Основные принципы комплаенс-контроля
• нарушение организацией обязательств кредитора;
• нарушение организацией обязательств по расчётно-кассовому обслуживанию;
• неправильная деловая или рыночная практика;
• нарушение законодательства по противодействию отмыванию доходов, полученных преступным путём, финансирования терроризма;
• осуществление нелицензированной деятельности (предоставление услуг, подлежащих лицензированию, при отсутствии необходимой лицензии либо специального разрешения);
• практика проведения банковских операций, не соответствующая общепринятой деловой или рыночной практике;
• изъяны в продуктах расчётно-кассового обслуживания (претензии клиентов в части скорости обработки информации, документооборота, «ручной» обработки данных, тарифы, комиссии и т. п.);
• изъяны в продуктах дистанционного банковского обслуживания;
• изъяны в банковских продуктах с предоставлением посреднических услуг (в том числе конверсионные операции);
• изъяны в банковских продуктах по кредитованию;
• изъяны в иных банковских продуктах (за исключением расчётно-кассового обслуживания, дистанционного банковского обслуживания, посреднических операций);
• невыполнение требований по изучению клиентов;
• превышение лимитов риска на одного клиента/контрагента;
• разногласия в оценках результатов консалтинговых услуг;
● причинение ущерба физическим активам[70]:
• причинение ущерба физическим активам в результате катастроф (природных и техногенных), терроризма, вандализма и иных форс-мажорных обстоятельств;
• причинение ущерба физическим активам в результате обстоятельств, не являющихся форс-мажорными;
● нарушения в системах ведения бизнес-процессов и сбои информационно-технологических систем[71]:
• сбои программного обеспечения, информационных систем и технологий;
• сбои оборудования и выход из строя аппаратного обеспечения;
• сбои в работе телекоммуникаций;
• сбои в энергоснабжении, водоснабжении, в работе отопительных систем, систем кондиционирования и иных технических систем;
● ошибки в управлении процессами[72]:
• неадекватная организация внутренних процессов и процедур, несовершенство распределения обязанностей и полномочий внутри бизнес-процесса, неправильные внутренние коммуникации и документооборот бизнес-процесса;
• несоблюдение, неточное соблюдение правил и стандартов бухгалтерского учёта;
• бухгалтерские технические ошибки (ошибки в бухгалтерских проводках);
• ошибки при вводе, загрузке или поддержании данных в автоматизированной банковской системе (ошибки в атрибуции клиентов/контрагентов, процентных ставок, котировок, курсов валют, ошибки в отдельных аналитических модулях автоматизированной банковской системы);
• ошибки при вводе, загрузке или поддержании данных в специализированных прикладных программах, используемых структурными подразделениями организации;
• неправильное функционирование систем или моделей, ошибки в методологии, неправильно выбранная методология;
• непреднамеренное превышение должностных полномочий (в том числе персональных лимитов);
• прочие ошибки при выполнении задач по исполнению и поддержанию банковских операций;
• неточная внешняя финансовая отчётность организации;
• неточная внутренняя финансовая (бухгалтерская) отчётность (промежуточная отчётность, управленческая отчётность и т. п.);
• неточная отчётность о деятельности организации (ежемесячная информация в адрес учредителей (акционеров) организации, иные формы отчётности);
• отсутствующая или неполная юридическая документация по клиентам/контрагентам (в том числе кредитные досье, юридические досье и т. п.);
• ошибки в договорных документах с клиентами/контрагентами;
• утеря и некомплектность документов клиента/контрагента;
• ошибки и неточности при совершении операций по счетам клиентов (несвоевременное списание/зачисление средств, неправильные реквизиты, прочие ошибки и неточности);
• ошибки и неточности со стороны клиентов (неправильные реквизиты, прочие неточности, повлёкшие дополнительные затраты);
• ошибки и неточности при совершении операций с контрагентами (операции по межбанковскому кредитованию, ведение корреспондентских счетов, операции с ценными бумагами и т. п.);
• конфликты с контрагентами, в том числе предъявление штрафных санкций;
• аутсорсинг (ошибки и неточности при выборе компаний, осуществляющих аутсорсинг, конфликты, непредоставление, ненадлежащее предоставление услуг и т. п.);
• ошибки и неточности при оказании организации консалтинговых услуг;
• конфликты с поставщиками, невыполнение обязательств перед организацией поставщиками услуг, исполнителями работ, неправильный выбор поставщика, подрядчика.
