Требования комплаенса

Требования комплаенса

Системный подход к построению комплаенс-функции позволяет структурировать и создать эффективную функцию обеспечения соответствия законодательным требованиям в организации любого типа. При этом ключевыми являются следующие вопросы:

• подход к выявлению областей комплаенса и методология построения функции комплаенс;
• структуризация функции комплаенс (централизованная и децентрализованная комплаенс-функция; разделение зон ответственности с функцией управления рисками, внутреннего контроля, внутреннего аудита);
• внешняя оценка функции комплаенс (кто и на предмет чего оценивает функцию комплаенс; какие в связи с этим действия необходимо предпринимать в компании).

Структура и основные области комплаенс-системы

В структуру комплаенс-системы включены 12 основных элементов - процессные, технологические, организационные (рис. 1)[3]. При этом наличие в компании отдельных элементов функции комплаенс может быть предопределено законом, а может быть необходимо в целях управления риском даже в отсутствие императивного предписания регулятора.

Рис.1. Основные элементы системы комплаенс

Приоритет определенным компонентам системам отдается в зависимости от типа третьих лиц, вовлеченных в оценку функции комплаенс и (или) системы комплаенс.

Указанные структурные составляющие функции комплаенс должны существовать в организации применительно к любой области законодательного регулирования, действие которой распространяется на организацию, то есть необходимо идентифицировать области комплаенса, актуальные для компании. При этом законодательные требования могут быть специфическими, то есть распространяться только на организации определенной индустрии и специфики (например, банковское законодательство), или общими (например, налоговое законодательство).[3]

На рис.2 представлены основные области комплаенса.

Рис.2. Основные области комплаенса

Банкротство организаций придорожного сервиса приводят к значительным финансовым потерям для клиентов и имиджевым - для обслуживающих их структур. Чисто российских примеров накопилось достаточно, и их нет смысла комментировать и анализировать. А следует обратиться к современным методологиям и технологиям управления рисками и подготовке (переподготовке) кадров, имея ввиду не только и не столько консультативные функции, но и в большей степени - контрольные, когда не только устанавливаются стандарты работы, но осуществляется эффективный правовой надзор за надлежащим исполнением политик и процедур функционирования организаций придорожного сервиса[1,3].

Современные исследователи различают несколько видов рисков - финансовые, операционные и бизнес-риски[4,5,6], которые в дальнейшем подвергаются и более детальной классификации. В любом случае проявление любых из названных рисков и их производных всегда свидетельствует об отсутствии или недостаточной эффективности предупредительных мероприятий.

Вышеописанные малопродуктивные процедуры могут повторяться до тех пор, пока руководители организаций туристко-рекреационного комплекса не внедрят механизмы управления рисками и осуществят современную подготовку персонала для их заблаговременного предупреждения.

Именно такие механизмы заложены в современной комплексной методологии «комплаенс» и включающей три взаимосвязанных компонента: «выявление» (идентификация риска), «профилактика» (контроль риска) и «реагирование» (эффективное целенаправленное действие в конкретных ситуациях). Сам термин «комплаенс» происходит от английского «compliance», означающий «соответствие».

Необходимо отметить тот эффект, что существует грань, после достижения которой ограничения, налагаемые методикой комплаенс, не только приводят к минимизации рисков, но и в определенной мере ограничивают бизнес-процессы организации.

В то же время следует подчеркнуть, что осознание этой грани способствует более эффективному управ­лению рабочими процессами. Поскольку организации выстраивают:

• надежный комлаенс-процесс, снижая репутационные риски и облегчая работу с международны­ми контрагентами путем следования ведущим миро­вым практикам;
• интеграцию своего бизнеса в мировую эконо­мику;
• принцип справедливости в отношениях между участниками рынка, минимизации коррупционных, финансовых, правовых и репутационных рисков.

Итак, если говорить кратко, комплаенс представляет собой комплекс реальных мероприятий по защите бизнеса и его акционеров, с одной стороны, от внешнего влияния коррупции (коррупция внешней среды), а с другой - от злоупотреблений (коррупция внутренняя) и не­эффективного управления организацией со стороны ее менеджмента.

Различаются три основных понятия комплаенс-менеджмента:

• комплаенс в узком понимании - это достижение соответствия деятельности организации, предприя­тия любой формы собственности антикоррупционному законодательству (как в страновом, так и в международном аспектах);
• комплаенс в широком смысле - это достижение организацией, предприятием соответствия нормам закона (страны и международным законам), установ­ленным правилам и стандартам;
• комплаенс-аудит - это системная, регулярная проверка соответствия деятельности организации, предприятия законодательству (страны и международным правовым актам), правилам и стандартам, ее регу­лирующим. Объектами комплаенс-аудита в туристско- рекреационной сфере должны выступать:
• государственные структуры, региональные и муниципальные туристские власти;
• организации, учреждения и предприятия, расходующие государственные средства в туристско- рекреационной сфере;
• компании из указанной сферы, в которых го­сударство имеет контрольный пакет;
• организации и предприятия любой формы собственности из указанной сферы, имеющие финансово-экономические и организационно-управленческие отношения с государственными органами и государственными служащими.

Рис.3. Механизм воздействия и эффект внедрения системы комплаенс

На рис. 3 показаны преимущества внедрения системы комплаенс в туристско-рекреационной сфере в трех иерархически связанных уровнях: 3-й уровень - повышение стоимости компании и ее инвестиционной привлекательности; 2-й уровень - пресечение злоупотреблений и организация синер­гетического положительного эффекта развития ком­пании; 1-й уровень - мониторинг, предупреждение рисков существования и развития компании.

Обращение к зарубежному опыту применения комплаенс-программ связано по крайней мере с дву­мя важными обстоятельствами: с растущей интеграцией мировой экономиче­ской и финансовой систем; развитостью зарубежного законодательства и норм комплаенс, порождающих систему особых требований иностранцев-бизнесменов, а также органов иностранных государств к своим контраген­там в России, в том числе - связанных с ее вступлением в ВТО. На рисунке 4 показано взаимодействие национальных и международных регуляторов в комплаенс-менеджменте.

Рис.4. Взаимодействие национальных и международных регуляторов в комплаенс-менеджменте

Наверно, нет необходимости говорить о важности проверки и мониторинга действий контрагентов и лиц в отечественных туристско-рекреационных компани­ях, с которыми иностранцы ведут деловые отношения.

Среди наиболее распространенных рисков в этой сфере можно назвать:

• подверженность рискам взяточничества от имени лица, связанного с иностранной компанией;
• недостаточность у российского контрагента системы мер, направленных на борьбу с кор­рупцией;
• риски коррупции при контактах с государственными органами, например, при вознаграждении за ускорение процедур, лицензировании, при госзакупках, организации тендеров;
• риски при организации деятельности со­вместных предприятий, дочерних туристско- рекреационных структур;
• риски коррупциогенных контактов в право­охранительной сфере и судебных органах и многие другие случаи, связанные с нарушением предписаний нормативных актов по борьбе с коррупцией и взяточничеством в стране.

Очевидно, что неблагоприятные последствия для туристско-рекреационных организаций, на­рушающих требования комплаенс-процедур, могут выражаться по крайней мере в четырех аспек­тах:

• в потере международной деловой репута­ции;
• в штрафных санкциях для лиц и предпри­ятий, осуществляющих деятельность в указанной сфере;
• в ограничении деловых контактов со сто­роны российского и зарубежного бизнес-сообщества с такими организациями из «черного списка»;
• в потере привлекательности для зарубеж­ных инвесторов.

