Что такое комплаенс: от А до Я

12.11.2020
17 мин

Если вы заняты любым бизнесом, ваша компания и сотрудники должны соблюдать комплаенс во многих областях. Что такое комплаенс? В переводе с английского compliance означает соответствие, соблюдение правил. Иными словами, комплаенс — это необходимость действий компании в соответствии с приказом, законом, набором правил или норм.

Соответствие комплаенс означает, что деятельность организации должна отвечать нормам законодательства, а также любым внутренним или внешним стандартам. Несоблюдение требований комплаенс может привести к ущербу как для компании, так и для ее клиентов.

Есть законы, которые касаются бизнеса и призваны защищать его, а также всех, кто с ним взаимодействует: клиентов, партнеров, сотрудников и общественность. Некоторые правила относятся к бизнесу, другие — к потребителям. Существует также комплаенс, который касается и тех, и других. Хорошим примером нормативных требований как для юридических, так и для частных лиц является комплаенс по борьбе с финансовым мошенничеством. Поскольку и люди, и компании могут использовать дебетовые и кредитные карты, мошенничество с картами затрагивает всех.

Комплаенс и безопасность: в чем разница

Важно понимать, что соблюдение каких-либо нормативных требований не всегда обеспечивает безопасность. Поэтому безопасность и комплаенс — это разные вещи, хотя многие их путают.

В чем разница между комплаенс и безопасностью? Безопасность — это чёткий набор технических систем, инструментов и процессов, которые используются для защиты информационных и технологических активов предприятия. Соблюдение комплаенс не является первоочередной задачей или прерогативой безопасности. Несмотря на то, что это важнейшее бизнес-требование. Безопасность может включать, например, физический контроль за теми сотрудниками, которые имеют доступ к корпоративной сети.

Кибербезопасностью, в частности, в России занимается управление К. Что такое отдел К или управление К? Это специальное подразделение МВД РФ, которое занято предотвращением преступлений против безопасности в сфере ИТ. К комплаенс они имеют косвенное отношение.

Комплаенс фокусируется на данных, которые обрабатываются и хранятся в компании, и на том, какие нормативные требования применяются к их защите. Основная цель комплаенс — управлять этими рисками, что выходит за рамки информационных активов. В рамках комплаенс-контроля компании соблюдают политики, правила и законы и покрывают физические, финансовые, юридические и другие виды рисков. Комплаенс означает обеспечение соответствия организации минимуму требований, связанных с безопасностью.

Классификация комплаенс

По типу соответствия различают 2 типа комплаенс: нормативно-правовой и корпоративный.

  • Нормативно-правовой комплаенс — это когда бизнес следует государственным, федеральным, международным, муниципальным законам и правилам, относящимся к его деятельности. Конкретные требования могут варьироваться в зависимости от отрасли и типа бизнеса. Но соблюдение нормативно-правовой базы — это задача, которая стоит перед всеми предприятиями.
  • Корпоративный комплаенс охватывает внутренние политики и процедуры компании.

Нормативно-правовой комплаенс соответствует правилам и положениям, установленным государствами и отраслями, в которых работает компания.

Корпоративный комплаенс — это гарантия того, что компания действует законно в рамках как внешних, так и внутренних правил, установленных самой компанией.

В корпоративном комплаенс также выделяют 2 основных уровня:

  1. Внешний — соблюдение внешних правил, обязательных для компании в целом.
  2. Внутренний — соблюдение внутренних правил, необходимых для соблюдения внешних правил, и их контроль..

Комплаенс внешний и внутренний можно комбинировать — например, продукция компании может проходить соответствие и на ФЗ, и на внутренний стандарт. Это может затруднить процесс соблюдения всех нормативных требований. Важно отметить, что, хотя организации и могут «саморегулироваться» с помощью отраслевых стандартов, их политика должна соответствовать местным и национальным законам в любой стране, где они применяются.

Кроме того, любой комплаенс можно классифицировать по двум критериям:

  • Кто определяет комплаенс и обеспечивает его соблюдение.
    Комплаенс могут определять правительства в отношении законов и постановлений, профессиональные ассоциации и организации в отношении отраслевых стандартов и предприятия в отношении корпоративной политики. Например, Международная организация по стандартизации ISO разрабатывает и публикует международные стандарты — такие, как ISO 9000 для управления качеством, который не является обязательным на государственном уровне.
  • Какие проблемы комплаенс решает.
    Это может быть узкий круг проблем — безопасность, предотвращение мошенничества, конфиденциальность, соблюдение прав человека, защита окружающей среды и так далее. Один и тот же комплаенс может обеспечиваться правительством или отраслью. Например, безопасность пищевых продуктов регулирует и Федеральный закон «О качестве и безопасности пищевых продуктов» от 02.01.2000 N 29-ФЗ, и международный отраслевой стандарт BRCGS по безопасности пищевых продуктов.

