Как устроена комплаенс-политика в российских ит-компаниях. обзор tadviser

Как бороться с мошенничеством?

Одному крупному банку мы помогли внедрить систему, позволяющую выявлять угрозы хакерских атак и риски вывода денег. Это достигается за счет раскрытия подозрительных транзакций в автоматическом режиме, например нетипичное поведение клиента, который снимает деньги в разных регионах России, или большое количество перечислений одинаковых сумм со одного счета на другие. Система передает сведения о таких транзакциях специалисту. У него появляется информация о том, кто перевел средства, кому, куда и т.д. На основе этих данных он принимает решение о легитимности транзакции.

Нам также удалось выявить мошенническую схему. В течение нескольких месяцев преступники изучали инфраструктуру компании, выясняли конфиденциальную информацию из внутренних документов, после чего приступили к атаке. Это стало возможно из-за слабой комплаенс-системы, которая не смогла предотвратить утечку закрытых данных.

Благодаря тому что новая система автоматически выявляет подозрительные транзакции, эффективность работы специалистов возросла в разы – им больше не приходится вручную обрабатывать множество транзакций в поисках подозрительных переводов.

Карьера и уровень зарплаты

Должность комплаенс-менеджера особо востребована в банковских и кредитных организациях, крупных коммерческих и некоммерческий предприятиях различных отраслей экономики, аудиторских компаниях.

Получить необходимые знания и навыки можно на курсах профессиональной переподготовки. Обучение возможно на базе имеющегося высшего образования.

При наличии сертификата, подтверждающего полученные знания по специальности, можно рассчитывать на заработную плату от 50 000 руб. Средний уровень дохода комплаенс-офицера со стажем работы 3 года — от 80 000 руб.

Основные требования к кандидату

Для эффективного и качественного выполнения должностных обязанностей менеджера по комплаенс сотруднику необходимо:

Разбираться в антимонопольном, антикоррупционном законодательствах, владеть базовыми знаниями по юриспруденции, банковскому делу;
Быть внимательным к деталям;
Уметь быстро обрабатывать данные: это важно для работы с большими массивами законов, актов, политик и прочих регулятивных документов;
Знание английского языка, так как многие нормативные законодательные акты в сфере комплаенс имеют экстерриториальное действие и написаны на английском. Также уверенное знание иностранного языка важно при выходе компании на зарубежный рынок;
Аналитическое мышление: необходимо не только уметь интерпретировать и применять действующие отраслевые законы, но и анализировать и предугадывать их изменения;
Коммуникативные навыки: комплаенс-менеджеру приходится много взаимодействовать с сотрудниками, партнерами, контрагентами, контрольно-надзорными органами

Поэтому важно «чувствовать» людей, ситуацию и в процессе диалога добиваться для компании выгодных условий;
Желание постоянно учиться и развиваться: только находясь в потоке профессиональной информации, следя за трендами отрасли и внедряя в свою деятельность лучшие практики коллег, можно говорить о том, что менеджер по комплаенсу сможет быть эффективным и приносить пользу бизнесу.

Где получить образование?

Национальная Ассоциация Комплаенс на базе МГУ им. М.В. Ломоносова и РЭУ им. Г.В. Плеханова проводит ежемесячные курсы повышения квалификации по специальности «Комплаенс-менеджер».

По окончании обучения при успешном прохождении итогового тестирования студентам выдается сертификат установленного образца, подтверждающий возможность специалиста занимать должность комплаенс-офицера.

Как комплаенс предотвращает судебные тяжбы

Как уже неоднократно упоминалось, основная функция комплаенса – предотвращение рисков, в том числе и судебных. В рамках своего выступления глава практики по разрешению споров Kinstellar Мухит Елеуов представил интересную статистику, с которой столкнулся в рамках своей трудовой деятельности.

«В Медеуском районном суде города Алматы на одного судью приходится по 34-35 судебных актов в каждый рабочий день, в СМЭС города Алматы – по 4-5 судебных актов. Судьи не только перегружены, многие из них – новички, у них мало опыта. Около 40% судей районных судов имеют сейчас судейский стаж от 1 года до 5 лет. Судебные дела рассматриваются слишком быстро, обычно за 1-2 заседания. Нет досудебного раскрытия доказательств, свидетели не боятся лгать в суде, применение законодательства не единообразное», – перечисляет он проблемы, с которыми сталкивается компания в суде.

