Мудрый Юрист

Управление рисками нормативного несоответствия в микрофинансовых организациях

Воробьева Татьяна Борисовна, директор по правовым и инвестиционным вопросам микрофинансового холдинга "Мол Булак", LLM.

В статье сформулированы рекомендации по построению эффективной системы управления комплаенс-рисками микрофинансовых организаций. Предложения могут быть использованы для практического применения участниками стремительно растущего микрофинансового рынка, а также для дальнейших научных исследований.

Ключевые слова: микрофинансовая организация, комплаенс-риски, правовые риски, риск-менеджмент, система управления рисками.

Management of risks of regulatory non-conformity in micro-financial organizations

T.B. Vorob'yova

Vorobieva Tatiana Borisovna, Chief of Legal and Investments, Mol Bulak Microfinance Holding, LLM.

The article offers recommendations on building efficient system of compliance-risks management in microfinance institutions. Suggestions can be applied in practice by players of the rapidly growing microfinance market and also can serve as a base for further scientific research.

Key words: microfinance organization, compliance-risks, legal risks, risk-management, risk management system.

С первого сентября 2013 г. Банк России (далее также - ЦБ РФ) начал выполнять функции мегарегулятора на финансовых рынках <1>. Создание мегарегулятора отражает общемировые тенденции <2> и должно привести к унификации принципов регулирования деятельности финансовых институтов, развитию профильного законодательства. В контексте этих изменений микрофинансовым организациям (МФО), которые теперь также подлежат надзору ЦБ РФ, необходимо пересмотреть политику управления рисками несоответствия требованиям законодательства. В условиях, когда реестр МФО насчитывает уже несколько тысяч организаций, накоплена та самая "критическая масса", к которой регулятор должен относиться с повышенным вниманием. Опыт других стран с развитым микрофинансовым рынком демонстрирует четкую тенденцию - чем больше активов и клиентов в секторе, тем более "зарегулированной" становится деятельность МФО <3>.

<1> Федеральный закон от 23.07.2013 N 251-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с передачей Центральному банку Российской Федерации полномочий по регулированию, контролю и надзору в сфере финансовых рынков" // СЗ РФ. 2013. N 30 (Часть I). Ст. 4084.
<2> Колесников Ю.А. Правовой статус мегарегулятора и меганадзора на финансовых рынках как элементов международного финансового центра в Российской Федерации // Проблемы права. 2012. N 4. С. 66 - 70.
<3> Например, в Индии бурный рост микрофинансирования на фоне либерального регулирования сменился довольно серьезной "зарегулированностью". Подробнее об этом см.: Kline K., Sadhu S. Microfinance in India: A New Regulatory Structure. URL: http://www.centre-for-microfinance.org/wpcontent/uploads/attachments/csy/1602/IIM%20Regulation%20V11.pdf.

Законодательство, регулирующее деятельность МФО, динамично изменяется. В июне - июле 2014 г. вступят в силу два блока поправок в Закон "О микрофинансовой деятельности и микрофинансовых организациях" <4>, а также Закон о потребительском кредите (займе <5>). Расширяется и конкретизируется ответственность за нарушения микрофинансового законодательства в Кодексе РФ об административных правонарушениях <6>. В Налоговый кодекс РФ внесены долгожданные поправки, позволяющие микрофинансовым организациям относить на расходы суммы резервов на возможные потери по займам <7>. ЦБ РФ проинформировал микрофинансовый сектор о предстоящих усовершенствованиях в системе отчетности МФО <8>. В таких условиях одна из злободневных задач руководства микрофинансовых организаций - основательно подготовиться к более пристальному надзору и создать гармоничную систему своевременного реагирования на изменения "правил игры", при которой деятельность компании будет соответствовать требованиям закона, ожиданиям регулятора, стандартам индустрии, а также внутренним политикам, установленным собственниками.

