11.01.2018 Дата принятия: 27.12.2017
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
ИНФОРМАЦИОННОЕ ПИСЬМО
от 27 декабря 2017 г. N ИН-014-12/64
О ВОПРОСАХ
ПРИМЕНЕНИЯ РИСК-ОРИЕНТИРОВАННОГО ПОДХОДА В СФЕРЕ ПОД/ФТ
Риск-ориентированный подход в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (далее - ПОД/ФТ) является основой Международных стандартов по противодействию отмыванию денег, финансированию терроризма и финансированию распространения оружия массового уничтожения Группы разработки финансовых мер борьбы с отмыванием денег (ФАТФ). Согласно Рекомендации 1 ФАТФ финансовые учреждения обязаны определять, оценивать и принимать меры по снижению собственных рисков отмывания денег и финансирования терроризма (далее - ОД/ФТ).
Риск-ориентированный подход позволяет гибко применять меры ПОД/ФТ, с тем чтобы более эффективно распределять имеющиеся ресурсы и направлять усилия на предупредительные меры в областях высокого риска ОД/ФТ.
Тематика применения риск-ориентированного подхода в сфере ПОД/ФТ получила свое развитие в ряде документов, принятых международными органами и объединениями, специализирующимися на вопросах ПОД/ФТ. В частности, ФАТФ были приняты следующие документы:
- доклад "Специфические факторы, указывающие на риск отмывания доходов от коррупции", 2012 год ("Specific Risk Factors in the Laundering of Proceeds of Corruption");
- руководство "О риск-ориентированном подходе к предоплаченным картам, мобильным платежам и платежным услугам, осуществляемым через Интернет", 2013 год ("Guidance for a Risk-Based Approach: Prepaid Cards, Mobile Payments and Internet-Based Payment Services");
- руководство "О риск-ориентированном подходе в банковском секторе", 2014 год ("Risk-Based Approach Guidance for the Banking Sector");
- руководство "О риск-ориентированном подходе при использовании виртуальных валют", 2015 год ("Guidance for a Risk-Based Approach to Virtual Currencies");
- руководство "О риск-ориентированном подходе для организаций, осуществляющих переводы денежных средств или ценностей", 2016 год ("Guidance for a Risk-Based Approach for Money or Value Transfer Services");
- руководство "О корреспондентских банковских услугах", 2016 год ("Guidance on Correspondent Banking Services").
Переводы указанных документов размещены на официальном сайте Международного учебно-методического центра финансового мониторинга (МУМЦФМ) в информационно-телекоммуникационной сети "Интернет", а также на официальном сайте Банка России в разделе "Противодействие отмыванию денег и финансированию терроризма".
В сентябре 2015 года Вольфсбергской группой <1> был подготовлен документ "Актуальные вопросы оценки рисков отмывания денег, применения санкций, взяточничества и коррупции" ("The Wolfsberg Frequently Asked Questions on Risk Assessments for Money Laundering, Sanctions and Bribery & Corruption").
--------------------------------
<1> Вольфсбергская группа является ассоциацией тринадцати глобальных банков (Banco Santander, Bank of America, Bank of Tokyo-Mitsubishi-UFJ Ltd, Barclays, Citigroup, Credit Suisse, Deutsche Bank, Goldman Sachs, HSBC, JP Morgan Chase, Societe Generale, Standard Chartered Bank и UBS), целью которой является разработка рекомендаций по управлению рисками, связанными с совершением финансовых преступлений. Особое внимание Вольфсбергской группой уделяется совершенствованию практики "знай своего клиента" и мер ПОД/ФТ.
Указанный документ представляет практический интерес для кредитных организаций, поскольку содержит рекомендации по организации системы оценки рисков ОД/ФТ, рисков применения целевых финансовых санкций и рисков подкупа должностных лиц финансовых учреждений, необходимой для предотвращения вовлечения финансовых организаций в незаконную деятельность, связанную с ОД/ФТ, коррупцией. В нем также приведены примеры проведения оценки рисков, присвоения рейтингов по типу клиентов, видам финансовых услуг и другим критериям, применения весовых коэффициентов выявленных рисков.
В связи с этим Банк России направляет неофициальный перевод указанного документа Вольфсбергской группы (приложение N 1) для использования при организации работы по управлению рисками ОД/ФТ.
Для информации направляется также перевод документа Вольфсбергской группы "Руководство по Программе обеспечения соответствия требованиям законодательства по противодействию взяточничеству и коррупции", принятого в июле 2017 года (приложение N 2). Документ содержит рекомендации по организации риск-ориентированных механизмов контроля коррупционных рисков, эффективная реализация которых способствует снижению риска ОД от коррупции и взяточничества в финансовой организации.
С документами Вольфсбергской гуппы на английском языке можно ознакомиться на официальном сайте Группы в информационно-телекоммуникационной сети "Интернет" по ссылкам:
- http://www.wolfsberg-principles.com/pdf/faq/Wolfsberg-Risk-Assessment-FAQs-2015.pdf;
http://www.wolfsberg-principles.com/pdf/home/Wolfsberg-Group-AВC-Guidance-June-2017.pdf.
Настоящее письмо подлежит опубликованию в "Вестнике Банка России" и размещению на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет".
Д.Г.СКОБЕЛКИН
Приложение N 1
к информационному письму
от 27.12.2017 N ИН-014-12/64
АКТУАЛЬНЫЕ ВОПРОСЫ
ОЦЕНКИ РИСКОВ ОТМЫВАНИЯ ДЕНЕГ, ПРИМЕНЕНИЯ САНКЦИЙ,
ВЗЯТОЧНИЧЕСТВА И КОРРУПЦИИ
Оценка рисков, связанная с совершением финансовых преступлений, является одним из элементов осуществляемого финансовыми организациями/фирмами (далее - финансовая организация) внутреннего контроля в целях противодействия финансовым преступлениям, который может быть использован для усиления системы внутреннего контроля в финансовых организациях. Результаты оценок позволяют выявить основные сферы деятельности, подверженные рискам, повысить качество управления этими рисками и обеспечивают размещение ресурсов в наиболее уязвимых к риску областях, а также принятие стратегических (долгосрочных) и тактических (среднесрочных) планов действий по управлению выявленными рисками.
В результате любой оценки рисков возникают многочисленные вопросы. В настоящем документе сформулированы некоторые из наиболее часто задаваемых вопросов и ответы на них. Другие подразделения финансовой организации, осуществляющие управление предпринимательским риском, контроль соответствия требованиям или аудит, могут также использовать формы оценки рисков и в дальнейшем, насколько это возможно, координировать предпринимаемые меры и полученные результаты всех оценок рисков.
Вольфсбергская группа международных финансовых организаций <1> подготовила настоящий документ, руководствуясь взглядами членов Вольфсбергской группы на существующую на сегодняшний день передовую практику, и с пониманием того, как со временем эта практика должна развиваться. Вольфсбергская группа полагает, что настоящий документ внесет свой вклад в работу по продвижению практик эффективного управления рисками и будет способствовать достижению цели членов Вольфсбергской группы, заключающейся в стремлении не допустить использование их финансовых организаций в незаконных целях.
--------------------------------
<1> Вольфсбергская группа состоит из следующих финансовых организаций: Banco Santander, Bank of America, Bank of Tokyo-Mitsubishi-UFJ Ltd, Barclays, Citigroup, Credit Suisse, Deutsche Bank, Goldman Sachs, HSBC, JPMorgan Chase, Societe Generale, Standard Chartered и UBS. В подготовке настоящего документа также приняли участие American Express, Lloyds и RBS.
Глоссарий основных терминов, используемых в документе, приведен в приложении A.
Введение
Литературы, посвященной пониманию риска в зависимости от содержания, размера группы и ряда других факторов, очень много. Большинство финансовых организаций, как правило, использует оценку рисков в таких областях как кредитный риск или рыночный риск, где не представляется затруднительным определить количественное значение риска, который, как правило, оценивают до его принятия. Однако оценка риска финансового преступления несколько отличается, поскольку сосредоточена на оценке "косвенного" риска, то есть риска, отражающего внутреннюю и внешнюю среду финансовой организации, в том числе инструменты контроля, направленные на снижение рисков. Тем не менее, при проведении обоих видов оценки методологии количественной и качественной оценки рисков представляются полезными, поскольку помогают финансовой организации в оценке рисков, понимании изучаемого явления, анализе источников и влияния риска финансового преступления и разработке инструментов и методов управления этими рисками. В своих лучших проявлениях они позволяют устранить значительную часть предвзятости и субъективности анализа риска, а также предоставляют финансовым организациям инструмент измерения риска.
В январе 2014 года Базельским комитетом по банковскому надзору (БКБН) издан документ, получивший название "Эффективное управление рисками отмывания денег и финансирования терроризма" <2>, который содержит следующее заявление о важности и порядке осуществления оценок риска:
--------------------------------
<2> http://www.bis.org/publ/bcbs275.pdf
"Эффективное управление риском предусматривает проведение идентификации и анализа рисков отмывания денег и финансирования терроризма в банке, а также разработку и эффективное внедрение политики и процедур, соразмерных выявленным рискам. При проведении всесторонней оценки риска для выявления рисков отмывания денег и финансирования терроризма, банк должен учитывать все существенные факторы присущего и остаточного риска, в числе прочего, на страновом, секторальном, банковском уровнях и уровне деловых отношений, для того чтобы определить свой профиль риска и соответствующий, необходимый уровень его снижения".
Несмотря на то, что указанный документ БКБН был издан относительно недавно, на протяжении длительного времени другие правовые режимы предусматривают проведение оценки рисков. Например, в США в Руководстве по проведению проверок в сфере противодействия отмыванию денег (ПОД), подготовленном Федеральным советом по надзору за финансовыми организациями (ФСНФО), предусмотрено, что руководство банка должно:
"... выстроить банковскую программу соответствия требованиям по ПОД в соответствии с профилем риска, идентифицированного по результатам оценки риска, ... разработать соответствующие политику, процедуры и процесс мониторинга и контроля рисков отмывания денег (ОД). Например, системы мониторинга банка по выявлению, изучению и направлению сообщений о подозрительной деятельности должны разрабатываться с учетом риска; при этом особое внимание должно уделяться продуктам, услугам, клиентам, лицам и географическим регионам с высоким уровнем риска, идентифицированным банком ... при проведении оценки риска". <3>
--------------------------------
<3> https://www.ffiec.gov/bsa_aml_infobase/documents/BSA_AML_Man_2014.pdf
В Великобритании в Руководстве, подготовленном Совместной координационной группой по ПОД, изложены некоторые суждения, которые должны быть учтены при осуществлении оценки рисков. При этом центральной темой указанного Руководства стала практика применения риск-ориентированного подхода. <4>
--------------------------------
<4> http://www.jmlsg.org.uk/industry-guidance/article/jmlsg-guidance-current
В целях настоящего документа при обращении к вопросу оценки риска ОД возникло общее понимание необходимости включения в него вопросов финансирования терроризма (ФТ), применения санкций, взяточничества и коррупции. Тем не менее, как будет отмечено далее по нижеприведенному вопросу 5, хотя может иметь место значительное совпадение факторов, используемых при оценке рисков ОД, взяточничества и коррупции, оценка рисков взяточничества и коррупции может также включать вспомогательные компоненты, которые обычно не используются в стандартных оценках рисков ОД и применения санкций. При этом в конечном итоге структура организации, результаты ее деятельности и деловые приоритеты будут оказывать сильное влияние на то, как фирма разработает свою методологию оценки.
Несмотря на то, что вышеуказанный подход, как правило, применяется большинством финансовых организаций, другие подходы и их вариации, такие как, например, практика использования сценариев риска, в рамках которой оцениваются вероятность реализации сценариев ОД/ФТ и степень их воздействия, как метод расчета присущего риска финансовой организации, эффективно используются и в дальнейшем будут эффективно использоваться финансовыми организациями.
Существует множество способов проведения оценки рисков, и каждая финансовая организация должна внедрять соответствующие методологии с учетом ряда различных факторов, включающих, в том числе, ее размер, глобальное присутствие, рынки, организацию и риск-аппетит. Для обеспечения эффективности оценки риска руководство высшего звена совместно с основными заинтересованным сторонами должны обеспечить соответствующую поддержку деятельности по формированию здоровой культуры соблюдения установленных требований.
1. В чем заключается цель оценки риска?
Основная цель оценки риска ОД - совершенствование управления риском финансовых преступлений путем выявления общих и специфических рисков ОД, с которыми сталкивается финансовая организация, определив, как эти риски снижаются средствами контроля в соответствии с программой ПОД организации, и установив остаточный риск финансовой организации.
Результаты оценки риска могут использоваться для различных целей, в частности, для:
- выявления недостатков в политике, процедурах и процессах ПОД, а также возможностей для их усовершенствования;
- принятия обоснованных решений в отношении риск-аппетита, реализации мер контроля, распределения ресурсов и использования технологий;
- оказания содействия руководству в понимании того, насколько внутренняя организация структурного подразделения либо программа соответствия требованиям ПОД в рамках того или иного направления деятельности финансовой организации соответствуют ее профилю риска;
- выработки стратегий смягчения риска, включающих действующие механизмы внутреннего контроля, и, соответственно, снижения подверженности структурного подразделения или направления деятельности финансовой организации остаточному риску;
- обеспечения осведомленности руководства высшего звена об основных рисках, недостатках в системе контроля и мерах по их устранению;
- содействия руководству высшего звена в принятии стратегических решений в отношении прекращения/ликвидации того или иного вида коммерческой деятельности;
- обеспечения осведомленности регуляторов об основных рисках, недостатках в системе контроля и мерах по их устранению в рамках финансовой организации;
- содействия руководству в обеспечении соответствия выделяемых ресурсов и приоритетов организации рискам.
2. Как часто должна проводиться оценка рисков в масштабе финансовой организации?
Проведение оценки рисков в финансовой организации является сложной и ресурсоемкой задачей, но, тем не менее, необходимой для понимания внутренней рисковой среды финансовой организации. Периодичность проведения оценки рисков в организации зависит от ряда факторов, среди которых: применяемая методология, вид и объем промежуточных проверок, результаты оценки рисков, а также внутренние и внешние рисковые события.
Финансовая организация должна определиться в отношении требуемой периодичности оценки рисков для поддержания актуальности ее результатов и программы снижения рисков. Некоторые финансовые организации актуализируют свои оценки рисков на ежегодной основе; однако, при отсутствии существенных изменений во внутренней рисковой среде финансовой организации, некоторые из них могут сделать выбор в пользу оценки риска с менее высокой периодичностью. В исключительных обстоятельствах, таких, как, например, действия регулятора, оценка риска может осуществляться чаще, чем раз в год.
Вне зависимости от частоты проведения оценки рисков финансовая организация, как правило, обязана ежегодно информировать о состоянии среды риска ОД, либо в форме ежегодных отчетов, либо других видов отчетности. По существу, одним из подходов является проведение автоматического промежуточного подтверждения самой поздней оценки риска; при этом внимание должно уделяться наличию каких-либо изменений в ранее определенной рисковой среде. Эти изменения могут быть результатом внутренних (например, значительный рост количества сообщений о подозрительных операциях) и внешних (например, применение значительных мер воздействия в отношении рассматриваемой организации) факторов влияния. Любые изменения могут привести к необходимости инициирования дополнительных планов действий или реализации углубленной оценки в определенных областях.
Дополнительно может быть проведена узконаправленная оценка риска, сфокусированная на областях высокого риска и конкретных механизмах внутреннего контроля, применяемых к заданному риску. Результаты этих узконаправленных оценок могут быть включены в следующую регулярную оценку риска ОД.
Финансовые организации должны регулярно (желательно ежегодно) пересматривать свою методологию в целях обеспечения тщательного отражения в них любых изменений во внутренних и внешних факторах, для обеспечения максимально точного описания возможного риска. Любые изменения в методологии, вносимые ежегодно, должны быть тщательно задокументированы и утверждены соответствующим руководящим органом (например, руководством высшего звена, исполнительным комитетом по противодействию финансовым преступлениям). Изменения необходимо оценивать с точки зрения способности финансовой организации сопоставить их с результатами предыдущего года, иначе предположительно существенные изменения результатов могут быть несостоятельны, не четко объяснимы или непонятны. Также финансовые организации могут выбрать регулярный пересмотр методологии, проводимый независимым лицом, например, аудитором или независимой третьей стороной. Это позволит обеспечить согласованность подходов к управлению рисками в рамках финансовой организации, а также сравнить методологию с аналогами в рассматриваемой индустрии.
3. Как должна быть организована оценка рисков?
Какой бы ни был избран подход, финансовые организации должны обеспечить тщательное документирование и утверждение такого подхода руководством высшего звена. Методология оценки риска должна содержать четкие формулировки, особенно применительно к оцениваемым факторам, критериям, используемым для присвоения баллов, к соответствующим весовым коэффициентам, используемым в методологии количественной оценки, к применяемым оценочным корректировкам, включая, в частности, разумные основания для таких корректировок и специфические параметры направления деятельности/структурного подразделения финансовой организации. В то время как произвольные оценочные корректировки не должны быть нормой, могут возникнуть обстоятельства, при которых корректировка "в ручном режиме" становится необходимой, особенно в ходе первых нескольких оценок рисков и до тех пор, пока применяемая методология оценки не стабилизируется.
