Комплаенс-контроль как информационная основа государственного финансового контроля (М.М. Прошунин, журнал "Образование и право", N 4, апрель 2017 г.)

Комплаенс-контроль как информационная основа государственного финансового контроля

М.М. Прошунин,

профессор кафедры финансового права

Российского государственного университета правосудия,

доктор юридических наук, доцент

Журнал "Образование и право", N 4, апрель 2017 г., с. 215-220.

Несмотря на то что внутрихозяйственный (корпоративный) контроль в финансовых институтах, являющихся коммерческими организациями, нельзя относить к видам государственного финансового контроля, комплаенс-контроль следует рассматривать в неразрывной связи с государственным финансовым контролем.

В 2014 г. Положением Банка России N 242-П "О системе внутреннего контроля в кредитных организациях и банковских группах" [6] были внесены изменения в регулирование системы внутреннего контроля в российских кредитных организациях, которые разграничили деятельность подразделений внутреннего аудита и внутреннего контроля. В отличие от внутреннего контроля, внутренний аудит оценивает эффективность системы внутреннего контроля финансового института и предлагает пути ее совершенствования на основе выявленных недостатков и нарушений.

Отметим, что данное разграничение стало реализацией рекомендаций Базельского комитета по банковскому надзору "Комплаенс и комплаенс-функция в банках", разосланных письмом Банка России N 173-Т от 2 ноября 2007 г. [2]

В российской истории становления комплаенс-контроля следует отметить Указание Банка России от 7 июля 1999 г. N 603-У "О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях" [1], утратившее силу 15 февраля 2004 г., в котором комплаенс-контроль определялся довольно узко - как внутренний контроль за соответствием деятельности организации на финансовых рынках (рынок ценных бумаг и срочный рынок) законодательству о финансовых рынках в кредитной организации.

В настоящее время комплаенс-контроль значительно расширил горизонт своей деятельности, включающей контроль над соответствием деятельности кредитной организации как действующим нормативным правовым актам, так и внутренним актам самой организации, а также стандартам саморегулируемых организаций.

Основным направлением внутреннего контроля стало управление регуляторным риском, который определяется как риск возникновения у кредитной организации убытков из-за несоблюдения российского законодательства, внутренних документов кредитной организации, стандартов саморегулируемых организаций, а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов [6, п. 4.1(1)]. Данное нормативное определение повторяет определение, данное комплаенс-риску в Рекомендациях Базельского комитета по банковскому надзору "Комплаенс и комплаенс-функция в банках" [5].

Комплаенс (регуляторный) риск следует отличать от правового риска. Последний, на наш взгляд, представляет собой риск возникновения у организации, в том числе финансового института, убытков из-за несоблюдения договорных обязательств, возникающих из гражданскоправовых договоров, а также в результате применения гражданско-правовых санкций со стороны участников гражданско-правовых отношений.

В связи с этим необходимо внести значительные изменения в Письмо Банка России 30.06.2005 N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах" [4], которое уже сейчас противоречит Положению Банка России N 242-П в части разграничения регуляторного и правового рисков. Понимает это и надзорный орган в лице Банка России. Так, в своем информационном письме от 12.10.2016 N ИН-04-41/72 Банк России прямо указывает, что Письмо Банка России от 30.06.2005 N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах" ("Вестник Банка России" от 6 июля 2005 г. N 34) применяется в части, не противоречащей нормативным актам Банка России [3]. Прежде всего, подлежит изменению само понятие правового риска, которое должно быть определено как риск несоблюдения договорных обязательств, а регуляторный (комплаенс) риск - как риск несоблюдения нормативных правовых актов, стандартов саморегулируемых организаций, а также внутренних документов самой организации.

Не менее важно, по нашему мнению, отличать комплаенс от внутреннего контроля как исключительно проверочной деятельности. В упомянутом ранее Положении N 242-П [6] Банк России признает данные понятия - комплаенс и внутренний контроль - взаимозаменяемыми, синонимичными. На наш взгляд, наиболее правильно рассматривать комплаенс-контроль как один из видов внутрикорпоративного контроля, который не носит ярко выраженного "проверочного" характера, что свойственно ревизиям и проверкам, а рассматривается как консультативно-контрольная деятельность, обеспечивающая соответствие деятельности организации требованиям действующего законодательства, подзаконных нормативных актов и внутренних документов финансового института. При этом контрольная составляющая должна проявляться через такие контрольные приемы и способы, как наблюдение и тестирование. Консультативная деятельность реализуется через мониторинг действующего законодательства, анализ необходимых изменений внутренних процедур и локальных актов и, наконец, предоставление рекомендаций по обеспечению соблюдения подразделениями организации нормативных правовых актов и локальных актов организации.

На наш взгляд, основным назначением комплаенс-контроля, помимо управления регуляторным риском, должно стать информационное обеспечение органов государственного финансового контроля.