Среди основных стратегических задач органи­заций и предприятий туристской сферы и придорожного сервиса в области комплаенс выступают:

• консолидация и координация усилий в изуче­нии и внедрении передового опыта в области комплаенс-менеджмента, объединение усилий в противодействии коррупции и легализации доходов, полученных преступным путем, а также финансовым мошенничествам и другим экономическим преступлениям в сфере туризма;
• развитие технологий комплаенс в России за счет сотрудничества с зарубежными ассоциация­ми, институтами и компаниями, специализирую­щимися в сфере туризма;
• взаимодействие с учебными заведениями в области подготовки и переподготовки кадров, по­вышения уровня обучения, включая разработку и внедрение современных учебных программ, про­ведение занятий, обеспечение роста профессио­нализма преподавательских кадров в области комплаенс;
• развитие российской национальной про­граммы сертификации специалистов туризма в об­ласти комплаенс;
• формирование рынка профессиональных ус­луг комплаенс в сфере туризма и придорожного сервиса;
• консолидация усилий ученых, специалистов и практиков в области комплаенс в сфере туризма, обмен идеями и опытом, формирование здесь пере­довой методологической базы;
• содействие развитию и широкому практиче­скому использованию современных средств и ме­тодов комплаенс, а также разработка методологи­ческой базы эффективных технологий комплаенс, применяемых в производстве и оказании услуг в сфере туризма и придорожного сервиса.

Заключение

Таким образом, зоны действия комплаенса намного шире, чем указано в российском законодательстве. Комплаенс-функция внедряется многими компаниями, поскольку является эффективным инструментом управления комплаенс-рисками и позволяет избежать неблагоприятных последствий как для компании, так и для руководства. Соответственно в выстраивании функции комплаенс даже в отсутствие обязательных требований закона заинтересованы как топ-менеджеры, так и собственники.

У комплаенса большое будущее в России, поскольку совершенствование соответствующих механизмов и правового регулирование является неотъемлемой составляющей той работы, которую необходимо провести для создания нового мирового финансового центра.

Кроме того, в развитии регуляторного комплаенса заинтересовано и государство, и бизнес-сообщество. Государство - поскольку это позволит эффективно выполнять контрольные функции, осуществлять мониторинг и аналитическую работу, что очень важно для оперативной и достоверной предварительной оценки предполагаемых к принятию новых инициатив, корректирующих воздействий. Бизнес-сообщество - поскольку компания, добросовестно выполняющая все предписанные государством действия, может не опасаться привлечения к ответственности. Примером может служить антимонопольный комплаенс: регулятор не только устанавливает определенные правила в части доминирующего положения, но и утверждает кодекс самооценки, согласно которому компания должна действовать, чтобы не нарушить требования по расчету доли рынка.

Таким образом, комплаенс позволяет обеспечить в долгосрочной перспективе как компаниям, так и государству стабильность и непрерывное развитие. Помимо предварительного контроля для эффективной работы комплаенс-системы также важны и другие элементы - последующий контроль, обучение, оценка рисков, установление ключевых показателей эффективности и т.п.

Рецензенты:

Артемов Н.И., д.э.н., профессор, Уфимский Государственный Университет, г. Уфа;

Зейнашева З.Г., д.э.н., профессор, Уфимский Государственный Университет, г. Уфа.

Банковское обозрение

Сфера финансовых интересов

• 
• 
• 

Комплаенс в российских банках существует, хотя большинство из них не используют данное понятие в своей нормативной базе и повседневной работе, считает Денис Новиков, начальник отдела службы внутреннего контроля Россельхозбанка, эксперт комитета по ПОД/ФТ и комплаенс-рискам

— Денис Вячеславович, есть ли официальное определение термина в документах ЦБ РФ?

— В настоящее время нормативные акты Банка России не содержат определения «комплаенс». Вместе с тем следует вспомнить, что еще в 1999 году Банком России была сделана попытка ввести данный термин в деловой оборот. Так, в Указании Банка России от 07.07.1999 №603-У было дано определение комплаенс-контроля — внутренний контроль за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитной организации [Указание утратило силу 15.02.2004 — прим. БО].

— Несмотря на то, что данное указание регламентировало контрольную деятельность банков исключительно на финансовых рынках, заложенные в нем подходы и направления комплаенс-контроля можно распространить и на другие направления деятельности кредитных организаций.

— Могли бы вы дать свой вариант определения того, что такое комплаенс в банках?

— Говоря об определении указанного термина, целесообразно обратиться к западной практике. Базельский комитет по банковскому надзору дает исчерпывающее понятие комплаенс-риска — это риск применения юридических санкций или санкций регулирующих органов, существенного финансового убытка или потери репутации банком, в результате несоблюдения им законов, инструкций, правил, стандартов саморегулируемых организаций или кодексов поведения, касающихся банковской деятельности. Исходя из указанного определения следует, что под комплаенсом можно понимать некое идеальное состояние банка, предполагающее полное соответствие деятельности кредитной организации требованиям, стандартам, рекомендациям кредитной организации, что является практически недостижимой целью. Проще говоря, оставив за рамками разговора высокие слова про комплаенс-культуру и комплаенс-идеологию, о чем часто упоминается в западных стандартах, комплаенс представляет собой набор конкретных технических функций, реализация которых позволяет управлять правовым, репутационным и некоторыми операционными рисками, которые в совокупности можно называть комплаенс-риском.

— Можно ли утверждать, что функции комплаенса, по крайне мере в российских банках, можно разделить на две группы: необязательные, а также те, что предписаны законодательством, например, связанные с ПОД/ФТ, инсайдом и т.п. и за их отсутствие или неэффективное выполнение государство может наказать (штрафы, отзыв лицензии)?

— Такое утверждение допустимо. Действительно, необходимость выполнения определенных комплаенс-функций обусловлена несколькими причинами:
• законодательные требования, прямо предписывающие выполнение банками определенных действий (ПОД/ФТ, инсайд и т.д.);
• понимание руководством банка необходимости реализации определенных комплаенс-функций, прямо не предусмотренных законодательством и нормативными актами;
• выполнение отдельных комплаенс-функций в связи с требованиями и ожиданиями иностранных партнеров и контрагентов. Или, иными словами, «желание показать товар лицом».
При этом вторая причина как раз позволяет утверждать, что комплаенс в банках существует и в настоящее время, хотя они (большинство из них) не используют данное понятие в своей нормативной базе и повседневной работе.
Действительно, текущие потребности любого банка обуславливают необходимость реализации таких комплаенс-функций, как изучение деятельности клиента, его идентификация, противодействие мошенничеству. Не называя эти функции термином комплаенс, банк, руководствуясь очевидным желанием не потерять деньги, репутацию и клиентов, реализует данные функции силами операционных работников, риск-менеджеров, работников подразделения безопасности и IT, правового подразделения. То есть, выполнение данных функций в большей степени продиктовано жизнью и здравым смыслом, нежели требованиями нормативных актов, отсутствие которых не привело бы к исчезновению из деятельности банков указанного функционала.

Комплаенс представляет собой набор конкретных технических функций, реализация которых позволяет управлять правовым, репутационным и некоторыми операционными рисками

Говоря про комплаенс, интересно сопоставить подходы западных финансовых институтов и специфику деятельности российских кредитных организаций, в которых блок безопасности представлен более широко, нежели в иностранных банках. Отсюда можно сделать вывод, что фактически значительным числом комплаенс-функций в небольших и средних российских банках преимущественно занимается именно безопасность, в то время как в западных институтах это прерогатива комплаенс-подразделения. Разница в подходах позволяет говорить о том, что комплаенс в российских банках уже существует, хоть и носит разрозненный характер, что также является приемлемым вариантом модели организации комплаенса с точки зрения Базельского комитета по банковскому надзору.

— Чем должна заниматься служба комплаенса в банке? Только вопросами, связанными с соблюдением кредитной организацией действующего законодательства, например, противодействие ПОД/ФТ, разглашению инсайдерской информации и манипулированию рынком или чем-то еще? Например, предотвращению конфликта интересов между акционерами банка и персоналом, банком и клиентами.

— Все зависит от конкретного банка, его организационной структуры, бизнес-процессов, существующих в банке, и возможностей руководства инвестировать в комплаенс.
Как уже было сказано выше, в любом отдельно взятом банке комплаенс уже существует в том либо ином виде и это не зависит от того, есть ли в структуре банка подразделение или нет, а международные стандарты допускают многовариантую модель комплаенса, в том числе предполагающую распределение комплаенс-функций между разными подразделениями банка.
Другое дело, что Базель предполагает необходимость наличия ответственного за комплаенс — работника в достаточно высоком статусе, в том числе в статусе члена коллегиального исполнительного органа управления банка.

