Инна Родригес-Вальина, председатель комитета АРБ по ПОД/ФТ и комплаенс-рискам, обсудила Андреем Симаковым, руководителем направления «Риски и комплаенс» компании «Диасофт» текущие изменения законодательства в сфере ПОД/ФТ и какими должны быть IT-решения, чтобы снизить риски нарушения комплаенс-процедур.
И. Родригес-Вальина: В последнее время возрос интерес к вопросам комплаенса и, в частности, к вопросам инноваций в сфере комплаенса, особенно в банковском секторе. В профессиональных сообществах и на профильных мероприятиях все больше вопросов и разговоров на эту тему. Это объясняется постоянными изменениями законодательства и необходимостью решения новых задач, в том числе путем автоматизации комплаенса. Почему, на ваш взгляд, этой теме, сейчас уделяется так много внимания?
А. Симаков: В последние годы нормативные нововведения в комплаенсе растут лавинообразно: появляются новые списки, меняются форматы регуляторной отчетности, критерии выявления сомнительных операций и неблагонадежных клиентов. Для сравнения, в 2022 году изменений в сфере ПОД/ФТ в пять раз больше, чем в 2021-м. Мир меняется: сегодня все больше рисков, связанных с мошенничеством, изменениями в международной обстановке, введением санкций. Разумеется, на риски надо реагировать усилением комплаенс-контроля, критерии которого прорабатываются как на уровне государств, так и на уровне самих организаций. Тут, прежде всего, имеются в виду правила внутреннего контроля.
В целом, на изменения в комплаенсе влияют три фактора.
Во-первых, локальное законодательство, инициативы Банка России и Росфинмониторинга. Пример одной из таких недавних инициатив – появление платформы Банка России «Знай своего клиента».
Во-вторых, международное законодательство. Это рекомендации FATF (Межправительственной комиссии по финансовому мониторингу), выполнение которых является обязательным для всех стран-участников ООН, FATCA – американский закон о налоговой отчетности по зарубежным счетам, CRS – стандарт ОЭСР о международном обмене налоговой информацией.
В-третьих, политические обстоятельства и международная обстановка в целом. Появляются новые санкционные списки, которые все организации должны обязательно учитывать в своей работе, и без автоматизированных решений это уже невозможно.
И. Родригес-Вальина: По вашему ощущению, как рынок справляется с новыми задачами комплаенса?
А. Симаков: Организации должны корректировать внутренние правила и работу IT-систем – адаптировать их к происходящим изменениям. Причем делать это надо оперативно. Для выполнения всех требований нужна полная автоматизация комплаенс-процедур. Те организации, которые еще не имеют соответствующих IT-систем или пользуются средствами частичной автоматизации (скажем, на уровне АБС), находятся в зоне риска. Последствия несоблюдения требований могут быть очень серьезными: от штрафов до отзыва лицензии. Стоит обратить внимание на тот факт, что лишение банковской лицензии чаще всего – результат несоблюдения закона 115-ФЗ, главного законодательного акта о ПОД/ФТ.
И. Родригес-Вальина: Кого касаются эти риски, и какие здесь трудности?
А. Симаков: Прежде всего, сложно приходится тем организациям, которые используют комплаенс-решения, не отличающиеся гибкостью и способностью быстро реагировать на нововведения. В этих продуктах невозможно настроить сценарии контроля без дополнительного программирования. К ним можно отнести и неавтономные решения – например, встроенные в банковские IT-системы. В таких случаях для поддержки любого изменения законодательства в сфере комплаенс не обойтись без затрат на разработку (создание нового кода), установку и тестирование обновлений. Это дорого, долго и часто приводит к дополнительным рискам: может подвести вендор, который не успеет вовремя поддержать законодательство, не хватит экспертизы для решения задач, может подвести команда, которая настраивает решение, а может случиться и так, что вместе с доработкой в IT-систему будет внесен регресс.
Чтобы минимизировать эти и другие возможные риски, необходимо полностью автоматизировать комплаенс путем внедрения автономных решений, в которых есть механизмы настройки комплаенс-правил и правил их выполнения.
И. Родригес-Вальина: Расскажите подробнее, какими должны быть IT-решения, чтобы оперативно реагировать на все изменения и снизить риски?
А. Симаков: Сейчас выполнение всех задач комплаенса консолидируется в одном подразделении, с общими целями, регламентами и методами контроля, похожими подходами к реализации различных функций комплаенса. Значит, и IT-решение должно быть единым, обеспечивающим бесшовное, единое информационное пространство работы.
Те организации, которые не объединили задачи комплаенса, вынуждены использовать огромное количество IT-решений, но каждое из них закрывает какую-то определенную область. На мой взгляд, должно быть единое централизованное IT-решение, которое автоматизирует комплаенс в целом, комплексно.
И. Родригес-Вальина: Есть ли типичные примеры, когда для решения одной задачи требуется использование нескольких разных программных продуктов?
