Комплаенс риски
Комплаенс—риск – это риск возникновения у организации убытков из-за несоблюдения законодательства РФ, нарушения сотрудниками внутренних документов организации, стандартов саморегулируемых организаций, в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов (комплаенс-риск), а также потери репутации из-за неэтичных поступков сотрудников.
Комплаенс риски организации:
- Юридические санкции или санкции регулирующих органов
- Существенный финансовый убыток
- Потеря репутации
Несоблюдение законов, инструкций, правил, стандартов саморегулирующих организаций или кодексов поведения сотрудниками создает риски для компании и её руководителей.
Как следствие у руководителей организации и сотрудников возникают риски:
- Уголовная ответственность
- Административная ответственность
- Дисциплинарная ответственность
- Материальная ответственность
Таким образом «комплаенс-риск» — это риск применения юридических санкций или санкций регулирующих органов, существенного финансового убытка или потери репутации в результате несоблюдения им законов, инструкций, правил, стандартов саморегулирующих организаций или кодексов поведения.
Почему возникают комплаенс-риски?
- Риски не идентифицируются
- Риски не минимизируются
- Сотрудники компании не знают рисков, которыми они владеют
- Сотрудники не проходят комплаенс-обучение
С чего начать?
- Описание рисков служит основой для формирования «карты рисков» организации, которая дает взвешенную оценку рискам и расставляет приоритетность в отношении мер по снижению степени риска.
Формирование «карты риска» позволяет выявить зоны, подверженные тем или иным рискам, а так же описать действующие методы контроля над рисками и определить необходимость внесения изменения по уменьшению, усилению контроля или пересмотру действующих механизмов.
Формирование «карты рисков» позволяет определить зоны ответственности за рисками и распределить человеческие ресурсы соответствующим образом.
- Разработать способы митигации рисков — это термин, происходящий от английского слова mitigation, означающего «смягчение» или «смягчение последствий».Например, создать политики и процедуры, автоматизировать бизнес-процессы, обучить персонал и начать управлять риском.
Платформа «Комплаенс Менеджемент» минимизирует комплаенс-риски посредством:
- автоматизированного комплаенс обучения;
- автоматизированного ознакомления сотрудников с политиками;
- проверки знаний политик и обучающих материалов и фиксация результатов;
- автоматизированной отчетностью процесса обучения;
- обеспечения доказуемости функционирования комплаенс-системы.
Комплаенс риски и комплаенс контроль в деятельности организации
Комплаенс-риск – это риск возникновения у организации убытков из-за несоблюдения законодательства РФ, нарушения сотрудниками внутренних документов организации, стандартов саморегулируемых организаций, в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов (комплаенс-риск), а также потери репутации из-за неэтичных поступков сотрудников.
Комплаенс риск возникает вследствие умышленного или неумышленного действие или бездействие, которое осуществлено организацией или лицами, отвечающими за корпоративное управление, руководством или иными лицами, работающими в организации или под ее управлением, которое противоречит действующим законам, нормативным актам и внутренним регламентам организации.
Виды комплаенс-рисков:
операционный комплаенс-риск – риск нарушение внутренних правил и документов организации, повлекший убытки; несоблюдение сотрудниками, органами управления организации учредительных и внутренних документов/политик;
правовой комплаенс риск – несоблюдение законодательства, повлекшее преследование со стороны надзорных органов;
риск потери деловой репутации – опубликование негативной информации об организации или ее работниках, собственниках, членах органов управления, афилированных лицах в средствах массовой информации.
Другой вариант классификации комплаенс-рисков основан на ранжирование рисков на риски поведенческого характера (мошенничество, злоупотребление, отмывание денег) и регламентного характера (нарушением стандартов и регламентов). Также можно выделить гражданско-правовые комплаенс-риски, риски снижения стоимости бизнеса, потери лояльности клиентов и рынков сбыта.
Минимизация рисков с помощью комплаенс
Способом минимизации вышеуказанных рисков является внедрение системы комплаенса, которая сводит к минимуму риск вовлечения организации в процессы, которые могут обернуться для нее как финансовыми потерями, так и потерей доверия со стороны общества, инвесторов, партнеров, собственников, клиентов и привлечение к ответственности со стороны государственных органов.
Система управления комплаенс рисками включает в себя процедуры комплаенс-контроля — процесса, осуществляемого органами управления и сотрудниками организации в целях контроля соответствия деятельности организации действующему законодательству, правилам, стандартам как внутренним, так и внешним. Комплаенс-контроль основан на системном предварительном контроле за событиями, которые могут привести к несоблюдению установленных требований и обязательств организации и нанести материальный ущерб или повредить ее репутацию.
Комплаенс-контроль в управлении рисками исключает неосознанное возникновение рисков, обеспечивает достаточную степень уверенности в отсутствии нарушений требований законодательства и потенциальных претензий со стороны надзорных органов, позволяет предотвратить привлечение к ответственности, в том числе уголовной, выявляет имеющиеся комплаенс-риски на самых ранних стадиях, быстро реагирует и тщательно устраняет недостатки, определяет причины проблем для предотвращения их повторения, устраняет дублирование функций, делает переоценку роли и значимости функциональных подразделений организации, а также достраивает необходимые элементы системы комплаенса за обеспечением соответствия установленным требованиям, сокращает незапланированные затраты, укрепляет репутацию организации как надежного партнера и повышает привлекательность, обеспечивая тем самым устойчивое развитие.
Компания «Комплаенс Менеджмент», предлагает проведение обучения, в сфере построения комплаенс систем, управления комплаенс рисками и организации комплаенс контроля, основанное на лучших мировых практиках, в частности США, Великобритании, Франции, Германии, Канады.
Подпишитесь на рассылку
Получайте актуальные новости в мире комплаенс
Что такое комплаенс риск. Комплаенс-контроль в организации: что это такое. Что такое Комплаенс ещё
Большинство санкций, накладываемых на российские хозяйствующие субъекты, обусловлены несоблюдением администрацией либо коллективом буквы закона, положений внутренних актов или принятых этических правил. Избежать их поможет комплаенс-контроль – малоизвестный бизнес-инструмент в России, но достаточно востребованный заграницей.
Комплаенс-контроль — что это такое, где и с какой целью применяется
Комплаенс-контроль в организации — это система мер, направленная на борьбу с нарушениями законодательных норм, игнорированием внутренних регламентов и этических положений в бизнесе как управленцами, так и линейными штатными единицами.
В обязательном порядке комплаенс-контроль осуществляется только в субъектах банковской сферы (Положение Банка России № 242-П, № 06-29/ПЗ). Иные компании и организации делать это не обязаны. Впрочем, отдельные контроллинговые элементы будет полезно внедрить хозяйствующим субъектам:
- с жестким административным регулированием (функционирующим в энергетической, фармацевтической, телекоммуникационной областях);
- являющимся дочерними организациями международных корпоративных групп, на чьи операции могут распространяться требования антикоррупционного законодательства Америки и Великобритании;
- чьи управленцы, контрагенты и производимые товары находятся в черных списках или подпадают под введенные с 2014 г. санкции.
Это позволит идентифицировать, оценить и мониторить комплаенс-риски и регуляторные риски.
