Что не является источником регуляторного комплаенс риска
Регуляторный комплаенс: что это и где применяется?
Как это работает?
То есть регуляторные риски носят внешний характер. Они могут быть связаны с нарушением конкуренции, коррупционной составляющей, оптимизацией налогообложения, наложением санкций и т. д.
Некоторые эксперты считают синонимами регуляторные и комплаенс-риски. Однозначного мнения на этот счет нет. Иногда комплаенс-риски выделяют отдельно как риски, связанные с несоответствием деятельности фирмы только ее внутренним процедурам, положениям, актам и иному локальному регулированию. Трудности терминологии объясняются тем, что пока в законодательстве до сих пор отсутствует четкое определение регуляторного и комплаенс-риска.
Для управления регуляторными рисками должен быть назначен ответственный сотрудник (комплаенс-офицер) или сформирован целый комплаенс-департамент, если компания достаточно масштабная. Специалист по комплаенсу должен быть непредвзятым, независимым должностным лицом (важно исключить возможность конфликта интересов), подчиняющимся напрямую руководителю организации или совету директоров.
Сфера применения регуляторного комплаенса
Изначально было введено понятие правового риска, которым стали руководствоваться организации финансового сектора. Банк России сформулировал определение правового риска в письме от 30.06.2005 г. № 92-Т «Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах». Но правовые риски возникают не только у финансовых организаций. Компаниям нефинансового сектора тоже следует учитывать правовые риски, если они хотят сделать свой бизнес эффективным.
Регуляторные риски являются отдельной группой правовых рисков. Они связаны с изменением законодательства, недостаточным или противоречивым регулированием той или иной отрасли.
В борьбе с любыми регуляторными нарушениями существуют следующие способы контроля:
Помимо самого процесса выявления и контроля риска необходимы процедуры «настройки» системы контроля на изменения его признаков. В условиях общей размытости определения регуляторного риска можно рекомендовать комплаенс-службе:
Также организация может уменьшить вероятность наступления регуляторных рисков и минимизировать последствия их возможного наступления, вступив в профессиональные объединения. Это поможет не только лоббировать через них свои интересы, но и держать руку на пульсе ключевых тенденций и изменения правового поля, составляя прогноз воздействия нововведений на деятельность собственной компании.
Основные комплаенс-риски и способы их минимизации
Комплаенс-риски – это риски появления у компании финансовых или репутационных убытков, возникающих в результате непреднамеренных или умышленных нарушений законодательства РФ, регламента внутренних документов и стандартов предприятия, этических деловых норм, касающихся ведения бизнес-деятельности.
Данные нарушения могут быть осуществлены как самой организацией, так и ее отдельными сотрудниками. В ответ на них контрольно-надзорные органы могут выписать штрафы, или компания может попасть под санкции.
Виды комплаенс-рисков
Комплаенс-риски можно систематизировать и по другим группам:
Управление рисками по системе комплаенс
Эта юридическая процедура должна проводиться регулярно. Самая большая опасность заключается в анализе рисков «сквозь пальцы», пропуске слабых мест деятельности и ошибках при их выявлении. По факту отсутствие детального разбора того или иного бизнес-процесса означает принятие рисков и бездействие в плане борьбы с ними.
Цикл управления комплаенс-рисками состоит из 4 этапов:
Последствия от выявленных комплаенс-рисков можно классифицировать по их негативному влиянию на деятельность предприятия:
Уровень
опасности
Размер риска по величине убытков
Возможные последствия
Предупреждение, дисциплинарный выговор, нарушение бизнес-процессов, предъявление требований об устранении нарушений
Возмещение ущерба, компенсация потерь (гражданская ответственность), утрата лояльности контрагентов (скидок, льготных условий), претензии со стороны покупателей и клиентов, повышенное внимание со стороны КНО, приостановление операций вследствие изъятия активов
Увеличение расходов, убытки, падение спроса, потеря рынков сбыта
Административные штрафы, влияние на репутацию, арест имущества и расчетного счета, возбуждение судебных дел, уголовные расследования
Отзыв лицензии, исключение из саморегулируемой организации, приостановление права вести бизнес
Борьба с рисками с помощью комплаенс
Для того, чтобы обеспечить превентивную защиту бизнеса и его персон от различных рисков, компании следует внедрить систему комплаенс-контроля. Этот процесс включает в себя целый комплекс мер:
Только совокупный подход и регулярный комплаенс-анализ деятельности смогут предостеречь компанию от негативных последствий возникших рисков. А проблему проще предотвратить, чем устранить. Поэтому позаботьтесь о защите бизнеса заранее.
