Эффективная комплаенс-программа (compliance and ethics program): основные элементы и практические вопросы реализации в России. Часть 2
Продолжая начатый в предыдущей статье[1] разговор о требованиях российского и американского законодательства к комплаенс-системам, отметим, что Руководство США по назначению наказаний, налагаемых на организации (Federal Sentencing Guidelines for Organizations, далее - Руководство) требует обеспечить периодическую коммуникацию в адрес руководства компании, всех работников, а также иных лиц, имеющих существенные полномочия действовать от имени или в интересах компании.
Руководство не предписывает ни формата проведения тренингов, ни способов фиксирования прохождения работниками обучения. Поскольку с точки зрения эффективности цель здесь не только проинформировать сотрудников о том, что нужно и что нельзя делать, но и продать" им идею комплаенс, мотивировать их поступать правильно, ни один формат здесь, пожалуй, не будет слишком креативным, если только он не противоречит иным принятым в компании нормам и правилам. Так, помимо классических тренингов (электронных и очных, индивидуальных, групповых общих (например, для всех новых сотрудников) и групповых по отделам), компании размещают требования кодекса этики на плакатах на стенах офисов, на скринсейверах компьютеров и даже на подносах в корпоративных столовых.
Российской практике известны случаи, когда комплаенс-менеджеры проводили целые маркетинговые акции, посвященные комплаенс, с конкурсами и викторинами по теме комплаенс. В последнее время также становится популярным формат так называемых диалогов", когда обучение проходит в форме совещания сотрудников, которое ведет руководитель. В рамках данного совещания обсуждаются конкретные практические ситуации, применимые к ним требования кодекса и корпоративных политик и наиболее правильные с точки зрения компании решения.
Важным практическим инструментом доведения требований комплаенс до сотрудников также является периодическое письменное подтверждение каждым сотрудником (сертификация") факта соблюдения им всех требований кодекса этики в прошедшем периоде (например, 6 месяцев) и понимания своей обязанности сообщить о нарушении кодекса, если о таком ему станет известно. Такая сертификация, как правило, привязывается к прохождению сотрудником процедуры постановки ему целей трудовой деятельности на определенный период (как правило, 1 год) и периодической (как правило, раз в 6 месяцев) оценки достижения им поставленных целей (системы KPI, IPMP и т. п.).
В отличие от общего характера требований, изложенных в Руководстве, российское законодательство Федеральный закон №115-ФЗ О противодействие легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее ПОД/ФТ) содержит четкие формальные требования к формату и периодичности проводимого обучения сотрудников. Так, в соответствии с Положением о требованиях к подготовке и обучению кадров организаций, осуществляющих операции с денежными средствами или иным имуществом, в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, утвержденным приказом Росфинмониторинга от 03.08.2010 г. № 203, предусмотрено обязательное обучение сотрудников в форме вводного, целевого и дополнительного инструктажей, а также в форме повышения квалификации, а также установлены сроки, порядок прохождения и примерное содержание обучения.
Законодательство также предусматривает минимальный перечень должностных лиц подотчетных организаций, обязанных проходить обучение по ПОД/ФТ, а также требование прохождения обучения в форме целевого инструктажа и периодического (раз в три года или раз в два года в зависимости от профиля подотчетной организации) повышения квалификации в специальной аккредитованной организации[2]. Обучение сотрудников в иных формах проводится специальным должностным лицом. При этом законодательство содержит требование обязательной фиксации факта прохождения сотрудником обучения по ПОД/ФТ (в форме сертификата аккредитованной организации, проводившей обучения, записи в журнале при проведении обучения специальным должностным лицом или в иной форме, предусмотренной правилами внутреннего контроля организации).
Рекомендации Минтруда в отношении доведения до сотрудников требований антикоррупционного комплаенс консолидируют сложившиеся в России и в мире лучшие практики компаний. Так, в отличие от требований по обучению в сфере ПОД/ФТ, Рекомендации Минтруда предлагают комплексный подход к коммуникации для целей антикоррупционного комплаенс, который включает:
- информирование работников о принятой в организации антикоррупционной политике (путем ознакомления работников с антикоррупционной политикой под роспись, рассылки уведомлений по корпоративной электронной почте, обеспечения доступа к политике путем публикации на сайте и т. п.);
- консультирование сотрудников в индивидуальном порядке по частным вопросам противодействия коррупции;
- обучение по вопросам профилактики и противодействия коррупции.
