Что такое комплаенс-риски

Сотрудники компании и даже ее руководители могут случайно нарушить нормы законодательства, отраслевые стандарты, корпоративную этику. Результатом нарушений являются санкции, причем иногда компании теряют не только деньги, но и партнеров, клиентов. Важно контролировать и управлять регуляторными рисками.

Почему возникают комплаенс-риски

Регуляторный риск, или комплаенс-риск, – ситуация, когда у компании могут возникнуть потери из-за нарушения норм законодательства. Риски есть у всех предприятий. Однако почему же в некоторых фирмах постоянно появляются штрафы, а другим компаниям удается сохранить идеальную репутацию?

Комплаенс-риски возникают по нескольким причинам:

• в компании не следят за законодательством. В налоговом, антимонопольном и антикоррупционном законодательстве регулярно появляются новые правила. Компания обязана их соблюдать, даже если не знает об их существовании. Но если на предприятии не следят за изменениями, то могут произойти непреднамеренные нарушения;
• в компании нет системы внутреннего контроля или она недостаточно развита. Система внутреннего контроля предполагает разумное использование ресурсов, выявление и предотвращение финансовых нарушений, проверку контрагентов;
• сотрудники нарушают законодательство, потому что не знают, какие именно их действия являются нарушением. Это происходит, потому что в компании нет системы обучения – должностным обязанностям или корпоративной этике;
• работники недостаточно дисциплинированны и исполнительны. Они нарушают законы сознательно, не понимая важности их соблюдения;
• сотрудники нарушают законы ради получения личных выгод.

Если закон был нарушен, сознательно или случайно, предприятие ждут последствия. Компании грозит штраф от налоговой службы, антимонопольной службы, Роспотребнадзора, Ростехнадзора и иных контролирующих органов. Любые штрафы являются лишней статьей расходов, то есть компания теряет еще и прибыль. Помимо денежных потерь, страдает ее репутация. Например, инвесторы могут перестать вкладываться, партнеры откажутся от совместных проектов, а клиенты уйдут к конкурентам. Среди других распространенных неприятных последствий – требование кредиторов досрочно погасить долг, отзыв лицензии, отзыв аккредитации.

Зачем компании нужен комплаенс

Комплаенс-направление – это приведение бизнеса в соответствии с требованиями закона. В компанию внедряются мероприятия, осуществляются превентивные меры, позволяющие ей работать в правовом поле.

Комплаенс-направление в России пока еще слабо развито. По большей части комплаенс применяется в контексте банковской сферы, но в последние годы даже в коммерческих и торговых организациях появляются специалисты и отделы, отвечающие за соблюдение правовых норм.

Предприятия внедряют комплаенс-мероприятия, потому что с каждым годом растет частота проверок малого и среднего бизнеса. Компаниям комплаенс стал необходим для подготовки к проверкам, а также для получения своеобразной индульгенции. Некоторые проверяющие органы, например налоговая служба, более лояльны к тем предприятиям, где есть комплаенс-отдел. Наличие службы контроля за соблюдением законодательства может спасти бизнес от штрафов: в случае некоторых нарушений компании вместо штрафа выписываются лишь рекомендации по устранению нарушений.

Если компания работает с иностранными партнерами, комплаенс-служба необходима ей для завоевания доверия зарубежных контрагентов. Во многих странах комплаенс является стандартным явлением, поэтому его отсутствие у российского партнера будет восприниматься негативно.

Внедрить комплаенс в свой бизнес можно ради получения преимуществ:

• контролирующие и надзорные органы, зная, что фирма самостоятельно проверяет свои действия на соответствие законам, уделяют ей меньше внимания. Проверки становятся более редкими и не такими строгими;
• бизнес сам себя защищает от хищений, взяток, мошенничества;
• благодаря тому, что бизнес прозрачен, возрастает доверие партнеров и клиентов. Компания становится более востребованной;
• эффективность и управляемость бизнеса повышаются.

Всё это приводит к главному преимуществу: повышается чистая прибыль и маржинальность продукции.

Создание комплаенс-системы: подготовительные документы

Есть нормы и правила, на которые нужно ориентироваться, создавая в своей компании комплаенс-отдел. Причем документация, в которой прописаны правила, отличается. Например, коммерческим предприятиям стоит ориентироваться на:

• закон о защите конкуренции;
• статью Федерального закона, посвященную противодействию коррупции;
• Кодекс административных правонарушений и отдельные статьи о конкуренции и коррупции;
• статьи Уголовного кодекса, посвященные подкупам, взяткам, мошенничеству.

А для банков и кредитных организаций ориентиром при создании комплаенс-системы являются такие документы:

• положение, утвержденное Банком России. В Положении прописаны правила организации внутреннего контроля;
• доклад Базельского комитета по банковскому надзору.

