Подробный обзор вебинара «Комплаенс бизнес-процессов»

• Бизнес процесс – это
• Этапы бизнес-процесса
• Непрерывность в нормативно-правовых актах
• Типовые бизнес-процессы
• Комплаенс и бизнес-процесс
• Ключевые бизнес-процессы для комплаенс анализа
• Пример оценки комплаенс-риска
• Комплаенс-мониторинг бизнес-процессов
• Примеры Siemens и Yum! Brands
• Уязвимость процессов закупок и продаж
• Пример требований потенциальных поставщиков на закупках
• Как выявляются комплаенс-риски в организации?
• Карта рисков как инструмент самообследования

Бизнес процесс – это

Бизнес процесс – это набор функций, выполняемых в определенной последовательности для создания потребительской ценности. Процесс есть сочетание всех действий, требуемых для достижения цели, получения результата, продукции или услуги. Действия, показанные в контексте их взаимосвязей, образуют последовательность или поток.

Процессы запускаются определенными событиями и порождают определенный результат (или несколько результатов) в виде завершения процесса или передачи ответственности другому процессу. Процессы состоят из набора взаимосвязанных задач или действий, нацеленных на решение конкретной проблемы.

В контексте управления бизнес-процессами сам бизнес-процесс определяется как сквозная работа, создающая потребительскую ценность. Понятие сквозной работы является принципиальным, в нем подразумевается вся работа, необходимая для создания потребительской ценности в полном объеме, не взирая на функциональные границы.

Этапы бизнес-процесса

Современные концепции рассматривают управление бизнес-процессами как непрерывный цикл, состоящий из следующих этапов:

• Идентификация процесса. На этом этапе ставится бизнес-проблема, процессы, относящиеся к решаемой проблеме, идентифицируются, разграничиваются и соотносятся друг с другом.
• Выявление процесса («то, как это есть»). Здесь текущее состояние каждого из соответствующих процессов задокументировано, как правило, в форме одной или нескольких моделей процесса.
• Анализ процесса. На этом этапе вопросы и проблемы, связанные с текущим состоянием процесса, идентифицируются, документируются и по возможности количественно оцениваются с использованием показателей эффективности.
• Улучшение процесса. Цель этого этапа – выявить, какие изменения в процессе необходимо произвести, чтобы решить проблемы, выявленные на предыдущем этапе, и дать организации возможность выполнить свои задачи в области производительности.
• Выполнение процесса. На этом этапе готовятся и выполняются изменения, необходимые для перехода от процесса «как есть» к будущему процессу.
• Мониторинг и контроль процесса.

Непрерывность в нормативно-правовых актах

Серия стандартов ГОСТ Р 53647 по менеджменту непрерывности бизнеса:

1. ГОСТ Р 53647.1-2009 Менеджмент непрерывности бизнеса Часть 1. Практическое руководство;
2. ГОСТ Р 53647.2-2009 Менеджмент непрерывности бизнеса. Часть 2. Требования;
3. ГОСТ Р 53647.3-2015 Менеджмент непрерывности бизнеса. Часть 3. Руководство по обеспечению соответствия требованиям ГОСТ Р ИСО 22301;
4. ГОСТ Р 53647.4-2011 Менеджмент непрерывности бизнеса. Руководящие указания по обеспечению готовности к инцидентам и непрерывности деятельности;
5. ГОСТ Р 53647.5-2012 Менеджмент непрерывности бизнеса. Готовность к опасным ситуациям и инцидентам;
6. ГОСТ Р 53647.6-2012 Менеджмент непрерывности бизнеса. Требования к системе менеджмента персональной информации для обеспечения защиты данных;
7. ГОСТ Р 53647.8-2013 Менеджмент непрерывности бизнеса. Управление человеческими ресурсами;
8. ГОСТ Р 53647.9-2013 Менеджмент непрерывности бизнеса. Управление организацией в условиях кризиса;
9. Международный стандарт ISO 22301:2019 (Безопасность и устойчивость – Системы управления непрерывностью бизнеса – Требования);
10. ГОСТ Р ИСО 22301-2021 Надежность в технике. Системы менеджмента непрерывности деятельности. Требования;
11. Рекомендации Банка России от 18 августа 2016 г. N 28-МР «Методические рекомендации по обеспечению непрерывности деятельности некредитных финансовых организаций»;
12. Рекомендации Банка России от 27.07.2015 № 20-МР «Методические рекомендации по обеспечению непрерывности деятельности системно значимых инфраструктурных организаций финансового рынка».

Типовые бизнес-процессы

Типовые процессы по 21-процессной модели всем известны, но в каждой организации могут присутствовать свои варианты:

1. Процессы управления:
• стратегическое управление,
• управление финансами,
• управленческий учет,
• экономическое управление,
• управление маркетингом,
• логистическое управление,
• организационное управление,
• управление персоналом;
2. Основные процессы:
• закупка ТМЦ,
• производство продукции,
• продажа продукции,
• складирование ТМЦ,
• транспортировка ТМЦ и продукции.
3. Обеспечивающие процессы:
• административно-хозяйственное обеспечение,
• информационное обеспечение,
• обеспечение безопасности,
• техническое обеспечение,
• обеспечение финансовых операций,
• обеспечение документооборота,
• консультационное и аудиторское обеспечение,
• обеспечение социальной сферы.

Комплаенс и бизнес-процесс

У каждой организации бизнес-процессы выстроены по-своему. Хорошо, если они закреплены в описании и локальных нормативных актах (ЛНА), тогда есть то, на что можно ориентироваться сотрудникам. И у комплаенс-службы есть утвержденный ориентир – ЛНА.

Комплаенс-специалист работает на двух этапах жизни бизнес-процесса:

1. При его создании или изменении – сверяет бизнес-процесс с требованиями регуляторной среды и добровольно взятыми компанией на себя обязательствами;
2. В ходе выполнения бизнес-процесса – сверяет выполнение сотрудниками бизнес-процесса согласно установленным требованиям и, при наличии отклонений, инициирует дальнейшие действия.

Для всех этих работ у комплаенс-менеджера под рукой есть карта комплаенс-рисков компании (организации, бизнеса и др.).

Ключевые бизнес-процессы для комплаенс анализа

Для целей комплаенс-анализа, например, по риску коррупции мы рекомендуем выделять 18 ключевых бизнес-процессов:

1. Закупки и материально-техническое обеспечение для собственных нужд;
2. Продажи продукции;
3. Участие в торгах, аукционах, процедурах закупки / поставки товаров для государственных и иных нужд;
4. Взаимодействие с государственными органами и контрольно-надзорными органами (КНО);
5. Бухгалтерский учет. Подготовка и сдача отчетности в ИФНС и другие органы;
6. Платежные операции;
7. Размещение свободных денежных средств (депозиты, вложения, инвестиции);
8. Привлечение денежных средств (кредиты, займы);
9. Благотворительность и корпоративная социальная ответственность;
10. Связи с общественностью (PR с широким охватом всех сфер внешней среды);
11. Подарки, командировочные и представительские расходы;
12. Управление Обществом, дочерними предприятиями и филиалами;
13. Управление проектами;
14. Управление персоналом;
15. Производственная деятельность (эффективность технологических процессов, охрана труда);
16. Обеспечение безопасности (информационная, кибер-безопасность, безопасность территорий, объектов и помещений и т.д.);
17. Судебно-претензионная работа;
18. Управление рисками бизнеса.

Пример оценки комплаенс-риска

По результатам анализа составляется описание коррупционных и иных видов рисков, возникающих при реализации вышеуказанных процессов, дается оценка степени риска и его последствий.

