Оценка корпоративных комплаенс программ
Информация пригодится всем, кто работает в государственном и квазигоссекторе.
Анализируя лучший опыт по построению систем и процедур (далее – программ) по комплаенсу в компании, предлагаем посмотреть на обновленное руководство "Оценка программ корпоративного соответствия" Министерства юстиции США (далее – Руководство). Это министерство вовлекается в вопросы комплаенс и антикоррупции не только у себя в США, но и в других странах, так например их требования вынуждены были внедрять несколько крупных казахстанских компаний.
Документ является руководством для проверок программ комплаенса (может быть одна программа или несколько в зависимости от сложности бизнеса), поддерживает роль комплаенс-офицеров, и устанавливает очень большие ожидания в отношении оценки рисков, оценки программ, показателей планирования и отслеживания, а также интеграции с другими функциями.
Вот основные требования, на которые обращаем ваше внимание и рекомендуем внедрять уже сейчас во всех компаниях, которые намерены построить эффективный комплаенс.
Документ является руководством для проверок программ комплаенса (может быть одна программа или несколько в зависимости от сложности бизнеса), поддерживает роль комплаенс-офицеров, и устанавливает очень большие ожидания в отношении оценки рисков, оценки программ, показателей планирования и отслеживания, а также интеграции с другими функциями.
Вот основные требования, на которые обращаем ваше внимание и рекомендуем внедрять уже сейчас во всех компаниях, которые намерены построить эффективный комплаенс.
1. Служба комплаенс должна иметь надлежащие ресурсы и независимый доступ к совету директоров.
Основным фактором при оценке программ комплаенс является ответ на вопрос "Есть ли у службы комплаенс надлежащие ресурсы?". Служба комплаенс может быть организована в любой форме подразделения – отдел, управление, департамент и т.п. и должна быть обеспечена и кадрами и бюджетом, в том числе чтобы иметь возможность "проводить аудит, документировать, анализировать и действовать". Очень важно объяснить руководству компании и совету директоров позицию регулятора к выделению достаточных ресурсов для служб комплаенс.
Помимо этого, внутренние процедуры должны четко определять, что комплаенс имеет независимый доступ к совету директоров или комитету по аудиту. В руководстве оцениваются "полномочия и независимость функции комплаенс", включая то, является ли она независимой функцией, подотчетной генеральному директору и / или совету директоров.
Основным фактором при оценке программ комплаенс является ответ на вопрос "Есть ли у службы комплаенс надлежащие ресурсы?". Служба комплаенс может быть организована в любой форме подразделения – отдел, управление, департамент и т.п. и должна быть обеспечена и кадрами и бюджетом, в том числе чтобы иметь возможность "проводить аудит, документировать, анализировать и действовать". Очень важно объяснить руководству компании и совету директоров позицию регулятора к выделению достаточных ресурсов для служб комплаенс.
Помимо этого, внутренние процедуры должны четко определять, что комплаенс имеет независимый доступ к совету директоров или комитету по аудиту. В руководстве оцениваются "полномочия и независимость функции комплаенс", включая то, является ли она независимой функцией, подотчетной генеральному директору и / или совету директоров.
2. В компании должна быть внедрена комплаенс культура.
В Руководстве четко отражено, что "персонал высокого уровня должен обеспечивать наличие в организации эффективной комплаенс программы и этики", популярное "Ton from the Top" должно реализоваться на практике, и высшее руководство компании - совет директоров и руководители – должны задавать тон всей компании.
Также Служба комплаенс должна проактивно работать с другими подразделениями и службами, особенно с внутренним аудитом, закупками и управлением сторонними поставщиками, чтобы систематически внедрять/обновлять программу во всей организации. А разные уровни руководства должны демонстрировать свою поддержку Службе комплаенс, включая помощь по исправлению ошибок и снижению рисков.
В Руководстве четко отражено, что "персонал высокого уровня должен обеспечивать наличие в организации эффективной комплаенс программы и этики", популярное "Ton from the Top" должно реализоваться на практике, и высшее руководство компании - совет директоров и руководители – должны задавать тон всей компании.
Также Служба комплаенс должна проактивно работать с другими подразделениями и службами, особенно с внутренним аудитом, закупками и управлением сторонними поставщиками, чтобы систематически внедрять/обновлять программу во всей организации. А разные уровни руководства должны демонстрировать свою поддержку Службе комплаенс, включая помощь по исправлению ошибок и снижению рисков.
3. Служба комплаенс разрабатывает необходимые политики и процедуры и доводит их до сотрудников.
Эффективные программы включают в себя политики и процедуры, которые являются инструментом исполнения программ. Например, в компании должен быть кодекс поведения, который устанавливает обязательство для сотрудников компании соблюдать все применимые законы и нормы.
Причем, должны быть не только их наличие, но и механизмы внедрения в процессы компании, в т.ч. и через обучение. Одна из задач здесь "проверить, распространяется ли программа комплаенс среди сотрудников и понимается ли ими на практике, чтобы решить, является ли программа соответствия действительно эффективной".
