Эффективная комплаенс-программа (compliance and ethics program): основные элементы и практические вопросы реализации в России. Часть 1
Понятия compliance и compliance program как система предпринимаемых компанией мер, направленных на управление рисками привлечения компании к ответственности за несоблюдение применимых нормативных требований (комплаенс-рисками), успели довольно прочно войти в практику многих крупных компаний в России. Изначально это было связано либо с наличием у компании листинга на зарубежных площадках и необходимостью исполнять требования, предписываемые зарубежной биржей, либо с вхождением компании в глобальную иностранную группу и необходимостью следовать стандартам, принятым на глобальном уровне. Однако в дальнейшем соответствующие нормы появились и в российском законодательстве.
Ниже мы сопоставим нормативные требования и практику, сложившиеся в этом вопросе в России и в США.
Нормативно-правовое регулирование
Принятый 07.08.2001 г. Федеральный закон № 115-ФЗ О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - ПОД/ФТ) ввел обязанность отдельных коммерческих организаций (организации, осуществляющие операции с денежными средствами и иным имуществом") предпринимать меры по ПОД/ФТ, включая разработку и принятие правил внутреннего контроля организации для целей ПОД/ФТ, назначение лиц, ответственных за ПОД/ФТ в организации, осуществление идентификации клиентов, выявление операций клиентов, подлежащих контролю, информирование уполномоченных органов, обучение сотрудников для целей ПОД/ФТ, проведение внутренних проверок соблюдения правил ПОД/ФТ в организации. Хотя именно в это время понятие комплаенс" впервые появилось в практике российских компаний[1], на тот момент это были, в основном, кредитные и иные финансовые организации.
С вступлением в силу 01.01.2013 г. статьи 13.3 Федерального закона от 25 декабря 2008 года № 273-ФЗ О противодействии коррупции" обязанность разрабатывать и принимать меры по предупреждению коррупции (другими словами, обязанность внедрить систему антикоррупционного комплаенс) была распространена на все российские компании, вне зависимости от размера и сферы деятельности.
Согласно указанному Закону, меры по предупреждению коррупции, принимаемые в организации, могут включать:
- назначение ответственных лиц,
- разработку и внедрение в практику стандартов и процедур, направленных на обеспечение добросовестной работы организации,
- принятие кодекса этики и служебного поведения работников организации,
- предотвращение и урегулирование конфликта интересов,
- недопущение составления неофициальной отчетности и использования поддельных документов[2].
В развитие указанных требований в 2013 году Минтрудом России были разработаны и утверждены Методические рекомендации по разработке и принятию организациями мер по предупреждению и противодействию коррупции[3] (далее - Рекомендации Минтруда), которые закрепили рекомендуемые антикоррупционные мероприятия организаций, включая разработку и введение антикоррупционной политики, специальных антикоррупционных процедур, обучение и информирование работников, внутренний контроль и аудит соблюдения требований антикоррупционной политики организации и оценку результатов проводимой антикоррупционной работы, распространение отчетных материалов.
В настоящий момент широко обсуждается возможность признания на законодательном уровне факта наличия у компании системы антимонопольного комплаенс в качестве смягчающего обстоятельства при рассмотрении дел об антимонопольных правонарушениях[4].
Кроме того, одобренный Советом директоров Банка России 21.03.2014 г. Кодекс корпоративного управления[5] (далее - Кодекс ЦБ), закрепивший рекомендации по построению эффективной системы корпоративного управления в акционерных обществах, также содержит положения, касающиеся построения в акционерном обществе эффективной системы управления рисками и внутреннего контроля, частью которой может являться система комплаенс.
Данные примеры показывают, что комплаенс постепенно получает развитие и признание со стороны российских регуляторов в самых разных отраслях права.
