Главная - Статьи

Контроль риска аутсорсинга

 

Сегодня кредитным организациям нецелесообразно содержать высококвалифицированных специалистов по новым технологиям, поэтому многие из них поручают сопровождение инновационных направлений, связанных с новыми типами деловой активности, и управление новыми технологическими комплексами посторонним организациям. Это позволяет сэкономить на затратах на персонал, но служит источником значительных и трудно управляемых рисков.

Изначально аутсорсинг в банковском бизнесе воспринимался как вид функциональных компьютерных услуг, предоставляемых специализированной фирмой (такого рода фирмы называются поставщиками аутсорсинга - аутсорсерами; для банков ими могут быть, например, другие банки, клиринговые или расчетные палаты и т.п.) своим клиентам (банкам, страховым компаниям, биржам и др.). Как метод сокращения издержек аутсорсинг стал особенно востребован в последнее время - не в последнюю очередь благодаря кризису.

В банковских структурах уже складывается культура потребления услуг аутсорсинга, однако многие финансовые учреждения опасаются утратить контроль над банковскими процессами, что неизбежно при обращении к услугам третьих лиц. Выходом служит аутсорсинг, при котором сторонней организации передаются только отдельные функции (как правило, непрофильные). В первую очередь рассматривается аутсорсинг услуг в области залогового обеспечения, кадрового делопроизводства, юридического сопровождения, поддержки ИТ-инфраструктуры кредитной организации, то есть те области, без которых она не может нормально функционировать в современных условиях.

Как правило, банк использует возможность привлечения сюрвейерских организаций на основе аутсорсинга, чтобы контролировать сохранность залогового имущества, в том числе проводить инвентаризацию, отслеживать состояние и движение имущества проблемных заемщиков, проводить экспертизу исходно-разрешительной и проектно-сметной документации при рассмотрении инвестиционных кредитных проектов, в том числе экспертизу удорожания реализуемых проектов.

Обычно различают три формы такого аутсорсинга: услуги сервис-бюро, менеджмент установок, менеджмент программного обеспечения.

В первом случае данные покупателя обрабатываются на программно-аппаратных средствах поставщика. Во втором - сотрудники поставщика управляют обработкой данных покупателя, используя его оборудование и программные средства. В третьем - поставщик обрабатывает данные покупателя на своих аппаратных средствах, используя программное обеспечение покупателя.

 

Сокращение затрат или новые угрозы?

 

В числе преимуществ аутсорсинга можно выделить следующие: консолидация центров обработки данных; сокращение операционных затрат; устранение избыточных систем в банке-покупателе; консолидация баз данных и файлов информации о клиентах (Client Information File); объединение прикладных задач в интегрированных программных системах; доступ к новейшим технологиям, которые банк в других условиях не мог бы себе позволить; доступ к новым прикладным задачам; высокая квалификация персонала, имеющего навыки в новых областях; доступ к изделиям и услугам, которые позволяют банку успешно конкурировать на рынке финансовых услуг.

Все эти преимущества неизбежно наталкиваются на безопасность кредитных организаций, которые являются уникальными в отношении как требований, предъявляемых к ним клиентами, так и природы рисков, с которыми они сталкиваются. Хотя риски отдельных институтов могут сильно различаться, есть три сферы, безопасность которых важна для всех: управление компьютерной обработкой информации внешней компанией, разработка систем и программ внешним подрядчиком и использование новых продуктов.

У службы внутреннего контроля (далее - служба ВК) в данной ситуации возникают вопросы оценки затрат на содержание собственных служб и на услуги сторонней организации (Экономический эффект должен выражаться в экономии не менее 20% от соответствующих затрат до привлечения внешней компании), а также относительно объема этих услуг и возможности их выполнения силами сторонней организации. (Под сторонней организацией будем понимать внешнюю компанию, постоянно работающую на своей территории, подчиняясь собственным правилам трудового распорядка.) К персоналу, предоставляемому банку внешними компаниями, не всегда применяются жесткие стандарты, используемые обычно для защиты от нежелательного доступа к своим компьютерным системам. Помимо этого, особая угроза может исходить от специалистов по компьютерным сетям, располагающих информацией о способах выхода организации в Интернет. Это не риск ключевого персонала, но его следует учитывать при распределении исполнительских функций между внешними сотрудниками. В ходе самого проекта аутсорсинга может также возникнуть такой специфический риск, как пренебрежение работой с персоналом. В результате часть штата неизбежно сократится. В компании останутся только наиболее ценные сотрудники, которых надо беречь еще сильнее, чем раньше, и еще активнее мотивировать. В передаче своих функций на аутсорсинг люди видят недооценку их потенциала, навыков. Это может негативно сказаться на исполнительской дисциплине, производительности труда и в конечном итоге выразиться в росте операционного риска.

