Проект
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
(БАНК РОССИИ)
«_____»____________2016 г. №______
г. Москва
Концепция
организации системы внутреннего контроля для некредитных
финансовых организаций
Глава 1. Контрольная среда.
НФО следует организовать систему внутреннего контроля,
обеспечивающую достижение следующих целей:
1) Эффективность и результативность осуществления
деятельности при совершении операций и иных сделок, направленных на
достижение целей, определенных учредительным документом организации.
В том числе эффективность управления активами/пассивами, управление
рисками.
2) Достоверность, полнота и своевременность представления
всех видов отчетности (для внешних и внутренних пользователей, а также
защищенность интересов (целей) НФО в информационной сфере;
3) Соблюдение нормативных правовых актов, стандартов
саморегулируемых организаций учредительных и внутренних документов
НФО, а также этических норм, в том числе следующих из обычая или
2
практики, установившейся при осуществлении соответствующего вида
деятельности;
4) Исключение вовлечения НФО и участия ее работников в
противоправной деятельности, в том числе легализации (отмывания)
доходов, полученных преступным путем, и финансирования терроризма.
Эффективность системы внутреннего контроля обеспечивается:
1) Позицией руководителей (исполнительных органов, Совета
директоров) НФО в отношении обязательности исполнения и соблюдения
работниками НФО соответствующих требований и норм, в том числе
этических (“tone at the top”).
2) Соблюдением принципа трех «линий защиты»:
а. Первая «линия защиты» обеспечивается владельцами
рисков, работающими у источника их возникновения: каждым сотрудником
и подразделением.
б. Вторая «линия защиты» обеспечивается органами
внутреннего контроля, в том числе следующими контрольными функциями:
функцией контроля за управлением рисками, функцией комплаенс (включая
ПОД/ФТ и ПНИИИМР); актуарной функцией в случае ее наличия, функция
информационной безопасности и ИТ процессов.
в. Третья «линия защиты» представлена функцией
внутреннего аудита, осуществляющей мониторинг и оценку эффективности
системы внутреннего контроля.
3) Необходимой и достаточной внутренней коммуникацией, а
именно:
•информированием работников о требованиях, установленных в
организации в отношении внутреннего контроля и обязательности их
соблюдения;
•обучением отдельных категорий работников, являющихся
владельцами рисков.
3
4) Мониторингом и постоянным совершенствованием
системы внутреннего контроля, направленных на обеспечение ее
эффективного функционирования, в том числе с учетом меняющихся
внутренних и внешних факторов, оказывающих воздействие на деятельность
НФО.
Глава 2. Система органов внутреннего контроля НФО.
Внутренний контроль в соответствии с внутренними и
учредительными документами НФО осуществляют:
1) Органы управления НФО;
2) Главный бухгалтер НФО.
3) Ревизионная комиссия НФО (при наличии);
4) Другие работники и подразделения, осуществляющие
внутренний контроль в соответствии с полномочиями, определенными
внутренними организационно-распорядительными документами НФО и
требованиями законодательства Российской Федерации, в том числе:
а. Служба внутреннего аудита (внутренний аудитор) (далее - СВА)
– осуществляет функцию внутреннего аудита (оценка эффективности
системы внутреннего контроля) в соответствии с пунктом 3.1. настоящей
концепции;
б. Служба внутреннего контроля (контролер) (далее - СВК) -
осуществляет функцию комплаенс (обеспечение соответствия деятельности
компании имеющимся регуляторным требованиям, включая ПОД/ФТ и
ПНИИИМР) в соответствии с пунктом 3.2. настоящей концепции.
Помимо ответственного за организацию обработки персональных
данных1
, рекомендуется выделение функции, обеспечивающей контроль за
информационной безопасностью, организацию и координацию комплексной
защиты ИТ процессов и систем.
1 В соответствии с Федеральным законом от 27.07.2006 N 152-ФЗ (ред. от 21.07.2014) "О персональных
данных" (с изм. и доп., вступ. в силу с 01.09.2015), ст. 18.1
4
Наличие СВК и СВА является необходимым для всех НФО.
