Комплаенс: зачем проводить, сколько стоит?

Автор: | 27.09.2019

Комплаенс: зачем проводить, сколько стоит?

Комплаенс – явление, ставшее в последнее время очень популярным в бизнес-среде. «Расчет» попросил Анну Хрусталеву, руководителя юридического департамента компании Acsour рассказать о появлении этой процедуры, ее необходимости для бизнеса, порядке и сроках проведения, а также о примерном бюджете, который организации стоит выделить на выявление и предупреждение юридических рисков.

Само слово «комплаенс» происходит от английского глагола to comply – соответствовать требованиям, следовать приказам. В бизнесе так принято называть специальную процедуру по анализу разных аспектов деятельности организации на соответствие законодательным требованиям или стандартам делового оборота для предотвращения нарушений и штрафов и поддержания деловой репутации на рынке.

В законодательстве России термин «комплаенс» не используется, но содержатся указания на близкий по содержанию термин «внутренний контроль» – то есть контроль самой организации за соблюдением ею же законодательства. Поэтому комплаенс и внутренний контроль могут использоваться либо как синонимы, либо внутренний контроль будет означать проверку всей деятельности организации, а комплаенс – проверку только внутренних актов.

Зарождение и становление

История возникновения практик по комплаенс приходится на 1970-е годы и связана с рядом серьезных экономических скандалов вокруг крупных американских компаний, уличенных во взяточничестве в международной торговле. После принятия Закона о зарубежной коррупции в 1977 году, впервые установившего в США уголовную ответственность за передачу взятки должностному лицу иностранного государства, а также после принятия Организацией экономического сотрудничества конвенции и ее развития против международной коррупции в 1997 году, обязавшей страны-участницы ввести ответственность и меры по борьбе с международным взяточничеством, многим международным организациям пришлось заняться оценкой внутренних процессов, ликвидацией имеющихся нарушений и предотвращением потенциальных рисков. Несмотря на то, что Россия не входит в Организацию экономического сотрудничества и развития, статьей 18.28 КоАП РФ установлена ответственность за взятку иностранному должностному лицу.

После принятия вышеуказанных законов компании стали формировать особые отделы по внутреннему контролю и разрабатывать локальные акты. Таким образом, в 1992 году Комитетом организаций-спонсоров Комиссии Тредвея были созданы Общие правила организации внутреннего контроля, в которых установлены основные принципы, общие положения для локальных актов, порядок интеграции новых правил в организацию и иные положения. При этом в нормативных актах некоторых стран непосредственно вводится обязанность организации по проведению комплаенс.

Так в Законе Сарбейнза – Оксли 2002 года США установлена обязанность опубликования ежегодных отчетов внутреннего контроля о соответствии деятельности организации законодательству, а за нарушение обязанности установлена ответственность как для самой компании, так и лично для высшего руководства организации.

Таблица 1. Реализация в России
В России законодательное требование о ведении внутреннего контроля содержится в следующих законах:

Федеральный закон от 21 ноября 2011 года № 325-ФЗ «Об организованных торгах» Статья 14
Федеральный закон от 7 февраля 2011 года № 7-ФЗ «О клиринге, клиринговой деятельности и центральном контрагенте» Статья 10
Федеральный закон от 26 декабря 1995 года № 208-ФЗ «Об акционерных обществах» Статья 87.1
Закон от 27 ноября 1992 года № 4015-1 «Об организации страхового дела в Российской Федерации» Статья 28.1
Федеральный закон от 2 декабря 1990 года № 395-1 «О банках и банковской деятельности» Статья 11.1-2

Преимущества проведения

Прежде всего, проведение комплаенс позволяет своевременно обнаружить и устранить текущие и потенциальные нарушения законодательства и стандартов делового оборота во внутренних актах и процессах компании. Другими словами, комплаенс сохранит деловую репутацию и денежные средства, которые не придется направлять на выплату штрафа или убытков.