Для глобальных организаций важно знать и соблюдать требования регулирующих органов стран, в которых они работают. Например, то, что является стандартной процедурой по охране здоровья и безопасности в США, может быть запрещено на производственных площадках в Китае.

Преимущества комплаенс

На первый взгляд, организация бизнеса, отвечающего всем нормативным требованиям, требует очень много работы. Напрашивается вопрос: какую ценность компании приносит соблюдение комплаенс на производстве?

Преимущества надежной программы комплаенс:

  • Снижение комплаенс-рисков для компании за счет обеспечения безопасной среды для сотрудников и качественных продуктов и услуг для клиентов.
  • Улучшенная организационная коммуникация, когда сотрудники имеют возможность самостоятельно сообщать о проблемах комплаенс высшему руководству.
  • Сотрудники лучше подготовлены к выполнению своей работы, поскольку они имеют базовые знания о том, как следует или не следует работать.
  • Снижение финансовых затрат, которые могли бы возникнуть в результате судебных издержек и штрафов, если бы компания не соблюдала нормативные требования.
  • Больше доверия у всех заинтересованных сторон, включая клиентов, и поддержание положительной репутации.

С чего начинается комплаенс

В качестве основы стандартных бизнес-операций компании должны знать протоколы комплаенс для своей отрасли. Постоянный мониторинг соответствия — хорошая идея. Это гарантирует, что бизнес и его сотрудники всегда будут в курсе изменений законодательства.

Кроме того, способность быстро сообщать персоналу об изменениях в правилах, касающихся здоровья и безопасности, является обязательным условием для всех компаний, работающих в мире после COVID-19.

Вот основные области комплаенс для любого бизнеса:

  • Противодействие коррупции.
  • Защита данных.
  • Трудовое право.
  • Экспортный контроль.
  • Честная конкуренция.
  • Здоровье, безопасность и окружающая среда.
  • IT-безопасность.
  • Безопасность продукции.

Что такое комплаенс-контроль

Несоблюдение законов, нормативных актов и стандартов приводит к высоким потенциальным рискам. Поэтому введение комплаенс-контроля, безусловно, является важным для любых предприятий.

Комплаенс-контроль — это процесс, с помощью которого менеджеры компании планируют, организуют, контролируют и руководят деятельностью, обеспечивающей соблюдение законов и стандартов.

Эти действия могут включать:

  • Внутренний аудит.
  • Сторонний аудит.
  • Процедуры проверки безопасности.
  • Подготовка отчетов и предоставление сопроводительной документации.
  • Разработка и внедрение политик и процедур для обеспечения комплаенс.

Почему комплаенс-контроль важен для бизнеса

Комплаенс по действующему законодательству является обязательным. Если вы заключили официальные договора с клиентами, положения этих документов также становятся юридическими требованиями и нормами корпоративного комплаенс.

Не соблюдая букву закона, вы столкнетесь с дорогостоящими судебными разбирательствами и можете нанести большой ущерб своему бизнесу и его репутации. Эффективный комплаенс-контроль защищает от этих рисков.

Также важно и соблюдение других стандартов и правил. Они могут быть не только внешними, но и внутренними. Хорошим примером могут служить стандартные рабочие процедуры и политики.

Некоторые рассматривают соблюдение внутренних правил бизнеса как часть комплаенс-контроля, другие — нет. Однако, если вы только начинаете внедрять комплаенс, мы советуем включать все возможные стандарты — как корпоративные, так и нормы законодательства, и отраслевые стандарты.

Просто потому, что несоблюдение этих правил, норм и спецификаций может иметь дорогостоящие последствия. Печально известная утечка данных из сети Walmart, когда хакеры похитили данные кредитных карт клиентов, обошлась компании в круглую сумму. Пришлось выплатить покупателям компенсацию в размере 450 миллионов долларов, заплатить за восстановление пострадавших аккаунтов 350 миллионов долларов и отдать 500 миллионов долларов на судебные издержки.

Как Walmart попала в такую ситуацию? Суд установил, что компания ввела внутренние нормы финансового комплаенс. Сотрудники знали о необходимости соблюдения требований, но не выполняли их и не обеспечивали их соблюдение.

Два подхода к комплаенс-контролю

В любом контексте комплаенс-контроль начинается с проверки контрольных показателей соответствия нормам. Это могут быть нормы законодательства, отраслевые стандарты и правила, которых должна придерживаться конкретная компания. В любом случае организации должны планировать, внедрять и обеспечивать соблюдение нормативных требований. Есть два способа сделать это. И тот, который вам нужен, зависит от типа комплаенс.

