Основные принципы комплаенс-контроля

1.3.5. Риск ликвидности

Под риском ликвидности следует понимать риск получения убытков по причине неспособности организации отвечать по своим обязательствам, в связи с чем целью управления риском ликвидности является поддержание необходимого уровня ликвидности организации для обеспечения постоянного наличия денежных средств, необходимых для выполнения всех обязательств по мере наступления сроков их погашения, для чего проводятся следующие мероприятия:

● определение величины дефицита или избытка ликвидных активов;

● оценка ликвидности баланса с помощью коэффициентов ликвидности;

● планирование денежных потоков с учётом поддержания минимально допустимого уровня высоколиквидных и ликвидных активов (т. н. ведение платёжного календаря);

● диверсификация активов и обязательств по срокам в структуре баланса организации;

● построение различных сценариев развития ликвидности (стресс-тестирование);

● разработка комплекса мероприятий в случае возникновения дефицита ликвидности.

1.3.6. Страновой риск

Страновой риск – риск возникновения у организации потерь в результате неисполнения государственными и муниципальными органами соответствующей страны, а также её резидентами обязательств перед контрагентом из-за изменений финансово-экономических, геополитических, социально-политических условий и событий в стране. Страновой риск непрерывно связан с процессами, проходящими в этой стране и влияющими на договорные отношения организации и зависимых от соответствующей страны организаций. Также указанный риск оказывает влияние на возможность проявления неблагоприятного события рыночного или кредитного риска и является одним из его источников.

Организация проводит управление страновым риском в целях:

● снижения возможных убытков при проведении операций, подверженных страновому риску;

● сохранения и поддержания деловой репутации организации перед клиентами и контрагентами, участниками финансового рынка, органами государственной власти, банковскими союзами, ассоциациями и прочими организациями;

● соблюдения применимого законодательства, в том числе законодательства по противодействию легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма при проведении сделок с клиентами и контрагентами – резидентами соответствующих стран.

Основной целью управления страновым риском является ограничение либо снижение возможных убытков (потерь) организации при заключении ей сделок либо проведении ей операций, подверженных страновому риску, равно как и вступление в договорные отношения с клиентами/контрагентами, находящимися в различных странах, с учётом общей экономической и политической ситуации в соответствующей стране.

К основным задачам управления страновым риском следует отнести:

● постоянное наблюдение за страновым риском, возникающим в процессе деятельности, получение оперативных и объективных сведений об уровне странового риска;

● качественная и количественная оценка странового риска, определение приемлемого уровня странового риска;

● установление взаимосвязей между страновым риском и отдельными видами рисков с целью ограничения его влияния на другие виды рисков;

● принятие мер по поддержанию странового риска на приемлемом уровне, не угрожающем финансовой устойчивости и репутации организации;

● мониторинг деловой репутации клиентов и контрагентов организации, являющихся резидентами соответствующих стран.

В процессе управления страновым риском организация обязана руководствоваться следующими основными принципами:

● принцип консервативности, при котором не заключаются сделки либо не проводятся операции с неприемлемо высоким уровнем странового риска;

● принцип комплексности, при котором уровень странового риска учитывается при оценке кредитного и рыночного рисков; при формировании кредитной политики организации, установлении лимитов на активные операции, лимитов на контрагентов и эмитентов, а также при управлении операционным, правовым и репутационным рисками;

● отслеживание информации о клиентах и контрагентах, являющихся резидентами соответствующих стран, в рамках процедур «Знай своего клиента[57]» и Customer Due Diligence[58].

Страновой риск подразделяется на суверенный (риск, связанный с невыполнением обязательств перед организацией государственными и муниципальными органами соответствующей страны) и трансграничный (риск, связанный с невыполнением обязательств перед организацией резидентами соответствующих стран), подверженность которым может прямо или косвенно влиять на деятельность организации, и их возникновение может быть обусловлено как внутренними, так и внешними факторами, которые не зависят от финансового положения клиента/контрагента.

Основные внутренние факторы странового риска связаны с операционным риском организации (недостаточное знание законодательства и обычаев делового оборота соответствующей страны, отсутствие доступа организации к коммерческим базам данных, недостаточный уровень квалификации персонала).

Внешними факторами, влияющими на уровень странового риска, являются изменения конъюнктуры финансового рынка и экономических условий, социально-политическая нестабильность, изменения законодательства, ухудшающиеся финансовые показатели проводимых операций, а также форс-мажорные обстоятельства в соответствующей стране.

Процесс управления страновым риском состоит из его идентификации, анализа и оценки, регулирования и управления (мониторинг и контроль).