Комплаенс-риском считается риск несения потерь (материального, информационного, трудового, специального характера) вследствие игнорирования требований российского законодательства или локальных нормативных актов, а регуляторным – вследствие внешнего воздействия органов надзора.
К подобным рискам относят:
- финансовые манипуляции;
- злоупотребления или действия коррупционной направленности на служебном месте;
- некомпетентные действия сотрудников, обусловленные их неосведомленностью в тех или иных аспектах;
- рейдерские захваты;
- вето на проведение операций по счетам;
- штрафы;
- наказания должностных лиц;
- приостановление деятельности;
- признание экономических операций недействительными;
- аннулирование лицензии;
- угроза бизнес-репутации, финансовой стабильности.
Следовательно, комплаенс-контроль — это система, внедряемая с целью:
- предупреждения мошенничества и оперативного привлечения уличенных в нем к ответственности;
- борьбы с коррупционерами;
- поддержания информационной безопасности;
- функционирования в законодательных рамках;
- ведения бизнеса согласно этическим нормам;
- предупреждения мер, принимаемых надзорными органами к правонарушителям.
Комплаенс-контроль и внутрихозяйственный контроль — отличия
При поверхностном рассмотрении создается впечатление, что понятия идентичны. Однако между ними существует весомая разница:
- внутренний контроль шире комплаенс-контроля;
- первый служит превентивной мерой, второй осуществляется как до, так и после наступления каких-либо событий;
- объекты, цели и зоны риска отличаются.
Таким образом, делегировать осуществление внутреннего контроля и комплаенс-контроля одним и тем же подразделениям нельзя ввиду существенных различий между ними.
Варианты внедрения комплаенс-контроля
Как уже отмечалось, на небанковские организации не распространяется нормативное требование осуществлять комплаенс-контроль в обязательном порядке. То есть, они могут это делать добровольно или не делать вообще. Второе нарушением считаться не будет.
У администрации хозяйствующего субъекта, решившей внедрить подобную систему мер, есть два варианта действий:
- централизованный – сформировать новое обособленное подразделение и вменить ему обязанности по осуществлению комплаенс-контроля (целесообразен для крупных участников бизнеса, чья деятельность мониторится интернациональными рейтинговыми агентствами);
- децентрализованный – распределить эти обязанности между уже функционирующими отделами.
Выбор первого пути подразумевает следование таким принципам внедрения эффективной комплаенс системы:
Так, нормативы, регулирующие деятельность подобного отдела, должны четко прописываться и содержать следующую информацию:
- задачи, функции и обязанности;
- условия обеспечения самостоятельности;
- механизмы контактирования с другими подразделениями;
- право затребовать и использовать необходимые сведения, обязанность иных членов коллектива их предоставлять, ответственность за отказ в содействии и сотрудничестве с отделом;
- право контролировать выполнение норм и принципов комплаенса;
- право проводить локальные расследования их нарушений и обращаться для этого к сторонним экспертам;
- право свободно выражать профессиональное мнение и передавать результаты расследований имеющихся нарушений высшим административным единицам напрямую (в частности, Совету директоров и образованным им комитетам).
Начальник комплаенс подразделения:
- может быть членом высшей руководящей структуры хозяйствующего субъекта (в таком случае он не должен управлять его бизнес-структурами);
- может не занимать высшую руководящую должность (тогда он отчитывается о работе одному из нейтральных управленцев высшего звена, то есть не имеющему обязанностей в конкретной структуре).
Специалисты комплаенс-контроля, работающие в отделе, подотчетны своему руководителю и несут пред ним профессиональную ответственность.
Отдел должен иметь:
В случае распределения комплаенс обязанностей между уже функционирующими отделами необходимо провести работу в двух направлениях:
- нормативном (скорректировать нормативы, регулирующие деятельность подразделений, отразив вопросы, касающиеся комплаенс функций);
- функциональном (не только вменить новые обязанности наподобие мониторинга состояния законодательства и его изменений, но и продумать систему достойных финансовых и других поощрений, обусловленных ростом нагрузки).
На практике следующим подразделениям делегируют такой комплаенс функционал:
- службе пиара – систематический мониторинг СМИ с целью выявления и оперативного предотвращения угрозы бизнес-репутации субъекта;
- отделу экономической безопасности – детальную проверку контрагента, в том числе на предмет его нахождения в черных списках;
- юротделу – работу с недобросовестными контрагентами (неплатежеспособными, попавшими под санкции или участвующими в операциях сомнительного характера).
При этом, нельзя допускать у сотрудников конфликт интересов (между обычными обязанностями подчиненных и их комплаенс функционалом).
Одной из причин его возникновения может быть корреляция между вознаграждением вынужденного комплаенс-контролера и результатами деятельности того структурного подразделения, в котором он работает.
У обоих вариантов внедрения комплаенс-системы есть свои преимущества и недостатки.
Как внедрить работающую систему комплаенс-контроля на предприятии
Для внедрения отдельных элементов комплаенс-контроля или полноценной его системы недостаточно просто выбрать один из выше представленных вариантов.
Необходимо выполнить следующие действия:
- Определить имеющиеся риски;
- Очертить зоны ответственности;
- Разработать системы показателей комплаенс-контроля и бонусов, коррелирующих между собой;
- Обеспечить взаимодействие с регуляторами.
То есть, для начала следует определиться с реальными и потенциальными комплаенс-рисками. Для этого формируется рабочая группа, прописывается режим ее заседаний и ожидаемые результаты.
Она должна выявить наиболее уязвимые с точки зрения отклонений от законодательных требований бизнес-процессы. При этом учитываются:
- коллизии правового регулирования;
- неоднородность юридической практики;
- возможность двоякой трактовки законодательных положений регулирующими органами.
Результат заседаний рабочей группы — ранжированный с учетом вероятности появления и последствий для компании перечень комплаенс-рисков и регулятивных рисков.
Кроме него, могут быть разработаны такие регламентирующие комплаенс-контроль документы, как:
- кодекс поведения комплаенс-контролеров;
- порядок расследования контролерами нарушений комплаенс норм и процедур.
После выявления самых слабых и рисковых мест компании внутренним распоряжением либо определяются лица, ответственные за осуществление комплаенс-контроля в уже имеющихся отделах, либо создается новый отдел (то есть, на локальном уровне закрепляется один из двух описанных вариантов действия администрации).
После этого (или параллельно с этим) разрабатывается система бонусов и вознаграждений.
Обычно выплату бонусов комплаенс-контролерам увязывают с отсутствием каких-либо нарушений по итогам внешних (контролирующими органами) и /или внутренних проверок. В случае их выявления размер премиальных выплат может быть пропорционально снижен.
Для того, чтобы комплаенс-контролеры повышали свою квалификацию и могли достойно выполнять возложенные на них обязанности, они должны беспрепятственно контактировать с госорганами и инстанциями – к примеру, иметь возможность принимать оперативное участие в организуемых ими рабочих группах и круглых столах.
Таким образом, внедрение комплаенс-контроль-системы или ее отдельных составляющих требует от администрации хозяйствующего субъекта особого подхода и кропотливой работы над этим вопросом, но его результатом становится предупреждение серьезных материальных и иных потерь.
Журнал: Светлана Викторовна, что такое комплаенс и для чего он нужен?
