В настоящее время Банк России продолжает позитивную практику распространения рекомендаций, базирующихся на документах, разработанных Базельским комитетом по банковскому надзору.

Вслед за Положением Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» Положение № 242-П), во многом основанном на рекомендациях Базельского комитета по банковскому надзору (БКБН) «Система внутреннего контроля в банках: основы организации» (сентябрь 1998 г., «БКБН 40») и «Внутренний аудит в банках и взаимоотношения надзорных органов и аудиторов» (август 2001 г., «БКБН 84»)[1], Банком России выпущен ряд документов, рассматривающих различные аспекты управления нефинансовыми рисками (в частности, операционным, правовым, репутационным рисками). Для банковского сообщества эти документы создают единый стандарт, на который можно ориентироваться при совершенствовании внутрибанковской системы контроля.

В то же время, один из ключевых элементов, связанных с построением системы внутреннего контроля, остается в отечественном банковском регулировании в прежнем, не вполне четко регламентированном состоянии: имеются ссылки на его отдельные аспекты; в ряде случаев, отдельные компоненты его встроены в функциональное «меню» иных сегментов системы внутреннего контроля. Речь идет о функции комплайенс-контроля как обособленном подразделении (или нескольких подразделениях), осуществляющих контроль за управлением правовыми и репутационными рисками.

Прежде чем перейти к подробному изложению особенностей регулирования комплайенс функции, необходимо дать некоторые комментарии о самом термине «комплайенс».

В целом, как известно, это калька с англ. compliance - соответствие каким- либо требованиям или нормам, внешним и внутренним. Хотя в российском законодательстве в настоящее время явно отсутствует этот краткий термин, в профессиональной среде понятие «комплайенс» давно устоялось (прежде всего, на фондовом рынке,[2] но также и в банках[3]) и даже использовалось Банком России в узком смысле в течение короткого периода времени (Указание Банка России «О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях» от 7.07.1999 № 603-У).

В настоящей статье термин «комплайенс» (комплайенс-контроль) также используется для краткого выражения одной из функции органов управления банка по обеспечению «соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации; исключения вовлечения кредитной организации и участия ее служащих в осуществлении противоправной деятельности, в том числе легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, а также своевременного представления в соответствии с законодательством Российской Федерации сведений в органы государственной власти и Банк России».[4]

Документы международных и российских регуляторов о комплайенсе.

Для российских банков практические вопросы организации комплайенс контроля подробно регулируются, в основном, двумя документами Банка России: Положение № 242-П и Письмо от 30.06.2005 № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах» (Письмо № 92-Т), а для некоторых банков также Положением «О внутреннем контроле профессионального участника рынка ценных бумаг», утвержденным приказом Федеральной службы по финансовым рынкам от 21.03.2006 № 06-29/пз-н (Положение № 06-29/пз-н).

------------------------------------------------------------------------------------------------------

Что означает термин «комплайенс»

Термин комплайенс означает способность действовать в соответствии с инструкциями, правилами и специальными требованиями.

В отрасли финансовых услуг комплайенс выполняется на двух уровнях.

Уровень 1 – соответствие внешним правилам, которые обязан выполнять организация в целом.

Уровень 2 – соответствие требованиями системы внутреннего контроля, которые устанавливаются с целью обеспечения выполнения внешних требований.

Какие функции, задачи и обязанности
выполняет Комплайенс Контролер?

Функция: Комплайенс Контролер работает с менеджментом и сотрудниками организации с целью выявления и управления правовым риском.

Задача: главной задачей комплайенс контролера является обеспечение создания в организации системы внутреннего контроля, которая адекватно измеряет и управляет рисками, с которыми сталкивается организация.

Обязанность: главной обязанностью комплайенс контролера является осуществление внутри организации эффективной поддержки деятельности бизнес функций для соблюдения соответствующих законов, требований внешних и внутренних нормативных документов.

Международная Комплайенс Ассоциация

--------------------------------------------------------------------------------------------------------

Методической основой для Положения № 242-П и Письма № 92-Т явились БКБН 40, согласующиеся с Международными профессиональными стандартами внутреннего аудита[5], и рекомендации «Функция комплайенс в банках», выпущенные в октябре 2003 г. (БКБН 103). В БКБН 103 (перевод на русский язык приведен в статье нашего коллеги из Украины Бортникова Г.П.[6]) функция комплайенс определяется как «независимая функция, которая выявляет, оценивает, дает соответствующие советы, отслеживает и готовит отчеты в отношении риска комплайенс, определяемый как риск юридических или регулятивных санкций, финансовых убытков, урона репутации, которые могут быть обращены на банк в результате несоблюдения им законодательства, регулирования, кодекса поведения и стандартов хорошей практики.»

Существует и более общее определение, данное Международной Комплайенс Ассоциацией, не только для банковских организаций, предусматривающее в качестве главной задачи комплайенс контролера (в оригинале – «комплайенс-служащего») обеспечение создания в организации системы внутреннего контроля, которая адекватно измеряет и управляет рисками, с которыми сталкивается организация.