Идентификация странового риска включает предварительный сбор и обработку необходимой информации для принятия решения о целесообразности заключения сделок либо проведения операций, подверженных страновому риску.

Анализ и оценка странового риска осуществляются на основе мониторинга финансово-экономических и социально-политических показателей, опубликованных в официальной отчётности государственных органов власти соответствующих стран, на основе анализа рейтингов, присвоенных странам международными рейтинговыми агентствами (Standart & Poor’s, Moody’s, Fitch), на основании сбора информации о долговых показателях, включая невыплаченные или реструктурированные долговые обязательства, доступа к финансированию (включая краткосрочное), к рынкам капитала и пр.

Также оценка риска проводится на основе изучения отчётов специализированных организаций, осуществляющих сбор, обработку массивов информации и оценку страновых рисков, мониторинга публикаций средств массовой информации[59], а также на основании данных[60], содержащихся в коммерческих базах данных.

Регулирование странового риска осуществляется посредством диверсификации, лимитирования и избежание странового риска.

В целях поддержания приемлемого уровня странового риска организация осуществляет диверсификацию страновых рисков и проводит анализ концентрации принимаемых рисков по страновому признаку.

Установление страновых лимитов (лимитов странового риска), а именно установление максимального размера вложений организации в соответствующую страну (осуществление активных операций) с учетом суверенного и трансграничного рисков.

В страновой лимит включаются:

● суверенные обязательства государственных и муниципальных органов соответствующей страны;

● кредитные операции с корпоративными заёмщиками, в том числе неиспользованные кредитные линии;

● кредитно-депозитные операции с кредитными организациями резидентами соответствующих стран;

● денежные средства на корреспондентских счетах ностро в банках, являющихся резидентами соответствующих стран;

● операции с ценными бумагами с организациями – резидентами соответствующих стран;

● внебалансовые обязательства организаций резидентов соответствующих стран: аккредитивы без покрытия, гарантии, резервные аккредитивы (Standby Letter of Credit);

● открытые валютные позиции, выраженные в валюте соответствующей страны.

Страновые лимиты и их размеры устанавливаются нормативным документом в части лимитирования и определяются в процентном соотношении от активов организации. Пересмотр странового лимита проводится не реже двух раз в год либо по факту появления негативной информации в отношении той или иной страны.

Для снижения уровня странового риска организация использует дополнительные способы его минимизации (страхование сделок с клиентами и контрагентами – резидентами соответствующих стран, передача или распределение риска на контрагента, хеджирование сделок, резервирование).

В процессе управления страновым риском организация осуществляет постоянный мониторинг, включающий:

● мониторинг суверенных рейтингов, присвоенных международными рейтинговыми агентствами;

● мониторинг информации о финансово-экономической, социальной и политической ситуации в соответствующих странах;

● мониторинг и анализ концентрации активных операций по страновому признаку;

● мониторинг и анализ показателей сегментации отдельных портфелей организации, подверженных страновому риску;

● мониторинг информации о клиентах – контрагентах организации, являющихся резидентами соответствующих стран.

В случае возникновения негативной тенденции организация разрабатывает процедуры минимизации и нейтрализации возможных последствий странового риска, осуществляет подготовку надлежащих мероприятий и управленческих решений, направленных на снижение уровня странового риска.

Контроль управления страновым риском проводится в рамках системы контроля лимитов организации.

Оперативный (текущий) контроль управления страновым риском осуществляется структурными подразделениями[61] в рамках своей компетенции, определённой положениями о структурных подразделениях и должностными регламентами.

Последующий контроль управления страновым риском проводится в рамках системы внутреннего контроля организации и включает как контроль за соблюдением структурными подразделениями установленных страновых лимитов, так и контроль самих установленных страновых лимитов и осуществляется внутренним структурным подразделением, наделённым функцией внутреннего аудита.

1.3.7. Операционный риск[62]

Операционный риск – риск прямых или косвенных потерь в результате неадекватных и ошибочных внутренних процессов, а также воздействия внешних событий либо факторов.

Целью управления операционным риском является обеспечение эффективного функционирования организации в условиях подверженности факторам такого риска.

Управление операционным риском осуществляется также в целях:

● повышения безопасности, надёжности и конкурентоспособности организации;

● совершенствования систем, процессов и технологий;

● соблюдения персоналом нормативных правовых актов и внутренних правил и регламентов.

