Національний банк України виніс на громадське обговорення проєкт постанови щодо управління ризиками, пов’язаними із залученням страховиками третіх сторін. Документ передбачає внесення змін одразу до трьох нормативно-правових актів Національного банку та фактично формує новий підхід до управління аутсорсингом важливих функцій страховика.

Як Голова Української асоціації ризик-менеджерів я підготував пакет пропозицій і зауважень до цього проєкту. Частина з них стосується окремих формулювань, частина спрямована на уточнення механізмів реалізації нових вимог. Однак під час роботи над документом стало очевидно, що за багатьма нормами стоять значно ширші питання, ніж може здатися на перший погляд.

Сама по собі поява такого проєкту є закономірною. Сучасний страховий бізнес уже давно не є самодостатньою структурою, яка виконує всі функції виключно власними силами. Інформаційні системи, хмарні сервіси, центри обробки даних, контакт-центри, зовнішні експерти, компанії з врегулювання збитків, провайдери телекомунікаційних послуг та десятки інших контрагентів стали невід’ємною частиною щоденної діяльності страховиків. Фактично значна частина сучасної страхової інфраструктури сьогодні перебуває за межами самої страхової компанії.

Разом із новими можливостями виникають і нові ризики. Збій у роботі провайдера хмарних послуг може вплинути на доступність інформаційних систем. Проблеми в діяльності зовнішнього контакт-центру можуть позначитися на якості обслуговування клієнтів. Фінансові труднощі окремого постачальника послуг можуть поставити під загрозу виконання важливих функцій страховика. Саме тому питання управління ризиком третіх сторін дедалі частіше з’являються в регуляторних документах та професійних дискусіях у сфері ризик-менеджменту.

Водночас будь-яке регулювання повинно не лише підвищувати рівень контролю, але й враховувати практичні особливості діяльності ринку. Інакше існує ризик, що значна частина ресурсів буде спрямована не на управління реальними ризиками, а на виконання формальних процедур. Саме тому під час аналізу проєкту постанови я намагався дивитися не лише на окремі формулювання, а й на те, як нові вимоги працюватимуть у реальному житті.

У цій статті хочу поділитися власним баченням найбільш важливих питань, які виникають у зв’язку із запропонованими змінами, а також пояснити логіку окремих зауважень і пропозицій, поданих мною до Національного банку України.

1. Пропорційність: однакові правила не завжди означають справедливі правила

Однією з ключових ідей, які проходять через більшість моїх зауважень до проєкту постанови, є необхідність застосування принципу пропорційності. На перший погляд це може здатися суто теоретичним питанням. Насправді ж саме від нього залежить, чи буде нове регулювання працювати ефективно.

Уявімо двох страховиків. Один має кілька десятків працівників, обмежену кількість договорів аутсорсингу та використовує лише базовий набір зовнішніх сервісів. Інший є великою компанією з розгалуженою мережею підрядників, складною інформаційною інфраструктурою та значною кількістю важливих функцій, переданих третім сторонам.

Формально обидва страховики можуть підпадати під однакові вимоги щодо перевірки аутсорсерів, оцінки ризиків концентрації, підготовки планів виходу з аутсорсингу та моніторингу діяльності постачальників послуг. Але очевидно, що рівень ризиків, обсяг доступних ресурсів та складність операцій у цих компаній суттєво відрізняються.

Принцип пропорційності широко використовується у міжнародній практиці регулювання фінансового сектору. Його суть полягає не в послабленні вимог і не в наданні окремим учасникам ринку якихось привілеїв. Його мета значно практичніша — забезпечити відповідність між рівнем ризику та обсягом контрольних процедур.

З точки зору ризик-менеджменту головне питання полягає не в тому, чи виконано певну процедуру, а в тому, чи дозволяє вона реально управляти ризиком. Якщо страховик витрачає значні ресурси на підготовку документів щодо функції, яка не створює суттєвого впливу на його діяльність, він фактично відволікає увагу від ризиків, які дійсно можуть вплинути на клієнтів, фінансову стійкість або безперервність роботи компанії.

