Полная версия
Комплаенс. Культура, люди, процессы, технологии. По пути к совершенной системе
Комплаенс
Культура, люди, процессы, технологии. По пути к совершенной системе
Вячеслав Николаевич Андрюшин
© Вячеслав Николаевич Андрюшин, 2025
ISBN 978-5-0065-8003-9
Создано в интеллектуальной издательской системе Ridero
От автора
Когда я только начинал свой профессиональный путь в комплаенсе1, я был совсем молод, а мир казался мне простым и понятным. Черное отделялось от белого, и где-то существовали правила и формулы, постигнув которые, я должен был стать профессионалом своего дела.
В погоне за знанием я заводил знакомства в сфере комплаенса, вступал в профессиональные сообщества и искал некую настольную книгу, которая фундаментально сможет расставить всё на свои места. И если первые и вторые постоянно помогали мне двигаться вперед, то книга всё никак не находилась.
Помню день, когда открыл для себя общую модель организации внутреннего контроля, разработанную COSO2. Она выглядела как философский камень для моих поисков. Тогда я еще не знал, что полнота реализованных мер ничего не говорит о качестве комплаенса; что культура организаций может кардинально отличаться и это влияет на характер возникающих рисков и методы управления ими; что культуру можно и нужно формировать; что образ и харизма комплаенс-офицера в организации также важны; что люди часто принимают катастрофические решения из лучших побуждений; а скорость развития мира и человеческого познания настолько стремительна, что актуальность новой технологии теряется уже ко дню ее промышленного внедрения.
В последующем совершенно неожиданно модель COSO стала не результатом пути, а отправной точкой для более удивительных поисков.
После 15 лет профессиональной деятельности во всех возможных направлениях комплаенса на финансовом рынке: противодействия коррупции и мошенничеству, инсайду и манипулированию, легализации преступных доходов, защиты различных видов информации, реализации международных требований и принципиально новых проектов, организации работы этических комитетов и горячих линий, внедрения этических принципов и правил поведения как для отдельных организаций, так и для финансового рынка в целом, – я пришел к следующей мысли:
«Комплаенс всегда связан с поведением людей,а значит, при построении совершенной системыважно не только „Что?“, но и „Как?“»К этой мысли мы еще не раз вернемся на страницах книги. Она прекрасно объясняет, почему внутренний контроль, в котором учтены все необходимые элементы, может давать серьезные сбои.
Сейчас, имея солидный портфель опыта и знаний, я искренне верю в то, что невозможно создать и растиражировать на все организации «правильную» модель комплаенс-системы, которая без существенных оговорок была бы для них в равной степени эффективна. Поэтому, создавая эту книгу, я не ставил своей целью передать читателю некое фундаментальное знание о комплаенсе, а хотел поделиться своими наработками, которые были опробованы на практике, дали результат и, с поправкой на культуру организации и стиль управления рисками комплаенс-офицера, могут быть эффективно применены в режиме plug-n-play для решения конкретных стоящих перед организацией задач.
Также на страницах книги я хочу поделиться ситуациями, которые происходили со мной или моими коллегами по цеху и дали повод задуматься о правильности подходов и методов построения комплаенс-систем. Все реальные ситуации будут упоминаться согласно правилу Chatham House3 – без названий организаций и ссылок на кого-либо.
Еще одно наблюдение заключается в том, что практические кейсы, которые заставляют задуматься и, как правило, не имеют готового решения, возникают всё чаще. Сейчас можно сказать, что они появляются еженедельно; и очевидно, что с каждым следующим годом этот временной интервал будет только сокращаться.
И это даже не затрагивая ворох кейсов, связанных с самыми современными технологиями.
Помните, как в 2022 году мы теоретизировали этические кейсы, которые возникнут в рамках развития темы искусственного интеллекта? Так вот, прошло несколько лет, мы в своей работе уже используем инструменты на основе больших языковых моделей, это же начали делать и мошенники. Мы боремся с ними, и это противостояние отдаленно напоминает что-то, о чём мы ранее читали у писателей-фантастов: искусственный интеллект прошел тест Тьюринга4, роботы структурируют за нас мысли, договариваются о свиданиях и собеседованиях. Кажется, что мы каким-то образом перенеслись из настоящего в будущее. Да, кстати, андроид Аннушка уже разлила машинное масло, и нам неизбежно предстоит столкнуться с комплаенс-проблематикой этой новой стороны нашей жизни в самое ближайшее время.
Данный факт красной линией обозначает актуальность и важность развития профессиональных сообществ, создания лучших практик и обмена опытом, непрерывного и ускоренного развития не только комплаенс-систем, но и комплаенс-офицеров.