1. Строгое соблюдение законов и норм

Вкратце этот подход можно описать так: все знают законы и строго соблюдают их. Это достаточно жесткая и непоколебимая позиция.

Бывают случаи, когда это оправдано и идти на компромисс не стоит. Например, если сотрудник на рабочем месте ставит под угрозу здоровье и безопасность — свои или других людей. Часто такое возникает, когда не соблюдаются нормы безопасности при работе со сложным оборудованием. Человек пилит деталь, не надев перчатки или не защитив рабочее место — тогда отлетающий мусор может кого-нибудь поранить. Если это так, значит, все остальные сотрудники, у которых может возникнуть соблазн делать то же самое, должны убедиться, что вы серьезно относитесь к соблюдению требований, и наказание должно последовать незамедлительно. То же относится и к соблюдению норм законодательства — они не подлежат расширенным толкованиям, и их важно соблюдать, чтобы бизнес не закрыли.

Однако, если в комплаенс есть возможность вольной интерпретации, все не так однозначно. Например, если рассматривать соблюдение каких-то норм, прописанных нечетко, этот подход может оказаться неприемлемым. Вот два примера.

Стандарт по производству продукции может предусматривать:

  • «Доска должна быть длиной 1,5 м».
  • «Доска должна быть правильной длины».

Один стандарт ясен. Другой весьма неоднозначен. Какая длина — правильная?

Вот еще один пример:

  • «При выполнении планового технического обслуживания отключать электричество можно только с 5:00 до 17:00 по воскресеньям».
  • «При выполнении планового технического обслуживания отключать электричество можно только в том случае, если это не приведет к нарушению основных процессов».

В первом из этих двух примеров сотрудник точно знает, когда он может отключить электропитание. Во втором примере никакой ясности нет. Что значит «основной процесс»? Можете ли вы винить обслуживающий персонал, если он посчитает, что процесс — не основной, а это не так? В конце концов, он — специалист по техническому обслуживанию, а не генеральный директор.

Вывод — всегда внимательно проверяйте тексты стандартов и убедитесь, что они обеспечивают абсолютную ясность.

2. Гибкий подход к существующим стандартам

Хотя законы не подлежат обсуждению, некоторые стандарты могут быть смягчены. Например, несколько применяемых норм могут противоречить друг другу, и тогда становится непонятно, какая из них — правильная. Выхода тут два. Или остановить все процессы до тех пор, пока кто-то не примет решение. Или разрешить некоторым сотрудникам снизить соответствие одному из стандартов, чтобы работа могла продолжаться.

Вот простой пример такого комплаенс, который обязательно приведет к изменению нормативных требований.

У вашей компании «АБВ» есть договор с компанией «ГДЕ». Следующий логистический стандарт является частью вашего юридического соглашения:

«Все заказы в компании «АБВ» будут доставлены на адрес, указанный компанией «ГДЕ», в течение 24 часов».

Вроде бы противоречий нет, все понятно. Но предположим, что вашей компании «АБВ» делают заказ, который нужно доставить в офис компании «ГДЕ», расположенный в 25-ти часах езды. Следует ли вашему менеджеру по продажам отклонить такой заказ, потому что выполнить поставку в соответствии с утвержденным стандартом невозможно? 

Скорее всего, менеджер «АБВ» примет заказ после того, как проинформирует сотрудника «ГДЕ» о проблеме логистики, и получит подтверждение, что в данном случае от стандарта можно отступить. Ваш сотрудник действует в интересах вашей компании и в интересах вашего клиента.

В этом примере важно понимать, что у представителя компании «ГДЕ» нужно получить письменное разрешение на отклонение от стандарта. Иначе договоренность на словах будет трудно доказать. Таким образом, когда вступают в силу противоречивые нормы комплаенс, важно определить, какие решения могут принимать ваши сотрудники. Определите, кто уполномочен делать это, при каких обстоятельствах и каким образом. И убедитесь, что в договоре предусмотрены необходимые изменения.

Как начать работу с комплаенс-контролем

Соблюдение норм и правил важно для любого бизнеса. Вот 10 шагов, которые вам нужно пройти, чтобы внедрить комплаенс-контроль в организации.

