Життя кожної компанії - це по своїй суті суцільний комплаєнс від самого її заснування. Відповідність законодавчим та регуляторним вимогам, стандартам, кращим практикам сприймається як «must have», а не як примарний еталон. Кожна компанія, яка прагне досягти успіху, йде шляхом постійного покращення та вдосконалення. Відтак невід'ємною частиною цього процесу є проходження періодичних перевірок та оцінок діяльності компанії.
Чи потрібна компанії комплаєнс-перевірка?
Комплаєнс-перевірка чи «перевірка на відповідність» дозволяє виявити невідповідність внутрішніх процесів компанії вимогам, які містяться у відповідних джерелах. Найчастіше йдеться про відповідність нормам національного та міжнародного законодавства, положенням внутрішніх політик компанії або групи, до якої вона входить. Залежно від мети проведення перевірки також можуть враховуватися положення міжнародних стандартів та сертифікацій, світових практик та усталених бізнес-практик.
За результатами перевірки компанія отримує інформацію щодо виявлених недоліків у визначеній сфері її діяльності, проблемних або недостатньо врегульованих питань певного бізнес-процесу тощо. Обов'язковою складовою результатів комплаєнс-перевірки є зазначення джерела, яке визначає рівень відповідності (наприклад, норма закону, рекомендації профільних асоціацій, судова практика тощо). Окрім цього, розповсюдженою практикою є зазначення рекомендацій для усунення виявлених недоліків чи покращення бізнес-процесу.
Як підготуватися до комплаєнс-перевірки?
Успіх проведення комплаєнс-перевірки напряму залежить від рівня підготовки до неї. Далі зазначені прості практичні рекомендації, які допоможуть організувати процес перевірки від самого початку та структурувати під час її проходження.
1. Мета перевірки. Розуміння і чітке визначення цілей перевірки є першим і одним з найважливіших кроків. Саме від поставленої мети будуть залежати наступні підготовчі та організаційні дії. Наприклад, проведення перевірки діяльності структурного підрозділу компанії може бути здійснено її власними зусиллями (наприклад, із залученням спеціалістів внутрішнього аудиту компанії), в той час як для перевірки відповідності міжнародним стандартам доцільніше залучити зовнішнього радника або профільну організацію.
2. Очікувані результати. Компанія має чітко розуміти, що вона хоче отримати за результатами перевірки: побачити свої сильні сторони та зони для покращення, отримати загальні висновки щодо відповідності чи детальні рекомендації з покроковою імплементацією. Це важливо визначити з самого початку, щоб перевірка максимально відповідала очікуванням і потребам компанії.
3. Строки проведення перевірки. Чітко визначені строки сприяють дисципліні залучених осіб та ефективності процесу в цілому. Як правило, на період проходження комплаєнс-перевірки всі завдання, пов'язані з нею, є пріоритетними для працівників та залучених осіб, що також доводиться до відома керівництвом компанії.
4. Відповідальні та залучені особи. Залежно від мети і сфери проведення перевірки компанія приймає рішення щодо осіб, які будуть відповідальними за цей процес. На практиці існують наступні варіанти проведення перевірок:
а. Перевірка внутрішнього аудиту. Зазначений варіант є одним з найбільш розповсюджених, оскільки до функціональних обов'язків спеціалістів із внутрішнього аудиту як правило відноситься здійснення контролю та періодичної оцінки дотримання компанією вимог законодавства та регуляторних актів. Внутрішні аудитори добре розуміють діяльність компанії «зсередини» і можуть оперативно підключитися до аналізу будь-якого питання. З однієї сторони, це є перевагою, наприклад, перед залученням зовнішніх радників. Водночас така модель проведення комплаєнс-перевірки може ставити під загрозу критичність суджень відповідальних осіб, оскільки вони позбавлені можливості «подивитися на ситуацію зі сторони».