Вместе с тем, в случае, если размер и специфика деятельности, специфика
принимаемых рисков НФО, численный состав или иные объективные
причины не позволяют обеспечить создание и нормальное
функционирование указанных служб, НФО рекомендуется утвердить
внутренний документ, объясняющий причины невозможности создания
специальных служб. В этом случае ответственность за внутренний контроль
полностью несут органы управления НФО.
Лица, возглавляющие СВК (контролеры) и СВА (внутренние
аудиторы) должны обладать специальными и необходимыми навыками для
осуществления возложенных на них обязанностей, а также проходить
обучение и повышение квалификации (как минимум на ежегодной основе).
Минимальные квалификационные требования к указанным лицам,
закрепляются в специальных нормативных актах Банка России.
НФО следует обеспечить подразделения и их работников,
осуществляющие внутренний контроль:
• ресурсами (материальными, техническими, кадровыми),
необходимыми и достаточными для достижения поставленных перед ними
задач;
• доступом к информации, необходимой для осуществления
соответствующей функции;
• соответствующей структурой вознаграждения (для обеспечения
независимости и отсутствия конфликтов интересов контрольных функций,
деятельность которых непосредственно связана с принятием рисков в
организации, НФО следует разработать Положение о вознаграждении).
НФО следует обеспечить независимость СВА и СВК.
Подразделения, осуществляющие функции внутреннего контроля, следует
отделить от подразделений, выполняющих бизнес-функции (являющихся
владельцами рисков), в том числе для целей обеспечения отсутствия
конфликта интересов.
5
СВА (Функция внутреннего аудита) не может быть совмещена с
другими контрольными функциями, так как является третьей «линией
защиты» и отвечает за оценку эффективности системы внутреннего
контроля.
СВА находится в непосредственном подчинении Совета директоров
(наблюдательного совета), или при его отсутствии общего собрания
акционеров (участников) НФО (Комитета по аудиту Совета директоров при
его наличии).
В отдельных случаях на усмотрение органов управления НФО СВА может
подчиняться единоличному исполнительному органу НФО.
Непосредственная подчиненность выражается в следующих
полномочиях Совета директоров по отношению к СВА:
а. утверждение положения о деятельности СВА;
б. утверждение плана работ СВА и бюджета СВА, включая размер
вознаграждения руководителя СВА;
в. рассмотрение отчетов СВА;
г. осуществляет назначение на должность (освобождение от
должности) руководителя СВА.
Должностные лица / подразделения, осуществляющие иные
контрольные функции, могут находиться в подчинении:
• Единоличного исполнительного органа НФО, либо
• Члена коллегиального исполнительного органа НФО, функции
которого обеспечивают отсутствие конфликта интересов или управление им.
Осуществление контрольных функций, может быть передано на
аутсорсинг:
1) Функции внутреннего контроля, включая внутренний аудит,
могут осуществляться централизованно на базе одной из компаний группы, в
которую входит НФО, при условии, что она является НФО или кредитной
организацией.
6
2) Функции внутреннего контроля, за исключением внутреннего
аудита, могут быть переданы на аутсорсинг, о чем НФО рекомендуется
уведомить Банк России.
Глава 3. Основные задачи органов внутреннего контроля
(функционал).
СВА (Функция внутреннего аудита) выполняет следующие
задачи:
1) Проверка и оценка эффективности системы внутреннего
контроля в целом;
2) Проверка эффективности методологии оценки рисков и
процедур управления рисками, установленных внутренними документами
НФО;
3) Проверка и тестирование достоверности, полноты и
своевременности бухгалтерского учета и отчетности НФО;
4) Проверка применяемых способов (методов) обеспечения
сохранности имущества НФО;
5) Оценка экономической целесообразности и эффективности
совершаемых НФО сделок и операций;
6) Проверка процессов и процедур внутреннего контроля;
7) Другие вопросы, предусмотренные внутренними документами
НФО.
СВА по результатам проводимых проверок своевременно информирует
Совет директоров, Единоличный исполнительный орган НФО о выявленных
проблемах и нарушениях, дает рекомендации по их устранению.