Если банк постановил создать комплаенс-подразделение, последнее следует рассматривать как центр принятия решений по управлению комплаенс-рисками

Что касается конкретных направлений комплаенса, то за годы существования данного понятия, в банковском сообществе сложился определенный комплаенс-периметр, в который традиционно включают следующие направления деятельности:
• противодействие мошенничеству и коррупции;
• противодействие отмыванию денег;
• соблюдение требований международных санкций и санкций иностранных государств;
• выполнение иностранного налогового законодательства, действие которого затрагивает деятельность банка;
• обеспечение соблюдения норм корпоративного поведения;
• контроль соблюдения ковенант по международным заимствованиям;
• контроль профучастника РЦБ;
• противодействие инсайду и манипулированию на РЦБ;
• рассмотрение жалоб клиентов;
• соблюдение политики информационной безопасности.
Вышеуказанные направления деятельности реализуются посредством применения общеизвестных политик:
— Due Diligence,
— Know Your Costomer,
— Code of Conduct,
— Anti-Fraud Policy,
— Whistleblowing policy,
— Gift policy и так далее.
В целом круг направлений комплаенса, исходя из определения комплаенс-риска, должен касаться всех видов деятельности банка. Здесь должно быть понимание, что наличие подразделения в банке не означает, что выполняемые другими отделами комплаенс-функции либо их отдельные элементы должны быть обязательно переданы в это подразделение. Отчасти это просто невозможно сделать.
Например, невозможно замкнуть на комплаенс-подразделении функцию идентификации клиента. Эта функция является неразделимой с операционной и кассовой работой. В то же время, если банк постановил создать комплаенс-подразделение, последнее следует рассматривать как центр принятия решений по управлению комплаенс-рисками (идентификация риска, анализ риска и его минимизация). Наряду с этим, наличие комплаенс-подразделения позволит локализовать в нем несвойственные бизнес и бэк-подразделениям функции, включая принятие решений по управлению комплаенс-рисками, которые в отсутствие специализированного подразделения принимаются бизнесом, и, тем самым, минимизировать конфликт интересов, который неизбежен у данных подразделений, в силу несоответствия целей комплаенса КПЭ бизнес и бэк-подразделений.
Таким образом, помимо централизации управления комплаенс-рисками, возможен положительный экономический эффект от создания комплаенс-подразделения. Бизнес передает ему несвойственные функции, при этом высвободившиеся ресурсы и время бизнес расходует на осуществление своей основной деятельности, а комплаенс-подразделение участвует в бизнес-процессе лишь в случае наступления рискового события, мониторинг которого должен осуществляться комплаенс-подразделением либо в он-лайн режиме либо в режиме, максимально приближенном к он-лайну.

— Есть ли официальные документы ЦБ РФ, где описаны функции комплаенса и комплаенс-риски, за исключением тех, что связаны с противодействием ПОД/ФТ, инсайдом. Какими документами, кроме рекомендаций Базельского комитета по банковскому надзору, следует руководствоваться банкам при создании службы комплаенс.

— Подобных документов нет. В то же время есть отдельные нормативные акты и рекомендации ЦБ, в которых раскрыты определенные аспекты выполнения комплаенс-функций, несмотря на то, что Банк России напрямую не оперирует понятием «комплаенс».
В качестве примера можно привести Письмо Банка России №92-Т об управлении правовым и репутационным рисками. За рубежом ситуация несколько иная. В ряде стран имеются исчерпывающие документы, раскрывающие направления деятельности комплаенса, систему комплаенс-менеджмента, а также регламентирующие порядок осуществления аудита комплаенса. Значительный вклад в разработку методологических документов по комплаенсу вносят саморегулируемые организации, которые разрабатывают подобные стандарты. В то же время нельзя не отметить, что конкретный набор действий по реализации комплаенс-функций раскрывается не в глобальных комплаенс-документах, а в отдельных нормативных актах, регламентирующих выполнение определенных функций.

— В ноябре 2007 года Центробанк подготовил Письмо №173-Т «О рекомендациях Базельского комитета по банковскому надзору по комплаенс и комплаенс-функциям в банках». В Базеле документ был принят на 2,5 года раньше. Выбор даты был случайным или сложившаяся на тот момент ситуация в банковской сфере требовала срочного создания комплаенс-служб в каждом кредитном учреждении?

— Данный вопрос, видимо, следует адресовать Банку России. С другой стороны наличие данного Письма ЦБ является безусловным плюсом для банковского сообщества. Полагаю, что несмотря на необязательный характер данного Письма, сам факт его наличия является достаточным стимулом для банков задуматься над необходимостью постановки комплаенса.

— Чем занимается Комитет АРБ по вопросам ПОД/ФТ и комплаенс. Каких результатов удалось достичь, благодаря его деятельности? Какие банки могут принимать участие в его работе?

— Миссия комитета очевидна. Это несколько направлений деятельности.
Прежде всего, урегулирование с надзорными органами и регулятором норм законодательства, подзаконных актов и рекомендаций, имеющих многовариантное толкование. Таких случаев много.
Еще одна задача — разработка стандартов для кредитных организаций. Это необходимо в свете неопределенности позиции регулятора по некоторым вопросам практики применения регулятивных требований. Одной из важнейших функций комитета является инициация изменений в законодательные и нормативные акты, а также их проекты, содержание которых, по мнению банковского сообщества, не является оптимальным.
Нельзя также забывать, что Комитет — это площадка для диалога, встреч и обмена мнениями, в том числе с регулятором, а также споров и острых дискуссий, которые позволяют вырабатывать наиболее объективные и оптимальные подходы к реализации определенных задач.

От Банка России хотелось бы получить некий документ, пусть даже носящий рекомендательный характер, раскрывающий понимание понятия комплаенса, комплаенс-рисков

— Планируется ли в ближайшее время внесение изменений в действующее законодательство, которое отразится на сфере комплаенса. Например, когда вступил в силу закон об инсайде и манипулированию рынком, то банкам пришлось модернизировать существующую у них службу комплаенса.

— Видимо, следует вернуться к первому вопросу. От Банка России хотелось бы получить некий документ, пусть даже носящий рекомендательный характер, раскрывающий понимание понятия комплаенса, комплаенс-рисков, а также дающий перечень функциональных направлений либо задач, которые подлежат решению в рамках этого управления. Данный документ является необходимым условием для единообразного подхода кредитных организаций к реализации рассматриваемого направления деятельности и позволит избегать спекуляций на эту тему.

— Ваш прогноз на развитие сферы комплаенс в российской банковской системе. Какие направления будут развиваться в первую очередь?

— Одним из основных в ближайшие годы безусловно будет являться выполнение требования FATCA (Закон о налогообложении иностранных счетов США). Данный закон должен способствовать усилению требований к реализации KYC-процедур, а именно, может послужить основанием для установления требования по идентификации конечных выгодоприобретателей. Также в мировом банковском сообществе одной из актуальных задач комплаенса является выполнение требований UK Bribery Act и Foreign Corrupt Practices Act. Эти документы напрямую затронут деятельность российских банков, имеющих бизнес в Великобритании и США соответственно.

Требования комплаенса

Комплаенс-аудит: больше, чем просто контроль соблюдения требования «А»

Раздел: Практика внутреннего аудита

Внутренний Аудит начинает преобразовывать контроль соблюдения требований в деятельность по увеличению стоимости организации.

Авторы: Брайан Айкен (Brian Aiken) и Дэвид Кодерр (David Coderre), 23 августа 2017 года

Перевод: Евгений Зверев, CIA

Аудиты на соответствие (compliance audits) являются важным направлением внутреннего аудита.
Например, несоблюдение законодательства о борьбе с отмыванием денег может иметь серьезные последствия. Deutsche Bank недавно был оштрафован на 425 млн.$ Департаментом финансовых услуг штата Нью-Йорк и на 204 млн.$ Управлением по финансовому поведению Великобритании за то, что не проводил проверку на «отмывание».

Несмотря на явную важность compliance audits, многие менеджеры считают, что эти аудиты не имеют существенного значения. Возможно, потому, что они часто выглядят следующим образом:

Цель: Проверить соответствие требованию "A."

Критерий: Клиент должен делать «A.»

Условие: Клиент не делает «A.»

Рекомендация: делать «A.»

Внутреннему Аудиту необходимо обеспечить, чтобы compliance audits предоставляли существенные гарантии высшему руководству касательно соблюдения требований и увеличивали стоимость организации.

