"Концепция организации системы внутреннего контроля для некредитных финансовых организаций"
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
КОНЦЕПЦИЯ
ОРГАНИЗАЦИИ СИСТЕМЫ ВНУТРЕННЕГО КОНТРОЛЯ ДЛЯ НЕКРЕДИТНЫХ
ФИНАНСОВЫХ ОРГАНИЗАЦИЙ
Общие положения
Настоящая Концепция организации системы внутреннего контроля (далее - Концепция) разработана с целью:
- установления рекомендаций по организации системы внутреннего контроля в некредитных финансовых организациях (далее - НФО), являющейся необходимой и достаточной, для обеспечения соблюдения принципов этичности, законности и прозрачности для третьих лиц при осуществлении деятельности НФО;
- стандартизации подходов к организации внутреннего контроля во всех НФО и банковском секторе;
- внедрения принципа пропорционального надзора с учетом обязательного наличия внутреннего контроля в НФО.
Органы управления НФО несут ответственность за выполнение требований законодательства Российской Федерации к системе организации внутреннего контроля и эффективную реализацию задач системы внутреннего контроля НФО.
Термины и определения
Внутренний контроль - деятельность, осуществляемая системой органов внутреннего контроля и направленная на достижение целей, определенных главой 1 настоящей Концепции;
система внутреннего контроля - совокупность системы органов и направлений внутреннего контроля, обеспечивающая соблюдение порядка осуществления и достижения целей, установленных законодательством Российской Федерации, учредительными и внутренними документами НФО, входящая в систему корпоративного управления, контролируемая органами управления НФО;
органы управления - общее собрание акционеров (участников), совет директоров (наблюдательный совет), единоличный (коллегиальный) исполнительный орган;
система органов внутреннего контроля - определенная учредительными и внутренними документами НФО совокупность органов управления, а также структурных подразделений и должностных лиц НФО, выполняющих функции в рамках системы внутреннего контроля;
регуляторный риск - риск возникновения убытков из-за несоблюдения требований законодательства Российской Федерации, нормативных правовых актов и нормативных актов Банка России, стандартов саморегулируемых организаций, внутренних документов НФО;
владелец риска - должностное лицо или структурное подразделение, функционирование которых непосредственно связано с возникновением риска, которые имеют полномочия и несут ответственность за управление рисками.
1. Цели, задачи, принципы организации системы внутреннего контроля
1.1. НФО следует организовать систему внутреннего контроля, обеспечивающую достижение следующих целей:
1.1.1. Эффективность и результативность осуществления деятельности при совершении операций и иных сделок, направленных на достижение целей, определенных учредительным документом организации. В том числе эффективность управления активами/пассивами, управление рисками.
1.1.2. Достоверность, полнота и своевременность представления всех видов отчетности (для внешних и внутренних пользователей), а также защищенность интересов (целей) НФО в информационной сфере.
1.1.3. Соблюдение требований законодательства Российской Федерации, нормативных правовых актов и нормативных актов Банка России, стандартов саморегулируемых организаций, учредительных и внутренних документов НФО, а также этических норм, в том числе следующих из обычая или практики, установившейся при осуществлении соответствующего вида деятельности.
1.1.4. Исключение вовлечения НФО и участия ее работников в осуществление противоправной деятельности, в том числе легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, а также неправомерного использования инсайдерской информации и (или) манипулирования рынком.
1.2. В целях обеспечения эффективности функционирования системы внутреннего контроля НФО обеспечивает:
1.2.1. контрольную среду - совокупность принципов и стандартов деятельности НФО, определяющих общее понимание внутреннего контроля и требования к внутреннему контролю на уровне организации в целом. Органы управления демонстрируют важность надлежащего отношения работников НФО к организации и осуществлению внутреннего контроля;
1.2.2. надлежащую оценку рисков - процесс выявления и анализа возможных рисков, создающий информативную базу для управления рисками и минимизации возможных негативных последствий для НФО <1>;
--------------------------------
<1> Система управления рисками (совокупность приемов и методов, позволяющих НФО с определенной точностью прогнозировать возникновение рисков, оценивать их финансовые и иные последствия и принимать меры, направленные на предотвращение (снижение) вероятности реализации рисков, а также минимизацию последствий их реализации) не является предметом настоящей Концепции.
1.2.3. наличие средств контроля - политик и процедур, обеспечивающих достижение целей внутреннего контроля, а также действий каждого работника НФО в соответствии с указанными политиками и процедурами;
1.2.4. достаточность информации и коммуникации - распространение информации, необходимой для осуществления внутреннего контроля и организации коммуникации, обеспечивающей понимание всеми работниками НФО целей и задач внутреннего контроля, а также своих обязанностей по внутреннему контролю;
1.2.5 оценку и мониторинг внутреннего контроля, регулярно осуществляемые (с учетом меняющихся внутренних и внешних факторов, оказывающих воздействие на деятельность НФО) в порядке, установленном внутренними документами, в том числе с целью определения их эффективности и результативности, а также необходимости внесения изменений в систему внутреннего контроля;
1.3. Соблюдение принципа трех "линий защиты" и вовлеченность каждого работника НФО в процесс реализации внутреннего контроля.
