До сих пор существует мнение, что комплаенс-функцию можно переложить на юрдеп. Безусловно, юристы способны предупреждать правовые риски, с которыми сталкивается компания: они представляют интересы компании в суде, проводят риск-анализ договоров и могут оценить ситуацию с точки зрения законодательства. Однако не все риски можно оценить через призму закона и измерить в потенциальных убытках или других материальных последствиях. Речь идет о неправовых комплаенс-рисках (далее – комплаенс-риски), которые влияют на бизнес не меньше, чем правовые.
Для тех, кто только рассматривает возможность управления комплаенс-рисками, мы рассказали, какие тенденции повлияли на решение крупного бизнеса работать с ними. Также герои материала поделились опытом, как они работают с самыми популярными неправовыми рисками — репутационным, стратегическим и операционным. Предложили инструменты для управления этими рисками, которые уже доказали свою эффективность. А еще объяснили, как преодолеть проблемы, которые могут возникнуть у отдела комплаенс при работе с неправовыми рисками. Например, один и тот же риск коллеги из разных подразделений компании могут оценить одновременно и как незначительный, и как критический.
Опыт и рекомендации героев материала помогут организовать работу комплаенс-подразделения с неправовыми рисками и избежать тех проблем, с которыми уже сталкивались крупные компании. А если в вашей компании нет отдела комплаенс — выделить достоинства этого направления и решить, стоит ли создавать отдельную комплаенс-функцию.
Неотъемлемые части любой компании — это ее репутация, стратегия развития и бесперебойные бизнес-процессы. Отсюда вытекают три наиболее популярных риска, с которыми сталкивается каждая российская организация. В этом разделе рассказали, в чем для компаний разной направленности заключаются репутационный, стратегический и операционный риски и почему в 2025 году особенно важно с ними работать. Решения, которые помогут управлять всеми названными рисками, собрали в следующем разделе.
Подход к работе с неправовыми рисками в 2025 году задают несколько тенденций. Игнорировать их не стоит, иначе бизнес может столкнуться с неожиданными событиями, из-за которых будет сложнее выстраивать стратегию развития, а также коммуникацию с партнерами и госорганами. А это чревато дополнительными издержками. Сами тенденции связаны с поведением клиентов и регуляторов, а также новым подходом компаний, которые начинают видеть в рисках возможности, а не угрозы. Уход западных компаний также продолжает влиять на работу российского бизнеса — многие организации до сих пор перестраивают и совершенствуют процессы, которые остались у них после того, как головные фирмы свернули бизнес.
Репутационный риск — вероятность того, что публичный имидж компании ухудшится, а клиенты и общество потеряют к ней доверие.
Репутация — один из ключевых активов компании. Ее потеря может повлечь миллионные убытки и перечеркнуть всю бизнес-стратегию. Нередко негативная огласка приводит к тому, что клиенты и инвесторы отказываются от дальнейшего сотрудничества с компанией, а это влияет на прибыль и KPI. Поэтому репутационный риск нередко может перейти в стратегический, а в отдельных компаниях репутацию считают неотъемлемым элементом стратегии.
Герои нашего материала рассказали, какие риски для них являются репутационными и почему с ними решили работать. Комментарии экспертов собрали в интерактивной презентации.
Тренд 2025 года, из-за которого нужно работать с репутационным риском, — потребительский экстремизм. Ситуации, когда клиенты злоупотребляют своими правами, чтобы добиться для себя выгодных условий, освещались публично в течение всего 2024 года, и эта тенденция продолжается. Например, клиент может пригрозить: если компания не согласится на его условия или не предоставит скидку, то он начнет рассказывать о сотрудничестве в негативном свете и отговаривать от него других потребителей. Такие ситуации в первую очередь могут ударить по имиджу компании. Управляя репутационным риском, бизнес отрабатывает такие претензии и принимает меры, чтобы предотвратить негативную огласку и сохранить репутацию.
Стратегический: рост несмотря на кризис
Стратегический риск — риск события, которое может повлиять на работу бизнеса и его развитие в долгосрочной или краткосрочной перспективе. Основная цель управления таким риском — найти уязвимости и скорректировать тактику компании.
