ГлавнаяАнализ рисковМ. А. ТатчукОсновные принципы комплаенс-контроля

Уменьшить шрифт (-) | Увеличить шрифт (+)

М. А. Татчук
Основные принципы комплаенс-контроля

Полная версия

• факторы риска, которым подвержен выбранный объект риска;

• возможные сценарии реализации выбранного фактора риска на выбранном объекте риска;

• последствия реализации сценария и частота его реализации;

• эффективность текущих мер контроля риска;

• предложения по стратегии управления описанным риском и мероприятиям по минимизации последствий вследствие реализации риска;

• ключевые показатели риска (ключевые индикаторы риска), которые могут быть использованы на выбранном объекте риска.

● Расчёт ключевых показателей риска, основанный на системе числовых индикаторов (показателей и параметров), которые теоретически или эмпирически связаны с уровнем операционного риска. В их состав входят показатели, характеризующие частоту возникновения случаев операционных убытков, и показатели, косвенно характеризующие вероятность возникновения потерь.

● Стресс-тестирование (сценарный анализ), используемое для анализа возможных значений операционных убытков в различных вариантах развития событий. Сценарный анализ позволяет смоделировать критические ситуации проявления операционного риска и оценить его влияние на деятельность организации.

Для минимизации операционного риска организация осуществляет регулирование операционного риска^[74]. При определении методов ограничения (минимизации) операционных рисков организация подразделяет факторы операционного риска на подконтрольные (контролируемый^[75] операционный риск) и неподконтрольные (остаточный операционный риск).

В целях ограничения операционных рисков при освоении новых направлений деятельности, продуктов, технологий и изменения ключевых бизнес-процессов организация осуществляет предварительный анализ потенциальных операционных рисков.

В зависимости от типа операционных рисков различаются следующие способы управления операционным риском:

● способы (мероприятия) по уменьшению операционного риска (система и процедуры внутреннего контроля, порядки и регламенты осуществления операций на финансовых рынках, контрольные и верификационные функции информационных систем при осуществлении финансовых операций);

● способы покрытия отдельных видов возможных потерь от реализации операционных рисков (создание резервов, распределение капитала и страхование).

В части подконтрольных факторов операционного риска организация осуществляет следующие меры (мероприятия):

● разработку организационной структуры, правил и процедур совершения банковских операций и других сделок;

● разработку порядка утверждения (согласования) и подотчётности по заключаемым сделкам и проводимым операциям;

● обеспечение информационной безопасности за счёт:

• разработки нормативно-методических документов, регламентирующих осуществление деятельности по защите информации;

• разработки и реализации комплекса организационно-технических мероприятий по защите информационных активов от возможных угроз;

• обеспечения резервирования данных, направленного на сохранение и возможность восстановления информационных активов в случае возникновения сбоев и отказов технических и программных средств, ошибочных действий персонала, техногенных аварий и других непредвиденных обстоятельств;

• проведения аудита информационно-технологических систем в целях выявления неучтённых ранее источников операционного риска;

● снижение операционных рисков путём внедрения новых информационных технологий и автоматизации бизнес-процессов, совершаемых в «ручном» режиме;

● внедрение квалификационных требований, повышение уровня квалификации персонала, обучение новым информационным технологиям и правилам обеспечения информационной безопасности на рабочем месте, материальное стимулирование и улучшение условий труда, применение санкций за нарушения технологий, установление персональных лимитов полномочий и пр.;

● установление структурных лимитов;

● осуществление страхования:

• зданий и иного имущества – от разрушений, повреждений, утраты в результате стихийных бедствий и других случайных событий, а также в результате действий третьих лиц;

• персонала – от несчастных случаев и причинения вреда здоровью;

• носителей информации и самой информации – на случай утраты;

• специфических рисков, в том числе связанных с профессиональной ответственностью персонала, ущерба от преступлений в сфере компьютерной информации.

В части неподконтрольных факторов операционного риска организацией осуществляются:

● стресс-тестирование – построение различных сценариев развития событий;

● разработка и внедрение комплексной системы мер по обеспечению непрерывности финансово-хозяйственной деятельности организации, включая планы действий на случай непредвиденных обстоятельств.

Эффективность системы управления операционными рисками, в том числе предотвращение операционных рисков, основывается на качественной системе внутреннего контроля в организации. Создание эффективных процедур, которые в совокупности составляют единую систему внутреннего контроля, является основным методом управления операционными рисками. Процедуры внутреннего контроля являются обязательным элементом при осуществлении всех бизнес-процессов, что позволяет сократить вероятность и последствия реализации операционного риска.