При этом, аналогично требованиям по ПОД/ФТ, рекомендуется проводить обучение сотрудников по вопросам профилактики и противодействия коррупции как непосредственно после приема на работу (вводное обучение), так и в дальнейшем периодически с целью поддержания знаний и навыков сотрудников в сфере противодействия коррупции" (напоминание/обновление). Кроме того, дополнительное обучение рекомендуется проводить при назначении работника на иную, более высокую должность, а также в случае выявления провалов в реализации антикоррупционной политики, одной из причин которых является недостаточность знаний и навыков работников в сфере противодействия коррупции"[3].
В отличие от требований по ПОД/ФТ, Рекомендации Минтруда не устанавливают перечня должностей, при занятии которых сотрудникам необходимо проходить обучение. Вместо этого организациям рекомендуется при организации обучения сотрудников учитывать категорию обучаемых лиц, что в целом соответствует риск-ориентированному подходу, о котором говорилось выше.
Так, рекомендуется выделять следующие группы обучаемых:
- лица, ответственные за противодействие коррупции в организации;
- руководящие работники;
- иные работники организации.
Для небольших организаций предлагается заменить групповое обучение индивидуальным консультированием или проведением обучения совместно с другими организациями по договоренности[4].
Контроль эффективности комплаенс-программы
В соответствии с Руководством организация должна принимать разумные меры, направленные на:
а) обеспечение соблюдения программы по комплаенс и этике, включая осуществление мониторинга и аудита для целей выявления нарушений;
б) периодическую оценку эффективности программы по комплаенс и этике; а также
в) создание и внедрение механизмов, позволяющих, в том числе на условиях анонимности или конфиденциальности, сотрудникам и иным представителям организации передать сообщение или получить разъяснения в отношении потенциального или фактического нарушений, не опасаясь возмездия.
Эффективная комплаенс-программа немыслима без постоянного оперативного контроля за ее реализацией. Собственно, именно по результатам реализации контрольных механизмов компания может судить о том, насколько существующая на бумаге комплаенс-программа вошла в ежедневную практику ее сотрудников. С этой точки зрения регулярная (в компаниях с наиболее развитой программой комплаенс - ежегодная) оценка эффективности является обязательным элементом любой комплаенс-программы.
Самым распространенным методом является самооценка (self-assessment), которая, в отличие от привлечения внешних консультантов, осуществляется внутренними ресурсами компании. Самооценка эффективности программы комплаенс проводится, как правило, самим подразделением, ответственным за комплаенс, с возможным привлечением специалистов других департаментов (HR, безопасность, внутренний аудит). Параметры эффективности программы в разных компаниях варьируются и на практике включают: оценку степени вовлеченности высшего руководства компании, количественную/качественную оценку обучения сотрудников требованиям комплаенс, оценку проведенных расследований по нарушениям, примененные дисциплинарные и поощрительные меры, соблюдение кодекса этики и других комплаенс-политик[5].
Распространенным методом самооценки является использование специально разработанных опросников, которые подлежат з��полнению сотрудниками (членами фокус-группы). На основе анализа результатов опроса выявляются элементы программы, требующие улучшения/изменения. После внесения изменений эффективность политики вновь тестируется, и таким образом в конечном итоге достигается результат, близкий к 100% соблюдения требований политики. Этот процесс, описанный в книге Стефана Пейджа Как достичь 100% соблюдения политик и процедур"[6], разработан на основе цикла PDCA (Plan-Do-Check-Act" - планирование-действие-проверка-корректировка) и направлен на непрерывное совершенствование политик и процедур, что в том числе соответствует седьмому элементу эффективной комплаенс-программы, описанному далее.