Проверка информации для комплаенс-контроля в организации
  1. Получите письменное подтверждение того, что нормы будут соблюдаться, от всех сотрудников, которых касается полное соблюдение норм принимаемого комплаенс.
  2. Проведите оценку рисков на основе внедряемого комплаенс. Это определит, какие пункты должны быть в вашем контрольном списке по комплаенс.
  3. Узнайте, как компании, похожие на вашу, справляются с рисками, указанными в вашем контрольном списке.
  4. При необходимости используйте внешний аудит, который поможет получить специализированные знания.
  5. Проведите обучение по вопросам соблюдения нормативных требований для всех соответствующих сотрудников.
  6. Распределите обязанности.
  7. Без промедления устраняйте случаи несоблюдения требований.
  8. Настройте систему отчетности и ведения записей.
  9. Проводите периодические проверки действующего комплаенс.
  10. Корректируйте стандарты там, где это возможно, чтобы устранить нечеткое понимание норм и правил.

Инструменты комплаенс-контроля

Ведение комплаенс-контроля может показаться большой дополнительной работой. Хотя это, безусловно, потребует постоянства и некоторых усилий, есть инструменты, которые можно использовать, чтобы облегчить свою работу.

Благодаря современным технологиям не обязательно создавать тонны бумажной документации. Достаточно выбрать программное обеспечение, которое поможет гарантировать, что ваша компания соблюдает все необходимые нормативы, какими бы они ни были. Самые популярные решения для комплаенс — это, например, ESPEAR, file.one, Searchinform, Intelligent Compliance Manager, Zecurion и другие.

Какие бы методы и инструменты вы ни выбрали, помните об основах:

  • Распределите ответственность.Контрольные показатели комплаенс должны быть в центре внимания всех ключевых  сотрудников. Вы можете сделать это, используя постановку соответствующих задач при распределении работы.
  • Контролируйте и проверяйте. Превратите управление комплаенсом в постоянную деятельность, которая способствует успеху бизнеса и ограничивает риски.

Безусловно, комплаенс-контроль бывает довольно дорогостоящим и сложным для реализации решением в зависимости от размера организации и области ее работы. Однако без этого ваш бизнес может оказаться гораздо более рискованным.

Комплаенс и проверки

Комплаенс необходим, чтобы компании соблюдали стандарты, продолжали вести бизнес и обслуживать клиентов. Он устанавливает минимальные требования  для различных предприятий. Какие аспекты деятельности компании будут подпадать под проверки?

  • Рекламная деятельность.
  • Взаимодействие с потребителями.
  • Клиентские соглашения и договоры.
  • Конфликт интересов.
  • Проверка клиентов и контрагентов.
  • Активы компании, уплата налогов.
  • Соблюдение установленных санитарных и противопожарных норм.
  • Безопасность и защита данных.
  • Любые нарушения, ошибки или мошенничество.

В зависимости от сектора, внутренние и внешние правила и нормы определяют, что ваш бизнес может и чего не может делать, а также то, что нужно знать при управлении повседневными операциями, чтобы избежать комплаенс-риска. 

Что такое комплаенс-риск

Комплаенс-риск — это негативные  последствия для бизнеса, начиная от финансовых потерь и заканчивая репутационными, к которым приводит несоблюдение существующих норм. Вот почему, когда речь идет о комплаенс-рисках, незнание, безусловно, не является оправданием.

Комплаенс-риск включает в себя юридические и финансовые санкции за невыполнение требований законодательства, внутренних и внешних нормативных актов. Чтобы соответствовать требованиям, правила и положения должны быть четко определены. Необходимо учитывать следующее:

  • Регулирующие акты и положения.
  • Штрафы за несоблюдение.
  • Обязательства и связанные стороны.
  • Виды и уровень риска.
  • Текущий статус соответствия.

Поскольку риски различаются в зависимости от отрасли и типа бизнеса, практически невозможно просчитать все виды, с которыми вы можете столкнуться. Но, взглянув на некоторые из этих примеров, вы сможете понять, какие виды деловой практики необходимо учитывать при работе, чтобы избежать комплаенс-рисков.

  • Отсутствие должной осмотрительности в отношении новых клиентов. Компании должны предпринимать определенные шаги, чтобы гарантировать: новый клиент является тем, кем представляется. Например, можно требовать подтверждения личности или проверять контрагента через специальные сервисы. Компания может выполнять данные действия как самостоятельно, так и поручить это подрядчикам.
  • Неспособность определить подозрительные отклонения от норм. Примером подозрительной активности в случае финансовых учреждений и банков может служить поступление крупных сумм денег на счет или частый вывод средств. Этим занимается, например, комплаенс Сбербанк. Если речь идет об обычных бизнес-процессах, отклонением от нормы, безусловно, будет являться перечисление денег в адрес непроверенных контрагентов или частных лиц.

