Текст книги "Основные принципы комплаенс-контроля"

Целью управления правовым риском является снижение вероятности возникновения у организации убытков вследствие несоблюдения ей норм применимого законодательства, положений международного права, нарушения положений учредительных документов либо внутренних нормативных правовых актов, правил и обычаев делового оборота, принципов профессиональной этики и банковской тайны, неисполнения заключённых соглашений, допускаемых правовых ошибок при осуществлении деятельности, а также аналогичных нарушений со стороны контрагентов либо клиентов организации.

Управление правовым риском осуществляется в целях:

● выявления, измерения и определения приемлемого уровня риска, проведения постоянного мониторинга за уровнем правового риска;

● принятия мер по поддержанию правового риска на уровне, не угрожающем финансовой устойчивости организации и интересам её клиентов/контрагентов;

● соблюдения всеми сотрудниками внутренних нормативных правовых актов и норм применимого права;

● исключения вовлечения организации и участия её сотрудников в осуществлении противоправной деятельности, в том числе легализации (отмывания) доходов, полученных преступным путём, и финансирования терроризма.

Основными задачами по управлению правовым риском являются:

● своевременное выявление факторов правового риска;

● получение оперативных и объективных сведений о состоянии и размере правового риска;

● анализ и оценка правового риска, возникающего в процессе деятельности организации;

● принятие мер по поддержанию приемлемого уровня правового риска, включающих в том числе контроль и/или минимизацию правового риска;

● установление взаимосвязей между отдельными видами рисков с целью оценки воздействия мероприятий, планируемых для ограничения одного вида риска, на рост или уменьшение уровня других рисков;

● разграничение правового риска и иных рисков с целью принятия адекватных мер для его устранения.

В процессе управления правовым риском организация руководствуется:

● принципом консервативности, при котором организация не проводит операции с неприемлемо высоким уровнем риска;

● принципом соизмеримости – адекватность управления правовым риском характеру и размерам деятельности организации;

● принципом информированности – управление правовым риском сопровождается наличием объективной, достоверной и актуальной информации;

● принципом непрерывности – организация проводит постоянный мониторинг факторов, влияющих на уровень правового риска, а также в случае необходимости своевременно вносит изменения во внутренние нормативные правовые акты.

Основными триггерами, влияющими на возникновение правового риска, являются внутренние и внешние факторы.

Внутренние факторы:

● несоблюдение организацией положений учредительных документов и внутренних нормативно правовых актов, норм применимого права;

● несоответствие нормативных правовых актов организации положениям её учредительных документов, нормам применимого права, а также неспособность приводить свою деятельность и нормативные правовые акты в соответствие с изменениями законодательства, применимого к деятельности организации;

● неэффективная организация правовой работы, приводящая к правовым ошибкам в деятельности организации вследствие действий персонала;

● нарушение организацией обязательств по договорам, заключённым с клиентами и контрагентами;

● недостаточная проработка правовых вопросов при разработке и внедрении новых технологий и условий проведения банковских операций и других сделок.

Внешние факторы:

● несовершенство правовой системы (коллизионность[91]91
  Юридический дисбаланс в какой-либо отрасли права, порождающий правовые коллизии, в том числе в части порождения искажения первоначального замысла нормативного акта.


[Закрыть] законодательства, неоднозначность толкования некоторых положений законодательства, отсутствие правовых норм по регулированию отдельных вопросов, возникающих в процессе деятельности организации);

● невозможность решения отдельных вопросов, возникающих из договорных отношений, путём переговоров, обращение в судебные органы для их урегулирования;

● нарушение клиентами и контрагентами нормативных правовых актов организации, а также условий заключённых договоров.

Управление правовым риском осуществляется на трёх уровнях: предварительный (начальный), текущий и заключительный.

Предварительный (начальный) уровень представляет собой систему организационных и информационно-методологических мер, направленных на предупреждение возникновения правового риска до момента вступления в договорные отношения, а также включает комплекс мер по недопущению правонарушений со стороны персонала.

