Після виходу постанови НБУ №64 банки почали пошук рішення, яке має відповідати постанові, у якій регулятор описав рекомендації до організації банківського комплаєнсу з ліній довіри. Банківські установи, незалежно від форми власності, уже мають відповідати певним мінімальним критеріям та у визначені терміни запровадити зміни. Законодавче регулювання таких питань є досить поширеною практикою у світі.
Уже більше ніж 40 років робляться кроки для законодавчого регулювання сфери комплаєнсу ліній довіри. Наприклад, у США це Forreign Corrupt Practices Act of 1977 (FCPA), у Франції це SAPIN II Law, також є Стандарт ISO 37001.
Однією з останніх законодавчих ініціатив є Директива ЄС A8-0398/2018 “Про захист викривачів щодо порушення законодавства” від 16 квітня 2019 року. У директиві робиться акцент на захисті анонімності заявників: вона стосується всіх компаній незалежно від форм власності, у яких налічується понад 50 працівників.
Після впровадження вимог регулятор почав поступово предметно пояснювати, що необхідно. Ми розібралися в цьому та порівняли зі стандартною практикою.
Механізм конфіденційного повідомлення про неприйнятну поведінку в банку
Важливо зауважити, що слід розрізняти поняття анонімності та конфіденційності. Ми писали в окремій статті, наскільки важливим є забезпечення анонімності.
Першим акцентом регулятора є механізм конфіденційного повідомлення. Добре, що регулятор звертає на це увагу та прописує в постанові. Але, на нашу думку, треба йти далі та давати інформаторам більше, а саме можливість не просто зберегти конфіденційність, але й анонімність, якщо вони того бажають. Анонімність має бути опцією на вибір, і це є гарною практикою.
Регулятор не вказує конкретно, що розуміється під визначенням неприйнятна поведінка. Але зрозуміти це можна, дивлячись на таблицю класифікації подій, що призводять до втрат. З таблиці, робимо висновок що неприйнятна поведінка, це все що стосується типу подій 1-го рівня та більш детально розписано в типах подій 2-го рівня.
Класичні системи дають обирати інформатору до котрої міри він бажає розкрити себе. Для банківського рішення така опція не завадить. Що стосується класифікації повідомлень про неприйнятну поведінку, у класичних системах є можливість мати як велику кількість окремих ризиків, так і гуртувати їх для зручної обробки.
КЛАСИФІКАЦІЯ подій, що призводять до втрат (Постанова НБУ №64)
| Тип події 1-го рівня | Тип події 2-го рівня |
| Внутрішнє шахрайство | Несанкціонована діяльність |
| Шахрайство та викрадення | |
| Зовнішнє шахрайство | Шахрайство та викрадення |
| Порушення безпеки інформаційних систем | |
| Управління персоналом та охорона праці | Неналежні трудові відносини з персоналом |
| Неналежна безпека робочого середовища | |
| Дискримінація | |
| Клієнти, продукти та норми ділової практики | Неналежне надання рекомендацій клієнтам, порушення вимог до розкриття інформації, порушення фідуціарних обов'язків |
| Неналежні норми ведення діяльності | |
| Недоліки продуктів | |
| Встановлення відносин із клієнтом, спонсорство, ризики | |
| Консультаційні послуги | |
| Виконання переказів, надання платіжних доручень у здійсненні переказів та управління процесами | Збої в підготовці та виконанні операцій |
| Неналежний моніторинг та звітування | |
| Помилки в залученні клієнтів та створенні належної документації | |
| Неналежне управління рахунками клієнтів | |
| Проблеми з постачальниками (включаючи аутсорсинг) |
http://zakon.rada.gov.ua/laws/show/v0064500-18
Контроль за дотриманням механізму
Проконтролювати дотримання такого механізму дуже просто — віддати на аутсорсинг. Оскільки в іншому випадку, коли такий механізм створюється власноручно, буде більше проблем ніж рішень. Адже треба контролювати власних співробітників, аби вони не намагалися розкрити конфіденційність чи анонімність заявників. Також, треба переконати заявників, що вони мають гарантії тієї ж конфіденційності чи анонімності.
