Как выявить и оценить коррупционные риски
Выявление и оценка рисков позволяет определить, какие риски могут возникнуть в результате конкретных деяний или решений, а также какие меры нужно принять для предотвращения нарушений.
Один из важных вопросов (или ограничений), касающихся оценки коррупционного риска, заключается в том, что очень трудно рассчитать или оценить его фактический эффект или успех на практике. Являясь превентивным инструментом, оценка работает неизмеримым образом, поскольку невозможно достоверно подсчитать, сколько коррупции, нарушений добросовестности или неэтичного поведения было предотвращено в результате этого. Уголовное законодательство и другая статистика не могут показать того, чего не произошло, потому что это было предотвращено.
Зачем нужна оценка коррупционных рисков, если все стандартные меры контроля уже внедрены?
Стандартные средства контроля обычно носят общий характер. Однако каждая компания имеет различную операционную среду и, следовательно, может иметь несколько иные коррупционные риски по сравнению с другими компаниями, занимающимися тем же видом работы. Каждая компания должна понимать свой собственный контекст и свои собственные риски, чтобы быть уверенной в том, что стратегии управления коррупционными рисками и средства контроля, которые у нее имеются, являются надлежащими и эффективными.
Кроме того, все организации динамичны и работают в условиях, которые постоянно меняются – иногда незаметным образом. Средства контроля, которые работают в определенный момент времени, со временем могут оказаться не столь эффективными
4 шага для оценки риска
Для оценки риска можете использовать подход, который состоит из 4 шагов:
Шаг 1. Оценка уязвимостей. Выявление и оценка областей уязвимости, присущих деятельности и процессам организации. Например: заключение контрактов, применение корпоративных регламентов, взаимоотношения с контрагентами и т.д.
Шаг 2. Оценка факторов риска. Вероятность любого риска зависит от наличия фактор риска – условия, которое увеличивает или уменьшает вероятность возникновения риска. Факторы риска будут связаны с внутренними и внешними обстоятельствами. К примеру, отсутствие контроля, необученный персонал, задвоение полномочий — это факторы, которые повышает вероятность реализации риска.
Шаг 3. Оценка контроля. На этом этапе нужно оценить эффективность система контроля, чтобы понять устойчивость отдельных процессов к коррупционным рискам.
Шаг 4. Анализ соотношения между, с одной стороны, рисками и факторами рисков, а с другой, достаточностью контроля. На этом этапе нужно понять соблюдается ли баланс между уязвимостью и необходимым контролем.
Весь процесс может быть сведен в реестр и карту рисков, которые иллюстрируют коррупционные риски и обозначают возможные направления действий для их минимизации.
Как ранжировать коррупционные риски
Включить риски в матрицу можно только после того, как компания распределит их по весу. Вес будет зависеть от критерия оценки, который выберет компания. Например, можно распределить риски по частоте ранее зафиксированных коррупционных правонарушений или размерам штрафов. Чем чаще случалось нарушение, тем выше риск. Или чем меньше штраф, тем ниже риск. Выбирать критерий нужно ориентируясь на количественные показатели, в них меньше субъективной оценки.
Критериев оценки уровня риска может быть сколько угодно. Чем их больше, тем подробнее результат оценки и точнее получится оценить возможные риски.
Как подготовиться к оценке рисков
Рамочная методология состоит из 5 этапов, в общей сложности 27 шагов. Однако эти шаги не являются ни исключительными, ни абсолютными, а систематизированы таким образом, что методология может быть легко адаптирована, расширена или изменена к конкретной процедуре оценки коррупционных рисков.
1. Получите поддержку руководства высшего звена для оценки коррупционных рисков, включая:
Все отделы организации должны быть надлежащим образом и пропорционально представлены в рабочей группе. Необходимо добиться, чтобы были оценены реальные, а не теоретические риски.
3. Определите обязанности рабочей группы и порядок подчинения, а также сферу охвата оценки.
4. Выберите способ сбора всей необходимой информации для идентификации рисков и определите методы, которые будут использоваться для идентификации риска
5. Подготовьте план методологической работы, включая шаблоны планируемых оценочных документов, к примеру реестр рисков, опросники. Установите временные рамки для отдельных мероприятий и подготовьте график проведения оценки.
