Совершенствование функции комплаенс в финансово-кредитных организациях

Кашурников С.Н., Быкова М.А.

Статья в журнале

Экономическая безопасность
Том 5, Номер 4 (Октябрь-декабрь 2022)

Цитировать:
Кашурников С.Н., Быкова М.А. Совершенствование функции комплаенс в финансово-кредитных организациях // Экономическая безопасность. – 2022. – Том 5. – № 4. – doi: 10.18334/ecsec.5.4.115164.



Введение. Требования регулятора и других надзорных органов усиливаются в связи с постоянно изменяющимися внешними и внутренними экономическими факторами. Немногим финансово-кредитным организациям удается оперативно привести в соответствие с обновленными требованиями структуры комплаенс контроля внутренние нормативные документы. Однако финансово-кредитные организации, которые смогли успешно адаптироваться к таким правила ведения бизнеса, в настоящее время имеют явные конкурентные преимущества.

Стоит отметить, что организация комплаенс функции в финансово-кредитных организациях, в отличии от предприятий других секторов экономики, является обязательной, регулируемой различными нормативно-правовыми актами и требованиями регулятора. В виду значительной проработанности комплаенс в финансово-кредитных организациях как с точки зрения нормативных требований, так и с точки зрения научных работ, данное направление является одним из наиболее востребованных функций. Неправильная организация или не охват всех возможных областей контроля ведет к большим потерям банков, или даже к отзыву лицензии на ведение деятельности. Функция комплаенс контроля в кредитной организации должна охватывать экономическую сферу деятельности, ИТ-безопасность, бухгалтерский учет, деятельность риск-менеджмента, организацию кредитно-денежного обращения, организационно-правовые аспекты деятельности, рекламно-тендерную деятельность, PR функции с прессой, органами государственной власти, регулятором и другие сопутствующие функции. Данное многообразие требует грамотной, квалифицированной и полноценной организации комплаенс контроля, поскольку наличие неэффективных контролей, хотя бы в одной из указанных аспектов деятельности может привести к значительным финансовым и репутационным потерям кредитной организации. Актуальность данной работы объясняется тем, что новые экономические реалии, и увеличивающиеся требования регулятора усиливают значимость функций комплаенс контроля в кредитных организациях.

Целью данной работы является рассмотрение, анализ и совершенствование организации функции комплаенс контроля на примере финансово-кредитной организации АО «МИнБанк» (далее Банк).

Для достижения цели необходимо решить следующие задачи:

- рассмотреть понятие и основы организации функции комплаенс в финансово-кредитных организациях;

- изучить современные подходы к формованию и совершенствованию комплаенс подразделений в финансово-кредитных организациях;

- выявить недостатки подхода к организации функции комплаенс в Банке;

- предложить направления по улучшению функции комплаенс контроля в Банке.

Объектом рассмотрения в данной работе выступает функция комплаенс Банка. Предметом являются подходы совершенствования функции комплаенс в финансово-кредитной организации.

Исследование было построено на основе системного, комплексного подходов. В процессе работы использовались методы: исторического анализа, анализа систем данных, аксиоматический, апперципирования.

Теоретико-методологическую основу и информационную базу составили монографии, отечественная и переводная периодическая литература, а также практические материалы хозяйствующего субъекта. За прошедшие десятилетия проблема комплаенс-контроля в банковской деятельности исследовалась многими зарубежными учеными и специалистами-практиками, такими как Piotr Kaminski и Kate Robu [17]. Среди наиболее авторитетных российских специалистов в области внутреннего контроля и комплаенс контроля в банках, юридических учреждениях, бизнес-организациях стоит отметить: Карповича О.Г. [10], Трунцевского Ю.В. [5], Буянского С.Г. и Добрынину А.К. [6], Ермоловская О.Ю. [7].

Результатами данной работы являются выявленные несоответствия функции комплаенс Банка международным рекомендациям и лучшим практикам, и определение направлений ее совершенствования.