Раскрываем карты: как работает комплаенс в банке
Что такое комплаенс? Почему банки создают специальное комплаенс-подразделение, и как оно работает? Ответы на эти вопросы читайте в нашем материале.
Что такое комплаенс
В переводе с англ. compliance — это соблюдение, согласие. О чем идет речь?
Любой бизнес должен функционировать в рамках норм и правил, которые установлены:
Нарушение требований может привести к санкциям со стороны контролирующих органов, ограничению или полной остановке деятельности и серьезным финансовым потерям.
Чтобы защитить свои активы, поддерживать репутацию в глазах партнеров, инвесторов, клиентов, сотрудников и контролирующих органов, компания может внедрить у себя комплаенс-функцию. Организовать ее можно как в виде создания отдельного подразделения, так и путем наделения полномочиями отдельных сотрудников.
Специалисты по комплаенсу обязаны отслеживать комплаенс-риски для бизнеса и вырабатывать рекомендации для принятия руководством компании мер по их устранению.
Зачем комплаенс нужен банку
Если владельцы обычных компаний могут сами решать, нужны или не нужны им служба или специалисты комплаенса, то банковское законодательство обязывает банки создать систему управления регуляторным (комплаенс) риском.
Комплаенс в банковских структурах нацелен на соблюдение законных интересов клиентов, партнеров, собственников и личного персонала, установленных антикоррупционных требований и строго следит за соблюдением прав данных сторон.
Специалисты комплаенс-подразделения участвуют в рассмотрении обращений и жалоб клиентов. Комплаенс-культура обязывает каждого сотрудника банка соблюдать нормы деловой этики и профессионального поведения. Крайне важен принцип справедливого и равного отношения к клиентам.
Кроме того, комплаенс-подразделение банка ведет профилактическую работу с клиентами, чтобы не допустить нарушения ими законодательства. Предупреждает о возможных ограничительных мерах, а при наличии проблем — подсказывает, как действовать в рамках установленных норм и требований.
Немного о банковском законодательстве
Каждый банк обязан подчиняться установленным правовым нормам, например:
Так как нелегальные операции часто носят трансграничный характер, то борьба с ними идет на международном уровне. С этой целью помимо российских разработаны международные стандарты в сфере противодействия отмыванию денег, финансированию терроризма (ПОД/ФТ).
Разработкой этих стандартов и контролем за их исполнением всеми странами мира занимается специальная организация — Группа разработки финансовых мер борьбы с отмыванием денег (FATF). Центробанк активно взаимодействует с FATF в сфере ПОД/ФТ.
Мониторинг клиентов проводится банками в соответствии с Методическими рекомендациями Банка России, в частности:
Уже к концу 2021 года на базе Банка России планируется запустить информационную платформу «Знай своего клиента». С ее помощью комплаенс- подразделения получат доступ к сведениям о рисках, связанных с каждым клиентом, а также о его контрагентах. Законопроект (№ 1116371-7) находится на рассмотрении в Госдуме.
Что грозит банку за нарушение законодательства
При несоблюдении требований законодательства или умышленному их нарушению банку могут выставить внушительные штрафы или лишить лицензии.
Штрафы могут быть наложены не только на сам банк, но и на его сотрудников, которые несут ответственность за соблюдение процедур внутреннего контроля.
Как комплаенс-подразделение проверяет клиентов
Для начала банк проверяет каждого нового клиента еще на этапе открытия расчетного счета. Ведь до того, как заключить договор, банк должен убедиться, что организация реально существует, клиент не мошенник и открыл предприятие для ведения бизнеса, а не для незаконного вывода денег.
Подробно о причинах, по которым потенциальному клиенту откажут в заключении договора и способах решения этой проблемы, мы рассказывали в этой статье: Когда банк может отказать в открытии счета.
На протяжении всего периода сотрудничества между банком и клиентом служба комплаенса тщательно отслеживает все его финансовые операции.
В частности подозрение могут вызвать:
Особое внимание уделяется контролю за международными платежами.
О том, как вести внешнеэкономическую деятельность в рамках установленных требований мы рассказывали в статье: Какие документы нужно предъявить банку для успешного прохождения валютного контроля.
