Приложение N 1. Актуальные вопросы оценки рисков отмывания денег, применения санкций, взяточничества и коррупции

Приложение N 1
к информационному письму
от 27.12.2017 N ИН- 014-12/64

Вольфсбергская группа

Актуальные вопросы оценки рисков отмывания денег, применения санкций, взяточничества и коррупции

Оценка рисков, связанная с совершением финансовых преступлений, является одним из элементов осуществляемого финансовыми организациями/фирмами (далее - финансовая организация) внутреннего контроля в целях противодействия финансовым преступлениям, который может быть использован для усиления системы внутреннего контроля в финансовых организациях. Результаты оценок позволяют выявить основные сферы деятельности, подверженные рискам, повысить качество управления этими рисками и обеспечивают размещение ресурсов в наиболее уязвимых к риску областях, а также принятие стратегических (долгосрочных) и тактических (среднесрочных) планов действий по управлению выявленными рисками.

В результате любой оценки рисков возникают многочисленные вопросы. В настоящем документе сформулированы некоторые из наиболее часто задаваемых вопросов и ответы на них. Другие подразделения финансовой организации, осуществляющие управление предпринимательским риском, контроль соответствия требованиям или аудит, могут также использовать формы оценки рисков и в дальнейшем, насколько это возможно, координировать предпринимаемые меры и полученные результаты всех оценок рисков.

Вольфсбергская группа международных финансовых организаций*(1) подготовила настоящий документ, руководствуясь взглядами членов Вольфсбергской группы на существующую на сегодняшний день передовую практику, и с пониманием того, как со временем эта практика должна развиваться. Вольфсбергская группа полагает, что настоящий документ внесет свой вклад в работу по продвижению практик эффективного управления рисками и будет способствовать достижению цели членов Вольфсбергской группы, заключающейся в стремлении не допустить использование их финансовых организаций в незаконных целях.

Глоссарий основных терминов, используемых в документе, приведен в приложении А.

Введение

Литературы, посвященной пониманию риска в зависимости от содержания, размера группы и ряда других факторов, очень много. Большинство финансовых организаций, как правило, использует оценку рисков в таких областях как кредитный риск или рыночный риск, где не представляется затруднительным определить количественное значение риска, который, как правило, оценивают до его принятия. Однако оценка риска финансового преступления несколько отличается, поскольку сосредоточена на оценке 'косвенного' риска, то есть риска, отражающего внутреннюю и внешнюю среду финансовой организации, в том числе инструменты контроля, направленные на снижение рисков. Тем не менее, при проведении обоих видов оценки методологии количественной и качественной оценки рисков представляются полезными, поскольку помогают финансовой организации в оценке рисков, понимании изучаемого явления, анализе источников и влияния риска финансового преступления и разработке инструментов и методов управления этими рисками. В своих лучших проявлениях они позволяют устранить значительную часть предвзятости и субъективности анализа риска, а также предоставляют финансовым организациям инструмент измерения риска.

В январе 2014 года Базельским комитетом по банковскому надзору (БКБН) издан документ, получивший название "Эффективное управление рисками отмывания денег и финансирования терроризма"*(2), который содержит следующее заявление о важности и порядке осуществления оценок риска:

"Эффективное управление риском предусматривает проведение идентификации и анализа рисков отмывания денег и финансирования терроризма в банке, а также разработку и эффективное внедрение политики и процедур, соразмерных выявленным рискам. При проведении всесторонней оценки риска для выявления рисков отмывания денег и финансирования терроризма, банк должен учитывать все существенные факторы присущего и остаточного риска, в числе прочего, на страновом, секторальном, банковском уровнях и уровне деловых отношений, для того чтобы определить свой профиль риска и соответствующий, необходимый уровень его снижения".

Несмотря на то, что указанный документ БКБН был издан относительно недавно, на протяжении длительного времени другие правовые режимы предусматривают проведение оценки рисков. Например, в США в Руководстве по проведению проверок в сфере противодействия отмыванию денег (ПОД), подготовленном Федеральным советом по надзору за финансовыми организациями (ФСНФО), предусмотрено, что руководство банка должно:

"... выстроить банковскую программу соответствия требованиям по ПОД в соответствии с профилем риска, идентифицированного по результатам оценки риска, ... разработать соответствующие политику, процедуры и процесс мониторинга и контроля рисков отмывания денег (ОД). Например, системы мониторинга банка по выявлению, изучению и направлению сообщений о подозрительной деятельности должны разрабатываться с учетом риска; при этом особое внимание должно уделяться продуктам, услугам, клиентам, лицам и географическим регионам с высоким уровнем риска, идентифицированным банком ... при проведении оценки риска".*(3)

В Великобритании в Руководстве, подготовленном Совместной координационной группой по ПОД, изложены некоторые суждения, которые должны быть учтены при осуществлении оценки рисков. При этом центральной темой указанного Руководства стала практика применения риск-ориентированного подхода.*(4)

В целях настоящего документа при обращении к вопросу оценки риска ОД возникло общее понимание необходимости включения в него вопросов финансирования терроризма (ФТ), применения санкций, взяточничества и коррупции. Тем не менее, как будет отмечено далее по нижеприведенному вопросу 5, хотя может иметь место значительное совпадение факторов, используемых при оценке рисков ОД, взяточничества и коррупции, оценка рисков взяточничества и коррупции может также включать вспомогательные компоненты, которые обычно не используются в стандартных оценках рисков ОД и применения санкций. При этом в конечном итоге структура организации, результаты ее деятельности и деловые приоритеты будут оказывать сильное влияние на то, как фирма разработает свою методологию оценки.

Несмотря на то, что вышеуказанный подход, как правило, применяется большинством финансовых организаций, другие подходы и их вариации, такие как, например, практика использования сценариев риска, в рамках которой оцениваются вероятность реализации сценариев ОД/ФТ и степень их воздействия, как метод расчета присущего риска финансовой организации, эффективно используются и в дальнейшем будут эффективно использоваться финансовыми организациями.

Существует множество способов проведения оценки рисков, и каждая финансовая организация должна внедрять соответствующие методологии с учетом ряда различных факторов, включающих, в том числе, ее размер, глобальное присутствие, рынки, организацию и риск-аппетит. Для обеспечения эффективности оценки риска руководство высшего звена совместно с основными заинтересованным сторонами должны обеспечить соответствующую поддержку деятельности по формированию здоровой культуры соблюдения установленных требований.

1. В чем заключается цель оценки риска?

Основная цель оценки риска ОД - совершенствование управления риском финансовых преступлений путем выявления общих и специфических рисков ОД, с которыми сталкивается финансовая организация, определив, как эти риски снижаются средствами контроля в соответствии с программой ПОД организации, и установив остаточный риск финансовой организации.

Результаты оценки риска могут использоваться для различных целей, в частности, для:

- выявления недостатков в политике, процедурах и процессах ПОД, а также возможностей для их усовершенствования;

- принятия обоснованных решений в отношении риск-аппетита, реализации мер контроля, распределения ресурсов и использования технологий;

- оказания содействия руководству в понимании того, насколько внутренняя организация структурного подразделения либо программа соответствия требованиям ПОД в рамках того или иного направления деятельности финансовой организации соответствуют ее профилю риска;

- выработки стратегий смягчения риска, включающих действующие механизмы внутреннего контроля, и, соответственно, снижения подверженности структурного подразделения или направления деятельности финансовой организации остаточному риску;

- обеспечения осведомленности руководства высшего звена об основных рисках, недостатках в системе контроля и мерах по их устранению;

- содействия руководству высшего звена в принятии стратегических решений в отношении прекращения/ликвидации того или иного вида коммерческой деятельности;

- обеспечения осведомленности регуляторов об основных рисках, недостатках в системе контроля и мерах по их устранению в рамках финансовой организации;

- содействия руководству в обеспечении соответствия выделяемых ресурсов и приоритетов организации рискам.

2. Как часто должна проводиться оценка рисков в масштабе финансовой организации?

Проведение оценки рисков в финансовой организации является сложной и ресурсоемкой задачей, но, тем не менее, необходимой для понимания внутренней рисковой среды финансовой организации. Периодичность проведения оценки рисков в организации зависит от ряда факторов, среди которых: применяемая методология, вид и объем промежуточных проверок, результаты оценки рисков, а также внутренние и внешние рисковые события.

Финансовая организация должна определиться в отношении требуемой периодичности оценки рисков для поддержания актуальности ее результатов и программы снижения рисков. Некоторые финансовые организации актуализируют свои оценки рисков на ежегодной основе; однако, при отсутствии существенных изменений во внутренней рисковой среде финансовой организации, некоторые из них могут сделать выбор в пользу оценки риска с менее высокой периодичностью. В исключительных обстоятельствах, таких, как, например, действия регулятора, оценка риска может осуществляться чаще, чем раз в год.

Вне зависимости от частоты проведения оценки рисков финансовая организация, как правило, обязана ежегодно информировать о состоянии среды риска ОД, либо в форме ежегодных отчетов, либо других видов отчетности. По существу, одним из подходов является проведение автоматического промежуточного подтверждения самой поздней оценки риска; при этом внимание должно уделяться наличию каких либо изменений в ранее определенной рисковой среде. Эти изменения могут быть результатом внутренних (например, значительный рост количества сообщений о подозрительных операциях) и внешних (например, применение значительных мер воздействия в отношении рассматриваемой организации) факторов влияния. Любые изменения могут привести к необходимости инициирования дополнительных планов действий или реализации углубленной оценки в определенных областях.

Дополнительно может быть проведена узконаправленная оценка риска, сфокусированная на областях высокого риска и конкретных механизмах внутреннего контроля, применяемых к заданному риску. Результаты этих узконаправленных оценок могут быть включены в следующую регулярную оценку риска ОД.

Финансовые организации должны регулярно (желательно ежегодно) пересматривать свою методологию в целях обеспечения тщательного отражения в них любых изменений во внутренних и внешних факторах, для обеспечения максимально точного описания возможного риска. Любые изменения в методологии, вносимые ежегодно, должны быть тщательно задокументированы и утверждены соответствующим руководящим органом (например, руководством высшего звена, исполнительным комитетом по противодействию финансовым преступлениям). Изменения необходимо оценивать с точки зрения способности финансовой организации сопоставить их с результатами предыдущего года, иначе предположительно существенные изменения результатов могут быть несостоятельны, не четко объяснимы или непонятны. Также финансовые организации могут выбрать регулярный пересмотр методологии, проводимый независимым лицом, например, аудитором или независимой третьей стороной. Это позволит обеспечить согласованность подходов к управлению рисками в рамках финансовой организации, а также сравнить методологию с аналогами в рассматриваемой индустрии.