Положением № 242-П в перечне подразделений и сотрудников, осуществляющих внутренний контроль (кроме органов управления, руководителей банка), определены несколько участников данного процесса, выполняющих частично функции комплайенс-контролера. В приложении 1 приведено краткое описание основных функций указанных сотрудников с комментариями о том, как их обязанности сочетаются с принятой международной практикой.

Ряд комплайенс задач в российских нормативных актах предусматривается аналогично тому, как рекомендовано БКБН 103, например, принципы «Знай своего клиента», «Знай своего сотрудника», подходы к управлению репутационным риском, комплекс функций по противодействию отмыванию доходов, полученных преступным путем (ПОД/ФТ), контроль за соблюдением законодательства о рынке ценных бумаг.

Однако, Положение № 242-П и Письмо № 92-Т, а также Положение № 06-29/пз-н содержат некоторые позиции, которые могут стать причиной конфликта интересов и ограничением возможностей развития деятельности комплайенс служб. Как можно видеть из сравнительной таблицы (приложение 1), в рамках действующей нормативной базы банковского регулирования РФ функция «комплайенс» представлена не в том виде, как она описана в БКБН 103. В частности, в документах БКБН все более четко прослеживаются различия функций комплайенса от функций внутреннего аудита, смешанных в документах Банка России.

БКБН – новый взгляд

Особенно наглядно отсутствие и целостного и четко структурированного подхода к указанной сфере контроля и управления рисками в нормативных документах в российских банках, по сравнению с рекомендации международных органов, проявляется на фоне нового документа БКБН «Комплайенс и комплайенс функция в банках»[7] (БКБН 113, неофициальный перевод данного документа представлен в Приложении 2 к данной статье), пришедшего на замену БКБН 103. Подробное изложение отличий между первой и итоговой версиями документа БКБН приведено в приложении 3. Полагаем, что по результатам обсуждения предварительной версии документа в БКБН была осуществлена необходимая конкретизация ряда ключевых аспектов функции «комплайенс» и принципов ее организации, более адекватным образом сгруппированы данные принципы. Усилено позиционирование комплайенс контроля как риск-ориентированного процесса и одной из частей системы управления рисками (показательно, что слово «риск» в БКБН 103 упоминается 26 раз, а в БКБН 113 – 57 раз). Кроме того, независимость отдельной функции комплайенс в системе корпоративного управления в банке подчеркивается БКБН как один из наиболее важных факторов для обеспечения эффективного контроля за деятельностью организации со стороны собственников (см. проект документа БКБН «Совершенствование корпоративного управления в банках», пункт 14[8]). Таким образом, процесс работы над документом явился отражением движения от формального контроля в сторону построения системы управления рисками. В целом документ в новой версии стал более полным и детальным.

Связь с другими функциями и рисками

Комплайенс vs Внутренний аудит

Отдельного внимания заслуживает рассмотрение взаимодействия по линии «комплайенс – внутренний аудит», или, применительно к нашей правовой среде, «комплайенс – Служба внутреннего контроля».

-------------------------------------------------------------------------------------------------------

Предлагаемое определение:

«Служба внутреннего аудита осуществляет деятельность по мониторингу, проверке и объективной оценке систем внутреннего контроля, оказанию консультаций, направленных на совершенствование деятельности кредитной организации.»

 

Из Письма Института внутренних аудиторов от 25.05.2005 № ЦБ-6
«О внесении изменений и дополнений в Положение Банка России от 16.12.2003 № 242-П»
www.iia-ru.ru

-------------------------------------------------------------------------------------------------------

Фактически, Положение № 242-П совершенно прямо и недвусмысленно:

·                    представляет службе внутреннего контроля достаточно широкий объем полномочий,

·                    обеспечивает формальные (скажем так, потому что вопросы фактической реализации – на совести конкретных (в том числе, бывает, и «чисто конкретных») владельцев и менеджеров банков) критерии независимости данного подразделения,

·                    содержит в перечне функций СВК по сравнению с «чистым» внутренним аудитом, описанным в БКБН 40 и БКБН 84 «дополнительную нагрузку» в виде п.п. 4.4.8, 4.4.11 (см. приложение 1).

Логично предположить, что, таким образом, службе внутреннего контроля вроде бы и все карты в руки, в том числе в вопросах осуществления значительной части функций комплайенса («все равно же всех и всё проверяют»). В то же время, столь же очевидно, что невозможно одновременно и осуществлять независимую оценку качества внедрения методологии, и выстраивать и внедрять методологию управления комплайенс-риском, включающую следующие аспекты:

·                    консультирование исполнительного руководства по правовым вопросам,

·                    помощь исполнительному руководству в проведении образовательных мероприятий по вопросам комплайенса, в издании письменных указаний по вопросам обеспечения соответствия законодательству, правилам и стандартам через политики и процедуры (в т.ч. руководства по проведению проверки соответствия им, кодексы этики),

·                    измерение и оценка комплайенс-риска, разработка системы индикаторов для оценки возможных проблем в сфере комплайенса.