Способ проведения оценки риска может повлиять на решение, к чьей компетенции относится такая оценка, и кто ей управляет, то есть: проводится ли оценка риска на уровне отдельных направлений деятельности, страны, региона или финансовой организации; кроме того, на указанное решение окажет влияние структура, глобальное присутствие и уровень сложности деятельности финансовой организации. Для оценки риска в масштабе финансовой организации могут быть агрегированы несколько оценок (до общего уровня организации), хотя реализация тактических действий может оставаться в компетенции отдельных направлений деятельности финансовой организации, нежели на уровне финансовой организации/группы компаний. При этом предпочтительно, чтобы осуществление стратегических действий относилось к компетенции и осуществлялось на уровне группы компаний или региональном уровне. Лица, к компетенции которых относится осуществление тех или иных действий, могут различаться в зависимости от масштабов и сложности деятельности финансовой организации; тем не менее, они должны находиться в наиболее благоприятном положении с точки зрения принятия на себя ответственности за обеспечение выполнения необходимых действий.
Охват оценки рисков должен быть четко сформулирован, то есть: (i) оценка рисков проводится независимо от конкретного направления деятельности и посвящена вопросам соблюдения требований законодательства, или (ii) это комплексная оценка рисков, охватывающая одновременно вопросы деятельности финансовой организации и соблюдения требований законодательства.
Аналогичным образом форма проводимой оценки или виды задаваемых вопросов могут различаться в зависимости от оцениваемой сферы бизнеса (в том случае если деятельность финансовой организации охватывает ту или иную сферу бизнеса). Например, финансовая организация, предоставляющая исключительно услуги по управлению активами состоятельных лиц, может сфокусировать свои вопросы и инструменты контроля преимущественно на рисках, связанных с особенностями географического "присутствия", и риске по типу клиента, нежели на рисках по виду предоставляемых продуктов или каналов их реализации, которые, вероятно, представляют больший интерес для розничного бизнеса. Это позволит обеспечить повышенное внимание оцениваемой сфере и провести более тщательный анализ.
Проводя оценку рисков, финансовые организации должны выбрать подходящий формат сопоставления ее результатов. Возможные варианты включают: (i) создание индивидуальной внутренней системы регистрации ответов на вопросы, задаваемые в рамках оценки рисков, и присвоения рискам соответствующих уровней, (ii) использование программ для работы с электронными таблицами, (iii) расчет уровней рисков вручную, а также другие возможные варианты. Выбранный подход должен быть соизмерим с размером и сложностью деятельности финансовой организации, поскольку от этого зависит результативность и управляемость оценки рисков. Финансовая организация должна выбрать наиболее подходящий подход и после принятия решения задокументировать его логическое обоснование. При принятии решения финансовая организация также должна учесть, возможно ли с использованием такого подхода рассчитать уровни рисков и отслеживать действия, которые потребовалось предпринять в ходе проведения оценки рисков. Хотя упомянутые действия могут затрагивать другую внутреннюю систему, должно быть зафиксировано, что определенное действие явилось результатом оценки риска.
Если в финансовой организации используются различные подходы, принципы методологии оценки рисков должны соблюдаться последовательно, с тем чтобы соответствующие результаты могли быть сопоставимы с точки зрения уровней идентифицированных рисков. После завершения разработки методологии оценки рисков финансовой организации целесообразно обеспечить последовательность в ее применении на определенном уровне, то есть: никакие изменения в методологии не должны становиться препятствием для сопоставления результатов проведенной оценки рисков с результатами предыдущих оценок рисков, с тем чтобы имелась возможность выявить реальные рост/стабильность/снижение рисков в любой финансовой организации. Пример процесса структурирования оценки рисков приведен в приложении B.
4. К чьей компетенции относится осуществление оценки рисков?
Ответственность за рисковую среду несет руководство финансовой организации. Оно может делегировать оценку рисков юридической службе/подразделению по противодействию финансовым преступлениям/подразделению, ответственному за соблюдение законодательства о ПОД (далее - Служба ПОД), которые могут быть наделены первостепенной обязанностью по инициированию и проведению оценки рисков ОД. Это может включать такие задачи, как: разработка методологии, поддержание ее актуальности, периодическое обновление/инициирование процессов оценки, а также хранение данных о завершенных оценках. Руководители, ответственные за конкретные направления деятельности финансовой организации, а также другие непрофильные подразделения, такие как, например, подразделения информационных технологий, управления операционным риском и платежей, могут быть также обязаны принимать участие в оценке рисков. Следует отметить, что, хотя руководство высшего звена финансовой организации может делегировать процесс оценки рисков Службе ПОД, ответственность за риски сохраняется строго за подразделением, к компетенции которого может также относиться осуществление любых действий, требующихся в связи с выявлением в ходе оценки рисков упущений и недостатков (см. вопрос 3).
Цель оценки рисков и вклад, требуемый от каждой стороны, должны быть четко определены; при этом в рамках процесса ежегодной постановки задач перед персоналом финансовой организации по усмотрению финансовых организаций могут быть определены конкретные обязанности соответствующих сотрудников при проведении оценки рисков. Финансовые организации должны также обеспечить своевременное и соответствующее потребностям обучение/консультации сотрудников, участвующих в проведении оценки риска, с тем чтобы гарантировать последовательность в реализации подхода, например, в отношении понимания специальной терминологии.
Выбранный механизм оценки рисков должен быть в полной мере утвержден руководством финансовой организации и использоваться в качестве одного из инструментов, посредством которых поддерживается культура соблюдения требований законодательства. Служба ПОД должна гарантировать наличие необходимых ресурсов для управления процессом оценки рисков и ее результатами.
5. Должна ли оценка рисков ОД включать оценку рисков взяточничества и коррупции наряду с рисками других значительных финансовых преступлений?
В большинстве финансовых организаций подразделения по обеспечению соблюдения требований законодательства в сфере ПОД ведут вопросы ПОД (включая противодействие ФТ), применения целевых санкций, противодействия взяточничеству и коррупции в рамках одного подразделения, как правило, подразделения по соблюдению требований законодательства в сфере противодействия финансовым преступлениям. До начала оценки рисков ОД финансовая организация должна, прежде всего, оценить и определить объем и содержание предстоящей оценки рисков. Исторически сложилось, что оценки рисков ОД сосредоточены на рисках по типу клиента, виду операции и других рисках, связанных с наиболее традиционными формами ОД. Однако со временем новые виды финансовых преступлений стали предикатными по отношению к ОД, и, таким образом, в рамках обеспечения соблюдения требований законодательства в сфере ПОД рассматривается более широкий спектр подозрительной деятельности. В связи с этим процесс оценки рисков может включать оценку разнообразных и иногда несопоставимых видов деятельности, среди которых ОД, применение международных санкций, взяточничество и коррупция, различные виды мошенничества, инсайдерская торговля, манипулирование рынком и уклонение от уплаты налогов. В этом случае может иметь место не только дублирование факторов, используемых для оценки различных рисков, но и их значительное несовпадение.
В связи с этим финансовые организации могут предпочесть проведение единой оценки рисков, охватывающей все упомянутые области, осуществление отдельных оценок либо комбинацию указанных вариантов. Ниже приведены вопросы, которые следует рассмотреть для принятия решения в отношении широты охвата оценки риска:
- Санкции. В известной мере оценка рисков применения санкций пересекается с вопросами ОД и часто проводится в увязке с оценкой рисков ОД, хотя и требует наличия сведений и источников информации, характерных для данной области и зачастую доступных только в централизованном порядке. Руководства, издаваемые регуляторами, в особенности в США, предусматривают различные факторы повышенного риска, которые должны учитываться в рамках оценки рисков применения санкций, включающие, в числе прочего: международные денежные переводы, так называемые "счета нерезидентов" или "индивидуальные счета временных резидентов без постоянного места жительства"; счета иностранных клиентов; трансграничные операции автоматизированной клиринговой палаты; аккредитивы и другие инструменты торгового финансирования; электронные банковские операции; корреспондентские счета иностранных банков; транзитные счета; обслуживание состоятельных клиентов по всему миру; иностранные отделения и дочерние банки; инвестиции в иностранные ценные бумаги; объединенные счета, используемые посредниками и третьими лицами для проведения биржевых операций. Многие из этих, а также других подобных факторов, как правило, связаны с оценками рисков ОД. Однако природа и эффективность инструментов контроля, ориентированных на снижение рисков, связанных с применением санкций, в особенности системы скриннинга санкционных списков при проведении платежей, поступлении денежных средств и других переводах активов, могут отличаться от основных инструментов снижения рисков в сфере ПОД. Другие инструменты, такие как уровень надлежащей проверки клиентов с повышенным риском применения санкций, обычно являются компонентами программы ПОД финансовой организации.
- Взяточничество и коррупция. Факторы, используемые для оценки рисков ОД, могут быть также применимы при оценке рисков взяточничества и коррупции. Например, юрисдикция клиентов и/или расположения структурных подразделений финансовой организации важны для оценки и рисков ОД, и рисков взяточничества и коррупции. Риск, исходящий от юрисдикции, частично зависит от таких факторов, как, например, наличие нормативного правового регулирования, устойчивость регулятивной среды и уровень правовой культуры. Эти факторы существенно влияют и на риски ОД, и на риски взяточничества и коррупции. Определенные аспекты клиентской базы финансовой организации также будут значимыми с точки зрения рисков ОД и рисков взяточничества и коррупции. Например, объем, доля и/или размер организации клиентов, связанных с правительственными органами, могут оказывать влияние и на риски ОД, и на риски взяточничества и коррупции, хотя и в разной степени. Несмотря на то, что существует некоторое дублирование факторов, используемых при оценке рисков ОД и рисков взяточничества и коррупции, некоторые другие факторы могут быть гораздо более актуальными для оценки рисков взяточничества и коррупции. Среди таких факторов - наличие третьих сторон, действующих от имени и по поручению финансовой организации, практика найма персонала, благотворительная деятельность, вручение деловых подарков и проведение развлекательных мероприятий. Указанные факторы, а также иные не противоречащие законодательству практики деловых отношений потенциально могут быть использованы ненадлежащим образом для предоставления каких-либо преимуществ конкретному представителю государственной власти либо сотруднику клиента или третьей стороне (либо получения от указанных лиц соответствующих преимуществ) и, соответственно, могут создать риски взяточничества. В связи с этим склонность к применению таких практик и их масштаб необходимо учитывать в рамках оценки рисков взяточничества и коррупции.
Следует обеспечить возможность выделения любого из этих видов рисков в рамках оценки рисков на основе собранных базовых сведений, что позволит создать условия для подготовки конкретных суждений в отношении рисков.
Вне зависимости от того, осуществляет ли финансовая организация в официальном порядке оценку вышеизложенных (и иных) рисков финансовых преступлений посредством единой оценки рисков ОД либо отдельных процессов оценки, необходимо обеспечить понимание Службой ПОД масштаба рисков, существующих в рамках финансовой организации. Аналогичным образом Службе ПОД следует понимать уровень эффективности и имеющиеся недостатки в инструментах контроля, ориентированных на снижение соответствующих рисков финансовой организации, вне зависимости от того, относится ли к компетенции Службы ПОД управление и поддержание указанных инструментов.
В последнее время такие правонарушения, как осуществление инсайдерских сделок и манипулирование рынком, стали предикатными преступлениями по отношению к ОД и, по существу, могут рассматриваться в рамках оценки рисков ОД. Тем не менее, на данный момент они, как правило, подлежат рассмотрению без увязки с оценкой рисков ОД, несмотря на сходство методологий оценок упомянутых видов риска. В случае если в соответствии с решением регулирующего органа/органа законодательной власти перечень предикатных преступлений дополняется новым правонарушением, может возникнуть необходимость пересмотреть методологию оценки, с тем чтобы обеспечить ее надлежащий охват.
6. Какова традиционная/стандартная методология оценки рисков ОД?
Несмотря на существование множества способов проведения оценки рисков, наиболее распространенным подходом, который все чаще используется финансовыми организациями, является так называемая "традиционная/стандартная методология". Нижеприведенная схема позволяет проиллюстрировать, что такая методология может подразумевать на практике, хотя, безусловно, в различных финансовых организациях она может принимать различные формы:
Рисунок (не приводится)
Оценка рисков должна охватывать всю деятельность финансовой организации; при этом она может осуществляться частями или как компонент цикла деятельности финансовой организации, с тем чтобы сосредоточиться на конкретных сферах, таких как: подразделения, внутренние структурные единицы финансовой организации либо отдельные направления ее деятельности, страны и/или юридические лица. В рамках оценки рисков следует рассматривать все значимые факторы присущего риска ОД для определения профиля риска и последующей оценки природы инструментов контроля, ориентированных на снижение рисков, как с точки зрения их разработки, так и с позиции их операционной эффективности, с тем, чтобы определить остаточный риск, который должен находиться в рамках установленного риск-аппетита финансовой организации. В то время как оценка рисков является сферой ответственности всей финансовой организации, оценка рисков ОД, как правило, моделируется и осуществляется компетентной Службой ПОД, которая руководствуется специальными знаниями и экспертными навыками, а также осуществляет сбор необходимой информации из внешних и внутренних источников. Оценка рисков может рассматриваться как трехэтапный процесс:
Этап 1: |
Определение присущего риска |
Этап 2: |
Оценка среды осуществления внутреннего контроля (как с точки зрения разработки инструментов, так и с позиции операционной эффективности) |
Этап 3: |
Определение остаточного риска |
6.1. Этап 1 - Оценка присущего риска
Присущий риск представляет собой подверженность рискам, связанным с ОД, применением санкций, взяточничеством и коррупцией, в отсутствие применения каких-либо инструментов контроля.
Поскольку абсолютно идентичных финансовых организаций не существует, уровни рисков, присущих финансовым организациям, могут различаться в зависимости от масштабов и сферы их деятельности, а также от принимаемых ими рисков. Для выявления рисков, присущих финансовой организации, как правило, проводится оценка по следующим пяти категориям риска (хотя прочие факторы также могут учитываться):
1. Клиенты
2. Продукты и услуги
3. Каналы реализации продуктов и услуг
4. Особенности географического "присутствия"
5. Прочие факторы качественной оценки риска
Категории рисков, с которыми сталкиваются финансовые организации, могут быть весьма широкими. В рамках указанных широких категорий рисков на основе рекомендаций либо ожиданий регулирующих органов и передового опыта в соответствующей отрасли выделяются факторы присущего риска, содержащие комбинацию качественных и количественных критериев. Факторы рисков представляют собой основные предпосылки или базовые условия, при которых финансовая организация может быть использована в целях совершения финансовых преступлений.
Ненадлежащее управление факторами рисков может привести к возникновению репутационного риска, применению мер воздействия регулятивного и правового характера, а также возможным последующим финансовым издержкам. С учетом вида деятельности определенного структурного подразделения или продуктов и услуг, предоставляемых в рамках определенного направления деятельности финансовой организации, и клиентской базы для определения присущего риска используется риск-ориентированный подход. Как правило, каждому фактору риска присваивается оценка или весовой коэффициент, отражающие уровень риска, связанного с этим фактором риска, и его значимость в сравнении с прочими факторами риска.
Финансовым организациям необходимо определить, какую систему выставления оценок следует использовать в тех случаях, когда оказывается затруднительно получить информацию, требуемую в соответствии с методологией (например, при ответе "нет сведений" на определенные вопросы может автоматически выставляться оценка "высокий риск/имеются недостатки"), а также рассмотреть вопрос о том, какие корректирующие меры могут быть приняты для получения необходимой информации.
6.1.1. Клиенты
Для целей оценки рисков ОД, присущих для подразделений, внутренних структурных единиц финансовой организации либо отдельного направления ее деятельности, следует оценить клиентскую базу и деловые отношения. Ряд таких факторов, как, например: тип клиента, отрасль, вид деятельности, направление работы, профессиональная принадлежность физических лиц/область коммерческих операций юридических лиц, длительность взаимоотношений с клиентом, могут повышать либо понижать уровень рисков ОД. Для классификации клиентской базы и определения отдельных аспектов риска по типу клиента могут использоваться следующие категории: тип клиента, структура собственности, отрасль, вид деятельности, профессиональная принадлежность физического лица и/или область коммерческих операций юридического лица. Некоторые или все из упомянутых категорий могут быть применимы в зависимости от определенного подразделения, внутренней структурной единицы финансовой организации либо отдельного направления ее деятельности <5>.
--------------------------------
<5> Оценка рисков с использованием клиентской базы является широко распространенной практикой большинства финансовых организаций. Тем не менее, некоторые финансовые организации могут осуществлять оценку рисков, обращая основное внимание на счета/операции. Выбранный финансовой организацией подход должен быть тщательно задокументирован и сопровождаться соответствующим обоснованием.
Каждому типу клиента присваивается оценка риска в зависимости от ожидаемого уровня риска ОД, исходящего от каждого типа клиентов. Затем для рассматриваемого подразделения, внутренней структурной единицы либо направления деятельности определяется/оценивается объем клиентской базы по типам клиентов. Полученная информация может использоваться для определения процентного соотношения типов клиентов каждого подразделения, внутренней структурной единицы либо отдельного направления деятельности, оцененных в соответствии с классификацией рисков, то есть: низкий риск против умеренного, против высокого, против наиболее высокого риска, - с тем, чтобы определить конечный уровень присущего риска по типу клиента. Подход финансовой организации к классификации рисков должен быть тщательно задокументирован. Таблица с примерами оценки риска, присущего различным типам клиентов, приведена в приложении C.