Данный факт говорит и о том, что в скором времени комплаенс-функциям в организациях нужно будет либо перейти на абсолютно новый качественный уровень, либо показать свою несостоятельность.
Я надеюсь, что эта книга внесет свой вклад в развитие и эволюцию комплаенса, окажется для читателя интересной, а изложенный в ней опыт будет полезным на практике.
Приятного чтения!
Введение
Кажется, что сейчас термин «комплаенс» всё-таки обошел по употребляемости слово «электрофорез». Сформировалось сообщество профессионалов, первые выпуски профильных направлений успешно покинули вузы, слово звучит по телевизору (и пусть пока только по бизнес-каналам, но это тоже огромный шаг вперед).
Появились емкие и осмысленные труды в области построения систем внутреннего контроля. Кажется, что мы ответили на вопрос «Что?» и подходим к задаче создания эффективного комплаенса в организации, вооруженные детальными чек-листами и заряженные правильными принципами.
Разобравшись со «Что?», мы быстро расправились с «Зачем?» и вот перешли на новый уровень – теперь мы всё чаще задаемся вопросом «Как?».
Как транслировать работникам наши принципы и как донести до них наши идеи? Как вовлечь их в комплаенс, не потратив много ресурсов (а их зачастую попросту нет)? Как обеспечить выполнение требований и управление рисками на уровне сознания, обычного поведения людей, а не только маня их пряником или грозя кнутом?
Мой опыт показывает, что для успешного решения вопросов из разряда «Как?» необходимо успешно работать с четырьмя элементами:
– культурой организации;
– командой комплаенса;
– комплаенс-процессами;
– изменениями технологической среды.
Детальной проработке данных элементов и будет посвящена эта книга. На ее страницах мы будем говорить не столько о том, что нужно реализовать для создания эффективной комплаенс-функции, сколько о том, как мы должны ее создавать, чтобы она была эффективной.
Первый элемент – культура. Она помогает совершенно разным людям эффективно сосуществовать в рамках одной организации, объединяя их и делая единой командой.
Культура организации годами формируется всеми ее работниками. Это то, как они ведут себя в различных ситуациях и как принимают решения. При хорошем развитии этот элемент помогает любому члену команды в сложной ситуации быстро ответить на вопрос «А как на моём месте поступил бы работник моей организации?», поддержав качество управления риском. В то же время понятная, честная и транслируемая культура помогает кандидатам при ответе на вопрос «Хочу ли я здесь работать?», являясь магнитом для «своих» и сигналом для людей иного склада и поведения, которые, попав в компанию, с высокой долей вероятности могут через какое-то время разочароваться в своем выборе, снизить эффективность работы команды и привнести токсичность в коллектив.
О том, каким образом комплаенс может влиять на культуру организации, возможно ли построение культуры инструментами комплаенса и сколько времени это занимает, мы поговорим в первой главе книги.
Второй важный элемент – команда комплаенса. Это люди, которые определяют дизайн системы контролей, поддерживают и продвигают идеи комплаенса внутри организации. Сюда следует отнести не только соседей по подразделению, но и менеджмент, если они задают правильный тон по вопросам комплаенса, а также участников процессов и амбассадоров (про последних мы детально поговорим в соответствующем разделе книги). При грамотном развитии культуры командой комплаенса могут стать все работники организации.
Что интересно, при формировании команды комплаенса в процессе поиска ответа на вопрос «Как?» мы неизбежно убедимся, что экспертиза, гибкость, обучаемость и прочие классические «soft and hard skills»5 хотя и важны, однако не могут автоматически дать нам команду мечты и сформировать идеальную систему по управлению комплаенс-рисками. Чего-то всё равно будет не хватать.
Недостающими элементами окажутся реже вспоминаемые элементы, такие как моральные ориентиры или личная харизма, о которых мы отдельно поговорим во второй главе книги.
Правильно сформированная и сильная команда комплаенса помогает организациям эффективно управлять рисками в стремительно развивающемся бизнесе, принимать верные решения и необходимые меры митигации риска6 на интуитивном уровне, даже при отсутствии формализованных процедур.
Третья глава книги будет посвящена комплаенс-процессам. Это не только контроли, но и различные механизмы, которые мы применяем для решения тех или иных задач. Совершенно очевидно, что каким бы высоким ни был уровень осознанности у работников организации в вопросах управления риском, всё равно найдутся такие экспертные области, в которых это управление должно быть отнесено к компетенции специально обученных людей, а также продолжат появляться «гнилые яблоки», действия которых должны быть своевременно выявлены и пресечены.
