Top.Mail.Ru

Что такое комплаенс и для чего он нужен?

1. Что такое комплаенс-менеджмент?
2. Зачем комплаенс нужен бизнесу?
3. Классификация
4. Функции комплаенс-контроля
5. Комплаенс-риски
6. Регулирование
7. Внедрение

Что такое комплаенс-менеджмент?

Термин «комплаенс» происходит от английского «compliance» – «соответствие». Речь идёт о соответствии самым разнообразным требованиям различных государственных и общественных регуляторов, которые регламентируют рынки в части продуктов, услуг, взаимоотношений компании с потребителями и государством. Тем самым они побуждают компании строить свою финансово-хозяйственную деятельность с учётом этих требований и правил. При всей видимой либеральности глобальной экономики и достаточном объёме свобод, при ближайшем рассмотрении видно, что рынки достаточно жёстко регламентируются. Это могут быть требования к качеству продукции, её срокам годности, контролю за оборотом, защите окружающей среды, нормам труда, технике безопасности и так далее. Комплаенс – это соответствие требованиям, в первую очередь, тем, которые выдвигают различные регуляторы, а также контроль за тем, чтобы это соответствие было полным. С этой целью выделяют отдельную функцию compliance control. В России комплаенс зачастую ассоциируется исключительно с финансовым сектором, хотя это неправильно. Причина такого стереотипа кроется в том, что именно Центральный банк стал первым из регуляторов, выступивших с набором обязательных требований к деятельности организаций. На самом же деле понятие комплаенса гораздо шире. Свои требования к деятельности компаний могут предъявлять не только государственные структуры, но и общественные организации – например, профсоюзы или экологические организации. В свою очередь, комплаенс-менеджмент (compliance management) – это инструментарий и набор процессов, применяемых в компании для соответствия выдвигаемым требованиям.

Зачем комплаенс нужен бизнесу?

На сегодняшний день ни одна компания не может функционировать без комплаенса, к какой бы сфере ни относилась её деятельность. Нравится это нам или нет, в мире идёт ужесточение требований абсолютно для всех отраслей и индустрий. Эта тенденция прослеживается как в отдельных странах, так и на межгосударственном уровне, в рамках международной кооперации. Что это означает для предпринимателей? Новые регламенты появляются быстро и зачастую неожиданно, а расплата за их неисполнение может быть весьма суровой. К примеру, фармацевтические компании обязаны детально отчитываться об обороте рецептурных препаратов и используемых для их изготовления активных субстанций. Любой производитель пищевых продуктов знает, к чему может привести несоответствие требованиям СанПин или ГОСТа. Международная торговля – ещё одна отрасль со строгой регламентацией. Среди юристов даже появилась отдельная категория специалистов по международному торговому комплаенсу (international trade compliance lawers). Но, пожалуй, ярчайшим примером, иллюстрирующим необходимость комплаенса, является действующий в Европейском Союзе закон о защите персональных данных – the General Data Protection Regulation (GDPR). Этот закон стал прямым следствием наступления эпохи Big Data и тотальной цифровизации жизни гражданина, что принесло взрывной рост объёмов различных данных, в том числе персональных и биометрических. Европейские власти быстро осознали, что «цифровой след», оставляемый каждый человеком, легко может быть использован в противоправных целях, и поставили задачу бороться с этим. GDPR вступил в силу только в 2018 году, и за короткое время успел снискать репутацию одного из самых жёстких законов во всём мире. Введённый с целью защиты конфиденциальности персональной информации, он предусматривает жёсткие санкции, если компании допускают утечку подобной информации или обрабатывают её без согласия человека. За нарушение требований GDPR на компанию может быть наложен чудовищный штраф. Его сумма может достигать 20 миллионов евро или 4% от общего оборота компании за весь предыдущий финансовый год (в зависимости от того, какая сумма больше). Речь идёт о суммах, сопоставимых с IT-бюджетом средней компании! Известно, что при формировании бюджета европейские компании заранее закладывают в них в качестве статьи расходов выплату штрафов за несоответствия его требованиям. Цель комплаенса как раз и заключается в предотвращении подобных ситуаций и, в конечном счёте, экономии денег компании. Принцип «сэкономленные деньги – заработанные деньги» в данном случае работает как нельзя лучше. Именно поэтому компании во всём мире разрабатывают собственные комплаенс-стратегии (compliance policy) и тщательно контролируют их соблюдение, формируют в рамках корпоративной структуры отдельные комплаенс-подразделения и активно инвестируют в ИТ-решения, помогающие в выполнении требований регуляторов. Как именно это выглядит на практике, будет рассказано ниже.

Классификация

Какой-то единой, общепринятой классификации комплаенса на сегодняшний день не существует. Мы бы предложили условное разделение на регуляторный и нерегуляторный. Первый связан с выполнением требований различных регуляторов – центральных банков, правительственных организаций, государственный агентств. Второй же – это соответствие общественному мнению, неким стандартам общества. Например, в последнее время всё больше людей активно интересуются вопросами экологии и стараются выбирать «зелёные» продукты и технологии. Со стороны бизнеса будет логичным услышать свою целевую аудиторию и перестроить свою деятельность так, чтобы она соответствовала современным стандартам защиты окружающей среды: сократить количество отходов и вредных выбросов, отказаться от испытания продукции на животных, отказаться от импортного сырья с целью сократить углеродный след. Это тоже своего рода комплаенс: можно называть его нерегуляторным или общественным, причём важность именно такого комплаенса с каждым годом только возрастает.