В целях предупреждения возникновения правового риска организация использует следующие основные мероприятия:

● разработка и стандартизация нормативных правовых документов, регламентирующих заключение сделок и осуществление операций (кодексы, политики, порядки, инструкции, положения, процедуры, методические рекомендации и пр.);

● постоянный мониторинг норм применимого права, обеспечение оперативного доступа сотрудников организации к актуальной нормативной правовой базе применимого законодательства, а также доступа к внутренней нормативной базе организации;

● установление внутреннего порядка обязательного согласования (визирования) юридическим подразделением всех издаваемых организацией внутренних нормативных актов и заключаемых ей соглашений;

● установление квалификационных требований к персоналу с целью исключения некомпетентных и (или) необоснованных действий, разграничение полномочий между сотрудниками, а также проведение предварительных проверок сотрудников с целью их исключения из числа лиц, совершавших ранее правонарушения, а также лиц, подозреваемых в легализации (отмывании) доходов, полученных преступным путём, и финансировании терроризма.

Текущий уровень состоит из выявления, анализа и оценки фактов, влияющих на уровень правового риска, а также проведения постоянного мониторинга состояния уровня правового риска и разработки мероприятий по минимизации/регулированию выявленных правовых рисков.

Оценка и анализ уровня правового риска проводятся на основе следующих критериев:

● количество судебных исков[92]92
  Требование организации к её клиентам и контрагентам, иным лицам, а также требования клиентов и контрагентов организации, иных лиц, обращённые к суду первой инстанции, о защите нарушенного или оспариваемого права или охраняемого законом интереса в установленном законом порядке на основании фактов, с которыми связано неправомерное действие/бездействие.


[Закрыть];

● выплаты денежных средств организацией на основании постановлений (решений) судов, решений органов, уполномоченных в соответствии с законодательством местопребывания организации, стран размещения и привлечения средств;

● количество жалоб и претензий самой организации[93]93
  Официально оформленное и направляемое организацией требование к клиентам и контрагентам, органам государственной власти и управления, связанное с нарушением норм применимого права, правовых норм стран размещения и привлечения средств, применимых к деятельности организации, либо условий заключённых договоров и соглашений.


[Закрыть] и количество жалоб и претензий к ней[94]94
  Официально оформленное и полученное организацией требование со стороны её клиентов и контрагентов, органов государственной власти и управления, связанное с нарушением ей норм применимого права, правовых норм стран размещения и привлечения средств, применимых к деятельности организации, либо условий заключённых договоров и соглашений.


[Закрыть];

● случаи нарушения организацией норм применимого права, а также законодательства стран размещения и привлечения средств;

● факты хищения, подлога, мошенничества в организации, использования сотрудниками в личных целях конфиденциальной информации, принадлежащей организации или полученной ей от клиентов и контрагентов, влекущие за собой судебные и (или) внесудебные разбирательства, а также нарушение служебной, коммерческой, банковской тайны и т. д.[95]95
  Подтверждённое событие, установленное служебным расследованием, проводимым силами организации, а также установленное по официальной информации, полученной от правоохранительных органов, из средств массовой информации либо из иных источников, доступных организации на законных основаниях.


[Закрыть];

● факты действия/бездействия клиентов и контрагентов организации, нарушающие принятые на себя обязательства по заключённым соглашениям, в связи с которыми организацией направляется официальная жалоба (уведомление, письмо) на такие действия/бездействия;

● факты действия/бездействия организации, нарушающие принятые на себя обязательства по заключённым соглашениям, повлёкшие за собой получение организацией официальной жалобы (письма, уведомления) от клиентов и контрагентов на такие действия/бездействия;

● факты действия/бездействия третьих лиц, не связанных договорными отношениями с организацией, в связи с которыми организацией направляется официальная жалоба (письмо, уведомление) либо уполномоченным органом возбуждается производство по делу об административном правонарушении;

● факты действия/бездействия организации, повлёкшие за собой официальные жалобы от третьих лиц, не связанных с ней договорными отношениями, либо возбуждение уполномоченным органом производства по делу об административном правонарушении, в которых организация является ответчиком;

● факты нарушения персоналом организации внутренних нормативных правовых актов и установленных процедур, подтверждённые результатами служебных расследований (проверок).