При этом эффективно построенные комплаенс-процессы позволяют наилучшим образом соблюдать принцип «стоимость контролей должна быть дешевле стоимости реализации риска». На практике это означает, что мы при располагаемом ресурсе имеем все необходимые контроли, которые адаптированы к процессам организации, встроены в них и стабильно функционируют.
В четвертой главе книги мы будем говорить о развитии технологий в фокусе комплаенс-проблематики. Искусственный интеллект, генетические модификации, кибернизация человека и прочие современные процессы, которые всё плотнее входят в нашу повседневную жизнь, создают вопросы, ответы на которые нам еще предстоит найти. И необходимость этого поиска не эфемерна, не возникнет только завтра – она актуальна уже здесь и сейчас.
Противостоящие нам силы активно изучают новое и зачастую стоят на пике технологий, что заставляет и нас как можно скорее разобраться со всеми практическими и этическими аспектами новых сторон нашей жизни, иначе совсем скоро мы окажемся, условно говоря, на поле боя в набедренной повязке с костяным копьем против лазерного меча.
Сейчас очевидно, что эволюция профессии комплаенс-офицера – это вопрос самого ближайшего будущего. Ее масштаб и социальный эффект для вовлеченных людей будет сродни промышленной революции. Необходимость адаптации неизбежна, а ее успешность в большой степени зависит от способности конкретного эксперта выйти за рамки рутины и перейти к решению задач более высокого уровня, перед которыми пока что пасуют высокие технологии.
И пусть компьютер уже способен обмануть человека, выдав себя в процессе беседы за его сородича, он пока что не способен понять наши чувства и причины иррациональности решений. Обладая знанием о всех необходимых элементах комплаенса, он пока не может эффективно ответить на вопрос, как внедрить их наилучшим образом. Зато можем мы. Можем и должны это делать в процессе построения совершенной комплаенс-системы в своих организациях.
Прежде чем вы перейдете к изучению глав книги, отмечу еще один важный момент, касающийся ее структуры: один и тот же элемент комплаенса может описываться в разных главах книги. Например, в главе «Культура» мы разберем цели и важные смысловые конструкции кодекса этики, а подход к его внедрению в организации будет рассмотрен в главе «Процессы».
Поэтому одним из способов чтения книги является ее изучение в разрезе конкретного элемента с навигацией по содержанию. Выбирайте способ чтения исходя из ваших задач, целей и располагаемого времени.
Всё. Теперь только вперед!
Глава I. Культура
Отыщи всему начало,
и ты многое поймешь.
Козьма Прутков
Еще лет 5—7 назад на вопрос члена семьи, друга или, может быть, случайного человека, оказавшегося со мной в одной туристической группе, о том, чем я занимаюсь, внутренне мне сложно было ответить: «комплаенсом». Такой ответ обязывал готовиться к дополнительным вопросам, уточнениям. Почему-то хотелось ответить: «юристом» – при всём глубинном понимании разницы казалось, что такой ответ даст собеседнику более полное представление о роде моих занятий. Была и категория людей, для которых при любых уточнениях моя работа не выходила за рамки «работы в банке». К примеру, продавщица в магазине, расположенном в моём доме, постоянно спрашивала меня об актуальных ставках по кредиту. Объяснить ей, что по работе я не сталкиваюсь с этой информацией, мне так и не удалось.
Есть ощущение, что именно сейчас профессия, которой мы занимаемся, шагнула в массы и обыватели слышат слово «комплаенс» впервые уже не от нас, а, например, по телевизору, где ведущий новостей повседневно сообщает, что проблемы в такой-то компании возникли из-за плохого комплаенса, недостатков системы внутреннего контроля и тому подобное. При этом на вопрос «Что такое комплаенс?» на адаптационных семинарах в организациях разного масштаба и из различных отраслей новички могут дать настолько точный и развернутый ответ, что людям из профессии впору удивиться.
Сейчас кажется, что вот он – комплаенс, каким мы его знаем, каким он был всегда. Но это заблуждение. Сколько копий было сломано в процессе построения комплаенс-сообщества, создания единого языка, терминологии, донесения до заинтересованных сторон важности и полезности комплаенса, – да даже элементарно того, что они являются теми самыми заинтересованными сторонами такого явления, как комплаенс.
Кто-нибудь задумывался, сколько нашей профессии лет? Теоретики, которые изучают комплаенс, говорят, что нечто похожее на нашу профессию зародилось в 1906 году, когда в США было создано Управление по санитарному надзору за качеством пищевых продуктов. Данный государственный орган начал разработку правил, а также их контроль в отношении участников рынка, что потребовало от последних перестройки бизнес-процессов и определения отдельных лиц, ответственных за обеспечение соблюдения требований регулятора.