На фото: Мухит Елеуов, глава практики по разрешению споров Kinstellar

Как эксперт, Мухит Елеуов видит три выхода из этой ситуации: помогать судам улучшить их работу, уходить в арбитраж или искать механизмы по предупреждению судебных рисков.

Но повлиять на суды через легальные механизмы крайне сложно, а арбитраж не всегда работает. Обращение в международные суды – тоже спорное решение, поскольку на практике за годы независимого Казахстана республиканскими судами было признано только одно решение международного суда (Лондонского) – по делу «Шымкентпиво».

Тщательный анализ, разработка мероприятий и инструкций по предупреждению потенциальных исков выступают сегодня едва ли не единственным эффективным решением для компаний, которые хотят управлять ресурсами осознанно, а не зависеть от судебных решений.

Основные направления комплаенса

Формирование корпоративной этики. Работа на данном направлении деятельности предполагает создание свода правил поведения сотрудников. Такой документ должен затрагивать все сферы деятельности организации. При этом рекомендации, зачастую, формируются в общем виде, без конкретики. Более детально регламентировать этические нормы поведения внутри компании призваны другие документы.

Предупреждение случаев отмывания доходов. В развитых странах это обыденная практика. Такая работа проводится, исходя из международных норм и рекомендаций. Целью является противодействие поступлению средств, нажитых преступным путем, в легальный сектор экономики.

Урегулирование конфликтов. Здесь речь идет о конфликте интересов, который может возникнуть между сотрудниками, либо клиентами компании, или клиентом и сотрудниками. По результатам комплаенс-деятельности в данной сфере издается документ, регулирующий поведение в конкретных возможных ситуациях

Важным моментом здесь является декларирование того, что интересы компании должны приниматься во внимание в первую очередь.

Противодействие коррупции

В рамках такой работы важно осознавать и разделять понятия «подарок» и «взятка». В крупных западных компаниях у топ-менеджера могут возникнуть серьезные проблемы, даже в том случае, когда во время переговоров он примет в подарок от партнеров самую обыкновенную ручку

Данное направление комплаенс-активности очень обширно и имеет большое значение для компании.

Предупреждение нарушений сотрудниками этических норм. Это направление работы предполагает внедрение практики информирования о случаях пренебрежения моральными и этическими нормами среди сотрудников. Также в ходе такой активности регламентируются порядок и способы проведения внутренних расследований и фиксации нарушений.

Выстраивание продуктивных отношений с надзорными органами. Конечно, при соблюдении компанией всех установленных законодательством норм, ей вряд ли грозят санкции со стороны государственных структур. Однако встречаются случаи, когда, несмотря на прозрачность деятельности, у фирмы все же возникают определенные проблемы. Поэтому такая работа заслуживает пристального внимания.

Политика конфиденциальности. В результате деятельности в данной сфере формируется культура работы с персональными данными клиентов. Здесь подразумевается неразглашение сотрудниками информации в личных целях, а также эффективность взаимодействия с клиентами, а также обработки поступающих жалоб.

Контроль в сфере покупки ценных бумаг

Это важное направление работы для финансовых организаций

За рубежом ему уделяется особое внимание. Целью является предотвращение фактов покупки сотрудниками ценных бумаг и другой биржевой активности, если это противоречит интересам компании в данный момент

Обычно специалистам требуется согласование своих действий с руководством компании.

Разделение информации внутри компании. Такая деятельность направлена, в первую очередь, на сохранение коммерческой тайны. Также она призвана препятствовать возможным мошенническим действиям со стороны сотрудников, владеющих закрытой внутренней информацией

Важно предоставлять разным специалистам и отделам только ту информацию, которая необходима им для работы, и ничего лишнего. Это комплаенс-направление в обязательном порядке внедряется за рубежом в любой финансовой организации.

ПОД/ФТ — противодействие отмыванию преступных доходов

Криминал стремится различными способами легализовать деньги, добытые преступным путём. Легализация (отмывание) доходов — это процесс, посредством которого преступники пытаются скрыть истинное происхождение доходов, полученных посредством преступной деятельности. Если им это удаётся, они обеспечивают легитимное прикрытие источнику незаконных доходов.

