Non-Compliance: цена несоблюдения

Довольно много написано статей о важности хорошей системы комплаенс-контроля, под которой в контексте данной статьи будет подразумеваться система управления комплаенс риском и риском отмывания доходов[spoiler], полученных преступным путем, и финансирования терроризма (ОД/ФТ), а также иные связанные с этим вопросы.

Сотрясающие финансовый рынок скандалы и расследования показывают насколько негативно могут сказаться на деятельности организации бреши и недостатки в ее системе комплаенс-контроля. Как правило результатом таких фактом являются не только финансовые или репутационные потери, но и закрытие бизнеса либо открытые уголовные дела в отношении работников организации.
Когда-то давно финансовые организации функционировали и без системы комплаенс-контроля, часть схожего функционала исполняли штатные юристы, внутренние аудиторы или работники иных подразделений организации, и тогда этого было достаточно. Но время летит, меняются реалии, организации сталкиваются все с новыми вызовами. Именно в ответ на некоторые из них во многих организациях стали появляться работники (chief compliance officers) или подразделения, ответственные за вопросы комплаенс-контроля (compliance units).
В зависимости от специфики работы, размера или местонахождения организации ее видения комплаенс могут отличаться. Различные международные стандарты, такие как Рекомендации базельского комитета по банковскому надзору, ISO 19600 (compliance management systems) в части комплаенс для банков и финансовых организаций или, например, OSHA (the occupational safety and health act) в части соблюдения безопасности работников организации, BSA (bank secrecy act) или GDPR (general data protection regulation) в части защиты данных и банковской тайны либо иные другие неупомянутые мной стандарты, являются унифицированным видением того как должен выглядеть и чем должен заниматься комплаенс, в том числе. с учетом деятельности организации. Различные юрисдикции опираются на такие стандарты и в какой-то части дополняют их своими законодательными актами, актуальными или характерными для конкретной страны.

В некоторых странах и организациях отношение к комплаенс-контролю может варьироваться от относительно нейтрального до крайне негативного в силу того, что внедрение системы комплаенс-контроля требует определенных затрат (заработная плата работников, специальное программное обеспечение и т.п.). Вместе с тем и к счастью, последователей такой линии весьма мало и их количество уменьшается с каждым днем.

Задачей комплаенс-контроля является недопущение либо минимизация вышеуказанных угроз и событий. Как говорилось выше о функционале комплаенс-контроля, его трендах и пользе  написано достаточно, но давайте разберем ситуацию, когда вдруг и абсолютно неожиданно в организациях мира исчез комплаенс-контроль, в том числе, ответственный работник или подразделение, а также выстроенная ими система. Вот, что из этого получилось:

1. Штрафы и санкции
Будь то финансовая, добывающая, фармацевтическая или иная сфера, деятельность организации как правило регулируется различными требованиями законодательства, за которыми очень внимательно бдит один из регуляторов. Еще со времен вавилонского закона Хаммурапи виновный за какое-либо преступление наказывался. Так и в наше время, нарушение закона или нормативного правого акта влечет наказание в виде штрафов или иных санкций со стороны регулятора.
Отсутствие системы управления комплаенс-риском не способствует уменьшению штрафов и санкций, а напротив оставляет организацию беззащитной в вопросах соблюдения, которая в итоге может сильно поплатиться. Анализ рынка показывает, что размер затрачиваемого на внедрение и поддержание системы комплаенс-контроля в разы ниже возможных штрафов.
В 2018 году казахстанские банки были оштрафованы на общую сумму в 70 млн. тенге и эта сумма не является максимальной. Однако, не трудно догадаться, что без системы комплаенс-контроля данный показатель мог быть в разы больше.

2. Отсутствие комплаенс-культуры
Как правило, что не запрещено в организации, то разрешено. Отсутствие процессов по ознакомлению работников организации с основными требованиями внутренних документов или законодательства могут повлечь негативные последствия для организации.
Создание комплаенс-культуры является важным элементом работы системы комплаенс-контроля, который позволяет предотвратить либо минимизировать факты нарушений, допущенных работниками в процессе осуществления ими своей деятельности. Комплаенс-культура является частью корпоративной культуры и направлена на то, чтобы незнание требований не стало бомбой замедленного действия для организации.
Кроме того, данные недостатки вкупе с отсутствием четких разграничений в функционале работников может негативно сказаться на процессах организации, снизив их качество и оперативность.

