История финансовых кризисов показала, что погоня за сиюминутной сверхприбылью без должного контроля ведет к созданию «мыльных пузырей», которые неизбежно лопаются. Эти события заставили как государственные регуляторы, так и руководство компаний по-новому взглянуть на управление рисками. Если раньше эта функция часто носила рекомендательный характер, то сегодня она трансформировалась в полноценный контрольный механизм. Современные системы риск-менеджмента не только устанавливают стандарты работы, но и обеспечивают строгий надзор за соблюдением внутренних политик и процедур.
Как это работает?
Бесплатная консультация
Современная практика выделяет три основные категории рисков: финансовые, операционные и бизнес-риски. Каждая из них, в свою очередь, дробится на более узкие виды. Например, финансовые риски включают в себя кредитные риски и риски ликвидности. Операционные — риски, связанные с работой персонала и сбоями в системах. Бизнес-риски охватывают стратегические просчеты и угрозы деловой репутации. Этот список не исчерпывающий, и классификация может быть еще детальнее. Однако всех их объединяет общий итог — финансовые потери. Эти потери могут выражаться как в прямых убытках, так и в упущенной выгоде из-за нереализованных возможностей.
Руководители часто больше сосредоточены на предотвращении прямых убытков, ведь психологически сложнее потерять уже имеющиеся активы, чем недополучить потенциальную прибыль. Именно поэтому контроль над такими рисками, как репутационные, долгое время оставался на втором плане. Тем не менее, при детальном рассмотрении становится ясно, что ущерб от потери доверия клиентов, партнеров и регуляторов может многократно превысить прямой финансовый ущерб.
Причины и следствия: почему возникают проблемы
Давайте перейдем от теории к практике и рассмотрим реализовавшиеся риски — то есть конкретные проблемы, с которыми сталкиваются компании. Масштабы таких проблем варьируются, а о самых громких из них мы регулярно читаем на первых полосах деловых изданий. Общественность обычно интересует судьба непосредственных виновников инцидента, но реже задается вопросом: какие меры были приняты в отношении сотрудников и руководителей, чье бездействие или низкая квалификация позволили ситуации развиться?
Практически любой инцидент в организации — это индикатор сбоя в системе контроля. Он сигнализирует, что превентивные механизмы либо отсутствуют, либо работают неэффективно. Таким образом, ответственность лежит не только на том, кто нарушил правило, но и на тех, кто не создал условий, чтобы это правило нельзя было нарушить.
К сожалению, часто контрольные функции настраиваются «по факту» — реактивно. Обнаружив слабое место после какого-либо происшествия, компания ставит на него «заплатку»: вводит дополнительную авторизацию, принцип двойного контроля («четыре глаза») и т.д. Затем стейкхолдерам — акционерам, инвесторам, партнерам — сообщают, что виновные наказаны и меры приняты. Этот цикл может повторяться до бесконечности, пока в компании не будет внедрена проактивная система управления рисками, направленная на их предупреждение, а не на ликвидацию последствий.
Эффективный риск-менеджмент базируется на трех ключевых процессах: идентификация (умение вовремя распознать угрозы), предупреждение (внедрение контроля для снижения вероятности риска) и реагирование (четкий план действий на случай, если риск все-таки реализовался). Главная цель любых контрольных функций — уменьшить шансы возникновения проблем и смягчить их последствия, если они все же произошли. Минимизация ущерба часто заключается в том, что сотрудники точно знают, как действовать в кризисной ситуации, чтобы бизнес-процессы продолжились с минимальными потерями.
Управление рисками потери деловой репутации
Положительная репутация — это ценный нематериальный актив. Она формируется годами благодаря отсутствию публичных скандалов и последовательному соблюдению правовых и этических норм. В современной экономике пришло время уделять этому активу не меньше внимания, чем финансовым показателям, и выстраивать для его защиты полноценную систему управления рисками.
Для этого необходим комплекс мер, направленных на минимизацию вероятности вовлечения компании в ситуации, которые грозят не только штрафами, но и подрывом доверия со стороны регуляторов, инвесторов, клиентов и общества в целом. Одним из ключевых инструментов для решения этой задачи стал комплаенс (от англ. compliance — соответствие).
В последние годы этот термин прочно вошел в лексикон российского бизнес-сообщества. Суть комплаенс заключается в обеспечении соответствия деятельности компании не только требованиям законодательства, но и внутренним политикам, которые разрабатываются с учетом лучших международных практик.
Управление репутационными рисками через комплаенс реализуется путем создания внутренних регламентов и формирования корпоративной культуры. Задача — добиться, чтобы все сотрудники и контрагенты, действующие от имени компании, придерживались высоких профессиональных и этических стандартов. В результате компания укрепляет свой имидж как надежного и предсказуемого партнера, сотрудничество с которым не несет дополнительных рисков.
Практика иностранных компаний: чему стоит поучиться
Мировая практика, особенно в финансовом секторе, знает множество случаев, когда провалы в системе комплаенс приводили к колоссальным убыткам, оттоку клиентов и краху деловых отношений. Именно поэтому в международных компаниях, будь то банки, производственные холдинги или государственные структуры, комплаенс-политики внедряются и совершенствуются уже не одно десятилетие.