Руководство США по назначению наказаний, налагаемых на организации (Federal Sentencing Guidelines for Organizations[6], далее - Руководство), является частью общего Руководства США по назначению наказаний, содержащего рекомендации для судей США по определению точного размера наказания, налагаемого на лицо, признанное виновным в совершении правонарушения. Указанные рекомендации содержат математически точные правила подсчета и учета уровня тяжести преступления, наличия смягчающих и отягчающих обстоятельств и т. п. Введенный в 2004 году в Руководство раздел 8B2.1 Эффективная Программа по Комплаенс и Этике" (Effective Compliance and Ethics Program) впервые закрепил критерии и элементы эффективной комплаенс-программы, наличие которой в организации считалось бы фактором, позволяющим значительно смягчить наказание организации за допущенное ее представителем правонарушение. При этом решающим фактором является именно эффективность комплаенс-программы.
В соответствии с Руководством для подтверждения наличия эффективной программы по комплаенс и этике для целей смягчения наказания организация обязана:
- проявлять должную осмотрительность в целях предотвращения и выявления преступного поведения; а также
- иным образом способствовать формированию организационной культуры, которая поощряет соблюдение этических норм поведения и приверженность соблюдению закона.
Таким образом, Руководство требует от организаций создания такой системы, которая эффективно обеспечит должную осмотрительность компании в целом, а именно всех и каждого из работников. При этом Руководство не исключает возможности правонарушений со стороны отдельных работников, умышленно нарушивших установленные правила и процедуры и обошедших внедренные контроли. Наличие таких отдельных ldquo;rogue employeesrdquo; не означает, что программа в общем не эффективна для целей предупреждения и выявления преступного поведения.
Так, в деле о нарушении американского антикоррупционного законодательства высокопоставленным сотрудником компании Морган Стэнли (Morgan Stanley) по имени Гарт Петерсон (Garth Peterson) американские регуляторы отказались от уголовного преследования в отношении компании, несмотря на то, что сам сотрудник был осужден на 9 мес. тюремного заключения и $ 250 тыс. штрафа. Регуляторы посчитали, что сотрудник использовал целую сеть уловок и обмана, чтобы обойти внутренние контроли компании, тогда как сама компания предприняла все доступные для нее меры по недопущению правонарушения со стороны сотрудника[7].
Что же компания должна делать, чтобы обеспечить общую эффективность системы?
Руководство предлагает следующий перечень из семи минимально необходимых элементов:
- Стандарты и процедуры.
- Организационная структура.
- Проверка работников перед наймом.
- Коммуникация.
- Контроль и оценка эффективности.
- Применение поощрений и наказаний.
- Постоянное совершенствование.
Прежде чем мы перейдем к рассмотрению каждого из указанных элементов эффективной комплаенс-программы, необходимо отметить, что при реализации любого из них компания должна исходить из результатов оценки комплаенс-рисков, присущих соответствующей компании и ее бизнес-процессам. Так, в соответствии с Руководством, при реализации компанией перечисленных в Руководстве элементов эффективной комплаенс-программы организация должна периодически оценивать риск неправомерного поведения[8] и принимать необходимые меры для разработки, реализации или модификации соответствующих элементов в целях снижения выявленного риска неправомерного поведения.
Таким образом, оценка рисков является неким нулевым" этапом, который должен предшествовать как построению комплаенс-программы в любой области в общем, так и разработке и реализации каждого из элементов программы по отдельности, включая реализацию седьмого элемента, направленного на постоянное изменение и совершенствование программы.
Стандарты и процедуры, направленные на предупреждение и выявление неправомерного поведения
В отличие от Рекомендаций Минтруда и российского законодательства в сфере ПОД/ФТ, в которых содержатся подробные требования к содержанию Антикоррупционной политики и Правил внутреннего контроля для целей ПОД/ФТ в организации, Руководство США относительно мало внимания уделяет требованиям в отношении утверждаемых компаниями комплаенс-стандартов и процедур. По сути, единственным требованием является факт их письменного закрепления и утверждения. Однако с учетом требований других отраслевых законодательств практика американских компаний выработала следующую структуру документов в области комплаенс.
Кодекс этики как самый общий документ, содержащий правила поведения, обязательные для всех работников. При этом под этикой не подразумевается что-то исключительно морально обязательное в противовес обязательным требованиям закона. Наоборот, этика в данном контексте означает более широкое понятие, включающее как вопросы комплаенс в смысле соблюдения нормативных требований, так и применимые к компании и ее работникам требования профессиональной этики, стандарт этичности в профессиональных отношениях работников между собой в процессе трудовой деятельности. В практике российских дочерних организаций американских компаний русскоязычный адаптированный текст глобального Кодекса этики подлежит утверждению приказом руководителя в качестве локального нормативного акта и ознакомлению всех сотрудников под роспись.
