Базельский комитет по банковскому надзору (далее – БКБН) выпустил этот документ о комплайенс-риске и функции комлайенс в банках в связи с продолжающейся работой по содействию деятельности банковских регуляторов и с целью распространения передового опыта среди банковских организаций. Банковские надзорные органы должны добиваться, чтобы банки придерживались эффективных процедур комплайенса, а менеджмент предпринимал соответствующие корректирующие меры в случае обнаружения нарушений.
Комплайенс начинается с высшего уровня. Комплайенс будет наиболее эффективным при такой корпоративной культуре, в которой серьезное внимание уделяется честности и законопослушности, а Совет директоров и высшее руководство показывают пример другим сотрудникам. Это касается каждого сотрудника в банке и должно рассматриваться как неотъемлемая часть банковской деятельности. Банк должен поддерживать высокие стандарты и в любое время стараться понять как сущность, так и формальный смысл закона. Непонимание степени влияния на акционеров, клиентов, сотрудников и рынки может привести к неблагоприятному имиджу банка и ущербу в случае потери репутации, даже если закон не был нарушен.
Термин «комплайенс-риск» в данном документе определяется как риск применения юридических санкций, претензий надзорных органов, существенных финансовых потерь или потери репутации, которым может быть подвержен банк в случае несоблюдения законов, постановлений, правил, стандартов саморегулируемых организаций и кодексов поведения, применимых к банковской деятельности (в целом, «соответствие законам, правилам и стандартам»).
Соответствие законам, правилам и стандартам, как правило, включает в себя соблюдение надлежащих стандартов по поведению на рынке, урегулированию конфликтов интересов, честное обслуживание клиентов, обеспечение высокого качества консультирования клиентов. Эти направления обычно включают такие специфические области, как противодействие легализации (отмыванию) доходов, и финансированию терроризма, и могут распространяться на налоговое законодательство, относящееся к структурированию банковских продуктов или консультированию клиентов. Банк, который сознательно принимает участие в операциях клиентов, преследующих цель уклонения от требований финансовой отчетности, от налогов или с целью осуществления нелегального действия, подвергает себя значительному комплайенс-риску.
Соответствие законам, правилам и стандартам имеет различные источники, включая основные законы, правила и стандарты, изданные законодателями и надзорными органами; рыночные конвенции, правила, учрежденные отраслевыми ассоциациями; и внутренние правила для сотрудников банка. Это источники, вероятно, включают в себя более широкий перечень, чем юридически предусмотрено, и, по указанным причинам, включают в себя стандарты законопослушности и этичности.
Комплайенс должен быть частью корпоративной культуры организации; это не только обязанность специалистов по комплайенсу. Тем не менее, банк будет более эффективно управлять комплайенс-риском, если будет организована функция комплайенс, соответствующая принципам, описанным ниже. Термин «функция комлайенс» используется в данном документе для обозначения сотрудников, выполняющих обязанности комплайенс контроля; это выражение не означает, что у банка должно быть конкретное подразделение в организационной структуре.
Существуют значительные различия между банками в отношении организации функции комплайенс. В крупных банках комплайенс-сотрудники могут быть рассредоточены по операционным бизнес единицам, а международные банки могут также иметь комплайенс-специалистов в целом для группы и местных комплайенс-специалистов. В мелких банках функции комплайенс могут быть сосредоточены в одном подразделении. В некоторых банках образованы отдельные подразделения для специальных областей, таких как защита информации и противодействие легализации (отмыванию) доходов, и финансированию терроризма.
Банк должен организовать функцию комплайенс и расставить приоритеты для менеджмента в отношении комплайенс-риска таким образом, чтобы это соответствовало банковской стратегии по управлению рисками и организационной структуре. Например, некоторые банки могут организовать Службу комплайенс внутри Службы по управлению операционным риском, т.к. наблюдается тесная взаимосвязь между комплайенс-риском и некоторыми аспектами операционного риска. Другие банки предпочитают иметь отдельные Службу комлайенс и Службу по управлению операционным риском, и при этом существуют механизмы тесного взаимодействия между двумя подразделениями по вопросам комплайенс.
