Комплаенс-контроль как новый вид внутрибанковского контроля (М.М. Прошунин, журнал "Публичное право сегодня", N 1, I квартал 2017 г.)

Комплаенс-контроль как новый вид внутрибанковского контроля

М.М. Прошунин,

доктор юридических наук,

доцент профессор кафедры финансового права

Российского государственного университета правосудия

Журнал "Публичное право сегодня", N 1, I квартал 2017 г., с. 41-46.

В настоящее время в финансовом праве незаслуженно мало уделяется внимания внутрихозяйственному (корпоративному) финансовому контролю. Вместе с тем следует признать, что корпоративный контроль имеет первостепенное значение в деятельности таких субъектов финансового рынка как кредитные организации. Оговоримся, что бесспорно нельзя относить внутрихозяйственный (корпоративный) контроль в кредитных организациях, являющихся коммерческими организациями, к видам государственного финансового контроля, однако залогом успешной реализации последнего становится именно внутрихозяйственный (корпоративный) контроль, в самих подконтрольных субъектах - кредитных организациях.

Иными словами, осуществление внутреннего контроля в кредитных организациях напрямую связано с осуществление государственного финансового контроля в лице Банка России. Так, например, результаты осуществления в кредитной организации внутреннего контроля в виде годовых отчетов о проведенных контрольных мероприятиях, выявленных регуляторных рисках и методах управления ими позволяют надзорному органу оптимизировать деятельность по проведению проверок более 700 кредитных организаций путем определения наиболее "уязвимых", финансово нестабильных кредитных организаций.

Кроме того, внутренний контроль позволяет обеспечивать эффективность и результативность банковской деятельности, финансовую устойчивость кредитной организации и управление ее банковскими рисками, что созвучно с целями деятельности надзорного органа, такими как развитие и укрепление банковской системы Российской Федерации, обеспечение стабильности финансового рынка Российской Федерации*(1).

В 2014 году в Положение Банка России "О системе внутреннего контроля в кредитных организациях и банковских группах"*(2) были внесены изменения в регулирование системы внутреннего контроля в российских кредитных организациях, которые разграничили деятельность подразделений внутреннего аудита и внутреннего контроля.

Отметим, что данное разграничение фактически стало реализацией рекомендаций Базельского комитета по банковскому надзору "Комплаенс и комплаенс-функция в банках", разосланных письмом Банка России N 173-Т от 2 ноября 2007 г.*(3) При этом в российской истории становления комплаенс-контроля следует отметить Указание Банка России от 7 июля 1999 г. N 603-У "О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях"*(4), утратившее силу 15 февраля 2004 г., в котором комплаенс-контроль определялся как внутренний контроль за соответствием деятельности на финансовых рынках (рынок ценных бумаг и срочный рынок) законодательству о финансовых рынках в кредитной организации.

В настоящее время комплаенс-контроль значительно расширил горизонт своей деятельности, включающей контроль за соответствием деятельности кредитной организации как действующим нормативным правовым актам, так и внутренним актам самой организации, а также стандартам саморегулируемых организаций.

Основополагающим направлением деятельности внутреннего контроля стало управление регуляторным риском, который определяется как риск возникновения у кредитной организации убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов кредитной организации, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными для кредитной организации), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов*(5). Подчеркнем, что комплаенс (регуляторный) риск следует отличать от правового риска. Последний, на наш взгляд, представляет собой риск возникновения у кредитных организаций убытков из-за несоблюдения договорных обязательств, возникающих из гражданско-правовых договоров, а также применения в результате применения гражданско-правовых санкций со стороны участников гражданско-правовых отношений.

Первоочередной функцией комплаенс-контроля является выявление регуляторного риска. На первый взгляд, основным методом осуществления данной функции является проверочная деятельность, однако, данный метод нормативно отнесен к деятельности подразделения внутреннего аудита. Представляется, что реализация данной функции внутренним контролем должна происходить через создание внутренней системы сбора информации о предпосылках, способных привести к реализации регуляторного риска, а также к фактам реализованного регуляторного риска.