Выявление фактов правового риска осуществляется на постоянной основе всеми сотрудниками в рамках текущей деятельности соответствующих структурных подразделений и должностных регламентов.

Сотрудники, осуществляющие свои должностные обязанности, обязаны незамедлительно передавать сведения о ставших им известными фактах, влияющих на уровень правового риска (копии соответствующих документов: жалобы, претензии, судебные акты, предписания органов государственной власти и управления и т. п.), своему непосредственному руководителю, который, в свою очередь, обязан незамедлительно проинформировать о таких фактах вышестоящее в порядке подчинённости руководство.

Руководители структурных подразделений обязаны информировать соответствующее структурное подразделение, к компетенции которого отнесена функция по фиксированию правового риска, в порядке и в сроки, предусмотренные внутренними нормативными актами, путём направления служебной записки, подготовленной в установленной форме.

Организация анализирует характер выявленных фактов, влияющих на уровень правового риска, их количество, источники и причины их возникновения, а также влияние выявленных фактов на её деятельность и финансовое состояние.

В результате проведённого анализа правовому риску присваивается один из следующих уровней:

● несущественный (допустимый) уровень риска;

● умеренный (удовлетворительный) уровень риска;

● повышенный уровень риска;

● серьёзный уровень риска;

● критический уровень риска.

Организация на постоянной основе осуществляет мониторинг состояния уровня правового риска, разрабатывает определённые процедуры минимизации и нейтрализации возможных последствий правового риска, осуществляет подготовку надлежащих мероприятий и управленческих решений, направленных на снижение уровня правового риска.

Заключительный уровень управления правовым риском состоит из проведения анализа фактов, которые привели к возникновению правовых рисков, а также выработки рекомендаций по оптимизации и совершенствованию системы управления правовым риском с последующим контролем за её эффективностью.

Целью управления модельным риском является снижение вероятности возникновения убытков вследствие применения некорректных специализированных моделей количественной оценки рисков и/или моделей, на основе которых принимаются инвестиционные решения.

Основным инструментом управления модельным риском является регулярная верификация (оценка адекватности) используемых для оценки рисков моделей с целью проверки их предсказательной способности и прогнозной точности. Также в качестве инструмента снижения риска проводится тестирование применяемых моделей на фактических показателях с целью сравнения фактических и прогнозных значений.

Управление модельным риском включает:

● выявление потенциальных ошибок в процессах разработки, проверки, адаптации, приёмки, применения методик количественных и качественных моделей оценки;

● выявление недостоверности и неполноты данных, использованных при разработке и проверке моделей оценки, включая оценку влияния этих ошибок на качество моделей оценки;

● контроль за разработкой моделей оценки активов, проверку правильности применения методик и технологий моделирования, в том числе правильности постановки задачи на разработку, принимаемых допущений, использования в моделях оценки всех существенных факторов, оценки прогнозной точности моделей, оценки активов, контроль за соответствием моделей оценки условиям внешней среды и внешним и внутренним факторам их применения;

● выявление ошибок в процессах регистрации, учёта и отчётности о результатах разработки и применения моделей оценки;

● контроль за полнотой документации о разработке моделей оценки и её применением;

● контроль за своевременностью калибровки моделей оценки, связанной с изменением внешних и внутренних факторов их применения и поступлением новых данных, свидетельствующих о снижении качества моделей оценки и их прогнозной точности;

● валидацию моделей оценки, осуществляемую как силами организации, так и силами внешних вендоров;

● контроль качества валидации моделей оценки, в том числе корректности применения валидационных тестов и критериев;

● контроль за внедрением моделей оценки в промышленную эксплуатацию;

● выявление ошибок в интерпретации результатов моделей оценки для принятия управленческих решений и бизнес-решений, в том числе связанных с использованием моделей оценки в предметных областях, для которых они не разрабатывались и не валидировались.