Независимо от того, как организована функция комплайенс в банке, она должна быть независимой; достаточно обеспеченной; ее обязанности должны быть четко определены; а ее деятельность должна периодически и независимо проверяться внутренними аудиторами. Принципы с 5 по 8, представленные ниже, детально описывают эти тезисы, а в дополнительных документах описывается передовой опыт реализации принципов. Эти принципы должны соблюдаться всеми банками, хотя каждый банк сам определяет, как их нужно применять наилучшим образом. Банк может следовать другой практике, отличной от описанной в данном документе, если эта практика надежна и демонстрирует эффективность функции комплайенс. Методы применения принципов зависят от таких факторов, как размер банка, природа, сложность и географический охват бизнеса, а также законодательство и регулирование, в рамках которого работает банк. Мелкие банки, например, не могут в полной мере внедрить некоторые специфические средства, описанные в данном документе, но тот же результат может быть достигнут такими банками другими средствами.
Принципы, указанные в настоящем документе, предполагают структуру управления, состоящую из Совета директоров и высшего (исполнительного) руководства. Законодательные и регулятивные рамки различаются в зависимости от стран и типов организаций в отношении функций Совета директоров и высшего руководства. Следовательно, принципы, описанные в данном документе, должны применяться в соответствии с корпоративной структурой управления, принятой в той или иной стране и характерной для определенного типа организации.
Термин «банк» используется в настоящем документе в отношении банков, банковских групп, холдингов, чьи дочерние компании являются преимущественно банками.
Этот документ должен рассматриваться в связи с другими документами БКБН, включая следующие:
Framework for Internal Control Systems in Banking Organisations (September 1998);
Enhancing Corporate Governance for Banking Organisations (September 1999);
Internal Audit in Banks and the Supervisor’s Relationship with Auditors (August 2001);
Customer Due Diligence for Banks (October 2001);
Sound Practices for the Management and Supervision of Operational Risk (February 2003);
International Convergence of Capital Measurement and Capital Standards – A Revised Framework – June 2004;
Consolidated KYC Risk Management (October 2004). 13. В этом документе сначала описываются специфические обязанности Совета директоров банка и высшего руководства по комплайенсу, и далее определяются принципы, которых должна придерживаться функция комплайенс.
Обязанности Совета директоров по вопросам комплайенс
Принцип 1
Совет директоров банка ответственен за осуществление надзора за управлением комплайенс-риском. Совет директоров должен утвердить Политику комплайенс, включая официальный документ, учреждающий постоянную и эффективную функцию комплайенс. Как минимум 1 раз в год Совет директоров или Комитет Совета директоров оценивает степень эффективности управления комплайенс-риском.
14. Как указано во Введении, Политика управления комплайенс-риском не будет эффективной до тех пор, пока Совет директоров не станет продвигать ценности честности и законопослушности во всей организации. С этой целью соответствие законам, правилам и стандартам должно быть рассматриваться как существенный фактор. Как и в отношении других видов рисков, Совет директоров ответственен за реализацию подходящей политики управления комплайенс-риском. Совет директоров осуществляет надзор за внедрением политики, включая обеспечение того, что вопросы комплайенс разрешаются эффективно и быстро высшим руководством при помощи функции комплайенс. Совет директоров, конечно, может делегировать эти задачи соответствующему комитету (например, аудиторскому комитету).
Обязанности высшего руководства по вопросам комплайенс
Принцип 2
Высшее руководство несет ответственность за эффективное управление комплайенс-риском в банке.
15. Следующие два принципа четко формулируют наиболее важные элементы этого общего принципа.
Принцип 3
Высшее руководство несет ответственность за создание и распространение Политики комплайенс, за обеспечение ее соблюдения, за подготовку отчетности Совету директоров по вопросам управления комплайенс-риском.
Высшее руководство несет ответственность за разработку письменной Политики комплайенс, которая содержит основные принципы для соблюдения менеджментом и сотрудниками и описывает основные процессы, с помощью которых будет проводиться идентификация и управление комплайенс-риском на всех уровнях организации. Четкость и прозрачность могут быть достигнуты посредством определения различий между общими стандартами для всех сотрудников и правилами, которые относятся к определенным группам сотрудников.