Сегодня бизнес-стратегия должна быть гибкой и адаптивной. Представьте: компания разработала картину того, каким видит свой отдел или бизнес через пять лет. Для этого разработали план развития и прописали меры, которые нужно принять. Однако обстоятельства меняются стремительно и стратегия, которую составили сегодня, завтра может, наоборот, затормозить развитие компании. Поэтому нужно иметь план действий на случай, если возникают обстоятельства, которые мешают бизнесу достичь поставленных целей. Это, в частности, подтверждают в МТС и GSL Law&Consulting.
Ключевой тренд, который диктует подход к управлению стратегическими рисками, — сложности в прогнозировании. Раньше бизнес понимал, какие последствия повлечет то или иное нарушение закона: контрольные органы придерживались определенных тенденций — выносили предупреждение или назначали минимальный штраф. В этом году ситуация изменилась — все чаще органы назначают миллионные штрафы, а сообщения об этом попадают в СМИ. Оценить вероятность и степень реализации риска стало сложнее, и это влияет на бизнес-стратегию компаний.
Еще одна тенденция, из-за которой бизнес стал активнее работать со стратегическим риском, — его стали воспринимать как возможность, а не угрозу. Бизнес привык считать, что риск — это то, что обычно влечет за собой негативные последствия. Однако его можно рассматривать и как возможность, которую нужно правильно использовать.
МНЕНИЕ
Я сторонник того, что комплаенс — это помощник бизнеса
Александра Федотова, Руководитель направления комплаенс GSL Law & Consulting
Риски часто воспринимают как негативное событие. Для меня оно никогда не было негативным. Риск — это, скорее, возможность, которую нужно правильно проанализировать. А этим часто занимается именно комплаенс.
Раньше считалось, что комплаенс тормозит бизнес и не дает ему зарабатывать. Но все-таки комплаенс — помощник бизнеса. Если он понимает, в какую сторону движется компания и с кем она работает, это помогает организации успешно позиционировать себя на рынке, формировать определенный имидж и лучше понимать стратегию своего развития.
Операционные риски — события, которые напрямую связаны с деятельностью компании. Их также толкуют по-разному в зависимости от целей и потребностей бизнеса. Есть два основных подхода: они разные, но используют их с общей целью — обеспечить стабильность внутри компании.
Презентация. Операционные риски: как их толкует бизнес и зачем работает с ними
Операционные риски влияют на всю работу компании. Чем стабильнее работа, тем ниже вероятность материального ущерба и внеплановых проверок, к которым может привести внезапный сбой. Без настроенных процессов сложно прогрессировать и повышать ключевые показатели, поэтому операционные риски тесно связаны со стратегическими, а иногда и с репутационными.
Сбои и другие незапланированные изменения в работе всегда будет связаны с операционными рисками. Тенденция 2025 года — необходимость перестраивать бизнес из-за ухода западных компаний. С 2022 года многие компании сворачивают бизнес в России, а их российские подразделения вынуждены строить с нуля свой бренд и процессы.
Со временем компании, которые не связаны формальностями с зарубежными офисами, стали лучше понимать свои потребности и разрабатывать собственные процедуры. О том, как удалось перестроить комплаенс-процедуры в российской компании после ухода головной организации, рассказала Светлана Медведовская, руководитель группы по соблюдению правовых норм и норм налогового и таможенного законодательства Systeme Electric.
Презентация. Как в Systeme Electric выстроили собственную комплаенс-систему после того, как головная компания ушла из России
Выстроить работу с комплаенс-рисками можно несколькими способами. В первую очередь, основные правила их оценки и снижения нужно зафиксировать во внутренних документах. Далее есть варианты — выделить рисковые зоны и отобразить их в матрице и реестре или работать непосредственно с причинами возникновения риска – его факторами. Еще один подход, который использует бизнес, чтобы совершенствовать управление комплаенс-рисками, — регулярный разбор рабочих ситуаций, известный как case study. В этом разделе рассказали, как использовать каждый из подходов в управлении комплаенс-рисками. Все решения можно успешно использовать вместе, но, если хотите выбрать конкретный подход в зависимости от цели, которая перед вами стоит, воспользуйтесь интерактивным помощником от Актион Комплаенс.