1.3.8. Стратегический риск

Целями управления стратегическим риском являются:

● снижение вероятности возникновения у организации убытков вследствие несовершенства корпоративного управления^[76] либо некорректно определённых при бизнес-планировании^[77] стратегий^[78] развития (стратегических целей и задач);

● повышение уровня доверия к организации (деловой репутации) со стороны клиентов, контрагентов, участников финансового рынка, союзов (ассоциаций), участником которых является организация, путём соблюдения правил и обычаев делового оборота, условий заключаемых договоров, сделок и т. д.;

● повышение эффективности проводимых операций.

Основными задачами по управлению стратегическим риском являются:

● выявление и анализ факторов стратегического риска, возникающего у организации в процессе текущей деятельности;

● построение эффективной модели корпоративного управления, отвечающей целям и масштабу деятельности организации;

● исключение конфликта интересов на всех этапах деятельности организации;

● соблюдение всеми сотрудниками внутренних нормативных актов и норм применимого права;

● осуществление контроля за исполнением стратегии;

● принятие адекватных мер для снижения/избежания возможных потерь в случае реализации стратегического риска.

В процессе управления стратегическим риском сотрудники руководствуются:

● принципом непрерывности, при котором организация проводит постоянный мониторинг факторов, влияющих на уровень стратегического риска, а также в случае необходимости вносит в оперативном порядке изменения во внутренние нормативные документы;

● принципом информированности, при котором управление стратегическим риском сопровождается наличием объективной, достоверной и актуальной информации;

● принципом адекватности – адекватность управления стратегическим риском характеру и размерам деятельности организации.

Существующая правоприменительная практика выделяет следующие основные факторы, влияющие на возникновение стратегического риска:

● недостаточно чёткие и реалистичные цели и задачи, поставленные руководством организации;

● недостаточно обоснованные/неправильно определённые перспективы направлений деятельности организации;

● недостатки/ошибки при принятии решений, определяющих стратегию деятельности и развития организации;

● недостаточно эффективная организация процесса корпоративного управления;

● возникновение конфликта интересов;

● принятие решений в текущей деятельности вразрез или в противоречие с утверждённой стратегией;

● полное/частичное отсутствие соответствующих организационных, информационно-методологических, кадровых и финансовых ресурсов для достижения стратегических целей деятельности организации;

● недостатки в управлении банковскими рисками, осуществление рискованной кредитной, инвестиционной и рыночной политики, высокий уровень операционного риска, недостатки в организации системы внутреннего контроля.

Организация проводит анализ факторов, влияющих на стратегический риск, определяет источники и причины их возникновения, а также их влияние на деятельность и финансовое состояние и для управления стратегическим риском осуществляет следующие мероприятия:

● определяет основные цели и задачи деятельности и разрабатывает в соответствии с ними стратегию развития;

● в рамках исполнения стратегии осуществляет бизнес-планирование, финансовое планирование, а также осуществляет текущее планирование деятельности путём постановки текущих задач перед структурными подразделениями организации и разработки структурными подразделениями детализированных планов по всем направлениям деятельности;

● на постоянной основе осуществляет контроль за исполнением стратегии и бизнес-планов;

● проводит контроль за выполнением утверждённых планов в рамках реализации стратегии и в случае необходимости принимает меры, направленные на корректировку планов деятельности для реализации стратегии развития;

● создаёт адекватную организационную структуру, в том числе осуществляет разграничение полномочий органов управления по принятию решений, а также централизацию стратегического управления в одном структурном подразделении, отвечающем за разработку стратегии;

● проводит на постоянной основе мониторинг изменений политической и экономической ситуации в стране инкорпорации организации, а также в странах местопребывания аффилированных (связанных) с ней лиц^[79];

● проводит мониторинг и анализ изменения рыночной среды;

● осуществляет обоснованное принятие решений об участии организации в инвестиционных, кредитных и других проектах с учётом факторов стратегического риска;

● производит мониторинг и оценку адекватности ресурсов для реализации стратегии: финансовых, организационных, информационно-методологических, кадровых;

● организует систему управления рисками, адекватную масштабам своей деятельности, уровню рисков и текущим задачам;

● организует систему внутреннего контроля с учётом характера и масштабов деятельности организации;

● разрабатывает мероприятия, направленные на минимизацию/ регулирование выявленных стратегических рисков;

● осуществляет контроль за уровнем управления стратегическим риском в целом;

● формирует эффективную систему документооборота, обеспечивает оперативный доступ сотрудников к актуальной нормативной базе законодательства, а также к нормативной базе внутренних актов организации;

● формирует систему информационной безопасности организации.

