Комплаенс

Комплаенс — соответствие установленным требованиям, таким как спецификации, политика, стандарт или закон. Традиционно комплаенс объяснялся через теорию устрашения, согласно которой наказание за определённое поведение снижает число правонарушений как со стороны виновного (специфическое устрашение), так и со стороны других лиц (общее устрашение)^[1]. Эта точка зрения находит поддержку в экономической теории, где наказание рассматривается как издержки, а комплаенс объясняется через равновесие между выгодой и затратами (Беккер, 1968). Однако психологические исследования мотивации предлагают альтернативный взгляд: поощрения (Деси, Кестнер и Райан, 1999) или штрафы (Гнези, Рустичини, 2000) выступают формой внешней мотивации, ослабляющей внутреннюю мотивацию и в конечном итоге подрывающей комплаенс.

Регуляторный комплаенс означает стремление организаций обеспечить знание и выполнение всех относящихся к ним законов, политик и нормативных требований^[2]. С учётом растущего числа нормативных актов и необходимости операционной прозрачности, организации всё чаще используют комплексные и согласованные системы контроля комплаенса^[3]. Такой подход позволяет выполнять все необходимые требования управления без двойной траты ресурсов и дублирующих действий.

Нормативы и контролирующие организации различаются по отраслям: PCI-DSS и GLBA в финансовой сфере, FISMA — для федеральных агентств США, HACCP — для пищевой и напиточной отрасли, Joint Commission и HIPAA — в здравоохранении. Для достижения комплаенса используют также такие стандарты и методологии, как COBIT или NIST.

Некоторые организации хранят данные о комплаенсе — всю информацию, относящуюся к предприятию или включённую в соответствующее законодательство, — отдельно для выполнения требований по отчётности. Всё чаще компании внедряют специализированное программное обеспечение для управления такими данными. Хранилище может содержать вычисления, передачи данных и аудиторские следы^[4]^[5].

Международная организация по стандартизации (ISO) выпустила стандарт ISO 37301:2021 (заменивший ISO 19600:2014), который является одним из основных международных стандартов управления регуляторным комплаенсом. Он подчёркивает необходимость совместной работы систем управления комплаенсом и рисками в рамках единой структуры с индивидуальными различиями. ISO также разрабатывает международные стандарты, такие как ISO/IEC 27002, помогающие организациям соблюдать требования к информационной безопасности^[6].

Некоторые специализированные организации, в том числе Американское общество инженеров-механиков (ASME), также разрабатывают стандарты и нормативные коды, предоставляя широкий спектр правил и директив для обеспечения комплаенса продукции требованиям по безопасности, надёжности или дизайну^[7].

Регуляторные требования к комплаенсу различаются не только по отраслям, но и по странам. Финансовый, исследовательский и фармацевтический надзор внутри одной страны может иметь как сходства, так и отличия по сравнению с другими государствами, что обусловлено разной реакцией на меняющиеся цели и требования^[8].

Австралия

К основным финансовым регуляторам Австралии относятся Резервный банк Австралии (RBA), Австралийское управление по пруденциальному регулированию (APRA), Австралийская комиссия по ценным бумагам и инвестициям (ASIC) и Австралийская комиссия по конкуренции и защите прав потребителей (ACCC)^[9]. Они обеспечивают выполнение обязательств финансовых институтов, надлежащее документирование транзакций и защиту конкуренции и прав потребителей. APRA также отвечает за регулирование пенсионных фондов, включая проверку наличия у них достаточных ресурсов, систем управления рисками и компетенций сотрудников^[9].

Среди других регуляторов — Австралийское управление коммуникаций и СМИ (ACMA)^[10], Clean Energy Regulator (регулирование энергетики и выбросов углерода)^[11], и Therapeutic Goods Administration (лекарства, медицинские изделия и биопрепараты)^[12].

Австралийские организации могут руководствоваться стандартом AS ISO 19600:2015 (заменил AS 3806-2006), помогающим выстраивать систему управления комплаенсом и ориентированным на постоянное совершенствование^[13]^[14].

Канада

В Канаде федеральное регулирование депозитов, страхования и пенсионных фондов осуществляют самостоятельные органы: OSFI в соответствии с Bank Act и FINTRAC, уполномоченный Законом о доходах от преступной деятельности и противодействии финансированию терроризма (PCMLTFA)^[15]^[16]. Они обеспечивают защиту потребителей, контроль за управлением рисками и расследование таких преступлений, как отмывание денег и финансирование терроризма^[15]^[16]. В провинциях действуют собственные законы и агентства. В отличие от большинства федераций, в Канаде отсутствует федеральный регулятор рынка ценных бумаг; эти функции координируются на уровне провинций и территорий через CSA^[17].

Среди других надзорных органов — Canadian Food Inspection Agency (CFIA, контроль пищевой безопасности и здоровья животных и растений), Health Canada (общественное здравоохранение) и Environment and Climate Change Canada (экология и устойчивая энергетика)^[18].

Комплаенс-стандарт ISO 19600:2014 позволяет организациям выстроить эффективную систему управления комплаенсом^[19]. Для финансовых организаций разработаны и более специализированные подходы, например «E-13 Regulatory Compliance Management»^[20].

Европейский союз

В Европейском союзе (ЕС) комплаенс регулируется единым правовым полем, что обеспечивает согласованность между странами-членами при возможности национальной адаптации. ЕС нормирует комплаенс в различных областях: безопасность товаров, финансы, экологию, защиту данных.