Как классифицировать комплаенс-риск

Если компания не соблюдает нормативные требования, она подвергается комплаенс-рискам. Чтобы лучше понять и управлять ими, рекомендуется классифицировать их по типу воздействия:

  • Правовые риски. Правила и законы, несоблюдение которых может привести к штрафам, конфискации продукции или лишению каких-либо интеллектуальных или физических прав. Предприятие может стать ответчиком в судебных исках, когда действует вне нормативных требований, что также может усилить и финансовые риски за счет судебных издержек и штрафов.
  • Финансовые риски. Факторы, которые влияют на чистую прибыль бизнеса, потерю доверия инвесторов, цены акций или потенциальные будущие доходы. Организации могут столкнуться с негативными финансовыми последствиями нарушения нормативных требований. Особенно, если производство замедляется и в результате заказчик уходит, отменяя свои заказы.
  • Репутационные риски. Факторы, которые влияют на восприятие бренда покупателями из-за плохого PR, снижают доверие сотрудников или клиентов. Нарушение нормативных требований может нанести значительный ущерб репутации компании за счет потери доверия сотрудников, клиентов и инвесторов.
  • Бизнес-риски. Факторы, влияющие на способность бизнеса функционировать — например, остановка завода или торговое эмбарго. Деятельность компании или определенные операции могут быть приостановлены для устранения тех пробелов в соблюдении норм, которые могут нарушать нормальный процесс ведения бизнеса.

Комплаенс-риск: типы

Наиболее распространенные типы комплаенс-рисков — это факторы, которые влияют на большинство предприятий, в том числе:

  • Нормативная и политическая неопределенность.
    Политические течения влияют на регулирование отраслей — например, принимаются законы, которые могут изменить порядок ведения бизнеса. Когда политический климат неопределенный, это означает, что нормы, которые могут вступить в силу, также неизвестны. Это может вызвать стресс у действующего бизнеса.
  • Защита данных.
    С развитием IT-технологий, правила, касающиеся конфиденциальности и защиты данных, ужесточаются. Возьмем, к примеру, новые нормы по защите персональных данных — такие как GDPR в Европе или Федеральный закон «О персональных данных» ФЗ-152 в России. Технологии быстро меняются, поэтому необходимо постоянно вносить изменения в действующие политики конфиденциальности.
  • Конфликт интересов.
    Этот фактор особенно влияет на финансовую отрасль. Поскольку инвестиционные брокеры должны избегать использования инсайдерской информации в своих интересах или размещения денег своих клиентов там, где это может вызвать конфликт интересов.
  • Рыночный риск.
    Компания должна оставаться в курсе того, что происходит на рынке в целом, чтобы адекватно оценивать риски, особенно, если речь идет об изменении баланса сил, конкуренции или политических веяний.
  • Риск человеческого фактора.
    Данный комплаенс-риск касается не только соблюдения внешних законов, но также требует, чтобы сотрудники знали и соблюдали внутренние кодексы поведения, основанные на них. Например, сексуальная дискриминация и домогательства имеют внутренние и внешние последствия, которые нельзя игнорировать.
  • Коррупция.
    Компании несут ответственность за то, чтобы их сотрудники не участвовали во взяточничестве или мошенничестве и не страдали от них.
  • Качество.
    Качество продукции и услуг должно создаваться в соответствии с конкретными стандартами. Несоблюдение этих требований может привести к штрафам, изъятию продукции или закрытию бизнеса.

Как снизить уровень комплаенс-риска

Мало выявить различные типы комплаенс-рисков — нужно оценить их уровень и провести работу над ошибками, то есть максимально снизить их. Вот несколько советов, как это сделать.

Сбор информации внутри компании из всех источников

Используйте все данные, чтобы лучше понять риски, с которыми сталкивается как отдельный сотрудник, так и целый отдел. Регулярно собирайте информацию и проводите оценку того, насколько велик или мал может быть озвученный риск — с точки зрения вероятности возникновения события, а также масштаба последствий. Например, вовремя замеченное пренебрежение проверкой аккаунтов сэкономило бы компании Walmart из нашего примера огромные деньги.

Автоматизация процессов

Используйте специальные инструменты анализа данных и программное обеспечение, которое облегчит управление рисками. Их функции могут быть разными — начиная с обеспечения точности данных до выявления подозрительных действий. Программы также могут использоваться, чтобы избежать рисков непредоставления нужной информации. Например, некоторые бухгалтерские платформы автоматически формируют и рассылают нужные отчеты в налоговую в назначенное время, чтобы избежать негативного влияния человеческого фактора.

Делегирование полномочий и определение обязанностей

Убедитесь, что каждый сотрудник понимает свою роль и обязанности в защите компании от комплаенс-рисков. Это должно быть подтверждено не только в устной, но и в письменной форме — например, прописано в трудовом договоре или во внутреннем стандарте компании.