Оценка и мониторинг операционного риска предполагают качественное и количественное измерение операционного риска. В качестве основных подходов к измерению, оценке и мониторингу операционного риска используются следующие методы:
● Численная (нормативная) оценка, которая проводится путём учёта необходимости резервирования капитала под события операционного риска, путём включения в расчёт показателя достаточности капитала.
● Карты операционных рисков, первоначально составляемые на основе результатов опроса экспертов (руководителей и специалистов организации) по категориям риска для всей организации в целом и/или по структурным подразделениям и бизнес-процессам. По мере накопления данных об операционных потерях построение карты рисков проводится на основе фактических данных об операционных потерях. Карты операционных рисков используются для оценки риска, а также для его мониторинга.
● Самооценка операционного риска, являющаяся экспертным балльно-весовым методом, позволяющим оценить уровень контроля операционных рисков или подверженность остаточному[73] (не контролируемому) операционному риску в разрезе выбранных единиц портфеля операционных рисков (структурных подразделений, бизнес-направлений) и категорий операционных рисков. Самооценка операционного риска осуществляется на основе анкетных опросов экспертов (руководителей структурных подразделений), которые проводят критическую самооценку уровня контроля операционных рисков в своих структурных подразделениях. Экспертные опросы проводятся в целях определения на выбранном объекте следующей информации:
• факторы риска, которым подвержен выбранный объект риска;
• возможные сценарии реализации выбранного фактора риска на выбранном объекте риска;
• последствия реализации сценария и частота его реализации;
• эффективность текущих мер контроля риска;
• предложения по стратегии управления описанным риском и мероприятиям по минимизации последствий вследствие реализации риска;
• ключевые показатели риска (ключевые индикаторы риска), которые могут быть использованы на выбранном объекте риска.
● Расчёт ключевых показателей риска, основанный на системе числовых индикаторов (показателей и параметров), которые теоретически или эмпирически связаны с уровнем операционного риска. В их состав входят показатели, характеризующие частоту возникновения случаев операционных убытков, и показатели, косвенно характеризующие вероятность возникновения потерь.
● Стресс-тестирование (сценарный анализ), используемое для анализа возможных значений операционных убытков в различных вариантах развития событий. Сценарный анализ позволяет смоделировать критические ситуации проявления операционного риска и оценить его влияние на деятельность организации.
Для минимизации операционного риска организация осуществляет регулирование операционного риска[74]. При определении методов ограничения (минимизации) операционных рисков организация подразделяет факторы операционного риска на подконтрольные (контролируемый[75] операционный риск) и неподконтрольные (остаточный операционный риск).
В целях ограничения операционных рисков при освоении новых направлений деятельности, продуктов, технологий и изменения ключевых бизнес-процессов организация осуществляет предварительный анализ потенциальных операционных рисков.
В зависимости от типа операционных рисков различаются следующие способы управления операционным риском:
● способы (мероприятия) по уменьшению операционного риска (система и процедуры внутреннего контроля, порядки и регламенты осуществления операций на финансовых рынках, контрольные и верификационные функции информационных систем при осуществлении финансовых операций);
● способы покрытия отдельных видов возможных потерь от реализации операционных рисков (создание резервов, распределение капитала и страхование).