Если какие-то операции клиента вызвали подозрение, комплаенс-контроль запрашивает документы о происхождении денег и экономическом смысле сомнительных операций. В качестве меры пресечения незаконной деятельности служба может приостановить банковское обслуживание по счету.
Если же необходимые документы представлены в срок, доходы легальны, а расходы понятны и объяснимы, то доступ к счетам восстанавливается.
О том, как правильно переводить деньги физлицам, чтобы не навлечь на свою компанию неприятности, мы рассказывали в статье: Как вести расчеты с физическими лицами, чтобы банк не заблокировал счет.
Важно помнить, что работа службы комплаенса строится на взаимодействии с клиентом. Если у специалистов возникли вопросы, они могут позвонить в офис компании, написать на электронную почту, направить запрос через интернет-банк. Такие обращения не стоит игнорировать.
Если сотрудник комплаенс-подразделения банка звонит клиенту, а он бросает трубку, не отвечает на запросы, значит, ему есть что скрывать. В таком случае банк вправе отказать клиенту в обслуживании.
Не менее важно своевременно сообщать в банк об изменениях, которые происходят с бизнесом. Например: переезд на новый адрес, смена руководителя или учредителя, изменение контактных данных. Постоянное нахождение клиента на связи с банком — залог успешного сотрудничества на долгие годы.
Современная практика управления в банках регуляторными и правовыми рисками
Анонс
Выдаваемый документ:
Сертификат установленного образца
Действующие акции:
1. СКИДКА 10% при записи двух и более участников
2. СКИДКА 10% для всех участников организаций использующих электронный документооборот (СБИС, ДИАДОК)
Содержание мероприятия
Управление комплаенс рисками:
— Классификация и виды комплаенс рисков (или регуляторных рисков в соответствии с определением Положения Банка России №242-П). Методы управления комплаенс (регуляторными) рисками. Формат Положения об управлении регуляторными рисками: инструменты и организационная структура управлении регуляторными рисками.
— Понятие комплаенс инцидента (события регуляторного риска). Порядок расследований комплаенс инцидентов. База данных о комплаенс инцидентах (событиях регуляторного риска), порядок ведения такой базы. Общность и различие с базой данных о событиях операционных рисков и правовых рисков.
— Рекомендации по составу и содержанию внутренних документов банка о функционировании системы и службы внутреннего контроля, в связи с изменениями, внесенными в 242-П.
Управление правовыми рисками:
— Основные определения и понятия с учетом выделения из системы правовых рисков комплаенс (регуляторных) рисков.
— Анализ источников (факторов) правого риска. Внешние и внутренние факторы.
— Понятие событие правого риска, типы последствий и потерь. Цели системы управления правовыми рисками. Письмо Банка России №92-Т, Указание Банка России №3624-У в сочетании с требованиями Положения Банка России № 242-П.
— Основные принципы и методы управления правовым риском, методы выявления, оценки, определения приемлемого уровня правового риска.
— Организационная структура системы управления правовыми рисками. Место в ней Службы внутреннего контроля.
Управление опер. рисками в банке (2)
Если Вы уже прочитали перевод первой части книги и поняли, что такое операционный риск, позвольте Вас запутать. Операционный риск может стоять за спиной у многих иных видов банковских рисков. Думали, что реализован кредитный риск? А нет, этот операционный. Предполагали, что вот тот риск нужно учитывать, как стратегический? Ну, нет же, этот тоже операционный! Разобраться в хитросплетении рисковых ситуаций и отличить один вид событий от другого поможет вторая глава книги итальянских авторов, перевод которой находится под ссылкой.
2.3. Основное сходство и различие между операционным риском и другими категориями риска.
Одна из основных характеристик операционного риска — это наличие операционного риска «за спиной» множества потерь, которые могут быть приписаны к другим видам риска, в связи с чем возникает проблема разделения операционных потерь от потерь по другим видам риска. Соответственно, пруденциальное регулирование описывает некоторые детали предотвращения завышенных оценок, двойного учета или ненадлежащего снижения требований к капиталу на покрытие рисков. Определение границы между операционным риском и другими рисками было определено отраслью как фундаментальная проблема постоянного сбора и моделирования данных об операционных потерях. В следующих разделах будут рассмотрены сходство и различие между операционным риском и кредитным риском, рыночным риском, стратегическим риском, репутационным риском и комплаенс-риском.
2.3.1 Операционный риск и кредитный риск.