Отраслевые корпоративные политики по различным областям комплаенс (Антикоррупционная, Антимонопольная, ПОД/ФТ, Противодействие инсайдерской торговле и манипулированию рынком, Защита персональных данных, Соблюдение режима прав интеллектуальной собственности, Соблюдение прав работников и т. п.)
Конкретный набор и содержание политик будет зависеть от специфики бизнеса компании и ее общей стратегии по управлению рисками.
В большинстве случаев такие политики содержат в самых общих чертах описания запрещенного поведения и общий стандарт ожидаемого от работника поведения в данной области. Это достаточно короткие документы (как правило, менее 10 страниц), цель которых в понятной и краткой форме установить, что требуется и что запрещено делать в компании (dos and donrsquo;ts).
Несмотря на то, что, как правило, все политики, принятые на глобальном уровне, по умолчанию считаются обязательными для всех работников группы, локализации обычно подлежат только те из них, которые применимы к данной юрисдикции (в данном случае, к России). В этом случае они также адаптируются и утверждаются либо приказами руководителя по отдельности, либо в форме приложений к Кодексу этики.
Описания отдельных процедур в рамках программы комплаенс. Эти документы содержат уже более специальные требования по выполнению сотрудниками отдельных действий и получению отдельных согласований, поэтому конкретные наборы у разных компаний будут еще более разниться.
В качестве примера такой процедуры можно в общем виде назвать процедуру проверки контрагентов, которая в зависимости от специфики бизнеса может быть принята в компании как некая общая процедура получения и проверки информации о контрагенте и как более специализированные процедуры идентификации и проверки платежеспособности клиентов (client acceptance), проверки квалификации и благонадежности потенциальных поставщиков/подрядчиков (vendor due diligence), проверки партнеров для совместных предприятий, комплаенс-проверки в рамках Mamp;A и т. п.
Положения трудовых договоров с работниками. Поскольку помимо специфики бизнеса здесь также возможны ограничения, связанные со спецификой локального трудового законодательства, глобальный стандарт, как правило, ограничивается требованием включения в трудовые договоры обязанности соблюдать Кодекс этики. Между тем, учитывая специфику российского трудового законодательства, рекомендуется для существенных должностей, сопряженных с повышенным уровнем комплаенс-рисков, включать в должностные инструкции дополнительные требования. Так, Рекомендации Минтруда содержат рекомендацию по введению антикоррупционных положений в трудовые договора работников в числе других антикоррупционных мероприятий[9].
Таким образом, описанные четыре уровня документации представляют собой пирамиду, где на вершине находится Кодекс этики, положения которого конкретизируются в политиках, требования которых в свою очередь прописаны в процедурах, а также при необходимости уточнены на уровне трудовых договоров с работниками.
Организационная составляющая.
В соответствии с Руководством, эффективная комплаенс-программа в организации должна иметь соответствующую организационную структуру, которая обеспечивает:
- осведомленность и общий контроль высшего органа управления (как правило, речь идет о членах совета директоров, которые по американскому корпоративному праву могут нести перед акционерами личную ответственность за действия компании, в том числе за правонарушения ее работников[10]);
- ответственность руководителей высшего звена организации за создание эффективной программы (так называемые Officers, относящиеся к высшему исполнительному менеджменту компании). При этом один из них может быть специально назначен ответственным за комплаенс-программу и, таким образом, исполнять функцию Compliance Officer;
- ответственность специально назначенных лиц (например, комплаенс-менеджеров) за реализацию комплаенс-программы (операционная ответственность).
При этом предусмотрено, что лица, ответственные за текущее функционирование программы (комплаенс-функцию), должны быть снабжены необходимыми для этого ресурсами, соответствующими полномочиями, а также иметь прямой доступ к органам управления организации (к совету директоров или к комитету совета директоров).