В части подконтрольных факторов операционного риска организация осуществляет следующие меры (мероприятия):
● разработку организационной структуры, правил и процедур совершения банковских операций и других сделок;
● разработку порядка утверждения (согласования) и подотчётности по заключаемым сделкам и проводимым операциям;
● обеспечение информационной безопасности за счёт:
• разработки нормативно-методических документов, регламентирующих осуществление деятельности по защите информации;
• разработки и реализации комплекса организационно-технических мероприятий по защите информационных активов от возможных угроз;
• обеспечения резервирования данных, направленного на сохранение и возможность восстановления информационных активов в случае возникновения сбоев и отказов технических и программных средств, ошибочных действий персонала, техногенных аварий и других непредвиденных обстоятельств;
• проведения аудита информационно-технологических систем в целях выявления неучтённых ранее источников операционного риска;
● снижение операционных рисков путём внедрения новых информационных технологий и автоматизации бизнес-процессов, совершаемых в «ручном» режиме;
● внедрение квалификационных требований, повышение уровня квалификации персонала, обучение новым информационным технологиям и правилам обеспечения информационной безопасности на рабочем месте, материальное стимулирование и улучшение условий труда, применение санкций за нарушения технологий, установление персональных лимитов полномочий и пр.;
● установление структурных лимитов;
● осуществление страхования:
• зданий и иного имущества – от разрушений, повреждений, утраты в результате стихийных бедствий и других случайных событий, а также в результате действий третьих лиц;
• персонала – от несчастных случаев и причинения вреда здоровью;
• носителей информации и самой информации – на случай утраты;
• специфических рисков, в том числе связанных с профессиональной ответственностью персонала, ущерба от преступлений в сфере компьютерной информации.
В части неподконтрольных факторов операционного риска организацией осуществляются:
● стресс-тестирование – построение различных сценариев развития событий;
● разработка и внедрение комплексной системы мер по обеспечению непрерывности финансово-хозяйственной деятельности организации, включая планы действий на случай непредвиденных обстоятельств.
Эффективность системы управления операционными рисками, в том числе предотвращение операционных рисков, основывается на качественной системе внутреннего контроля в организации. Создание эффективных процедур, которые в совокупности составляют единую систему внутреннего контроля, является основным методом управления операционными рисками. Процедуры внутреннего контроля являются обязательным элементом при осуществлении всех бизнес-процессов, что позволяет сократить вероятность и последствия реализации операционного риска.
1.3.8. Стратегический риск
Целями управления стратегическим риском являются:
● снижение вероятности возникновения у организации убытков вследствие несовершенства корпоративного управления[76] либо некорректно определённых при бизнес-планировании[77] стратегий[78] развития (стратегических целей и задач);
● повышение уровня доверия к организации (деловой репутации) со стороны клиентов, контрагентов, участников финансового рынка, союзов (ассоциаций), участником которых является организация, путём соблюдения правил и обычаев делового оборота, условий заключаемых договоров, сделок и т. д.;
● повышение эффективности проводимых операций.
Основными задачами по управлению стратегическим риском являются:
● выявление и анализ факторов стратегического риска, возникающего у организации в процессе текущей деятельности;
● построение эффективной модели корпоративного управления, отвечающей целям и масштабу деятельности организации;
● исключение конфликта интересов на всех этапах деятельности организации;
● соблюдение всеми сотрудниками внутренних нормативных актов и норм применимого права;
● осуществление контроля за исполнением стратегии;
● принятие адекватных мер для снижения/избежания возможных потерь в случае реализации стратегического риска.
В процессе управления стратегическим риском сотрудники руководствуются:
● принципом непрерывности, при котором организация проводит постоянный мониторинг факторов, влияющих на уровень стратегического риска, а также в случае необходимости вносит в оперативном порядке изменения во внутренние нормативные документы;
● принципом информированности, при котором управление стратегическим риском сопровождается наличием объективной, достоверной и актуальной информации;
● принципом адекватности – адекватность управления стратегическим риском характеру и размерам деятельности организации.
Существующая правоприменительная практика выделяет следующие основные факторы, влияющие на возникновение стратегического риска:
● недостаточно чёткие и реалистичные цели и задачи, поставленные руководством организации;
● недостаточно обоснованные/неправильно определённые перспективы направлений деятельности организации;
● недостатки/ошибки при принятии решений, определяющих стратегию деятельности и развития организации;
● недостаточно эффективная организация процесса корпоративного управления;
● возникновение конфликта интересов;
● принятие решений в текущей деятельности вразрез или в противоречие с утверждённой стратегией;
● полное/частичное отсутствие соответствующих организационных, информационно-методологических, кадровых и финансовых ресурсов для достижения стратегических целей деятельности организации;
● недостатки в управлении банковскими рисками, осуществление рискованной кредитной, инвестиционной и рыночной политики, высокий уровень операционного риска, недостатки в организации системы внутреннего контроля.