Именно поэтому БКБН 113 (как, впрочем, и БКБН 103) содержит четкое требование, чтобы деятельность функции «комплайенс» во всем объеме подвергалась периодической проверке со стороны функции «внутренний аудит». И именно поэтому крайне сложно представить одновременное выполнение одним и тем же подразделением внутреннего контроля функций, указанных в п.п. 4.4.8 («Проверка соответствия внутренних документов нормативным правовым актам, стандартам саморегулируемых организаций...») и 4.4.10 («Проверка систем, созданных в целях соблюдения правовых требований, профессиональных кодексов поведения») того же Положения № 242-П.

В ряде Практических рекомендаций по применению Международных профессиональных стандартов внутреннего аудита, выпущенных Институтом внутренних аудиторов, вопросу определения роли внутреннего аудитора в оценке системы внутреннего контроля и возможности достижения организацией комплайенс целей уделяется большое внимание. В частности, можно упомянуть рекомендации № 2100-5 и № 2120.A1-1: 

·                    «Юридические вопросы при оценке программ соответствия установленным нормам»

·                    «Оценка и формирование отчётности по процессам контроля».

Имеется существенная разница между методологическими подходами, применяемыми при комплайенс-контроле и внутреннем аудите. Конечно, ряд процедур, осуществляемых функцией «комплайенс», в определенной степени близки к «чистому» внутреннему аудиту. В то же время, разница между процедурой «аудит соответствия» и ролью внутреннего аудитора в целом хорошо иллюстрируется комментарием М. Симмонса[9]:

«Деятельность комплайенс состоит в том, чтобы определить нарушения или отклонения, и, там, где это необходимо, применить санкции, удержать платежи, добиться возмещения, определить и сообщить об ошибках персонала, и т.д. Это – не внутренний аудит; и, что более важно, использовать эту методологию для проведения внутреннего аудита не особенно экономичный или эффективный способ определить систематические, критические для миссии [организации] проблемы контроля».

В Интегрированной модели управления рисками организаций[10] также можно найти отличия между целями системы управления рисками, которые преследуют функции комплайенса и внутреннего аудита: цели внутреннего аудита шире целей службы комплайенс, и включают также достоверность отчетности, эффективность и производительность, выполнение стратегических задач.

Таким образом, предполагаемое распределение «фронта работ» между функциями «комплайенс» и «внутренний аудит» лаконично можно сформулировать так:

·                    Функция «комплайенс» играет определяющую роль в построении системы управления комплайенс-риском и организации текущего контроля процедур по управлению данной системой,

·                    Функция «внутренний аудит» осуществляет независимую проверку данной системы, равно как и иных составных компонентов системы внутреннего контроля,

·                    Между подразделениями существует тесная координация и обмен результатами контрольных мероприятий.

Хорошим подспорьем внутреннему аудитору, осуществляющему проверку деятельности комплайенс подразделения, может послужить статья К. Стензгаард «Когда вы проверяли последний раз работу комплайенс службы?[11].

Комплайенс на рынке ценных бумаг 

В отношении кредитных организаций, являющихся одновременно профессиональными участниками рынка ценных бумаг, можно отметить некоторые дополнительные особенности регулирования комплайенс функции. Федеральная служба по финансовым рынкам весьма жестко регулирует вопросы комплайенс контроля и в банках. При этом, по нашему мнению, комплексного подхода не со стороны регулятора не просматривается, а возможности для творческой и более эффективной реализации требований Положения № 06-29/пз-н у банков ограничены. Предыдущая версия документа ФСФР была издана в 2003 г., и в 2005 г. проводилась ревизия документа с привлечением к обсуждению профессионального сообщества. К сожалению, предложения специалистов-практиков в финальной версии документа ФСФР не нашли поддержки у регулятора, и документ остался практически в прежнем виде. Изменения коснулись только наиболее очевидных аспектов – ПОД/ФТ, ссылки на другие документы и т.д. Наиболее яркие недостатки Положения № 06-29/пз-н, в особенности применительно к банкам, состоят в следующем:

·                    Не предусматривается организация внутреннего контроля профессионального участника рынка как системы. Соответственно, не дается описания основных компонентов системы внутреннего контроля: контрольная среда, выявление и оценка рисков, контрольные процедуры, мониторинг, соответствующего передовой, современной практике финансово-кредитных организаций и изложенного в документах международных профессиональных ассоциаций и регуляторов.[12] Место комплайенса в этой системе представлено весьма размыто.

·                    Система внутреннего контроля по версии Положения № 06-29/пз-н состоит только из одного подразделения – контролера профессионального участника рынка, выполняющего только отдельные контрольные функции из всего комплекса функций, составляющих систему внутреннего контроля. В то же время, очевидно, что функции внутреннего контроля осуществляются всеми сотрудниками организации, и, прежде всего, сотрудниками, не работающими в подразделении контролера.

