Банковское обозрение, Москва, 3 декабря 2012 6:00:00
КЛЮЧЕВОЙ ЭЛЕМЕНТ
Автор: НАДЕЖДА КОЗЫРЕВА, ЧЛЕН ПРАВЛЕНИЯ, ДИРЕКТОР ДЕПАРТАМЕНТА КОМПЛАЕНС-КОНТРОЛЯ И ОПЕРАЦИОННЫХ РИСКОВ ДЖИИ МАНИ БАНКА, СПЕЦИАЛЬНО ДЛЯ "БО"
Грамотно построенная комплаенс-система способствует тому, что количество лояльных сотрудников приближается к 100%
Даже если в банке нет формализованных процессов управления комплаенс рисками, все равно какие-то элементы комплаенссистемы, в любом случае, присутствуют, и какой-то процент людей будет добровольно следовать правилам, установленным в кредитной организации.
Если обратиться к исследованиям в области мошенничества, то по статистике 40% сотрудников будут вести себя лояльно по отношению к работодателю и придерживаться установленных последним правил, 20% - будут склонны к злоупотреблениям (нарушать правила и заниматься мошенничеством), а еще 40 % - не определились, то есть, могут пойти по одному из этих путей. Все это зависит от внутренней среды, корпоративной культуры и от контрольных процедур, которые установлены в компании.
Грамотное построение комплаенс-системы будет способствовать тому, что количество лояльных сотрудников будет приближаться к 100%. Правда, на практике добиться 100% лояльности коллектива невозможно, а вот 70-80% лояльных сотрудников - реально достижимая цель.
Взаимосвязь между внутренним контролем, комплаенс-контролем и рисками
Эти три процесса направлены на достижение одной глобальной цели - помочь бизнесу избежать неприятностей. Поэтому комплаенс - это ключевой элемент системы управления рисками и внутреннего контроля.
Если посмотреть на процесс достижения бизнес-целей, любая компания ставит перед собой ряд стратегических целей, из которых вырастает уже более детальная бизнес-задача.
Каждой бизнес-задаче, в свою очередь, присущи риски, в целях минимизации которых обычно осуществляется ряд контрольных процедур. Уровень этих рисков (как присущих без учета контрольных процедур, так и остаточных), а также эффективность контрольных процедур необходимо мониторить на постоянной основе. Вопрос в том, каким образом выстроить комплаенс-систему, чтобы помочь бизнесу эти цели достичь, обеспечить осведомленность о рисках в процессе принятия решений, а также исключить дублирование функций междуразличными контролирующими органами. Соответственно, мы обращаемся непосредственно к системе внутреннего контроля.
Система внутреннего контроля
Не так давно вышла новая редакция документа Базельского комитета об органах внутреннего контроля. Там, как и раньше, говорится о трех линиях защиты. И соответственно, трех уровнях контроля. Есть контроль первого уровня - это те процедуры, которые осуществляются на повседневной основе непосредственно владельцами бизнес-процессов. Есть функции, которые составляют контроль второго уровня - это могут быть подразделения риск-менеджмента, комплаенса, контроль качества и так далее. И есть третий уровень - внутренний аудит, осуществляющий независимый контроль с прямым подчинением аудиторскому комитету.
И важно, правильно посмотрев на свой банк, определить, какие уровни контроля уже существуют. После проведения анализа эффективности, определить, где нужно что-то доработать или же, наоборот, убрать, если контрольные процедуры дублируют друг друга: либо не являются эффективными с точки зрения минимизации рисков, либо слишком обременительны с учетом незначительного уровня риска, который они, предположительно, минимизируют.
Четкое распределение ролей и обязанностей на каждом из трех уровней защиты будет способствовать более эффективному функционированию системы внутреннего контроля.
Если мы говорим непосредственно о комплаенс-контроле, то он присутствует и на первом, и на втором уровне.
Первый уровень комплаенс-контроля - это сотрудники, например, front-line, которые непосредственно взаимодействуют с клиентами. Они выполняют обязанности, определенные для них теми или иными политиками и процедурами в области комплаенс.
Второй уровень - подразделения, которые контролируют эффективное исполнение контроля первого уровня. Такими подразделениями могут быть комплаенс, риск менеджмент, контроль-качества, финансовый контроль или иные.
Служба внутреннего аудита (или служба внутреннего контроля, как ее принято называть в российской банковской практике)
- это уже независимый, точечный контроль третьего уровня, который, в идеале, не является частью менеджмента и подчиняется непосредственно совету директоров. Внутренний аудит, в том числе, проверяет эффективность второго уровня контроля, включая и само комплаенс-подразделение.