3. Ландромат
Многие финансовые организации являются субъектами финансового мониторинга и обязаны осуществлять требования законодательства в части противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма (ПОД/ФТ). Данные мероприятия включают в себя процедуры знай своего клиента и позволяют не допустить вступление в деловые отношения с лицами, связанными с отмыванием доходов, полученных преступным путем, и финансированием терроризма (ОД/ФТ), обналичиванием, финансовыми пирамидами и прочими противоправными действиями.
Отсутствие указанных процессов неминуемо повлечет появление в клиентской базе организации всех вышеуказанных лиц со всеми вытекающими негативными последствиями, в том числе, организация станет частью ландромата, направленного на отмывание преступных денег. Данное утверждение аналогично и для контрагентов организации.
В 2017 году на Deutsche Bank были наложены штрафы на общую сумму в 200 млн. долларов США за отсутствие должной осмотрительности в отношении своих клиентов. Уже в 2018 году Danske Bank был втянут в крупный скандал, связанный с отмыванием денег в его эстонском филиале.

4. Высокорисковые продукты
Мир быстро меняется, различные сферы жизнедеятельности находятся в постоянном изменении, меняются интересы клиентов и, следовательно, продукты и услуги организации. В рамках жестокой конкуренции организации совершенствуют свои продукты и услуги, в том числе посредством инновационных решений.
Вместе с тем, без анализа данных решений на соответствие установленным требованиям и стандартам в части возможных комплаенс-риска или риска ОД/ФТ высока вероятность того, что организация может столкнуться с проблемами, вызванными недостаточной проработкой нового продукта или услуги, которая в свою очередь повлечет санкции со стороны регулятора либо жалобы и судебные иски со стороны клиентов.
Инновационный продукт в силу своей новизны и удобства может принести значительную прибыль организации, которая может превысить размеры потенциальных штрафов, но может и лишить организацию лицензии и возможности в дальнейшем работать на рынке.

5. Инсайдерская торговля
Фондовый рынок западных (и не только) стран сотрясают частые новости о баснословных штрафах за разглашение инсайдерской информации. Громкие дела, выступления представителей комиссии по ценным бумагам, семизначные штрафы в долларовом эквиваленте. Раскрытие инсайдерской информации несет риски для владельца и объекта такой информации, последствием которых может быть инсайдерская торговля.
В мировой практике под инсайдерской торговлей подразумеваются сделки с акциями, облигациями и иными ценными бумагами, в том числе производными (деривативами), основанные на инсайдерской информации, то есть информации, доступ к которой является конфиденциальным для общественности.
В большинстве стран мира инсайдерская торговля является противозаконной, так как нарушает принципы сохранности информации, конкуренции и честной торговли. За нарушение вышеуказанных норм, в том числе, в части незаконного раскрытия, передачи и использования инсайдерской информации или проведение сделок, основанных на такой информации, инсайдеры могут быть привлечены к административной и даже уголовной ответственности.
Отсутствие контроля за раскрытием указанной информации неминуемо повлечет тяжелейшие последствия для всех участников рынка: организации, ее владельцев и клиентов.
В 2011 году владельца Galleon Group приговорили к 11 летнему тюремному заключению и штрафу на сумму 59 миллионов за использование инсайдерской информации.

6. Отсутствие защиты данных клиентов
В дополнение к вышеуказанному пункту стоит отметить вопрос защиты банковской тайны или персональных данных клиента. Организация должна обеспечить безопасность полученных от клиента данных. В свою, очередь, отсутствие контроля за такой информацией и ее неправомерное раскрытие практически наверняка повлечет вопросы со стороны регулятора или иски со стороны клиентов.
Безусловно организация может (и скорее всего даже должна в целях повышения качества обслуживания) использовать данную информацию для определения профиля клиента и предоставления необходимых только ему продуктов и услуг, но ее защита от третьих лиц должна быть наиважнейшей задачей.
Организация рискует столкнуться с оттоком клиентов, разочаровавшихся в надежности организации, а также с административной и даже уголовной ответственностью.
В 2014 году одна из американских больниц была оштрафована на сумму в 4,8 млн. долларов США за утерю записей о более 6 тысяч ее пациентов.