Под термином «кросс-кредитный риск» мы подразумеваем те события, причиной которым послужила реализация события операционного риска, но которые в силу своей экономической сущности относятся к данным, учитываемым при расчете капитала на покрытие кредитного риска. Аналогично, под термином «потери на границе кредитного риска» мы понимаем возникшие в результате реализации операционного риска убытки по кредитам, такие как потери в результате ошибок или мошенничества в процессе выдачи и сопровождения кредита[1].
Обилие информации, собираемой по случаям «кросс-кредитного риска», затрудняет определение требуемого потока информации и требует участия:
(i) структур, ответственных за мониторинг подверженности кредитному риску и его количественную оценку,
(ii) структур, отвечающих за контроль и управление операционными рисками,
чтобы обе стороны могли анализировать рисковые ситуации и определять любые необходимые меры по минимизации потерь. Также требуется определение наиболее подходящих структур для информирования о крупных событиях, четкого распределения обязанностей, а также определения сроков и процедур отчетности. Соответственно, лучше будет задействовать централизованную структуру, чем децентрализованную, в соответствии с полномочиями первой в области контроля над кредитным риском и оздоровлением проблемных областей. Ниже приведены некоторые примеры пересечений между операционным риском и кредитным риском:
• Внутреннее мошенничество: изменение сотрудником данных, представленных заемщиком в целях оценки кредитоспособности (например, изменение параметров оценки, таких как личные данные или данные о залоге, а также оставление без внимания негативных событий, связанным с заемщиком); предоставление кредитов фиктивным клиентам; неправомерное реализация залога; мошенничество при идентификации личности заемщика;
• Внешнее мошенничество: представление недостоверных персональных данных или фиктивных данных о финансовом состоянии получателя кредита; фальсификация оценок внешнего оценщика относительно залога; представление счетов / счетов-фактур, касающихся фиктивных или уже погашенных кредитов;
• Клиенты, продукты и бизнес-практика: небрежное или халатное управление кредитами в нарушение внутренних правил или соответствующего законодательства;
• Управление исполнением, доставкой и процессами: невозможность взыскания задолженности из-за потери кредитной документации; задержка в погашении кредита; халатность в оценке кредитоспособности клиента; халатность при мониторинге кредита; неполное или неправильное управление дополнениями к договору; халатность при сборе, управлении и сохранении залога (например, недостатки в управлении залогом из-за ошибок при подготовке соответствующей документации: недействительные положения, неоднозначные условия и т. д.).
В настоящее время для учреждений, использующих AMA-подход (усовершенствованный подход, согласно Базель), убытки от операционного риска, связанные с кредитным риском, исторически включаемые во внутренние базы кредитного риска, должны регистрироваться в базах данных операционного риска и идентифицироваться отдельно. Такие убытки не подлежат учету в капитале на покрытие операционного риска при условии, что учреждения продолжают учитывать их в капитале на покрытие кредитного риска. В частности, в ЕВА[2] (2015) конкретно упоминаются два вида операционного риска, связанные с кредитным риском: мошенничество «от первого лица» и «от третьего лица» (статья 30 (1)). Мошенничество от первого лица происходит на начальном этапе жизненного цикла кредитного продукта или кредитного процесса и совершается клиентом с использованием его собственного лицевого счета (например, побуждение к принятию решений о выдаче кредита на основе поддельных или недостоверных финансовых документов, таких как несуществующее или оцененное по завышенной стоимости обеспечение и поддельные справки о заработной плате). Напротив мошенничество от третьего лица, которое всегда происходит в рамках кредитного продукта или кредитного процесса, совершается третьей стороной, которая действует незаконно, используя учетные данные другого (не подозревающего) лица (например, мошенничество с использованием электронных данных, фишинг и использование данных других клиентов или фиктивных идентификационных данных в заявке на кредит; мошенническое использование кредитных карт клиентов третьими лицами).
2.3.2 Операционный риск и рыночный риск
Под термином события «кросс-рыночного» риска мы понимаем случаи, причиной которых послужил операционный риск (например, покупка / продажа финансовых инструментов по неверной стоимости), но которые не покрываются средствами контроля рыночного риска. Ниже приведены некоторые примеры пересечений между операционным риском и рыночным риском:
• Внутреннее мошенничество: закрытие операций трейдерами по нерыночным ценам / параметрам;
• Перерывы в бизнесе и сбои систем: частичная или полная недоступность систем доступа к рынку, препятствующая правильному исполнению операций;
• Управление исполнением, доставкой и процессами: ошибки во время исполнения заказов (например, покупка / продажа неверных ценных бумаг; совершение покупок, а не заказов на продажу, и наоборот; обработка заказов с ошибками в количестве финансовых инструментов или в валюте покупки); закрытие позиций из-за ошибок в процессе оценки (невозможность обновить цены или другие соответствующие параметры).