Більш ризик-орієнтований підхід передбачає враховувати характер функцій, рівень ризику, критичність аутсорсингу та масштаби діяльності страховика. Такий підхід дозволяє зосередити ресурси на дійсно важливих питаннях і водночас уникнути ситуації, коли управління ризиками перетворюється на нескінченне виконання формальних вимог.

На мою думку, саме принцип пропорційності є тим фундаментом, на якому повинна будуватися вся система управління ризиком третіх сторін (ба більше – весь ризик-менеджмент компанії). Без нього навіть найбільш правильні за змістом норми можуть перетворитися на додаткове адміністративне навантаження, яке не підвищує рівень безпеки, а лише збільшує кількість документів і процедур.

2. Важлива функція: проблема починається з визначення

Якщо принцип пропорційності визначає загальну філософію регулювання, то поняття важливої функції фактично визначає межі його застосування. Саме від того, які функції страховик віднесе до важливих, залежатиме обсяг перевірок аутсорсерів, рівень моніторингу, вимоги до планів безперервності діяльності, порядок підготовки планів виходу з аутсорсингу та багато інших елементів нової системи управління ризиками третіх сторін.

На перший погляд визначення важливої функції в проєкті постанови виглядає достатньо логічним. До таких функцій пропонується відносити ті, невиконання або неналежне виконання яких може призвести до порушення вимог законодавства, створити загрозу виконанню зобов’язань перед клієнтами, негативно вплинути на фінансовий стан страховика або порушити безперервність його діяльності. Проблема полягає в іншому. Майже кожна функція страховика тією чи іншою мірою впливає на його діяльність. Якщо підходити до питання надто формально, перелік важливих функцій може почати стрімко розширюватися. А разом із ним почнуть розширюватися й усі пов’язані з ними процедури контролю.

З точки зору ризик-менеджменту доцільно, щоб процес визначення важливих функцій ґрунтувався не лише на загальних критеріях, а й на оцінці ризиків. На практиці ризик-менеджери добре знають, що одна й та сама функція може мати різне значення для різних компаній. Наприклад, підтримка корпоративного вебсайту для одного страховика може бути другорядною допоміжною функцією. Для іншого, який значну частину продажів здійснює через цифрові канали, відмова такого сервісу може безпосередньо впливати на укладення договорів страхування, обслуговування клієнтів та отримання доходів.

Аналогічна ситуація може виникати з контакт-центрами, системами електронного документообігу, платформами дистанційного врегулювання збитків або сервісами обробки даних. Важливість функції визначається не її назвою, а тим, які наслідки виникнуть для страховика у разі її зупинки.

Саме тому мені видається правильним надати страховикам більше можливостей для самостійного визначення переліку важливих функцій з урахуванням власної бізнес-моделі, організаційної структури та профілю ризиків. При цьому мова не йде про право довільно зменшувати кількість таких функцій. Навпаки, страховик повинен мати можливість обґрунтувати своє рішення, використовуючи результати оцінки ризиків, аналізу впливу на бізнес та оцінки безперервності діяльності.

Окремо варто звернути увагу ще на один аспект. Важливість функції не є сталою величиною. Те, що сьогодні не створює суттєвого ризику для діяльності страховика, через рік або два може перетворитися на критичний елемент його операційної моделі. Достатньо згадати темпи цифровізації страхового ринку за останні роки. Функції, які раніше вважалися допоміжними, сьогодні нерідко забезпечують ключові бізнес-процеси.

Саме тому перелік важливих функцій повинен бути не статичним документом, який одного разу затверджується і надалі не переглядається, а живим інструментом управління ризиками. Його необхідно регулярно переглядати з урахуванням змін у діяльності страховика, впровадження нових технологій, змін організаційної структури та результатів оцінки ризиків.

На мою думку, саме визначення важливих функцій є відправною точкою всієї системи управління ризиком третіх сторін. Якщо на цьому етапі буде допущена помилка, усі наступні процедури — від перевірки аутсорсерів до планів виходу з аутсорсингу — можуть виявитися або надмірними, або навпаки недостатніми. Саме тому питання класифікації функцій заслуговує значно більшої уваги, ніж може здатися під час першого ознайомлення з проєктом постанови.

