8. Какое воздействие должна оказывать оценка риска, проведенная финансовой организацией, на риск-аппетит?

Методология оценки риска ОД финансовой организации должна разрабатываться профильными экспертами компетентного подразделения, например подразделения, ответственного за соблюдение законодательства в сфере ПОД, и должна быть утверждена руководством высшего звена финансовой организации. Такие же требования распространяются и на оценку других рисков, в том числе связанных с применением санкций, взяточничеством и коррупцией.

Результаты оценки риска ОД позволяют определить текущий уровень остаточного риска ОД, принимаемого финансовой организацией. Для оценки стабильности портфеля рисков финансовой организации и выявления тенденций может осуществляться анализ происходящих изменений.

Необходимо определить, соответствует ли уровень остаточного риска уровню приемлемого риска ОД финансовой организации. В случае если уровень остаточного риска превышает уровень приемлемого риска ОД, следует рассмотреть меры по снижению присущего риска или улучшению условий осуществления внутреннего контроля, с тем чтобы уровень остаточного риска не вступал в противоречие с риск-аппетитом финансовой организации. В качестве альтернативного подхода можно рассмотреть адекватность риск-аппетита финансовой организации. При этом крайне важно обеспечить участие в этом процессе руководства высшего звена, поскольку риск-аппетит финансовой организации является ключевым фактором, оказывающим влияние на стратегические цели и мотивы принятия действий.

Можно провести сравнительный анализ риск-аппетита финансовой организации на основе других факторов, выходящих за рамки программы оценки риска ОД. Например, можно предложить ряд сценариев и (или) примеров рисков/неблагоприятных событий, характерных для финансовой организации, учитывающих пороговую величину ущерба (например, приемлемый уровень годового убытка в результате судебных процессов по гражданским делам).

Наряду с этим ряд типовых сценариев - как возможный элемент оценки риск-аппетита и предмет для обсуждения с руководителями высшего звена - может включать определяющие ожидаемые события (риск-аппетит) и подготовку отчетности об успешности и (или) недостатках (уровень остаточного риска) в отношении возникновения следующих рисков: репутационного, регуляторного рисков, рисков гражданской и уголовной ответственности.

1. Ущерб от возникновения репутационного риска. Репутационный ущерб, то есть подрыв доброго имени финансовой организации, может возникать по многим обстоятельствам. На репутацию финансовой организации негативно влияет, как правило, объявление о крупном расследовании по делу об отмывании денег (обычно по счетам и (или) операциям клиента), которое имеет либо с большой вероятностью может иметь серьезные финансовые последствия в форме санкций регуляторного, административного либо уголовного характера. Негативное воздействие на репутацию может быть оказано также существующими и потенциальными клиентами в связи с возможными обвинениями, в том числе по делам об уголовных правонарушениях, например об отмывании через банковский сектор коррупционных доходов публичных должностных лиц, о содействии в осуществлении операций финансирования терроризма или о сотрудничестве с сомнительными режимами.

2. Ущерб от возникновения регуляторного риска. Регулятивные нормы находятся в процессе постоянных изменений; наряду с этим происходит рост ожиданий в отношении того, что собой должна представлять адекватная риск-ориентированная программа ПОД. Увеличиваются число, частота, степень охвата и интенсивность соответствующих проверок и тестирований. Произошло значительное смещение ожиданий регуляторов в отношении стандартов ПОД: если ранее приемлемым считалось следование "хорошей" или "общепринятой" практике, то теперь нормой признается применение наивысших стандартов. По мере роста упомянутых ожиданий все сложнее становится внедрить действенный риск-ориентированный подход, если суждения о нем выносятся на основе нормативно-правового регулирования. Издержки, связанные с приведением систем внутреннего контроля в соответствие со стандартами и осуществлением ретроспективного анализа до возникновения нареканий со стороны регуляторов, могут быть значительными. За нарушения все чаще применяются санкции регуляторного характера, причем, как правило, со стороны нескольких органов регулирования, которые инициируют расследования по одним и тем же либо схожим правонарушениям. В рамках указанных действий на финансовую организацию может быть возложена обязанность принимать непрерывные меры, а также создать специальную группу, состоящую из назначенных регуляторами лиц, которая будет на месте осуществлять постоянный мониторинг реализации финансовой организацией действий по устранению недостатков своей системы внутреннего контроля.

3. Ущерб от возникновения риска гражданской ответственности. По мере увеличения числа гражданских исков (в том числе коллективных), в особенности о правонарушениях, связанных с несоблюдением санкционных режимов, финансированием терроризма, финансовыми мошенничествами с доверительной собственностью или невыполнением регуляторных предписаний, растет вероятность ущерба правового характера.

4. Ущерб от возникновения риска уголовной ответственности. Несмотря на то что ранее возникновение риска уголовной ответственности было исключительным событием, в настоящее время риск совершения уголовного правонарушения, связанного с недостатками в механизме ПОД финансовой организации, нельзя недооценивать. С выражением "слишком значимый, чтобы попасть в тюрьму" не согласны многие из тех, кто выступает за привлечение к уголовной ответственности, в том числе физических лиц, как за единственный способ обеспечить достаточное внимание и полное соблюдение финансовой организацией законов, регулятивных норм, а также соответствие ожиданиям.

Вне зависимости от того, каким образом результаты оценки риска ОД сравниваются с риск-аппетитом финансовой организации, принимаемые по итогам оценки меры должны быть четко сформулированы. В связи с этим крайне важно четко определить должностные функции и сферы ответственности, с тем чтобы обеспечить наличие действующей системы и процедур управления возможными последствиями, в случае если риски выходят за рамки риск-аппетита и механизма внутреннего контроля.