В 2010 году CEBS[3] рассмотрела вопрос «Операционный риск в сравнении с рыночным риском», определив некоторые критерии различия между этими двумя рисками (CEBS 2010). Соответственно, в рамки операционного риска должно входить:
• События из-за операционных ошибок (например, ошибки ввода или исполнения заказов, ошибки классификации из-за программного обеспечения, используемого фронт-офисом и центральным офисом, техническая недоступность рынка).
• События, вызванные сбоями в системе внутреннего контроля (сбои в работе контрольных процедур, превышение лимитов и т. д.).
• События, зависящие от неправильного выбора моделей вне четко определенных процессов и формализованных процедур (например, выбор модели без проверки ее пригодности для оценки финансового инструмента, и для текущих рыночных условий).
• События, возникающие из-за неправильной реализации моделей (например, ошибки во ИТ-внедрении выбранной модели).
Во всех вышеупомянутых случаях потери должны быть включены в «область потерь по операционному риску», если только позиция не намеренно остается открытой после признания события операционного риска. В этом последнем случае любая доля убытков из-за неблагоприятных рыночных условий, возникающих после решения о сохранении открытой позиции, должна быть отнесена к рыночному риску.
И наоборот, сфера действия операционного риска должна исключать те события, которые вызваны неправильным выбором модели, если такой выбор делается посредством формализованного корпоративного процесса, в котором тщательно изучаются плюсы и минусы модели.
В частности, для учреждений, использующих AMA-подход, EBA (2015) определяет «события операционного риска, связанные с финансовыми операциями, в том числе связанные с рыночным риском» (статья 6). Типы рисков, о которых сообщалось в CEBS (2010), как указано выше, в основном соответствуют положениям, изложенным в статье 6 EBA, где, однако, риск моделей не упоминается. Вместо этого модельный риск определен в Статье 5 EBA (2015): «События операционного риска, связанные с модельным риском». В этой статье также упоминаются утвержденные регулирующим органом внутренние модели: события, связанные с занижением требований к капиталу этими моделями, исключаются из «сферы операционного риска».
При использовании AMA-подхода в капитал на покрытие операционного риска также должны включаться потери операционного риска, связанные с рыночными рисками.
2.3.3 Операционный риск и стратегический риск.
Во избежание перекосов в банковской системе и штрафов, вытекающих из различий в расчете требований к капиталу на покрытие операционного риска, среди финансовых учреждений также должно быть четкое и общее определение событий и воздействий, рассматривающихся как операционные риски и как стратегические риски. Кроме того, полное понимание различий между управлением стратегическим и операционным риском – это ключ, позволяющий сотрудникам организации управлять риском и защищать организации от ущерба.
С одной стороны, текущий подход рассматривает как убытки от операционного риска те потери, которые были вызваны официальными расчетами или добровольным решением организации, желающей предотвратить любой будущий правовой риск. В сферу операционного риска также включаются события, возникающие из-за внутренних несоответствий и ошибок, и внешние события, возникающие при реализации проекта. С другой стороны, потери от реализации стратегического риска — это убытки, возникающие в результате неправильных или неуместных стратегических решений, не связанных с нарушением правил, норм или этического поведения, и не вызванные правовым риском (CEBS 2010).
Как описано в CEBS, объем операционного риска распространяется на следующие примеры (перечень не является завершенным):
• Агрессивные продажи, вытекающие из отдельных инициатив или из политики компании по достижению конкретных целей, с последующим нарушение законодательства, внутренних правил или этического поведения;
• толкование нормативных актов, противоречащее отраслевой практике;
• Возврат средств клиентам в результате событий операционного риска, до того, как клиенты подадут жалобу, но, после того, как организация уже была обязана возместить другим клиентам убытки за то же событие;
• Ошибки при уплате налогов, приводящие к убыткам (например, штрафы, проценты по задолженности).
В противоположность этому, в рамки операционного риска не включаются следующие аспекты:
• Неправильные решения при слиянии/поглощении и при организационно-управленческой проверке;
• Решения, несовместимые с уровнем чувствительности к риску компании, когда эти решения не нарушают правил, норм или этического поведения;
• Возврат средств клиентам по собственной инициативе компании, где нет нарушения правил, норм или этического поведения.