7. Нарушение экстерриториальных законов
Закон США о налоговом соответствии иностранных счетов (FATCA) направлен на противодействие уклонению американских граждан и резидентов от уплаты налогов. Закон также имеет экстерриториальный характер и распространяется на многие страны мира, которые в рамках определенных моделей взаимодействия направляют информацию о гражданах и резидентах США, имеющих счета в их организациях, в Налоговую службу США (internal revenue service). В зависимости от модели участия, организации обязаны направлять информацию в Налоговую службу США напрямую либо посредством местных налоговых органов.
Аналогичные требований исходят и от глобальной версии FATCA – Common Reporting Standards (CRS), в которой объектом обмена информации становятся граждане других стран.
Организация, работающая с иностранными банками может столкнуться с рядом проблем если не исполняет данные требования (либо иные аналогичные требования), что может повлечь расторжение деловых отношений с контрагентами, закрытие бизнеса организации в отдельных странах или, например, повлечь 30 процентные штрафы со всех транзакций организации.
В апреле 2019 года Налоговая служба США сообщила, что ужесточает свою политику за соблюдением организациями требований FATCA.

8. Вывод активов
В мировой практике довольно широкое распространение получило понятие "Affiliated Person" (аффилированное лицо). Данным термином обозначают физические и юридические лица, которые в силу определенных связей способны влиять на деятельность других лиц. Связи могут быть как родственными, так деловыми, например, через владение совместным бизнесом или посредством трудового договора.
К сделкам юридических лиц с аффилированными лицами применяются дополнительные требования и ограничения, призванные защитить организацию и ее клиентов от возможных негативных последствий, вызванных, например, сговором аффилированных друг другу лиц.
Отсутствие контроля за данным вопросом может повлечь вывод активов из организаций. Для государственных и квазигосударственных организаций проблемой может являться коррупционные преступления.
Начиная с 2019 года в Республике Казахстан были ужесточены требования в части сделок с лицами, связанными с банком особыми отношениями, которые, в том числе, предусматривают значительные штрафы, а также лишение лицензии за подобные сделки, заключенные не в соответствии с требованиями местного законодательства.

9. Повышенная подверженность риску
Важной задачей комплаенс-контроля является выявление угроз и событий комплаенс-риска, а также координация вопросов по их устранения. Таким образом, организация борется как с отдельными нарушениями, так и системными недостатками в работе организации.
Контроль данных вопросов со стороны руководства организации важный инструмент управления комплаенс-риском. Оценка уровня подверженности организации комплаенс-риску позволяет понять насколько существенными являются для организации имеющиеся недостатки и нарушения.
Вместе с тем, отсутствие четкой картины по текущей ситуации в организации и уровню ее подверженности комплаенс-риску может негативно сказаться на принимаемых решениях организации.
В 2017 году компании Google был предъявлен огромный штраф на сумму в 2,7 млрд. долларов США за манипулирование результатами поиска и нарушение требований антимонопольного законодательства.

10. Санкционные списки
Политическая обстановка в мире диктует свои правила игры, которые должны учитываться и организациями. Слова и действия политиков зачастую весьма существенно влияют на финансовую сферу.
Инициаторами международных санкций выступают различные международные организации и государства. Из основных можно упомянуть санкции Совета безопасности ООН, обязательные для всех членов данной организации, а также санкции США и Европейского союза, которые в силу своей фактической экстерриториальности являются обязательными и для организаций, ведущих бизнес с организациями из США и Европейского союза.
Соответственно, организации должны иметь четкую политику в отношении международных санкций, понимать их влияние на деятельность организации и уметь оценивать связанные с этим риски. Если же этого нет, скорее всего с организацией перестанут работать их иностранные коллеги, для которых исполнение данных санкция является обязательным согласно требованиям законодательства или внутренних документов, или еще хуже организация сама попадет в санкционные списки за злостное нарушение санкционных программ.
В 2012 году Standard Chartered заплатил штраф в размере 667 млн. долларов США за нарушение санкций в отношении ведения бизнеса с Ираном. Начиная с 2014 года в санкционные списки США попало значительное количество крупных российских организаций.

Стоит отметить, что все вышеуказанное выше обобщенно и относится лишь к тем сферам, где комплаенс-контроль объективно нужен, причем данный перечень потенциально далеко не исчерпывающий для организаций, работающих без комплаенс-контроля.
Рекламодателю
Наминация