banner banner banner
Основные принципы комплаенс-контроля
Основные принципы комплаенс-контроля
Оценить:
Рейтинг: 0

Полная версия:

Основные принципы комплаенс-контроля

скачать книгу бесплатно

Основные принципы комплаенс-контроля
Максим Александрович Татчук

«Основные принципы комплаенс-контроля» – новая книга финансового юриста М.А. Татчука. Автор освещает вопросы системы внутреннего контроля, направленной на снижение всех существующих видов риска. В книге излагаются основные принципы современного комплаенса, анализируются его ключевые области, финансовые правоотношения с клиентами и контрагентами. Подробно охарактеризованы все виды рисков, с которыми сталкиваются организации, деятельность которых требует внедрения комплаенс-процедур.

Книга затрагивает экономические, политические, правовые и этические вопросы имплементации комплаенс-принципов. Помимо теории, автор предлагает читателям богатый практический материал.

Книга «Основные принципы комплаенс-контроля» может использоваться для обучения персонала организаций, а также будет интересна студентам, аспирантам и преподавателям юридических и экономических вузов.

В формате PDF A4 сохранен издательский макет книги.

Максим Александрович Татчук

Основные принципы комплаенс-контроля

* * *

© Татчук М. А.

Рецензия

Современная экономика развивается настолько быстро, что иногда законодательные органы не успевают вносить изменения в правовые нормы. Вследствие этого, деятельность финансовых организаций подвергается постоянной опасности понести убытки или нарушить закон. Единственный способ избежать рисков – создать устойчивую систему внутреннего контроля, сочетающую в себе нормы применимого права и международный опыт.

Этой актуальной проблеме посвящена новая книга М. А. Татчука «Основные принципы комплаенс-контроля». Автор – известный российский финансовый юрист, более двадцати лет работающий в банковской сфере в качестве признанного специалиста в области комплаенс-процедур. М. А. Татчук издал учебное пособие для вузов «Финансовый мониторинг (противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма)». Его статьи опубликованы в ведущих финансовых журналах России.

Книга «Основные принципы комплаенс-контроля» освещает широкий спектр вопросов, связанных с созданием системы управления, позволяющей защититься от рисков либо минимизировать их. Автор подробно описывает также политические, административные, этические нюансы, которые необходимо учитывать при создании комплаенс-системы.

Не оставлена без внимания и актуальная проблематика санкционного комплаенса.

Книга разделена на две большие главы – «Общая теория управления рисками» и «Комплаенс-контроль». Каждая из них состоит из подглав, раскрывающих отдельные вопросы. Помимо теоретических положений, автор подробно описывает практические алгоритмы действий. Книга снабжена приложениями, содержащими полезную справочную информацию.

Материал книги излагается научным стилем, принятым в академической среде. Специальные термины используются с подробными разъяснениями и переводом на английский язык.

«Основные принципы комплаенс-контроля» представляет интерес как значимая научная работа, излагающая новейшие исследования в области финансового права. Автор рекомендует свою книгу сотрудникам организаций, деятельность которых предусматривает имплементацию комплаенс-функции, а также студентам, изучающим экономику и юриспруденцию.

Введение

Более чем 20-летний опыт работы автора в области комплаенса показал, что реализация данного функционала напрямую связана с управлением всеми возможными рисками организации независимо от её организационно-правовой формы либо сферы её деятельности. Будь она кредитной организацией, профессиональным участником рынка ценных бумаг, страховой организацией, лизинговой компанией, ломбардом, организацией, содержащей тотализаторы и букмекерские конторы либо организующей и проводящей лотереи, организацией, оказывающей посреднические услуги при осуществлении сделок купли-продажи недвижимого имущества и т. п., она обязана соблюдать все нормы применимого права (права страны инкорпорации юридического лица), всех принятых подзаконных нормативных актов и рекомендаций органов государственной власти, включая регулирующие и надзорные инстанции, и имплементировать их в свои внутренние нормативные акты.