·                    Предусматривается возможность выполнения функций контролера руководителем службы внутреннего аудита банка, что создает риск недопустимого в данном случае совмещения противоречивых функций и потенциального конфликта интересов, и противоречит современным принципам корпоративного управления, управления рисками и внутреннего контроля.

Работа с проверяющими органами

Весьма актуальным вопросом для ряда банков, прежде всего, крупных, является определение оптимальной схемы взаимодействия с различными внешними проверяющими организациями: Банком России, налоговыми органами, Счетной Палатой, Прокуратурой и так далее, включая пожарников и санэпидемстанцию – полный их список, видимо, крайне затруднительно составить и самим государственным органам. Даже самые законопослушные банки сталкиваются с рядом практических сложностей в эффективной организации процесса взаимодействия с внешними органами:

·                    предоставление документов, зачастую в большом количестве и с дополнительными расшифровками, отнимает у «линейных» служб много ресурсов, а документы нужно предоставить точные и вовремя,

·                    часто возникают дискуссии по трактовке того или иного документа, решения, и в целях избежания необоснованных санкций и/или потери репутации необходимо организовать обсуждение спорных вопросов на конструктивной основе; это отнимает также значительные ресурсы и требует навыков дипломатичного ведения самих переговоров,

·                    весьма важное значение и не менее значительный объем имеет работа по обобщению результатов работы внешних контролеров, по подготовке предложений по совершенствованию системы контроля; в особенности, если в ходе проверок выявляются серьезные нарушения.

Очевидно, работа с проверяющими - одна из специфических черт служб комплайенса в российских банках. Эта работа зачастую также требует от координатора высокой квалификации и полномочий уровня высшего руководства. В разных банках функцию координации взаимодействия с внешними контролерами выполняют разные подразделения, наиболее часто встречающиеся случаи - служба внутреннего контроля или главный бухгалтер, либо сразу несколько разных подразделений в зависимости от профиля работы проверяющего.

БКБН 113 предусматривает возможность выполнения такой координационной функции подразделением комплайенс: «42. Функция комплайенс … также может взаимодействовать с соответствующими внешними организациями, включая надзорные органы, органы установления стандартов и внешних экспертов».

Конечно, список проверяющих органов весьма индивидуален для каждого банка, и вряд ли уместно предлагать универсальную схему организации работы с внешними контролерами, но при значительных объемах бизнеса банка создание обособленного подразделения может быть весьма обоснованным. Эффективность такого координационного звена станет выше, если на него будут возложены функции координации остальных комплайенс служб, всех вместе подотчетных одному из лиц, входящих в высшее руководство банка.

Комплайенс – ответственный за всё и за всех?

В документе БКБН 113 отмечается, что не обязательно все обязанности в рамках функции «комплайенс» должны осуществляться единым «подразделением комплайенса». Однако в случае распределения функций между различными подразделениями необходимо обеспечить:

·                    Четкое распределение ответственности между подразделениями.

·                    Назначение ответственного лица в высшем руководстве за выполнение функции комплайенс в целом (руководителя комплайенс-функции).

·                    Необходимые механизмы сотрудничества между подразделениями и руководителем функции «комплайенс», достаточные для исполнения последним своих обязанностей.

Исходя из сложившейся в российских банках типизации функций, можно контурно обозначить возможные направления взаимодействия между различными компонентами функции «комплайенс» и иными функциональными направлениями деятельности банка (и соответствующими им структурными единицами) следующим образом.

Функция/Подразделение

Компетенция

Комплайенс-контроль профессионального участника рынка ценных бумаг

Раскрытие информация о существенных событиях, информация о нарушениях и результатах рассмотрения обращений, заявлений и жалоб клиентов, сроки предоставления типовых отчетов, соблюдение разграничений между клиентским и собственными операциями, реклама и манипулирование ценами

Финансовые / Операционные риски и отчетность

Достоверность информации об операциях в системах учета. Сведения о нарушениях и рисках в процедурах контроля за финансовыми рисками и при формировании отчетности. Сведения о рисковых событиях и убытках, методологии их оценки

ПОД/ФТ

Выявление клиентов и операций, подверженных риску, выявление несоответствия во внутренних процедурах и действиях сотрудников, влекущее риск применения санкций и потери репутации

Валютный контроль

Выявление клиентов и операций, подверженных риску, выявление несоответствия во внутренних процедурах и действиях сотрудников, влекущее риск применения санкций и потери репутации

Юридическая служба

Информация о внутренних и внешних правовых конфликтах, данные о состоянии внутренней и внешней нормативной базы, проекты нормативных документов. Правовая оценка нарушений, выявляемых функцией «комплайенс» и иными подразделениями, на предмет принятия дальнейших юридических действий и правовых последствий. Законодательство о рекламе и антимонопольное.