<4> Федеральный закон от 21.12.2013 N 375-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" // СЗ РФ. 2013. N 51. Ст. 6695; Федеральный закон от 21.12.2013 N 363-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации в связи с принятием Федерального закона "О потребительском кредите (займе)" // СЗ РФ. 2013. N 51. Ст. 6683.
<5> Федеральный закон от 21.12.2013 N 353-ФЗ "О потребительском кредите (займе)" // СЗ РФ. 2013. N 51. Ст. 6673.
<6> Федеральный закон от 21.12.2013 N 375-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" вносит изменения в статью 15.26.1 Кодекса Российской Федерации об административных правонарушениях "Нарушение законодательства Российской Федерации о микрофинансовой деятельности".
<7> Федеральный закон от 02.11.2013 N 301-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" // СЗ РФ. 2013. N 44. Ст. 5640.
<8> Информационное письмо Банка России "О планируемом изменении порядка представления отчетности микрофинансовых организаций". Размещено на официальном сайте Банка России. URL: http://www.cbr.ru/sbrfr/legislation/letters/2014/Inf_feb_2814(2).pdf.

Необходимость системного подхода к работе по минимизации рисков нарушения обязательных требований становится очевидной, если проанализировать Рекомендации Банка России по управлению правовым риском в кредитных организациях <9>. Данные Рекомендации не обязательны для исполнения МФО. Тем не менее участникам быстро развивающегося микрофинансового рынка будет полезно изучить регулятивный подход Банка России по исследуемому вопросу к другим поднадзорным институтам.

<9> Письмо Банка России от 30.06.2005 N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах" // Вестник Банка России. 2005. N 34.

Итак, среди факторов возникновения правовых рисков, перечисленных мегарегулятором, преобладают предпосылки, влекущие именно комплаенс-риски кредитных организаций: несоблюдение нормативных требований, неспособность вовремя приспосабливаться к изменениям законодательства, несовершенство законодательства, его противоречивость и подверженность изменениям. С большой долей уверенности можно прогнозировать, что новый регулятор микрофинансовых организаций также будет в первую очередь озабочен рисками, вытекающими из нарушения МФО требований законодательства.

Помимо внимания регулятора особая актуальность рисков несоответствия требованиям законодательства обусловлена и тем, что спектр их воздействия на МФО очень широк <10>. Самое очевидное негативное последствие - штрафы и иные санкции со стороны контролирующих органов. Не такие очевидные, но не менее важные последствия - это потеря имиджа профессионального и устойчивого финансового института, ограничение возможностей по привлечению финансирования и, в конечном итоге, снижение стоимости компании.

<10> Применительно к банковской деятельности в литературе отмечается, что правовой риск пронизывает такую деятельность насквозь. См., например: Алексеева Д.Г. Управление правовым риском в кредитной организации // Банковское право. 2012. N 1. С. 44 - 52. О разнообразии последствий нарушения нормативов и стандартов для любого хозяйствующего субъекта см.: Трунцевский Ю.В. Об организации управления правовыми рисками в деятельности хозяйствующего субъекта // Безопасность бизнеса. 2011. N 2. С. 2 - 6.

Цель данной статьи - предложить наиболее эффективную для российских микрофинансовых организаций модель системы управления правовыми рисками, вытекающими из неисполнения обязательных требований.

В литературе по риск-менеджменту предлагается выделить для организации приемлемые и неприемлемые риски исходя из "стоимости" нарушений и значительности последствий для организации <11>, т.е. установить определенный "риск-аппетит". Этот подход, безусловно, оправдан в отношении многих рисков, т.к. позволяет фокусироваться на реальных угрозах и не тратить значительные ресурсы на защиту от лишь гипотетически возможных потерь. Однако в отношении рисков несоблюдения законодательства, по крайней мере, в части применения императивных норм, должна быть принята нулевая толерантность. Значимость и последствия определенных нарушений могут меняться исходя из приоритетов регулятора и проверяющих органов, изменений в регулировании, политической ситуации, а также "знаковых" прецедентов и происшествий <12>. Нельзя забывать, что при систематическом нарушении определенных норм последствия для компании-нарушителя будут более серьезными. А значит, нужно системно отслеживать все комплаенс-риски.