Афанасьева С.В.: Само слово комплаенс является русской производной от английского compliance, что означает «соответствие». Комплаенс – это внутренний контроль за соответствием деятельности предприятия законодательству. Его главная цель – исключить риски потери прибыли. К ним относятся штрафы, выплаты ущерба или невыполнение контрактов. В тоже время комплаенс-риски могут привести к ухудшению репутации, ограничению возможностей ведения бизнеса или сокращению клиентской базы.
Журнал: Что необходимо для того, чтобы организовать комплаенс-контроль?
Афанасьева С.В.: Главное в запуске комплаенса на предприятии ― это решение руководства предприятия работать честно и открыто. Конечно, не обойтись без разработки и внедрения политики комплаенс, а также контроля за выполнением разработанных требований комплаенс. Рабочий процесс должен быть организован таким образом, чтобы все потенциальные проблемы отслеживались и решались в режиме реального времени.
Журнал: Что из себя представляет политика компаенс?
Афанасьева С.В.: Существует ряд стандартных политик, которые независимо от специфики деятельности в той или иной степени традиционно применяются в большинстве организаций:
- — Кодекс корпоративной этики (кодекс корпоративного поведения) — как правило , это достаточно общий документ, который затрагивает практически все аспекты деятельности организации. В нем говорится о морально-этических принципах, стандартах поведения, приоритетах организации и обязанностях сотрудников.
- — Политика противодействия отмыванию доходов, полученных преступным путем, и финансированию терроризма тем или иным образом реализована во всех финансовых и многих нефинансовых организациях развитых и развивающихся стран. Она препятствует проникновению преступно нажитых доходов в легальный сектор экономики и предупреждает финансирование терроризма.
- — Политика принятия и дарения подарков, приглашений на мероприятия — ее функция заключается в том, чтобы разграничить понятия «подарок» и «взятка» / «откат» или, иными словами, обозначить черту, после которой подарок становится подношением с целью получения возможности манипулирования должностным лицом в своих интересах. Данная политика, как правило, не запрещает дарения, но накладывает ограничение их стоимости и внедряет процедуры по осуществлению соответствующего контроля.
- — Политика сообщений о нарушениях этических стандартов регулирует порядок и способы сообщения о нарушениях сотрудниками предприятия (с правом на анонимность), а также порядок последующего расследования и документирования этих нарушений. Качественная реализация данной функции является одним из самых эффективных способов борьбы с нарушениями внутри предприятия.
- — Политика, регулирующая конфликт интересов, задает этические стандарты поведения сотрудников при возникновении конфликта интересов, а именно в случаях, когда: интересы сотрудника могут противоречить интересам предприятия; интересы одного клиента могут противоречить интересам другого клиента и т. д. В частности, на сотрудников предприятия накладывается обязательство способствовать выявлению и предупреждению случаев возникновения конфликта интересов, а также декларируется, что интересы предприятия должны всегда ставиться выше личных интересов ее отдельных сотрудников.
- — Политика контроля покупок ценных бумаг сотрудниками устанавливает порядок контроля операций на рынке ценных бумаг сотрудниками финансовых организаций. В частности, в ней могут устанавливаться ограничения на покупку ценных бумаг определенных предприятий (как правило, тех, с которыми данная финансовая организация в этот момент проводит какую-либо сделку), запрещаться «короткие» продажи ценных бумаг, а также регламентироваться специальные порядки согласования операций сотрудников на рынке ценных бумаг с должностными лицами организации. Основной смысл этой политики состоит в том, чтобы с ее помощью избежать нецелевого использования рабочего времени, служебной информации в целях личного обогащения, обезопаситься от упреков в неэтичном поведении сотрудников на рынке ценных бумаг (market timing).
- — Политика «Китайской стены» необходима для разграничения информационного поля в деятельности предприятия, как правило финансового сектора, с целью предотвращения конфликтов интересов и создания условий для честной конкуренции. Эта политика реализуется практически во всех передовых инвестиционных организациях, где особенно актуально такое разграничение, поскольку обладание непубличной информацией о чьем-либо финансовом состоянии, инвестиционных планах, дополнительных эмиссиях может повлечь ее использование, например сотрудниками иного подразделения в целях извлечения дополнительной прибыли. Возведение данного информационного барьера позволяет организации не только предотвращать возникновение конфликта интересов, но и обслуживать всех клиентов без ограничения.
- — Политика взаимодействия с регулирующими органами. Вопрос эффективного и правильного взаимодействия с регулирующими органами является весьма актуальным на сегодняшний день, поскольку даже весьма законопослушные предприятия сталкиваются в такой ситуации с рядом сложностей.
- — Политика конфиденциальности информации регулирует неразглашение данных о клиентах и их операциях. Данная политика подразумевает не только формирование общей культуры обращения с клиентскими данными, но и организацию хранения и соблюдение определенных стандартов при обработке персональных данных.
Выделяют также и другие политики, такие как политика должного изучения клиентов, контрагентов и поставщиков товаров / услуг; принципы приема и обработки жалоб; политика обучения персонала и иные внутренние документы. При этом каждое предприятие, в силу задач, установленных высшим руководством, акционерами и кредиторами, может реализовывать дополнительные процессы в этой области, создавая при этом свою уникальную структуру комплаенс-контроля.
Журнал: Если все Вами названные политики разработать, то можно считать, что предприятие полностью защитило себя?
Афанасьева С.В.: Наличие одних лишь ранее названых политик совсем не означает, что предприятие в полной мере приложило все усилия для соблюдения законодательства и минимизации правовых и репутационных рисков. Нужна реализация. Нередко реализация комплаенс-контроля встречает сопротивление со стороны бизнес-подразделений, в том числе и со стороны высшего руководства организации, поскольку идет вразрез с интересами бизнеса: служба комплаенс принимает такие меры, как «отсечение» партнеров и клиентов, обладающих сомнительной репутацией, запрет на проведение определенных операций и т. д. В этом случае необходимо выстраивать организационную структуру таким образом, чтобы наделить службу комплаенс всеми необходимыми правами и полномочиями, а ее персонал должен обладать высоким статусом в иерархии организации и независимостью в части принятия решений.
Журнал: Правильно ли я понимаю, что именно комплаенс-контролер является тем единственным человеком, который отвечает за снижение комплаенс-рисков предприятия?
Афанасьева С.В.: Вы ошибаетесь. Кстати, это довольно распространенное заблуждение. Например, такого же мнения часто придерживаются сотрудники предприятия, на котором внедряется комплаенс. Комплаенс-контролер физически не может отслеживать все возникающие риски самостоятельно, поскольку зачастую не взаимодействует с клиентом и не занимается обработкой соответствующей информации, а потому не в состоянии идентифицировать все возникающие проблемы в подразделениях и иные вопросы, подпадающие под действие политик. Поэтому я рекомендую комплаенс-контролеру не только разъяснить всем без исключения сотрудникам организации формальные требования политики комплаенс, их смысл и последствия несоблюдения, но и четко расписать обязанности каждого сотрудника по соблюдению этих требований, тем самым закрепить ответственность каждого сотрудника предприятия. Также требуется провести обучение персонала. Возможно, для этого следует воспользоваться услугами специализированных учебно-консультационных центров, которые смогут организовать качественную подачу информации в виде семинаров и повышения квалификации для всех сотрудников предприятия.
Журнал: Благодарим за содержательную беседу!