Постоянный мониторинг и внесение изменений

Если процесс описан, но по какой-либо причине не работает, обязательно проведите ревизию всех внутренних стандартов для улучшения функционирования, обеспечения защиты от рисков и соответствия комплаенс. Возможно, что внутренний стандарт по обработке персональных данных слишком сложен и задействует несколько человек в разных отделах, каждый из которых тормозит работу предыдущего. Тогда стоит пересмотреть «исходник», назначить единое ответственное лицо и упростить процедуру в целом.

Как управлять комплаенс-рисками

Некоторые компании предпочитают никак не управлять комплаенс-рисками. Вместо этого они считают штрафы просто частью затрат на ведение бизнеса. Другие пользуются серыми схемами, чтобы отодвинуть или вообще убрать риск пострадать от нарушения норм. И то, и другое не выдерживает никакой критики, если бизнес собирается работать долго и жить счастливо.

Вот 3 варианта того, как можно упростить управление комплаенс-рисками:

  1. Создание специального отдела или выделение отдельного сотрудника на комплаенс.
    Вместо того, чтобы делегировать полномочия разным сотрудникам, которые зачастую даже не являются частью одного отдела, стоит назначить одного опытного  человека. Даже комплаенс-менеджер в единственном числе, который будет определять и оценивать возможные риски, поможет существенно упорядочить процесс. Стоит также выделить ему ресурсы и бюджет для управления такими рисками. Если же делом займется целый отдел — особенно это касается крупных компаний, проблем станет еще меньше. Эти задачи можно также отдать на аутсорсинг, если структура компании не позволяет вносить такие изменения.
  2. Автоматизация работы по комплаенс — полная или частичная.
    Некоторые процессы в комплаенс требуют рассмотрения огромного количества документов. Утомительного занятия можно избежать, используя автоматизацию и возможности искусственного интеллекта. Специальные программы помогут упорядочить всю документацию и информацию, связанную с вопросами стандартов. Это можно сделать, вложив средства в одну хорошо продуманную систему или в различные инструменты для управления отдельными этапами. Например, оформить подписку на юридическую или налоговую базу знаний, чтобы отслеживать все изменения в законодательстве и финансах, или внедрить автоматизацию управления колл-центром.
  3. Обязательное отслеживание коммуникаций.
    Вы можете использовать системы мониторинга цифровых коммуникаций для отслеживания текстов, электронных писем, упоминаний в социальных сетях и многого другого, чтобы управлять внешними и внутренними коммуникациями сотрудников. Человеческий фактор — один из важнейших при оценке любого комплаенс-риска. И свести его к минимуму — значит, свести к минимуму опасность

Независимо от подхода, который вы выберете, управление комплаенс-рисками необходимо для правильного ведения любого бизнеса — большого или малого. Комплаенс-риск не влияет на тип или размер компании. Он требует наличия необходимых процессов для защиты как клиентов, так и предприятий. Невыполнение этого простого правила может привести к нежелательным и потенциально пагубным последствиям. И наоборот — грамотное управление комплаенс-рисками и своевременное их выявление поможет снизить общую нагрузку на бизнес, придать ему стабильность в постоянно меняющемся мире. Обычно ведение комплаенс в организации обеспечивают специальные сотрудники — комплаенс-менеджеры.

Комплаенс-менеджер: функционал

Комплаенс-менеджер должен иметь четко определенный функционал по обязанностям, задачам и ответственности.

Обязанности

Комплаенс-менеджер, ответственный за соблюдение нормативных требований, обязан работать с руководством и персоналом для выявления возможных комплаенс-рисков. В его функционал также входит разработка и управление систем внутреннего и внешнего контроля. При выявлении текущих или новых комплаенс-рисков его задача — грамотно оценить их и управлять ими.

Задачи

В список задач комплаенс-менеджера входят:

  • Идентификация. Выявление всех возможных комплаенс-рисков, разработка по ним рекомендаций.
  • Предотвращение. Разработка и внедрение средств контроля для защиты компании от этих рисков.
  • Мониторинг. Сбор отчетности об эффективности разработанных средств контроля при управлении организациями, подверженными комплаенс-рискам.
  • Разрешение проблем. Устранение трудностей с соблюдением требований по мере их возникновения.
  • Консультации. Консультация бизнеса по действующим нормам, законам, правилам и средствам контроля.

Ответственность

Общая ответственность специалиста по комплаенс заключается в организации внутренней службы комплаенс, которая эффективно поддерживает бизнес при соответствии нормативным требованиям отрасли, действующему законодательству и внутренним стандартам компании.