Регламентировать работу с рисками
Порядок работы с комплаенс-рисками нужно прописать в отдельной политике. В ней фиксируют ключевые принципы, перечисляют основные комплаенс-риски, описывают методологию оценки рисков и процедуры для их снижения.
Политика по работе с комплаенс-рисками помогает решить сразу несколько задач. Первая — зафиксировать и систематизировать подход к управлению рисками в организации. Вторая — продемонстрировать серьезный подход к управлению рисками инвесторам и потенциальным партнерам. Это особенно важно, если они — представители крупного бизнеса.
В чек-листе перечислили разделы, которые нужно включить в политику, чтобы она была не просто формальностью, а рабочим инструментом. После того как разработаете и утвердите политику, с ней нужно ознакомить ответственных сотрудников.
Еще один эффективный инструмент управления рисками – action plan, то есть детализированный план действий. В Systeme Electric его используют в ситуациях, которые угрожают непрерывности бизнес-процессов. В нем прописывают, какие подразделения нужно привлечь для отработки риска и какие меры принять в критической ситуации. При этом важно разрабатывать альтернативные сценарии: если первый план окажется нерабочим, второй необходимо ввести немедленно. Эта система настолько эффективна, что за все время ни один action plan не перешел в стадию реализации.
Чтобы оценить уровень риска в зависимости от его вероятности и степени, используют матрицу рисков. Матрица помогает наглядно распределить риски по уровням и решить, с какими из них компания готова работать с учетом своего риск-аппетита, а какие может принять или проигнорировать.
Редакция разработала пример интерактивной матрицы, с помощью которой можно оценить уровень риска и принять решение о том, заслуживает ли он пристального внимания компании. Чтобы рассчитать вероятность и степень риска, ответьте на все поставленные вопросы.
Реестр рисков — инструмент, который позволяет проанализировать существующие риски и распределить их в зависимости от вероятности и степени. В нем перечисляются существующие угрозы, их причины и возможные последствия. Затем — вероятность, степень воздействия и общий уровень риска.
Чтобы реестр получился полным и информативным, рекомендуем прописать существующий уровень риска и тот, к которому компания стремится. Далее — подобрать меры и механизмы, с помощью которых можно достичь поставленных целей, и назначить за них ответственного. Часто в реестре также отслеживают прогресс по реализации мер. Образец реестра оставили ниже. Можете взять его за основу или адаптировать под собственные нужды. Чтобы начать работу с реестром, скачайте его.
Рисунок 1. Образец реестра комплаенс-рисков
Достоинства матрицы и реестра рисков в том, что для каждой угрозы можно детально проанализировать и проиллюстрировать возможные причины и последствия, а также подобрать меры снижения. Из минусов — не все комплаенс-риски можно измерить с точки зрения вероятного ущерба. Следовательно, проблематично будет оценить их общий уровень. Например, нельзя оценить мотивацию сотрудников или уровень напряженности в коллективе.
Матрицы и реестры рисков есть автоматические и ручные. Автоматические внедряют в CRM или в виде отдельного ПО. Для работы с ними в программу вводят вопросы, которые касаются существующих процессов и готовности компании принять на себя возможные последствия. После ответов на поставленные вопросы система выдаст подробный анализ потенциальных рисков.
Составить матрицу и реестр рисков самостоятельно можно в новой образовательной программе Актион Комплаенс. Автор программы с нуля построил комплаенс-службу, которая работала с ключевыми рисками всей компании.
Иллюстрировать риски следует на двух уровнях — для компании в целом и конкретных подразделений. Методы анализа и оцифровки зависят от потребностей и направленности бизнеса. Это подтверждает и опыт героев материала — каждый работает с рисками по-своему, но в их подходах есть и общие черты. Эксперты поделились с Актион Комплаенс, как оценивают и фиксируют риски. В качестве бонуса рассказали о дополнительном инструменте для фиксации рисков.
Презентация. Матрицы, карты, политики: как в МТС, Systeme Electric и GSL Law&Consulting иллюстрируют риски
Выделить и предотвратить факторы риска
Управлять комплаенс-рисками можно с помощью конкретных факторов. В этом случае анализируют не сам риск и его зоны, а в первую очередь конкретные причины и события, которые могут его спровоцировать, повлиять на вероятность и степень его реализации.
