RACI-матрица для целей комплаенс
Сегодня хочу предложить вам достаточно известный инструмент в управлении проектами, который также на мой взгляд, может быть классным помощником для комплаенс. Речь о матрице RACI, или матрице ответственности, — инструмент для управления зонами ответственности, полномочий и ролей в рамках проекта или процесса.

✅ **Для целей комплаенс наиболее эффективно использовать матрицу RACI в следующих направлениях:

1️⃣ Для распределения задач и ролей внутри комплаенс-команды;
2️⃣** В рамках анализа эффективности и достаточности контролей в бизнес-процессах, выявления возможных недостатков и т.д.

🔥 В чем ценность матрицы RACI для анализа процессов?

Она позволяет трезво посмотреть на процесс с точки зрения вовлеченных лиц и зон их ответственности, выявить возможное дублирование полномочий или коллективную ответственность, зачастую ведущую к коллективной безответственности и возможным неэффективностям процесса, а также заинтересованных лиц, которые могут оказывать влияние на процесс, или интересы которых важно учесть.

✅ Шаги по построению матрицы RACI в рамках анализа эффективности контролей в бизнес-процессе:
1. Разбиваем процесс на процедуры
2. Определяем участников для каждой процедуры
3. Формируем таблицу, где по вертикали перечисляем процедуры, по горизонтали – участников процедуры, а на пересечении отражаем роли каждого.

✅ Классические роли в рамках матрицы:
• R (responsible) — исполнитель задачи / подзадачи / процедуры, тот, кто непосредственно ее выполняет. Если задача или процедура масштабная, у неё может быть несколько исполнителей. Однако эффективнее разбить её на подзадачи и назначить исполнителей для каждой из них.

• A (accountable) — ответственный за всю задачу / процедуру, то есть он несёт ответственность за то, чтобы задачу завершили в срок, но не обязательно выполняет её сам. Часто A-участники назначают задачи и подзадачи R-участникам, иногда могут также являться R-участников. Важно, чтобы у одной задачи был только один A-участник.

• C (consult) — эксперт, который консультирует команду по вопросам, находящимся в его компетенции. Он не выполняет задачу / процедуру, но даёт советы и рекомендации, которые помогают выполнить её эффективнее.
Кстати, комплаенс часто бывает в этой роли ☺️**

• I (informed) — участник процесса, который должен быть в курсе выполнения задачи / процедуры, тк результат влияет на его дальнейшую деятельность.

В случае необходимости, можно добавлять и другие роли, например - RACIQ: новая роль Q (quality), проверяет качество результата и т.д.

❓Используете ли вы RACI матрицу для каких-либо комплаенс-задач?

Ирина Бурдикова I #комплаенссистема

Антикоррупционный рейтинг 2024

Опубликованы результаты Антикоррупционного рейтинга российского бизнеса, который проводится РСПП с 2020. В рамках него экспертно оценивается соответствие компаний положениям Антикоррупционной хартии российского бизнеса и международного стандарта ISO 37001:2016 «Система менеджмента противодействия коррупции».

📌 Для проведения Рейтинга-2024 РСПП определил обязательную выборку из 50 компаний, возглавляющих перечень «Рейтинг 400 крупнейших компаний России 2023». Также в Рейтинге есть компании, которые не входили в выборку, но самостоятельно изъявили желание принять в нем участие.

Рейтингование проводится двумя способами – очным (диалог с экспертом, возможность предоставить для анализа все имеющиеся в компании документы) и заочным (анализ открытых источников, включая официальный сайт компании, данные в СМИ и др., без взаимодействия с компанией).

⚡️⚡️Результаты рейтинга:

Очного рейтинга (42 компании):
«ААА+» - 17 компаний,
«ААА» - 9 компаний,
«АА+» - 6 компаний,
«АА» - 4 компаний,
«А+» - 3 компании,
«А» - 2 компания,
«ВВ» - 1 компания.

Заочного рейтинга (29 компаний):
«А+» - 4 компании,
«А» - 2 компании,
«ВВ» - 13 компаний,
«СС» - 5 компаний,
«С» - 4 компании, «D» - 1 компания.

В сравнении с предыдущим годом 37 компаний превысили свои показатели или сохранили результат на том же уровне.

🔴 Выявленные типичные проблемы по итогам рейтинга:

1) Недооценка раскрытия информации о мерах профилактики коррупции, практике внутреннего контроля и управления рисками; отсутствие в открытом доступе документов (в том числе в годовых и нефинансовых отчетах) и свидетельств состояния системы управления рисками и внутреннего контроля, сведений об эффективности антикоррупционных мер, о результатах управления конфликтом интересов, о мероприятиях и др.