Такая система должна включать централизованную базу данных, в которой подразделение внутреннего контроля регистрирует информацию о существующих регуляторных рисках, дает им качественную и количественную оценку (возможные административные санкции, меры воздействия со стороны надзорных или контрольных органов), план мероприятий по снижению или исключению регуляторного риска, сроки их реализации, а также ответственных исполнителей и членов органов управления кредитной организации, ответственных за снижение или исключение данного регуляторного риска.

Среди способов сбора данной информации следует выделять следующие. Во-первых, это самооценка своей деятельности подразделениями на предмет выявления регуляторного риска. Предполагаем, что данный способ не самый эффективный, так как в случае обнаружения регуляторного риска структурное подразделение кредитной организации не всегда передает данную информацию в подразделение внутреннего контроля под угрозой применения локальных мер дисциплинарного воздействия к руководителям и сотрудникам данного подразделения за допущение возникновения регуляторного риска. В этой связи крайне важно менять корпоративную структуру и создавать имидж подразделения внутреннего контроля не как "карательного" подразделения, а как подразделения, обеспечивающего управление и последующее исключение существования регуляторного риска. Повышение эффективности самооценки и сбора данной информации должно значительно повысить уровень информированности подразделения внутреннего контроля.

Во-вторых, сбор информации о регуляторных рисках, выявленных в ходе осуществляемых проверок подразделением внутреннего аудита, контролером профессионального участника рынка ценных бумаг, ответственным сотрудником по организации обработки персональных данных, ответственным сотрудником по инсайдерской информации, ответственным сотрудником по охране труда, ответственным сотрудником в области информационной безопасности. Акты проверок указанных сотрудников и подразделений могут содержать информацию о выявленных регуляторных рисках.

В-третьих, источником информации о регуляторных рисках могут служить информация от надзорных и контрольных органов в части анализа информации о наиболее частых нарушениях, допускаемых кредитными организациями, а также публикации в средствах массовой информации.

В-четвертых, особенно важно участие сотрудников подразделения внутреннего контроля в работе органов управления кредитной организации, прежде всего, единоличного и коллегиального исполнительного органа. При этом взаимодействие с наблюдательным советом предполагается на стадии доведения до последнего информации о существующих регуляторных рисках, которые создают серьезную угрозу интересам организации (значительные административные санкции, репутационный ущерб, пороговые значения которых определяются кредитной организацией самостоятельно).

Дискуссионный характер носит функция проверки целесообразности заключения аутсорсинговых соглашений, обеспечивающих деятельность кредитной организации. Данная функция несколько выбивается из ряда функций, осуществляемых подразделением внутреннего контроля, так как предполагает анализ договоров на предмет их целесообразности, а не законности. Иными словами, подразделение внутреннего контроля выявляет не регуляторный риск, а скорее риск финансовых потерь в связи с неправильным управленческим решением о заключении аутсорсингового договора.

На наш взгляд, данные договоры должны анализироваться на предмет "коррупционной" составляющей, как следствие, выявление коррупции при заключении аутсорсинговых договоров. Вместе с тем реализация данной функции может осуществляться через установление обязанности подразделения, обеспечивающего заключение аутсорсингового договора, предоставлять в подразделение внутреннего контроля для предварительного согласования проект аутсорсингового договора, а также экономическое обоснование необходимости его заключения для кредитной организации.

Кроме того, нет очевидного ответа на вопрос о том, следует ли проверять все аутсорсинговые договоры или только те, которые обеспечивают проведение банковских операций. На наш взгляд, законодатель говорит об ограниченном толковании данного требования, т.е. о контроле за аутсорсинговыми договорами, обеспечивающими исключительно проведение банковских операций, так как отсутствует очевидный смысл комплаенс-контроля за договорами, связанными с уборкой помещений, обеспечением функционирования вентиляции и т.д.

