Основные принципы комплаенс-контроля

* * *

© Татчук М. А.

Рецензия

Современная экономика развивается настолько быстро, что иногда законодательные органы не успевают вносить изменения в правовые нормы. Вследствие этого, деятельность финансовых организаций подвергается постоянной опасности понести убытки или нарушить закон. Единственный способ избежать рисков – создать устойчивую систему внутреннего контроля, сочетающую в себе нормы применимого права и международный опыт.

Этой актуальной проблеме посвящена новая книга М. А. Татчука «Основные принципы комплаенс-контроля». Автор – известный российский финансовый юрист, более двадцати лет работающий в банковской сфере в качестве признанного специалиста в области комплаенс-процедур. М. А. Татчук издал учебное пособие для вузов «Финансовый мониторинг (противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма)». Его статьи опубликованы в ведущих финансовых журналах России.

Книга «Основные принципы комплаенс-контроля» освещает широкий спектр вопросов, связанных с созданием системы управления, позволяющей защититься от рисков либо минимизировать их. Автор подробно описывает также политические, административные, этические нюансы, которые необходимо учитывать при создании комплаенс-системы.

Не оставлена без внимания и актуальная проблематика санкционного комплаенса.

Книга разделена на две большие главы – «Общая теория управления рисками» и «Комплаенс-контроль». Каждая из них состоит из подглав, раскрывающих отдельные вопросы. Помимо теоретических положений, автор подробно описывает практические алгоритмы действий. Книга снабжена приложениями, содержащими полезную справочную информацию.

Материал книги излагается научным стилем, принятым в академической среде. Специальные термины используются с подробными разъяснениями и переводом на английский язык.

«Основные принципы комплаенс-контроля» представляет интерес как значимая научная работа, излагающая новейшие исследования в области финансового права. Автор рекомендует свою книгу сотрудникам организаций, деятельность которых предусматривает имплементацию комплаенс-функции, а также студентам, изучающим экономику и юриспруденцию.

Введение

Более чем 20-летний опыт работы автора в области комплаенса показал, что реализация данного функционала напрямую связана с управлением всеми возможными рисками организации независимо от её организационно-правовой формы либо сферы её деятельности. Будь она кредитной организацией, профессиональным участником рынка ценных бумаг, страховой организацией, лизинговой компанией, ломбардом, организацией, содержащей тотализаторы и букмекерские конторы либо организующей и проводящей лотереи, организацией, оказывающей посреднические услуги при осуществлении сделок купли-продажи недвижимого имущества и т. п., она обязана соблюдать все нормы применимого права (права страны инкорпорации юридического лица), всех принятых подзаконных нормативных актов и рекомендаций органов государственной власти, включая регулирующие и надзорные инстанции, и имплементировать их в свои внутренние нормативные акты.

Но, учитывая скорость, с какой происходит глобализация мировой экономики, отдельных сегментов рынков, какими темпами происходит трансформация казавшихся стандартными форм сделок либо способов расчётов, как происходит их миграция в виртуальное пространство, мы неминуемо сталкиваемся с тем фактом, что зачастую те или иные национальные законодатели не успевают вносить оперативные коррективы в действующие нормативные акты, а запоздавшие рекомендации местных регуляторов либо надзорных органов не могут позволить организации оперативно адаптироваться к новым реалиям, и, как следствие, её деятельность подвергается серьёзным рискам, которые необходимо оперативно купировать.

Таким образом, единственным инструментом, позволяющим устранить потенциальный риск либо минимизировать уже существующий, является наличие эффективной многоуровневой системы внутреннего контроля, функционирующей на основании внутренних нормативных актов, учитывающих не только нормы национального законодательства, но и так называемые «лучшие практики».

Реализация системы внутреннего контроля не является индульгенцией одного или нескольких подразделений организации, а является глобальным процессом, требующим вовлечения в него риск-оценивающих подразделений, подразделений, наделённых комплаенс-функцией, а также функцией по аудиту деятельности организации, юридической службы, службы безопасности и пр. Поэтому для целей эффективного функционирования в организации адекватных комплаенс-процессов, купирующих угрозу риска на стадии его формирования, а не выявляющих его post factum, как это происходит при анализе деятельности организации в рамках внутреннего либо внешнего аудита, требуется проведение комплексной работы, включающей симбиоз финансовых, экономических и юридических процессов, результатом которой является разработка внутренних механизмов, оперативно учитывающих любые внешние изменения.

