По мнению автора, необходимость в адекватном отражении принципов организации и процедур осуществления комплаенс-функции в нормативной базе банковского регулирования и профессиональных стандартах банковского сообщества действительно назрела, а реализация предлагаемых мер вполне возможна и в конечном итоге должна повысить эффективность банковского бизнеса.

В настоящее время Банк России продолжает позитивную практику распространения рекомендаций, базирующихся на документах, разработанных Базельским комитетом по банковскому надзору.

Вслед за Положением ЦБ РФ от 16.12.2003 N 242-П "Об организации внутреннего контроля в кредитных организациях и банковских группах" (далее - Положение N 242-П), во многом основанном на рекомендациях Базельского комитета по банковскому надзору (БКБН) "Система внутреннего контроля в банках: основы организации" (сентябрь 1998 г., БКБН 40) и "Внутренний аудит в банках и взаимоотношения надзорных органов и аудиторов" (август 2001 г., БКБН 84) <1>, Банком России был выпущен ряд документов, рассматривающих различные аспекты управления нефинансовыми рисками (в частности, операционным, правовым, репутационным рисками). Для банковского сообщества эти документы создают единый стандарт, на который можно ориентироваться при совершенствовании внутрибанковской системы контроля.

--------------------------------

<1> Названия документов цитируются по Письмам ЦБ РФ от 10.07.2001 N 87-Т и от 13.05.2002 N 59-Т "О рекомендациях Базельского комитета по банковскому надзору".

В то же время один из ключевых элементов, связанных с построением системы внутреннего контроля, остается в отечественном банковском регулировании в прежнем, не вполне четко регламентированном состоянии: имеются ссылки на его отдельные аспекты; в ряде случаев отдельные компоненты его встроены в функциональное "меню" иных сегментов системы внутреннего контроля. Речь идет о функции комплаенс-контроля как обособленном подразделении (или нескольких подразделениях), осуществляющем контроль за управлением правовыми и репутационными рисками.

Прежде всего необходимо дать некоторые комментарии касательно самого термина "комплаенс".

В целом, как известно, это калька с англ. compliance - соответствие каким-либо требованиям или нормам, внешним и внутренним. Хотя в российском законодательстве в настоящее время явно отсутствует этот краткий термин, в профессиональной среде понятие "комплаенс" давно устоялось (прежде всего на фондовом рынке <1>, но также и в банках <2>) и даже использовалось Банком России в узком смысле в течение короткого периода времени (Указание ЦБ РФ от 07.07.1999 N 603-У "О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях", утратило силу 14.02.2004).

--------------------------------

<1> Каплун С. Контролер на рынке ценных бумаг, корпоративное управление и внутренний контроль в банках // Рынок ценных бумаг. 2005. N 23.

<2> Куликова С.В. Актуальные вопросы комплаенс-контроля в банке / Доклад на семинаре Клуба банковских аналитиков "Проблемы анализа и управления рисками в деятельности кредитной организации".

В настоящей статье термин "комплаенс" (комплаенс-контроль) также используется для краткого выражения одной из функций органов управления банка по обеспечению "соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации; исключения вовлечения кредитной организации и участия ее служащих в осуществлении противоправной деятельности, в том числе легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, а также своевременного представления в соответствии с законодательством Российской Федерации сведений в органы государственной власти и Банк России" <3>.

--------------------------------

<3> См. пп. 1.2.3 и 1.2.4 Положения N 242-П.

Для российских банков практические вопросы организации комплаенс-контроля подробно регулируются, в основном, двумя документами Банка России: Положением N 242-П и Письмом от 30.06.2005 N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах" (далее - Письмо N 92-Т), а для некоторых банков также Положением от 21.03.2006 N 06-29/пз-н "О внутреннем контроле профессионального участника рынка ценных бумаг", утвержденным Приказом Федеральной службы по финансовым рынкам (далее - Положение N 06-29/пз-н).

Примечание. Что означает термин "комплаенс"

Термин "комплаенс" означает способность действовать в соответствии с инструкциями, правилами и специальными требованиями.

В отрасли финансовых услуг комплаенс выполняется на двух уровнях.

Уровень 1 - соответствие внешним правилам, которые обязана выполнять организация в целом.

Уровень 2 - соответствие требованиям системы внутреннего контроля, которые устанавливаются с целью обеспечения выполнения внешних требований.

Какие функции, задачи и обязанности выполняет комплаенс-контролер?

Функция: комплаенс-контролер работает с менеджментом и сотрудниками организации с целью выявления и управления правовым риском.

Задача: главной задачей комплаенс-контролера является обеспечение создания в организации системы внутреннего контроля, которая адекватно измеряет и управляет рисками, с которыми сталкивается организация.

Обязанность: главной обязанностью комплаенс-контролера является осуществление внутри организации эффективной поддержки деятельности бизнес-функций для соблюдения соответствующих законов, требований внешних и внутренних нормативных документов.

Международная комплаенс-ассоциация.

Методической основой для Положения N 242-П и Письма N 92-Т явились БКБН 40, согласующиеся с Международными профессиональными стандартами внутреннего аудита <1>, и рекомендации "Функция комплаенс в банках", выпущенные в октябре 2003 г. (БКБН 103). В БКБН 103 (перевод на русский язык приведен в статье нашего коллеги из Украины Г.П. Бортникова <2>) функция комплаенс определяется как "независимая функция, которая выявляет, оценивает, дает соответствующие советы, отслеживает и готовит отчеты в отношении риска комплаенс, определяемый как риск юридических или регулятивных санкций, финансовых убытков, урона репутации, которые могут быть обращены на банк в результате несоблюдения им законодательства, регулирования, кодекса поведения и стандартов хорошей практики".

--------------------------------

<1> В редакции, вступившей в силу с 2004 г. Перевод на русский язык выполнен Институтом внутренних аудиторов (http://www.iia-ru.ru).

<2> Бортников Г.П. Комплаенс-риск (риск несоблюдения): международные стандарты и их применимость для банков в странах СНГ (http://www.iia-ru.ru/public/zarsmi/bortnikov).

Существует и более общее определение, данное Международной комплаенс-ассоциацией не только для банковских организаций, предусматривающее в качестве главной задачи комплаенс-контролера (в оригинале - комплаенс-служащего) обеспечение создания в организации системы внутреннего контроля, которая адекватно измеряет риски, с которыми сталкивается организация, и управляет ими.

