Новий стандарт в області комплаєнс-систем ISO 37301:2021
Cтворення, впровадження, супровід та аудит комплаєнс-систем
Можливо, ви вже знайомі з ISO 19600 («Система менеджменту відповідності - Настанови"), випущеним в 2014 році, який є міжнародним стандартом і містить рекомендації, які допомагають організаціям розробити, впровадити, підтримувати, оцінювати і вдосконалювати систему комплаєнс менеджменту (Compliance Management System - CMS).
У квітні 2021 року Міжнародна організація по стандартизації (ISO) прийняла новий стандарт в області комплаенс - ISO 37301:2021 "Система управління відповідністю - Вимоги з керівництвом по застосуванню", який замінив собою стандарт ISO 19600:2014.
Ознайомитися з текстом можна на офіційній сторінці: https://www.iso.org/obp/ui/ru/#iso:std:iso:37301:ed-1:v1:en
Вимоги цього документа носять загальний характер і призначені для застосування до всіх організацій, незалежно від типу, розміру і характеру діяльності, а також в державному, приватному чи некомерційному секторах.
Застосування цього стандарту з правової точки зору не є обов'язковим, але може дати компанії додаткову конкурентну перевагу.
Наприклад, в деяких випадках, відповідності цьому стандарту вимагають фінансові організації при подачі заявки для отримання грантів на розвиток бізнесу, або залучення іноземного фінансування в іншій формі.
Крім того, впровадження такого стандарту - це використання міжнародного досвіду запобігання, прогнозування, ідентифікації та управління ризиками.
Бізнес адвокат для впровадження комплаєнс в компанії
Одним з ключових завдань будь-якого бізнесу є безперервний розвиток. Однак навіть утримати зайняті позиції буває непросто через виникаючі ризики, які можуть завдавати відчутної шкоди економіці бізнесу і, що не менш важливо, репутації бренду. Тому все більше компаній впроваджують комплаєнс і створюють спеціальні відділи зі співробітників, здатних виявити наявність передумов до виникнення ризику ще до його прояви і попередити можливі негативні наслідки. Цей світовий бізнес-тренд поступово приходить і в Україну і потребує таких спеціалістів як бізнес адвокат.
Деякі вітчизняні компанії неохоче направляють гроші на довгострокові проекти, яким є і комплаєнс. Однак результатом буде сталий розвиток компанії, підвищення конкуренто здібності, а також підвищення вартості бізнесу.
Міжнародною асоціацією комплаєнсу (International Compliance Association), визначено поняття «комплаєнс» як здатність діяти у відповідності до встановлених правил, норм, вимог та внутрішніх стандартів.
Історично комплаєнс почав своє становлення у США. Поштовхом для його розвитку стали 60-70 роки ХХ століття, зокрема Вотергейтський скандал, коли було викрито численні випадки корупції, які стосувалися також приватних компаній. З метою протидії такій ситуації було прийнято Закон США «Про корупцію за кордоном» (Foreign Corrupt Practices Act/FCPA), яким встановлені жорсткі правила контролю, вимоги до бухгалтерської та фінансової документації, а також правила взаємовідносин з державними службовцями.
В Україні у 2011 р. було прийнято Закон «Про засади запобігання і протидії корупції». У 2015 р. на його заміну прийшов Закон України «Про протидію корупції». Однак ухвалення зазначених законів не призвело до обов'язку створювати комплаєнс-системи.
Вперше в Україні комплаєнс з'явився у фінансовому секторі, а потім з часом розповсюдився вже і в інші сфери.
Так, методичними рекомендаціями щодо організації корпоративного управління в банках України, схваленими Рішенням Правління Національного банку України № 814-рш 03.12.2018 визначено комплаєнс як підрозділ контролю за дотриманням нормами та один із підрозділів банку, що здійснюють об'єктивну та незалежну оцінку діяльності банку, забезпечують достовірність звітності, виконання банком своїх зобов'язань.
Згідно п. 16 Положення «Про організацію внутрішнього контролю в банках України та банківських групах», затвердженого Постановою Правління Національного банку України № 88 від 02.07.2019, система внутрішнього контролю банку складається з таких компонентів: контрольного середовища, управління ризиками, притаманними діяльності банку, включаючи комплаєнс-ризик, контрольної діяльності в банку, контролю за інформаційними потоками та комунікаціями банку, моніторингу ефективності системи внутрішнього контролю банку. Крім того, система внутрішнього контролю банку забезпечує досягнення операційних, інформаційних, комплаєнс-цілей діяльності банку та реалізується на кожному з організаційних рівнів банку.
