Размещено на сайте 21.03.2016

В крупных кредитных организациях алгоритм оценки регуляторного риска зачастую уже встроен в управленческую отчетность и осуществляется с помощью АБС. Но, применяя описанную в статье методику с использованием индикаторов и чисто логических функций Excel, несмотря на достаточно простую процедуру анализа, можно получить более обоснованную оценку событий. Кроме того, результат оценки будет подтвержден и свидетельствовать об исполнении службой внутреннего контроля ее контрольной функции.

Иван СЕРОПОЛ, Международный Банк Финансов и Инвестиций, руководитель службы внутреннего контроля

Построение алгоритма определения индикаторов регуляторного риска и его оценки основывается на таких функциях деятельности службы внутреннего контроля, как учет событий, связанных с регуляторным риском, определение вероятности их возникновения и количественная оценка возможных последствий. Данной оценке подлежат все события, подверженные риску, которые могут повлиять на финансовое положение и операционную деятельность кредитной организации по исполнению обязательств перед кредиторами и вкладчиками.

Основными событиями, которые могут повлиять на результаты деятельности кредитной организации и в значительной степени подвержены регуляторному риску, можно назвать следующие:

— прямые финансовые потери (убытки), возникающие в результате различного рода нарушений в деятельности сотрудников кредитной организации;

— определение риска возникновения у кредитной организации убытков из-за несоблюдения законодательства РФ, нормативных документов Банка России, внутренних документов банка;

— определение риска возникновения убытков в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов;

— оценка внутренних документов по разработке новых продуктов/услуг, их внедрению и реализации при осуществлении финансовой деятельности;

— анализ экономической целесообразности заключения договоров с юридическими лицами и индивидуальными предпринимателями на оказание услуг, обеспечивающих осуществление кредитной организацией банковских операций;

— жалобы и обращения клиентов.

Этот перечень отражает лишь часть возможных событий и может быть значительно больше или отличаться в зависимости от особенностей деятельности кредитной организации по оказанию услуг клиентам и возникающих при этом рисков. Однако с учетом размера матрицы рисков могут одновременно оцениваться не более 25 событий.

Индикаторы оценки риска

Основным условием, необходимым для оценки регуляторного риска, является наличие определенного порядка (алгоритма) действий или процедур, в результате которых возможна оценка возникающих событий, и это можно считать главным фактором при выборе методики.

В практике риск-менеджмента для наглядного представления оценки рисков используются различные графические инструменты, и наиболее распространен метод оценки в виде матрицы рисков. Особенность этой формы карты рисков состоит в том, что ее можно использовать для оценки любых видов рисков. Притом что карта дает общее представление оценки в виде зоны риска и в то же время позволяет определить конкретную ячейку исходя из градации балльной оценки события — коэффициента, который показывает отношение степени влияния к вероятности наступления события.

Несмотря на аналогичную структуру матрицы, автор предлагаемой методики дает несколько иную трактовку факторов (индикаторов), в частности включает в оценку не абсолютное значение материальных потерь или их отклонений, а их влияние на возникшее событие в результате качественной и количественной оценки.

Качественная оценка событий определяется диапазоном от «очень низкая» до «очень высокая», а количественная представляет собой коэффициент, равный отношению степени влияния события к вероятности наступления этого события, измеряемый в баллах (от 1 до 5). Использование балльной оценки в виде коэффициента при определении степени влияния и вероятности наступления события как их соотношения позволяет определить зону категории риска в границах градации матрицы.

Степень влияния событий, возникающих в процессе финансовой деятельности...

УДК 338.24

Р.А. Кириллов МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ ОЦЕНКИ УРОВНЯ

ПРИЕМЛЕМОСТИ РЕГУЛЯТОРНОГО РИСКА СТРУКТУРНОГО ПОДРАЗДЕЛЕНИЯ БАНКА

Ключевые слова: регуляторный риск, уровень приемлемости регуляторного риска, система внутреннего контроля банка.

Roman KriUov METHODICAL SUPPORT OF THE ACCEPTABILITY

LEVEL ASSESSING OF THE REGULATORY RISK OF BANK DEPARTMENTS

Annotation. The article describes the author"s method of assessing the level of acceptability of the structural unit"s regulatory risk offered as a tool for its monitoring.

Keywords: regulatory risk, level of acceptability of the regulatory risk, internal control system.

Системе внутреннего контроля банка необходимо, по меньшей мере, иметь следующий методический инструментарий для выполнения декларируемых Кодексом корпоративного управления принципов, касающихся организации внутреннего контроля:

Методики планирования, организации и проведения аудиторских проверок;

Методики оценки уровня приемлемости рисков (для каждого вида риска);

Методику разделения функций внутреннего контроля по уровням и сферам ответственности;

Методики оценки эффективности внутреннего контроля;

Методики оценки эффективности корпоративного управления в целом .

Вопрос методического обеспечения деятельности в области внутреннего контроля решается в основном внутренними структурами банков. В последнее время на страницах профессиональных тематических форумов, коллоквиумов, печатных изданий одной из своих целей практические специалисты ставят привлечение внимания научных сотрудников к разработкам в наиболее проблемных областях. Эта задача актуализируется еще и тем, что достоверность контрольной информации напрямую связана с качеством применяемого инструмента или методики оценки. Разработка и реализации предлагаемой методики оценки уровня приемлемости регуляторного риска структурного подразделения содержит несколько этапов.

I. Этап. Для определения системы факторов, влияющих на уровень регуляторного риска, автором был проведен экспертный опрос специалистов и руководителей служб внутреннего контроля, внутреннего аудита, корпоративного управления, юридических департаментов крупных банков, представителей консалтинговых структур, академической среды, Российского института директоров (РИД), Ассоциации менеджеров России (AMP), Национального совета по корпоративному управлению (НСКУ), экспертов Банка России. Всего в опросе участвовало 23 чел. в возрасте от 25 до 65 лет. Экспертам была разъяснена цель исследования и задан следующий открытый вопрос: «Что, по Вашему мнению, определяет регуляторный риск на уровне структурного подразделения? (От чего он зависит?)».

Поскольку область регуляторного риска практически не исследована, и теоретическое содер-

жание этого понятия продолжает оставаться спорным, единственно возможный метод обоснования -обработка экспертных мнений. Форма открытого вопроса позволяет получить независимое экспертное мнение участника опроса и исключает его предвзятое формирование за счет заданных вариантов ответов.

Открытая форма вопроса наилучшим образом отвечала задаче исследования: выделить наиболее значимые составляющие регуляторного риска на уровне подразделений для того, чтобы рассчитать уровень приемлемости данного вида риска в конкретном подразделении и в дальнейшем, определив наиболее подверженные регуляторным рискам подразделения, иметь возможность определить уровень приемлемости регуляторного риска по компании в целом.

Обработка результатов, полученных экспертным путем методом подачи открытого вопроса, обладает рядом особенностей. В частности - сложностью подсчета ответов. Поэтому для анализа результатов ответов была осуществлена стандартная процедура группировки: повторяющиеся ответы объединены в сегменты - семантические группы, в каждой из которых выделен семантический центр, обозначенный соответствующим ключевым словом. В качестве семантических признаков образования группы были выделены:

1) стилистические, контекстуальные, идеографические синонимы;

2) термины и выражения, соотносимые согласно принципу «общее-частное».

Так, например, в семантическую группу «понимание состава регуляторных рисков» были отнесены такие ответы, как:

- «внешние нормы регуляторного воздействия»;

- «концепция внутреннего контроля банка»;

- «риск несоблюдения нормы»;

- «причины нарушений»

- «риски бизнес-процессов»;

- «нормы, регулирующие деятельность»;

- «риски структурного подразделения».

В семантическую группу «значение регуляторных рисков» вошли, например, такие ответы:

- «качество нормативных документов »,

- «внутренние положения»;

- «пробелы законодательства»;

- «последствия несоблюдения норм»;

- «размер (денежное выражение) ущерба»;

- «показатели деятельности »;

- «качество аудита».

В семантическую группу «взаимосвязь регуляторного риска с другими рисками банка» были отнесены такие ответы, как, например:

- «взаимоотношения с руководством»;

- «порядок взаимодействия »;

- «регламенты (нормативные сроки документооборота)»;

- «регулярность и порядок взаимодействия»;

- «горизонтальные связи»;

- «отсутствие полномочий».

К семантической группе «зависимость регуляторного риска от деятельности сотрудника» были отнесены, например, такие факторы:

- «дисбаланс ответственности и полномочий»;

- «качество должностных инструкций»;

- «деловая культура»;

- «регламенты коммуникаций»

- «этический кодекс».

В семантическую группу «роль социальных норм в составе регуляторного риска банка», вошли, например, факторы:

- «корпоративное взаимодействие»;

- «межличностные коммуникации»;

- «социальная ответственность »;

- «доверие к менеджменту»;

- «лояльность сотрудника».