На практике существует несколько вариантов реализации этих требований. Так, комплаенс-функция может реализовываться как специально назначенными лицами, так и в качестве дополнительного функционала сотрудников других отделов (например, юридического). Ответственность за создание программы может быть передана как специально назначенному лицу (Сhief Compliance Officer), так и другому руководителю высшего звена (например, главе юридической функции в компании, General Counsel). Как член менеджмента, указанное лицо часто напрямую подчинено руководителю организации (CEO), хотя в случае риска конфликта интересов имеет право обратиться к совету директоров напрямую.
Так или иначе, при выборе модели организации комплаенс-программы компания должна учитывать результаты оценки комплаенс-рисков, а также то, что даже если комплаенс-функция является дополнительным функционалом, компания обеспечивает соблюдение требования Руководства в части наличия у ответственных лиц всех необходимых ресурсов (в том числе в терминах рабочего времени), полномочий и прямого доступа к органам управления организации.
Рекомендации Минтруда также содержат требования по определению организацией подразделения/должностного лица, ответственного за антикоррупционную комплаенс-программу. При этом также рекомендуется обеспечить их непосредственную подчиненность руководству организации и наделить их полномочиями, достаточными для проведения антикоррупционных мероприятий в отношении лиц, занимающих руководящие должности в организации". С точки зрения обеспеченности ресурсами также рекомендуется уделить пристальное внимание определению штатной численности, достаточной для выполнения возложенных на данное подразделение функций, а также обеспечить его необходимыми техническими ресурсами".
Российское законодательство в сфере ПОД/ФТ оперирует понятием специальное должностное лицо, ответственное за реализацию правил внутреннего контроля". Указанные лица должны соответствовать требованиям, предусмотренным законодательством о ПОД/ФТ, и проходить специальное обучение. Вместе с тем, законодательство в общем виде не предусматривает обязательных требований по подчиненности специальных должностных лиц и их месту в системе управления.
Раздел V Кодекса ЦБ посвящен системе управления рисками и внутреннего контроля и содержит рекомендуемую структуру, сходную с организационной составляющей системы комплаенс, описанной в Руководстве, а именно:
- ответственность совета директоров за определение принципов и подходов к организации системы управления рисками и внутреннего контроля в обществе и контроль за соответствием системы указанным принципам и подходам;
- ответственность исполнительных органов общества за создание и поддержание функционирования эффективной системы управления рисками и внутреннего контроля в обществе;
- ответственность отдельного структурного подразделения по управлению рисками и внутреннему контролю за операционный контроль за функционированием системы.
Проверка работников перед наймом
Руководство требует, чтобы компании предпринимали меры по недопущению найма на ответственные должности лиц, замеченных в незаконной или иной не соответствующей комплаенс-программе деятельности. Другими словами, частью комплаенс программы должна быть процедура отбора сотрудников, позволяющая избежать найма сотрудников, не соответствующих целям комплаенс-программы.
Российские нормы о комплаенс не содержат аналогичных положений, за исключением отдельных случаев законодательных запретов принимать на отдельные должности в отдельных отраслях лиц, имеющих судимость, и/или в отношении которых применена мера наказания в форме дисквалификации или ограничения на занятие отдельными видами деятельности.
Соответственно, сама возможность реализации данного требования в российской практике значительно ограничена, в том числе потому, что российское законодательство позволяет работодателю получать информацию о работнике (как от самого работника, так и от третьих лиц) только в случаях и в пределах, установленных законом.
Так, во-первых, в соответствии с Трудовым кодексом РФ все персональные данные работника следует получать у него самого. Если же это невозможно, то работодатель заранее должен получить письменное согласие проверяемого лица с указанием целей проверки, предполагаемых источников и способов получения персональных данных, характера подлежащих получению персональных данных[11].
Во-вторых, с точки зрения проверки наличия вовлеченности в незаконную деятельность потребовать у работника сведения о судимости работодатель может только в случаях, когда отсутствие судимости прямо предусмотрено законодательством для данной должности (например, для позиций в кредитных и страховых организациях[12], в организациях, работающих с несовершеннолетними[13], в сфере оценочной деятельности[14]). При этом даже в предусмотренных законом случаях справка о наличии (отсутствии) судимости и (или) факте уголовного преследования либо о прекращении уголовного преследования выдается только самому гражданину или его законному представителю и не может быть получена самим работодателем[15].