3. Наскільки «детальною» має бути перевірка аутсорсера

Одне з найбільш цікавих формулювань у проєкті постанови стосується вимоги щодо проведення страховиком «детальної перевірки» потенційного аутсорсера. На перший погляд така вимога виглядає цілком логічною. Дійсно, перш ніж передавати важливу функцію третій стороні, страховик повинен переконатися, що майбутній контрагент здатний якісно виконувати свої обов’язки, має належну систему управління ризиками, достатні ресурси та механізми забезпечення безперервності діяльності.

Саме так працює здоровий глузд. Проте для ризик-менеджера завжди важливе наступне питання: де закінчується правильна ідея і починається проблема практичної реалізації? Проблема полягає в тому, що поняття «детальна перевірка» не має однозначного змісту. Для одного страховика це може означати аналіз фінансової звітності, вивчення структури власності та оцінку досвіду роботи контрагента. Для іншого — проведення виїзних перевірок, оцінку внутрішніх політик, тестування процедур безперервності діяльності та аналіз технічної інфраструктури.

У результаті одна й та сама вимога може тлумачитися по-різному не лише страховиками, а й аудиторами, внутрішнім аудитом, підрозділами ризик-менеджменту та самим регулятором. Саме тому серед запропонованих зауважень окремо пропонується замінити поняття «детальна перевірка» на більш зрозуміле формулювання — перевірку, достатню для оцінки ризиків, пов’язаних із передачею відповідної функції на аутсорсинг. На перший погляд різниця може здатися незначною. Насправді ж вона принципова. У першому випадку страховик змушений думати про те, наскільки «детальною» є його перевірка. У другому — про те, чи достатньо отриманої інформації для оцінки ризиків. А це вже зовсім інша логіка.

З точки зору ризик-менеджменту важливим є не обсяг перевірки сам по собі, а її результат. Якщо страховик отримав достатню інформацію для того, щоб зрозуміти ризики аутсорсингу, оцінити надійність контрагента та прийняти обґрунтоване управлінське рішення, то мета перевірки досягнута. Якщо ж процес перетворюється на механічне накопичення документів, довідок та підтверджень, реальна користь від такого контролю може виявитися мінімальною.

Особливо актуальним це питання стає у випадках, коли мова йде про великі спеціалізовані компанії або міжнародних постачальників послуг. Страховик може отримати сотні сторінок документації і при цьому так і не отримати відповіді на головне питання: які ризики для його діяльності створює співпраця з конкретним аутсорсером.

Не менш важливою є й економічна сторона питання. Детальна перевірка потребує часу, людських ресурсів та коштів. Якщо однаковий обсяг перевірки застосовується як до критично важливих функцій, так і до функцій із відносно невисоким рівнем ризику, це призводить до непропорційного навантаження на страховика без очевидного підвищення рівня безпеки. На практиці найбільш ефективним є підхід, за якого глибина перевірки визначається характером функції, рівнем ризику та потенційними наслідками її втрати. Чим більший вплив має функція на безперервність діяльності страховика, його фінансовий стан або виконання зобов’язань перед клієнтами, тим більш глибокою повинна бути перевірка відповідного аутсорсера.

Саме тому, на мою думку, ключовим критерієм повинна залишатися не формальна «детальність» перевірки, а її здатність забезпечити прийняття обґрунтованого рішення щодо передачі функції третій стороні. Інакше існує ризик, що управління ризиками аутсорсингу поступово перетвориться на управління процесом перевірки, а не на управління самими ризиками.

Втім, навіть якщо страховик проведе якісну перевірку, виникає наступне питання. Що робити тоді, коли потенційним аутсорсером є міжнародна технологічна компанія або глобальний постачальник хмарних послуг, доступ до внутрішніх процесів якого обмежений для будь-якого окремого клієнта? Саме ця проблема сьогодні стає однією з найбільш складних для всіх фінансових установ без винятку.

