Аутсорсинг на ринках послуг в Україні

10.01.2020

Публікація розміщена на медіа-ресурсі “Юридична Газета”.

Представники публічного та приватного секторів в Україні дедалі частіше вдаються до аутсорсингу послуг, особливо на ринках, що стрімко розвиваються (fintech, IT, зберігання і використання даних) і на цей час недостатньо врегульовані. Який європейський досвід варто врахувати Україні у розробці норм, що регулюють аутсорсингові відносини, а також які кроки з боку законотворців допоможуть ефективніше це зробити – про це у статті партнера юридичної фірми INTEGRITES Олега Загнітка та юристів практики банківського і фінансового права INTEGRITES Юлії Цехместрук та Анастасії Кияшко.

Фінансові установи дедалі більше зацікавлені в аутсорсингу своїх функцій та адаптують свої бізнес-моделі до нових умов, коли бізнес-операції повсюдно діджиталізуються, а значення нових постачальників фінансових технологій зростає.  За таких умов аутсорсинг – це спосіб оптимізувати витрати, підвищити ефективність і конкурентоспроможність підприємства, забезпечити його сталий розвиток.

Чому договір аутсорсингу зручніший за інші види договорів? Тому що він врегульовує ширше коло правовідносин, ніж поіменовані договори, адже вважається змішаним договором або, як визначають деякі вчені, – договором  комплексного характеру, який вміщує одночасно  господарсько-правові елементи, наприклад, договору комерційної концесії, агентського договору, договору простого товариства, договору поставки та цивільно-правові елементи договору підряду, договору надання послуг, а також деякі елементи трудового договору.

Якщо порівнювати із договором підряду, його здебільшого укладають на короткий період часу для досягнення кількісно та якісно визначених цілей, тоді як договір аутсорсингу забезпечує триваліше співробітництво між сторонами, що зумовлює змінність цілей та завдань впродовж строку дії договору, системніший підхід до вимірювання якості й пакетний підхід до кількості отриманих замовником результатів й, відповідно, додаткове регулювання прав та обов’язків сторін. До прикладу, надавачі послуг із аутсорсингу нерідко зобов’язуються звітувати про свою діяльність перед замовником, погоджують кваліфікаційні вимоги до приміщень, обладнання та працівників надавача послуг із аутсорсингу, дозволяють перевірки чи навіть відкривають внутрішній облік для замовника.

Порівнюючи договір надання послуг та договір аутсорсингу, а також зважаючи на царини суспільних відносин, в яких здебільшого є попит на аутсорсинг – це розрахункові та фінансові операції, IT адміністрування, кібербезпека та фізична охорона, бухгалтерія, підбір та оцінка персоналу (див., наприклад, А. Згама, В. Красношапка та C. Сухоняк), варто зазначити, що договір аутсорсингу має специфічну мету – передання певних внутрішніх функцій суб’єкта господарювання на виконання іншими суб’єктами господарювання задля економії коштів із збереженням якості. Натомість договір надання послуг здебільшого стосується виконання таких функцій, які виходять за межі внутрішніх та лише побічно стосуються діяльності замовника послуг. Через це основною метою укладення договору надання послуг є не економія коштів, а здійснення на користь замовника функцій, які з певних причин він самостійно здійснювати не може.

Незважаючи на прямі та часто виключні відносини із аутсорсером, замовник не перекладає на останнього відповідальність, а продовжує нести її перед власним клієнтом – на підставі закону чи договору. Через це для договорів аутсорсингу є характерними механізми сумісної та спільної відповідальності перед клієнтом (чи регулятором), деталізація суброгації та регресних вимог, обчислення й доведення сум до відшкодування.

Як відомо, одна з причин фінансової кризи 2008 року полягала в неконтрольованому аутсорсингу функцій кредитного ризику третім особам, винагорода яких залежала від кількості виданих кредитів, але які в результаті не несли жодної відповідальності за виконання зобов’язань позичальниками. В Україні свій досвід: банк «Михайлівський» передав третім особам функцію зберігання та управління депозитною базою за окремими продуктами, що вивело вкладників з-під державної системи гарантування. Цей приклад доводить, що неприховане чи сором’язливо-конфіденційне перекладання обов’язків фінансових установ на інших осіб наражає на ризик клієнтів, а часом і самих замовників аутсорсингу.