1.3.9. Риск потери деловой репутации^[80]

Риск потери деловой репутации^[81] (репутационный риск) – риск возникновения у организации убытков вследствие формирования в обществе негативного представления о её финансовой устойчивости, качестве оказываемых ей услуг или о характере её деятельности в целом, риск утраты имиджа стабильно надёжной организации.

Целью управления риском потери деловой репутации являются:

● снижение возможных убытков, сохранение и поддержание уровня деловой репутации перед контрагентами, клиентами, участниками финансового рынка, органами государственной власти и местного самоуправления страны местопребывания организации и стран размещения и привлечения средств, союзами и ассоциациями;

● урегулирование (минимизация последствий) возможных конфликтов интересов^[82] между организацией и клиентами/контрагентами, другими заинтересованными лицами, в том числе с учредителями организации;

● обеспечение соблюдения интересов учредителей организации, а также клиентов и контрагентов, вступающих с ней в финансовые отношения.

Основными задачами в области управления риском потери деловой репутации являются:

● формирование положительной деловой репутации организации путём выполнения ей своих обязательств перед клиентами и контрагентами, а также соблюдения норм делового этикета;

● соблюдение законодательства о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;

● соблюдение всеми сотрудниками внутренних нормативных правовых актов и норм применимого права, а также стандартов профессиональной деятельности;

● осуществление контроля за соблюдением внутренних нормативных правовых актов и норм применимого права всеми структурными подразделениями организации;

● создание и поддержание эффективности механизма своевременной идентификации и предотвращения возможных (потенциальных) негативных событий;

● исключение конфликта интересов на всех этапах деятельности организации;

● принятие адекватных мер для снижения/избежания возможных потерь;

● совершенствование системы внутреннего контроля.

Все структурные подразделения и все сотрудники организации участвуют в процессе управления риском потери деловой репутации и обязаны заботиться о ней.

Основными внутренними и внешними факторами (причинами) риска потери деловой репутации являются:

● несоблюдение норм применимого законодательства, а также законодательства стран размещения и привлечения средств, международного права, нарушение положений учредительных документов и внутренних нормативных правовых актов, правил и обычаев делового оборота, принципов профессиональной этики и банковской тайны;

● неисполнение договорных обязательств;

● возникновение у организации конфликта интересов с контрагентами, клиентами, органами управления, сотрудниками организации, другими заинтересованными лицами, а также отсутствие механизмов, позволяющих эффективно нивелировать возникновение конфликтов интересов;

● неспособность эффективно противодействовать легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма, а также иной противоправной деятельности, осуществляемой недобросовестными клиентами и контрагентами и/или персоналом организации;

● осуществление рискованной кредитной, инвестиционной и рыночной политики, высокий уровень операционного риска, недостатки в управлении рисками и в организации системы внутреннего контроля;

● недостатки кадровой политики при подборе и расстановке персонала;

● опубликование в средствах массовой информации либо цитирование в сети Интернет негативной информации об организации в целом, её представителях (включая членов коллегиальных органов), сотрудниках, а также цитирование такой негативной информации в отношении аффилированных (связанных с ней) лиц.

В процессе управления риском потери деловой репутации организация руководствуется:

● принципом консервативности, при котором организация не проводит операции, которые могут повлечь за собой потерю деловой репутации;

● принципом соизмеримости, при котором краеугольным камнем является адекватность управления репутационным риском характеру и размерам деятельности организации;

● принципом информированности, при котором управление репутационным риском сопровождается наличием объективной, достоверной и актуальной информации;

● принципом непрерывности, при котором организация проводит постоянный мониторинг факторов, влияющих на уровень репутационного риска, а также в случае необходимости своевременно вносит изменения во внутренние нормативные правовые акты;

● необходимостью отслеживания информации о клиентах и контрагентах в рамках принципа «Знай своего клиента» и информации о персонале в рамках принципа «Знай своего сотрудника»^[83].

Организация осуществляет управление риском потери деловой репутации на постоянной основе и на всех этапах проведения операций, которое реализуется на трёх уровнях: предварительный (начальный), текущий и заключительный.