Комплаенс контроль: возникновение, понятие. Мировая экономика, движущаяся в сторону глобализации, стала причиной появления комплаенс. Катализатором создания комплаенс-требований стал ряд громких скандалов и банкротств крупнейших компаний по всему миру. Например, банкротство Enron по причине афер с отчетностью, потеря Societe Generale $7 млрд. по причине мошенничества трейдера и т.д. Тогда в 1977 г. был создан Закон США «О коррупционных практиках за рубежом» (FCPA) [18]. Дальнейшее развитие функции комплаенс контроля основывалось на развитии законодательства (Закона Сарбейнса-Оксли (SOX) 2002 г., международных стандартов (методология COSO в части управления рисками), рекомендаций Базельского комитета и т. д. Итогом стало то, что транснациональные корпорации, работающие в разных юрисдикциях, должны соблюдать большое количество различных законов и требований локальных регуляторов, что сделало комплаенс функцию ведущей. Особенно остро вопрос соответствия требованиям и правилам стоит в банковской сфере.

В настоящее время комплаенс-контроль является одним из распространенных направлений профессиональной деятельности в банковской сфере. Внедрение комплаенс функции подразумевает обязательное соблюдение определенных правил взаимодействия подразделений, а также процедур и риск-ориентированного подхода при принятии решений хозяйствующим субъектом, которые должны выстраиваться в соответствии с лучшими международными практиками в части выявления, идентификации и оценки комплаенс-рисков [9]. Требования относительно создания и внедрения комплаенс функции опираются, в первую очередь, на Конвенцию Организации экономического сотрудничества и развития по противодействию коррупции [11], Международные стандарты ISO 37301:2021 «Compliance management systems – Requirements with guidance for use» [16], ISO 37001:2016 «Anti-bribery management systems» [15], Закон США «О коррупционных практиках за рубежом» (Foreign Corruption Practices Act, FCPA) [18] и другие действующие нормативные и законодательные акты.

Однако, до настоящего времени не существует единого принятого международного определения комплаенс. На практике комплаенс, зачастую, рассматривается как функционал подразделения, ответственного за эффективное управление комплаенс-рисками и создание комплаенс-культуры в организации.

Используя метод исторического анализа и изучив развитие комплаенс контроля, можно отметить, что в сравнении с большинством государств Европейского союза и США в России комплаенс зародился и стал активно внедряться в операционную деятельность крупных банков относительно недавно. Первое официальное упоминание о нем в России появилось в Указании Банка России от 07.07.1999 № 603-У «О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях» [1], которое гласило: «Комплаенс-контроль – внутренний контроль за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитной организации, осуществляемых в соответствии с настоящим Указанием [3]. Комплаенс-контроль является частью системы внутреннего контроля кредитной организации» [2]. Банк России стал первым регулятором в нашей стране, который обозначил статус этой функции.

При исследовании категориального аппарата термина «комплаенс» стоит отметить, что в переводе с английского языка он означает соответствие требованиям внутренних правил и регламентов. Согласно определению, данному в Международном стандарте ISO 37301:2021 «Compliance management systems – Requirements with guidance for use», комплаенс – это «вид контрольной деятельности как результат выполнения экономическим субъектом всех применимых к нему требований» [16].

Международная Комплаенс Ассоциация (International Compliance Association) трактует «комплаенс как обеспечение уверенности в том, что организация соответствует всем относящимся к ней нормам и правилам, а управление бизнесом осуществляется на высоком уровне этики и добропорядочности» [13].

Таким образом, можно сказать, что комплаенс-контроль – это контроль за соблюдением кредитной организацией правил, норм и стандартов, относящихся к ее деятельности.

Текущее состояние комплаенс контроля Банка: сильные стороны и недостатки. Организация комплаенс контроля в финансово-кредитных организациях подразумевает деление на два уровня. Первый относится к соблюдению внешних правил, которые регулируют работу организации в целом (пруденциальные требования и требования по ведению бизнеса). Второй касается соблюдения требований внутренних систем контроля, внедренных для исполнения требований регулятора. Стоит отдельно отметить, что «комплаенс начинается с верхних эшелонов. Он будет наиболее эффективным в корпоративной культуре, в которой подчеркиваются стандарты честности и добропорядочности, и в которой совет директоров и высшее руководство показывают собственный пример» [4].

