Комплаенс – явление, ставшее в последнее время очень популярным в бизнес-среде. «Расчет» попросил Анну Хрусталеву, руководителя юридического департамента компании Acsour рассказать о появлении этой процедуры, ее необходимости для бизнеса, порядке и сроках проведения, а также о примерном бюджете, который организации стоит выделить на выявление и предупреждение юридических рисков.
Само слово «комплаенс» происходит от английского глагола to comply – соответствовать требованиям, следовать приказам. В бизнесе так принято называть специальную процедуру по анализу разных аспектов деятельности организации на соответствие законодательным требованиям или стандартам делового оборота для предотвращения нарушений и штрафов и поддержания деловой репутации на рынке.
В законодательстве России термин «комплаенс» не используется, но содержатся указания на близкий по содержанию термин «внутренний контроль» – то есть контроль самой организации за соблюдением ею же законодательства. Поэтому комплаенс и внутренний контроль могут использоваться либо как синонимы, либо внутренний контроль будет означать проверку всей деятельности организации, а комплаенс – проверку только внутренних актов.
Зарождение и становление
История возникновения практик по комплаенс приходится на 1970-е годы и связана с рядом серьезных экономических скандалов вокруг крупных американских компаний, уличенных во взяточничестве в международной торговле. После принятия Закона о зарубежной коррупции в 1977 году, впервые установившего в США уголовную ответственность за передачу взятки должностному лицу иностранного государства, а также после принятия Организацией экономического сотрудничества конвенции и ее развития против международной коррупции в 1997 году, обязавшей страны-участницы ввести ответственность и меры по борьбе с международным взяточничеством, многим международным организациям пришлось заняться оценкой внутренних процессов, ликвидацией имеющихся нарушений и предотвращением потенциальных рисков. Несмотря на то, что Россия не входит в Организацию экономического сотрудничества и развития, статьей 18.28 КоАП РФ установлена ответственность за взятку иностранному должностному лицу.
После принятия вышеуказанных законов компании стали формировать особые отделы по внутреннему контролю и разрабатывать локальные акты. Таким образом, в 1992 году Комитетом организаций-спонсоров Комиссии Тредвея были созданы Общие правила организации внутреннего контроля, в которых установлены основные принципы, общие положения для локальных актов, порядок интеграции новых правил в организацию и иные положения. При этом в нормативных актах некоторых стран непосредственно вводится обязанность организации по проведению комплаенс.
Так в Законе Сарбейнза – Оксли 2002 года США установлена обязанность опубликования ежегодных отчетов внутреннего контроля о соответствии деятельности организации законодательству, а за нарушение обязанности установлена ответственность как для самой компании, так и лично для высшего руководства организации.
Таблица 1. Реализация в России
В России законодательное требование о ведении внутреннего контроля содержится в следующих законах:
| Федеральный закон от 21 ноября 2011 года № 325-ФЗ «Об организованных торгах» | Статья 14 |
| Федеральный закон от 7 февраля 2011 года № 7-ФЗ «О клиринге, клиринговой деятельности и центральном контрагенте» | Статья 10 |
| Федеральный закон от 26 декабря 1995 года № 208-ФЗ «Об акционерных обществах» | Статья 87.1 |
| Закон от 27 ноября 1992 года № 4015-1 «Об организации страхового дела в Российской Федерации» | Статья 28.1 |
| Федеральный закон от 2 декабря 1990 года № 395-1 «О банках и банковской деятельности» | Статья 11.1-2 |
Преимущества проведения
Прежде всего, проведение комплаенс позволяет своевременно обнаружить и устранить текущие и потенциальные нарушения законодательства и стандартов делового оборота во внутренних актах и процессах компании. Другими словами, комплаенс сохранит деловую репутацию и денежные средства, которые не придется направлять на выплату штрафа или убытков.
Несмотря на очевидность недопустимости взяток, мошенничества или иных правонарушений существует множество обстоятельств, которые могут повлиять на конкретного работника и привести к ошибкам. Для предотвращения подобных инцидентов и необходима система внутреннего контроля, зачастую устанавливаемая в рамках процедур комплаенс. Например, в результате исследования американского рынка компьютерной безопасности было установлено, что ряд компаний направляют на комплаенс компьютерной безопасности 5,47 млн долларов в год согласно нормам. При этом компании, которые не проводят комплаенс, вынуждены выплачивать в среднем 14,82 млн долларов штрафов за ненадлежащее осуществление деятельности (по данным Globalscape).
