Управление рисками нормативного несоответствия в микрофинансовых организациях

Дата публикации: 
03.07.2015

микрофинансовая организация

С первого сентября 2013 г. Банк России (далее также - ЦБ РФ) начал выполнять функции мегарегулятора на финансовых рынках . Создание мегарегулятора отражает общемировые тенденции  и должно привести к унификации принципов регулирования деятельности финансовых институтов, развитию профильного законодательства. В контексте этих изменений микрофинансовым организациям (МФО), которые теперь также подлежат надзору ЦБ РФ, необходимо пересмотреть политику управления рисками несоответствия требованиям законодательства. В условиях, когда реестр МФО насчитывает уже несколько тысяч организаций, накоплена та самая "критическая масса", к которой регулятор должен относиться с повышенным вниманием. Опыт других стран с развитым микрофинансовым рынком демонстрирует четкую тенденцию - чем больше активов и клиентов в секторе, тем более "зарегулированной" становится деятельность МФО .

Законодательство, регулирующее деятельность МФО, динамично изменяется. В июне - июле 2014 г. вступят в силу два блока поправок в Закон "О микрофинансовой деятельности и микрофинансовых организациях" , а также Закон о потребительском кредите (займе ). Расширяется и конкретизируется ответственность за нарушения микрофинансового законодательства в Кодексе РФ об административных правонарушениях. В Налоговый кодекс РФ внесены долгожданные поправки, позволяющие микрофинансовым организациям относить на расходы суммы резервов на возможные потери по займам. ЦБ РФ проинформировал микрофинансовый сектор о предстоящих усовершенствованиях в системе отчетности МФО. В таких условиях одна из злободневных задач руководства микрофинансовых организаций - основательно подготовиться к более пристальному надзору и создать гармоничную систему своевременного реагирования на изменения "правил игры", при которой деятельность компании будет соответствовать требованиям закона, ожиданиям регулятора, стандартам индустрии, а также внутренним политикам, установленным собственниками.

Необходимость системного подхода к работе по минимизации рисков нарушения обязательных требований становится очевидной, если проанализировать Рекомендации Банка России по управлению правовым риском в кредитных организациях. Данные Рекомендации не обязательны для исполнения МФО. Тем не менее участникам быстро развивающегося микрофинансового рынка будет полезно изучить регулятивный подход Банка России по исследуемому вопросу к другим поднадзорным институтам.

 

Итак, среди факторов возникновения правовых рисков, перечисленных мегарегулятором, преобладают предпосылки, влекущие именно комплаенс-риски кредитных организаций: несоблюдение нормативных требований, неспособность вовремя приспосабливаться к изменениям законодательства, несовершенство законодательства, его противоречивость и подверженность изменениям. С большой долей уверенности можно прогнозировать, что новый регулятор микрофинансовых организаций также будет в первую очередь озабочен рисками, вытекающими из нарушения МФО требований законодательства.

Помимо внимания регулятора особая актуальность рисков несоответствия требованиям законодательства обусловлена и тем, что спектр их воздействия на МФО очень широк. Самое очевидное негативное последствие - штрафы и иные санкции со стороны контролирующих органов. Не такие очевидные, но не менее важные последствия - это потеря имиджа профессионального и устойчивого финансового института, ограничение возможностей по привлечению финансирования и, в конечном итоге, снижение стоимости компании.

Цель данной статьи - предложить наиболее эффективную для российских микрофинансовых организаций модель системы управления правовыми рисками, вытекающими из неисполнения обязательных требований.

В литературе по риск-менеджменту предлагается выделить для организации приемлемые и неприемлемые риски исходя из "стоимости" нарушений и значительности последствий для организации, т.е. установить определенный "риск-аппетит". Этот подход, безусловно, оправдан в отношении многих рисков, т.к. позволяет фокусироваться на реальных угрозах и не тратить значительные ресурсы на защиту от лишь гипотетически возможных потерь. Однако в отношении рисков несоблюдения законодательства, по крайней мере, в части применения императивных норм, должна быть принята нулевая толерантность. Значимость и последствия определенных нарушений могут меняться исходя из приоритетов регулятора и проверяющих органов, изменений в регулировании, политической ситуации, а также "знаковых" прецедентов и происшествий. Нельзя забывать, что при систематическом нарушении определенных норм последствия для компании-нарушителя будут более серьезными. А значит, нужно системно отслеживать все комплаенс-риски.

К сожалению, на данный момент в большинстве микрофинансовых институтов управление правовыми рисками не проработано на уровне соответствующих политик и ограничивается правовой экспертизой проектов документов и визированием документации главой юридической службы.

Поскольку российская микрофинансовая индустрия довольно молода, научные работы, способные помочь организациям правильно выстроить работу с комплаенсрисками, в данное время отсутствуют. Поэтому обратимся к опыту, наработанному в других отраслях экономики.