Необходимо отметить, что с точки зрения развития самооценки системы антикоррупционного комплаенс в российских организациях интерес представляет некоммерческий проект Российский комплаенс-альянс", основу которого составляет опубликованная на сайте Альянса анкета для самооценки. Указанная анкета была разработана при участии специалистов из Высшей школы экономики и университета Пенсильвании и направлена на формирование понимания того, что должно содержаться в комплаенс-программе, создание инструмента для оценки деятельности компании, выявление областей деятельности, требующих совершенствования для достижения соответствия российским и общемировым правовым стандартам"[7]. Использование анкеты для целей самооценки комплаенс-программы организации является бесплатным.
Механизмы сообщения о нарушениях, упомянутые в Руководстве в числе требований по контролю за эффективностью комплаенс-программы, по сути являются на сегодняшний день центральными инструментами как мониторинга функционирования комплаенс-программы, так и важнейшим параметром при оценке ее эффективности. Именно с помощью работающей и активно используемой сотрудниками горячей линии или иных аналогичных механизмов руководство компании может обеспечить оперативное получение информации о нарушениях и в общем оценить степень развития комплаенс-культуры в организации.
Создать сам механизм достаточно несложно. В настоящее время на практике существует масса вариантов от классической телефонной горячей линии, позволяющей оставить анонимное сообщение, обрабатываемое сторонним независимым оператором, до веб-портала, позволяющего оставить сообщение в письменном виде. Кроме того, помимо фиксирования и оперативного эскалирования информации о нарушении, указанные механизмы также часто выполняют функцию информирования сотрудников о требованиях комплаенс, позволяя получить консультацию по возникшим у сотрудника вопросам в сфере комплаенс/требований кодекса этики.
Все эти механизмы, как правило, доступны в круглосуточном режиме на всех языках, используемых в компании. При этом внутренние документы компании должны фиксировать процедуру рассмотрения поступивших таких образом сообщений, порядок планирования и проведения расследования, принятия решения в отношении полученных результатов расследования и т. п.
В соответствии с исследованиями американского института Этисфера" (Ethispherereg; Institute) по результатам ежегодной оценки информации от компаний-кандидатов на звание Самая этичная компания в мире (World Most Ethical Company, WME), к лучшим практикам/трендам в сфере организации механизмов сообщений о нарушениях относятся:
- обеспечение возможности задать вопрос по комплаенс и этике в режиме интерактивного чата;
- наличие механизмов сообщения через страницу в сети Интернет, а также через внутренний интранет-портал компании;
- возможность оставить сообщение на нескольких языках;
- обслуживание горячей линии ресурсами сторонней независимой организации;
- наличие возможности оставить анонимное сообщение;
- проведение расследований по поступившим сообщениям с привлечением ресурсов отдела персонала, юридического отдела и отдела комплаенс.
С учетом наработанной практики лучших компаний, техническое создание горячей линии не является самым сложным. Наиболее трудным представляется обеспечение надлежащего использования работниками внедренных механизмов. Для того чтобы работники компании чувствовали свою ответственность за то, что происходит в компании, испытывали потребность сообщить, если чьи-либо действия, по их мнению, противоречат интересам организации, и использовали горячую линию для того, чтобы дать возможность компании исправить то, что неправильно, в компании должна быть развита соответствующая комплаенс-культура.
Именно на создание такой культуры в организации, в конечном счете, направлены все меры, содержащиеся в Руководстве. Одним из требований, не поименованных в Руководстве, но широко используемых на практике, является внедрение в компании политики по недопущению репрессивных мер в отношении лиц, добросовестно сообщивших о нарушениях (Non-retaliation policy). Как и любой другой элемент эффективной комплаенс-программы, данная политика не должна ограничиваться фиксированием на бумаге формального запрета применять наказания или любые ограничения к сотрудникам в связи с исполнением ими обязанности сообщить о нарушении. В соответствии с исследованиями Этисферы, для обеспечения защиты таких лиц (Whistleblowers) лучшие компании не только проводят специальные тренинги по требованиям указанной политики для руководящего состава, но также внедряют механизмы постоянного контроля за изменением должностного статуса и функционала всех whistleblowers для предотвращения возможных негативных последствий[8].
К сожалению, российские стандарты в области создания комплаенс-программ не придают такого значения созданию в компаниях работающих механизмов сообщений о нарушениях.