Функции комплаенс-контроля

Комплаенс-контроль (compliance control) и комплаенс-менеджмент (compliance management) входят в число ключевых корпоративных задач. Здесь очень важно понять, чем директор по комплаенсу отличается от комплаенс-офицера (compliance officer) или комплаенс-менеджера (compliance manager). Офицер или менеджер являются, по сути, обычными контролёрами, и их задача ограничивается тем, чтобы следить, как выполняется тот или иной перечень требований. Поле деятельности директора по комплаенсу гораздо шире. Как правило, он входит в состав совета директоров или является членом правления, и его задача – не просто сделать за выполнением требований, а инициировать и разрабатывать проекты по соответствию. Директор по комплаенсу работает над тем, чтобы требованиям соответствовали все процессы и процедуры компании, а не только конечный продукт. Это подразумевает и менеджмент качества, и процессное управление, ведь зачастую с выходом нового требования или закона компания оказывается перед необходимостью перестроить половину всех бизнес-процессов и полностью перекроить IT-ландшафт. Перестройка компании для соответствия её новым требованиям – одна из наиболее частых задач директора по комплаенсу, и зачастую для её решения создаётся специальный отдел, управление или департамент (compliance department). Правда, такая картина пока что более характерна для западных компаний, но и в России такая тенденция активно набирает обороты.

Комплаенс-риски

Основным риском в части комплаенса (compliance risk) является несоответствие требованиям, которое влечёт за собой целый спектр неблагоприятных последствий – от денежных штрафов, о которых я говорил выше, до лишения лицензии. Последнее фактически означает полный крах бизнеса. Не менее важны и репутационные риски, особенно сейчас, когда развитие социальных сетей достигло своего апогея, а информация, в особенности негативная, распространяется с головокружительной скоростью. Запятнать репутацию очень просто, а на отработку негатива могут уйти годы. Никто не хочет прослыть недобросовестным работодателем, или недостаточно клиентоориентированным продавцом, или губителем естественной среды обитания редких животных. Это грозит потерей лояльности со стороны целевой аудитории, а то и полным бойкотом. Свести подобные риски к минимуму позволит только тщательно выверенная комплаенс-стратегия, а также компетентная команда, готовая её реализовывать.

Регулирование

Законы и подзаконные акты, регулирующие вопросы комплаенса, существуют на уровне как отдельных стран, так и в рамках международных организаций. В России в качестве примера можно привести Федеральный закон № 135-ФЗ «О защите конкуренции», который чаще называют законом об антимонопольном комплаенсе. Согласно ему, каждая компания обязана разработать систему антимонопольного комплаенса в рамках своей деятельности, а также разместить акт (либо акты), регулирующие антимонопольный комплаенс, на своём корпоративном сайте на русском языке. Компания самостоятельно определяет формирование и детальное регулирование антимонопольного комплаенса, однако некоторые элементы являются обязательными. К ним относятся:

  • порядок проведения оценки рисков нарушения антимонопольного законодательства
  • меры, направленные на снижение этих рисков
  • меры по контролю за функционированием системы антимонопольного комплаенса
  • порядок ознакомления работников с внутренними актами
  • информация о сотруднике, отвечающем за функционирование антимонопольного комплаенса.

Внедрение

Полноценное внедрение функции комплаенса невозможно без управления данными (Data Governance) и, в частности, технологии Data Quality. Именно директора по комплаенсу являются одними из основных заказчиков подобных решений во всём мире. Почему это так? Дело в том, что перестройка процессов компании и выстраивание их в доскональном соответствии с требованиями регуляторов невозможны без чёткого знания своих данных, на которых и основана вся работа. К примеру, чтобы сократить выбросы углекислого газа в атмосферу, промышленному предприятию необходимо точно знать, каковы объёмы этих выбросов, какие цеха производят их больше всего. На основании этого можно строить аналитическую модель, которая покажет, что нужно поменять в производственной цепочке, чтобы объём вредных выбросов стал меньше и соответствовал нормам экологического законодательства. То же касается требований в области охраны труда: чтобы свести к минимуму число возможных несчастных случаев, необходимо понимать, в каких ситуациях и при каком стечении обстоятельств они происходят чаще всего, и на основании этих данных уже принимать решения. Но лучшим примером снова является применение на практике закона GDPR. Если в адрес компании от бывшего сотрудника или клиента поступило требование удалить все связанные с ним данные, организация должна быть готова к тому, что в ходе проверки её попросят предоставить доказательства того, что данные действительно были удалены. Это можно сделать, только если в компании построен корпоративный каталог данных: данные собраны в иерархизированную систему, для них определены владельцы, компания точно знает все места, где хранятся персональные данные, и может наглядно показать, что данных об этом конкретном человеке в хранилище нет. Более того, такой каталог даёт уверенность в том, что нигде не осталось случайных дубликатов этих данных. Таким образом, Data Governance становится технологической основой внедрения комплаенса в компании.

Автор: Александр Тарасов, управляющий партнер  DIS Group


Поделиться
{{ responsive_img( url='/../../static/upload/news/detail-image.jpg',lazy=true, img_attrs={ class: "img-fluid lazy" }, formats=['webp'] ) }}

Рассылка новостей

    Продолжая пользоваться сайтом, вы даёте Согласие на автоматический сбор и анализ ваших данных, необходимых для работы сайта и его улучшения, использование файлов cookie.