В ЄС до 2019 року правовідносини аутсорсингу було врегульовано Керівними принципами Комітету європейського банківського нагляду (CEBS) щодо аутсорсингу, які поширювались лише на кредитні установи. Втім, нині поширилися тенденції та ризики аутсорсингу серед інших фінансових установ, а також набули попиту послуги провайдерів хмарних технологій, платіжних функцій та електронних грошей. Себто виникла необхідність врегулювати відносини з передання функцій на умовах аутсорсингу й іншими, ніж кредитні установи, суб’єктами господарювання на ринку фінансових послуг.

25 лютого 2019 року Європейський банківський орган (ЄБО) ухвалив Керівні принципи щодо домовленостей про аутсорсинг EBA/GL/2019/02 (надалі – Керівні принципи), які набули чинності 30 вересня 2019 року. У них зібрано керівні ідеї та положення, покликані врегулювати відносини аутсорсингу між фінансовими установами Європейського Союзу та провайдерами таких послуг, а також встановити вимоги до укладення та процесу виконання домовленостей про аутсорсинг.

В Україні регуляторний акт щодо аутсорсингу, затверджений Постановою НБУ №64 від 11 червня 2018р., поширюється лише на банківські установи. Відповідно, Положення про організацію системи управління ризиками в банках України та банківських групах (надалі – Положення №64), як і інше позитивне законодавство, не встановлює жодних обмежень у переданні функцій, повністю чи частково, іншими фінансовими установами.

В цій статті ми аналізуємо Положення № 64 та його відповідність положенням Керівних принципів.

Положення №64 визначає аутсорсинг як передавання на договірній основі іншим особам функцій банку на регулярній (неодноразовій) основі з метою оптимізації витрат і процесів у банку. Формально сюди можна віднести навіть діяльність працівників банку, які діють на підставі довіреності – наприклад, для укладення кредитних чи депозитних договорів.

Керівні принципи ж визначають аутсорсинг як домовленість будь-якої форми між кредитною установою, інвестиційною фірмою, платіжною установою або установою електронних грошей з однієї сторони, та провайдером послуг – з іншої. Відповідно до цієї домовленості, провайдер послуг здійснює процес, послугу або діяльність, яку іншим чином здійснювала б кредитна установа, інвестиційна фірма, платіжна установа або установа електронних грошей. Отже, Керівні принципи охоплюють випадки, які можна було б обійти, виходячи суто з формальних ознак «договору» за Положенням № 64. До того ж, предмет договору за ним – функцію банку – законодавство України не визначає, з найближчих понять є «виключні послуги банків», а також «виключні функції» окремих органів (ради, служби внутрішнього аудиту тощо).

Пункт 28 Керівних принципів уточнює, коли відносини не можна вважати аутсорсингом. Це функції, (1) які законодавство покладає на компетентні органи (зокрема, нагляд за основною діяльністю фінансових установ) або (2) які фінансова установа не може виконувати самостійно через відсутність ресурсів та відповідної компетенції – наприклад, інформаційні послуги (дані про ринки), використання інфраструктури глобальних мереж (Visa, MasterCard, S.W.I.F.T. тощо), кліринг та окремі аспекти розрахунків з третіми особами тощо. Таким чином, Керівні принципи врахували господарсько-правову теорію розрізнення аутсорсингових та інших подібних відносин співпраці або «колаборації» між фінансовими установами та підрядниками, фінансовими установами та працівниками тощо.

На нашу думку, до Положення № 64 варто додати норму, подібну до пункту 28 Керівних принципів – себто критерії функцій, які не можуть вважатися аутсорсингом. Таким чином, банки звільнятимуться від додаткового тягаря перевірок домовленостей, які або не несуть загрозу для їх діяльності, або не є тісно пов’язаними із суттю фінансових послуг, які ними надаються. Водночас справедливо буде зазначити, що не лише Національний банк України, але й інші регулятори досі не наважувалися визначити обсяг вимог, які ліцензіати повинні виконувати самостійно. Якби таке становище принципово змінилося, перелік невід’ємних функцій (ліцензійних вимог) фінансових установ став би відправною точкою для виокремлення «білого», «сірого» та «чорного» аутсорсингу; в кожній групі відбулося б поступове унормування як розподілу функцій між замовником-ліцензіатом та провайдером-аутсорсером, так і господарсько-правової відповідальності кожного з них за порушення.

Натомість, згідно з Положенням № 64, банки самостійно визначають функцію для передачі третім особам; пункт 299 забороняє лише передавання функції з управління ризиками (відповідно до п. 36, це функція правління банку, наприклад, розробка та затвердження внутрішньобанківської документації, підготовка та надання раді банку управлінської звітності про ризики, на які наражається банк тощо. Ось це «тощо» вносить елемент непевності щодо мінімального обсягу процесів з управління ризиками в межах фінансової установи). Керівні принципи, своєю чергою, мають чіткий перелік заборонених до аутсорсингу функцій: інакше фінансові установи-довірителі перетворяться на «оболонку» чи ж то «поштову скриньку» для отримання клієнтських запитів, що є неприйнятним.