Обязанность высшего руководства - гарантировать, что соблюдение Политики комплайенс влечет за собой ответственность за то, что в случае обнаружения нарушений будут предприняты необходимые корректирующие или дисциплинарные меры.
Высшее руководство должно при помощи функции комплайенс:
хотя бы 1 раз в год определять и оценивать существенные аспекты комплайенс-риска банка и планов по управлению в этой области. Такие планы должны касаться любых недочетов (в политике, процедурах, внедрении или исполнении), связанных с эффективностью управления комплайенс-риском, а также с необходимостью дополнительных правил, процедур для работы с новыми комплайенс-рисками, выявленными в ходе ежегодной оценки рисков;
хотя бы 1 раз в год предоставлять отчет Совету директоров или Комитету Совета директоров по вопросам управления комплайенс-риском для того, чтобы помочь членам Совета директоров вынести обоснованное заключение об эффективности управления комплайенс-риском; и
незамедлительно предоставлять отчет Совету директоров или Комитету Совета директоров по вопросам управления комплайенс-риском в случае существенных нарушений по вопросам комплайенс (например, нарушения, которые могут повлечь значительный риск юридических или регулятивных санкций, финансовых потерь или риск потери репутации).
Принцип 4
Высшее руководство банка несет ответственность за создание постоянной и эффективной функции комплайенс внутри банка как части реализации Политики комплайенс.
Высшее руководство должно предпринимать необходимые меры для обеспечения надежности постоянной и эффективной функции комплайенс, которая придерживается следующих принципов.
Принципы функции комплайенс
Принцип 5: Независимость
Служба комплайенс в банке должна быть независимой
20. Концепция независимости включает 4 взаимосвязанных элемента.
Во-первых, Служба комплайенс должна иметь официальный статус в банке.
Во-вторых, должен быть предусмотрен комплайенс-специалист, отвечающий за группу или руководитель Службы комплайенс с общей ответственностью за координацию процесса управления комплайенс-риском банка.
В-третьих, сотрудники функции комплайенс и, в частности, руководитель функции комплайенс, не должны попадать в ситуацию конфликта интересов между функциями комплайенс и другими функциями, которые они могут выполнять.
В-четвертых, сотрудники функции комплайенс должны иметь доступ к информации, а также собственный бюджет для реализации их функций.
Концепция независимости не означает, что реализация функции комплайенс не может быть тесно связана с менеджментом и сотрудниками из других бизнес подразделений. В действительности, взаимодействие с другими подразделениями должно помогать идентифицировать и управлять комплайенс-риском на ранней стадии. Более того, элементы, описанные ниже, должны рассматриваться как защитные меры для обеспечения эффективности функции комплайенс, несмотря на тесное сотрудничество с бизнес подразделениями. Способы внедрения этих защитных мер зависят от специфических обязанностей отдельных сотрудников функции комплайенс.
Статус
Комплайенс функция должна иметь официальный статус в банке для определения ее роли, полномочий и независимости. Это может быть предусмотрено в Политике комплайенса или в любом другом официальном документе. Документ должен быть распространен среди всех сотрудников банка.
В документе должны быть отражены следующие моменты, касающиеся функции комплайенс:
ее роль и обязанности;
способы обеспечения ее независимости;
ее взаимоотношения с другими Службами по управлению рисками в банке и со Службой внутреннего аудита;
в случаях распределения функций комплайенс по различным подразделениям банка – как эти функции будут распределены по подразделениям;
право получать информацию, необходимую для реализации своих функций; и обязанность сотрудников банка сотрудничать по вопросам предоставления этой информации;
право проводить расследования потенциальных нарушений Политики комплайенс и при необходимости привлекать внешних экспертов для выполнения этой задачи;
право свободно выражать и раскрывать полученные сведения высшему руководству, и если необходимо Совету директоров или Комитету Совета директоров;
обязанность предоставлять официальную отчетность высшему руководству;
право прямого доступа к Совету директоров или Комитету Совета директоров.
