«Если вы не способны описать то, что делаете,
как процесс – вы не знаете, что делаете».
Эдвардс Деминг [1]
Intro. Неидеальный мир
Мир без комплаенса уже был. В том мире уже были юристы. В мире без реального комплаенса и независимого внутреннего аудита случился Enron [2].
Если бы мир был идеальным, то этой статьи и ее темы никогда не было бы. Если бы мир был неидеальным, но все следовали и исполняли наилучшие на текущий момент рекомендации, отраженные в стандартах ISO [3] по комплаенсу, – эту статью тоже было бы не о чем писать.
Но в неидеальном мире, где лучшим практикам (и то не всегда) следуют самые лучшие и прогрессивные, а все остальные с разной степенью успешности преодолевают ситуацию конфликта между (функциями/личностями/интересами и т.д.), проблема, «боль» и тема для этой статьи есть.
Вопрос, который еще долго будет звучать — а как правильнее: «комплаенс и юристы» или «комплаенс vs. юристы»? Практически «быть или не быть» в мире с комплаенс.
Рассмотрим, что должно «быть» для создания эффективных процессов взаимодействия комплаенс и юристов, какие вопросы еще влияют на наличие или отсутствие этой эффективности.
3 линии защиты
С точки зрения концепции 3-х линий защиты [4] юридическая функция и функция комплаенс относятся ко 2-й линии защиты, где размещены функции внутреннего контроля и надзора. Помимо юридической и комплаенс функций ко второй линии защиты также относятся функции рисков, внутреннего контроля, безопасности и HR (управление персоналом). Согласно этой модели, ключевая роль функций второй линии зашиты — это фокус на специфических объектах риск-менеджмента, таких как: соответствие требованиям законов и регуляторов, приемлемое этическое поведение, внутренний контроль, информационная и технологическая безопасность, устойчивость и обеспечение качества.
И здесь юристы и комплаенс в первую очередь ответственны за соответствие требованиям законов и регуляторов, а также за приемлемое этическое поведение.
Реализация всех функций второй линии защиты реализуется через оказание консультаций и экспертной поддержки, мониторинга и эскалации выявленных рисков в первую очередь менеджменту и бизнесу для принятия операционных мер, направленных на минимизацию рисков. Этот подход по-разному изложен в положениях о структурных подразделениях комплаенс и юридической функции.
Взаимодействие: как и про что взаимодействуют между собой юристы и комплаенс?
Можно выделить 3 основные направления взаимодействия: сотрудничество по проектам, идентификация проблемных зон и информирование о выявленных рисках.
Сотрудничество по проектам
К лучшим практикам относится предоставление отдельных экспертных заключений и поддержки от юристов и комплаенс по следующим типам проектов:
1. Сделки M&A (слияния и поглощения)
Необходимость и целесообразность проведения сделок M&A при участии, а во многом и лидирующей роли юридической функции давно не ставится под сомнение и является частью обычного ведения дел.
А вот вовлечение функции комплаенс в первую очередь в процесс предварительной оценки (Due diligence или DD) объекта M&A сделки происходит далеко не всегда. Во многом это связано с тем, что предполагается, что юридический DD включает в себя вопрос комплаенс.
Так, как правило, юридический DD включает правовую экспертизу правоустанавливающих документов по каждому активу объекта оценки. Его цель — выявить их вид, объем и риск выбытия, а также сформировать рекомендации по защите активов, прав компании и её собственников.
Комплаенс может сделать общую картину DD в отношении планируемого объекта сделки более объемной и целостной по следующим направлениям:
— оценка коррупционных рисков объекта и его владельцев и их влияние на целевое состояние после сделки;
— оценка репутационных рисков в отношении проектов, продуктов и способов ведения бизнеса с точки зрения соответствия ценностям инвестора и приемлемым этическим практикам ведения бизнеса;
— оценка санкционных рисков сторон в сделке, а также ключевых бизнес-партнеров объекта сделки.
2. Благотворительные проекты
Цели практически любого благотворительного проекта в том или ином виде соответствуют целям устойчивого развития ООН[5]. Лучшими практиками является помимо проработки юридической структуры реализации проекта также — комплаенс-экспертиза. В первую очередь, связанная с минимизацией коррупционных, санкционных и/или репутационных рисков.
Эффективное взаимодействие позволяет избежать вовлечения компании в сомнительные с репутационной точки зрения проекты, что особенно чувствительно для листингованных компаний.
3. Новые продукты
При запуске новых продуктов лучшей практикой является создание проектных/рабочих групп, но даже когда группа есть — не всегда туда включается комплаенс. Юристы включаются в эти группы гораздо чаще, но при этом далеко не всегда считают необходимым также позвать в них коллег из комплаенс.
Бизнес, инициирующий создание продукта, по-своему надеется на юристов, что все-все риски, связанные с соблюдением требований законодательства и иных необходимых к соблюдению требований, будут учтены и закрыты в связи с включением в группу представителей юридической функции.
На практике каждый из нас или наши друзья и родственники сталкиваются с безупречными с т.з. соответствия законодательству продуктами, но неэтичными и вредящими репутации компании.