Комплаенс-контроль, как глобальный процесс, не может регулироваться исключительно экономическими, финансовыми либо юридическими аспектами, в связи с чем существуют жёсткие квалификационные требования к персоналу, наделённому комплаенс-функцией, что требует знания им всех внутренних процессов организации и наличия у такого персонала значительного опыта работы в комплаенс-подразделении.

Так, в частности, нельзя купировать потенциальный риск, не зная все его разновидности либо методики его выявления. Невозможно оценить риск вовлечения организации в противоправную деятельность, не владея багажом юридических знаний, в частности, в области гражданского, финансового, международного права и пр. Также представляется затруднительной реализация комплаенс-функции без наличия у соответствующего персонала понимания экономической сути сделок, заключаемых организацией либо её клиентами, а также их бухгалтерского отражения.

Возвращаясь к настоящей книге, хочется отметить, что при её написании автор исходил из необходимости описания классической комплаенс-модели организации в отрыве от её юрисдикции, применимого к её деятельности национального права, а также в отрыве от занимаемого ей сегмента рынка.

В основу данной книги легли наработки автора в области комплаенс-контроля, основанные на нормах национального права, рекомендациях тех или иных национальных регуляторов, международных организаций, разрабатывающих стандарты в области комплаенс-процессов, а также собственных методик, разработанных им в ходе реализации комплаенс-функции, которые были имплементированы во внутренние процедуры как финансовых организаций, являющихся коммерческими банками либо банками с государственным участием, так и международной финансовой организации.

Для удобства понимания всех бизнес-процессов, связанных с комплаенс-контролем, структура настоящей книги состоит из двух частей: главы, описывающей все виды существующих рисков, способов их выявления и купирования, а также главы, содержащей описание всех существующих комплаенс-процессов, методов и способов их реализации.

Уверен, что данная книга будет полезна как студентам, изучающим экономику, финансы и юриспруденцию, так и практикующим работникам организаций, деятельность которых требует наличия эффективной комплаенс-модели, и все полученные из этой книги знания могут быть ими имплементированы во внутренние процессы, тем самым позволив создать адекватную систему комплаенс-контроля. Но при этом не нужно забывать о необходимости самостоятельного отслеживания всех новелл в области комплаенс-контроля, так как данная область наиболее подвержена оперативным изменениям.

1. Общая теория управления рисками

1.1. Общие положения

В соответствии с правоприменительной практикой и международными стандартами под понятием «риск» следует понимать следствие влияния факторов неопределённости на достижение поставленных целей организации^[1], в связи с чем управление рисками^[2] является неотъемлемой частью корпоративного управления и представляет собой комплексный процесс принятия и выполнения решений, направленных на минимизацию вероятности возникновения неблагоприятного результата и уменьшение возможных потерь организации от реализации такого неблагоприятного результата, базирующийся на следующих принципах:

● консервативность (англ. conservatism^[3]) – отказ от потенциальных сделок с очень высоким или неопределённым уровнем риска вне зависимости от степени их доходности;

● комплексность (англ. complexity) – единая структура системы управления для всех видов риска;

● дифференцированность (англ. differentiation) – специфика содержания и применения отдельных элементов системы управления рисками применительно к различным типам рисков;

● независимость риск-подразделения (англ. independence of the risk division) от подразделений, инициирующих и осуществляющих банковские операции;

● наличие чётко выстроенного механизма принятия решений по управлению рисками (англ. risk management decision-making mechanism) на основе процедур, закреплённых нормативными правовыми документами организации;

● система многоуровневой отчётности (англ. multilevel reporting system);

● единство информационных технологий (англ. unity of information technologies);

● осуществление многоуровневого контроля эффективности системы управления рисками (англ. implementation of multi-level control of the effectiveness of the risk management system) в рамках системы внутреннего контроля.

В рамках реализации указанного функционала в организации действует система управления рисками, позволяющая определить уровень риска, который организация готова принять на себя, поддержать его приемлемый уровень, обеспечить сохранность и надёжность размещения денежных средств, а также эффективность их использования.

Основными задачами управления рисками являются:

● создание единой непрерывной системы управления рисками с учётом объёмов принимаемых рисков;

● осуществление контрольных процедур, в том числе с точки зрения сохранения баланса между рисками и доходностью проводимых операций;

● проведение мониторинга потенциальных убытков относительно возможностей организации к их покрытию;

● осуществление регулярной оценки действующей системы управления рисками с целью её совершенствования;

● создание адекватных ожидаемым потерям резервов;

● осуществление типовых и исключительных мероприятий по митигации рисков (англ. mitigation)^[4];

● поддержка целей бизнеса с учётом изменяющихся рыночных условий;

● выявление потенциальных рисков, их оценка, агрегирование, контроль их уровня;

● оценка и обеспечение достаточности капитала для покрытия существенных рисков, которые могут возникнуть сверх ожидаемого уровня.

