« НазадОценка риска ОД/ФТ технологий предоставления услуг 23.04.2020 19:47
С весны 2019 года некредитный финансовые организации, поднадзорные Банку России, обязаны в состав программы управления риском своих правил внутреннего контроля включать порядок оценки риска легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма, связанного с используемыми и планируемыми к использованию некредитной финансовой организацией технологиями предоставления услуг. Порядок оценки риска технологий предоставления услуг – это комплекс мероприятий, направленных на присвоение уровня риска каждому этапу и параметру оказываемой организацией услуги. Если говорить простыми словами, то в ходе указанной работы организация должна пошагово разбить процесс оказания какой-либо своей услуги и каждому этапу присвоить, к примеру, высокий или низкий уровень риска ОД/ФТ, ориентируясь на установленные в ПВК критерии уровня риска. Итогом этой работы может стать выявление наиболее уязвимых этапов оказания своих услуг, на которых с наибольшей вероятностью может происходить отмывание преступных доходов или финансирование терроризма. Указанные выше мероприятия необходимо проводить в порядке, сроки и с периодичностью, закрепленной в правилах внутреннего контроля. В апреле 2020 года мы столкнулись с субъективными рекомендациями некоторых проверяющих региональных отделений Банка России о том, что в программе управления риском необходима конкретизация и/или детализация по технологиям предоставления услуг. Т.е. в самом тексте правил внутреннего контроля, по мнению отдельно взятых представителей регулятора, организации якобы должны описывать технологические процессы оказания услуг и делать им оценку риска. Между тем, считаем, что текст правил внутреннего контроля – не место для детализации технологий оказания услуг. И вот почему. Жесткое закрепление в тексте ПВК параметров оказания какой-либо услуги организации может повлечь за собой: 1. Либо серьезное затормаживание процесса оценки риски, т.к. при каждом случае изменения какого-либо этапа или технологии оказания услуги, или при каждом пересмотре уровня риска в сторону повышения или понижения, необходимо будет делать корректировку правил внутреннего контроля (а для этого необходимо время на то, чтобы изменить ПВК по ПОД/ФТ, утвердить их у руководителя, провести по ним внеплановый инструктаж и т.д.); 2. Либо, наоборот, формальное выполнение оценки риска технологий оказания услуги по причине нежелания организаций что-либо менять в ПВК, ориентируясь на единожды закрепленные в ПВК детали оказания услуги, даже при наличии фактически иных выполняемых процедурах. Так, например, в связи с распространением коронавируса в России, многие организации в апреле 2020 года стали отдавать приоритет дистанционному обслуживанию клиентов и оказания услуг, что внесло коррективы в технологии оказания отдельных услуг и соответственно в уровни риска. Рекомендованное отдельно взятыми сотрудниками Банка России закрепление в ПВК деталей оказания услуг в указанной ситуации повлекло бы за собой корректировку правил, причем в авральном режиме. Полагаем, что указанную детализацию и конкретизацию по технологиям предоставления услуг делать, конечно, нужно. Но вместо, перечисления в ПВК деталей по технологиям предоставления услуг, делать это можно, например, путем составления ответственным сотрудником как на регулярной основе, так и в случае изменения технологий оказания услуг, внутренних документов (например, заключений), форма которых может быть определена в правилах внутреннего контроля. Письменные заключения должны содержать конкретизацию и детализацию по технологиям предоставления услуг и позволять сделать однозначный вывод о присвоенном уровне риска. Использование такого варианта работы с технологиями оказания услуг, который прописывается в тексте правил, на наш взгляд является более оптимальным и эффективным. Кроме того, нормативные акты Банка России, предписывающие организациям делать оценку риска технологий предоставления услуг, устанавливают лишь то, что в ПВК должен содержаться только порядок оценки указанного риска, но не перечень технологий. Недавно, один из наших читателей прислал нам фрагмент своих ПВК, в котором была прописана детализация оказания услуги по выдаче займов (ее этапы), но не было ни слова ни о порядке оценки их уровня риска, ни о сроках ее проведения, ни об используемых критериях. С одной стороны, складывалось первое впечатление о проработанности ПВК под конкретную организацию, но с другой стороны, отсутствие четкого прописанного порядка оценки технологий однозначно свидетельствовало о нарушении требований 445 Положения Банка России. Поэтому полагаем, что правила внутреннего контроля должны содержать четкую и понятную последовательность действий по оценке уровня риска, связанного с используемыми и планируемыми к использованию организацией технологиями предоставления услуг, сроки и периодичность проведения таких мероприятий, указание на лиц, участвующих в оценке риске, используемые критерии и закрепление форм используемых документов. Конкретизация и/или детализация по технологиям предоставления услуг, а также проставленные им уровни риска, могут оформляться во внутренних документах, составляемых в ходе реализации ПВК. Требования о детализации технологий в тексте ПВК по ПОД/ФТ/ФРОМУ не могут носить нормативный характер, а могут быть лишь рекомендациями, основанными на мнении отдельно взятого проверяющего. Павел Смыслов |