Этап 2: Идентификация и анализ рисков
Результатом этого этапа должен стать перечень выявленных рисков и оценка того, какие факторы риска находятся под контролем, а какие нет и должны впоследствии подвергаться управлению рисками
7. Соберите и проведите анализ всех существующих внутренних и внешних документов и данных, которые относятся к оценке коррупционных рисков. Проведите совещания или другие мероприятия по сбору информации, направленные на выявление рисков.
8. Подробно рассмотрите следующие вопросы: какие события, где, когда, почему и как могут произойти, как их можно предотвратить.
9. Основываясь на результатах предыдущих шагов, составьте карту областей, подлежащих оценке с точки зрения их уязвимости к коррупции, нарушениям добросовестности или другому неэтичному поведению. Обратите особое внимание на:
чувствительные процессы;
чувствительные функции.
10. Выявляйте и учитывайте все группы факторов риска в каждой области:
13. Оцените существующие средства контроля в отношении выявленных рисков. Нужно определить, какие из существующих мер являются достаточными и эффективными и являются ли эти меры уместными в зависимости от степени вероятности и последствий, которые могут возникнуть.
14. Измерьте или оцените уровень каждого идентифицированного риска, основываясь на сочетании вероятности возникновения отдельного риска и тяжести воздействия (ущерба) в случае возникновения (например, с использованием тепловой карты).
15. Определите приоритетность рисков в соответствии с воздействием, которое может оказать их возникновение.
16. Разработайте документ с всесторонней оценкой каждого выявленного риска и его окончательной оценкой (реестр рисков).
17.Разработайте мероприятия по обработке рисков и контролю за ними (план управления рисками) с учетом имеющихся ресурсов (с точки зрения финансов, персонала/кадровых ресурсов и т.д.).
Подготовьте рекомендации по совершенствованию процессов и процедур в зонах риска.
Определите меры по контролю выявленных рисков и предотвращению их повторения включая ответственных лиц и сроки реализации этих мер.
18. Подготовьте план управления рисками и составьте список приоритетных рисков, подлежащих устранению, и мер, которые необходимо принять.
19. Представить план управления рисками с рекомендациями и мерами вышестоящему руководству для утверждения.
20. Создайте итоговый реестр рисков или аналогичный документ, включая: перечень выявленных рисков и факторов, способствующих их возникновению, перечень принятых рекомендаций, меры и приоритеты по управлению рисками, ответственные лица и сроки.
21. Представьте план управления рисками, включая реестр рисков, всем заинтересованным сторонам, чтобы получить от них комментарии, которые могут быть добавлены в реестр рисков.
22. Подготовьте окончательный отчет рабочей группы.
Конечным результатом этого этапа является разработанная система или механизм для постоянного мониторинга, обновления и последующего контроля за реестром рисков и планом управления рисками.
23. Разработайте механизм для вышестоящего руководства, позволяющий постоянно наблюдать за выполнением плана управления рисками.
24. Назначьте сотрудника по комплаенс (если применимо или если он еще не назначен).
25. Информируйте вышестоящее руководство о разработке, проблемах и т.д. относительно плана управления рисками на регулярной основе (желательно готовить такие отчеты каждые три месяца или чаще, если это необходимо)
26. Обновляйте карту рисков и реестр рисков на регулярной основе (рекомендуется обновлять каждые 6 месяцев или чаще, если необходимо).
27. Создайте эффективный механизм коммуникации между сотрудником по комплаенс, руководством и остальными сотрудниками.
Как выявлять риски
Что касается выявления рисков, то решающее значение имеет подробная информация и данные, включая их анализ. В зависимости от размера организация, сектора, проекта, его сложности и задач, можно использовать и комбинировать несколько различных методов работы для сбора соответствующей информации для дальнейшего выявления и раскрытия всех соответствующих рисков.
В большинстве оценок коррупционных рисков для выявления рисков используется комбинация вторичных источников (анализ ключевых документов, кабинетные исследования) и первичных источников (опросы и анкетирование, фокус-группы, интервью с ключевыми лицами, контрольные списки и т.д.).
Вторичные источники часто используются на предварительных этапах, чтобы дать представление о общей обстановке в компании или для определения приоритетных областей риска, а первичные источники используются для более глубокого анализа наиболее важных коррупционных рисков или предполагаемых рисков.
Кроме того, для оценки уровня риска, например, вероятности коррупции обычно требуется некоторая форма экспертного анализа.
Более конкретно, возможными методами сбора соответствующей информации, которые в дальнейшем на основе углубленного анализа облегчат идентификацию рисков, являются следующие методы:
Анализ информации, которую можно получить из следующих источников:
Результатом этого этапа является соотнесения полученных данных с существующими механизмами контроля или уже существующими решениями для устранения отдельных рисков.
Если оценка коррупционных рисков не проводится должным образом и с учетом реалий, она может создать лишь дополнительный слой антикоррупционной бюрократии или служить показухой и, следовательно, усилить цинизм в отношении борьбы с коррупцией, добросовестности и этики.
Фиксация результатов в реестре и карте рисков
Процесс оценки рисков является более важным, чем форма, то есть реестр и карта, которые являются отражением процесса – фиксируют его результат.
Реестр рисков состоит из ряда граф:
Карта рисков – это графическое отображение рисков. Как правило, карта рисков состоит из трех цветом – красный цвет фиксирует самые опасные риски, желтый - риски среднего уровня, а зеленый - незначительные риски.
Один из важных вопросов (или ограничений), касающихся оценки коррупционного риска, заключается в том, что очень трудно рассчитать или оценить его фактический эффект или успех на практике. Являясь превентивным инструментом, оценка работает неизмеримым образом, поскольку невозможно достоверно подсчитать, сколько коррупции, нарушений добросовестности или неэтичного поведения было предотвращено в результате этого. Уголовное законодательство и другая статистика не могут показать того, чего не произошло, потому что это было предотвращено.
Зачем нужна оценка коррупционных рисков, если все стандартные меры контроля уже внедрены?
Стандартные средства контроля обычно носят общий характер. Однако каждая компания имеет различную операционную среду и, следовательно, может иметь несколько иные коррупционные риски по сравнению с другими компаниями, занимающимися тем же видом работы. Каждая компания должна понимать свой собственный контекст и свои собственные риски, чтобы быть уверенной в том, что стратегии управления коррупционными рисками и средства контроля, которые у нее имеются, являются надлежащими и эффективными.
Кроме того, все организации динамичны и работают в условиях, которые постоянно меняются – иногда незаметным образом. Средства контроля, которые работают в определенный момент времени, со временем могут оказаться не столь эффективными
4 шага для оценки риска
Для оценки риска можете использовать подход, который состоит из 4 шагов:
Шаг 1. Оценка уязвимостей. Выявление и оценка областей уязвимости, присущих деятельности и процессам организации. Например: заключение контрактов, применение корпоративных регламентов, взаимоотношения с контрагентами и т.д.
Шаг 2. Оценка факторов риска. Вероятность любого риска зависит от наличия фактор риска – условия, которое увеличивает или уменьшает вероятность возникновения риска. Факторы риска будут связаны с внутренними и внешними обстоятельствами. К примеру, отсутствие контроля, необученный персонал, задвоение полномочий — это факторы, которые повышает вероятность реализации риска.
Шаг 3. Оценка контроля. На этом этапе нужно оценить эффективность система контроля, чтобы понять устойчивость отдельных процессов к коррупционным рискам.
Шаг 4. Анализ соотношения между, с одной стороны, рисками и факторами рисков, а с другой, достаточностью контроля. На этом этапе нужно понять соблюдается ли баланс между уязвимостью и необходимым контролем.
Весь процесс может быть сведен в реестр и карту рисков, которые иллюстрируют коррупционные риски и обозначают возможные направления действий для их минимизации.
Как ранжировать коррупционные риски
Включить риски в матрицу можно только после того, как компания распределит их по весу. Вес будет зависеть от критерия оценки, который выберет компания. Например, можно распределить риски по частоте ранее зафиксированных коррупционных правонарушений или размерам штрафов. Чем чаще случалось нарушение, тем выше риск. Или чем меньше штраф, тем ниже риск. Выбирать критерий нужно ориентируясь на количественные показатели, в них меньше субъективной оценки.
Критериев оценки уровня риска может быть сколько угодно. Чем их больше, тем подробнее результат оценки и точнее получится оценить возможные риски.
Как подготовиться к оценке рисков
Рамочная методология состоит из 5 этапов, в общей сложности 27 шагов. Однако эти шаги не являются ни исключительными, ни абсолютными, а систематизированы таким образом, что методология может быть легко адаптирована, расширена или изменена к конкретной процедуре оценки коррупционных рисков.
1. Получите поддержку руководства высшего звена для оценки коррупционных рисков, включая:
- приверженность инвестированию соответствующего времени и ресурсов;
- приверженность личному участию вышестоящего руководства;
- приверженность общению на высшем уровне с соответствующими внутренними заинтересованными сторонами.