6.1.2. Продукты и услуги
Наряду с "Клиентами" еще один ключевой компонент оценки рисков может быть выявлен при рассмотрении рисков, связанных с продуктами и услугами, когда финансовые организации стремятся сформировать свой портфель основных продуктов/видов счетов и присвоить каждому из них оценку присущих рисков (например, низкий, умеренный, высокий или наиболее высокий) на основе свойственных им характеристик и имеющегося уровня риска ОД. Затем для рассматриваемого подразделения, внутренней структурной единицы либо отдельного направления деятельности определяется/оценивается количество продуктов/видов счетов, предоставляемых/обслуживаемых финансовой организацией, а также (при наличии сведений) размер остатка денежных средств на соответствующих счетах и (где применимо) обороты средств по счетам. Эта информация может использоваться для определения процентного соотношения продуктов/видов счетов, предоставляемых/обслуживаемых подразделением, внутренней структурной единицей либо в рамках отдельного направления деятельности, оцененных в соответствии с классификацией рисков, то есть: низкий риск против умеренного, против высокого, против наиболее высокого риска, - с тем, чтобы определить конечный уровень присущего риска по виду продукта. Таблица с примерами оценки повышенного риска, присущего различным видам продуктов/услуг и операций, приведена в приложении D.
6.1.3. Каналы реализации продуктов и услуг
Некоторые каналы реализации продуктов/методы оказания услуг могут быть причиной повышения рисков ОД, поскольку приводят к росту риска того, что подразделение, внутренняя структурная единица финансовой организации либо отдельное направление ее деятельности не в полной мере владеет информацией о личности и деятельности своего клиента либо не понимает такую информацию. В этой связи необходимо оценить, способен ли (и если да, то в какой степени) подход к открытию или обслуживанию счетов, например, открытие счета без присутствия клиента или привлечение услуг третьей стороны, включая посредников, повысить присущий риск ОД. Следует отметить, что счета, открытые указанными способами, могут не всегда приводить к росту присущего риска ОД, например, в том случае, если клиент известен финансовой организации, хотя и осуществляет свою деловую деятельность без личного присутствия или удаленно. Клиенты, на которых не распространяются регулятивные требования, либо те, которые недостаточно хорошо известны финансовой организации, с гораздо большей степенью вероятности являются источником наиболее высокого присущего риска ОД.
Затем для данной категории риска подразделением, внутренней структурной единицей либо в рамках отдельного направления деятельности определяется/оценивается процентное соотношение счетов или клиентов, оцененных в соответствии с классификацией рисков, то есть: низкий риск против умеренного, против высокого, против наиболее высокого риска, - с тем чтобы определить конечный уровень присущего риска по виду каналов реализации продуктов и услуг. Таблица с примерами оценки риска, присущего различным факторам риска, связанного с каналами реализации продуктов и услуг, приведена в приложении E.
6.1.4. Особенности географического "присутствия"/страновые риски
Выявление географических зон, которые могут быть источником более высокого риска, является важным компонентом любой оценки присущего риска; подразделения, внутренние структурные единицы либо отдельные направления деятельности стремятся понять и оценить конкретные риски, связанные с осуществлением деятельности, открытием и обслуживанием счетов, реализацией продуктов и услуг и/или участием в осуществлении операций, в тех случаях, когда затрагиваются определенные географические зоны.
Риски, связанные с особенностями географического "присутствия"/страновые риски могут быть также проанализированы с точки зрения местонахождения подразделения, внутренней структурной единицы финансовой организации либо отдельного направления ее деятельности; оценка указанных рисков может также распространяться на дочерние компании, филиалы и представительства финансовой организации, как на международном, так и на национальном уровне. При этом целью является определение зоны географического "присутствия" финансовой организации. Что касается клиентов, необходимо определить их количество в каждой стране. Финансовой организации потребуется решить, должна ли расчетная численность клиентов быть основана на всех следующих критериях или некоторых из них: место постоянного жительства, место регистрации юридического лица, национальность. Для распределения географических зон/стран по различным категориям риска может быть использована собственная модель странового риска финансовой организации либо аналогичный, надлежащим образом проверенный программный продукт сторонней компании-поставщика. Таблица с примерами оценки риска, присущего различным факторам рисков, связанных с особенностями географического "присутствия"/страновых рисков, приведена в приложении F.
Риски, связанные с особенностями географического "присутствия"/страновые риски могут также рассматриваться совместно с некоторыми другими факторами рисков в прочих категориях рисков, например, в рамках категории "Клиенты" на уровне финансовой организации либо "Продукты и услуги" на уровне операций. Например, определенная доля операций на уровне подразделения, внутренней структурной единицы финансовой организации либо отдельного направления ее деятельности, контрагентами по которым выступают лица из страны высокого риска, может свидетельствовать о наличии присущего риска с точки зрения особенностей географического "присутствия"/страновых рисков.
Риски, связанные с особенностями географического "присутствия"/страновые риски являются важным компонентом любой оценки рисков применения санкций не только с точки зрения осуществления операций с контрагентами из стран, находящихся под санкциями, как таковых, но и с позиции взаимодействия со странами, которые могут иметь широко известные/важные связи или иные значимые формы отношений с санкционными странами. Среди таких стран - юрисдикции, (i) граничащие со странами, находящимися под санкциями, (и) находящиеся от них в непосредственной близости, а также те, которые (iii) располагают возможностями для "нецелевого" использования денежных средств с намерением нарушить или "обойти" санкционные режимы.
Кроме того, факторы рисков, связанных с особенностями географического "присутствия"/страновых рисков, также применимы в рамках любой оценки рисков взяточничества и коррупции. Для определенных юрисдикции характерны повышенные уровни риска взяточничества и коррупции, обусловленные, как правило, тем, что лица, наделенные властными полномочиями, злоупотребляют своим положением для извлечения финансовой выгоды. В тех случаях, когда такие юрисдикции вовлечены в операции финансовой организации, риски взяточничества и коррупции должны надлежащим образом учитываться.
6.1.5. Прочие качественные факторы риска
Дополнительные факторы риска могут оказывать влияние на операционные риски, а также провоцировать рост либо способствовать снижению вероятности возникновения нарушений в функционировании ключевых инструментов контроля в целях ПОД. Качественные факторы риска напрямую либо опосредованно влияют на факторы присущего риска. Например, значимые стратегические либо операционные изменения, такие как: введение в оборот нового основного продукта или услуги, осуществление слияния или поглощения, открытие подразделения на новой территории или закрытие юридического лица, ранее находившегося в составе финансовой организации, может оказать воздействие на уровень присущего риска. Указанные изменения с большой долей вероятности могут потребовать пересмотра существующих либо создания новых инструментов внутреннего контроля; при этом, поскольку для эффективного функционирования таких инструментов контроля может потребоваться определенное время, подразделению, внутренней структурной единице финансовой организации либо отдельному направлению ее деятельности необходимо оценить вероятность временного роста или снижения присущего риска. К основным "Прочим качественным факторам риска" могут быть отнесены:
- стабильность клиентской базы;
- интегрированность ИТ-систем;
- ожидаемый рост количества счетов/клиентов;
- ожидаемый рост доходов;
- последние данные о кадровых изменениях в подразделении, ответственном за соблюдение законодательства в сфере ПОД;
- доверие услугам третьих лиц;
- недавно состоявшееся/планируемое внедрение новых продуктов и/или услуг;
- недавно состоявшиеся/планируемые сделки поглощения;
- недавно реализованные проекты и инициативы в области соблюдения законодательства в сфере ПОД (например, устранение выявленных недостатков, устранение недоработок, перевод деятельности в оффшорную зону);
- последние данные о применении соответствующих мер воздействия;
- национальные оценки рисков.
Таблица с примерами оценки риска, присущего различным "Прочим качественным факторам рисков", приведена в приложении G.
6.1.6. Существует ли в рамках финансовой отрасли общепринятый стандарт присвоения оценок присущему риску?
Хотя риски, присущие подразделению, внутренней структурной единице финансовой организации и/или отдельному направлению ее деятельности, могут быть установлены путем применения и агрегирования рисков по типу клиентов, по виду продуктов и услуг, каналов их реализации, по особенностям географического "присутствия"/страновым рискам и прочим качественным факторам риска, не считая наличия необычных или специфических дополнительных рисков, представляется вероятным, что определенные подразделения финансовой организации будут присваивать более низкие риски, или наоборот более высокие, чем другие.
Несмотря на то, что обобщенные или сравнительные оценки рисков могут быть полезны в рамках банковской деятельности, они не должны использоваться изолированно от оценок присущего риска. Пример обобщенной оценки присущего риска для наиболее значимых направлений банковской деятельности приведен в приложении H.
6.2. Этап 2 - Оценка инструментов внутреннего контроля
После выявления и оценки присущих рисков необходимо оценить инструменты внутреннего контроля для определения того, насколько эффективно они способны снижать совокупные риски. Инструменты внутреннего контроля представляют собой программы, принципы и меры, которые применяет финансовая организация в целях защиты от материализации риска ОД либо для того, чтобы обеспечить безотлагательное выявление потенциальных рисков. Инструменты внутреннего контроля используются также для обеспечения соответствия регулятивным требованиям к деятельности финансовой организации. Множество аналогичных инструментов внутреннего контроля применимы к различным направлениям деятельности финансовой организации и используются как на уровне подразделения, непосредственно обслуживающего клиентов (1-я линия защиты), так и на уровне подразделения, ответственного за соблюдение законодательства в сфере ПОД (2-я линия защиты) <6>. Имеющиеся инструменты внутреннего контроля оцениваются с точки зрения их эффективности в снижении присущего риска ОД и определении уровня остаточного риска. Инструменты контроля за соблюдением законодательства в сфере ПОД оцениваются, как правило, по следующим контрольным категориям:
--------------------------------
<6> 1-я и 2-я линии защиты упоминаются в контексте классического механизма "трех линий защиты", в рамках которого операционная деятельность организации выполняет функцию 1-й линии, деятельность по соблюдению законодательства в сфере ПОД и прочие функции внутреннего контроля - 2-й линии, а аудит - 3-й линии.
- корпоративное управление в целях соблюдения законодательства в сфере ПОД, управленческий надзор и прозрачность;
- принципы и процедуры;
- "Знай своего клиента", надлежащая проверка клиента, усиленная проверка клиента;
- другие предшествующие оценки рисков (как на локальном уровне, так и на уровне финансовой организации);
- управленческая информация/отчетность;
- хранение данных и срок хранения;
- наличие уполномоченного сотрудника/подразделения, ответственного за соблюдение законодательства в сфере ПОД;
- выявление подозрительных операций и направление о них сообщений;
- мониторинг и контроль;
- обучение;
- независимое тестирование и надзор (включая актуальные результаты внутреннего аудита или прочие существенные сведения);
- иные инструменты контроля.
Каждая категория оценивается с точки зрения общей модели ее функционирования и операционной эффективности. При этом может быть выявлен как благоприятный, так и неблагоприятный показатель использования инструментов контроля; информация о таких показателях должна быть тщательно зафиксирована в целях оценки операционной эффективности каждого инструмента внутреннего контроля. Кроме того, необходимо по возможности обеспечить увязку инструментов внутреннего контроля с ключевыми показателями деятельности либо иными параметрами.
Одним из способов оценки эффективности инструментов внутреннего контроля является осуществление специализированной самооценки внутренним структурным подразделением финансовой организации либо в рамках отдельного направления ее деятельности. Самооценка такого рода может быть проведена в автономном режиме на основе экспертного опыта в предметной сфере и имеющейся внутренней информации, в том числе полученной в рамках обзоров деловых рисков, аудиторских и контрольных тестирований. Конкретному инструменту внутреннего контроля может быть присвоена оценка в соответствии с заранее определенной шкалой оценок или на основе качественных факторов, например: "удовлетворительно", "требует улучшений" или "имеются недостатки", - для каждого из вышеуказанных факторов внутреннего контроля.
Например, в отношении категории "Обучение", для вынесения суждения об эффективности механизма обучения потребуется наличие ряда элементов. Сама по себе, оценка инструмента внутреннего контроля должна быть сосредоточена на каждом из таких элементов, например: была ли проведена оценка потребностей персонала в обучении, проводится ли специальная подготовка лиц, выполняющих ключевые функции в финансовой организации, проводится ли обучение своевременно. Финансовой организации необходимо оценить, функционирует ли каждый элемент удовлетворительно, требует ли он улучшений либо в нем имеются недостатки. Для каждого элемента в категории "Обучение" могут быть разработаны рекомендации, которыми надлежит руководствоваться в случае присвоения ему той или иной оценки. Наряду с этим категории "Обучение" может быть дана и совокупная оценка. Если проставляется совокупная оценка этой категории, то она должна быть основана на базовых оценках, присвоенных отдельным элементам в рамках указанной категории.
В случае если выясняется, что механизм функционирования инструмента внутреннего контроля не разработан, инструмент функционирует неэффективно либо не существует, следует принять меры по устранению таких недостатков (в тех случаях, когда такие меры еще не реализуются). На примере категории "Обучение" это может означать внедрение модифицированной специализированной программы обучения персонала или введение процедур усиленной проверки клиента. В тех случаях, когда соответствующие корректирующие меры уже принимаются, факт их реализации должен быть зафиксирован в рамках подготовки комментариев по конкретному недостатку. Тем не менее, факт реализации корректирующих мер не должен влиять на оценку остаточного риска, поскольку такие меры, сами по себе, не являются фактором снижения присущего риска. Оценка присущего риска и инструментов внутреннего контроля является оценкой "на определенный момент времени"; таким образом, эффективное осуществление корректирующих мер может оказать благоприятное влияние на уровень остаточного риска только в рамках последующей оценки рисков.
Как и в случае с факторами присущего риска (рассмотрено выше), по итогам оценки каждому элементу, действующему в рамках инструмента внутреннего контроля, присваивается оценка, в результате агрегирования которых можно получить представление об относительной надежности того или иного инструмента внутреннего контроля. Затем каждому элементу может быть присвоен весовой коэффициент, отражающий значимость, для финансовой организации. Например, можно ожидать, что в рамках оценки рисков категории "Надлежащая проверка клиентов" будет присвоен больший весовой коэффициент, чем категории "Хранение данных и срок хранения". Пример приведен в приложении I.
6.2.1. Внесение корректировок Службой ПОД
Методологии оценки рисков должны на постоянной основе дорабатываться для обеспечения их наибольшего соответствия представлениям финансовой организации о своих рисках. После завершения оценки рисков и категорий инструментов контроля Службой ПОД (либо иным функциональным подразделением, определенным финансовой организацией) должен быть проведен анализ качества данных, и при определенных обстоятельствах может потребоваться рассмотреть вопрос о внесении корректировок в оценку присущего риска или эффективности инструментов контроля по любому фактору или категории. Несмотря на то, что более простой задачей является обоснование повышения уровня присущего риска и/или снижения уровня эффективности инструментов контроля, должна быть возможна и обратная ситуация, хотя в любом случае, если вносимые изменения оказываются весьма значительными, возможно, потребуется пересмотр методологии.
Некоторые финансовые организации могут рассматривать вопрос о внесении корректировок после расчета остаточного риска. При этом во всех случаях основания для изменений должны быть тщательно зафиксированы, подкреплены соответствующими данными и утверждены лицом, имеющим надлежащие полномочия. Помимо оценок присущего риска и условий осуществления внутреннего контроля, могут также использоваться индикаторы, отражающие изменения в уровнях рисков, например, уровень повышения, стабильности или снижения рисков. Необходимость внесения корректировок в результаты оценки может свидетельствовать о недостатках в методологии оценки рисков и должна быть проанализирована финансовой организацией до начала очередного раунда оценки рисков.
6.3. Этап 3 - Определение остаточного риска
После оценки присущего риска, а также эффективности и условий осуществления внутреннего контроля может быть определен остаточный риск. Остаточный риск - это риск, сохраняющийся после применения инструментов контроля за присущим риском. Он определяется путем сопоставления уровня присущего риска и совокупной надежности мер управления рисками и инструментов контроля за ними. Оценка уровня остаточного риска используется для определения эффективности управления рисками ОД в рамках финансовой организации.
Для оценки остаточного риска можно применять трехуровневую шкалу: "высокий", "умеренный" и "низкий". Использоваться может любая шкала, например, пятиступенчатая: "низкий", "от низкого до умеренного", "умеренный", "от умеренного до высокого" и "высокий". Предлагается учесть следующие определения для описания уровня остаточного риска при оценке по трехуровневой шкале:
i. Низкий остаточный риск.
Совокупный уровень присущего риска финансовой организации/подразделения/направления деятельности, основанный на факторах, связанных с типом клиента, видом продуктов и услуг, каналами их реализации, особенностями географического "присутствия", и иных качественных факторах, оценивается на уровне "от низкого до умеренного", а инструменты контроля являются достаточными для управления этим присущим риском.
ii. Умеренный остаточный риск.
Совокупный уровень присущего риска финансовой организации/подразделения/направления деятельности, основанный на факторах, связанных с типом клиента, видом продуктов и услуг, каналами их реализации, особенностями географического "присутствия", и иных качественных факторах, оценивается на уровне "от низкого до умеренного", при этом инструменты контроля являются неэффективными для управления таким риском; ИЛИ совокупный уровень присущего риска финансовой организации, основанный на факторах, связанных с типом клиента, видом продуктов и услуг, каналами их реализации, географическими особенностями, и иных качественных факторах, является высоким, а инструменты контроля - эффективными для управления этим присущим риском.
iii. Высокий остаточный риск.
Совокупный уровень присущего риска финансовой организации/подразделения/направления деятельности, основанный на факторах, связанных с типом клиента, видом продуктов и услуг, каналами их реализации, особенностями географического "присутствия", и иных качественных факторах, оценивается на уровне "от умеренного до высокого", при этом инструменты контроля являются неэффективными для управления таким риском.
Пример методологии оценки остаточного риска приведен в приложении J.
С учетом вышеизложенной методологии и после завершения разработки шкалы оценки остаточного риска в рамках оценки риска ОД могут быть приняты определенные решения, например:
i. Надежная система контроля может снизить уровень остаточного риска ОД по сравнению с уровнем присущего риска.
ii. Если финансовой организации/подразделению/направлению деятельности присваивается высокий уровень присущего риска ОД, то такой финансовой организации/подразделению/направлению деятельности ни при каких условиях не может быть присвоен низкий уровень остаточного риска ОД.
iii. Для снижения уровня остаточного риска ОД можно либо снизить уровень присущего риска ОД, либо повысить надежность инструментов контроля за риском ОД.