Еще одним преимуществом проведения комплаенс является то, что эта процедура позволяет оперативно соотносить текущие процессы компании с требованиями государства или международных организаций согласно специальным нормативным актам: конвенциям, декларациям, постановлениям Правительства, приказам министерств, ГОСТ и т. д. Обычно эти документы устанавливают особые правила осуществления деятельности в соответствующей сфере. В частности, если для работы компании необходима лицензия, в рамках комплаенс осуществляется проверка действительности текущей разрешительной документации, ее обновление или получение новой.
Таким образом, налаженная система внутреннего контроля способствует выявлению правовых рисков и позволяет оптимизировать бизнес-процессы. Помимо этого, регулярное проведение комплаенс или наличие внутренней службы комплаенс-контроля напрямую отражается на репутации компании на рынке, поскольку служит гарантией надежности компании для ее контрагентов.
Порядок проведения
Безусловно, комплаенс полезен для любой компании, и чем она крупнее, тем выше необходимость в установлении внутреннего контроля. Важно отметить, что такой контроль особенно необходим в организациях, связанных с высокими рисками коррупции или мошенничества. Например, обязанность проведения комплаенс установлена для компаний, занимающихся автоматизированной обработкой персональных данных, согласно статье 15 Конвенции о защите физических лиц при автоматизированной обработке персональных от 28 января 1981 года. При этом комплаенс может быть внутренним и проводиться с помощью специально назначенного работника, но чаще всего эту процедуру заказывают у сторонней аутсорсинговой компании.
Организация процедуры комплаенс состоит из следующих этапов: планирование; оценка и документирование; введение улучшений; контроль нововведений и их оптимизация. Остановимся на каждом из этих пунктов подробнее.
Планирование
Чтобы оперативно разработать план по внедрению внутреннего контроля в деятельность компании, в первую очередь необходимо согласовать проведение комплаенс с руководством. Так как эта процедура затрагивает многие процессы на предприятии и является значимым нововведением, собственнику бизнеса важно понимать основные принципы внутреннего контроля.
После этого компания назначает лицо, ответственное за внедрение и последующее проведение внутреннего контроля.
Если это внешний провайдер, нужно наладить его взаимодействие с менеджментом и бухгалтерией, чьи знания внутренних процессов организации помогут при оценке рисков, разработке внутренних документов и их внедрении.
Следующий шаг – это непосредственная разработка плана по внедрению системы внутреннего контроля, которая включает в себя:
- определение ключевых правовых рисков, которые подлежат контролю;
- установку прав и обязанностей ответственных лиц;
- определение временных и денежных затрат на комплаенс;
- определение сроков проведения проверок и внедрения системы внутреннего контроля;
- утверждение порядка проведения проверок процессов компании.
Оценка и документирование
Этот этап посвящен проверке текущего состояния деятельности компании: все ли разрешительные документы имеются (лицензии, уведомления, патенты), нет ли подозрительной активности, есть ли нарушения законодательства, надлежащим ли образом ведется финансовая отчетность и т. д.
Важно определить, какие процессы являются наиболее значимыми и уязвимыми для компании. При описании рисков тех или иных процессов необходимо, во-первых, обозначить вид возможных нарушений, например мошенничество, взяточничество, невыполнение техники безопасности, нарушение стандартов оказания услуг или стандартов качества товаров.
Во-вторых, оценить объем законодательства, регламентирующего процессы, действующие в организации.
В-третьих, установить стимулы или способы давления, которые могут побудить сотрудника компании совершить нарушение и подделать отчетность. Премия за продажу товаров на определенную сумму или, наоборот, недовыполненный план продаж могут быть такими стимулами.
В-четвертых, оценить возможность сотрудника совершить нарушение: нужно проверить должностные обязанности, наличие проверяющих лиц.