Разделение на семантические группы осложнялось тесной связью понятий, их наложением, пересечением, взаимопроникновением друг в друга. Поскольку ответы экспертов фиксировались письменно в вербальной форме, некоторые факторы автору приходилось формулировать методом дедукции. Поэтому разделение не имеет четких границ и выполнено условно в целях структурирования выбранной области исследования.

Итоги опроса выглядят следующим образом. Более половины экспертов (53 %) акцентировали внимание только на внешнем аспекте регуляторного риска, связанном с рисками несоблюдения законодательных норм, распоряжений и положений министерств, ведомств, федеральных служб различного уровня. Из этого можно сделать вывод о том, что половина опрошенных имеет формальное представление о содержании регуляторного риска, с его проблематикой сталкивалась только на отдельных примерах и не имеет личного опыта в решении проблем, связанных с регуляторикой в банковской сфере. Почти 30 % экспертов отметили зависимость регуляторного риска банка от его значения на уровне структурных подразделений. 27 % опрошенных прямо или косвенно отметили значение социальных норм, в том числе норм корпоративного взаимодействия, для повышения эффективности управления регуляторным риском. 17 % всех опрошенных указали на связь регуляторного риска с наличием и уровнем развития внутренней нормативной базы деятельности компании банковской сферы. 7 % упомянули такие понятия как «лояльность сотрудника» и «доверие к компании». При этом все опрошенные, упомянувшие данные термины, принадлежали к топ-менеджменту компаний банковской сферы.

На основе анализа ответов экспертов были сформулированы пять показателей для оценки уровня регуляторного риска структурного подразделения банка:

1) понимание сотрудником состава и содержания рисков своего структурного подразделения;

2) понимание сотрудником места и значения регуляторных рисков в системе рисков структурного подразделения;

3) понимание сотрудником взаимосвязи существующих норм в разрезе вертикальных (субординационных) и горизонтальных связей;

4) уровень ответственности сотрудника за соблюдение норм и регламентов своей деятельности;

5) уровень лояльности сотрудника к своему структурному подразделению/компании в целом.

II Этап. Поскольку значения факторов внутри каждого из предложенных показателей неравнозначны, для повышения достоверности оценки был проведен следующий этап опроса, в рамках которого экспертам было предложено оценить каждый фактор в целях установления коэффициента его важности в составе показателя. Для успешного проведения экспертного опроса группа экспертов

должна быть достаточно подготовлена. Во-первых, необходимо было сформировать у экспертов четкое понимание целей, дать полную информацию об объекте изучения и настроить каждого на серьезное отношение к экспертизе. Во-вторых, необходимо было критически проверить формулировку факторов, предлагаемых к оценке: нечеткость, двоякое толкование, размытость формулировки будут неизбежно снижать качество экспертной оценки. Данные установки были реализованы в процессе экспертного опроса в рамках проекта по разработке теоретико-методического обеспечения функции управления регуляторным риском. Оценка проводилась методом определения важности фактора на основе математической операции взвешивания. Экспертам была предложена анкета (см. табл. 1) экспертного опроса, где каждый из них должен был проставить независимую оценку каждого фактора по десятибалльной шкале. Оценка «10» отражала значение максимальной важности фактора, а оценка «1» - значение минимальной важности фактора.

Таблица 1

Анкета экспертного опроса

№ Факторы Оценка эксперта

Показатель 1. Понимание сотрудником состава и содержания рисков своего структурного подразделения

1.1 Понимание сотрудником внешних норм федерального уровня регулирующих деятельность его структурного подразделения

1.2 Понимание сотрудником рисков, возникающих при нарушении норм п. 1

1.3 Понимание сотрудником причин и последствий рисков, возникающих в его структурном подразделении

1.4 Информированность сотрудника о том, какие из существующих мер на уровне структурного подразделения и/или корпорации в целом способствуют предотвращению рисков п.1.2

1.5 Понимание сотрудником проблем (пробелов, «белых пятен», ненормированных областей деятельности), мешающих работе его структурного подразделения

1.6 Наличие конструктивных предложений сотрудника относительно мер, которые должны быть предприняты по устранению недостатков п.1.5

Показатель 2. Понимание сотрудником места и значения регуляторных рисков в системе рисков структурного подразделения

2.1 Понимание сотрудником норм, регулирующих бизнес-процессы его структурного подразделения

2.2 Понимание сотрудником конкретных норм регулирующих его деятельность

2.3 Отношение сотрудника к необходимости соблюдения установленных норм (обязательность - необязательность)

2.4 Понимание сотрудником причин, по которым происходит несоблюдение норм, регламентов и т.д. (из практики сотрудника)

Окончание таблицы

№ Факторы Оценка эксперта

2.5 Понимание сотрудником последствий несоблюдения им норм. Информированность сотрудника о «стоимости» таких несоблюдений (в денежных, временных или других показателях).

2.6 Понимание сотрудником процессов, взаимодействий, операций, которые, по его мнению, нуждаются в формально закрепленных регламентах и нормах, не существующих на данный момент.

Показатель 3. Понимание взаимосвязи существующих норм в разрезе вертикальных (субординационных) и горизонтальных связей

3.1 Понимание сотрудником регламентов взаимодействия с вышестоящим руководством в случае возникновения проблемы, конфликта

3.2 Понимание сотрудником состава и содержания взаимосвязей с подразделениями в процессе исполнения своих должностных обязанностей

3.3 Осведомленность сотрудника о формальном (документальном) закреплении регламента его взаимодействия со структурными подразделениями

3.4 Понимание сотрудником алгоритма действий в случае, если ему требуется консультационная помощь

Показатель 4. Уровень ответственности сотрудника за соблюдение норм и регламентов своей деятельности

4.1 Понимание сотрудником баланса полномочий и ответственности в его работе

4.2 Понимание сотрудником зон его ответственности

4.3 Понимание сотрудником его обязанностей

4.4 Понимание сотрудником уровня соответствия его фактических обязанностей составу обязанностей в соответствии с должностной инструкцией

4.5 Понимание сотрудником его полномочий и оценка их достаточности

4.6 Понимание сотрудником связи материального стимулирования его деятельности с соблюдением им норм, регламентов, достижением установленных показателей

Показатель 5. Уровень лояльности сотрудника к своему структурному подразделению/компании в целом

5.1 Воздействие социальных норм на сотрудника внутри компании

5.2 Оценка сотрудником психологического климата в его структурном подразделении и понимание им морально-этических норм, регулирующих его поведение в компании

5.3 Мнение сотрудника относительно этических моментов взаимодействия с руководством, коллегами и подчиненными, которые он считает не отрегулированными или отрегулированными некорректно

5.4 Понимание сотрудником технологии процесса обращения к вышестоящему руководству

5.5 Мнение сотрудника относительно необходимости доведения до сведения руководителя информации о своем структурном подразделении, полученной из неформальных источников

Эксперты дали свои оценки относительной важности в баллах А. где, - номер вложенного фактора, j - номер эксперта. После того, как оценки проставлены, они усредняются, и получается средняя оценка важности ьго фактора:

А, <„ = -, (1)

где А,Ср - сумма оценок важности факторов в показателе; п - количество экспертов.

Для получения усредненной относительной оценки важности фактора в группе производят нормирование по общей сумме баллов. При этом полученный результат представляет собой относительную важность фактора в процентах в составе конкретного показателя.

где Кв - коэффициент важности фактора; т - число факторов показателя.

Для вычисления коэффициента относительной важности конкретного фактора в показателе, производят деление средневзвешенной оценки отдельно взятого конкретного фактора на общую сумму (массу) средневзвешенных оценок факторов в соответствующем показателе.

По итогам опроса необходимо отметить следующее. Расхождение экспертных мнений с реальным положением дел может быть объяснимо разными причинами. В данном конкретном случае имели место проявления кардинальных взглядов, связанных с личными представлениями, профессиональной областью деятельности, практическим опытом работы и занимаемой должностью эксперта. В ходе проведения расчетов было подмечено, что нередко эксперт давал заниженную оценку фактору, который выходил за рамки его компетенции, и, наоборот, завышал балл факторам, с которыми сталкивался непосредственно. Так, например, представители консалтинговых структур не очень охотно отнеслись к опросу, хотя и не отказались в нем участвовать. Латентное нежелание вникать в сущность методики проставления оценок привело к тому, что их оценочный ряд имел противоречия. Расхождения в оценках важности отдельных факторов сложились также у экспертов, имеющих опыт работы в иностранных компаниях и с отсутствием такового.

В опросе должно принять участие не менее 80 % штатных сотрудников. После того, как сотрудники обследуемого структурного подразделения дали ответы на вопросы анкеты (этап самообследования), специалист службы внутреннего контроля приступает к обработке результатов согласно методическим указаниям разработчика. Для проведения детального анализа результатов анкетирования специалисту службы внутреннего контроля необходимо оценить полноту и уровень профессионализма ответов сотрудников. В каждом показателе выделены факторы в виде вопросов, значение которых сотрудник должен описать вербально в процессе самооценки, а специалист службы внутреннего контроля - оценить по установленной шкале.