б. Створення робочої групи всередині компанії. Ця модель передбачає залучення фахівців з різних напрямків (наприклад, юридичного, фінансового, управління ризиками, ІТ тощо) і проведення перевірки власними зусиллями компанії. Як правило, такий формат взаємодії використовується для реалізації окремих проєктів (наприклад, перевірка готовності для отримання сертифікації або відповідності стандарту) або вирішення ситуативних завдань (наприклад, у разі внесення змін до законодавства, які впливають на діяльність декількох структурних підрозділів або реалізацію бізнес-процесу).
в. Залучення зовнішніх радників. Цей варіант передбачає співпрацю компанії з фахівцями-консультантами, які спеціалізуються на проведенні комплаєнс-перевірок у визначеній сфері (наприклад, дотримання вимог певної галузі законодавства, відповідність компанії критеріям для отримання сертифікації тощо). Такий спосіб проведення перевірки є розповсюдженим серед компаній, які здійснюють регульований вид діяльності, оскільки наслідками невідповідності можуть бути не тільки значні фінансові втрати, а й повне зупинення бізнес-діяльності (анулювання ліцензії чи дозвільних документів). Таким чином компанії зацікавлені в отриманні експертної думки та мінімізації ризиків, пов'язаних з потенційною невідповідністю законодавчим та регуляторним вимогам.
Варто зазначити, що залучення зовнішніх радників не означає відсторонення компанії від процесу комплаєнс-перевірки. Керівництво визначає осіб, відповідальних за надання необхідної інформації та матеріалів, а також контактну особу, яка буде безпосередньо підтримувати зв'язок з підрядниками з усіх питань. Налагоджений процес комунікації та обміну інформацією між компанією та зовнішніми радниками є запорукою ефективної співпраці та досягнення бажаної мети перевірки.
Незалежно від обраної моделі співпраці керівництво компанії має попередити співробітників про намір проведення комплаєнс-перевірки. В першу чергу йдеться про працівників, до функціональних обов'язків яких належить здійснення контролю за відповідністю компанії певним вимогам (наприклад, комплаєнс-офіцер, антикорупційний уповноважений, керівники структурних підрозділів компанії). Окрім цього необхідно попередити працівників, які є відповідальними за бізнес-процеси, що будуть аналізуватися, або можуть бути потрібними для надання необхідної інформації та матеріалів. Це дозволить співробітникам розуміти пріоритетність робочих задач, а також планувати свій робочий час.
5. Матеріали та інформація. Незалежно від того, хто здійснює перевірку (співробітники компанії або зовнішні радники), належна підготовка матеріалів для аналізу є ключовим аспектом. Безумовно, обсяг та деталізація необхідної інформації може варіюється залежно від мети перевірки та може змінюватися в процесі її проходження, однак деякі підготовчі кроки компанія все ж може зробити в цьому напрямку.
а. Підготовка матеріалів у належному форматі. Враховуючи популярність дистанційного формату роботи в Україні та збільшення спектру державних послуг, які надаються онлайн, сканування паперової документації вже стало невід'ємною частиною більшості підприємств. Тому запланована комплаєнс-перевірка це чудова можливість перевірити наявність ключових документів в оцифрованому форматі. Наприклад, якщо внутрішня політика компанії затверджується підписом уповноваженої особи та печаткою компанії, або погоджується з регулятором, то для перевірки має надаватися саме сканкопія документа, а не його проєкт чи «фінальна редакція».
б. Інтерв'ю та письмові роз'яснень. Існують ситуації, коли в компанії є бізнес-процес, не врегульований законодавчими або внутрішніми актами, однак який входить в периметр комплаєнс-перевірки. В такому випадку з особами, залученими до даного бізнес-процесу, проводиться бесіда (інтерв'ю) для отримання інформації, яка не підтверджується документально. Альтернативно залучені до процесу особи можуть описати його письмово у вільній формі. Відтак, керівництво має попередити співробітників про це і попросити підготуватись заздалегідь.