Рассмотрев текущее состояние комплаенс функции в Банке, можно выделить следующие основные цели:

- сохранение имеющихся лицензий финансово-кредитной организации;

- повышение инвестиционной привлекательности банка для инвесторов и акционеров;

- защита репутации финансово-кредитной организации и предотвращение оттока клиентов.

Для реализации данных целей в Банке создано подразделение, ответственное за реализацию функции комплаенс [12]. В данном подразделении осуществляется деление на 4 структурных единицы, которые отвечают за мониторинг применимого к банку законодательства и управление комплаенс-рисками, управление изменениями, реализацию внутренних контролей, контроль устранения недостатков.

При этом, стоит отметить, что для крупной финансово-кредитной организации, имеющей множество контрагентов на международном рынке, а также дочерние организации за пределами Российской Федерации, отсутствие подразделения отвечающего за комплаенс-риски международного уровня является критичным элементом [14]. Под комплаенс-риском понимается «риск применения к кредитной организации юридических санкций или санкций регулирующих органов, возникновения существенного финансового убытка, потери репутации кредитной организации в результате несоблюдения правил, норм и стандартов, относящихся к деятельности кредитной организации» [4].

В соответствии с исследованиями международной консалтинговой компании можно обозначить следующий подход к выполнению комплаенс функции [17]:

1. Организациям необходимо выполнять требования законодательства и обязательные требования как российского регулятора (например, законодательство о банках и банковской деятельности, законодательство о ПОД/ФТ, об инсайде и манипулировании, о рынке ценных бумаг, о защите персональных данных, о защите прав потребителей, налоговое законодательство, трудовое законодательство), так и международных (например, Common Reporting Standard (CRS), Foreign Account Tax Compliance Act (FATCA), The Market Abuse Regulation (MAR), General Data Protection Regulation (GDPR);

2. Организациям необходимо внедрять передовые международные практики, а именно: Политика подарков (Gift &Entertainment Policy), Политика «китайских стен» (Chinese Walls Policy), Антикоррупционная политика (Anti-Bribery Policy). Данные практики необходимы для формирования положительного имиджа банка и поддержания его деловой репутации.

Рассмотрев текущее состояние комплаенс контроля Банка, следует отметить, что организация находится на достаточно высоком уровне зрелости комплаенс функции. Однако, такие направления как анализ международных финансовых контрагентов и дочерних предприятий за пределами Российской Федерации с точки зрения комплаенс контроля на уровне зарубежных регуляторов отсутствует, либо представлен в ограниченном формате. Разность подходов к некоторым аспектам международного права и российского регулятора влечет за собой значительные комплаенс-риски, в части возможных международных конфликтов, судебных исков, а также потери деловой репутации на международном уровне или бизнеса в целом. Одним из примеров может служить наложение значительных финансовых санкций на Deutsche Bank в связи с операциями с российской финансово-кредитной организацией. Это демонстрирует отсутствие должного комплаенс контроля как со стороны Deutsche Bank, так и со стороны российской финансово-кредитной организации. Поэтому игнорирование или некомпетентный подход к вопросам международного регулирования может иметь серьезные последствия.

Для корректной организации комплаенс функции на международном уровне следует учитывать передовые мировые практики в этой области.

Передовые практики организации комплаенс контроля в банках. С 2009 года наблюдается тенденция по увеличению расходов банков в связи с неполным выполнением регуляторных требований и, как следствие, возрастание интереса банков к развитию комплаенс контроля. Однако, реагирование на изменения требований регуляторов недостаточно с точки зрения временных интервалов, что влечет за собой структурные изменения в организации управления комплаенс-рисками и подразделений комплаенс контроля со стороны финансовых организаций. Понимая значимость данных мероприятий, многие организации идут на кардинальные изменения в данных сферах.

Для решения этих проблем финансово-кредитные организации используют модель наилучшей практики [17] для формирования комплаенс контроля, которая опирается на три основных принципа.

