Екатеринбургский Аудит-Центр

Екатеринбург, пр. Ленина, 60-а
Тел.: (343) 375-69-82, 375-70-42
Факс.: (343) 375-74-02
Email: nfk@etel.ru

343-901-488

Вопросы и ответы

На вопросы слушателей консультационного семинара "Практические вопросы организации деятельности службы внутреннего контроля (комплаенс-службы) в банках"  ответила лектор Абрамова Наталья Юрьевна
 
ВОПРОС: Про изменения в 242-П информации много, а про регуляторный риск информации нет. Хотелось бы услышать побольше о регуляторном риске.

ОТВЕТ: Согласна, что при отсутствии иной информации о  регуляторном риске, чем его определение в Положении № 242-П, организовать правильно деятельность СВК проблематично. Надеемся, что Банк России начнет выдавать на вопросы банков развернутые ответы. Сейчас понимание регуляторного риска состоит в следующем.

Если у банка существует угроза получить убытки из-за несоблюдения законодательства, внутренних нормативных документов и требований надзорных органов, то это регуляторный риск. Таким образом, если раньше банк классифицировал бы такие угрозы, как известные ему риски (кредитный, операционный, правовой, ликвидности и др.), исходя из соответствующей области деятельности банка, то в настоящее время как бы внутри этих рисков может выделиться регуляторный риск, если можно так выразиться.

ВОПРОС: В трех линиях защиты, какие функции отведены именно СВК, а не СВА.

ОТВЕТ: Комплаенс-функция на второй линии защиты отведена СВК, а функция внутреннего аудита на третьей линии – СВА.

ВОПРОС: В чем отличия комплаенс-риска от риска правового?

ОТВЕТ: В настоящий момент существуют только рекомендации специалистов иностранных банков или банков с иностранным участием, которые давно работают с комплаенс–риском. Их позиция по этому вопросу приведена лектором в слайде № 34.

ВОПРОС: Возможно ли совмещение функций руководителя СВК и контролера проф. участника?

ОТВЕТ: Возможно, так как контроль на рынке ценных бумаг в иностранных банках всегда входил в систему комплаенс. Считаем, что Банк России выделил отдельно контролера проф.участника от СВК в Положении № 242-П в связи с неготовностью нормативной базы Банка России по этому вопросу. Согласно устным разъяснениям представителей Банка России в ближайшее время этот вопрос будет урегулирован.

ВОПРОС: Контролер профучастника рынка ценных бумаг по приказу ФСФР подчиняется Совету директоров. Может ли контролер входить в состав СВА?

ОТВЕТ: По приказу ФСФР контролер ПОДОТЧЕТЕН Совету директоров. Однако согласно концепции  Базельского комитета по банковскому надзору «3 линии защиты» контролер находится на второй линии защиты, как все контрольные подразделения (за исключением СВА, находящейся на третьей линии защиты и подотчетной Совету директоров) и поэтому подотчетен должен быть исполнительным органам банка. Это несоответствие между Положением № 242-П, последняя редакция которого подготовлена в соответствии с рекомендациями Базельского комитета по банковскому надзору, и приказом ФСФР в ближайшее время будет устранено Банком России.

ВОПРОС: Что должен включать в себя план работы СВК? 242-П не предусматривает проведения СВК проверок.

