Автор: А.Г. Терехова, заместитель генерального директора по внутреннему аудиту.
Группа «КапиталЪ Управление активами»
Комплаенс формирует фундамент контроля любой организации, всегда функционирующей по тем или иным правилам. В этом смысле он рассматривается как обязательная составляющая системы управления, одной из важнейших частей которой является система внутреннего контроля. В статье раскрываются новые явления банковской практики, связанные с оптимизацией подходов комплаенс-контролеров в целях построения более эффективной системы внутреннего контроля в финансовых организациях.
Что такое комплаенс как система?
Комплаенс-система - это комплекс встроенных в бизнес-процессы компании видов контроля в разрезе людей, технических средств и документов, установленных для соблюдения внешних и внутренних нормативов и требований. Комплаенс вне зависимости от отношения к нему собственников и топ-менеджеров компании никогда не бывает нулевым. При создании любого предприятия формируются учредительные документы. Появляются первые правила игры. Начало комплаенсу положено. Далее, по мере усложнения бизнес-процессов, встраивать комплаенс-контроль и механизмы мониторинга его эффективности в «организм» бизнеса оказывается все проблематичнее. Соблюдение многих требований полностью или частично откладывается на потом.
Наступает момент, когда становится очевидным, что стихийным образом складывающаяся практика ведения дел, достигая одних целей, не всегда способна достичь других, не менее важных для организации. Разросшиеся технологические процессы, расширившийся персонал, диверсификация продуктового ряда требуют наличия сложной системы управления, подразумевающей нелинейные подходы в части соблюдения определенных извне и внутри правил игры.
Можно добиться хороших финансовых показателей, однако один росчерк пера внешнего контролера, будь то Банк России, ФСФР и далее по списку, - и компания выплачивает огромные штрафы, пени и т.д. Более того, по принципу домино реализация одних рисков порождает реализацию других. С одной стороны, из-за информации о неприятностях у компании могут возникнуть репутационные риски, которые в свою очередь породят риски, связанные с потерей доли на рынке. Далее, как следствие, - фактическое уменьшение удельного веса присутствия компании в своем секторе экономики/бизнеса, чреватое репутационными рисками. И так по нарастающей.
С другой стороны, могут реализоваться юридические риски, например, если рассматриваемая компания - кредитозаемщик. Гражданский кодекс предусматривает право кредитора потребовать досрочного погашения долга, если возникли обстоятельства, которые ухудшают платежеспособность должника. При наличии существенных финансовых требований со стороны регуляторов и (или) других контролирующих органов на фоне реализации репутационных рисков платежеспособность компании в большинстве случаев ухудшается.
Таким образом, в какой-то момент и собственникам, и топ-менеджерам становится понятно, что правила на то и правила, чтобы их соблюдать, тем более что за некоторые нарушения предусмотрена в том числе и персональная ответственность. При этом бизнес не должен остановиться или даже сбавить обороты только потому, что вышла новая инструкция, политика, приказ. Следовательно, нужен кто-то, несущий ответственность за то, чтобы с момента появления нового правила, требования, указания до момента его отмены, замены, трансформации в процессы была вплетена технология, позволяющая бизнесу существовать и развиваться и при этом соблюдать установленные правила игры. В западной практике за это ответственен комплаенс-менеджер, занимающий позицию не ниже заместителя руководителя организации, как правило, с функциональным подчинением совету директоров. В отдельных случаях создается целое комплаенс-подразделение, курируемое комплаенс-менеджером.
Жизненный цикл требования
Скептики, конечно, возразят, критически заявляя, что новое внутреннее или внешнее требование и само впишется в производственный процесс. Ведь руководители соответствующих подразделений вовремя засуетятся, дадут указания своим подчиненным, те разработают план действий в разрезе документов, технических средств и исполнителей. Далее будет запущен привычный механизм согласования данного плана и его реализации. Зачем тогда еще один заместитель руководителя, тем более не имеющий, с первого взгляда, никакого отношения к реальному бизнесу? В том-то и дело, что так может показаться только с первого взгляда. Рассмотрим все по порядку.
В микроэкономике имеется понятие жизненного цикла товара или услуги. Почему бы нам его не позаимствовать в области комплаенса? Итак, представим, что жизненный цикл внешнего или внутреннего требования проходит некую цепочку:
1) появление (на этапе обсуждения проекта документа, в котором содержится данное требование);
2) утверждение (документ принят, но не вступил в силу);
3) вступление в силу и период действия документа (с момента вступления в силу до наступления событий, указанных в п. 4–5);
4) трансформация (изменение первоначальных параметров требования1);
5) отмена требования в связи:
- с появлением/утверждением/вступлением в силу нового требования;
- трансформацией другого требования, которое отменяет применение рассматриваемого нами требования2;
- ненадобностью его дальнейшего исполнения3.
