З досвіду багаторічної сиcтемної роботи над захистом організацій громадянського суспільства (ОГС) від непередбачуваних наслідків імплементації законодавства в сфері протидії відмиванню коштів та фінансуванню тероризму (ПВК/ФТ) та на виконання рекомендації Звіту про проведення незалежної оцінки ризиків ВК/ФТ сектору неприбуткових організацій в Україні, ЦЕДЕМ підготував практичні і прості рекомендації для ОГС з внутрішнього аналізу, оцінки та запобігання ризикам ВК/ФТ.
Внутрішня оцінка ризиків у сфері запобігання та протидії відмиванню коштів і фінансуванню тероризму (ПВК/ФТ) — це насамперед інструмент захисту самої організації. В умовах повномасштабної війни, роботи з великими обсягами пожертв і гуманітарної допомоги, співпраці з новими партнерами та діяльності в зонах підвищеного ризику громадські й благодійні організації можуть вскочити у незаконні фінансові схеми навіть без злого наміру — через необережність, брак інформації або відсутність внутрішніх запобіжників. Наслідки таких ситуацій можуть бути серйозними: від репутаційних втрат і втрати довіри донорів до неочікуваної уваги правоохоронних органів та юридичних проблем.
Саме тому системний і продуманий підхід до оцінки власних ризиків є питанням стійкості та безпеки організації. Додатково варто враховувати, що міжнародні стандарти у сфері ПВК/ФТ, зокрема Рекомендація 8 FATF (Міжнародної групи з протидії відмиванню брудних грошей), прямо визнають важливу роль саморегулювання та внутрішнього контролю в секторі неприбуткових організацій. Більше про оновлену Рекомендацію можна прочитати в попередніх матеріалах ЦЕДЕМ. Наявність і реальне застосування таких практик може бути важливим фактором під час формування ризик-профілю організації державними органами та суб’єктами первинного фінансового моніторингу.
Внутрішня оцінка ризиків не є формальністю або універсальною «галочкою». Вона має допомогти організації усвідомити, які саме ризики ПВК/ФТ можуть виникати в її діяльності, та визначити адекватні й пропорційні заходи для їх мінімізації.
Ризик-орієнтований підхід: що це і який його ключовий принцип
Згідно з законодавством України, ризик-орієнтований підхід – це визначена СДФМ система з управління ризиками легалізації кримінальних доходів/фінансування тероризму та вжиття ним відповідних заходів у спосіб та обсяги, які забезпечують ефективну мінімізацію таких ризиків залежно від їх рівня. Ключовий принцип – ідентифікація та оцінка ризиків, розробка заходів для усунення ризиків та постійний моніторинг і контроль за ефективністю запобіжних заходів.
Для його успішного застосування в цілях системи фінансового моніторингу, СДФМ та СПФМ мають знати, як саме його застосовувати для запобігання виникнення ситуації “one size fits all”, а також мати необхідну кількість інструментів, які дозволяють у запобігти виникненню ризиків та зменшити кількість осіб, що підлягають обов’язковій перевірці. Саме тому, цією публікацією ми звертаємо увагу українських неприбуткових організацій на наступне:
Ризики фінансування тероризму та пов’язані з ними фінансові ризики можуть виникати на кожному етапі діяльності громадської або благодійної організації:
- на етапі створення організації та залучення початкового фінансування (гранти, пожертви, підтримка від партнерських організацій);
- під час повсякденної діяльності (фандрейзинг, відбір партнерів і підрядників, адміністративні процеси);
- на етапі розподілу коштів і надання допомоги бенефіціарам або реалізації проєктів.
Характер і рівень ризиків залежать від масштабу діяльності організації, її географії, напрямів роботи та складності операцій. Великі або міжнародні організації, як правило, стикаються з ширшим і складнішим спектром ризиків, ніж невеликі локальні ініціативи. Водночас жодна організація — незалежно від розміру — не є автоматично повністю захищеною від ризиків ПВК/ФТ.
Через різноманітність умов середовища та особливостей кожної окремої організації дуже важливим є застосування ризик-орієнтованого підходу, який передбачає, що:
- методи оцінки ризиків і заходи контролю мають відповідати реальним умовам діяльності конкретної організації;
- не існує єдиної «правильної» моделі для всіх;
- організація самостійно визначає прийнятний для себе рівень ризику і документує це рішення.