Делайте правильно

Внутренние аудиторы могут повысить ценность compliance audits, выполнив уместный аудит и сделав это грамотно. Выполнение уместного аудита означает изучение в первую очередь того, почему требуется соблюдение требований. Как правило, это касается правовых, нормативных, операционных или этических причин.
Но за требованием «вы должны делать «A.»», должен существовать достаточно серьезный нормативный / юридический риск для руководства при невыполнении требования соответствия. Однако риск быстро меняется, а скорость изменений является критическим фактором успеха в бизнесе. Риск быстро меняется в мире, где глобализация и автоматизация влияют на стратегические и оперативные решения. Изменение рисков может повлиять не только на необходимость осуществления compliance, но и на его адекватность. Кроме того, в то время как операционное руководство контролирует несоответствия, внутренний аудит обеспечивает независимую оценку риска в качестве третьей линии обороны[1].

Внутренний аудит обеспечивает уверенность в эффективности корпоративного руководства, управлении рисками и compliance (комплаенс), в том числе способов, которыми первая и вторая линии[2] обороны управляют рисками и достигают целей корпоративного управления. Эта compliance-гарантия охватывает широкий круг задач, включая соблюдение законов, положений, политик, процедур и контрактов. Но это не должно быть соблюдением просто ради соблюдения. Внутренний аудит должен учитывать стратегическую бизнес-цель и меры контроля, которые помогают «смягчить» риск при движении к ней, в т.ч. при осуществлении мер, связанных с compliance.

Трансформирование стратегии верхнего уровня в ключевые задачи позволит выявить: риски на уровне организации, которые угрожают достижению стратегических целей; задачи контроля на уровне процесса, которые уменьшают операционные риски, а также риски и контроли на уровне подпроцесса. Скорее всего, деятельность по обеспечению compliance будет тесно связана с рисками и контролями на уровне процесса, которые необходимо оценить.

Практически каждая организация будет иметь ряд политик и процедур, которые необходимо соблюдать, чтобы защитить ее от судебных исков, судебного преследования, а также от репутационных и других рисков. Это области, где должны быть соблюдены требования, и тогда внутренний аудит выполняет проверки соответствия. Например, компании-производители должны соответствовать экологическим нормам, а публично торгуемые компании США должны соблюдать Закон США Сарбейнс-Оксли 2002 года и другие финансовые и правовые нормы и правила.

Преобразование compliance audits в деятельность по увеличению стоимости организации начинается с формулирования цели аудита. Это определяет, что внутренний аудит пытается выполнить и как он управляет деятельностью, критериями, планом работы и конечными результатами.

Если целью является просто проверить соответствие критерию «А», тогда делается заключение: «Вы не делаете «А»» и рекомендация: «Делать «А»».
Однако, если целью является: «Проверить необходимость, наличие и адекватность соответствия критерию «А», то внутренний аудит будет лучше ориентирован на решение вопросов корпоративного управления, управления рисками и compliance.

В этом типе аудита (деятельность по увеличению стоимости организации) одним из первых шагов необходимо определить, существуют ли прежние риски compliance. Возможно, они были устранены:

· путем изменения процессов (например, компания больше не занимается этим продуктом);

· путем передачи кому-то другому (например, субподрядчику);

· компания больше не использует этот производственный процесс;

· реорганизация бизнес-процессов, изменение в местоположении или переоснащение; возможно, устранение, передача или уменьшение риска.

В этих случаях увеличение стоимости может быть устранением требования compliance. Отсутствует риск = отсутствие требования соответствия.

При хорошем понимании текущего уровня рисков и их источников, следующим шагом является рассмотрение требований к адекватности и эффективность контрольных процедур. Это требует понимания причин и источников риска и технологии контроля. «Требуется ли контроль? Рассматривает ли он первопричину? Есть ли лучшие способы «смягчения» риска?» Отвечая на эти вопросы, внутренний аудит может выявить ненужные, неэффективные или излишние контроли, что может снизить стоимость compliance при одновременном снижении рисков. Дальнейшим шагом будет осуществление традиционных аудиторских действий (т.е. просто контроль соблюдения требования).

Однако, если вы обнаружите несоответствие, недостаточно рекомендовать «Делать «A»».
Рекомендации должны устранять первопричину, в том числе определять, почему управление соответствием не выполняется. Было ли руководство осведомлено об этом требовании? Менеджмент способен исполнять требование? Имеются ли компенсирующие средства управления риском несоответствия, которые были реализованы? Спросить, почему (обычно несколько раз, часто этого достаточно), чтобы определить причину несоответствия.

Внутренние аудиторы также должны определять влияние выявленного несоответствия на цели организации, а затем, вместо того, чтобы просто потребовать «Делать «А»», внутренний аудит сможет обосновать требование и дать рекомендацию, которая поможет руководству.

Кроме того, аудит должен быть выполнен надлежащим образом. Это означает максимальное использование ресурсов и аналитики. Анализ данных включает в себя:

· применение методов анализа для понимания бизнес-процессов;

· выявление и оценку рисков;

· оценку эффективности и результативности;

· предотвращение, обнаружение и расследование мошенничества.

Методы анализа данных могут помочь организациям сосредоточить свои ответы на риск в областях, где существует более высокий риск, включая риск compliance.

Существующие уровни риска могут быть оценены, а также определены тенденции для понимания направления изменения риска (увеличивается или уменьшается).
Например, соблюдение природоохранных требований может учитывать разливы вредных веществ (количество и объем), затраты на очистку и судебные процессы (количество и стоимость). В то время интересы производства определяют материальные, кадровые, технические и эксплуатационные расходы. Изучая показатели за несколько месяцев или лет, можно выявить тенденции для оценки эффективности усилий по смягчению последствий и выявлению возникающих рисков.

Эффективность контроля также может быть проверена аналитикой.
Например, соблюдение природоохранных требований может потребовать осуществить контроль над приобретением опасных материалов, гарантируя соответствие качества товара требованиям, что позволяет избежать проблем с соблюдением экологических норм при утилизации. Соблюдение практики найма должно учитывать методы комплектования персоналом и штатное расписание (по признаку пола, расы и т.д.), чтобы обеспечить соблюдение процедур и требований к справедливости в области занятости до того, как это станет серьезным compliance риском.

Уменьшить предвзятость

Неудовлетворительное осуществление compliance контроля может увеличить риск и дисфункциональное поведение, а культурные проблемы могут усложнить выполнение обязательств транснациональными компаниями и повысить корпоративный риск. Выполнение «аудита соответствия» надлежащим образом и эффективно, а не просто на уровне «сделали ли мы «А»?», может привести к серьезной значимости этого типа аудита для организации и убрать предвзятость по отношению к нему.

Внутренней аудит должен пересмотреть риски, связанные с compliance, контрольные процедуры этих рисков и использовать аналитику. Поступая таким образом, он увеличит стоимость организации и предоставит высшему руководству гарантии в отношении рисков, связанных с compliance.

Брайан Айкен (Brian Aiken), CIA, CFE, бывший помощник генерального контролера Канады в Оттаве, Онтарио.

Дэвид Кодерр (David Coderre) является преподавателем Telfer школы управления в Университете Оттавы и президентом CAATs в Онтарио. Он является автором Руководства по глобальному технологическому аудиту IIA в части непрерывного аудита, Непрерывный аудит: последствия для контроля, мониторинга и оценки рисков (2005 г.) и трех книг, которые способствуют использованию методов анализа данных: «CAATs и других BEASTs для аудиторов (2005)», «Обнаружение мошенничества: раскрытие взгляда на мошенничество (2004)» и «Инструментарий мошенничества (2006)».

[1] А.Сонин «Внутренний аудит: правило трёх «В»»: « … 3-я линия обороны – внутренний аудит, проводя независимые проверки «на прочность», позволяет как менеджменту, так и совету директоров быть уверенными в том, что системы управления рисками и внутреннего контроля (ответственность 1-й и 2-й линий обороны) являются надежными и эффективными» (прим. Переводчика).