ЄБО заборонив передавати в аутсорсинг функції, які призводитимуть до:

–         передачі керівним органом фінансової установи своїх обов’язків;

–         зміни правовідносин між фінансовими/платіжними установами та їх клієнтами або зміни обов’язків фінансових чи платіжних інституцій стосовно їх клієнтів;

–         зміни умов надання дозволів на здійснення певних видів діяльності.

Висновуємо, що Положення № 64 закріпило лише одну із передбачених Керівними принципами заборон, а саме – не зачіпати функції керівного органу. При цьому слід зважати на різницю між юридичною технікою аналізованих документів: Керівні принципи пропонують інструмент аналізу безкінечної кількості випадків, тоді як Положення містить правила щодо конкретних ситуацій, а поза ними діє принцип диспозитивності – «дозволено усе, що не заборонено прямо». Отож, щонайменше було б слушно додати до Положення № 64 заборони на делегування, аналогічні наявним у Керівних принципах.

Поруч із забороненими до передачі, Керівні принципи виділяють «критичні (важливі) функції» (надалі – КВФ) серед усіх дозволених для аутсорсингу функцій. До КВФ належать (1) функції, прямо пов’язані із безперервним наданням надійних банківських чи платіжних послуг, (2) внутрішній контроль, здійснення якого має відповідати критеріям ефективності. Фінансові установи виділяють КВФ самостійно – на підставі аналізу операційної та юридичної ризиковості функції, тривалості аутсорсингу, імовірності настання репутаційних ризиків, обсягів витрат та імовірних збитків від аутсорсингу. Можемо припустити, що розподіл делегованих функцій на КВФ та решту дозволяє оптимізувати ресурси з нагляду за провайдерами – як з боку замовників, так і з боку контролюючих органів.

Положення № 64 не надається для класифікації делегованих функцій за ризиковістю для замовника (клієнтів). Натомість, додання обов’язку банків класифікувати свої функції та виділяти КВФ, за прикладом Керівних принципів, допомогло б банкам визначити аутсорсингові домовленості, які потребують ретельнішої оцінки та контролю через їх підвищену ризиковість і, водночас, звільнити від надмірної уваги делегування менш критичних аспектів своєї діяльності.

Окрім того, Положення № 64 не закріпило вимоги щодо ведення банками власних реєстрів договорів аутсорсингу. На відміну від української ситуації, Розділ ХІ Керівних принципів вимагає належного ризик-менеджменту від фінансової установи, у тому числі ведення таких реєстрів із відомостями про кожний договір аутсорсингу, провайдера та передані функції (щонайменше – вид і критичність). Якщо регулятор зобов’яже українські банки вести подібні реєстри, це поліпшить облік, контроль за виконанням аутсорсингу, визначення частоти та фокусу перевірок уповноваженими органами.

Варто звернути увагу на закріплене Положенням № 64 зобов’язання банку самостійно розробити й передбачити у внутрішніх документах порядок співпраці з провайдерами. Проте відсутні вимоги до договору аутсорсингу, зокрема, істотні умови, управління ризиками, які вже наведено в Керівних принципах. Користуючись Керівними принципами, можливо навіть розробити взірець чи модельний договір про надання аутсорсингових послуг. У співпраці із саморегулівними організаціями галузі регулятор міг би постановою, листом чи заявою схвалити стандартні вимоги до:

–         якості надання послуги (service levels),

–         відповідальності провайдера послуг,

–         моніторингу та контролю за наданням послуги,

–         особливостей використання програмного забезпечення, інформації та інноваційних технологій.

Окрім суто просвітницького впливу, модельний договір може скоротити час узгодження та підписання умов, проходження процедур фінансового моніторингу, та упорядкувати оцінку ризиків аутсорсингу функцій, запровадити інструменти виміру (взірці) репутації виконавців-аутсорсерів.

Серед відсутніх в українському законодавстві аналогів Керівних принципів, ключовими також є настанови Розділу 5 до органів ліцензування та нагляду за фінансовими установами: дозвільна процедура та обов’язки з моніторингу аутсорсингових домовленостей; критерієм нагляду є відсутність істотних змін в обов’язках фінансових установ порівняно з ліцензійними та дозвільними умовами, а також наявність чинних дозволів, ліцензій, сертифікатів тощо у провайдерів-аутсорсерів (якщо законодавство про відповідні послуги цього вимагає). Істотною зміною, як в українському праві, Керівні принципи вважають цілковите припинення чи фактичне невиконання особисто замовником (фінансовою установою) функції, передбаченої дозвільними умовами.