Эксперту необходимо проставить оценку каждого ответа сотрудника по десятибалльной шка-ле, разделенной на три диапазона. Для того, чтобы более точно охарактеризовать ответ сотрудника, была выбрана шкала, имеющая два четырехшаговых интервала (0-3 и 4-7) и один трехшаговый (8-10):

Отрицательная оценка (0-3) проставляется в случае отсутствия ответа или демонстрации в ответе отсутствия, слабого или частичного понимания сути вопроса;

Нейтральная оценка (4-7) проставляется в случае демонстрации общего (начального) представления о запрашиваемом предмете;

Положительная оценка (8-10) проставляется в случае демонстрации системного, во взаимосвязях понимания, выходящего за рамки должностной инструкции сотрудника.

Для каждого интервала значений предусмотрена интерпретация ответа сотрудника, исходя из его содержания, для обеспечения объективности оценки специалиста службы внутреннего контроля.

Поскольку показатели, используемые для определения уровня приемлемости риска, неравнозначны, для них также были рассчитаны коэффициенты важности с помощью методики, аналогичной методике расчета коэффициента важности фактора в показателе. Сначала был произведен расчет средневзвешенной оценки показателя в группе путем деления суммы оценки важности факторов в показателе на количество факторов в показателе.

К = псрг ■ 100

где Лпср - суммы оценки важности факторов в показателе; n - количество факторов в показателе.

Для вычисления коэффициента относительной важности каждого показателя в группе, производят деление средневзвешенной оценки показателя в группе на общую сумму (массу) средневзвешенных оценок показателей.

псрг 1 А А

где АПСрг - средневзвешенная оценка показателя в группе; Кв - коэффициент важности показателя; m - число показателей.

Расчет оценки уровня риска по каждому фактору и показателю с учетом уровня их важности в рамках ответов отдельного сотрудника предполагается производить через расчет промежуточного показателя корреляции уровня риска:

ПКУР = кв (5)

где ПКУР - показатель корреляции уровня риска, Оэ - оценка специалистом службы внутреннего

контроля ответа работника, Кв - коэффициент важности фактора в показателе/показателя в группе.

Согласно проведенному экспертному опросу, факторы в составе показателя в группе имеют

разный уровень важности. Полученный промежуточный показатель позволит скоррелировать оценку

ответов сотрудника по каждому фактору в соответствии с его коэффициентом важности, а также

скоррелировать уровень относительной важности каждого показателя в группе в соответствии с его

коэффициентом важности.

Расчет оценки уровня регуляторного риска по каждому фактору предполагается осуществить

путем вычитания показателя корреляции уровня риска из оценки специалиста службы внутреннего

контроля:

У ррф = О сСВК ~ П к. (6)

Вычисление средневзвешенного уровня риска группы факторов по показателю производится делением суммы значений уровня риска всех факторов в показателе на количество факторов (метод средней).

Расчет оценки уровня регуляторного риска в подразделении по каждому показателю предпо -

лагается осуществлять путем вычитания показателя корреляции уровня риска по подразделению из значения средневзвешенного уровня риска группы факторов по показателю:

ррп С / в КП (7)

Общий уровень приемлемости регуляторного риска структурного подразделения вычисляется методом средней, т.е. путем деления суммы уровня риска по показателю на количество показателей.

у _ ¿-1 РРП

где т - количество показателей.

В связи с тем что, чем меньшую оценку получает фактор, тем выше риск, связанный с его нарушением, необходимо произвести корректировку по следующим соображениям. Согласно градации оценочной шкалы, при значении «0» достигается максимальный уровень риска. Исходя из этого, ответу сотрудника, получившему низкую оценку специалиста службы внутреннего контроля и высокий показатель корреляции коэффициента уровня риска, в конечном итоге будет присвоен более высокий уровень риска, чем аналогично оцененному ответу сотрудника с низким показателем корреляции коэффициента уровня риска.

Многообразие показателей, посредством которых осуществляется количественная оценка, порождает и многообразие шкал, позволяющих отнести риск к тому или иному интервалу, характеризующему уровень приемлемости конкретного риска. На основании обобщения результатов исследований различных авторов по проблемам количественной оценки риска, считаем целесообразным применить в разрабатываемой методике шкалу следующего вида (см. табл. 2).

Таблица 2

Шкала оценки уровня риска

№ Величина уровня риска Наименование градации риска

1 0-1 критический

2 1-3 максимальный

3 3-4 высокий

4 4-6 средний - приемлемый

5 6-8 малый

6 8-10 минимальный

Таким образом, согласно установленной шкале, значения приемлемого уровня регуляторного риска будут лежать в зоне от 4 до 10, а значения, лежащие ниже 4, будут свидетельствовать о неприемлемости уровня регуляторного риска в конкретном структурном подразделении.

Реализация методики начинается с этапа самоконтроля сотрудников оцениваемого структурного подразделения. Этот этап заключается в предварительном проведении всестороннего изучения законодательных и внутренних норм, лежащих в основе деятельности контролируемого структурного подразделения. Проведение самообследования решает ряд проблем.

Понимание каждым сотрудником контролируемого подразделения места, роли, целей и

задач данного структурного подразделения в общей системе управления банковской организацией;

Понимание части своих полномочий и ответственности в общем объеме деятельности структурного подразделения;

Понимание взаимосвязей структурного подразделения с другими звеньями системы управления банковской организации и с органами и службами госрегулятора;

Формирование четкого представления о том, каким нормам и правилам должна соответствовать деятельность структурного подразделения, какие бизнес-процессы оно осуществляет, какие показатели подлежат оценке;

Возможность реализации превентивного контроля, преодолевающего традиционное негативное отношение персонала к контролю как к механизму, выявляющему и оценивающему уже состоявшиеся события, отрицательно повлиявшие на достижение плановых показателей и целей (Поиск ответа на вечный вопрос: «Кто виноват?»);

Помощь исполнительному руководству в разработке содержания обучающих программ и мероприятий комплаенса, в выявлении «белых пятен» и издании письменных указаний по вопросам обеспечения соответствия законодательству, правилам и стандартам через политики и процедуры;

Реализацию воспитательной функции контроля, т.е. способствует развитию общих ценностей, их выравниванию внутри компании, приобщает к стандартам корпоративной культуры, позволяет инициировать совершенствование морально-этических норм. Это является действенной мерой против участия сотрудников в схемах корпоративного мошенничества, коррупции и пр.

По итогам самообследования составляется отчет, который ложится в основу контроля уровня регуляторного риска в структурном подразделении.

Библиографический список

1. О Кодексе корпоративного управления: Письмо Банка России от 10.04.2014 № 06-52/2463 // Вестник Банка России. - 2014. - № 40.

2. Положение об организации внутреннего контроля в кредитных организациях и банковских группах: утверждено Банком России от 16.12.2003 № 242-П // Вестник Банка России. - 2004. - № 7.

Юрий Юденков Главный редатор, к.э.н.

Система внутреннего контроля в кредитной организации функционирует в первую очередь в соответствии с требованиями Банка России и лишь потом — в соответствии с рекомендациями корпоративного управления. Нормотворчество методологов Банка России — процесс непрерывный и ускоряющийся. В новой редакции Положения № 242-П используется много новых терминов, но не объясняются их сущность и процедуры внедрения, в частности термин «регуляторный риск». Разберемся с этим объектом контроля.

Регуляторный риск — новое понятие в надзорной практике. Банк России нигде ранее не давал его определения.

В п. 4.1.1 новой редакции Положения Банка России от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее — Положение № 242-П) регуляторный риск определяется через понятие комплаенс-риска, то есть риска возникновения убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов кредитной организации, стандартов саморегулируемых организаций (СМРО, если такие стандарты или правила являются обязательными для кредитной организации), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов.

Контроль регуляторного риска как комплаенс-риска?

Для более точного понимания сущности регуляторного риска необходимо обратиться к понятию комплаенс-контроль. Традиционно комплаенс-риск рассматривался как обобщающий для правового и репутационного рисков (хотя в трактовке БКБН правовой риск — часть операционного). Для банков практические вопросы организации комплаенс-контроля регулировались Положением № 242-П, Письмом Банка России от 30.06.2005 № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах» (далее — Письмо № 92-Т), для некоторых банков — также Положением о внутреннем контроле профессионального участника рынка ценных бумаг, утвержденным Приказом ФСФР от 21.03.2006 № 06-29/пз-н.

Пока неясно, в чем будут заключаться обязанности комплаенс-контролеров в связи с появлением контролеров репутационного риска, но традиционно главной обязанностью первых являлось осуществление внутри организации эффективной поддержки бизнес-функций для соблюдения соответствующих законов, требований внешних и внутренних нормативных документов.

Рекомендации «Функция комплаенс в банках», выпущенные в октябре 2003 г. (БКБН 103), определяют комплаенс как: «независимая функция, которая выявляет, оценивает, дает соответствующие советы, отслеживает и готовит отчеты в отношении риска комплаенс, определяемого как риск юридических или регулятивных санкций, финансовых убытков, урона репутации, которые могут быть обращены на банк в результате несоблюдения им законодательства, регулирования, кодекса поведения и стандартов хорошей практики».

