Зачем бизнесу оценка коррупционных рисков и как её проводить? Пошаговая инструкция, практические рекомендации и частые ошибки.
Выявление и оценка коррупционных рисков позволяет определить, какие опасные ситуации, в том числе нарушение законодательства, могут возникнуть в результате конкретных деяний или решений сотрудников; а также какие меры нужно предпринять для предотвращения таких нарушений.
Руководители, обладающие дальновидностью, способны предвидеть значение и практическую пользу для бизнеса в упреждающей оценке рисков.
Оценка рисков – это превентивный инструмент, который работает неочевидным образом. Получить показатель значения оценки рисков в цифровом выражении невозможно, поскольку невозможно достоверно подсчитать, сколько предотвращено коррупционных действий, нарушений добросовестности, неэтичного поведения в результате превентивно осуществленной деятельности. Статистика не содержит данных о том, что было предотвращено.
Зачем нужна оценка коррупционных рисков, если все стандартные меры контроля уже внедрены?
Стандартные средства контроля обычно носят общий характер. Однако каждая компания имеет различную операционную среду и, следовательно, может иметь несколько иные коррупционные риски по сравнению с другими компаниями, занимающимися тем же видом работы. Каждая компания должна понимать свой собственный контекст и свои собственные риски, чтобы быть уверенной в том, что стратегии управления коррупционными рисками и средства контроля, которые у нее имеются, являются надлежащими и эффективными.
Кроме того, все организации динамичны и работают в условиях, которые постоянно меняются – иногда незаметным образом. Средства контроля, которые работают в определенный момент времени, со временем могут оказаться не столь эффективными в последующем.
Кроме того, все организации динамичны и работают в условиях, которые постоянно меняются – иногда незаметным образом. Средства контроля, которые работают в определенный момент времени, со временем могут оказаться не столь эффективными в последующем.
4 шага, которые можно предпринять для оценки риска
{$te}
Шаг 2. Оценка факторов риска. Вероятность любого риска зависит от наличия фактора риска – условия, которое увеличивает или уменьшает вероятность возникновения риска. Факторы риска будут связаны с внутренними и внешними обстоятельствами.
К примеру, отсутствие контроля, необученный персонал, задвоение полномочий — это факторы, которые повышают вероятность реализации риска.
Шаг 3. Оценка контроля. На этом этапе нужно оценить эффективность системы контроля, чтобы понять устойчивость отдельных процессов к коррупционным рискам.
Шаг 4. Анализ соотношения . Необходимо оценить соотношение между, с одной стороны, рисками и факторами рисков, а с другой - достаточностью контроля. На этом этапе нужно понять, соблюдается ли баланс между уязвимостью и необходимым контролем.
Обучение после оценки рисков: почему выбираем анимированное видео
Когда компания проводит оценку комплаенс-рисков, на выходе она получает не только список уязвимостей, но и понимание: сотрудники должны знать, как не допускать ошибок. А значит — нужно обучение.
Мы рекомендуем использовать анимированное видео как основной формат обучения. Почему?
🔹 Быстрое восприятие
Видео помогает донести сложные правила и кейсы проще и быстрее, чем текст или презентация.
🔹 Эмоциональное вовлечение
Истории с героями и последствиями вовлекают и запоминаются сильнее, чем сухие инструкции.
🔹 Понимание через визуализацию
Анимация помогает показать, как выглядит риск в реальности: сговор, передача информации, запретные договорённости.
🔹 Изменение поведения
Такой формат формирует не просто знание, а «интуитивный комплаенс» — сотрудники автоматически распознают риски.
📩 Хотите подобрать формат обучения под свои риски? Мы поможем на бесплатной консультации: предложим готовое решение, персонализированный курс или обучение на платформе.
Заявка на бесплатную консультацию - еmail: info@compliance360.ru |
Мы рекомендуем использовать анимированное видео как основной формат обучения. Почему?
🔹 Быстрое восприятие
Видео помогает донести сложные правила и кейсы проще и быстрее, чем текст или презентация.
🔹 Эмоциональное вовлечение
Истории с героями и последствиями вовлекают и запоминаются сильнее, чем сухие инструкции.
🔹 Понимание через визуализацию
Анимация помогает показать, как выглядит риск в реальности: сговор, передача информации, запретные договорённости.
🔹 Изменение поведения
Такой формат формирует не просто знание, а «интуитивный комплаенс» — сотрудники автоматически распознают риски.
📩 Хотите подобрать формат обучения под свои риски? Мы поможем на бесплатной консультации: предложим готовое решение, персонализированный курс или обучение на платформе.
Заявка на бесплатную консультацию - еmail: info@compliance360.ru |
Как ранжировать коррупционные риски.
Включить риски в матрицу можно только после того, как компания распределит их по весу. Вес риска будет зависеть от критерия оценки, который выберет компания. Например, можно распределить риски по частоте ранее зафиксированных коррупционных правонарушений или по размерам штрафов. Чем чаще случалось нарушение, тем выше риск. Или чем меньше штраф, тем ниже риск. Выбирать критерий нужно ориентируясь на количественные показатели, в них будет меньше субъективной оценки.
Критериев оценки уровня риска может быть сколько угодно. Чем их больше, тем эффективнее результат оценки и точнее возможный риск.
Критериев оценки уровня риска может быть сколько угодно. Чем их больше, тем эффективнее результат оценки и точнее возможный риск.
Критериев оценки уровня риска может быть сколько угодно. Чем их больше, тем эффективнее результат оценки и точнее возможный риск.
Как подготовиться к оценке рисков
Рамочная методология состоит из 5 этапов, в общей сложности 27 шагов. Однако эти шаги не являются ни исключительными, ни абсолютными, а систематизированы таким образом, что методология может быть легко адаптирована, расширена или изменена применительно к конкретной процедуре оценки коррупционных рисков.
Этап 1. Подготовка к идентификации рисков
1. Получите поддержку руководства высшего звена для оценки коррупционных рисков, включая:
- приверженность к инвестированию соответствующего времени и ресурсов;
- приверженность к личному участию вышестоящего руководства;
- приверженность к общению на высшем уровне с соответствующими внутренними заинтересованными сторонами.
2. Назначьте руководителя проекта и членов рабочей группы, которая будет проводить оценку коррупционных рисков.
Все отделы организации должны быть надлежащим образом и пропорционально представлены в рабочей группе.
Все отделы организации должны быть надлежащим образом и пропорционально представлены в рабочей группе.
Необходимо добиться, чтобы были подвергнуты оценке реальные, а не теоретические риски.
3. Определите обязанности рабочей группы и порядок подчинения, а также сферу охвата оценки.
5. Подготовьте план методологической работы, включая шаблоны планируемых оценочных документов, к примеру реестр рисков, опросники. Установите временные рамки для отдельных мероприятий и подготовьте график проведения оценки.
Доведите план работы и временные рамки до сведения руководства, сотрудников или других заинтересованных сторон
Запланируйте совещания или другие мероприятия по сбору информации
6. Сформулируйте и доведите инструкции до сведения тех, кто вносит свой вклад в процесс оценки рисков. Инструкции могут предусматривать:
- объяснение целей и характера оценки коррупционных рисков;
- подробную информацию о задачах, которые предстоит выполнить;
- пояснения к заполняемым шаблонам;
- информацию о совещаниях и сессиях по оценке коррупционных рисков.
Этап 2: Идентификация и анализ рисков
Результатом этого этапа должен стать перечень выявленных рисков и оценка того, какие факторы риска находятся под контролем, а какие нет и должны впоследствии подвергаться управлению рисками.
7. Соберите и проведите анализ всех существующих внутренних и внешних документов и данных, которые относятся к оценке коррупционных рисков. Проведите совещания или другие мероприятия по сбору информации, направленные на выявление рисков.
8. Подробно рассмотрите следующие вопросы: какие нежелательные события, где, когда, почему и как могут произойти; какие меры необходимо предпринять для их предотвращения.
9. Основываясь на результатах предыдущих шагов, составьте вариационный ряд-карту тем и областей, подлежащих оценке с точки зрения их уязвимости к коррупции, нарушениям добросовестности или другому неэтичному поведению.
Обратите особое внимание на:
- чувствительные процессы;
- чувствительные функции.