Положением N 242-П в перечне подразделений и сотрудников, осуществляющих внутренний контроль (кроме органов управления, руководителей банка), определены несколько участников данного процесса, выполняющих частично функции комплаенс-контролера. В Приложении 1 к настоящей статье приведено краткое описание основных функций указанных сотрудников с комментариями о том, как их обязанности сочетаются с принятой международной практикой.

Ряд комплаенс-задач в российских нормативных актах сформулирован аналогично тому, как рекомендовано БКБН 103, например принципы "Знай своего клиента", "Знай своего сотрудника", подходы к управлению репутационным риском, комплекс функций по противодействию отмыванию доходов, полученных преступным путем (ПОД/ФТ), контроль за соблюдением законодательства о рынке ценных бумаг.

Однако Положение N 242-П и Письмо N 92-Т, а также Положение N 06-29/пз-н содержат некоторые позиции, которые могут стать причиной конфликта интересов и ограничением возможностей развития деятельности комплаенс-служб. Как можно видеть из сравнительной таблицы (Приложение 1), в рамках действующей нормативной базы банковского регулирования РФ комплаенс-функция представлена не в том виде, как она описана в БКБН 103. В частности, в документах БКБН все более четко прослеживаются отличия комплаенс-функций от функций внутреннего аудита, смешанных в документах Банка России.

Особенно наглядно отсутствие целостного и четко структурированного подхода к указанной сфере контроля и управления рисками в нормативных документах в российских банках по сравнению с рекомендациями международных органов проявляется на фоне нового документа БКБН "Комплаенс и комплаенс-функция в банках" <1> (БКБН 113, неофициальный перевод данного документа представлен в Приложении 2 к данной статье), пришедшего на замену БКБН 103. Подробное изложение отличий между первой и итоговой версиями документа БКБН приведено в Приложении 3. Полагаем, что по результатам обсуждения предварительной версии документа в БКБН была осуществлена необходимая конкретизация ряда ключевых аспектов функции комплаенс и принципов ее организации, более адекватным образом сгруппированы данные принципы. Усилено позиционирование комплаенс-контроля как риск-ориентированного процесса и одной из частей системы управления рисками (показательно, что слово "риск" в БКБН 103 упоминается 26 раз, а в БКБН 113 - 57 раз). Кроме того, независимость отдельной функции комплаенс в системе корпоративного управления в банке подчеркивается БКБН как один из наиболее важных факторов для обеспечения эффективного контроля за деятельностью организации со стороны собственников (см. проект документа БКБН "Совершенствование корпоративного управления в банках", п. 14 <2>). Таким образом, процесс работы над документом явился отражением движения от формального контроля в сторону построения системы управления рисками. В целом документ в новой версии стал более полным и детализированным.

--------------------------------

<1> Compliance and Compliance Function in Banks, April 2005.

<2> Enhancing Corporate Governance for Banking Organizations, July 2005.

Отдельного внимания заслуживает рассмотрение взаимодействия по линии "комплаенс - внутренний аудит" или, применительно к нашей правовой среде, "комплаенс - служба внутреннего контроля".

Примечание. Предлагаемое определение:

"Служба внутреннего аудита осуществляет деятельность по мониторингу, проверке и объективной оценке систем внутреннего контроля, оказанию консультаций, направленных на совершенствование деятельности кредитной организации".

Из Письма Института внутренних аудиторов от 25.05.2005 N ЦБ-6 "О внесении изменений и дополнений в Положение Банка России от 16.12.2003 N 242-П" (http://www.iia-ru.ru).

Фактически Положение N 242-П совершенно прямо и недвусмысленно:

- предоставляет службе внутреннего контроля достаточно широкий объем полномочий;

- обеспечивает формальные (скажем так, потому что вопросы фактической реализации - на совести конкретных (в том числе, бывает, и "чисто конкретных") владельцев и менеджеров банков) критерии независимости данного подразделения;

- содержит в перечне функций СВК по сравнению с "чистым" внутренним аудитом, описанным в БКБН 40 и БКБН 84, "дополнительную нагрузку" в виде пп. 4.4.8, 4.4.11 (см. Приложение 1).

Логично предположить, что таким образом службе внутреннего контроля вроде бы и все карты в руки, в том числе в вопросах осуществления значительной части функций комплаенса ("все равно же всех и все проверяют"). В то же время столь же очевидно, что невозможно одновременно и осуществлять независимую оценку качества внедрения методологии, и выстраивать и внедрять методологию управления комплаенс-риском, включающую следующие аспекты:

- консультирование исполнительного руководства по правовым вопросам;

- помощь исполнительному руководству в проведении образовательных мероприятий по вопросам комплаенса, в издании письменных указаний по вопросам обеспечения соответствия законодательству, правилам и стандартам через политики и процедуры (в т.ч. руководства по проведению проверки соответствия им, кодексы этики);

- измерение и оценка комплаенс-риска, разработка системы индикаторов для оценки возможных проблем в сфере комплаенса.

Именно поэтому БКБН 113 (как, впрочем, и БКБН 103) содержит четкое требование, чтобы деятельность функции комплаенс во всем объеме подвергалась периодической проверке со стороны функции "внутренний аудит". И именно поэтому крайне сложно представить одновременное выполнение одним и тем же подразделением внутреннего контроля функций, указанных в пп. 4.4.8 ("Проверка соответствия внутренних документов нормативным правовым актам, стандартам саморегулируемых организаций...") и 4.4.10 ("Проверка систем, созданных в целях соблюдения правовых требований, профессиональных кодексов поведения") того же Положения N 242-П.

В ряде практических рекомендаций по применению Международных профессиональных стандартов внутреннего аудита, выпущенных Институтом внутренних аудиторов, вопросу определения роли внутреннего аудитора в оценке системы внутреннего контроля и возможности достижения организацией комплаенс-целей уделяется большое внимание. В частности, можно упомянуть рекомендации N N 2100-5 и 2120.A1-1:

- "Юридические вопросы при оценке программ соответствия установленным нормам";

- "Оценка и формирование отчетности по процессам контроля".