Чтобы «отмыть» грязные деньги, нужно каким-то образом поместить их на счёт любой финансовой организации. Если преступность сможет выполнить этот шаг, то далее для государства эти средства будут уже легитимными.

Почему это важно не допускать?

Государство же активно противодействует попаданию преступных денег в легальный оборот. Это необходимо делать, чтобы лишить преступность экономической подпитки. А значит — и дальнейшего роста и распространения преступности.

Поэтому в большинстве стран правительство считает легализацию незаконных доходов угрозой для репутации страны, экономического благосостояния и безопасности её граждан. Отмывание денег способствует развитию социальных проблем и насилия в результате преступности.

Существуют достаточные доказательства того, что чем проще преступникам отмывать деньги, тем более распространёнными являются насильственные преступления, в частности, в сфере проституции и наркоторговли.

Этапы отмывания денег

Размещение

Этап размещения заключается в первоначальном внедрении «грязной» наличности или преступных доходов в финансовые структуры, магазины, и другие компании. Как правило, этот этап служит двум целям.

Во-первых, преступник освобождается от необходимости иметь при себе и хранить крупные суммы наличных денег. И во-вторых, деньги попадают в законную финансовую систему.

Такое «размещение» делает средства более ликвидными. Например, если положить наличные деньги на счёт в банк, то становится проще осуществлять их перевод или выполнять с ними какие-либо другие операции.

Поймать преступников, занимающихся отмыванием денег — легче всего именно на этапе размещения. На этом этапе они наиболее уязвимы, поскольку размещение крупных сумм (или наличности) в законных финансовых учреждениях может вызвать подозрения со стороны сотрудников.

И обязательный комплаенс в финансовых учреждениях всего мира во многом служит для того, чтобы противодействовать отмыванию преступных доходов именно на этапе размещения.

Расслоение

На следующем шаге преступность «путает следы». Это нужно, чтобы скрыть нелегальное происхождение размещённых средств, и таким образом облегчить их дальнейшее использование. Для этого деньги нужно перевести на другие счета, рассредоточить и завуалировать их.

Этот процесс дистанцирования размещённых средств от их нелегальных источников и называется расслоением. На этом этапе преступники прибегают к самым разнообразным способам сокрытия источников дохода.

Они используют нескольких банков и различные счета, привлекают профессиональных агентов в качестве посредников, делают переводы через корпорации. Средства могут проходить через сеть банковских счетов, компаний и стран с целью сокрытия их происхождения.

Объединение

На финальном шаге те средства, которые преступности удалось поместить на различные счета и тем самым сделать легитимными — объединяются. И могут быть использованы криминалом в рамках легальной финансовой системы для дальнейшей преступной деятельности, либо финансирования терроризма.

Различия KYC и AML

KYC относится к процессу проверки личности и оценки рисков, а AML представляет собой спектр методов борьбы с отмыванием денег, используемых для защиты от финансовых преступлений, выявления и сообщения о них. Однако многие финансовые организации не могут полностью реализовать один или оба этих аспекта, ошибочно полагая, что они выполняют одну и ту же задачу.

KYC выступает одним из принципов, которые нужно соблюдать, чтобы соответствовать правилам AML. Причем, отказ от проверки KYC станет поводом для уголовного преследования, даже если организация работает легально и честно.

AML, по сути, это процесс соответствия, который состоит из анализа информации о клиентах, чтобы соответствовать требованиям FATF. При этом одним из источников информации о компании является документ KYC, который включает качественную и количественную информацию.

AML и KYC

(Фото: amlbot.com)

Андрей Симаков, руководитель продукта «Риски и комплаенс» компании «Диасофт», отмечает, что KYC и AML дополняют друг друга. По его словам, когда современные крупные банки объявляют конкурс, они включают отдельные блоки и по выявлению сомнительных операций AML и KYC. Однако, когда речь идет о банках с недостаточным капиталом, KYC может быть не предусмотрена. Симаков поясняет, что в этом случае банки предпочитают ориентироваться на открытые справочники и неавтоматизированную идентификацию.

Эксперт отметил, что в России идентификация клиента регламентируется Положением Банка России от 15 октября 2015 года № 499-П, а для его проверки можно использовать открытые перечни, реестры, а также СМИ и другие источники.