[2] См. там же: «Менеджмент компании (1-я линия обороны) несет ответственность перед советом директоров за выстраивание систем и процессов в компании, в том числе системы управления рисками и системы внутреннего контроля, и обеспечение их эффективного функционирования. В этих вопросах менеджмент опирается на специально созданные контролирующие подразделения, основной функцией которых является осуществление соответствующих контрольных действий в тех или иных областях (2-я линия обороны)» (прим. Переводчика).

Комплаенс контроль

Комплаенс-контроль как корпоративная идеология выступает в качестве средства пропаганды, направленного на продвижение требований по соответствию внутренним нормативам предприятия и общепринятым социальным ценностям. Реализация такой комплаенс идеологии предполагает формирование условий для того, чтобы представители компании при совершении определенных действий руководствовались стандартами, которые предполагает комплаенс контроль. Если в нашей стране корпоративная идеология комплаенс находится на этапе зарождения, то в большинстве развитых государств различные направления комплаенс-контроля прочно вошли во все отрасли бизнеса и хозяйственно-экономической деятельности.

Что такое комплаенс-контроль

Считается, что комплаенс-контроль в коммерческих организациях России стал появляться в средине 1999 года. В июле подписали Указание № 603-У Центробанка (ЦБ) России «О порядке осуществления внутреннего контроля за соответствием деятельности на финансовых рынках законодательству о финансовых рынках в кредитных организациях». В этом документе и было представлено пояснение словосочетания «комплаенс-контроль». И хотя нормативный акт ориентирован на деятельность банков в финансовом секторе, принципы и идеи комплаенса стали активно использоваться для эффективной деятельности кредитных учреждений и по другим направлениям. Согласно рассматриваемому указанию, комплаенс-контроль — это мониторинг внутреннего характера, который позволяет осуществлять контроль работы финансового сектора на предмет его соответствия законодательным актам, регламентирующим кредитные организации и идеологии комплаенс.

И даже после утраты документом своей юридической силы (февраль 2004 года), когда понятие комплаенс-контроля исчезло из государственных документов, комплаенс по-прежнему входит в перечень наиболее популярных профессиональных терминов. Даже при том, что ЦБ РФ не систематизировал контроль по идеологии комплаенс, он содействует внедрению в отечественном бизнес-сообществе рекомендаций Базельского комитета банковского контроля. В настоящее время принято понимать, используя комплаенс-контроль в банках, что это управляющие функции, обеспечивающие соблюдение законодательных норм и внутренних комплаенс-контроль стандартов учреждения с предоставлением данных о случаях противоправных действий и нарушениях комплаенс этики в органы контроля. Такая система контроля согласно идеологии комплаенс является независимой и работающей на постоянной основе.

В качестве основного объекта системы комплаенс-контроля рассматриваются следующие комплаенс риски:

- Нарушения принципов комплаенс-контроль в области регуляторных стандартов;

- Комплаенс нарушения при финансовых манипуляциях;

- Нарушение норм комплаенс-контроля в следствие служебных злоупотреблений или коррупционных действий;

- Нарушение норм комплаенс-контроля в следствие результате непрофессионализма и некомпетентности сотрудников;

- Нарушение норм комплаенс-контроля в процессе рейдерских захватов, хищений и других противоправных воздействий извне;

- Комплаенс риски при возникновении угрозы бизнес-репутации, финансовой несостоятельности и др.

Под воздействием вышеперечисленных факторов возникают комплаенс риски потерь следующего характера:

• Специальные разновидности потерь (выражаются в качестве ущерба жизни и здоровью людей, природе, экологии, репутации предприятия).

Можно отметить, что многие отечественные предприятия считают внутренний контроль и комплаенс не очень важным моментом для успешного ведения бизнеса, поэтому не хотят тратить на комплаенс-контроль ни время, ни финансы. В то же время западные фирмы на практике демонстрируют, что грамотный комплаенс-контроль способен формировать добавочную стоимость. Выстроенный контроль в сфере комплаенс это в свою очередь - лояльность клиентов, заинтересованность и доверие акционеров, доверие общества в целом. Так, для собственников кредитной компании комплаенс-контроль является гарантией защиты репутации, так как мониторинг и контроль репутационных рисков предприятия обычно закреплены за комплаенсом и воспринимаются в международной финансовой комплаенс сфере как давно сформировавшийся комплаенс институт. При выходе на мировые рынки капитала наличие комплаенс функции в организации рассматривается в положительном ключе как международными регуляторами и инвестиционными финансовыми организациями, так и институционными инвесторами. Для потенциальных инвесторов эффективно действующий комплаенс-контроль несомненно повышает уровень инвестиционной привлекательности и благонадежности организации. Более того, действующее законодательство Соединенных Штатов Америки и Великобритании неукоснительно требует от иностранных партнеров наличия эффективного комплаенс подразделения в структуре организации.

Комплаенс-контроль структура, состоящая из специалистов с высокой квалификацией, создает привлекательность восприятия деятельности компании и ее топ-менеджмента. Правильное отношение руководства компании к функции комплаенс-контроль создает условия для эффективного контроля рисков потери прибыли, снижает потенциальную вероятность потерь преднамеренного или непреднамеренного характера. Комплаенс-контроль предотвращает потерю бизнес-репутации. Комплаенс-контроль в структурных подразделениях может быть использован в качестве консультационного центра по внутренней комплаенс политике и внедрению корпоративных комплаенс процедур. Такое взаимодействие со структурными подразделениями обеспечивает комплаенс-контроль потенциальных рисков на ранних стадиях, что упрощает их нейтрализацию.

Комплаенс-контроль необходим не только банкам

В России основными субъектами внедрения комплаенс-контроля служат участники финансового рынка, а также корпорации и предприятия, которые ориентированы на международный рынок, где постоянно совершают высокое количество операций. Разница между этими основными представителями целевой комплаенс аудитории состоит в обязательности комплаенс-контроля для банков со стороны Центробанка и Росфинмониторинга. Это обеспечивает контроль стандартных процедур комплаенса для финансовых учреждений. В то же время предприятия из других отраслей не имеют определенных комплаенс-контроль ограничений, что дает возможность организовать более гибкий контроль комплаенс нормативов.

Комлаенс-контроль для вышеперечисленных категорий необходим независимо от размера предприятий. Соблюдение антикоррупционных правовых и комплаенс-контроль нормативов обязательно для всех участников рынка. Главным регулятором развития комплаенс идеологии является государство. Поскольку контроль в комплаенс сфере может быть осуществлен по отношению к каждой отдельной операции, то это является дисциплинирующим фактором (терять репутацию и тем более деньги не хочет никто).

Комплаенс-контроль следует внедрять независимо от размера бизнеса, ведь соблюдать законы и вести контроль коррупции должны все компании. Главный фактор развития комплаенс-контроль инструмента – это госрегулирование. Когда каждую сделку могут проверить с точки зрения комплаенс-контроля, это стимулирует, ведь никому не хочется рисковать репутацией или деньгами. Комплаенс-контроль в коммерческих организациях сопряжен со следующими рисками:

• Запрет на проведение операций по счетам;
• Назначение выездных проверок;
• Админштрафы;
• Санкции в отношении должностных лиц;
• Приостановление деятельности;
• Отмена лицензии;
• Признание недействительности экономических операций;
• Ущерб бизнес-репутации, что ведет к потере инвестиционной привлекательности.

Весомый практический опыт в области комплаенс-контроля получила компания «МТС». В результате оператор российского рынка связи был допущен на Нью-Йоркскую фондовую биржу. Это случилось в 2000 году и сейчас здесь обращается около 1/3 акций предприятия. Данный факт в области комплаенс-контроля стимулирует МТС следовать идеологии комплекса и вести строгий контроль за соблюдением его стандартов. Компания предоставляет отчетность в Комиссию по ценным бумагам и биржам Соединенных Штатов и нормам антикоррупционного законодательства этой страны (Foreign Corrupt Practices Act 1977), а также Великобритании (UK Bribery Act 2010). В связи с этим комплаенс-контроль присутствует во всех составляющих деятельности МТС. Даже в договорах с сотрудниками компании прописаны нормы комплаенса, а контрактах с деловыми партнерами прописаны дополнительные комплаенс соглашения по контролю соблюдения норм антикоррупционного законодательства (антикоррупционный комплаенс-контроль). Это способствует взращиванию в работниках предприятия сознательности и установлению внутреннего этического комплаенс-контроля. В отношении контрагентов с точки зрения комплаенс идеологии можно отметить, что, если они будут задействованы в коррупционных скандалах – это может нанести вред и самому предприятию.

