Открыть сервис

Compliance Assurance Process

Compliance Assurance Process (процесс обеспечения соответствия, процесс гарантии соблюдения требований) — это систематическая, документированная и периодически повторяющаяся деятельность организации, направленная на подтверждение того, что её операции, продукты, услуги и системы управления соответствуют установленным внешним и внутренним требованиям (законам, стандартам, регламентам, кодексам поведения, политикам). Данный процесс является ключевым элементом системы комплаенс (compliance management system) и служит для независимой проверки эффективности мер, принятых для управления комплаенс-рисками.

Цели и задачи

Основная цель Compliance Assurance Process — предоставить руководству, совету директоров и заинтересованным сторонам объективную уверенность (assurance) в том, что организация действует в рамках правового поля и внутренних нормативных актов. В отличие от операционного контроля, который является частью повседневной деятельности, процесс обеспечения соответствия носит независимый и надзорный характер.

Ключевые задачи процесса:

  • Верификация соблюдения: подтверждение факта выполнения требований законодательства, отраслевых стандартов и внутренних политик.
  • Выявление несоответствий: обнаружение случаев нарушения требований, а также слабых мест в системе внутреннего контроля.
  • Оценка эффективности контроля: анализ того, насколько существующие контрольные процедуры (превентивные и детективные) адекватны выявленным комплаенс-рискам.
  • Предоставление рекомендаций: формирование предложений по улучшению процессов, устранению выявленных недостатков и снижению вероятности повторения нарушений.
  • Формирование отчётности: подготовка формализованных отчётов для руководства, регуляторов и аудиторов.

Этапы процесса

Процесс обеспечения соответствия обычно включает несколько последовательных этапов, которые могут варьироваться в зависимости от масштаба организации и специфики отрасли. Стандартная модель, основанная на принципах цикла PDCA (Plan-Do-Check-Act), включает следующие стадии:

Планирование (Plan)

На этом этапе определяются объём, частота и методы проведения проверок. Формируется план комплаенс-аудита (compliance audit plan), который учитывает:

  • Оценку рисков: приоритет отдаётся областям с наибольшими комплаенс-рисками (например, антикоррупционное законодательство, защита персональных данных, финансовый мониторинг).
  • Требования регуляторов: обязательные проверки, предписанные законом (например, аудит систем менеджмента качества по ISO 9001 или проверка соблюдения 152-ФЗ «О персональных данных» в РФ).
  • Изменения в законодательстве: недавно введённые нормативные акты, требующие оценки готовности.
  • Результаты предыдущих проверок: области, где ранее были выявлены нарушения, проверяются в первую очередь.

Проведение проверки (Do)

Непосредственная деятельность по сбору и анализу доказательств. Методы включают:

  • Интервьюирование: беседы с сотрудниками, ответственными за выполнение конкретных требований.
  • Анализ документации: изучение политик, процедур, журналов регистрации, договоров, отчётности.
  • Тестирование контрольных процедур: проверка, работают ли установленные контроли (например, автоматическая блокировка платежа при превышении лимита без одобрения второго лица).
  • Наблюдение: визуальная проверка выполнения операций (например, процедура идентификации клиента в банке).
  • Анализ данных: использование IT-инструментов для выявления аномалий (например, необычно частые контакты с одним контрагентом).

Оценка и анализ (Check)

Собранные доказательства сравниваются с установленными критериями (требованиями закона, политики, стандарта). Выявляются факты несоответствия (non-compliance) и области для улучшения (opportunities for improvement). Результаты фиксируются в рабочей документации, например, в листе проверки (checklist) или в акте аудита.

Отчётность и корректирующие действия (Act)

По итогам проверки составляется отчёт, который содержит:

  • Описание выявленных несоответствий с указанием нарушенного требования.
  • Оценку степени риска каждого несоответствия (критическое, значительное, незначительное).
  • Рекомендации по устранению причин несоответствий.

На основе отчёта разрабатывается план корректирующих действий (CAPA — Corrective and Preventive Action Plan), который включает ответственных лиц, сроки и конкретные мероприятия. Последующий мониторинг выполнения плана является частью цикла.

Виды и модели

Compliance Assurance Process может быть реализован в различных формах в зависимости от того, кто проводит проверку и на каком уровне:

Внутренний комплаенс-аудит

Проводится штатными сотрудниками отдела комплаенс или внутреннего аудита. Отличается глубоким знанием внутренних процессов, но может быть менее независимым. В крупных российских компаниях, особенно с государственным участием, внутренний аудит часто регламентируется стандартами Минфина РФ и требованиями Центрального банка РФ.