1.3.1. Первая "линия защиты" обеспечивается владельцами рисков, работающими с источником их возникновения - каждым работником и структурным подразделением.
1.3.2. Вторая "линия защиты" обеспечивается органами внутреннего контроля, в том числе следующими функциями: функцией контроля за управлением рисками, функцией комплаенс; актуарной функцией (при наличии); функцией информационной безопасности и ИТ процессов.
1.3.3. Третья "линия защиты" представлена функцией внутреннего аудита, осуществляющей мониторинг и оценку эффективности системы внутреннего контроля.
2. Система органов внутреннего контроля НФО
2.1. Внутренний контроль в соответствии с внутренними и учредительными документами НФО осуществляют:
2.1.1. Органы управления НФО;
2.1.2. Главный бухгалтер (его заместители) НФО.
2.1.3. Ревизионная комиссия НФО (ревизор) при наличии;
2.1.4. Работники и структурные подразделения, осуществляющие внутренний контроль в соответствии с полномочиями, определенными внутренними документами НФО и требованиями законодательства Российской Федерации, включая:
- службу внутреннего аудита (внутреннего аудитора) (далее - СВА) - структурное подразделение (работник), осуществляющее (осуществляющий) деятельность в соответствии с пунктом 3.1 настоящей Концепции;
- службу внутреннего контроля (комплаенс-служба) (далее - СВК) - структурное подразделение и (или) сотрудник НФО, осуществляющие деятельность в соответствии с пунктом 3.4 настоящей Концепции, к которой, в зависимости от характера и масштаба осуществляемых операций, уровня и сочетания принимаемых рисков, может относиться контролер;
- специальное должностное лицо или структурное подразделение (руководителя структурного подразделения), ответственное за соблюдение правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (далее - ПОД/ФТ);
- специальное должностное лицо или структурное подразделение, в обязанности которого входит осуществление контроля за соблюдением требований законодательства Российской Федерации о противодействии неправомерному использованию инсайдерской информации и (или) манипулированию рынком;
- актуария или актуарную службу (исходя из специфики деятельности);
- иные структурные подразделения и (или) работники, являющиеся владельцами рисков.
2.2. Наличие СВК и СВА является обязательным для всех НФО. Вместе с тем, в случае если размер и характер деятельности, специфика принимаемых рисков НФО, численный состав или иные объективные причины не позволяют обеспечить создание и нормальное функционирование указанных служб, НФО рекомендуется утвердить внутренний документ, объясняющий причины невозможности создания специальных служб <2>. При отсутствии специальных служб ответственность за реализацию задач системы внутреннего контроля, в том числе требований законодательства Российской Федерации, несут органы управления НФО.
--------------------------------
<2> За исключением случаев, когда обязательное наличие службы или должностного лица установлено требованиями законодательства Российской Федерации, в том числе нормативными актами Банка России, иными нормативными правовыми актами.
2.3. Лица, возглавляющие СВК и СВА, должны обладать специальными и необходимыми навыками для осуществления возложенных на них обязанностей, а также проходить соответствующее обучение и повышение квалификации (как минимум на ежегодной основе).
2.4. Минимальные квалификационные требования к указанным лицам закрепляются в нормативных актах Банка России.
2.5. НФО следует обеспечить структурные подразделения (их работников), осуществляющие внутренний контроль:
- ресурсами (материальными, техническими, кадровыми), необходимыми и достаточными для достижения поставленных перед ними задач;
- доступом к информации, необходимой для осуществления соответствующей функции;
- соответствующей структурой вознаграждения (для обеспечения независимости и отсутствия конфликтов интересов функций, деятельность которых непосредственно связана с принятием рисков в организации, НФО следует разработать соответствующую систему оплаты труда <3>).
--------------------------------
<3> Информационное письмо Банка России от 14.07.2016 N ИН-06-54/53 "О рекомендациях по организации системы оплаты труда и раскрытию информации о системе оплаты труда в негосударственных пенсионных фондах, профессиональных участниках рынка ценных бумаг, управляющих компаниях и страховых организациях в целях предотвращения принятия указанными организациями избыточных рисков".
2.6. НФО следует обеспечить независимость СВА и СВК. Структурные подразделения, осуществляющие функции внутреннего контроля, следует отделить от структурных подразделений, выполняющих бизнес-функции (являющихся владельцами рисков), в том числе для целей обеспечения отсутствия конфликта интересов. Для малых и средних форм НФО руководитель СВК и (или) сотрудник, осуществляющий деятельность в соответствии с пунктом 3.4 настоящей Концепции, может не назначаться. В этом случае функции руководителя СВК осуществляются руководителем службы управления рисками.
