Правильными инструментами для определения границ ответственности, а также для задания направления развития и последующей оценки состояния комплаенса будут:

– положение о структурном подразделении;

– создание комплаенс-стратегии;

– создание общей карты рисков организации;

– внедрение практики регулярной самооценки зрелости комплаенс-функции.

Создать положение о структурном подразделении позволит проведение первичного анализа контрольной среды организации. В рамках него будут выявлены комплаенс-риски, которые закрепит за собой соответствующая функция и ответственные за нее лица.

Помимо регуляторных рисков, нельзя упустить присутствие комплаенса в областях, отвечающих за поведение работников организации в общем смысле. Часто соответствующие области обозначаются словосочетанием Core Compliance, подразумевая этический комплаенс, управление коррупционным риском и конфликтом интересов за пределами выполнения регуляторных норм.

С комплаенс-стратегией сложнее. Помимо определения зон ответственности, необходимы оценка текущего состояния функции («as is») и целевого состояния функции («to be») в конце реализации стратегии, а также определение ключевых целей на период стратегии и принципов, в соответствии с которыми будет происходить реализация целей. Данный этап является крайне важным для эффективного развития комплаенс-культуры и требует тщательного анализа и достаточно глубокого планирования.

Необходимо создать карту рисков организации или встроиться в существующую. Данное упражнение позволит избежать дублирования в управлении рисками и «западения» рисков. Такая карта должна содержать исчерпывающий перечень применимых к организации рисков, их однозначное описание, ответственные за управление ими подразделения.

При реализации организацией внутреннего контроля по модели «трех линий защиты»11 в такую карту следует включить указание на отношение подразделения к соответствующей линии защиты.

Внедрение регулярной самооценки комплаенс-функции позволит выявлять и совершенствовать недостатки комплаенс-системы. Самооценка может представлять из себя комплекс вопросов по всем элементам системы, а также при необходимости может включать числовые значения с учетом особенностей операционной работы подразделения.

Я рекомендую строить вопросы самооценки на основе элементов модели COSO, придумать понятную шкалу ответов на вопросы, их вес и модель подсчета. В таком случае можно будет на регулярной основе показывать органам управления и иным заинтересованным сторонам динамику, достижения и проблемы комплаенс-функции в наглядном виде, с помощью графиков или диаграмм.

Я не ставлю перед собой цели рассказать про модель COSO и не буду перечислять ее элементы, но приведу примеры вопросов, которые могут быть использованы при создании методологии самооценки:

– Задокументированы ли все значимые процессы?

– Обеспечен ли легкий доступ работников к политикам и процедурам?

– Политики и процедуры изложены для работников понятным языком? Исключена возможность неправильной интерпретации?

– Функция имеет достаточно ресурсов для реализации поставленных задач (бюджет, люди, инструменты, технологии)?

– Статус функции позволяет ей участвовать в принятии значимых решений?

– Руководство компании демонстрирует тон сверху в отношении комплаенс-вопросов?

– Мониторинг изменения применимых к организации требований / идентификации рисков организован должным образом?

– Все ли необходимые обучения реализованы?

– Реализованы ли инструменты получения обратной связи по комплаенс-вопросам?

– Дисциплинарные меры за нарушения применяются последовательно ко всем подразделениям и работникам всех уровней?