Эффективные программы включают в себя политики и процедуры, которые являются инструментом исполнения программ. Например, в компании должен быть кодекс поведения, который устанавливает обязательство для сотрудников компании соблюдать все применимые законы и нормы.
Причем, должны быть не только их наличие, но и механизмы внедрения в процессы компании, в т.ч. и через обучение. Одна из задач здесь "проверить, распространяется ли программа комплаенс среди сотрудников и понимается ли ими на практике, чтобы решить, является ли программа соответствия действительно эффективной".
4. Необходимо использовать риск-ориентированный подход.
Некоторые компании опасаются по-настоящему внедрить подход, основанный на оценке риска, потому что опасаются, что что-то упустят и понесут наказание. В Руководстве говорится, что подход, основанный на оценке риска, не только приемлем – регулятор ожидает его внедрения "даже если программа не сможет предотвратить нарушение в зоне с низким уровнем риска".
Руководство устанавливает, что подход, основанный на оценке риска, необходим для того, чтобы не "тратить непропорционально много времени на контроль над зонами с низким уровнем риска, а не на зоны высокого риска". В нем приводятся примеры и предупреждения, что компаниям следует "уделять более пристальное внимание транзакциям с высоким риском, например, сделкам на крупные суммы с государственным учреждением, находящимся в стране с высоким уровнем риска".
Некоторые компании опасаются по-настоящему внедрить подход, основанный на оценке риска, потому что опасаются, что что-то упустят и понесут наказание. В Руководстве говорится, что подход, основанный на оценке риска, не только приемлем – регулятор ожидает его внедрения "даже если программа не сможет предотвратить нарушение в зоне с низким уровнем риска".
Руководство устанавливает, что подход, основанный на оценке риска, необходим для того, чтобы не "тратить непропорционально много времени на контроль над зонами с низким уровнем риска, а не на зоны высокого риска". В нем приводятся примеры и предупреждения, что компаниям следует "уделять более пристальное внимание транзакциям с высоким риском, например, сделкам на крупные суммы с государственным учреждением, находящимся в стране с высоким уровнем риска".
5. Ответственные лица и менеджеры должны проходить разную подготовку
В Руководстве четко указано, что лица, ответственные за выполнение обязательств по соблюдению нормативных требований, должны быть обучены и обучены иначе (или дополнительно) по сравнению с обычными сотрудниками. Один из вопросов проверки - прошли ли такие сотрудники дополнительную подготовку?
Также в Руководстве повторяется требование организовывать процессы с учетом рисков, в т.ч. и обучение, например: "Провела ли компания индивидуальное обучение для сотрудников, задействованных в областях высокого риска и контроля, включая обучение, направленное на снижение рисков в той области, где произошло неправомерное действие? ".
Одного обучения всех сотрудников недостаточно, ответственные лица должны знать, как конкретно реагировать на действия с высоким риском.
Отдельное или дополнительное обучение должны проходить и руководство компании.
В Руководстве четко указано, что лица, ответственные за выполнение обязательств по соблюдению нормативных требований, должны быть обучены и обучены иначе (или дополнительно) по сравнению с обычными сотрудниками. Один из вопросов проверки - прошли ли такие сотрудники дополнительную подготовку?
Также в Руководстве повторяется требование организовывать процессы с учетом рисков, в т.ч. и обучение, например: "Провела ли компания индивидуальное обучение для сотрудников, задействованных в областях высокого риска и контроля, включая обучение, направленное на снижение рисков в той области, где произошло неправомерное действие? ".
Одного обучения всех сотрудников недостаточно, ответственные лица должны знать, как конкретно реагировать на действия с высоким риском.
Отдельное или дополнительное обучение должны проходить и руководство компании.
6. Комплаенс должен принимать строгие меры проверки третьих сторон и непрерывный мониторинг этих сторон.
Прошли те времена, когда однократная проверка санкций в отношении третьего лица была приемлемой системой управления рисками. Как отмечалось ранее, Руководство поддерживает подход, основанный на оценке рисков, в т.ч. к управлению отношениями с третьими сторонами.
Необходимость и степень надлежащей проверки могут варьироваться в зависимости от размера и характера компании, сделки и третьей стороны. Оценивается степень понимания компанией своих партнеров, включая агентов, консультантов и дистрибьюторов, которые обычно используются для сокрытия неправомерных действий, например, при даче взяток должностным лицам.
Должная осмотрительность в отношении третьих сторон всегда была ключом к хорошей программе комплаенс.
Прошли те времена, когда однократная проверка санкций в отношении третьего лица была приемлемой системой управления рисками. Как отмечалось ранее, Руководство поддерживает подход, основанный на оценке рисков, в т.ч. к управлению отношениями с третьими сторонами.
Необходимость и степень надлежащей проверки могут варьироваться в зависимости от размера и характера компании, сделки и третьей стороны. Оценивается степень понимания компанией своих партнеров, включая агентов, консультантов и дистрибьюторов, которые обычно используются для сокрытия неправомерных действий, например, при даче взяток должностным лицам.