ОТВЕТ: Банк России в Положении № 242-П не ограничивает СВК какими-то определенными методами деятельности, он требует определить эти методы во внутреннем документе, регулирующем деятельность СВК, и чтобы эти методы отвечали требованиям Положения № 242-П. Термин «проверка» применительно к деятельности СВК будет уместен в случаях контроля СВК за выполнением подразделениями банка рекомендаций СВК. В иных случаях можно использовать термины «Контроль», «Мониторинг», «Анализ», «Тестирование» и др.  В План работы СВК следует включать обязательно мониторинг проведения контрольных мероприятий, проводимых на  участках деятельности банка с высоким уровнем регуляторного риска. Эти участки определены в паспортах риска  направлений деятельности банка. Если они не разработаны, в План необходимо включить их разработку по конкретным направлениям деятельности банка. В План работы СВК необходимо включить работу по разработке нормативных документов, предусмотренных функциями СВК (Политику или иной документ по управлению комплаенс-риском, методику по оценке комплаенс-рисков (в соответствии с которой формируются паспорта риска), нормативные документы по противодействию коммерческому подкупу и коррупции, по нормам профессиональной этики, правилам корпоративного поведения). Если планируется в банке внедрение новых продуктов, то в План работы необходимо включить анализ этих продуктов и выработку рекомендаций по снижению регуляторного риска в них. Это будет конкретная часть Плана работы СВК. Также План будет содержать часть, состоящую из постоянных функций СВК, которые следует перечислить (мониторинг изменений в законодательстве и документах надзорных органов с целью выявления регуляторного риска, предварительное согласование внутренних нормативных документов, учет событий, связанных с регуляторным риском (указать частоту ведения учета), анализ показателей динамики жалоб клиентов (необходимо определить период, за который будет проводиться анализ) и др.

ВОПРОС: Должен ли и может ли начальник СВК участвовать в согласовании заявок на кредитный комитет?

ОТВЕТ: Контрольные подразделения, не могут, каким ли способом участвовать в принятии решений по принятию рисков подразделениями банка. Они должны сохранять свою независимость от подразделений, принимающих на себя риски, с тем, чтобы не возник конфликт интересов при выполнении контрольных функций в отношении этих подразделений. Начальник СВК может присутствовать на интересующем его заседании кредитного комитета (это право должно быть закреплено в Положении о кредитном комитете) с тем, чтобы проинформировать членов кредитного комитета по вопросам, связанным с регуляторным риском, или принять участие в разработке мероприятий, направленных на снижение регуляторного риска.

ВОПРОС: Как осуществляется мониторинг риска, если не делать проверки?

ОТВЕТ:  Мониторинг можно осуществить путем анализа документов, составляемых сотрудниками банка при проведении операций и заключении сделок, в том числе в эл.виде, а также путем проведения тестирования, опроса, интервью руководителей и сотрудников подразделений. При риск-ориентированном комплаенсе проводится мониторинг установленных внутренними нормативными документами контрольных процедур на участках с высоким уровнем регуляторного риска. По сути это «точечные» проверки. Запретов на проведение проверок СВК со стороны Банка России нет. О том, что СВК якобы не может проводить проверки, существуют только рекомендации специалистов комплаенса в иностранных банках.

ВОПРОС: Документы по комплаенс-риску Центральный банк будет оценивать в процессе инспекционной проверки или нужно будет направлять внутренние документы в ЦБ?

ОТВЕТ: Банк России может запросить у Банка нормативные документы по комплаенсу в рамках надзора за состоянием внутреннего контроля в банке. В процессе инспекционной проверки Банк России проверит эти документы в обязательном порядке.

ВОПРОС: Паспорт регуляторного риска сформирован на основании какой-то выборки или рассмотрено конкретное предприятие?

ОТВЕТ: Паспорт регуляторного риска составляется для конкретного направления деятельности банка на основании внутренних нормативных документов банка касательно этого направления (с указанием контрольных процедур), а также на основании событий регуляторного риска на этом направлении (нарушения, выявленные надзорными органами, СВА, жалобы клиентов и др.).

ВОПРОС: С какой периодичностью нужно будет составлять паспорт регуляторного риска? Заполнение паспорта – это рекомендуемый инструмент, но не требование?

ОТВЕТ: Рекомендуем изменения в паспорт вносить сразу после появления мотивированного суждения СВК об изменении уровня присущего и/или контролируемого рисков (это можно фиксировать в самом паспорте риска). Ведение паспортов риска – это классический инструмент документирования рисков у специалистов-рисковиков. Он прост и нагляден. К сожалению, Банк России не регламентирует эти вопросы. Можно использовать любые удобные для Вас способы документирования наличия регуляторного риска.

