Читать книгу Комплаенс. Культура, люди, процессы, технологии. По пути к совершенной системе - Вячеслав Николаевич Егоров, Евгений Петрович Пашков, Регина Владимировна Родякина - Страница 5

Если мы начинаем что-то развивать (в нашем случае – комплаенс-культуру), мы должны изначально заложить возможность относительно объективно оценить эффект от наших трудов, а также наметить границы соответствующей системы.

Мы должны очертить элементы, области, риски, на которые будут направлены наши усилия.

Я никак не могу забыть ситуацию, когда только устроился на новую работу и пришел обедать в корпоративную столовую. В то время организация только недавно заявила сотрудникам о том, что намерена построить сильную комплаенс-культуру, но что это такое никто из работников толком еще не знал.

Так вот, взяв поднос с едой и удобно устроившись за свободным столом, я с удивлением заметил, как из неоткуда напротив меня материализовался усатый мужчина и принялся пристально смотреть на меня. «Безопасник» – подумал я. Подумал и не ошибся.

«Ты же из комплаенса? Так вот, у меня есть видеозапись, как двое работников занимаются этим самым прямо на сервере на техническом этаже. Прислать?» – прозвучало негромко.

Сперва я опешил, но быстро собрался с мыслями.

Ответ на мой вопрос «Зачем?» был следующим: «Это какое-то нарушение. Ты же из комплаенса – вот и разберись!».

Это хорошая иллюстрация для случая, когда работник не понимает суть ситуации, присутствующего в ней риска, не знает, какое подразделение за какой риск отвечает. Если вывести эту проблему на уровень организации, мы потенциально получим ситуацию, когда отдельные подразделения будут дублировать работу друг друга, а ряд серьезных рисков при этом «западет» между областями внимания контрольных функций.

Поэтому определение контрольной среды, границ контроля разных подразделений, непрерывный процесс мониторинга и идентификации риска – это не просто хороший тон или норма ISO 3730110, но и жизненная необходимость в ситуации, когда вы решили заняться развитием комплаенс-культуры на уровне с иными стратегическими целями организации.

Правильными инструментами для определения границ ответственности, а также для задания направления развития и последующей оценки состояния комплаенса будут:

– положение о структурном подразделении;

– создание комплаенс-стратегии;

– создание общей карты рисков организации;

– внедрение практики регулярной самооценки зрелости комплаенс-функции.

Создать положение о структурном подразделении позволит проведение первичного анализа контрольной среды организации. В рамках него будут выявлены комплаенс-риски, которые закрепит за собой соответствующая функция и ответственные за нее лица.

Помимо регуляторных рисков, нельзя упустить присутствие комплаенса в областях, отвечающих за поведение работников организации в общем смысле. Часто соответствующие области обозначаются словосочетанием Core Compliance, подразумевая этический комплаенс, управление коррупционным риском и конфликтом интересов за пределами выполнения регуляторных норм.

С комплаенс-стратегией сложнее. Помимо определения зон ответственности, необходимы оценка текущего состояния функции («as is») и целевого состояния функции («to be») в конце реализации стратегии, а также определение ключевых целей на период стратегии и принципов, в соответствии с которыми будет происходить реализация целей. Данный этап является крайне важным для эффективного развития комплаенс-культуры и требует тщательного анализа и достаточно глубокого планирования.

Необходимо создать карту рисков организации или встроиться в существующую. Данное упражнение позволит избежать дублирования в управлении рисками и «западения» рисков. Такая карта должна содержать исчерпывающий перечень применимых к организации рисков, их однозначное описание, ответственные за управление ими подразделения.

При реализации организацией внутреннего контроля по модели «трех линий защиты»11 в такую карту следует включить указание на отношение подразделения к соответствующей линии защиты.

Внедрение регулярной самооценки комплаенс-функции позволит выявлять и совершенствовать недостатки комплаенс-системы. Самооценка может представлять из себя комплекс вопросов по всем элементам системы, а также при необходимости может включать числовые значения с учетом особенностей операционной работы подразделения.

Я рекомендую строить вопросы самооценки на основе элементов модели COSO, придумать понятную шкалу ответов на вопросы, их вес и модель подсчета. В таком случае можно будет на регулярной основе показывать органам управления и иным заинтересованным сторонам динамику, достижения и проблемы комплаенс-функции в наглядном виде, с помощью графиков или диаграмм.

Я не ставлю перед собой цели рассказать про модель COSO и не буду перечислять ее элементы, но приведу примеры вопросов, которые могут быть использованы при создании методологии самооценки:

– Задокументированы ли все значимые процессы?

– Обеспечен ли легкий доступ работников к политикам и процедурам?

– Политики и процедуры изложены для работников понятным языком? Исключена возможность неправильной интерпретации?

– Функция имеет достаточно ресурсов для реализации поставленных задач (бюджет, люди, инструменты, технологии)?

– Статус функции позволяет ей участвовать в принятии значимых решений?

– Руководство компании демонстрирует тон сверху в отношении комплаенс-вопросов?

– Мониторинг изменения применимых к организации требований / идентификации рисков организован должным образом?

– Все ли необходимые обучения реализованы?

– Реализованы ли инструменты получения обратной связи по комплаенс-вопросам?

– Дисциплинарные меры за нарушения применяются последовательно ко всем подразделениям и работникам всех уровней?

– По каждому ли выявленному инциденту проводится расследование?

Важно, что ответы на вопросы необходимо давать не по функции в целом, а по отдельным направлениям. Причем это должны делать лица, ответственные за такие направления, а ответы должны верифицироваться руководителем функции.

Помимо самооценки и контроля выполнения ключевых вех комплаенс-стратегии, для регулярной оценки состояния комплаенса будет полезна обратная связь от иных внутренних подразделений (может быть получена в форме опроса, обращений через инструменты анонимного информирования, вопросов на «дне комплаенса» или ином мероприятии, организованном комплаенс-функцией), а также результаты внутренних и внешних аудитов, которые регулярно проходит организация.