3. Как должна быть организована оценка рисков?

Какой бы ни был избран подход, финансовые организации должны обеспечить тщательное документирование и утверждение такого подхода руководством высшего звена. Методология оценки риска должна содержать четкие формулировки, особенно применительно к оцениваемым факторам, критериям, используемым для присвоения баллов, к соответствующим весовым коэффициентам, используемым в методологии количественной оценки, к применяемым оценочным корректировкам, включая, в частности, разумные основания для таких корректировок и специфические параметры направления деятельности/структурного подразделения финансовой организации. В то время как произвольные оценочные корректировки не должны быть нормой, могут возникнуть обстоятельства, при которых корректировка "в ручном режиме" становится необходимой, особенно в ходе первых нескольких оценок рисков и до тех пор, пока применяемая методология оценки не стабилизируется.

Способ проведения оценки риска может повлиять на решение, к чьей компетенции относится такая оценка, и кто ей управляет, то есть: проводится ли оценка риска на уровне отдельных направлений деятельности, страны, региона или финансовой организации; кроме того, на указанное решение окажет влияние структура, глобальное присутствие и уровень сложности деятельности финансовой организации. Для оценки риска в масштабе финансовой организации могут быть агрегированы несколько оценок (до общего уровня организации), хотя реализация тактических действий может оставаться в компетенции отдельных направлений деятельности финансовой организации, нежели на уровне финансовой организации/группы компаний. При этом предпочтительно, чтобы осуществление стратегических действий относилось к компетенции и осуществлялось на уровне группы компаний или региональном уровне. Лица, к компетенции которых относится осуществление тех или иных действий, могут различаться в зависимости от масштабов и сложности деятельности финансовой организации; тем не менее, они должны находиться в наиболее благоприятном положении с точки зрения принятия на себя ответственности за обеспечение выполнения необходимых действий.

Охват оценки рисков должен быть четко сформулирован, то есть: (i) оценка рисков проводится независимо от конкретного направления деятельности и посвящена вопросам соблюдения требований законодательства, или (ii) это комплексная оценка рисков, охватывающая одновременно вопросы деятельности финансовой организации и соблюдения требований законодательства.

Аналогичным образом форма проводимой оценки или виды задаваемых вопросов могут различаться в зависимости от оцениваемой сферы бизнеса (в том случае если деятельность финансовой организации охватывает ту или иную сферу бизнеса). Например, финансовая организация, предоставляющая исключительно услуги по управлению активами состоятельных лиц, может сфокусировать свои вопросы и инструменты контроля преимущественно на рисках, связанных с особенностями географического "присутствия", и риске по типу клиента, нежели на рисках по виду предоставляемых продуктов или каналов их реализации, которые, вероятно, представляют больший интерес для розничного бизнеса. Это позволит обеспечить повышенное внимание оцениваемой сфере и провести более тщательный анализ.

Проводя оценку рисков, финансовые организации должны выбрать подходящий формат сопоставления ее результатов. Возможные варианты включают: (i) создание индивидуальной внутренней системы регистрации ответов на вопросы, задаваемые в рамках оценки рисков, и присвоения рискам соответствующих уровней, (ii) использование программ для работы с электронными таблицами, (iii) расчет уровней рисков вручную, а также другие возможные варианты. Выбранный подход должен быть соизмерим с размером и сложностью деятельности финансовой организации, поскольку от этого зависит результативность и управляемость оценки рисков. Финансовая организация должна выбрать наиболее подходящий подход и после принятия решения задокументировать его логическое обоснование. При принятии решения финансовая организация также должна учесть, возможно ли с использованием такого подхода рассчитать уровни рисков и отслеживать действия, которые потребовалось предпринять в ходе проведения оценки рисков. Хотя упомянутые действия могут затрагивать другую внутреннюю систему, должно быть зафиксировано, что определенное действие явилось результатом оценки риска.

Если в финансовой организации используются различные подходы, принципы методологии оценки рисков должны соблюдаться последовательно, с тем чтобы соответствующие результаты могли быть сопоставимы с точки зрения уровней идентифицированных рисков. После завершения разработки методологии оценки рисков финансовой организации целесообразно обеспечить последовательность в ее применении на определенном уровне, то есть: никакие изменения в методологии не должны становиться препятствием для сопоставления результатов проведенной оценки рисков с результатами предыдущих оценок рисков, с тем чтобы имелась возможность выявить реальные рост/стабильность/снижение рисков в любой финансовой организации. Пример процесса структурирования оценки рисков приведен в приложении В.

4. К чьей компетенции относится осуществление оценки рисков?

Ответственность за рисковую среду несет руководство финансовой организации. Оно может делегировать оценку рисков юридической службе/ подразделению по противодействию финансовым преступлениям/ подразделению, ответственному за соблюдение законодательства о ПОД (далее - Служба ПОД), которые могут быть наделены первостепенной обязанностью по инициированию и проведению оценки рисков ОД. Это может включать такие задачи, как: разработка методологии, поддержание ее актуальности, периодическое обновление/инициирование процессов оценки, а также хранение данных о завершенных оценках. Руководители, ответственные за конкретные направления деятельности финансовой организации, а также другие непрофильные подразделения, такие как, например, подразделения информационных технологий, управления операционным риском и платежей, могут быть также обязаны принимать участие в оценке рисков. Следует отметить, что, хотя руководство высшего звена финансовой организации может делегировать процесс оценки рисков Службе ПОД, ответственность за риски сохраняется строго за подразделением, к компетенции которого может также относиться осуществление любых действий, требующихся в связи с выявлением в ходе оценки рисков упущений и недостатков (см. вопрос 3).

Цель оценки рисков и вклад, требуемый от каждой стороны, должны быть четко определены; при этом в рамках процесса ежегодной постановки задач перед персоналом финансовой организации по усмотрению финансовых организаций могут быть определены конкретные обязанности соответствующих сотрудников при проведении оценки рисков. Финансовые организации должны также обеспечить своевременное и соответствующее потребностям обучение/консультации сотрудников, участвующих в проведении оценки риска, с тем чтобы гарантировать последовательность в реализации подхода, например, в отношении понимания специальной терминологии.

Выбранный механизм оценки рисков должен быть в полной мере утвержден руководством финансовой организации и использоваться в качестве одного из инструментов, посредством которых поддерживается культура соблюдения требований законодательства. Служба ПОД должна гарантировать наличие необходимых ресурсов для управления процессом оценки рисков и ее результатами.

5. Должна ли оценка рисков ОД включать оценку рисков взяточничества и коррупции наряду с рисками других значительных финансовых преступлений?

В большинстве финансовых организаций подразделения по обеспечению соблюдения требований законодательства в сфере ПОД ведут вопросы ПОД (включая противодействие ФТ), применения целевых санкций, противодействия взяточничеству и коррупции в рамках одного подразделения, как правило, подразделения по соблюдению требований законодательства в сфере противодействия финансовым преступлениям. До начала оценки рисков ОД финансовая организация должна, прежде всего, оценить и определить объем и содержание предстоящей оценки рисков. Исторически сложилось, что оценки рисков ОД сосредоточены на рисках по типу клиента, виду операции и других рисках, связанных с наиболее традиционными формами ОД. Однако со временем новые виды финансовых преступлений стали предикатными по отношению к ОД, и, таким образом, в рамках обеспечения соблюдения требований законодательства в сфере ПОД рассматривается более широкий спектр подозрительной деятельности. В связи с этим процесс оценки рисков может включать оценку разнообразных и иногда несопоставимых видов деятельности, среди которых ОД, применение международных санкций, взяточничество и коррупция, различные виды мошенничества, инсайдерская торговля, манипулирование рынком и уклонение от уплаты налогов. В этом случае может иметь место не только дублирование факторов, используемых для оценки различных рисков, но и их значительное несовпадение.

В связи с этим финансовые организации могут предпочесть проведение единой оценки рисков, охватывающей все упомянутые области, осуществление отдельных оценок либо комбинацию указанных вариантов. Ниже приведены вопросы, которые следует рассмотреть для принятия решения в отношении широты охвата оценки риска:

- Санкции. В известной мере оценка рисков применения санкций пересекается с вопросами ОД и часто проводится в увязке с оценкой рисков ОД, хотя и требует наличия сведений и источников информации, характерных для данной области и зачастую доступных только в централизованном порядке. Руководства, издаваемые регуляторами, в особенности в США, предусматривают различные факторы повышенного риска, которые должны учитываться в рамках оценки рисков применения санкций, включающие, в числе прочего: международные денежные переводы, так называемые "счета нерезидентов" или "индивидуальные счета временных резидентов без постоянного места жительства"; счета иностранных клиентов; трансграничные операции автоматизированной клиринговой палаты; аккредитивы и другие инструменты торгового финансирования; электронные банковские операции; корреспондентские счета иностранных банков; транзитные счета; обслуживание состоятельных клиентов по всему миру; иностранные отделения и дочерние банки; инвестиции в иностранные ценные бумаги; объединенные счета, используемые посредниками и третьими лицами для проведения биржевых операций. Многие из этих, а также других подобных факторов, как правило, связаны с оценками рисков ОД. Однако природа и эффективность инструментов контроля, ориентированных на снижение рисков, связанных с применением санкций, в особенности системы скрининга санкционных списков при проведении платежей, поступлении денежных средств и других переводах активов, могут отличаться от основных инструментов снижения рисков в сфере ПОД. Другие инструменты, такие как уровень надлежащей проверки клиентов с повышенным риском применения санкций, обычно являются компонентами программы ПОД финансовой организации.