ВОПРОС: Поясните, пожалуйста, паспорт регуляторного риска создается один раз по конкретному процессу или по каждой сделке?

ОТВЕТ: Процесс – это совокупность стандартных сделок, поэтому проводить оценку  на предмет наличия регуляторного риска по каждой сделке нет необходимости. Необходим паспорт риска для процесса в целом. Паспорт формируется один раз, а затем актуализируется по мере изменения присущего и/или контролируемого рисков.

ВОПРОС: Неверная оценка залога в результате мошенничества сотрудников банка, это операционный риск. Или мы не правы?

ОТВЕТ: Вы правы. Однако, анализируя причины возможности осуществления мошенничества, Вы наверняка сделаете вывод, что оно стало возможным в связи с систематическим нарушением сотрудником внутренних нормативных документов банка и отсутствием повседневного контроля за работой сотрудника. Мошенничество привело к финансовым потерям для банка. Если вспомнить определение регуляторного риска, то указанная ситуация соответствует этому риску. Если у банка существует угроза получить убытки из-за несоблюдения законодательства, внутренних нормативных документов и требований надзорных органов, то это регуляторный риск. Таким образом, если раньше банк классифицировал бы такие угрозы, как известные ему риски (кредитный, операционный, правовой, ликвидности и др.), исходя из соответствующей области деятельности банка, то в настоящее время как бы внутри этих рисков может выделиться регуляторный риск, если можно так выразиться.

ВОПРОС: Как примерно должен выглядеть План деятельности СВК? Должен он составляться на год с разбивкой по кварталам или единый без конкретных дат, а лишь с указанием периодичности, раз в квартал, раз в месяц?

ОТВЕТ: Желательно иметь план СВК на год, где необходимо перечислить свою работу применительно к функциям по Положению о СВК. Возможно в этом плане предусмотреть и более конкретные вещи, например, что в 2015 году СВК планирует разработать документ по противодействию коммерческому подкупу и коррупции или полностью завершить формирование паспортов и единой карты риска. Также можно включить анализ СВК известных разрабатываемых новых продуктов банка. Периодичность текущих планов конечно определяет сам банк, но оптимальным вариантом является составление планов на квартальной основе. В этих планах необходимо предусмотреть мониторинг «контрольных точек», определенных в паспортах риска, в первую очередь на участках с высоким уровнем риска.

ВОПРОС: Паспорт регуляторного риска утверждается кем-либо?

ОТВЕТ: Желательно утвердить Председателем Правления, предварительно согласовав с соответствующим куратором (зам.предом, советником и др.). Это позволит в дальнейшем информировать их об изменении уровней регуляторного риска в конкретных направлениях деятельности, что в целом повышает контрольную среду в банке. Измененные паспорта соответственно тоже надо утверждать. Если это не делать, то СВК останется наедине с риском и со 100% - ответственностью за него. Однако комплаенс-риском в первую очередь управляют подразделения банка, а СВК только направляет их и мониторит систему комплаенс в целом.

ВОПРОС: Паспорт создается по какой-либо банковской операции, процессу на основании внутреннего документа банка или на основании проверки процесса?

ОТВЕТ: паспорт риска надо создавать по направлению деятельности банка (процессу) на основании анализа внутренних нормативных документов, регламентирующих этот процесс (включая все сопутствующие вопросы:ПОД/ФТ, бухгалтерский учет, налогообложение, работу с рисками, отчетность, нормативы и т.д.). Это нужно сделать один раз, а затем необходимо мониторить этот процесс на предмет возможного пересмотра риска из-за возникающих изменений в технологиях банка, внешней законодательной базе, из-за пересмотра контрольных мероприятий и т.д. и после проведенных проверок СВА, ЦБ РФ и др.надзорных органов, а также проверок СВК.