4. Світ змінився: міжнародні хмарні сервіси та технологічні платформи

Якщо ще десять-п’ятнадцять років тому питання аутсорсингу здебільшого асоціювалося із залученням окремих підрядників для виконання допоміжних функцій, то сьогодні ситуація кардинально змінилася. Значна частина сучасної економіки працює на базі великих технологічних платформ та хмарних сервісів, які одночасно обслуговують тисячі клієнтів у десятках країн світу.

Страховий ринок не є винятком. Системи електронного документообігу, засоби кіберзахисту, сервіси резервного копіювання, платформи для аналізу даних, інструменти комунікації, окремі елементи страхових інформаційних систем — усе частіше базуються на послугах великих міжнародних постачальників.

І саме тут виникає одна з найбільш складних практичних проблем нового регулювання. У традиційній моделі аутсорсингу страховик міг провести зустрічі з керівництвом постачальника послуг, ознайомитися з внутрішніми документами, отримати додаткову інформацію або навіть провести перевірку окремих процесів. У випадку міжнародних технологічних платформ така модель часто просто не працює.

Складно уявити ситуацію, коли окремий український страховик зможе отримати доступ до внутрішніх процедур управління ризиками великого міжнародного постачальника хмарних послуг або провести власну перевірку його центрів обробки даних. Не тому, що компанія не хоче співпрацювати, а тому, що сама модель надання таких послуг побудована інакше.

Фактично страховик стає одним із тисяч клієнтів стандартизованого сервісу. Він може погодитися з умовами використання, оцінити наявні гарантії, вивчити доступну документацію та результати незалежних перевірок, але не має можливості вимагати індивідуального доступу до всіх внутрішніх процесів постачальника.

Практичним рішенням могла б бути можливість використання результатів незалежних аудитів, сертифікатів відповідності та інших документів, які підтверджують належний рівень управління ризиками та внутрішнього контролю таких компаній. На мою думку, це не є спрощенням вимог. Навпаки, це спроба адаптувати їх до реальності. Адже якщо страховик не може фізично провести власну перевірку певних процесів, виникає питання: яким чином він повинен виконати вимоги регулятора? Відповідь, яка вже давно використовується у світовій практиці, полягає саме у використанні незалежних джерел підтвердження. Йдеться про результати зовнішніх аудитів, міжнародні сертифікації, звіти незалежних оцінювачів та інші механізми контролю, які дозволяють отримати обґрунтовану впевненість щодо рівня надійності постачальника послуг.

Окремої уваги заслуговує ще один аспект. Прагнення отримати абсолютний контроль над усіма аутсорсерами інколи може призводити до парадоксальних результатів. Теоретично страховик може виконати всі формальні вимоги щодо невеликого локального підрядника і при цьому отримати значно менше інформації про його реальну надійність, ніж у випадку великого міжнародного провайдера, який регулярно проходить зовнішні аудити та сертифікацію. Саме тому ефективне управління ризиком третіх сторін повинно оцінювати не кількість отриманих документів, а якість інформації, яку вони містять.

На мою думку, саме цей виклик є одним із найбільш показових для сучасного ризик-менеджменту. Регулювання традиційно орієнтується на відносини між страховиком та окремим контрагентом. Проте цифрова економіка дедалі частіше будується навколо глобальних платформ, де звичні механізми контролю працюють лише частково. І саме тому нові вимоги повинні враховувати не лише теоретичну модель аутсорсингу, а й реальні особливості технологічного середовища, в якому працює сучасний страховий бізнес.

Водночас навіть якщо страховик отримав достатню впевненість у надійності постачальника послуг, це не означає відсутність ризиків. Навпаки, у багатьох випадках найбільша проблема виникає тоді, коли одна й та сама компанія починає обслуговувати значну частину ринку. І тоді на перший план виходить питання концентрації ризиків.

5. Ризик концентрації: не всі залежності можна усунути

Серед усіх ризиків, пов’язаних із залученням третіх сторін, ризик концентрації залишається одним із найбільш недооцінених. Частково це пояснюється тим, що його наслідки зазвичай не проявляються відразу. Більшість часу така концентрація виглядає цілком логічною та навіть економічно обґрунтованою. Проблеми починаються лише тоді, коли виникає необхідність швидко замінити постачальника послуг або коли його діяльність зазнає суттєвих порушень.