Но, учитывая скорость, с какой происходит глобализация мировой экономики, отдельных сегментов рынков, какими темпами происходит трансформация казавшихся стандартными форм сделок либо способов расчётов, как происходит их миграция в виртуальное пространство, мы неминуемо сталкиваемся с тем фактом, что зачастую те или иные национальные законодатели не успевают вносить оперативные коррективы в действующие нормативные акты, а запоздавшие рекомендации местных регуляторов либо надзорных органов не могут позволить организации оперативно адаптироваться к новым реалиям, и, как следствие, её деятельность подвергается серьёзным рискам, которые необходимо оперативно купировать.

Таким образом, единственным инструментом, позволяющим устранить потенциальный риск либо минимизировать уже существующий, является наличие эффективной многоуровневой системы внутреннего контроля, функционирующей на основании внутренних нормативных актов, учитывающих не только нормы национального законодательства, но и так называемые «лучшие практики».

Реализация системы внутреннего контроля не является индульгенцией одного или нескольких подразделений организации, а является глобальным процессом, требующим вовлечения в него риск-оценивающих подразделений, подразделений, наделённых комплаенс-функцией, а также функцией по аудиту деятельности организации, юридической службы, службы безопасности и пр. Поэтому для целей эффективного функционирования в организации адекватных комплаенс-процессов, купирующих угрозу риска на стадии его формирования, а не выявляющих его post factum, как это происходит при анализе деятельности организации в рамках внутреннего либо внешнего аудита, требуется проведение комплексной работы, включающей симбиоз финансовых, экономических и юридических процессов, результатом которой является разработка внутренних механизмов, оперативно учитывающих любые внешние изменения.

Комплаенс-контроль, как глобальный процесс, не может регулироваться исключительно экономическими, финансовыми либо юридическими аспектами, в связи с чем существуют жёсткие квалификационные требования к персоналу, наделённому комплаенс-функцией, что требует знания им всех внутренних процессов организации и наличия у такого персонала значительного опыта работы в комплаенс-подразделении.

Так, в частности, нельзя купировать потенциальный риск, не зная все его разновидности либо методики его выявления. Невозможно оценить риск вовлечения организации в противоправную деятельность, не владея багажом юридических знаний, в частности, в области гражданского, финансового, международного права и пр. Также представляется затруднительной реализация комплаенс-функции без наличия у соответствующего персонала понимания экономической сути сделок, заключаемых организацией либо её клиентами, а также их бухгалтерского отражения.

Возвращаясь к настоящей книге, хочется отметить, что при её написании автор исходил из необходимости описания классической комплаенс-модели организации в отрыве от её юрисдикции, применимого к её деятельности национального права, а также в отрыве от занимаемого ей сегмента рынка.

В основу данной книги легли наработки автора в области комплаенс-контроля, основанные на нормах национального права, рекомендациях тех или иных национальных регуляторов, международных организаций, разрабатывающих стандарты в области комплаенс-процессов, а также собственных методик, разработанных им в ходе реализации комплаенс-функции, которые были имплементированы во внутренние процедуры как финансовых организаций, являющихся коммерческими банками либо банками с государственным участием, так и международной финансовой организации.

Для удобства понимания всех бизнес-процессов, связанных с комплаенс-контролем, структура настоящей книги состоит из двух частей: главы, описывающей все виды существующих рисков, способов их выявления и купирования, а также главы, содержащей описание всех существующих комплаенс-процессов, методов и способов их реализации.

Уверен, что данная книга будет полезна как студентам, изучающим экономику, финансы и юриспруденцию, так и практикующим работникам организаций, деятельность которых требует наличия эффективной комплаенс-модели, и все полученные из этой книги знания могут быть ими имплементированы во внутренние процессы, тем самым позволив создать адекватную систему комплаенс-контроля. Но при этом не нужно забывать о необходимости самостоятельного отслеживания всех новелл в области комплаенс-контроля, так как данная область наиболее подвержена оперативным изменениям.