Организация проводит анализ факторов, влияющих на стратегический риск, определяет источники и причины их возникновения, а также их влияние на деятельность и финансовое состояние и для управления стратегическим риском осуществляет следующие мероприятия:
● определяет основные цели и задачи деятельности и разрабатывает в соответствии с ними стратегию развития;
● в рамках исполнения стратегии осуществляет бизнес-планирование, финансовое планирование, а также осуществляет текущее планирование деятельности путём постановки текущих задач перед структурными подразделениями организации и разработки структурными подразделениями детализированных планов по всем направлениям деятельности;
● на постоянной основе осуществляет контроль за исполнением стратегии и бизнес-планов;
● проводит контроль за выполнением утверждённых планов в рамках реализации стратегии и в случае необходимости принимает меры, направленные на корректировку планов деятельности для реализации стратегии развития;
● создаёт адекватную организационную структуру, в том числе осуществляет разграничение полномочий органов управления по принятию решений, а также централизацию стратегического управления в одном структурном подразделении, отвечающем за разработку стратегии;
● проводит на постоянной основе мониторинг изменений политической и экономической ситуации в стране инкорпорации организации, а также в странах местопребывания аффилированных (связанных) с ней лиц[79];
● проводит мониторинг и анализ изменения рыночной среды;
● осуществляет обоснованное принятие решений об участии организации в инвестиционных, кредитных и других проектах с учётом факторов стратегического риска;
● производит мониторинг и оценку адекватности ресурсов для реализации стратегии: финансовых, организационных, информационно-методологических, кадровых;
● организует систему управления рисками, адекватную масштабам своей деятельности, уровню рисков и текущим задачам;
● организует систему внутреннего контроля с учётом характера и масштабов деятельности организации;
● разрабатывает мероприятия, направленные на минимизацию/ регулирование выявленных стратегических рисков;
● осуществляет контроль за уровнем управления стратегическим риском в целом;
● формирует эффективную систему документооборота, обеспечивает оперативный доступ сотрудников к актуальной нормативной базе законодательства, а также к нормативной базе внутренних актов организации;
● формирует систему информационной безопасности организации.
1.3.9. Риск потери деловой репутации[80]
Риск потери деловой репутации[81] (репутационный риск) – риск возникновения у организации убытков вследствие формирования в обществе негативного представления о её финансовой устойчивости, качестве оказываемых ей услуг или о характере её деятельности в целом, риск утраты имиджа стабильно надёжной организации.
Целью управления риском потери деловой репутации являются:
● снижение возможных убытков, сохранение и поддержание уровня деловой репутации перед контрагентами, клиентами, участниками финансового рынка, органами государственной власти и местного самоуправления страны местопребывания организации и стран размещения и привлечения средств, союзами и ассоциациями;
● урегулирование (минимизация последствий) возможных конфликтов интересов[82] между организацией и клиентами/контрагентами, другими заинтересованными лицами, в том числе с учредителями организации;
● обеспечение соблюдения интересов учредителей организации, а также клиентов и контрагентов, вступающих с ней в финансовые отношения.
Основными задачами в области управления риском потери деловой репутации являются:
● формирование положительной деловой репутации организации путём выполнения ей своих обязательств перед клиентами и контрагентами, а также соблюдения норм делового этикета;
● соблюдение законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;
● соблюдение всеми сотрудниками внутренних нормативных правовых актов и норм применимого права, а также стандартов профессиональной деятельности;
● осуществление контроля за соблюдением внутренних нормативных правовых актов и норм применимого права всеми структурными подразделениями организации;
● создание и поддержание эффективности механизма своевременной идентификации и предотвращения возможных (потенциальных) негативных событий;
● исключение конфликта интересов на всех этапах деятельности организации;
● принятие адекватных мер для снижения/избежания возможных потерь;
● совершенствование системы внутреннего контроля.
Все структурные подразделения и все сотрудники организации участвуют в процессе управления риском потери деловой репутации и обязаны заботиться о ней.