Так, Рекомендации Минтруда при перечислении рекомендуемых антикоррупционных процедур упоминают без дальнейшей детализации введение процедур информирования работниками работодателя о случаях склонения их к совершению коррупционных нарушений" и о случаях совершения коррупционных правонарушений другими работниками, контрагентами организации или иными лицами", а также порядка рассмотрения таких сообщений, включая создание доступных каналов передачи обозначенной информации (механизмов обратной связи", телефона доверия и т. п.)[9].
Несколько больше внимания в Рекомендациях Минтруда уделено вопросам внутреннего аудита и оценки эффективности антикоррупционной комплаенс-программы. Так, в соответствии с пунктом 7 Раздела IV Рекомендаций предлагается возложить функцию контроля за реализацией антикоррупционных мер на существующую в компании систему внутреннего контроля и аудита, создаваемую в российских организациях в целях соблюдения требований Федерального закона от 6 декабря 2011 г. № 402-ФЗ О бухгалтерском учете".
При этом Рекомендации не разграничивают понятия внутреннего контроля и аудита, предлагают возложить на систему внутреннего контроля и аудита реализацию следующих задач:
- проверка соблюдения организационных процедур и правил деятельности, которые значимы с точки зрения работы по профилактике и предупреждению коррупции;
- контроль документирования операций хозяйственной деятельности организации;
- проверка экономической обоснованности осуществляемых операций в сферах коррупционного риска (обмен деловыми подарками, представительские расходы, благотворительность, вознаграждения внешним консультантам и т. п.).
Напротив, Кодекс корпоративного управления, утвержденный Банком России 10.04.2014 г. (далее - Кодекс ЦБ), разграничивает понятия единой системы управления рисками и внутреннего контроля в обществе и внутреннего аудита как инструмента независимой оценки надежности и эффективности созданной в обществе системы управления рисками и внутреннего контроля[10].
Российское законодательство ПОД/ФТ также не содержит положений о механизмах сообщений о нарушениях. Вместо этого законодательство содержит формальное требование проведения компанией не реже одного раза в полугодие внутренних проверок выполнения в компании требований ПОД/ФТ. При этом предусмотрено, что по результатам такой проверки должен быть подготовлен письменный отчет, который представляется на рассмотрение руководителю организации. Требования к содержанию такого отчета ограничиваются тем, что отчет должен содержать сведения обо всех выявленных нарушениях" требований ПОД/ФТ.
Кроме того, обязательным требованием является принятие мер, направленных на устранение выявленных по результатам проверок нарушений"[11].
Последовательное применение поощрений за соблюдение комплаенс-требований и наказаний за нарушения
В соответствии с Руководством эффективная комплаенс-программа должна быть последовательно внедрена во всей организации посредством:
а) соответствующих стимулирующих мер за действия в соответствии с комплаенс-программой; и
б) соответствующих дисциплинарных мер за нарушения, включая непринятие разумных мер для предотвращения или выявления нарушений.
Необходимо отметить, что Руководство здесь сфокусировано, прежде всего, не на формальном закреплении поощрений и наказаний во внутренних актах компании, а на последовательном применении указанных мер компанией. Это означает, что компания должна выработать единый максимально прозрачный и конструктивный подход к оценке действий сотрудников и придерживаться его вне зависимости от занимаемых сотрудниками должностей.
Так, в случае выявления нарушения требований комплаенс-программы компания должна предпринять меры:
- по проведению тщательного и профессионального расследования;
- по применению к нарушителю дисциплинарных мер, соответствующих тяжести нарушения;
- по пересмотру и усовершенствованию мер внутреннего контроля для предотвращения аналогичных нарушений в будущем;
- по информированию сотрудников компании о принятых мерах в ответ на нарушение[12].
Знание и понимание сотрудниками компании того, что нарушение комплаенс-требований неизбежно повлечет соответствующее наказание, эффективно способствует предотвращению совершения нарушений и способствует созданию и укреплению корпоративной культуры нетерпимости к нарушениям.
Применение компаниями поощрений к сотрудникам за действия в соответствии с требованиями комплаенс и этики создает дополнительную мотивацию сотрудников поступать правильно. Такие поощрения могут быть как материальными (денежная премия, подарок от имени компании), так и нематериальными (сертификат/благодарственное письмо от имени руководства компании).