1. Общая теория управления рисками

1.1. Общие положения

В соответствии с правоприменительной практикой и международными стандартами под понятием «риск» следует понимать следствие влияния факторов неопределённости на достижение поставленных целей организации[1 - Также широко применяется формулировка, согласно которой под риском следует понимать вероятность тех или иных потерь, возникающих вследствие различных обстоятельств, обусловленных как внешними, так и внутренними факторами.], в связи с чем управление рисками[2 - Процесс выявления и оценки как внутренних, так и внешних рисковых составляющих, модификация которых может отрицательно повлиять на стоимость активов организации, её клиентов и контрагентов, оперативное и своевременное применение мер по снижению такого риска, а также контроль за соблюдением соответствующих процедур по управлению им.] является неотъемлемой частью корпоративного управления и представляет собой комплексный процесс принятия и выполнения решений, направленных на минимизацию вероятности возникновения неблагоприятного результата и уменьшение возможных потерь организации от реализации такого неблагоприятного результата, базирующийся на следующих принципах:

? консервативность (англ. conservatism[3 - Также см. приложение № 10, содержащее перечень основных терминов, используемых при осуществлении комплаенс-функции.]) – отказ от потенциальных сделок с очень высоким или неопределённым уровнем риска вне зависимости от степени их доходности;

? комплексность (англ. complexity) – единая структура системы управления для всех видов риска;

? дифференцированность (англ. differentiation) – специфика содержания и применения отдельных элементов системы управления рисками применительно к различным типам рисков;

? независимость риск-подразделения (англ. independence of the risk division) от подразделений, инициирующих и осуществляющих банковские операции;

? наличие чётко выстроенного механизма принятия решений по управлению рисками (англ. risk management decision-making mechanism) на основе процедур, закреплённых нормативными правовыми документами организации;

? система многоуровневой отчётности (англ. multilevel reporting system);

? единство информационных технологий (англ. unity of information technologies);

? осуществление многоуровневого контроля эффективности системы управления рисками (англ. implementation of multi-level control of the effectiveness of the risk management system) в рамках системы внутреннего контроля.

В рамках реализации указанного функционала в организации действует система управления рисками, позволяющая определить уровень риска, который организация готова принять на себя, поддержать его приемлемый уровень, обеспечить сохранность и надёжность размещения денежных средств, а также эффективность их использования.

Основными задачами управления рисками являются:

? создание единой непрерывной системы управления рисками с учётом объёмов принимаемых рисков;

? осуществление контрольных процедур, в том числе с точки зрения сохранения баланса между рисками и доходностью проводимых операций;

? проведение мониторинга потенциальных убытков относительно возможностей организации к их покрытию;

? осуществление регулярной оценки действующей системы управления рисками с целью её совершенствования;

? создание адекватных ожидаемым потерям резервов;

? осуществление типовых и исключительных мероприятий по митигации рисков (англ. mitigation)[4 - Смягчение последствий.];

? поддержка целей бизнеса с учётом изменяющихся рыночных условий;

? выявление потенциальных рисков, их оценка, агрегирование, контроль их уровня;

? оценка и обеспечение достаточности капитала для покрытия существенных рисков, которые могут возникнуть сверх ожидаемого уровня.

Достижение основных задач управления рисками возможно при приемлемых (ограниченных риск-аппетитом[5 - Риск-аппетит (также именуется толерантностью к риску) – совокупная величина риска, которую организация предполагает принять и принимает на себя для достижения поставленных перед ней стратегических целей и задач.] организации) уровнях рисков и достаточности капитала.

При определении риск-аппетита организация проводит оценку, устанавливая, насколько применимый риск-аппетит приемлем в текущий период времени и насколько он может быть приемлем в будущем, учитывая:

? ожидания учредителей/акционеров в отношении уровня доходности;

? международные регуляторные стандарты;

? бизнес-план, бюджет доходов и расходов;

? текущий и ожидаемый в будущем объём операций;

? текущую и ожидаемую в будущем структуру значимых рисков;

? текущий и ожидаемый в будущем уровень совокупного капитала.