«AML — это, в основном, техника соблюдения законодательства в определенной стране. В 2021 году в нашей стране ЦБ и Росфинмониторинг ввели много новых правил контроля операций и исключили некоторые устаревшие. Кроме того, нормой AML стала блокировка операций клиентов, которые имеют совпадения с различными перечнями (их список недавно пополнил реестр запрещенных ресурсов от Роскомнадзора). Таким образом, самым успешным игроком становится тот, кто хорошо разбирается в российском законодательстве. Это, как правило, местные игроки», — рассказал Симаков.

Термины KYC и AML встречаются только в тех странах, где есть законодательные ограничения. В офшорах таких требований нет.

Причины и следствия

Теперь отстранимся от предыдущей сюжетной линии и обратимся к реализовавшимся рискам, иными словами проблемам, которые возникли на предприятиях вследствие наступления определенных событий. Проблемы бывают различных масштабов, а информацию о наиболее крупных из них нам очень часто удается видеть на первых страницах деловой прессы, а также иных СМИ. При этом традиционно многих интересует, что произойдет с прямыми виновниками этих событий, но при этом не все задумываются, какие меры были предприняты в отношении того персонала, чье бездействие или недостаточный профессионализм привели к потерям.

Практически любое происшествие в организации означает, что контроль в той или иной сфере не налажен или это сделано не должным образом. Соответственно, виноват не только тот, кто допустил нарушение, но также и тот, кто не предпринял всех необходимых мер для того, чтобы этого не произошло. Это может говорить об отсутствии или недостаточной эффективности превентивных механизмов, которые должны противодействовать образованию неблагоприятных ситуаций.

Часто контрольные функции «настраиваются» так называемым реактивным методом: выявленные в результате некоего события недочеты системы исправляются «заплатками» – в виде авторизации платежей, «принципа четырех глаз» и т. п. Далее всем заинтересованным лицам – акционерам, кредиторам, инвесторам, контрагентам и другим – сообщают, что виновные найдены и меры приняты. И этот цикл может повторяться до тех пор, пока в компании не будет внедрено управление рисками, которое направлено на заблаговременное их предупреждение.

Собственно, эффективное управление рисками строится на трех китах: «выявление» (умение идентифицировать риски), «предупреждение» (контроль рисков) и «реагирование» (умение правильным образом действовать в определенных ситуациях). Любые контрольные функции имеют своей целью снижение вероятности возникновения любого риска и / или смягчение последствий его реализации. Минимизация последствий часто выражается в том, что сотрудники организации знают, что они будут делать при реализации риска и как они продолжат свою деятельность.

Комплаенс в условиях ограниченности кадровых ресурсов: уровневая организация

То, каким образом следует выстраивать систему комплаенс-контроля в организации напрямую зависит от масштабов последней, от количества ресурсов, которыми располагает компания, в том числе кадровых. Так, не хватать сотрудников – комплаенс-менеджеров может как в небольшой организации, так и в крупной. Все зависит в том числе от финансовых возможностей и ключевых направлений деятельности компании, ее приоритетов.

На примере антикоррупционного комплаенса опытом организации системы контроля в условиях наличия небольшого относительно «габаритов» компании штата сотрудников – специалистов по комплаенсу поделился заместитель начальника Центра по организации противодействия коррупции ОАО «РЖД» Максим Трушин. Он указал на то, что прежде всего для успешного функционирования комплаенс-системы в любом случае необходимо утвердить соответствующие локальные нормативные акты компании – антикоррупционную политику, порядки уведомления работниками о получении подарков, а также о фактах обращения к ним в целях склонения к совершению коррупционных правонарушений, кодекс деловой этики и т. д. В представляемой экспертом организации закрепляются также обязательства работников в части соблюдения требований антикоррупционных документов независимо от занимаемой должности в коллективном договоре (). Эксперт отметил, что с помощью трудового и коллективного договоров можно осуществлять регулирование конфликта интересов. Кроме того, он указал на необходимость ведения реестра коррупционных рисков, выявления должностей, функционал которых сопряжен с такими рисками.