Целью управления риском концентрации является снижение вероятности возникновения убытков вследствие концентрации существенного объёма сделок и операций на ограниченном количестве клиентов/контрагентов, а также существенная зависимость деятельности организации от ограниченного количества уникальных поставщиков услуг.

В целях минимизации риска концентрации реализуются следующие мероприятия:

● диверсификация портфеля по клиентам/контрагентам;

● диверсификация портфеля по странам;

● диверсификация работающего актива по направлениям бизнеса.

Организация также должна учитывать риск концентрации при выборе контрагентов и подрядчиков по договорам сервиса и оказания услуг.

Процедуры по управлению риском, возникающим в связи с подверженностью организации крупным рискам, реализация которых может привести к значительным убыткам, способным создать угрозу для платёжеспособности организации и её способности продолжать свою деятельность, должны включать:

● процедуры выявления и измерения риска концентрации в отношении значимых рисков, методологию стресс-тестирования устойчивости организации к указанному риску;

● процедуры по ограничению риска концентрации, порядок установления лимитов концентрации, методы контроля за соблюдением этих лимитов;

● порядок информирования исполнительных органов о размере принятого риска концентрации и допущенных нарушениях установленных лимитов концентрации, а также порядок их устранения.

Процедуры по управлению риском концентрации должны соответствовать бизнес-модели организации, сложности совершаемых операций, своевременно пересматриваться, охватывать различные формы концентрации рисков, а именно:

● значительный объём требований к одному контрагенту или группе контрагентов в случае, если один контрагент контролирует или оказывает значительное влияние на другого контрагента (других контрагентов) или если контрагенты находятся под контролем третьего лица (третьих лиц), не являющегося (не являющихся) контрагентом (контрагентами) организации (группа связанных контрагентов);

● значительный объём вложений в инструменты одного типа и инструменты, стоимость которых зависит от изменений общих факторов;

● кредитные требования к контрагентам в одном секторе экономики или географической зоне, а также кредитные требования, номинированные в одной валюте;

● кредитные требования к контрагентам, финансовые результаты которых зависят от осуществления одного и того же вида деятельности или реализации одних и тех же товаров и услуг;

● косвенную подверженность риску концентрации, возникающую при реализации мероприятий по снижению кредитного риска;

● зависимость от отдельных видов доходов и от отдельных источников ликвидности.

В целях выявления и измерения риска концентрации организация устанавливает систему показателей, позволяющих выявлять риск в отношении значимых рисков, отдельных крупных контрагентов организации (групп связанных контрагентов) и связанных с ней лиц (групп связанных лиц), секторов экономики и географических зон.

В рамках процедур по ограничению риска концентрации организация должна определить систему лимитов, позволяющую ограничивать риски концентрации как в отношении отдельных крупных контрагентов (групп связанных контрагентов), так и в отношении контрагентов, принадлежащих к одному сектору экономики, одной географической зоне.

Организация также обеспечивает контроль за риском концентрации на уровне подразделения (работника), в функции которого входит осуществление контроля за агрегированной позицией по принятым рискам, и определяет комплекс мероприятий, направленных на снижение риска, к которым относятся:

● проведение детального анализа ситуации в секторах экономики, в отношении которых выявлен риск концентрации;

● проведение углублённого анализа кредитоспособности контрагентов, в отношении операций (сделок) с которыми выявлен повышенный риск концентрации;

● снижение лимитов по риску концентрации;

● использование дополнительного обеспечения;

● проведение операций (сделок), направленных на передачу части риска концентрации третьей стороне;

● выделение дополнительного капитала для покрытия риска концентрации.

2. Комплаенс-контроль

2.1. Общие положения

Процесс глобализации мировых экономик, начавшийся во второй половине XX века, стал причиной разрастания транснациональных корпораций, укрупнения финансовых и фондовых рынков, что повлекло за собой реструктуризацию и модификацию имеющихся гражданско-правовых сделок в новые, вызвало необходимость в трансформации как способов и форм расчётов, так и имеющихся финансовых инструментов (включая производные), инициировало миграцию расчётной функции в глобальные компьютерные сети.