Имеется существенная разница между методологическими подходами, применяемыми при комплаенс-контроле и внутреннем аудите. Конечно, ряд процедур, осуществляемых функцией "комплаенс", в определенной степени близки к "чистому" внутреннему аудиту. В то же время разница между процедурой "аудит соответствия" и ролью внутреннего аудитора в целом хорошо раскрывается в комментарии М. Симмонса <1>:

"Деятельность комплаенс состоит в том, чтобы определить нарушения или отклонения, и, там, где это необходимо, применить санкции, удержать платежи, добиться возмещения, определить и сообщить об ошибках персонала и т.д. Это - не внутренний аудит; и, что более важно, использовать эту методологию для проведения внутреннего аудита - не особенно экономичный или эффективный способ определить систематические, критические для миссии [организации] проблемы контроля".

--------------------------------

<1> Simmons M.R. An Overview of the Professional Practice of Internal Auditing, 1998 (http://www.facilitatedcontrols.com).

В интегрированной модели управления рисками организаций <2> также можно найти отличия между целями системы управления рисками, которые преследуют комплаенс-функции, и внутреннего аудита: цели внутреннего аудита шире целей службы комплаенс и включают также достоверность отчетности, эффективность и производительность, выполнение стратегических задач.

--------------------------------

<2> COSO ERM. Сентябрь 2004 г. Перевод на русский язык выполнен компанией "Делойт".

Таким образом, предполагаемое распределение "фронта работ" между функциями "комплаенс" и "внутренний аудит" лаконично можно сформулировать так:

- комплаенс-функция играет определяющую роль в построении системы управления комплаенс-риском и организации текущего контроля процедур по управлению данной системой;

- функция "внутренний аудит" осуществляет независимую проверку данной системы, равно как и иных составных компонентов системы внутреннего контроля;

- между подразделениями существует тесная координация и обмен результатами контрольных мероприятий.

Хорошим подспорьем внутреннему аудитору, осуществляющему проверку деятельности комплаенс-подразделения, может послужить статья К. Стензгаард "Когда вы проверяли последний раз работу комплаенс-службы?" <1>.

--------------------------------

<1> Stensgaard K.J. Have You Audited Your Compliance Department Lately? // Internal Auditor, April 2002.

В отношении кредитных организаций, являющихся одновременно профессиональными участниками рынка ценных бумаг, можно отметить некоторые дополнительные особенности регулирования комплаенс-функции. Федеральная служба по финансовым рынкам весьма жестко регулирует вопросы комплаенс-контроля и в банках. При этом, по нашему мнению, комплексного подхода со стороны регулятора не просматривается, а возможности для творческой и более эффективной реализации требований Положения N 06-29/пз-н у банков ограничены. Предыдущая версия документа ФСФР России была издана в 2003 г., в 2005 г. проводилась ревизия документа с привлечением к обсуждению профессионального сообщества. К сожалению, предложения специалистов-практиков в финальной версии документа ФСФР России не нашли поддержки у регулятора, и документ остался практически в прежнем виде. Изменения коснулись только наиболее очевидных аспектов - ПОД/ФТ, ссылки на другие документы и т.д. Наиболее яркие недостатки Положения N 06-29/пз-н, в особенности применительно к банкам, состоят в следующем:

- не предусматривается организация внутреннего контроля профессионального участника рынка как системы. Соответственно, не дается описания основных компонентов системы внутреннего контроля, таких как: контрольная среда, выявление и оценка рисков, контрольные процедуры, мониторинг, соответствующего передовой современной практике финансово-кредитных организаций и изложенного в документах международных профессиональных ассоциаций и регуляторов <2>. Место комплаенса в этой системе обозначено весьма размыто;

- система внутреннего контроля по версии Положения N 06-29/пз-н состоит только из одного подразделения - контролера профессионального участника рынка, выполняющего только отдельные контрольные функции из всего комплекса функций, составляющих систему внутреннего контроля. В то же время очевидно, что функции внутреннего контроля осуществляются всеми сотрудниками организации, и прежде всего сотрудниками, не работающими в подразделении контролера;

- предусматривается возможность выполнения функций контролера руководителем службы внутреннего аудита банка, что создает риск недопустимого в данном случае совмещения взаимоисключающих функций и потенциального конфликта интересов и противоречит современным принципам корпоративного управления, управления рисками и внутреннего контроля.

--------------------------------

<2> См., например: 1) Enterprise Risk Management - Integrated Framework (COSO ERM). The Committee of Sponsoring Organizationsof the Treadway Commission, September 2004 (http://www.coso.org); 2) Risk Management and Control Guidance for Securities Firms and their Supervisors. The Technical Committee of the International Organization of Securities Commissions, May 1998 (http://www.iosco.org).

Весьма актуальным вопросом для ряда банков, прежде всего крупных, является определение оптимальной схемы взаимодействия с различными внешними проверяющими организациями: Банком России, налоговыми органами, Счетной палатой, прокуратурой и так далее, включая пожарников и санэпидемстанцию - полный их список, видимо, крайне затруднительно составить и самим государственным органам. Даже самые законопослушные банки сталкиваются с рядом практических сложностей в эффективной организации процесса взаимодействия с внешними органами:

- представление документов, зачастую в большом количестве и с дополнительными расшифровками, отнимает у "линейных" служб много ресурсов, а документы нужно представить точные и вовремя;

- часто возникают дискуссии относительно трактовки того или иного документа, решения, и в целях избежания необоснованных санкций и/или потери репутации необходимо организовать обсуждение спорных вопросов на конструктивной основе; это отнимает также значительные ресурсы и требует навыков дипломатичного ведения самих переговоров;

- весьма важное значение и не менее значительный объем имеет деятельность по обобщению результатов работы внешних контролеров, по подготовке предложений в сфере совершенствования системы контроля; в особенности, если в ходе проверок выявляются серьезные нарушения.

Очевидно, работа с проверяющими - одна из специфических черт служб комплаенса в российских банках. Эта работа зачастую также требует от координатора высокой квалификации и полномочий уровня высшего руководства. В разных банках функцию координации взаимодействия с внешними контролерами выполняют разные подразделения, как правило, служба внутреннего контроля или главный бухгалтер, либо сразу несколько разных подразделений в зависимости от профиля работы проверяющего.