СВК (Функция комплаенс) выполняет следующие задачи:
1) Управление (выявление, мониторинг, разработка комплекса мер,
направленных на минимизацию) регуляторным риском НФО (риском
возникновения у НФО убытков из-за несоблюдения законодательства
Российской Федерации, стандартов саморегулируемых организаций (если
7
такие стандарты или правила являются обязательными для НФО), а также в
результате применения санкций и (или) иных мер воздействия со стороны
надзорных органов);
2) Анализ целесообразности заключенных НФО договоров на
оказание услуг и (или) выполнение работ, обеспечивающих деятельность
НФО, в том числе связанных с передачей контрольных функций на
аутсорсинг;
3) Разработка внутренних документов, направленных на:
• противодействие коммерческому подкупу и коррупции;
• соблюдение правил корпоративного поведения, норм
профессиональной этики;
• противодействие мошенничеству (внешнему и внутреннему);
• выявление конфликта интересов и управление им в деятельности
НФО;
• контроль соблюдения правил и реализации программ по
противодействию легализации (отмыванию) доходов, полученных
преступным путем, и финансированию терроризма;
• контроль соблюдения правил/порядка доступа к инсайдерской
информации, правила охраны ее конфиденциальности и контроля за
соблюдением требований законодательства о противодействии
неправомерному использованию инсайдерской информации и (или)
манипулированию рынком;
• информирование и обучение работников НФО в отношении
регуляторного риска, а также значения функции внутреннего контроля в
НФО.
СВК вправе осуществлять иные функции, связанные с управлением
регуляторным риском, минимизацией риска мошенничества и коррупции,
возложенные на нее внутренними документами НФО.
8
Глава 4. Направления деятельности НФО, требующие
дополнительного контроля.
Следующие направления деятельности НФО требуют дополнительных
контролей:
1) Аутсорсинг;
2) Соблюдение прав клиентов, включая работу с жалобами
клиентов путем анализа их статистики и причин возникновения;
3) Непрерывность деятельности НФО, обеспечивающей
операционную непрерывность в области бизнес-процессов и работы
информационных систем НФО;
4) Процесс разработки и одобрения новых продуктов НФО, включая
согласование с Правлением НФО.
Указанные направления деятельности НФО подлежат отдельной
оценке, установлению контролей, мониторингу и проверке на регулярной
основе, в том числе структурными подразделениями, отвечающими за
внутренний контроль.
Глава 5. Документальное обеспечение деятельности системы
внутреннего контроля.
Внутренняя документация, регламентирующая систему
внутреннего контроля, как минимум предполагает:
а. Описание ее организационной структуры, включая структуру
системы органов внутреннего контроля НФО;
б. Определение обязанностей и полномочий, закрепленных за
органами внутреннего контроля и соответствующими структурными
подразделениями;
в. Определение подотчетности структурных подразделений,
осуществляющих контрольные функции;
г. Описание взаимодействия между подразделениями,
осуществляющими контрольные функции и органами управления НФО.
9
СВК и СВА следует разработать внутренние документы,
регламентирующие их деятельность в НФО, в которых как минимум,
рекомендуется закрепить:
а. Организационную структуру;
б. Функции и полномочия;
в. Описание способов и методов, используемых в своей
деятельности.
Рекомендуется, чтобы документация, регламентирующая
деятельность функции внутреннего аудита, помимо положения об
организации и осуществлении внутреннего аудита, также включала описание
ее деятельности (например, план по аудиту) и порядок назначения на
должность (освобождения от должности) руководителя функции внутреннего
аудита.
Документацию, обеспечивающую эффективное
функционирование системы внутреннего контроля, рекомендуется
пересматривать на регулярной основе (не реже одного раза в год) и иметь
систематизированный характер.
В целях реализации задач внутреннего контроля НФО во
внутренней документации рекомендуется отразить вопросы:
1) поведения и этики;
2) информационной безопасности;
3) правил внутреннего контроля по противодействию
мошенничеству (внутреннему и внешнему);
4) противодействия коррупции, включая, но не ограничиваясь
политикой «Gift and entertainment policy»;
5) управления конфликтом интересов;
6) обеспечения непрерывности деятельности;
7) порядка проведения проверок внутреннего аудита;
8) иные вопросы, необходимые для полноценной реализации
Контрольных функций.
10
НФО самостоятельно определяет формат и количество документов,
отражающих вышеуказанные вопросы, руководствуясь масштабами
деятельности, системой корпоративного управления и организационной
структурой НФО.