Система управления рисками включает соответствующие организационную структуру и информационно-методологическую систему, представляющую совокупность инструментов, методов, процедур и способов идентификации, оценки, ограничения, нейтрализации и контроля принимаемых организацией рисков.

Основой системы управления рисками является культура управления рисками, под которой понимается существующая в организации система ценностей и способов поведения, определяющая суть и форму принимаемых в области управления рисками решений. Культура управления рисками оказывает влияние на каждого уполномоченного сотрудника при принятии любого связанного с риском решения, требующего соблюдения баланса между риском и доходностью.

Процесс управления рисками подразделяется на следующие основные этапы:

? Идентификация риска (англ. risk identification) – выявление подверженности сделок либо операций организации различным видам риска, возможности их возникновения, а также определение возможных негативных последствий, выявление факторов, увеличивающих или уменьшающих конкретный вид риска при осуществлении определённых банковских операций.

? Анализ и оценка риска (англ. risk analysis and assessment) – анализ выявленных факторов и определение степени риска и их последствий, при этом в качестве количественных показателей оценки применяются коэффициентный анализ факторов риска, прогнозируемый размер потерь, а также показатели сегментации портфелей тех или иных финансовых инструментов.

? Регулирование риска (англ. risk management) – комплекс мероприятий, применяемых для поддержания приемлемого уровня рисков организации, направленных на их минимизацию и нейтрализацию их возможных последствий, что достигается комплексом мероприятий, предусматривающих диверсификацию, лимитирование[6 - Контроль максимально допустимого размера риска, принимаемого на себя организацией при проведении активных операций.], хеджирование[7 - Механизм нейтрализации рисков путём их страхования.], страхование, резервирование, передачу или распределение риска на контрагента, отказ от заключения сделки/проведения операций с неприемлемо высоким уровнем риска либо продажу активов.

? Мониторинг и контроль рисков (англ. monitoring and control of risks) – процесс регулярного анализа их показателей и факторов их возникновения, а также принятия решений, направленных на минимизацию риска при сохранении необходимого уровня прибыльности планируемой сделки либо операции. Мониторинг рисков проводится на постоянной основе с использованием разработанных организацией методик, а контроль рисков подразделяется на текущий (оперативный) контроль, осуществляемый на постоянной основе владельцем соответствующего бизнес-процесса, и общий контроль, функционирующий в рамках системы внутреннего контроля.

? Отчётность по управлению рисками (англ. risk management reporting) – завершающий этап управления рисками, предусматривающий раскрытие информации об уровне принимаемого риска и инструментарии по управлению им.

Система управления рисками строится как интегрированная система применения следующих инструментов и методов:

? методов идентификации и оценки уровня принимаемых рисков;

? инструментов установления лимитов и ограничений на основные финансовые инструменты и операции, а также процедуры их контроля;

? инструментов хеджирования и страхования рисков;

? методов распределения полномочий и ответственности на всех этапах принятия решений между структурными подразделениями и должностными лицами организации;

? инструментов мониторинга ключевых рисков и их периодической оценки, текущего и последующего контроля качества управления активами/пассивами и уровнем принимаемых рисков;

? инструментов составления и анализа отчётности об оценочных триггерах и принимаемых рисках;

? инструментов информационно-технологического обеспечения возможности учёта сделок/операций, подверженных рискам.

Управление рисками базируется на принципах открытости, осторожности, а также основывается на:

? осведомлённости о риске (англ. risk awareness), при которой все сотрудники организации, осуществляющие операции, сопряжённые с риском, осведомлены о риске операций, обладают необходимыми навыками его идентификации, анализа и оценки и минимизации[8 - При этом проведение операции производится только после всестороннего анализа рисков, возникающих в результате её реализации.];

? принципе обеспечения т. н. «трёх линий защиты» (англ. three lines of defense), состоящих из:

• первой линии (принятие рисков) (англ. first line (risk taking), в которой структурные подразделения, принимающие риски (бизнес-подразделения), должны стремиться к достижению поставленных задач по развитию бизнеса с учётом оптимального соотношения доходности и риска, осуществлять мониторинг решений по принятию риска, учитывать профили рисков, внедрять эффективные бизнес-процессы, участвовать в процессах идентификации и оценки рисков, соблюдать требования нормативных правовых документов;

