Доступным языком комплаенс — это выполнение требований. Цель комплаенса состоит в том, чтобы снизить вероятность убытков у бизнеса, которые могут возникнуть из-за:
несоблюдения законодательства;
несоблюдения корпоративных правил;
отсутствия корпоративных правил.
Для того, чтобы комплаенс достигал своих целей, у него есть целый ряд методик, которые указаны в стандарте по комплаенс ISO 37301.
Таким образом, комплаенс должен бороться с тремя причинами, из-за которых у бизнеса могут возникнуть убытки. Давайте разберем каждую причину.
Риск несоблюдения законодательства
Чтобы компания не нарушала законы, она, с точки зрения комплаенс, должна организовать такой процесс управления, который позволяет определить:
какие законы нужно соблюдать;
как эти законы компания может нарушить;
что нужно делать, чтобы нарушений не произошло.
Рассмотрим, как работает схема на примере персональных данных. Например, компания должна соблюдать законодательство в области персональных данных - ФЗ «О персональных данных» от 27.07.2006 № 152-ФЗ. Чтобы внедрять комплаенс, необходимо заранее понять, как компания может нарушить законодательство в этой сфере, а затем принять меры, чтобы нарушений не произошло.
Возникает вопрос, как понять заранее, какие нарушения может допустить компания в области персональных данных? Для этого необходимо провести идентификацию рисков. Например, можно провести анализ судебной практики, которая позволит выявить нарушения других компаний, а затем предположить, что нужно сделать, чтобы не повторить чужие нарушения.
1 этап - Анализ судебной практики
На этом этапе происходит поиск судебной практики и нарушений, которые допустили другие компании в области персональных данных.
Пример 1. В компании создали базу данных, в которой содержались персональные данные сотрудников. Из-за неосторожных действий одного сотрудника при отправке электронного письма произошла утечка персональных данных. Источник: Постановление Мирового судьи судебного участка № 456 Даниловского района г. Москвы по делу №05-0470/456/2023
Пример 2. Сотрудник выбросил документы с персональными данными в общедоступный мусор. Блогер опубликовал фотографии мусора с коробками анкет с персональными данными клиентов банка. Выяснилось, что руководитель подразделения банка не выполнял требования по хранению, уничтожению документов, содержащих персональные данные клиентов, что позволило иным сотрудникам банка беспрепятственно получить доступ к банковским документам и выбросить их в мусорный контейнер Источник: Определение Московского городского суда от 16 февраля 2017 г. по делу № 33-2761/2017).
2 этап – Принятие мер для минимизации рисков.
После того, как собраны нарушения других компаний, необходимо провести анализ, чтобы определить статус своих бизнес-процессов и убедиться в том, что принимаются меры, которые исключают вероятность повторения чужих ошибок при работе с персональными данными. Допустим, Вы решите, что нужно провести обучение, разработать процедуры по обращению с персональными данными.
Результаты своей работы по минимизации рисков, необходимо зафиксировать. Сделать это можно в реестре рисков.
Реестр рисков
Риск отсутствия корпоративных правил
Некоторые риски могут реализоваться из-за того, что в компании отсутствуют корпоративные правила для предотвращения нарушений.
Например, сотрудник дарит госслужащему подарок в виде бутылки коньяка. Но подарок признают взяткой. В результате компанию привлекают к административной ответственности по статье 19.28 КоАП в виде штрафа в размере 500 тыс. руб., а также запрещают участвовать в государственных торгах сроком на 2 года на основании п.7.1. ст.31 44-ФЗ. Источник: постановление Новгородского областного суда 04.10.2018 № 44А-249/2018.
Таким образом, отсутствие корпоративных правил по приему и дарению подарков, непонимание сотрудниками правил законного дарения подарков привели к реализации комплаенс-риска, а именно возникновению убытков.
Если бы в компании были разработаны необходимые правила, сотрудники проходили обучение по правилам дарения и приема подарков, то вероятность реализации риска снизилась бы.
Комплаенс должен бороться с риском несоблюдения корпоративных правил.
Возможны случаи, когда в компании разработаны корпоративные правила, но они из-за различных причин - необученность сотрудников или отсутствия мониторинга, не соблюдаются сотрудниками.
Пример. Несоблюдение сотрудниками политики по деловой коммуникации может привести к картельным рискам. Так, в ходе проверки ФАС была обнаружена электронная переписка сотрудников в «Skype», которая выступила доказательством картеля. Источник: Решение ФАСпо делу № 1-00-42/00-22-16.
Разработка контрольных процедур, проведение обучения сотрудников повысит осознанность сотрудников, сформирует у них желание ориентироваться на долгосрочные позитивные результаты, а не на сиюминутную выгоду, которая может привести к тяжелым последствиям.
4-х этапный сценарий минимизации рисков
Таким образом, суть комплаенса сводится к цикличному выполнению 4-х действий.
Действие 1 – Идентифицировать риск. Необходимо определить основные риски, связанные с законами, с которыми сталкивается Ваша компания.
Действие 2 - Оценить риски. Необходимо понять, насколько серьезными являются идентифицированные риски. Проще всего риск можно оценить как низкий, средний или высокий.
Причем градация рисков будет для разных компаний разная, а точкой отсчета будет риск-аппетит конкретного бизнеса. Например, многие банки идут на нарушение законодательства в сфере рекламы. Можем предположить, что штраф в размере 500 тыс. руб. вполне допустим в рамках их риск-аппетита, но такой же штраф может быть уже не допустим для небольшой компании. В результате убыток на одинаковую сумму для одной компании будет высоким риском, а для другой низким.
Действие 3 – Снизить риски. Необходимо разработать и применять политики и процедуры для предотвращения возникновения выявленных Вами рисков, проводить обучение сотрудников, развивать корпоративную культуру.
Действие 4 – Анализировать действия 1-3 на регулярной основе. Например, могут возникнуть случаи, когда какой-то риск реализуется, поэтому необходимо провести проверку для установки причин реализации риска и их последующего устранения.
Вывод
В статье разобрали, что комплаенс — этокомплекс мероприятий, которые указаны в стандарте ISO 37301.
Приверженность соблюдению положений комплаенса – залог эффективности ведения бизнеса и достижения лучшего результата.