Руководитель функции комплайенс
Каждый банк должен иметь руководящего сотрудника высшего звена с общей ответственностью за координацию процесса идентификации и управления комплайенс-риском и за обеспечение контроля за деятельностью других сотрудников функции комплайенс. В данном документе используется термин «Руководитель функции комплайенс» для описания данной позиции.
Подотчетность и другие функциональные взаимоотношения между сотрудниками функции комплайенс и руководителем функции комплайенс зависят от организации данной функции. Сотрудники функции комплайенс, находящиеся в бизнес подразделениях или в местных отделениях могут быть подотчетны руководству бизнес подразделения или руководству местного отделения. Одновременно не запрещается, чтобы такие сотрудники напрямую отчитывались руководителю функции комплайенс в отношении выполнения обязанностей по комплайенс контролю. В случаях, когда сотрудники функции комплайенс находятся в независимых вспомогательных подразделениях (например, в юридической службе, подразделении по финансовому контролю, службе управления рисками), отдельная подотчетность руководителю функции комплайенс необязательна. Однако такие подразделения должны тесно сотрудничать с руководителем функции комплайенс для эффективной реализации его функций.
Руководитель Службы комплайенс может входить или не входить в высшее руководство. Если он является одним из высших руководителей, то он не должен иметь обязанностей по управлению бизнес подразделениями. Если он не является представителем высшего руководства, тогда он должен быть подотчетен представителю высшего руководства, который не имеет прямых обязанностей данного подразделения.
Надзорные органы и Совет директоров должны быть информированы о назначении на должность руководителя функции комплайенс или его уходе (в случае ухода – и о причинах ухода). Аналогично, для международных банков с местными комплайенс-специалистами, надзорный орган принимающей страны также должен быть информирован о назначении и увольнении руководителя функции комплайенс.
Конфликт интересов
Независимость руководителя функции комплайенс и любого другого сотрудника, реализующего функции комплайенс, может быть подорвана в случае конфликта интересов между функциями комплайенс и другими функциями сотрудника. БКБН считает, что специалисты комплайенса могут выполнять только функции комплайенс контроля. Но БКБН, однако, понимает, что это может быть неприемлемо для мелких банков, мелких бизнес подразделений или в местных отделениях. В этих случаях сотрудники Службы комплайенс могут реализовывать и прочие функции, избегая появления ситуации с конфликтом интересов.
Независимость сотрудников Службы комплайенс может быть подорвана, если их вознаграждение зависит от финансового результатов подразделения, в рамках которого они реализовывают функции комплайенс. Однако вознаграждение, зависящее от финансовых результатов банка, обычно допустимо.
Доступ к информации и сотрудникам
Функция комплайенс должна иметь право по собственной инициативе взаимодействовать с любым сотрудником и получать доступ и любым записям или файлам, необходимым для выполнения свих обязанностей.
Функция комплайенс должна иметь возможности выполнять свои обязанности по собственной инициативе во всех подразделениях банка, где существует комплайенс-риск. Она должна иметь право проводить расследования потенциальных нарушений Политики комплайенс и запрашивать помощь специалистов внутри банка (например, юристов или внутренних аудиторов) или при необходимости нанимать внешних специалистов.
Функция комплайенс должна иметь возможность свободно предоставлять отчетность высшему руководству по любым нарушениям или потенциальным нарушениям, обнаруженным в ходе расследований, без страха расплаты или осуждения со стороны руководства или других сотрудников. Хотя в обычных ситуациях функция комплайенс отчитывается высшему руководству, необходимо иметь право прямого доступа к Совету директоров или Комитету Совета директоров при необходимости. Более того, могут быть полезными встречи Совета директоров или Комитета Совета директоров с руководителем функции комплайенс хотя бы раз в год, так как это поможет Совету директоров или Комитету Совета директоров понять, насколько эффективно банк управляет комплайенс-риском.
Принцип 6: Ресурсы
Функция комплайенс должна быть обеспечена ресурсами, необходимыми для эффективной реализации ее функций.
