Банковское обозрение

Финансовая сфера


10.01.2020 Аналитика
Молчание — золото

Результаты предварительного исследования КПМГ организации функции внутреннего контроля по ПНИИИ/МР в России


Фаррух Абдуллаханов
Директор отдела консультирования по управлению рисками КПМГ в России и СНГ
Надежда Де ля Куэста
Менеджер отдела консультирования по управлению рисками КПМГ в России и СНГ

Регуляторы финансовых рынков прикладывают значительные усилия, чтобы современный финансовый мир развивался по пути конвергенции норм регулирования в области внутреннего контроля. Этот тренд наблюдается и в сфере противодействия неправомерному использованию инсайдерской информации и манипулированию рынком (далее — ПНИИИ/МР) в России.

В мае 2019 года вступили в силу поправки1 к Федеральному закону от 27.07.2010 № 224-ФЗ2, которые, по нашему мнению, логически продолжают тренд в части изменений законодательных требований с учетом ведущих рыночных практик, заданный Методическими рекомендациями Банка России от 14.09.2018 23-МР3. Можно ожидать, что вопрос организации эффективного внутреннего контроля по ПНИИИ/МР будет для участников рынка ценных бумаг и производных финансовых инструментов особенно актуальным с учетом международных трендов и работы, проводимой Департаментом противодействия недобросовестным практикам Банка России.

В марте 2019 года КПМГ (Группа по противодействию финансовым преступлениям) провела предварительное исследование организации функции внутреннего контроля по ПНИИИ/МР в России. Исследование было осуществлено в рамках нашего диалога с участниками рынка, начатого на конференции (на площадке КПМГ), посвященной вопросам осуществления внутреннего контроля по ПНИИИ/МР.

Респондентами исследования стали профессиональные участники рынка ценных бумаг, эмитенты, кредитные организации, осуществляющие расчеты по результатам сделок, совершенных через организаторов торговли, управляющие компании и другие участники рынка ценных бумаг и производных финансовых инструментов.

Наши респонденты получили 30 вопросов. Во многих вопросах была предусмотрена возможность указать более одного варианта ответа.

Можно с уверенностью утверждать, что результаты опроса подтвердили наши ожидания касательно необходимости уделять пристальное внимание обновленным требованиям по ПНИИИ/МР со стороны топ-менеджмента организаций-эмитентов, профессиональных участников рынка ценных бумаг, кредитных и страховых организаций и других. Скорее всего, требования законодательства будут значимым источником регуляторного риска.

Так, в результате нашего исследования мы увидели следующее: хотя большинство респондентов указали, что на момент опроса применяли отдельные лучшие практики и подходы, а некоторые отметили, что провели автоматизацию отдельных процессов, в целом участники рынка были склонны переоценивать зрелость системы внутреннего контроля по ПНИИИ/МР в своих организациях.

Результаты исследования также указывают на три наиболее значимых области дальнейшего развития функции внутреннего контроля по ПНИИИ/МР:

  • применение дифференцированного подхода к обучению сотрудников и инсайдеров;
  • автоматизация процессов системы внутреннего контроля;
  • ежегодное осуществление оценки зрелости процессов внутреннего контроля с последующей разработкой комплаенс-плана по ПНИИИ/МР.

Предлагаем ознакомиться с результатами нашего исследования более подробно в разрезе пяти блоков.

Блок 1. Организация функции внутреннего контроля по ПНИИИ/МР

В рамках первого блока исследования мы рассмотрели вопросы подхода респондентов к построению функции внутреннего контроля по ПНИИИ/МР. Уже на этапе анализа первого блока исследования нами была сформирована гипотеза о переоцененности участниками рынка уровня зрелости системы внутреннего контроля, которая была в дальнейшем подтверждена.

Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»

В подтверждение вышеупомянутой гипотезы, с одной стороны, большинство (88%) респондентов высказались за применение передовых рыночных практик в сфере ПНИИИ/МР. Более того, больше половины респондентов (55%) указали, что не планируют значительно изменять систему внутреннего контроля в преддверии вступления в силу поправок к Федеральному закону 27.07.2010 № 224-ФЗ, так как, по их мнению, система уже соответствует предъявляемым к ней новым требованиям.

С другой стороны, как показали последующие ответы в рамках исследования, всего четверть респондентов (24%) внедрили принцип «Тон сверху», только треть респондентов (29%) используют автоматизированные системы для мониторинга операций на рынке ценных бумаг, и лишь 14% респондентов отметили, что в их организации соблюдаются «открытые» и «закрытые» периоды. Это несоответствие внутренних ожиданий и предпринимаемых мер продемонстрировано на рис. 1 и 2.

Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»

Блок 2. Система внутреннего контроля с точки зрения корпоративного управления

В рамках нашей деятельности мы часто изучаем функции и положения служб внутреннего контроля в организационной структуре компаний, вопросы подчиненности и количества сотрудников в подразделении внутреннего контроля, а также вопросы внутренних коммуникаций. Поэтому в рамках второго блока мы уделили внимание теме «Системы внутреннего контроля с точки зрения корпоративного управления».