Данная система представления жизненного цикла любого отдельно взятого требования имеет условный характер, без претензий на академическую точность для научного сообщества. Однако нам она вполне подойдет для того, чтобы лучше понять, что такое комплаенс как система
Функции комплаенс-менеджера
В разрезе комплаенс-системы в части соблюдения всех требований финансовой организации именно на комплаенс-менеджера возложена обязанность гармоничного встраивания в бизнес-процессы компании комплекса мероприятий по аналогии с теми, которые были рассмотрены в таблице. Более того, хороший комплаенс-менеджер способствует созданию добавочной стоимости для организации, например обеспечив конкурентные преимущества посредством реализации эффективной комплаенс-функции раньше конкурирующих организаций (подробнее см. графу «Примечание» к п. 2 таблицы).
Комплаенс-менеджер - куратор комплаенс-функции финансовой организации должен обладать незаурядным набором знаний, навыков и умений. Комплаенс-менеджер, как правило, отвечает за организацию процесса, а также может принять личное участие в создании локальной документальной базы в качестве как методолога, так и автора/соавтора. Комплаенс-менеджер сам или совместно с кадровой службой обычно курирует вопросы обучения персонала, если это требуется в связи с вступлением в силу нового требования. Именно он, будучи независимым от выполнения других производственных функций, может подтвердить обоснованность того или иного бюджета, если возникает необходимость финансирования плана мероприятий по внедрению в бизнес-процессы процедур исполнения нового требования. На практике это касается расходов на закупку/доработку программного обеспечения и (или) специального оборудования, обучение персонала и т.д.
Комплаенс-менеджер должен уметь налаживать деловые отношения не только с бизнес-подразделениями, но также с другими контрольными подразделениями. В первую очередь это касается внутренних аудиторов, рисковиков, службы безопасности и т.д. При хорошо налаженном взаимодействии комплаенс-менеджера и всех перечисленных ранее и других аналогичных служб возможно получение синергетического эффекта на благо общего дела финансовой организации.
Суть комплаенс-системы
Подчеркнем, что описанные ранее и любые другие мероприятия по реализации комплаенс-требований в рамках комплаенс-системы, независимо от их полноты и приложенных усилий при реализации, не могут гарантировать достижения 100%-но работающего комплаенса. Так все устроено в реальной бизнес-практике, что нельзя бросить в чью-либо сторону камень, так как каждый хоть в чем-то тоже «некомплаенс». Если глубоко посмотреть на суть вещей, первый некомплаенс произошел с нашими прародителями, которые, проигнорировав единственное установленное на тот момент правило, сорвали яблоко с древа познания. Это, конечно, лирическое отступление, однако оно позволяет поставить точку в череде размышлений в первой части нашей статьи и подвести предварительные итоги:
1) комплаенс-система - это часть системы внутреннего контроля и системы управления организации;
2) любое требование имеет свой жизненный цикл, на каждом этапе которого возникают разные зоны ответственности за комплаенс-функцию, реализуются разные виды комплаенс-контроля (предварительный, текущий и последующий контроль), достигаются разные цели и задачи;
3) комплаенс-система - это совокупность встроенных в бизнес-процессы компании видов контроля в разрезе людей, технических средств и документов в целях соблюдения внешних и внутренних требований;
4) уровень комплаенса любой организации всегда превышает нулевой уровень и никогда не достигает 100%-ной отметки.
Как органично вписать оптимальную комплаенс-систему в структуру организации
Как уже говорилось выше, комплаенс в той или иной степени изначально присутствует в каждой организации. Краеугольным камнем и камнем преткновения в построении комплаенс-системы становится ответ на вопрос: «Как гармонизировать для блага общего дела подходы руководителей бизнеса, совета директоров, с одной стороны, и комплаенс-менеджера, других сотрудников, реализующих комплаенс-функцию, - с другой?» Забегая вперед, оговоримся, что это является также одной из плоскостей синергирующего эффекта хорошо налаженной комплаенс-функции. Вопрос - архисложный. Однако попытаемся обозначить некоторые подходы.
Для того чтобы говорить с бизнесом на одном языке, сначала необходимо понять, каковы его основные цели и задачи. Например, создается новый продукт или услуга. Какую цель в первую очередь преследуют создающее его подразделение и возглавляющее данный процесс ответственное лицо? Скорее всего, такой базовой целью будет достижение эффективности и результативности в разрезе деятельности этого конкретного бизнес-подразделения или - в более весомых масштабах - функционирования данной организации (цель № 1). Другими словами, создавая новый продукт или услугу, мы рассчитываем на получение прибыли и (или) другой выгоды для организации в виде конкурентных преимуществ и т.д.
Какие же цели возникают при создании нового продукта или услуги в разрезе комплаенс-функции? Основная цель - соблюдение всех правил игры при реализации новинки (цель № 2). Одновременно могут быть достигнуты также еще две цели:
- обеспечение достоверности отчетности организации (цель № 3);
- неучастие организации и ее сотрудников в противоправной деятельности (цель № 4).
Таким образом, выкристаллизовались четыре основополагающие цели. Имеется ли общая платформа, объединяющая их все?
Обратимся к точке зрения регулятора кредитных организаций, которую в рамках лучшей практики можно транслировать и на другие финансовые институты.