Внутрішні ризики: окремий фокус уваги
Окрім зовнішніх ризиків, пов’язаних із донорами, партнерами чи бенефіціарами, організації мають враховувати і внутрішні загрози. Йдеться про можливі зловживання або неналежну поведінку з боку членів організації, керівництва, працівників чи волонтерів.
Найкращі практики передбачають концентрацію контролів у тих зонах, де є доступ до коштів або можливість ухвалення фінансових рішень, зокрема:
- чітке визначення та розмежування повноважень;
- прозорі процедури управління фінансами та майном;
- базові перевірки персоналу, консультантів, підрядників і волонтерів, пропорційні масштабам діяльності організації.
З урахуванням цих підходів, ми підготували для неприбуткових організацій наступні дуже прості кроки, які точно допоможуть спростити їм життя в довгостроковій перспективі:
Рекомендований алгоритм внутрішньої оцінки ризиків ПВК/ФТ
Крок 1. Виявлення та оцінка притаманних ризиків
На цьому етапі організація визначає можливі ризики ПВК/ФТ, з якими вона може стикатися у своїй діяльності. Це так звані притаманні ризики — тобто потенційно вірогідні ризики до того, як були застосовані хоч-якісь заходи їх контролю.
Для невеликих організацій це може бути робоче обговорення або «мозковий штурм» із залученням керівництва та ключових працівників (наприклад, бухгалтера, фінансового менеджера тощо). Для більших або міжнародних організацій — більш формалізований аналіз, можливо із залученням сторонніх фактів та із використанням наявних даних про роботу та попередній досвід.
Кожен ризик оцінюється за двома параметрами:
- ймовірність (як часто ризик може настати);
- вплив (які наслідки матиме реалізація ризику для організації).
Приклад оцінки ймовірності ризику
|
Рівень |
Опис |
|---|---|
|
Високий |
Ризик може настати приблизно раз на 1–2 роки |
|
Середній |
Ризик може настати раз на 2–5 років |
|
Низький |
Ризик може настати рідше ніж раз на 5 років |
N.B. При оцінці ймовірності ризику варто оцінити вразливість організації до певного ризику. Для цього треба визначити, чи існують в організації заходи певного контролю (попередження) ризику. В залежності від їх відсутності або ступеню недостатності можна зробити висновок про ступінь вразливості організації до ризику. Наприклад, якщо організація наймає на роботу фінансового менеджера і проводить щодо нього перевірку даних та біографії або, якщо заходи перевірки не здійснюються, але організація є з невеликого населеного пункту, де всі більш-менш знають один одного, і потенційний кандидат вже відомий як благонадійна особа, то, згідно з міжнародними стандартами і практиками, ймовірність настання ризиків, пов’язаних з діяльністю такого працівника в організації (шахрайство, розкрадання коштів тощо) не буде високою.
Приклад оцінки впливу ризику
|
Рівень |
Опис |
|---|---|
|
Високий |
Може призвести до припинення діяльності організації, суттєвої втрати репутації або юридичної відповідальності |
|
Середній |
Не перешкоджає діяльності, але репутація та можливості залучення ресурсів зазнають шкоди |
|
Низький |
Наслідки є незначними, не потребують спеціальних заходів та можуть бути врегульовані в межах звичайної операційної діяльності |
Крок 2. Виявлення та оцінка заходів контролю ризику
На цьому етапі організація аналізує, які заходи вже застосовуються для зменшення виявлених ризиків, а також які додаткові заходи доцільно запровадити. Йдеться як про внутрішні правила, політики та процедури, так і про практики, що спрацьовують у щоденній діяльності.
Крок 3. Оцінка залишкового ризику
Після врахування наявних і запланованих заходів контролю організація визначає рівень залишкового ризику — тобто той рівень ризику, який залишається після застосування всіх можливих заходів.
На цьому етапі важливо сформулювати власну позицію щодо прийнятного рівня ризику та, за потреби, підготувати додатковий план дій для його зниження.
Тож, щоб зробити ці кроки для вас ще простішими, пропонуємо скористатися наступними матрицями.