2.7. СВК и СВА осуществляют свои функции (далее - контрольные функции) в НФО на постоянной основе.
2.8. СВА (функция внутреннего аудита) не может быть совмещена с другими контрольными функциями, так как является третьей "линией защиты" и отвечает за оценку эффективности системы внутреннего контроля.
2.9. Руководитель СВА подчиняется непосредственно совету директоров (наблюдательному совету) НФО. При отсутствии совета директоров (наблюдательного совета) СВА может подчиняться общему собранию акционеров (участников) НФО, либо в отдельных случаях на усмотрение органов управления НФО - единоличному или коллегиальному исполнительным органам НФО. Непосредственная подчиненность выражается в следующих полномочиях по отношению к СВА:
- утверждение положения о деятельности СВА;
- утверждение плана работ СВА и бюджета СВА, включая размер вознаграждения руководителя СВА и структуру оплаты труда сотрудников СВА;
- рассмотрение отчетов СВА;
- осуществляет назначение на должность (освобождение от должности) руководителя СВА.
2.10. Руководитель СВК может находиться в подчинении:
- единоличного исполнительного органа НФО, либо
- члена коллегиального исполнительного органа НФО, функции которого обеспечивают отсутствие конфликта интересов или управление им.
2.11. Контрольные функции, включая внутренний аудит, могут осуществляться централизованно на базе одной из компаний группы, в которую входит НФО, при условии, что она является НФО или кредитной организацией. НФО может передавать на аутсорсинг функции органов внутреннего контроля при соблюдении требований законодательства Российской Федерации.
2.12. Отсутствие выделенных структурных подразделений СВК и (или) СВА и (или) ответственных сотрудников не освобождает НФО от необходимости реализации функций СВА и СВК органами управления и (или) работниками НФО.
3. Основные задачи органов внутреннего контроля (функционал)
3.1. СВА (функция внутреннего аудита) выполняет следующие функции:
3.1.1. Проверка и оценка эффективности системы внутреннего контроля в целом.
3.1.2. Проверка эффективности методологии оценки рисков и процедур управления рисками, установленных внутренними документами НФО.
3.1.3. Проверка и тестирование достоверности, полноты и своевременности бухгалтерского учета и отчетности НФО.
3.1.4. Проверка применяемых способов (методов) обеспечения сохранности имущества НФО.
3.1.5. Оценка экономической целесообразности и эффективности совершаемых НФО сделок и операций.
3.1.6. Проверка процессов и процедур внутреннего контроля.
3.1.7. Другие вопросы, предусмотренные внутренними документами НФО.
3.2. СВА по результатам проводимых проверок своевременно информирует совет директоров (наблюдательный совет), единоличный исполнительный орган НФО о выявленных проблемах и нарушениях, дает рекомендации по их устранению.
3.3. СВА осуществляет проверки в соответствии с планом, утвержденным советом директоров (наблюдательным советом) и/или по запросу органов управления. Планирование проверок СВА осуществляется на основе риск-ориентированного подхода.
3.4. СВК (функция комплаенс) выполняет следующие функции:
3.4.1. Управление регуляторным риском НФО (выявление, мониторинг, разработка комплекса мер, направленных на минимизацию риска).
3.4.2. Анализ целесообразности заключенных НФО договоров на оказание услуг и (или) выполнение работ, обеспечивающих деятельность НФО, в том числе связанных с передачей контрольных функций на аутсорсинг.
3.4.3. Разработка внутренних документов, направленных на:
- противодействие коммерческому подкупу и коррупции;
- соблюдение правил корпоративного поведения, норм профессиональной этики;
- противодействие мошенничеству (внешнему и внутреннему);
- выявление конфликта интересов и управление им в деятельности НФО;
- информирование и обучение работников НФО в отношении регуляторного риска, а также значения функции внутреннего контроля в НФО.
3.4.4. СВК вправе осуществлять иные функции, связанные с управлением регуляторным риском, минимизацией риска мошенничества и коррупции, возложенные на нее внутренними документами НФО.
4. Направления деятельности НФО, требующие дополнительного контроля
4.1. Следующие направления деятельности НФО требуют дополнительного внимания и контроля со стороны органов внутреннего контроля:
- аутсорсинг;
- соблюдение прав клиентов, включая работу с жалобами клиентов путем анализа их статистики и причин возникновения;
- непрерывность деятельности НФО, обеспечивающей операционную непрерывность в области бизнес-процессов и работы информационных систем НФО;
- процесс разработки и одобрения новых продуктов НФО, включая согласование с органами управления НФО.