Ресурсы, предоставленные функции комплайенс, должны быть достаточными и подходящими для эффективного управления комплайенс-риском. В частности, сотрудники функции комплайенс должны иметь необходимую квалификацию, опыт, профессиональные и личные качества для надлежащего исполнения своих обязанностей. Сотрудники функции комплайенс должны хорошо разбираться в соблюдении законов, правил и стандартов и их влиянии на банковские операции. Уровень профессиональных навыков сотрудников функции комплайенс, особенно в отношении отслеживания обновлений в законодательстве, должен поддерживаться посредством систематического обучения и тренировками.
Принцип 7: Обязанности функции комплайенс
Обязанностью функции комплайенс банка является оказание содействию высшему руководству в эффективном управлении комплайенс-риском, с которым сталкивается банк. Свойственные функции специфические обязанности описаны ниже. Если некоторые из обязанностей реализуются в различных подразделениях, то распределение таких обязанностей должно быть четким.
Не все обязанности по соблюдению требований «комплайенс» должны выполняться подразделением комплайенс. Обязанности функции комплайенс могут быть распределены между различными службами. В одних банках, например, Юридическая служба и Служба комплайенс могут быть разными департаментами. Юридическая служба может быть ответственна за содействие руководству по вопросам соблюдения законов, правил и стандартов и за подготовку рекомендаций для персонала, в то время как Служба комплайенс может быть ответственна за мониторинг соответствия правилам и процедурам, а также за предоставление отчетности руководству. В других банках, частично функция комплайенс может быть реализована через Службу по управлению операционным риском или через Службу по управлению рисками в целом. Если обязанности распределены по подразделениям, то такое распределения должно быть четким. К тому же должны функционировать механизмы координации между подразделениями и с руководителем функции комплайенс (например, что касается предоставления и обмена рекомендациями и информацией). Эти механизмы должны обеспечить эффективное исполнение руководителем функции комплайенс своих обязанностей.
Консультирование
Функция комплайенс должна консультировать высшее руководство по вопросам соответствия законам, правилам и стандартам, включая информирование об изменениях в этой области.
Инструктивный материал и обучение
Функция комплайенс должна помогать высшему руководству в:
обучении персонала по вопросам комплайенс; и выполнении функции «справочного бюро» в банке по сбору вопросов от сотрудников по вопросам комплайенс;
создании письменных инструктивных материалов для сотрудников с целью корректного выполнения законов, правил и стандартов через написание правил, процедур или других документов, например, Справочника комплайенс, Внутреннего кодекса поведения и Практического руководства.
Определение, измерение и оценка комплайенс-риска
Функция комплайенс должна, на упреждающей основе, определять, документировать и оценивать комплайенс-риск, связанный с банковской деятельностью, включая разработку новых продуктов и бизнес процедур, предполагаемое создание нового типа бизнеса или типа отношений с клиентом или значительное изменение в таких отношениях. Если в банке функционирует Комитет по новым продуктам, то функция комплайенс должна быть представлена на таком Комитете.
Функция комплайенс должна также рассматривать способы измерения комплайенс-риска (например, используя показатели результативности) и использовать эти способы измерения для улучшения оценки комплайенс-риска. Для разработки показателей результативности может использоваться технология сбора и обработки данных, которые могут быть показательными в выявлении потенциальных комплайенс-проблем (например, увеличивающееся число жалоб клиентов, непостоянные торговые или платежные операции и др.).
Функция комплайенс должна оценивать адекватность процедур и инструктивных материалов по комплайенс-риску, незамедлительно реагировать на любые выявленные недостатки и, если необходимо, формулировать предложения по исправлению.
Мониторинг, тестирование и отчетность
Функция комплайенс должна осуществлять мониторинг соответствия требованиям законов, правил и стандартов через адекватное и репрезентативное тестирование. Результаты тестирования должны быть отражены в отчетности в соответствии с внутрибанковскими процедурами по управлению рисками.
Руководитель функции комплайенс должен предоставлять отчетность по вопросам комплайенс на регулярной основе высшему руководству. Отчет должен описывать результаты оценки комплайенс-риска в ходе рассматриваемого периода (включая любые изменения в проявлении комплайенс-риска, основанные на соответствующих способах измерения, таких как показатели результативности); обобщать любые выявленные нарушения и/или недостатки и рекомендуемые корректирующие меры; а также описывать уже предпринятые корректирующие меры. Формат отчета должен быть соразмерен степени проявления комплайенс-риска в деятельности банка.