- Взяточничество и коррупция. Факторы, используемые для оценки рисков ОД, могут быть также применимы при оценке рисков взяточничества и коррупции. Например, юрисдикция клиентов и/или расположения структурных подразделений финансовой организации важны для оценки и рисков ОД, и рисков взяточничества и коррупции. Риск, исходящий от юрисдикции, частично зависит от таких факторов, как, например, наличие нормативного правового регулирования, устойчивость регулятивной среды и уровень правовой культуры. Эти факторы существенно влияют и на риски ОД, и на риски взяточничества и коррупции. Определенные аспекты клиентской базы финансовой организации также будут значимыми с точки зрения рисков ОД и рисков взяточничества и коррупции. Например, объем, доля и/или размер организации клиентов, связанных с правительственными органами, могут оказывать влияние и на риски ОД, и на риски взяточничества и коррупции, хотя и в разной степени. Несмотря на то, что существует некоторое дублирование факторов, используемых при оценке рисков ОД и рисков взяточничества и коррупции, некоторые другие факторы могут быть гораздо более актуальными для оценки рисков взяточничества и коррупции. Среди таких факторов - наличие третьих сторон, действующих от имени и по поручению финансовой организации, практика найма персонала, благотворительная деятельность, вручение деловых подарков и проведение развлекательных мероприятий. Указанные факторы, а также иные не противоречащие законодательству практики деловых отношений потенциально могут быть использованы ненадлежащим образом для предоставления каких-либо преимуществ конкретному представителю государственной власти либо сотруднику клиента или третьей стороне (либо получения от указанных лиц соответствующих преимуществ) и, соответственно, могут создать риски взяточничества. В связи с этим склонность к применению таких практик и их масштаб необходимо учитывать в рамках оценки рисков взяточничества и коррупции.

Следует обеспечить возможность выделения любого из этих видов рисков в рамках оценки рисков на основе собранных базовых сведений, что позволит создать условия для подготовки конкретных суждений в отношении рисков.

Вне зависимости от того, осуществляет ли финансовая организация в официальном порядке оценку вышеизложенных (и иных) рисков финансовых преступлений посредством единой оценки рисков ОД либо отдельных процессов оценки, необходимо обеспечить понимание Службой ПОД масштаба рисков, существующих в рамках финансовой организации. Аналогичным образом Службе ПОД следует понимать уровень эффективности и имеющиеся недостатки в инструментах контроля, ориентированных на снижение соответствующих рисков финансовой организации, вне зависимости от того, относится ли к компетенции Службы ПОД управление и поддержание указанных инструментов.

В последнее время такие правонарушения, как осуществление инсайдерских сделок и манипулирование рынком, стали предикатными преступлениями по отношению к ОД и, по существу, могут рассматриваться в рамках оценки рисков ОД. Тем не менее, на данный момент они, как правило, подлежат рассмотрению без увязки с оценкой рисков ОД, несмотря на сходство методологий оценок упомянутых видов риска. В случае если в соответствии с решением регулирующего органа/органа законодательной власти перечень предикатных преступлений дополняется новым правонарушением, может возникнуть необходимость пересмотреть методологию оценки, с тем чтобы обеспечить ее надлежащий охват.

6. Какова традиционная/стандартная методология оценки рисков ОД?

Несмотря на существование множества способов проведения оценки рисков, наиболее распространенным подходом, который все чаще используется финансовыми организациями, является так называемая "традиционная/стандартная методология". Нижеприведенная схема позволяет проиллюстрировать, что такая методология может подразумевать на практике, хотя, безусловно, в различных финансовых организациях она может принимать различные формы:

Оценка рисков должна охватывать всю деятельность финансовой организации; при этом она может осуществляться частями или как компонент цикла деятельности финансовой организации, с тем чтобы сосредоточиться на конкретных сферах, таких как: подразделения, внутренние структурные единицы финансовой организации либо отдельные направления ее деятельности, страны и/или юридические лица. В рамках оценки рисков следует рассматривать все значимые факторы присущего риска ОД для определения профиля риска и последующей оценки природы инструментов контроля, ориентированных на снижение рисков, как с точки зрения их разработки, так и с позиции их операционной эффективности, с тем, чтобы определить остаточный риск, который должен находиться в рамках установленного риск-аппетита финансовой организации. В то время как оценка рисков является сферой ответственности всей финансовой организации, оценка рисков ОД, как правило, моделируется и осуществляется компетентной Службой ПОД, которая руководствуется специальными знаниями и экспертными навыками, а также осуществляет сбор необходимой информации из внешних и внутренних источников. Оценка рисков может рассматриваться как трехэтапный процесс:

Этап 1: Определение присущего риска

Этап 2: Оценка среды осуществления внутреннего контроля (как с точки зрения разработки инструментов, так и с позиции операционной эффективности)

Этап 3: Определение остаточного риска

6.1. Этап 1 - Оценка присущего риска

Присущий риск представляет собой подверженность рискам, связанным с ОД, применением санкций, взяточничеством и коррупцией, в отсутствие применения каких-либо инструментов контроля.

Поскольку абсолютно идентичных финансовых организаций не существует, уровни рисков, присущих финансовым организациям, могут различаться в зависимости от масштабов и сферы их деятельности, а также от принимаемых ими рисков. Для выявления рисков, присущих финансовой организации, как правило, проводится оценка по следующим пяти категориям риска (хотя прочие факторы также могут учитываться):

1. Клиенты

2. Продукты и услуги

3. Каналы реализации продуктов и услуг

4. Особенности географического "присутствия"

5. Прочие факторы качественной оценки риска

Категории рисков, с которыми сталкиваются финансовые организации, могут быть весьма широкими. В рамках указанных широких категорий рисков на основе рекомендаций либо ожиданий регулирующих органов и передового опыта в соответствующей отрасли выделяются факторы присущего риска, содержащие комбинацию качественных и количественных критериев. Факторы рисков представляют собой основные предпосылки или базовые условия, при которых финансовая организация может быть использована в целях совершения финансовых преступлений.

Ненадлежащее управление факторами рисков может привести к возникновению репутационного риска, применению мер воздействия регулятивного и правового характера, а также возможным последующим финансовым издержкам. С учетом вида деятельности определенного структурного подразделения или продуктов и услуг, предоставляемых в рамках определенного направления деятельности финансовой организации, и клиентской базы для определения присущего риска используется риск- ориентированный подход. Как правило, каждому фактору риска присваивается оценка или весовой коэффициент, отражающие уровень риска, связанного с этим фактором риска, и его значимость в сравнении с прочими факторами риска.

Финансовым организациям необходимо определить, какую систему выставления оценок следует использовать в тех случаях, когда оказывается затруднительно получить информацию, требуемую в соответствии с методологией (например, при ответе "нет сведений" на определенные вопросы может автоматически выставляться оценка "высокий риск/имеются недостатки"), а также рассмотреть вопрос о том, какие корректирующие меры могут быть приняты для получения необходимой информации.

6.1.1. Клиенты

Для целей оценки рисков ОД, присущих для подразделений, внутренних структурных единиц финансовой организации либо отдельного направления ее деятельности, следует оценить клиентскую базу и деловые отношения. Ряд таких факторов, как, например: тип клиента, отрасль, вид деятельности, направление работы, профессиональная принадлежность физических лиц/область коммерческих операций юридических лиц, длительность взаимоотношений с клиентом, могут повышать либо понижать уровень рисков ОД. Для классификации клиентской базы и определения отдельных аспектов риска по типу клиента могут использоваться следующие категории: тип клиента, структура собственности, отрасль, вид деятельности, профессиональная принадлежность физического лица и/или область коммерческих операций юридического лица. Некоторые или все из упомянутых категорий могут быть применимы в зависимости от определенного подразделения, внутренней структурной единицы финансовой организации либо отдельного направления ее деятельности*(5).

Каждому типу клиента присваивается оценка риска в зависимости от ожидаемого уровня риска ОД, исходящего от каждого типа клиентов. Затем для рассматриваемого подразделения, внутренней структурной единицы либо направления деятельности определяется/оценивается объем клиентской базы по типам клиентов. Полученная информация может использоваться для определения процентного соотношения типов клиентов каждого подразделения, внутренней структурной единицы либо отдельного направления деятельности, оцененных в соответствии с классификацией рисков, то есть: низкий риск против умеренного, против высокого, против наиболее высокого риска, - с тем, чтобы определить конечный уровень присущего риска по типу клиента. Подход финансовой организации к классификации рисков должен быть тщательно задокументирован. Таблица с примерами оценки риска, присущего различным типам клиентов, приведена в приложении С.

6.1.2. Продукты и услуги

Наряду с "Клиентами" еще один ключевой компонент оценки рисков может быть выявлен при рассмотрении рисков, связанных с продуктами и услугами, когда финансовые организации стремятся сформировать свой портфель основных продуктов/видов счетов и присвоить каждому из них оценку присущих рисков (например, низкий, умеренный, высокий или наиболее высокий) на основе свойственных им характеристик и имеющегося уровня риска ОД. Затем для рассматриваемого подразделения, внутренней структурной единицы либо отдельного направления деятельности определяется/оценивается количество продуктов/видов счетов, предоставляемых/обслуживаемых финансовой организацией, а также (при наличии сведений) размер остатка денежных средств на соответствующих счетах и (где применимо) обороты средств по счетам. Эта информация может использоваться для определения процентного соотношения продуктов/видов счетов, предоставляемых/обслуживаемых подразделением, внутренней структурной единицей либо в рамках отдельного направления деятельности, оцененных в соответствии с классификацией рисков, то есть: низкий риск против умеренного, против высокого, против наиболее высокого риска, - с тем, чтобы определить конечный уровень присущего риска по виду продукта. Таблица с примерами оценки повышенного риска, присущего различным видам продуктов/услуг и операций, приведена в приложении D.

6.1.3. Каналы реализации продуктов и услуг

Некоторые каналы реализации продуктов/методы оказания услуг могут быть причиной повышения рисков ОД, поскольку приводят к росту риска того, что подразделение, внутренняя структурная единица финансовой организации либо отдельное направление ее деятельности не в полной мере владеет информацией о личности и деятельности своего клиента либо не понимает такую информацию. В этой связи необходимо оценить, способен ли (и если да, то в какой степени) подход к открытию или обслуживанию счетов, например, открытие счета без присутствия клиента или привлечение услуг третьей стороны, включая посредников, повысить присущий риск ОД. Следует отметить, что счета, открытые указанными способами, могут не всегда приводить к росту присущего риска ОД, например, в том случае, если клиент известен финансовой организации, хотя и осуществляет свою деловую деятельность без личного присутствия или удаленно. Клиенты, на которых не распространяются регулятивные требования, либо те, которые недостаточно хорошо известны финансовой организации, с гораздо большей степенью вероятности являются источником наиболее высокого присущего риска ОД.

