Любой бизнес – это совокупность определенных ресурсов. В перечень этих ресурсов относятся те, которые имеют материальную форму: недвижимое имущество, оборудование, корпоративные права и те, которые выражены в нематериальной форме: информация о деятельности предприятия, ее коммерческие тайны. Одним из ключевых ресурсов являются люди – топменеджмент и другие сотрудники компании.
Под качественно сформированными процессами подразумевается ключ к успеху любой компании.
Защита информации
XXI век – это не столько о стоимости недвижимого имущества, принадлежащего предприятию, сколько о защите информации, которая обрабатывается им. Потеря определенных сведений может привести к различным негативным последствиям. От утечки клиентской базы, которую недобросовестные конкуренты могут использовать по своему усмотрению, до противоправного завладения имуществом предприятия (так называемого, рейдерского захвата).
«Предупрежден, значит вооружен»
Превентивные меры играют важную роль в системе контроля оборота информации на предприятии. К таким мерам могут быть отнесены:
- Разработка политик конфиденциальности, в которых должны быть осведомлены все работники.
- Подписание договоров о конфиденциальности с формулировкой четких требований фиксирования последствий утечки информации (не заоблачные штрафы, как это любят указывать большинство работодателей, а четкая система отображения размера денежного ущерба).
- Использование лицензионного программного обеспечения в работе с операционными задачами бизнеса.
- Формирование практик хранения операционных документов в «облачных инфраструктурах».
- Внедрение электронного документооборота.
- Другие мероприятия в сфере IT, которые направлены на предупреждение утечек информации и хакерских атак на предприятии.
В процессе поддержки IТ-подразделения компании необходимо формировать соответствующую техническую базу, которая обеспечит безопасность конфиденциальности всего документооборота предприятия. В свою очередь, юридический департамент и департамент по управлению персоналом должны разработать политики обращения с конфиденциальной информацией, правила пользования техникой компании за пределами ее территории и подготовить договоры о конфиденциальности.
Человеческие ресурсы
В числе последствий небрежного отбора работников на предприятии присутствует корпоративное мошенничество, шпионаж за коммерческой информацией и ноу-хау, оказание помощи внешним злоумышленникам в рейдерском захвате бизнеса, моббинг и буллинг в коллективе сотрудников.
HR-подразделения и службы безопасности большинства предприятий считают полиграф эффективным инструментом отбора кандидатов.
Процесс прохождения полиграфа не является нормативно урегулированным. Главное, что требует действующее законодательство – разрешение на сбор и обработку персональных данных в случае прохождения полиграфа. Также необходимо обязательно получить согласие работника на прохождение полиграфологического исследования.
В перечень других систем контроля в сфере человеческих ресурсов следует отнести:
- Поддержание и оценку психологической атмосферы в коллективе (анализ возможных жалоб работников, особенно на ненадлежащие условия оплаты труда, подобные жалобы могут стать тревожным звоночком корпоративного мошенничества).
- Анализ деловой переписки, осуществляемой работниками посредством корпоративной почты (с заблаговременным уведомлением об этом самих работников), отдельные слова могут свидетельствовать о подготовке к мошенничеству или присвоению ресурсов.
- Систематическое обучение работников в сфере систем корпоративной безопасности, правил обращения с информационными ресурсами и правил коммуникации с клиентами.
- Наличие регулярной обратной связи от клиента касательно качества услуг, предоставляемых компанией (возможно, сотрудник предоставляет услуги «в обход» основного бухгалтерского учета компании).
Фактически, в вопросах человеческих ресурсов достаточно трудно сформировать письменные документы, которые бы определяли стандартные правила обращения сотрудников, ведь человеческие отношения трудно поддаются формализации. В то же время рекомендуется разработать и проинформировать всех причастных сотрудников о кодексе этики работника компании, правилах деловой переписки, правилах коммуникации с клиентами и основных положений касательно систем предотвращения корпоративного мошенничества.
Поведение отдельных работников (иногда даже топменеджмента компании) может привести к применению уголовно-правовых мер к предприятию, поэтому предлагаем более детально обсудить вопросы антикоррупционного комплаенса.
Антикоррупционный комплаенс
Не все юридические лица обязаны разрабатывать антикоррупционные политики. Однако это не означает, что бизнес, который не имеет отношения к государственной форме собственности, должен аннигилировать этот общеевропейский тренд.