Все отделы организации должны быть надлежащим образом и пропорционально представлены в рабочей группе. Необходимо добиться, чтобы были оценены реальные, а не теоретические риски.
3. Определите обязанности рабочей группы и порядок подчинения, а также сферу охвата оценки.
4. Выберите способ сбора всей необходимой информации для идентификации рисков и определите методы, которые будут использоваться для идентификации риска
5. Подготовьте план методологической работы, включая шаблоны планируемых оценочных документов, к примеру реестр рисков, опросники. Установите временные рамки для отдельных мероприятий и подготовьте график проведения оценки.
- Доведите план работы и временные рамки до сведения руководства, сотрудников или других заинтересованных сторон
- Запланируйте совещания или другие мероприятия по сбору информации
- объяснение целей и характера оценки коррупционных рисков;
- подробную информацию о задачах, которые предстоит выполнить;
- пояснения к заполняемым шаблонам;
- информацию о совещаниях и сессиях по оценке коррупционных рисков.
Этап 2: Идентификация и анализ рисков
Результатом этого этапа должен стать перечень выявленных рисков и оценка того, какие факторы риска находятся под контролем, а какие нет и должны впоследствии подвергаться управлению рисками
7. Соберите и проведите анализ всех существующих внутренних и внешних документов и данных, которые относятся к оценке коррупционных рисков. Проведите совещания или другие мероприятия по сбору информации, направленные на выявление рисков.
8. Подробно рассмотрите следующие вопросы: какие события, где, когда, почему и как могут произойти, как их можно предотвратить.
9. Основываясь на результатах предыдущих шагов, составьте карту областей, подлежащих оценке с точки зрения их уязвимости к коррупции, нарушениям добросовестности или другому неэтичному поведению. Обратите особое внимание на:
чувствительные процессы;
чувствительные функции.
10. Выявляйте и учитывайте все группы факторов риска в каждой области:
- внешние или системные факторы риска;
- институциональные (организационные) факторы и условия;
- индивидуальные факторы (персонал).
- риск взяточничества;
- риск злоупотребления властью или служебным положением в личных интересах;
- риск злоупотребления ресурсами в личных интересах;
- риски, связанные с возможным влиянием на сотрудников с целью совершения ими незаконного или неэтичного деяния. Особое внимание обратите на конфликты интересов.
13. Оцените существующие средства контроля в отношении выявленных рисков. Нужно определить, какие из существующих мер являются достаточными и эффективными и являются ли эти меры уместными в зависимости от степени вероятности и последствий, которые могут возникнуть.
14. Измерьте или оцените уровень каждого идентифицированного риска, основываясь на сочетании вероятности возникновения отдельного риска и тяжести воздействия (ущерба) в случае возникновения (например, с использованием тепловой карты).
15. Определите приоритетность рисков в соответствии с воздействием, которое может оказать их возникновение.
16. Разработайте документ с всесторонней оценкой каждого выявленного риска и его окончательной оценкой (реестр рисков).
17.Разработайте мероприятия по обработке рисков и контролю за ними (план управления рисками) с учетом имеющихся ресурсов (с точки зрения финансов, персонала/кадровых ресурсов и т.д.).
Подготовьте рекомендации по совершенствованию процессов и процедур в зонах риска.
Определите меры по контролю выявленных рисков и предотвращению их повторения включая ответственных лиц и сроки реализации этих мер.
18. Подготовьте план управления рисками и составьте список приоритетных рисков, подлежащих устранению, и мер, которые необходимо принять.
19. Представить план управления рисками с рекомендациями и мерами вышестоящему руководству для утверждения.
20. Создайте итоговый реестр рисков или аналогичный документ, включая: перечень выявленных рисков и факторов, способствующих их возникновению, перечень принятых рекомендаций, меры и приоритеты по управлению рисками, ответственные лица и сроки.
21. Представьте план управления рисками, включая реестр рисков, всем заинтересованным сторонам, чтобы получить от них комментарии, которые могут быть добавлены в реестр рисков.
22. Подготовьте окончательный отчет рабочей группы.
Конечным результатом этого этапа является разработанная система или механизм для постоянного мониторинга, обновления и последующего контроля за реестром рисков и планом управления рисками.
23. Разработайте механизм для вышестоящего руководства, позволяющий постоянно наблюдать за выполнением плана управления рисками.
24. Назначьте сотрудника по комплаенс (если применимо или если он еще не назначен).