Этих ситуаций как раз можно было бы избежать, если бы на этапе разработке продуктов и комплаенс и юристы давали бизнесу независимые заключения с разных точек зрения. Дилемма «этика vs. закон» никакая не новая, несмотря на то что в основе законов лежат как раз-таки этические нормы поведения. И именно поэтому так важно изначально оценить риски: и правовые и комплаенс (включая этические и репутационные).
Идентификация проблемных зон
Каждая из функций (и юридическая и комплаенс) в процессе реализации своих обязанностей и полномочий в разные моменты времени сталкиваются с различными видами несоответствий или нарушений, связанных с кросс-функциональными проектами.
Юристы чаще всего наблюдают и работают с тем, что есть в процессе защиты интересов компании во время судебных процессов, проведении DD по сделкам и проектам, анализе проектов и в других процессах.
Комплаенс, в свою очередь, в процессе рассмотрения жалоб на горячую линию, проведения комплаенс-расследований достаточно часто сталкивается с нарушениями или несоответствиями, связанными, в первую очередь, с недостатками или недоработками типовых или нетиповых договоров и иных документов.
Обмен информацией о выявленных проблемных зонах и нарушениях только на уровне здравого смысла не дают устойчивой уверенности с точки зрения риск-менеджмента, что в отношении таких нарушений будет предприняты необходимые меры. Нет сомнений, что здравый смысл и желание предотвратить риски в равной степени свойственны и для сотрудников и юридической и комплаенс функций. Образование и профессиональные качества в этом всегда помогают.
Но тем не менее только системный и постоянный и обязательный обмен информаций может если не гарантировать, то обеспечить системную «работу над ошибками» и дальнейшее устранение нарушений. А для этого – эти процессы должны быть где-то закреплены и описаны, ну и конечно – должны быть обязательны для исполнения сотрудниками юридической и комплаенс функций.
Информирование о рисках
В процессе своей работы каждая из функций сталкивается с реализацией различных видов рисков. Комплаенс (в случае реализации лучших практик) на периодической основе проводит оценку комплаенс-рисков, каждый выявленный высокий риск в свою очередь связан и с другими: стратегическими, операционными, финансовыми и правовыми. Поскольку работа с комплаенс-рисками не заканчивается собственно оценкой, а продолжается при формировании и дальнейшем контроле выполнения планов мероприятий по минимизации рисков, то в эти мероприятия в том числе попадают и мероприятия, отнесенные к зоне ответственности юридической функции (например, обновление типового договора «ххх» в связи с выявлением «ууу» в срок до «ххх»). Но это модель работы комплаенс.
Взаимодействие в процессе оценки комплаенс-рисков, только один из примеров сотрудничества. Другие ситуации, когда комплаенс может проинформировать о выявленных правовых рисках, это: рассмотрение обращений на горячую линию, проведение внутренних проверок и проведение тренингов (например, комментарии сотрудников в процессе могут ясно показать, что есть незакрытый правовой риск).
Аналогичным образом, при рассмотрении проектов договоров, документов, разработке новых продуктов, проведении DD, проведении переговоров и т.д. юристы могут столкнуться с комплаенс-рисками. Хороший вопрос, а насколько юристы понимают, что вот именно здесь именно комплаенс-риск и им необходимо информировать комплаенс?
Практика такова, что достаточно часто, основываясь на том, что юристы лучше сотрудников не-юристов знают нормы законов, у сотрудников юридической функции возникает ошибочное понимание или даже путаница в отношении классификации рисков на правовой и комплаенс-риск и в каких случаях нужно информировать комплаенс.
Тем не менее лучшей практикой является полное понимание в отношении разницы рисков, целесообразности, системности взаимодействия по аналогии с взаимодействием по проблемным зонам.
Идеология
Какими бы ни были точными международные стандарты, рекомендации и внутренние документы, в действиях людей всегда присутствует явная или скрытая идеология. Но вот какая она в отношении сотрудничества или даже соперничества юридической и комплаенс функций во много зависит от лидеров команд, от именно их стратегического понимания ролей и назначения обоих функций.
И все что будет происходит тогда на уровне переписки, участия в совместных встречах и рабочих группах, тональность переговоров и заключений сотрудников обоих служб будет связано именно с этим.
Организационная структура
А еще сложившаяся идеология связана с организационной структурой компании и часто, исследуя передовые и просто сложившиеся практики многие и даже крупные и передовые во многом компании, принимая решение о создании функции комплаенс, принимают решение не идти в передовой опыт в отношении реализации подхода, закрепленного в стандартах вышеуказанных ISO и не наделяют функцию комплаенс независимостью.
Уже хорошо, если функция комплаенс представляет из себя обособленное подразделение и часто, в том числе, юристам и членам исполнительного органа кажется, что «ну вот – мы же их выделили, пусть работают».
Все так, и так тоже будут работать, но: эффективность комплаенс во многом зависит именно от наличия или отсутствия у функции независимости от исполнительного органа и нижестоящего менеджмента. ISO предполагает при этом не только независимость, но и обеспечение необходимыми ресурсами.