Система внутрішнього контролю банку має забезпечувати досягнення операційних, інформаційних та комплаєнс-цілей діяльності банку, визначених у його стратегії та бізнес-плані (п. 17 Положення).
Відповідно до пункту 20 Положення комплаєнс-цілі діяльності банку передбачають забезпечення організації діяльності банку з дотриманням вимог законодавства України, нормативно-правових актів Національного банку, внутрішньобанківських документів, стандартів професійних об'єднань, дія яких поширюється на банк.
Компанією KPMG (член мережі незалежних фірм KPMG, що входять до асоціації KPMG International Cooperative – «KPMG International») проведено дослідження, присвячене пріоритетам розвитку функції комплаєнс у компаніях України, СНД і ближнього зарубіжжя в 2020 році.
За результатами цього дослідження пріоритетними сферами комплаєнсу визначено:
- антикорупційний комплаєнс (93% компаній-респондентів),
- комплаєнс у сфері дотримання норм ділової етики (80%),
- захисту персональних даних (59%) і забезпечення конфіденційності інформації (55%),
- антимонопольний комплаєнс (54%).
Регулятори і правоохоронні органи в різних країнах випустили цілий ряд рекомендацій щодо організації комплаєнс-функції в компаніях.
Це, наприклад, «Керівництво з оцінки корпоративних комплаєнс-програм», випущене Міністерством юстиції США (DOJ) в квітні 2019 року, «Основні комплаєнс-вимоги управління з контролю за іноземними активами казначейства США (OFAC)», випущені в травні 2019 року, «Керівництво щодо оцінки комплаєнс-програми», випущене Бюро по боротьбі з шахрайством в особливо великих розмірах Великої Британії (SFO) в січні 2020 року.
Все це говорить про те, що комплаєнс-програми компаній як і раніше знаходяться в фокусі уваги правоохоронних органів, а отже ефективна організація комплаєнс- функції повинна бути на порядку денному і у керівництва, і у власників.
Як правило, регулятори очікують, що комплаєнс-функція включає в себе як мінімум наступні елементи: комплаєнс-зобов'язання керівництва і «тон зверху», оцінка ризиків, інформування та навчання, контроль і моніторинг.
В той же час, згідно з ISO 19600:14 (та ISO 37301:2021, яким замінено попередній стандарт), побудова ефективної комплаєнс-системи повинна включати ризик-орієнтований підхід, а оцінка ризиків є одним з ключових елементів комплаєнс- систем.
Країни пострадянського простору випустили свої рекомендації щодо побудови ризик-орієнтованих комплаєнс систем. Так, у грудні 2016 року (а в подальшому і у вересні 2017 року), Національне Агентство з питань запобігання корупції України затвердило «Методичні рекомендації щодо підготовки та реалізації антикорупційних програм юридичних осіб» (далі - Рекомендації).
Рекомендації детально та практично крок за кроком описують процедуру реалізації антикорупційних програм та підхід щодо оцінки внутрішніх та зовнішніх корупційних ризиків і відповідають на ряд поширених запитань. Наприклад:
- Що може слугувати основою для підготовки антикорупційної програми саме вашої компанії? Рекомендації пропонують до розгляду Типову антикорупційну програму та підіймають питання щодо регламентування порядку проведення внутрішніх розслідувань.
- На що саме слід вернути увагу під час перевірки ваших ділових партнерів?
- Конфлікт інтересів: карати не можна помилувати. Які існують типи конфлікту інтересів та які превентивні заходи можуть бути застосовані? Який алгоритм дій особи, що дізналась про наявність в неї конфлікту інтересів?
- Як проводити внутрішнє розслідування та яка відповідальність може бути призначена за виявлені антикорупційні порушення?
Як сказав Говард Шоу - голова технічного комітету ISO (міжнародної організації зі стандартизації), який розробив стандарт ISO 37301:2021, - «Дотримання вимог полягає не тільки в уникненні штрафів і не повинно обмежуватися одним відділом. Це справа кожного. Організації хочуть співпрацювати з компаніями, яким вони можуть довіряти. А довіра заснована на корпоративній культурі правильних вчинків, коли кожен співробітник вносить свій внесок, тому що розуміє важливість цього і вірить в його важливість. Головне в цьому - хороше керівництво і ясні цінності, які повинні виходити зверху».
Очікується, що переваги впровадження ISO 37301:2021 будуть включати не тільки зниження ризику штрафів через недотримання, а й покращення репутації, що підвищить довіру клієнтів та інших зацікавлених сторін і розширить можливості для бізнесу.