Достижение основных задач управления рисками возможно при приемлемых (ограниченных риск-аппетитом^[5] организации) уровнях рисков и достаточности капитала.

При определении риск-аппетита организация проводит оценку, устанавливая, насколько применимый риск-аппетит приемлем в текущий период времени и насколько он может быть приемлем в будущем, учитывая:

● ожидания учредителей/акционеров в отношении уровня доходности;

● международные регуляторные стандарты;

● бизнес-план, бюджет доходов и расходов;

● текущий и ожидаемый в будущем объём операций;

● текущую и ожидаемую в будущем структуру значимых рисков;

● текущий и ожидаемый в будущем уровень совокупного капитала.

Система управления рисками включает соответствующие организационную структуру и информационно-методологическую систему, представляющую совокупность инструментов, методов, процедур и способов идентификации, оценки, ограничения, нейтрализации и контроля принимаемых организацией рисков.

Основой системы управления рисками является культура управления рисками, под которой понимается существующая в организации система ценностей и способов поведения, определяющая суть и форму принимаемых в области управления рисками решений. Культура управления рисками оказывает влияние на каждого уполномоченного сотрудника при принятии любого связанного с риском решения, требующего соблюдения баланса между риском и доходностью.

Процесс управления рисками подразделяется на следующие основные этапы:

● Идентификация риска (англ. risk identification) – выявление подверженности сделок либо операций организации различным видам риска, возможности их возникновения, а также определение возможных негативных последствий, выявление факторов, увеличивающих или уменьшающих конкретный вид риска при осуществлении определённых банковских операций.

● Анализ и оценка риска (англ. risk analysis and assessment) – анализ выявленных факторов и определение степени риска и их последствий, при этом в качестве количественных показателей оценки применяются коэффициентный анализ факторов риска, прогнозируемый размер потерь, а также показатели сегментации портфелей тех или иных финансовых инструментов.

● Регулирование риска (англ. risk management) – комплекс мероприятий, применяемых для поддержания приемлемого уровня рисков организации, направленных на их минимизацию и нейтрализацию их возможных последствий, что достигается комплексом мероприятий, предусматривающих диверсификацию, лимитирование^[6], хеджирование^[7], страхование, резервирование, передачу или распределение риска на контрагента, отказ от заключения сделки/проведения операций с неприемлемо высоким уровнем риска либо продажу активов.

● Мониторинг и контроль рисков (англ. monitoring and control of risks) – процесс регулярного анализа их показателей и факторов их возникновения, а также принятия решений, направленных на минимизацию риска при сохранении необходимого уровня прибыльности планируемой сделки либо операции. Мониторинг рисков проводится на постоянной основе с использованием разработанных организацией методик, а контроль рисков подразделяется на текущий (оперативный) контроль, осуществляемый на постоянной основе владельцем соответствующего бизнес-процесса, и общий контроль, функционирующий в рамках системы внутреннего контроля.

● Отчётность по управлению рисками (англ. risk management reporting) – завершающий этап управления рисками, предусматривающий раскрытие информации об уровне принимаемого риска и инструментарии по управлению им.

Система управления рисками строится как интегрированная система применения следующих инструментов и методов:

● методов идентификации и оценки уровня принимаемых рисков;

● инструментов установления лимитов и ограничений на основные финансовые инструменты и операции, а также процедуры их контроля;

● инструментов хеджирования и страхования рисков;

● методов распределения полномочий и ответственности на всех этапах принятия решений между структурными подразделениями и должностными лицами организации;

● инструментов мониторинга ключевых рисков и их периодической оценки, текущего и последующего контроля качества управления активами/пассивами и уровнем принимаемых рисков;

● инструментов составления и анализа отчётности об оценочных триггерах и принимаемых рисках;

● инструментов информационно-технологического обеспечения возможности учёта сделок/операций, подверженных рискам.