Разновидности комплаенс-рисков

Риски можно разделить на группы, взяв за основу вид незаконной деятельности и последствия для фирмы.

Самый распространенный вид рисков – операционные или регламентные. Они возникают из-за ошибок работников, технических сбоев, непродуманных внутренних правил. Операционные риски могут привести к конфликтным ситуациям с клиентами и партнерами. Из-за конфликтов компания может потерять клиентов и их доверие, а также понести мелкие убытки. Операционные риски возникают по вине сотрудников, то есть необходимо штрафовать их, делать выговоры или понижать в должности. Но дисциплинарные взыскания приводят к потере мотивации сотрудников, а в перспективе – к росту текучести кадров. На практике операционные риски могут выглядеть так:

• руководители подразделений и команд превышают свои полномочия;
• сотрудники игнорируют регламенты общения с клиентами;
• корпоративная информация становится доступна третьим лицам.

Юридические или правовые риски – это несоблюдение законов РФ, то есть мошенничество, взяточничество, нарушение техники безопасности. Из-за несоблюдения законов на предприятии случаются травмы сотрудников, финансовые потери. Усиливается внимание к компании со стороны проверяющих органов, из-за чего могут возникать убытки – штрафы и санкции. В особо тяжелых случаях имущество фирмы подвергается аресту, а сама компания может лишиться лицензии.

Кроме того, у компании есть риски потерять деньги из-за мошенничества со стороны партнеров, сотрудников и клиентов. Например, сотрудники могут искажать отчетность, из-за чего появляется ошибка в расходах и компания платит лишние деньги. В худшем случае сотрудники намеренно составляют отчетность неправильно, чтобы присвоить себе активы компании. Всё это приводит к убыткам, к сокращению прибыли.

Последняя разновидность рисков – репутационные, возникающие вследствие неэтичного поведения руководства или сотрудников фирмы. Работники нарушают стандарты отрасли, нечестно конкурируют, игнорируют нормы деловой этики. Нарушение норм поведения становится достоянием общественности. Например, клиент может рассказать в соцсетях об обмане со стороны продавца, СМИ могут напечатать историю махинаций. Деловая репутация компания теряется, доверие к бренду со стороны контрагентов падает. В итоге доля рынка снижается, продажи сокращаются, а выручка уменьшается.

Зачастую риск невозможно идентифицировать однозначно. Например, сотрудник целенаправленно подделывает отчетность, чтобы присвоить себе доходы компании. Фирма несет финансовые риски. Но если об обмане сотрудника узнают СМИ или партнеры, то информация распространится повсюду и компания понесет репутационные риски. Последствия разных видов рисков связаны друг с другом.

Уровни комплаенс-рисков

Сегментировать риски необходимо не только по их типу, по источнику возникновения, но и по величине. Чем сильнее последствия от нарушения правил, тем выше уровень. На самом низком уровне находятся риски, которые с наименьшей вероятностью ударят по компании в течение года. Но даже если это и произойдет, то ущербом от реализации станет незначительное падение дохода, увеличение расходов.

Если есть вероятность реализации риска, то его стоит причислить к категории средних. Снижение дохода или рост расходов более значительны. Они происходят из-за падения спроса или потери рынков сбыта.

К высокому уровню можно отнести риски, для реализации которых уже есть предпосылки или которые не раз происходили в прошлом. Из-за таких рисков доходы падают существенно, вплоть до полного сокращения. К рискам высокого уровня можно отнести репутационные потери, нарушение законодательства. Право на ведение бизнеса изымается, а руководство несет уголовную ответственность за нарушения.

Как управлять комплаенс-рисками

Управлять рисками необходимо системно. Налаженная система комплаенса помогает не просто бороться с последствия риска, но и превентивно не допускать возникновения проблем. Система комплаенса разрабатывается таким образом, чтобы достигнуть целей:

• привести бизнес в то состояние, когда он соответствует требованиям законодательства;
• минимизировать риски штрафов, санкций и других наказаний;
• сократить влияние комплаенс-рисков на финансы компании, то есть сделать так, чтобы даже при ошибках или случайных нарушениях компания не теряла деньги;
• сформировать такую корпоративную культуру, при которой сотрудники были бы заинтересованы в соблюдении правил и сами бы стремились поддерживать дисциплину.

Существует несколько базовых принципов, которым должна соответствовать система комплаенс:

• управляющее звено организации несет ответственность за защиту от рисков и за координацию мероприятий наравне с комплаенс-отделом;
• у отдела комплаенс должно быть достаточно полномочий для работы. Ведь нередко у отдела появляется препятствие в виде руководства фирмы. Деятельность службы мешает руководителям достигать бизнес-целей. Например, перед руководителем стоит цель нарастить клиентскую базу или диверсифицировать закупки. А служба комплаенса проверяет новых клиентов и поставщиков и отсекает самых ненадежных, тем самым замедляя наращивание базы.