Затем для данной категории риска подразделением, внутренней структурной единицей либо в рамках отдельного направления деятельности определяется/оценивается процентное соотношение счетов или клиентов, оцененных в соответствии с классификацией рисков, то есть: низкий риск против умеренного, против высокого, против наиболее высокого риска, - с тем чтобы определить конечный уровень присущего риска по виду каналов реализации продуктов и услуг. Таблица с примерами оценки риска, присущего различным факторам риска, связанного с каналами реализации продуктов и услуг, приведена в приложении Е.

6.1.4. Особенности географического "присутствия"/страновые риски

Выявление географических зон, которые могут быть источником более высокого риска, является важным компонентом любой оценки присущего риска; подразделения, внутренние структурные единицы либо отдельные направления деятельности стремятся понять и оценить конкретные риски, связанные с осуществлением деятельности, открытием и обслуживанием счетов, реализацией продуктов и услуг и/или участием в осуществлении операций, в тех случаях, когда затрагиваются определенные географические зоны.

Риски, связанные с особенностями географического "присутствия"/страновые риски могут быть также проанализированы с точки зрения местонахождения подразделения, внутренней структурной единицы финансовой организации либо отдельного направления ее деятельности; оценка указанных рисков может также распространяться на дочерние компании, филиалы и представительства финансовой организации, как на международном, так и на национальном уровне. При этом целью является определение зоны географического "присутствия" финансовой организации. Что касается клиентов, необходимо определить их количество в каждой стране. Финансовой организации потребуется решить, должна ли расчетная численность клиентов быть основана на всех следующих критериях или некоторых из них: место постоянного жительства, место регистрации юридического лица, национальность. Для распределения географических зон/стран по различным категориям риска может быть использована собственная модель странового риска финансовой организации либо аналогичный, надлежащим образом проверенный программный продукт сторонней компании-поставщика. Таблица с примерами оценки риска, присущего различным факторам рисков, связанных с особенностями географического "присутствия"/страновых рисков, приведена в приложении F.

Риски, связанные с особенностями географического "присутствия"/ страновые риски могут также рассматриваться совместно с некоторыми другими факторами рисков в прочих категориях рисков, например, в рамках категории "Клиенты" на уровне финансовой организации либо "Продукты и услуги" на уровне операций. Например, определенная доля операций на уровне подразделения, внутренней структурной единицы финансовой организации либо отдельного направления ее деятельности, контрагентами по которым выступают лица из страны высокого риска, может свидетельствовать о наличии присущего риска с точки зрения особенностей географического "присутствия"/страновых рисков.

Риски, связанные с особенностями географического "присутствия"/ страновые риски являются важным компонентом любой оценки рисков применения санкций не только с точки зрения осуществления операций с контрагентами из стран, находящихся под санкциями, как таковых, но и с позиции взаимодействия со странами, которые могут иметь широко известные/важные связи или иные значимые формы отношений с санкционными странами. Среди таких стран - юрисдикции, (i) граничащие со странами, находящимися под санкциями, (ii) находящиеся от них в непосредственной близости, а также те, которые (iii) располагают возможностями для "нецелевого" использования денежных средств с намерением нарушить или "обойти" санкционные режимы.

Кроме того, факторы рисков, связанных с особенностями географического "присутствия"/страновых рисков, также применимы в рамках любой оценки рисков взяточничества и коррупции. Для определенных юрисдикций характерны повышенные уровни риска взяточничества и коррупции, обусловленные, как правило, тем, что лица, наделенные властными полномочиями, злоупотребляют своим положением для извлечения финансовой выгоды. В тех случаях, когда такие юрисдикции вовлечены в операции финансовой организации, риски взяточничества и коррупции должны надлежащим образом учитываться.

6.1.5. Прочие качественные факторы риска

Дополнительные факторы риска могут оказывать влияние на операционные риски, а также провоцировать рост либо способствовать снижению вероятности возникновения нарушений в функционировании ключевых инструментов контроля в целях ПОД. Качественные факторы риска напрямую либо опосредованно влияют на факторы присущего риска. Например, значимые стратегические либо операционные изменения, такие как: введение в оборот нового основного продукта или услуги, осуществление слияния или поглощения, открытие подразделения на новой территории или закрытие юридического лица, ранее находившегося в составе финансовой организации, может оказать воздействие на уровень присущего риска. Указанные изменения с большой долей вероятности могут потребовать пересмотра существующих либо создания новых инструментов внутреннего контроля; при этом, поскольку для эффективного функционирования таких инструментов контроля может потребоваться определенное время, подразделению, внутренней структурной единице финансовой организации либо отдельному направлению ее деятельности необходимо оценить вероятность временного роста или снижения присущего риска. К основным "Прочим качественным факторам риска" могут быть отнесены:

- стабильность клиентской базы;

- интегрированность ИТ-систем;

- ожидаемый рост количества счетов/клиентов;

- ожидаемый рост доходов;

- последние данные о кадровых изменениях в подразделении, ответственном за соблюдение законодательства в сфере ПОД;

- доверие услугам третьих лиц;

- недавно состоявшееся/планируемое внедрение новых продуктов и/или услуг;

- недавно состоявшиеся/планируемые сделки поглощения;

- недавно реализованные проекты и инициативы в области соблюдения законодательства в сфере ПОД (например, устранение выявленных недостатков, устранение недоработок, перевод деятельности в оффшорную зону);

- последние данные о применении соответствующих мер воздействия;

- национальные оценки рисков.

Таблица с примерами оценки риска, присущего различным "Прочим качественным факторам рисков", приведена в приложении G.

6.1.6. Существует ли в рамках финансовой отрасли общепринятый стандарт присвоения оценок присущему риску?

Хотя риски, присущие подразделению, внутренней структурной единице финансовой организации и/или отдельному направлению ее деятельности, могут быть установлены путем применения и агрегирования рисков по типу клиентов, по виду продуктов и услуг, каналов их реализации, по особенностям географического "присутствия"/страновым рискам и прочим качественным факторам риска, не считая наличия необычных или специфических дополнительных рисков, представляется вероятным, что определенные подразделения финансовой организации будут присваивать более низкие риски, или наоборот более высокие, чем другие.

Несмотря на то, что обобщенные или сравнительные оценки рисков могут быть полезны в рамках банковской деятельности, они не должны использоваться изолированно от оценок присущего риска. Пример обобщенной оценки присущего риска для наиболее значимых направлений банковской деятельности приведен в приложении Н.

6.2. Этап 2 - Оценка инструментов внутреннего контроля

После выявления и оценки присущих рисков необходимо оценить инструменты внутреннего контроля для определения того, насколько эффективно они способны снижать совокупные риски. Инструменты внутреннего контроля представляют собой программы, принципы и меры, которые применяет финансовая организация в целях защиты от материализации риска ОД либо для того, чтобы обеспечить безотлагательное выявление потенциальных рисков. Инструменты внутреннего контроля используются также для обеспечения соответствия регулятивным требованиям к деятельности финансовой организации. Множество аналогичных инструментов внутреннего контроля применимы к различным направлениям деятельности финансовой организации и используются как на уровне подразделения, непосредственно обслуживающего клиентов (1-я линия защиты), так и на уровне подразделения, ответственного за соблюдение законодательства в сфере ПОД (2-я линия защиты)*(6). Имеющиеся инструменты внутреннего контроля оцениваются с точки зрения их эффективности в снижении присущего риска ОД и определении уровня остаточного риска. Инструменты контроля за соблюдением законодательства в сфере ПОД оцениваются, как правило, по следующим контрольным категориям:

- корпоративное управление в целях соблюдения законодательства в сфере ПОД, управленческий надзор и прозрачность;

- принципы и процедуры;

- "Знай своего клиента", надлежащая проверка клиента, усиленная проверка клиента;

- другие предшествующие оценки рисков (как на локальном уровне, так и на уровне финансовой организации);

- управленческая информация/отчетность;

- хранение данных и срок хранения;

- наличие уполномоченного сотрудника/подразделения, ответственного за соблюдение законодательства в сфере ПОД;

- выявление подозрительных операций и направление о них сообщений;

- мониторинг и контроль;

- обучение;

- независимое тестирование и надзор (включая актуальные результаты внутреннего аудита или прочие существенные сведения);

- иные инструменты контроля.

Каждая категория оценивается с точки зрения общей модели ее функционирования и операционной эффективности. При этом может быть выявлен как благоприятный, так и неблагоприятный показатель использования инструментов контроля; информация о таких показателях должна быть тщательно зафиксирована в целях оценки операционной эффективности каждого инструмента внутреннего контроля. Кроме того, необходимо по возможности обеспечить увязку инструментов внутреннего контроля с ключевыми показателями деятельности либо иными параметрами.

Одним из способов оценки эффективности инструментов внутреннего контроля является осуществление специализированной самооценки внутренним структурным подразделением финансовой организации либо в рамках отдельного направления ее деятельности. Самооценка такого рода может быть проведена в автономном режиме на основе экспертного опыта в предметной сфере и имеющейся внутренней информации, в том числе полученной в рамках обзоров деловых рисков, аудиторских и контрольных тестирований. Конкретному инструменту внутреннего контроля может быть присвоена оценка в соответствии с заранее определенной шкалой оценок или на основе качественных факторов, например: "удовлетворительно", "требует улучшений" или "имеются недостатки", - для каждого из вышеуказанных факторов внутреннего контроля.

Например, в отношении категории "Обучение", для вынесения суждения об эффективности механизма обучения потребуется наличие ряда элементов. Сама по себе, оценка инструмента внутреннего контроля должна быть сосредоточена на каждом из таких элементов, например: была ли проведена оценка потребностей персонала в обучении, проводится ли специальная подготовка лиц, выполняющих ключевые функции в финансовой организации, проводится ли обучение своевременно. Финансовой организации необходимо оценить, функционирует ли каждый элемент удовлетворительно, требует ли он улучшений либо в нем имеются недостатки. Для каждого элемента в категории "Обучение" могут быть разработаны рекомендации, которыми надлежит руководствоваться в случае присвоения ему той или иной оценки. Наряду с этим категории "Обучение" может быть дана и совокупная оценка. Если проставляется совокупная оценка этой категории, то она должна быть основана на базовых оценках, присвоенных отдельным элементам в рамках указанной категории.

