Report about error or idea
YouControl
logo youcontrol
ENG
youcontrol youcontrol
0 800 309 077
Free call

Register and check 10 companies for free, or get a phone consultation by calling us at 0 800 309 077.

Комплаєнс та ризик-менеджмент
20 min

Комплаєнс та ризик-менеджмент

 

Німецький регулятор оштрафував рітейлера H&M на 35 млн євро за збір та зберігання інформації про приватне життя, здоров’я та релігійні погляди кількох сотень співробітників. Розслідування тривало майже рік й слідчі дійшли висновку що ця практика існувала у компанії як мінімум з 2014 року і використовувалась для прийняття кадрових рішень. Окрім штрафу компанія була змушена виплатити і значну компенсацію працівникам, чиї дані збирали і зберігали на внутрішньому сервері.

Цей кейс демонструє наслідки для бізнесу, до яких може призвести порушення як зовнішнього комплаєнсу у частині захисту персональних даних, так і внутрішнього — стосовно тих принципів, яких компанія зобов’язалась дотримуватись у своїй діяльності. У цьому випадку юридичний комплаєнс виявився тісно пов’язаний з моральними та етичними принципами.

Класичне розуміння комплаєнсу передбачає, що компанія організовує свої активності й у разі порушення цих вимог національний регулятор може оштрафувати компанію або позбавити її ліцензії. Однак в останні роки це розуміння комплаєнсу також доповнюється дотриманням моральних та етичних принципів, які закріплені у Кодексі поведінки компанії. За порушення цих принципів регулятор не виписує штраф, але репутаційні втрати можуть бути настільки значними, що неминуче призведуть і до фінансових збитків.

Кожне таке порушення є потенційним ризиком, який може призвести до настання негативних наслідків для діяльності компанії. Якими саме є ці ризики буде залежати від конкретної компанії, тому і потенційні наслідки будуть відрізнятися. Втім, ризиками можна керувати.

 

Комплаєнс ризик: оцінка ризиків

По суті, ризик складається з двох частин:

1.  Наслідки (якою буде міра збитків у разі настання негативної події)

2. Можливість (наскільки ймовірним є настання негативної події у певній перспективі)

Наприклад, напад на склад компанії армії зомбі може мати значні наслідки, але ймовірність такої події у найближчій перспективі настільки низька, що цей ризик є нерелевантним. У той же час, порушення логістичних ланцюгів постачання сировини також має значні наслідки, але вже середню ймовірність, що робить цей ризик більш релевантним.

У сфері комплаєнсу ризики невідповідності можуть постати у значній кількості сфер права, але найчастіше високі ризики настають у таких сферах як:

·  антикорупційне законодавство,

·  антимонопольне законодавство та захист конкуренції,

·  трудове законодавство,

·  відмивання коштів,

·  податкове законодавство,

·  захист персональних даних,

·  експортний контроль,

·  екологічне законодавство.

 

Саме тому оцінка ризиків для компанії має починатися з цих сфер. Зрештою, така оцінка є насамперед інструментом підвищення ефективності впровадження комплаєнсу. Без знання найбільш релевантних ризиків та можливих негативних наслідків важко відповісти на питання про належне використання ресурсів, спрямованих на управління ризиками. Більше того, без аналізу ризиків компанія встановлює неправильні пріоритети, запроваджує неефективні заходи і може повністю ігнорувати потенційно високі ризики.

В ідеалі, цей аналіз має здійснюватися на самому початку впровадження комплаєнсу у компанії, але на практиці це не працює. Проте, навіть у такому випадку впровадження ризик-орієнтованого підходу може мати ефект, особливо у випадку настання негативної події — принаймні компанія зможе апелювати до того, що доклала достатніх зусиль, щоб уникнути настання ризику.

 

Комплаєнс ризик: управління ризиками

Управління ризиками передбачає, що компанія спрямовує ресурси на уникнення настання ризику, а якщо його не можна уникнути повністю, то на його мінімізацію або ж на адміністративний контроль (наприклад; навчання, додаткове обладнання та послуги, тощо).

Для початку потрібно виявити можливі ризики і встановити їх рівень за 5-рівневою шкалою.

Для правильної класифікації ризиків потрібно оцінити наслідки та можливість настання ризику (власне те, з чого він складається). Для оцінки наслідків та можливості можна скористатися матрицями.

 

Матриця оцінки наслідків негативної події

Матриця оцінки можливості негативної події

Як правило, компанія починає оцінку ризиків за допомогою юридичного аналізу законодавства та внутрішньої документації. Але важливо також залучити і менеджмент компанії шляхом інтерв’ю з керівниками департаментів та підрозділів. Потім ризики систематично фіксуються та оцінюються з точки зору можливості їх виникнення та очікуваного рівня збитку. Вже на основі цієї оцінки здійснюється й планування ресурсів та застосування заходів управління ризиками.

 

Автор уроку: Михайло Кольцов, менеджер з навчання та розвитку у YouControl

 

 

Продаєте або постачаєте товари? Виконуєте роботи, надаєте послуги або постачаєте товари? Пересвічьтеся у репутаційній та юридичній благонадійності контрагента. Для цього замовляйте аналіз комплаєнс ризиків співпраці з компанією або ФОП, переходячи за посиланням

Отримайте знання від кращих експертів на ринку
Реєстрація в академії
Add "YouControl" app to your home screen
Press load -> ‘Add to Home Screen’