Группа риска	Вид риска	Последствия реализации риска
Риски, возникающие при взаимодействии с государственными и контрольно-надзорными органами (КНО)	Коррупционные риски, возникающие по инициативе коррумпированных сотрудников госорганов и КНО, а также недобросовестных работников Общества	Привлечение к уголовной ответственности непосредственных исполнителей; Привлечение к уголовной ответственности лиц, которые давали обязательные к исполнению указания
	Риски при взаимодействии с государственными органами и КНО	Отвлечение персонала Общества для участия в проверках и /или подготовки ответов на запросы (вынужденные, неэффективные затраты Общества); Вызов в правоохранительные органы для проведения опросов и допросов; Наложение штрафов и взыскание пеней; Отзыв лицензий; Административное приостановление деятельности Общества; Привлечение к административной и уголовной ответственности
	Риск ошибочных и /или недобросовестных действий КНО, вызванных непрофессионализмом или прямым умыслом исполнителей	Привлечение к административной или уголовной ответственности непосредственных исполнителей; Привлечение к уголовной ответственности лиц, которые давали обязательные к исполнению указания; Блокировка деятельности Общества путём изъятия компьютеров, серверов и печатей на неопределённый срок; Отвлечение персонала Общества для участия в проверках и /или подготовки ответов на запросы (вынужденные, неэффективные затраты Общества); Вызов в правоохранительные органы для проведения опросов и допросов; Наложение штрафов и взыскание пеней; Отзыв лицензий; Административное приостановление деятельности Общества

Комплаенс-мониторинг бизнес-процессов

Комплаенс-система включает в себя мониторинг бизнес-процессов, т.к. это соответствует целям функционирования комплаенс в организации.

Внедрение системы комплаенс в организации (распределение компетенции, определение должностных обязанностей при принятии управленческих решений, управленческий учет и внутренний контроль) помогло бы ей учесть предпринимательские риски и предупредить возможные правонарушения (неправильные рисковые решения), а контрольным и надзорным органам — учесть такое добросовестное отношение коммерческой организации к последствиям своих действий (действий менеджмента и других работников организации) при решении вопроса о привлечении организации к ответственности, рассматривая учет рисков посредством внедрения комплаенса в качестве обстоятельства, смягчающего ответственность коммерческой организации.

Комплаенс-система сводит бизнес-процессы в единую систему и предупреждает таким образом хаос и конфликты между подразделениями, не допуская функциональной пустоты.

Примеры Siemens и Yum! Brands

В истории компании Siemens был яркий пример крупного коррупционного скандала. Предприятие было не против давать взятки правительственным чиновникам там, где она хотела вести бизнес.

И все же, после того как в конце 2008 года Siemens едва избежала судебного роспуска и приступила к масштабной корпоративной чистке, она стала одним из мировых лидеров в области комплаенса:

• В 2007 финансовом году компания Siemens насчитывала 173 комплаенс менеджера.
• К концу 2009 в новом Siemens работало 598 комплаенс офицеров.
• В том же году из Siemens уволили 244 сотрудника за нарушение нормативных требований и наказали еще 473 человека.

К 2010 году у Siemens появился новый генеральный директор и совершенно новый совет директоров. Компания провела очное обучение по комплаенсу для 1400 старших менеджеров и 80 000 сотрудников с «чувствительными функциями». В том же году более 140 000 сотрудников прошли онлайн-обучение по комплаенсу.

Сейчас компанию Siemens можно считать лучшей в комплаенс. Соблюдение нормативных требований является высшим приоритетом руководства Siemens. Вот почему глобальный юридический и нормативно-правовой отдел находится в непосредственном ведении генерального директора Роланда Буша.

«Быть ответственной компанией – это наш фундамент. С помощью нашей системы соответствия мы хотим установить соответствие в умах и действиях всех сотрудников «Сименс».

Для компании «Сименс» продвижение честности означает действовать в соответствии с нашими ценностями — ответственными, превосходными и инновационными — везде, где мы ведем бизнес. Ключевым элементом добросовестности является соблюдение, соблюдение закона и наших собственных внутренних правил. У нас нулевая терпимость к коррупции и нарушениям принципов честной конкуренции».

Стандарты, устанавливаемые частными компаниями, иногда могут ставить даже более высокую планку, являясь более строгими, хорошо реализуемыми и контролируемыми, чем законодательные требования. Например, Yum! Brands внедрила и поддерживает «ведущую в отрасли программу безопасности пищевых продуктов, которая сводит к минимуму риски безопасности» в более чем 43 000 ресторанов в 130 странах и территориях, в которых работает компания.