- контроль информационной безопасности;
- защита информации, ИТ-процессов и систем.
4.2. Указанные направления деятельности НФО подлежат отдельной оценке, установлению контролей, мониторингу и проверке на регулярной основе, в том числе структурными подразделениями, отвечающими за внутренний контроль.
5. Документальное обеспечение деятельности системы внутреннего контроля
5.1. Внутренняя документация, регламентирующая систему внутреннего контроля, как минимум предполагает:
- описание ее организационной структуры, включая структуру системы органов внутреннего контроля НФО;
- определение обязанностей и полномочий, закрепленных за органами внутреннего контроля и соответствующими структурными подразделениями;
- определение подотчетности структурных подразделений, осуществляющих контрольные функции;
- описание взаимодействия между структурными подразделениями, осуществляющими контрольные функции и органами управления НФО.
- СВК и СВА следует разработать внутренние документы, регламентирующие их деятельность в НФО, в которых как минимум, рекомендуется закрепить:
- организационную структуру;
- функции и полномочия;
- описание способов и методов, используемых в своей деятельности.
5.2. Документация, регламентирующая деятельность функции внутреннего аудита, помимо положения об организации и осуществлении внутреннего аудита <4>, также должна включать описание ее деятельности (например, план по аудиту) и порядок назначения на должность (освобождения от должности) руководителя функции внутреннего аудита.
--------------------------------
<4> В соответствии с Законом РФ от 27.11.1992 N 4015-1 (ред. от 29.06.2015) "Об организации страхового дела в Российской Федерации", ст. 28.2.
5.3. Помимо указанной выше документации, регламентирующей деятельность контрольных функций, для обеспечения эффективности функционирования системы внутреннего контроля НФО, во внутренней документации также следует отразить вопросы:
- поведения и этики;
- информационной безопасности;
- правил внутреннего контроля по противодействию мошенничеству (внутреннему и внешнему);
- противодействия коррупции, включая, но не ограничиваясь политикой нетерпимости в отношении подарков и представительских расходов;
- управления конфликтом интересов;
- обеспечения непрерывности деятельности;
- порядка проведения проверок внутреннего аудита;
- иные вопросы, необходимые для полноценной реализации контрольных функций.
5.4. НФО самостоятельно определяет формат и количество документов, отражающих вышеуказанные вопросы, руководствуясь размером и характером деятельности, спецификой принимаемых рисков НФО, организационной структурой НФО и иными обстоятельствами, имеющими существенное значение для деятельности НФО.
5.5. Документация должна иметь систематизированный характер.
5.6. Документацию, обеспечивающую эффективное функционирование системы внутреннего контроля, рекомендуется пересматривать (проводить мониторинг ее актуальности) на регулярной основе (не реже одного раза в год), в том числе при изменении внутренних и внешних факторов, влияющих на процессы и процедуры осуществления внутреннего контроля.
6. Отчетность
6.1. Отчетность включает внутреннюю отчетность, формируемую структурными подразделениями, осуществляющими контрольные функции, и представляемую в адрес органов управления НФО, и внешнюю отчетность, предоставляемую НФО в Банк России.
6.2. Периодичность и формат внутренней отчетности контрольных функций перед исполнительными органами НФО устанавливаются НФО самостоятельно <5>.
--------------------------------
<5> За исключением случаев, когда установлены такие требования законодательством Российской Федерации, в том числе нормативными актами Банка России, иными нормативными правовыми актами.
6.3. СВА регулярно (по мере осуществления проверок, но не реже одного раза в год) информирует совет директоров (наблюдательный совет) или, при его отсутствии, иной орган управления о результатах проверок эффективности системы внутреннего контроля с отражением элементов, рассматриваемых в рамках оценки эффективности системы внутреннего контроля (раздел 7 настоящей концепции).
6.4. По запросу Банка России НФО представляет отчеты СВА.
6.5. Требования к внешней отчетности устанавливаются нормативными актами Банка России.
7. Мониторинг и оценка эффективности системы внутреннего контроля
7.1. Система внутреннего контроля подлежит обязательной оценке и мониторингу, осуществляемой на регулярной основе. Результаты оценки должны быть зафиксированы документально и представлены совету директоров (наблюдательному совету) или, при его отсутствии, иному органу управления НФО.
7.2. Объем проводимой оценки системы внутреннего контроля определяется органами управления. В целях стандартизации и установлении объективных подходов НФО рекомендуется утвердить методику проведения оценки эффективности системы внутреннего контроля.
8. Особенности надзора за соблюдением НФО требований к системе внутреннего контроля
8.1. Банк России проводит оценку качества системы внутреннего контроля НФО на основании:
- отчета о системе внутреннего контроля;
- результатов проверок, проводимых Банком России в отношении НФО.