Словарь и термины комплаенс: всё, что нужно знать

С понятием комплаенс тесно связаны такие термины, как регулирование, первичное и вторичное законодательство, нормативные стандарты и инструкции, надзорные и регулирующие органы, правоприменение, сертификат соответствия. Чтобы вы могли свободно ориентироваться в этой сфере, мы расшифруем их все.

Словарь и термины комплаенс

Регулирование

Термин «регулирование»  относится к набору обязательных правил, изданных частным или государственным органом, обладающим необходимыми полномочиями для надзора за их соблюдением и применения санкций в ответ на их нарушение.

Хотя единой теории не существует, основные цели регулирования заключаются в следующем:

  • Защита инвесторов и потребителей.
  • Обеспечение справедливости, эффективности и прозрачности рынков.
  • Снижение системного риска.
  • Снижение финансовой преступности.
  • Поддержание доверия потребителей к компании.

Эффективное регулирование — это регулирование, которое:

  • Cпособствует достижению одной или нескольких основных целей.
  • Поддерживает открытый рынок, на котором может участвовать самый широкий круг подходящих участников, без ненужных барьеров для входа и выхода.
  • Обеспечивает равную нормативную нагрузку на всех участников, отвечающих минимальным критериям.

К регулируемым отраслям относятся финансы, противопожарная безопасность, рекламная деятельность.

Первичное законодательство

Первичное законодательство относится к законам, стандартам или постановлениям, принятым законодательными органами определенной юрисдикции. К примеру, Федеральный закон «О защите прав потребителей» N 2-ФЗ — первичный законодательный акт, обязательный для выполнения всеми предприятиями, которые работают с потребителями на территории России, например, для салонов красоты.

Вторичное законодательство

Законодательный орган во многих юрисдикциях имеет право делегировать или подчинять законотворческие полномочия другим органам. Которые затем могут принимать делегированные или подзаконные акты, часто называемые «вторичными» законами. Например, подзаконными актами обычно являются законы, разработанные регулирующим органом, уполномоченным делать это в соответствии с основным законом. К примеру, территориальный Роспотребнадзор может регулировать требования для предприятий бытовых услуг, в том числе, салонов красоты, расположенных в городе Москве. И это будет дополнительный список требований для бизнеса, которому необходимо соответствовать.

Что такое нормативные стандарты или правила

Стандарты обычно устанавливают общие принципы, согласно которым регулируемый бизнес должен вести свою деятельность. Правила эти  подробны и касаются каждой регулируемой деятельности и функции. Для нашего примера с салоном красоты таким стандартом является, например, Национальный стандарт РФ ГОСТ Р 51142-2019 «Услуги бытовые. Услуги парикмахерских и салонов красоты. Общие технические условия».

Нормативные инструкции

Иногда регулирующий орган выпускает подробные инструкции для компаний о том, как именно должно проходить фактическое выполнение ими своих юридических и нормативных обязательств. Борьба с отмыванием денег и финансированием терроризма, например, — это одна из тех областей, в которой большинство регулирующих органов во всем мире выпустили собственные инструкции.

Какие функции обычно выполняют надзорные и регулирующие органы

В общих чертах регулирующие органы выполняют следующие функции:

  • Обеспечивают соблюдение правил.
  • Контролируют соблюдение правил.
  • Проводят расследования подозрений в нарушении правил, иногда совместно с другими правоохранительными органами.
  • Сотрудничают и обмениваются информацией с другими регулирующими органами.

Существует два метода, с помощью которых контролируется соблюдение нормативных правил: надзор на месте и общий надзор.

  • Надзор на месте предполагает посещение сотрудниками регулирующего органа офисов компании с целью инспекции условий соблюдения норм и правил.
  • Общий надзор требует, чтобы регулируемые предприятия, предоставляли соответствующую информацию регулятору посредством отчетов, обычно предписываемых законодательством или условиями лицензии.

Правоприменение

Это необходимая часть процесса надзора в том смысле, что регулирующий орган должен обеспечивать соблюдение этих правил. Правоприменение — это как расследование, сбор и обмен информацией, так и наложение штрафов.

Правоприменение обычно влечет за собой следующие процессы:

  • Инспекция действий.
  • Следственные действия.
  • Надзорные мероприятия.
  • Применение корректирующих действий.
  • Наложение штрафов.

Общие правоприменительные полномочия любого регулирующего органа включают:

  • Право проверять и запрашивать информацию.
  • Право добиваться приказов, чтобы заставить бизнес подчиняться.
  • Право отстранять директоров и аудиторов.
  • Право назначать внешнего администратора.
  • Право налагать административные санкции или добиваться постановлений судов.
  • Право возбуждать или передавать дела для уголовного преследования.
  • Право приостанавливать операции или торговлю.

