Шаг 1. Выявить комплаенс-риски
Риск в сфере комплаенс – это возможность, что компания и (или) сотрудник нарушат закон или иные нормы и это приведет к негативным последствиям для компании. Оценивают риски с двух позиций: насколько вероятно нарушение и каковы его последствия (финансовые, репутационные и др.).
Чтобы выявить риски, нужно на основании приказа или распоряжения создать рабочую группу. В число ее участников стоит включить юристов и представителей профильных подразделений.
Рабочая группа должна выявить области, в которых высока вероятность нарушения. Их определяют на основе норм закона или иных требований: антикоррупционных, налоговых, корпоративных, охраны труда, защиты персональных данных, защиты конфиденциальных сведений, профессиональной этики, антимонопольного регулирования и т. п.
После этого рабочей группе необходимо определить бизнес-процессы, в которых возможны нарушения. Например, в сфере антикоррупционного регулирования самые рисковые процессы – закупки, получение разрешений, лицензий и иное взаимодействие с регуляторами, представительские расходы, маркетинговые мероприятия, наем сотрудников. Так, наем близкого родственника представителя клиента может быть формой коммерческого подкупа. Наем близкого родственника государственного служащего, который принимает решение о выдаче лицензии компании, – формой взятки. Например, в 2015 году BNY Mellon заплатили штраф 15 млн долл. США за то, что нанимали родственников представителей государственных арабских фондов для получения контрактов с этими фондами.
Итогом деятельности рабочей группы должна стать тепловая карта комплаенс-рисков (heat map). В ней риски делят на три группы:
· красные – самые значимые и (или) вероятные риски, последствия которых могут угрожать деятельности компании. Например, повлечь принудительную ликвидацию или реорганизацию, приостановление деятельности, штрафы и др. Это могут быть как большие штрафы, так и средние штрафы, для которых высока вероятность, что их обнаружат. Пример: штраф за нарушение требований по защите персональных данных не слишком крупный. Если у компании нет большого количества клиентов – физических лиц, то этот риск будет для нее зеленый или желтый. Если у этой компании есть лицензия Минкомсвязи, то риск становится красным, поскольку Роскомнадзор проверяет соблюдение защиты персональных данных наряду с соблюдением лицензионных требований. Репутационные риски для крупных компаний почти всегда красные, даже если вероятность их невысока, так как ущерб может быть значительным;
· желтые – средние риски. Они влекут, например, небольшие штрафы, судебные разбирательства и др. Обычный желтый риск – много технических требований в законе. Штраф за каждое нарушение небольшой, но вероятность проверки и штрафов очень велика;
· зеленые – незначительные риски. Они влекут, например, предупреждения и др.
В отношении зеленых рисков компания обычно ограничивается мониторингом. Активного управления и снижения требуют только желтые и красные риски.
Шаг 2. Разработать и внедрить контрольные процедуры
Чтобы предотвратить нарушения, рабочая группа должна разработать контрольные механизмы для каждой области риска, например:
· ввести две подписи на значимых документах;
· обязать несколько подразделений одновременно согласовывать распорядительные документы;
· предоставить комплаенс-подразделению право вето;
· ввести контрольные чек-листы и т. п.
Разрабатывать такой механизм нужно с сотрудниками, которые участвуют в соответствующем бизнес-процессе, например закупщиками.
Внимание! Рабочей группе нужно учитывать особенности правового регулирования и судебную практику. Иначе могут быть споры с регулирующими органами
Так, российское общество ввело строгие комплаенс-меры по проверке потенциальных партнеров в соответствии с корпоративными требованиями иностранной материнской компании. Если дистрибьютор не проходил проверку, то общество отказывалось заключать договоры поставки.
ФАС России решило, что действия российского общества нарушают антимонопольное законодательство (предписание № 1 10/91-10 от 23 сентября 2010 г.).