Три лінії захисту в комплаєнсі

Три лінії захисту в комплаєнсі - це три кити, які є фундаментом у побудові всієї успішної діяльності компанії.

Це механізм оптимізації та вдосконалення процесів, адекватний контроль відповідальності працівників, запобігання виникненню комплаєнс-інцидентів (збитків у формі втраченої вигоди, втрати потенційних клієнтів, штрафів, пені, втрат унаслідок дій шахраїв, у тому числі внутрішніх, тощо).

До правил ефективності комплаєнс-менеджменту належить, зокрема, створення трьох ліній захисту: операційний внутрішній контроль бізнес-діяльності, керування ризиками, внутрішній аудит.

Модель трьох ліній захисту дає змогу провести чітке розмежування між трьома окремими функціями, а саме: менеджментом, ризиками й контролем, внутрішнім аудитом ("остання лінія захисту").

Перша лінія захисту - це всі працівники. Кожний на своєму робочому місті виконує свої посадові обов'язки: банківські працівники відкривають рахунки, надають кредитні та депозитні послуги, здійснюють платежі й перекази; страхові агенти продають та оформлюють страхові поліси; продавці інтернет-магазинів пропонують свій товар та оформлюють купівлю-продаж в електронному форматі; оператори колцентрів консультують та розв'язують проблему клієнта відповідно до скриптів і протоколів, затверджених у компанії.

До захисту першої лінії також належать відокремлені бізнес-підрозділи й підрозділи підтримки (бекофіс, фронтофіс). Кожний працівник на своєму місці дотримується всіх інструкцій і внутрішніх правил, які регламентують (повинні регламентувати!) кожен крок, кожну процедуру, кожен процес. З кожного правила є винятки, і ці винятки також має бути враховано в інструкціях та регламентах, а якщо такої інформації немає, то працівник повинен мати уявлення, що йому робити й можливість попередити керівництво про можливі ризики або про неприйнятну поведінку, порушення норм і правил іншими працівниками чи клієнтами, про виявлення слабких місць у процесах, коли можливі випадки шахрайства та зловживання посадовими обов'язками.

Умови нашого життя змінюються дуже швидко. Тож в ідеалі всі правила та інструкції також потрібно змінювати, переглядати й у разі потреби актуалізувати. У 2019-2020 роках у всьому світі було запроваджено вимоги, пов'язані з дотриманням карантину у зв'язку з пандемією COVID-19. Змінилися правила обслуговування клієнтів у всіх сферах, змінилися умови перевезення пасажирів у громадському транспорті, освіта всіх рівнів перейшла в онлайновий формат, усе, що можливо, перевели на дистанційний формат. Обставини змінили життя пересічних громадян, а відповідно із цим держава змінила положення законів і підзаконних актів.

Потім, 22 лютого 2022 р., було оголошено воєнний стан. Це взагалі нові реалії життя. Нові правила та вимоги. "Пауза" в багатьох процесах і сферах життя. Переосмислення цінностей і пристосування до нових вимог, як із боку населення, так і всіх суб'єктів господарювання. І такі непередбачувані обставини виникають постійно. Перші, хто помічають ці зміни та сигналізують про небезпеку, а також ставлять питання, на які деякий час немає відповідей, - це перша лінія захисту.

Друга лінія захисту - підрозділи / фахівці, які забезпечують допомогу в керуванні ризиками: ризик-менеджмент / СRO, комплаєнс / CCO, у страхових компаніях це також актуарій. Завдання другої лінії захисту - експертиза, підтримка, моніторинг і розв'язання проблем, пов'язаних із ризиками.

Розгляньмо детальніше комплаєнс, метою та діяльністю якого є:

• перегляд процедур (спрощення процедур, скасування неактуальних контролів або, навпаки, додатковий контроль і регламентація, рекомендації з удосконалення процесів);

• регламентація контролю (та сама особа не може створювати процес та перевіряти його);

• контроль відповідальності;

• внутрішні комунікації (підрозділ комплаєнсу не може знати всі тонкості кожного процесу, тому залучає до своєї діяльності інші структурні підрозділи);

• регулярне навчання працівників, зокрема й керівників різних рівнів (доступність правил, ознайомлення з інструкціями та регламентами, отримання зворотного зв'язку, створення позитивної корпоративної культури, довіра до комплаєнсу);

• Комплаєнс-культура (етапи: створення з урахуванням місії компанії, її бізнес-завдань і функцій, організація, розвиток, зрілість).

Третя лінія захисту: внутрішній аудит. Звітування перед акціонерами, наглядовою радою. Ухвалення рішень щодо комплаєнс-інцидентів топменеджментом. Визначення ризик-апетитів.

Мета третьої лінії - незалежне й об'єктивне забезпечення та консультування з усіх питань, пов'язаних із досягненням цілей.

Водночас треба розуміти, що комплаєнс-перевірки відрізняються від аудиторських перевірок. Комплаєнс-менеджер не ставить перед собою завдання знайти недолік і покарати порушників. Мета комплаєнсу - уникнути зайвих втрат, мінімізувати комплаєнс-ризик, зокрема й репутаційні втрати.

Важливо зазначити, що комплаєнс-менеджер, хоч він і звітує перед наглядовою радою, повинен бути повністю незалежною особою, не повинен потерпати від тиску з боку керівництва та топменеджерів, не повинен реагувати на "пропозиції" щодо приховування комплаєнс-інцидентів, применшення комплаєнс-ризиків тощо.

Метою комплаєнс-перевірок є:

• оптимізація та вдосконалення процесів;

• збільшення та забезпечення відповідності;

• удосконалення профілактичних заходів.

Критерії комплаєнс-перевірок:

• відповідність правилам;

• якість регламентації;

• рівень внутрішньої взаємодії;

• достатність контролю;

• рівень обізнаності працівників.

Після завершення перевірки комплаєнс-менеджер надає висновок щодо перевірки, у якому, зокрема, наводить свої рекомендації та/або рекомендації експертів щодо покращення процесів і процедур, які були об'єктами перевірки. Також на розгляд наглядової ради має бути надано інформацію про можливість потенційних зловживань або докази останніх із пропозиціями щодо подальших дій.