Саме тому проєкт постанови справедливо вимагає оцінювати ризик концентрації під час передачі важливих функцій на аутсорсинг. З точки зору ризик-менеджменту це абсолютно правильний підхід. Будь-яка критична залежність від одного постачальника послуг повинна перебувати під контролем страховика.

Втім, на практиці все виявляється дещо складніше, ніж у теорії. У багатьох випадках концентрація є результатом свідомого управлінського рішення. Наприклад, компанія може обрати одного постачальника послуг для кількох напрямів діяльності через економію ресурсів, сумісність технологічних рішень або зручність управління договірними відносинами. Така концентрація створює додатковий ризик, але водночас може забезпечувати й певні переваги.

Проте існує й інша ситуація, яка сьогодні дедалі частіше зустрічається на практиці. Концентрація виникає не тому, що страховик цього хоче, а тому, що ринок фактично не пропонує достатньої кількості альтернатив. Наприклад, окремі спеціалізовані інформаційні системи можуть мати лише кілька постачальників. На ринку можуть бути відсутні повноцінні альтернативи окремим технологічним платформам або сервісам. У деяких випадках заміна одного рішення іншим потребує не просто укладення нового договору, а багатомісячної міграції даних, перебудови бізнес-процесів та перенавчання персоналу.

Більш ризик-орієнтований підхід передбачає необхідність враховувати під час оцінки ризику концентрації наявність реальних альтернатив на ринку та фактичну можливість заміни аутсорсера. На перший погляд це може здатися очевидним. Однак саме тут проходить важлива межа між формальним і практичним підходом до управління ризиками. Формальний підхід може вимагати від страховика продемонструвати наявність альтернативи для кожного аутсорсера. Практичний підхід змушує поставити інше питання: чи існує така альтернатива в реальності і скільки часу знадобиться для переходу до неї?

Це особливо актуально для сучасних технологічних сервісів. У багатьох випадках ризик концентрації  виходить за межі окремого страховика і може набувати ознак системного ризику для ринку. Якщо значна кількість фінансових установ використовує одні й ті самі платформи, то проблема одного великого постачальника може вплинути одразу на цілий сектор.

Саме тому оцінка ризику концентрації повинна бути не лише кількісною, а й якісною. Недостатньо просто порахувати кількість договорів або обсяг платежів конкретному контрагенту. Необхідно розуміти характер залежності, складність переходу до іншого постачальника та потенційні наслідки такої заміни для діяльності страховика.

На мою думку, головна цінність нових вимог полягає саме в тому, щоб змусити страховиків ставити собі ці питання заздалегідь. Не тоді, коли аутсорсер вже припинив роботу або став жертвою масштабного кіберінциденту, а ще на етапі прийняття рішення про передачу функції третій стороні.

Проте усвідомлення ризику концентрації неминуче приводить до наступного питання. Якщо страховик визнає існування критичної залежності від певного аутсорсера, чи готовий він діяти в ситуації, коли співпраця з ним повинна бути припинена? Саме тут ми підходимо до теми планів виходу з аутсорсингу — одного з найбільш складних і водночас найбільш практичних елементів нових вимог.

6. План виходу з аутсорсингу: гарна ідея, складна реалізація

Серед усіх нових вимог до управління ризиком третіх сторін саме плани виходу з аутсорсингу можуть виявитися найбільш складними для практичного впровадження. При цьому сама логіка регулятора є абсолютно зрозумілою. Якщо страховик передає важливу функцію третій стороні, він повинен заздалегідь розуміти, що робитиме у випадку припинення співпраці з аутсорсером. Причини можуть бути різними: фінансові проблеми контрагента, порушення умов договору, кіберінцидент, санкційні обмеження, зміна бізнес-моделі постачальника або навіть його повне припинення діяльності. У всіх цих випадках страховик не може дозволити собі опинитися в ситуації, коли важлива функція просто перестає виконуватися.