Использовать факторы в работе с рисками можно по-разному, но есть два основных решения. Первое — составить список триггеров с разбивкой по тематическим блокам, в частности для операционных, репутационных и стратегических рисков. Так, например, поступили в GSL Law & Consulting. Второе решение — отразить факторы в карте или реестре рисков. Обычно это делают в разделе с причинами возникновения риска. Если объединить факторы и реестр, можно провести комплексную оценку наиболее популярных комплаенс-рисков и их причин.
Самый распространенный фактор, который влияет на комплаенс-риски, — человеческий. Чем крупнее компания, тем больше у нее сотрудников, и уследить за всеми невозможно. При этом контролировать поведение сотрудников не получится, даже если автоматизировать рабочие процессы — всегда будут возникать вопросы, которые решаются в межличностном взаимодействии. Это, в частности, отмечают в МТС.
Этот и другие факторы, с которыми работают компании для управления комплаенс-рисками, а также меры по их предупреждению собрали в чек-листах.
Валентина Попова, руководитель отдела комплаенс VK, поделилась своим опытом, как можно снижать комплаенс-риски в организации. Комплаенс VK управляет рисками, в том числе регулируя конфликт интересов.
Ситуация, когда при принятии решений от имени компании сотрудник ставит во главу личные интересы, может пошатнуть внутренние процессы, подорвать доверие в коллективе и привести к спорам с другими сотрудниками. Все это может повысить операционные риски. Если конфликт интересов попадает в публичное поле, под угрозой оказывается репутация компании. Огласка в СМИ может повлиять на отношение партнеров и клиентов вплоть до того, что они могут отказаться от дальнейшего сотрудничества с компанией.
Проводить case study
Регулярные встречи с разбором реальных рабочих ситуаций — еще одно решение, которое позволяет эффективно отрабатывать возможные риски и прокачивать команду комплаенс. Теоретически можно понимать, какие события провоцируют неблагоприятные ситуации, однако отдельные контрольные точки можно обнаружить только на практике.
- обнаружить скрытые и недооцененные факторы, которые не зафиксировали в матрице и реестре рисков;
- сформулировать более доверительные отношения в команде;
- проанализировать эффективность действующих решений и понять, какие реально помогают снижать риски, а какие — формальны;
- адаптировать бизнес-процессы под существующие события;
- скорректировать регламенты;
- быстрее обосновать ресурсы для внедрения новых решений.
Case study — последовательный процесс, который состоит из конкретных этапов работы. Чтобы встреча прошла продуктивно и вы могли закрыть все волнующие вопросы, ключевые этапы с пояснениями собрали в чек-листе.
Для МТС процесс управления рисками – это, в первую очередь, задача операционных подразделений. Но своевременно информировать коллег, разбирая рыночные кейсы и реальные ситуации через призму возможных негативных сценариев и мер митигации – ответственность комплаенс.
Проводить разборы рабочих ситуаций можно с линейными сотрудниками, а также на уровне руководства. По первому пути пошли в GSL Law & Consulting, а по второму — в Systeme Electric. Объединяет оба подхода то, что этим процессом руководит именно комплаенс.
Презентация. Как в Systeme Electric и GSL Law & Consulting проводят case study, чтобы эффективнее управлять комплаенс-рисками
Разбирать нужно не только негативные, но и положительные кейсы. С негативными кейсами работать проще и привычнее — бизнес оценивает те решения, которые не сработали. Анализирует, почему реализовался плохой сценарий и что нужно сделать, чтобы он не повторился. В то же время при разборе положительных кейсов есть реальная возможность выявить преимущества тех мер, которые сработали в интересах компании. Так можно детальнее проанализировать, при каких обстоятельствах решение работает лучше, какие условия нужны, чтобы внедрить его в другие процессы, и как его можно усовершенствовать.
При управлении комплаенс-рисками бизнес может столкнуться с рядом сложностей и вопросов. Наиболее распространенные проблемы:
- настроить оценку рисков так, чтобы избежать его недооценки и переоценки;
- урегулировать разногласия между комплаенс и другими подразделениями, которые видят один риск под разными углами;
- определить, где заканчивается зона ответственности юристов и начинается работа для комплаенс-службы.