В перечень мер антикоррупционного комплаенса относят разработку определенных политик касательно поведения с государственными органами, правоохранительными органами, недопустимость «негласного общения» с работниками этих органов для «ускоренного рассмотрения» вопросов, от которых зависит деятельность предприятия.
Эти документы должны быть не только разработаны на предприятии. О них должны быть проинформированы все сотрудники, а также прописана система внедрения этих документов в повседневную деятельность компании. В такую систему входит как деятельность комплаенс-офицера, так и существование алгоритма сообщений о коррупционных практиках на предприятии (поощрение whistleblowers).
Оценивая реалии национального рынка, можно скептически отнестись к активному внедрению практики существования защищенных каналов информации, где сотрудник предприятия будет сообщать уполномоченному офицеру информацию о подозрительных действиях своего руководителя или другого коллеги. К тому же мировая практика идет в этом направлении. Мы искренне убеждены, что владелец бизнеса прямо заинтересован в таких шагах.
Более того, несоблюдение определенных правил или политик компании, направленных на предотвращение коррупции, может иметь существенные последствия:
- Инициирование уголовного преследования за коррупционные преступления.
- Обыски на территории предприятия и временные ограничения (изъятие) к документам, составляющим коммерческую тайну.
- Применение мер уголовно-правового характера по отношению к юридическому лицу (конфискация имущества, штраф и ликвидация компании).
Таким образом, основным документом, определяющим направление внутреннего контроля на предприятии, является антикоррупционная программа, которая включает описание всей системы антикоррупционного комплаенса компании с распределением обязанностей для структурных подразделений и должностных лиц.
Недвижимое имущество и другие активы, подлежащие регистрации
Не менее важными активами компании являются недвижимое имущество и корпоративные права. Они могут представлять собой основные производственные мощности предприятия, поэтому их фактическая (и юридическая) потеря может привести к прекращению деятельности бизнеса.
Имеется в виду рейдерство в разных формах: от физического «отжима» бизнеса до использования недостатков уставных документов и конфликта совладельцев. Так, с помощью судебных споров, можно изменить распределение долей в уставном капитале и перерегистрировать недвижимое имущество.
Результатом этого может стать отсутствие надлежащего учета движимого имущества, не введение в эксплуатацию недвижимого имущества, несовершенная система хранения учредительных документов и печатей компании, а также наличие практики проставления подписи руководителя другими лицами.
Что же предстоит сделать компании для защиты от рисков в этой части системы контроля:
- Позаботиться о наличии «запасного аэродрома» (экземпляр нотариально заверенных учредительных документов и альтернативные банковские счета, о которых будут знать только учредители компании).
- Отслеживать информацию о компании в реестрах открытых данных.
- Внести изменения в уставные документы, которые касаются возможности прекращения полномочий топменеджмента фирмы с минимальными рисками для бизнеса (наличие законных оснований для расторжения контракта).
В контексте рейдерства не менее важным является обеспечение физической охраны предприятия. Ведь даже в случае успешной юридической работы адвокатов (отмена неправомерных регистрационных действий в отношении имущества и корпоративных прав предприятия), как правило, довольно трудно восстановить фактический контроль над бизнесом.
Анализ контрагентов и конкурентов
С наличием современных инструментов анализа контрагентов только ленивый не говорит о необходимости его осуществления. Это оправдано не только в контексте небрежного выполнения договоренностей в будущем, но и в части потенциального уголовного преследования руководителя компании за финансирование терроризма, уклонение от уплаты налогов и других малоприятных вещах.
Как известно, для того чтобы привлечь внимание правоохранительных органов к финансированию терроризма, не обязательно иметь договоры поставки определенного оборудования террористическим организациям «ЛНР»/ «ДНР». Достаточно быть немного опрометчивым и заключить договор с компанией, которая присутствует в санкционном списке или которая имеет определенные филиалы на территории вышеупомянутых организаций.
Все это предоставит возможность правоохранительным органам начать уголовное преследование, которое может и не окончиться безболезненно для бизнеса (вследствие многочисленных обысков, конфискации документации).
Основные политики, которые могут быть направлены на предотвращение данной категории рисков – приобретение платных программ для анализа контрагентов, разработка внутренних инструкций, которые будут регулировать процедуры внутреннего анализа контрагентов и документальной фиксации проверки по каждому из них.
Качество претензионной и исковой работы
Pacta sunt servanda (с лат. «Договоры должны соблюдаться»), но это не снимает ответственности за контроль по выполнению соглашений, заключенных на предприятии.