10. Выявляйте и учитывайте все группы факторов риска в каждой области:
- внешние или системные факторы риска;
- институциональные (организационные) факторы и условия;
- индивидуальные факторы (персонал).
11. Рассмотрите соответствующие группы/типы рисков, которые могут быть вызваны/облегчены выявленными факторами риска. Обратите особое внимание на следующие риски:
- риск взяточничества;
- риск злоупотребления властью или служебным положением в личных интересах;
- риск злоупотребления ресурсами в личных интересах;
- риски, связанные с возможным влиянием на сотрудников с целью совершения ими незаконного или неэтичного деяния. Особое внимание обратите на конфликты интересов.
12. Определить риски, которыми необходимо управлять (на основе мероприятий и выводов, сделанных на предыдущих этапах).
13. Оцените существующие средства контроля в отношении выявленных рисков. Нужно определить, какие из существующих мер являются достаточными и эффективными и являются ли эти меры уместными в зависимости от степени вероятности и последствий, которые могут возникнуть.
14. Измерьте или оцените уровень каждого идентифицированного риска, основываясь на сочетании вероятности возникновения отдельного риска и тяжести воздействия (ущерба) в случае возникновения (например, с использованием тепловой карты).
15. Определите приоритетность рисков в соответствии с воздействием, которое может оказать их возникновение.
16. Разработайте документ с всесторонней оценкой каждого выявленного риска и его окончательной оценкой (реестр рисков).
17. Разработайте мероприятия по обработке рисков и контролю за ними (план управления рисками) с учетом имеющихся ресурсов (с точки зрения финансов, персонала/кадровых ресурсов и т.д.).
Подготовьте рекомендации по совершенствованию процессов и процедур в зонах риска.
Определите меры по контролю выявленных рисков и предотвращению их повторения включая ответственных лиц и сроки реализации этих мер.
18. Подготовьте план управления рисками и составьте список приоритетных рисков, подлежащих устранению, и мер, которые необходимо принять.
19. Предоставьте план управления рисками с рекомендациями и мерами вышестоящему руководству для утверждения.
20. Создайте итоговый реестр рисков или аналогичный документ, включая: перечень выявленных рисков и факторов, способствующих их возникновению, перечень принятых рекомендаций, меры и приоритеты по управлению рисками, ответственные лица и сроки.
21. Представьте план управления рисками, включая реестр рисков, всем заинтересованным сторонам, чтобы получить от них комментарии, которые могут быть добавлены в реестр рисков.
22. Подготовьте окончательный отчет рабочей группы.
23. Разработайте механизм для вышестоящего руководства, позволяющий постоянно наблюдать за выполнением плана управления рисками.
24. Назначьте сотрудника по комплаенс (если эта мера применима или если он еще не назначен).
25. Информируйте вышестоящее руководство о разработке, проблемах и т.д. относительно плана управления рисками на регулярной основе (желательно готовить такие отчеты каждые три месяца или чаще, если это необходимо).
26. Обновляйте карту рисков и реестр рисков на регулярной основе (рекомендуется обновлять каждые 6 месяцев или чаще, если необходимо).
27. Создайте эффективный механизм коммуникации между сотрудником по комплаенс, руководством и остальными сотрудниками.
24. Назначьте сотрудника по комплаенс (если эта мера применима или если он еще не назначен).
25. Информируйте вышестоящее руководство о разработке, проблемах и т.д. относительно плана управления рисками на регулярной основе (желательно готовить такие отчеты каждые три месяца или чаще, если это необходимо).
26. Обновляйте карту рисков и реестр рисков на регулярной основе (рекомендуется обновлять каждые 6 месяцев или чаще, если необходимо).
27. Создайте эффективный механизм коммуникации между сотрудником по комплаенс, руководством и остальными сотрудниками.
Как выявлять риски
Что касается выявления рисков, то решающее значение имеет сбор подробной производственной информации и других необходимых данных, с последующим их анализированием. В зависимости от размера организации, сектора, проекта, а также степени их сложности и задач, можно использовать и комбинировать несколько различных методов работы для сбора соответствующей информации для дальнейшего выявления и раскрытия всех соответствующих рисков.