В случае если выясняется, что механизм функционирования инструмента внутреннего контроля не разработан, инструмент функционирует неэффективно либо не существует, следует принять меры по устранению таких недостатков (в тех случаях, когда такие меры еще не реализуются). На примере категории "Обучение" это может означать внедрение модифицированной специализированной программы обучения персонала или введение процедур усиленной проверки клиента. В тех случаях, когда соответствующие корректирующие меры уже принимаются, факт их реализации должен быть зафиксирован в рамках подготовки комментариев по конкретному недостатку. Тем не менее, факт реализации корректирующих мер не должен влиять на оценку остаточного риска, поскольку такие меры, сами по себе, не являются фактором снижения присущего риска. Оценка присущего риска и инструментов внутреннего контроля является оценкой "на определенный момент времени"; таким образом, эффективное осуществление корректирующих мер может оказать благоприятное влияние на уровень остаточного риска только в рамках последующей оценки рисков.

Как и в случае с факторами присущего риска (рассмотрено выше), по итогам оценки каждому элементу, действующему в рамках инструмента внутреннего контроля, присваивается оценка, в результате агрегирования которых можно получить представление об относительной надежности того или иного инструмента внутреннего контроля. Затем каждому элементу может быть присвоен весовой коэффициент, отражающий значимость, для финансовой организации. Например, можно ожидать, что в рамках оценки рисков категории "Надлежащая проверка клиентов" будет присвоен больший весовой коэффициент, чем категории "Хранение данных и срок хранения". Пример приведен в приложении I.

6.2.1. Внесение корректировок Службой ПОД

Методологии оценки рисков должны на постоянной основе дорабатываться для обеспечения их наибольшего соответствия представлениям финансовой организации о своих рисках. После завершения оценки рисков и категорий инструментов контроля Службой ПОД (либо иным функциональным подразделением, определенным финансовой организацией) должен быть проведен анализ качества данных, и при определенных обстоятельствах может потребоваться рассмотреть вопрос о внесении корректировок в оценку присущего риска или эффективности инструментов контроля по любому фактору или категории. Несмотря на то, что более простой задачей является обоснование повышения уровня присущего риска и/или снижения уровня эффективности инструментов контроля, должна быть возможна и обратная ситуация, хотя в любом случае, если вносимые изменения оказываются весьма значительными, возможно, потребуется пересмотр методологии.

Некоторые финансовые организации могут рассматривать вопрос о внесении корректировок после расчета остаточного риска. При этом во всех случаях основания для изменений должны быть тщательно зафиксированы, подкреплены соответствующими данными и утверждены лицом, имеющим надлежащие полномочия. Помимо оценок присущего риска и условий осуществления внутреннего контроля, могут также использоваться индикаторы, отражающие изменения в уровнях рисков, например, уровень повышения, стабильности или снижения рисков. Необходимость внесения корректировок в результаты оценки может свидетельствовать о недостатках в методологии оценки рисков и должна быть проанализирована финансовой организацией до начала очередного раунда оценки рисков.

6.3. Этап 3 - Определение остаточного риска

После оценки присущего риска, а также эффективности и условий осуществления внутреннего контроля может быть определен остаточный риск. Остаточный риск - это риск, сохраняющийся после применения инструментов контроля за присущим риском. Он определяется путем сопоставления уровня присущего риска и совокупной надежности мер управления рисками и инструментов контроля за ними. Оценка уровня остаточного риска используется для определения эффективности управления рисками ОД в рамках финансовой организации.

Для оценки остаточного риска можно применять трехуровневую шкалу: "высокий", "умеренный" и "низкий". Использоваться может любая шкала, например, пятиступенчатая: "низкий", "от низкого до умеренного", "умеренный", "от умеренного до высокого" и "высокий". Предлагается учесть следующие определения для описания уровня остаточного риска при оценке по трехуровневой шкале:

i. Низкий остаточный риск.

ii. Умеренный остаточный риск.

Совокупный уровень присущего риска финансовой организации/ подразделения/направления деятельности, основанный на факторах, связанных с типом клиента, видом продуктов и услуг, каналами их реализации, особенностями географического "присутствия", и иных качественных факторах, оценивается на уровне "от низкого до умеренного", при этом инструменты контроля являются неэффективными для управления таким риском; ИЛИ совокупный уровень присущего риска финансовой организации, основанный на факторах, связанных с типом клиента, видом продуктов и услуг, каналами их реализации, географическими особенностями, и иных качественных факторах, является высоким, а инструменты контроля - эффективными для управления этим присущим риском.

iii. Высокий остаточный риск.

Пример методологии оценки остаточного риска приведен в приложении J.

С учетом вышеизложенной методологии и после завершения разработки шкалы оценки остаточного риска в рамках оценки риска ОД могут быть приняты определенные решения, например:

i. Надежная система контроля может снизить уровень остаточного риска ОД по сравнению с уровнем присущего риска.

ii. Если финансовой организации/подразделению/направлению деятельности присваивается высокий уровень присущего риска ОД, то такой финансовой организации/подразделению/ направлению деятельности ни при каких условиях не может быть присвоен низкий уровень остаточного риска ОД.

iii. Для снижения уровня остаточного риска ОД можно либо снизить уровень присущего риска ОД, либо повысить надежность инструментов контроля за риском ОД.

6.3.1. Присвоение весовых коэффициентов и оценка

С учетом уникальных особенностей, характерных для деятельности каждого структурного подразделения финансовой организации, продуктов и услуг (включая операции), клиентской базы и географического "присутствия", для определения уровня присущего риска используется риск-ориентированный подход. Каждому фактору риска, как правило, присваивается оценка, отражающая соответствующий уровень риска. Затем каждой зоне риска может быть присвоен удельный вес, соответствующий уровню ее значимости по отношению к другим зонам риска при расчете уровня совокупного риска. Аналогичным образом, каждому инструменту контроля может быть присвоен удельный вес, отражающий относительную эффективность этого инструмента. Пример возможного подхода финансовой организации к присвоению удельных весов приведен в приложении I.

Например, если структурное подразделение финансовой организации осуществляет преимущественно корреспондентские банковские отношения и часть клиентской базы располагается в различных иностранных юрисдикциях, следовательно, категории географического "присутствия" могут быть признаны более значимыми (и, соответственно, получить более высокий удельный вес), чем категория типа клиентов, которые характерны для этого структурного подразделения. Аналогичным образом определенные инструменты контроля в большей степени способны оказывать непосредственное воздействие на снижение риска ОД; например, первичному контролю при обслуживании клиента должен быть присвоен больший удельный вес, чем инструментам контроля, применяемым при независимом тестировании.

6.3.2. Отчетность и предоставление информации о результатах

Служба ПОД должна проинформировать соответствующие заинтересованные лица и подразделения финансовой организации, включая, но не ограничиваясь, руководителями высшего звена группы компаний, в которую входит финансовая организация, и ее подразделением внутреннего аудита, о результатах оценки риска ОД. При необходимости следует уведомить также органы регулирования и надзора. В рамках всего сектора повышенное внимание уделяется уровням капитала на покрытие операционного риска, формируемым финансовыми организациями, и результаты оценки риска могут стать ценным вкладом в расчет размера капитала на покрытие операционного риска каждой финансовой организации.

С учетом объема данных, на основе которых будет осуществлена оценка риска ОД, необходимо разработать методологию таким образом, чтобы результаты могли быть представлены различными способами с акцентом на рисках, характерных для того или иного фактора, например: для подразделения финансовой организации, вида финансового продукта, географического "присутствия" или типа клиента. Такая методология должна подразумевать не только усреднение результатов, но и выявление присущего и остаточного рисков, а также эффективности контроля для той или иной сферы деятельности финансовой организации.

ГАРАНТ:

Нумерация разделов приводится в соответствии с источником

6.3.4. Пояснения о взаимосвязи между подходами к оценке риска по типу клиента

В то время, как финансовые организации разрабатывают свои подходы к оценке риска, измеряя риски в соответствии с установленными категориями риска (например, по странам, особенностям географического "присутствия", видам продуктов и услуг, каналам их реализации, видам операций и типам клиентов), эти категории рисков могут быть также учтены при разработке подхода к оценке риска, связанного с установлением деловых отношений с конкретным клиентом. Например, при использовании каждой из указанных категорий для оценки риска, связанного с установлением деловых отношений с клиентом, финансовые организации смогут рассчитать коэффициент совокупного риска ОД для этого клиента. Этот коэффициент позволит оценить клиента с точки зрения риска, характерного для всей клиентской базы. Финансовая организация должна обеспечить пропорциональное соответствие своего внутреннего контроля рискам, характерным для всей клиентской базы; за клиентами с наивысшим риском будет осуществляться наиболее жесткий контроль, предусматривающий при приеме на обслуживание осуществление мер усиленной надлежащей проверки, проведение усиленного мониторинга и/или более частых проверок.

6.3.5. Пояснения о взаимосвязи между моделями оценки других рисков

Поскольку оценки рисков финансовой организации могут осуществляться вне подразделения, ответственного за соблюдение законодательства в сфере ПОД, финансовые организации должны учитывать другие оценки рисков и постараться обеспечить применение единого подхода к их выполнению и отчетности по ним. Например, механизмы оценки операционного риска, как правило, включают методологии измерения и оценки риска с учетом количественных и качественных факторов. Оценка вероятности и последствий реализации различных сценариев оценки присущего риска может также использоваться как способ выявления наиболее высоких присущих рисков и их классификации по направлениям деятельности или регионам. Если механизм оценки операционного риска финансовой организации разработан должным образом и основан на пятиступенчатой методологии оценки остаточных рисков (в отличие от трехступенчатой методологии оценки), то финансовая организация может использовать такой подход и при оценке риска ОД.

Аналогичным образом в рамках функций подразделения внутреннего аудита может существовать определенный подход к классификации результатов, полученных по итогам проведения аудита. Результаты оценки риска ОД и меры по ее итогам могут быть более убедительны для руководителей высшего звена и проще для понимания при условии применения единого способа представления сведений в рамках всей финансовой организации, например, при совпадении выводов внутреннего аудита относительно высокого риска с результатами оценки риска по итогам оценки риска ОД.