БКБН 113 предусматривает возможность выполнения такой координационной функции подразделением комплаенс: "42. Функция комплаенс... также может взаимодействовать с соответствующими внешними организациями, включая надзорные органы, органы установления стандартов и внешних экспертов".

Конечно, список проверяющих органов весьма индивидуален для каждого банка, и вряд ли уместно предлагать универсальную схему организации работы с внешними контролерами, но при значительных объемах бизнеса банка создание обособленного подразделения может быть весьма обоснованным. Эффективность такого координационного звена возрастет, если на него будут возложены функции координации остальных комплаенс-служб, всех вместе подотчетных одному из лиц, входящих в высшее руководство банка.

В документе БКБН 113 отмечается, что все обязанности в рамках комплаенс-функции не должны непременно осуществляться единым комплаенс-подразделением. Однако в случае распределения функций между различными подразделениями необходимо обеспечить:

- четкое распределение ответственности между подразделениями;

- назначение ответственного лица в высшем руководстве за выполнение комплаенс-функции в целом (руководителя комплаенс-функции);

- необходимые механизмы сотрудничества между подразделениями и руководителем комплаенс-функции, достаточные для исполнения последним своих обязанностей.

Исходя из сложившейся в российских банках типизации функций, можно контурно обозначить возможные направления взаимодействия между различными компонентами комплаенс-функции и иными функциональными направлениями деятельности банка (и соответствующими им структурными единицами) (табл.).

Вышеприведенный перечень не является, по-видимому, исчерпывающим и может быть уточнен и дополнен с учетом индивидуальных особенностей каждого конкретного банка. Например, в перечне отсутствует "ответственный сотрудник по правовым вопросам", упомянутый в Положении N 242-П, руководитель высшего звена (член правления), выполняющий координационные функции, и некоторые другие должности, на которые возложены локальные функции комплаенс-контроля, например сотрудники бухгалтерской службы.

Практика показывает, что данные принципы вполне реализуемы. В частности, заслуживает внимания существующий опыт организации подразделения комплаенс в рамках финансовой группы "УРАЛСИБ" и взаимодействия подразделения комплаенс с другими подразделениями (дирекцией аудита СВК, управлением персонала, юридическим центром, службой содействия бизнесу) <1>. Кроме того, следует обратить внимание на опыт аналогичной работы по адаптации практики национальных банковских систем к международным стандартам в тех странах, где издавна существуют различные контрольные функции/подразделения с различным наполнением функциями в области именно комплаенса. Наиболее характерные примеры такого комплексного подхода к построению комплаенс-функции являют собой финансовые системы США, а также ряда европейских стран, прежде всего Франции. Требования к организации комплаенс-контроля в банках США (включая особенности сертифицирования специалистов комплаенса) приведены в уже упомянутой работе Г.П. Бортникова и в материалах Международной комплаенс-ассоциации <2>, а весьма подробный сравнительный обзор состояния законодательства в области комплаенса в европейских странах содержится в исследовании Банковской комиссии Франции "Комплаенс-функция в банках и инвестиционных компаниях" <3>.

--------------------------------

<1> Катышева И.Ю. Опыт организации комплаенс-контроля в рамках СВК: основные принципы и стандарты комплаенс-контроля // Доклад на заседании Института внутренних аудиторов, 29.11.2005 (http://www.bankir.ru/analytics/svk/216/43019).

<2> International Compliance Association (http://www.int-comp.org).

<3> The Compliance Function in Banks and Investment Companies. Годовой отчет Банковской комиссии Франции за 2003 г. (http://www.banque-france.fr/gb/supervi/supervi_banc/report_2003.htm).

В сложившейся ситуации особенно очевидными становятся меры, предлагаемые, в частности, Институтом внутренних аудиторов <3>, по уточнению (в нормативных документах и на практике) ряда аспектов Положения N 242-П, подразумевающие более четкое разделение функций внутреннего аудита и иных аспектов внутреннего контроля, в том числе:

- введение вместо подробных единообразных требований регулятора к системе внутреннего контроля (в т.ч. в виде рекомендаций, которые в интерпретации сотрудников Банка России "на местах" иногда приобретают императивный оттенок) отраслевых стандартов, разработанных с участием профессионального сообщества, Банка России, ФСФР России, иных заинтересованных сторон. Подобные стандарты, основанные на единых принципах, но без излишней детализации, в то же время помогут каждому банку сформировать систему внутреннего контроля, действительно соответствующую целям и масштабам его бизнеса;

- изменение определения внутреннего аудита в целях его приближения к определению, основанному на Международных профессиональных стандартах внутреннего аудита, а также соответствующему рекомендациям БКБН 84 (п. 9);

- введение по тексту Положения N 242-П сочетания "служба внутреннего аудита" вместо терминологически и функционально вводящей в заблуждение относительно распределения ролей в системе внутреннего контроля "службы внутреннего контроля". При этом предлагается оставить на усмотрение банков сохранение службы внутреннего контроля в качестве специализированного подразделения, выполняющего координирующие функции по созданию системы внутреннего контроля и при необходимости осуществляющего независимый контроль отдельных операций банка. Функционал такой СВК вполне может являться, например, базой для организации комплаенс-функции.

--------------------------------

<3> Письма Института внутренних аудиторов: от 14.05.2004 "О проекте "Рекомендаций по организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах" и от 25.05.2005 N ЦБ-6 "О внесении изменений и дополнений в Положение Банка России от 16.12.2003 N 242-П" (http://www.iia-ru.ru).

В целях развития указанных предложений целесообразно, по мнению авторов, уточнение определений, роли и структуры подразделений, связанных с функцией комплаенс. В частности, следует:

- вместо аморфного "ответственного сотрудника по правовым вопросам" (абз. 3 пп. 2.2.3 п. 2.2 Положения N 242-П) ввести отдельным пунктом определение руководителя комплаенс-функции, соответствующее БКБН 113;

- указать на необходимость выполнения требований о независимости данной функции, с их раскрытием в отчетности в соответствии с Принципом 5 (п. п. 23 - 32) БКБН 113;

- указать на необходимость функциональной отчетности (и возможность организационного подчинения) руководителю комплаенс-функции иных подразделений и сотрудников, осуществляющих, в частности, контроль за ПОД/ФТ, и комплаенс-контроль профессиональной деятельности на рынке ценных бумаг, юридическую поддержку, управление правовыми рисками.