Централизованная система сбора информации о регуляторных рисках, создаваемая в кредитной организации, позволяет реализовать и следующую функцию подразделения внутреннего контроля - учет событий, связанных с регуляторным риском, определение вероятности их возникновения и количественная оценка возможных последствий. Вероятность наступления того или иного риска может быть разделена на три уровня: низкая, средняя и высокая, количественные критерии определяются кредитной организацией самостоятельно.

Количественная оценка регуляторного риска должна строиться на основе анализа размера административных санкций и мер воздействия, которые могут быть применены надзорным и контрольными органами, такими как Банк России, Роскомнадзор, Роспотребнадзор. Принимая во внимание, что перечень мер воздействия, которым оперирует Банк России, достаточно широк, вызовом для подразделения внутреннего контроля должно стать определение наиболее вероятной меры воздействия и/или административной санкции, которая будет наложена на кредитную организацию.

Для реализации функции "мониторинг регуляторного риска" исключительно важно обеспечить, во-первых, наличие в кредитной организации утвержденной органами управления процедуры рассмотрения и согласования новых банковских продуктов, и во-вторых, включить подразделение внутреннего контроля в качестве обязательного участника - согласователя на стадии предварительного согласования нового банковского продукта, услуги, их возможных изменений. Такой подход позволит предотвратить появление регуляторных рисков или сделать их управляемыми путем закрепления "компенсирующих" контролей, которые должны не позволить реализоваться регуляторному риску.

Направление в случае необходимости рекомендаций по управлению регуляторным риском руководителям структурных подразделений кредитной организации и исполнительному органу, определенному внутренними документами кредитной организации. Банк России оставил на усмотрение кредитной организации случаи направления рекомендаций руководителям структурных подразделений и исполнительному органу.

На наш взгляд, рекомендации должны содержаться в ежегодных отчетах подразделения внутреннего контроля. В виде рекомендаций могут быть оформлены консультации, предоставляемые структурным подразделениям кредитной организации.

Координация и участие в разработке комплекса мер, направленных на снижение уровня регуляторного риска в кредитной организации, на наш взгляд, предполагает участие подразделения внутреннего контроля на всех стадиях управления регуляторным риском: 1) выявление регуляторного риска; 2) оценка последствий при реализации регуляторного риска; 3) определение перечня мер по исключению или снижению регуляторного риска совместно с подразделением, ответственным за их реализацию; 4) контроль за имплементацией данных мер ответственным подразделением.

Мониторинг эффективности управления регуляторным риском следует рассматривать как постоянное наблюдение за деятельностью структурных подразделений по управлению регуляторным риском на основе заранее заданных критериев. Такими критериями могут быть количество фактов выявления регуляторного риска, размер ущерба, в рамках реализовавшегося регуляторного риска, сроки исключения "закрытия" регуляторного риска.

Участие в разработке внутренних документов по управлению регуляторным риском предполагает как инициацию, так и осуществление предварительного контроля в рамках рассмотрения подготовленных проектов другими подразделениями кредитной организации, в частности, контролером профессионального участника рынка ценных бумаг, ответственного сотрудника в сфере противодействия легализации доходов, полученных преступным путем, и финансированию терроризма, ответственного сотрудника по противодействию неправомерному использованию инсайдерской информации и манипулированию рынком.

Информирование сотрудников банка по вопросам, связанным с управлением регуляторным риском осуществляется путем корпоративной рассылки различных уведомлений, к таким уведомлениям следует отнести: 1) регулярный анализ изменений действующего законодательства и их влияния на деятельность кредитной организации; 2) разъяснения, методические рекомендации надзорных и контрольных органов по вопросам соблюдения применимого к деятельности кредитной организации законодательства.

Осуществление выявления конфликтов интересов в деятельности кредитной организации и ее служащих, участие в разработке внутренних документов, направленных на его минимизацию предполагает как анализ бизнес-процессов на предмет возможного конфликта интересов, так и анализ персональных данных сотрудников, установление родственных связей. В рамках предварительного контроля локальных документов кредитной организации также осуществляется анализ положений таких документов на предмет возникновения потенциального конфликта интересов.