2) Не всегда надлежащим образом учитывается влияние внешних и внутренних факторов, которые имеют существенное значение для бизнеса в конкретный период, не анализируются потребности и ожидания заинтересованных сторон.

3) Антикоррупционная политика в контролируемых компаниях практически полностью формируется холдинговой/управляющей компанией, а самостоятельное регулирование не осуществляется. Контролируемые компании не анализируют собственные коррупционные риски, не составляют планы, не практикуют отчетность перед своими коллегиальными органами управления, не публикуют информацию о своей политике, самостоятельно не регламентируют антикоррупционные процедуры для соответствующих бизнес-процессов.

4) Отсутствует независимая централизованная система управления противодействием коррупции, соответствующие функции разобщены (юридическая служба, служба безопасности, кадры, аудит, социальные программы и др.), в результате информация для выработки эффективных решений не аккумулируется.

5) Не всегда регулярно и качественно проводится выявление, идентификация и оценка коррупционных рисков; недостаточно проработаны и не актуализируются реестры рисков, не принимаются меры в отношении наиболее уязвимых бизнес-процессов и функций, не определяются новые контрольные процедуры.

6) «Горячая линия» формально существует, но не реагирует оперативно на поступающие сообщения, на запросы о консультациях. Возможность направления обращений не всегда сопровождается мерами защиты заявителей, ВНД компаний не содержат соответствующих требований. Результаты работы линий обратной связи не анализируются и не раскрываются, тематика обращений и их релевантность не оцениваются, принятые по таким сообщениям меры не документируются.

7) Не всегда обеспечивается высокий уровень независимости и компетентности лиц (подразделений), ответственных за реализацию антикоррупционной политики и организацию антикоррупционных мер.

Полные итоги рейтинга 👉🏻** здесь.

Ирина Бурдикова I #комплаенс_новости #комплаенссистема #комплаенс_рейтинг

Влияние ИИ на оценку эффективности комплаенс-систем

23.09.2024 Минюст США обновил свое руководство для федеральных прокуроров по «Оценке корпоративных комплаенс программ» (Evaluation of corporate compliance programs, ECCP). Напомню, что указанное руководство рассматривает эффективность комплаенс-системы по трем основным направлениям: (1) эффективность дизайна; (2) достаточность ресурсов для эффективной работы; (3) работа на практике.

🔥 Основные изменения:

1⃣ Учет влияния новых технологий: какие технологии компания использует для ведения бизнеса, проводила ли она оценку рисков, связанных с их использованием, приняла ли соответствующие меры для снижения выявленных рисков. Как компания оценивает потенциальное влияние ИИ или других новых технологий на свою способность соблюдать применимые законы, какую структуру управления и контроля компания внедрила в отношении использования технологий, какие другие шаги она предприняла для снижения рисков, связанных с технологиями, и предотвращения потенциального неправомерного их использования, и как обучает своих сотрудников использованию ИИ и других новых технологий.

Компании, которые внедрили ИИ в свою деятельность теперь должны будут объяснить и продемонстрировать:

- куда они внедрили ИИ;
- какие варианты использования ИИ, если таковые имеются, являются высокорисковыми;

- кто определяет, какие варианты использования являются высокорисковыми и на какой основе;

- процесс определения того, что преимущества высокорискового использования ИИ перевешивают риски;

- что этот процесс включает оценку рисков, связанных с намеренным или непреднамеренным использованием ИИ (например, посредством стресс-тестирования);

- для высокорисковых вариантов использования компания знает конкретные риски для каждого (например, конфиденциальность, предвзятость, прозрачность, контроль качества, управление поставщиками, кибербезопасность, потеря защиты интеллектуальной собственности, соответствие требованиям, контрактам, конфликты и т. д.), и люди, осведомленные об этих рисках, либо приняли их, либо снизили (например, с помощью оповещений, контроля данных, технических ограждений, обучения, маркировки, проверки человеком, подтверждений соответствия, проверки модели и т. д.);

- высокорисковые варианты использования отслеживаются на постоянной основе, чтобы гарантировать, что риск остается приемлемым или сниженным, что ИИ продолжает функционировать так, как задумано, и что значительные отклонения в работе ИИ быстро обнаруживаются;

- указанный процесс надлежащим образом документируется.

2️⃣ Дополнительное внимание сделано на вопросы интеграции приобретаемых организаций в комплаенс-среду компании. Предыдущая версия ECCP предусматривала оценку процесса компании по внедрению комплаенс-политик и процедур во вновь приоберетенный актив, а также проведения аудитов там. Помимо этого, Минюст США подчеркивал важность подобных мер, вводя в 2023 шестимесячный период «безопасной гавани».

Сейчас сделан дополнительный акцент на то, какую роль комплаенс-функция и управления рисками играют в планировании и осуществлении процесса интеграции, как компания обеспечивает надзор за соответствием приобретенного бизнеса и как новый бизнес интегрируется в процедуры оценки рисков компании.

3️⃣ Также вопросы по достаточности ресурсов и доступов комплаенс-функции дополнены оценкой того, надлежащим ли образом компания использует инструменты аналитики данных для целей комплаенс, в т.ч. своевременного выявления нарушений, как компания управляет качеством своих комплаенс-данных и как обеспечивает надежность любых используемых моделей аналитики комплаенс-данных.

Полный текст обновленного Руководства 👉🏻** здесь

Ирина Бурдикова | #комплаенс_новости #комплаенссистема

Конфискация предприятий в связи с коррупционной деятельностью владельцев спустя десятки лет

✅ Неделю назад Конституционный суд РФ рассматривал вопрос применения сроков давности в делах о взыскании в собственность государства имущества по коррупционным делам (ст. 195, 196, п. 1 ст. 197, п. 1 и 2 ст. 200 и ст. 208 ГК РФ). А именно положение о том, что исковая давность не распространяется на требования о защите «личных неимущественных прав и других нематериальных благ».

📌 Как выяснилось, единого мнения по этому вопросу нет даже в органах госвласти: одни выступили с позицией, что государство имеет полное право конфисковать имущество у коррупционеров, даже спустя десятки лет, и здесь нет и не может быть срока давности. Другие же, наоборот, настаивали, что никто не может быть поставлен под угрозу возможного обременения на неопределенный и слишком длительный срок.

📌 Стоит отметить, что поводом направления указанного запроса в Конституционный суд явилась рассматриваемая Краснодарским краевым судом апелляционная жалоба на решение нижестоящего Каневского районного суда, который удовлетворил требования Генпрокуратуры об обращении в доход государства имущества (акции и доли в уставных капиталах 22 компаний стоимостью свыше 9 млрд руб.) лиц, связанных с экс-руководством агроконцерна «Покровский». По версии Генпрокуратуры, бизнес «Покровского» был основан на средства, полученные коррупционным путем во время работы в аппарате полпреда в Южном федеральном округе в 2001–2004 гг.

❗️В 2023 – 2024 гг. это далеко не единственный случай:

Май 2024 – в доход государства было обращено имущество предприятия «Макфа» и другие связанные с ним предприятия за свое коррупционное происхождение, поскольку их владельцы совмещали бизнес и работу в органах госвласти до 2014–2016 гг.

Февраль – апрель 2024 – конфискация активов у бизнесмена Александра Аристова за их незаконную приватизацию в 1990-е, в т.ч. АО «ЧЭМК», «Кузнецкие ферросплавы» и «Серовский завод ферросплавов», а также активов ООО «ГК Ариант» (в т.ч. крупнейший российский производитель вина «Кубань-Вино», агрофирма «Южная», «Центр пищевой индустрии — Ариант» и агрофирма «Ариант» (свинокомплексы) в счет взыскания несновательного обогащения.

Декабрь 2023 – национализации подвергся крупнейший автодилер России «Рольф»: его основатель Сергей Петров был депутатом Госдумы и незаконно занимался бизнесом, используя компании для совершения коррупционных нарушений.

Январь 2023 – в пользу государства обращены акции ПАО «Дальневосточное морское пароходство» (FESCO), владельцы которого (братья Магомедовы и другие лица) из-за причастности к коррупционным схемам смогли фактическим стать владельцами 92,4% обыкновенных бездокументарных именных акций компании. Кстати, в ноябре 2023 компанию передали Росатому.

Еще одно дело об изъятии у частных собственников 8 га земли (13 участков), входящих в участок площадью 99 га, ранее принадлежавших санаторию управделами президента «Барвиха», рассматривается сейчас в Одинцовском городском суде.

Единственным пока прецедентом, когда решение о национализации было отменено, стал вердикт коллегии по гражданским делам Верховного суда России. В конце июля она отменила решение о национализации контрольного пакета акций завода «Исеть» и отправила дело на повторное рассмотрение в Ленинский районный суд Екатеринбурга.

В общем – очень ждем решения Конституционного суда.

Ирина Бурдикова I #правоприменение #комплаенс_новости