ОРГАНИЗАЦИЯ КОМПЛАЕНСА НА ПРЕДПРИЯТИИ
Корпоративный комплаенс с каждым годом становится все более распространенным.
Конференции на данную тему собирают все больше специалистов, а в интернете появляется все больше вакансий. Это свидетельствует о том, что компании обращают внимание на комплаенс-риски и желают ими управлять.
Термин происходит от англ. compliance – действие или процесс соблюдения требований (состояние либо факт соответствия правилам и стандартам).
Одной из предпосылок появления корпоративного комплаенса было принятие в 1977 году в США Акта о коррупции за рубежом (Foreign Corrupt Practices Act), который в свою очередь был следствием Уотергейтского конфликта (когда, среди прочего, выяснилось, что крупные компании подкупали чиновников других государств с целью получения преимуществ и выгод). Акт устанавливает ответственность за подкуп чиновников иностранных государств и предусматривает крупные штрафы для за такие коррупционные нарушения. При этом действует он экстерриториально.
1 ноября 1991 г. в Руководство Комиссии по назначению наказаний США (United States Sentencing Commission Guidelines Manual) были внесены изменения, установившие признаки "Эффективной программы по предупреждению и выявлению нарушений закона". Также было унормировано влияние наличия такой программы на определение размера штрафа за уголовные преступления предприятия.
Правительственные органы США и раньше всячески пытались побудить корпорации к внедрению комплаенс-программ, однако упомянутое Руководство впервые пообещало смягчить штрафы.
Вторым значимым событием в развитии комплаенса было опубликование в 2005 году руководства "Комплаенс и комплаенс-функция в банках" (Compliance and the compliance function in banks, Basel Committee on Banking Supervision). Целью документа было распространение передового опыта на основе лучших практик банковского комплаенса.
Комплаенс как функция компании – это комплекс процессов и мероприятий, направленный на обеспечение выполнения определенных требований.
На сегодняшний день самыми распространенными являются следующие виды комплаенса: антикоррупционный, санкционный, комплаенс по соблюдению законодательства об отмывании денег (AML), комплаенс по охране труда. Реже компании внедряют антитрастовый комплаенс и пр.
Одним из универсальных пособий по организации комплаенс-функции является международный стандарт ISO 19600:2014 "Системы комплаенс-менеджмента" (Compliance management systems). Он предоставляет руководство для создания, разработки, внедрения, оценки, поддержки и совершенствования эффективной и гибкой системы комплаенс-менеджмента в рамках организации.
В данном документе определены основные этапы создания и функционирования системы комплаенс-менеджмента.
1. Определение контекста организации.
Сперва компания должна установить внутренние и внешние проблемы, касающиеся комплаенс-риска и целей самого предприятия.
На данном этапе определяются требования и взятые обязательства, связанные с целями компании (в зависимости от того, какую комплаенс-функцию фирма решила внедрить), а также прочие факторы, которые могут повлиять на комплаенс-риск, – нормативные, социальные и культурные условия, экономическая ситуация и внутренняя политика, ресурсы.
2. Принятие комплаенс-политики, внедрение мероприятий комплаенс-функции.
Основные требования, которые необходимо учесть:
– наличие "тона сверху" – вовлеченность и лидерство высшего руководства в вопросах комплаенс-системы;
– независимость комплаенс-функции и ее прямой доступ к руководящему органу;
– ответственность на всех уровнях – установление в должностных инструкциях, локальных актах компании и пр. соответствующих документах обязанности сотрудников выполнять требования комплаенс-системы;
– обеспечение комплаенс-функции, куда входит предоставление соответствующих ресурсов, необходимых для ее работы, проверка компетенции сотрудников, обучение, осведомленность и коммуникации.
3. Установка комплаенс-целей и планирование их достижения.
4. Определение комплаенс-обязательств.
Компания должна периодически определять обязательства, применяемые к ней, а также их последствия для своей деятельности, продуктов и услуг.
5. Оценка комплаенс-рисков.
Риск – вероятность наступления события, которое повлияет на достижение целей.
На данном этапе оценивается вероятность возникновения события (нарушение/невыполнение комплаенс-обязательства), которое может повлиять на достижение целей системы комплаенс-менеджмента и самого предприятия.
На основании оценки уровней вероятности реализации комплаенс-рисков и уровней их влияния определяется общий уровень риска и делается приоритизация.
Потом оцениваются контроли, направленные на снижение уровня риска, и принимается решение о внедрении новых или об изменении существующих контролей, если уровень остаточного риска слишком высокий.
Проведя оценку, компания будет понимать, в каких процессах может реализоваться риск и что необходимо предпринять для снижения вероятности его реализации.
Периодичность комплаенс-оценок определяется по решению компании (как правило, раз в год).
При изменениях в структуре или деятельности компании оценку следует провести внепланово.
6. Операционное планирование и контроль комплаенс-рисков.
На данном этапе происходит планирование и внедрение контролей и мероприятий, определенных в ходе оценки рисков.
7. Оценка результатов деятельности.
Процессы, которые необходимо периодически выполнять:
– мониторинг для проверки эффективности внедренных контролей и мероприятий, а также обеспечения того, чтобы поставленные цели достигались;
– аудит для проверки системы комплаенса для подтверждения того, что она внедрена,
поддерживается и соответствует установленным требованиям. Комплаенс-функция не может осуществлять аудит тех процессов, которые выполняет сама.
8. Периодичная отчетность перед высшим руководством и высшим руководящим органом.
Основными задачами такой отчетности являются:
– своевременное информирование о работе системы комплаенс-менеджмента в организации и ее адекватность;
– пересмотр (изменение) системы комплаенс-менеджмента для обеспечения ее постоянной пригодности, адекватности и эффективности.
9. Управление несоответствиями.
Для эффективности комплаенс-системы важно, чтобы компания выполняла соответствующие действия по устранению нарушений и их последствий.
Также необходимо установить причину, которая этому способствовала, запланировать мероприятия по ее устранению и проверить эффективность запланированных мероприятий.
10. Постоянное улучшение.
Всякий раз, когда предприятие устанавливает необходимость улучшения комплаенс-системы, оно должна разработать и провести соответствующие действия.
Необходимость улучшении определяется:
– внутренним аудитом;
– проверкой комплаенс-функцией (после проведения мониторинга или внутреннего расследования);
– руководством по результатам проверки отчетности.
В международном стандарте ISO 19600:2014 детально прописаны особенности внедрения комплаенс-системы, а также требования к каждому ее элементу. Поэтому он будет надежным помощником. Также следует обратить внимание на международный стандарт ISO 37001:2016 "Системы менеджмента противодействия взяточничеству" (Anti-bribery management systems), вобравший в себя лучшие мировые практики в отношении антикоррупционного комплаенса.
Компания может получить независимую сертификацию соответствия требованиям стандарта ISO 19600:2014 и ISO 37001, что дает свои преимущества:
– демонстрация приверженности и соответствия компании лучшим практикам в области комплаенса, а также заверение бизнес-партнеров и третьих лиц о том, что система комплаенса внедрена, функционирует и соответствует требованиям международного стандарта;
– конкурентное преимущество (если наличие той или иной сертифицированной комплаенс-системы является требованием для участия в закупочных процедурах бизнес-партнеров);
– наличие внешнего надзора за комплаенс-системой – аудитора компании, проводящей сертификацию;
– формирование доверия для повышения репутации организации.
Станислав Однороб,
советник
ЮФ "КПД Консалтинг"