На рівні концепції це виглядає очевидним. Проте щойно ми переходимо до практичної реалізації, виникає ціла низка складних питань. Що саме означає «вийти з аутсорсингу»? Чи йдеться про передачу функції іншому аутсорсеру? Про повернення її всередину компанії? Про тимчасовий резервний механізм до моменту пошуку нового постачальника? Відповідь залежить від конкретної функції, характеру послуг та технологічного середовища, в якому працює страховик.

Наприклад, якщо мова йде про послуги зовнішнього контакт-центру, заміна постачальника теоретично може бути здійснена протягом відносно короткого часу. Якщо ж страховик використовує складну інформаційну систему, платформу електронного документообігу або хмарне рішення, яке інтегроване з десятками внутрішніх процесів, ситуація виглядає зовсім інакше. У таких випадках перехід до нового постачальника може займати не тижні, а місяці. Більше того, сам процес переходу нерідко створює додаткові ризики для діяльності компанії, включаючи втрату даних, помилки в інтеграції, тимчасове зниження якості обслуговування клієнтів або зростання навантаження на персонал.

З точки зору ризик-менеджменту доцільно, щоб вимоги до планів виходу враховували технічну складність відповідної функції та реальну можливість її передачі іншому постачальнику послуг. На мою думку, це принципове питання. Регулювання повинно виходити не з ідеальної моделі ринку, де для кожного аутсорсера існує декілька готових альтернатив, а з фактичної ситуації, яка склалася в окремих сегментах страхового та технологічного ринку.

Не менш важливим є питання строків відновлення діяльності. У багатьох нормативних документах можна зустріти вимогу забезпечити відновлення функцій у максимально короткі строки. Проблема полягає в тому, що поняття «короткий строк» для різних функцій може означати зовсім різні речі. Якщо для окремих сервісів рахунок може йти на години, то для складних інформаційних платформ навіть кілька місяців можуть бути цілком реалістичним і обґрунтованим строком переходу. Саме тому надзвичайно важливо, щоб оцінка таких строків базувалася не на універсальних очікуваннях, а на реальному аналізі функції, рівня її критичності та технічних можливостей страховика.

На практиці якісний план виходу з аутсорсингу є не просто документом, який зберігається в папці з внутрішніми політиками. Це своєрідний тест на розуміння власних залежностей. Якщо компанія не може пояснити, що вона робитиме у випадку втрати ключового аутсорсера, це означає, що відповідний ризик фактично не перебуває під контролем. Саме тому я підтримую саму ідею запровадження таких планів. Водночас їх ефективність визначатиметься не кількістю сторінок документа, а тим, наскільки реалістичними та здійсненними є передбачені в ньому заходи.

І тут ми підходимо до ще одного важливого питання. Навіть найкращий план виходу не допоможе, якщо страховик не має достатньої інформації про діяльність свого аутсорсера або не розуміє меж власних можливостей контролю. Саме тому наступна тема є однією з найбільш дискусійних у всьому проєкті постанови — питання контролю за аутсорсером та меж такого контролю в сучасному світі.

7. Контроль аутсорсера та межі можливого

Якщо попросити ризик-менеджерів назвати найбільш складне питання в управлінні ризиком третіх сторін, багато хто, ймовірно, відповість дуже просто: як контролювати те, що тобі не належить? Саме навколо цього питання фактично будується значна частина сучасного регулювання аутсорсингу. Регулятор цілком справедливо очікує, що страховик нестиме відповідальність за виконання своїх важливих функцій незалежно від того, виконує він їх власними силами чи передає третім сторонам. Проте між відповідальністю за результат і можливістю реально контролювати діяльність незалежної компанії існує суттєва різниця.

У традиційній моделі управління ризиками припускається, що страховик може отримати необхідну інформацію про діяльність аутсорсера, оцінити його систему внутрішнього контролю, перевірити окремі процеси та за потреби вимагати усунення виявлених недоліків. Такий підхід працює у багатьох випадках, особливо коли йдеться про локальних постачальників послуг або відносно прості види аутсорсингу. Проте сучасна економіка дедалі частіше ставить страховиків у зовсім інші умови. Частина важливих функцій сьогодні виконується великими технологічними компаніями, міжнародними платформами та спеціалізованими сервісними організаціями, які працюють одночасно для тисяч клієнтів у різних країнах світу. У таких випадках можливості окремого страховика впливати на внутрішні процеси аутсорсера є об’єктивно обмеженими.