В более общем определении, данном Международной Комплаенс Ассоциацией не только для банковских организаций, главной задачей комплаенс-контролера является обеспечение создания в организации системы внутреннего контроля, которая адекватно измеряет риски, с которыми сталкивается организация, и управляет ими.

1) контроль за юридическими рисками, связанными с регулированием банковской деятельности. Возникновение и рост уровня этих рисков могут вызвать значительные финансовые потери вследствие введения санкций против банков, усиления требований к капиталу;

2) предупреждение риска потери репутации, связанного с недобросовестным соблюдением сотрудниками правил и норм деловой этики;

3) оптимизация отношений с органами надзора и интегрирование существующих правил и норм банковского регулирования и надзора в текущую деятельность банка;

4) развитие сотрудничества и партнерства с другими банками, что может способствовать повышению конкурентоспособности банка.

На основе приведенных цитат и рассуждений можно предположить, что введение понятия регуляторного риска преследовало цель оценить соответствие текущей деятельности банка и его регламентов принятым законам и нормативным актам. Но при этом мы должны рассматривать и обратную ситуацию — если цель не будет достигнута. А если целей и регуляторов столько, сколько законодательных инициатив и ведомств, обладающих этой инициативой? В крупных кредитных организациях всегда отслеживалась ситуация с принятием законов, влияющих на деятельность банков, поскольку последствия в виде прямых убытков могут быть печальными. В отдельных банках в последнее время даже была введена должность GR-менеджера (Government Relations, по аналогии с PR) для минимизации потерь от законодательных (в широком смысле — юридических) рисков.

Фактически можно говорить об общей парадигме контроля (в свете полного цикла управления объектом): контроль есть перевод объекта, которым управляют, из состояния «as is» (как есть) в состояние «as to be» (как должно быть) (рис. 1). При этом предполагается, что законодатели, регулятор и иже с ними лучше всех других понимают и излагают, как это должно быть. Проблема же часто возникает не из-за того, что отдельные, назовем их «регуляторы», плохо знают свой предмет, а из-за того, что все эти локально хорошие «as to be» плохо комплексируются, скорее «комплексуют», в конкретном реальном объекте — кредитной организации.

Отдельного анализа заслуживает регуляторный риск регулятора как оценка эффективности его новаций в сфере «as to be».

Контроль регуляторного риска встроен в общую систему контроля кредитной организации. Рассматривая ее, можно представить общий спектр процессов для достижения целей в определенных структурных подразделениях, где может быть реализован регуляторный риск и на которые возложена ответственность за реализацию функции контроля (рис. 2).

Организационно-функциональные задачи внутреннего контроля регуляторного риска

Описанные Банком России организационные аспекты контроля регуляторного риска, к сожалению, также не дают возможности дать ему однозначное определение. В п. 4.1.1 Положения № 242-П можно найти косвенные признаки определения регуляторного риска через функции, которые должна выполнять служба внутреннего контроля банка:

— учет событий, связанных с регуляторным риском, определение вероятности их возникновения и количественная оценка возможных последствий;

— мониторинг регуляторного риска, в том числе анализ внедряемых кредитной организацией новых банковских продуктов, услуг и планируемых методов их реализации на предмет наличия регуляторного риска;

— координация и участие в разработке комплекса мер, направленных на снижение уровня регуляторного риска в кредитной организации;

— мониторинг эффективности управления регуляторным риском;

— участие в разработке внутренних документов по управлению регуляторным риском;

— информирование служащих кредитной организации по вопросам, связанным с управлением регуляторным риском.

Более того, в п. 4.1.17 указано, что ежегодные отчеты службы внутреннего контроля о проведенной работе исполнительным органам, а в случаях, установленных внутренними документами кредитной организации, — совету директоров (наблюдательному совету) кредитной организации включают:

— данные о выполнении планов деятельности службы внутреннего контроля в области управления регуляторным риском;

— информацию о результатах мониторинга эффективности реализации требований по управлению регуляторным риском, результатах мониторинга направлений деятельности кредитной организации с высоким уровнем регуляторного риска;

Поскольку в Положении № 242-П нет четкого «водораздела» между службой внутреннего контроля и службой внутреннего аудита и многие функции повторяются, в качестве дискриминирующего признака стоит использовать временную направленность: СВК решает тактические и оперативные задачи по выявлению отклонений и устранению их в режиме, близком к реальному времени, а СВА больше ориентирована на ретроспективный анализ отклонений. На рис. 3 и 4 представлены принципы, задачи и функции СВК и СВА.

Сопоставив принципы, задачи и функции СВК и СВА с функциями комплаенс-подразделения, можно утверждать, что к основным функциям полноценно действующего СВК можно отнести следующие:

— управление регуляторным риском. СВК производит мониторинг, оценку и управление регуляторным риском в соответствии с внутренними методиками оценки регуляторного риска;

— противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма. Подразделение по ПОД/ФТ обеспечивает и контролирует процесс проверки новых клиентов (принцип «знай своего клиента», KYC) и последующего мониторинга профиля и сделок клиентов;

— посреднические функции при взаимодействии с регулятором. СВК осуществляет поддержку взаимодействия подразделений кредитной организации с регулятором, в том числе при проверках регулятора, и контролирует процесс переписки с ним (возможно, по конкретным направлениям);

— контроль за соответствием структуры корпоративного управления требованиям регулятора и т.д. — в зависимости от особенностей организации;

— мониторинг изменения законодательства и соответствия внут_ренней нормативной базы. СВК осуществляет мониторинг изменений законодательства, информирует соответствующие подразделения организации о необходимости внесения изменений во внутренние регламенты, осуществляет мониторинг соответствия внутренней нормативной базы действующему законодательству и стандартам.

Можно предположить, что Банк России, определяя регуляторный риск как объект контроля (табл. 1), включает в совокупность неблагоприятных исходов по этому риску потерю прибыльности, снижение капитала и угрозу репутации банка, связанных с невозможностью соблюдать возрастающие регуляторные требования и ожидания. Но как определить и оценить регуляторный риск?

Таблица 1

Участники функции контроля за регуляторным риском в российских банках

Подразделение	Функции	Недостатки регламентов
Служба внутреннего контроля (внутреннего аудита)	Аналог функции «внутренний аудит» по стандартам Института внутренних аудиторов, а также: — проверка соответствия внутренних документов нормативным правовым актам, стандартам саморегулируемых организаций; — оценка работы службы управления персоналом; — другие вопросы	Ряд направлений деятельности допускают конфликт интересов в силу того, что подразделение выполняет функции по организации и определению методологии системы внутреннего контроля и в то же время имеет полномочия проверять указанные аспекты
Ответственный сотрудник (структурное подразделение) по ПОД/ФТ	Разработка и реализация правил внутреннего контроля в целях ПОД/ФТ, программ его осуществления и иных внутренних организационных мер в указанных целях. Организация представления в уполномоченный орган по ПОД/ФТ сведений в соответствии с Законом № 115-ФЗ и нормативными актами Банка России	Сфера компетенции ограничена ПОД/ФТ
Контролер профессионального участника рынка ценных бумаг	Проверка соответствия деятельности профессионального участника рынка ценных бумаг требованиям законодательства РФ о ценных бумагах и защите прав и законных интересов инвесторов на рынке ценных бумаг, нормативным правовым актам федерального органа исполнительной власти по рынку ценных бумаг	Сфера компетенции ограничена направлениями деятельности профессионального участника рынка ценных бумаг
Ответственный сотрудник по правовым вопросам	Проверка соблюдения нормативных правовых актов, стандартов СМРО, учредительных и внутренних документов. В Рекомендациях по организации управления правовым риском (приложение к Письму № 92-Т) предлагается на подразделение (служащего) по управлению правовым риском возложить организацию работы по минимизации правового риска	Не определен статус данного подразделения (сотрудника). Авторам доводилось встречаться с таким представлением, что это «всего лишь другое название юридической службы». Не определены необходимые для осуществления функций полномочия и процедуры их реализации

Система оценки и раннего предупреждения регуляторного риска

Выявление и контроль регуляторного риска в кредитных организациях выполняются на двух уровнях:

— уровень 1 — соответствие внешним правилам, которые обязана выполнять организация в целом;

— уровень 2 — соответствие требованиям системы внутреннего контроля, которые устанавливаются с целью обеспечения выполнения внешних требований.

Наглядное представление процедур и субъектов выявления регуляторного риска см. на рис. 5.

В борьбе с любыми нарушениями существуют следующие способы контроля:

1) предварительный контроль (профилактика, превентивные меры);

2) стимулирование;

3) последующий контроль.