Очевидно, что необходимость в адекватном отражении принципов организации и процедур осуществления комплаенс-функции в нормативной базе банковского регулирования и профессиональных стандартах банковского сообщества действительно назрела, а реализация предлагаемых мер представляется вполне возможной и в конечном итоге должна повысить эффективность банковского бизнеса.

Неофициальный перевод документа Базельского комитета по банковскому надзору "Compliance and the compliance function in banks" (публикация 113, апрель 2005 г.)

Введение

1. Базельский комитет по банковскому надзору (далее - БКБН) выпустил этот документ о комплаенс-риске и функции комплаенс в банках в связи с продолжающейся работой по содействию деятельности банковских регуляторов и с целью распространения передового опыта среди банковских организаций. Банковские надзорные органы должны добиваться, чтобы банки придерживались эффективных процедур комплаенса, а менеджмент предпринимал соответствующие корректирующие меры в случае обнаружения нарушений.

2. Комплаенс начинается с высшего уровня. Комплаенс будет наиболее эффективным при такой корпоративной культуре, в которой серьезное внимание уделяется честности и законопослушности, а совет директоров и высшее руководство показывают пример другим сотрудникам. Это касается каждого сотрудника в банке и должно рассматриваться как неотъемлемая часть банковской деятельности. Банк должен поддерживать высокие стандарты и в любое время стараться понять как сущность, так и формальный смысл закона. Непонимание степени влияния на акционеров, клиентов, сотрудников и рынки может привести к неблагоприятному имиджу банка и ущербу в случае потери репутации, даже если закон не был нарушен.

3. Термин "комплаенс-риск" в данном документе определяется как риск применения юридических санкций, претензий надзорных органов, существенных финансовых потерь или потери репутации, которым может быть подвержен банк в случае несоблюдения законов, постановлений, правил, стандартов саморегулируемых организаций и кодексов поведения, применимых к банковской деятельности (в целом, "соответствие законам, правилам и стандартам").

4. Соответствие законам, правилам и стандартам, как правило, включает в себя соблюдение надлежащих стандартов по поведению на рынке, урегулированию конфликтов интересов, честное обслуживание клиентов, обеспечение высокого качества консультирования клиентов. Эти направления обычно включают такие специфические области, как противодействие легализации (отмыванию) доходов и финансированию терроризма, и могут распространяться на налоговое законодательство, относящееся к структурированию банковских продуктов или консультированию клиентов. Банк, который сознательно принимает участие в операциях клиентов, преследующих цель уклонения от требований финансовой отчетности, от налогов или с целью осуществления нелегального действия, подвергает себя значительному комплаенс-риску.

5. Соответствие законам, правилам и стандартам имеет различные источники, включая основные законы, правила и стандарты, изданные законодателями и надзорными органами; рыночные конвенции, правила, учрежденные отраслевыми ассоциациями; и внутренние правила для сотрудников банка. Перечень источников, вероятно, более широкий, чем предусмотрено юридически, и по указанным причинам включает в себя стандарты законопослушности и этичности.

6. Комплаенс должен быть частью корпоративной культуры организации; это не только обязанность специалистов по комплаенсу. Тем не менее банк будет более эффективно управлять комплаенс-риском, если будет организована функция комплаенс, соответствующая принципам, описанным ниже. Термин "функция комплаенс" используется в данном документе для обозначения сотрудников, выполняющих обязанности комплаенс-контроля; это выражение не означает, что у банка должно быть конкретное подразделение в организационной структуре.

7. Существуют значительные различия между банками в отношении организации функции комплаенс. В крупных банках комплаенс-сотрудники могут быть рассредоточены по операционным бизнес-единицам, а международные банки могут также иметь комплаенс-специалистов в целом для группы и местных комплаенс-специалистов. В мелких банках функции комплаенс могут быть сосредоточены в одном подразделении. В некоторых банках образованы отдельные подразделения для специальных областей, таких как защита информации и противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

8. Банк должен организовать функцию комплаенс и расставить приоритеты для менеджмента в отношении комплаенс-риска таким образом, чтобы это соответствовало банковской стратегии по управлению рисками и организационной структуре. Например, некоторые банки могут организовать службу комплаенс внутри службы по управлению операционным риском, так как наблюдается тесная взаимосвязь между комплаенс-риском и некоторыми аспектами операционного риска. Другие банки предпочитают иметь отдельные службу комплаенс и службу по управлению операционным риском, и при этом существуют механизмы тесного взаимодействия между двумя подразделениями по вопросам комплаенса.

9. Независимо от того, как организована функция комплаенс в банке, она должна быть независимой; достаточно обеспеченной; ее обязанности должны быть четко определены; а ее деятельность должна периодически и независимо проверяться внутренними аудиторами. Принципы с 5 по 8, представленные ниже, детально описывают эти тезисы, а в дополнительных документах описывается передовой опыт реализации принципов. Эти принципы должны соблюдаться всеми банками, хотя каждый банк сам определяет, как их нужно применять наилучшим образом. Банк может следовать другой практике, отличной от описанной в данном документе, если эта практика надежна и демонстрирует эффективность функции комплаенс. Методы применения принципов зависят от таких факторов, как размер банка, природа, сложность и географический охват бизнеса, а также законодательство и регулирование, в рамках которого работает банк. Мелкие банки, например, не могут в полной мере внедрить некоторые специфические средства, описанные в данном документе, но тот же результат может быть достигнут такими банками при помощи других средств.

10. Принципы, указанные в настоящем документе, предполагают структуру управления, состоящую из совета директоров и высшего (исполнительного) руководства. Законодательные и регулятивные рамки различаются в зависимости от стран и типов организаций в отношении функций совета директоров и высшего руководства. Следовательно, принципы, описанные в данном документе, должны применяться в соответствии с корпоративной структурой управления, принятой в той или иной стране и характерной для определенного типа организации.

11. Термин "банк" используется в настоящем документе в отношении банков, банковских групп, холдингов, чьи дочерние компании являются преимущественно банками.