Может сложиться впечатление о неповоротливости отечественной системы комплаенс-контроля и ее чрезмерной затратности для компаний. Если организация комплаенс-контроля осуществляется с учетом прозрачности и других общепринятых стандартов, то этот факт не только поднимает комплаенс репутацию предприятия, но и может быть отнесен к наиболее ценным активам.

Основные функции комплаенс-контроля

В международном праве комплаенс-контроль представляет собой особую культуру, где находят отражение такие принципы внедрения комплаенс функции:

1. Независимость. Данный принцип внедрения функции комплаенс-контроль состоит из 4 отдельных комплаенс элементов, находящихся в тесной связи друг с другом:

- Служба комплаенс-контроль должна иметь официальный статус;

- Необходимо предусмотреть специалиста по комплаенсу, который отвечает за контроль группы комплаенс-контроля и координацию управления комплаенс рисками;

- Необходимо предусмотреть, чтобы у участников группы комплаенс-контроль и ответственного комплаенс специалиста отсутствовали ситуации возникновения конфликтов интересов между осуществлением комплаенс-контроля и контролем выполнения персональными функциями в компании;

- У группы комплаенс-контроля должен быть открытый доступ к необходимым данным и отдельный бюджет для реализации функций комплаенса.

Принцип независимости не исключает тесных взаимодействий группы комплаенс-контроль с другими подразделениями предприятия. Напротив, сотрудничество способствует выявлению комплаенс рисков на ранних стадиях и упрощает комплаенс-контроль над ними. Все составляющие комплаенс принципа независимости следует рассматривать в качестве защитных методов, создающих условия для эффективного контроля функции комплаенс-контроль в условиях взаимодействия структурных подразделений. Внедрение и контроль методов комплаенса может иметь существенные различия для разных компаний.

2. Официальный статус. Нормативы, регулирующие функцию комплаенс-контроль, необходимо прописать во внутреннем документе предприятия. Нормативный акт по функции комплаенс-контроль должен содержать такие положения:

- Задачи и функции структуры комплаенс-контроль и обязанности комплаенс специалистов;

- Условия обеспечения независимости комплаенс-контроля;

- Способ взаимодействия комплаенс-службы с другими подразделениями по вопросам контроля рисков, а также со службой, в задачи которой входит контроль всей деятельности компании;

- Принцип распределения функций комплаенс-контроль по подразделениям, если такое предусмотрено;

- Право ответственных по функции комплаенс-контроль на получение всей необходимо информации, а также обязанность сотрудников по предоставлению нужных данных для контроля комплаенс нормативов;

- Право на проведение внутренних расследований по потенциальным нарушениям норм комплаенса с привлечением необходимых экспертов в сфере комплаенс-контроль;

- Сотрудники комплаенс подразделения должны иметь право свободного выражения своего мнения и передачи сведений в отношении комплаенс-контроль нарушений, полученных в процессе контроля комплаенс рисков высшим руководящим органам, включая совет директоров и его комитеты;

- Контроль выполнения обязанностей по предоставлению комплаенс отчетности высшим руководящим органам;

- Прямой доступ специалистов структуры комплаенс-контроль к совету директоров и его комитетам.

3. Четкая подотчетность сотрудников функции комплаенс. Специалисты комплаенс-контроля, работающие в подразделениях, подотчетны руководителям структур и отделений компании. В то же время они могут быть подотчетны руководителю комплаенс-контроль функции всей организации в отношении комплаенс информации. Если комплаенс специалисты работают в независимых структурных подразделениях вспомогательного характера (юротдел, подразделение аудиты и т.д.), то допускается необязательность их подотчетности руководителю комплаенс-контроль службы организации. В то же время комплаенс специалисты, независимых вспомогательных подразделений, должны сотрудничать с управляющим комплаенс-контролем. Лицо, которое руководит комплаенс-контроль функцией, может входить в высшие руководящие структуры компании, в этом случае комплаенс специалист не должен управлять бизнес-структурами организации. Если же руководитель службы комплаенс-контроль не входит в высшее руководство, он должен быть подотчетен одному из руководителей высшего ранга, который не несет конкретных служебных обязанностей в конкретной структуре.

4. Исключение конфликта интересов. Независимость руководителя или другого специалиста службы комплаенс-контроль может быть нарушена присутствием конфликта интересов между обычными функциями сотрудника и его комплаенс-контроль обязанностями. В идеале представители комплаенс-контроля должны выполнять функции только в отношении комплаенс задач, но такая ситуация может быть неприемлемой для некрупных организаций. Именно для таких фирм необходимо исключать возможность конфликта интересов. Одним из моментов, который приводит к возникновению конфликта интересов, предполагает зависимость вознаграждений сотрудника службы комплаенс-контроль от результатов и показателей деятельности структурного подразделения, в котором они реализуют функции комплаенс-контроля. В то же время вознаграждение, зависящее от финансовых результатов компании, может иметь место.

5. Доступ к любой внутренней информации. Служба комплаенс-контроль может по собственной инициативе осуществлять взаимодействие с любыми служащими компании и должна иметь доступ к любым файлам, которые необходимы для выполнения комплаенс функций. Возможность беспрепятственной работы комплаенс специалистам должна быть предоставлена во всех подразделениях, где имеют место комплаенс риски. В процессе решения комплаенс-контроль задач специалисты функции комплаенс получают право расследовать случаи нарушения комплаенс нормативов (включая контроль потенциальных комплаенс нарушений) с привлечением внутренних или внешних специалистов в конкретных отраслях. В процессе выполнения комплаенс функций специалисты должны иметь свободную возможность предоставления данных представителям высшего руководства (для этого необходимо исключить потенциальные риски угроз и осуждения со стороны руководителей или любых других представителей компании).

6. Необходимое ресурсное обеспечение. Функция комплаенс-контроль должна быть адекватно обеспечена ресурсами. Ресурсы, предоставленные комплаенс-контроль службе, должны обеспечивать возможность для эффективного контроля и управления комплаенс рисками. Одна из важных составляющих комплаенс ресурсов – это квалификация и опыт комплаенс-контроль специалистов, а также их качества личности. Специалисты комплаенс-контроль служб должны хорошо разбираться в вопросах соблюдения законодательства, нормативов и понимать их влияние на операции компании. Уровень профессиональных комплаенс-контроль навыков сотрудников функции комплаенс, особенно по получению своевременных обновлений в законодательстве, должен обеспечиваться через обучение и тренировки.

7. Взаимодействие с регулирующими и надзорными органами. Весьма актуальным вопросом у многих организаций стоят задачи формирования эффективной системы сотрудничества службы комплаенс-контроль со всеми категориями проверяющих учреждений. Все без исключения компании при взаимодействии с подобными органами испытывают определенные сложности:

- Предоставление документации и ее расшифровка достаточно затратный по времени процесс, а непредоставление информации в указанный срок влечет за собой дополнительные проблемы;

- При возникновении разногласий по сути определенного документа необходимо организовать конструктивное обсуждение спорных вопросов. Это требует значительных дипломатических усилий, специального опыта и отнимает ресурсы от основного бизнеса;

- Необходим особый опыт и квалификация в вопросах обобщения итогов внешних проверок, особенно в тех ситуациях, когда выявлены существенные нарушения. Для отечественных компаний работа с проверяющими службами является необходимой составляющей успешной деятельности. Она требует не только большого опыты и специальных знаний, но и предполагает наличие определенных полномочий. Решают такие задачи главный бухгалтер, структуры внутреннего аудита и другие подразделения, в зависимости от направленности проверяющего учреждения.