Саме тому під час аналізу проєкту постанови мене особливо зацікавили положення, які стосуються доступу до документів, інформації та результатів діяльності аутсорсерів. З точки зору регулятора логіка таких вимог є абсолютно зрозумілою. Неможливо контролювати ризик, не маючи доступу до інформації про його джерело. Однак на практиці надмірно широке трактування таких вимог може призвести до ситуації, коли страховик формально буде зобов’язаний отримувати інформацію, яку він фактично не може отримати.

З точки зору ризик-менеджменту доцільно, щоб доступ до інформації здійснювався в межах договірних відносин, моделі надання послуг та реальних можливостей аутсорсера. Це не означає відмову від контролю. Навпаки, мова йде про те, щоб зробити його реалістичним. Якщо міжнародна компанія не надає клієнтам прямий доступ до своїх внутрішніх систем або результатів внутрішніх перевірок, це не означає, що страховик повинен автоматично відмовитися від співпраці з нею. Натомість він має використовувати інші інструменти оцінки ризиків — результати зовнішніх аудитів, сертифікацію, звіти незалежних експертів, оцінку репутації та історії діяльності постачальника.

На мою думку, саме тут проходить одна з найважливіших меж сучасного ризик-менеджменту. Контроль не повинен перетворюватися на ілюзію контролю. Дуже легко створити велику кількість процедур, звітів і контрольних листів, які формально підтверджують виконання вимог. Значно складніше побудувати систему, яка дійсно дозволяє зрозуміти рівень ризику та своєчасно реагувати на його зміни. Саме тому якість інформації майже завжди важливіша за її кількість.

Окремо варто звернути увагу ще на один аспект. У сучасному середовищі повний контроль над усіма ризиками аутсорсера часто є недосяжною метою. Більше того, прагнення до такого контролю іноді може призводити до хибного відчуття безпеки. Набагато важливіше розуміти, які ризики страховик дійсно може контролювати, які ризики він може лише моніторити, а які доведеться прийняти як частину обраної бізнес-моделі. Саме такий підхід лежить в основі зрілого управління ризиками та давно використовується в інших сферах ризик-менеджменту.

У певному сенсі ризик третіх сторін нагадує будь-який інший ризик. Його неможливо повністю усунути. Його можна лише зрозуміти, оцінити та підтримувати в межах прийнятного рівня. І саме тому наступне питання, яке виникає після обговорення контролю, стосується не окремого аутсорсера, а самого страховика. Наскільки швидко та безпечно він зможе адаптуватися до нових вимог регулятора і чи не створить процес впровадження цих вимог нові операційні ризики?

8. Перехідний період: ще один ризик, про який часто забувають

Коли на ринку обговорюються нові регуляторні вимоги, основна увага зазвичай приділяється їх змісту. Учасники ринку аналізують нові обов’язки, оцінюють майбутні витрати, переглядають внутрішні процедури та намагаються зрозуміти, як саме зміниться їхня робота після набрання чинності новими нормами. Водночас значно менше уваги приділяється ще одному ризику, який нерідко залишається поза фокусом обговорення. Йдеться про ризик самого процесу впровадження нових вимог.

З точки зору ризик-менеджменту це виглядає дещо парадоксально. Ми багато говоримо про ризики третіх сторін, ризики концентрації, ризики втрати критичних функцій або ризики недостатнього контролю за аутсорсерами. Але при цьому іноді забуваємо, що будь-яка масштабна зміна нормативного середовища сама по собі створює додаткове навантаження на організацію та може стати джерелом нових операційних ризиків.

Саме тому серед поданих мною пропозицій окремо запропоновано переглянути строк приведення діяльності страховиків у відповідність до нових вимог та перенести його з 31 грудня 2026 року на 31 березня 2027 року. На перший погляд різниця становить лише три місяці. Проте з практичної точки зору цей додатковий квартал може мати суттєве значення для якісного впровадження нових вимог.