<11> Шишаков А., Ярославцев Я. Корпоративный риск-менеджмент. Азбука для юриста // Юристы в зоне риска: юридическая функция в корпорации через призму риск-менеджмента: сборник. М.: 2008. С. 35 - 48.
<12> Например, печально известные события, связанные с пожарами в местах досуга и социальных учреждений, спровоцировали возросшее внимание государственных органов к противопожарной безопасности и ужесточение применяемых за нарушения правил пожарной охраны санкций, а неудачно внедренный проект микрокредитования пенсионеров спровоцировал повышенный интерес к размеру процентных ставок МФО и обвинения в адрес Почты России.

К сожалению, на данный момент в большинстве микрофинансовых институтов управление правовыми рисками не проработано на уровне соответствующих политик и ограничивается правовой экспертизой проектов документов и визированием документации главой юридической службы.

Поскольку российская микрофинансовая индустрия довольно молода, научные работы, способные помочь организациям правильно выстроить работу с комплаенсрисками, в данное время отсутствуют. Поэтому обратимся к опыту, наработанному в других отраслях экономики.

В крупных отечественных корпорациях для эффективного управления рисками, вытекающими из невыполнения обязательных правил, создаются комплаенс-отделы. Сотрудники данных подразделений отслеживают исполнение требований законодательства, внутренних политик и этических стандартов корпорации <13>, а в некоторых случаях и иностранных антикоррупционных законов <14>. К примеру, А.В. Церунян рекомендует банкам создавать "особую юридическую службу, которая будет прогнозировать и отслеживать появление юридических рисков" <15>. Применительно к микрофинансовым организациям на современном этапе такая модель системы управления риском нормативного несоответствия представляется довольно громоздкой и дорогостоящей.

<13> Трунцевский Ю.В. Об организации управления правовыми рисками в деятельности хозяйствующего субъекта // Безопасность бизнеса. 2011. N 2. С. 2 - 6.
<14> Например, американские Foreign Corrupt Practices Act (противодействие коррупции), Акт Сарбейнса-Оксли (раскрытие информации) распространяются и на иностранные компании, чьи ценные бумаги размещаются на американских биржах, даже если компании не осуществляют никакой деятельности на территории США.
<15> Церунян А.В. Управление юридическими рисками в современных банках России // Юрист. 2011. N 3. С. 30 - 34.

В российских микрофинансовых организациях управление правовыми рисками, как правило, всецело возлагается на главу юридической службы. Однако, исходя из современного контекста развития рынка микрофинансирования, эффективность закрепления ответственности за комплаенс-риски лишь за одним, пусть даже очень квалифицированным, специалистом необходимо подвергнуть сомнению. Есть масса рисков, находящихся за пределами зоны ежедневного контроля юристов. Например, риски по неисполнению законодательства в сфере ПОД/ФТ могут возникать много раз за день, они относятся к зоне ответственности специального должностного лица. Налоговые вопросы постоянно отслеживает главный бухгалтер. Еще один пример - риски неправильного заполнения отчетности МФО. Юрист может проследить, чтобы была использована правильная форма отчета, проконтролировать сроки <16>, выполнение требований к оформлению <17>, подсказать, какие недочеты в отчетности повлекли штрафы для других МФО. Но вряд ли юрист может гарантировать правильность цифр в отчете. Приходится констатировать, что юристы не обладают необходимой оперативной информацией и полномочиями для эффективного предотвращения комплаенс-рисков, возникающих в повседневной работе других подразделений. Именно поэтому задачи по контролю над рисками несоответствия деятельности МФО обязательным требованиям необходимо распределить между руководителями основных бизнес-направлений.

<16> Подробнее об этом см.: Приказ Минфина РФ от 01.03.2012 N 37н "Об утверждении форм и сроков представления документов, содержащих отчет о микрофинансовой деятельности и персональном составе руководящих органов микрофинансовой организации".
<17> Подробнее об этом см.: Информационное письмо ФСФР России от 14.06.2012 N 12-ДП-10/26505 "О разъяснениях по заполнению микрофинансовыми организациями документов, содержащих отчет о микрофинансовой деятельности и персональном составе руководящих органов микрофинансовой организации".