Первый способ контроля, так называемый предварительный контроль, включает:

— выявление требований;

— оценку и ранжирование рисков;

— выявление контролей (пример: Закон США о коррупции FCPA, «передача чего-либо ценного»);

— выявление бизнес-процессов, вовлеченных сотрудников и внутренней регламентации в компании;

— изменение практик кредитной организации, отказ от практик;

— внесение изменений и дополнений во внутренние документы компании и дополнительный предварительный контроль («вторая пара глаз» профильных функциональных подразделений или вышестоящего руководства там, где это необходимо и оправданно).

Второй способ — осуществление последующего контроля силами контрольных подразделений кредитной организации:

— проведение систематического обучения сотрудников;

— мониторинг законодательства и судебной практики;

— регулярная оценка правовых рисков;

— оценка эффективности системы управления регуляторными рисками;

— отчетность, корректирующее воздействие.

Помимо самого процесса выявления и контроля риска, необходимы процедуры «настройки» системы контроля на изменения признаков риска. Рисунок 6 иллюстрирует наличие в системе внутреннего контроля так называемых «рубежей обороны» и изменение состояния системы внутреннего контроля при управлении регуляторным риском. На схеме также выделены циклы априорного — раннего выявления и устранения регуляторного риска и апостериорного — после реализации риска.

Если предположить, что регуляторный риск — это риск несоответствия практики каким-то теоретическим требованиям, то какие решения должен принимать банк для снижения регуляторных рисков? Банк России может издавать Положения — «П», Указания — «У», рекомендации — «Т». Если кредитная организация не выполняет «Т», то регуляторный риск выше или ниже при невыполнении «П»? А если персонал банка не выполняет внутренний регламент, это высокий или низкий регуляторный риск?

Можно предположить, что оценку системы контроля регулятивного риска могут осуществлять третьи лица, а не только Банк России. Тогда может быть сформирована следующая таблица (табл. 2).

Таблица 2

Третьи лица, вовлеченные в процесс оценки системы контроля регуляторного риска

Субъекты контроля	Оценка уровня риска
	Умеренный
Потенциальные покупатели (инвесторы), которые планируют совершение сделки M&A или сделку купли-продажи с компанией. Функция контроля регулятивных рисков и эффективность управления рисками, связанными с комплаенсом, оцениваются в ходе предварительного due diligence	Умеренный
Государственные организации (в зависимости от отрасли и страны функционирования кредитной организации) в порядке их основной деятельности
Кредиторы (банки и финансовые институты): анализ функции контроля регулятивных рисков как часть оценки рисков кредитоспособности компании	Умеренный
Страховые компании, брокерские агентства и другие компании: анализ функции контроля регулятивных рисков как часть общей оценки рисков и определения суммы страховой премии
Аудиторы в ходе аудита финансовой отчетности и AUP-проектов: анализ управления рисками в процессах подготовки финансовой отчетности, оценка системы управления регуляторными и комплаенс-рисками
Контрагенты при принятии решения о работе с клиентом и (или) проведении проектов

Субъекты контроля регуляторного риска, в данном случае третьи лица, при выставлении положительной или нейтральной оценки уровня риска соответственно положительно влияют на принятие решения или не влияют на него. При негативной оценке указанных субъектов уровень риска составляет (см. 2-ю колонку таблицы):
Умеренный — в случае выявления несоответствия может как влиять, так и не влиять на итоговое решение.
Высокий — в случае выявления несоответствия окажет серьезное влияние на итоговое решение.
Низкий — в случае выявления несоответствия окажет слабое влияние на итоговое решение.

Выводы

В условиях общей неопределенности определения регуляторного риска можно рекомендовать службе внутреннего контроля/аудита:

1) подготовить карту рисков, определить риски, связанные с регуляторным, продемонстрировать четкое понимание приемов управления рисками данного вида с позиции менеджмента банка;

2) представить на анализ все политики и процедуры кредитной организации, чтобы доказать соответствие их основных положений требованиям законодательства.

При проведении внешних проверок необходимо сосредоточиться на предоставлении полного объема запрошенных документов, предоставить самооценку и отчеты внутреннего аудита, связанные с оценкой регуляторного риска, и результаты его тестирования. Особо ценится, если приводится положительное мнение третьей стороны.

В новой редакции Положения № 242-П регуляторный риск определяется через понятие комплаенс-риска, то есть риска возникновения убытков из-за несоблюдения законодатель- ства РФ, внутренних документов, стандартов СМРО или в результате применения санкций надзорными органами.

Примечания

1. В России термин «комплаенс-контроль» был впервые введен Указанием Банка России от 07.07.1999 № 603-У «О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях». Комплаенс-контроль определялся как внутренний контроль за соответствием деятельности кредитной организации на финансовых рынках законодательству о финансовых рынках в общей системе внутреннего контроля кредитной организации, а под финансовыми рынками понимались рынки ценных бумаг и срочных сделок. Чуть позже появилось определение комплаенс-риска: «риск применения правовых санкций или санкций со стороны регулятора, реальных финансовых потерь или потери репутации, который может возникнуть в результате несоблюдения банком законодательства, нормативных актов, стандартов саморегулируемых организаций и кодексов корпоративного поведения применительно к деятельности банка». Очень похоже на определение регуляторного риска.

2. В оригинале — «комплаенс-служащий».

3. Федеральный закон от 02.12.1990 № 395-1 «О банках и банковской деятельности».

4. Рисунок представляет собой фрагмент схемы и включает не все компоненты функционирования СВА.

5. Рисунок представляет собой фрагмент схемы и включает не все компоненты функционирования СВК.

6. Федеральный закон от 07.08.2001 № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».

7. Сотрудники должны понимать, что за ними следят, это снижает вероятность нарушения регламента более чем на 80%.

ПОЛОЖЕНИЕ

об управлении регуляторным (комплаенс) риском

г. Красноярск – 2014 г.

1. Введение.

1.1 Организация Х при осуществлении своей деятельности стремится соблюдать требования законодательства, а также внутренние правила и положения практикам и стандартам в области организации управления регуляторным риском (комплаенс-контроля).

1.2 Настоящее «Положение об управлении регуляторным (комплаенс) риском» (далее - Положение) разработано в соответствии со следующими нормативными документами в действующей редакции на момент утверждения Положения:

Федеральный закон от 01.01.2001 г. N 395-1 «О банках и банковской деятельности»;

Федеральный закон от 01.01.2001 N 224-ФЗ "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты»;

- "Положение об организации внутреннего контроля в кредитных организациях и банковских группах" N 242-П от 01.01.2001 г.;

Письмо Банка России от 01.01.2001 N 173-Т "О рекомендациях Базельского комитета по банковскому надзору";

Письмо Центрального Банка Российской Федерации от 01.01.2001 г. N 119-Т «О современных подходах к организации корпоративного управления в кредитных организациях»;

Письмо Центрального Банка Российской Федерации от 01.01.2001 г. N 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах»;

1.3 Настоящее Положение утверждается Советом директоров, доводится до сведения всех сотрудников и пересматривается на регулярной основе не реже одного раза в год.

2. Термины и определения.

2.1 Регуляторный риск (комплаенс-риск) - риск возникновения убытков из-за несоблюдения законодательства Российской Федерации , внутренних документов, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов (комплаенс-риск). Термин «регуляторный риск» введен "Положением об организации внутреннего контроля в кредитных организациях и банковских группах" N 242-П от 01.01.2001 г. и равносилен термину «комплаенс-риск», используемому в общемировой практике. Комплаенс-риск тесно взаимодействует с другими видами рисков, присущих Организации Х:

Операционный риск - нарушение внутренних правил и документов, повлекшее убытки; несоблюдение сотрудниками, органами управления и участниками Организации Х законодательства, учредительных и внутренних документов;

Правовой риск - несоблюдение законодательства, влекущее преследование со стороны надзорных органов;

Риск потери деловой репутации - опубликование негативной информации об организации или ее работниках, собственниках, членах органов управления, аффилированных лицах в средствах массовой информации .

2.2 Комплаенс - это обеспечение соответствия деятельности установленным требованиям и стандартам, это часть корпоративной культуры, при которой выполнение каждым сотрудником своих должностных обязанностей, включая принятие решений на всех уровнях, должно соответствовать стандартам законности и добросовестности, установленным Организацией Х для ведения своей деятельности. Основные области комплаенса – противодействие легализации (отмыванию) доходов, полученных преступным путем и финансированию терроризма, валютный контроль и таможенное законодательство, учет и отчетность, представление финансовой отчетности, трудовое, антимонопольное, налоговое законодательство , этические нормы и другие.

2.3 Комплаенс-контроль - процесс, осуществляемый органами управления и сотрудниками в целях контроля соответствия деятельности Организации Х действующему законодательству, правилам, стандартам, как внутренним, так и внешним. Комплаенс-контроль основан на системном, предварительном контроле за событиями, которые могут привести к несоблюдению установленных требований и обязательств и нанести материальный ущерб или повредить репутации.