Исключить недооценку или переоценку рисков
Управлять абсолютно всеми возможными рисками невозможно — часть из них либо незначительна, либо никогда не произойдет, и нет смысла выделять на них ресурсы. Поэтому адекватно оценить риск — ключевая задача отдела комплаенс.
При оценке рисков комплаенс может столкнуться с двумя ключевыми сложностями. Первая — недооценить или упустить определенный риск. Если не увидеть реальных угроз, в дальнейшем это может привести к крупному ущербу или убыткам, которые компания не рассчитывала понести.
Вторая проблема — уделить отдельным рискам слишком много внимания. Это чревато тем, что бизнес может упустить реальные возможности, отказавшись от перспективной части рынка. А финансовые, технические и человеческие ресурсы будут использованы нерационально.
Повысить точность оценки риска можно за несколько базовых шагов. Сначала оценить риск-аппетит компании. Затем ввести регулярный пересмотр комплаенс-системы и всех рисков и, как следствие, адаптацию мер снижения под конкретные риски. Ниже подробнее разберем каждый шаг.
Определить риск-аппетит компании. Риск-аппетит — возможность бизнеса принимать на себя комплаенс-риски и отвечать за последствия. Чем он выше, тем больше рисков компания может принять здесь и сейчас. Ключевые этапы для оценки риск-аппетита привели в схеме.
Схема 1. Этапы оценки риск-аппетита
Принятие риска не стоит путать с его игнорированием. Когда компания принимает риск, она готова понести последствия, которые он повлечет, например лишиться части прибыли, контрактов или отказаться от перспективного проекта. Когда компания игнорирует риск, последствия не учитываются.
Проводить регулярный аудит комплаенс-системы. Регулярный аудит можно поручить отдельному сотруднику внутри компании. Еще один вариант — пригласить внешнего аудитора. Он сможет беспристрастно посмотреть на имеющиеся в компании процессы и обнаружить неочевидные сбои. Так, в частности, поступили в Systeme Electric.
Проводить регулярный пересмотр рисков. Сегодня бизнес вынужден работать в обстановке, которая постоянно меняется. Политическая и экономическая нестабильность — ключевые, но не единственные триггеры, из-за которых нужно регулярно пересматривать риски. Как правило, при пересмотре рисков их категория меняется редко, но определенному риску присваивают особый статус как тому, который заслуживает внимания.
Переоценка может быть плановой или срочной. Планово риски рекомендуется пересматривать каждый квартал или год. Срочную переоценку проводят, если происходит незапланированное событие, которое может существенно повлиять на работу компании.
Адаптировать мероприятия под конкретные риски. Задача комплаенс — подобрать меры для отработки конкретного риска. Одно и то же решение для разных ситуаций будет работать по-разному.
Отслеживать эффективность мероприятий можно с помощью реестра рисков, а также регулярного case study.
Сталкиваться с рисками, которыми управляет комплаенс, в своей работе могут и другие подразделения компании — юристы, финансисты, кадровики. Возникает проблема — коллеги из этих отделов видят риски по-своему и их точка зрения не всегда будет совпадать с мнением коллег из комплаенс. Даже если четко разграничить компетенции между департаментами, они могут делать разные выводы о том, как риски влияют на их работу, и находить разные пути решения.
МНЕНИЕ
Мы с юристами можем видеть риски по-разному, и это нормально
Александра Федотова, Руководитель направления комплаенс GSL Law & Consulting
Например, для комплаенса судебные разбирательства — риск, которого мы всячески стараемся избегать. В первую очередь, из-за высоких репутационных рисков.
Юристы посмотрят на перспективу спора с правовой точки зрения. Если у них есть сильная позиция, аргументы и инструменты, с помощью которых суд можно выиграть, то они не увидят в этом большой проблемы.
Когда разногласия остаются, мы решаем их на переговорах. Если компромисс найти не получается, окончательное решение примет наш руководитель.