Управление рисками базируется на принципах открытости, осторожности, а также основывается на:

● осведомлённости о риске (англ. risk awareness), при которой все сотрудники организации, осуществляющие операции, сопряжённые с риском, осведомлены о риске операций, обладают необходимыми навыками его идентификации, анализа и оценки и минимизации^[8];

● принципе обеспечения т. н. «трёх линий защиты» (англ. three lines of defense), состоящих из:

• первой линии (принятие рисков) (англ. first line (risk taking), в которой структурные подразделения, принимающие риски (бизнес-подразделения), должны стремиться к достижению поставленных задач по развитию бизнеса с учётом оптимального соотношения доходности и риска, осуществлять мониторинг решений по принятию риска, учитывать профили рисков, внедрять эффективные бизнес-процессы, участвовать в процессах идентификации и оценки рисков, соблюдать требования нормативных правовых документов;

• второй линии (управление рисками) (англ. second line (risk management), в которой подразделение, отвечающее за управление рисками, разрабатывает стандарты управления рисками, организует процесс управления рисками, определяет принципы, лимиты и ограничения, разрабатывает модели оценки рисков, проводит независимую от первой линии оценку рисков, мониторинг и контроль уровня рисков, проверяет соответствие уровня рисков установленным лимитам, в том числе аппетиту к риску, формирует отчётность по управлению рисками, консультирует по вопросам управления рисками, совершенствует действующую систему управления рисками;

• третьей линии (аудит системы управления рисками) (англ. third line (audit of the risk management system), в которой контролирующие подразделения организации проводят независимую оценку эффективности системы управления рисками и информируют органы управления о выявленных недостатках и действиях, предпринятых для их устранения.

1.2. Методика идентификации рисков и их лимитирование

Методика идентификации рисков направлена на формализацию процедур по выявлению подверженности операций или сделок организации различным видам риска, и её главной целью является необходимость в определении:

● процесса идентификации^[9] рисков и его периодичности;

● базы типов риска;

● реестра идентифицируемых рисков;

● методов оценки и выявления значимых рисков;

● состава и процесса составления карты рисков^[10].

Выявление и анализ подверженности риску планируемых и существующих направлений деятельности организации проводятся ей на регулярной основе с использованием метода декомпозиции риска, под которым следует понимать разложение совокупного риска на отдельные виды, составляющие и факторы^[11] риска, а также его величины^[12].

Для идентификации рисков организация осуществляет детальный анализ структуры своего продуктового портфеля, а также её текущей деятельности, в ходе которого выявляются основные факторы риска, непосредственно влияющие на изменение стоимости как отдельного инструментария, так и всего портфеля операций/сделок, подверженных риску в целом.

Идентификация рисков проводится организацией не реже одного раза в год, а в случае внесения изменений в продуктовую линейку либо в результате имплементации новых процессов или технологий необходимо провести обновление результатов идентификации рисков.

Современная практика, основанная на принципах следования лучшим практикам или стандартам поведения^[13], выделяет следующие методы идентификации рисков:

● анализ нормативных правовых документов, отраслевой практики, а также рекомендаций (публикаций) международных организаций и объединений, разрабатывающих стандарты и методики регулирования в различных сферах деятельности;

● анализ заключений рейтинговых агентств;

● анализ результатов внешних и внутренних проверок деятельности организации;

● анализ публикаций в публичных информационных ресурсах (средства массовой информации, сети Интернет), а также коммерческих базах данных, доступных организации на законных основаниях;

● совещательное обсуждение, используемое при идентификации рисков применения новых технологий и продуктов, бизнес-решений, выхода на новые рынки, а также существенного перестроения уже действующих бизнес-процессов, в том числе при передаче их на аутсорсинг;

● самооценка через анализ так называемых чек-листов (контрольных листов);

● сценарный анализ.

Как уже указывалось выше, одним из основных инструментариев в части идентификации рисков является составление так называемой карты рисков, ведущейся в разрезе всех существующих видов риска, с учётом следующих показателей:

● название риска (приводится полное название риска в соответствии с применяемой градацией по их типу);

● источники возникновения риска (приводится описание основных инструментов/продуктов, процессов организации, её клиентов или контрагентов, которые могут сгенерировать возникновения риска);

● факторы вероятности риска (приводится описание события и/ или явления, оказывающего влияние на вероятность реализации риска);

● вероятность наступления риска (приводится описание оценочной категории вероятности появления риска, исходя из источников возникновения риска и факторов вероятности риска);

● значимость риска (показатель определяет, является ли риск значимым или нет, а также, в случае если риск является незначимым, относится ли он к деятельности организации в целом либо её отдельному направлению деятельности/продукту/услуге);

● мероприятия воздействия на риск (даётся описание основных подходов по купированию имеющегося либо возможного риска);

● ответственные за мероприятия воздействия на риск (указываются структурные подразделения организации, ответственные за идентификацию того или иного риска и его лимитирование);

● мониторинг риска (указываются основные мероприятия по мониторингу уровня рисков, имеющиеся отчёты и порядок их предоставления);

● даты внесения записи и/или последнего изменения записи.

