Первоначально российские компании применяли систему комплаенс, если их акции торговались на зарубежных биржах или если такие компании входили в иностранный холдинг.
Понятие «комплаенс» ввел в российскую практику Центральный банк России в указании от 7 июля 1999 г. № 603-У. Он определил его как часть системы внутреннего контроля кредитной организации. Позже требование ввести систему комплаенс стало обязательным для компаний отдельных отраслей (Федеральный закон от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»; далее – Закон № 115-ФЗ).
С 1 января 2013 года все компании обязаны внедрить систему антикоррупционного комплаенс (ст. 13.3 Федерального закона от 25 декабря 2008 г. № 273-ФЗ «О противодействии коррупции»; далее – Закон № 273-ФЗ).
Комплаенс – это система мер, которые обеспечивают ведение бизнеса в соответствии с законами, требованиями регуляторов и СРО, внутренними регламентами и этическими нормами. Такие меры могут касаться:
В основе этой системы лежат риски. Их нужно определить, оценить и начать управлять ими.
Чаще всего комплаенс применяют для компаний, которые:
Компания может ввести комплаенс, когда этого требует закон или по своей инициативе.
Ситуация 1. Ввести комплаенс требует закон.
В этом случае у компании нет выбора. Она должна следовать нормам закона и выстраивать систему согласно их требованиям. Например, банки обязаны ввести систему проверки клиентов и их операций, назначить должностных лиц, которые будут следить за этим, а также обучить персонал специальным навыкам (Закон № 115-ФЗ, письмо Банка России от 30 июня 2005 г. № 92-Т).
Ситуация 2. Ввести комплаенс хочет сама компания.
В этом случае компания вправе выбрать один из двух вариантов.
Вариант 1. Создать специальное комплаенс-подразделение.
В структуре компании создают подразделение, которое анализирует комплаенс-риски, работает над оптимизацией бизнес-процессов, а также следит за исполнением комплаенс-мероприятий.
Достоинство этого варианта в том, что ответственность лежит на конкретном подразделении. Оно занимается только комплаенс, сможет внедрить и проконтролировать комплаенс-механизмы на всех направлениях деятельности.
Основной недостаток в том, что специализированное подразделение частично дублирует функции уже существующих, например правового департамента. Кроме того, создание нового подразделения влечет дополнительные расходы.
Такая система подходит для крупных компаний, деятельность которых отслеживают международные рейтинговые агентства (Standart Poors’s, Moody’s, Fitch).
Вариант 2. Ввести принципы комплаенс в каждое подразделение.
Такой способ распределяет ответственность между существующими подразделениями. Каждый руководитель анализирует комплаенс-риски и управляет ими в рамках бизнес-процессов того направления, которое он курирует.
Достоинство этой схемы в экономии ресурсов. Недостаток в том, что полномочия в сфере комплаенс станут дополнительной нагрузкой на подразделения.
На практике чаще используют смешанный подход. В такой ситуации руководитель комплаенс-подразделения (compliance officer) отвечает за общее руководство. Он организует обучение персонала, взаимодействие с другими подразделениями и внешними партнерами. При этом каждый руководитель отвечает за анализ рисков, политику и комплаенс-процедуры в той сфере, которой руководит.
Чтобы внедрить систему комплаенс, нужно сделать восемь шагов.
Шаг 1. Выявить комплаенс-риски
Риск в сфере комплаенс – это возможность, что компания и (или) сотрудник нарушат закон или иные нормы и это приведет к негативным последствиям для компании. Оценивают риски с двух позиций: насколько вероятно нарушение и каковы его последствия (финансовые, репутационные и др.).
Чтобы выявить риски, нужно на основании приказа или распоряжения создать рабочую группу. В число ее участников стоит включить юристов и представителей профильных подразделений.
Рабочая группа должна выявить области, в которых высока вероятность нарушения. Их определяют на основе норм закона или иных требований: антикоррупционных, налоговых, корпоративных, охраны труда, защиты персональных данных, защиты конфиденциальных сведений, профессиональной этики, антимонопольного регулирования и т. п.
После этого рабочей группе необходимо определить бизнес-процессы, в которых возможны нарушения. Например, в сфере антикоррупционного регулирования самые рисковые процессы – закупки, получение разрешений, лицензий и иное взаимодействие с регуляторами, представительские расходы, маркетинговые мероприятия, наем сотрудников. Так, наем близкого родственника представителя клиента может быть формой коммерческого подкупа. Наем близкого родственника государственного служащего, который принимает решение о выдаче лицензии компании, – формой взятки.
Итогом деятельности рабочей группы должна стать тепловая карта комплаенс-рисков (heat map). В ней риски делят на три группы:
В отношении зеленых рисков компания обычно ограничивается мониторингом. Активного управления и снижения требуют только желтые и красные риски.
Шаг 2. Разработать и внедрить контрольные процедуры
Чтобы предотвратить нарушения, рабочая группа должна разработать контрольные механизмы для каждой области риска, например:
Разрабатывать такой механизм нужно с сотрудниками, которые участвуют в соответствующем бизнес-процессе, например закупщиками.
Рабочей группе нужно учитывать особенности правового регулирования и судебную практику. Иначе могут быть споры с регулирующими органами
Так, российское общество ввело строгие комплаенс-меры по проверке потенциальных партнеров в соответствии с корпоративными требованиями иностранной материнской компании. Если дистрибьютор не проходил проверку, то общество отказывалось заключать договоры поставки.