Обеспечение безопасности

Сведения о возможных и выявленных злоупотреблениях, нарушениях защиты информации (в т.ч. в автоматизированных информационных системах) и активов (в т.ч. при контроле физического доступа к объектам)

Управление персоналом

Распространение кодексов поведения, закрепление необходимых требований в контрактах, а также отдельные вопросы обучения, оценки персонала.

Подразделение по взаимоотношениям с проверяющими органами

Предоставление документов по запросам внешних контролирующих органов, обобщение информации о нарушениях, координация усилий различных подразделений в спорных ситуациях

            Вышеприведенный перечень не является, по-видимому, исчерпывающим, и может быть уточнен и дополнен с учетом индивидуальных особенностей каждого конкретного банка. Например, в перечне отсутствует «ответственный сотрудник по правовым вопросам», упомянутый в Положении № 242-П, руководитель высшего звена (член Правления), выполняющий координационные функции, и некоторые другие должности, выполняющие локальные функции комплайенс контроля, например, сотрудники бухгалтерской службы.

Практика показывает, что данные принципы вполне реализуемы. В частности, заслуживает внимания существующий опыт организации подразделения комплайенса в рамках финансовой группы «Уралсиб» и взаимодействия подразделения комплайенс с другими подразделениями (Дирекцией аудита СВК, Управлением персонала, Юридическим центром, Службой содействия бизнесу)[13]. Кроме того, следует обратить внимание на опыт аналогичной работы по адаптации практики национальных банковских систем к международным стандартам в тех странах, где издавна существуют различные контрольные функции/подразделения с различным наполнением функциями в области именно комплайенса. Наиболее характерные примеры такого комплексного подхода к построению комплайенс функции, - финансовые системы США, а также ряда европейских стран, прежде всего, Франции. Требования к организации комплайнес-контроля в банках США (включая особенности сертифицирования специалистов комплайенса) приведены в уже упомянутой работе Бортникова Г.П., и в материалах Международной Комплайенс Ассоциации[14], а весьма подробный сравнительный обзор состояния законодательства в области комплайенса в европейских странах содержится в исследовании Банковской Комиссии Франции «Комплайенс функция в банках и инвестиционных компаниях».[15]

 

Как обычно... что делать?

В сложившейся ситуации особенно очевидными становятся меры, предлагаемые, в частности, Институтом внутренних аудиторов[16], по уточнению (в нормативных документах и на практике) ряда аспектов Положения 242-П, подразумевающие более четкое разделение функций внутреннего аудита и иных аспектов внутреннего контроля, в том числе:

·                    Введение вместо подробных единообразных требований регулятора к системе внутреннего контроля (в т.ч. виде рекомендаций, которые в интерпретации сотрудников Банка России «на местах» иногда приобретают императивный оттенок) отраслевых стандартов, разработанных с участием профессионального сообщества, Банка России, ФСФР, иных заинтересованных сторон. Подобные стандарты, основанные на единых принципах, но без излишней детализации, в то же время помогут каждому банку сформировать систему внутреннего контроля, действительно соответствующую целям и масштабам его бизнеса.

·                    Изменение определения внутреннего аудита в целях его приближения к определению, основанному на Международных профессиональных стандартах внутреннего аудита, а также соответствующему рекомендациям БКБН 84 (пункт 9).

·                    Введение по тексту Положения № 242-П сочетания «служба внутреннего аудита» вместо терминологически и функционально вводящей в заблуждение относительно распределения ролей в системе внутреннего контроля «службы внутреннего контроля». При этом предлагается оставить на усмотрение банков сохранение службы внутреннего контроля в качестве специализированного подразделения, выполняющего координирующие функции по созданию системы внутреннего контроля, и при необходимости осуществляющего независимый контроль отдельных операций банка. Функционал такой СВК вполне может являться, например, базой для организации функции «комплайенс».

В развитие указанных предложений целесообразно, по мнению авторов, уточнение определений, роли и структуры подразделений, связанных с функцией «комплайенс». В частности, следует:

·                    Вместо аморфного «ответственного сотрудника по правовым вопросам» (часть вторая п.2.2.3 Положения № 242-П) ввести отдельным пунктом определение руководителя функции «комплайенс», соответствующее БКБН 113;

·                    Указать на необходимость выполнения требований о независимости данной функции, с их раскрытием в отчетности в соответствии с Принципом 5, п.п. 23-32 БКБН 113;

·                    Указать на необходимость функциональной отчетности (и возможность организационного подчинения) руководителю функции «комплайенс» иных подразделений и сотрудников, осуществляющих, в частности, контроль за ПОД/ФТ, и комплайенс-контроль профессиональной деятельности на рынке ценных бумаг, юридическую поддержку, управление правовыми рисками.

По мнению авторов, необходимость в адекватном отражении принципов организации и процедур осуществления функции «комплайенс» в нормативной базе банковского регулирования и профессиональных стандартах банковского сообщества действительно назрела, а реализация предлагаемых мер вполне возможна и в конечном итоге действительно повысит эффективность банковского бизнеса.