ВОПРОС: Какую Вы рекомендуете численность СВК в среднем банке?

ОТВЕТ: По состоянию на сейчас – 1-2 сотрудника, включая руководителя службы СВК. Но, думаю, что по-хорошему СВК должна быть больше, чем СВА, так как текущий контроль СВК более нужен и свевременен для бизнеса банка, чем последующие проверки СВА. Многое зависит от позиции Банка России в этом вопросе. Чем больше он будет предъявлять требований к работе СВК, тем больше банки будут наращивать численность этой службы.

ВОПРОС: Банки не обязаны иметь обособленную службу управления рисками. Можно ли этот функционал возложить на СВК?

ОТВЕТ: Затрудняюсь ответить. Много «за» и «против». Скоро начнут выходить документы Банка России по управлению рисками и капиталом банка. Это будут большие и серьезные функции. Рекомендую, пока не смешивать функции СВК и службы управления рисками до выхода нормативных документов Банка России.

ВОПРОС: А форму 639 кто должен делать СВА или СВК?

ОТВЕТ: на этот вопрос представители Банка России обещают ответить в конце года. Выйдет соответствующее Указание Банка России. Думаю, что в части перечня нормативных документов банка по интересующим Банк России тематикам будет составлять СВК, так как ее функции состоят в мониторинге изменений законодательства, согласовании внутренних нормативных документов банка.

ВОПРОС: Периодичность обновления паспорта регуляторного риска?

ОТВЕТ: По мере изменения критериев оценки риска (вероятность, воздействие), а значит его уровня.

ВОПРОС: В соответствии с п.2.4 242-П кредитные организации, не соответствующие хотя бы одному из критериев, установленных п.7 ч.1 ст 76 ФЗ «О ЦБ», могут не создавать отдельное структурное подразделение по внутреннему аудиту и отдельное структурное подразделение по внутреннему контролю. В этом случае функции по 242-П выполняет одно из указанных подразделений. Нужно ли в этом случае в Политике по управлению комплаенс-рисками предусмотреть функции и СВА и СВК?

ОТВЕТ: В указанном пункте дословно сказано следующее: «В этом случае предусмотренные настоящим Положением функции (права и обязанности) службы внутреннего аудита и службы внутреннего контроля выполняются руководителем службы внутреннего аудита и руководителем службы внутреннего контроля  соответственно». Таким образом, функции СВА и СВК не смещиваются и вместо двух служб не может функционировать одна служба с функциями двух служб. Это будет противоречить рекомендациям Базельского комитета по банковскому надзору (СВК – вторая линия защиты, СВА – третья) и Положению № 242-П.

ВОПРОС: В функции СВК входит согласование внутренних документов. Следует ли, что ведение базы ВД также будет закреплено за СВК.

ОТВЕТ: Это логично. Регистрация документов в хронологическом порядке по мере утверждения документов ведется канцелярией банка или автоматически в электронной системе делопроизводства банка, а перечень нормативных документов в разрезе тематик – СВК.

ВОПРОС: В Положении Банка России №242-П п. 4 (1).2 указано, что внутренний документ, регулирующий деятельность службы внутреннего контроля, должен определять, в том числе методы деятельности службы внутреннего контроля, отвечающие требованиям настоящего положения. Подскажите, пожалуйста, на Ваш взгляд, какие это могут быть методы? Как их корректнее обозначить?

ОТВЕТ: Здесь примерно надо написать, что основными методами деятельности СВК являются:

- Предварительное согласование внутренних нормативных документов банка, регламентирующих порядок совершения операций и заключения сделок, на предмет наличия регуляторного риска, в случае временного отсутствия таких документов при принятии решения о внедрении новых банковских продуктов и услуг – документов, содержащих планируемые методы реализации таких услуг, заявок на разработку соответствующих программных продуктов. Результат согласования оформляется заключением о наличии регуляторного риска и необходимости внедрения контрольных процедур.

