Необходимо создать карту рисков организации или встроиться в существующую. Данное упражнение позволит избежать дублирования в управлении рисками и «западения» рисков. Такая карта должна содержать исчерпывающий перечень применимых к организации рисков, их однозначное описание, ответственные за управление ими подразделения.
При реализации организацией внутреннего контроля по модели «трех линий защиты»11 в такую карту следует включить указание на отношение подразделения к соответствующей линии защиты.
Внедрение регулярной самооценки комплаенс-функции позволит выявлять и совершенствовать недостатки комплаенс-системы. Самооценка может представлять из себя комплекс вопросов по всем элементам системы, а также при необходимости может включать числовые значения с учетом особенностей операционной работы подразделения.
Я рекомендую строить вопросы самооценки на основе элементов модели COSO, придумать понятную шкалу ответов на вопросы, их вес и модель подсчета. В таком случае можно будет на регулярной основе показывать органам управления и иным заинтересованным сторонам динамику, достижения и проблемы комплаенс-функции в наглядном виде, с помощью графиков или диаграмм.
Я не ставлю перед собой цели рассказать про модель COSO и не буду перечислять ее элементы, но приведу примеры вопросов, которые могут быть использованы при создании методологии самооценки:
– Задокументированы ли все значимые процессы?
– Обеспечен ли легкий доступ работников к политикам и процедурам?
– Политики и процедуры изложены для работников понятным языком? Исключена возможность неправильной интерпретации?
– Функция имеет достаточно ресурсов для реализации поставленных задач (бюджет, люди, инструменты, технологии)?
– Статус функции позволяет ей участвовать в принятии значимых решений?
– Руководство компании демонстрирует тон сверху в отношении комплаенс-вопросов?
– Мониторинг изменения применимых к организации требований / идентификации рисков организован должным образом?
– Все ли необходимые обучения реализованы?
– Реализованы ли инструменты получения обратной связи по комплаенс-вопросам?
– Дисциплинарные меры за нарушения применяются последовательно ко всем подразделениям и работникам всех уровней?
– По каждому ли выявленному инциденту проводится расследование?
Важно, что ответы на вопросы необходимо давать не по функции в целом, а по отдельным направлениям. Причем это должны делать лица, ответственные за такие направления, а ответы должны верифицироваться руководителем функции.
Помимо самооценки и контроля выполнения ключевых вех комплаенс-стратегии, для регулярной оценки состояния комплаенса будет полезна обратная связь от иных внутренних подразделений (может быть получена в форме опроса, обращений через инструменты анонимного информирования, вопросов на «дне комплаенса» или ином мероприятии, организованном комплаенс-функцией), а также результаты внутренних и внешних аудитов, которые регулярно проходит организация.
При развитии комплаенс-культуры не получится просто составить набор элементов, внедрить их, проверить себя, поставив карандашом галочки в чек-листе, и перейти к следующей задаче.
Развитие комплаенс-культуры – процесс непрерывный и требующий постоянного вовлечения в него множества работников организации.
Всё, что связано с какой-либо культурой, также связано с общением, восприятием, передачей знаний, эмоциями и последующим поведением.