в. Канал передачі інформації. Компанії слід завчасно подумати про шляхи передачі інформації та документів між особами, залученими до здійснення перевірки. Обмін інформацією всередині компанії легше організувати, оскільки більшість сучасних компаній мають власні ресурси загального доступу (наприклад, мережевий диск) та корпоративну пошту. Передача інформації зовнішнім радникам може мати свої особливості, які залежать, в першу чергу, від змісту документів та ступеня їхньої секретності. Наприклад, корпоративні документи компанії (статут, відомості з державних реєстрів тощо) як правило не містять конфіденційної інформації або взагалі перебувають у публічному доступі. Тому передача таких документів корпоративною поштою або схожими захищеними каналами не становить загрози для компанії. Водночас під час проведення комплаєнс-перевірки може перевірятися інформація, несанкціоноване розповсюдження або втрата якої може мати значні негативні наслідки для компанії або третіх осіб. Це, наприклад, стосується стратегічних або проєктних планів компанії; документів, які містять персональні дані осіб; документів, які містять таємну інформацію (наприклад, у сфері оборони). В такому разі доцільно використовувати захищені методи та засоби для обміну (передачі) інформації: зберігання інформації (навіть тимчасове) має відбуватися у повністю контрольованому середовищі з персоналізованим доступом (лише тим особам, які мають на це право); передача інформації має відбуватися лише з використанням захищених каналів зв'язку тощо. Якщо документи у паперовому вигляді та не підлягають оцифруванню (з розумінь секретності), то для їхнього вивчення зовнішні радники запрошуються в офіс компанії й ознайомлюються на місці.
6. Робочі зустрічі. Окрім розуміння загальних строків проведення комплаєнс-перевірки доцільно встановити графік робочих зустрічей для обговорення «проміжних» результатів. Даний аспект особливо важливий у разі здійснення довгострокової перевірки або одночасної перевірки за декількома напрямками. Це дозволяє не тільки відстежувати прогрес перевірки, але й виявляти та усувати труднощі в робочому процесі.
Перелік кроків в рамках підготовки до комплаєнс-перевірки є невичерпним і може змінюватись залежно від галузі і специфіки діяльності компанії. Однак до всіх перевірок застосовується правило «Чим ретельніше компанія готується до перевірки, тим краще буде її результат».
Чи потрібна компанії перевірка під час дії режиму воєнного стану?
Поширеною є думка, що під час дії воєнного стану компанії немає сенсу проводити комплаєнс-перевірку, якщо тільки її не ініціює контролюючий орган. До того ж, враховуючи той факт, що більшість перевірок призупинені на цей період, то у компаній відсутня будь-яка мотивація. Як то кажуть «не на часі». З однієї сторони, з цим важко не погодитись, оскільки горизонт бізнес-планування короткий, а професійні виклики поступаються базовим речам і потребам. Однак варто пам'ятати, що під час воєнного стану діють додаткові обмеження, які стосуються майже кожної галузі та сфери діяльності, і законотворчий процес не припиняється. Наприклад, численні зміни були внесені до положень, що регулюють трудові відносини, співпрацю компаній з закордонними клієнтами, роботу валютного ринку України та проведення розрахунків в цілому, здійснення фінансового моніторингу тощо. Тому вкрай важливо не тільки тримати руку на пульсі, відслідковуючи вищезазначені зміни, але й робити «домашню роботу» з аналізу існуючих комплаєнс-ризиків компанії. Варто розуміти, що краще провести превентивні заходи, ніж потім витрачати фінансові та часові ресурси на усунення наслідків вчасно невиявленого ризику.
Аліна Січкар,
старша юристка KPMG в Україні
Як ефективніше виконувати комплаєнс-процедури для бізнесу? З новим рішенням LIGA360:Compliance. Контролюйте дотримання вимог законодавства, здійснюйте due dilligence та AML/KYC перевірки, моніторте репутацію вашої компанії та партнерів. Дізнайтеся більше переваг за посиланням.