Сертификат соответствия

При организации бизнеса в соответствии с нормативными требованиями многие компании делают шаг к получению сертификата соответствия от определенного регулирующего или отраслевого органа. Сертификация демонстрирует соблюдение компанией руководящих принципов, установленных действующими стандартами отрасли.

Например, помимо соответствия ГОСТам, компания-производитель пищевых продуктов может получить стандартный сертификат соответствия для систем менеджмента безопасности пищевых продуктов SGS. Это сертификация «гарантирует целостность процесса производства пищевых продуктов, а также соблюдение правил безопасности пищевых продуктов».

Кроме того, компании могут получать сертификаты по другим международным отраслевым стандартам, таким как:

  • Энергетический менеджмент (ISO 5001).
  • Экологический менеджмент (семейство ISO 14000).
  • Безопасность пищевых продуктов (ISO 22000).
  • Здоровье и безопасность (ISO 45001).
  • IT-безопасность (ISO / IEC 27001).
  • Управление качеством (семейство ISO 9000). 

ТОП-6 советов по внедрению комплаенс в любой компании

Вот 6 шагов, которые помогут запустить программу комплаенс.

1. Начните с исследования

Первым шагом является полное понимание юридических и отраслевых регулирующих норм, которым должна следовать компания. Имейте в виду, что надзорные органы могут меняться в зависимости от отрасли и географической локации, в которых вы работаете.

2. Обеспечьте комплаенс-контроль и установите цели

Определите, кто будет ответственным за составление комплаенс и контроль его соблюдения. Как правило, крупные компании назначают директора по комплаенс, который возглавляет соответствующий отдел в организации. Дополнительно усилия этого департамента обычно поддерживаются широким кругом сотрудников из разных групп для полного соблюдения нормативных требований.

После того, как нужная команда сформирована, установите цели для корпоративной программы комплаенс и приступайте к созданию необходимых внутренних документов — таких как политики, схемы процедур и кодекс поведения, если они еще не приняты. Эти документы, возможно, потребуется обновить после завершения полной оценки комплаенс-рисков.

3. Оцените комплаенс-риск

При запуске программы с нуля проведите оценку комплаенс-рисков в своей организации и на производственных площадках, чтобы узнать, где находятся узкие места.

4. Устраните узкие места

После оценки рисков примите соответствующие меры по устранению любых уязвимых областей, которые могут помешать компании соблюдать требования соответствующих надзорных органов. Иногда это может быть быстрое исправление или же полная переработка процесса.

5. Проведите обучение сотрудников

Сотрудники являются важным фактором в обеспечении постоянного соблюдения комплаенс. Поэтому обучить их соблюдению нормативных требований и подчеркнуть важность этих мероприятий в корпоративной культуре — факторы, имеющие  решающее значение для успеха вашей программы комплаенс.

Совет: предлагайте сотрудникам ежегодно проходить тренинги по комплаенс. Правила могут часто меняться, поэтому регулярное обучение помогает сотрудникам идти в ногу с текущими стандартами, чтобы они всегда делали все правильно.

При обучении сотрудников предоставьте всю необходимую документацию на каждом уровне. Чтобы у персонала всегда был референс, к которому они смогут обратиться, если когда-либо столкнутся с необходимостью решить сложную задачу. Стоит хранить всю эту документацию в одном месте, чтобы сотрудники могли получить к нему доступ, где бы они ни находились в производственном помещении.

6. Сделайте комплаенс постоянным

Этот последний шаг, пожалуй, самый важный. Создание успешного комплаенс — это постоянное стремление соответствовать требованиям регулирующих органов и руководящим принципам компании.

Эти  усилия должны включать:

  • Мониторинг всех изменений, которые исходят от регулирующих органов и отраслевых организаций.
  • Эффективное информирование сотрудников об изменениях в соответствии с требованиями.
  • Регулярная оценка комплаенс-рисков, чтобы предпринять соответствующие действия.
  • Проведение ежегодного обучения сотрудников комплаенс.
  • Соответствие производственным требованиям после COVID-19.

Резюме

За считанные месяцы глобальная пандемия затронула многие компании по всему земному шару. Мировые рынки пытаются справиться с долговременным воздействием последствий COVID-19. Соблюдение постоянно меняющихся правил и норм будет иметь ключевое значение для их восстановления. А, значит, введение комплаенс практически в любой компании увеличит защиту бизнеса. Соответствие всем требованиям также защитит сотрудников, клиентов, профессиональные сообщества и другие заинтересованные стороны, позволяя компании работать безопасно и предсказуемо. 

Блог