Результаты опроса показали, что почти у 70% респондентов Служба внутреннего контроля выступает в качестве подразделения, ответственного за ПНИИИ/МР, в рамках их организационной структуры. Наиболее распространенное количество сотрудников в ответственном подразделении — от двух до трех человек (49% респондентов). Однако при этом треть респондентов (31%) указали, что в их организации функцию ПНИИИ/МР выполняет только один сотрудник. Респонденты в ответах обозначили, что соблюдают требования к независимости ответственного должностного лица (далее — ОДЛ). В то же время мы отметили наличие переходного состояния в отношении административной подчиненности ОДЛ — у некоторых респондентов ОДЛ подотчетен единоличному исполнительному органу (в соответствии с требованиями Федерального закона от 03.08.2018 № 310-ФЗ), а у некоторых — Совету директоров.

 

Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России».

Ответы, представленные респондентами на указанные выше вопросы, указывают на то, что внутрикорпоративное управление в части внутреннего контроля по ПНИИИ/МР в целом не противоречит текущим требованиям российского законодательства. Однако далеко не всегда организации готовы применять лучшие практики в этой области. Данное замечание подтверждает высказанную нами выше гипотезу о возможной переоцененности участниками опроса уровня зрелости функции внутреннего контроля по ПНИИИ/МР.

По результатам опроса мы увидели, что важнейший принцип организации системы внутреннего контроля — принцип «Трех линий защиты» — пока внедрен не полностью. Так, чуть менее половины респондентов (45%) отметили, что учли этот принцип в полной мере при формировании организационной структуры. Еще четверть респондентов (26%) указали, что частично внедрили его (с преимущественным вовлечением двух из трех линий защиты). Однако оставшаяся часть респондентов (27%) только планирует внедрение принципа «Трех линий защиты».

Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»

Кроме того, в подтверждение неполного применения участниками рынка лучших практик, возможно, показателен подход к организации системы информирования о нарушениях в сфере НИИИ/МР — «горячую линию» для целей ПНИИИ/МР не используют большинство респондентов (71%).

Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России».

В рамках исследования нам, к сожалению, не удалось получить однозначную информацию о применяемом респондентами подходе к информированию об инцидентах. Уведомления о нарушениях от сотрудников (в соответствии с предоставленными ответами) получают в основном непосредственные руководители подразделений сотрудников и ОДЛ / Службы внутреннего контроля, однако только 12% респондентов информируют единоличный исполнительный орган, 6% респондентов — Службу внутреннего аудита, и лишь 4% респондентов — Службу управления рисками и Совет директоров. Результаты, полученные в рамках данного вопроса, мы считаем несколько противоречивыми и поэтому планируем уточнить информацию в последующих исследованиях.

Блок 3. Обучение и информирование

В третьем блоке освещены аспекты, связанные с формированием у сотрудников культуры управления риском НИИИ/МР. Ответы респондентов указывают на отсутствие явных противоречий существующей функции внутреннего контроля по ПНИИИ/МР законодательным требованием. Однако мы видим, что существенной зоной развития является внедрение одной из ведущих практик — риск-ориентированного подхода, что, в целом, также может указывать на некоторую переоцененность уровня зрелости функции внутреннего контроля на момент проведения исследования. Результаты этого блока также указывают на вторую значимую область развития функции внутреннего контроля по ПНИИИ/МР — применение подхода дифференцированного обучения.

В частности, подавляющее большинство респондентов (96%) осуществляют обучение сотрудников по вопросам ПНИИИ/МР, что демонстрирует наличие комплаенс-контроля по соответствию законодательным требованиям. Однако две трети респондентов (69%) проводят обучение сотрудников посредством рассылки учебных материалов, регуляторных обзоров, изменений законодательства для самостоятельного ознакомления. Кроме того, только треть (35%) респондентов очно обучает своих сотрудников, и лишь 14% респондентов осуществляют проверку знаний по итогам обучения (тестирование). Информационные плакаты используют всего 6% респондентов.

Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России».

В отношении неполного применения риск-ориентированного подхода в рамках обучения также показательны ответы на вопрос, в котором респондентам предлагалось указать те подразделения, которые участвуют в углубленных обучающих мероприятиях (ключевое слово — «углубленные». — Авт.). Наиболее популярным ответом (76%) стал следующий: «Все сотрудники структурных подразделений, имеющие доступ к инсайдерской информации клиентов / самой организации».

Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»

Блок 4. Роль информационной безопасности и автоматизированных систем

В четвертый блок мы включили вопросы использования IT-систем для целей ПНИИИ/МР в двух аспектах: взаимодействие со Службой информационной безопасности и автоматизация процессов. Основываясь на опыте КПМГ, мы считаем, что внедрение принципов информационной безопасности и автоматизация процессов — значимая область для целей повышения эффективности функции внутреннего контроля по ПНИИИ/МР. Этому аспекту уделяется значительное внимание в Методических рекомендациях Банка России от 14.09.2019 № 23-МР.