Прежде всего, задолженность должна указываться в отдельных видах финансовой и налоговой отчетности. С другой стороны, небрежное отношение к дебиторской задолженности (особенно, если это расчеты в сферах, связанных с освоением государственного бюджета) может привести к обоснованным подозрениям правоохранителей касательно причастности к присвоению бюджетных средств.
Конечно, предпринимательство – это рисковая деятельность, и каждый владелец бизнеса самостоятельно решает, какая задолженность должна становиться предметом судебных процессов, а какая – нет. Однако если предприятие выполняет определенные работы (предоставляет услуги) за государственные средства, то в любом небрежном отношении к контролю за выполнением субподрядных договоров может быть обвинен руководитель компании.
Иной вопрос – деловая репутация предприятия. Конечно, публичные коммуникации трудно отнести к тем сферам деятельности, которые требуют определенных юридических механизмов. Однако, когда в Интернет-пространстве имеется определенная негативная или недостоверная информация о компании, менеджмент не должен игнорировать ее. В таком случае следует обращаться с исками о защите деловой репутации компании.
Для обеспечения этой составляющей системы контроля на предприятии должно быть разработано положение о договорной работе, которое не только будет включать порядок и ответственность при разработке проектов договоров, но и порядок контроля за их выполнением. Положения о должностных обязанностях сотрудников юридического отдела позволят четко распределить сферы ответственности и обезопасить предприятие от рисков в этой сфере.
Регуляторная, финансовая и бухгалтерская дисциплина
Несмотря на стремление правительства уменьшить регуляторное давление на бизнес, остается немалое количество законов и подзаконных актов, которые должны соблюдаться в той или иной индустрии. Их несоблюдение может вполне реально угрожать уголовным делом в отношении руководителя или определенного должностного лица предприятия.
Наиболее распространенный пример – уголовные правонарушения против безопасности производства. Сюда можно отнести нарушение правил охраны труда, повлекшее определенные последствия для здоровья сотрудников.
Первая деталь, на которую обращают внимание чиновники – наличие подписанных инструктажей о соблюдении правил охраны труда на предприятии (это особенно актуально в случае предприятий, которые относятся к сектору выполнения работ с повышенной опасностью).
Поэтому на предприятии должен обязательно проводиться аудит на предмет соблюдения регуляторного законодательства. В процессе аудита будет оценен круг нормативных актов, которых должно придерживаться предприятие, выявлены конкретные нарушения, а также меры, которые предстоит еще предпринять, чтобы предотвратить возможные выявления правонарушений Гоструда, Госпродпотребслужбы и других государственных органов.
Отдельно следует отметить соблюдение финансовой и бухгалтерской дисциплин. Не так давно среди криминалистов гремела дискуссия о возможности назначения следственным судьей налоговой проверки, который обычно становился основным аргументом относительно инкриминирования уклонения от уплаты налогов. В то же время, не стоит забывать о том, что, по результатам плановой или внеплановой налоговой проверки (в случае наличия нарушений в налоговой отчетности), может быть инициировано уголовное производство.
Методы правоохранительных органов в части расследования налоговых преступлений являются довольно резкими и такими, которые «запрограммированы» на блокирование работы бизнеса. Таким образом, следует максимально внимательно отнестись к коммуникации с налоговыми органами и своевременному обжалованию налоговых уведомлений-решений, с которыми не соглашается предприятие.
Все это – действенная защита
Советов и требований можно определять десятками, но без детального анализа каждого отдельно взятого предприятия внедрить действенную систему защиты бизнеса будет крайне трудно. В то же время мы убеждены, что контроль должен быть внешним, то есть, не зависеть от деятельности компании и не быть подчиненным одному основателю или руководителю. Только в случае такого построения системы контроля на предприятии можно избежать большинства упомянутых рисков и угроз.
Подход к контролю уже сегодня изменился из-за пандемии. Деятельность всех компаний стала размыта, изменена, а часто и разбалансирована. Как результат, появилась коммерческая информация на личных незащищенных носителях работников. Доступы к базам данных все чаще происходят посредством незащищенных сетей, документация «разбежалась» по домам сотрудников. И это лишь небольшая часть ежедневных вызовов.
Соблюдение описанных базовых правил и гибкость системы контроля – гарант безопасности компании.
Станислав Борис, адвокат, советник Практики безопасности бизнеса Juscutum
Павел Демчук, младший юрист Практики безопасности бизнеса Juscutum