Специфика работы комплаенс-системы при «дефиците» соответствующих кадров может выстраиваться, о чем рассказал Максим Трушин, на основе обособления уровней управления. Например, центрального, регионального, а также так называемых линейных уровней (то есть непосредственно связанных с производством продукции, например). В представляемой экспертом компании более 5 тыс. линейных подразделений, поэтому работу комплаенса приходится организовывать путем укрупнения охвата уровневого контроля и назначения соответствующих ответственных лиц. Такие лица курируют работу нескольких подразделений.

Напомним, что при внедрении антикоррупционного комплаенса можно воспользоваться Методическими рекомендациями по разработке и принятию организациями мер по предупреждению и противодействию коррупции, утвержденными Минтруда России 8 ноября 2013 г

Министерство, кстати, рекомендует при формировании структурного подразделения, ответственного за противодействие коррупции, уделять пристальное внимание определению штатной численности, достаточной для выполнения возложенных на данное подразделение функций, а также обеспечению его необходимыми техническими ресурсами

Комплаенс – система многоуровневая

Нина Мощенская рассказала, какие уровни включает комплаенс. 

Первый, самый простой уровень – оценка соответствия продукции установленным обязательным требованиям и корректности ее проведения с точки зрения правил и процедур. По сути, комплаенс продукции по наполнению аналогичен той услуге, которую мы оказывали при декларировании. Стоит отметить, что услуга декларирования в РОСТЕСТе никогда не приравнивалась к простой передаче сведений во ФГИС, а означала активное участие в оценке соответствия вместе с заказчиком. 

Некоторые технические регламенты, например на пищевую, парфюмерно-косметическую продукцию, содержат требования к процессам проектирования или производства продукции. Задачей комплаенса второго уровня (комплаенса процессов) является оценка правильности интерпретации и выполнения первой стороной требований к процессам.

Третий уровень предполагает внедрение и сертификацию систем менеджмента качества в соответствии с международными стандартами, самым универсальным и распространенным из которых является ISO 9001, на основе которой существует ряд других систем менеджмента, например система менеджмента безопасности пищевой продукции ISO 22000. Сертифицированная система менеджмента позволяет гарантировать и демонстрировать всем заинтересованным сторонам способность организации обеспечивать выполнение всех обязательных требований как к продукции, так и к процессам. РОСТЕСТ является органом, аккредитованным в том числе и на проведение сертификации систем менеджмента.

Самый высокий, четвертый, уровень предполагает создание и сертификацию системы комплаенс-менеджмента в соответствии с международным стандартом ISO 19600. Система комплаeнс-менеджмента охватывает уже требования всех сфер законодательства, которые тем или иным образом связаны с деятельностью данного предприятия.

Элементы комплаенс на примере политики Simens

Человеку, незнакомому с функционированием бизнеса, может показаться, что соблюдать правила – это легко. Прочитай пару документов и следуй им. На самом деле все гораздо сложнее.

Действует очень много нормативных актов, определяющих разные стороны хозяйственной деятельности – трудовые отношения, поведение на рыке, права потребителей, налоговые взаимоотношения, технические стандарты и т. п. Они постоянно меняются и порой противоречат друг другу.

Важно не только следить за всеми новациями, но и разработать стандарты проведения типовых операций и поведения персонала в разных ситуациях, обучить сотрудников, поддерживать знания в актуальном состоянии. Также необходимо отслеживать нарушения и реагировать на них

Полноценная комплаенс-политика требует значительных денежных, временных затрат, и под силу только крупным кампаниям. Рассмотрим на примере корпорации Simens, что включает система управления рисками.

После разразившегося коррупционного скандала кампания разработала правила, которые должны свести к минимуму вероятность повторения ситуации. Принципом работы фирмы стало отсутствие толерантности к коррупции и нарушениям правил конкуренции. Девиз: «Только чистый бизнес – это бизнес Simens».

Система комплаенс разделена на три уровня:

1. Предотвращение;
2. Выявление;
3. Реакция.

Что входит в каждый из них можно посмотреть в таблице.

С целью проведения политики международная корпорация разработала внутренние документы, действительные для всех подразделений:

1. Руководство по деловому поведению Simens;
2. Кодекс поведения (для поставщиков).

Кампания размещает отчетность за год на официальном сайте. Здесь же можно сообщить о фактах нарушений.