С точки зрения применения наказаний и поощрений в Рекомендациях Минтруда провозглашен принцип ответственности и неотвратимости наказания для работников организации вне зависимости от занимаемой должности, стажа работы и иных условий[13]. Дополнительно раздел II Рекомендаций Минтруда содержит разъяснения о возможности привлечения сотрудников организации к дисциплинарной ответственности, включая увольнение, за коррупционные правонарушения в соответствии с трудовым законодательством. Помимо указанных положений Рекомендации Минтруда не содержат требований в части применения организациями поощрений и наказаний в рамках реализации комплаенс-программы.
Аналогично, российское законодательство в сфере ПОД/ФТ не имеет подобных положений.
Кодекс ЦБ также не содержит однозначных рекомендаций в части применения обществами наказаний или поощрений к сотрудникам для достижения целей внутреннего контроля. Вместе с тем, при описании роли совета директоров общества в предупреждении, выявлении и урегулировании внутренних конфликтов между органами общества, акционерами общества и работниками общества, Кодекс ЦБ предусматривает, что соблюдение работниками установленных процедур по урегулированию конфликтов должно быть обеспечено мерами дисциплинарной ответственности, а также учитываться при оценке результатов деятельности соответствующих лиц[14].
Реагирование на преступное поведение
В соответствии с Руководством, в случае выявления нарушения организация должна принимать разумные меры для надлежащего реагирования на указанное нарушение и предотвращения аналогичных нарушений в будущем, в том числе внести любые необходимые изменения в программу по комплаенс и этике. При этом разумность" мер, естественно, будет определяться в зависимости от размера компании, специфики ее бизнеса и связанных с ним комплаенс-рисков, а также истории предыдущих нарушений[15].
Ни Рекомендации Минтруда, ни законодательство ПОД/ФТ не содержат аналогичных требований.
Между тем, необходимо понимать, что создание в компании эффективной комплаенс-программы вовсе не означает достижение компанией некого идеального статического состояния соответствия применимым нормативным требованиям. Наоборот, внедрение комплаенс-системы означает, что компания взяла на себя обязательство постоянно и непрерывно предпринимать меры по управлению комплаенс-рисками, которые включают не только меры по предотвращению нарушений, но и меры адекватного реагирования в случае, если нарушение произошло.
Как уже упоминалось выше, наличие отдельных нарушений не означает, что комплаенс-программа в общем не эффективна для целей их предупреждения и выявления. С точки зрения эффективности комплаенс-программы основное значение имеет не факт отсутствия нарушений, а факт надлежащего на него реагирования со стороны компании.
Так, правоприменительной практике США известно множество случаев, когда меры реагирования, предпринятые компанией в ответ на выявленное нарушение, в конечном счете позволяли компании добиться смягчения или даже избежать наказания[16]. К таким мерам реагирования можно отнести: проведение тщательного внутреннего расследования в связи с выявленным нарушением, применение дисциплинарных мер взыскания к виновным лицам, внесение изменений во внутренние контроли и процедуры для предупреждения нарушений в будущем, добровольное сообщение уполномоченным органам о факте нарушения и результатах внутреннего расследования, активное сотрудничество с уполномоченными органами в процессе расследования и т. п.
Таким образом, хорошей практикой является наличие в каждой компании четкого плана действий на случай выявления нарушения. Такой план действий, по сути, является планом по управлению последствиями реализации комплаенс-риска, включающим:
- перечень действий в случае выявления нарушения;
- описание видов событий, наступление которых является триггером реализации плана;
- роли и ответственность основных должностных лиц компании (руководителя, финансового директора, руководителя юридического подразделения, руководителя подразделения комплаенс и т. п.), членов совета директоров и других ключевых сотрудников;
- план проведения расследования, включая ответственных лиц;
- роль привлеченных юрисконсультов;
- уполномоченный представитель для общения с третьими лицами;
- отдельный план действий на случай, если правонарушение допущено одним из первых лиц компании[17].