Предварительный (начальный) уровень представляет собой систему организационных и информационно-методологических мер, направленных на предупреждение возникновения риска потери деловой репутации на всех этапах деятельности организации, а также включает комплекс мер по недопущению нарушения принципов профессиональной этики и банковской тайны со стороны персонала.

В целях предупреждения возникновения риска потери деловой репутации организация проводит следующие основные мероприятия:

● осуществление деятельности организации в рамках развития среднесрочной стратегии и бизнес-планирования;

● контроль за соответствием заключаемых соглашений и планируемых операций положениям и нормам применимого законодательства, а также законодательства стран размещения и привлечения средств, нормам международного права, положениям, содержащимся в учредительных документах, а также внутренних нормативных правовых актах;

● мониторинг соответствия планируемой деятельности правилам и обычаям делового оборота, принципам профессиональной этики, банковской тайны и пр.;

● контроль за соблюдением сотрудниками организации норм применимого права и положений внутренних нормативных актов, обычаев делового оборота, принципов профессиональной этики, служебной, коммерческой и банковской тайны;

● обеспечение своевременности расчётов по поручению клиентов и контрагентов, а также выплат по собственным обязательствам;

● контроль за достоверностью бухгалтерской отчётности и иной публикуемой информации, представляемой участникам, клиентам и контрагентам и другим заинтересованным лицам, в том числе в производственных и рекламных целях;

● поддержание высокого качества корпоративного управления;

● организация внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма;

● внедрение системы информационного обеспечения, не допускающей использование имеющейся информации лицами, имеющими доступ к такой информации, в личных интересах;

● мониторинг отзывов и сообщений об организации в средствах массовой информации и сети Интернет, своевременное и квалифицированное реагирование на опубликованную информацию;

● определение порядка применения дисциплинарных мер к сотрудникам, виновным в повышении уровня риска потери деловой репутации.

Текущий уровень состоит из выявления, анализа и оценки фактов, влияющих на уровень риска потери деловой репутации, а также проведения постоянного мониторинга состояния уровня репутационного риска в организации и разработки мероприятий по минимизации/регулированию выявленных рисков потери деловой репутации.

Выявление фактов риска потери деловой репутации осуществляется на постоянной основе всеми структурными подразделениями организации.

Для оценки уровня репутационного риска используются следующие параметры:

● наличие в средствах массовой информации и сети Интернет негативных/позитивных отзывов и сообщений об организации, учредителях, руководстве, персонале, а также факты поступления негативной официальной информации, которая была получена в ходе конференций, семинаров, заседаний профессиональных комиссий и т. п.;

● выявленные случаи несвоевременности расчётов с клиентами, контрагентами^[84];

● отказ постоянных или крупных клиентов (на счетах которых среднедневной остаток средств за последние 6 месяцев составляет 10 % пассивов организации^[85]) и контрагентов от сотрудничества с организацией^[86];

● выявленные случаи несоблюдения требований внутренних нормативных документов о противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма, а также признаков возможного вовлечения организации и её сотрудников в указанную деятельность^[87];

● наличие жалоб и претензий к организации^[88], в том числе относительно качества обслуживания клиентов и контрагентов, соблюдения обычаев делового оборота;

● выявленные факты разглашения сотрудниками служебной, банковской тайны, использование в личных целях конфиденциальной информации, принадлежащей организации или полученной от клиентов и контрагентов, а также прочие нарушения со стороны персонала организации, которые могут повлиять на уровень репутационного риска^[89];

● изменение финансового состояния организации, которое может повлечь за собой нанесение финансового ущерба учредителям, клиентам и контрагентам (существенное изменение структуры активов, их обесценивание в целом или в части отдельных групп, изменение структуры собственных средств (капитала), существенное снижение или возникновение вероятности существенного снижения уровня ликвидности, существенное увеличение влияния отдельных видов рисков на деятельность организации);

● иные факты, которые влияют на уровень репутационного риска.

Организация анализирует характер выявленных фактов, влияющих на уровень репутационного риска, их количество, источники и причины их возникновения, а также влияние выявленных фактов на деловую репутацию и финансовое состояние организации.

В результате проведённого анализа риску потери деловой репутации присваивается один из следующих уровней:

● несущественный (допустимый) уровень репутационного риска;

● умеренный (удовлетворительный) уровень репутационного риска;

● повышенный уровень репутационного риска;

● серьёзный уровень репутационного риска;

● критический уровень репутационного риска.