12. Этот документ должен рассматриваться в связи с другими документами БКБН, включая следующие:

- Framework for Internal Control Systems in Banking Organizations (September 1998);

- Enhancing Corporate Governance for Banking Organizations (September 1999);

- Internal Audit in Banks and the Supervisor's Relationship with Auditors (August 2001);

- Customer Due Diligence for Banks (October 2001);

- Sound Practices for the Management and Supervision of Operational Risk (February 2003);

- International Convergence of Capital Measurement and Capital Standards - A Revised Framework - June 2004;

- Consolidated KYC Risk Management (October 2004).

13. В этом документе сначала описываются специфические обязанности совета директоров банка и высшего руководства по комплаенсу и далее определяются принципы, которых должна придерживаться функция комплаенс.

Обязанности совета директоров по вопросам комплаенс

Принцип 1

Совет директоров банка ответственен за осуществление надзора за управлением комплаенс-риском. Совет директоров должен утвердить Политику комплаенс, включая официальный документ, учреждающий постоянную и эффективную функцию комплаенс. Как минимум 1 раз в год совет директоров или комитет совета директоров оценивает степень эффективности управления комплаенс-риском.

14. Как указано во Введении, Политика управления комплаенс-риском не будет эффективной до тех пор, пока совет директоров не станет продвигать принципы честности и законопослушности во всей организации. С этой целью соответствие законам, правилам и стандартам должно рассматриваться как существенный фактор. Как и в отношении других видов рисков, совет директоров ответственен за реализацию подходящей политики управления комплаенс-риском. Совет директоров осуществляет надзор за внедрением политики, включая обеспечение того, что вопросы комплаенс разрешаются эффективно и быстро высшим руководством при помощи функции комплаенс. Совет директоров, конечно, может делегировать эти задачи соответствующему комитету (например, аудиторскому комитету).

Обязанности высшего руководства по вопросам комплаенс

Принцип 2

Высшее руководство несет ответственность за эффективное управление комплаенс-риском в банке.

15. Следующие два принципа четко формулируют наиболее важные элементы этого общего принципа.

Принцип 3

Высшее руководство несет ответственность за создание и распространение Политики комплаенс, за обеспечение ее соблюдения, за подготовку отчетности совету директоров по вопросам управления комплаенс-риском.

16. Высшее руководство несет ответственность за разработку письменной Политики комплаенс, которая содержит основные принципы, подлежащие соблюдению менеджментом и сотрудниками, и описывает основные процессы, с помощью которых будет проводиться идентификация и управление комплаенс-риском на всех уровнях организации. Четкость и прозрачность могут быть достигнуты посредством определения различий между общими стандартами для всех сотрудников и правилами, которые относятся к определенным группам сотрудников.

17. Обязанность высшего руководства - гарантировать, что соблюдение Политики комплаенс подразумевает ответственность за то, что в случае обнаружения нарушений будут предприняты необходимые корректирующие или дисциплинарные меры.

18. Высшее руководство должно при помощи функции комплаенс:

- хотя бы 1 раз в год определять и оценивать существенные аспекты комплаенс-риска банка и планов по управлению в этой области. Такие планы должны касаться любых недочетов (в политике, процедурах, внедрении или исполнении), связанных с эффективностью управления комплаенс-риском, а также с необходимостью дополнительных правил, процедур для работы с новыми комплаенс-рисками, выявленными в ходе ежегодной оценки рисков;

- хотя бы 1 раз в год предоставлять отчет совету директоров или комитету совета директоров по вопросам управления комплаенс-риском для того, чтобы помочь членам совета директоров вынести обоснованное заключение об эффективности управления комплаенс-риском; и

- незамедлительно предоставлять отчет совету директоров или комитету совета директоров по вопросам управления комплаенс-риском в случае существенных нарушений по вопросам комплаенса (например, нарушения, которые могут повлечь значительный риск юридических или регулятивных санкций, финансовых потерь или риск потери репутации).

Принцип 4

Высшее руководство банка несет ответственность за создание постоянной и эффективной функции комплаенс внутри банка как части реализации Политики комплаенс.

19. Высшее руководство должно предпринимать необходимые меры для обеспечения надежности постоянной и эффективной функции комплаенс, которая придерживается следующих принципов.

Принципы функции комплаенс

Принцип 5: Независимость

Служба комплаенс в банке должна быть независимой.

20. Концепция независимости включает четыре взаимосвязанных элемента.

Во-первых, служба комплаенс должна иметь официальный статус в банке.

Во-вторых, должен быть предусмотрен комплаенс-специалист, отвечающий за группу, или руководитель службы комплаенс с общей ответственностью за координацию процесса управления комплаенс-риском банка.

В-третьих, сотрудники функции комплаенс и, в частности, руководитель функции комплаенс, не должны попадать в ситуацию конфликта интересов между функциями комплаенс и другими функциями, которые они могут выполнять.

В-четвертых, сотрудники функции комплаенс должны иметь доступ к информации, а также собственный бюджет для реализации их функций.

21. Концепция независимости не означает, что реализация функции комплаенс не может быть тесно связана с менеджментом и сотрудниками из других бизнес-подразделений. В действительности взаимодействие с другими подразделениями должно помогать идентифицировать и управлять комплаенс-риском на ранней стадии. Более того, элементы, описанные ниже, должны рассматриваться как защитные меры для обеспечения эффективности функции комплаенс, несмотря на тесное сотрудничество с бизнес-подразделениями. Способы внедрения этих защитных мер зависят от специфических обязанностей отдельных сотрудников функции комплаенс.

Статус

22. Комплаенс-функция должна иметь официальный статус в банке для определения ее роли, полномочий и независимости. Это может быть предусмотрено в Политике комплаенс или в любом другом официальном документе. Документ должен быть распространен среди всех сотрудников банка.

23. В документе должны быть отражены следующие моменты, касающиеся функции комплаенс:

- ее роль и обязанности;

- способы обеспечения ее независимости;

- ее взаимоотношения с другими службами по управлению рисками в банке и со службой внутреннего аудита;

- в случаях распределения функций комплаенс по различным подразделениям банка - как эти функции будут распределены по подразделениям;

- право получать информацию, необходимую для реализации своих функций; и обязанность сотрудников банка взаимодействовать по вопросам предоставления этой информации;

- право проводить расследования потенциальных нарушений Политики комплаенс и при необходимости привлекать внешних экспертов для выполнения этой задачи;

- право свободно выражать и раскрывать полученные сведения высшему руководству и, если необходимо, совету директоров или комитету совета директоров;

- обязанность предоставлять официальную отчетность высшему руководству;

- право прямого доступа к совету директоров или комитету совета директоров.