В большинстве оценок коррупционных рисков для выявления рисков используется комбинация вторичных источников (анализ ключевых документов, кабинетные исследования) и первичных источников (опросы и анкетирование, фокус-группы, интервью с ключевыми лицами, контрольные списки и т.д.).
Вторичные источники часто используются на предварительных этапах, чтобы дать представление о общей обстановке в компании или для определения приоритетных областей риска, а первичные источники используются для более глубокого анализа наиболее важных коррупционных рисков или предполагаемых рисков.
Кроме того, для оценки уровня риска, например, вероятности коррупции, обычно требуется некоторая форма экспертного анализа.
Возможными методами сбора соответствующей информации, которая в дальнейшем на основе углубленного анализа облегчит идентификацию рисков, являются следующие методы:
1. Сбор и анализ информации, которая уже существует в организации или секторе, с учетом, среди прочего, следующих вопросов:
- Какова текущая ситуация?
- Какие меры контроля, превентивные механизмы или учебные программы существуют?
- Эффективны ли они?
- Соблюдают ли сотрудники эти процедуры и относятся ли к ним серьезно?
- Каков уровень вовлеченности / приверженности начальника или руководства?
Анализ информации, которую можно получить из следующих источников:
- отчеты о внутреннем или внешнем аудите;
- отчеты о внутренних или внешних расследованиях;
- отчеты о проверках и мерах, применяемых к организации и/или ее сотрудникам надзорными органами;
- судебные решения в отношении организации;
- дисциплинарные меры в отношении сотрудников организации;
- отчеты об инцидентах;
- записи о персонале или/и жалобы пользователей (например, книга жалоб) или другие отзывы;
- сообщения средств массовой информации об организации (и ее сотрудниках) или секторе;
Результатом этого этапа является соотнесение полученных данных с существующими механизмами контроля или уже существующими решениями для устранения отдельных рисков.
2. Использование опыта и навыков должностных лиц или других сотрудников:
- личные собеседования: следует попросить должностных лиц определить способы, с помощью которых существующие меры контроля могут быть отменены или обойдены;
- опросы и вопросники, включая листы идентификации рисков, обсуждения в фокус-группах.
3. Изучение чужого опыта. Сбор и анализ опыта аналогичных организаций, секторов, проектов или работы, поиск общедоступных отчетов или других доступных источников информации.
Исследования опыта аналогичных компаний, сектора в регионе присутствия и за его пределами. Это полезно для получения представления о возможном диапазоне коррупционного поведения, указывающем на возможные коррупционные риски и факторы риска.
4. Анализ: «Что, если».
Метод обсуждения гипотетических сценариев реагирования в случае возникновения определенного коррупционного риска:
Метод обсуждения гипотетических сценариев реагирования в случае возникновения определенного коррупционного риска:
- мозговой штурм;
- обсуждения в фокус-группах;
- создание узконаправленных рабочих подгрупп.
Если оценка коррупционных рисков не проводится должным образом и с учетом реалий, она может создать лишь дополнительный слой антикоррупционной бюрократии или служить показухой и, следовательно, усилить цинизм в отношении борьбы с коррупцией, добросовестности и этики.
Фиксация результатов в реестре и карте рисков
Процесс оценки рисков является более важным, чем форма, то есть реестр и карта, которые являются отражением процесса – фиксируют его результат.
Реестр рисков состоит из ряда граф:
Карта рисков – это графическое отображение рисков. Как правило, карта рисков состоит из трех цветов – красный цвет фиксирует самые опасные риски, желтый - риски среднего уровня, а зеленый - незначительные риски.
Реестр рисков состоит из ряда граф:
- профиль риска;
- наименование риска;
- описание риска;
- факторы (предпосылки риска);
- существующий контроль за риском;
- последствия риска;
- вероятность реализации риска;
- владелец процесса, который может сгенерировать риск;
- меры митигации (смягчения) риска;
- меры мониторинга за риском.
Карта рисков – это графическое отображение рисков. Как правило, карта рисков состоит из трех цветов – красный цвет фиксирует самые опасные риски, желтый - риски среднего уровня, а зеленый - незначительные риски.