Чтобы построить систему комплаенса, руководителю нужно сформировать алгоритм реакции на возникновение проблем. Важно реагировать на ситуацию сразу же, как только нарушаются внутренние регламенты или закон. Например, чтобы не допустить махинаций с отчетностью, нужно выстроить систему проверки отчетов; каждая цифра или статья расходов должна подтверждаться несколькими документами. Как только отмечается расхождение в отчете и другой документации, к проверке подключается руководитель.

Вторая составляющая системы комплаенса – четкие и понятные инструкции для персонала, чтобы сотрудники не могли нарушить закон случайно. Четкие инструкции помогут работникам вовремя распознать угрозу и выбрать правильную линию поведения. Например, в магазин приходит конфликтный клиент. Если у продавца нет инструкций по общению со сложными покупателями, он неправильно отреагирует на нападки клиента. Случится конфликт, результатом которого может стать потеря репутации, если клиент расскажет об агрессивном продавце в соцсетях. Но, если у сотрудника будет скрипт по работе со сложными покупателями, он не допустит развития конфликта.

Есть алгоритм создания системы комплаенс-контроля:

1. Сформировать отдел или выбрать сотрудника, ответственного за управление рисками.
2. Проанализировать бизнес-процессы и документацию. Нужно проверить, соответствуют ли они законодательству. Если есть расхождения, они устраняются.
3. Разработать принципы и критерии оценки рисков, чтобы вовремя предсказывать вероятность получения штрафов, санкций, потерь репутации.
4. Разработать политику комплаенса. Нужно задокументировать правила и обязанности сотрудников комплаенс-отдела, в соответствии с которыми они будут действовать.
5. В течение ближайших месяцев внедрить процедуры оценки рисков и проверки документации, других сотрудников.
6. Обучать персонал, проверять их знания, чтобы быть уверенными, что в проблемной ситуации они поведут себя правильно.

Определение критериев оценки рисков

Самый сложный этап – определение критериев оценок рисков. Вот на что можно ориентироваться, чтобы распознать опасную ситуацию:

• регулярные, подозрительно частые поломки и сбои электронных систем. Следует обращать внимание на сбои и поломки, если они стали происходить чаще, чем раньше;
• информация о сделках, которая была не отправлена в налоговую. Если данные о сделке не были внесены в отчет, необходимо проверить, нет ли в сделке чего-то подозрительного;
• обращения клиентов, жалобы. Важно отрабатывать негатив клиентов, отвечать на каждую жалобу, даже мелкую. Но также необходимо подсчитывать количество жалоб за период и сравнивать с прошлыми периодами. Увеличение числа обращений – повод забеспокоиться;
• снижение профессионального уровня сотрудников. Чтобы выявить уровень знаний и навыков, необходимо регулярно проводить тестирования.

Разработка внутренней документации

Чтобы комплаенс-система нормально функционировала, правила работы, критерии оценки, функционал сотрудников прописываются во внутренней документации. В компании должны быть такие документы:

• общая политика комплаенса. Это главный документ, который разрабатывается и подписывается руководителем компании. Политика комплаенса формируется на основе действующего законодательства РФ, но также стоит учесть лучшие проверенные бизнес-практики, международные нормативы;
• политика сообщения о нарушениях. Если кто-то из сотрудников узнал о нарушении, он обязан сообщить об этом. Но иногда сотрудник сам подвергается риску после своего доноса. Например, коллега-нарушитель может ему мстить, коллектив может отвернуться от «ябеды». Поэтому в компании должен быть разработан безопасный способ сообщить о нарушении анонимно;
• правила корпоративного поведения;
• стандарты корпоративной этики. Это достаточно общий документ, затрагивающий все направления деятельности компании. В документе описываются морально-этические принципы, которых рекомендуется придерживаться всем сотрудникам фирмы, обязанности сотрудников, приоритеты предприятия;
• политика принятия и дарения подарков. Этот документ разграничивает понятия «подарков» и «взяток», то есть обозначает красную линию, после которой действия сотрудника, принимающего презент от третьего лица, квалифицируются как принятие взятки или отката. Этот документ – необязателен. Во многих компаниях в принципе невозможно получение кем-то из сотрудников подарков от клиентов или партнеров. Но в то же время есть отрасли, территориальные рынки, где дарение подарков является стандартной практикой. Например, при взаимодействии с партнерами, инвесторами из восточного зарубежья обмен подарками является стандартной практикой, а значит, документ необходим;
• политика покупки ценных бумаг. Если сотрудникам доступна покупка ценных бумаг, они могут использовать свою причастность к внутренней информации для более выгодной покупки. Значит, важно ограничить эту возможность. Например, можно ограничить покупку бумаг компаний-партнеров, можно запретить «короткие» продажи или внедрить более строгую систему согласования операций.