Досліджуючи стан банківського комплаєнсу з ліній довіри, ми помітили окозамилювання, адже якщо прийняти наше розуміння слова контроль, то виявиться, що більшість банків не комплаєнсі. У п. 100 постанови регулятор вказує, що Банк розробляє процедури агрегування даних щодо ризиків, що забезпечують виконання таких принципів: точність і цілісність; повноту даних; своєчасність; адаптивність. За тим як виконуються такі принципи, можна оцінити ефективність механізму конфіденційного повідомлення та здійснювати належний контроль за ним.
Класичні системи мають на меті схожі принципи, про які говориться в постанові про агрегування даних щодо ризиків: точність і цілісність; повноту даних; своєчасність; адаптивність. А головне, що такі системи вже є, вони доступні й поруч: немає потреби робити це все власними силами.
Класифікація подій та база подій комплаєнс ризику
НБУ розробив досить якісну класифікацію подій, розбивши їх на 2 типи - 1-го та 2-го рівнів. Така класифікація допомагає якісно групувати та структурувати отриману інформацію. А у випадку з банками, надалі така класифікація допоможе заповнити та наповнити базу подій комплаєнс ризику.
Гарною практикою є класифікація отриманої інформації. Ця можливість є і в класичних системах, але вони пішли далі. Класичні системи дозволяють розподіляти кейси між співробітниками залежно від типу події, мати заготовлені сценарії роботи з такими кейсами та допомагають провести розслідування.
Дослідження випадків неприйнятної поведінки в банку
Після отримання повідомлення, дуже важливо як його будуть розглядати. Процес розгляду вплине на факти та докази, що буде зібрано. А зібрані факти та докази, своєю чергою впливають на кінцеве рішення по конкретному повідомленню. Від ефективного розгляду питання та реакції буде залежати репутація відповідальних осіб та безпосередньо самого банку та вплине на бажання заявників звертатися на гарячу лінію.
В класичних системах вже закладено свій процес розгляду повідомлень про порушення та потрібні кроки для ефективного дослідження по кейсу. Разом з тим, гарною практикою є можливості для адаптації закладених в системі процесів під потреби клієнтів.
Дотримання порядку дослідження неприйнятної поведінки в банку
Наступним кроком, після впровадження порядку дослідження інформації від заявників є механізми нагляду, контролю. Без них не буде ефективного розгляду.
В постанові регулятор зазначає, що “Порядок дослідження неприйнятної поведінки в банку/порушень у діяльності банку має визначати повноваження структурних підрозділів банку щодо дослідження того чи іншого виду неприйнятної поведінки в банку/порушень у діяльності банку”.
Добре, коли з самого початку в системі закладено механізми, які будуть сприяти ефективному контролю за роботою співробітників комплаєнсу, служби безпеки та інших.
Гарною практикою є виокремлення та розподіл на декілька напрямів: реєстрація; дослідження; прийняття рішень. Класичні системи мають різні ролі та права доступу, в тому числі роль аудитора, який може періодично перевіряти наскільки ретельно проводяться розслідування за кейсами. Також зазвичай є велика кількість аналітичних інструментів, які допомагають аналізувати ефективність реагування. До прикладу — це індикатори, які показують швидкість реагування на інциденти. Завдяки яким Ви можете чітко побачити, коли був початок реагування та чи була затримка на початку роботи над кейсом, також коли було відпрацьовано кейс та чи було протерміновано строки реагування, прописані у внутрішніх документах.
Аутсорсинг ліній довіри
Хорошим сигналом є той факт, що регулятор надає право вибору для банків використовувати рішення від аутсорсерів або ж спробувати зробити власними силами.
Але є світова практика і вона каже, що аутсорсингові лінії більш ефективні, якщо вони віддані на аутсорсинг. Це є гарною практикою, яку визнають в тому числі великі українські компанії з досвідом використання власних рішень та обравших в результаті спроб та помилок аутсорсингове рішення. Як бачимо, банківське рішення, багато в чому схоже на стандартні рішення для небанківських установ, тому банки спокійно можуть приєднатися до великої кількості компаній, котрі розуміються на ефективності ведення бізнесу і які рішення можна аутсорсити.
Система Етиконтроль — це ІТ рішення для організації банківського комплаєнсу
Це три системи в одній — реєстрація повідомлень, процедури реагування на порушення, внутрішні перевірки та розслідування.
Система досить гнучка в налаштуванні процесу під потреби клієнта без необхідності програмування.
Завдання онлайн системи Етиконтроль — це захист анонімності, забезпечення тривалого діалогу, прозорості реагування та обґрунтованості відповідних управлінських рішень.