привлекается сторонний, считается ли это аутсорсингом ИС;
- необходимо ли относить к аутсорсингу разработку/донастройку/доработку ПО, поддерживающего КВП;
- относятся ли к аутсорсингу услуги по передаче налоговых деклараций в ИФНС через систему КонтурЭкстерн;
- являются ли аутсорсингом договоры ГПХ, а агентские договоры по привлечению клиентов - его риском;
- нужно ли устанавливать КПУОР, если нет аутсорсинга в банке;
- можно ли не вносить риск аутсорсинга во внутренние документы банка, если аутсорсинга не планируется.