Для целей антикоррупционного комплаенс проверка работников при найме также необходима с точки зрения проверки связей новых работников с государственной службой. Так, в последние три года практики азиатских отделений многих крупных американских и европейских банков (среди которых JP Morgan Chase, Deutsche Bank, Bank of America, Citigroup, Credit Suisse, Goldman Sachs) по найму детей местных государственных чиновников с возможной целью получения государственных контрактов стали предметом расследования как местных, так и американских регуляторов с точки зрения возможного нарушения антикоррупционных требований[16].
В России статья 12 Федерального закона от 25.12.2008 г. № 273-ФЗ О противодействии коррупции" содержит обязанность бывшего государственного или муниципального служащего определенного уровня в течение двух лет после увольнения со службы уведомить своего нового работодателя о факте государственной/муниципальной службы и обязанность работодателя в десятидневный срок сообщить о заключении соответствующего трудового договора с бывшим служащим представителю нанимателя (работодателю) государственного или муниципального служащего по последнему месту его службы в порядке, устанавливаемом нормативными правовыми актами РФ. Регламентированная таким образом процедура найма бывших государственных и муниципальных служащих делает процесс более прозрачным и контролируемым, что само по себе должно способствовать снижению коррупционных рисков в данной сфере. Между тем, процедура не распространяется на родственников указанных чиновников.
Продолжим разговор о комплаенс в следующем номере журнала.
[1]Первым нормативным документом в России, содержащим понятие комплаенс, принято считать Указание ЦБ РФ от 7 июля 1999 г. № 603-У, которое определило комплаенс-контроль как часть системы внутреннего контроля кредитной организации.
[2] П. 2 статьи 13.3 Федерального закона от 25.12.2008 г. № 273-ФЗ О противодействии коррупции".
[3] Методические рекомендации по разработке и принятию организациями мер по предупреждению и противодействию коррупции, утверждены Минтрудом России 08.11.2013 г.
[7] https://www.justice.gov/opa/pr/former-morgan-stanley-managing-director-pleads-guilty-role-evading-internal-controls-required,http://www.fcpablog.com/blog/2012/4/27/breakthrough-feds-credit-morgan-stanley-compliance-program.html
[8] В терминах российского законодательства (Указание Банка России от 24.04.2014 г. № 3241-У, которое внесло соответствующие изменения в Положение от 16.12.2003 г. № 242-П Об организации внутреннего контроля в кредитных организациях и банковских группах") комплаенс-риск (иными словами, также регуляторный риск) определен как риск возникновения у кредитной организации убытков из-за несоблюдения законодательства РФ, внутренних документов кредитной организации, стандартов саморегулируемых организаций (если такие стандарты или правила являются обязательными для кредитной организации), а также в результате применения санкций и (или) иных мер воздействия со стороны надзорных органов".
[9] Рекомендации Минтруда, Таблица 1 Примерный перечень антикоррупционных мероприятий".
[10] Подробнее см. дело суда штата Делавер In re Caremark International Inc. Derivative Litigation, 698 A.2d 959 (Del. Ch. 1996).
[11] П. 3 т. 86 ТК РФ.
[12] Федеральный закон от 02.12.1990 г. № 395-1 О банках и банковской деятельности", Закон РФ от 27.11.1992 г. № 4015-1 Об организации страхового дела в Российской Федерации".
[13] Федеральный закон от 23.12.2010 г. № 387-ФЗ О внесении изменений в статью 22.1 Федерального закона О государственной регистрации юридических лиц и индивидуальных предпринимателей" и Трудовой кодекс Российской Федерации".
[14] Федеральный закон от 29.07.1998 № 135-ФЗ Об оценочной деятельности в Российской Федерации".
[15] Порядок получения справок предусмотрен Инструкцией о порядке предоставления гражданам справок о наличии (отсутствии) у них судимости, утв. Приказом МВД России от 01.11.2001 № 965.