Предлагаем рассмотреть опробованную на практике комплексную систему управления риском нормативного несоответствия, которая позволяет избежать значительных затрат первой из вышеописанных моделей, а также снизить риск единственного "всевидящего ока", присущий "классическому" подходу МФО. Эффективно работает распределение комплаенс-рисков между руководителями соответствующих структурных подразделений. Риски необходимо закрепить за их "владельцами <18>", т.е. управленцами, ответственными за контроль причин возникновения рисков и реализацию функций компании, подверженных этим рискам. Например, руководитель отдела кадров является владельцем рисков, возникающих в процессе оформления трудовых отношений, ведения и хранения кадровой документации, учета военнообязанных лиц, уведомления государственных органов о найме определенных категорий работников и т.п. Юристы будут являться владельцами рисков, вытекающих из корпоративного права, микрофинансового законодательства <19>, рисков, связанных с антимонопольным регулированием и т.п. В некоторых случаях целесообразно разделить риски, возникающие из одного раздела законодательства, между несколькими владельцами, например, управление рисками в сфере защиты персональных данных сотрудников может осуществлять начальник отдела кадров, а защитой данных клиентов может более эффективно руководить операционный отдел.

<18> "Владелец риска: лицо или организация, имеющие ответственность и полномочия по менеджменту риска". Национальный стандарт "Менеджмент риска. Термины и определения". ГОСТ Р 51897-2011 // Руководство ИСО 73:2009.
<19> К примеру, прошлым летом появились новые обязательные требования к бенефициарным владельцам десяти и более процентов голосов МФО. Юристы будут отвечать за своевременное информирование конечных собственников о новой обязанности, а также будут отслеживать утверждение регулятором сроков и порядка исполнения этой новой обязанности. Федеральный закон от 28.06.2013 N 134-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия незаконным финансовым операциям" // СЗ РФ. 2013. N 26. Ст. 3207.

При таком подходе руководителям департаментов будет легко отслеживать риски, поскольку они будут относиться к их непосредственной деятельности, а собственникам будет спокойно от того, что обеспечен ежедневный контроль и ответственность распределена среди членов управленческой команды.

Построить работающую комплексную систему управления риском нормативного несоответствия можно, реализовав следующие шаги.

Шаг 1. Идентификация зон риска и распределение по владельцам. В идентификации рисков могут помочь описанные выше примеры, а также анализ правоприменительной практики и норм законодательства, устанавливающих обязанности и требования к МФО. При распределении рисковых зон необходимо исходить из того, кто из руководителей имеет наиболее полный контроль над соответствующей сферой деятельности микрофинансовой организации.

С учетом организационно-правовой формы, корпоративной структуры и принятого в компании распределения функциональных обязанностей определяем владельцев рисков. Эти лица будут ежедневно мониторить возникновение и уровень "своих" рисков, оценивать опасность рисков для компании, оперативно принимать меры по их снижению и отчитываться по своей зоне риска перед контрольным органом.

В зависимости от сложности и размера организации органом, осуществляющим контроль в сфере рисков нормативного несоответствия, может быть внутренний комитет по рискам, сформированный из ключевых менеджеров, либо риск-комитет при совете директоров. Этот орган будет регулярно получать информацию о состоянии системы управления юридическими рисками, корректировать уровень приемлемости тех или иных рисков для компании, давать поручения владельцам рисков определять, необходимо ли привлечь дополнительные силы для контроля над определенными рисковыми зонами.

Шаг 2. Составление политики управления риском. Прописывать политику управления рисками нормативного несоответствия целесообразно уже после того, как проведены консультации со всеми заинтересованными лицами, есть четкое представление о рисках, которым подвержена организация, и определены управленцы, которым руководство доверит контроль над такими серьезными вопросами. В этом случае получится действительно живой, работающий документ. В процессе разработки политики не лишним будет учесть упомянутые выше Рекомендации Банка России, а также обратиться к опыту крупных корпораций и банков. Отметим, что в зависимости от имеющейся в организации системы риск-менеджмента данная политика может быть либо самостоятельным документом, либо составной частью имеющейся общей политики по управлению рисками или политики по управлению правовым риском.