1. Расширение роли комплаенс и активное участие в системе управления рисками и внутреннего контроля. В большинстве случаев банкам необходимо преобразовать роль своих подразделений комплаенс из контроля и консультации по уже выявленным моментам неисполнения требований регуляторов в дополнительный функционал по мониторингу исправлений ранее выявленных замечаний, а также в более тесное взаимодействие с подразделением рисков и внутреннего аудита по данной проблематике. Это позволит подразделению комплаенс уделять больше внимания превентивному управлению рисками. На практике это означает, что комплаенс контролю необходимо выйти за рамки простого консультанта по законодательным актам, положениям регулятора, и стать активным совладельцем рисков, чтобы обеспечить независимый надзор за системой контроля.

С учетом данных изменений обязанности функции комплаенс расширяются и включают следующее:

- формирование практических перспектив применения законов, правил и положений в бизнес-процессах и их учет в операционных системах;

- сегрегация комплаенс контролей с процессом идентификации и оценки рисков;

- разработка обучающих материалов для бизнес-структур для раннего выявления комплаенс-рисков с возможностью их устранения на более ранних этапах разработки продуктов банка;

- обеспечение эффективного применения контрольных процедур в сфере комплаенс, разработанных в соответствии с актуальными требованиями законодательства и регулятора, на первой линии защиты;

- проведение регулярной оценки состояния общей зрелости функции комплаенс;

- понимание риск-культуры банка со стороны комплаенс: его сильных сторон, а также потенциальных недостатков.

Объединение функций комплаенс контроля и разработки продуктов бизнес-подразделением наиболее актуально в связи с возрастающей сложностью предлагаемых бизнес-продуктов банков и требований к ним со стороны регуляторов. Перенесение точки входа комплаенс контроля на уровне обсуждения бизнес-продукта, а не после его запуска.

2. Прозрачность оценки остаточного риска и эффективности контроля. Основной операционной практикой является взаимодействие второй линии защиты с бизнес-подразделениями с целью выявления наиболее рискованных бизнес-процессов и проведения комплексного анализа рисков и контрольных процедур по ним. Однако в большинстве случаев данный подход в кредитных организация осуществляется механически, что не позволяет реально определить подверженность бизнес-процесса материальным рискам.

Применение подхода, который ориентирован на оценку остаточного уровня риска и эффективность текущих контрольных процедур, гарантирует учет всех материальных рисков, что позволит создать основу для формирования эффективных контрольных и восстановительных мероприятий, основанных на конкретном риске. Такой способ формирования комплаенс контроля позволяет напрямую связывать нормативные требования и средства контроля путем каскадирования комплаенс-рисков до фронт-офиса. Это должно реализовываться на систематической основе, а в дальнейшем привести к формированию объективных ключевых индикаторов комплаенс-риска (KRI).

Все вышеперечисленное позволит не осуществлять проверку пула всех средств контроля, связанных с каждым нормативным требованием на протяжении всего бизнес-процесса. Данный подход опирается на определенные риски, характерные для данного бизнес-процесса, и применение инструмента «breakpoint analysis» (определяющего потенциальные моменты реализации риска в бизнес-процессе). Основываясь на выявленных точках бизнес-процесса, комплаенс контроль формирует KRI, которые непосредственно измеряют подверженность остаточному риску. Это обеспечивает необходимую фактологическую базу для руководства банка и ускоряет процесс восстановления и распределения ресурсов.

3. Интеграция комплаенс функции с риск-ориентированным управлением регуляторными вопросами. Комплаенс-риски порождаются аналогичными ключевыми факторами, как и большинство других банковских рисков. Однако, при реализации комплаенс-рисков последствия могут оказывать большее влияние на финансовый результат (например, штрафные санкции за несоблюдение требований регулятора могут привести к временному приостановлению деятельности или отзыву лицензии банка, а также значительным штрафам). В текущих реалиях целесообразно интегрировать существующую или выстраиваемую систему комплаенс-контроля с риск-ориентированной системой корпоративного управления и системой риск-менеджмента банка.