Глава 6. Отчетность.
НФО следует регулярно подготавливать и предоставлять
уполномоченным лицам и органам внутреннюю отчетность и результаты
проводимой самооценки эффективности работы данной системы.
Отчетность включает внутреннюю отчетность, формируемую
органами, осуществляющими контрольные функции, и представляемую в
адрес органов управления НФО, и внешнюю отчетность, предоставляемую
НФО в Банк России.
Внутренняя отчетность:
1) Периодичность и формат внутренней отчетности Контрольных
функций перед исполнительными органами НФО устанавливаются НФО
самостоятельно.
2) СВА/внутренний аудитор регулярно (по мере осуществления
проверок, но не реже одного раза в год) информирует Совет директоров о
результатах проверок эффективности системы внутреннего контроля с
отражением элементов, рассматриваемых в рамках оценки эффективности
системы внутреннего контроля (раздел 7 настоящей концепции).
Внешняя отчётность
1) Отчет о системе внутреннего контроля, предоставляемый Банку
России на ежегодной основе.
2) НФО также следует внепланово уведомлять Банк России о
существенных изменениях, влияющих на систему внутреннего контроля.
3) НФО следует соблюдать другие требования, предъявляемые к
предоставлению внешней отчетности в отношении отдельных элементов
11
системы внутреннего контроля, закрепленные в законодательстве
Российской Федерации.
Глава 7. Внутренняя оценка эффективности системы внутреннего
контроля.
Внутренняя и внешняя отчетность по системе внутреннего
контроля формируется по результатам процедур, направленных на
внутреннюю оценку эффективности системы внутреннего контроля.
Рекомендуется, чтобы указанные процедуры, как минимум, включали в себя
оценку следующих элементов:
а. Система внутреннего контроля;
б. Система управления рисками;
в. Система корпоративного управления.
Объем проводимой оценки системы внутреннего контроля
определяется Советом директоров, но следует включить в него информацию:
7.1. По оценке эффективности системы внутреннего контроля:
а. проведение анализа соответствия целей бизнес-процессов,
проектов и структурных подразделений целям НФО, в том числе
эффективности утвержденных процедур;
б. анализ деятельности противодействия противоправным
действиям, злоупотреблениям и коррупции;
в. проверка обеспечения достоверности финансово-хозяйственной
деятельности НФО;
г. выявление недостатков системы внутреннего контроля;
д. оценка результатов реализации мероприятий по устранению
выявленных недостатков системы внутреннего контроля;
е. проверка эффективности и целесообразности использования
ресурсов;
ж. проверка обеспечения сохранности активов;
12
з. проверка соблюдения требований законодательства, устава и
внутренних документов НФО.
7.2. По оценке эффективности системы управления рисками:
а. проверка достаточности и зрелости элементов системы
управления рисками для эффективного управления ими;
б. проверка полноты выявления и корректность оценки рисков;
в. анализ информации о реализовавшихся рисках.
7.3. По оценке эффективности системы корпоративного управления:
а. проверку соблюдения этических принципов и корпоративных
ценностей;
б. оценку порядка постановки целей общества, мониторинга и
контроля их достижения;
в. анализ уровня нормативного обеспечения и процедур
информационного взаимодействия.
Совет директоров несет ответственность за инициацию
проведения оценки эффективности системы внутреннего контроля, а также за
утверждение ее итогов, что следует закрепить во внутренней документации
НФО. Рекомендуется, чтобы указанная документация устанавливала
периодичность оценки эффективности системы внутреннего контроля (не
реже одного раза в год).
НФО самостоятельно определяет процедуры и методы
внутренней оценки эффективности системы внутреннего контроля
(например, использование результатов проверок внутреннего аудита или
внедрение отдельных процедур).
Глава 8. Особенности надзора за соблюдением НФО требований к
системе внутреннего контроля.
Банк России проводит оценку качества системы внутреннего
контроля НФО на основании:
8.1.1. Отчета о системе внутреннего контроля;
13
8.1.2. Результатов проверок, проводимых Банком России в
отношении НФО.
Банк России осуществляет оценку системы внутреннего контроля
НФО самостоятельно или с привлечением третьей стороны согласно
положениям действующего российского законодательства.