Всё это создало предпосылки для возникновения широкого спектра угроз и рисков, необходимость в оперативном купировании которых потребовала модификации правил и стандартов, установленных лучшими практиками или стандартами поведения (best practice), корректировки обычаев делового оборота, а также усиления сторонами соответствующих правоотношений своих механизмов внутреннего контроля[96]96
  Под системой внутреннего контроля следует понимать процесс, целью которого является осуществление последующего контроля для целей получения и анализа информации относительно эффективности и рациональности деятельности организации, достоверности её внутренней и внешней отчётности, а также соблюдения ей и её сотрудниками норм применимого права, норм международного права (если применимо), а также внутренних нормативных актов.


[Закрыть] (аудита), а также имплементации процедур оперативного контроля за внутренними бизнес-процессами организаций, проистечение которых не должно подвергать организацию какой-либо угрозе или риску такой угрозы.

Таким главным инструментом как раз и является комплаенс[97]97
  Комплаенс (от англ. compliance) – соответствие деятельности организации и её сотрудников требованиям внутренних нормативно-правовых актов, применимому законодательству, обязательствам, принятым организацией на себя, а также best practice.


[Закрыть], предусматривающий имплементацию в бизнес-модель организации многоуровневой внутренней комплаенс-системы[98]98
  Комплаенс-система является частью системы внутреннего контроля наравне с внутренним аудитом.


[Закрыть], которая представляет собой совокупность элементов корпоративной культуры и корпоративных ценностей[99]99
  Принятые в организации и обязательные для исполнения всеми её сотрудниками правила и принципы, которые определяют взаимоотношения персонала организации как между собой, так и с внешней средой (клиентами, контрагентами, деловыми партнёрами, средствами массовой информации, органами государственной власти и пр.).


[Закрыть], состоящих из организационной структуры, правил и процедур, регламентированных внутренними нормативно-правовыми актами организации, направленных на оперативное купирование комплаенс-риска[100]100
  Риск применения юридических санкций или существенного финансового убытка или потери репутации организации в результате несоблюдения применимого законодательства, внутренних нормативных актов и стандартов, обязательств, принятых ей в соответствии с соответствующими соглашениями. Комплаенс-риски подразделяются на поведенческие (в частности, противоправные действия, конфликт интересов и пр.), регламентные (несоблюдение норм права) и гражданско-правовые (нарушение регламента взаимодействия с клиентами и контрагентами), приводящие к финансовым либо репутационным издержкам, а также приводящие к потере организацией места на рынке соответствующих товаров, работ либо услуг.


[Закрыть].

2.2. Основные комплаенс-принципы

К основным принципам комплаенса относятся:

● Безусловность соблюдения (англ. unconditional compliance), при которой соблюдение комплаенс-принципов и следование корпоративным ценностям организации является обязанностью каждого её сотрудника независимо от занимаемой должности и рассматривается как неотъемлемая часть деятельности организации.

● Нетерпимость к коррупции[101]101
  Злоупотребление служебным положением (дача взятки, получение взятки), полномочиями (коммерческий подкуп), либо иное незаконное использование лицом своего должностного положения вопреки законным интересам организации в целях получения выгоды в виде денег, ценностей, иного имущества или услуг имущественного характера, иных имущественных прав для себя или для третьих лиц, либо незаконное предоставление такой выгоды указанному лицу третьими лицами.


[Закрыть] и коррумпированным действиям (англ. intolerance of corruption and corrupt practices), при которой организация считает недопустимым любые проявления коррупции при осуществлении своей деятельности, что означает строгий запрет для любых лиц, действующих от имени организации или в её интересах, прямо или косвенно, лично или через какое-либо посредничество участвовать в коррумпированных действиях вне зависимости от практики ведения бизнеса.

● Достаточность ресурсов (англ. sufficiency of resources), при которой в организации выделяется достаточное количество ресурсов, необходимых для разработки, реализации, применения, мониторинга и постоянного улучшения комплаенс-системы, а также используемых организационных и технических средств.