Цели управления операционным риском достигаются путём использования системного, комплексного подхода, который подразумевает решение следующих задач:

● получение оперативных и объективных сведений о состоянии и размере операционного риска;

● качественная и количественная оценка (измерение) операционного риска;

● установление взаимосвязей между отдельными видами рисков с целью оценки воздействия мероприятий, планируемых для ограничения одного вида риска, на рост или уменьшение уровня других рисков;

● создание системы управления операционным риском для управления риском на стадии возникновения негативной тенденции, а также системы быстрого и адекватного реагирования, направленной на предотвращение достижения операционным риском критически значительных размеров.

Цели и задачи по управлению операционным риском реализуются на основе следующих принципов:

● принцип адекватности – адекватность системы управления операционным риском характеру и размерам деятельности организации;

● принцип непрерывности – непрерывное функционирование системы управления операционным риском, которое проводится на постоянной основе во всех структурных подразделениях организации;

● принцип централизованности – управление операционным риском осуществляется централизованно на единой нормативно-методической основе;

● процессный принцип – все процедуры управления и контроля рисков распределены на отдельные функции и операции, выполняемые разными структурными подразделениями на единой нормативно-методической основе, исключающей дублирование функций и конфликты интересов;

● измерение операционного риска проводится по принципу «от простого к сложному» по мере разработки более «продвинутых» систем и совершенствования системы управления операционными рисками;

● формирование у персонала культуры управления операционным риском, а также знаний об операционном риске, который может возникать в связи с выполнением им должностных обязанностей, а также мотивации сотрудников на выявление факторов (причин) операционного риска;

● регулярная оценка уровня операционного риска, присущего как существующим на момент оценки, так и разрабатываемым продуктам, видам деятельности, автоматизированным системам и процессам организации;

● минимизация и/или предотвращение операционных рисков на основе эффективной системы внутреннего контроля;

● применение мер по ограничению операционного риска, стоимость которых не превышает ожидаемую выгоду, получаемую от потенциального снижения операционных издержек;

● ведение постоянного мониторинга операционных рисков и операционных потерь, предоставление соответствующей информации в виде отчётов руководству организации;

● информирование на регулярной основе органов управления организации об уровне операционного риска.

В целях построения эффективной системы управления операционными рисками организация определяет следующие направления внедрения системы управления операционными рисками:

● идентификация (выявление) операционных рисков по направлениям деятельности (бизнес-направлениям) организации, учёт и классификация инцидентов операционных рисков, сбор данных о размере потерь и вероятности наступления рисковых событий;

● оценка, мониторинг и предметный анализ операционных рисков, решение задач по минимизации (устранению) операционных рисков;

● регулирование (принятие, ограничение или нейтрализация) операционного риска;

● выбор механизмов контроля за операционными рисками, внедрение системы контроля и отчётности по операционному риску, совершенствование методов измерения операционного риска, а также контроль системы управления операционным риском.

Внутренними и внешними факторами (причинами) операционного риска являются:

● недостаточный уровень автоматизации процессов, отсутствие доступа к коммерческим базам данных, сбои/отказы автоматизированных либо информационных систем, а также перебои в работе и порча оборудования;

● несовершенство организационной структуры организации в части распределения полномочий структурных подразделений и отдельных сотрудников, порядков и процедур заключения сделок либо осуществления операций, их документирования и отражения в учёте;

● несоблюдение сотрудниками установленных порядков и процедур, неэффективность внутреннего контроля (т. н. организационный риск);

● недостаточная компетенция персонала, недостаток кадров и неустойчивость штата организации, зависимость от отдельных специалистов, несанкционированные действия персонала, а также мошеннические действия (риск персонала);

● неблагоприятные внешние обстоятельства, находящиеся вне периметра организации, случайные или преднамеренные действия физических и/или юридических лиц, направленные против её интересов.

Выявление (идентификация) операционного риска предполагает анализ всех условий функционирования организации на предмет наличия или возможности возникновения факторов операционного риска, который осуществляется на нескольких уровнях:

● анализ изменений в финансовой сфере организации в целом (освоение новых направлений деятельности, продвижение на рынке новых банковских услуг, внедрение новых технологий или финансовых инноваций), которые могут оказать влияние на эффективность деятельности;

● анализ подверженности операционному риску направлений деятельности (бизнес-процессов) с учётом приоритетов организации;

● анализ отдельных операций и сделок организации;

● анализ внутренних процедур, включая систему отчётности и обмена информацией.

Процесс идентификации состоит из следующих процедур:

● классификация (кодификация) типов возможных неблагоприятных[63] событий в разрезе источников[64] (причин) рисков;

● сбор данных о внутренних и внешних событиях, их распределение по классификационным видам (категориям), определение типов и количества полученных и потенциальных потерь.