Анализ показателей динамики жалоб (обращений, заявлений) клиентов и анализ соблюдения кредитной организацией прав клиентов предполагает выявление фактов нарушения кредитной организацией действующего законодательства, следствием чего стали жалобы, обращения и заявления клиентов, а также определение "рисковых" зон, которые потенциально могут повлечь реализацию регуляторного риска в отношении кредитной организации.

Здесь особенно важно, чтобы подразделением внутреннего контроля уделялось повышенное внимание регуляторным требованиям не только Банка России, но и Роспотребнадзора и Роскомнадзора, обеспечивающим защиту прав потребителей финансовых услуг и обработку персональных данных физических лиц.

Анализ динамики жалоб, как указывалось ранее, является одним из источников получения информации о регуляторных рисках, так как именно жалобы клиентов могут указывать на предпосылки или на состоявшиеся нарушения действующего законодательства или внутренних процедур.

Важно проводить анализ не только количественный (по количеству жалоб и заявлений за определенный период), но и качественный анализ, предполагающий классификацию выявленных регуляторных рисков по жалобам клиентов и их дальнейшее изменение по мере принятия мер компенсирующего контроля в кредитной организации.

Участие в разработке внутренних документов и организации мероприятий, направленных на соблюдение правил корпоративного поведения, норм профессиональной этики, как функция подразделения внутреннего контроля предполагает возможность того, что комплаенс-подразделение может выступить инициатором или одним из согласователей разработки, принятия и последующего внесения изменения в Кодекс корпоративной этики, кодекс делового поведения и иных аналогичных документов. Важным условием здесь является обязательное участие подразделения внутреннего контроля в процессе разработки и утверждения данного документа.

Аналогичный подход должен применяться и в рамках реализации функции по разработке внутренних документов, направленных на противодействие коммерческому подкупу и коррупции. При этом подразделение внутреннего контроля должно быть вовлечено в процесс предварительного или последующего контроля в отношении различного рода подарков, развлечений, предлагаемых или получаемых от государственных служащих, компаний с государственным участием, договоров с поверенными, комиссионерами и иными лицами, представляющими интересы банка перед третьими лицами. Исключительно важно координировать свою работу с подразделениями финансового мониторинга на предмет анализа информации о публичных должностных лицах, находящихся на обслуживании.

Функция по взаимодействию кредитной организации с надзорными органами, саморегулируемыми организациями, ассоциациями и участниками финансовых рынков обеспечивается посредством встреч, корреспонденции с надзорными органами, саморегулируемыми организациями, различными ассоциациями и участниками финансовых рынков.

На наш взгляд, целесообразно осуществлять предварительный анализ проектов нормативных правовых актов, документов, издаваемых для своих членов союзами и ассоциациями на предмет возможных регуляторных рисков. Не менее важно проводить обсуждение уже принятых нормативных правовых актов в целях единообразного применения и выявления "пробелов" для последующей коммуникации с надзорными органами.

В заключение отметим, что Банку России удалось выстроить достаточно стройную структуру и разграничить деятельность подразделений внутреннего контроля и внутреннего аудита. Вместе с тем на банковском рынке существует потребность в детальном описании каждой из указанных выше функций. В настоящей статье сделана лишь первая попытка дать описание каждой из функций и способов их практической реализации в кредитных организациях. Предположим, что реализация данной функции, вероятно, не станет предметом большого количества судебных споров, но не исключаем возможность применения мер воздействия Банка России за нарушения порядка осуществления комплаенс-контроля с их последующим обжалованием в судебном порядке.