Подобно планам подготовки к действиям в ситуации стихийного бедствия, наличие продуманного плана действий в случае наступления события, связанного с комплаенс-риском, позволяет, с одной стороны, подготовить компанию к действиям в чрезвычайных обстоятельствах, связанных с дополнительными рисками поспешных и необдуманных действий. С другой стороны, наличие такого плана позволяет компании продемонстрировать, что в ответ на нарушение были предприняты все разумные меры в соответствии с самыми высокими стандартами корпоративного управления[18].
Заключение
В настоящей статье мы рассмотрели минимальные требования, предъявляемые судами США при оценке эффективности систем комплаенс, существующих в американских компаниях, на предмет возможности смягчения или даже исключения наказания компании за правонарушение. Мы также сравнили подходы к аналогичным элементам системы комплаенс, закрепленные в российском законодательстве о ПОД/ФТ, Рекомендациях Минтруда по построению системы антикоррупционного комплаенс в российских организациях, а также в Кодексе корпоративного управления ЦБ. Мы увидели, что, несмотря на схожесть большинства элементов, нормативное регулирование вопросов построения системы комплаенс в России, в отличие от Руководства США, делает больший акцент на формальном закреплении стандартов поведения сотрудников, чем на выработке соответствующей корпоративной культуры компании.
Между тем, как справедливо подметил известный американский специалист по комплаенс Мартин Бигельман, комплаенс всегда начинается с людей и заканчивается на людях[19]. Эффективность комплаенс-системы достигается, прежде всего, не с помощью детально прописанных политик, правил и процедур, а путем последовательной и непрерывной работы с людьми - рядовыми сотрудниками компании, членами совета директоров, руководителями всех уровней. Именно необходимость достучаться" до каждого сотрудника компании, не просто донести применимые правила поведения, но добиться заинтересованности сотрудников в их реализации, обуславливает основную трудность в построении эффективной комплаенс-программы.
[1] Продолжение. Начало см. в №7 (146) за 2016 год.
[2] Процедура аккредитации таких организаций, программа обучения, требования по выдаче сертификатов о прохождении обучения также нормативно закреплены в актах регуляторов.
[3] Рекомендации Минтруда, Раздел IV. Антикоррупционная политика организации, п. 6.
[4] Там же.
[5] 2015 Worlds Most Ethical Companies Whitepaper, с. 18-19 http://insights.ethisphere.com/actionable-insights-from-the-2015-worlds-most-ethical-companies-whitepaper.
[6] Stephen Page, Achieving 100% Compliance of Policies and Procedures.
[8] 2015 Worlds Most Ethical Companies Whitepaper, с. 22-23 http://insights.ethisphere.com/actionable-insights-from-the-2015-worlds-most-ethical-companies-whitepaper.
[9] Рекомендации Минтруда, Раздел 4, Таблица 1.
[10] П. 5.2.1 Кодекса ЦБ.
[11] Постановление Правительства РФ от 30.06.2012 г. № 667 Об утверждении требований к правилам внутреннего контроля, разрабатываемым организациями, осуществляющими операции с денежными средствами или иным имуществом, и индивидуальными предпринимателями, и о признании утратившими силу некоторых актов Правительства Российской Федерации", п. 32.
[12] См. Martin T. Biegelman, Daniel R. Biegelman, Building a World-Class Compliance Program, John Wiley amp; Sons, Inc. 2008, с. 205.
[13] См. Рекомендации Минтруда, Раздел III. Основные принципы противодействия коррупции в организации.
[14] Кодекс ЦБ, п. 80.
[15] Martin T. Biegelman, Daniel R. Biegelman, Building a World-Class Compliance Program, John Wiley amp; Sons, Inc. 2008, с. 208-209.
[16] Например, в 2012 году американской компании BizJet удалось снизить сумму санкций с 28.5 млн. долларов до 11.8 млн. долларов благодаря усиленному сотрудничеству" с правоохранительными органами и предпринятым мерам в ответ на нарушение, подробнее http://www.fcpablog.com/blog/2012/3/16/bizjets-high-flying-cooperation-dividend.html.
[17] Martin T. Biegelman, Daniel R. Biegelman, Building a World-Class Compliance Program, John Wiley amp; Sons, Inc. 2008, c. 212-213.
[18] Там же, с. 214.
[19] Там же, с. 266.