25. Информируйте вышестоящее руководство о разработке, проблемах и т.д. относительно плана управления рисками на регулярной основе (желательно готовить такие отчеты каждые три месяца или чаще, если это необходимо)
26. Обновляйте карту рисков и реестр рисков на регулярной основе (рекомендуется обновлять каждые 6 месяцев или чаще, если необходимо).
27. Создайте эффективный механизм коммуникации между сотрудником по комплаенс, руководством и остальными сотрудниками.
Как выявлять риски
Что касается выявления рисков, то решающее значение имеет подробная информация и данные, включая их анализ. В зависимости от размера организация, сектора, проекта, его сложности и задач, можно использовать и комбинировать несколько различных методов работы для сбора соответствующей информации для дальнейшего выявления и раскрытия всех соответствующих рисков.
В большинстве оценок коррупционных рисков для выявления рисков используется комбинация вторичных источников (анализ ключевых документов, кабинетные исследования) и первичных источников (опросы и анкетирование, фокус-группы, интервью с ключевыми лицами, контрольные списки и т.д.).
Вторичные источники часто используются на предварительных этапах, чтобы дать представление о общей обстановке в компании или для определения приоритетных областей риска, а первичные источники используются для более глубокого анализа наиболее важных коррупционных рисков или предполагаемых рисков.
Кроме того, для оценки уровня риска, например, вероятности коррупции обычно требуется некоторая форма экспертного анализа.
Более конкретно, возможными методами сбора соответствующей информации, которые в дальнейшем на основе углубленного анализа облегчат идентификацию рисков, являются следующие методы:
- Сбор и анализ информации, которая уже существует в организации или секторе, с учетом, среди прочего, следующих вопросов:
- Какова текущая ситуация?
- Какие меры контроля, превентивные механизмы или учебные программы существуют?
- Эффективны ли они?
- Соблюдают ли сотрудники эти процедуры и относятся ли к ним серьезно?
- Каков уровень вовлеченности / приверженности начальника или руководства?
Анализ информации, которую можно получить из следующих источников:
- отчеты о внутреннем или внешнем аудите;
- отчеты о внутренних или внешних расследованиях;
- отчеты о проверках и мерах, применяемых к организации и/или ее сотрудникам надзорными органами;
- судебные решения в отношении организации;
- дисциплинарные меры в отношении сотрудников организации;
- отчеты об инцидентах;
- записи о персонале или/и жалобы пользователей (например, книга жалоб) или другие отзывы;
- сообщения средств массовой информации об организации (и ее сотрудниках) или секторе;
Результатом этого этапа является соотнесения полученных данных с существующими механизмами контроля или уже существующими решениями для устранения отдельных рисков.
- Использование опыта и навыков должностных лиц или других сотрудников:
- личные собеседования: следует попросить должностных лиц определить способы, с помощью которых существующие меры контроля могут быть отменены или обойдены;
- опросы и вопросники, включая листы идентификации рисков, обсуждения в фокус-группах.
- Сбор и анализ опыта аналогичных организаций, секторов, проектов или работы, поиск общедоступных отчетов или других доступных источников информации.
- Исследования опыта аналогичных компаний, сектора в регионе присутствия и за его пределами. Это полезно для получения представления о возможном диапазоне коррупционного поведения, указывающем на возможные коррупционные риски и факторы риска.
- Анализ: «Что, если».
- мозговой штурм;
- обсуждения в фокус-группах;
- создание узконаправленных рабочих подгрупп.
Если оценка коррупционных рисков не проводится должным образом и с учетом реалий, она может создать лишь дополнительный слой антикоррупционной бюрократии или служить показухой и, следовательно, усилить цинизм в отношении борьбы с коррупцией, добросовестности и этики.
Фиксация результатов в реестре и карте рисков
Процесс оценки рисков является более важным, чем форма, то есть реестр и карта, которые являются отражением процесса – фиксируют его результат.
Реестр рисков состоит из ряда граф:
- профиль риска;
- наименование риска;
- описание риска;
- факторы (предпосылки риска);
- существующий контроль за риском;
- последствия риска;
- вероятность реализации риска;
- владелец процесса, который может сгенерировать риск;
- меры митигации (смягчения) риска;
- меры мониторинга за риском.
Карта рисков – это графическое отображение рисков. Как правило, карта рисков состоит из трех цветом – красный цвет фиксирует самые опасные риски, желтый - риски среднего уровня, а зеленый - незначительные риски.