Комплаенс-контроль требует соблюдения установленных правил внутреннего взаимодействия, процедур и процесса принятия решений требованиям выявления и оценки комплаенс-рисков в области: противодействия легализация доходов, полученных преступным путем и финансированию терроризма, идентификации неблагонадежных контрагентов , рисков мошенничества и коррупции, а также мониторинга конфликтов интересов, использования инсайдерской или конфиденциальной информации, получения и дарения подарков, качества работы с клиентами и контрагентами, соблюдения этических норм (норм профессионального ведения бизнеса). Комплаенс-контроль в большей степени анализирует нефинансовые показатели деятельности, обозначенные выше.

Комплаенс-контроль исключает неосознанное принятие рисков, обеспечивает достаточную степень уверенности в отсутствии нарушений требований законодательства и потенциальных претензий со стороны надзорных органов, позволяет предотвратить привлечение к ответственности, в том числе уголовной, выявляет реализующиеся комплаенс-риски на самых ранних стадиях, быстро реагирует и тщательно устраняет недостатки, определяет причины проблем для предотвращения их повторения, устраняет дублирование функций, делает переоценку роли и значимости функциональных подразделений организации, а также достраивает необходимые элементы системы внутреннего контроля за обеспечением соответствия установленным требованиям; эффективно дополняет систему внутреннего контроля; сокращает незапланированные затраты, укрепляет репутацию Организации Х как надежного партнера и повышает привлекательность, обеспечивая тем самым устойчивое развитие.

3. Стандарты и принципы управления регуляторным риском (комплаенс-контроля).

3.1 Цель комплаенса - сведение к минимуму риска вовлечения в процессы, которые могут обернуться для нее не только финансовыми потерями, но и потерей доверия со стороны общества, инвесторов, партнеров, собственников, клиентов и т. д.

3.2 Управление комплаенс-риском осуществляется сверху вниз. Руководство на уровне Совета директоров, Правления и Председателя Правления несет ответственность за организацию комплаенс-контроля.

3.3 Комплаенс-контроль является неотъемлемой составляющей корпоративной культуры и деятельности. Выявление, оценка и управление комплаенс-рисками сопровождает любой процесс его деятельности. Организация Х внедряет комплаенс-контроль в бизнес-процессы.

3.4 Соблюдение принципов комплаенс-контроля является обязанностью каждого сотрудника. Сотрудники выполняют возложенные на них задачи в рамках установленных требований внутренних нормативных актов и в соответствии с общепризнанными нормами поведения и деловой этики .

3.5 Комплаенс-контроль является одним из элементов системы риск-менеджмента.

3.6 Комплаенс-контроль осуществляется непрерывно.

3.7 СВК является независимой в своей деятельности и подчиняется Председателю правления. Контроль за ее деятельностью осуществляет Служба внутреннего аудита. СВК несет ответственность за качество управления регуляторным риском. Организация Х обеспечивает СВК всеми необходимыми ресурсами, разрешениями для исполнения возложенных на нее обязанностей.

3.8 В Организации Х разрабатываются и реализуются мероприятия, направленные на снижение комплаенс-рисков и постоянное совершенствование системы внутреннего контроля в областях деятельности с высокими комплаенс-рисками.

3.9 Организация Х обеспечивает соблюдение принципов комплаенса контрагентами при реализации договорных отношений с ними.

3.10 Организация Х обеспечивает возможности выявления и урегулирования конфликтов интересов, в том числе потенциальных.

3.11 Организация Х предоставляет работникам и третьим лицам возможность конфиденциально сообщать о возможных нарушениях стандартов комплаенса определенными во внутренних документах способами.

3.13 Сотрудники Организации Х обеспечивают внимательное отношение к клиентам, при общении с клиентами руководствуются принципом равенства клиентов. Доступными способами разрешают конфликт с недовольными клиентами, чтобы не допустить распространения ими негативной информации об Организация Х стремится к тому, чтобы сотрудники понимали свою ответственность в части комплаенса, значимость комплаенса.

4.1.1 Организация работы и контроль эффективности системы комплаенс-контроля;

4.1.2 Управление регуляторным риском;

4.1.3 Управление конфликтами интересов, управление качеством и безопасностью отношений с клиентами и контрагентами;

4.1.4 Предварительный контроль операционного и правового риска, риска потери деловой репутации;

4.2 Функции СВК:

4.2.1 Выявление регуляторного риска (комплаенс-риска);

4.2.2 Учет событий, связанных с регуляторным риском, определение вероятности их возникновения и количественная оценка возможных последствий;

4.2.3 Мониторинг регуляторного риска, в том числе анализ внедряемых новых продуктов, услуг и планируемых методов их реализации на предмет наличия регуляторного риска;

4.2.4 Направление в случае необходимости рекомендаций по управлению регуляторным риском руководителям структурных подразделений и Председателю правления;

4.2.5 Координация и участие в разработке комплекса мер, направленных на снижение уровня регуляторного риска;

4.2.6 Мониторинг эффективности управления регуляторным риском;

4.2.7 Участие в разработке внутренних документов и мероприятий по управлению регуляторным риском, противодействию коммерческому подкупу и коррупции, соблюдению правил корпоративного поведения, норм профессиональной этики;

Ключевые слова

СИСТЕМА ВНУТРЕННЕГО КОНТРОЛЯ / КОМПЛАЕНСРИСК / РЕГУЛЯТОРНЫЙ РИСК / СЛУЖБА ВНУТРЕННЕГО КОНТРОЛЯ / SYSTEM OF INTERNAL CONTROLS / COMPLIANCE RISK / REGULATORY RISK / INTERNAL CONTROL SERVICE

Аннотация научной статьи по экономике и бизнесу, автор научной работы - Кириллов Р. А.

Cистемы внутреннего контроля крупных банков должны быть представлены двумя службами: службой внутреннего аудита, которая, будет проверять весь банк, все подразделения кредитной организации на предмет того, каким образом они выполняют установленные внутренние процедуры кредитной организации; службой внутреннего контроля , которая должна выявлять риски убытков из-за нарушения законов или внутренних документов, оценивать регуляторные риски , выявлять случаи конфликта интересов, а также обнаруживать и анализировать операции, которые «носят запутанный и необычный характер», т. е., по сути, будет выполнять функции, в международной практике относящиеся к области комплаенс. Теоретический анализ. Акцент работы службы внутреннего контроля переносится на управление комплаенс-риском (он же регуляторный риск ). Концептуальные изменения в системах внутреннего контроля выдвигают задачи формирования теоретических основ их построения. Сравнительный анализ содержания понятий «комплаенс-риск» и «регуляторный риск » позволил выявить, что понятие регуляторного риска в российской экономической практике является более широким, системно организованным, опирающимся на нормативную базу деятельности банка и может быть принято как базовое в выстраивании методики формирования службы внутреннего контроля банка. Результаты. Предложено авторское определение регуляторного риска . Рассмотрение рисков банка в их взаимосвязи с нарушением конкретных внешних и внутренних норм, регламентов, стандартов и пр. позволило во-первых, обосновать базовость регуляторного риска для всех других рисков банковской деятельности, вовторых, обнаружить несовершенство нормативных баз российских банков и обосновать необходимость их развития.

Theoretical Bases of Regulatory Risks Management in the Internal Control System of Banks

The internal control system of large banks should be represented by two agencies: the Internal Audit Service, which will check the whole bank, all units of the credit institution for the manner in which they carry out established internal procedures of credit organization; and internal control service , which should identify the risks of losses due to violations of the laws or internal documents, evaluate regulatory risks, identify cases of conflict of interest, as well as to identify and analyze the operations that «are intricate and unusual nature», i.e., in fact, will serve as the international practice relating to the area of compliance. The emphasis of ICS’s work is transferred to the compliance risk management. Theoretical analysis. The comparative content’s analysis of the concepts of compliance risk and regulatory risk revealed that the concept of regulatory risk in the Russian economic practice is wider, systematic organized, relying on the regulatory framework of the Bank and may be taken as a base in technique of formation building of internal control service in bank. Results. Suggested the author’s definition of regulatory risk . Consideration of bank’s risks in their relationship with the violation of specific external and internal rules, regulations, standards and so on., allowed firstly, prove that the regulatory risk is the base for all other banking risks; secondly, to detect inadequate regulatory frameworks of Russian banks and justify the need for their development; secondly, to detect the imperfection of regulatory frame-works of Russian banks and justify the need for their development.