Государственные обязанности и взаимодействие
Функция комплайенс может иметь специфические обязанности, установленные государством (например, выполнение обязанностей по противодействию отмыванию денег, полученных преступным путем). Она также может взаимодействовать с соответствующими внешними организациями, включая надзорные органы, органы установления стандартов и внешних экспертов.
Комплайенс-программа
Обязанности функции комплайенс должны реализовываться в рамках Комплайенс-программы, которая определяет планируемые сферы деятельности, такие как внедрение и пересмотр определенных правил и процедур, оценку комплайенс-риска, тестирование на соблюдение комплайенс требований, обучение сотрудников по вопросам комплайенс. Комплайенс-программа должна быть основана на оценке риска и должна быть предметом контроля со стороны руководителя функции комплайенс для обеспечения широкого охвата бизнеса и координации различных подразделений, реализующих функции по управлению рисками.
Принцип 8: Взаимоотношения с внутренним аудитом
Масштаб и размах деятельности функции комплайенс должны периодически проверяться Службой внутреннего аудита.
Комплайенс-риск должен быть включен в методологию по оценке рисков Службы внутреннего аудита, а аудиторская программа должна включать вопросы адекватности и эффективности функционирования функции комплайенс, включая тестирование, соразмерное уровню риска.
Этот принцип предполагает, что функция комплайенс и Служба внутреннего аудита должны быть отделены друг от друга, и что деятельность Службы комплайенс будет проверяться беспристрастно. Поэтому важно четко понимать и зафиксировать на бумаге, как распределены функции по оценке риска и тестированию деятельности между этими двумя Службами (например, в Политике комплайенса или в связанных документах, например в протоколе). Служба внутреннего аудита должна информировать руководителя функции комплайенс о любых выявленных фактах, связанных с реализацией функции комплайенс.
Другие вопросы
Принцип 9: Международные аспекты
Банки должны соблюдать применимое право той страны, в чьей юрисдикции осуществляют свою деятельность; организация, структура и обязанности функции комплайенс должны соответствовать местным юридическим и надзорным требованиям.
Банки могут осуществлять свою деятельность через местные дочерние компании и филиалы или в виде других структур на той территории, где у этих банков нет физического присутствия. Юридические и надзорные требования могут отличаться от юрисдикции к юрисдикции, а также в зависимости от формы присутствия банка в конкретной юрисдикции.
Банк, решивший вести бизнес в конкретной юрисдикции, должен соответствовать местным юридическим и надзорным требованиям. Например, банк, избравший форму дочерней компании, должен удовлетворять требованиям данной юрисдикции. Некоторые виды юрисдикции выдвигают определенные требования для филиалов иностранных банков. Задача местных структур банка - следить, чтобы соответствие требованиям местного законодательство отслеживалось сотрудниками с соответствующими навыками и опытом под присмотром руководителя функции комплайенс при взаимодействии с другими подразделениями банка, реализующими функции управления рисками.
БКБН признает право банка выбирать юрисдикцию по ряду законных причин. Однако у банка должны быть разработаны процедуры определения и оценки риска потери репутации в случае, если он в конкретной юрисдикции занимается деятельностью, запрещенной в своей стране.
Принцип 10: Аутсорсинг
Функция комплайенс должна рассматриваться как ключевой элемент управления рисками внутри банка. Некоторые задачи функции комплайенс могут решаться внешними специалистами, но они по-прежнему должны реализовываться под контролем руководителя Службы комплайенс.
Объединенный форум (БКБН, the International Organization of Securities Commissions, and the International Association of Insurance Supervisors) недавно разработал общие принципы привлечения аутсорсинга финансовыми организациями, которыми банкам следует руководствоваться («Аутсорсинг финансовых услуг», Февраль 2005).
Банки должны обеспечивать, чтобы соглашения по аутсорсингу не препятствовали эффективному надзору со стороны надзорных органов. Независимо от масштабов, в которых отдельные задачи функции комплайенс выполняются по аутсорсингу, Совет директоров и высшее руководство остаются ответственными за соответствие банка всем применимым законам, правилам и стандартам.