• второй линии (управление рисками) (англ. second line (risk management), в которой подразделение, отвечающее за управление рисками, разрабатывает стандарты управления рисками, организует процесс управления рисками, определяет принципы, лимиты и ограничения, разрабатывает модели оценки рисков, проводит независимую от первой линии оценку рисков, мониторинг и контроль уровня рисков, проверяет соответствие уровня рисков установленным лимитам, в том числе аппетиту к риску, формирует отчётность по управлению рисками, консультирует по вопросам управления рисками, совершенствует действующую систему управления рисками;

• третьей линии (аудит системы управления рисками) (англ. third line (audit of the risk management system), в которой контролирующие подразделения организации проводят независимую оценку эффективности системы управления рисками и информируют органы управления о выявленных недостатках и действиях, предпринятых для их устранения.

1.2. Методика идентификации рисков и их лимитирование

Методика идентификации рисков направлена на формализацию процедур по выявлению подверженности операций или сделок организации различным видам риска, и её главной целью является необходимость в определении:

? процесса идентификации[9 - Выявление подверженности операций или сделок различным видам риска, возможности их возникновения, а также определение возможных негативных последствий, выявление факторов, увеличивающих или уменьшающих конкретный вид риска при осуществлении определённых операций либо сделок.] рисков и его периодичности;

? базы типов риска;

? реестра идентифицируемых рисков;

? методов оценки и выявления значимых рисков;

? состава и процесса составления карты рисков[10 - Список присущих рисков с описанием источников риска, вероятностей риска, мероприятий воздействия на риск и т. д.].

Выявление и анализ подверженности риску планируемых и существующих направлений деятельности организации проводятся ей на регулярной основе с использованием метода декомпозиции риска, под которым следует понимать разложение совокупного риска на отдельные виды, составляющие и факторы[11 - Случайная величина (или событие), непосредственно влияющая на текущий уровень величины риска.] риска, а также его величины[12 - Стоимостная оценка подверженности риску, которая может выражаться как сумма возможных потерь вследствие изменения факторов риска.].

Для идентификации рисков организация осуществляет детальный анализ структуры своего продуктового портфеля, а также её текущей деятельности, в ходе которого выявляются основные факторы риска, непосредственно влияющие на изменение стоимости как отдельного инструментария, так и всего портфеля операций/сделок, подверженных риску в целом.

Идентификация рисков проводится организацией не реже одного раза в год, а в случае внесения изменений в продуктовую линейку либо в результате имплементации новых процессов или технологий необходимо провести обновление результатов идентификации рисков.

Современная практика, основанная на принципах следования лучшим практикам или стандартам поведения[13 - Далее к таким практикам и стандартам будет применяться термин «best practice».], выделяет следующие методы идентификации рисков:

? анализ нормативных правовых документов, отраслевой практики, а также рекомендаций (публикаций) международных организаций и объединений, разрабатывающих стандарты и методики регулирования в различных сферах деятельности;

? анализ заключений рейтинговых агентств;

? анализ результатов внешних и внутренних проверок деятельности организации;

? анализ публикаций в публичных информационных ресурсах (средства массовой информации, сети Интернет), а также коммерческих базах данных, доступных организации на законных основаниях;

? совещательное обсуждение, используемое при идентификации рисков применения новых технологий и продуктов, бизнес-решений, выхода на новые рынки, а также существенного перестроения уже действующих бизнес-процессов, в том числе при передаче их на аутсорсинг;

? самооценка через анализ так называемых чек-листов (контрольных листов);

? сценарный анализ.

Как уже указывалось выше, одним из основных инструментариев в части идентификации рисков является составление так называемой карты рисков, ведущейся в разрезе всех существующих видов риска, с учётом следующих показателей:

? название риска (приводится полное название риска в соответствии с применяемой градацией по их типу);