Афанасьева С.В.: Спасибо! Буду рада новым встречам!
Комплаенс (- согласие, соответствие; происходит от глагола to comply — исполнять) — буквально означает (см. Оксфордском словаре английского языка) действие в соответствии с запросом или указанием; повиновение . «Комплаенс» представляет собой соответствие каким-либо внутренним или внешним требованиям или нормам. Термин является варваризмом.
Под соответствием подразумевается часть системы управления/контроля в организации, связанная с рисками несоответствия, несоблюдения требований законодательства, нормативных документов, правил и стандартов надзорных органов, отраслевых ассоциаций и саморегулируемых организаций, кодексов поведения и т.д. Такие риски несоответствия в конечном итоге могут проявляться в форме применения юридических санкций или санкций регулирующих органов, финансовых или репутационных потерь как результат несоответствия законам, общепринятым правилам и стандартам.
Соответствие законам, правилам и стандартам в сфере комплаенса обычно касается таких вопросов, как соблюдение надлежащих стандартов поведения на рынке, управление конфликтами интересов, справедливое отношение к клиентам и обеспечение добросовестного подхода при консультировании клиентов. К сфере комплаенса относятся также специфические области, такие как: противодействие легализации доходов, полученных преступным путём, и финансированию терроризма; разработка документов и процедур, обеспечивающих соответствие деятельности компании действующему законодательству; защита информационных потоков, противодействие мошенничеству и коррупции, установление этических норм поведения сотрудников и т.д..
В настоящее время соответствие стандартам является направлением профессиональной деятельности, привнесённым в российские организации крупными западными компаниями. Направление существует преимущественно в финансово-банковской сфере, хотя не ограничивается ими. Подразделения, реализующие функцию проверки на соответствие, как правило, носят название «Комплаенс» или «Комплаенс-контроль». В 2014 году Банк России принял изменения в Положение 242-П, в соответствии с которыми во всех банках вводится служба внутреннего контроля, которая по существу выполняет функции комплаенс-контроля (управления комплаенс-рисками или в терминологии 242-П — регуляторными рисками).
Комплаенс-контроль
Понятие комплаенс-риска применительно к банковской сфере в российском законодательстве определено в Положении Банка России 242-П. Под комплаенс-риском понимается риск возникновения у кредитной организации убытков из-за несоблюдения законодательства Российской Федерации, внутренних документов кредитной организации, стандартов саморегулируемых организаций иных мер воздействия со стороны надзорных органов. Данный риск также назван регуляторным риском .
В соответствии с данным Положением в кредитных организациях вводится служба внутреннего контроля, выполняющая следующие функции:
- выявление регуляторного риска
- учёт событий регуляторного риска, количественная оценка вероятности возникновения и возможных последствий регуляторного риска
- мониторинг регуляторного риска, включая анализ новых банковских продуктов и методов их реализации на предмет регуляторного риска
- координация и участие в разработке мер по снижению уровня регуляторного риска, разработка и доведение до органов управления и руководителей структурных подразделений рекомендаций по управлению регуляторным риском
- мониторинг эффективности управления регуляторным риском
- участие в разработке внутренних документов по управлению регуляторным риском
- выявление конфликта интересов в деятельности организации и её служащих
- анализ показателей динамики жалоб клиентов и анализ соблюдения кредитной организацией прав клиентов
- анализ экономической целесообразности аутсорсинга услуг и выполнение работ, обеспечивающих осуществление кредитной организацией банковских операций
- участие в разработке внутренних документов, направленных на противодействие коммерческому подкупу и коррупции
- участие в разработке внутренних документов и организации мероприятий, направленных на соблюдение правил корпоративного поведения, норм профессиональной этики
- участие в рамках своей компетенции во взаимодействии кредитной организации с надзорными органами, саморегулируемыми организациями, ассоциациями и участниками финансовых рынков
- иные функции, связанные с регуляторным риском, предусмотренные внутренними документами организации.
Принципы комплаенс-контроля
Базельский комитет по банковскому надзору в апреле 2005 года издал документ «Комплаенс и кокомплаенс-функция в банках». Содержание документа на русском языке отражено в письме Банка России от 2.11.2007 №173-Т.
В данном документе Базельский комитет определил принципы комплаенса в банках:
1 Ответственность совета директоров за общий контроль в управлении комплаенс-рисками. Совет директоров должен утвердить политику банка по комплаенсу, документ, на основании которого создаётся постоянная и эффективная комплаенс-функция, и не реже одного раза в год оценивать эффективность управления в данной сфере.
2, 3, 4 Ответственность исполнительных органов за эффективное управление комплаенс-риском, в том числе принятие и доведение до служащих банка политики по комплаенсу, обеспечение её соблюдения и отчётность перед советом директоров по управлению комплаенс-риском, создание постоянной и эффективной комплаенс-функции как части реализации политики банка по комплаенсу.
5 Независимость комплаенс-функции, подразумевающая наличие официального статуса в организации; наличие руководителя комплаенса с общей ответственностью за координацию управления комплаенс-риском; исключение возможности конфликта интересов персонала между их обязанностями по управлению комплаенс-рисками и иными возложенными на них обязанностями; наличие необходимого доступа к информации для исполнения персоналом своих обязанностей. Статус руководителя комплаенса должен быть достаточно высоким, он должен быть либо членом исполнительных органов или подчинятся единоличному исполнительному органу или члену правления, не связанному с управлением бизнес-подразделениями.
6 Наличие ресурсов для эффективного исполнения обязанностей в сфере комплаенса.
7 Обязанности комплаенс-функции заключаются в содействии исполнительным органам в эффективном управлении комплаенс-рисками.
- Консультации;
- Инструктаж и обучение;
- Выявление, оценка и анализ комплаенс-риска;
- Контроль, проверка, отчетность;
- Установленные законом обязанности и взаимодействие;
- Комплаенс-программа.
8 Взаимодействие с внутренним аудитом. Предмет и масштаб деятельности комплаенс-функции должны регулярно проверяться службой внутреннего аудита. Комплаенс-функция и служба внутреннего аудита должны быть независимы друг от друга, чтобы гарантировать независимость проверки деятельности комплаенс-функции.
9 Международные вопросы.
10 Аутсорсинг. Аутсорсинг отдельных задач комплаенс-функции допустим, но они должны быть под соответствующим контролем со стороны руководителя комплаенс-функции. Управление комплаенс-рисками должно считаться одним из основных направлений управления рисками в организации.
Одной из важнейших составляющих менеджмента в любой организации является система контроля, получившая название комплаенс. В переводе с английского это слово означает «соответствие требованиям». Им обозначают действия по обеспечению соблюдения требований нормативных актов, учредительных документов и другие меры, направленные на управление всеми видами рисков.
В банковской среде под этим термином понимается своевременное предоставление сведений в Банк России, исключение вовлечения банковских организаций и их сотрудников в осуществление какой-либо противозаконной деятельности.
Комплаенс представляет собой набор определенных функций, которые можно разделить на обязательные и необязательные. К первым принадлежат законодательные нормы, несоблюдение которых может привести к штрафным санкциям и потере репутации. Ко вторым относятся распоряжения руководства и функции, реализация которых связана с ожиданиями партнеров.