Основными внутренними и внешними факторами (причинами) риска потери деловой репутации являются:
● несоблюдение норм применимого законодательства, а также законодательства стран размещения и привлечения средств, международного права, нарушение положений учредительных документов и внутренних нормативных правовых актов, правил и обычаев делового оборота, принципов профессиональной этики и банковской тайны;
● неисполнение договорных обязательств;
● возникновение у организации конфликта интересов с контрагентами, клиентами, органами управления, сотрудниками организации, другими заинтересованными лицами, а также отсутствие механизмов, позволяющих эффективно нивелировать возникновение конфликтов интересов;
● неспособность эффективно противодействовать легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма, а также иной противоправной деятельности, осуществляемой недобросовестными клиентами и контрагентами и/или персоналом организации;
● осуществление рискованной кредитной, инвестиционной и рыночной политики, высокий уровень операционного риска, недостатки в управлении рисками и в организации системы внутреннего контроля;
● недостатки кадровой политики при подборе и расстановке персонала;
● опубликование в средствах массовой информации либо цитирование в сети Интернет негативной информации об организации в целом, её представителях (включая членов коллегиальных органов), сотрудниках, а также цитирование такой негативной информации в отношении аффилированных (связанных с ней) лиц.
В процессе управления риском потери деловой репутации организация руководствуется:
● принципом консервативности, при котором организация не проводит операции, которые могут повлечь за собой потерю деловой репутации;
● принципом соизмеримости, при котором краеугольным камнем является адекватность управления репутационным риском характеру и размерам деятельности организации;
● принципом информированности, при котором управление репутационным риском сопровождается наличием объективной, достоверной и актуальной информации;
● принципом непрерывности, при котором организация проводит постоянный мониторинг факторов, влияющих на уровень репутационного риска, а также в случае необходимости своевременно вносит изменения во внутренние нормативные правовые акты;
● необходимостью отслеживания информации о клиентах и контрагентах в рамках принципа «Знай своего клиента» и информации о персонале в рамках принципа «Знай своего сотрудника»[83].
Организация осуществляет управление риском потери деловой репутации на постоянной основе и на всех этапах проведения операций, которое реализуется на трёх уровнях: предварительный (начальный), текущий и заключительный.
Предварительный (начальный) уровень представляет собой систему организационных и информационно-методологических мер, направленных на предупреждение возникновения риска потери деловой репутации на всех этапах деятельности организации, а также включает комплекс мер по недопущению нарушения принципов профессиональной этики и банковской тайны со стороны персонала.
В целях предупреждения возникновения риска потери деловой репутации организация проводит следующие основные мероприятия:
● осуществление деятельности организации в рамках развития среднесрочной стратегии и бизнес-планирования;
● контроль за соответствием заключаемых соглашений и планируемых операций положениям и нормам применимого законодательства, а также законодательства стран размещения и привлечения средств, нормам международного права, положениям, содержащимся в учредительных документах, а также внутренних нормативных правовых актах;
● мониторинг соответствия планируемой деятельности правилам и обычаям делового оборота, принципам профессиональной этики, банковской тайны и пр.;
● контроль за соблюдением сотрудниками организации норм применимого права и положений внутренних нормативных актов, обычаев делового оборота, принципов профессиональной этики, служебной, коммерческой и банковской тайны;
● обеспечение своевременности расчётов по поручению клиентов и контрагентов, а также выплат по собственным обязательствам;
● контроль за достоверностью бухгалтерской отчётности и иной публикуемой информации, представляемой участникам, клиентам и контрагентам и другим заинтересованным лицам, в том числе в производственных и рекламных целях;
● поддержание высокого качества корпоративного управления;
● организация внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;
● внедрение системы информационного обеспечения, не допускающей использование имеющейся информации лицами, имеющими доступ к такой информации, в личных интересах;
● мониторинг отзывов и сообщений об организации в средствах массовой информации и сети Интернет, своевременное и квалифицированное реагирование на опубликованную информацию;
● определение порядка применения дисциплинарных мер к сотрудникам, виновным в повышении уровня риска потери деловой репутации.
Текущий уровень состоит из выявления, анализа и оценки фактов, влияющих на уровень риска потери деловой репутации, а также проведения постоянного мониторинга состояния уровня репутационного риска в организации и разработки мероприятий по минимизации/регулированию выявленных рисков потери деловой репутации.