Новые идеи и технологии двигали жизнь вперед, хозяйственные отношения стремительно развивались, усложнялись, регулировались, но до того момента, когда «комплаенс» как профессиональный термин смог выйти за пределы страниц Оксфордского словаря, должно было пройти еще порядка 60 лет.
Сейчас нас это может удивить, но в 70-е годы термин впервые ворвался не в бизнес-среду, а в профессиональную медицину. В тот период активно изучались медико-социальные и этические проблемы педиатрии, исследовалось влияние различных факторов на приверженность пациента и его окружения лечению. При обсуждении врачами лекарственной терапии стал употребляться термин «комплаентность», означающий точное и осознанное выполнение рекомендаций врача в ходе лечения.
В эти же годы произошли знаковые для мира комплаенса события. Среди них: Уотергейтский скандал7, последовавшее за ним расследование Комиссии по ценным бумагам и биржам США (SEC) и принятие Закона о коррупции за рубежом 1977 года (FCPA), имеющего экстерриториальное действие.
Дальше – только вверх в плане возникающих перед организациями всё новых и новых регуляторных требований. Пробегаем крах Enron, превращение «пятерки аудиторов» в «четверку», Закон Сарбейнса—Оксли, стремительное развитие скорости международных расчетов и финансовой разведки, внедрение стандартов в части обмена налоговой информацией, «регуляторную гильотину»8, торнадо из экономических ограничений и доходим до наших дней.
Сейчас в своей работе мы всё чаще говорим не просто «комплаенс», а «комплаенс-культура», понимая, что выполнять или не выполнять требования работник может по разным причинам; что есть что-то большее, чем метод «кнута и пряника»; что правильное восприятие комплаенса кратно повышает шанс избежать реализации риска не только в ситуациях, которые были формализованы документами организации, но и в нестандартных, принципиально новых ситуациях, с которыми может столкнуться работник. Мы всё больше обращаемся к элементу осознанности в процессе выполнения требований, о важности которого медики говорят с 70-х годов.
Мы признали, что понимание работниками смысла совершаемого по требованию комплаенс-подразделения действия позволяет нам выйти на новый уровень в части качества управления риском. Мы видим целевой уровень комплаентности поведения в отношении существующих правил в организации на уровне логики действий людей при переходе дороги: подошел к проезжей части, дождался зеленого сигнала светофора, посмотрел налево, направо и перешел, без лишнего уточнения, зачем и кому это нужно. За нарушение правил дорожного движения, участником которого является пешеход, возможен штраф, но не о штрафе он думает – его поведение корректно уже на подсознательном уровне.
Важно понимать, что культура организации – это ее работники и их поведение, а не формализованные где-либо нормы и правила. Нормы являются важным элементом, но ничего не стоят без грамотного ответа на вопрос «Как?» в части их имплементации9 в повседневную жизнь компании.
Развитие комплаенс-культуры – это одно из важнейших направлений для лиц, ответственных за комплаенс. В то же время развитая комплаенс-культура является сильной стороной и отличительной особенностью современной организации, помогая ей стремительно развиваться и адаптироваться к изменениям при достаточном уровне управления возникающими перед ней рисками.
Но если культура – это работники организации, взрослые люди, которые имеют свои особенности воспитания, поведения и мнение по различным вопросам, то можно ли эту культуру строить / изменять / развивать?
Ответ: «Да».
Более важны вопросы «Как?» и «Сколько это времени занимает?».
Ответ на последний вопрос дам сразу: «3—5 лет» – о таком сроке говорят различные исследования и специалисты. Из своей практики могу также подтвердить данное утверждение: при грамотном подходе необходимое интуитивное поведение коллектива организации по конкретным областям вопросов можно обеспечить за 3—5 лет.
Кстати, это очень удобный интервал, так как часто сопостави́м с периодом действия стратегии организации до ее следующего существенного обновления. То есть цель по развитию культуры может быть включена в стратегию, а ее достижение может быть оценено вместе с иными целями при подведении итогов реализации данной стратегии.
На вопрос «Как?» (в том числе – «Как делать не следует и что пагубно влияет на развитие комплаенс-культуры?») мы ответим в соответствующих тематических разделах.
Границы и оценка состояния комплаенс-системы
Если мы начинаем что-то развивать (в нашем случае – комплаенс-культуру), мы должны изначально заложить возможность относительно объективно оценить эффект от наших трудов, а также наметить границы соответствующей системы.
Мы должны очертить элементы, области, риски, на которые будут направлены наши усилия.