Учитывая это, комплаенс должна внедрять служба безопасности банковской организации. Однако на практике довольно часто встречается многоуровневая система, предусматривающая распределение функций между несколькими структурными подразделениями.
Особенности внедрения системы в банковских организациях
Вопросы организации комплаенс-контроля в российских банках регулируются рядом документом, самыми важными из которых являются Положения Банка России №242-П и №06-29/ПЗ-Н.
Согласно данным документам, в реализации функций системы контроля могут быть задействованы все сотрудники банковских организаций – каждый в пределах своей компетенции. При этом отвечать за внедрение системы должен определенный человек (менеджер).
Построение системы контроля в банках, как правило, преследует несколько целей:
- выявление регуляторных рисков и управление ими;
- противодействие коррупции и мошенничеству;
- соблюдение требований законодательных актов и международных стандартов;
- соблюдение правил корпоративного поведения;
- соблюдение информационной безопасности;
- реагирование на жалобы, поступающие от клиентов.
Для реализации указанных функций задействуются различные информационные системы и платформы, позволяющие систематизировать процессы мониторинга и анализа.
Вопросы автоматизации комплаенс-контроля для многих банков на сегодняшний день являются одними из самых приоритетных.
Система комплаенс требует правильной организации рабочего процесса: потенциальные проблемы должны оперативно отслеживаться и решаться в режиме реального времени.
Основы политики комплаенс
В большинстве банковских организаций в рамках системы комплаенс разрабатывается и утверждается политика.
В частности:
- политика корпоративного поведения (общий документ, регулирующий стандарты поведения и обязанности сотрудников);
- политика противодействия коррупции и финансированию терроризма (документ, призванный обеспечить препятствование проникновению средств, нажитых нечестным путем и финансированию террористических организаций);
- политика принятия и дарения подарков (данная политика направлена на разграничение подарков и взяток, передаваемых сотрудникам банковских организаций);
- политика, направленная на регулирование конфликта интересов (задает определенные стандарты поведения при возникновении конфликта интересов);
- политика контроля заключения сделок и приобретения ценных бумаг;
- политика взаимодействия с контролирующими и регулирующими органами (призвана обеспечить эффективное взаимодействие и минимизацию возможных сложностей);
- политика приема жалоб от клиентов и реагирования на них;
- политика должной идентификации клиентов;
- политика конфиденциальности и неразглашения данных, которые могут причинить вред организации.
Это только общие направления, которые могут дополняться другими мероприятиями в каждой конкретной организации.
Принципы комплаенс-контроля в банках
Задачей комплаенс-контролера является организация системы внутреннего контроля.
Менеджер, отвечающий за внедрение системы, вместе с другими сотрудниками организовывает работу по соблюдению внешних и внутренних требований, по выявлению рисков и управлению ими.
Система комплаенс-контроля строится на следующих принципах:
- политика банка по комплаенсу должна утверждаться советом директоров, который периодически должен оценивать ее эффективность (от этого зависит общий результат);
- менеджер, отвечающий за внедрение системы, должен обладать достаточно высоким статусом (это может быть член исполнительных органов, или лицо, непосредственно подчиняющееся руководителю);
- банк должен выделять достаточное количество ресурсов, необходимых для выполнения функций комплаенс-контроля;
- менеджер, отвечающий за внедрение системы, должен организовывать обучение персонала по вопросам комплаенс-контроля;
- отдельные задачи комплаенс-контроля могут выполняться путем аутсорсинга, но в этом случае они должны контролироваться ответственным менеджером и руководством банка.
Реализация комплаенс-функций может встречать некоторое сопротивление внутри самой организации, поскольку менеджером могут приниматься решения по отсечению сомнительных партнеров и клиентов, что может противоречить (на первый взгляд) финансовым интересам организации.
Но в то же время выполнение комплаенс-контроля направлено на защиту репутации банковской организации, а значит, и ее финансовой успешности. Кроме того, внедрение системы упрощает работу с международными партнерами, поскольку в числе их требований часто встречается наличие политики комплаенс, являющейся нормой во многих странах.
Что такое комплаенс-контроль? Это новая для России практика управления финансовыми рисками. Нашим студентам посчастливилось из первых уст узнать, почему топ-менеджмент и персонал проверяют на лояльность, как комплаенс связан с этическими нормами и влияет на репутацию корпорации. В рамках программы «Открытые лекции» об этом рассказали приглашенные спикеры – представители ОАО «Уралсиб» .
Комплаенс (англ. compliance – согласие, соответствие) – это внутренний контроль за соответствием деятельности компании законодательству. Его главная цель – исключить риски потери прибыли. К ним относятся штрафы, выплаты ущерба или невыполнение контрактов. В тоже время комплаенс-риски могут привести к ухудшению репутации, ограничению возможностей ведения бизнеса или сокращению клиентской базы.
Руководитель Службы комплаенс ОАО «УРАЛСИБ» Ирина Катышева отметила, почему в компании важно целенаправленно формировать культуру соблюдения законов.
«Всем хочется, чтобы сотрудники были лояльными и порядочными, – говорит Ирина Катышева . – Мошенником может стать каждый десятый, если у него будет возможность и соответствующая мотивация. Поэтому комплаенс должен создать такую этическую культуру в компании, чтобы не возникало соблазнов и люди честно выполняли свои обязанности. А для этого важно организовать бизнес-процессы, соответствующие нормам законодательства. Комплаенс-риски должны быть минимальными».
Ирина Катышева перечислила сферы, в которых работает комплаенс:
Вопросы от студентов
— Какие способы контроля использует комплаенс?
— В первую очередь это профилактика. Контроль при приеме на работу, корпоративное обучение персонала, согласование документов, платежей, операций и т. п. Ведем текущий контроль, в том числе анализ сделок, операций, телефонных переговоров и деятельности клиентов. В нашей зоне ответственности – комплексные проверки в организации бизнес-процессов, претензионная работа. Расследования по заявлениям клиентов и сообщениям от сотрудников по «горячей линии» тоже компетенция комплаенс.
— Какие плюсы и минусы есть в вашей работе?
— Мы выявляем недостатки в людях, а также в системе управления в целом, видим малоприятные вещи. Нам приходится собирать много информации о сотрудниках и кандидатах на ту или иную должность. Позитивное в нашей работе – когда ты прав, тебе верят и риск предотвращен. Например, когда не получили штраф или отзыв лицензии. Тогда это признание и уважение.
— Кому вы подчиняетесь?
— Работаем мы не на топ-менеджмент, а на владельца бизнеса. Мы служба прямого подчинения акционеру, который должен получить от нас «на стол» объективную информацию. Независимость от топ-менеджмента – это важно.
— Для минимизации рисков начали использовать психометрику. Какие вы используете методы?
— Не могу сказать, что все это работает. Мы и полиграф используем. Все можно обмануть: и тест, и детектор лжи. Поэтому я как руководитель много общаюсь, беседую с сотрудниками, использую соционический метод. К примеру, надо понимать, что есть люди «конфликтеры». Вы должны их определить. Есть люди, которые друг другу не подходят в работе. Это тоже надо уметь выявить.
— Какими качествами и знаниями надо обладать, чтобы работать в комплаенс?