● Независимость комплаенс-функции[102]102
  Функция, обеспечивающая управление комплаенс-рисками.


[Закрыть] (англ. independence of the compliance function), при которой комплаенс-контролёр (сотрудник организации, осуществляющий координацию и общее руководство комплаенс-функцией) независим в своей деятельности от других структурных подразделений организации, непосредственное руководство деятельностью которого осуществляет единоличный исполнительный орган. В целях осуществления своих функциональных обязанностей комплаенс-контролёр вправе запрашивать и получать любую информацию и документы, получать доступ к электронным носителям информации, обращаться за помощью к персоналу организации, а также проводить проверки в целях выявления возможных нарушений требований внутренних нормативных документов в области комплаенса.

Комплаенс-контролёр несёт ответственность за эффективное управление комплаенс-рисками и в указанных целях осуществляет следующие мероприятия комплаенс-контроля[103]103
  Комплекс мер, включающий выявление событий, влияющих на уровень комплаенс-риска, и принятие решений по управлению выявленными комплаенс-рисками, систему утверждения новых банковских продуктов и бизнес-процедур, а также проведение проверок комплаенс-системы и регулярное информирование органов управления организации по вопросам управления комплаенс-рисками.


[Закрыть]:

● выявление, оценку, документирование и анализ комплаенс-рисков, связанных с деятельностью организации, в том числе при разработке новых продуктов и бизнес-процедур, предлагаемом установлении новых видов хозяйственных и клиентских отношений или существенных изменениях в характере этих отношений;

● контроль за соблюдением внутренних нормативных актов организации, её договоров/соглашений, норм применимого законодательства, а также общепринятых правил и стандартов, входящих в компетенцию комплаенс-контролёра;

● разработку внутренних нормативных правовых документов по вопросам управления комплаенс-рисками, в том числе устанавливающих этические правила и стандарты корпоративных ценностей;

● координацию выявления и управления комплаенс-рисками и контроль за деятельностью сотрудников, выполняющих комплаенс-функции;

● регулярное информирование органа управления организации по вопросам управления комплаенс-рисками;

● консультирование персонала по вопросам управления комплаенс-рисками, а также организацию соответствующего обучения сотрудников;

● координацию работы по идентификации клиентов организации, их представителей и бенефициарных владельцев, установление и идентификацию их выгодоприобретателей.

Структурные подразделения организации осуществляют идентификацию (выявление) источников возникновения комплаенс-рисков и направляют соответствующую информацию об их выявлении в адрес комплаенс-контролёра. Распределение полномочий и ответственности структурных подразделений в области анализа и оценки комплаенс-рисков и порядок их взаимодействия с комплаенс-функцией закрепляются в положениях о структурных подразделениях, должностных регламентах и других нормативных правовых документах организации.

● Своевременное устранение нарушений (англ. timely elimination of violations), при котором сотрудники организации независимо от занимаемой должности принимают все возможные меры для своевременного выявления, оценки и устранения нарушений комплаенс-системы.

● Защита от мер воздействия (англ. protection from exposure measures), при которой сотрудники организации обязаны сообщать (Whistleblowing Policy[104]104
  См. главу «Противодействие противоправным действиям».


[Закрыть]) комплаенс-контролёру об известных им ситуациях, когда их собственные действия или действия других сотрудников нарушили (или могут нарушить) стандарты корпоративной этики, о любых случаях проведения запрещённых операций в отношении текущей, прошлой или будущей деятельности организации, её сотрудников, контрагентов или о случаях, связанных с нарушением требований внутренних нормативных актов.

Организация должна гарантировать сообщившему сотруднику конфиденциальность и защиту от любых негативных проявлений и действий в его адрес со стороны других сотрудников организации.

● Конфиденциальность информации (англ. confidentiality of information), при которой сотрудники организации не имеют права разглашать или использовать в личных интересах или интересах третьих лиц информацию о деятельности организации, о клиентах, контрагентах и их операциях, сотрудниках структурных подразделений организации, не предназначенную для публичного распространения, которую они получили во время исполнения своих функциональных обязанностей.