Внешний комплаенс-аудит

Выполняется независимой стороной — аудиторской или консалтинговой компанией. Обеспечивает максимальную объективность и часто требуется для получения сертификации (например, сертификат соответствия требованиям ISO 19600 «Системы менеджмента комплаенс» или ISO 37301 «Системы менеджмента соответствия»). В РФ внешний аудит также может проводиться по требованию регулятора (например, Банка России для кредитных организаций).

Регуляторная проверка

Проводится уполномоченными государственными органами (например, Федеральная налоговая служба, Роскомнадзор, Центральный банк РФ, Федеральная антимонопольная служба). В данном случае процесс инициируется извне и имеет обязательный характер. Результаты такой проверки могут привести к административным или уголовным санкциям.

Самооценка (Self-Assessment)

Процесс, при котором подразделения или сотрудники самостоятельно оценивают свою деятельность на соответствие требованиям. Часто используется как предварительный этап перед формальным аудитом. Результаты самооценки не являются окончательным доказательством, но помогают выявить проблемные зоны.

Нормативная база и стандарты

Процесс обеспечения соответствия опирается на ряд международных и национальных стандартов:

  • ISO 37301:2021 «Системы менеджмента соответствия. Требования и руководство по применению» — международный стандарт, устанавливающий требования к системе комплаенс, включая процессы аудита и мониторинга.
  • ISO 19011:2018 «Руководящие указания по аудиту систем менеджмента» — стандарт, описывающий общие принципы и методы проведения аудитов, включая комплаенс-аудит.
  • Российские стандарты: в РФ деятельность по обеспечению соответствия регулируется рядом отраслевых нормативных актов. Например, для кредитных организаций — Положение Банка России № 716-П «О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы»; для организаций, работающих с персональными данными, — требования Роскомнадзора. Также существуют национальные стандарты, такие как ГОСТ Р ИСО 19600-2019 «Системы менеджмента комплаенс. Руководящие указания» (аналог ISO 19600).
  • Кодексы корпоративного управления: в РФ рекомендации по комплаенс-аудиту содержатся в Кодексе корпоративного управления, рекомендованном Банком России.

Роль в управлении рисками

Compliance Assurance Process является неотъемлемой частью системы управления комплаенс-рисками. Он выполняет функцию «третьей линии защиты» (Three Lines of Defense Model) в корпоративном управлении:

  1. Первая линия: операционные менеджеры и сотрудники, которые непосредственно выполняют требования и внедряют контрольные процедуры.
  2. Вторая линия: функции управления рисками и комплаенс, которые разрабатывают политики, процедуры и проводят мониторинг.
  3. Третья линия: внутренний аудит, который независимо оценивает эффективность первых двух линий, включая процесс обеспечения соответствия.

Таким образом, процесс гарантирует, что система управления рисками работает так, как задумано, и что организация не подвергается неожиданным юридическим или репутационным потерям.

Особенности в России

В Российской Федерации Compliance Assurance Process имеет свою специфику, обусловленную активным развитием комплаенс-культуры в последние годы, особенно в банковском секторе и компаниях с государственным участием. Ключевые особенности:

  • Усиление регуляторного давления: Банк России и другие регуляторы всё чаще проводят тематические проверки, требуя от организаций не только наличия политик, но и доказательств их фактического применения (например, проверки по противодействию легализации доходов, полученных преступным путём, — ПОД/ФТ).
  • Внедрение международных стандартов: многие крупные российские компании, особенно работающие на международных рынках, внедряют системы комплаенс по стандартам ISO 37301 и проходят сертификацию.
  • Фокус на антикоррупцию: в связи с требованиями Федерального закона № 273-ФЗ «О противодействии коррупции» и рекомендациями Минтруда РФ, комплаенс-аудит часто сосредоточен на проверке антикоррупционных процедур (конфликт интересов, подарки, спонсорство).
  • Цифровизация: растёт использование автоматизированных систем для мониторинга транзакций, проверки контрагентов (due diligence) и анализа данных, что делает процесс более эффективным, но требует дополнительных мер по защите информации.

Источники

  1. ISO 37301:2021 «Системы менеджмента соответствия. Требования и руководство по применению».
  2. ГОСТ Р ИСО 19600-2019 «Системы менеджмента комплаенс. Руководящие указания».
  3. Положение Банка России от 15.04.2021 № 716-П «О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы».
  4. Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции».
  5. Кодекс корпоративного управления, рекомендованный Банком России (Письмо Банка России от 10.04.2014 № 06-52/2463).
  6. Методические рекомендации Минтруда РФ по разработке и принятию организациями мер по предупреждению и противодействию коррупции (утв. Минтрудом России 08.11.2013).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →