Комплаенс как система эффективного управления правовыми и репутационными рисками организации в большинстве случаев является добровольным выбором организаций. Компания может по своему усмотрению выстраивать такую систему. Тем не менее, для внедрения эффективной системы комплаенс разработаны рекомендации и руководства, которые содержат примерно одинаковые положения относительного составляющих такой системы, рассказывает Светлана Снежко, к.соц.н., Int. Dip. (Comp.), директор по Телеком-этике Russian Business Ethics Network.
Есть определённые требования, которые компании должны соблюдать, точнее, не нарушать законодательные нормы. Именно для соблюдения требований законодательства и внедряется комплаенс. Однако обязательства по наличию комплаенса в организации установлены только в определенных сферах, и эти требования специфичны. Речь идёт о так называемом регулятором комплаенсе, например, применительно к финансовому или банковскому сектору.
Читайте также: 10 типичных ошибок руководителя ИБ
Положение 242-П предусматривает наличие службы внутреннего контроля в кредитных организациях и банковских группах, а также конкретные функции, которые она должна выполнять, начиная с выявления комплаенс-риска.
Здесь можно говорить и о комплаенс-направлении по ПОД/ФТ/ФРОМУ, который также регулируется 115-ФЗ. При этом даже в 242-П перечень функций остается открытым. Более того классическая система комплаенс предполагает не только наличие отдельно выделенной функции, но и роль руководства в формировании тона сверху и культуры комплаенса, например.
Если говорить о таких наиболее традиционных комплаенс-программах, как антикоррупция и антимонопольный комплаенс, то законодательно не закреплены меры, что именно организация должна внедрить. Несмотря на то, что 273-ФЗ предусматривает обязательство любых организаций принимать меры по противодействию коррупции, сами меры остаются на усмотрение организаций. Аналогично недавние поправки к закону «О защите конкуренции» дополнили его даже не обязательством, а правом хозяйствующих субъектов «организовать систему внутреннего обеспечения соответствия требованиям антимонопольного законодательства» с перечнем довольно широко описанных мер.
Несмотря на какие-то отдельные требования в рамках законодательства, любая полноценная комплаенс-программа должна соответствовать определенным принципам построения и включать элементы, которые считаются неотъемлемыми составляющими системы комплаенс.
Подход к построению системы комплаенс, которая признается международными регуляторами, экспертами и консультантами как эффективная, изложен в различных рекомендациях и руководствах. Во всех этих документах перечисляются повторяющиеся, одни и те же основные элементы системы комплаенс, к которым относятся:
- тон сверху,
- обучение персонала,
- политики и процедуры,
- оценка рисков,
- взаимоотношения с третьими лицами,
- комплаенс-мониторинг,
- комплаенс-аудиты,
- наличие канала сообщения о нарушениях («Горячая линия»),
- расследования.
В каких-то источниках они сгруппированы, где-то более детализированы. Компании могут ориентироваться на них при внедрении комплаенс-системы. Но чтобы им убедиться и подтвердить заинтересованным лицам, круг которых сегодня становится все шире, что у них выстроена полноценная система комплаенс, необходим эталон, который будет закреплять общепризнанные нормы и практику в построении системы комплаенс, утвержденный уполномоченным органом. Таким ориентиром являются стандарты ISO19600:2014 или ISO37001:2016, разработанные Международной организацией по стандартизации.
Стандарт ISO19600 ориентирован на построение комплаенс-системы в любом направлении. Стандарт ISO37001 закрепляет тот же общий подход к построению системы комплаенс с учетом требований в части антикоррупционной программы. Антикоррупционный стандарт разработан на основе Кодексов Международной торговой палаты(ICC), Организации экономического сотрудничества и развития, Transparency International и других международных организаций. Оба стандарта также включают правоприменительную практику, в том числе требования зарубежных антикоррупционных законов (UK BA, FCPA) и рекомендации ведущих национальных регуляторов,таких как Министерство юстиции США и Министерство юстиции Великобритании.
Кто прошел сертификацию по комплаенс-стандарту
В России пока немногие компании прошли сертификацию по стандарту ISO19600. К ним относятся компании крупного бизнеса, например, МТС, Сбербанк, Сибур, Атон, СУЭК. По стандарту ISO37001 практика сертификации в российском бизнеса еще более редкая. Компании, которые подтверждали свои антикоррупционные комплаенс-программы в соответствии со стандартом ISO, делали это вместе с проведением оценки соответствия ISO19600. Примеры компаний, проходивших отдельную сертификацию по стандарту в области систем менеджмента борьбы со взяточничеством, практически единичные. В частности, это компания Softline. Также сейчас к сертификации готовится компания ВымпелКом.