Внутренний контроль и комплаенс: в чем разница

Рассмотренные функции комплаенс-контроля могут натолкнуть на мысль о схожести функционала комплаенса с действующими в банках системами внутреннего контроля. Тем не менее, в соответствии с Рекомендациями Базельского комитета, комплаенс функция и контроль внутреннего аудита должны быть отделены друг от друга, чтобы обеспечить проведение периодической оценки деятельности комплаенс-контроль функции. Очевидно, что невозможно одновременно осуществлять независимую оценку и выстраивать и внедрять методологию управления комплаенс риском. Кроме того, комплаенс эксперты подчеркивают, что цели комплаенс-контроль системы управления рисками, которые преследуют функции комплаенса и контроля внутреннего аудита различны. Цели внутреннего аудита шире целей службы комплаенс-контроль и включает контроль достоверности отчетности, эффективности и производительности, а также контроль выполнение стратегических задач. При выполнении этой функции внутренним аудитом создается риск недопустимого в данном случае совмещения противоречивых функций, потенциального конфликта интересов и противоречит принципам управления рисками и внутреннего контроля.

При распределении функций комплаенс-контроль между различными подразделениями необходимо обеспечить механизм сотрудничества подразделений и руководителей функции комплаенс-контроль в целом. Распределение комплаенс функций между службами можно рекомендовать в следующей форме:

- Функцией внутреннего аудита является независимая проверка системы внутреннего контроля;

- Функцией структуры комплаенс-контроль является организация текущего контроля процедур по управлению комплаенс рисками.

Еще одним важным различием является временной аспект объекта контроля и комплаенс подразделения. Роль комплаенс-контроля, как элемента риск-менеджмента заключается в координации контроля комплаенс рисков на уровне отдельных функциональных подразделений и агрегировании результатов комплаенс-контроля в оценку совокупного риска. Комплаенс-контроль работает в предупредительном режиме, в то время, как аудиторы проводят анализ свершившихся событий и соответствия требованиям на настоящий момент.

Таким образом, можно сделать вывод о том, что, несмотря на близкие по своему назначению, функции внутреннего контроля и комплаенс-контроль службы не могут осуществляться одним и тем же подразделением.

Внедрение лучших международных практик и опыта по системе комплаенс-контроль в кредитных организациях отвечает обозначенным руководством страны векторам развития таким, как борьба с коррупцией, формирование позитивного имиджа России за рубежом и повышение конкурентоспособности российской экономики. Принимая во внимание поступательное движение России в сторону международной интеграции, комплаенс-контроль будет несомненно являться одним из ключевых компонентов данного движения.

Главные политики комплаенс-контроля

Комплекс существующих стандартных направлений системы комплаенс-контроль, независимо от своего географического месторасположения и специфики деятельности, в разной степени одинаково используются в разных организациях.

— Кодекс корпоративной этики (нормативы контроля корпоративного поведения) – это достаточно объемный документ, затрагивающий все стороны работы компании или организации. В нем оговариваются все принципы комплаенс-контроля морали и этики, стандарты поведения, обязанности сотрудников и основные комплаенс приоритеты.

— Политика противодействия отмыванию доходов, полученных преступным путем, оказание финансовой поддержки террористическим организациям проводится разными способами практически всеми финансовыми и нефинансовыми организациями в странах с разным уровнем экономики. Она не позволяет нелегальным доходам, приобретенных преступной деятельностью, проникать в легальный финансовый сектор и препятствует финансированию террористических организаций. В современной экономике это единственный из основных способов легализации скрытых доходов, который полагается на нормы юридического международного права.

— Политика принятия и дарения подарков, приглашений на мероприятия основывается на разграничении понятий взятка, подарок или откат. Разделяет тонкую грань, когда подарок переходит в категорию взятка и предполагает получение выгоды от должностного лица для реализации собственных интересов. Актуальность такой политики наблюдается в странах с укоренившимися традициями, когда такое взаимодействие между партнерами, контрагентами и регулирующими органами уже заведомо предполагается. В правила комплаенс-контроля не входит контроль запрета на подарки, он лишь ограничивает их стоимость и соблюдает процедуры по комплаенс контролю.

— Политика сообщений о нарушениях этических стандартов внедрена во многих западных компаниях и способствует регулированию порядка и возможности анонимного информирования о совершенных нарушениях работниками с последующей процедурой расследования и документирования. Реализация комплаенс-контроль политики способствует качественной борьбе с этическими нарушениями внутри организации.

— Политика, регулирующая конфликт интересов, формирует этические принципы действия работников компании при создании условий для конфликта интересов (если интересы работника конфликтуют с интересами компании или интересы одного клиента вступают в конфликт с интересами другого). Сотрудникам вменяется обязанность содействовать контролю, выявлению и предупреждению возникновения ситуаций, связанных с какими-либо конфликтами интересов. При комплаенс-контроль указывает, что интересы организации стоят выше частных интересов сотрудников.

— Политика контроля покупок ценных бумаг работниками компании определяет нормы коиплаенс-контроля операций на рынке ценных бумаг специалистами финансовых организаций. Такой контроль предусматривать ограничения на приобретение акций некоторых предприятий (обычно это предприятия, с которыми финансовая организация осуществляет конкретные сделки), запреты на «короткие продажи акций». Кроме того, нормы контроля могут устанавливать специальный порядок согласования вопросов покупки ценных бумаг с ответственными сотрудниками организации. Суть комплаенс-контроль политики состоит в предотвращении случаев нецелевого использования информации и рабочего времени для получения частного дохода, а также в защите от обвинений по поводу неэтичной деятельности работников на рынке ценных бумаг (market timing).

— Политика «Китайской стены» служит для закрытия служебной информации в определенной сфере (как правило, в финансовой сфере). Это позволяет избежать ситуаций конфликта интересов и содействовать честной конкуренции. Реализация такой политики осуществляется большинством успешных инвестиционных организаций. Доступ к информации непубличного характера относительно финансового положения и инвестиционных проектов может стать инструментом для получения работниками подразделения дополнительного дохода. Информационная стена создает условия для предотвращения конфликта интересов и обеспечивает контроль ограничений по обслуживанию различных клиентов.

— Политика взаимодействия с регулирующими органами. Продуктивное взаимодействие с контролирующими и регулирующими службами – важный момент для отечественных компаний. Даже самые законопослушные из них встречают массу сложностей в таких процессах.

— Политика конфиденциальности информации обеспечивает контроль неразглашения информации относительно клиентов и их операций. Суть комплаенс-контроль политики конфиденциальности в формировании культуры работы с данными клиентов и в создании условий для хранения персональной информации с соблюдением комплаенс стандартов.

Существуют также некоторые другие разновидности политик:

- Политика комплаенс-контроля контрагентов и клиентов;

- Политика комплаенс-контроля работы с жалобами;

- Политика комплаенс-контроля повышения квалификации сотрудников и т.д.

В зависимости от поставленных задач компании могут внедрять и реализовывать различные политики комплаен-контоля, формируя персональную систему комплаенса.

Организация комплаенс-контроля: 2 подхода

Базельский банковский Комитет требует присутствия в штатном расписании ответственного за комплаенс-контроль сотрудника, который имеет статус высокого уровня, в том числе в статусе члена коллегиального исполнительного органа управления кредитной организации.

Исходя из данного опыта внедрения комплаенс-контроля в отечественных банковских учреждениях, выделяют 2 наиболее популярных подхода к решению таких задач:

1) Комплаенс-контроль, базирующийся на соблюдении норм и правил, предполагающий минимальную комплаенс-систему в организации. Функции комплаенс при таком подходе учитывают только те моменты, которые определены существующим законодательством.

2) Комплаенс-контроль, базирующийся на оценке комплаенс рисков. Этот вид комплаенс-контроля рекомендован иностранным организациям государственными регуляторами и международными организациями - Вольфсбергская группа, Базельский банковский комитет по надзору. В нашей стране такой подход рекомендует и Центробанк. В то же время на практике в нашем государстве, в отличие от европейских стран, данный комплаенс-контроль менее распространен.

Суть этого комплаенс-контроля заключается в формировании собственной комплаенс структуры, которая осуществляет контроль компании не только на основе требований законодательства, но и на базе отраслевых нормативов. При необходимости она формирует и внедряет нормы контроля рисков, которые не предусмотрены в действующих законах.

Бытует мнение что комплаен-контроль риски не так опасны для развивающегося банковского рынка России (так как комплаенс-контроль все-таки пока используют банки), но согласно статистике, за период с 2001 по 2010 годы Банк России отозвал лицензии у 4456 банков. Анализ показывает, что основное количество лицензий банков отзывается на основании нарушений требований федеральных законов.