Для эффективного управления рисками, связанными с аутсорсингом, необходимо знать особенности функционирования конкретного подразделения банка. Присутствие постоянных сотрудников, осуществляющих надзор за персоналом подрядчика или внешней компании, позволяет ограничить вероятный доступ третьей стороны к конфиденциальным данным и уменьшает риски нежелательного распространения внутренней информации.

Коммерческие банки, как и любые другие фирмы, испытывают значительную зависимость от внешних разработчиков программного обеспечения, уверенных, что создаваемые ими программы защищены с помощью паролей и жесткого разделения различных операций. Однако этот уровень безопасности недостаточен ни в теории, ни на практике. Наиболее уязвимые места интерактивных web-сайтов финансовых институтов обнаруживаются, как правило, в поступивших извне программах. Для устранения этих рисков необходимо проверять все такие программы с помощью специальных приложений. Плохо разработанная программа может стать угрозой для безопасности, но этот очевидный факт слишком часто игнорируется.

Поскольку от доступа к информации во многом зависят успех или неудача инвестиционных банков, страховых компаний и брокерских фирм, они постоянно ищут новые, все более быстрые и мощные технологии и продукты. В погоне за нововведениями часто не обращают внимания на их недостатки и игнорируют уязвимые места. Следует проверять новые продукты не только на их эффективность и функциональность, но и на уровень их защищенности. Иногда с этим смогут справиться собственные департаменты информационных технологий, иногда необходима внешняя экспертиза. Безопасность систем финансовых институтов требует управления рисками. В большинстве случаев информационные системы слишком велики, чтобы гарантировать надежность каждого их элемента. Затраты на обеспечение абсолютной безопасности часто слишком запретительные, чтобы быть практичными.

Тем не менее согласно рекомендациям Базельского комитета по банковскому надзору служба ВК должна уделять особое внимание этим вопросам, поскольку "если банк передает независимому подрядчику (на аутсорсинг) ключевые функции, то ответственность директоров и менеджеров высшего звена не может быть делегирована организациям, которые предоставляют услуги, переданные им на аутсорсинг. Аутсорсинг операционных функций, осуществляемый внутри группы в отношении внутреннего аудита, исполнения законодательства, нормативов и стандартов (compliance), управления рисками или других операционных функций, не исключает обязательства банка в отношении осуществления надлежащих функций контроля (при этом избегая ненужного дублирования функций на уровне группы и конкретного банка). В равной степени с банка не снимается ответственность за понимание существующих рисков и управление ими".

В документах банка должно быть определено, кем и когда было принято решение о передаче части функций кредитной организации на аутсорсинг. Функции внутреннего контроля обычно не включают задачи оценки эффективности банковских бизнес-процессов, но решение задачи оценки банковских рисков остается прерогативой службы ВК. Поэтому процесс передачи каких-либо функций на аутсорсинг не может осуществляться без участия сотрудников службы ВК. Здесь принимаемые решения связаны с риском высокой критичности для бизнеса тех или иных функций.

Для оценки внутренних ресурсов необходимо провести экспертизу эффективности предоставления услуг структурными подразделениями банка. Например, при оценке эффективности ИТ-подразделений рассматриваются такие показатели, как время реакции на запрос, продолжительность простоя, качество исполнения запросов и т.д., а также расходы на поддержку тех или иных ИТ-функций. Скорость реакции и скорость обработки данных являются очень важными показателями для банковских структур, значения указанных показателей создают конкурентные преимущества, и их необходимо учитывать при подсчете возможного экономического эффекта внедрения аутсорсинга.