Руководитель функции комплаенс

24. Каждый банк должен иметь руководящего сотрудника высшего звена с общей ответственностью за координацию процесса идентификации и управления комплаенс-риском и за обеспечение контроля за деятельностью других сотрудников функции комплаенс. В данном документе используется термин "руководитель функции комплаенс" для описания данной позиции.

25. Подотчетность и другие функциональные взаимоотношения между сотрудниками функции комплаенс и руководителем функции комплаенс зависят от организации данной функции. Сотрудники функции комплаенс, находящиеся в бизнес-подразделениях или в местных отделениях, могут быть подотчетны руководству бизнес-подразделения или руководству местного отделения. Одновременно не запрещается, чтобы такие сотрудники напрямую отчитывались руководителю функции комплаенс в отношении выполнения обязанностей по комплаенс-контролю. В случаях, когда сотрудники функции комплаенс находятся в независимых вспомогательных подразделениях (например, в юридической службе, подразделении по финансовому контролю, службе управления рисками), отдельная подотчетность руководителю функции комплаенс необязательна. Однако такие подразделения должны тесно сотрудничать с руководителем функции комплаенс для эффективной реализации его функций.

26. Руководитель службы комплаенс может входить или не входить в высшее руководство. Если он является одним из высших руководителей, то он не должен иметь обязанностей по управлению бизнес-подразделениями. Если он не является представителем высшего руководства, тогда он должен быть подотчетен представителю высшего руководства, который не имеет прямых обязанностей в данном подразделении.

27. Надзорные органы и совет директоров должны быть информированы о назначении на должность руководителя функции комплаенс или его уходе (в случае ухода - и о причинах ухода). Аналогично для международных банков с местными комплаенс-специалистами надзорный орган принимающей страны также должен быть информирован о назначении и увольнении руководителя функции комплаенс.

Конфликт интересов

28. Независимость руководителя функции комплаенс и любого другого сотрудника, реализующего функции комплаенс, может быть подорвана в случае конфликта интересов между функциями комплаенс и другими функциями сотрудника. БКБН считает, что специалисты комплаенса могут выполнять только функции комплаенс-контроля. Но БКБН, однако, понимает, что это может быть неприемлемо для мелких банков, мелких бизнес-подразделений или местных отделений. В этих случаях сотрудники службы комплаенс могут реализовывать и прочие функции, избегая возникновения конфликта интересов.

29. Независимость сотрудников службы комплаенс может быть подорвана, если их вознаграждение зависит от финансовых результатов подразделения, в рамках которого они реализовывают функции комплаенс. Однако вознаграждение, зависящее от финансовых результатов банка, обычно допустимо.

Доступ к информации и сотрудникам

30. Функция комплаенс должна иметь право по собственной инициативе взаимодействовать с любым сотрудником и получать доступ к любым записям или файлам, необходимым для выполнения своих обязанностей.

31. Функция комплаенс должна беспрепятственно выполнять свои обязанности по собственной инициативе во всех подразделениях банка, где существует комплаенс-риск. Она должна иметь право проводить расследования потенциальных нарушений Политики комплаенс и запрашивать помощь специалистов внутри банка (например, юристов или внутренних аудиторов) или при необходимости нанимать внешних специалистов.

32. Функция комплаенс должна иметь возможность свободно предоставлять отчетность высшему руководству по любым нарушениям или потенциальным нарушениям, обнаруженным в ходе расследований, без угрозы расплаты или осуждения со стороны руководства или других сотрудников. Хотя в обычных ситуациях функция комплаенс отчитывается высшему руководству, ей необходимо иметь право прямого доступа к совету директоров или комитету совета директоров при необходимости. Более того, могут быть полезными встречи совета директоров или комитета совета директоров с руководителем функции комплаенс хотя бы раз в год, так как это поможет совету директоров или комитету совета директоров понять, насколько эффективно банк управляет комплаенс-риском.

Принцип 6: Ресурсы

Функция комплаенс должна быть обеспечена ресурсами, необходимыми для эффективной реализации ее функций.

33. Ресурсы, предоставленные функции комплаенс, должны быть достаточными и подходящими для эффективного управления комплаенс-риском. В частности, сотрудники функции комплаенс должны иметь необходимую квалификацию, опыт, профессиональные и личные качества для надлежащего исполнения своих обязанностей. Сотрудники функции комплаенс должны хорошо разбираться в вопросах соблюдения законов, правил и стандартов и понимать их влияние на банковские операции. Уровень профессиональных навыков сотрудников функции комплаенс, особенно в отношении отслеживания обновлений в законодательстве, должен поддерживаться посредством систематического обучения и тренировок.

Принцип 7: Обязанности функции комплаенс

Обязанностью функции комплаенс банка является содействие высшему руководству в эффективном управлении комплаенс-риском, с которым сталкивается банк. Свойственные функции специфические обязанности описаны ниже.

34. Не все обязанности по соблюдению требований "комплаенс" должны выполняться подразделением комплаенс. Обязанности функции комплаенс могут быть распределены между различными службами. В одних банках, например, юридическая служба и служба комплаенс могут быть разными департаментами. Юридическая служба может быть ответственна за содействие руководству в вопросах соблюдения законов, правил и стандартов и за подготовку рекомендаций для персонала, в то время как служба комплаенс может быть ответственна за мониторинг соответствия правилам и процедурам, а также за предоставление отчетности руководству. В других банках функция комплаенс частично может быть реализована через службу по управлению операционным риском или через службу по управлению рисками в целом. К тому же должны функционировать механизмы координации между подразделениями и с руководителем функции комплаенс (например, что касается предоставления и обмена рекомендациями и информацией). Эти механизмы должны обеспечить эффективное исполнение руководителем функции комплаенс своих обязанностей.

Консультирование

35. Функция комплаенс должна консультировать высшее руководство по вопросам соответствия законам, правилам и стандартам, включая информирование об изменениях в этой области.