Справа в тому, що виконання нових вимог не обмежується підготовкою кількох внутрішніх документів. Страховикам доведеться провести інвентаризацію чинних договорів аутсорсингу, визначити перелік важливих функцій, переглянути внутрішні політики та процедури, провести додаткові оцінки ризиків, підготувати плани виходу з аутсорсингу, переглянути механізми моніторингу аутсорсерів та, у багатьох випадках, внести зміни до вже укладених договорів. Частина цих процесів залежить не лише від самого страховика, а й від його контрагентів, які можуть мати власні процедури погодження змін та власні строки їх впровадження.

Особливо актуальним це питання є для договорів, пов’язаних із технологічними сервісами. Досвід показує, що зміна умов співпраці з великими постачальниками послуг далеко не завжди відбувається швидко. Навіть якщо сторони повністю підтримують необхідність таких змін, погодження нових умов може тривати місяцями. Саме тому будь-які строки впровадження повинні враховувати не лише бажаний результат, а й реальні можливості його досягнення.

На мою думку, у цьому випадку мова не йде про спробу відкласти виконання нових вимог або уникнути додаткової роботи. Навпаки, якісне впровадження завжди потребує часу. Ризик поспішного виконання полягає в тому, що компанії починають концентруватися не на змісті нових вимог, а на самому факті їх формального виконання. У результаті зростає кількість поспішних рішень, тимчасових процедур та компромісів, які згодом доводиться переглядати повторно.

Іронія полягає в тому, що проєкт постанови значною мірою спрямований саме на підвищення стійкості страховиків та зниження операційних ризиків. Проте надто короткий перехідний період потенційно здатний створити додаткові ризики в процесі самого впровадження нових вимог. Саме тому під час підготовки будь-яких регуляторних змін важливо оцінювати не лише їхню кінцеву мету, а й шлях, який ринок повинен пройти для її досягнення.

На мою думку, це питання виходить далеко за межі конкретного проєкту постанови. Воно стосується загального принципу взаємодії між регулятором та учасниками ринку. Хороше регулювання — це не лише правильні вимоги. Це ще й реалістичний механізм їх впровадження. І саме від балансу між цими двома складовими значною мірою залежить ефективність будь-якої регуляторної ініціативи.

Висновки

Проєкт постанови НБУ щодо управління ризиками, пов’язаними із залученням страховиками третіх сторін, порушує важливі питання, які вже давно потребують професійного обговорення. Сучасний страховий бізнес дедалі більше залежить від зовнішніх постачальників послуг, технологічних платформ та інформаційних систем, а отже ризики таких залежностей дійсно повинні перебувати у фокусі уваги як самих страховиків, так і регулятора.

Водночас під час аналізу проєкту виникає закономірне питання не лише щодо змісту окремих норм, а й щодо своєчасності запровадження такого обсягу нових вимог саме зараз. Український страховий ринок продовжує працювати в умовах воєнного стану, високої невизначеності, кадрових обмежень та постійної необхідності адаптуватися до нових викликів. Частина страховиків продовжує працювати в умовах релокації працівників, мобілізації персоналу та постійних змін операційного середовища.У таких умовах будь-які додаткові регуляторні вимоги повинні особливо ретельно оцінюватися з точки зору їх практичної реалізації та очікуваного результату.

Саме тому запропоновані зауваження та пропозиції спрямовані не на перегляд самої ідеї управління ризиком третіх сторін, а на пошук балансу між регуляторними очікуваннями та реальними можливостями учасників ринку. Принцип пропорційності, ризик-орієнтований підхід, врахування особливостей сучасних технологічних сервісів та достатній час для впровадження нових вимог є, на мою думку, необхідними умовами ефективності майбутнього регулювання.

Зрештою, управління ризиком третіх сторін — це не питання виконання чергового набору нормативних вимог. Це питання стійкості страховика, його здатності працювати в умовах зростаючої залежності від зовнішнього середовища та зберігати безперервність діяльності навіть тоді, коли окремі елементи цього середовища перестають працювати. Саме через цю призму, на мою думку, і варто оцінювати як сам проєкт постанови, так і запропоновані до нього зміни.

Докладніше за посиланням

Сергій БАБИЧ