В крупных отечественных корпорациях для эффективного управления рисками, вытекающими из невыполнения обязательных правил, создаются комплаенс-отделы. Сотрудники данных подразделений отслеживают исполнение требований законодательства, внутренних политик и этических стандартов корпорации, а в некоторых случаях и иностранных антикоррупционных законов. К примеру, А.В. Церунян рекомендует банкам создавать "особую юридическую службу, которая будет прогнозировать и отслеживать появление юридических рисков". Применительно к микрофинансовым организациям на современном этапе такая модель системы управления риском нормативного несоответствия представляется довольно громоздкой и дорогостоящей.

В российских микрофинансовых организациях управление правовыми рисками, как правило, всецело возлагается на главу юридической службы. Однако, исходя из современного контекста развития рынка микрофинансирования, эффективность закрепления ответственности за комплаенс-риски лишь за одним, пусть даже очень квалифицированным, специалистом необходимо подвергнуть сомнению. Есть масса рисков, находящихся за пределами зоны ежедневного контроля юристов. Например, риски по неисполнению законодательства в сфере ПОД/ФТ могут возникать много раз за день, они относятся к зоне ответственности специального должностного лица. Налоговые вопросы постоянно отслеживает главный бухгалтер. Еще один пример - риски неправильного заполнения отчетности МФО. Юрист может проследить, чтобы была использована правильная форма отчета, проконтролировать сроки, выполнение требований к оформлению, подсказать, какие недочеты в отчетности повлекли штрафы для других МФО. Но вряд ли юрист может гарантировать правильность цифр в отчете. Приходится констатировать, что юристы не обладают необходимой оперативной информацией и полномочиями для эффективного предотвращения комплаенс-рисков, возникающих в повседневной работе других подразделений. Именно поэтому задачи по контролю над рисками несоответствия деятельности МФО обязательным требованиям необходимо распределить между руководителями основных бизнес-направлений.

Предлагаем рассмотреть опробованную на практике комплексную систему управления риском нормативного несоответствия, которая позволяет избежать значительных затрат первой из вышеописанных моделей, а также снизить риск единственного "всевидящего ока", присущий "классическому" подходу МФО. Эффективно работает распределение комплаенс-рисков между руководителями соответствующих структурных подразделений. Риски необходимо закрепить за их "владельцами", т.е. управленцами, ответственными за контроль причин возникновения рисков и реализацию функций компании, подверженных этим рискам. Например, руководитель отдела кадров является владельцем рисков, возникающих в процессе оформления трудовых отношений, ведения и хранения кадровой документации, учета военнообязанных лиц, уведомления государственных органов о найме определенных категорий работников и т.п. Юристы будут являться владельцами рисков, вытекающих из корпоративного права, микрофинансового законодательства, рисков, связанных с антимонопольным регулированием и т.п. В некоторых случаях целесообразно разделить риски, возникающие из одного раздела законодательства, между несколькими владельцами, например, управление рисками в сфере защиты персональных данных сотрудников может осуществлять начальник отдела кадров, а защитой данных клиентов может более эффективно руководить операционный отдел.

При таком подходе руководителям департаментов будет легко отслеживать риски, поскольку они будут относиться к их непосредственной деятельности, а собственникам будет спокойно от того, что обеспечен ежедневный контроль и ответственность распределена среди членов управленческой команды.

Построить работающую комплексную систему управления риском нормативного несоответствия можно, реализовав следующие шаги.

Шаг 1. Идентификация зон риска и распределение по владельцам. В идентификации рисков могут помочь описанные выше примеры, а также анализ правоприменительной практики и норм законодательства, устанавливающих обязанности и требования к МФО. При распределении рисковых зон необходимо исходить из того, кто из руководителей имеет наиболее полный контроль над соответствующей сферой деятельности микрофинансовой организации.

С учетом организационно-правовой формы, корпоративной структуры и принятого в компании распределения функциональных обязанностей определяем владельцев рисков. Эти лица будут ежедневно мониторить возникновение и уровень "своих" рисков, оценивать опасность рисков для компании, оперативно принимать меры по их снижению и отчитываться по своей зоне риска перед контрольным органом.

В зависимости от сложности и размера организации органом, осуществляющим контроль в сфере рисков нормативного несоответствия, может быть внутренний комитет по рискам, сформированный из ключевых менеджеров, либо риск-комитет при совете директоров. Этот орган будет регулярно получать информацию о состоянии системы управления юридическими рисками, корректировать уровень приемлемости тех или иных рисков для компании, давать поручения владельцам рисков определять, необходимо ли привлечь дополнительные силы для контроля над определенными рисковыми зонами.

Шаг 2. Составление политики управления риском. Прописывать политику управления рисками нормативного несоответствия целесообразно уже после того, как проведены консультации со всеми заинтересованными лицами, есть четкое представление о рисках, которым подвержена организация, и определены управленцы, которым руководство доверит контроль над такими серьезными вопросами. В этом случае получится действительно живой, работающий документ. В процессе разработки политики не лишним будет учесть упомянутые выше Рекомендации Банка России, а также обратиться к опыту крупных корпораций и банков. Отметим, что в зависимости от имеющейся в организации системы риск-менеджмента данная политика может быть либо самостоятельным документом, либо составной частью имеющейся общей политики по управлению рисками или политики по управлению правовым риском.