 

А.В. Акулов, ОАО «Внешторгбанк», дипломированный внутренний аудитор,

Д.В. Малыхин, ОАО «Россельхозбанк», дипломированный внутренний аудитор,

Н.Н. Рыжих, BSGV, Управление рисков

 

Приложение 1

 

Участники функции комплайенс в российских банках.

Подразделение

Функционал

Недостатки функционала

Служба внутреннего контроля (внутреннего аудита)

Аналог функции «Внутренний аудит» по стандартам Института внутренних аудиторов плюс:

·                Проверка соответствия внутренних документов нормативным правовым актам, стандартам саморегулируемых организаций (для профессиональных участников рынка ценных бумаг) (п.4.4.8)

·                Оценка работы службы управления персоналом (п.4.4.11)

·                «Другие вопросы» (п.4.4.12)

Ряд направлений деятельности допускают конфликт интересов, в силу того, что подразделению на практике предоставляются как функции организации и методологии системы внутреннего контроля, так и проверки указанных аспектов

Ответственный сотрудник (структурное подразделение) по противодействию легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (далее ПОД/ФТ)

·                Разработка и реализация правил внутреннего контроля в целях ПОД/ФТ, программ его осуществления и иных внутренних организационных мер в указанных целях,

·                Организация представления в уполномоченный орган по ПОД/ФТ сведений в соответствии с Федеральным законом № 115-ФЗ и нормативными актами Банка России

Сфера компетенции ограничена ПОД/ФТ.

Контролер профессионального участника рынка ценных бумаг

Проверка соответствия деятельности, как профессионального участника рынка ценных бумаг, требованиям законодательства РФ о ценных бумагах и защите прав и законных интересов инвесторов на рынке ценных бумаг, нормативных правовых актов федерального органа исполнительной власти по рынку ценных бумаг.

Подробный функционал определен Положением ФСФР от 21.03.2006 № 06-29/пз-н.

Сфера компетенции ограничена направлениями деятельности профессионального участника рынка ценных бумаг.

Ответственный сотрудник по правовым вопросам

·               Проверка соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов.

·               «Рекомендации по организации управления правовым риском...» (Приложение к Письму № 92-Т) предлагают возложить на подразделение (служащего) по управлению правовым риском организацию работы по минимизации правового риска.

·               Не определен статус данного подразделения (сотрудника). Авторам доводилось встречаться с таким представлением, что это «всего лишь другое название юридической службы».

·               Не определены необходимые для осуществления функций полномочия и процедуры их реализации.

 


Приложение 2

 

«Комплайенс и функция комплайенс в банках»

Неофициальный перевод документа Базельского комитета по банковскому надзору
«
Compliance and the compliance function in banks» (публикация 113, апрель 2005 г.)

Размещен на Банкир.Ру отдельным документом http://bankir.ru/analytics/svk/216/63026

 


 Приложение 3

 

Сравнение версий документа по вопросам комплайенс

Базельского комитета по банковскому надзору

 

БКБН 103, Октябрь 2003

БКБН 113, Апрель 2005

Название и структура документа

 

1.        Название документа теперь содержит не только понятие «Функция комплайенс», но и в целом понятие «комплайенс»

2.        Структура документа стала более разветвленной. Количество описанных принципов сократилось с 11 до 10, но по содержанию они стали более насыщенными, например, добавлен принцип об ответственности высшего руководства за эффективное управление комплайенс-риском в банке (принцип 2).

3.        В БКБН 113 появились 3 основных части вместо 2 и более детальное дробление основных частей.

4.        Принципы, касающиеся независимости и обязанностей функции комплайенс, в БКБН 103 не имели такого детального дробного деления.

Определение функции «комплайенс»

Отдельный вводный пункт в документе.

Независимая функция идентификации, оценки, консультирования, мониторинга и отчетности по комплайенс - риску банка, то есть риску санкций со стороны законодательных или регулирующих органов, финансовых потерь или ущерба репутации, которые банк может испытать в результате его неспособности соответствовать всем применяемым законам, распоряжениям, кодексам поведения и стандартам хорошей практики (вместе - "законы, правила и стандарты"

Отдельного определения функции во введении нет.

Выражение «комплайенс-функция» используется для описания персонала, осуществляющего обязанности в сфере комплайенса.

Обязанности высшего руководства

 

1.        В целом подход совпадает, новая версия написана более  подробно

Принципы 1 и 2

Совет директоров ответственен за установление общей политики управления комплайенс риском.

 

Исполнительное руководство банка ответственно за установление политики в сфере комплайенса, подтверждение ее соблюдения, и отчетность перед Советом директоров об осуществлении ее реализации. Исполнительное руководство также ответственно за оценку того, является ли политика в сфере комплайенса актуальной.

Принципы 1 и 2

Совет директоров ответственен за установление общей политик управления комплайенс риском.

 

Исполнительное руководство банка ответственно за эффективное управление комплайенс-риском.

 

Принцип 3

Исполнительное руководство банка несет ответственность за организацию политики в сфере комплайенса,  информирование о ней, подтверждение ее соблюдения и отчетность перед Советом директоров об управлении комплайенс-риском банка.