Согласно п. 1.2 Положения от 16.12.2003 № 242-П «Об организации внутреннего контроля в кредитных организациях и банковских группах» (далее - Положение № 242-П)), «…внутренний контроль осуществляется в целях обеспечения:
1.2.1. Эффективности и результативности финансово-хозяйственной деятельности...
1.2.2. Достоверности, полноты, объективности и своевременности составления и представления финансовой, бухгалтерской, статистической и иной отчетности (для внешних и внутренних пользователей), а также информационной безопасности...
1.2.3. Соблюдения нормативных правовых актов, стандартов саморегулируемых организаций (для профессиональных участников рынка ценных бумаг), учредительных и внутренних документов кредитной организации.
1.2.4. Исключения вовлечения кредитной организации и участия ее служащих в осуществлении противоправной деятельности...».
Все четыре ранее выделенные цели являются основополагающими для любой системы внутреннего контроля. Как уже упоминалось, комплаенс-система - это часть системы внутреннего контроля. Это означает, что комплаенс-система является одной из составляющих частей системы управления организации. Получается, что нельзя запустить новый продукт, услугу, ориентируя бизнес-процессы только на достижение эффективности и результативности. Система управления будет хромать в случае отсутствия механизмов контроля в части соблюдения установленных правил игры. Если нет механизма обеспечения обратной связи, как можно рассчитывать на запланированный результат?
Как уже отмечалось, реализация комплаенс-функции требует комплексного подхода. Однако внесистемные попытки встраивания комплаенс-контроля могут навредить бизнесу в целом, и в том числе в достижении эффективности и результативности. Иными словами, отсутствие системного подхода в части комплаенса может нанести большие финансовые потери бизнесу, чем плановые затраты на саму систему комплаенса. В качестве примера можно назвать задержку запуска нового продукта или приостановку его продаж по причине неготовности программного обеспечения поддерживать новые необходимые требования касательно данного продукта в момент вступления в силу соответствующего нормативного документа. Вынужденный простой может обернуться потерей времени, сопряженной с утратой актуальности ввиду насыщения рынка аналогичными продуктами, предлагаемыми конкурентами.
Чтобы не быть голословными, можем попытаться просчитать цену комплаенса при осуществлении/реализации отдельно взятой услуги/продукта. Для этого вернемся к четырем ранее намеченным целям. Какова себестоимость реализации каждой из них?
Сокращенно цели (п. 1.2 Положения № 242-П) можно представить в следующем виде:
1) достижение эффективности и результативности финансово-хозяйственной деятельности (п. 1.2.1);
2) достижение достоверности отчетности (п. 1.2.2);
3) соблюдение всех внешних/внутренних правил игры (п. 1.2.3);
4) исключение вовлечения организации и участия ее служащих в осуществлении противоправной деятельности (п. 1.2.4).
Просчитывая цену контроля, важно помнить золотое правило: цена контроля не должна превышать потери от отсутствия данного контроля.
Таким образом, определяя границы затрат на контроль в части реализации отдельно взятого продукта, мы должны определиться с несколькими моментами:
1) все, что мешает реализации данного продукта по заранее оговоренным условиям (например, согласно технологии создания и реализации данного продукта), является для нас рисками. Иными словами, риск для нас все, что мешает достигнуть намеченной цели;
2) какие совокупные риски характерны при реализации данного продукта при отсутствии контрольных механизмов? В западной практике применяется термин «присущие риски»;
3) каковы минимальные/максимальные границы прямых и косвенных потерь (например, в виде штрафных санкций, пеней, репутационных рисков и т.д.) в случае отсутствия комплаенс-контроля? Назовем это ценой некомплаенса;
4) каков максимальный уровень допустимых потерь при реализации данного продукта? В западной практике применяется термин «риск-аппетиты».
Предложенные параметры основаны на подходах, отраженных в документах СОSO и Института внутренних аудиторов. В какой-то степени данные параметры обозначены в п. 1.2.1 Положения № 242-П, где под управлением банковскими рисками понимается в том числе следующее: «…выявление, измерение и определение приемлемого уровня банковских рисков (“риск-аппетиты”), присущих банковской деятельности типичных возможностей понесения кредитной организацией потерь и (или) ухудшения ликвидности вследствие наступления связанных с внутренними и (или) внешними факторами деятельности кредитной организации неблагоприятных событий (“присущие риски”)».
Краеугольным камнем при расчете комплаенс-цены являются границы риск-аппетитов. От того, какие максимальные потери готова понести организация при реализации рассматриваемого продукта, зависит обоснованность затрат на контроль. Здесь существует обратная связь: чем выше риск-аппетиты, тем меньше требуется затрат на контроль, и наоборот. Цена некомплаенса прямо влияет на цену контроля: чем серьезнее последствия некомплаенса, тем более обоснованы расходы на контроль.
1 - Может не возникнуть. Периоду трансформации требования могут предшествовать периоды, указанные в п. 1–2.
2 - Ранее существовавшего требования наряду с рассматриваемым нами требованием.
3 - Например, из-за его отмены регулятором или самой организацией.