Я никак не могу забыть ситуацию, когда только устроился на новую работу и пришел обедать в корпоративную столовую. В то время организация только недавно заявила сотрудникам о том, что намерена построить сильную комплаенс-культуру, но что это такое никто из работников толком еще не знал.
Так вот, взяв поднос с едой и удобно устроившись за свободным столом, я с удивлением заметил, как из неоткуда напротив меня материализовался усатый мужчина и принялся пристально смотреть на меня. «Безопасник» – подумал я. Подумал и не ошибся.
«Ты же из комплаенса? Так вот, у меня есть видеозапись, как двое работников занимаются этим самым прямо на сервере на техническом этаже. Прислать?» – прозвучало негромко.
Сперва я опешил, но быстро собрался с мыслями.
Ответ на мой вопрос «Зачем?» был следующим: «Это какое-то нарушение. Ты же из комплаенса – вот и разберись!».
Это хорошая иллюстрация для случая, когда работник не понимает суть ситуации, присутствующего в ней риска, не знает, какое подразделение за какой риск отвечает. Если вывести эту проблему на уровень организации, мы потенциально получим ситуацию, когда отдельные подразделения будут дублировать работу друг друга, а ряд серьезных рисков при этом «западет» между областями внимания контрольных функций.
Поэтому определение контрольной среды, границ контроля разных подразделений, непрерывный процесс мониторинга и идентификации риска – это не просто хороший тон или норма ISO 3730110, но и жизненная необходимость в ситуации, когда вы решили заняться развитием комплаенс-культуры на уровне с иными стратегическими целями организации.
Правильными инструментами для определения границ ответственности, а также для задания направления развития и последующей оценки состояния комплаенса будут:
– положение о структурном подразделении;
– создание комплаенс-стратегии;
– создание общей карты рисков организации;
– внедрение практики регулярной самооценки зрелости комплаенс-функции.
Создать положение о структурном подразделении позволит проведение первичного анализа контрольной среды организации. В рамках него будут выявлены комплаенс-риски, которые закрепит за собой соответствующая функция и ответственные за нее лица.
Помимо регуляторных рисков, нельзя упустить присутствие комплаенса в областях, отвечающих за поведение работников организации в общем смысле. Часто соответствующие области обозначаются словосочетанием Core Compliance, подразумевая этический комплаенс, управление коррупционным риском и конфликтом интересов за пределами выполнения регуляторных норм.
С комплаенс-стратегией сложнее. Помимо определения зон ответственности, необходимы оценка текущего состояния функции («as is») и целевого состояния функции («to be») в конце реализации стратегии, а также определение ключевых целей на период стратегии и принципов, в соответствии с которыми будет происходить реализация целей. Данный этап является крайне важным для эффективного развития комплаенс-культуры и требует тщательного анализа и достаточно глубокого планирования.
Необходимо создать карту рисков организации или встроиться в существующую. Данное упражнение позволит избежать дублирования в управлении рисками и «западения» рисков. Такая карта должна содержать исчерпывающий перечень применимых к организации рисков, их однозначное описание, ответственные за управление ими подразделения.
При реализации организацией внутреннего контроля по модели «трех линий защиты»11 в такую карту следует включить указание на отношение подразделения к соответствующей линии защиты.
Внедрение регулярной самооценки комплаенс-функции позволит выявлять и совершенствовать недостатки комплаенс-системы. Самооценка может представлять из себя комплекс вопросов по всем элементам системы, а также при необходимости может включать числовые значения с учетом особенностей операционной работы подразделения.
Я рекомендую строить вопросы самооценки на основе элементов модели COSO, придумать понятную шкалу ответов на вопросы, их вес и модель подсчета. В таком случае можно будет на регулярной основе показывать органам управления и иным заинтересованным сторонам динамику, достижения и проблемы комплаенс-функции в наглядном виде, с помощью графиков или диаграмм.
Я не ставлю перед собой цели рассказать про модель COSO и не буду перечислять ее элементы, но приведу примеры вопросов, которые могут быть использованы при создании методологии самооценки:
– Задокументированы ли все значимые процессы?
– Обеспечен ли легкий доступ работников к политикам и процедурам?
– Политики и процедуры изложены для работников понятным языком? Исключена возможность неправильной интерпретации?
– Функция имеет достаточно ресурсов для реализации поставленных задач (бюджет, люди, инструменты, технологии)?
– Статус функции позволяет ей участвовать в принятии значимых решений?
– Руководство компании демонстрирует тон сверху в отношении комплаенс-вопросов?
– Мониторинг изменения применимых к организации требований / идентификации рисков организован должным образом?
– Все ли необходимые обучения реализованы?