Принцип 3

Исполнительное руководство банка несет ответственность за организацию постоянной и эффективной функции "комплайенс" в банке как части политики банка в сфере комплайенса.

Совпадает (Принцип 4)

Принципы функции комплайенс

 

1.      Принцип  о формальном статусе функции комлайенс (принцип 4, окт.03) включен в принцип о независимости функции комлайенс (принцип 5, апр.05). Принципы функции комплайенс (апр.05) описаны более детально. Добавились разделы Конфликт интересов; Доступ к информации и сотрудникам;

2.      Принцип об обязанностях руководителя функции комплайенс (принцип 7, окт.03) исчез как отдельный принцип и стал частью раздела «Принципы функции комплайенс»;

3.      Принцип о необходимой квалификации сотрудников функции комплайенс (принцип 8, окт.03) заменен на более общий принцип о необходимости ресурсов для функции комплайенс (принцип 6, апр.05);

4.      Принцип об обязанностях функции комплайенс (принцип 7, апр.05) стал более полным и содержит несколько частей: появились такие разделы, как Консультирование; Инструктивный материал и обучение; Определение, измерение и оценка комплайенс-риска; Мониторинг, тестирование и отчетность; Государственные обязанности и взаимодействие; Комплайенс-программа.

Перечень принципов

Принцип 4 Статус

Принцип 5 Независимость

Принцип 6 Роль и обязанности

 

Сотрудники функции комплайенс

Принцип 7 Руководитель функции

Принцип 8 Квалификация сотрудников

 

Принцип 9. Международные вопросы

Принцип 10. Взаимоотношения с внутренним аудитом

Принцип 11. Аутсорсинг

Перечень принципов

Принцип 5: Независимость

-          Статус

-          Руководитель функции комплайенс

-          Конфликт интересов

-          Доступ к информации и сотрудникам

Принцип 6: Ресурсы

Принцип 7: Обязанности функции комплайенс

-          Консультирование

-          Инструктивные материалы и обучение

-          Определение, измерение и оценка комплайенс-риска

-          Мониторинг, тестирование и отчетность

-          Государственные обязанности и взаимодействие

-          Комплайенс-программа

Принцип 8: Взаимоотношения с внутренним аудитом

Принцип 4

Функция "комплайенс" должна иметь официальный  статус в банке. Наилучшим образом это достигается посредством положения или иного официального документа, одобренного Советом директоров, который определяет для данной функции положение, полномочия и независимость.

Определение статуса более подробно включено как один из аспектов принципа независимости (п.п.22-23, Принцип 5)

Принцип 5

Функция "комплайенс" банка должна быть независимой от бизнес - деятельности банка

Принцип 5

Функция "комплайенс" банка должна быть независимой.

Выделены 4 основных аспекта независимости:

·          Статус функции

·          Роль руководителя функции «комплайенс»

·          Отсутствие конфликта интересов

·          Доступ к информации и сотрудникам

Принцип 6

Роль функции "комплайенс" должна заключаться в идентификации, оценке и мониторинге комплайенс - рисков, с которыми сталкивается банк, консультировании и представлении отчетов исполнительному руководству и Совету директоров об этих рисках.

Перечень обязанностей содержится в п.26. Там же указано, что те обязанности, которые не осуществляются функцией «комплайенс», должны осуществляться другой независимой функцией.

П.27 указывает, что  если часть этих обязанностей осуществляется персоналом других подразделений, распределение обязанностей для каждого подразделения должно быть четким

П.28 определяет необходимость программы комплайенса

Принцип 7

Обязанностью функции «комплайенс» должна являться помощь исполнительному руководству в эффективном управлении комплайенс-риском, с которым сталкивается банк. Конкретные сферы ответственности указаны ниже. Если часть этих обязанностей осуществляется персоналом других подразделений, распределение обязанностей для каждого подразделения должно быть четким.

Обязанности функции «комплайенс», аналогичные указанным в п.п.26, 28 БКБН 103, сгруппированы в следующие категории:

·          консультирование

·          инструктивный материал и обучение

·          идентификация, измерение и оценка комплайенс-риска

·          мониторинг, тестирование и отчетность

·          государственные обязанности (специфические обязанности, установленные по законодательству)

Указание, аналогичное содержащемуся в п.26 относительно осуществления обязанностей вместо функции «комплайенс» другой независимой функцией, отсутствует.

Принцип 7

Руководитель функции "комплайенс" ответственен за повседневное руководство деятельностью функции "комплайенс" в соответствии с принципами, установленными данным документом.

Вопросы руководства функцией «комплайенс» более подробно описаны как один из аспектов принципа независимости (п.п. 24-27)

Принцип 8

Сотрудники, исполняющие обязанности в сфере комплайенса, должны иметь необходимые квалификацию, опыт, профессиональные и личные качества, позволяющие им эффективно осуществлять свои функции.