На наш взгляд, одним из решений данного вопроса могли бы стать методические рекомендации Банка России по имплементации каждой из функций. Предположим, что в настоящий момент мегарегулятор проводит анализ разработанных положений о структурных подразделениях внутреннего контроля, а также внутренних документов, регулирующих их деятельность для определения лучших практик при реализации нормативно закрепленных функций и их последующем закреплении в методических рекомендациях и нормативных правовых актах для кредитных организаций.

Не менее важна деятельность саморегулируемых организаций на банковском рынке, которые могли бы на основании консультаций с надзорным органом выработать стандарты осуществления внутреннего контроля в кредитных организациях, заложив организационно-правовые основы данной деятельности.

Нельзя не отметить деятельность сотрудников Банка России и ведущих финансовых институтов по проведению лекций и семинаров для практических работников, но вместе с тем, следует подчеркнуть, что данная деятельность в большей степени субъективна и отражает точку зрения лектора и в меньшей степени способствует выработке единых подходов к реализации внутреннего контроля в банках.

И наконец, рецепция международных стандартов комплаенс-контроля в банковской среде требует их применение и в отношении профессиональных участников рынка ценных бумаг. На фондовом рынке также целесообразно закрепить нормативную обязанность хозяйствующих субъектов по организации внутреннего аудита и внутреннего контроля, что имеет место быть в американских и западноевропейских компаниях, специализирующихся на фондовых операциях.

Библиография

1. Абдульменов А., Пружанский В. Процедура комплаенса при установлении цен: случай из практики // Конкуренция и право. 2015. N 5. С. 47-52.

2. Иванов Э.А. Антикоррупционный комплаенс-контроль в странах БРИКС: монография. М.: Юриспруденция, 2015. 136 с.

3. Мигитко О. Антимонопольный комплаенс в российских реалиях // Конкуренция и право. 2014. N 5. С. 10-13.

4. Минаев В.А., Кузнецов В.А. Комплаенс как правовой и организационный регулятор в сфере туризма России // Туризм: право и экономика. 2014. N 4. С. 3-8.

5. Осипов А.В. Некоторые аспекты этимологии термина "комплаенс-контроль" в банковском праве // Банковское право. 2006. N 6.

6. Положение Банка России N 242-П от 16.12.2003 г. "Об организации внутреннего контроля в кредитных организациях и банковских группах" // Вестник Банка России. 2004. N 7.

7. Правовое регулирование финансового контроля в Российской Федерации: проблемы и перспективы: монография / Л.Л. Арзуманова, О.В. Болтинова, О.Ю. Бубнова и др.; отв. ред. Е.Ю. Грачева. М.: НОРМА, ИНФРА-М, 2013.

8. Рекомендации Базельского комитета по банковскому надзору "Комплаенс и комплаенс-функция в банках" // Письмо Банка России N 173-Т от 2 ноября 2007 г.

9. Трунцевский Ю.В., Раменская П.Ю. Корпоративный комплаенс как альтернатива законов, нормативов и правил // Международное публичное и частное право. 2013. N 2. С. 39-42.

10. Указание Банка России от 07.07.1999 N 603-У "О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях" // Вестник Банка России. 1999. N 41.

11. Указание Банка России от 07.07.1999 N 604-У "О порядке аттестации Комплаенс-контролеров кредитных организаций" // Вестник Банка России. N 42-43. 1999.

12. Федеральный закон от 10.07.2002 N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" // Собрание законодательства РФ.

------------------------------------------------------------------------

*(1) Ст. 3 Федерального закона "О Центральном банке Российской Федерации (Банке России)" // Собрание законодательства РФ. 2002. N 28. Ст. 2790.

*(2) Положение Банка России N 242-П от 16.12.2003 г. "Об организации внутреннего контроля в кредитных организациях и банковских группах" // Вестник Банка России. 2004. N 7.

*(3) Вестник Банка России. 2007. N 6.

*(4) Вестник Банка России. 1999.

*(5) П. 4.1(1) Положение Банка России N 242-П от 16.12.2003 г. "Об организации внутреннего контроля в кредитных организациях и банковских группах" // Вестник Банка России. 2004. N 7.