Конкретное наполнение функции комплаенс может различаться в зависимости от юрисдикции и специфики бизнеса. Оно может включать такие направления, как инвестиционный комплаенс (честные продажи финансовых продуктов), налоговый комплаенс, политики справедливого отношения к клиентам, защиты персональных данных и многие другие. Это разнообразие подчеркивает, что комплаенс — не шаблон, а гибкая система, которую нужно адаптировать под нужды конкретной организации.
Основные политики комплаенс: обязательный минимум
Несмотря на различия, существует набор стандартных политик, которые в той или иной форме применяются в большинстве солидных компаний по всему миру:
1. Кодекс корпоративной этики. Это фундаментальный документ, задающий морально-этические ориентиры для всей организации. В нем прописываются ценности компании, стандарты поведения сотрудников и их ответственность.
2. Политика противодействия отмыванию доходов (ПОД/ФТ). Краеугольный камень для финансовых институтов и многих других компаний. Ее цель — не допустить проникновения в легальную экономику средств, полученных преступным путем, и пресечь финансирование терроризма. Основывается на международных стандартах (FATF).
3. Политика принятия и дарения подарков. Четко разграничивает бытовые знаки внимания и потенциальные взятки. Часто не запрещает подарки полностью, но устанавливает лимиты по стоимости и вводит процедуры уведомления и согласования, что особенно актуально в странах с сильными культурными традициями дарения.
4. Политика сообщений о нарушениях (Whistleblowing). Регулирует каналы, по которым сотрудники могут анонимно или конфиденциально сообщать о нарушениях внутри компании. Грамотная реализация этой политики — один из самых эффективных инструментов внутреннего контроля.
5. Политика управления конфликтами интересов. Определяет правила поведения для ситуаций, когда личные интересы сотрудника пересекаются с интересами компании или клиентов. Залогом является приоритет интересов организации над личными.
6. Политика контроля операций сотрудников с ценными бумагами. Устанавливает ограничения и процедуры согласования для личных торговых операций сотрудников (особенно в финансовом секторе), чтобы предотвратить использование инсайдерской информации и market timing.
7. Политика «Китайской стены» (Информационные барьеры). Критически важна для инвестиционных и консалтинговых компаний. Создает непроницаемые перегородки между подразделениями, работающими с конфликтующей информацией (например, инвестиционный банкинг и исследовательский отдел), чтобы избежать злоупотреблений.
8. Политика взаимодействия с регулирующими органами. Устанавливает единые правила и каналы коммуникации с контролирующими инстанциями, что помогает выстраивать конструктивный диалог и минимизировать риски.
9. Политика конфиденциальности информации. Регулирует защиту персональных данных клиентов и коммерческой тайны, что особенно важно в свете ужесточающегося законодательства (например, GDPR в ЕС).
Помимо этого, компании могут разрабатывать и другие документы: политики должной осмотрительности (Due Diligence), обработки жалоб, обучения персонала и т.д. Набор политик формирует уникальную архитектуру комплаенс-контроля в каждой организации.
Общие принципы построения эффективной системы комплаенс
Наличие красивого набора политик в папке — это только начало. Для реальной работы системы необходимо соблюдение ключевых принципов:
- Ответственность руководства. Высший менеджмент и совет директоров должны нести прямую ответственность за комплаенс и активно участвовать в управлении этой функцией, придавая ей стратегический вес.
- Независимость и полномочия. Служба комплаенс часто вступает в противоречие с краткосрочными коммерческими интересами подразделений (например, отказывая в работе с выгодным, но сомнительным клиентом). Поэтому она должна обладать необходимыми полномочиями, высоким статусом в иерархии и независимостью в принятии решений.
- Взаимодействие с внутренним аудитом. Функции внутреннего контроля и комплаенс должны быть разделены, но тесно взаимодействовать для выявления и оценки рисков. Аудит проверяет, как работает система, которую выстраивает комплаенс.
- Квалификация персонала. Комплаенс-контролеры должны обладать не только глубокими знаниями законодательства и отраслевых практик, но и развитыми коммуникативными навыками, чтобы доносить свою позицию до бизнес-единиц.
- Культура соблюдения. Самое большое заблуждение — считать, что за комплаенс отвечает только одно подразделение. На самом деле, это ответственность каждого сотрудника. Поэтому критически важны регулярные тренинги, разъясняющие не только «что делать», но и «почему это важно». Эффективное обучение — залог внедрения комплаенс в корпоративную ДНК.
При этом важно найти баланс. Чрезмерно жесткий комплаенс может парализовать бизнес, создавая бюрократические барьеры для каждой операции. Задача руководства — определить ту самую «границу», где контроль рисков не превращается в препятствие для развития. Эта граница не статична: ее нужно постоянно корректировать, отслеживая изменения в законодательстве и рыночной среде.
Выстроенная по этим принципам система комплаенс не только защищает репутацию, но и становится конкурентным преимуществом. Она облегчает выход на международные рынки и сотрудничество с крупными иностранными партнерами, для которых наличие зрелой комплаенс-культуры — обязательное условие работы.
Для российского бизнеса, интегрирующегося в мировую экономику, внедрение передовых практик комплаенс перестало быть опцией и стало необходимостью. Грамотный комплаенс способствует установлению справедливых и прозрачных отношений на рынке, минимизирует правовые и репутационные угрозы, а в конечном итоге — повышает устойчивость, стоимость бизнеса и благополучие его сотрудников.
Больше интересных статей здесь: Бизнес.
Источник статьи: Комплаенс для «чайников».