Должная осмотрительность в отношении третьих сторон всегда была ключом к хорошей программе комплаенс.
7. Сообщения о своих политиках и процедурах третьим сторонам.
Продолжая тему третьих сторон, компания обязана четко доводить до сведения третьих сторон свои политики, процедуры и ожидания. Оценивается, были ли предприняты шаги "компанией для обеспечения интеграции политик и процедур в организацию, в том числе посредством периодического обучения и сертификации… в соответствующих случаях, для агентов и деловых партнеров".
Политики и процедуры могут быть предоставлены третьим сторонам через Кодекс поведения поставщика, через условия контракта или на веб-сайте компании.
Продолжая тему третьих сторон, компания обязана четко доводить до сведения третьих сторон свои политики, процедуры и ожидания. Оценивается, были ли предприняты шаги "компанией для обеспечения интеграции политик и процедур в организацию, в том числе посредством периодического обучения и сертификации… в соответствующих случаях, для агентов и деловых партнеров".
Политики и процедуры могут быть предоставлены третьим сторонам через Кодекс поведения поставщика, через условия контракта или на веб-сайте компании.
8. Необходимо создать надежный процесс информирования о нарушениях
и этот процесс должен включать активные меры по созданию атмосферы доверия, соответствующие процессы подачи жалоб и процессы защиты лиц, сообщающих о нарушениях.
Должен быть создан надежный механизм, с помощью которого сотрудники могут анонимно или конфиденциально сообщать о предполагаемых или фактических нарушениях кодекса поведения компании, политик компании или неправомерных действиях (hot-line).
Система должна быть доведена до сведения сотрудников компании, а Служба комплаенса должна иметь доступ к таким сообщениям и информации об обвинениях. Целый раздел Руководства посвящен структуре конфиденциальной отчетности и процессу расследования.
и этот процесс должен включать активные меры по созданию атмосферы доверия, соответствующие процессы подачи жалоб и процессы защиты лиц, сообщающих о нарушениях.
Должен быть создан надежный механизм, с помощью которого сотрудники могут анонимно или конфиденциально сообщать о предполагаемых или фактических нарушениях кодекса поведения компании, политик компании или неправомерных действиях (hot-line).
Система должна быть доведена до сведения сотрудников компании, а Служба комплаенса должна иметь доступ к таким сообщениям и информации об обвинениях. Целый раздел Руководства посвящен структуре конфиденциальной отчетности и процессу расследования.
9. Комплаенс должен регулярно оценивать свои программы
Компания должна предпринимать значимые усилия по проверке своих комплаенс-программ и убедиться, что они не устарели, очень важно "периодически оценивать эффективность" программ. Недостаточно просто создать программы комплаенс и запустить их.
Важные вопросы - были ли созданы, отслежены, оценены и приняты ли меры для определения эффективности программы? И вы должны задавать их в отношении (1) политик и процедур, (2) расследований, (3) отношений с третьими сторонами, (4) управления рисками / оценки рисков и (5) обучения.
Успешной программе комплаенс нужны метрики, и они нужны, чтобы показывать эффективность программы. Оценка должна включать анализ пробелов, чтобы определить, достаточно ли учтены определенные области риска в процедурах, средствах контроля или обучении.
Профессионально разработанная и проведенная проверка программ - лучший способ убедиться, что программы соответствуют требованиям регулирующих органов и передовым практикам.
Компания должна предпринимать значимые усилия по проверке своих комплаенс-программ и убедиться, что они не устарели, очень важно "периодически оценивать эффективность" программ. Недостаточно просто создать программы комплаенс и запустить их.
Важные вопросы - были ли созданы, отслежены, оценены и приняты ли меры для определения эффективности программы? И вы должны задавать их в отношении (1) политик и процедур, (2) расследований, (3) отношений с третьими сторонами, (4) управления рисками / оценки рисков и (5) обучения.
Успешной программе комплаенс нужны метрики, и они нужны, чтобы показывать эффективность программы. Оценка должна включать анализ пробелов, чтобы определить, достаточно ли учтены определенные области риска в процедурах, средствах контроля или обучении.
Профессионально разработанная и проведенная проверка программ - лучший способ убедиться, что программы соответствуют требованиям регулирующих органов и передовым практикам.
“
Специалисты по комплаенсу могут и должны применять уроки, содержащиеся в этом Руководстве. От этого зависят перспективы компании по снижению рисков штрафов и судов, а также репутационных потерь.
Автор статьи: Лилия Хамзина, по заказу Академии комплаенс
14 апреля 2021 года, Академия комплаенс.
Задайте нам вопрос
У вас есть вопрос по ПОДФТ?
Задайте его нам, мы обязательно ответим на него и опубликуем ответ в блоге
Задайте его нам, мы обязательно ответим на него и опубликуем ответ в блоге
Мы никогда не раскрываем персональные данные авторов вопроса.
Блог Академии комплаенс.
Просто и понятно о финансовом мониторинге.
Просто и понятно о финансовом мониторинге.