Несмотря на очевидность недопустимости взяток, мошенничества или иных правонарушений существует множество обстоятельств, которые могут повлиять на конкретного работника и привести к ошибкам. Для предотвращения подобных инцидентов и необходима система внутреннего контроля, зачастую устанавливаемая в рамках процедур комплаенс. Например, в результате исследования американского рынка компьютерной безопасности было установлено, что ряд компаний направляют на комплаенс компьютерной безопасности 5,47 млн долларов в год согласно нормам. При этом компании, которые не проводят комплаенс, вынуждены выплачивать в среднем 14,82 млн долларов штрафов за ненадлежащее осуществление деятельности (по данным Globalscape).

Еще одним преимуществом проведения комплаенс является то, что эта процедура позволяет оперативно соотносить текущие процессы компании с требованиями государства или международных организаций согласно специальным нормативным актам: конвенциям, декларациям, постановлениям Правительства, приказам министерств, ГОСТ и т. д. Обычно эти документы устанавливают особые правила осуществления деятельности в соответствующей сфере. В частности, если для работы компании необходима лицензия, в рамках комплаенс осуществляется проверка действительности текущей разрешительной документации, ее обновление или получение новой.

Таким образом, налаженная система внутреннего контроля способствует выявлению правовых рисков и позволяет оптимизировать бизнес-процессы. Помимо этого, регулярное проведение комплаенс или наличие внутренней службы комплаенс-контроля напрямую отражается на репутации компании на рынке, поскольку служит гарантией надежности компании для ее контрагентов.

Порядок проведения

Безусловно, комплаенс полезен для любой компании, и чем она крупнее, тем выше необходимость в установлении внутреннего контроля. Важно отметить, что такой контроль особенно необходим в организациях, связанных с высокими рисками коррупции или мошенничества. Например, обязанность проведения комплаенс установлена для компаний, занимающихся автоматизированной обработкой персональных данных, согласно статье 15 Конвенции о защите физических лиц при автоматизированной обработке персональных от 28 января 1981 года. При этом комплаенс может быть внутренним и проводиться с помощью специально назначенного работника, но чаще всего эту процедуру заказывают у сторонней аутсорсинговой компании.

Организация процедуры комплаенс состоит из следующих этапов: планирование; оценка и документирование; введение улучшений; контроль нововведений и их оптимизация. Остановимся на каждом из этих пунктов подробнее.

Планирование

Чтобы оперативно разработать план по внедрению внутреннего контроля в деятельность компании, в первую очередь необходимо согласовать проведение комплаенс с руководством. Так как эта процедура затрагивает многие процессы на предприятии и является значимым нововведением, собственнику бизнеса важно понимать основные принципы внутреннего контроля.

После этого компания назначает лицо, ответственное за внедрение и последующее проведение внутреннего контроля.

Если это внешний провайдер, нужно наладить его взаимодействие с менеджментом и бухгалтерией, чьи знания внутренних процессов организации помогут при оценке рисков, разработке внутренних документов и их внедрении.

Следующий шаг – это непосредственная разработка плана по внедрению системы внутреннего контроля, которая включает в себя:

  • определение ключевых правовых рисков, которые подлежат контролю;
  • установку прав и обязанностей ответственных лиц;
  • определение временных и денежных затрат на комплаенс;
  • определение сроков проведения проверок и внедрения системы внутреннего контроля;
  • утверждение порядка проведения проверок процессов компании.

bolshievozmojnosti.jpg

Оценка и документирование

Этот этап посвящен проверке текущего состояния деятельности компании: все ли разрешительные документы имеются (лицензии, уведомления, патенты), нет ли подозрительной активности, есть ли нарушения законодательства, надлежащим ли образом ведется финансовая отчетность и т. д.

Важно определить, какие процессы являются наиболее значимыми и уязвимыми для компании. При описании рисков тех или иных процессов необходимо, во-первых, обозначить вид возможных нарушений, например мошенничество, взяточничество, невыполнение техники безопасности, нарушение стандартов оказания услуг или стандартов качества товаров.

Во-вторых, оценить объем законодательства, регламентирующего процессы, действующие в организации.

В-третьих, установить стимулы или способы давления, которые могут побудить сотрудника компании совершить нарушение и подделать отчетность. Премия за продажу товаров на определенную сумму или, наоборот, недовыполненный план продаж могут быть такими стимулами.

В-четвертых, оценить возможность сотрудника совершить нарушение: нужно проверить должностные обязанности, наличие проверяющих лиц.