Однако если финансовая организация применяет отличный подход к оценке риска ОД, чем подходы, используемые для оценки иных рисков, целесообразность такого подхода должна быть согласована с подразделениями, ответственными за выполнение различных контрольных функций, а результаты должны быть зафиксированы в полном объеме и утверждены руководством высшего звена.

7. Какие шаги надлежит предпринять финансовой организации в отношении результатов, полученных по итогам проведения оценки риска?

По завершении оценки риска могут быть выявлены упущения и недостатки в условиях реализации внутреннего контроля. Выявление таких "пробелов" должно повлечь принятие мер, надлежащим образом ранжированных в порядке их приоритетности; реализация указанных мер должна отслеживаться в централизованном режиме. Меры по устранению упущений и недостатков могут затрагивать все направления деятельности финансовой организации; тем не менее, надзор за их выполнением должен осуществляться подразделением, ответственным за соблюдение законодательства в сфере ПОД.

Принятие необходимых мер может оказать значительное влияние на уровень остаточного риска, поэтому им должно уделяться большое внимание и оказываться поддержка со стороны руководства высшего звена и других заинтересованных лиц. Рекомендуется завершить реализацию мер по устранению упущений и недостатков до начала следующей оценки рисков, с тем, чтобы определить, имелось ли улучшение показателя остаточного риска.

Стратегические меры, скорее всего, должны осуществляться на уровне группы компаний либо подразделений, ответственных за деятельность на глобальном уровне, в то время как меры тактического характера, напротив, должны относиться к компетенции подразделений на локальном уровне. Обязательным является надлежащий учет подразделениями на местном уровне существующих рисков ОД и рисков, связанных с применением санкций, взяточничеством и коррупцией, поскольку именно на локальном уровне имеются наиболее благоприятные условия для внесения изменений в профиль присущего риска и совершенствования условий реализации внутреннего контроля.

Результаты оценки риска могут быть использованы при подготовке годовых планов, осуществлении мониторинга и тестирований, а также при формировании управленческой информации в рамках финансовой организации. При этом должен функционировать достаточно надежный механизм обеспечения качества соответствия предлагаемых мер проблемам, выявленным по итогам проведения оценки риска.

8. Какое воздействие должна оказывать оценка риска, проведенная финансовой организацией, на риск-аппетит?

Методология оценки риска ОД финансовой организации должна разрабатываться профильными экспертами компетентного подразделения, например, подразделения, ответственного за соблюдение законодательства в сфере ПОД, и должна быть утверждена руководством высшего звена финансовой организации. Такие же требования распространяются и на оценку других рисков, в том числе связанных с применением санкций, взяточничеством и коррупцией.

Результаты оценки риска ОД позволяют определить текущий уровень остаточного риска ОД, принимаемого финансовой организацией. Для оценки стабильности портфеля рисков финансовой организации и выявления тенденций может осуществляться анализ происходящих изменений.

Необходимо определить, соответствует ли уровень остаточного риска уровню приемлемого риска ОД финансовой организации. В случае если уровень остаточного риска превышает уровень приемлемого риска ОД, следует рассмотреть меры по снижению присущего риска или улучшению условий осуществления внутреннего контроля, с тем чтобы уровень остаточного риска не вступал в противоречие с риск-аппетитом финансовой организации. В качестве альтернативного подхода можно рассмотреть адекватность риск-аппетита финансовой организации. При этом крайне важно обеспечить участие в этом процессе руководства высшего звена, поскольку риск-аппетит финансовой организации является ключевым фактором, оказывающим влияние на стратегические цели и мотивы принятия действий.

Можно провести сравнительный анализ риск-аппетита финансовой организации на основе других факторов, выходящих за рамки программы оценки риска ОД. Например, можно предложить ряд сценариев и/или примеров рисков/неблагоприятных событий, характерных для финансовой организации, учитывающих пороговую величину ущерба (например, приемлемый уровень годового убытка в результате судебных процессов по гражданским делам).

Наряду с этим ряд типовых сценариев - как возможный элемент оценки риск-аппетита и предмет для обсуждения со руководителями высшего звена - может включать определяющие ожидаемые события (риск-аппетит) и подготовку отчетности об успешности и/или недостатках (уровень остаточного риска) в отношении возникновения следующих рисков: репутационного, регуляторного рисков, рисков гражданской и уголовной ответственности.

1. Ущерб от возникновения репутационного риска. Репутационный ущерб, то есть подрыв доброго имени финансовой организации, может возникать по многим обстоятельствам. На репутацию финансовой организации негативно влияет, как правило, объявление о крупном расследовании по делу об отмывании денег (обычно по счетам и/или операциям клиента), которое имеет либо с большой вероятностью может иметь серьезные финансовые последствия в форме санкций регуляторного, административного либо уголовного характера. Негативное воздействие на репутацию может быть оказано также существующими и потенциальными клиентами в связи с возможными обвинениями, в том числе по делам об уголовных правонарушениях, например, об отмывании через банковский сектор коррупционных доходов публичных должностных лиц, о содействии в осуществлении операций финансирования терроризма или о сотрудничестве с сомнительными режимами.

2. Ущерб от возникновения регуляторного риска. Регулятивные нормы находятся в процессе постоянных изменений; наряду с этим происходит рост ожиданий в отношении того, что из себя должна представлять адекватная риск-ориентированная программа ПОД. Увеличивается число, частота, степень охвата и интенсивность соответствующих проверок и тестирований. Произошло значительное смещение ожиданий регуляторов в отношении стандартов ПОД: если ранее приемлемым считалось следование "хорошей" или "общепринятой" практике, то теперь нормой признается применение наивысших стандартов. По мере роста упомянутых ожиданий все сложнее становится внедрить действенный риск-ориентированный подход, если суждения о нем выносятся на основе нормативно-правового регулирования. Издержки, связанные с приведением систем внутреннего контроля в соответствие со стандартами и осуществлением ретроспективного анализа до возникновения нареканий со стороны регуляторов, могут быть значительными. За нарушения все чаще применяются санкции регуляторного характера, причем, как правило, со стороны нескольких органов регулирования, которые инициируют расследования по одним и тем же либо схожим правонарушениям. В рамках указанных действий на финансовую организацию может быть возложена обязанность принимать непрерывные меры, а также создать специальную группу, состоящую из назначенных регуляторами лиц, которая будет на месте осуществлять постоянный мониторинг реализации финансовой организацией действий по устранению недостатков своей системы внутреннего контроля.

3. Ущерб от возникновения риска гражданской ответственности. По мере увеличения числа гражданских исков (в том числе коллективных) в особенности о правонарушениях, связанных с несоблюдением санкционных режимов, финансированием терроризма, финансовыми мошенничествами с доверительной собственностью или невыполнением регуляторных предписаний, растет вероятность ущерба правового характера.

4. Ущерб от возникновения риска уголовной ответственности. Несмотря на то, что ранее возникновение риска уголовной ответственности было исключительным событием, в настоящее время риск совершения уголовного правонарушения, связанного с недостатками в механизме ПОД финансовой организации, нельзя недооценивать. С выражением "слишком значимый, чтобы попасть в тюрьму" не согласны многие из тех, кто выступает за привлечение к уголовной ответственности, в том числе физических лиц, как за единственный способ обеспечить достаточное внимание и полное соблюдение финансовой организацией законов, регулятивных норм, а также соответствие ожиданиям.

Вне зависимости от того, каким образом результаты оценки риска ОД сравниваются с риск-аппетитом финансовой организации, принимаемые по итогам оценки меры должны быть четко сформулированы. В связи с этим крайне важно четко определить должностные функции и сферы ответственности, с тем, чтобы обеспечить наличие действующей системы и процедур управления возможными последствиями, в случае если риски выходят за рамки риск-аппетита и механизма внутреннего контроля.

9. Какое программное обеспечение/автоматизированные системы могут быть использованы для осуществления оценки риска?

Некоторые финансовые организации при проведении оценки риска могут посчитать полезным использование автоматизированных систем или программного обеспечения. При этом определение наилучших автоматизированных систем или программного обеспечения может стать одним из уязвимых аспектов оценки риска. Финансовые организации используют разнообразные виды программного обеспечения - от персонализированных шаблонов, встроенных в стандартное программное обеспечение для обработки электронных таблиц, до сложных систем управления базами данных, созданных самостоятельно либо приобретенных у производителей. Каждый из подходов имеет свои сильные и слабые стороны, и выбор правильного программного обеспечения будет зависеть от различных факторов, включая размер и сложность структуры финансовой организации (и, соответственно, сложность проведения самой оценки); количество и географическое распределение участников процесса оценки; число количественных критериев/ключевых индикаторов риска, лежащих в основе оценки; необходимую управленческую информацию о результатах оценки и ее динамике; ожидаемые изменения, которые может потребоваться внести в оценку.

Наиболее распространенными сложностями при использовании стандартного программного обеспечения для обработки электронных таблиц являются недостаточность исходных баз данных, значительный объем вычислений вручную и формул, которые должны быть введены в программу, а также тот факт, что большую часть электронных таблиц применяет в работе один сотрудник. Сложные системы управления базами данных, созданные финансовой организацией самостоятельно либо приобретенные у производителей, напротив, предоставляют, как правило, более надежные в эксплуатации механизмы для подготовки отчетности и имеют новейшие характеристики; при этом зачастую адаптировать такие системы к условиям и потребностям конечного пользователя может быть затруднительно. Какой бы подход ни был выбран и вне зависимости от того, используется ли в принципе какая-либо автоматизированная система или программное обеспечение, перед проведением оценки риска финансовой организации необходимо осуществить адекватное тестирование выбранного подхода, с тем, чтобы обеспечить эффективную реализацию своего подхода к оценке.

Примечания

При проведении оценки риска следует иметь в виду, что на ее конечные результаты могут оказать влияние иные факторы, которые не зависят от качественных и количественных факторов, используемых финансовой организацией. Например, в результате влияния со стороны регуляторов на тот или иной аспект системы ПОД финансовая организация может быть вынуждена изменить оценку присущего риска в сторону увеличения либо оценку остаточного риска - в сторону снижения. Для того чтобы финансовая организация имела возможность осуществлять такие изменения, механизм коррекции присвоенных рискам оценок (в любой его форме) должен быть четко сформулирован и зафиксирован в рамках методологии оценки рисков финансовой организации, а применяться такой механизм должен лишь в исключительных случаях. Среди прочих внешних факторов могут быть: выступления представителей органов регулирования и выпускаемые ими документы, а также выводы публицистических статей по тематике соответствующей отрасли либо журналистских расследований. Оценка риска является субъективной оценкой, и в этой связи может быть различным образом интерпретирована. Например, интерпретация финансовой организации может не совпадать с интерпретацией регулятора.