Если говорить о KPI комплаенс, то для нас это предотвращение проблем, связанных с комплаенс, и, если предотвратить не удалось, их выявление на самом раннем этапе с целью оперативного принятия ответных мер. Если комплаенс-система работает максимально эффективно, то те недостатки в области комплаенс-рисков, которые выявляет внутренний аудит или результаты внешних проверок, уже будут известны менеджменту, который эти риски решил принять, проведя их оценку, либо уже работает над их минимизацией. Таким образом, результаты аудита не станут неожиданностью.
Роль комплаенс в процессе управления рисками
Обращусь к документу Базельского комитета по банковскому надзору1, в соответствии с которым комплаенс-функция должна содействовать высшему руководству эффективно управлять всеми комплаенс-рисками, которым подвержена кредитная организация, посредством не только установления правил корпоративной этики, консультирования, предоставления рекомендаций, проведения обучения и взаимодействия с регуляторами, но и организации комплексной риск-ориентированной комплаенс-программы, покрывающей процессы выявления, оценки и анализа комплаенс-рисков, а также мониторинга и тестирования эффективности контрольных процедур и отчетности.
Также необходимо предусмотреть механизмы, обеспечивающие эффективное взаимодействие между контролирующими функциями (юристы, внутренние аудиторы, комплаенс-контролеры, риск-менеджеры).
Итак, очевидно, что комплаенс не ограничивается каким-то отдельным направлением (например, инсайд или ПОД/ФТ), равно как и консультированием, и предоставлением рекомендаций, а предполагает активное управление комплаенс-рисками, в том числе разделением ответственности с бизнесом. Ведь комплаенс, по своей сути, - "второй уровень контроля". Поэтому эффективная комплаенс-функция должна выявлять те риски, которые пропустил "первый уровень" и помогать их минимизировать там, где это требуется.
Сфера ответственности комплаенс-подразделений
В каждом банке может быть свой перечень контролируемых комплаенс-подразделением процессов. Хотя, как показывает российский и зарубежный опыт, есть базовый набор таких процессов:
ПОД/ФТ, экономические санкции, операции с аффилированными лицами, конфликты интересов, инсайдерская торговля, деятельность, связанная с регулированием ценных бумаг, анти-коррупционный комплаенс, кодекс поведения и бизнес-этики. Помимо этого, в зону внимания могут входить такие процессы как взаимодействие с надзорными и регулирующими органами, работа с жалобами клиентов, соблюдение стандартов ответственного банковского бизнеса, контроль над работой с аутсорсингом, поставщиками и посредниками, защита персональных данных, защита конкуренции.
В дополнение, комплаенс-подразделение должно активно участвовать в процессе внедрения новых продуктов банка и иных инициатив и обладать необходимыми полномочиями для комплексной оценки комплаенс-рисков в процессе принятия решений.
Важно отметить, что даже если часть процессов, таких, как соблюдение трудового законодательства, защита окружающей среды, здоровья и безопасности, процессы обеспечения непрерывности деятельности, интеллектуальная собственность, другие дисциплины управления рисками (операционный, информационная безопасность, рыночный, кредитный и т.д.) не входит в зону прямой ответственности комплаенс-подразделения, они все равно являются составляющей общей системы комплаенс-контроля и интегрированного управления рисками. Поэтому очень важно грамотно наладить взаимодействие всех вовлеченных функций и организовать необходимый обмен информацией.
Основа успеха - культура Конечно, все вышесказанное об организации структуры комплаенс-контроля и сопутствующих процессов важно, но все-таки основой успеха мы считаем культуру. Потому что, возвращаясь к теме 40% сотрудников, которые находятся в средней зоне между 20% - нелояльными и 40% - лояльными, можно утверждать, что колеблющиеся станут "хорошими" только за счет нахождения в соответствующей среде. Потому что культура определяет, как человек поведет себя в той или иной ситуации. Она - инструмент, который может помочь сотруднику в неоднозначной ситуации, при отсутствии четко предписанных правил или структур, принять правильное решение.
И, если он не уверен, подсказывает, куда ему обратиться за советом.
Чтобы развивать и поддерживать культуру, нужно и можно использовать различные инструменты. Безусловно, это - классическая теория кнута и пряника. То есть, можно наказывать за несоблюдение правил, а можно поощрять за соблюдение. Рекомендуется, в первую очередь, использовать инструменты поощрения: материальные и нематериальные награды, обучение, коучинг, наставничество, регулярные новостные выпуски с практическими примерами. А если они уже не работают, то точечно применять дисциплинарные инструменты.
Конечно, комплаенс-компонент или компонент качества также следует внедрить в бонусные схемы сотрудников на всех уровнях, чтобы изначально поощрять не только за то, какие показатели были достигнуты, но и зато, как они были достигнуты. Также рекомендуется регулярно оценивать эффективность своей культуры. Одним из инструментов может быть проведение анонимных опросов, чтобы определить слабые и сильные стороны компании. И по результатам этих опросов принять определенные меры.