 - Мониторинг эффективности управления регуляторным риском посредством тестов, опросов, интервью сотрудников и руководителей подразделений, а также анализа документов, оформляемых сотрудниками при совершении операций на участках деятельности, наиболее подверженных регуляторному риску. Результаты мониторинга оформляются (отчетами, мотивированными суждениями и др. – определитесь в своем банке), представляемыми подразделениям, в которых проводился мониторинг, их кураторам и в случае необходимости проведения мероприятий по снижению регуляторного риска – Председателю Правления.

- Проверки выполнения подразделениями банка рекомендаций СВК или утвержденных Председателем Правления (куратором) мероприятий по снижению регуляторного риска. Результаты проверок оформляются отчетами о проверках, представляемыми подразделениям, в которых проводился мониторинг, их кураторам и в случае невыполнения мероприятий по снижению регуляторного риска – Председателю.

- Анализ управленческой и иной отчетности банка, баз данных подразделений банка и иной информации с целью определения направлений деятельности банка с высоким уровнем регуляторного риска и оценки его размера.

ВОПРОС: Рекомендации по становлению комплаенса в банках предусматривает  разработку методологии диагностики системы внутреннего контроля и оценки уровня комплаенс рисков, основанную на определении рисков в бизнес-процессах банка, определении и описании контрольных процедур в бизнес-процессах банка и т.д. (см. слайд 12). Заключение/расторжение трудовых договоров с сотрудниками Банка не попадают под определение бизнес-процессов. Разве потенциальные риски и последствия по данным процессам не входят в сферу комплаенса? За несоблюдение трудового договора могут последовать штрафные санкции со стороны трудовой инспекции, либо убытки, возникшие в результате исполнения судебного решения в пользу Работника по  вопросам несоблюдения Работодателем трудового законодательства.

ОТВЕТ: Лектором для примера был рассмотрен только один процесс «Кредитование корпоративных клиентов». СВК в банке необходимо по этому примеру проанализировать все процессы банка, в том числе и деятельность службы по работе с персоналом. Вы правы, комплаенс-риски присутствуют на этом участке. Возможно, в слайде не очень удачно применен термин «бизнес-процессы».

С другой стороны, помните, наряду с комплаенс-функцией по Базелю на второй линии защиты находится служба персонала, являющаяся также методологическим центром и регулятором в банке работы с персоналом. Банк России в Положении № 242-П как-то стороной обошел это и иные подразделения банка (юридическая служба), поэтому  по Базелю предполагается, что работа с  трудовыми договорами не является функцией комплаенса, т.е. СВК. В связи с неясностью этого вопроса, рекомендуем все-таки включить его в комплаенс-функцию.

ВОПРОС: Функции за ведение библиотеки Банка правильно будет возложить на СВК или СВА?  

ОТВЕТ: Библиотека – это регистрация и хранение внутренних нормативных документов банка? Если да, то это однозначно функция СВК, так как ей переданы функции по предварительному согласованию нормативных документов. Вообще-то регистрация документов во многих банках остается за канцелярией, но ведение Перечня документов в разрезе тематик и др. критериев надо передать в СВК.

ВОПРОС: В соответствии с материалами семинара в нормативных документах Банка следует разграничить  комплаенс и правовой риски, комплаенс и операционный риск. Риск потери деловой репутации полностью относится к комплаенсу или в какой-то части? Просим дать подробный ответ на вопрос: Какие еще риски нужно разграничивать с комплаенсом?

ОТВЕТ: готовых ответов нет. Банки находятся в поиске ответов на многие вопросы, в том числе и на эти.  Риск потери деловой репутации возможно отнести к комплаенс-риску в случае возможного существенного и чрезвычайного воздействия. Это разделение приведено в слайде 28. Такие риски, как рыночный, ликвидности, стратегический и др. могут привести к убыткам банка. СВК необходимо проанализировать достаточность мероприятий по управлению этими рисками, в случае выявления недостаточности именно этот риск отсутствия какого-либо мероприятия (например, отсутствие или недостаточная периодичность проведения стресс-тестирования в кризисное время) и будет являться регуляторным, и поставить под контроль соблюдение ответственными подразделениями и сотрудниками мероприятий по управлению этими рисками. Это личное мнение лектора. Впоследствии эти вопросы вероятно будут разъясняться, но начать можно с такого понимания.