Такой подход будет и в дальнейшем подкреплять ценность проведения оценок риска - как способа обеспечения надежных стандартов, выявления областей, в которых возможно возникновение недостатков, устранения этих недостатков и поддержания приверженности соблюдению законодательства в сфере ПОД.

Приложения к "Вольфсбергским актуальным вопросам оценки рисков отмывания денег, применения санкций, взяточничества и коррупции"

Во всех ниже представленных приложениях содержатся примеры подходов к оценке риска по различным категориям, упомянутым в настоящем документе. Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.

Приложение А: Глоссарий

Служба ПОД	Как правило, является основным подразделением, ответственным за вопросы инициирования разработки и внедрения программы ПОД в рамках финансовой организации. В контексте оценки риска в компетенцию такого подразделения входит решение таких задач, как: разработка методологии, обеспечение функционирования, периодическое инициирование процесса оценки риска и соответствующих мер по ее проведению, а также хранение информации о завершенных оценках.
Календарный год	Календарному году соответствует период с января по декабрь того или иного года; если термин "календарный год" не применим в вашей стране, рекомендуется использовать эквивалентный двенадцатимесячный период с января по декабрь предшествующего года.
Противодействие финансированию терроризму	Меры, осуществляемые для пресечения доступа к финансовым услугам для лиц, вовлеченных в финансирование и совершение террористических актов и иных деяний, связанных с терроризмом.
Клиент	Физические лица: физические лица, имеющие счет в финансовой организации, осуществляющие операции с продуктом финансовой организации или пользующиеся ее услугами. Лица: физические лица, компании, трасты, благотворительные организации, партнерства или индивидуальные предприниматели, имеющие счет в финансовой организации, осуществляющие операции с продуктом финансовой организации или пользующиеся ее услугами.
Надлежащая проверка клиента (НПК)	Процесс реализации принципов и процедур, разработанных в целях содействия мониторингу и оценке риска совершения клиентом незаконных финансовых операций. Надлежащая проверка клиента может включать (но не ограничивается этим) идентификацию клиента, определение ожидаемого поведения клиента и/или мониторинг движения средств по счету в целях выявления тех операций, которые не соответствуют стандартным или ожидаемым операциям для конкретного клиента или типа счета.
Уровень риска, исходящего от клиента	Является оценкой риска финансирования ОД/ФТ, представляемого каждым клиентом, для обеспечения понимания рисков, с которыми сталкивается организация. Оценка риска клиента может также использоваться для определения различных подходов к идентификации клиента, проверке информации, сбору дополнительной информации о клиенте, мониторингу и обязательному периодическому обновлению сведений о клиенте.
Усиленная проверка клиента (УПК)	Подразумевает сбор дополнительной информации в рамках процесса надлежащей проверки клиента либо усиленные меры предосторожности, такие как постоянный мониторинг операций. Последний должен быть основан на подходе, который должным образом учитывал бы риски, при любых обстоятельствах представляющих по своей природе наиболее высокие риски ОД/ФТ. Объем сбора дополнительной информации и мониторинг (в той или иной форме) любых конкретных деловых отношений либо класса/категории деловых отношений будут зависеть от риска ОД/ФТ, который, как покажет оценка, представляет конкретный клиент либо класс/категория деловых отношений для организации.
Присущий риск	Представляет собой подверженность рискам, связанным с отмыванием денег, применением санкций, взяточничеством и коррупцией, в отсутствие применения каких-либо инструментов контроля.
Инструменты внутреннего контроля	Принципы, процедуры, системы и соответствующие сотрудники в рамках финансовой организации, призванные служить защитой от материализации риска ОД либо обеспечивать своевременное выявление факторов риска.
"Знай своего клиента"	Правила и процедуры, используемые для установления истинной личности клиента и типа действий (поведения), который является "нормальным" для этого клиента.
Мониторинг	Элемент программы ПОД финансовой организации, в рамках которого осуществляется проверка действий клиента на предмет наличия в них фактов необычного или подозрительного поведения, тенденций либо несвойственных такому клиенту операций, не характерных для его "нормальной" модели поведения. Как правило, мониторинг операций осуществляется с использованием программного обеспечения, которое оценивает действия клиента с точки зрения "нормальной и ожидаемой" модели поведения каждого конкретного клиента.
Остаточный риск	Риск, который сохраняется после применения инструментов контроля за присущим риском. Он определяется путем сопоставления уровня присущего риска и совокупной надежности мер управления рисками и инструментов контроля за ними. Оценка уровня остаточного риска используется для определения эффективности управления рисками ОД в рамках финансовой организации.
Оценка риска	Оценка риска является комплексом мероприятий по выявлению ключевых рисков, с которыми сталкивается организация, и по тестированию инструментов контроля, имеющихся в распоряжении организации для снижения этих рисков. Риски могут быть как внешними, так и внутренними по отношению к организации. Целью оценки риска является измерение совокупной подверженности организации рискам, с которыми она сталкивается, а также планирование действий по снижению этих рисков.

Приложение В: Пример процесса оценки риска

Примеры приводятся в целях иллюстрации элементов методологии оценки риска, которая может применяться финансовой организацией. При этом финансовой организации следует в полном объеме задокументировать свой подход к расчету показателей риска на основе своей методологии оценки риска. Приведенные примеры не являются исчерпывающими и обязательными для исполнения.

1. Определите факторы присущего риска.

2. Присвойте факторам присущего риска весовые коэффициенты в соответствии с методологией.

3. Осуществите сбор данных и проведите в их отношении надлежащий анализ.

4. Оцените факторы присущего риска, с тем, чтобы определить:

a. оценки по отдельным категориям риска, например, "высокий", "умеренный", "низкий" ("В", "У", "Н");

b. совокупную оценку ("В", "У", "Н").

5. Определите категории эффективности инструментов контроля.

6. Определите все инструменты контроля и составьте план-схему на основе либо:

a. категорий инструментов контроля:

i. Присвойте категориям весовые коэффициенты в зависимости от значимости, количества инструментов контроля, количества ключевых инструментов контроля.

ii. Оцените эффективность инструментов контроля путем агрегирования полученных результатов для получения совокупной оценки ("В", "У", "Н");

ЛИБО

b. категорий присущего риска:

i. Присвойте инструментам контроля весовые коэффициенты в зависимости от значимости и количества ключевых инструментов контроля.

ii. Составьте план-схему инструментов контроля по каждой из категорий присущего риска и оцените эти инструменты контроля по отношению к каждой категории риска.

iii. Путем агрегирования данных по категориям эффективности инструментов контроля рассчитайте совокупную оценку ("В", "У", "Н").

7. Отметьте (выделите) и зафиксируйте сведения о недостатках или уязвимостях, характерных для каждого из выявленных инструментов контроля, для целей дальнейшей работы по их устранению (см. п. 10, приведенный ниже).

8. Путем применения матрицы остаточного риска соотнесите совокупную оценку присущего риска и оценку эффективности инструментов контроля.

9. Определите показатель остаточного риска и определите на уровне соответствующего органа управления, является ли показатель остаточного риска соответствующим "порогу терпимости" финансовой организации или ее риск-аппетиту.

10. Определите план действий по устранению недостатков, который учитывал бы уязвимости и недостатки, выявленные в соответствии с вышеприведенным пунктом 7, в отношении которых принято решение о необходимости дальнейших действий, определите ответственных лиц и сроки реализации указанных действий.

Приложение С: Пример оценки риска, присущего клиенту

Клиенты первого типа - физические и юридические лица	Оценка риска
Физические лица
- Владельцы крупного частного капитала	Высокий
- Розничные	Низкий
- Другие	Умеренный
Юридические лица
Акционерные компании открытого типа
- акции которых имеют котировки на официальной бирже	Низкий
- акции которых имеют котировки на неофициальной бирже	Умеренный
Акционерные общества закрытого типа
- Операционные компании (компании реального сектора экономики)	Низкий
- Холдинговые компании (компании, не занимающиеся хозяйственной деятельностью)	Умеренный
- Компании, чьи акции относятся к категории акций на предъявителя	Высокий
Государственные учреждения
- Национальные	Низкий
- Государственные учреждения стран средней степени риска	Умеренный
- Государственные учреждения стран высокой степени риска	Высокий
- Государственные учреждения стран наиболее высокой степени риска	Наиболее высокий
Финансовые организации/Банки и регулируемые брокеры
- акции которых имеют котировки на официальной бирже, а также зарегистрированные в странах, соблюдающих международные стандарты в сфере ПОД/ФТ	От низкого до умеренного
- зарегистрированные в странах, частично соблюдающих либо не соблюдающих международные стандарты в сфере ПОД/ФТ	Умеренный
- акции которых имеют котировки на неофициальной бирже, а также зарегистрированные в странах, не соблюдающих международные стандарты в сфере ПОД/ФТ	Высокий/наиболее высокий

*Примечание: в вышеприведенном примере используется четырехступенчатая шкала оценки, которая может быть изменена по выбору финансовой организации.