Текст научной работы на тему «Теоретические основы управления регуляторным риском в системе внутреннего контроля банка»

УДК 338.24

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ УПРАВЛЕНИЯ РЕГУЛЯТОРНЫМ РИСКОМ В СИСТЕМЕ ВНУТРЕННЕГО КОНТРОЛЯ БАНКА

Р. А. Кириллов

аспирант кафедры корпоративного управления,

Государственный университет управления, Москва;

Центральный банк Российской Федерации, Москва

E-mail: [email protected]

Введение. Cистемы внутреннего контроля крупных банков должны быть представлены двумя службами: службой внутреннего аудита, которая, будет проверять весь банк, все подразделения кредитной организации на предмет того, каким образом они выполняют установленные внутренние процедуры кредитной организации; службой внутреннего контроля, которая должна выявлять риски убытков из-за нарушения законов или внутренних документов, оценивать ре-гуляторные риски, выявлять случаи конфликта интересов, а также обнаруживать и анализировать операции, которые «носят запутанный и необычный характер», т. е., по сути, будет выполнять функции, в международной практике относящиеся к области комплаенс. Теоретический анализ. Акцент работы службы внутреннего контроля переносится на управление комплаенс-риском (он же регуляторный риск). Концептуальные изменения в системах внутреннего контроля выдвигают задачи формирования теоретических основ их построения. Сравнительный анализ содержания понятий «комплаенс-риск» и «регуляторный риск» позволил выявить, что понятие регуля-торного риска в российской экономической практике является более широким, системно организованным, опирающимся на нормативную базу деятельности банка и может быть принято как базовое в выстраивании методики формирования службы внутреннего контроля банка. Результаты. Предложено авторское определение регуляторного риска. Рассмотрение рисков банка в их взаимосвязи с нарушением конкретных внешних и внутренних норм, регламентов, стандартов и пр. позволило во-первых, обосновать базовость регуляторного риска для всех других рисков банковской деятельности, во-вторых, обнаружить несовершенство нормативных баз российских банков и обосновать необходимость их развития. Ключевые слова: система внутреннего контроля, комплаенс-риск, регуляторный риск, служба внутреннего контроля.

Введение

Переломным моментом в процессе формирования российской концепции внутреннего

контроля можно считать внесение изменений в Положение 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» Указанием Банка России № 3241-У , которые вступили в силу 01.09.2014. По мнению Банка России, проблема в том, что нет четких ориентиров при формировании систем внутреннего контроля, а инспекторы ЦБ, проверяя тот или иной банк, не располагают нормативно закрепленными критериями оценки эффективности внутреннего контроля.

Изменения коснулись прежде всего перераспределения функций между структурными подразделениями служб внутреннего контроля (СВК) крупных банков. В соответствии с изменениями (гл. 4.1) СВК должна выявлять риски убытков из-за нарушения законов или внутренних документов, оценивать регуляторные риски, выявлять случаи конфликта интересов, а также обнаруживать и анализировать операции, которые «носят запутанный и необычный характер», т. е., по сути, будет выполнять функции, в международной практике относящиеся к области комплаенс. При этом полномочия службы внутреннего контроля, согласно прежней редакции Положения 242-П, передаются службе внутреннего аудита, которая будет проверять весь банк, все подразделения кредитной организации на предмет того, каким образом они выполняют установленные внутренние процедуры кредитной организации.

Представители ЦБ подтверждают, что главной новеллой изменений является перенос акцента в деятельности СВК на управление

регуляторным риском, который в вышеупомянутом Положении фактически приравнен к ком-плаенс-риску: «Служба внутреннего контроля осуществляет следующие функции: выявление комплаенс-риска, то есть риска возникновения у кредитной организации убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов кредитной организации, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными для кредитной организации), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов (далее -регуляторныйриск)...» . Так, В. А. Поздышев, директор Департамента банковского регулирования Банка России, разъяснил, что « СВК будет вести отдельную от внутреннего

аудита работу, отслеживать риски несоблюдения кредитной организацией законодательства, требований регулятора и иные регуляторные риски...» . Концептуальные изменения в системах внутреннего контроля выдвигают задачи формирования теоретических основ и методического обеспечения их построения.

Теоретический анализ

BIS/Базельский комитет по банковскому надзору «Имплементация комплаенс-принципов» Комплаенс-риск - риск законодательных или нормативных санкций, финансовых потерь или потери репутации Перечислены отдельные сферы потенциального риска

Федеральная корпорация страхования вкладов (FDIC, США) Комплаенс-риск делится на два вида рисков - продуктовый и регулятивный. Риск продуктовый - это характеристики, которые, вероятно, приводят к соблюдению соответствия. Регулятивный риск относится к потенциальным последствиям для широкого круга общественности и несоблюдению банком регулятивных требований В составе комплаенс-рисков как составляющая часть выделен регулятивный риск. Определение не дает четкого представления о составе рисков

Международная комплаенс-ассоциация Комплаенс - независимая функция, которая выявляет, оценивает, дает соответствующие советы, отслеживает и готовит отчеты в отношении риска комплаенс, определяемого как риск юридических или регулятивных санкций, финансовых убытков, урона репутации, которые могут быть обращены на банк в результате несоблюдения им законодательства, регулирования, кодекса поведения и стандартов хорошей практики Подчеркивается самостоятельность функции комплаенс. В определении компла-енс-риска упоминается его связь с отдельными нормативными документами

Банк России. Положение № 242-П Комплаенс-риск - риск возникновения у кредитной организации убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов кредитной организации, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными для кредитной организации), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов В понятие комплаенс-риска включены внешний и внутренний аспекты, а также описаны нормативные документы

М. А. Шалимова, Международная ассоциация по комплаенсу (ICA) Комплаенс - западный подход к системе построения внутреннего контроля и управления риском потери деловой репутации и правовым риском Подчеркивается «импорт-ность» для российской экономики

Г. П. Бортников, Национальный банк Украины Комплаенс-риск - существующий и возможный (перспективный) риск возникновения потерь прибыли или капитала, появляющихся из-за нарушения или несоблюдения законодательства, правил, регулятивных требований, предписанной практики, внутренних политик и процедур или этических норм Основа комплаенс-риска - убыток

О. Амброжевич, заместитель генерального директора по комплаенсу и управлению рисками ЗАО «УК УРАЛСИБ» Комплаенс - это функция, основной целью которой является управление комплаенс-рисками и поддержание адекватной комплаенс-культуры в компании Комплаенс-риск - риск применения юридических санкций или санкций регулирующих органов, существенного финансового убытка или потери репутации в результате несоблюдения организацией законов, инструкций, правил, стандартов саморегулируемых организаций или кодексов поведения Нет четкого понимания места данной функции, зоны ее компетентности представлены размыто

Н. А. Козырева, член правления, начальник управления комплаенс-контроля и операционных рисков, GEMoney Bank Комплаенс-функция заключается в обеспечении соответствия процессов внешним и внутренним требованиям кредитной организации посредством комплексной оценки рисков и контролей Сделан акцент на оценку рисков

Д. В. Малыхин, дипломированный внутренний аудитор, банковский консультант проекта «Корпоративное управление в банковском секторе России», осуществляемого Международной финансовой корпорацией (IFC, член группы Мирового Банка) Термин комплаенс означает способность действовать в соответствии с инструкциями, правилами и специальными требованиями. В отрасли финансовых услуг комплаенс выполняется на двух уровнях: уровень 1 - соответствие внешним правилам, которые обязана выполнять организация в целом; уровень 2 - соответствие требованиям системы внутреннего контроля, которые устанавливаются с целью обеспечения выполнения внешних требований. Функция: комплаенс-контролер работает с менеджментом и сотрудниками организации с целью выявления и управления правовым риском Комплаенс определен как полномочие Отмечены внешний и внутренний аспекты Связи с подразделениями не описаны Фигурирует только правовой риск

Д. Н. Козлов, начальник управления операционных рисков и контроля, департамент рисков, ОАО Банк ЗЕНИТ, Ю. Н. Юденков, факультет политологии МГУ им. М. В. Ломоносова «Регуляторный риск - новое понятие в надзорной практике... Для более точного понимания сущности регуляторного риска необходимо обратиться к понятию комплаенс-контроль» «Введение понятия регуляторного риска преследовало цель оценить соответствие текущей деятельности банка и его регламентов принятым законам и нормативным актам» Регуляторный риск заявлен как новый объект внутреннего контроля Отмечено несовпадение содержания понятий «комплаенс-риск» и «регуляторный риск»

Обзор определений комплаенса позволяет заключить, что его содержание как процесса внутреннего контроля непрерывно менялось: разные авторы давали определения, отражающие какой-то один, «удобный» аспект. Так, только в представленных мнениях определение компла-енса осуществляется через понятия: управление, способность, функция, подход, что не добавляет ясности в его содержании.

Более того, необходимо отметить, что в различные периоды времени в научных и деловых кругах обсуждались отдельные актуальные аспекты, такие как:

Противодействие терроризму и нелегальным доходам;

Противодействие коррупции;

Репутационные риски;

Оптимизация взаимоотношений с надзорными органами и службами (ОЯ);

Потребность регулирования этических проблем и ряд др.

Все это лишает данное понятие системности. В общей канве контроля соответствия нормам законодательства, регламентам и внутренним стандартам компании с учетом актуализации различных предметных областей контроля содержание комплаенса выглядит весьма эклектичным.

Таким образом, несмотря на актуальность комплаенс-функции в российской экономической практике и, в частности, в банковской деятельности, до сих пор нет четкого понимания, что входит в данное понятие, и не даны научные определения понятий «комплаенс», «комплаенс-риск», «регуляторный риск».