В-пятых, определить возможное обоснование нарушения, например: «взятка должностному лицу может привести к гарантированному заключению крупного контракта, который принесет организации существенную прибыль»; «соблюдение стандарта качества товара требует чрезмерных затрат ресурсов, но не отражается на реальных потребительских качествах товара».
После выявления процессов с высокими показателями риска нарушений внедряется новый документооборот, фиксирующий ключевые аспекты каждого подверженного риску процесса. В период после введения новых правил документооборота отслеживается их эффективность и при необходимости вносятся правки.
Помимо оценки рисков, на данном этапе также осуществляется проверка текущих локальных актов и внедренных в организации процессов на соответствие законодательству России и международным актам.
Введение правил внутреннего контроля
Для предотвращения нарушений в организации можно внедрить следующий список локальных актов:
- кодекс корпоративной этики, в котором содержатся общие положения об организации, основные принципы, правила поведения на работе и в общении с контрагентами, способствующие единообразию в действиях работников;
- положение о внутреннем контроле, содержащее информацию об ответственных, основных задачах и принципах внутреннего контроля, правах и обязанностях сотрудников в сфере внутреннего контроля;
- политика комплаенс, устанавливающая необходимость отслеживания изменений в законодательстве и информирования руководства и других сотрудников об этих изменениях;
- политика сообщения о нарушениях, которая определяет внутрикорпоративные каналы связи, в том числе анонимные, для сообщения о нарушениях сотрудников;
- антикоррупционная политика, определяющая правила поведения сотрудников в ситуациях, которые могут быть истолкованы как дача или вымогательство взятки;
- политика против отмывания денег, определяющая поведение сотрудников в случаях взаимодействия с денежными средствами сомнительного происхождения;
- политика использования и хранения конфиденциальной информации, определяющая порядок использования, хранения, передачи и уничтожения конфиденциальных данных (о компании, ее активах, контрагентах и т. д.) и ее носителей;
- политика использования персональных данных, определяющая правила обработки персональных данных сотрудников и третьих лиц;
- политика, направленная на защиту интересов компании и работника в случае возникновения конфликта интересов при заключении сделок;
- политика конфиденциальности, запрещающая разглашение информации, представляющей коммерческую ценность.
Эти локальные акты должны быть доведены до сведения сотрудников, а при необходимости стоит провести тренинги и тестирования на знание положений выработанных правил.
Контроль нововведений и их оптимизация
Последней, но не менее важной стадией реализации комплаенс является контроль эффективности введенной системы контроля и ее совершенствование при выявлении пробелов или излишне затратных процессов.
Важно отметить, что срок и расходы на внедрение системы внутреннего контроля варьируются в зависимости от размера организации, количества подразделений, дочерних предприятий, акционеров, сотрудников, длительности существования организации до проведения комплаенс и иных критериев. Например, для небольшой компании комплаенс проводится в течение календарного месяца, а для крупной – несколько месяцев. В расходы обычно включаются оплата услуг комплаенс, траты на обновление необходимого оборудования, расходы на организацию документооборота и его систематизацию и т. д. Например, по данным компании MossAdams 50% американских компаний, связанных с деятельностью на рынке ценных бумаг, тратят на осуществление комплаенс с законодательством о рынке ценных бумаг от 100 000 до 500 000 долларов США.
Безусловно, такую сложную про-цедуру не всегда получится провести самостоятельно. Согласно статистике Thomson Reuters, в среднем услугами аутсорсинговых компаний для проведения комплаенс пользуются 24% компаний мира, а на региональном уровне подобная статистика разнится от 20% в Европе до 42% в США. Среди основных причин заказать комплаенс у сторонней организации можно отметить следующие: уверенность в качестве и надежности проводимого комплаенс, отсутствие достаточно квалифицированных кадров в компании, которые могут провести профессиональный комплаенс и экономическая выгода, так как внешний провайдер не требует создания отдельных комплаенс-подразделений в компании.
Так или иначе проведение внутреннего контроля необходимо любой организации, стремящейся уменьшить правовые риски, предотвратить приостановление деятельности организации, привлечение генерального директора к уголовной ответственности в связи с незаконной деятельностью организации или риски ухудшения деловой репутации организации на рынке.