Взаимосвязь управления комплаенс-рисками с риск-ориентированным управлением может оказать значительное положительное влияние на финансовые результаты деятельности. Во-первых, подобная интеграция позволит гарантировать всеобъемлющее представление финансово-кредитной организации относительно портфеля рисков, укажет на непокрытые комплаенс-риски. В свою очередь это обуславливает способность функции выявить большинство системных проблем (например, в отношении кросс-продуктов, кросс-процессов). Во-вторых, взаимосвязь комплаенс процедур и контролей с риск-менеджментом и внутренним контролем позволить снизить нагрузку на данные подразделения. Например, это может гарантировать наличие только обоснованных и эффективных контрольных процедур, и мероприятий по митигации некоего риска. Также интеграция комплаенс функции и системы риск-менеджмента позволит гарантировать отсутствие дублирующих форм отчетности.

Определенные практические действия могут помочь Банку прочно интегрировать комплаенс в общее риск-ориентированное управление регуляторными вопросами:

- разработка единого интегрированного перечня операционных и комплаенс-рисков;

- разработка и централизованное ведение стандартизированных таксономий рисков, процессов, продуктов и контролей;

- координация методологий и календарей оценки рисков, отчетности по ним;

- определение четких ролей и обязанностей между функциями управления рисками и комплаенс контроля, чтобы обеспечить отсутствие пробелов или дублирования, особенно в «серых зонах», где сходятся такие риски как: риск конфиденциальности, риск мошенничества, риски ИТ-безопасности и т. д.

- разработка и совместное управление интегрированными программами обучения и коммуникации;

- организация подразделения взаимодействия с государственными органами и регулятором.

Однако, учитывая то, что данные мировых практик не могут напрямую применяться российскими финансово-кредитными организациями, следует взвешено подходить к их использованию, а также модернизировать данные практики с учтем требования российского регулятора. Банки, которые успешно внедрят скорректированные с учетом отечественных реалий ведущие практики, будут пользоваться уникальным источником конкурентного преимущества в обозримом будущем. Они будут в состоянии предоставлять более качественные услуги, снижать структурные затраты и значительно снижать риск своих операций.

Заключение

Рассмотрев существующую комплаенс структуру на уровне АО «МИнБанк», стоит отметить достаточно полный и глубокий охват функцией сфер деятельности организации. В существующей структуре есть деление на 4 направления, прорабатываются комплаенс мероприятия по достаточно широкому кругу сфер деятельности. Однако, изучив мировые практики стоит отметить, что организация комплаенс контроля не в полной мере удовлетворяет текущим вызовам для комплаенс:

1. Усложнение регулирования в Российской Федерации, возрастающее внимание Банка России к этическим аспектам ведения бизнеса (борьба с мисселингом, введение института тестирования клиентов, работающих на рынке ценных бумаг, ESG и т.д.);

2. Ужесточение последствий за нарушение законодательства и требований регулятора;

3. Ужесточение требований зарубежных регуляторов, массовое появление трансграничного регулирования (FATCA, CRS, MAR, GDPR);

4. Возрастание роли дистанционных каналов оказания услуг, что требует повышенного внимания со стороны комплаенс контроля;

5. Развитие законодательства отстает от развития банковских продуктов и информационных технологий, многие моменты законодательно не урегулированы.

Учитывая данные вызовы, для совершенствования и повышения эффективности комплаенс функции требуется привлечение компетентных специалистов, обладающих порой рядом специфичных профессиональных сертификаций, способных реализовать применение лучших практик в рамках деятельности Банка. Дополнение и модернизация комплаенс контроля, а также интеграция его с риск-менеджментом, внутренним контролем и внутренним аудитом позволит своевременно выявлять новые комплаенс риски и предотвращать их реализацию [8]. В связи с этим, для акционеров эффективно работающая функция комплаенс в Банке является защитой репутации, так как мониторинг, координация и управление репутационным риском закреплен за комплаенс подразделением.


Страница обновлена: 26.07.2022 в 13:34:25