Шаг 3. Утверждение документов. Нормативный каркас системы управления комплаенс-рисками составляют: политика, схема распределения ответственности между ключевыми менеджерами, шаблоны должностных инструкций, отражающие новые обязанности и ответственность владельцев рисков. Целесообразно издать приказ, обязывающий ответственных лиц разработать программы риск-контроля в своих зонах к определенному сроку.

Шаг 4. Реализация мер по управлению рисками. Ключ к управлению правовым риском - это знание того, как делать правильно, следовательно, программы должны включать информацию о нормативных требованиях, регулярность отслеживания изменений и новостей в сфере ответственности, порядок и периодичность обучения и повышения квалификации сотрудников. Для большей эффективности управленцам стоит продумать "сигнальную систему" - контрольные точки, которые позволят системно отслеживать состояние имеющихся рисков и предотвращать появление новых. В некоторых сферах будет актуальным составление календаря обязательных действий, таких как, например, сдача отчетности или проведение необходимых согласно закону заседаний коллегиальных органов. У всех МФО уже есть опыт составления похожих программ в сфере ПОД/ФТ. Этот опыт полезно использовать и в работе с рисками несоответствия в других сферах. Юридическая служба может помочь владельцам рисков разработать первоначальные программы контроля. В дальнейшем роль юристов будет состоять в информировании об изменениях законодательства и правоприменительной практики и предоставлении консультаций и разъяснений владельцам рисков.

Шаг 5. Обмен информацией. В порядке, установленном политикой, центр принятия решений по рискам - совет директоров (риск-комитет и т.д.) должен регулярно получать актуальную информацию. Рассмотрение ситуации с правовым риском должно войти в повестку контрольного органа на постоянной основе. Необходимо прививать такую культуру обмена информацией, при которой не должно караться выявление риска. Наоборот, своевременное выявление новых рисков, информирование контрольного органа о выявленных рисках и принятие мер по предотвращению неприятных последствий должно приветствоваться.

Шаг 6. Контроль. Выбор средств контроля разнообразен и зависит от возможностей, масштаба и ресурсов организации. Кто-то может ограничиться регулярным рассмотрением контрольным органом отчета об управлении рисками нормативного несоответствия и выполнением рекомендаций этого органа. Другие микрофинансовые организации могут себе позволить привлечь внешних аудиторов <20> либо внешних юристов для дачи заключения о правовой защищенности организации. Дополнительный способ, который подойдет практически любой МФО, - регулярный внутренний правовой аудит. Проверке подвергается выполнение требований политики управления риском нормативного несоответствия, программ контроля, полнота информированности контрольного органа о состоянии рисков, своевременность и адекватность мер по управлению и предотвращению рисков. В организации, имеющей филиалы, могут оказаться эффективными взаимные целевые проверки неукоснительного соблюдения обязательных норм.

<20> Аудиторские фирмы оказывают услугу legal health check - проверка юридического "здоровья" компании. Очень важно грамотно и четко сформулировать вопросы, которые войдут в объем работ (scope of work) по договору с аудиторской компанией.

Независимо от того, какие контрольные мероприятия выбраны, ключ к успеху - в последовательности. Необходимо довести до сведения ответственных руководителей выявленные недочеты, совместно составить план устранения выявленных проблем, определить сроки, проконтролировать исполнение плана. Проблемные зоны желательно включить в предмет последующих контрольных мероприятий.

Значение тех или иных правовых рисков постоянно меняется под воздействием как внешних факторов, например, пристальное внимание регулятора к определенному блоку нормативных требований, так и исходя из внутренних факторов - чем крупнее становится организация, чем активнее взаимодействует с внешним миром, тем больше рисков она обретает. Поэтому крайне необходима система, дающая возможность рано осознавать изменения на карте рисков и вовремя принимать корректирующие меры.

Рассмотренная в статье комплексная система управления рисками нормативного несоответствия, с одной стороны, является бюджетной, т.к. позволяет по большей части обойтись внутренними ресурсами МФО. С другой стороны, она достаточно проработана и формализована для того, чтобы эффективно решать поставленные перед ней задачи и стать явным плюсом для менеджмента МФО, например, при прохождении рейтинговой оценки или в процессе получения иностранных инвестиций. Данные в статье рекомендации ориентированы на среднюю современную микрофинансовую организацию, каковых на рынке большинство. Компаниям, стремящимся к реализации глобальных проектов, планирующим выход на IPO, безусловно, нужна будет еще более формализованная, многоуровневая, и, как следствие, более дорогая система управления комплаенс-рисками.