В целом, респонденты отметили, что в целях ПНИИИ/МР достаточно активно взаимодействуют со Службой информационной безопасности, но многие еще не полностью внедрили принципы информационной безопасности в систему внутреннего контроля. Также ответы позволяют сделать вывод о том, что автоматизация процессов внутреннего контроля находится на начальной стадии внедрения: процессы осуществляются в основном вручную, доработка автоматизированных систем реализуется преимущественно с использованием внутренних кадровых ресурсов.

Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»

Рассматривая взаимодействие со Службой информационной безопасности, мы задали респондентам вопрос о целях взаимодействия Службы внутреннего контроля (ОДЛ) со Службой информационной безопасности. Среди респондентов наиболее популярными стали следующие ответы: недопущение неправомерного доступа к инсайдерской информации и обеспечение безопасности ее хранения (73%), проведение внутренних расследований (65%), выявление фактов несанкционированных попыток доступа к инсайдерской информации (65%) и другие. При этом только 22% респондентов указали, что принципы информационной безопасности внедрены в систему внутреннего контроля в соответствии с Методическими рекомендациями Банка России от 14.09.2018 № 23-МР.

Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»

В отношении применения одного из значимых инструментов внутреннего контроля — автоматизации — были получены ответы, которые, с одной стороны, подтверждают гипотезу о переоцененности участниками рынка уровня зрелости системы внутреннего контроля, а с другой стороны, указывают на одну из самых важных областей развития функции внутреннего контроля по ПНИИИ/МР.

В частности, треть респондентов указали на отсутствие автоматизации процессов. Остальные респонденты отметили лишь отдельные автоматизированные процессы: выявление нестандартных заявок и сделок на предмет подозрений в манипулировании рынком (29%), ведение списка инсайдеров (22%), проведение обучающих мероприятий для сотрудников (20%) и другие. Для проведения преобразований автоматизированной системы внутреннего контроля только 18% респондентов привлекают внешних экспертов — вендоров IT-решений и консультантов, остальные используют внутренних специалистов.

Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России»

Блок 5. Оценка эффективности и зрелости процессов

В последнем, пятом блоке рассмотрены вопросы осуществления оценки зрелости системы внутреннего контроля по ПНИИИ/МР. Ответы респондентов указывают на то, что функция внутреннего контроля по ПНИИИ/МР как часть интегрированной комплаенс-функции с присущей ей оценкой зрелости и составлением комплаенс-плана находится на стадии становления. По нашему мнению, оценка зрелости функции внутреннего контроля и разработка комплаенс-плана являются третьей наиболее значимой областью развития функции внутреннего контроля по ПНИИИ/МР.

Осуществление оценки зрелости функции внутреннего контроля на ежегодной основе необходимо для формирования у топ-менеджмента организации комплексного понимания качества указанной функции. Тем не менее почти половина респондентов (45%) не проводят оценку зрелости функции внутреннего контроля по ПНИИИ/МР, и только треть респондентов (31%) осуществляют ее в рамках проверок внутреннего аудита либо ОДЛ.

Что касается составления комплаенс-плана (дорожной карты) для целей ПНИИИ/МР — важной составляющей интегрированного подхода в рамках развития комплаенс-функции, подавляющее большинство респондентов (72%) указали, что комплаенс-план не разрабатывается. Остальные 28% респондентов либо составляют комплаенс-план первый раз на момент проведения исследования, либо разрабатывают и утверждают его на ежегодной основе.

Источник: Исследование КПМГ «Организация функции внутреннего контроля по ПНИИИ/МР в России

Основные выводы

Таким образом, результаты исследования скорее подтверждают нашу гипотезу о высокой вероятности того, что организации — субъекты Федерального закона от 27.07.2010 № 224-ФЗ склонны переоценивать уровень зрелости функции внутреннего контроля по ПНИИИ/МР. С одной стороны, организации приводят свои процессы в соответствие с регуляторными требованиями, с другой стороны, внедрение риск-ориентированного подхода, позволяющего в значительной мере повысить эффективность функции, находится на стадии становления.

Руководствуясь нашим профессиональным опытом, мы выделили следующие области в качестве перспективных направлений развития функции внутреннего контроля по ПНИИИ/МР:

  • применение дифференцированного подхода к обучению сотрудников и инсайдеров;
  • автоматизация процессов системы внутреннего контроля;
  • ежегодное осуществление оценки зрелости процессов внутреннего контроля с последующей разработкой комплаенс-плана по ПНИИИ/МР.

1. Федеральный закон от 03.08.2018 № 310-ФЗ «О внесении изменений в Федеральный закон "О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации" и отдельные законодательные акты Российской Федерации».
2. Федеральный закон от 27.07.2010 № 224-ФЗ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации».
3. Методические рекомендации Банка России от 14.09.2018  № 23-МР по разработке и утверждению порядка доступа к инсайдерской информации и правил охраны ее конфиденциальности.




Присоединяйся к нам в телеграмм