6.3.1. Присвоение весовых коэффициентов и оценка
С учетом уникальных особенностей, характерных для деятельности каждого структурного подразделения финансовой организации, продуктов и услуг (включая операции), клиентской базы и географического "присутствия", для определения уровня присущего риска используется риск-ориентированный подход. Каждому фактору риска, как правило, присваивается оценка, отражающая соответствующий уровень риска. Затем каждой зоне риска может быть присвоен удельный вес, соответствующий уровню ее значимости по отношению к другим зонам риска при расчете уровня совокупного риска. Аналогичным образом, каждому инструменту контроля может быть присвоен удельный вес, отражающий относительную эффективность этого инструмента. Пример возможного подхода финансовой организации к присвоению удельных весов приведен в приложении I.
Например, если структурное подразделение финансовой организации осуществляет преимущественно корреспондентские банковские отношения и часть клиентской базы располагается в различных иностранных юрисдикциях, следовательно, категории географического "присутствия" могут быть признаны более значимыми (и, соответственно, получить более высокий удельный вес), чем категория типа клиентов, которые характерны для этого структурного подразделения. Аналогичным образом определенные инструменты контроля в большей степени способны оказывать непосредственное воздействие на снижение риска ОД; например, первичному контролю при обслуживании клиента должен быть присвоен больший удельный вес, чем инструментам контроля, применяемым при независимом тестировании.
6.3.2. Отчетность и предоставление информации о результатах
Служба ПОД должна проинформировать соответствующие заинтересованные лица и подразделения финансовой организации, включая, но не ограничиваясь, руководителями высшего звена группы компаний, в которую входит финансовая организация, и ее подразделением внутреннего аудита, о результатах оценки риска ОД. При необходимости следует уведомить также органы регулирования и надзора. В рамках всего сектора повышенное внимание уделяется уровням капитала на покрытие операционного риска, формируемым финансовыми организациями, и результаты оценки риска могут стать ценным вкладом в расчет размера капитала на покрытие операционного риска каждой финансовой организации.
С учетом объема данных, на основе которых будет осуществлена оценка риска ОД, необходимо разработать методологию таким образом, чтобы результаты могли быть представлены различными способами с акцентом на рисках, характерных для того или иного фактора, например: для подразделения финансовой организации, вида финансового продукта, географического "присутствия" или типа клиента. Такая методология должна подразумевать не только усреднение результатов, но и выявление присущего и остаточного рисков, а также эффективности контроля для той или иной сферы деятельности финансовой организации.
6.3.4. Пояснения о взаимосвязи между подходами к оценке риска по типу клиента
В то время, как финансовые организации разрабатывают свои подходы к оценке риска, измеряя риски в соответствии с установленными категориями риска (например, по странам, особенностям географического "присутствия", видам продуктов и услуг, каналам их реализации, видам операций и типам клиентов), эти категории рисков могут быть также учтены при разработке подхода к оценке риска, связанного с установлением деловых отношений с конкретным клиентом. Например, при использовании каждой из указанных категорий для оценки риска, связанного с установлением деловых отношений с клиентом, финансовые организации смогут рассчитать коэффициент совокупного риска ОД для этого клиента. Этот коэффициент позволит оценить клиента с точки зрения риска, характерного для всей клиентской базы. Финансовая организация должна обеспечить пропорциональное соответствие своего внутреннего контроля рискам, характерным для всей клиентской базы; за клиентами с наивысшим риском будет осуществляться наиболее жесткий контроль, предусматривающий при приеме на обслуживание осуществление мер усиленной надлежащей проверки, проведение усиленного мониторинга и/или более частых проверок.
6.3.5. Пояснения о взаимосвязи между моделями оценки других рисков
Поскольку оценки рисков финансовой организации могут осуществляться вне подразделения, ответственного за соблюдение законодательства в сфере ПОД, финансовые организации должны учитывать другие оценки рисков и постараться обеспечить применение единого подхода к их выполнению и отчетности по ним. Например, механизмы оценки операционного риска, как правило, включают методологии измерения и оценки риска с учетом количественных и качественных факторов. Оценка вероятности и последствий реализации различных сценариев оценки присущего риска может также использоваться как способ выявления наиболее высоких присущих рисков и их классификации по направлениям деятельности или регионам. Если механизм оценки операционного риска финансовой организации разработан должным образом и основан на пятиступенчатой методологии оценки остаточных рисков (в отличие от трехступенчатой методологии оценки), то финансовая организация может использовать такой подход и при оценке риска ОД.
Аналогичным образом в рамках функций подразделения внутреннего аудита может существовать определенный подход к классификации результатов, полученных по итогам проведения аудита. Результаты оценки риска ОД и меры по ее итогам могут быть более убедительны для руководителей высшего звена и проще для понимания при условии применения единого способа представления сведений в рамках всей финансовой организации, например, при совпадении выводов внутреннего аудита относительно высокого риска с результатами оценки риска по итогам оценки риска ОД.
Однако если финансовая организация применяет отличный подход к оценке риска ОД, чем подходы, используемые для оценки иных рисков, целесообразность такого подхода должна быть согласована с подразделениями, ответственными за выполнение различных контрольных функций, а результаты должны быть зафиксированы в полном объеме и утверждены руководством высшего звена.
7. Какие шаги надлежит предпринять финансовой организации в отношении результатов, полученных по итогам проведения оценки риска?
По завершении оценки риска могут быть выявлены упущения и недостатки в условиях реализации внутреннего контроля. Выявление таких "пробелов" должно повлечь принятие мер, надлежащим образом ранжированных в порядке их приоритетности; реализация указанных мер должна отслеживаться в централизованном режиме. Меры по устранению упущений и недостатков могут затрагивать все направления деятельности финансовой организации; тем не менее, надзор за их выполнением должен осуществляться подразделением, ответственным за соблюдение законодательства в сфере ПОД.
Принятие необходимых мер может оказать значительное влияние на уровень остаточного риска, поэтому им должно уделяться большое внимание и оказываться поддержка со стороны руководства высшего звена и других заинтересованных лиц. Рекомендуется завершить реализацию мер по устранению упущений и недостатков до начала следующей оценки рисков, с тем, чтобы определить, имелось ли улучшение показателя остаточного риска.
Стратегические меры, скорее всего, должны осуществляться на уровне группы компаний либо подразделений, ответственных за деятельность на глобальном уровне, в то время как меры тактического характера, напротив, должны относиться к компетенции подразделений на локальном уровне. Обязательным является надлежащий учет подразделениями на местном уровне существующих рисков ОД и рисков, связанных с применением санкций, взяточничеством и коррупцией, поскольку именно на локальном уровне имеются наиболее благоприятные условия для внесения изменений в профиль присущего риска и совершенствования условий реализации внутреннего контроля.
Результаты оценки риска могут быть использованы при подготовке годовых планов, осуществлении мониторинга и тестирований, а также при формировании управленческой информации в рамках финансовой организации. При этом должен функционировать достаточно надежный механизм обеспечения качества соответствия предлагаемых мер проблемам, выявленным по итогам проведения оценки риска.
8. Какое воздействие должна оказывать оценка риска, проведенная финансовой организацией, на риск-аппетит?
Методология оценки риска ОД финансовой организации должна разрабатываться профильными экспертами компетентного подразделения, например, подразделения, ответственного за соблюдение законодательства в сфере ПОД, и должна быть утверждена руководством высшего звена финансовой организации. Такие же требования распространяются и на оценку других рисков, в том числе связанных с применением санкций, взяточничеством и коррупцией.
Результаты оценки риска ОД позволяют определить текущий уровень остаточного риска ОД, принимаемого финансовой организацией. Для оценки стабильности портфеля рисков финансовой организации и выявления тенденций может осуществляться анализ происходящих изменений.
Необходимо определить, соответствует ли уровень остаточного риска уровню приемлемого риска ОД финансовой организации. В случае если уровень остаточного риска превышает уровень приемлемого риска ОД, следует рассмотреть меры по снижению присущего риска или улучшению условий осуществления внутреннего контроля, с тем чтобы уровень остаточного риска не вступал в противоречие с риск-аппетитом финансовой организации. В качестве альтернативного подхода можно рассмотреть адекватность риск-аппетита финансовой организации. При этом крайне важно обеспечить участие в этом процессе руководства высшего звена, поскольку риск-аппетит финансовой организации является ключевым фактором, оказывающим влияние на стратегические цели и мотивы принятия действий.
Можно провести сравнительный анализ риск-аппетита финансовой организации на основе других факторов, выходящих за рамки программы оценки риска ОД. Например, можно предложить ряд сценариев и/или примеров рисков/неблагоприятных событий, характерных для финансовой организации, учитывающих пороговую величину ущерба (например, приемлемый уровень годового убытка в результате судебных процессов по гражданским делам).
Наряду с этим ряд типовых сценариев - как возможный элемент оценки риск-аппетита и предмет для обсуждения со руководителями высшего звена - может включать определяющие ожидаемые события (риск-аппетит) и подготовку отчетности об успешности и/или недостатках (уровень остаточного риска) в отношении возникновения следующих рисков: репутационного, регуляторного рисков, рисков гражданской и уголовной ответственности.
1. Ущерб от возникновения репутационного риска. Репутационный ущерб, то есть подрыв доброго имени финансовой организации, может возникать по многим обстоятельствам. На репутацию финансовой организации негативно влияет, как правило, объявление о крупном расследовании по делу об отмывании денег (обычно по счетам и/или операциям клиента), которое имеет либо с большой вероятностью может иметь серьезные финансовые последствия в форме санкций регуляторного, административного либо уголовного характера. Негативное воздействие на репутацию может быть оказано также существующими и потенциальными клиентами в связи с возможными обвинениями, в том числе по делам об уголовных правонарушениях, например, об отмывании через банковский сектор коррупционных доходов публичных должностных лиц, о содействии в осуществлении операций финансирования терроризма или о сотрудничестве с сомнительными режимами.
2. Ущерб от возникновения регуляторного риска. Регулятивные нормы находятся в процессе постоянных изменений; наряду с этим происходит рост ожиданий в отношении того, что из себя должна представлять адекватная риск-ориентированная программа ПОД. Увеличивается число, частота, степень охвата и интенсивность соответствующих проверок и тестирований. Произошло значительное смещение ожиданий регуляторов в отношении стандартов ПОД: если ранее приемлемым считалось следование "хорошей" или "общепринятой" практике, то теперь нормой признается применение наивысших стандартов. По мере роста упомянутых ожиданий все сложнее становится внедрить действенный риск-ориентированный подход, если суждения о нем выносятся на основе нормативно-правового регулирования. Издержки, связанные с приведением систем внутреннего контроля в соответствие со стандартами и осуществлением ретроспективного анализа до возникновения нареканий со стороны регуляторов, могут быть значительными. За нарушения все чаще применяются санкции регуляторного характера, причем, как правило, со стороны нескольких органов регулирования, которые инициируют расследования по одним и тем же либо схожим правонарушениям. В рамках указанных действий на финансовую организацию может быть возложена обязанность принимать непрерывные меры, а также создать специальную группу, состоящую из назначенных регуляторами лиц, которая будет на месте осуществлять постоянный мониторинг реализации финансовой организацией действий по устранению недостатков своей системы внутреннего контроля.
3. Ущерб от возникновения риска гражданской ответственности. По мере увеличения числа гражданских исков (в том числе коллективных), в особенности о правонарушениях, связанных с несоблюдением санкционных режимов, финансированием терроризма, финансовыми мошенничествами с доверительной собственностью или невыполнением регуляторных предписаний, растет вероятность ущерба правового характера.
4. Ущерб от возникновения риска уголовной ответственности. Несмотря на то, что ранее возникновение риска уголовной ответственности было исключительным событием, в настоящее время риск совершения уголовного правонарушения, связанного с недостатками в механизме ПОД финансовой организации, нельзя недооценивать. С выражением "слишком значимый, чтобы попасть в тюрьму" не согласны многие из тех, кто выступает за привлечение к уголовной ответственности, в том числе физических лиц, как за единственный способ обеспечить достаточное внимание и полное соблюдение финансовой организацией законов, регулятивных норм, а также соответствие ожиданиям.
Вне зависимости от того, каким образом результаты оценки риска ОД сравниваются с риск-аппетитом финансовой организации, принимаемые по итогам оценки меры должны быть четко сформулированы. В связи с этим крайне важно четко определить должностные функции и сферы ответственности, с тем, чтобы обеспечить наличие действующей системы и процедур управления возможными последствиями, в случае если риски выходят за рамки риск-аппетита и механизма внутреннего контроля.
9. Какое программное обеспечение/автоматизированные системы могут быть использованы для осуществления оценки риска?
Некоторые финансовые организации при проведении оценки риска могут посчитать полезным использование автоматизированных систем или программного обеспечения. При этом определение наилучших автоматизированных систем или программного обеспечения может стать одним из уязвимых аспектов оценки риска. Финансовые организации используют разнообразные виды программного обеспечения - от персонализированных шаблонов, встроенных в стандартное программное обеспечение для обработки электронных таблиц, до сложных систем управления базами данных, созданных самостоятельно либо приобретенных у производителей. Каждый из подходов имеет свои сильные и слабые стороны, и выбор правильного программного обеспечения будет зависеть от различных факторов, включая размер и сложность структуры финансовой организации (и, соответственно, сложность проведения самой оценки); количество и географическое распределение участников процесса оценки; число количественных критериев/ключевых индикаторов риска, лежащих в основе оценки; необходимую управленческую информацию о результатах оценки и ее динамике; ожидаемые изменения, которые может потребоваться внести в оценку.
Наиболее распространенными сложностями при использовании стандартного программного обеспечения для обработки электронных таблиц являются недостаточность исходных баз данных, значительный объем вычислений вручную и формул, которые должны быть введены в программу, а также тот факт, что большую часть электронных таблиц применяет в работе один сотрудник. Сложные системы управления базами данных, созданные финансовой организацией самостоятельно либо приобретенные у производителей, напротив, предоставляют, как правило, более надежные в эксплуатации механизмы для подготовки отчетности и имеют новейшие характеристики; при этом зачастую адаптировать такие системы к условиям и потребностям конечного пользователя может быть затруднительно. Какой бы подход ни был выбран и вне зависимости от того, используется ли в принципе какая-либо автоматизированная система или программное обеспечение, перед проведением оценки риска финансовой организации необходимо осуществить адекватное тестирование выбранного подхода, с тем, чтобы обеспечить эффективную реализацию своего подхода к оценке.
Примечания
При проведении оценки риска следует иметь в виду, что на ее конечные результаты могут оказать влияние иные факторы, которые не зависят от качественных и количественных факторов, используемых финансовой организацией. Например, в результате влияния со стороны регуляторов на тот или иной аспект системы ПОД финансовая организация может быть вынуждена изменить оценку присущего риска в сторону увеличения либо оценку остаточного риска - в сторону снижения. Для того чтобы финансовая организация имела возможность осуществлять такие изменения, механизм коррекции присвоенных рискам оценок (в любой его форме) должен быть четко сформулирован и зафиксирован в рамках методологии оценки рисков финансовой организации, а применяться такой механизм должен лишь в исключительных случаях. Среди прочих внешних факторов могут быть: выступления представителей органов регулирования и выпускаемые ими документы, а также выводы публицистических статей по тематике соответствующей отрасли либо журналистских расследований. Оценка риска является субъективной оценкой, и в этой связи может быть различным образом интерпретирована. Например, интерпретация финансовой организации может не совпадать с интерпретацией регулятора.
Такой подход будет и в дальнейшем подкреплять ценность проведения оценок риска - как способа обеспечения надежных стандартов, выявления областей, в которых возможно возникновение недостатков, устранения этих недостатков и поддержания приверженности соблюдению законодательства в сфере ПОД.
Приложения к "Вольфсбергским актуальным вопросам оценки рисков отмывания денег, применения санкций, взяточничества и коррупции"
Во всех ниже представленных приложениях содержатся примеры подходов к оценке риска по различным категориям, упомянутым в настоящем документе. Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.