Клиенты второго типа - отдельные категории лиц, для которых характерны повышенные риски	Оценка риска
Публичные должностные лица*(7)
- Национальные	Умеренный
- Международные	Высокий
Отрасли экономики
- Организации, оказывающие услуги по переводу денежных средств и ценностей	Умеренный/ Высокий
- Благотворительные и некоммерческие организации	Умеренный/ Высокий
- Посреднические организации/комиссионеры	Умеренный/ Высокий
- Агенты по операциям с недвижимостью	Умеренный/ Высокий
- Дилеры по операциям с товарами высокой стоимости	Умеренный/ Высокий
- Дилеры по драгоценным металлам и драгоценным камням	Умеренный/ Высокий
- Гейткиперы (лица, ответственные за безопасность финансовой системы и осуществление контроля за допуском к ней других лиц, например, клиентов и иных сотрудников той же организации; под такими лицами могут пониматься юристы, специалисты в области бухгалтерского учета, налоговые консультанты, трасты, инвестиционные брокеры и пр.)	Умеренный/ Высокий
- Казино, включая интернет-казино	Умеренный/ Высокий
- Торговцы оружием	Умеренный/ Высокий
- Частные военные организации	Умеренный/ Высокий
- Эмитенты цифровых валют и лица, осуществляющие схожие функции	Умеренный/ Высокий

Приложение D: Пример оценки присущего риска ряда продуктов, услуг и операций

Примеры продуктов и услуг, для которых характерен повышенный риск	Оценка риска
Альтернативные инвестиционные инструменты/ структурированные продукты	Умеренный/ Высокий
Торговое/экспортное финансирование	Умеренный/ Высокий
Международное индивидуальное банковское обслуживание состоятельных клиентов/управление активами состоятельных клиентов	Высокий
Международные банковские корреспондентские отношения	Высокий
- Международные электронные переводы денежных средств	Высокий
- Услуги по пересылке (в том числе, наличных денежных средств и документов)	Высокий
- Операции с драгоценными металлами (физическая поставка)	Высокий
- Банкнотные операции	Высокий
- Операции по транзитным счетам	Высокий
- Нисходящие клиринговые услуги (субклиринг)	Высокий
Счета специального назначения	Высокий
Международные брокерские депозиты	Высокий
Услуги по аренде индивидуальных депозитных ячеек (сейфов)	Высокий
Операции с драгоценными металлами (в том числе услуги по их физической доставке)	Высокий
Безлимитные платежные карты	Высокий
Установление базовых и иных индексов	Высокий

Примеры операций, для которых характерен повышенный риск	Оценка риска
Значительные/необычные операции с наличными денежными средствами и их аналогами	Высокий
Транзитные операции	Высокий
Операции по субкорсчетам ("встроенным" счетам)	Высокий
Международные электронные переводы денежных средств в страны с высокими рисками	Высокий
Операции компаний, предположительно являющихся однодневками	Высокий
Зачисление и списание денежных средств (высокая скорость оборачиваемости денежных средств по счетам)	Высокий
Необычный характер электронных переводов денежных средств	Высокий
"Смурфинг" (операции с незначительными суммами денежных средств, не превышающими пороговую величину, свыше которой операции подпадают под обязательный контроль)	Высокий
Внезапная активность клиента	Высокий
Иные необычные/подозрительные операции	Высокий

Приложение Е: Пример оценки присущего риска в зависимости от рисков, связанных с каналами реализации продуктов и услуг

Риски, связанные с каналами реализации продуктов и услуг	Оценка риска
Открытие счета
- По ходатайству (по предварительной договоренности)	Низкий
- Спонтанно по инициативе клиента (включая случаи, когда клиент обращается в финансовую организацию без предварительной записи/договоренности)	Высокий
Обслуживание счета
- В присутствии клиента	Низкий
- Только дистанционно* (в том числе посредством почты, телефонной связи, текстовых сообщений, видеосвязи и информационно-телекоммуникационной сети "Интернет")	Умеренный*/ Высокий
- Только дистанционно через посредников, включая гейткиперов	Умеренный

*В том случае, если клиент известен финансовой организации, но осуществляет свою деятельность в дистанционном режиме.

Приложение F: Пример оценки присущего риска в зависимости от рисков, связанных с особенностями географического "присутствия"/ страновых рисков

Риски, связанные с особенностями географического "присутствия"/страновые риски	Оценка риска
Местонахождение подразделений банка/финансовой организации
- Страны наиболее высокого риска	Наиболее высокий
- Страны высокого риска	Высокий
Страны умеренного риска	Умеренный
- Страны низкого риска	Низкий
Местонахождение клиента
- Страны наиболее высокого риска	Наиболее высокий
- Страны высокого риска	Высокий
- Страны умеренного риска	Умеренный
- Страны низкого риска	Низкий

* Примечание: в вышеприведенном примере используется четырехступенчатая шкала оценки, которая может быть изменена по выбору финансовой организации.

Приложение G: Пример оценки присущего риска в зависимости от иных качественных факторов риска ОД

Иные качественные факторы риска ОД	Оценка риска
Стабильность клиентской базы	Низкий/Умеренный/Высокий
Интегрированность ИТ-систем	Низкий/Умеренный/Высокий
Ожидаемый рост количества счетов/клиентской базы	Низкий/Умеренный/Высокий
Ожидаемый рост доходов	Низкий/Умеренный/Высокий
Последние данные о движении рабочей силы в подразделении, ответственном за соблюдение законодательства в сфере ПОД	Низкий/Умеренный/Высокий
Доверие услугам третьих лиц	Низкий/Умеренный/Высокий
Недавно состоявшееся/планируемое внедрение новых продуктов и/или услуг	Низкий/Умеренный/Высокий
Недавно состоявшиеся/планируемые сделки поглощения	Низкий/Умеренный/Высокий
Недавно реализованные социальные проекты и инициативы в области соблюдения законодательства в сфере ПОД (например, устранение выявленных недостатков, устранение недоработок, перевод деятельности в оффшорную зону	Низкий/Умеренный/Высокий
Актуальные результаты внутреннего аудита или прочие существенные сведения	Низкий/Умеренный/Высокий

Приложение Н: Пример стандартной оценки присущего риска (для ключевых направлений деятельности банка/финансовой организации)

Стандартная оценка присущего риска
Вид финансовой организации/подразделения/ направления деятельности	Оценка присущего риска ОД (трехступенчатая)
Управление активами	От низкого до умеренного
Брокерские услуги	От умеренного до высокого
Банковское обслуживание коммерческих организаций	От умеренного до высокого
Международные банковские корреспондентские отношения	Высокий
Выпуск и обслуживание кредитных и иных банковских карт	От низкого до умеренного
Инвестиционная банковская деятельность	От низкого до умеренного
Банковское обслуживание физических лиц	От умеренного до высокого
Управление активами состоятельных клиентов/ индивидуальное банковское обслуживание состоятельных клиентов	От умеренного до высокого

Приложение I: Примеры присвоения факторам весовых коэффициентов

Примеры присвоения весовых коэффициентов факторам присущего риска

Примеры присвоения весовых коэффициентов факторам присущего риска
Фактор присущего риска	Весовой коэффициент
Каналы реализации продуктов и услуг	5-10%
Типы клиентов	25-35%
Страна/географическое "присутствие"	20-30%
Продукты и услуги	20-30%
Иные качественные факторы риска	10-15%

Примеры присвоения весовых коэффициентов факторам эффективности инструментов контроля

Примеры присвоения весовых коэффициентов факторам эффективности инструментов контроля
Инструмент контроля	Весовой коэффициент
"Знай своего клиента" (включая все требования)	20-30%
Мониторинг и контроль	20-30%
Принципы и процедуры	10-15%
Иные оценки рисков	10-15%
Корпоративное управление в сфере ПОД, управленческий надзор и подотчетность	5-10%
Управленческая информация и отчетность	5-10%
Хранение данных и соблюдение сроков хранения	5-10%
Уполномоченный сотрудник/подразделение, ответственное за соблюдение законодательства о ПОД	5-10%
Выявление подозрительных операций и направление сообщений о подозрительных операциях	5-10%
Обучение	5-10%
Независимое тестирование и надзор	5-10%
Иные инструменты контроля	5-10%

Приложение J: Пример расчета остаточного риска

Трехступенчатый подход к оценке остаточного риска

Пример расчета остаточного риска
Присущий риск	Эффективность инструмента контроля	Остаточный риск
Низкий	90-100%	Низкий
	89-80%	Умеренный
	<80%	Высокий
Умеренный	90-100%	Низкий
	89-80%	Умеренный
	<80%	Высокий
Высокий	90-100%	Низкий
	89-80%	Умеренный
	<80%	Высокий

Пятиступенчатый подход к оценке остаточного риска

Пример расчета остаточного риска
Присущий риск	Эффективность инструмента контроля	Остаточный риск
Низкий	95-100%	Низкий
	90-94%	От низкого до умеренного
	85-89%	Умеренный
	80-84%	От умеренного до высокого
	<80%	Высокий
Умеренный	95-100%	Низкий
	90-94%	От низкого до умеренного
	85-89%	Умеренный
	80-84%	От умеренного до высокого
	<80%	Высокий
Высокий	95-100%	Низкий
	90-94%	От низкого до умеренного
	85-89%	Умеренный
	80-84%	От умеренного до высокого
	<80%	Высокий

*(1) Вольфсбергская группа состоит из следующих финансовых организаций: Banco Santander, Bank of America, Bank of Tokyo-Mitsubishi-UFJ Ltd, Barclays, Citigroup, Credit Suisse, Deutsche Bank, Goldman Sachs, HSBC, JPMorgan Chase, Societe Generale, Standard Chartered и UBS. В подготовке настоящего документа также приняли участие American Express, Lloyds и RBS.

*(2) http://www.bis.org/publ/bcbs275.pdf

*(3) https://www.ffiec.gov/bsa_aml_infobase/documents/BSA_AML_Man_2014.pdf

*(4) http://www.jmlsg.org.uk/industry-guidance/article/jmlsg-guidance-current

*(5) Оценка рисков с использованием клиентской базы является широко распространенной практикой большинства финансовых организаций. Тем не менее, некоторые финансовые организации могут осуществлять оценку рисков, обращая основное внимание на счета/операции. Выбранный финансовой организацией подход должен быть тщательно задокументирован и сопровождаться соответствующим обоснованием.

*(6) 1-я и 2-я линии защиты упоминаются в контексте классического механизма "трех линий защиты", в рамках которого операционная деятельность организации выполняет функцию 1-й линии, деятельность по соблюдению законодательства в сфере ПОД и прочие функции внутреннего контроля - 2-й линии, а аудит - 3-й линии.

*(7) С учетом минимальных регулятивных требований.

<< Назад		Приложение >> N 2. Руководство по Программе обеспечения соответствия требованиям законодательства по противодействию взяточничеству и коррупции
	Содержание Информационное письмо Банка России от 27 декабря 2017 г. N ИН-014-12/64 "О вопросах применения риск-ориентированного...

Приложение N 1. Актуальные вопросы оценки рисков отмывания денег, применения санкций, взяточничества и коррупции

ГАРАНТ:

Вы можете открыть актуальную версию документа прямо сейчас.