ВОПРОС: В соответствии с материалами семинара для целей организации комплаенс-функции в Банке необходимо провести следующие мероприятия: издание Порядка организации системы внутреннего контроля, издание Политики управления комплаенс-риском (или можно всю информацию вместить в один документ – Политику?), издание Порядка мониторинга системы внутреннего контроля, издание Порядка оценки эффективности системы внутреннего контроля; пересмотреть продуктовые документы Банка на предмет наличия/отсутствия контрольных точек; пересмотреть Положения о структурных подразделениях и должностные инструкции сотрудников Банка на предмет взаимодействия с СВК и СВА, пересмотреть имеющиеся внутренние документы Банка по рискам на предмет разграничение области с комплаенсом; пересмотреть Положения по СВК и Положение СВА и ДИ; приступить к мониторингу имеющихся продуктов Банка на предмет наличия контрольных точек и возможности предупреждения комплаенс-рисков; создание по каждому бизнес-процессу паспортов регуляторного риска с оформлением уровня присущего риска и уровня контролируемого риска в отдельные матрицы для доведения до Председателя и членов Правления, СВА и НС; организовать учет событий, связанных с регуляторным риском. Какие мероприятия Банк еще должен предпринять? И в какой последовательности логичнее будет действовать?

ОТВЕТ: Положение об организации внутреннего контроля по направлениям системы внутреннего контроля и системе органов внутреннего контроля в соответствии с требованиями Положения № 242-П уже должно быть разработано. В части СВК сейчас необходимо минимально разработать Политику по управлению комплаенс-риском (по аналогии с Политикой управления рисками в банке) и Программу комплаенс (выявление, оценка и управление риском).  Не забывайте про функции СВК по Положению № 242-П, т.е. к перечисленным надо добавить анализ показателей динамики жалоб клиентов, согласование внутренних нормативных документов и новых программных продуктов, если нормативный документ временно отсутствует, а продукт уже внедряется, участие в разработке по коммерческому подкупу и коррупции, по профессиональной этике и др. (поручите это сотрудникам др.подразделений банка, оформите в ДИ и положениях о подразделениях, что они являются сотрудниками СВК в этих вопросах и др.).

ВОПРОС: Нужно ли направлять в ЦБ РФ План работы СВК на 2015 год?

ОТВЕТ: Если специально не запрашивают, то не надо.

ВОПРОС: Могут ли Начальник СВА м Начальник СВК принимать участие в ревизионной комиссии, инвентаризационной комиссии, расследованиях?

ОТВЕТ: У ревизионной комиссии свои функции по Уставу банка, поэтому СВК не может выполнять их функции. Инвентаризационные комиссии – это инструмент контроля главного бухгалтера. Если помните, он является органом внутреннего контроля со своими функциями в системе внутреннего контроля. СВК тоже является органом внутреннего контроля со своими функциями, поэтому теоретически СВК не должна принимать участие в инвентаризационных комиссиях. СВК может принимать участие в расследованиях, но не рядовых, ежедневных, а в сложных, непонятных инцидентах, на правах консультанта, т.е. не втягиваться в повседневную работу с иными рисками.

 
Обзор материалов семинара с участием Н.В.Волковой, 
начальника отдела методики капитала Банка России 
 
Лектор прокомментировал некоторые аспекты расчета капитала по 395-П, а также ответил на вопросы слушателей семинара.
 
Новости компании
Россия, 620062, г. Екатеринбург, пр. Ленина, 60-а. Телефон: (343) 375-74-02