Приложение A
Служба ПОД |
Как правило, является основным подразделением, ответственным за вопросы инициирования разработки и внедрения программы ПОД в рамках финансовой организации. В контексте оценки риска в компетенцию такого подразделения входит решение таких задач, как: разработка методологии, обеспечение функционирования, периодическое инициирование процесса оценки риска и соответствующих мер по ее проведению, а также хранение информации о завершенных оценках. |
Календарный год |
Календарному году соответствует период с января по декабрь того или иного года; если термин "календарный год" не применим в вашей стране, рекомендуется использовать эквивалентный двенадцатимесячный период с января по декабрь предшествующего года. |
Противодействие финансированию терроризму |
Меры, осуществляемые для пресечения доступа к финансовым услугам для лиц, вовлеченных в финансирование и совершение террористических актов и иных деяний, связанных с терроризмом. |
Клиент |
Физические лица: физические лица, имеющие счет в финансовой организации, осуществляющие операции с продуктом финансовой организации или пользующиеся ее услугами. Лица: физические лица, компании, трасты, благотворительные организации, партнерства или индивидуальные предприниматели, имеющие счет в финансовой организации, осуществляющие операции с продуктом финансовой организации или пользующиеся ее услугами. |
Надлежащая проверка клиента (НПК) |
Процесс реализации принципов и процедур, разработанных в целях содействия мониторингу и оценке риска совершения клиентом незаконных финансовых операций. Надлежащая проверка клиента может включать (но не ограничивается этим) идентификацию клиента, определение ожидаемого поведения клиента и/или мониторинг движения средств по счету в целях выявления тех операций, которые не соответствуют стандартным или ожидаемым операциям для конкретного клиента или типа счета. |
Уровень риска, исходящего от клиента |
Является оценкой риска финансирования ОД/ФТ, представляемого каждым клиентом, для обеспечения понимания рисков, с которыми сталкивается организация. Оценка риска клиента может также использоваться для определения различных подходов к идентификации клиента, проверке информации, сбору дополнительной информации о клиенте, мониторингу и обязательному периодическому обновлению сведений о клиенте. |
Усиленная проверка клиента (УПК) |
Подразумевает сбор дополнительной информации в рамках процесса надлежащей проверки клиента либо усиленные меры предосторожности, такие как постоянный мониторинг операций. Последний должен быть основан на подходе, который должным образом учитывал бы риски, при любых обстоятельствах представляющих по своей природе наиболее высокие риски ОД/ФТ. Объем сбора дополнительной информации и мониторинг (в той или иной форме) любых конкретных деловых отношений либо класса/категории деловых отношений будут зависеть от риска ОД/ФТ, который, как покажет оценка, представляет конкретный клиент либо класс/категория деловых отношений для организации. |
Присущий риск |
Представляет собой подверженность рискам, связанным с отмыванием денег, применением санкций, взяточничеством и коррупцией, в отсутствие применения каких-либо инструментов контроля. |
Инструменты внутреннего контроля |
Принципы, процедуры, системы и соответствующие сотрудники в рамках финансовой организации, призванные служить защитой от материализации риска ОД либо обеспечивать своевременное выявление факторов риска. |
"Знай своего клиента" |
Правила и процедуры, используемые для установления истинной личности клиента и типа действий (поведения), который является "нормальным" для этого клиента. |
Мониторинг |
Элемент программы ПОД финансовой организации, в рамках которого осуществляется проверка действий клиента на предмет наличия в них фактов необычного или подозрительного поведения, тенденций либо несвойственных такому клиенту операций, не характерных для его "нормальной" модели поведения. Как правило, мониторинг операций осуществляется с использованием программного обеспечения, которое оценивает действия клиента с точки зрения "нормальной и ожидаемой" модели поведения каждого конкретного клиента. |
Остаточный риск |
Риск, который сохраняется после применения инструментов контроля за присущим риском. Он определяется путем сопоставления уровня присущего риска и совокупной надежности мер управления рисками и инструментов контроля за ними. Оценка уровня остаточного риска используется для определения эффективности управления рисками ОД в рамках финансовой организации. |
Оценка риска |
Оценка риска является комплексом мероприятий по выявлению ключевых рисков, с которыми сталкивается организация, и по тестированию инструментов контроля, имеющихся в распоряжении организации для снижения этих рисков. Риски могут быть как внешними, так и внутренними по отношению к организации. Целью оценки риска является измерение совокупной подверженности организации рискам, с которыми она сталкивается, а также планирование действий по снижению этих рисков. |
Приложение B
Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.
1. Определите факторы присущего риска.
2. Присвойте факторам присущего риска весовые коэффициенты в соответствии с методологией.
3. Осуществите сбор данных и проведите в их отношении надлежащий анализ.
4. Оцените факторы присущего риска, с тем, чтобы определить:
a. оценки по отдельным категориям риска, например, "высокий", "умеренный", "низкий" ("В", "У", "Н");
b. совокупную оценку ("В", "У", "Н").
5. Определите категории эффективности инструментов контроля.
6. Определите все инструменты контроля и составьте план-схему на основе либо:
a. категорий инструментов контроля:
i. Присвойте категориям весовые коэффициенты в зависимости от значимости, количества инструментов контроля, количества ключевых инструментов контроля.
ii. Оцените эффективность инструментов контроля путем агрегирования полученных результатов для получения совокупной оценки ("В", "У", "Н"); ЛИБО
b. категорий присущего риска:
i. Присвойте инструментам контроля весовые коэффициенты в зависимости от значимости и количества ключевых инструментов контроля.
ii. Составьте план-схему инструментов контроля по каждой из категорий присущего риска и оцените эти инструменты контроля по отношению к каждой категории риска.
iii. Путем агрегирования данных по категориям эффективности инструментов контроля рассчитайте совокупную оценку ("В", "У", "Н").
7. Отметьте (выделите) и зафиксируйте сведения о недостатках или уязвимостях, характерных для каждого из выявленных инструментов контроля, для целей дальнейшей работы по их устранению (см. п. 10, приведенный ниже).
8. Путем применения матрицы остаточного риска соотнесите совокупную оценку присущего риска и оценку эффективности инструментов контроля.
9. Определите показатель остаточного риска и определите на уровне соответствующего органа управления, является ли показатель остаточного риска соответствующим "порогу терпимости" финансовой организации или ее риск-аппетиту.
10. Определите план действий по устранению недостатков, который учитывал бы уязвимости и недостатки, выявленные в соответствии с вышеприведенным пунктом 7, в отношении которых принято решение о необходимости дальнейших действий, определите ответственных лиц и сроки реализации указанных действий.
Приложение C
ПРИМЕР ОЦЕНКИ РИСКА, ПРИСУЩЕГО КЛИЕНТУ
Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.
Клиенты первого типа - физические и юридические лица |
Оценка риска |
Физические лица |
|
- Владельцы крупного частного капитала |
Высокий |
- Розничные |
Низкий |
- Другие |
Умеренный |
Юридические лица |
|
Акционерные компании открытого типа |
|
- акции которых имеют котировки на официальной бирже |
Низкий |
- акции которых имеют котировки на неофициальной бирже |
Умеренный |
Акционерные общества закрытого типа |
|
- Операционные компании (компании реального сектора экономики) |
Низкий |
- Холдинговые компании (компании, не занимающиеся хозяйственной деятельностью) |
Умеренный |
- Компании, чьи акции относятся к категории акций на предъявителя |
Высокий |
Государственные учреждения |
|
- Национальные |
Низкий |
- Государственные учреждения стран средней степени риска |
Умеренный |
- Государственные учреждения стран высокой степени риска |
Высокий |
- Государственные учреждения стран наиболее высокой степени риска |
Наиболее высокий |
Финансовые организации/Банки и регулируемые брокеры |
|
- акции которых имеют котировки на официальной бирже, а также зарегистрированные в странах, соблюдающих международные стандарты в сфере ПОД/ФТ |
От низкого до умеренного |
- зарегистрированные в странах, частично соблюдающих либо не соблюдающих международные стандарты в сфере ПОД/ФТ |
Умеренный |
- акции которых имеют котировки на неофициальной бирже, а также зарегистрированные в странах, не соблюдающих международные стандарты в сфере ПОД/ФТ |
Высокий/наиболее высокий |
--------------------------------
<*> Примечание: в вышеприведенном примере используется четырехступенчатая шкала оценки, которая может быть изменена по выбору финансовой организации.
Клиенты второго типа - отдельные категории лиц, для которых характерны повышенные риски |
Оценка риска |
Публичные должностные лица <7> |
|
- Национальные |
Умеренный |
- Международные |
Высокий |
Отрасли экономики |
|
- Организации, оказывающие услуги по переводу денежных средств и ценностей |
Умеренный/Высокий |
- Благотворительные и некоммерческие организации |
Умеренный/Высокий |
- Посреднические организации/комиссионеры |
Умеренный/Высокий |
- Агенты по операциям с недвижимостью |
Умеренный/Высокий |
- Дилеры по операциям с товарами высокой стоимости |
Умеренный/Высокий |
- Дилеры по драгоценным металлам и драгоценным камням |
Умеренный/Высокий |
- Гейткиперы (лица, ответственные за безопасность финансовой системы и осуществление контроля за допуском к ней других лиц, например, клиентов и иных сотрудников той же организации; под такими лицами могут пониматься юристы, специалисты в области бухгалтерского учета, налоговые консультанты, трасты, инвестиционные брокеры и пр.) |
Умеренный/Высокий |
- Казино, включая интернет-казино |
Умеренный/Высокий |
- Торговцы оружием |
Умеренный/Высокий |
- Частные военные организации |
Умеренный/Высокий |
- Эмитенты цифровых валют и лица, осуществляющие схожие функции |
Умеренный/Высокий |
--------------------------------
<7> С учетом минимальных регулятивных требований.
Приложение D
ОЦЕНКИ ПРИСУЩЕГО РИСКА РЯДА ПРОДУКТОВ, УСЛУГ И ОПЕРАЦИЙ
Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.
Примеры продуктов и услуг, для которых характерен повышенный риск |
Оценка риска |
Альтернативные инвестиционные инструменты/структурированные продукты |
Умеренный/Высокий |
Торговое/экспортное финансирование |
Умеренный/Высокий |
Международное индивидуальное банковское обслуживание состоятельных клиентов/управление активами состоятельных клиентов |
Высокий |
Международные банковские корреспондентские отношения |
Высокий |
- Международные электронные переводы денежных средств |
Высокий |
- Услуги по пересылке (в том числе, наличных денежных средств и документов) |
Высокий |
- Операции с драгоценными металлами (физическая поставка) |
Высокий |
- Банкнотные операции |
Высокий |
- Операции по транзитным счетам |
Высокий |
- Нисходящие клиринговые услуги (субклиринг) |
Высокий |
Счета специального назначения |
Высокий |
Международные брокерские депозиты |
Высокий |
Услуги по аренде индивидуальных депозитных ячеек (сейфов) |
Высокий |
Операции с драгоценными металлами (в том числе услуги по их физической доставке) |
Высокий |
Безлимитные платежные карты |
Высокий |
Установление базовых и иных индексов |
Высокий |
Примеры операций, для которых характерен повышенный риск |
Оценка риска |
Значительные/необычные операции с наличными денежными средствами и их аналогами |
Высокий |
Транзитные операции |
Высокий |
Операции по субкорсчетам ("встроенным" счетам) |
Высокий |
Международные электронные переводы денежных средств в страны с высокими рисками |
Высокий |
Операции компаний, предположительно являющихся однодневками |
Высокий |
Зачисление и списание денежных средств (высокая скорость оборачиваемости денежных средств по счетам) |
Высокий |
Необычный характер электронных переводов денежных средств |
Высокий |
"Смурфинг" (операции с незначительными суммами денежных средств, не превышающими пороговую величину, свыше которой операции подпадают под обязательный контроль) |
Высокий |
Внезапная активность клиента |
Высокий |
Иные необычные/подозрительные операции |
Высокий |
Приложение E
ОЦЕНКИ ПРИСУЩЕГО РИСКА В ЗАВИСИМОСТИ ОТ РИСКОВ, СВЯЗАННЫХ
С КАНАЛАМИ РЕАЛИЗАЦИИ ПРОДУКТОВ И УСЛУГ
Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.
Риски, связанные с каналами реализации продуктов и услуг |
Оценка риска |
Открытие счета |
|
- По ходатайству (по предварительной договоренности) |
Низкий |
- Спонтанно по инициативе клиента (включая случаи, когда клиент обращается в финансовую организацию без предварительной записи/договоренности) |
Высокий |
Обслуживание счета |
|
- В присутствии клиента |
Низкий |
- Только дистанционно <*> (в том числе посредством почты, телефонной связи, текстовых сообщений, видеосвязи и информационно-телекоммуникационной сети "Интернет") |
Умеренный <*>/Высокий |
- Только дистанционно через посредников, включая гейткиперов |
Умеренный |
--------------------------------
<*> В том случае, если клиент известен финансовой организации, но осуществляет свою деятельность в дистанционном режиме.
Приложение F
ОЦЕНКИ ПРИСУЩЕГО РИСКА В ЗАВИСИМОСТИ ОТ РИСКОВ, СВЯЗАННЫХ
С ОСОБЕННОСТЯМИ ГЕОГРАФИЧЕСКОГО
"ПРИСУТСТВИЯ"/СТРАНОВЫХ РИСКОВ
Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.
Риски, связанные с особенностями географического "присутствия"/страновые риски |
Оценка риска |
Местонахождение подразделений банка/финансовой организации |
|
- Страны наиболее высокого риска |
Наиболее высокий |
- Страны высокого риска |
Высокий |
- Страны умеренного риска |
Умеренный |
- Страны низкого риска |
Низкий |
Местонахождение клиента |
|
- Страны наиболее высокого риска |
Наиболее высокий |
- Страны высокого риска |
Высокий |
- Страны умеренного риска |
Умеренный |
- Страны низкого риска |
Низкий |
--------------------------------
<*> Примечание: в вышеприведенном примере используется четырехступенчатая шкала оценки, которая может быть изменена по выбору финансовой организации.
Приложение G
ОЦЕНКИ ПРИСУЩЕГО РИСКА В ЗАВИСИМОСТИ ОТ ИНЫХ КАЧЕСТВЕННЫХ
ФАКТОРОВ РИСКА ОД
Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.
Иные качественные факторы риска ОД |
Оценка риска |
Стабильность клиентской базы |
Низкий/Умеренный /Высокий |
Интегрированность ИТ-систем |
Низкий/Умеренный /Высокий |
Ожидаемый рост количества счетов/клиентской базы |
Низкий/Умеренный /Высокий |
Ожидаемый рост доходов |
Низкий/Умеренный /Высокий |
Последние данные о движении рабочей силы в подразделении, ответственном за соблюдение законодательства в сфере ПОД |
Низкий/Умеренный /Высокий |
Доверие услугам третьих лиц |
Низкий/Умеренный /Высокий |
Недавно состоявшееся/планируемое внедрение новых продуктов и/или услуг |
Низкий/Умеренный /Высокий |
Недавно состоявшиеся/планируемые сделки поглощения |
Низкий/Умеренный /Высокий |
Недавно реализованные социальные проекты и инициативы в области соблюдения законодательства в сфере ПОД (например, устранение выявленных недостатков, устранение недоработок, перевод деятельности в оффшорную зону |
Низкий/Умеренный /Высокий |
Актуальные результаты внутреннего аудита или прочие существенные сведения |
Низкий/Умеренный /Высокий |
Приложение H
СТАНДАРТНОЙ ОЦЕНКИ ПРИСУЩЕГО РИСКА (ДЛЯ КЛЮЧЕВЫХ
НАПРАВЛЕНИЙ ДЕЯТЕЛЬНОСТИ БАНКА/ФИНАНСОВОЙ ОРГАНИЗАЦИИ)
Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.
Стандартная оценка присущего риска |
|
Вид финансовой организации/подразделения/направления деятельности |
Оценка присущего риска ОД (трехступенчатая) |
Управление активами |
От низкого до умеренного |
Брокерские услуги |
От умеренного до высокого |
Банковское обслуживание коммерческих организаций |
От умеренного до высокого |
Международные банковские корреспондентские отношения |
Высокий |
Выпуск и обслуживание кредитных и иных банковских карт |
От низкого до умеренного |
Инвестиционная банковская деятельность |
От низкого до умеренного |
Банковское обслуживание физических лиц |
От умеренного до высокого |
Управление активами состоятельных клиентов/индивидуальное банковское обслуживание состоятельных клиентов |
От умеренного до высокого |
Приложение I
ПРИМЕРЫ ПРИСВОЕНИЯ ФАКТОРАМ ВЕСОВЫХ КОЭФФИЦИЕНТОВ
Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.
Примеры присвоения весовых коэффициентов факторам присущего риска
Примеры присвоения весовых коэффициентов факторам присущего риска |
|
Фактор присущего риска |
Весовой коэффициент |
Каналы реализации продуктов и услуг |
5 - 10% |
Типы клиентов |
25 - 35% |
Страна/географическое "присутствие" |
20 - 30% |
Продукты и услуги |
20 - 30% |
Иные качественные факторы риска |
10 - 15% |
Примеры присвоения весовых коэффициентов факторам эффективности инструментов контроля
Примеры присвоения весовых коэффициентов факторам эффективности инструментов контроля |
|
Инструмент контроля |
Весовой коэффициент |
"Знай своего клиента" (включая все требования) |
20 - 30% |
Мониторинг и контроль |
20 - 30% |
Принципы и процедуры |
10 - 15% |
Иные оценки рисков |
10 - 15% |
Корпоративное управление в сфере ПОД, управленческий надзор и подотчетность |
5 - 10% |
Управленческая информация и отчетность |
5 - 10% |
Хранение данных и соблюдение сроков хранения |
5 - 10% |
Уполномоченный сотрудник/подразделение, ответственное за соблюдение законодательства о ПОД |
5 - 10% |
Выявление подозрительных операций и направление сообщений о подозрительных операциях |
5 - 10% |
Обучение |
5 - 10% |
Независимое тестирование и надзор |
5 - 10% |
Иные инструменты контроля |
5 - 10% |
Приложение J
ПРИМЕР РАСЧЕТА ОСТАТОЧНОГО РИСКА
Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.
