ОРГАНИЗАЦИЯ КОМПЛАЕНСА НА ПРЕДПРИЯТИИ

Корпоративный комплаенс с каждым годом становится все более распространенным.

Конференции на данную тему собирают все больше специалистов, а в интернете появляется все больше вакансий. Это свидетельствует о том, что компании обращают внимание на комплаенс-риски и желают ими управлять.

Термин происходит от англ. compliance – действие или процесс соблюдения требований (состояние либо факт соответствия правилам и стандартам).

Одной из предпосылок появления корпоративного комплаенса было принятие в 1977 году в США Акта о коррупции за рубежом (Foreign Corrupt Practices Act), который в свою очередь был следствием Уотергейтского конфликта (когда, среди прочего, выяснилось, что крупные компании подкупали чиновников других государств с целью получения преимуществ и выгод). Акт устанавливает ответственность за подкуп чиновников иностранных государств и предусматривает крупные штрафы для за такие коррупционные нарушения. При этом действует он экстерриториально.

1 ноября 1991 г. в Руководство Комиссии по назначению наказаний США (United States Sentencing Commission Guidelines Manual) были внесены изменения, установившие признаки "Эффективной программы по предупреждению и выявлению нарушений закона". Также было унормировано влияние наличия такой программы на определение размера штрафа за уголовные преступления предприятия.

Правительственные органы США и раньше всячески пытались побудить корпорации к внедрению комплаенс-программ, однако упомянутое Руководство впервые пообещало смягчить штрафы.

Вторым значимым событием в развитии комплаенса было опубликование в 2005 году руководства "Комплаенс и комплаенс-функция в банках" (Compliance and the compliance function in banks, Basel Committee on Banking Supervision). Целью документа было распространение передового опыта на основе лучших практик банковского комплаенса.

Комплаенс как функция компании – это комплекс процессов и мероприятий, направленный на обеспечение выполнения определенных требований.

На сегодняшний день самыми распространенными являются следующие виды комплаенса: антикоррупционный, санкционный, комплаенс по соблюдению законодательства об отмывании денег (AML), комплаенс по охране труда. Реже компании внедряют антитрастовый комплаенс и пр.

Одним из универсальных пособий по организации комплаенс-функции является международный стандарт ISO 19600:2014 "Системы комплаенс-менеджмента" (Compliance management systems). Он предоставляет руководство для создания, разработки, внедрения, оценки, поддержки и совершенствования эффективной и гибкой системы комплаенс-менеджмента в рамках организации.

В данном документе определены основные этапы создания и функционирования системы комплаенс-менеджмента.

1. Определение контекста организации.

Сперва компания должна установить внутренние и внешние проблемы, касающиеся комплаенс-риска и целей самого предприятия.

На данном этапе определяются требования и взятые обязательства, связанные с целями компании (в зависимости от того, какую комплаенс-функцию фирма решила внедрить), а также прочие факторы, которые могут повлиять на комплаенс-риск, – нормативные, социальные и культурные условия, экономическая ситуация и внутренняя политика, ресурсы.

2. Принятие комплаенс-политики, внедрение мероприятий комплаенс-функции.

Основные требования, которые необходимо учесть:

– наличие "тона сверху" – вовлеченность и лидерство высшего руководства в вопросах комплаенс-системы;

– независимость комплаенс-функции и ее прямой доступ к руководящему органу;

– ответственность на всех уровнях – установление в должностных инструкциях, локальных актах компании и пр. соответствующих документах обязанности сотрудников выполнять требования комплаенс-системы;

– обеспечение комплаенс-функции, куда входит предоставление соответствующих ресурсов, необходимых для ее работы, проверка компетенции сотрудников, обучение, осведомленность и коммуникации.

3. Установка комплаенс-целей и планирование их достижения.

4. Определение комплаенс-обязательств.

Компания должна периодически определять обязательства, применяемые к ней, а также их последствия для своей деятельности, продуктов и услуг.

5. Оценка комплаенс-рисков.

Риск – вероятность наступления события, которое повлияет на достижение целей.

На данном этапе оценивается вероятность возникновения события (нарушение/невыполнение комплаенс-обязательства), которое может повлиять на достижение целей системы комплаенс-менеджмента и самого предприятия.

На основании оценки уровней вероятности реализации комплаенс-рисков и уровней их влияния определяется общий уровень риска и делается приоритизация.

Потом оцениваются контроли, направленные на снижение уровня риска, и принимается решение о внедрении новых или об изменении существующих контролей, если уровень остаточного риска слишком высокий.

Проведя оценку, компания будет понимать, в каких процессах может реализоваться риск и что необходимо предпринять для снижения вероятности его реализации.

Периодичность комплаенс-оценок определяется по решению компании (как правило, раз в год).

При изменениях в структуре или деятельности компании оценку следует провести внепланово.

6. Операционное планирование и контроль комплаенс-рисков.

На данном этапе происходит планирование и внедрение контролей и мероприятий, определенных в ходе оценки рисков.

7. Оценка результатов деятельности.

Процессы, которые необходимо периодически выполнять:

– мониторинг для проверки эффективности внедренных контролей и мероприятий, а также обеспечения того, чтобы поставленные цели достигались;

– аудит для проверки системы комплаенса для подтверждения того, что она внедрена,

поддерживается и соответствует установленным требованиям. Комплаенс-функция не может осуществлять аудит тех процессов, которые выполняет сама.

8. Периодичная отчетность перед высшим руководством и высшим руководящим органом.

Основными задачами такой отчетности являются:

– своевременное информирование о работе системы комплаенс-менеджмента в организации и ее адекватность;

– пересмотр (изменение) системы комплаенс-менеджмента для обеспечения ее постоянной пригодности, адекватности и эффективности.

9. Управление несоответствиями.

Для эффективности комплаенс-системы важно, чтобы компания выполняла соответствующие действия по устранению нарушений и их последствий.

Также необходимо установить причину, которая этому способствовала, запланировать мероприятия по ее устранению и проверить эффективность запланированных мероприятий.

10. Постоянное улучшение.

Всякий раз, когда предприятие устанавливает необходимость улучшения комплаенс-системы, оно должна разработать и провести соответствующие действия.

Необходимость улучшении определяется:

– внутренним аудитом;

– проверкой комплаенс-функцией (после проведения мониторинга или внутреннего расследования);

– руководством по результатам проверки отчетности.

В международном стандарте ISO 19600:2014 детально прописаны особенности внедрения комплаенс-системы, а также требования к каждому ее элементу. Поэтому он будет надежным помощником. Также следует обратить внимание на международный стандарт ISO 37001:2016 "Системы менеджмента противодействия взяточничеству" (Anti-bribery management systems), вобравший в себя лучшие мировые практики в отношении антикоррупционного комплаенса.

Компания может получить независимую сертификацию соответствия требованиям стандарта ISO 19600:2014 и ISO 37001, что дает свои преимущества:

– демонстрация приверженности и соответствия компании лучшим практикам в области комплаенса, а также заверение бизнес-партнеров и третьих лиц о том, что система комплаенса внедрена, функционирует и соответствует требованиям международного стандарта;

– конкурентное преимущество (если наличие той или иной сертифицированной комплаенс-системы является требованием для участия в закупочных процедурах бизнес-партнеров);

– наличие внешнего надзора за комплаенс-системой – аудитора компании, проводящей сертификацию;

– формирование доверия для повышения репутации организации.

Станислав Однороб,

советник

ЮФ "КПД Консалтинг"