В настоящее время результаты осуществления в кредитной организации внутреннего контроля в виде годовых отчетов о проведенных контрольных мероприятиях, выявленных регуляторных рисках и методах управления ими позволяют надзорному органу оптимизировать деятельность по проведению проверок более 600 кредитных организаций путем определения наиболее "уязвимых", финансово нестабильных кредитных организаций.

Кроме того, внутренний контроль позволяет обеспечивать эффективность и результативность банковской деятельности, профессиональной деятельности на рынке ценных бумаг финансовую устойчивость коммерческих организаций и управление ее рисками, что созвучно целям деятельности надзорного органа, таким, как развитие и укрепление банковской системы Российской Федерации, обеспечение стабильности финансового рынка Российской Федерации [7].

Отдельно следует рассмотреть комплаенс в рамках информационных потоков между хозяйствующими субъектами и их надзорными органами. Здесь комплаенс как информационная основа государственного финансового контроля реализуется через его нормативно закрепленные функции. Развивая мысль В. Черепановой о каналах информирования [8, с. 173], можем говорить о наличии как внутренних (предоставление сотрудниками и комплаенс-службами информации о допущенных нарушениях органам управления), так и внешних информационных каналов (предоставление информации надзорным органам).

Так, одной из функций комплаенс-контроля является выявление регуляторного риска. На первый взгляд основным методом осуществления данной функции является проверочная деятельность, однако данный метод нормативно отнесен к деятельности подразделения внутреннего аудита. Представляется, что реализация данной функции внутренним контролем должна происходить через создание внутренней системы, сбор информации о предпосылках, способных привести к реализации регуляторного риска, а также к фактам реализованного регуляторного риска.

Такая системы должна включать централизованную базу данных, в которой подразделение внутреннего контроля регистрирует информацию о существующих регуляторных рисках, дает им качественную и количественную оценку (возможные административные санкции, меры воздействия со стороны надзорных или контрольных органов), план мероприятий по снижению или исключению регуляторного риска, сроки их реализации, а также ответственных исполнителей и членов органов управления кредитной организации, ответственных за снижение или исключение данного регуляторного риска.

Среди способов сбора данной информации следует выделять следующие. Во-первых, самооценка своей деятельности подразделениями на предмет выявления регуляторного риска. Предполагаем, что данный способ не самый эффективный, так как в случае обнаружения регуляторного риска структурное подразделение кредитной организации не всегда передает данную информацию в подразделение внутреннего контроля под угрозой применения локальных мер дисциплинарного воздействия к руководителям и сотрудникам данного подразделения за допущение возникновение регуляторного риска. В связи с этим крайне важно менять корпоративную структуру и создавать имидж подразделения внутреннего контроля не как "карательного" подразделения, а как подразделения, обеспечивающего управление и последующее исключение существования регуляторного риска. Повышение эффективности самооценки и сбора данной информации должно значительно повысить уровень информированности подразделения внутреннего контроля.

Во-вторых, сбор информации о регуляторных рисках, выявленных в ходе проверок, проводимых подразделением внутреннего аудита, контролером профессионального участника рынка ценных бумаг, ответственным сотрудником по организации обработки персональных данных, ответственным сотрудником по инсайдерской информации, ответственным сотрудником по охране труда, ответственным сотрудником в области информационной безопасности. Акты проверок указанных сотрудников и подразделений могут содержать информацию о выявленных регуляторных рисках.

В-третьих, источником информации о регуляторных рисках может служить информация от надзорных и контрольных органов, в части анализа информации о наиболее частых нарушениях, допускаемых кредитными организациями, а также публикации в средствах массовой информации.

В-четвертых, особенно важно участие сотрудников подразделения внутреннего контроля в работе органов управления финансовым институтом, прежде всего единоличного и коллегиального исполнительного органа. При этом взаимодействие с наблюдательным советом предполагается на стадии доведения до последнего информации о регуляторных рисках, которые создают серьезную угрозу интересам организации (значительные административные санкции, репутационный ущерб, пороговые значения которых кредитная организация определяет самостоятельно).

Указанная информационная база данных может стать основой для надзорных органов при оценке эффективности системы внутреннего контроля хозяйствующего субъекта надзорными органами. Так, данная информационная база может предоставляться по запросу надзорных органов или направляться в надзорный орган, например, на ежеквартальной основе.

В связи с этим предоставление доступа к внутренней информационной базе об управлении регуляторными рисками коммерческой организации обеспечит функционирование внешнего информационного канала от хозяйствующего субъекта к надзорному органу.

Централизованная система сбора информации о регуляторных рисках, создаваемая в коммерческой организации, позволяет реализовать и следующую функцию подразделения внутреннего контроля - учет событий, связанных с регуляторным риском, определение вероятности их возникновения и количественная оценка возможных последствий. Вероятность наступления того или иного риска может быть разделена на три уровня: низкая, средняя и высокая; количественные критерии определяются кредитной организацией самостоятельно.