Трехступенчатый подход к оценке остаточного риска
Пример расчета остаточного риска |
||
Присущий риск |
Эффективность инструмента контроля |
Остаточный риск |
Низкий |
90 - 100% |
Низкий |
89 - 80% |
Умеренный |
|
< 80% |
Высокий |
|
Умеренный |
90 - 100% |
Низкий |
89 - 80% |
Умеренный |
|
< 80% |
Высокий |
|
Высокий |
90 - 100% |
Низкий |
89 - 80% |
Умеренный |
|
< 80% |
Высокий |
Пятиступенчатый подход к оценке остаточного риска
Пример расчета остаточного риска |
||
Присущий риск |
Эффективность инструмента контроля |
Остаточный риск |
Низкий |
95 - 100% |
Низкий |
90 - 94% |
От низкого до умеренного |
|
85 - 89% |
Умеренный |
|
80 - 84% |
От умеренного до высокого |
|
< 80% |
Высокий |
|
Умеренный |
95 - 100% |
Низкий |
90 - 94% |
От низкого до умеренного |
|
85 - 89% |
Умеренный |
|
80 - 84% |
От умеренного до высокого |
|
< 80% |
Высокий |
|
Высокий |
95 - 100% |
Низкий |
90 - 94% |
От низкого до умеренного |
|
85 - 89% |
Умеренный |
|
80 - 84% |
От умеренного до высокого |
|
< 80% |
Высокий |
Приложение N 2
к информационному письму
от 27.12.2017 N ИН-014-12/64
РУКОВОДСТВО
ПО ПРОГРАММЕ ОБЕСПЕЧЕНИЯ СООТВЕТСТВИЯ ТРЕБОВАНИЯМ
ЗАКОНОДАТЕЛЬСТВА ПО ПРОТИВОДЕЙСТВИЮ ВЗЯТОЧНИЧЕСТВУ
И КОРРУПЦИИ
1. Вступление
Ряд национальных и международных организаций, в том числе Организация экономического сотрудничества и развития (ОЭСР) и Организация объединенных наций (ООН) принимают меры противодействия взяточничеству и коррупции в государственном и частном секторах в странах по всему миру. Исходя из необходимости участия всех слоев общества, в том числе сектора финансовых услуг, в обеспечении эффективности мер противодействия взяточничеству и коррупции, Вольфсбергской группой <1> было доработано Руководство по вопросам противодействия взяточничеству и коррупции в предыдущей редакции 2011 года.
--------------------------------
<1> Вольфсбергская группа состоит из следующих финансовых организаций: Banco Santander, Bank of America, Bank of Tokyo-Mitsubishi UFJ, Barclays, Citigroup, Credit Suisse, Deutsche Bank, Goldman Sachs, HSBC, JP Morgan Chase, Societe Generate, Standard Chartered и UBS.
Настоящий документ подготовлен для использования в качестве руководства по разработке, внедрению и обеспечению эффективного функционирования Программы обеспечения соответствия требованиям законодательства по противодействию взяточничеству и коррупции для более широкого сектора финансовых услуг в дополнение к существующим методическим рекомендациям, опубликованным органами власти в юрисдикциях, на территории которых финансовая организация осуществляет свою деятельность. Основной целью настоящего Руководства является содействие формированию культуры этических норм ведения бизнеса и соответствию требованиям законодательных и нормативно-правовых актов в сфере противодействия взяточничеству и коррупции. Руководство было разработано совместно с Базельским институтом управления и при содействии "Трансперенси Интернэшнл".
2. Сфера применения <2>
--------------------------------
<2> Принимая во внимание, что цель настоящего Руководства заключается в заострении внимания на областях риска, особенно актуальных для финансовых организаций, соблюдение его принципов не заменяет юридической консультации. В связи с этим финансовым организациям следует консультироваться по вопросам, касающимся деятельности компании, с собственными экспертами по правовым вопросам.
В настоящем Руководстве рассматриваются, главным образом, вопросы коррупции в форме взяточничества, которое, как правило, определяется как деяние, предполагающее предложение, обещание, просьбу, принятие или передачу каких-либо материальных ценностей напрямую или через посредников физическому лицу или самим физическим лицом с целью неправомерного воздействия, влияния или поощрения результатов работы подразделения или направления деятельности. Взяточничество может возникать в контексте коммерческих договоренностей или представлять собой злоупотребление государственной должностью или полномочиями в интересах личного обогащения с целью получения, сохранения или управления бизнесом или с целью ненадлежащего использования какого-либо иного преимущества при ведении бизнеса.
В настоящем Руководстве рассматриваются вопросы коррупции с учетом следующего:
- Во-первых, подчеркивается значение применения риск-ориентированного подхода к разработке и внедрению Программы обеспечения соответствия требованиям законодательства по противодействию взяточничеству и коррупции, и противодействию коррупции;
- Во-вторых, даются рекомендации в отношении возможного применения финансовыми организациями внутренних мер с целью поддержания самых высоких стандартов профессиональной добросовестности собственными сотрудниками и третьими сторонами, оказывающими соответствующие услуги от имени и по поручению этих финансовых организаций. <3>
--------------------------------
<3> В Руководстве неправомерное использование финансовых организаций клиентами этих организаций с целью стимулирования роста коррупции относится к значимым, ощутимым коррупционным рискам.
3. Риск-ориентированный подход
Вольфсбергская группа руководствуется принципами риск-ориентированного подхода при разработке и внедрении Программ обеспечения соответствия требованиям законодательства по противодействию взяточничеству и коррупции. Такая Программа должна быть составлена с учетом мероприятий, направленных на эффективное предотвращение и выявление случаев коррупции. Для достижения вышеуказанной цели финансовым организациям, при необходимости, следует периодически проводить оценку своей деятельности, своих продуктов и услуг, а также выявлять риски, присущие их деятельности, и внедрять принципы, правила и средства контроля, соразмерные выявленным рискам.
В соответствии с приведенными далее примерами риски взяточничества, как правило, возрастают для финансовых организаций при реализации бизнес-возможностей, создаваемых со стороны государственных органов или крупных корпоративных клиентов, а не клиентов, выступающих в своих собственных интересах (например, частных состоятельных клиентов), или при предоставлении каких-либо преимуществ (выгоды) государственным органам или крупным корпоративным клиентам. <4> Финансовым организациям следует проводить оценку своих рисков с учетом специфики их структуры и операционной деятельности.
--------------------------------
<4> Термин "корпоративный клиент" в аналогичном значении используется в разделах 7.2 и 9.1
4. Компоненты Программы обеспечения соответствия требованиям законодательства по противодействию взяточничеству и коррупции ("Программа")
Поскольку ни одна Программа не способна полностью устранить коррупцию или защитить от нее, при этом не существует универсальной Программы, настоящее руководство призвано помочь всем финансовым организациям снизить риски взяточничества и коррупции. <5>
--------------------------------
<5> Хотя национальное законодательство имеет первостепенное значение, международно активным финансовым организациям следует также учитывать действующие нормы Закона США о противодействии коррупции за рубежом (FCPA), а также Пояснения к закону FCPA, подготовленные совместно Министерством юстиции и Комиссией по ценным бумагам и биржам США, а также нормы Закона Великобритании о противодействии коррупции и Пояснения к данному закону, и другие национальные законы, принятые в соответствии с требованиями Конвенции по борьбе с подкупом иностранных должностных лиц при осуществлении международных коммерческих сделок, принятой Организацией экономического сотрудничества и развития (ОЭСР), а также Приложение II к Рекомендации ОЭСР о дальнейшей борьбе с подкупом иностранных должностных лиц при осуществлении международных коммерческих сделок, а также соответствующие документы, опубликованные такими некоммерческими организациями, как, например, "Трансперенси Интернэшнл" и Международная торговая палата.
- Корпоративное управление: надзор за реализацией Программы финансовой организацией должен осуществляться руководством высшего звена, администрирование Программы - лицом, наделенным достаточными полномочиями, обладающим профессиональными знаниями и опытом и располагающим соответствующими ресурсами; утверждать программу должен Совет директоров или равнозначный орган (Раздел 5).
- Общекорпоративная политика: письменные принципы и правила, которые:
- запрещают обещание, предложение, передачу, требование или получение любых материальных ценностей напрямую или через посредников с привлечением третьих сторон, в случае, если они осуществляются с помощью неправомерных методов, направленных на оказание влияния на принятие каких-либо решений или получение преимущества (Раздел 6.1) <6>;
--------------------------------
<6> В некоторых законах, в том числе в отдельных положениях Закона Великобритании о противодействии коррупции, не предусмотрено требование об установлении неправомерного умысла, в случае наличия неправомерной выгоды или неправомерного деяния.
- запрещают фальсификацию или сокрытие бухгалтерских книг, записей или финансовой отчетности, связанных с ведением деятельности компании, ее клиентами, поставщиками или другими бизнес-партнерами (Раздел 6.2);
- определяют и устанавливают повышенный риск взаимодействия с государственными должностными лицами (Раздел 6.3);
- обеспечивают сотрудников возможностью направлять сообщения об известных им фактах взяточничества на условиях анонимности и защищают интересы работников. В отношении таких работников не могут быть применены дисциплинарные взыскания (Раздел 6.4);
- информируют работников о возможных последствиях несоблюдения требований законодательства (Раздел 6.1);
- обеспечивают значительную заинтересованность со стороны руководства высшего звена, а также членов Совета директоров, которая закрепляется в соответствующем официальном заявлении компании;
- Создание системы внутреннего контроля: риск-ориентированные механизмы контроля должны быть направлены на снижение коррупционных рисков, связанных с:
- привлечением сторонних организаций, в том числе организаций-посредников (Раздел 7);
- осуществлением инвестиций в качестве основного участника и поглощений подконтрольных фондов/совместными предприятиями, т.е. финансовая организация или подконтрольный фонд выступает в качестве основного участника (Раздел 8);
- передачей каких-либо материальных ценностей (Раздел 9):
- подарки и представительские расходы (напр., питание, культурно-развлекательные мероприятия, транспортное обслуживание, проживание, обучение и конференции);
- благотворительные пожертвования и взносы на политические цели;
- рекламная спонсорская помощь;
- трудовая деятельность и опыт работы (например, стажировки);
- Оценка рисков: любая финансовая организация должна на регулярной основе проводить оценку характера и степени присущих ей рисков, возникающих в связи с возможными случаями взяточничества и коррупции, которым такая финансовая организация подвержена, а также эффективности механизмов контроля, направленных на снижение этих рисков (Раздел 10);
- Обучение и информированность: информирование о Программе посредством внедрения принципов, правил и методических указаний, а также проведение риск-ориентированного обучения соответствующих работников и привлекаемой третьей стороны (Раздел 11);
- Мониторинг соблюдения требований механизмов контроля: финансовая организация должна внедрять соответствующие механизмы в целях подтверждения и контроля соблюдения принципов и правил компании. В случае обнаружения факта нарушения, выявленные недостатки должны быть устранены, а механизмы контроля доработаны (Раздел 12);
- Коррупционные риски, связанные с клиентами: отдельные клиенты или определенные виды обязательств клиентов могут создавать для финансовой организации дополнительные правовые или репутационные риски, которые следует учитывать. Управление такими рисками следует осуществлять в рамках соответствующей структуры управления (Раздел 13).
5. Корпоративное управление
Основная задача корпоративного управления при соблюдении требований антикоррупционного законодательства состоит в создании и обеспечении функционирования Программы, которая устанавливает стандартный режим работы, обеспечивающий реализацию культуры этических норм ведения бизнеса и соблюдение нормативно-правовых требований антикоррупционного законодательства.
5.1. Распределение функций и сфер ответственности
С целью обеспечения эффективности структуры корпоративного управления функции и зоны ответственности следует распределить следующим образом:
Руководство высшего звена: руководители высшего звена компании должны отвечать за надзор за реализацией Программы, при этом компания должна выделять ресурсы в достаточном объеме для обеспечения надлежащего уровня эффективности ее операционной деятельности. Необходимо регулярно корректировать Программу, а также представлять отчетность о существенных проблемах Исполнительному совету или равнозначному органу, а также Совету директоров или соответствующему комитету Совета директоров.
Руководство Программой: реализация Программы должна осуществляться независимым подразделением финансовой организации, располагающим экспертами с необходимой профессиональной квалификацией и опытом и наделенным соответствующими полномочиями. Такое подразделение должно быть частью функции контроля, например, функции по обеспечению соблюдения требований законодательства ("комплаенс"), правовой функции или функции управления рисками.
Направления деятельности/Корпоративные функции: персонал, занятый в основной деятельности финансовой организации, должен в первую очередь отвечать за обеспечение соблюдения установленных требований Программы.
5.2. Внутренняя отчетность
Необходимо обеспечить представление актуальных данных руководству высшего звена компании с целью оказания содействия в их оценке эффективности Программы. Отчеты руководству должны включать в себя:
- сведения о результатах работы по внедрению и обеспечению функционирования Программы, в том числе ключевые показатели эффективности/количественные показатели;
- сведения о существенных отклонениях в поведении сотрудников от принципов и правил корпоративной политики компании (например, правил, касающихся обмена подарками и знаками делового гостеприимства);
- информацию по обязательствам организаций-посредников, представляющих повышенные риски;
- информацию об актуальных изменениях нормативно-правовой базы;
- актуальные сведения о результатах любых внутренних проверок в отношении Программы (например, аудиторских проверок, проверок соблюдения требований законодательства);
- сведения об иных существенных проблемах, например, связанных с обязательной отчетностью или сообщениями о фактах взяточничества и коррупции среди должностных лиц, работников или привлекаемых третьих лиц.
Отчет о результатах существенных внутренних расследований в отношении предполагаемых фактов коррупции также должен быть представлен руководству высшего звена по согласованию с Юридическим департаментом финансовой организации в соответствии с установленным порядком.
Помимо этого, до сведения Совета директоров или комитета Совета директоров финансовой организации на регулярной основе должна доводиться актуальная информация в отношении эффективности Программы, а также любых существенных вопросов, требующих внимания Совета директоров.
5.3. Независимая оценка
Для финансовых организаций большое значение имеет проведение оценки и проверки структуры механизмов внутреннего контроля с целью определения их эффективности. В связи с этим осуществление проверки и подтверждение эффективности Программы должны быть поручены независимому подразделению, например, подразделению внутреннего аудита или специальной группе по проверке механизмов внутреннего контроля, которое действует независимо от руководителя Программы. Также можно рассмотреть возможность проведения проверки и определения эффективности Программы внешними организациями (например, аудиторской или юридической компанией).
6. Корпоративная политика
6.1. Запрет взяточничества
Принципы Антикоррупционной политики (далее - Политика) должны применяться в рамках всей компании и отражать позицию абсолютной нетерпимости к взяточничеству, а также налагать запрет на стимулирующие платежи (вознаграждение за упрощение формальных процедур). <7> При этом данная Политика должна руководствоваться "посылом сверху" руководителей высшего звена, а также членов Совета директоров, и служить основой для всех соответствующих антикоррупционных стандартов и процедур. <8> Политика компании, официальное заявление компании о Кодексе корпоративного поведения/корпоративной этики или соответствующие методические руководства должны предусматривать положение о личной ответственности каждого сотрудника за защиту своей финансовой организации, ее репутации и самих себя от рисков, возникающих в связи с взяточничеством и коррупцией, а также описание возможных последствий нарушения требований законодательства.
--------------------------------
<7> Финансовым организациям также следует рассмотреть возможность акцентировать в своей корпоративной политике, что передача каких-либо материальных ценностей под угрозой причинения вреда жизни, здоровью или свободе не является актом коррупции.
<8> Финансовая организация также должна публично заявить о принятии ответственности за управление рисками взяточничества и коррупции (например, в качестве демонстрации корпоративной социальной ответственности).
Принципы и правила Политики должны соблюдаться всеми подразделениями фронт-, мидл- и бэк-офиса, в том числе сотрудниками финансового, налогового, операционного и кадрового подразделений, при этом соответствующая информация должна быть максимально доступна. В рамках Политики должны рассматриваться вопросы, связанные с потенциальными рисками взяточничества и коррупции, возникающими в таких департаментах, как департамент корпоративных отношений, департамент маркетинга, департамент спонсорских проектов, департамент административно-хозяйственного обеспечения, департамент развития бизнеса, департамент корпоративных объектов недвижимости и закупок, особенно учитывая их тесное взаимодействие с внешними поставщиками и провайдерами услуг. Отдельные временные работники, сторонние провайдеры услуг, организации-подрядчики и иной персонал, в силу закрепленных за ними функций, могут также попадать под действие настоящего документа.
6.2. Данные учета и отчетности
Антикоррупционная политика должна предусматривать запрет на ненадлежащее ведение бухгалтерского учета или сокрытие полной и достоверной информации о финансовой деятельности. Сотрудники фронт-, мидл- и бэк-офиса разделяют ответственность за достоверность документального оформления передачи любых материальных ценностей, переданных клиентам, потенциальным клиентам и государственным должностным лицам, а также платежей в пользу третьих сторон и любых положительных решений, предписанных иными внутрикорпоративными принципами и правилами; при этом необходимо обеспечить прозрачность данной процедуры в целях контроля и гарантии достоверности. Финансовые организации могут также рассмотреть возможность ведения документации в отношении любых материальных ценностей, переданных клиентами, потенциальными клиентами, государственными должностными лицами и третьими сторонами. Документацию необходимо вести в соответствии с нормативно-правовыми требованиями действующего законодательства.
6.3. Государственные должностные лица
В рамках антикоррупционного законодательства государственных должностных лиц (см. определение далее), как национальных, так и иностранных, а также их представителей/агентов, относят к лицам, представляющим повышенные коррупционные риски для компаний, заинтересованных в приобретении или сохранении государственного предприятия или в обеспечении принятия решения государственными органами власти или оказании влияния на принятие такого решения (например, принятие законодательного акта, официальное разрешение надзорного органа или выдача лицензии).
Корпоративная политика финансовых организаций должна предусматривать идентификацию повышенного риска взаимодействия с государственными должностными лицами и содержать четкое определение данного понятия для выявления сопутствующих рисков сотрудниками организации. Такое определение может содержать сведения о доле государственной собственности, степени контроля или влияния на лицо, которые могут стать основанием для финансовой организации относить работников такого лица к государственным должностным лицам.