Текущий уровень развития менеджмента вероятно не готов «отпускать» комплаенс в настоящую независимость с подчинением Совету директоров или Наблюдательному совету, что предполагают стандарты ISO. В частности, компании big-4 на регулярной основе проводят исследования в отношении развития комплаенс в России и станах СНГ[6]. Можно отметить небольшой тренд — постепенно с разной степенью успешности и скоростью комплаенс-функции выводятся на подчинение первого лица: Генерального директора или Президента. И это уже хороший знак, означающий что эволюционным путем через несколько лет может возникнуть понимание о месте и роли комплаенс и зачем собственно необходима эта объективность и независимость. Ну а пока — паутина конфликтов интересов опутывает тернистый путь становления и развития комплаенс в России и странах СНГ.
Autro. Конфликт интересов
Это почти всегда игра престолов, это всегда что-то про борьбу за влияние и это всегда при этом невероятно сложная задача – оставаться искренним и честным, продолжая делать комплаенс.
«Хороший вопрос – следующий вопрос», — так звучит немецкая поговорка. В этом случае тот самый хороший вопрос (ы): а насколько возможно быть независимым, например, от Президента компании или курирующего комплаенс вице-президента по правовым вопросам? А что, если комплаенс-риски спровоцированы собственно этим Президентом или действиями юридической функции? Насколько информированным и своевременно принимающим решения будет Совет директоров или акционеры, если в силу, уж простите, личных угроз или намеков в адрес выявивших риски — комплаенс не сможет получить доступ и сообщить о том, что необходимо?
Простой ответ – просто нужно строить систему и качественные процессы, в том числе по сотрудничеству между комплаенс и юристами, не бояться делегировать полномочия и смотреть в глаза неприятным фактам, недоработанным проектам, документам и неэтичным решениям раньше, чем рынок и регуляторы накажут рублем, подмоченной репутацией, оттоком клиентов, санкциями и т.д. и акционеров, и топ-менеджмент, и сотрудников.
Неважно с какой стороны и в какой момент и кто начнет, важно начать и тогда вопросы «а как правильнее: «комплаенс и юристы» или «комплаенс vs. юристы»?» просто не будут существовать также как и сотни критических рисков в тысячах компаний, превентивно устраненных на системном уровне и с высоким уровнем сотрудничества, в том числе между комплаенс и юристами.
А тот кто начнет, в любом случае сможет в дальнейшем пожать плоды в виде улучшения репутации, политического капитала и влияния.
[1] американский учёный, статистик и консультант по менеджменту. Наибольшую известность Деминг приобрел, благодаря доработанному им циклу Шухарта, который теперь весь мир называет циклом Шухарта — Деминга [PDSA или PDCA], а также за созданную им теорию менеджмента, основанную на предложенной им же теории глубинных знаний.
[2] О сути кейса Enron здесь: https://ru.wikipedia.org/wiki/%D0%94%D0%B5%D0%BB%D0%BE_Enron
[3] ISO 37301:2021 Compliance management systems — Requirements with guidance for use (вышел в апреле 2021 года взамен отмененного ISO 19600:2014 Руководства по системам управления соответствием) и ISO 37001:2016 Anti-bribery management systems (Системы менеджмента борьбы со взяточничеством)
[4] модель “3LOD” (от “Three Lines of Defense”) была разработана в 2015 году Комитетом спонсорских организаций (COSO) в сотрудничестве с Институтом внутренних аудиторов (The Institute of Internal Auditors), подробнее здесь: https://www.coso.org/Documents/COSO-2015-3LOD.pdf
[5] Подробнее здесь: https://www.un.org/sustainabledevelopment/ru/sustainable-development-goals/
[6] Исследование Делойт 2020: https://www2.deloitte.com/ru/ru/pages/finance/articles/2020/compliance-development-trends-in-russia-and-cis.html, Исследования КПМГ 2016, 2018 и 2020: https://home.kpmg/ru/ru/home/insights/2018/07/compliance-survey-archive.html
Маргарита Хоменко, LLM
Управляющий партнер Центра комплаенс-решений Compliance elements, Директор по развитию RBEN (Российская ассоциация этики бизнеса, комплаенса и КСО), профессиональный коуч по стандартам ICF, автор коучинговой программы «Стратегия levelUP» по развитию стратегического мышления
Приглашаем топовых инхаус юриств России и СНГ на Legal Executive Summit — первое и единственное в своём роде неформальное юридическое событие, где нет ни слова о законах! На этот раз, встречаемся на Кипре!
Участникам предстоит глубокое погружение и активное включение в образовательную часть саммита в духе лучших школ MBA.
1. Образовательная программа
Тренинги и мастер-классы на тему лидерства, коммуникаций, влияния, развития себя и команд
2. Развлекательная программа
Экскурсия на винодельню «Oenou Yi», игра в «Квиз, плиз!», фуршеты, шоу, танцы, караоке, морская прогулка и водные виды спорта
Зарегистрироваться и узнать подробности можно по ссылке.