Количественная оценка регуляторного риска должна строиться на основе анализа размера административных санкций и мер воздействия, которые могут быть применены надзорным и контрольными органами, такими, как Банк России, Роскомнадзор, Роспотребнадзор. Поскольку перечень мер воздействия, которым оперирует Банк России, довольно широк, вызовом для подразделения внутреннего контроля должно стать определение наиболее вероятной меры воздействия и/или административной санкции, которая будет наложена на финансовую организацию.

Информация о реализации регуляторного риска с планом по предотвращению его возникновения в дальнейшем должна быть направлена в надзорный орган. В целях исключения "утаивания" фактов реализации регуляторного риска в российском законодательстве должна быть установлена административная ответственность за "неинформирование" надзорных органов о фактах реализации регуляторного риска.

Немаловажной для функционирования информационных каналов является такая функция комплаенс, как анализ показателей динамики жалоб (обращений, заявлений) клиентов и соблюдения финансовой организацией прав клиентов. Думается, что создание информационных баз данных, к которым в режиме "онлайн" будет обеспечен доступ регулятора, позволит последнему не только выявлять факты нарушения финансовым институтом действующего законодательства, но и определять "рисковые" зоны, которые потенциально могут повлечь за собой реализацию регуляторного риска.

Здесь регулятору важно проводить анализ не только количественный (по количеству жалоб и заявлений за определенный период), но и качественный, предполагающий классификацию выявленных регуляторных рисков по жалобам клиентов и их дальнейшее изменение по мере принятия мер компенсирующего контроля в организации.

Не менее важной с информационной точки зрения выступает функция по взаимодействию финансового института с надзорными органами, саморегулируемыми организациями, ассоциациями и участниками финансовых рынков, реализация которой обеспечивается посредством встреч, корреспонденции с надзорными органами, саморегулируемыми организациями, различными ассоциациями и участниками финансовых рынков. В рамках функционирования информационных каналов целесообразно осуществлять предварительный анализ проектов нормативных правовых актов, документов, издаваемых для своих членов союзами и ассоциациями, на предмет возможных регуляторных рисков. Не менее важно проводить обсуждение принятых нормативных правовых актов в целях единообразного применения и выявления "пробелов" для последующей коммуникации с надзорными органами.

В заключение обратимся к словам М.М. Шарамко и И.Р. Гарипова, отмечающих, что в последнее время наметилась тенденция к установлению определенных императивных (обязательных) требований к организации комплаенс-служб. Еще одна тенденция - постепенное распространение рекомендаций по организации систем комплаенс на иные субъекты права [9, с. 64].

В связи с этим важно, чтобы рекомендации по организации систем комплаенс включали обязательную информационную составляющую, обеспечивающую передачу информации надзорным органам в режиме "онлайн". Создание такой системы может быть обеспечено путем установления нормативной обязанности по предоставлению доступа к информационной базе хозяйствующего субъекта, информирования надзорных органов о фактах реализации регуляторного риска в короткий период времени с даты его выявления и ответственности за неисполнение данной обязанности. Кроме того, надзорным органам должно быть предоставлено право доступа к электронным базам данных жалоб и заявлений клиентов, содержащих информацию о потенциальных нарушениях и "рисковых" зонах поднадзорных субъектов.

И, наконец, исключительно важно обеспечивать взаимодействие комплаенс-служб финансовых институтов с надзорными органами путем проведения встреч, семинаров, на которых надзорные органы могли бы обеспечить обмен мнениями, рекомендациями по применению действующего законодательства. Указанные нововведения позволят говорить о комплаенс-контроле как об информационном базисе государственного финансового контроля и значительно снизить регуляторную нагрузку на поднадзорных субъектов: получение информации через информационные (комплаенс) каналы позволит значительно уменьшить число запросов и проверок в отношении хозяйствующих субъектов со стороны надзорных органов.

Список литературы

[1] Вестник Банка России. 1999. N 41.

[2] Вестник Банка России. 2007. N 6.

[3] Информационное письмо Банка России от 12.10.2016 N ИН-04-41/72 "Об упорядочении отдельных писем Банка России" // Вестник Банка России. 2016. N 92.

[4] Письмо Банка России от 30.06.2005 N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах" // Вестник Банка России. 2005. N 34.

[5] Письмо Банка России от 02.11.2007 N 173-Т "О рекомендациях Базельского комитета по банковскому надзору" // Вестник Банка России. 2007. N 61.

[6] Положение Банка России N 242-П от 16.12.2003 г. "Об организации внутреннего контроля в кредитных организациях и банковских группах" // Вестник Банка России. 2004. N 7.

[7] Федеральный закон "О Центральном банке Российской Федерации (Банке России)", ст. 3 // Собрание законодательства РФ. 2002. N 28. ст. 2790.

[8] Черепанова В. Комплаенс-программа организации: Практ. руководство. М.: Вузовский учебник: ИНФРА-М, 2016.

[9] Шарамко М.М., Гарипов И.Р. Институциональный комплаенс-контроль: Монография. М.: РУСАЙНС, 2016.