А. Симаков: Приведу классический пример, для тех, кто в теме ПОД/ФТ. У финансовых организаций есть обязательства по выявлению операций, подлежащих обязательному контролю, и направлению сведений в Росфинмониторинг. Казалось бы, задача одна, но часто мы видим, что коды обязательного контроля выявляются в одном продукте, а электронное сообщение об операции формируется уже в другом.
И. Родригес-Вальина: Программный продукт для решения задач комплаенса, по вашему мнению, должен быть единым. Есть и другие требования?
А. Симаков: Еще комплаенс-решение должно быть автономным. Это необходимо для снижения рисков. Раньше все задачи комплаенса решались в IT-системе банка – например, с помощью функционала ПОД/ФТ, встроенного в системы различных вендоров. Сегодня, учитывая постоянные изменения в комплаенсе, необходимо ускорить время доставки обновлений исполнителю. В неавтономной IT-системе эту задачу просто не решить по ряду причин:
- IT-система чаще всего не имеет необходимых no-code инструментов для настройки.
- Полноценное обновление IT-системы – это дорогая и длительная задача, включающая тестирование не только измененного функционала, но часто и всей системы с целью выявления регресса.
- Обновление IT-системы требует технологических окон, что может негативно сказаться на бизнес-процессах банка.
Это основные, на мой взгляд, причины. Но их, конечно, гораздо больше.
И. Родригес-Вальина: На какие еще критерии выбора ПО для решения задач комплаенса нужно обратить внимание?
А. Симаков: Еще один важный критерий – современное комплаенс-решение должно быть гибким и легко адаптируемым к постоянным изменениям. Должна быть возможность быстрой доставки новой функциональности. Как этого добиться? Ответ – в программном продукте должен быть так называемый дизайнер сценариев контроля. Это компонент, отвечающий за настройку комплаенс-сценариев, таких как выявление кодов обязательного контроля, необычных операций, сомнительной деятельности клиента и других. Любое изменение законодательства должно обеспечиваться простым изменением существующих комплаенс-сценариев или добавлением новых. Чтобы решить эту задачу, компонент дизайна сценариев должен соответствовать принципу no-code. Настройка должна быть максимально простой и интуитивно понятной. И, конечно, дизайнер сценариев контроля должен соответствовать времени: он должен предоставлять возможность подключения моделей искусственного интеллекта, DMN правил (стандартов моделирования и принятия решений) и так далее.
И. Родригес-Вальина: Таким образом, решение должно быть автономным, обеспечивать режим работы в едином окне для решения всех комплаенс-задач, должно быть гибким и адаптируемым. А какие основные задачи должны быть решены на уровне такого программного продукта?
А. Симаков: Назову три основные, на мой взгляд, задачи. Во-первых, это получение информации о клиенте, совершаемых им операциях и других данных. Информация может быть получена из внутренних IT-систем банка (АБС, CRM и другие) и при необходимости дополнена и внешних источников, таких как ЕГРЮЛ/ЕГРИП, Контур, СПАРК, Х-Комплаенс от Интерфакс и других. Во-вторых, проверка данных по настроенным сценариям контроля. В-третьих, получение информации, необходимой для принятия решения, и выполнение автоматических последствий после контроля: приостановка операции, заморозка денежных средств на счетах, формирование отчета и т. д. Для получения информации и для выполнения последствий контроля, конечно, должна быть настроена бесшовная интеграция со всеми системами банка, участвующими в процессе.
Все основные настройки и сценарии комплаенс-контроля должны поставляться, что называется, «из коробки», то есть уже быть в продукте. Для этого, безусловно, вендор должен накопить необходимую экспертизу.
И. Родригес-Вальина: В теории разобрались. Расскажите, пожалуйста, о практическом опыте разработки и внедрения таких решений.
А. Симаков: Очень важно, чтобы команда, которая создает решение, соответствующее всем оговоренным критериям, не только очень хорошо разбиралась в современных технологиях разработки, архитектурных вопросах, но и в предметной области. Если говорить о примерах из практики, мы в компании «Диасофт» начали заниматься разработкой комплаенс-решения еще в то время, когда вышла первая редакция 115-ФЗ. Мы, как и все, начинали с того, что наши комплаенс-проверки были частью АБС, но вовремя осознали, что тут важно именно автономное решение. В итоге все задачи, о которых я говорил, мы реализовали на платформе развития Digital Q.Risk&Compliance.
Что касается внедрения, программные продукты в составе платформы Digital Q.Risk&Compliance могут быть интегрированы как с решениями «Диасофт», так и с продуктами других вендоров, и с внешними системами. Кроме того, мы предлагаем несколько способов интеграции с одними и теми же системами, в зависимости от особенностей IT-архитектуры или технических требований. Это позволяет внедрять комплаенс-решения в уже существующий IT-ландшафт, без его существенных изменений. Как правило, в финансовых организациях используется широкий перечень программных продуктов от разных вендоров, поэтому такие возможности интеграции являются важным условием.
Узнать подробнее