Шаг 3. Распределить зоны ответственности
После того как рабочая группа разработала систему контроля, нужно назначить ответственных за комплаенс-процедуры в каждом подразделении.
Распределение ответственности за снижение комплаенс-рисков между подразделениями
Риск |
Мероприятие по снижению риска |
Ответственное подразделение |
Конфликт интересов у сотрудников |
1) проверять сотрудников при найме; 2) рассматривать сообщения сотрудников о конфликте интересов |
Департамент управления персоналом |
Недобросовестное использование имени/бренда компании |
Вести мониторинг СМИ, социальных сетей и блогосферы |
PR-служба |
Взаимодействие с недобросовестными контрагентами, а также с контрагентами, которые находятся под санкциями и (или) участвуют в подозрительных операциях |
Включать в договоры комплаенс-оговорку, которая предусматривает: 1) право компании расторгнуть договор в одностороннем порядке без выплаты штрафных санкций, если контрагент нарушит принципы добросовестного ведения бизнеса; 2) обязанность контрагентов хранить всю документацию по сделке и обеспечить доступ к ней в случае необходимости, в том числе по истечении определенного периода после прекращения договора |
Департамент юридического обеспечения/договорной отдел |
Проверять добросовестность контрагентов (принцип Know your customer – знай своего клиента), включая проверку на предмет нахождения контрагента в международных санкционных списках |
Служба экономической безопасности |
|
Риски нарушений локальных актов в области комплаенс |
Проверять, соблюдаются ли локальные акты в области комплаенс |
Внутренний аудит |
Шаг 4. Разработать и утвердить основные документы в области комплаенс
На основе результатов работы группы компания должна утвердить четыре вида локальных актов:
1) Кодекс этики – общий документ с правилами поведения для сотрудников;
2) отраслевую корпоративную политику в каждой области комплаенс. Например, антикоррупционную, антимонопольную, с сфере противодействия легализации преступных доходов и финансирования терроризма, противодействия инсайдерской торговле и манипулированию рынком, защиты персональных данных, соблюдения режима прав интеллектуальной собственности, соблюдения прав работников, политику о конфликте интересов, политику по подаркам и т. п.;
3) документы, которые регламентируют отдельные процедуры комплаенс. Например, акт о проверке контрагентов. В зависимости от специфики деятельности такая проверка может быть общей или специальной. Так, процедура идентификации и проверки платежеспособности клиентов, проверка квалификации и благонадежности потенциальных поставщиков (подрядчиков), проверка партнеров для совместных предприятий, комплаенс-проверка в рамках M&A и т. п.;
4) трудовые договоры, должностные инструкции. В договоры обычных сотрудников стоит внести обязательство соблюдать Кодекс этики. Для сотрудников, чья деятельность касается комплаенс-рисков, нужно ввести специальные условия. Например, обязанность сообщать о наличии конфликта интересов и т. п.
Шаг 5. Обучить сотрудников
Принятые акты нужно довести до сведения сотрудников. Для этого необходимо:
Шаг 6. Внедрить горячую линию, чтобы собирать сообщения о нарушениях
Дополнительно нужно создать механизм, с помощью которого любой сотрудник сможет сообщить о нарушениях. Это позволит оперативно собирать информацию и оценить степень внедрения комплаенс-культуры.
Шаг 7. Ввести систему наказаний и поощрений
Компания вправе использовать бонусы, премии, публикации на корпоративном портале и другие формы поощрения. Например, выплату переменной части годовых бонусов можно привязать к выполнению комплаенс-показателя «Отсутствие нарушений законодательства, требований регуляторов и положений деловой этики, выявленных по итогам проверки внешних контролирующих органов и (или) контрольных мероприятий внутри компании». При наличии нарушений размер бонуса снижается на установленный процент.
Юридический департамент можно использовать двумя способами.
Первый – возложить на него задачи организатора и куратора системы комплаенс в целом. Такой подход часто используют в иностранных компаниях. В них высшее должностное лицо, которое отвечает за юридическую функцию, ответственно за комплаенс.
Второй – использовать для правовой и консультационной поддержки комплаенс-подразделения. В этом случае юридический департамент обязан обеспечить решение двух задач.
1. Выявлять комплаенс-риски на ранних стадиях
Участие юристов в коллегиальных органах управления компанией, в специализированных комитетах (стратегический, инвестиционный, бюджетный, налоговый, по управлению рисками) позволит выявлять комплаенс-риски на ранней стадии. Это важно при разработке новых продуктов, выходе на новые рынки, заключении сделок M&A, реструктуризации бизнеса и налоговом планировании.
Механизм участия юристов нужно закрепить в локальных актах (см., например, типовое положение о стратегическом комитете).
2. Регулярно сообщать линейным менеджерам о новых требованиях закона
Юристы должны анализировать изменения законодательства и сообщать заинтересованным подразделениям, что нужно поменять в работе. При этом важно отслеживать законодательные инициативы на этапе обсуждения в рамках рабочих групп и круглых столов, которые организуют регуляторы.
Результаты мониторинга доводят до заинтересованных подразделений. Например, периодически направляют рассылки. Если произошли глобальные изменения, стоит провести тренинги для сотрудников.
Департамент может это делать самостоятельно, а может привлечь внешнего подрядчика – юридическую компанию.
ОКАЗЫВАЕМ УСЛУГИ ПО СОЗДАНИЮ СИСТЕМЫ КОМПЛАЕНС В ВАШЕЙ КОМПАНИИ