— Если вы хотите быть профессионалом в этой сфере, надо быть специалистом в разных областях. Очень важны коммуникативные навыки, умение получать информацию, анализировать, четко видеть результат своей работы. Естественно, необходимо хорошо знать законодательство. Задача комплаенс не просто понять его, а применять нормы так, чтобы они работали. Но вы должны одновременно знать и весь бизнес, в котором работаете. Знать какой бизнес-процесс вы регулируете. Надо иметь системный взгляд.
Противодействие коррупции в бизнесе
Еще один приглашенный спикер «Открытых лекций» пояснил, почему комплаенс связан с коррупцией и как в частных компаниях борются с ней.
«Откат – самое распространенное нарушение в российских компаниях. По данным 2014 года, 74 % от всех видов мошенничества – это откаты, – говорит директор по вопросам противодействия коррупции Службы комплаенс ОАО «Уралсиб» Роман Есин . – Коммерческий подкуп имеет массовый характер и пока является неотъемлемой частью деловой среды. Поэтому важно менять ментальность и культуру людей, в том числе используя соответствующее законодательство».
Наиболее существенные последствия коррупции – это ущерб репутации и финансовые потери. Каким образом в частных компаниях выстраивается контроль за коррупционными рисками? Используется модель COSO (Комитет организаций-спонсоров Комиссии Тредвея, США).
«Важное значение имеет горячая линия комплаенс, – отметил Роман Есин . – У людей, которые лояльны к компании, должен быть канал информирования службы внутреннего контроля. Они могут анонимно позвонить и сообщить о нарушениях».
Профилактика – не менее значимое направление в работе с персоналом. Разрабатываются правила деловой этики, обучающие программы, процедуры приема на работу, информирование о том, что такое «конфликт интересов». Подарки также находятся в зоне контроля комплаенс:
«В России распространена практика дарения подарков, – рассказывает Роман Есин . – Если не соблюдаются два основных признака – «безвозмездность» и «обычность», то в какой-то момент это может стать взяткой. Мы рассылаем сотрудникам памятки, где написано, что приемлемо, а что нет. Например, стоимость подарка не должна превышать 3 000 рублей. Дорогой подарок обязательно заносят в реестр. Там указано от какого контрагента, какой подарок и на какую сумму. Участие в данной процедуре говорит о лояльности сотрудника. В памятке прописаны мероприятия делового гостеприимства, в которых можно или нельзя принимать участие. Приемлемы деловой завтрак, обед, ужин. Неприемлемо участие в развлекательных мероприятиях, которые могут быть расценены как неприличные или отрицательно повлиять на репутацию банка (например, ночные клубы, игровые залы)».
В 2009 году принят Федеральный закон № 273-ФЗ «О противодействии коррупции». Существенная нормативно-правовая и системная поддержка получена в госсекторе:
В 2013 году вектор развития повернулся на частные компании. Вступила в силу статья 13.3 (закона № 273-ФЗ), согласно которой частные компании могут принимать дополнительные меры в борьбе с коррупцией:
Проект «Открытые лекции» реализуется Институтом высшего профессионального образования МГУУ Правительства Москвы. Для студентов вуза создается пространство для обсуждения актуальных тем, обмена мнениями и знакомства с новыми управленческими практиками. В рамках проекта выступали Михаил Барщевский, Сергей Андрияка, Игорь Манн и другие известные деятели Москвы.
Подробнее:
Что такое комплаенс-риски
Сотрудники компании и даже ее руководители могут случайно нарушить нормы законодательства, отраслевые стандарты, корпоративную этику. Результатом нарушений являются санкции, причем иногда компании теряют не только деньги, но и партнеров, клиентов. Важно контролировать и управлять регуляторными рисками.
Почему возникают комплаенс-риски
- в компании не следят за законодательством. В налоговом, антимонопольном и антикоррупционном законодательстве регулярно появляются новые правила. Компания обязана их соблюдать, даже если не знает об их существовании. Но если на предприятии не следят за изменениями, то могут произойти непреднамеренные нарушения;
- в компании нет системы внутреннего контроля или она недостаточно развита. Система внутреннего контроля предполагает разумное использование ресурсов, выявление и предотвращение финансовых нарушений, проверку контрагентов;
- сотрудники нарушают законодательство, потому что не знают, какие именно их действия являются нарушением. Это происходит, потому что в компании нет системы обучения – должностным обязанностям или корпоративной этике;
- работники недостаточно дисциплинированны и исполнительны. Они нарушают законы сознательно, не понимая важности их соблюдения;
- сотрудники нарушают законы ради получения личных выгод.
Если закон был нарушен, сознательно или случайно, предприятие ждут последствия. Компании грозит штраф от налоговой службы, антимонопольной службы, Роспотребнадзора, Ростехнадзора и иных контролирующих органов. Любые штрафы являются лишней статьей расходов, то есть компания теряет еще и прибыль. Помимо денежных потерь, страдает ее репутация. Например, инвесторы могут перестать вкладываться, партнеры откажутся от совместных проектов, а клиенты уйдут к конкурентам. Среди других распространенных неприятных последствий – требование кредиторов досрочно погасить долг, отзыв лицензии, отзыв аккредитации.
Зачем компании нужен комплаенс
Комплаенс-направление – это приведение бизнеса в соответствии с требованиями закона. В компанию внедряются мероприятия, осуществляются превентивные меры, позволяющие ей работать в правовом поле.
Комплаенс-направление в России пока еще слабо развито. По большей части комплаенс применяется в контексте банковской сферы, но в последние годы даже в коммерческих и торговых организациях появляются специалисты и отделы, отвечающие за соблюдение правовых норм.
Предприятия внедряют комплаенс-мероприятия, потому что с каждым годом растет частота проверок малого и среднего бизнеса. Компаниям комплаенс стал необходим для подготовки к проверкам, а также для получения своеобразной индульгенции. Некоторые проверяющие органы, например налоговая служба, более лояльны к тем предприятиям, где есть комплаенс-отдел. Наличие службы контроля за соблюдением законодательства может спасти бизнес от штрафов: в случае некоторых нарушений компании вместо штрафа выписываются лишь рекомендации по устранению нарушений.
Если компания работает с иностранными партнерами, комплаенс-служба необходима ей для завоевания доверия зарубежных контрагентов. Во многих странах комплаенс является стандартным явлением, поэтому его отсутствие у российского партнера будет восприниматься негативно.
Внедрить комплаенс в свой бизнес можно ради получения преимуществ:
- контролирующие и надзорные органы, зная, что фирма самостоятельно проверяет свои действия на соответствие законам, уделяют ей меньше внимания. Проверки становятся более редкими и не такими строгими;
- бизнес сам себя защищает от хищений, взяток, мошенничества;
- благодаря тому, что бизнес прозрачен, возрастает доверие партнеров и клиентов. Компания становится более востребованной;
- эффективность и управляемость бизнеса повышаются.
Всё это приводит к главному преимуществу: повышается чистая прибыль и маржинальность продукции.
Создание комплаенс-системы: подготовительные документы
Есть нормы и правила, на которые нужно ориентироваться, создавая в своей компании комплаенс-отдел. Причем документация, в которой прописаны правила, отличается. Например, коммерческим предприятиям стоит ориентироваться на:
- закон о защите конкуренции;
- статью Федерального закона, посвященную противодействию коррупции;
- Кодекс административных правонарушений и отдельные статьи о конкуренции и коррупции;
- статьи Уголовного кодекса, посвященные подкупам, взяткам, мошенничеству.