События реализации операционного риска происходят как при возникновении отдельных факторов, так и в результате сочетания нескольких факторов операционного риска, и организация определяет принадлежность каждого инцидента потерь (события реализации операционного риска) к тому или иному типу операционных рисков по следующим основным категориям:

● внутреннее мошенничество[65]:

• коррупционные действия сотрудников (злоупотребление служебным положением вопреки законным интересам организации в целях получения личной выгоды либо выгоды третьим лицам);

• принудительные действия (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);

• сговор сотрудников организации с третьими лицами (передача сотрудниками организации информации о своих клиентах/контрагентах конкурентам, занижение ставок при продаже ресурсов и т. д.);

• сговор между сотрудниками с целью получения личной выгоды либо выгоды третьим лицам;

• умышленное уничтожение материальных активов и информации, преднамеренное сокрытие или искажение фактов совершения сделок и заключения договоров;

• преднамеренное превышение установленных лимитов с целью получения личной выгоды либо выгоды третьим лицам;

• воровство (непосредственное присвоение наличных денежных средств или материальных активов);

• мошеннические операции при расчётно-кассовом обслуживании (присвоение или растрата денежных средств, использование поддельных купюр, обман при совершении расчётов с клиентами и т. п.);

• мошеннические операции со счетами клиентов (неправомерное списание средств со счетов, использование счетов клиентов для перевода денежных средств, отнесение собственных расходов на счета клиентов, манипулирование со счётом клиента и т. д.);

• мошенничество с валютными операциями (злоупотребления при проведении конверсионных операций, учёте валютных средств организации и т. п.);

• мошеннические операции с кредитами (выдача фиктивных кредитов, подделка документов при предоставлении кредитов; выдача кредитов под несуществующие залоги и т. п.);

• мошенничество с ценными бумагами (противоправные манипуляции с ценными бумагами);

• мошенничество при совершении бухгалтерских операций (противоправные манипуляции с бухгалтерскими счетами, необоснованное завышение и занижение сумм проводок, использование средств временно не используемых счетов и т. д.);

• мошенничество в сфере хозяйственных операций (присвоение доходов от заключённых договоров с поставщиками, подрядчиками, присвоение доходов от арендной платы и т. п.);

• мошенничество в сфере информационных систем и технологий;

● внешнее мошенничество[66]:

• воровство (непосредственное присвоение наличных денежных средств или материальных активов);

• грабёж (открытое хищение имущества без применения насилия или с применением насилия, не опасного для жизни и здоровья, либо с угрозой применения такого насилия);

• разбой (нападение в целях хищения имущества с применением опасного для жизни или здоровья насилия либо с угрозой применения такого насилия);

• принудительные действия к сотруднику со стороны третьих лиц (принуждение к совершению сделки или к отказу от её совершения, вымогательство, шантаж);

• подделка, подлог (документов, удостоверяющих личность, печатей, доверенностей, платёжных документов, денежных купюр и т. п.);

• предоставление заведомо ложных сведений о юридическом статусе, финансовом положении и т. п.;

• взлом системы безопасности или доступа в автоматизированную систему организации, генерация фальшивых электронных проводок или операций в платёжной банковской системе;

• взлом системы безопасности работы системы дистанционного обслуживания, криптографической защиты клиентских платежей в расчётных системах, генерация фальшивых электронных поручений от имени клиентов по управлению клиентскими счетами;

• несанкционированный дистанционный доступ третьих лиц к информационным активам организации с целью кражи информации, модификации и/или её уничтожения;

• внедрение в систему компьютерных вирусов и вредоносных программ, в том числе посредством использования электронной почты;

• несанкционированный физический доступ неавторизованных лиц в контролируемую зону расположения технических средств и/или информационных активов;

● кадровая политика и безопасность труда[67]:

• нарушение договорных отношений в вопросах оплаты труда, выходных пособий, вознаграждения, компенсации сотрудникам, ошибки при найме и увольнении;

• нарушение норм охраны здоровья и безопасности труда;

• все типы дискриминации (по расовому, национальному, религиозному, половому и иным признакам);

● ошибки в клиентской практике, условиях продажи продуктов, во взаимоотношениях с клиентами[68]:

• недостатки в раскрытии информации о клиенте и контрагенте (принцип «Знай своего клиента»);

• недостатки клиентской политики (неприемлемость сотрудничества с отдельными клиентами/контрагентами);

• нарушения, связанные с раскрытием конфиденциальной информации клиента/контрагента, злоупотребление конфиденциальной информацией;

• нарушение со стороны организации фидуциарных отношений[69];