Постепенно сертификация по комплаенс-стандарту становится востребованной, ряд компаний находится в процессе подготовки или прохождения оценки на соответствие. Например, ТМК (Трубная металлургическая компания) и Северсталь.
В этом году РСПП заявил о создании первого антикоррупционного рейтинга российского бизнеса, оценивающий эффективность антикоррупционных политик компаний. Недавно были опубликованы результаты независимой экспертизы, которая базировалась на критериях Антикоррупционной хартии российского бизнеса, а также международном стандарте ISO37001. Несмотря на то, что РСПП руководствовался стандартом при оценке антикоррупционных систем российских компаний, рейтинг не является сертификацией и подтверждением соответствия стандарту. Также оценка некоторых компаний происходила заочно, т.е. на основании только той информации, которая доступна на внешних источниках, в основном, на сайтах этих компаний.
Хотя стандарт выпущен в 2016 году, в мире тоже пока не очень распространена практика сертификации по 37001 (см. Рис.1). По имеющейся информации, из крупных европейских компаний соответствие своих антикоррупционных систем подтвердили итальянский Водафон (Vodafon Italia S.p.a.), Telekom Albania Sh.A., Volvo Car Germany GMBH, также ряд местных итальянских компаний не очень известных на мировом рынке, среди них Nexans Italia SPA, входящая в холдинг крупнейшего французского производителя кабельно-проводниковой продукции. Корейская Daewoo Engineering&Construction, Крупнейший банк Эквадора Bancodel Pacifico S.A., отдельные китайские компании, логистическая компания в Сингапуре тоже подтвердили соответствие своих систем менеджмента противодействия коррупции ISO стандарту.
Кто может проводить сертификацию?
Среди компаний и в профессиональных кругах возникают дискуссии о том, кто имеет полномочия проводить сертификацию по стандартам ISO19600:2014 и ISO37001:2016. Какую аккредитацию должен иметь орган по сертификации? Требуется ли наличие аккредитации федерального уполномоченного органа? В России есть национальный стандарт РФ по оценке соответствия (ГОСТ Р ИСО/МЭК 17021-1-2017), который устанавливает требования к органам, проводящим аудит и сертификацию систем менеджмента.
В нем указаны следующие системы менеджмента: системы экологического менеджмента (ГОСТ Р ИСО 14001-2016), системы менеджмента качества (ГОСТ Р ИСО 9001-2015) и системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001-2006), т.е. это те, которым присвоен ГОСТ. ISO19600 как и ISO37001 пока не гостированы. Поскольку сертификация добровольная, компания вправе выбрать сертифицирующий орган, ориентируясь на его репутацию и аккредитацию, кому компания доверяет.
Аккредитация является гарантией того, что орган по сертификации обладает необходимой компетентностью и беспристрастностью. Есть несколько уровней сертификации: международная, национальная, региональная, отраслевая. Самый высокий уровень надежности имеет международная аккредитация, которая означает признание результатов аккредитации в национальных системах разных стан. Наиболее известной организацией международного уровня по аккредитации является Международный форум по аккредитации (IAF – International Accreditation Forum) – глобальная ассоциация аккредитационных органов и других организаций, занимающихся оценкой соответствия в различных областях, включая системы менеджмента, продукцию и персонал. Если компания работает на международных рынках, орган по сертификации, имеющий аккредитацию, входящую в IAF, будет также иметь высокий уровень надежности и для зарубежных партнеров.
Рис.1 География сертификации по ISO37001:2016
Какое преимущество даст компаниям сертификация по комплаенс-стандарту?
Сегодня ужесточаются требования не только крупных международных, но и российских компаний к своим деловым партнерам. Особо пристальное внимание уделяется надежности контрагентов и их добросовестности. При этом крупный бизнес не только оценивает компании на предмет фактов нарушений и привлечения к ответственности, но и смотрит на то, что они делают для недопущения подобных ситуаций. Для компаний, которые работают на международном рынке или хотят на него выйти, особенно важно не только декларативное заявление о соблюдении применимого законодательства, в том числе в части антикоррупции, но и официальное достоверное подтверждение. Напомним, что противодействие коррупции является одним из 10 принципов Глобального договора ООН, которому следуют многие международные компании, чтобы поддерживать устойчивые цепочки поставок.
Таким образом, ориентация на стандарт и сертификацию обеспечат компаниям:доказательство качественной и эффективной системы комплаенс, ведущую роль в области этики, репутацию надежного делового партнера, соответствующего ожиданиям контрагентов и заинтересованных лиц.
Светлана Снежко, к.соц.н., Int. Dip. (Comp.), директор по Телеком-этике Russian Business Ethics Network