Карта риска обновляется на постоянной основе, но не реже 1 раза в год.

Что касается лимитирования, то оно является основной составной частью системы управления рисками в организации и в целях минимизации возможных убытков рассматривается как один из методов превентивного купирования рисков.

Основными целями лимитирования является ограничение рисков, направленное на:

● повышение финансовой устойчивости организации;

● оптимизацию соотношения «риск – доходность» по операциям/сделкам;

● формирование оптимальной структуры активов и пассивов с учётом структуры и объёма принятых рисков.

Целью лимитирования является ограничение риска по следующим видам активных операций:

● операции на валютном и денежном рынках;

● кредитно-депозитные операции на межбанковском рынке;

● кредиты (займы), предоставленные корпоративным заёмщикам;

● синдицированное кредитование;

● операции, связанные с осуществлением документарных операций;

● операции торгового финансирования^[14];

● операции с ценными бумагами;

● операции, осуществляемые в соответствии с договором финансирования под уступку денежного требования (факторинг);

● требования по сделкам продажи (покупки) финансовых активов с отсрочкой платежа (поставки финансовых активов);

● прочие операции, сопряжённые с кредитным риском (в том числе дебиторская задолженность, прочие требования по финансово-хозяйственным операциям).

Задачами лимитирования являются:

● обеспечение формирования и функционирования системы лимитирования рисков как составной части системы управления в целом;

● определение структуры и объёма принимаемых рисков;

● определение полномочий органов управления, должностных лиц и подразделений организации в процессе лимитирования рисков.

Лимиты устанавливаются на корпоративных заёмщиков, финансовые организации, эмитентов ценных бумаг (юридические лица, органы исполнительной власти или органы местного самоуправления) и другие организации, в отношении которых возникают требования, несущие риск.

Основными лимитами являются:

● показатель достаточности капитала;

● лимит на максимальный объём требований на одного заёмщика (группу взаимосвязанных заёмщиков)^[15];

● структурные лимиты^[16];

● страновые лимиты^[17];

● лимиты открытых позиций, в том числе лимиты открытой валютной позиции (ОВП)^[18], лимиты предельных размеров лимитов и прибыли;

● персональные лимиты полномочий по операциям на рынке капитала, а также полномочий по определению стоимостных параметров операций торгового финансирования^[19].

Все операции/сделки организации осуществляются ей исключительно в рамках установленных лимитов, параметры которых указываются в так называемой лимитной ведомости, отображающей структуру лимитов на контрагентов и являющейся внутренней закрытой информацией организации, не подлежащей разглашению третьим лицам.

Соответствующее структурное подразделение организации проводит ежедневный мониторинг информации в отношении её контрагентов/клиентов, осуществляемый с использованием данных публичной информации (СМИ), по опубликованным пресс-релизам международных рейтинговых агентств, а также с использованием коммерческих баз данных. Мониторинг финансового состояния контрагентов или клиентов проводится организацией на основе финансовой отчётности контрагента, составленной на последнюю отчётную дату.

Выявленная в ходе мониторинга информация может лечь в основание изменения лимита (совокупного лимита и/или сублимита в рамках совокупного лимита), подразумевающего:

● увеличение или снижение лимита (размера и/или срока);

● восстановление лимита;

● приостановление действия лимита;

● закрытие (прекращение действия) лимита.

При этом инициирование процедуры по снижению/приостановлению/закрытию лимитов может быть проведено:

● при получении информации о возможном ухудшении финансового состояния контрагента/клиента, а также в случае возникновения комплаенс-рисков;

● в случае отсутствия актуальной финансовой отчётности при проведении контроля лимита, установленного на контрагента/ клиента;

● при неблагоприятном изменении ситуации на финансовых рынках, существенном росте страновых факторов риска и т. д.;

● в случае отсутствия операций в рамках установленного лимита в течение 1 года;

● в случае отсутствия дальнейших планов или перспектив сотрудничества с контрагентом/клиентом;

● при наличии других факторов, которые могут повлиять на финансовую устойчивость контрагента/клиента и привести к неисполнению его обязательств.

Контроль соблюдения установленных лимитов (совокупного лимита, сублимитов) осуществляется путём проведения комплекса мероприятий, предусматривающих три уровня: текущий (оперативный)^[20], общий^[21] и последующий контроль, осуществляемый в рамках системы внутреннего контроля.