Кроме того, поскольку некоторые стратегические вопросы могут влиять на организацию в целом — а не на одну или несколько ее частей — и увеличивать подверженность организации риску, стратегические риски управляются на уровне совета директоров, тогда как операционный риск влияет на повседневную работу и, следовательно, управляется в основном на уровне риск-менеджеров.
2.3.4 Операционный риск и репутационный риск.
В отличие от вышеупомянутых случаев, для которых надзорные органы предоставили документацию и описания, на связь операционного риска и репутационного официальных ссылок нет. Однако связи между двумя типами риска есть и многочисленны.
Действительно, события операционного риска, в первую очередь связанные с отношениями с клиентами и нарушениями законодательства, во многих случаях наносят ущерб репутации банка, особенно если получают широкое освещение в СМИ. Например, недоступность ИТ-систем может привести к соответствующему репутационному ущербу даже в случае незначительных сбоев. Так, сбой, препятствующий некоторым клиентам осуществлять онлайн-торговлю, повлечет последующие жалобы пострадавших клиентов и усиленное распространение новостей в СМИ. Репутации банка будет нанесен непоправимый ущерб.
Существуют некоторые типы операционного риска, которые встречаются часто, но имеют незначительное влияние, и если их рассматривать отдельно от их репутационного компонента, могут быть в значительной степени недооценены при разработке стратегий минимизации риска. Случай с банкоматом (ATM) является подходящим примером: хотя частые сбои могут не повлечь за собой значительные потери, эти события могут сильно повлиять на способность банка развивать деловые отношения с текущими клиентами или привлекать новых. Другим примером является распространение дистанционного обслуживания, которое предоставило банковской отрасли прекрасную возможность для развития новых коммерческих каналов. Несмотря на свой потенциал, этот инструмент влечет за собой риск утраты доверия клиентов, если их информация не защищена должным образом: на самом деле, сейчас задача IT риск-менеджера не ограничивается мониторингом рисков, связанных с доступом к данным, а распространяется на проблемы целостности и конфиденциальности информации и тесно связана с кибер-риском.
Следовательно, операционный и репутационный риск могут быть сильно взаимосвязанны. Действительно, несколько случаев ущерба репутации, нанесенного финансовой системе, показывают, как операционный риск может вызвать репутационный риск. Так было в случае со скандалом с участием Société Générale в 2008 году, упомянутым выше: помимо потери в размере 7,1 млрд. долларов США и падения стоимости ценных бумаг на фондовой бирже, банк также пострадал от шумихи в СМИ. Аналогично, в 2004 году LTSB был оштрафован за ненадлежащую продажу финансовых продуктов своим розничным клиентам, таким образом нанеся значительный ущерб своему имиджу (Bazzarello и Де Мори 2009).
Следовательно, интеграция оценок операционного риска с количественными и качественными оценками репутационного риска имеет ключевое значение. Также важно, чтобы возможная количественная оценка репутационного риска позволила избежать двойного учета убытков в расчет требований к общему капиталу финансового учреждения.
Принимая во внимание эти взаимосвязи, было бы также целесообразно для банков принять стратегии минимизации рисков, нацеленные на ограничение подверженности и операционному, и репутационному риску. Такие стратегии должны содержать несколько подходов: от ревизии процессов для улучшения системы внутреннего контроля до инвестиций в информационные технологии, внедрения культуры осведомленности о «рисках» и ограничения деловой активности согласно установленному риск-аппетиту организации к операционному или репутационному риску.
Наконец, выбранные стратегии минимизации должны поддерживаться разумной коммуникационной стратегией, которая в некоторых случаях может быть более эффективной, чем только предотвращение рисков и управление ими. В случае подверженности банка риску мошенничества и ненадлежащего размещения финансовых инструментов клиентов, своевременное уведомление о произошедших событиях, и наличие плана действий банка имеет основополагающее значение для управления экономическими последствиями, связанными как с операционными, так и с репутационными рисками.
2.3.5. Операционный риск и комплаенс-риск.
Как указано в разд. 2.2, CRD (Директива 2013/36 / EU) прямо включает правовой риск в определение операционного риска, в прямом соответствии с Базель 2.