Принцип 6. Ресурсы

Функция «комплайенс» должна располагать ресурсами для эффективного осуществления своих обязанностей.

Исходя из трактовки п.34, можно сделать вывод, что понятие необходимых ресурсов носит более широкий характер, чем квалификация, опыт, профессиональные и личные качества сотрудников, которые являются одними из аспектов требований к ресурсам.

Принцип 10

Сфера охвата и широта деятельности функции "комплайенс" должны подвергаться периодической проверке со стороны функции "внутренний аудит"

В целом совпадает  с принципом 8.

В трактовке (п.45) подчеркнуто, что важно четкое понимание того, как деятельность по оценке и тестированию рисков разделена между двумя функциями [комплайенс и внутренний аудит], и что данное разделение документировано (например, в политике по комплайенсу или соответствующем документе, например в протоколе). Руководитель функции аудита должен информировать руководителя функции комплайенс обо всех выявленных аудитом фактах, относящихся к вопросам комплайенса.

Другие вопросы

1.        Принципы 9 (Международные аспекты) и 10 (Аутсорсинг) вынесены в отдельный раздел «Другие вопросы», а в БКБН 103 принципы, касающиеся международных аспектов и аутсорсинга, были частью раздела «Принципы функции комплайенс».

Принцип 9

Функция "комплайенс" для банков, которые осуществляют деятельность в других юрисдикциях, должна быть структурирована таким образом, чтобы вопросы комплайенса на местном уровне удовлетворительно отражались в рамках политики в сфере комплайенса для банка в целом.

Совпадает  с принципом 9. Международные аспекты

Банки должны соответствовать всем применяемым законам и правилам во всех юрисдикциях, в которых они осуществляют свой бизнес, и организация и структура функции «комплайенс» и ее сфера ее ответственности   должны соответствовать местным законодательным и нормативным требованиям

Принцип 11

Специфические задачи функции "комплайенс" могут быть переданы внешним исполнителям, при условии соответствующего контроля со стороны руководителя функции "комплайенс", который должен оставаться штатным сотрудником банка.

В целом совпадает с принципом 10. Аутсорсинг.

 



[1]Названия документов цитируются по Письмам Банка России от 10.07.2001 № 87-Т и от 13.05.2002 № 59-Т «О рекомендациях Базельского комитета по банковскому надзору»

[2] Каплун С., Проект IFC «Корпоративное управление в банковском секторе России, «Контролер на рынке ценных бумаг, корпоративное управление и внутренний контроль в банках», «Рынок ценных бумаг» № 23 (302), 2005 г. 

[3] Куликова С.В. «Актуальные вопросы  комплайенс контроля в банке». Доклад на семинаре Клуба банковских аналитиков «Проблемы анализа и управления рисками в деятельности кредитной организации»

[4] См. пункты 1.2.3 и 1.2.4 Положения № 242-П

[5] В редакции, вступившей в силу с 2004 г. Перевод на русский язык выполнен Институтом внутренних аудиторов. http://www.iia-ru.ru/

[6] Бортников Г.П., Консультант Группы управления проектами, Национальный банк Украины, «Комплайенс риск (риск несоблюдения): международные стандарты и их применимость для банков в странах СНГ». http://www.iia-ru.ru/public/zar_smi/bortnikov

[7] «Compliance and Compliance Function in Banks», апрель 2005 г.

[8] «Enhancing corporate governance for banking organisations», июль 2005 г.

[9] Simmons M.R. An Overview of the Professional Practice of Internal Auditing, 1998 http://www.facilitatedcontrols.com/

[10] COSO ERM. Сентябрь 2004 г. перевод на русский язык выполнен «Деллойт».

[11] Stensgaard K.J. «Have You Audited Your Compliance Department Lately?», журнал «Internal Auditor», April 2002 

[12] См., например: 1) Enterprise Risk Management - Integrated Framework (COSO ERM). The Committee of Sponsoring Organizations of the Treadway Commission, Сентябрь 2004 http://www.coso.org/ и 2) Risk Management and Control Guidance for Securities Firms and their Supervisors. The Technical Committee of the International Organization of Securities Commissions, Май 1998 http://www.iosco.org/

[13] Катышева И.Ю. «Опыт организации комплайенс контроля в рамках СВК: основные принципы и стандарты комплайенс контроля». Доклад на заседании Института внутренних аудиторов, 29.11.2005. http://www.bankir.ru/analytics/svk/216/43019

[14] International Compliance Association http://www.int-comp.org/

[15] «The compliance function in banks and investment companies». Годовой отчет Банковской Комиссии Франции за 2003 г. Июль 2004 г. http://www.banque-france.fr/gb/supervi/supervi_banc/report_2003.htm

[16] Письма Института внутренних аудиторов:  «О проекте «Рекомендаций по организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах» от 14.05.2004, и  «О внесении изменений и дополнений в Положение Банка России от 16.12.2003 № 242-П» от 25.05.2005 № ЦБ-6 http://www.iia-ru.ru/