Приклади матриці оцінки ризиків для НПО
Матриця притаманних ризиків
|
Категорія ризику |
Опис ризику |
Ймовірність |
Вплив |
Наявні заходи контролю |
|---|---|---|---|---|
|
Бенефіціари/донори/працівники та ін. (кожний – окрема категорія) |
||||
|
Географія діяльності |
||||
|
Продукти та послуги |
||||
|
Канали надання допомоги/здійснення підтримки |
Матриця залишкових ризиків
|
Категорія ризику |
Рівень залишкового ризику |
План дій / необхідні заходи |
|---|---|---|
|
Бенефіціари/донори/працівники та ін. (кожний – окрема категорія) |
||
|
Географія діяльності |
||
|
Продукти та послуги |
||
|
Канали надання допомоги/здійснення підтримки |
Практичний приклад: оцінка ризиків за категорією “Географія діяльності”
Нижче наведено умовний приклад того, як громадська або благодійна організація може заповнити матрицю ризиків за категорією «Географія діяльності» з урахуванням реалій повномасштабної війни в Україні. Приклад має ілюстративний характер і має адаптуватися під конкретний контекст діяльності кожної організації.
Крок 1. Визначення притаманного ризику
Організація здійснює діяльність:
- на підконтрольній уряду України території;
- у прифронтових областях;
- у взаємодії з бенефіціарами або партнерами, які виїхали з тимчасово окупованих територій;
- у партнерстві з іноземними організаціями, зокрема з держав, які мають підвищений геополітичний та санкційний ризик.
Такі фактори можуть підвищувати ризики ПВК/ФТ через обмежений доступ до інформації, складність перевірки контрагентів, підвищену вразливість гуманітарних ланцюгів постачання тощо.
Крок 2. Оцінка ймовірності та впливу
|
Параметр |
Оцінка |
Обґрунтування |
|---|---|---|
|
Ймовірність |
Середня |
Організація регулярно працює в прифронтових регіонах та з іноземними організаціями з країн, партнерських для рф (наприклад, Угорщини) але має налагоджені партнерські мережі та внутрішні процедури перевірки |
|
Вплив |
Високий |
Реалізація ризику може призвести до репутаційних втрат, втрати донорської довіри та юридичних наслідків |
Крок 3. Наявні заходи контролю
|
Заходи контролю |
Опис |
|---|---|
|
Перевірка партнерів |
Збір базової інформації про місцевих та іноземних партнерів, перевірка відкритих реєстрів і відкритих джерел |
|
Обмеження географії |
Чітке визначення територій, де організація може працювати без застосування спеціальних заходів безпеки |
|
Фінансовий контроль |
Підвищений контроль за операціями, пов’язаними з прифронтовими регіонами |
|
Документування рішень |
Фіксація управлінських рішень щодо роботи в зонах підвищеного ризику |
Крок 4. Оцінка залишкового ризику та план дій
|
Категорія ризику |
Рівень залишкового ризику |
План дій |
|---|---|---|
|
Географія діяльності |
Середній |
Регулярний перегляд ризиків, додаткове навчання персоналу, посилення моніторингу партнерів |
Сама по собі діяльність у прифронтових регіонах або робота з переміщеними особами не означає автоматично високий ризик. Визначальним є поєднання географічного чинника з характером операцій, обсягами фінансування та наявністю ефективних заходів контролю.
Висновок
Внутрішня оцінка ризиків ПВК/ФТ – це практичний інструмент управління, а не бюрократичний обов’язок. Її головна мета – допомогти громадським і благодійним організаціям працювати безпечніше, прозоріше та стійкіше, з урахуванням власних масштабів, географії та специфіки діяльності.
Ризик-орієнтований підхід дозволяє уникнути універсальних рішень і сформувати систему контролю, яка реально працює саме для вашої організації. І це є важливим як в розрізі індивідуальної фінансової безпеки, так і для формування культури ОГС дбати про середовище своєї роботи. Адже від того, скільки українських ОГС подбають про запобігання ризикам ПВК/ФТ, залежить загальний фон довіри з боку спільноти міжнародних партнерів та наших національних органів державної влади до діяльності громадянського суспільства в Україні.
Цей матеріал підготовлено Центром демократії та верховенства права (ЦЕДЕМ) в співпраці з Офісом Ради Європи в Україні. Цей матеріал профінансовано Європейським Союзом. Центр демократії та верховенства права (ЦЕДЕМ) несе повну відповідальність за його вміст, який не обов’язково відображає позицію Європейського Союзу.
Проєкт “CSO Meter: Empowered for Action” реалізується Європейським центром некомерційного права (ECNL Stichting) та його партнерами: Transparency International Anticorruption Center in Armenia, Promo-LEX Association in Moldova та ІСАР Єднання в Україні.