Правовой риск охватывает все виды событий, приводящих к потерям/ другим расходам, и являющихся следствием нарушения правил, приведших к судебным разбирательствам / добровольным действиям организации во избежание будущих правовых рисков. Должностные преступления недвусмысленно включены в перечень событий правового риска. EBA (2015), статья 4, дает детальное определение риска, объясняя значение «нарушения правил», «правил», «судебного разбирательства», «других добровольных действий» и «других расходов».
Тем не менее, Базельский комитет проводит различие между операционным риском (BCBS[4] 2004) и комплаенс-риском (BCBS 2005). С одной стороны, операционный риск — это «риск потери в результате ошибок и сбоев во внутренних процессах, действиях персонала и систем или в результате внешних событий. Это определение включает правовой риск, но исключает стратегический и репутационный риск». Кроме того, правовой риск включает, но не ограничивается, штрафы, взыскания или санкции как надзорных органов, так и частных организаций. С другой стороны, комплаенс-риск определяется как риск юридических или нормативных санкций, существенных финансовых потерь или потери репутации, которые банк может понести в результате несоблюдения законов, нормативных актов, собственных стандартов саморегулирования и кодексов поведения, применимых в банковской деятельности. Определения, представленные выше (BCBS 2004, 2005), представляют четкие различия между двумя видами рисков как с точки зрения как событий, так и последствий, и впоследствии некоторые события легко можно отнести к определенному типу риска (например, ущерб, вызванный стихийными бедствиями, вандализм, внешнее мошенничество и другие внешние события явно относятся только к операционному риску). Еще одно различие, которое ясно выявляется при сравнении определений, относится к последствиям. В отличие от комплаенс-риска, количественная оценка операционного риска не отражает влияние риска на репутацию: действительно, в определении операционного риска репутационный риск исключается явно, в то время как ссылка на репутацию появляется в определении комплаенс-риска.
Тем не менее, есть множество точек соприкосновения, которые позволяют рассматривать комплаенс-риск как компонент риска операционного, и приводят к множественной синергии и коллаборации между подразделениями, управляющими двумя типами риска. Это также признается Базельским комитетом (BCBS 2005), согласно которому существует «тесная связь между комплаенс-риском и определенными аспектами операционного риска» вследствие существования «серой зоны».
Фактически, существование кросс-кейсов возникает из «серой зоны», которая включает в себя нарушение договора (непосредственно включено в перечень событий, ведущих к операционному риску) и банковскую ответственность банка за поведение, несоответствующее нормам комплаенс, что приводит к судебным процессам, включенным в правовой риск (ABI и DIPO 2009). Включение правового риска в операционный риск — первая и главная причина размытия границ между различными формами риска.
Сравнивая причины операционного и комплаенс-риска (Таблица 2.2), мы можем доказать, что нарушение правил и внутренних процедур характерно для обоих видов, и что существует огромное разнообразие событий операционного риска, включая так называемый «чистый» риск. Существует некоторая неопределенность в отношении того факта, что все несоответствия правилам автоматически преобразуются в комплаенс-риск: спектр событий операционного риска будет произвольно сокращен. Например, внутреннее мошенничество, допущенное неадекватной процедурой контроля при авторизации операций, будет включено в комплаенс-риск, несмотря на то, что это риск операционный. То же самое относится и к сбою ИТ-системы в ходе стихийного бедствия, при котором из-за нарушения системы непрерывности бизнеса не произошло восстановление операций: это тоже событие операционного, а не комплаенс-риска. Кроме того, преднамеренность действий не должна являться веским отличительным критерием, поскольку противоправное поведение не может оцениваться по-другому, будучи оправданным просто как проявление небрежности или забывчивости, преднамеренной или нет (Birindelli and Ferretti 2013). В таблице 2.2 показано огромное разнообразие последствий комплаенс-риска: в ней сделана четкая ссылка к утрате деловой репутации (риск второго уровня), тогда как потери должны быть материальными, с исключением (дискуссионно) незначительного ущерба в зависимости от нормативных нарушений. Комплаенс-риск может влиять (или не влиять) на репутацию, и репутационный риск может предположительно возникать без генерации комплаенс-риска, в соответствии с его природой риска второго уровня: операционная ошибка также может повлиять на имидж банка. Однако исключение репутационного риска из операционного риска, чьи события часто приводят к ухудшению имиджа, вызывает возражения в литературе (Lawrence 2003).