Разные подходы к работе с рисками могут не только привести к конфликту, но и усложнить процессы внутри отдела или компании. Задача комплаенса — обосновать свой подход к работе и объяснить, почему, к примеру, риск не реализуется и какие последствия бизнес может принять как допустимые. Если коллеги настаивают на своем, искать компромисс.
Если прийти к компромиссу не удалось, решение может принять руководитель. Другой вариант — каждый отдел продолжает работать со своей точкой зрения, принимая все риски и последствия. Например, в практике Systeme Electric был прецедент, когда бизнес-подразделения предложили альтернативную систему риск-менеджмента, которая отличалась от стандартов комплаенс-команды. О том, к каким результатам может привести ситуация, когда комплаенс не соглашается с коллегами и работает с риском по-своему, смотрите далее.
Презентация. Как комплаенс Systeme Electric не стал усложнять работу из-за риска, в котором коллеги увидели угрозу
Разделить обязанности с юристами
Многие организации до сих пор поручают комплаенс-функцию юристам, но в таком случае она сводится к соблюдению законодательства и управлению правовыми рисками. Поэтому, когда речь заходит о работе с рисками, возникает проблема — разграничить компетенции так, чтобы они не пересекались между собой. Разграничение компетенций позволит наладить работу как с правовыми, так и с неправовыми рисками.
Обязанности юристов и комплаенс-специалистов бизнес разграничивает совершенно по-разному — единого подхода здесь нет, но есть общие модели. Например, в одной компании два подразделения будут работать в тесной связке, а в другой — пересекаться лишь по точечным вопросам. Еще один подход — подключаться тогда, когда в работе появляются реальные риски.
Комплаенс и юристы работают в тесной связке. Большинство кейсов комплаенс отрабатывает в тесной связке с юристами. Причина — отдельные факторы, которые могут спровоцировать комплаенс-риски, находятся в правовом поле. Например, комплаенс проводит этические расследования и принимает решение о наказании работника. Это может перерасти в судебные тяжбы и визиты трудовой инспекции, и разбираться с этими проблемами будут юристы. Другой пример — комплаенс разрабатывает локальные акты, а юристы внедряют правила из них в соглашения с работниками. В такой модели взаимодействия комплаенс-служба в первую очередь контролирует, как в компании соблюдают внутренние процедуры, выделяет индикаторы риска и предлагает пути решения, а юристы применяют решения, разработанные отделом комплаенс, для того чтобы бизнес соблюдал обязательные требования закона.
Комплаенс и юристы пересекаются по отдельным вопросам. В такой модели взаимодействия обязанности двух отделов разграничиваются строже: юристы занимаются всей правовой работой, а комплаенс указывает на необходимость соблюдать определенные требования. Например, риск-анализ договоров проводят юристы, а комплаенс может потребовать включать в них антикоррупционную оговорку, а без нее не работать с контрагентом вообще. Другая точка пересечения — спорные моменты, которые возникают в работе юристов. Если коллеги не уверены в том, как возможное решение повлияет на уровень риска, они получают у комплаенса рекомендации по плану действий.
Как настроить работу юристов и комплаенс, мы также обсудили на IV Петербургском Правовом Саммите. В качестве спикеров пригласили руководителей крупных комплаенс-подразделений, а среди слушателей были как юристы, так и сотрудники комплаенс. Как редакция пришла к идее публично обсудить этот вопрос, и чем закончилась дискуссия – рассказали ниже.
Презентация. Как юристам и комплаенсу работать вместе. Основные тезисы с Петербургского Правового Саммита–2025
Своим опытом управления рисками также поделились главы юрдепов «ДОМ.РФ», ГК «Самолет», «Нетологии» и «Боржоми». В одних компаниях юристы справляются собственными силами, а в других – делят обязанности с отделом комплаенс. Ознакомиться с мнением юристов о том, когда достаточно своих ресурсов, а когда нужна комплаенс-служба, можно в отдельном материале от Актион Право. Если у вас еще нет доступа к изданию, можете оставить заявку на пробный доступ.
Выбирая оптимальный подход, важно помнить, что у юристов и комплаенс-специалистов есть уникальные качества, которые выделяют их среди коллег и которые они могли бы позаимствовать друг у друга. Работая в синергии, они могут помочь расти как бизнесу, так и коллегам.
Добавить комментарий