Постанова № 64, Закон України «Про Національний банк України» чи будь-який інший нормативно-правовий акт прямо не передбачає обсяг нагляду (оверсайту) чи контролю регулятора за укладенням та виконанням банками аутсорсингових договорів, як і оцінки впливу аутсорсингу на діяльність банків загалом. Ця невизначеність укупі з широкими дискреційними повноваженнями НБУ потенційно може тягти негативні наслідки – і то не лише для банків як об’єктів нагляду та їхніх клієнтів. Увесь ринок банківських послуг може страждати в разі зловживань провідними чи монопольними провайдерами – процесингового центру, провайдера хмарного сховища тощо. Недогляд за рівнем якості послуг, наприклад, хмарного сховища веде до більшої імовірності зриву роботи банків, які ним користуються, порушення банківської таємниці таких банків чи їхніх клієнтів. Крім того, конкурентний тиск на скорочення видатків серед аутсорсерів тягне частіші етичні (конфлікт інтересів) та організаційні ускладнення.

Зважаючи на ризики, слушно було б якнайшвидше запозичити обов’язок НБУ та інших регуляторів фінансового ринку з оверсайту за укладенням та виконанням аутсорсингових домовленостей та ухвалити відповідні зміни до закону. Особливо актуальним це є в контексті так званого «Закону про спліт», який передбачає ліквідацію Національної комісії з регулювання ринків фінансових послуг та розподіл повноважень з регулювання фінансового ринку між НБУ та Національною комісією з цінних паперів та фондового ринку (НКЦПФР). Було б доцільно наділити НБУ та НКЦПФР повноваженнями стосовно контролю за укладенням договорів аутсорсингу підконтрольними їм суб’єктами.

Як ми вже згадували вище, в Україні нормотворці звернули увагу на аутсорсинг лише банківської діяльності, тоді як інші фінансові установи передають в аутсорсинг свої функції поза межами позитивного права. Оскільки Керівні принципи мають ширше коло застосування, ми сподіваємося, що оновлені регулятори (НБУ та НКЦПФР) незабаром встановлять червоні фішки й для небанківських кредитних установ, інвестиційних фірм, операторів електронних грошей, провайдерів платіжних та хмарних послуг.

Цікавим видається також регулювання провайдерів хмарних послуг, адже такі послуги надзвичайно поширилися – і то не дивно, зважаючи на їх економічну та організаційну доцільність. Хмарні технології накопичують інформацію про клієнтів, заощаджують ресурси, підвищують комфорт та конґруентність фінансових послуг, але, незважаючи на таку інфраструктурну важливість, якість цих послуг не підлягає регулюванню взагалі, хіба крім побіжної згадки про існування їх підвиду – інформаційних систем загального доступу; а тим більше немає таких повноважень в регуляторів фінансових ринків. Тому доцільним було б уточнити законодавство й забезпечити взаємодію НКРЗІ та фінансових регуляторів в порядку нагляду за інфраструктурою телекомунікаційних мереж. Це сприяло би захисту чутливої інформації та попередженню кризових ситуацій на фінансових ринках (бірж та інших торговельних платформ, платіжних та клірингових установ, учасників депозитарної діяльності тощо). Більше з тим, із обіцяною українським урядом «державою у смартфоні», навантаження на таку інфраструктуру лише істотно зростатиме разом із ризиками аварій чи зловмисного втручання.

Одним із доцільних рішень, що допоможе заповнити прогалини в регулюванні, а також уніфікувати правозастосування, було б ухвалення регуляторами фінансового ринку (в першу чергу, НБУ) розширеного нормативно-правового акту за взірцем Керівних принципів. При цьому важливими є як співпраця із саморегулівними організаціями галузей, так і гармонізація з правом ЄС. Встановлення однакових принципів (та правил) аутсорсингу по всіх секторах фінансового ринку дало б позитивний ефект для вирівнювання комплаєнсу в ситуаціях зі схожими ризиками, не зважаючи на менші регуляторні вимоги до капіталу та організаційної структури різних видів фінансових установ чи навіть нефінансових установ – провайдерів хмарних сховищ.

Посилання на ресурс, де знаходиться публікація

http://yur-gazeta.com/publicat...