Таблица 2.2. BCBS: сравнение определений риска (Birindelli and Ferretti 2013).
| Комплаенс-риск | Операционный риск | Правовой риск | |
| Причины | Несоблюдение законов, норм и стандартов саморегулирования (например, кодексов поведения) | Некорректные, ошибочные внутренние процессы, персонал, системы и внешние события | Несоблюдение законов, правил, договорных и внеконтрактных обязательств или других споров |
| Последствия | Правовые или нормативные санкции, материальные финансовые потери или потеря репутации | Потери | Потери |
| Риск включает | Репутационный риск | Правовой риск | х |
| Риск исключает | х | Стратегический и правовой риск | х |
Кроме того, правовой риск, как компонент операционного риска, не включает влияние на репутацию банка. Более того, его причины отличаются от тех причин, что вызывают комплаенс-риск: несмотря на общие источники, нарушение правил саморегулирования следует отнести только к комплаенс-риску. И наоборот, убытки, возникающие из-за неадекватной и неправильной юридической документации или из-за документации с чрезмерно обременительными условиями для банка, включаются в правовой риск, так же как и потери из-за несоответствующего поведения со стороны контрагентов банка, а не самого банка.
Сходство между подразделением комплаенс и подразделением операционного риска проистекает из управления общими рисками, а также из того факта, что они оба представляют собой контролирующие структуры второго уровня с задачей идентифицировать риски процессов, реализуемых различными структурами. Для достижения общей цели должна быть создана модель эффективной синергии: кросс-риск менеджмент, чему способствует взаимный обмен информацией и ее проверка (Birindelli and Ferretti 2013).
Наконец, стоит отметить, что взаимосвязь между комплаенс-риском и правовым риском проанализирована с точки зрения банков, работающих в общей правовой системе (Terblanché 2012). Комплаенс-риск должен рассматриваться как компонент правового риска и, в свою очередь, также как компонент операционного риска в общей правовой системе. Тербланше (2012) определяет правовой риск как широкую концепцию, которая включает в себя все аспекты правовой системы, в то время как комплаенс-риск является более узкой концепцией, которая включает только кодифицированные аспекты правовой системы. Таким образом, правовой риск включает в себя комплаенс-риск, но комплаенс-риск не включает в себя правовой риск.
2.4 Заключение.
В течение долгого времени операционный риск признавался только как технический вопрос. В отличие от кредитного и рыночного рисков, полагаемых руководителями банков как основной источник беспокойства, ученые, казалось, не интересовались этой темой. Исследователи заинтересовались этой темой только в последние годы, когда Базельский комитет по банковскому надзору начал публиковать информацию о том, как банки должны управлять своей подверженностью операционному риску. Такие события, как крах банка Barings в 1995 году и другие финансовые скандалы (например, Daiwa, Enron, Sumitomo и т. д.), подчеркнули реальную опасность операционного риска с точки зрения прямых потерь и ущерба репутации, и убедили банковскую индустрию обращаться с ним осторожно.
С тех пор операционный риск был предметом нескольких исследований. Многие анализы сфокусировались на профиле операционного риска банка, описанном матрицей бизнес-линий и типов событий, а также на основных факторах, лежащих в основе подверженности банка операционному риску. Большое внимание также уделялось эволюции операционного риска с течением времени и его взаимосвязи с другими банковскими рисками. Все эти обсуждения нашли общую платформу в Базель 2, где, среди прочего, операционному риску впервые было дано определение. Это определение подняло вопросы необходимости четкого разграничения операционного риска и других видов рисков (кредитный, рыночный, стратегический, репутационный и риск соблюдения), чтобы избежать дублирования в управлении ими.
[1] Прим. переводчика: в качестве иллюстрации возможно привести случай кредитования по подложным документам, когда физическое лицо предоставляет фиктивную справку о доходах, получает кредит, а потом уходит в дефолт из-за невозможности обслуживать долг. Таким образом, реализуется кредитный риск – вынос задолженности заемщика на счета просроченных ссуд. Однако причиной реализации кредитного риска послужил риск операционный – целенаправленные мошеннические действия клиента. Событие должно быть зафиксировано в системе учета инцидентов операционного риска, но в целях корректного учета, должно учитываться при формирования капитала на покрытие потерь по кредитному риску.
[2] European Banking Authority. Европейское банковское управление. Регулирующий орган, который работает для поддержания финансовой стабильности в банковской отрасли Европейского союза (ЕС). Европейское банковское управление (EBA) было создано в 2010 году Европейским парламентом и заменило Комитет европейских банковских надзоров (CEBS)
[3]Committee of European Banking Supervisors. Европейский комитет органов банковского надзора.