Общий регламент по безопасности продуктов (GPSR) устанавливает универсальные рамки безопасности для потребительских товаров в ЕС, обязывает производителей оценивать риски, вести документацию и соблюдать стандарты до выхода товара на рынок^[21]^[22]. GPSR применяется ко всем потребительским товарам, кроме охваченных отраслевыми нормативами (медицинские изделия, продукты питания), распространяется на электронную торговлю и фулфилмент-сервисы.

Для бизнеса комплаенс регулируется Подходом нового регулирования (NLF) и секторальными директивами, действует обязательная CE-маркировка для товаров, соответствующих требованиям безопасности^[23].

Финансовое регулирование в ЕС обеспечивает прозрачность, защиту потребителей и безопасность данных (например, посредством MiFID II и GDPR).

Комплексная рамочная структура комплаенса ЕС помогает компаниям управлять регуляторными рисками^[24].

Компаниям, работающим в ЕС, необходимо отслеживать изменения комплаенс-требований, чтобы избежать штрафов, отзывов и запретов на продажу.

Нидерланды

Финансовый сектор Нидерландов строго регулируется: Центральный банк Нидерландов отвечает за пруденциальный надзор, а AFM — за поведенческий надзор за финансовыми институтами и рынками. Одно из определений комплаенса здесь: «Придерживаться внешних (национальных и международных) законов и внутренних стандартов и процедур для защиты целостности организации, её управления и сотрудников во избежание рисков и ущерба»^[25].

Индия

В Индии регулирование комплаенса осуществляется на трёх уровнях: федеральном, штатном и местном. Центральные органы, особенно по финансовым рынкам и иностранным инвестициям, играют главную роль. Основные сферы регулирования: экономика, публичные интересы, экология^[26]. В целом, уровень соответствия требованиям комплаенса в индийских компаниях оценивается как невысокий — полностью соответствуют нормам не более 65 %^[27].

Сингапур

Монетарное управление Сингапура (MAS) — центральный банк и главный финансовый регулятор страны, отвечающий за денежную политику, банковский, страховой сектор и выпуск валюты^[28].

Великобритания

В Великобритании действует обширная система регулирования, часть из которой касается норм ЕС. За комплаенсом в разных сферах следят различные органы: Управление по финансовому надзору (FCA)^[29], Агентство по охране окружающей среды^[30], Scottish Environment Protection Agency^[31], Information Commissioner's Office^[32], Care Quality Commission^[33] и другие (см. Список регуляторов Великобритании).

Ключевые вопросы комплаенса для организаций — Data Protection Act 2018^[34] и (для госсектора) Freedom of Information Act 2000^[35].

США

Скандалы в корпоративной сфере, например громкое дело Enron (2001), усилили призывы к ужесточению контроля и стандартов для публичных компаний^[2]. К ключевым современным законодательным новациям относится Закон Сарбейнса — Окссли 2002 года, а также Закон Додда — Франка.

Офис по контролю над иностранными активами (OFAC) Минфина США реализует и администрирует экономические и торговые санкции в интересах национальной безопасности.

Комплаенс в США подразумевает соблюдение законов и нормативных актов под угрозой гражданской или уголовной ответственности. Представление о «эффективной программе комплаенса» формируется, в частности, на базе рекомендаций Федеральная комиссия по вынесению приговоров США (Глава 8 Sentencing Guidelines)^[36]^[37].

С 2006 года действует портал Business.gov (позднее Business.USA.gov и SBA.gov), предоставляющий доступ к сервисам и информации по вопросам регуляторного комплаенса.

Министерство труда США, через OSHA, внедряет правила по безопасности труда, строительству, морскому транспорту, АПК и отчётности^[38].

Министерство транспорта США требует от подрядчиков, претендующих на государственные контракты, документировать усилия по соблюдению комплаенса по разнообразию^[39].

Хранение данных — одна из сложнейших проблем современного комплаенса. Требования сохранять пользовательские данные дольше, чем того требуют бизнес-процессы, часто противоречат праву на приватность, и вызывают критику правозащитников^[40].

В США такие законы, как CAN-SPAM и Закон о справедливой кредитной отчётности, предоставляют гражданам право быть забытыми — то есть требуют удалять их из рассылок по запросу и информировать о случаях передачи их данных^[41]^[42]. На практике исчерпывающее выполнение всех новых требований по хранению данных весьма затруднительно.

Отмывание денег и финансирование терроризма представляют угрозу для целостности финсистем и национальной безопасности. ЕС применяет риск-ориентированный подход к борьбе с отмыванием денег (AML) и финансированием терроризма с участием национальных и союзных органов. Такой подход предполагает выявление рисков и пропорциональное регулирование, однако может сталкиваться с трудностями разграничения ответственности и рисками неоднородности применения регламентов.

Финансовый комплаенс

Британский кодекс корпоративного управления (UK Corporate Governance Code) устанавливает стандарты управленческой ответственности, структуры, мотивации и отчётности для публичных компаний^[43]. Все компании с акциями высшей категории на Лондонской бирже обязаны ежегодно отчитываться о применении Кодекса^[44].

Британские правила требуют включения в годовую отчётность компаний строго определённых форм отчётов, согласованных с международными стандартами учёта^[45]. Это подчёркивает важность коммуникации между акционерами, менеджментом и независимыми аудиторами. Финансовая отчётность готовится по совокупности норм корпоративного, биржевого права и стандартов IFRS^[46].

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

[30]

[31]

[32]

[33]

[34]

[35]

[36]

[37]

[38]

[39]

[40]

[41]

[42]

[43]

[44]

[45]

[46]

Комплаенс

Стандарты