Бывший СЕО компании Xerox Corporation David Kearns сказал: "Нет такого понятия, как компания с нейтральной корпоративной культурой. Либо вы развиваете этические правила, либо плохие практики одержат верх".
Для создания эффективной комплаенсструктуры нужно разработать программу. К примеру, программы, использующиеся у нас в банке, должны иметь четкие и прозрачные цели, которые можно на понятном языке объяснить каждому сотруднику, и помогающие предотвращать проблемы, связанные с нарушением правил и этики. Если предотвратить их не получилось, то необходимо обнаружить их на самом раннем этапе. Когда же проблемы обнаружены, принимать быстрые меры.
Соответственно, для исполнения этих целей должна быть стратегия и отлаженные процессы. Участие руководства банка в них, на наш взгляд, является ключевым. Но, помимо этого, должны быть созданы способы оценки и минимизации рисков, канал сообщения о проблемах - как конфиденциальный, так и прямой, процессы обучения и коммуникаций и, как минимум, ежегодная оценка эффективности этой программы, ее дальнейшее развитие и улучшение.
Процесс управления комплаенс-рисками В принципе, этот процесс ничем не отличается от любого другого процесса риск менеджмента. Для большей эффективности, следует интегрировать процесс управления комплаенс-рисками в общие процессы управления операционными рисками. В одних банках это делается посредством объединения не только методологий, но и функций операционного риска и комплаенс в единое подразделение. Другие кредитные организации реализуют эти функции в разных подразделениях, но обеспечивают эффективное взаимодействие в рамках единого подхода и единой методологии. В общем, и тот, и другой вариант имеют место быть.
Комплаенс-риски (включая правовые и репутационные риски) в нашей системе являются составляющей операционных рисков. Мы оцениваем все операционные риски по шкале вероятности и влияния. Затем мы определяем, какие из них критичны с точки зрения CTC (critical to compliance, то есть важно для соответствия). Далее, через "систему раннего реагирования" на постоянной основе отслеживаем факторы, которые могут изменить первоначальную оценку (повлиять на вероятность реализации этого риска или на его влияние).
Пример составляющей системы раннего реагирования - мониторинг внешней среды. Например, у нас есть проект - законопроект о потребительском кредитовании - и можно уже на стадии проекта оценить, какое влияние нововведения окажут на наши процессы, сколько времени и ресурсов потребуется для их внедрения. И на этом этапе, когда требования еще не вступили в силу, донести до руководства оценку появившегося риска, который возникнет на горизонте, и согласовать дальнейший план действий.
Для каждого critical to compliance риска следует иметь, где это необходимо, политики, процедуры или правила, определить ответственных за этот процесс. Безусловно, нужно запускать процессы обучения, чтобы сотрудник понимал, что от него требуется коучинг, обучение, наставничество. Но, помимо этого, должны быть также определены контрольные процедуры, предпочтительно превентивные.
Дополнительно такие контроли следует периодически тестировать, так как, зачастую, в силу человеческого фактора или системных сбоев, они не работают таким образом, которым должны. Дальше следует процесс отчетности, принятия ответных мер и мониторинга.
Остаточный уровень риска, с учетом контрольных процедур, должен быть декларирован руководству. Оно должно участвовать в этом процессе и принимать решения с учетом этих рисков.
Хочу повториться, что у комплаенс-функции нет цели полностью исключить комплаенс-риски. Основная цель - обеспечить осведомленность в процессе принятия решения. В общем-то, каждый руководитель имеет право принять свои риски. Просто он должен четко понимать последствия такого действия, проведя cost-benefit анализ.
Взаимодействие между комплаенс-службой и другими подразделениями Обычно смежными подразделениями, с точки зрения системы внутреннего контроля, для комплаенс являются внутренний аудит, юристы, риск-менеджмент, финансы (список не является исчерпывающим). Каждая организация должна сама для себя этот процесс взаимодействия наладить - готового решения нет и быть не может, в силу специфики внутренней организации.
Отдельно хочу отметить, что нужно постараться исключить дублирование. Например, если говорить о внутреннем аудите, понятно, что аудиторы не могут использовать результаты тестирования со стороны комплаенс взамен своего тестирования. Но комплаенс может использовать результаты внутреннего аудита. При этом внутренний аудит по результатам работы комплаенс может понять, какие есть недостатки в процессах и сконцентрировать свои усилия на других областях. Поэтому здесь надо грамотно организовать процесс обмена информацией и стараться сконцентрироваться на том, что еще не охвачено.