В-пятых, определить возможное обоснование нарушения, например: «взятка должностному лицу может привести к гарантированному заключению крупного контракта, который принесет организации существенную прибыль»; «соблюдение стандарта качества товара требует чрезмерных затрат ресурсов, но не отражается на реальных потребительских качествах товара».

После выявления процессов с высокими показателями риска нарушений внедряется новый документооборот, фиксирующий ключевые аспекты каждого подверженного риску процесса. В период после введения новых правил документооборота отслеживается их эффективность и при необходимости вносятся правки.

Помимо оценки рисков, на данном этапе также осуществляется проверка текущих локальных актов и внедренных в организации процессов на соответствие законодательству России и международным актам.

Введение правил внутреннего контроля

Для предотвращения нарушений в организации можно внедрить следующий список локальных актов:

  • кодекс корпоративной этики, в котором содержатся общие положения об организации, основные принципы, правила поведения на работе и в общении с контрагентами, способствующие единообразию в действиях работников;
  • положение о внутреннем контроле, содержащее информацию об ответственных, основных задачах и принципах внутреннего контроля, правах и обязанностях сотрудников в сфере внутреннего контроля;
  • политика комплаенс, устанавливающая необходимость отслеживания изменений в законодательстве и информирования руководства и других сотрудников об этих изменениях;
  • политика сообщения о нарушениях, которая определяет внутрикорпоративные каналы связи, в том числе анонимные, для сообщения о нарушениях сотрудников;
  • антикоррупционная политика, определяющая правила поведения сотрудников в ситуациях, которые могут быть истолкованы как дача или вымогательство взятки;
  • политика против отмывания денег, определяющая поведение сотрудников в случаях взаимодействия с денежными средствами сомнительного происхождения;
  • политика использования и хранения конфиденциальной информации, определяющая порядок использования, хранения, передачи и уничтожения конфиденциальных данных (о компании, ее активах, контрагентах и т. д.) и ее носителей;
  • политика использования персональных данных, определяющая правила обработки персональных данных сотрудников и третьих лиц;
  • политика, направленная на защиту интересов компании и работника в случае возникновения конфликта интересов при заключении сделок;
  • политика конфиденциальности, запрещающая разглашение информации, представляющей коммерческую ценность.

Эти локальные акты должны быть доведены до сведения сотрудников, а при необходимости стоит провести тренинги и тестирования на знание положений выработанных правил.

Контроль нововведений и их оптимизация

Последней, но не менее важной стадией реализации комплаенс является контроль эффективности введенной системы контроля и ее совершенствование при выявлении пробелов или излишне затратных процессов.

Важно отметить, что срок и расходы на внедрение системы внутреннего контроля варьируются в зависимости от размера организации, количества подразделений, дочерних предприятий, акционеров, сотрудников, длительности существования организации до проведения комплаенс и иных критериев. Например, для небольшой компании комплаенс проводится в течение календарного месяца, а для крупной – несколько месяцев. В расходы обычно включаются оплата услуг комплаенс, траты на обновление необходимого оборудования, расходы на организацию документооборота и его систематизацию и т. д. Например, по данным компании MossAdams 50% американских компаний, связанных с деятельностью на рынке ценных бумаг, тратят на осуществление комплаенс с законодательством о рынке ценных бумаг от 100 000 до 500 000 долларов США.

Безусловно, такую сложную про-цедуру не всегда получится провести самостоятельно. Согласно статистике Thomson Reuters, в среднем услугами аутсорсинговых компаний для проведения комплаенс пользуются 24% компаний мира, а на региональном уровне подобная статистика разнится от 20% в Европе до 42% в США. Среди основных причин заказать комплаенс у сторонней организации можно отметить следующие: уверенность в качестве и надежности проводимого комплаенс, отсутствие достаточно квалифицированных кадров в компании, которые могут провести профессиональный комплаенс и экономическая выгода, так как внешний провайдер не требует создания отдельных комплаенс-подразделений в компании.

Так или иначе проведение внутреннего контроля необходимо любой организации, стремящейся уменьшить правовые риски, предотвратить приостановление деятельности организации, привлечение генерального директора к уголовной ответственности в связи с незаконной деятельностью организации или риски ухудшения деловой репутации организации на рынке.


Читать оригинал