Вместе с тем в российской экономической практике уже сложилось понимание того, какие потребности должен охватывать процесс внутреннего контроля. Наличие службы внутреннего контроля соблюдения соответствия обусловлено рядом причин:

Высокими требованиями рынка к надежности, безопасности банка;

Высокой степенью регулирования операций банка со стороны надзорных органов;

Необходимостью четкой формализации большинства функций и процедур в банке;

Сложностью организации взаимодействия систем корпоративного управления и менеджмента;

Необходимостью противодействия отмыванию доходов, полученных преступным путем (ПОД/ФТ);

Значимостью лояльности участников корпоративных отношений в деятельности банка .

В настоящем исследовании было сделано предположение о том, что в силу неопределенности содержания деятельности по комплаенс и несмотря на то обстоятельство, что официальная позиция Банка России уравняла понятия «комплаенс-риск» и «регуляторный риск», в выстраивании систем внутреннего корпоративного контроля целесообразно опираться на понятие «регуляторный риск».

Учеными и практиками ведутся активные разработки в области управления регуляторным риском. Так, например, Д. Козлов, начальник управления операционных рисков и контроля, и Ю. Юденков, главный редактор журнала «Внутренний контроль в кредитной организации», разработали функциональный цикл СВК, представляющий собой процесс перевода банка из текущего положения в положение «как должно быть» на основе управления регуляторным риском . Касательно регуляторного риска авторы исходят из определения Банка России, признавая его эквивалентость с комплаенс-ри-ском. В числе задач комплаенс-контроля они определяют:

Контроль юридических рисков, связанных с регулированием банковской деятельности;

Контроль репутационных рисков, связанных с недобросовестным соблюдением сотрудниками правил и норм деловой этики;

Контроль взаимодействия с органами надзора (вЯ);

Развитие сотрудничества и партнерства с другими банками в целях повышения конкурен-то способности .

ОАО МТС (в лице вице-президента по корпоративным и правовым вопросам Р. С. Ибрагимова) дало определение, согласно которому регуляторный риск представляет собой «предусмотренную законом или иным правовым актом прямую или косвенную (вызванную нечеткостью формулировок) возможность воздействия ограничительного характера со стороны

госорганов на бизнес-процессы компаний» . Автор делает акцент на внешнем аспекте происхождения риска, не связывая его возникновение с внутренними причинами.

Другая гипотеза настоящего исследования состояла в том, что все риски, сопровождающие банковскую деятельность, сводятся к регуля-торному. Отправным пунктом данного предположения послужило однозначное научное и практическое понимание регуляторного риска как риска несоблюдения законодательства, стандартов, регламентов, внутренних документов, правил и пр. Отсюда возникает вопрос: «Что не соблюдается в конечном итоге?», на который следует лежащий на поверхности ответ: « Норма».

Риски сопровождают любой вид деятельности человека, тем более экономическую деятельность, являясь обратной стороной инициатив. Часто различные виды рисков переплетены, взаимосвязаны (один влечет за собой другой), взаимовключены друг в друга, и отличить один их вид от другого практически невозможно. Вместе с тем потребность управления рисками стоит сегодня перед компаниями банковской отрасли довольно остро. Ее актуальность требует поиска новых подходов к управлению рисками.

На рисунке схематично представлена цепочка вложенных рисков для финансового риска и репутационного риска, приводящих к нарушению конкретной нормы.

Результаты

Исходя из представленного анализа и с учетом потребностей методического обеспечения процесса формирования систем внутреннего контроля, считаем возможным предложить следующее определение регуляторного риска: «Регуляторный риск - это риск несоблюдения внешних и/или внутренних норм, касающихся любых аспектов деятельности банка (корпорации)».

Таким образом, понимание основ формирования систем внутреннего контроля в банке, как, впрочем, и в любой другой корпорации, сводится к вопросу достаточности и адекватности нормативной базы ее деятельности.

Выстраивание концепции внутреннего контроля в системе внутреннего контроля банков Российской Федерации требует теоретической определенности и ставит ряд научных проблем:

1. Выявление соотношения понятий «ком-плаенс-риск» и «регуляторный риск».

2. Дальнейшее исследование понятия «регуляторный риск» как базового для концепции внутреннего контроля в банковской сфере РФ.

Изв. Сарат. ун-та. Нов. сер. Сер. Экономика. Управление. Право. 2014. Т. 14, вып. 4

Цепочка вложенных рисков

3. Обоснование тезиса о том, что в основе любого риска в деятельности банка лежит регу-ляторный риск.

4. Развитие внутренней нормативной базы корпораций как основы для выстраивания системы внутреннего контроля.

Список литературы

1. О внесении изменений в Положение Банка России от 16 декабря 2003 года № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах»: указание Банка России от 24.04.2014 № 3241-У. URL:http://www.cbr.ru/publ/ уе81шк/уе81шк/уе8140709063.р11£ (дата обращения: 07.11.2014) .

2. Поздышев В. А. Основные изменения в банковском регулировании. URL:http://www.cbr.ru/publ/ MoneyAndCredit/pozdishev_05_14.pdf (дата обращения: 19.05.2014).

3. Козлов Д. Н., Юденков Ю. Н. Контроль регуляторных рисков. URL: http://futurebanking.ru/reglamentbank/ article/2092 (дата обращения: 19.05.2014).

4. Бортников Г. П. Комплайенс риск (риск несоблюдения) : международные стандарты и их применимость для банков в странах СНГ. URL:http://www. iia-ru.ru/inner_auditor/publication/foreign_mass_me-dia_ articles/ bortnikov/ (дата обращения: 19.05. 2014).

5. Ибрагимов Р. С. Об управлении регуляторными рисками. URL: http://www.kluwerevents.ru/file/080930/ Ibragimov.pdf (дата обращения: 05.09.2013).

Т. В. Орлова. Особенности формирования механизма оценки инновационного потенциала

Theoretical Bases of Regulatory Risks Management in the Internal Control System of Banks R. A. Kirillov

State University of Management, 99, Ryazanskiy ave., Moscow, 109542, Russia; The Central Bank of the Russian Federation, 12, Neglinnaya str., Moscow, 107016, Russia E-mail: [email protected]

Introduction. The internal control system of large banks should be represented by two agencies: the Internal Audit Service, which will check the whole bank, all units of the credit institution for the manner in which they carry out established internal procedures of credit organization; and internal control service, which should identify the risks of losses due to violations of the laws or internal documents, evaluate regulatory risks, identify cases of conflict of interest, as well as to identify and analyze the operations that «are intricate and unusual nature», i.e., in fact, will serve as the international practice relating to the area of compliance. The emphasis of ICS"s work is transferred to the compliance risk management. Theoretical analysis. The comparative content"s analysis of the concepts of compliance risk and regulatory risk revealed that the concept of regulatory risk in the Russian economic practice is wider, systematic organized, relying on the regulatory framework of the Bank and may be taken as a base in technique of formation building of internal control service in bank. Results. Suggested the author"s definition of regulatory risk. Consideration of bank"s risks in their relationship with the violation of specific external and internal rules, regulations, standards and so on., allowed firstly, prove that the regulatory risk is the base for all other banking risks; secondly, to detect inadequate regulatory frameworks of Russian banks and justify the need for their development; secondly, to detect the imperfection of regulatory frameworks of Russian banks and justify the need for their development.

Key words: system of internal controls, compliance risk, regulatory risk, internal control service.

1. O vnesenii izmenenij v Polozhenie Banka Rossii ot 16 dekabrja 2003 goda № 242-P «Ob organizacii vnu-trennego kontrolja v kreditnyh organizacijah i bankovskih gruppah»: ukazanie Banka Rossii ot 24.04.2014 № 3241-U (On Amendments to the Bank of Russia Regulation of 16 December 2003 № 242-P «On organization of internal control in credit institutions and banking groups». Bank of Russia Directive, 2014, April 24. № 3241-U). Available at: http://www.cbr.ru/publ/vestnik/ vestnik/ves140709063.pdf (accessed 7 November 2014).

2. Pozdyshev V. A. Osnovnye izmenenija v bankovskom regulirovanii (Major changes in banking regulations). Available at: http://www.cbr.ru/publ/MoneyAndCredit/ pozdishev_05_14.pdf (accessed 19 May 2014).

3. Kozlov D. N., Yudenkov Yu. N. Kontrol" i upravlenie reguljatornym riskom v banke (Control and management of regulatory risk in the bank). Available at: http:// futurebanking.ru/reglamentbank/article/2092 (accessed 19 May 2014).

4. Bortnikov G. P. Komplajens risk (risk nesobljudenija): mezhdunarodnye standarty i ih primenimost "dlja bankov v stranah SNG (Compliance risk (the risk of non-compliance): international standards and their applicability to banks in the CIS countries). Available at: http://www. iia-ru.ru/inner_auditor/publication/foreign_mass_me-dia_articles/bortnikov/ (accessed 19 May 2014).

5. Ibragimov R. S. Ob upravlenii reguljatornymi riskami (On the management of regulatory risk). Available at: http://www.kluwerevents.ru/file/080930/ Ibragimov.pdf (accessed 5 September 2013).