Организация разрабатывает определённые процедуры минимизации и нейтрализации возможных последствий выявленных факторов риска потери деловой репутации, осуществляет подготовку надлежащих мероприятий и управленческих решений, направленных на снижение уровня репутационного риска и его влияния на организацию в целом.

На заключительном уровне организация осуществляет совершенствование процесса управления риском потери деловой репутации в целях минимизации или избежания в дальнейшем возникновения значимых факторов репутационного риска.

74. Комплекс мер, направленных на снижение вероятности наступления событий и обстоятельств, приводящих к операционным убыткам, и/или на уменьшение (ограничение) размера потенциальных операционных убытков.

75. Величина операционного риска, которую организация идентифицировала и полностью контролирует за счёт чёткой регламентации бизнес-процессов и операций, разграничения прав и ответственности, защиты информационных систем, эффективного отбора и обучения персонала и пр.

76. Внутренние механизмы, с помощью которых осуществляется руководство деятельностью организации и контроля над ними.

77. Подразумевает издание внутреннего документа, определяющего цели организации на плановый период и пути их достижения, являющегося инструментом планирования, управления и контроля, принимаемым в установленном порядке, содержащим финансовые параметры деятельности и объёмы операций в соответствии с целевыми задачами на плановый период.

78. Цели развития деятельности организации, задачи, реализация которых необходима для достижения данных целей, а также основные направления деятельности на определённый период, регламентируемые отдельным внутренним нормативным документом.

79. Физические и юридические лица, способные оказывать влияние на деятельность юридических и (или) физических лиц, осуществляющих предпринимательскую деятельность, соответствующие одному или нескольким признакам, указанным в приложении № 1.

80. Относится к категории комплаенс-риска.

81. Деловая репутация – качественная общественная оценка деятельности организации, её бенефициарных владельцев, аффилированных лиц, дочерних и зависимых обществ, основанная на: ● доверии к организации в целом, ● репутации руководства, учредителей организации, ● политической и социальной позиции организации, ● качестве сервиса, отношении сотрудников к клиентам, контрагентам, ● отношениях организации с органами государственной власти и местного самоуправления, банковскими союзами и ассоциациями и пр.

82. Противоречие, возникающее по имущественным и иным интересам между участниками/ учредителями организации, органами управления и/или сотрудниками, которое может повлечь за собой неблагоприятные последствия как для самой организации, так и для её клиентов или контрагентов. При этом существует и ещё одно определение, указывающее, что конфликт интересов – это ситуация, при которой личная заинтересованность сотрудника влияет или может повлиять на объективное и беспристрастное выполнение им функциональных обязанностей и при которой возникает или может возникнуть противоречие между личной заинтересованностью сотрудника и интересами организации, которое может повлечь за собой неблагоприятные последствия как для неё, так и для её клиентов, контрагентов и деловых партнёров.

83. Англ. Know Your Employee – принцип, в соответствии с которым организация проводит ряд мероприятий, направленных на формирование чётких критериев квалификационных и личностных характеристик персонала применительно к содержанию и объёму выполняемой работы и мере ответственности в целях соблюдения правовых и профессиональных требований, исключения проведения сотрудниками в периметре организации сомнительных операций, а также исключения фактов хищения, подлога, мошенничества и т. п.

84. Подтверждённые события на основании полученных официально оформленных жалоб и претензий от клиентов и контрагентов.

85. Для финансовых организаций.

86. Подтверждённые результатами служебных расследований данные о получении официальных жалоб и претензий со стороны данных клиентов и контрагентов.

87. Выявленные факты несоблюдения персоналом требований внутренних нормативных документов, а также факты возможного вовлечения сотрудников организации в легализацию (отмывание) доходов, полученных преступным путём, и финансирование терроризма, подтверждённые результатами служебных расследований.

88. Официально оформленные и полученные организацией жалобы и претензии со стороны её клиентов/контрагентов в части качества обслуживания и соблюдения обычаев делового оборота. Факты получения официальных претензий со стороны регулирующих государственных органов, в которых содержатся претензии касательно случаев потери деловой репутации организации.

89. Подтверждённые события, установленные соответствующими служебными расследованиями, а также события, установленные по официальной информации, полученной от правоохранительных органов или из средств массовой информации.

Купить и скачать всю книгу

<< предыдущий лист

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

М. А. ТатчукОсновные принципы комплаенс-контроля

Полная версия

1.3.8. Стратегический риск

1.3.9. Риск потери деловой репутации[80]

М. А. Татчук
Основные принципы комплаенс-контроля

1.3.9. Риск потери деловой репутации^[80]