В рамках антикоррупционного законодательства понятие государственного должностного лица рассматривается в широком понимании. В этой связи финансовым организациям рекомендуется определять государственных должностных лиц как лиц, замещающих любую должность или относящихся к любому уровню в следующих типах организаций:
- национальные, региональные, местные или муниципальные государственные органы (например, исполнительные, законодательные, судебные);
- государственные компании или компании, контролируемые государством. Как правило, принято считать, что компания контролируется государством при наличии, по крайней мере, одного из следующих признаков:
- доля участия государства составляет более 50%;
- контрольное влияние государства на исход голосования;
- контроль Совета директоров со стороны государства;
- иные признаки контроля государства (например, блокирующий ("золотой") пакет акций, государственное проявление контроля);
- центральные банки;
- фонды национального благосостояния;
- международные организации, банки развития и ведомства народного здравоохранения (например, ООН, ЕС, Всемирный банк или МВФ), а также смешанные частно-государственные компании;
- королевские семьи;
- политические партии, партийные деятели и кандидаты на политический пост любого уровня.
6.4. Ведение отчетности и расследование возможных должностных нарушений
Финансовые организации должны организовать процесс получения, расследования, урегулирования и документирования сообщений о предполагаемых должностных нарушениях, в том числе фактах взяточничества и коррупции. Данная процедура должна предусматривать ведение "горячей линии" для передачи таких сообщений или наличие иных механизмов информирования, доступных для всех сотрудников и потенциально сторонних организаций, что может обеспечить анонимность направления сообщений при наличии законных оснований. Помимо этого, любая финансовая организация должна гарантировать сотрудникам, а также опубликовать информацию, согласно которой в отношении работников, добросовестно сообщивших об известных им фактах должностных правонарушений, не могут быть применены дисциплинарные взыскания.
Финансовые организации должны разработать соответствующие инструкции для лиц, ответственных за проведение расследований в отношении добросовестно представленных сообщений о возможных должностных нарушениях. Такое руководство должно предусматривать требование о соблюдении надлежащего уровня конфиденциальности на протяжении всей процедуры (принцип "действительной необходимости ознакомления") и обеспечивать соблюдение требований действующего законодательства. В некоторых случаях желательно привлекать сторонних консультантов по юридическим вопросам или вопросам бухгалтерского учета в целях оказания содействия в расследовании.
Надлежащие меры дисциплинарного взыскания должны быть приняты после установления в результате расследования факта нарушения антикоррупционного законодательства или принципов Политики. Помимо этого, финансовые организации должны принять меры по устранению вреда, нанесенного в результате такой деятельности и, при необходимости, надлежащие действия для снижения вероятности повторного возникновения таких случаев в дальнейшем.
7. Третьи стороны
Взаимодействие с третьими сторонами (в том числе организациями-посредниками, подрядчиками, разработчиками или поставщиками) может создавать различные степени риска взяточничества для финансовой организации. Риски связаны с третьими сторонами, которые совершают коррупционные платежи, действуя в интересах или по поручению финансовой организации, или передают персональные вознаграждения сотрудникам компании в обмен на полномочия, предоставленные компанией, которые могут оказать негативное воздействие на саму компанию. Помимо этого, степень возникновения ответственности для финансовой организации в связи с действиями третьей стороны может различаться в зависимости от юрисдикции; при этом она может трактоваться достаточно широко. <9> В связи с этим финансовые организации должны руководствоваться риск-ориентированным подходом и учитывать соответствующие различия между юрисдикциями при внедрении механизмов внутреннего контроля для эффективного управления этими рисками.
--------------------------------
<9> Например, в соответствии с положениями Закона Великобритании о противодействии коррупции, коммерческая организация в некоторых обстоятельствах может понести ответственность за деяния, совершенные "связанным лицом", которое, согласно широкому определению, представляет собой любое лицо, оказывающее услуги в интересах или по поручению такой организации, независимо от осведомленности (или неосведомленности) финансовой организации о коррупционных деяниях третьей стороны.
7.1. Общие процедуры закупки
Финансовым организациям следует учитывать при разработке механизмов внутреннего контроля риск взяточничества, связанный с закупкой товаров и услуг. В частности, финансовые организации должны разработать и внедрить четкие инструкции в отношении отбора сторонних провайдеров услуг, а также ввести ограничения на основании оценки рисков в отношении получения любых материальных ценностей от вышеуказанных сторонних организаций сотрудниками, задействованными в процедуре отбора. В регламенте по отбору сторонних провайдеров услуг также должны быть предусмотрены вопросы в отношении возможных фактов взяточничества или рекомендации в общих анкетах по закупкам с целью оказания содействия финансовым организациям в установлении обстоятельств, при которых сторонняя организация может представлять повышенные риски взяточничества. В случае возникновения повышенного риска при заключении подобных соглашений, может потребоваться проведение расширенной процедуры комплексной проверки, осуществление надзора и внедрение соответствующих механизмов правовой защиты.
После отбора поставщика или провайдера услуг финансовая организация должна продолжить применение риск-ориентированного подхода при принятии решения в отношении внедрения предупредительных механизмов внутреннего контроля, направленных на снижение рисков, например, риск-ориентированного контроля расходов (в том числе, при необходимости, потенциальное проведение проверок), а также в отношении введения требования о периодической актуализации данных по результатам процедуры комплексной проверки и оценки рисков поставщиков и провайдеров услуг.
7.2. Организации-посредники
Отдельные третьи стороны представляют повышенные риски взяточничества. В частности, к ним относятся третьи стороны, действующие в интересах и от имени финансовой организации, в целях: 1) поиска, представления, получения или сохранения финансового или иного коммерческого преимущества или 2) получения разрешения органа государственной власти или обеспечения принятия соответствующего решения органом государственной власти (далее вместе именуемые Организации-посредники).
Организации-посредники могут создавать существенную правовую ответственность, а также репутационные риски для финансовых организаций. В этой связи необходимо обеспечить надлежащий контроль за этими организациями на протяжении всего срока действия соглашения. В соответствии с многократно выявленными фактами в рамках реализации мер надзорного реагирования платежи в пользу Организаций-посредников используются в целях передачи и сокрытия взяток государственным должностным лицам или крупным корпоративным клиентам.
В связи с возникновением вышеуказанных присущих рисков финансовые организации должны: 1) руководствоваться широким подходом к определению третьих сторон, которые следует рассматривать в качестве организаций-посредников, и 2) проводить оценку уровня риска потенциальных соглашений с целью обеспечения надлежащего уровня комплексной проверки, согласования и контроля. В рамках такой оценки следует, при необходимости, анализировать:
- бизнес-потребности и сферы действия соглашения;
- терминологию в сфере тарифной структуры/платежей (значительные "комиссионные платежи за успешное выполнение операции" или "дискреционные бонусы" являются факторами риска);
- квалификационные требования к предоставляемым услугам;
- вероятность взаимодействия с государственным должностным лицом от имени финансовой организации;
- связи с государственными должностными лицами (например, была ли организация-посредник рекомендована государственным должностным лицом или являются/являлись ли ее основные бенефициарные владельцы, директора или работники государственными должностными лицами или родственниками/близкими друзьями государственных должностных лиц);
- отраслевой коррупционный риск;
- страновой коррупционный риск;
- в случае если речь идет о лице, представившем или нашедшем третью сторону, категорию клиента, который будет представлен (например, физическое или юридическое лицо), а также существует ли какое-либо текущее взаимодействие - личное или профессиональное - с клиентом.
В зависимости от результатов оценки последующая комплексная проверка может включать:
- поиск негативных новостей, связанных с взяточничеством и коррупцией, в СМИ. В отношении организаций-посредников, представляющих повышенный уровень риска, может потребоваться информационный поиск новостей на национальном языке;
- информационный поиск по материалам судебных заседаний в рамках уголовных или гражданских судебных разбирательств, связанных с взяточничеством и коррупцией;
- анализ внутрикорпоративной политики и/или правил организации-посредника в отношении управления коррупционным риском, в том числе любых связанных учебных мероприятий;
- в случае если организация-посредник подлежит регулированию, поиск информации в государственных базах данных в отношении обвинительных приговоров, штрафных санкций и подтверждение статуса действующей лицензии.
При выявлении индикаторов риска (примеры индикаторов риска (красных флажков) приведены в Приложении A) финансовые организации должны рассмотреть возможность проведения комплексной проверки и передать вопрос на рассмотрение руководству с целью обеспечения принятия максимально взвешенного решения в отношении привлечения данной организации-посредника. Сторонние организации-посредники следует привлекать только в том случае, если основные заинтересованные лица убеждены в том, что были приняты все необходимые меры для снижения или контроля связанных рисков.
В случае если финансовая организация принимает решение о привлечении организации-посредника, предупредительные меры, направленные на снижение рисков, могут предусматривать следующее:
- обучение работников финансовой организации, отвечающих за управление отношениями с клиентами (партнерами), а также сотрудников, привлеченных организацией-посредником для реализации соглашения, при необходимости на национальном языке, а также при необходимости проведение мероприятий по последующему контролю исполнения;
- условия соглашения с заявлениями и гарантиями в сфере противодействия коррупции и взяточничеству, которые могут варьировать в зависимости от уровня коррупционного риска, присущего такому соглашению. Условия соглашения могут предусматривать:
- запрет на все формы взяточничества и коррупции;
- подтверждение наличия надлежащей антикоррупционной политики и правил;
- положение о прекращении действия договора в связи с фактами взяточничества и коррупции, права на проведение проверок и/или положения, требующие достоверности данных учета и отчетности;
- заявление, в котором зафиксирована обязанность организации-посредника по наблюдению за ее субподрядчиками.
- информирование и официальное подтверждение ожиданий финансовой организации в сфере противодействия коррупции и взяточничеству;
- усиленный контроль за комиссионными выплатами и расходами, в том числе при необходимости потенциальные проверки;
- периодическое отслеживание негативных новостей и проверки судебных архивов с целью выявления новых проблемных вопросов, которые должны быть учтены при принятии решения о продлении соглашения.
Финансовые организации должны вести учет привлекаемых организаций-посредников, в том числе следующих данных: наименований, условий соглашения, проведенных комплексных проверок, предоставленных услуг и проведенных платежей.
8. Осуществление инвестиций в качестве основного участника и поглощений подконтрольных фондов/совместные предприятия
Ответственность за коррупционные правонарушения может возникать после реализации слияния, заключения партнерства или приобретения финансовой организацией или контролируемым финансовой организацией фондом значительной доли участия в другой компании/предприятии или совместном предприятии (далее - Объект). Как правило, преобладающее участие в уставном капитале или контроль над Советом директоров считается существенным. <10>
--------------------------------
<10> Финансовая организация может также учитывать риски, связанные с инвестициями, не обеспечивающими контрольного пакета, но, тем не менее, предполагающими значительную долю участия в капитале компании, которая предоставит организации возможность влиять на деятельность такой компании.
Для управления риском, связанным со значительными инвестициями в Объект, финансовые организации должны:
- проводить риск-ориентированную комплексную антикоррупционную проверку таких Объектов, основных участников и партнеров совместных предприятий;
- предпринимать меры в целях обеспечения правовой защиты в отношении взяточничества и коррупции;
- осуществлять риск-ориентированный надзор за механизмами антикоррупционного контроля Объекта после поглощения (например, с помощью получения должности в Правлении компании).
Такие принципы управления рисками следует применять не только в отношении собственных инвестиций финансовой организации и присоединенных компаний, но и в отношении существенных инвестиций фондов по управлению активами, контролируемых финансовой организацией.
Риск-ориентированная комплексная антикоррупционная проверка должна быть направлена на выявление индикаторов (красных флажков) взяточничества и коррупции за прошлые и текущие периоды на протяжении разумного срока до наступления предполагаемой даты закрытия сделки. По мере возможности комплексную проверку желательно провести до начала инвестиций. В редких случаях, когда такая проверка частично или в полном объеме может быть проведена только после начала инвестиций/поглощения, финансовая организация должна предусмотреть специальную процедуру в отношении нестандартных операций. В случае принятия положительного решения в отношении осуществления инвестиций в Объект или приобретения (поглощения) Объекта без проведения комплексной антикоррупционной проверки, такую проверку необходимо провести в течение разумного срока после завершения сделки.
Объем комплексной проверки должен определяться исходя из уровня риска Объекта. В рамках риск-ориентированной антикоррупционной комплексной проверки Объекта можно учитывать ряд факторов, в том числе:
- являются ли предполагаемые основные участники инвестиций, партнеры в совместных предприятиях или члены руководящего состава государственными должностными лицами, государственными предприятиями или предприятиями, контролируемыми государством;
- связи с государственными органами власти, в том числе: предусматривает ли деятельность Объекта значительное взаимодействие с государственными должностными лицами;
- репутацию Объекта и его руководящего состава в части, касающейся соблюдения профессионально-этических норм поведения и требований законодательства;
- осуществляет ли Объект какую-либо деятельность или располагает персоналом (в отличие от специализированной финансовой структуры, предназначенной исключительно для держания финансовых инструментов, таких как обеспеченные долговые обязательства);
- войдут ли представители финансовой организации в состав Совета директоров Объекта;
- достаточность процедур по обеспечению соблюдения требований антикоррупционного законодательства, принятых Объектом, если таковые имеются <11>;
--------------------------------
<11> В случае если Объект представляет собой недавно созданную организацию, основная задача комплексной проверки - выяснить, следует ли предположительный управляющий партнер указанным принципам, или обладает ли команда руководящего состава высшего звена надлежащим опытом, и/или проявляет ли готовность внедрять такие принципы.
- страновой риск государств, на территории которых Объект осуществляет свою деятельность;
- отраслевой риск Объекта.
Антикоррупционная комплексная проверка должна предусматривать участие лица (лиц), независимого(ых) от предположительных руководителей и сотрудников Объекта. Выявленные индикаторы риска (красные флажки) должны быть учтены и доведены до сведения соответствующих сторон, например, соответствующего инвестиционного комитета финансовой организации или других органов, ответственных за анализ и управление предельно допустимым совокупным уровнем риска от имени финансовой организации. При обнаружении в рамках комплексной проверки реальных или предполагаемых фактов коррупции финансовая организация должна принять решение: либо привлечь стороннего эксперта по правовым вопросам для получения заключения в отношении возможных мер реагирования на выявленную проблему и/или самостоятельно проанализировать необходимость взаимодействия с соответствующими правоохранительными органами и регуляторами в отношении принятия надлежащих действий.
В дополнение к проведению комплексной проверки финансовые организации должны предпринимать меры по защите своих прав в ходе поглощения или осуществления инвестиций с помощью соответствующих механизмов правовой защиты, направленных на противодействие взяточничеству и коррупции, сфера действия которых может быть согласована в каждом отдельном случае. Положения соглашения могут предусматривать:
- заявления и гарантии (и при необходимости договорные обязательства) в отношении соблюдения требований соответствующего антикоррупционного законодательства;
- право предписывать Объекту проводить соответствующую антикоррупционную политику и процедуры, а также получать отчетность на регулярной основе;
- право на изъятие инвестиций в связи с нарушением требований антикоррупционного законодательства;
- право назначать новое руководство в случае выявления существенных нарушений;
- право проводить проверку данных учета и отчетности Объекта.
После осуществления инвестиций финансовые организации должны принять необходимые меры для обеспечения возможности предписывать (при наличии преобладающей доли в капитале или контроля над Советом директоров) или побуждать (при наличии значительной миноритарной доли участия в капитале или места в Совете директоров) Объект развивать, внедрять и обеспечивать функционирование надлежащих механизмов внутреннего контроля, направленных на противодействие взяточничеству и коррупции.
9. Материальные ценности
Риски взяточничества не ограничиваются платежами наличными денежными средствами и могут возникать в результате предложения или передачи материальных ценностей. В связи с этим Программа должна предусматривать механизмы риск-ориентированного контроля, направленные на снижение рисков, связанных со следующими видами деятельности.
9.1. Подарки и знаки делового гостеприимства
Финансовые организации вручают подарки и оказывают знаки делового гостеприимства широкому кругу заинтересованных лиц, в том числе клиентам, потенциальным клиентам, акционерам, работникам, поставщикам и, в случаях, предусмотренных законодательством, государственным должностным лицам. Такие действия, как правило, являются общепринятой практикой в случае, если они связаны с обеспечением исполнения деловых договоренностей, если они предпринимаются с целью установления и поддержания крепких деловых отношений или продвижения продуктов или услуг финансовой организации. При этом подарки и знаки делового гостеприимства не следует вручать или принимать с целью оказания неправомерного влияния (или создания видимости влияния) на получателя.
В широком понимании к знакам делового гостеприимства следует относить питание, культурно-развлекательную программу, транспортное обслуживание, размещение (в гостинице), обучение, приглашения на мероприятия и конференции. В случае отсутствия представителей принимающей финансовой организации на каком-либо мероприятии (например, финансовая организация только передает билеты на концерт или спортивное мероприятие) знаки делового гостеприимства следует рассматривать как подарки, в отношении которых действуют различные требования законодательства, в соответствии с которыми стоимость подарка не может превышать установленные лимиты в денежном выражении (как правило, низкие).
Финансовые организации должны руководствоваться ясно сформулированными принципами и правилами в отношении передачи и получения подарков и знаков делового гостеприимства. Наличие одного или более факторов риска, указанных ниже, может определить уместность (или неуместность) подарка или знака делового гостеприимства:
- получателем подарка является государственное должностное лицо; в связи с этим на него распространяются более строгие правила в отношении получения или передачи подарков и знаков делового гостеприимства (например, письма об информационной открытости, более низкие лимиты или ограничения);
- получателем является: 1) клиент-физическое лицо (например, частный состоятельный клиент); 2) работник крупного корпоративного клиента, выполняющий определенные функции в рамках своих должностных обязанностей в интересах этого клиента (например, финансовый директор); 3) родственник или близкий друг работника крупного корпоративного клиента или 4) одновременно клиент-физическое лицо и работник крупного корпоративного клиента;
- в отношении получателя, связанного с крупными корпоративными клиентами: работодатель получателя не осведомлен о каких-либо особо ценных подарках или знаках делового гостеприимства и/или предоставлении менее стандартных преимуществ, таких как, например, продление приглашения гостям или членам семьи получателя;
- стоимость (для каждого отдельного мероприятия или совокупная) и/или периодичность вручения подарков и знаков делового гостеприимства могут, по меньшей мере, создать видимость расточительства или чрезмерной щедрости по отношению к получателю;
- подарки и знаки делового гостеприимства представляют собой скрытое вознаграждение за какую-либо деятельность или иные действия получателя, которые могут принести пользу финансовой организации или создать видимость такой пользы (например, в отношении направления деятельности, осуществленного за последнее время или запланированного).