Инструктивный материал и обучение

36. Функция комплаенс должна помогать высшему руководству:

- в обучении персонала в области комплаенса; выполнении функции "справочного бюро" в банке по сбору вопросов от сотрудников по вопросам комплаенса;

- создании письменных инструктивных материалов для сотрудников с целью корректного выполнения законов, правил и стандартов через написание правил, процедур или других документов, например Справочника комплаенс, Внутреннего кодекса поведения и Практического руководства.

Определение, измерение и оценка комплаенс-риска

37. Функция комплаенс должна на упреждающей основе определять, документировать и оценивать комплаенс-риск, связанный с банковской деятельностью, включая разработку новых продуктов и бизнес-процедур, предполагаемое создание нового типа бизнеса или типа отношений с клиентом или значительное изменение в таких отношениях. Если в банке функционирует комитет по новым продуктам, то функция комплаенс должна быть представлена на таком комитете.

38. Функция комплаенс должна также рассматривать способы измерения комплаенс-риска (например, используя показатели результативности) и применять эти способы измерения для улучшения оценки комплаенс-риска. Для разработки показателей результативности может использоваться технология сбора и обработки данных, которые могут быть показательными при выявлении потенциальных комплаенс-проблем (например, увеличивающееся число жалоб клиентов, непостоянные торговые или платежные операции и др.).

39. Функция комплаенс должна оценивать адекватность процедур и инструктивных материалов по комплаенс-риску, незамедлительно реагировать на любые выявленные недостатки и, если необходимо, формулировать предложения по исправлению.

Мониторинг, тестирование и отчетность

40. Функция комплаенс должна осуществлять мониторинг соответствия требованиям законов, правил и стандартов через адекватное и репрезентативное тестирование. Результаты тестирования должны быть отражены в отчетности в соответствии с внутрибанковскими процедурами по управлению рисками.

41. Руководитель функции комплаенс должен предоставлять отчетность по вопросам комплаенса на регулярной основе высшему руководству. Отчет должен описывать результаты оценки комплаенс-риска в ходе рассматриваемого периода (включая любые изменения в проявлении комплаенс-риска, основанные на соответствующих способах измерения, таких как показатели результативности); обобщать любые выявленные нарушения и/или недостатки и рекомендуемые корректирующие меры; а также описывать уже предпринятые корректирующие меры. Формат отчета должен быть соразмерен степени проявления комплаенс-риска в деятельности банка.

Государственные обязанности и взаимодействие.

42. Функция комплаенс может иметь специфические обязанности, установленные государством (например, выполнение обязанностей по противодействию отмыванию денег, полученных преступным путем). Она также может взаимодействовать с соответствующими внешними организациями, включая надзорные органы, органы установления стандартов и внешних экспертов.

Комплаенс-программа

43. Обязанности функции комплаенс должны реализовываться в рамках комплаенс-программы, которая определяет планируемые сферы деятельности, такие как внедрение и пересмотр определенных правил и процедур, оценку комплаенс-риска, тестирование на соблюдение комплаенс-требований, обучение сотрудников в области комплаенса. Комплаенс-программа должна быть основана на оценке риска и быть предметом контроля со стороны руководителя функции комплаенс для обеспечения широкого охвата бизнеса и координации различных подразделений, реализующих функции по управлению рисками.

Принцип 8: Взаимоотношения с внутренним аудитом

Масштаб и размах деятельности функции комплаенс должны периодически проверяться службой внутреннего аудита.

44. Комплаенс-риск должен быть включен в методологию оценки рисков службы внутреннего аудита, а аудиторская программа должна содержать вопросы адекватности и эффективности функционирования функции комплаенс, в том числе тестирование, соразмерное уровню риска.

45. Этот принцип предполагает, что функция комплаенс и служба внутреннего аудита должны быть отделены друг от друга, и что деятельность службы комплаенс будет проверяться беспристрастно. Поэтому важно четко понимать и зафиксировать на бумаге, как распределены функции по оценке риска и тестированию деятельности между этими двумя службами (например, в Политике комплаенс или в связанных документах, например в протоколе). Служба внутреннего аудита должна информировать руководителя функции комплаенс о любых выявленных фактах, связанных с реализацией функции комплаенс.

Другие вопросы

Принцип 9: Международные аспекты

Банки должны соблюдать применимое право той страны, в чьей юрисдикции осуществляют свою деятельность; организация, структура и обязанности функции комплаенс должны соответствовать местным юридическим и надзорным требованиям.

46. Банки могут осуществлять свою деятельность через местные дочерние компании и филиалы или в виде других структур на той территории, где у этих банков нет физического присутствия. Юридические и надзорные требования могут отличаться от юрисдикции к юрисдикции, а также в зависимости от формы присутствия банка в конкретной юрисдикции.

47. Банк, решивший вести бизнес в конкретной юрисдикции, должен соответствовать местным юридическим и надзорным требованиям. Например, банк, избравший форму дочерней компании, должен удовлетворять требованиям данной юрисдикции. Некоторые виды юрисдикции выдвигают определенные требования для филиалов иностранных банков. Задача местных структур банка - следить, чтобы соответствие требованиям местного законодательства отслеживалось сотрудниками с соответствующими навыками и опытом под присмотром руководителя функции комплаенс при взаимодействии с другими подразделениями банка, реализующими функции управления рисками.

48. БКБН признает право банка выбирать юрисдикцию по ряду законных причин. Однако у банка должны быть разработаны процедуры определения и оценки риска потери репутации в случае, если он в конкретной юрисдикции занимается деятельностью, запрещенной в своей стране.

Принцип 10: Аутсорсинг

Функция комплаенс должна рассматриваться как ключевой элемент управления рисками внутри банка. Некоторые задачи функции комплаенс могут решаться внешними специалистами, но они по-прежнему должны реализовываться под контролем руководителя службы комплаенс.

49. Объединенный форум (БКБН, The International Organization of Securities Commissions, and the International Association of Insurance Supervisors) недавно разработал общие принципы привлечения аутсорсинга финансовыми организациями, которыми банкам следует руководствоваться ("Аутсорсинг финансовых услуг", февраль 2005).

50. Банки должны способствовать тому, чтобы соглашения по аутсорсингу не препятствовали эффективному надзору со стороны надзорных органов. Независимо от масштабов, в которых отдельные задач и функции комплаенс выполняются по аутсорсингу, совет директоров и высшее руководство остаются ответственными за соответствие банка всем применимым законам, правилам и стандартам.