Какую из моделей управления комплаенс-рисками использовать современной российской микрофинансовой организации решать руководству каждой из них, исходя из размера, стратегических планов, структуры и финансовых возможностей. Ясно одно, если организация планирует устойчивый рост, привлечение внешних ресурсов и серьезную прибыль, системный подход к контролю над соблюдением законодательства жизненно необходим.

Литература

  1. Федеральный закон от 02.07.2010 N 151-ФЗ "О микрофинансовой деятельности и микрофинансовых организациях" // СЗ РФ. 2010. N 27. Ст. 3435.
  2. Федеральный закон от 28.06.2013 N 134-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части противодействия незаконным финансовым операциям" // СЗ РФ. 2013. N 26. Ст. 3207.
  3. Федеральный закон от 21.12.2013 N 375-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации" // СЗ РФ. 2013. N 51. Ст. 6695.
  4. Федеральный закон от 21.12.2013 N 363-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации в связи с принятием Федерального закона "О потребительском кредите (займе)" // СЗ РФ. 2013. N 51. Ст. 6683.
  5. Федеральный закон от 21.12.2013 N 353-ФЗ "О потребительском кредите (займе)" // СЗ РФ. 2013. N 51. Ст. 6673.
  6. Федеральный закон от 23.07.2013 N 251-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с передачей Центральному банку Российской Федерации полномочий по регулированию, контролю и надзору в сфере финансовых рынков" // СЗ РФ. 2013. N 30 (часть I). Ст. 4084.
  7. Письмо Банка России от 30.06.2005 N 92-Т "Об организации управления правовым риском и риском потери деловой репутации в кредитных организациях и банковских группах" // Вестник Банка России. 2005. N 34.
  8. Информационное письмо Банка России "О планируемом изменении порядка представления отчетности микрофинансовых организаций". URL: http://www.cbr.ru/sbrfr/legislation/letters/2014/Inf_feb_2814(2).pdf.
  9. Приказ Минфина РФ от 01.03.2012 N 37н "Об утверждении форм и сроков представления документов, содержащих отчет о микрофинансовой деятельности и персональном составе руководящих органов микрофинансовой организации" // СПС "КонсультантПлюс".
  10. Информационное письмо ФСФР России от 14.06.2012 N 12-ДП-10/26505 "О разъяснениях по заполнению микрофинансовыми организациями документов, содержащих отчет о микрофинансовой деятельности и персональном составе руководящих органов микрофинансовой организации" // СПС "КонсультантПлюс".
  11. Национальный стандарт "Менеджмент риска. Термины и определения". ГОСТ Р 51897-2011 // Руководство ИСО 73:2009.
  12. Алексеева Д.Г. Управление правовым риском в кредитной организации // Банковское право. 2012. N 1. С. 44 - 52.
  13. Колесников Ю.А. Правовой статус мегарегулятора и меганадзора на финансовых рынках как элементов международного финансового центра в Российской Федерации // Проблемы права. 2012. N 4. С. 66 - 70.
  14. Трунцевский Ю.В. Об организации управления правовыми рисками в деятельности хозяйствующего субъекта // Безопасность бизнеса. 2011. N 2. С. 2 - 6.
  15. Церунян А.В. Управление юридическими рисками в современных банках России // Юрист. 2011. N 3. С. 30 - 34.
  16. Шишаков А., Ярославцев Я. Корпоративный риск-менеджмент. Азбука для юриста // Юристы в зоне риска: юридическая функция в корпорации через призму риск-менеджмента: сборник. М., 2008. С. 35 - 48.
  17. Kline K., Sadhu S. Microfinance in India: A New Regulatory Structure. URL: http://www.centre-for-microfinance.org/wp-content/uploads/attachments/csy/1602/IIM%20Regulation%20V11.pdf.