А для банков и кредитных организаций ориентиром при создании комплаенс-системы являются такие документы:
- положение, утвержденное Банком России. В Положении прописаны правила организации внутреннего контроля;
- доклад Базельского комитета по банковскому надзору.
Разновидности комплаенс-рисков
Риски можно разделить на группы, взяв за основу вид незаконной деятельности и последствия для фирмы.
Самый распространенный вид рисков – операционные или регламентные. Они возникают из-за ошибок работников, технических сбоев, непродуманных внутренних правил. Операционные риски могут привести к конфликтным ситуациям с клиентами и партнерами. Из-за конфликтов компания может потерять клиентов и их доверие, а также понести мелкие убытки. Операционные риски возникают по вине сотрудников, то есть необходимо штрафовать их, делать выговоры или понижать в должности. Но дисциплинарные взыскания приводят к потере мотивации сотрудников, а в перспективе – к росту текучести кадров. На практике операционные риски могут выглядеть так:
- руководители подразделений и команд превышают свои полномочия;
- сотрудники игнорируют регламенты общения с клиентами;
- корпоративная информация становится доступна третьим лицам.
Юридические или правовые риски – это несоблюдение законов РФ, то есть мошенничество, взяточничество, нарушение техники безопасности. Из-за несоблюдения законов на предприятии случаются травмы сотрудников, финансовые потери. Усиливается внимание к компании со стороны проверяющих органов, из-за чего могут возникать убытки – штрафы и санкции. В особо тяжелых случаях имущество фирмы подвергается аресту, а сама компания может лишиться лицензии.
Кроме того, у компании есть риски потерять деньги из-за мошенничества со стороны партнеров, сотрудников и клиентов. Например, сотрудники могут искажать отчетность, из-за чего появляется ошибка в расходах и компания платит лишние деньги. В худшем случае сотрудники намеренно составляют отчетность неправильно, чтобы присвоить себе активы компании. Всё это приводит к убыткам, к сокращению прибыли.
Последняя разновидность рисков – репутационные, возникающие вследствие неэтичного поведения руководства или сотрудников фирмы. Работники нарушают стандарты отрасли, нечестно конкурируют, игнорируют нормы деловой этики. Нарушение норм поведения становится достоянием общественности. Например, клиент может рассказать в соцсетях об обмане со стороны продавца, СМИ могут напечатать историю махинаций. Деловая репутация компания теряется, доверие к бренду со стороны контрагентов падает. В итоге доля рынка снижается, продажи сокращаются, а выручка уменьшается.
Зачастую риск невозможно идентифицировать однозначно. Например, сотрудник целенаправленно подделывает отчетность, чтобы присвоить себе доходы компании. Фирма несет финансовые риски. Но если об обмане сотрудника узнают СМИ или партнеры, то информация распространится повсюду и компания понесет репутационные риски. Последствия разных видов рисков связаны друг с другом.
Уровни комплаенс-рисков
Сегментировать риски необходимо не только по их типу, по источнику возникновения, но и по величине. Чем сильнее последствия от нарушения правил, тем выше уровень. На самом низком уровне находятся риски, которые с наименьшей вероятностью ударят по компании в течение года. Но даже если это и произойдет, то ущербом от реализации станет незначительное падение дохода, увеличение расходов.
Если есть вероятность реализации риска, то его стоит причислить к категории средних. Снижение дохода или рост расходов более значительны. Они происходят из-за падения спроса или потери рынков сбыта.
К высокому уровню можно отнести риски, для реализации которых уже есть предпосылки или которые не раз происходили в прошлом. Из-за таких рисков доходы падают существенно, вплоть до полного сокращения. К рискам высокого уровня можно отнести репутационные потери, нарушение законодательства. Право на ведение бизнеса изымается, а руководство несет уголовную ответственность за нарушения.
Как управлять комплаенс-рисками
Управлять рисками необходимо системно. Налаженная система комплаенса помогает не просто бороться с последствия риска, но и превентивно не допускать возникновения проблем. Система комплаенса разрабатывается таким образом, чтобы достигнуть целей:
- привести бизнес в то состояние, когда он соответствует требованиям законодательства;
- минимизировать риски штрафов, санкций и других наказаний;
- сократить влияние комплаенс-рисков на финансы компании, то есть сделать так, чтобы даже при ошибках или случайных нарушениях компания не теряла деньги;
- сформировать такую корпоративную культуру, при которой сотрудники были бы заинтересованы в соблюдении правил и сами бы стремились поддерживать дисциплину.
Существует несколько базовых принципов, которым должна соответствовать система комплаенс:
- управляющее звено организации несет ответственность за защиту от рисков и за координацию мероприятий наравне с комплаенс-отделом;
- у отдела комплаенс должно быть достаточно полномочий для работы. Ведь нередко у отдела появляется препятствие в виде руководства фирмы. Деятельность службы мешает руководителям достигать бизнес-целей. Например, перед руководителем стоит цель нарастить клиентскую базу или диверсифицировать закупки. А служба комплаенса проверяет новых клиентов и поставщиков и отсекает самых ненадежных, тем самым замедляя наращивание базы.
Чтобы построить систему комплаенса, руководителю нужно сформировать алгоритм реакции на возникновение проблем. Важно реагировать на ситуацию сразу же, как только нарушаются внутренние регламенты или закон. Например, чтобы не допустить махинаций с отчетностью, нужно выстроить систему проверки отчетов; каждая цифра или статья расходов должна подтверждаться несколькими документами. Как только отмечается расхождение в отчете и другой документации, к проверке подключается руководитель.
Вторая составляющая системы комплаенса – четкие и понятные инструкции для персонала, чтобы сотрудники не могли нарушить закон случайно. Четкие инструкции помогут работникам вовремя распознать угрозу и выбрать правильную линию поведения. Например, в магазин приходит конфликтный клиент. Если у продавца нет инструкций по общению со сложными покупателями, он неправильно отреагирует на нападки клиента. Случится конфликт, результатом которого может стать потеря репутации, если клиент расскажет об агрессивном продавце в соцсетях. Но, если у сотрудника будет скрипт по работе со сложными покупателями, он не допустит развития конфликта.
Есть алгоритм создания системы комплаенс-контроля:
- Сформировать отдел или выбрать сотрудника, ответственного за управление рисками.
- Проанализировать бизнес-процессы и документацию. Нужно проверить, соответствуют ли они законодательству. Если есть расхождения, они устраняются.
- Разработать принципы и критерии оценки рисков, чтобы вовремя предсказывать вероятность получения штрафов, санкций, потерь репутации.
- Разработать политику комплаенса. Нужно задокументировать правила и обязанности сотрудников комплаенс-отдела, в соответствии с которыми они будут действовать.
- В течение ближайших месяцев внедрить процедуры оценки рисков и проверки документации, других сотрудников.
- Обучать персонал, проверять их знания, чтобы быть уверенными, что в проблемной ситуации они поведут себя правильно.