Шаг 3. Утверждение документов. Нормативный каркас системы управления комплаенс-рисками составляют: политика, схема распределения ответственности между ключевыми менеджерами, шаблоны должностных инструкций, отражающие новые обязанности и ответственность владельцев рисков. Целесообразно издать приказ, обязывающий ответственных лиц разработать программы риск-контроля в своих зонах к определенному сроку.

Шаг 4. Реализация мер по управлению рисками. Ключ к управлению правовым риском - это знание того, как делать правильно, следовательно, программы должны включать информацию о нормативных требованиях, регулярность отслеживания изменений и новостей в сфере ответственности, порядок и периодичность обучения и повышения квалификации сотрудников. Для большей эффективности управленцам стоит продумать "сигнальную систему" - контрольные точки, которые позволят системно отслеживать состояние имеющихся рисков и предотвращать появление новых. В некоторых сферах будет актуальным составление календаря обязательных действий, таких как, например, сдача отчетности или проведение необходимых согласно закону заседаний коллегиальных органов. У всех МФО уже есть опыт составления похожих программ в сфере ПОД/ФТ. Этот опыт полезно использовать и в работе с рисками несоответствия в других сферах. Юридическая служба может помочь владельцам рисков разработать первоначальные программы контроля. В дальнейшем роль юристов будет состоять в информировании об изменениях законодательства и правоприменительной практики и предоставлении консультаций и разъяснений владельцам рисков.

Шаг 5. Обмен информацией. В порядке, установленном политикой, центр принятия решений по рискам - совет директоров (риск-комитет и т.д.) должен регулярно получать актуальную информацию. Рассмотрение ситуации с правовым риском должно войти в повестку контрольного органа на постоянной основе. Необходимо прививать такую культуру обмена информацией, при которой не должно караться выявление риска. Наоборот, своевременное выявление новых рисков, информирование контрольного органа о выявленных рисках и принятие мер по предотвращению неприятных последствий должно приветствоваться.

Шаг 6. Контроль. Выбор средств контроля разнообразен и зависит от возможностей, масштаба и ресурсов организации. Кто-то может ограничиться регулярным рассмотрением контрольным органом отчета об управлении рисками нормативного несоответствия и выполнением рекомендаций этого органа. Другие микрофинансовые организации могут себе позволить привлечь внешних аудиторов либо внешних юристов для дачи заключения о правовой защищенности организации. Дополнительный способ, который подойдет практически любой МФО, - регулярный внутренний правовой аудит. Проверке подвергается выполнение требований политики управления риском нормативного несоответствия, программ контроля, полнота информированности контрольного органа о состоянии рисков, своевременность и адекватность мер по управлению и предотвращению рисков. В организации, имеющей филиалы, могут оказаться эффективными взаимные целевые проверки неукоснительного соблюдения обязательных норм.

Независимо от того, какие контрольные мероприятия выбраны, ключ к успеху - в последовательности. Необходимо довести до сведения ответственных руководителей выявленные недочеты, совместно составить план устранения выявленных проблем, определить сроки, проконтролировать исполнение плана. Проблемные зоны желательно включить в предмет последующих контрольных мероприятий.

Значение тех или иных правовых рисков постоянно меняется под воздействием как внешних факторов, например, пристальное внимание регулятора к определенному блоку нормативных требований, так и исходя из внутренних факторов - чем крупнее становится организация, чем активнее взаимодействует с внешним миром, тем больше рисков она обретает. Поэтому крайне необходима система, дающая возможность рано осознавать изменения на карте рисков и вовремя принимать корректирующие меры.

Рассмотренная в статье комплексная система управления рисками нормативного несоответствия, с одной стороны, является бюджетной, т.к. позволяет по большей части обойтись внутренними ресурсами МФО. С другой стороны, она достаточно проработана и формализована для того, чтобы эффективно решать поставленные перед ней задачи и стать явным плюсом для менеджмента МФО, например, при прохождении рейтинговой оценки или в процессе получения иностранных инвестиций. Данные в статье рекомендации ориентированы на среднюю современную микрофинансовую организацию, каковых на рынке большинство. Компаниям, стремящимся к реализации глобальных проектов, планирующим выход на IPO, безусловно, нужна будет еще более формализованная, многоуровневая, и, как следствие, более дорогая система управления комплаенс-рисками.

Какую из моделей управления комплаенс-рисками использовать современной российской микрофинансовой организации решать руководству каждой из них, исходя из размера, стратегических планов, структуры и финансовых возможностей. Ясно одно, если организация планирует устойчивый рост, привлечение внешних ресурсов и серьезную прибыль, системный подход к контролю над соблюдением законодательства жизненно необходим.