Риск аутсорсинга

Актуальность проверена: 2026-06-16

Кратко

Риск аутсорсинга — самостоятельный вид операционного риска, явно введённый в 716-П Указанием 6906-У, вступившим в силу с 01.10.2025. Он охватывает потери из-за недостатков в организации или исполнении переданных на аутсорсинг функций, операций, услуг и процессов — как при заключении новых договоров, так и при работе по ранее действующим. Банк не снимает с себя ответственность за переданную функцию: ответственность перед регулятором и клиентами остаётся на банке. Особое внимание уделяется аутсорсингу ИТ-систем и технологических процессов, влияющих на операционную надёжность по 850-П.

Нормативная база

Положение Банка России № 716-П от 08.04.2020 (в редакции 6906-У).
Указание Банка России № 6906-У от 22.10.2024 — раздел 81.7 716-П, п. 81.7.4 и 81.7.5.
Положение Банка России № 850-П от 13.01.2025 — требования к подрядчикам технологических процессов.
Разъяснения Банка России по 716-П (вопросы 2233 и 2235 от 2025-12-24) об аутсорсинге ИС и составе договоров.

Суть требования

Банк должен идентифицировать договоры аутсорсинга, выделять их в отдельный класс договоров, управлять риском каждого существенного договора, устанавливать КПУР по аутсорсингу, проводить ежегодный пересмотр договоров с точки зрения риска и обеспечивать передачу данных о значимых событиях, связанных с подрядчиком, в базу событий СУОР. При заключении новых договоров с 01.10.2025 и при ежегодном пересмотре ранее заключённых применяются требования п. 81.7.4 и 81.7.5.

Практическое значение для банка

Реестр договоров аутсорсинга позволяет контролировать охват и критичность.
Ежегодный пересмотр выявляет изменения в уровне надёжности подрядчика.
КПУР по аутсорсингу сигнализирует об ухудшении показателей SLA или инцидентах подрядчика.
Аутсорсинг ИТ-систем дополнительно проверяется на соответствие требованиям 850-П по непрерывности технологических процессов.
Инциденты подрядчика должны быть квалифицированы: является ли это событием риска ИС, риска аутсорсинга или их комбинацией.

Типовые ситуации

Процессинговый центр допустил массовый сбой — часть операций не выполнена, клиенты обратились с претензиями.
Подрядчик по сопровождению АБС не выполнил SLA и это повлияло на доступность банковских сервисов.
ИТ-аутсорсер допустил утечку клиентских данных — пересечение риска аутсорсинга и риска ИБ.
Агентский договор с привлечением клиентов — оценить, является ли он аутсорсингом по критериям 716-П.
Облачный провайдер прекращает предоставление услуг — риск непрерывности деятельности и аутсорсинга.

Что должен сделать банк

Сформировать реестр договоров аутсорсинга с критериями существенности.
Провести ежегодный пересмотр существующих договоров на предмет соответствия 716-П.
Установить КПУР по аутсорсингу с источниками данных, порогами и ответственными.
Определить порядок передачи событий, связанных с подрядчиком, в базу СУОР.
Связать реестр аутсорсинга с перечнем критичных процессов и технологических процессов 850-П.
Актуализировать внутренние документы с учётом требований 6906-У к новым договорам.

Риски неправильного применения

Формальный реестр без реальной оценки риска даёт ложное ощущение контроля. Банки иногда относят к аутсорсингу только крупные договоры ИТ-сопровождения, упуская агентские схемы, облачные сервисы и малые процессинговые подрядчики. Инциденты подрядчика без передачи в СУОР создают пробелы в базе событий и искажают риск-профиль. Ответственность перед Банком России за нарушения переданных функций остаётся на банке — не на подрядчике.

Связанные заметки

Вопросы для самопроверки

Какие договоры в банке признаются аутсорсингом по критериям 716-П?
Когда последний раз проводился ежегодный пересмотр договоров?
Как инцидент подрядчика попадает в базу событий СУОР?
Есть ли КПУР по аутсорсингу и кто владелец показателя?
Как реестр аутсорсинга связан с перечнем критичных технологических процессов?