Определение критериев оценки рисков
Самый сложный этап – определение критериев оценок рисков. Вот на что можно ориентироваться, чтобы распознать опасную ситуацию:
- регулярные, подозрительно частые поломки и сбои электронных систем. Следует обращать внимание на сбои и поломки, если они стали происходить чаще, чем раньше;
- информация о сделках, которая была не отправлена в налоговую. Если данные о сделке не были внесены в отчет, необходимо проверить, нет ли в сделке чего-то подозрительного;
- обращения клиентов, жалобы. Важно отрабатывать негатив клиентов, отвечать на каждую жалобу, даже мелкую. Но также необходимо подсчитывать количество жалоб за период и сравнивать с прошлыми периодами. Увеличение числа обращений – повод забеспокоиться;
- снижение профессионального уровня сотрудников. Чтобы выявить уровень знаний и навыков, необходимо регулярно проводить тестирования.
Разработка внутренней документации
Чтобы комплаенс-система нормально функционировала, правила работы, критерии оценки, функционал сотрудников прописываются во внутренней документации. В компании должны быть такие документы:
- общая политика комплаенса. Это главный документ, который разрабатывается и подписывается руководителем компании. Политика комплаенса формируется на основе действующего законодательства РФ, но также стоит учесть лучшие проверенные бизнес-практики, международные нормативы;
- политика сообщения о нарушениях. Если кто-то из сотрудников узнал о нарушении, он обязан сообщить об этом. Но иногда сотрудник сам подвергается риску после своего доноса. Например, коллега-нарушитель может ему мстить, коллектив может отвернуться от «ябеды». Поэтому в компании должен быть разработан безопасный способ сообщить о нарушении анонимно;
- правила корпоративного поведения;
- стандарты корпоративной этики. Это достаточно общий документ, затрагивающий все направления деятельности компании. В документе описываются морально-этические принципы, которых рекомендуется придерживаться всем сотрудникам фирмы, обязанности сотрудников, приоритеты предприятия;
- политика принятия и дарения подарков. Этот документ разграничивает понятия «подарков» и «взяток», то есть обозначает красную линию, после которой действия сотрудника, принимающего презент от третьего лица, квалифицируются как принятие взятки или отката. Этот документ – необязателен. Во многих компаниях в принципе невозможно получение кем-то из сотрудников подарков от клиентов или партнеров. Но в то же время есть отрасли, территориальные рынки, где дарение подарков является стандартной практикой. Например, при взаимодействии с партнерами, инвесторами из восточного зарубежья обмен подарками является стандартной практикой, а значит, документ необходим;
- политика покупки ценных бумаг. Если сотрудникам доступна покупка ценных бумаг, они могут использовать свою причастность к внутренней информации для более выгодной покупки. Значит, важно ограничить эту возможность. Например, можно ограничить покупку бумаг компаний-партнеров, можно запретить «короткие» продажи или внедрить более строгую систему согласования операций.
Функционал и обязанности отдела управления рисками
Система комплаенс-контроля может быть выстроена в компаниях по-разному. Чем крупнее предприятие, тем сложнее будет контролировать работу всех подразделений, а значит, тем больше сотрудников будет вовлечено в комплаенс-контроль. На маленьком предприятии комплаенс-функционал можно передать одному из сотрудников, например специально нанятому комплаенс-менеджеру. В крупной компании могут быть:
- юридический отдел;
- отдел экономической безопасности;
- служба внутреннего контроля;
- служба безопасности;
- отдел комплаенс-контроля, который будет собирать и обрабатывать информацию, поступающую из всех вышеназванных подразделений.
Важно наделить специалиста по работе с рисками высоким статусом. Во внутренней иерархии он должен находиться на уровне топ-менеджера. Ведь ответственность руководителя комплаенс-отдела высока.
Подразделение займется проведением мероприятий по безопасности компании:
- контроль бизнес-процессов, чтобы они соответствовали законодательству;
- поиск и оценка рисков;
- контроль за соблюдением компанией законодательства, касающегося справедливой конкуренции;
- недопущение ситуаций, когда компания явно или непреднамеренно спонсирует терроризм;
- выполнение требований антикоррупционного законодательства;
- работа с надзорными органами, чтобы деятельность компании была для них прозрачной;
- работа с иностранными поставщиками и партнерами, если компания или контрагенты облагаются санкциями;
- расследование преступлений внутри фирмы;
- инструктаж сотрудников, проверка знаний по предотвращению рисков или по правильному поведению в опасной ситуации;
- изучение законодательства, чтобы вовремя заметить изменения, например новые законы или поправки к ним.
Как снизить риски
Задача отдела по работе с комплаенс-рисками – минимизировать не только последствия, но и количество рисков. Работа по минимизации рисков ведется так.
Сперва риски анализируются. Специалисты изучают бизнес-процессы, чтобы выявить в них места, потенциально способные стать рисками. Например, важный бизнес-процесс в отделе бухгалтерии – формирование отчетности о доходах и расходах, о распределении финансов. Но он же может стать источником риска, так как сотрудники могут внести в отчеты неверные данные. Значит, необходимо продумать меры защиты от финансовых рисков и систему контроля за отчетностью.
Затем составляются карты комплаенс-рисков. Карта – это графическое изображение всей деятельности компании. Для удобства карту можно разделить по секторам, чтобы каждый сектор обозначал одно из направлений работы, например производство, сбыт, бухгалтерию. В каждом секторе обозначаются риски, причем метки могут различаться в зависимости от величины риска. Карта покажет, какие направления работы могут принести компании больше всего потерь.
Риски нужно оценить по последствиям для компании. Чем больше последствий принесет риск, тем больше ресурсов можно вложить в мероприятия по нивелированию опасности. Оценивать риски необходимо регулярно, ведь могут не только меняться имеющиеся риски, но и появляться новые.
Только после оценки можно разрабатывать способы снижения рисков. Мероприятия по митигации необходимо проводить комплексно и регулярно. Поэтому оптимально планировать мероприятия не менее чем на год. Какими могут быть меры снижения рисков? Например, риски в работе сотрудников можно сократить таким образом:
- распределить обязанности так, чтобы любые серьезные решения принимались коллегиально, а в работе с финансами было задействовано несколько сотрудников. Это предотвратит взяточничество и превышение полномочий;
- ограничить доступ сотрудников к информации, которая непосредственно не требуется им в работе. Это спасет от присвоения себе активов компании или продажи информации конкурентам. Ведь, если сотрудник не будет знать о полном объеме выручки, о контактных данных клиентов, он не сможет подделать документацию или распространить информацию;
- дать право принимать решения тому сотруднику, у которого от решения зависит премия. Тогда у работника будет мотивация принять решение, выгодное в первую очередь для компании.
Мероприятия по минимизации рисков периодически можно перепроверять и корректировать.
Заключение
Штрафы и санкции, лишения лицензий и уголовная ответственность – последствия, которые ждут компанию и ее руководство в случае несоблюдения законов и отраслевых норм. Однако законодательство очень обширно, оно охватывает все направления деятельности фирмы. И уследить за соблюдением всех норм невозможно без помощи специально выделенного сотрудника или подразделения. Так в компаниях появляется необходимость в службе комплаенс.
Чтобы подразделение работало эффективно, важно дать сотрудникам достаточно полномочий, проанализировать бизнес-процессы на наличие рисков и последствий от них и составить план мероприятий по предотвращению и снижению рисков. Но не менее важна поддержка от руководства и помощь в координации работы комплаенс-службы и остальных подразделений.