Функционал и обязанности отдела управления рисками

Система комплаенс-контроля может быть выстроена в компаниях по-разному. Чем крупнее предприятие, тем сложнее будет контролировать работу всех подразделений, а значит, тем больше сотрудников будет вовлечено в комплаенс-контроль. На маленьком предприятии комплаенс-функционал можно передать одному из сотрудников, например специально нанятому комплаенс-менеджеру. В крупной компании могут быть:

• юридический отдел;
• отдел экономической безопасности;
• служба внутреннего контроля;
• служба безопасности;
• отдел комплаенс-контроля, который будет собирать и обрабатывать информацию, поступающую из всех вышеназванных подразделений.

Важно наделить специалиста по работе с рисками высоким статусом. Во внутренней иерархии он должен находиться на уровне топ-менеджера. Ведь ответственность руководителя комплаенс-отдела высока.

Подразделение займется проведением мероприятий по безопасности компании:

• контроль бизнес-процессов, чтобы они соответствовали законодательству;
• поиск и оценка рисков;
• контроль за соблюдением компанией законодательства, касающегося справедливой конкуренции;
• недопущение ситуаций, когда компания явно или непреднамеренно спонсирует терроризм;
• выполнение требований антикоррупционного законодательства;
• работа с надзорными органами, чтобы деятельность компании была для них прозрачной;
• работа с иностранными поставщиками и партнерами, если компания или контрагенты облагаются санкциями;
• расследование преступлений внутри фирмы;
• инструктаж сотрудников, проверка знаний по предотвращению рисков или по правильному поведению в опасной ситуации;
• изучение законодательства, чтобы вовремя заметить изменения, например новые законы или поправки к ним.

Как снизить риски

Задача отдела по работе с комплаенс-рисками – минимизировать не только последствия, но и количество рисков. Работа по минимизации рисков ведется так.

Сперва риски анализируются. Специалисты изучают бизнес-процессы, чтобы выявить в них места, потенциально способные стать рисками. Например, важный бизнес-процесс в отделе бухгалтерии – формирование отчетности о доходах и расходах, о распределении финансов. Но он же может стать источником риска, так как сотрудники могут внести в отчеты неверные данные. Значит, необходимо продумать меры защиты от финансовых рисков и систему контроля за отчетностью.

Затем составляются карты комплаенс-рисков. Карта – это графическое изображение всей деятельности компании. Для удобства карту можно разделить по секторам, чтобы каждый сектор обозначал одно из направлений работы, например производство, сбыт, бухгалтерию. В каждом секторе обозначаются риски, причем метки могут различаться в зависимости от величины риска. Карта покажет, какие направления работы могут принести компании больше всего потерь.

Риски нужно оценить по последствиям для компании. Чем больше последствий принесет риск, тем больше ресурсов можно вложить в мероприятия по нивелированию опасности. Оценивать риски необходимо регулярно, ведь могут не только меняться имеющиеся риски, но и появляться новые.

Только после оценки можно разрабатывать способы снижения рисков. Мероприятия по митигации необходимо проводить комплексно и регулярно. Поэтому оптимально планировать мероприятия не менее чем на год. Какими могут быть меры снижения рисков? Например, риски в работе сотрудников можно сократить таким образом:

• распределить обязанности так, чтобы любые серьезные решения принимались коллегиально, а в работе с финансами было задействовано несколько сотрудников. Это предотвратит взяточничество и превышение полномочий;
• ограничить доступ сотрудников к информации, которая непосредственно не требуется им в работе. Это спасет от присвоения себе активов компании или продажи информации конкурентам. Ведь, если сотрудник не будет знать о полном объеме выручки, о контактных данных клиентов, он не сможет подделать документацию или распространить информацию;
• дать право принимать решения тому сотруднику, у которого от решения зависит премия. Тогда у работника будет мотивация принять решение, выгодное в первую очередь для компании.

Мероприятия по минимизации рисков периодически можно перепроверять и корректировать.

Заключение

Штрафы и санкции, лишения лицензий и уголовная ответственность – последствия, которые ждут компанию и ее руководство в случае несоблюдения законов и отраслевых норм. Однако законодательство очень обширно, оно охватывает все направления деятельности фирмы. И уследить за соблюдением всех норм невозможно без помощи специально выделенного сотрудника или подразделения. Так в компаниях появляется необходимость в службе комплаенс.

Чтобы подразделение работало эффективно, важно дать сотрудникам достаточно полномочий, проанализировать бизнес-процессы на наличие рисков и последствий от них и составить план мероприятий по предотвращению и снижению рисков. Но не менее важна поддержка от руководства и помощь в координации работы комплаенс-службы и остальных подразделений.