Сегодня в РФ наблюдается отсутствие нормативной базы и требований государственного регулятора по форме и принципам формирования комплаенс-контроля в банках, включая и вопросы управления рисками в кредитных компаниях. В ситуации экономического кризиса перед комплаенс-контроль функцией все отчетливее стоит задача усилить чувствительность к преобразованиям в регуляторной сфере, что позволит превосходить действия контролирующих органов в сфере формирования методик управления комплаенс-контроль рисками, организовать контроль сохранности информации и внедрить новый подход к работе с рисками для топ-менеджмента организаций.

Сфера интересов комплаенс-контроль функции достаточно обширна. Она включает спектр вопросов от порядка информирования работников, до формирования норм поведения в банке.

В отношении отдельных направлений комплаенс-контроля можно отметить наличие похожих функций. В банковской практике сформировалось определенное комплаенс пространство, которое состоит из нескольких традиционных направлений:

• Противодействие мошенническим и коррупционным действиям;

• Борьба с отмыванием финансовых средств;

• Поддержание международных санкций и санкций отдельных стран;

• Соблюдение иностранного налогового законодательства, действие которого имеют отношение к работе банка;

• Выполнение правил и соблюдение стандартов корпоративного поведения;

• Комплаенс-контроль соблюдения обязательств по международным заимствованиям;

• Комплаенс-контроль профучастника РЦБ;

• Контроль противодействия инсайду и манипулированию на РЦБ;

• Рассмотрение жалоб клиентов;

• Соблюдение политики информационной безопасности.

Отметим, что данный перечень направлений комплаенс контроля является полным и исчерпывающим. Кроме того, в данном списке отсутствует идеологическая функция комплаенс-контроля.

Как организовать комплаенс-контроль в компании

У компаний есть два варианта как организовать комплаенс-контроль. В одном варианте задачи внедрения комплаенса могут быть установлены перед департаментами или работниками, в компетенцию которых входит обслуживание ежедневной деятельности компании. В этой ситуации важно строгое распределение обязанностей, их контроль и создание условий для плодотворного взаимодействия.

Более перспективным выглядит второй вариант комплаенс-контроля, при котором контроль коплаенс идеологии входит в сферу задач отдельного комплаенс-контроль подразделения или специалиста. Это создает условия для независимости системы комплаенс-контроля и объективности ее контроля. Независимость комлаенс-контроля является важным фактором, так как осуществление его контроля подразделениями, решающими определенные хозяйственно-экономические задачи, несет потенциальные риски.

Согласно исследованиям State of Compliance survey 2015 года, штатные юристы предприятий сосредоточены на защите бизнеса, а, следовательно, вступают в противоречие с идеями прозрачности и открытости комплаенс-контроля. Интересную мысль высказал один из участников исследований о том, что ему необходима уверенность, что "юридические риски снижаются не в ущерб комплаенсу». Наиболее эффективный вариант комплаенс-контроля для коммерческих предприятий — это введение обособленной контролирующей комплаенс единицы.

Конечно, для основной массы отечественных компаний такое решение является непозволительной роскошью, и функции комплаенс-контроля отдают юротделу. В связи с этим, еще пару лет назад специалистов в области комплаенс-контроля с опытом практической деятельности было очень мало. В настоящее время с комплаенс контролем имеют дело практически все сотрудники юротделов компаний, ориентированных на международные рынки. Спрос на специалистов в области комплаенс-контроля уверенно растет, поэтому из-за ограниченности числа кандидатов они имеют достаточно высокую цену на рынке трудовых ресурсов. Хороший комплаенс специалист (Legal and compliance менеджер) может получать до 300 тыс. рублей. Комплаенс специалисты должны иметь опыт работы в качестве юриста или реже в качестве финансиста. Несмотря на специфику комплаенс-контроля, освоить его вполне по силам грамотному специалисту в юридической и финансовой области.

Основные навыки, которыми должен обладать специалист в области комплаенс-контроля:

• Опыт контроля соблюдения правовых нормативов и внутренних требований предприятий (конфликты бизнес-интересов, этические нормы, антикоррупционные мероприятия);
• Комплаенс-контроль валификация в области международного законодательства (FCPA, UK Bribery);
• Коммуникабельность, умение объяснить другим работникам правила комплаенс-контроля и этику ведения бизнеса;

• Системность в вопросах контроля и предотвращении потенциальных комплаенс рисков;
• Высокий уровень знаний по контролю комплаенс рисками, в области теории вероятностей, статистической науки.

Специалист комплаенс-контроля должен разбираться в сущности хозяйственно-экономической деятельности предприятия. Это необходимо для того, чтобы организовать контроль, который не будет обременительным для бизнеса, но гарантирует его безопасность с точки зрение комплаенса. Если использовать пример, понятный автолюбителям, то комплаенс-контроль в качестве превентивной меры, может быть сравним с дорожными знаками. Несмотря на то, что все водители сдает экзамены перед тем, как получить права, количество аварий постоянно растет. Комплаенс как и дорожные знаки способствует снижению вероятности нарушения определенных правил.

Практическое пособие по комплаенс от ICC

МТП (Международная торговая палата) как организация, основной целью которой является безграничная поддержка компаний независимо от их размера и вида собственности, создает условия для контроля и соблюдения норм комплаенса. Такая политика особенно важна в связи теми возможностями, которые предоставляет процесс глобализации бизнеса, а также в ходе установления диалога между антимонопольным комитетом и бизнесом.

В настоящее время нормативное и правовое регулирование в области антимонопольного права активно развивается по всему миру. Новейшие законодательные акты предполагают весьма существенные санкции за правонарушения в данной области. Кроме того, результаты проверок антимонопольных органов могут иметь неблагоприятные последствия для делового имиджа предприятия и лояльности его клиентов.

Антимонопольный комплаенс-контроль встречает определенные сложности, связанные с отсутствием унифицированного подхода к стимуляции компаний, которые на практике стремятся в точности соблюдать требования антимонопольного законодательства. Учитывая сложившуюся ситуацию, несмотря на тот факт, что многие предприятия с целью защиты интересов своих акционеров (путем снижения вероятности таких правонарушений на начальном этапе) уже участвуют в процессах антимонопольного комплаенса, МТП выражает твердую уверенность в необходимости выработки методических указаний и практических рекомендаций для помощи предприятиям в вопросах формирования собственных систем комплаенс-контроля с учетом особенной, возможностей и потенциальных рисков, существующих у каждой конкретной организации. Для этого Международная торговая палата разработала Практическое пособие ICC по комплаенсу в антимонопольной сфере.

Одним из основных принципов, побуждающих к выполнению требований антимонопольного права, является желание компаний вести бизнес с соблюдением этических норм. Даже, если штраф за нарушения антимонопольных законов окажется не очень существенным, то общественная реакция в случае выявления таких нарушений может нанести ощутимый вред деловой репутации компании и лояльности к ней со стороны потребителей.

Основная задача комплаенс-контроля в антимонопольной области состоит в предотвращении совершении нарушений такого рода. В то же время боязнь ответственности, возникающей при нарушении законов, сковывает сотрудников предприятий и может негативно отражаться на развитии здоровой конкуренции. Продуманная комплаенс-программа может служить стимулом для уверенных действий работников предприятий в соответствии с законодательством. В пособии по антимонопольному комплаенсу нет обязательного списка элементов программы комплаен-контроля, но учтены наиболее передовые достижения в данной сфере. В реальной практике антимонопольного комплаенса невозможно выработать универсальные решения для всех. Для каждого предприятия программа комплаенс-контроля должна составляться с учетом его ресурсов и потенциальных рисков. Этот момент признают и антимонопольные органы контроля.

Примечательно, что пособие МТП по антимонопольному комплаенсу включает базовые программные рекомендации по комплаенс-контролю для компаний малого и среднего бизнеса, с учетом ограниченности их ресурсов и существующих рисков. Отличительной характеристикой данного документа является тот факт, что он был разработан бизнесом для бизнеса. Во время работы над пособием был учтен опыт практической деятельности специалистов по антимонопольному праву и комплаенсу в области крупного бизнеса, которые являются консультантами корпораций и МТП.