Правила о порядке обмена деловыми подарками и знаками делового гостеприимства должны учитывать каждый из вышеуказанных факторов риска, а также предусматривать установление определенных лимитов (пороговых значений) в целях согласования подарка (руководством предприятия и/или Юридическим отделом/Отделом нормативно-правового соответствия) и введение требований по ведению соответствующего учета. В большинстве случаев возникает необходимость в многоуровневой системе согласования, поскольку риск, связанный с передачей/получением подарков и знаков делового гостеприимства возрастает. Следует отметить, что финансовые организации должны разрабатывать механизмы риск-ориентированного контроля, предусматривающие пропорциональное распределение внимания и ресурсов вопросам обмена деловыми подарками и знаками делового гостеприимства, которые могут представлять меньший коррупционный риск по сравнению с другими направлениями деятельности или договоренностями (например, использование организаций-посредников с целью приобретения (поглощения) предприятий).
Финансовые организации также должны предусмотреть возможность включения в свою корпоративную политику и правила положений, регламентирующих: 1) подарки в денежном выражении или платежи (которые должны быть запрещены, насколько это возможно); 2) гонорары докладчиков; в частности, это касается случаев, когда в качестве докладчика выступает государственное должностное лицо; 3) расходы, подлежащие возмещению получателем (например, командировочные расходы, связанные с размещением выпуска ценных бумаг, а также культурная программа) и 4) действия сотрудников, покрывающих за свой счет служебные расходы.
9.2. Трудовая деятельность и опыт работы
Предложения о трудоустройстве или иной оплачиваемой или неоплачиваемой работы (например, стажировки) в качестве поощрения или компенсации в целях приобретения или сохранения бизнеса, получения незаслуженного коммерческого преимущества или оказания влияния на решение государственного органа власти или действие со стороны контролирующих органов могут нарушать требования действующего антикоррупционного законодательства. В связи с этим Программа должна предусматривать риск-ориентированные процедуры в отношении приема на работу сотрудников, в частности, кандидатов по рекомендации государственного должностного лица или сотрудника клиента или потенциального клиента.
С целью пресечения неправомерного использования предложений о трудоустройстве или иной работы финансовым организациям следует предусмотреть следующее:
- единую процедуру подбора персонала;
- процедуру подбора персонала на основе соответствующей оценки, направленную на обеспечение надлежащего уровня квалификации/соответствия установленным требованиям и недопущение особого отношения к кандидатам на основании их связей с государственным должностным лицом, работником клиента или потенциального клиента. Информация в отношении указанных процедур должна быть направлена соответствующим сотрудникам;
- усиленную проверку (в том числе процедуру дополнительного согласования) в отношении кандидатов по рекомендации государственного должностного лица, сотрудника клиента или потенциального клиента, в частности, в случае если финансовая организация связана (или в ближайшее время будет связана) с работодателем рекомендовавшего лица с точки зрения возможностей развития перспективных направлений деятельности или в рамках правовых вопросов/вопросов регулирования;
- процедуры контроля или проверки (например, анализ взаимодействия в отношении указанных выше кандидатов);
- оценку эффективности корпоративного управления и мер надзорного контроля за программами по подбору персонала.
Такие действия могут быть осуществлены в рамках реализации Программы и/или иными контролирующими партнерами, в частности, подразделением по работе с персоналом, которые должны располагать возможностью для обеспечения управления коррупционным риском в этой сфере.
9.3. Благотворительные пожертвования
Как правило, организации часто оказывают социальную благотворительную помощь, однако, такая благотворительная деятельность не должна использоваться в качестве прикрытия для взяточничества. Финансовые организации должны принимать меры по внедрению механизмов внутреннего контроля риска неправомерного использования благотворительной деятельности, например, в случае, когда благотворительная организация является незаконной и используется исключительно в качестве инструмента для передачи взятки, или в случае, когда благотворительное пожертвование осуществляется в пользу благотворительного фонда, действующего на законных основаниях, но в целях оказания неправомерного влияния на его руководителя или покровителя.
Благотворительность может принимать различные формы: организация направляет безвозмездные пожертвования на международном уровне от централизованного фонда; местные бизнес-группы осуществляют специальные взносы в целях организации благотворительных приемов или благотворительных спортивных мероприятий; сотрудники осуществляют деятельность по сбору денежных средств исключительно среди собственного персонала или также среди клиентов/поставщиков (например, инициативы по сбору денежных средств в подразделениях для оказания помощи местному населению, пострадавшему в результате стихийных бедствий) или финансовые организации могут совмещать инициативы по финансированию или обеспечению общих благотворительных пожертвований совместно с внешними партнерами.
Финансовые организации должны внедрять процедуры по идентификации различных видов благотворительных пожертвований и устранению рисков с помощью разумных мер и с учетом принципов риск-ориентированного подхода. Механизмы внутреннего контроля могут предусматривать:
- ограничения/лимиты пожертвований;
- идентификацию направлений деятельности, связанных с высоким уровнем риска (например, благотворительные пожертвования по просьбе государственного должностного лица, клиента или потенциального клиента);
- процедуры комплексной проверки в отношении организации-получателя (в том числе, срок ее существования, сведения на основании представленной отчетности);
- основанное на результатах оценки риска предварительное согласование благотворительной деятельности с функциональным и юридическим подразделениями, а также службой нормативно-правового соответствия ("комплаенс");
- требования по ведению документации и учета благотворительных пожертвований.
9.4. Взносы на политические цели
Законодательство, регулирующее взносы в пользу политических партий, различается в значительной степени в разных странах мира. В ряде стран действует система всестороннего регулирования по сравнению с другими странами. Финансовым организациям следует руководствоваться стандартами действующего законодательства и внедрять механизмы внутреннего контроля для снижения рисков осуществления пожертвований на политические цели (либо создание видимости их использования) с целью оказания неправомерного влияния на чьи-либо действия, приобретения (поглощения) предприятия или получение любого иного коммерческого преимущества. В случае если с просьбой о пожертвовании выступает какое-либо лицо, в частности государственное должностное лицо, следует провести усиленную проверку.
9.5. Рекламная спонсорская поддержка
Большинство финансовых организаций осуществляют свое продвижение с помощью рекламной спонсорской поддержки. В случае если спонсорская поддержка потенциально может повлиять на благотворителя или главу спонсируемой организации, или благодаря оказываемой спонсорской поддержке финансовая организация получает возможность пригласить представителей сторонних организаций на эксклюзивные развлекательные мероприятия, такая деятельность может создавать риск или видимость того, что они будут использованы в целях оказания неправомерного влияния на решение о передаче/сохранении бизнеса или получение иного преимущества.
Внутренняя корпоративная политика или правила должны содержать критерии для согласования или введения ограничений в отношении оказания спонсорской помощи. Финансовые организации должны предусмотреть возможность проведения оценки обращений об оказании спонсорской помощи, в случае если она запрашивается государственным должностным лицом, клиентом или потенциальным клиентом, либо в случаях, в которых факты и обстоятельства свидетельствуют о вероятности неправомерного извлечения таким лицом личной выгоды из средств, предоставляемых финансовой организацией.
10. Оценка рисков
Программа должна быть составлена с учетом результатов периодической оценки рисков, направленной на идентификацию присущего риска, а также определение эффективности механизмов контроля коррупционного риска финансовой организации. Некоторые направления деятельности предприятия могут быть потенциально в большей степени подвержены коррупции и, следовательно, требуют более частых или тщательных проверок. Помимо этого, результаты оценки необходимо направлять руководству высшего звена с целью обеспечения принятия надлежащих мер по устранению выявленных недостатков.
В рамках оценки рисков следует оценивать как присущий риск, так и соответствующие механизмы контроля для определения уровня остаточного риска. Оценка рисков состоит из ряда компонентов; при этом основная ее часть должна предусматривать оценку:
- потенциальной ответственности, возникающей в связи с деятельностью организаций-посредников, а также, при необходимости, иных третьих сторон;
- коррупционных рисков, связанных со странами и отраслями, в которых финансовая организация осуществляет свою деятельность напрямую или с помощью организаций-посредников;
- операций, продуктов или услуг, в том числе связанных с деятельностью государственных предприятий или предприятий, контролируемых государством, или государственных должностных лиц;
- деятельности филиалов и дочерних предприятий финансовой организации;
- коррупционных рисков, связанных с обменом деловыми подарками и знаками делового гостеприимства, подбором персонала/стажировками, благотворительными пожертвованиями и взносами на политические цели;
- изменений в направлениях деятельности, которые могут значительно повысить коррупционный риск финансовой организации.
Финансовая организация должна корректировать и дорабатывать Программу с целью снижения остаточного риска, выявленного в рамках оценки рисков.
11. Обучение и информированность
Антикоррупционная политика, стандарты и процедуры, в основе которых лежит "посыл сверху", заданный руководителями высшего звена, должны быть оперативно доведены до сведения сотрудников всех уровней финансовой организации, которые должны ими руководствоваться в своей деятельности. Руководство высшего звена, члены Совета директоров, а также соответствующие сотрудники (например, отвечающие за связи с клиентами/государственными органами власти, промежуточный управляющий и сотрудники, выполняющие соответствующие функции внутреннего контроля), должны проходить специальное обучение по вопросам взяточничества и коррупции при поступлении на работу в финансовую организацию и в дальнейшем на периодической основе; при этом периодичность прохождения такого обучения должна устанавливаться в соответствии с уровнем коррупционного риска, связанного с исполнением соответствующих должностных обязанностей. Вместе с этим, сотрудники сторонних организаций также должны проходить обучение и/или им должны быть направлены соответствующие информационные материалы, в случае если они представляют повышенный уровень риска для финансовой организации (например, организации-посредники с высоким уровнем риска).
Содержательная часть курса обучения должна включать соответствующие определения (например, взяточничество и коррупция, государственное должностное лицо, организации-посредники), справочные материалы в отношении действующей корпоративной политики, процедур и/или действующих нормативно-правовых актов, наряду с анализом ситуационных исследований, практических примеров и/или обобщением полученного практического опыта, который представляет сценарии, с которыми сотрудники могут потенциально столкнуться. В курс профессиональной подготовки необходимо включить информацию о сроках и порядке получения рекомендаций, а также о порядке направления сообщений в случае возникновения опасений или подозрений в отношении возможных фактов коррупции.
Слушатели учебных курсов должны пройти оценку по результатам прохождения обучения или заполнить анкету в целях контроля понимания материала (при наличии такой необходимости, например, после прохождения внутреннего компьютерного обучающего курса); при этом данные о прохождении курса подлежат хранению. Эффективное хранение такой информации обеспечивает надлежащий учет и контроль.
12. Контроль/проверка соблюдения принципов контроля
Финансовые организации должны проводить оценку соблюдения принципов антикоррупционного контроля посредством непрерывного мониторинга и периодического тестирования. Для эффективного достижения указанной задачи компании должны обеспечить соблюдение разумных принципов и правил по хранению информации.
Общая система внутреннего контроля, направленная на противодействие взяточничеству и коррупции, должна включать риск-ориентированный контроль или проверку деятельности сотрудников с целью выявления фактов несоблюдения принципов Политики и процедурных требований (например, контроль возмещения расходов после совершения операции, знаки делового гостеприимства, спонсорская помощь и корпоративные действия).
13. Коррупционные риски, связанные с клиентами
Далее кратко описаны коррупционные риски, связанные с клиентами, с которыми также сталкиваются финансовые организации. Такие риски выходят за рамки первостепенных задач настоящего Руководства. Вместе с тем, структура каждой конкретной финансовой организации может предусматривать делегирование полномочий по управлению такими рисками подразделениям, помимо подразделений, осуществляющих руководство над реализацией Программы (см. раздел 5.1 настоящего Руководства).
13.1. Риск стимулирующих платежей и репутационный риск
Финансовые организации должны учитывать потенциальные риски, возникающие в связи с осуществлением коммерческой деятельности, связанной с проведением операций, например, андеррайтинга, кредитования и консалтинговых операций. Например, инициативы проектного финансирования, направленные на оказание поддержки проектам по развитию инфраструктуры государственного сектора/проектов капитального строительства или разработке месторождений природных ресурсов, могут стать уязвимы к даче взяток или иной коррупционной деятельности, особенно, в странах повышенного риска. В случае привлечения или предоставления финансовой организацией денежных средств клиенту, которого позднее признают причастным к факту коррупции или взяточничества, репутации данной финансовой организации может быть нанесен ущерб, и в некоторых обстоятельствах такая финансовая организация может понести ответственность за предоставление возможности, напрямую или через посредников, или оказание содействия в осуществлении клиентом противоправной деятельности.
При применении риск-ориентированного подхода финансовые организации должны учитывать потенциальные коррупционные последствия планируемой деятельности, связанной с проведением операций, проводить комплексную антикоррупционную проверку и принимать надлежащие меры по снижению любых выявленных рисков. При этом целесообразно предусмотреть соответствующие антикоррупционные механизмы правовой защиты в документах, регламентирующих проведение операций, а также максимально эффективно использовать работу юристов по сопровождению операций или иные процедуры внутреннего контроля (например, комиссии по анализу операций, кредитные комиссии) с целью оказания содействия в выявлении и снижении указанных видов риска.
13.2. Отмывание доходов, полученных в результате взяточничества
Помимо рисков взяточничества, рассматриваемых в настоящем Руководстве, финансовые организации также сталкиваются с риском их использования клиентами с целью содействия финансовым операциям, подразумевающим неправомерные платежи (например, посредством принятия вкладов или перевода денежных средств, полученных в результате взяточничества). Эти риски могут быть эффективно устранены путем реализации мер по выявлению и противодействию отмыванию денег. Например, соответствующие комплексные процедуры проверки клиента, в том числе расширенные процедуры комплексной проверки в отношении публичных должностных лиц (ПДЛ), <12> обеспечивают снижение риска отмывания денег клиентами в данном контексте. Помимо этого, меры, принятые финансовыми организациями по обеспечению полноты и достоверности информации при осуществлении электронных платежей, также содействуют пресечению и выявлению коррупционных доходов.
--------------------------------
<12> См. Вольфсбергское руководство в отношении публичных должностных лиц (ПДЛ).
В документах, опубликованных Вольфсбергской группой, приводится описание возможных способов снижения финансовыми организациями рисков злоупотребления взяткодателями и взяткополучателями финансовых услуг в рамках Программ по обеспечению соблюдения требований законодательства в сфере ПОД/ФТ.
Приложение A
ПРИМЕРЫ ИНДИКАТОРОВ ФАКТОВ КОРРУПЦИИ
Существует ряд признаков (индикаторов), которые могут послужить основанием для проведения расширенной комплексной проверки или анализа. Указанные признаки можно обнаружить в ходе осуществления различных видов деятельности, описанных в настоящем Руководстве, в том числе в ходе привлечения организаций-посредников, поглощения компании-объекта или осуществления инвестиций в поглощаемую компанию, в ходе осуществления основной деятельности, обмена деловыми подарками и представительских мероприятий, осуществления благотворительных пожертвований и др. Ниже приведен неисчерпывающий перечень таких примеров:
- незначительный профессиональный опыт в сфере предоставления услуг или полное его отсутствие;
- дискредитированные анкетные данные или репутация (в том числе, например, ранее имевшие место факты коррупции или профессиональной недобросовестности);
- действующее государственное должностное лицо высшего звена, представляющее то же правительственное ведомство или подразделение, ответственное за присуждение договора подряда или урегулирование спорного вопроса, или ранее занятое в сфере закупок, или замещающее должность, связанную с принятием решений;
- операция или организация-посредник, предложенная государственным должностным лицом, особенно связанная с рассматриваемым направлением деятельности или спорным вопросом;
- тесные деловые, личные или семейные отношения с государственным должностным лицом, обладающим полномочиями по принятию решений в отношении рассматриваемого направления деятельности или операции;
- сторона по сделке или договору предъявляет необоснованные/голословные аргументы против проведения комплексной антикоррупционной проверки или включения в договор заверений или гарантий;
- сторона не является резидентом страны или не имеет значительного бизнес-присутствия в стране, где будет предлагаться услуга;
- использование подставной компании или иного юридического лица с непрозрачной структурой;
- требование выплаты комиссионного вознаграждения или значительной части вознаграждения до или непосредственно после передачи договора подряда;
- запрос нестандартных условий договора;
- просьба осуществить платеж наличными денежными средствами, авансовый платеж, платеж в пользу физического или юридического лица, которое не является подрядчиком, или платеж в страну, не являющуюся страной местонахождения подрядчика-физического/юридического лица, или страну, где предлагаются данные услуги;
- предполагаются платежи, экономическая целесообразность которых относительно выполнения принятых функций убедительно не обоснована;
- корректировка требований в отношении условий оплаты труда в ходе исполнения обязательств по договору, особенно перед непосредственной передачей бизнеса;
- непрозрачный или неподтвержденный соответствующими документами бухгалтерский учет;
- использование значительных объемов наличных денежных средств.