Знания руководства и персонала должны быть соразмерны технической природе и сложности применяемых данным банком технологий электронного банкинга и соответствующих приложений. Процессы наблюдения со стороны высшего руководства должны быть непрерывными в целях обеспечения эффективного вмешательства и коррекции любых материальных проблем с системами электронного банкинга или недостатков в обеспечении безопасности, которые могут иметь место. В кредитной организации необходим сотрудник (либо несколько сотрудников - все зависит от масштабов аутсорсинга), который сотрудничал бы с поставщиком услуг, оценивал эффективность работы и связь ИТ со стратегией предприятия.

 

Аутсорсинг рисков

 

В случае аутсорсинга риска (risk outsourcing, иначе - перенос риска) речь идет о возложении ответственности (в т.ч. финансовой) за возможное наступление неблагоприятного события на стороннюю (внешнюю по отношению к банку) организацию (провайдера услуг). Например, размещение web-сервера банка в вычислительном комплексе провайдера с обязательством поддержания последним круглосуточной работоспособности web-ресурса. При этом на основе договора с указанной организацией следует как минимум четко определить характеристики неблагоприятных событий, зафиксировать механизмы передачи ответственности, а также иметь возможность контроля за действиями сторонней организации в области управления переданными ей рисками.

Примечание. Формальным подтверждением эффективности компании-аутсорсера может стать соответствие мировым стандартам, таким как ISO 20000 ("Менеджмент IT-услуг") и ISO 27000 ("Информационная безопасность").

Конкретно для службы ВК проверка управления рисками при использовании услуг сторонних организаций (аутсорсинг) может включать:

1) изучение мероприятий по управлению рисками при использовании услуг сторонних организаций, в ходе которого определяются:

- установленный порядок оценки рисков с целью определения мер по защите информации в случае возникновения необходимости подключения к аппаратуре и линиям связи сторонней организации;

- порядок доступа сторонней организации к информации, предоставляемой кредитной организацией (филиалами), в том числе вопросы соблюдения банковской тайны;

- установленный порядок оценки рисков, а также включение в договор со сторонней организацией мероприятий по их минимизации при размещении данных на внешних информационных ресурсах и управлении данными (передаче данных) сторонней организацией;

2) анализ условий договоров (контрактов) со сторонними организациями в части определения ответственности в случае возникновения конфликтных ситуаций либо чрезвычайных обстоятельств. При проверке содержания таких договоров (контрактов) рекомендуется обратить внимание на:

- разрешенные способы доступа;

- использование уникальных идентификаторов пользователей и паролей, а также контроль их использования;

- описание каждого предоставляемого информационного сервиса;

- наличие списка лиц, которым разрешено использовать информационный сервис, а также процедуры предоставления разрешения доступа новым пользователям;

- временной интервал, в течение которого информационный сервис будет доступен;

- процедуры и меры по реализации защиты информационных ресурсов кредитной организации (филиалов);

- обязательства по соблюдению требований законодательства Российской Федерации и внутренних документов кредитной организации (филиалов), в частности наличие требования соблюдения конфиденциальности;

- обязательства сторонней организации по установке и настройке аппаратно-программных средств и информационных ресурсов, информационных ресурсов и их сопровождения;

- порядок обеспечения возврата либо уничтожения конфиденциальной информации по окончании срока действия договора;

- меры по физической защите оборудования и данных;

- обучение (при необходимости) пользователей информационных сервисов правилам обеспечения ИБ;

- меры по обеспечению защиты от вредоносных программ;

- процедуры уведомления об инцидентах в системе обеспечения ИБ, а также порядок их расследования;

- условия участия в разрешении конфликтных ситуаций либо чрезвычайных обстоятельств, при необходимости, третьих лиц (разработчики и поставщики аппаратно-программных средств и информационных ресурсов, провайдеры информационно-технологических услуг и др.).

Примечание. При заключении контракта, особенно на полный аутсорсинг, необходимо иметь форс-мажорный план смены провайдера.

В заключение еще одно небольшое замечание. Хотя существующие требования к платежеспособности и правила пруденциального надзора применяются одинаково и к электронной, и к традиционной банковской деятельности, появление альтернативных электронных каналов поставки порождает проблемы пруденциального плана, которые должны рассматриваться надзорными органами в новом свете. Они включают контроль над аутсорсингом и партнерскими соглашениями, контроль над безопасностью и хранением данных, особенно в тех случаях, когда дублирующие операции проводятся в рамках иной юрисдикции.





Статьи по теме: