banner banner banner
Основные принципы комплаенс-контроля
Основные принципы комплаенс-контроля
Оценить:
Рейтинг: 0

Полная версия:

Основные принципы комплаенс-контроля

скачать книгу бесплатно


? кредитные операции с корпоративными заёмщиками, в том числе неиспользованные кредитные линии;

? кредитно-депозитные операции с кредитными организациями резидентами соответствующих стран;

? денежные средства на корреспондентских счетах ностро в банках, являющихся резидентами соответствующих стран;

? операции с ценными бумагами с организациями – резидентами соответствующих стран;

? внебалансовые обязательства организаций резидентов соответствующих стран: аккредитивы без покрытия, гарантии, резервные аккредитивы (Standby Letter of Credit);

? открытые валютные позиции, выраженные в валюте соответствующей страны.

Страновые лимиты и их размеры устанавливаются нормативным документом в части лимитирования и определяются в процентном соотношении от активов организации. Пересмотр странового лимита проводится не реже двух раз в год либо по факту появления негативной информации в отношении той или иной страны.

Для снижения уровня странового риска организация использует дополнительные способы его минимизации (страхование сделок с клиентами и контрагентами – резидентами соответствующих стран, передача или распределение риска на контрагента, хеджирование сделок, резервирование).

В процессе управления страновым риском организация осуществляет постоянный мониторинг, включающий:

? мониторинг суверенных рейтингов, присвоенных международными рейтинговыми агентствами;

? мониторинг информации о финансово-экономической, социальной и политической ситуации в соответствующих странах;

? мониторинг и анализ концентрации активных операций по страновому признаку;

? мониторинг и анализ показателей сегментации отдельных портфелей организации, подверженных страновому риску;

? мониторинг информации о клиентах – контрагентах организации, являющихся резидентами соответствующих стран.

В случае возникновения негативной тенденции организация разрабатывает процедуры минимизации и нейтрализации возможных последствий странового риска, осуществляет подготовку надлежащих мероприятий и управленческих решений, направленных на снижение уровня странового риска.

Контроль управления страновым риском проводится в рамках системы контроля лимитов организации.

Оперативный (текущий) контроль управления страновым риском осуществляется структурными подразделениями[61 - В процессе управления страновыми рисками осуществляется горизонтальное взаимодействие между подразделениями организации в рамках их компетенции.] в рамках своей компетенции, определённой положениями о структурных подразделениях и должностными регламентами.

Последующий контроль управления страновым риском проводится в рамках системы внутреннего контроля организации и включает как контроль за соблюдением структурными подразделениями установленных страновых лимитов, так и контроль самих установленных страновых лимитов и осуществляется внутренним структурным подразделением, наделённым функцией внутреннего аудита.

1.3.7. Операционный риск[62 - Относится к категории комплаенс-риска.]

Операционный риск – риск прямых или косвенных потерь в результате неадекватных и ошибочных внутренних процессов, а также воздействия внешних событий либо факторов.

Целью управления операционным риском является обеспечение эффективного функционирования организации в условиях подверженности факторам такого риска.

Управление операционным риском осуществляется также в целях:

? повышения безопасности, надёжности и конкурентоспособности организации;

? совершенствования систем, процессов и технологий;

? соблюдения персоналом нормативных правовых актов и внутренних правил и регламентов.

Цели управления операционным риском достигаются путём использования системного, комплексного подхода, который подразумевает решение следующих задач:

? получение оперативных и объективных сведений о состоянии и размере операционного риска;

? качественная и количественная оценка (измерение) операционного риска;

? установление взаимосвязей между отдельными видами рисков с целью оценки воздействия мероприятий, планируемых для ограничения одного вида риска, на рост или уменьшение уровня других рисков;

? создание системы управления операционным риском для управления риском на стадии возникновения негативной тенденции, а также системы быстрого и адекватного реагирования, направленной на предотвращение достижения операционным риском критически значительных размеров.

Цели и задачи по управлению операционным риском реализуются на основе следующих принципов:

? принцип адекватности – адекватность системы управления операционным риском характеру и размерам деятельности организации;

? принцип непрерывности – непрерывное функционирование системы управления операционным риском, которое проводится на постоянной основе во всех структурных подразделениях организации;

? принцип централизованности – управление операционным риском осуществляется централизованно на единой нормативно-методической основе;

? процессный принцип – все процедуры управления и контроля рисков распределены на отдельные функции и операции, выполняемые разными структурными подразделениями на единой нормативно-методической основе, исключающей дублирование функций и конфликты интересов;

? измерение операционного риска проводится по принципу «от простого к сложному» по мере разработки более «продвинутых» систем и совершенствования системы управления операционными рисками;

? формирование у персонала культуры управления операционным риском, а также знаний об операционном риске, который может возникать в связи с выполнением им должностных обязанностей, а также мотивации сотрудников на выявление факторов (причин) операционного риска;

? регулярная оценка уровня операционного риска, присущего как существующим на момент оценки, так и разрабатываемым продуктам, видам деятельности, автоматизированным системам и процессам организации;

? минимизация и/или предотвращение операционных рисков на основе эффективной системы внутреннего контроля;

? применение мер по ограничению операционного риска, стоимость которых не превышает ожидаемую выгоду, получаемую от потенциального снижения операционных издержек;

? ведение постоянного мониторинга операционных рисков и операционных потерь, предоставление соответствующей информации в виде отчётов руководству организации;

? информирование на регулярной основе органов управления организации об уровне операционного риска.

В целях построения эффективной системы управления операционными рисками организация определяет следующие направления внедрения системы управления операционными рисками:

? идентификация (выявление) операционных рисков по направлениям деятельности (бизнес-направлениям) организации, учёт и классификация инцидентов операционных рисков, сбор данных о размере потерь и вероятности наступления рисковых событий;

? оценка, мониторинг и предметный анализ операционных рисков, решение задач по минимизации (устранению) операционных рисков;

? регулирование (принятие, ограничение или нейтрализация) операционного риска;

? выбор механизмов контроля за операционными рисками, внедрение системы контроля и отчётности по операционному риску, совершенствование методов измерения операционного риска, а также контроль системы управления операционным риском.

Идентификация операционных рисков

Внутренними и внешними факторами (причинами) операционного риска являются:

? недостаточный уровень автоматизации процессов, отсутствие доступа к коммерческим базам данных, сбои/отказы автоматизированных либо информационных систем, а также перебои в работе и порча оборудования;

? несовершенство организационной структуры организации в части распределения полномочий структурных подразделений и отдельных сотрудников, порядков и процедур заключения сделок либо осуществления операций, их документирования и отражения в учёте;

? несоблюдение сотрудниками установленных порядков и процедур, неэффективность внутреннего контроля (т. н. организационный риск);

? недостаточная компетенция персонала, недостаток кадров и неустойчивость штата организации, зависимость от отдельных специалистов, несанкционированные действия персонала, а также мошеннические действия (риск персонала);

? неблагоприятные внешние обстоятельства, находящиеся вне периметра организации, случайные или преднамеренные действия физических и/или юридических лиц, направленные против её интересов.

Выявление (идентификация) операционного риска предполагает анализ всех условий функционирования организации на предмет наличия или возможности возникновения факторов операционного риска, который осуществляется на нескольких уровнях:

? анализ изменений в финансовой сфере организации в целом (освоение новых направлений деятельности, продвижение на рынке новых банковских услуг, внедрение новых технологий или финансовых инноваций), которые могут оказать влияние на эффективность деятельности;

? анализ подверженности операционному риску направлений деятельности (бизнес-процессов) с учётом приоритетов организации;

? анализ отдельных операций и сделок организации;

? анализ внутренних процедур, включая систему отчётности и обмена информацией.

Процесс идентификации состоит из следующих процедур:

? классификация (кодификация) типов возможных неблагоприятных[63 - Любое идентифицируемое событие или действие в процессах или операциях организации, не имеющее текущий процедурный характер, следствием которого является получение тех или иных потерь.] событий в разрезе источников[64 - Причины возникновения случайных или возможных событий, воздействующих на объекты риска и приводящих к ухудшению качества (сбоям) систем и процессов и (или) финансовым потерям организации.] (причин) рисков;

? сбор данных о внутренних и внешних событиях, их распределение по классификационным видам (категориям), определение типов и количества полученных и потенциальных потерь.

События реализации операционного риска происходят как при возникновении отдельных факторов, так и в результате сочетания нескольких факторов операционного риска, и организация определяет принадлежность каждого инцидента потерь (события реализации операционного риска) к тому или иному типу операционных рисков по следующим основным категориям:

? внутреннее мошенничество[65 - Хищение чужого имущества или приобретение права на чужое имущество путём обмана или злоупотребления доверием.]:

• коррупционные действия сотрудников (злоупотребление служебным положением вопреки законным интересам организации в целях получения личной выгоды либо выгоды третьим лицам);

• принудительные действия (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);

• сговор сотрудников организации с третьими лицами (передача сотрудниками организации информации о своих клиентах/контрагентах конкурентам, занижение ставок при продаже ресурсов и т. д.);

• сговор между сотрудниками с целью получения личной выгоды либо выгоды третьим лицам;

• умышленное уничтожение материальных активов и информации, преднамеренное сокрытие или искажение фактов совершения сделок и заключения договоров;

• преднамеренное превышение установленных лимитов с целью получения личной выгоды либо выгоды третьим лицам;

• воровство (непосредственное присвоение наличных денежных средств или материальных активов);

• мошеннические операции при расчётно-кассовом обслуживании (присвоение или растрата денежных средств, использование поддельных купюр, обман при совершении расчётов с клиентами и т. п.);

• мошеннические операции со счетами клиентов (неправомерное списание средств со счетов, использование счетов клиентов для перевода денежных средств, отнесение собственных расходов на счета клиентов, манипулирование со счётом клиента и т. д.);

• мошенничество с валютными операциями (злоупотребления при проведении конверсионных операций, учёте валютных средств организации и т. п.);

• мошеннические операции с кредитами (выдача фиктивных кредитов, подделка документов при предоставлении кредитов; выдача кредитов под несуществующие залоги и т. п.);

• мошенничество с ценными бумагами (противоправные манипуляции с ценными бумагами);

• мошенничество при совершении бухгалтерских операций (противоправные манипуляции с бухгалтерскими счетами, необоснованное завышение и занижение сумм проводок, использование средств временно не используемых счетов и т. д.);

• мошенничество в сфере хозяйственных операций (присвоение доходов от заключённых договоров с поставщиками, подрядчиками, присвоение доходов от арендной платы и т. п.);

• мошенничество в сфере информационных систем и технологий;

? внешнее мошенничество[66 - Намерение совершить мошенничество, похитить имущество или нарушить нормы применимого законодательства с участием третьей стороны.]:

• воровство (непосредственное присвоение наличных денежных средств или материальных активов);

• грабёж (открытое хищение имущества без применения насилия или с применением насилия, не опасного для жизни и здоровья, либо с угрозой применения такого насилия);

• разбой (нападение в целях хищения имущества с применением опасного для жизни или здоровья насилия либо с угрозой применения такого насилия);

• принудительные действия к сотруднику со стороны третьих лиц (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);

• подделка, подлог (документов, удостоверяющих личность, печатей, доверенностей, платёжных документов, денежных купюр и т. п.);

• предоставление заведомо ложных сведений о юридическом статусе, финансовом положении и т. п.;

• взлом системы безопасности или доступа в автоматизированную систему организации, генерация фальшивых электронных проводок или операций в платёжной банковской системе;

• взлом системы безопасности работы системы дистанционного обслуживания, криптографической защиты клиентских платежей в расчётных системах, генерация фальшивых электронных поручений от имени клиентов по управлению клиентскими счетами;

• несанкционированный дистанционный доступ третьих лиц к информационным активам организации с целью кражи информации, модификации и/или её уничтожения;

• внедрение в систему компьютерных вирусов и вредоносных программ, в том числе посредством использования электронной почты;

• несанкционированный физический доступ неавторизованных лиц в контролируемую зону расположения технических средств и/или информационных активов;

? кадровая политика и безопасность труда[67 - Нарушение законодательства о труде страны местопребывания организации, внутренних нормативных актов, безопасности труда и охраны здоровья или нарушение, связанное с выплатами по искам о нанесении личного ущерба или искам в связи с дискриминацией.]:

• нарушение договорных отношений в вопросах оплаты труда, выходных пособий, вознаграждения, компенсации сотрудникам, ошибки при найме и увольнении;

• нарушение норм охраны здоровья и безопасности труда;

• все типы дискриминации (по расовому, национальному, религиозному, половому и иным признакам);

? ошибки в клиентской практике, условиях продажи продуктов, во взаимоотношениях с клиентами[68 - Непреднамеренная халатность в выполнении профессиональных обязательств по отношению к конкретным клиентам (включая доверительные и квалификационные требования) или потери вследствие характера или конструкции продукта.]:

• недостатки в раскрытии информации о клиенте и контрагенте (принцип «Знай своего клиента»);

• недостатки клиентской политики (неприемлемость сотрудничества с отдельными клиентами/контрагентами);

• нарушения, связанные с раскрытием конфиденциальной информации клиента/контрагента, злоупотребление конфиденциальной информацией;

• нарушение со стороны организации фидуциарных отношений[69 - Финансовые услуги, связанные с управлением активами (денежные средства, ценные бумаги, коммерческая недвижимость), в частности с использованием фидуциарных счетов, фидуциарных депозитов, фидуциарных кредитов, а также фидуциарного управление ценными бумагами и коммерческой недвижимостью.];