Независимо от требований безопасности пищевых продуктов в стране, Yum! Brands соответствует передовым мировым практикам по целому ряду вопросов в сфере пищевой безопасности, включая здоровье и гигиену сотрудников, борьбу с вредителями и обработку материалов. Компания также проводит «ежегодные проверки со стороны независимых специалистов по безопасности пищевых продуктов», чтобы обеспечить соблюдение их стандартов безопасности и местных нормативных требований.

Руководящие органы по безопасности пищевых продуктов подтверждают, что франчайзинговые партнеры, поставщики и местные команды бизнес-подразделений соблюдают и поддерживают соблюдение требований регуляторов, законодательных требований, а также политик и стандартов Yum! Brands в отношении безопасности пищевых продуктов.

Уязвимость процессов закупок и продаж

Один из основных рисков финансовых потерь, связанный с коммерческой деятельностью компании, – злоупотребления со стороны менеджеров по продажам и закупкам. Широко распространена ситуация, когда за вознаграждение от контрагента менеджер предоставляет ему большие скидки, продолжительную отсрочку платежа или приобретает товар для своего предприятия по цене, превышающей среднерыночную. Создаваемая система внутреннего контроля в первую очередь должна предотвращать возникновение подобных ситуаций.

Согласно опросам, отделы закупок и продаж в наибольшей степени подвержены противоправным действиям со стороны сотрудников.

Пример требований потенциальных поставщиков на закупках

Для участия в закупочных процедурах Корпорации на В2В-Сеnter.ru поставщику необходимо:

1. Пройти процесс регистрации на электронной торговой площадке B2B-Center.ru. На данном этапе информация о компании попадает в общую базу данных потенциальных поставщиков Корпорации.
2. Пройти процесс общей аккредитации Корпорации - №178 и заполнить анкету, приложив необходимые документы. Данный шаг позволит проверить юридическую легитимность и финансовую устойчивость компании. Успешное прохождение данного вида аккредитации является обязательным для участия в закупочных процедурах.
3. Пройти процесс аккредитации по охране труда и промышленной безопасности - №373 и заполнить анкету, приложив необходимые документы. Успешное прохождение данного вида аккредитации является обязательным для выбора вашей компании победителем закупочной процедуры по ряду направлений.
4. В этом году Корпорация представила обновленную стратегию, в основе которой лежит концепция устойчивого развития – модель бизнеса, объединяющая экономические, социальные и экологические аспекты, нацеленная на гармоничное развитие компании и создание ценностей не только для настоящего, но и для будущих поколений. Пройти процесс аккредитации в области Устойчивого развития - №374 и заполнить анкету, приложив необходимые документы. Успешное прохождение данного вида аккредитации является обязательным для выбора вашей компании победителем закупочной процедуры.
5. Шаг является опциональным и дополнительным в зависимости от направления закупок услуг. Данный шаг позволяет отбирать лучших поставщиков при наличии большого количества участников на рынке.

Компания придерживается политики использования прозрачных процедур выбора поставщика, обеспечивающих минимизацию рисков и экономически эффективное расходование денежных средств на приобретение товаров, работ и услуг.

Как выявляются комплаенс-риски в организации?

Комплаенс-процедуры не должны ограничиваться контролем за соблюдением требований нормативных правовых актов и как проявление риск-ориентированной модели поведения заинтересованных субъектов. Они должны учитывать все факторы, влияющие на условия осуществления любых видов деятельности (предпринимательской, профессиональной, деятельности самозанятых, чиновников и др.).

В отчете о комплаенс-риске используется форма для уведомления о риске, направленная на сбор данных, мониторинг и контроль рисков, включающая следующую информацию:

• область комплаенс-риска,
• дата события, повлекшего возникновение риска,
• предприятие,
• описание события, связанного с риском,
• предположительная причина возникновения данного события,
• вероятность повторного возникновения риска,
• возможные последствия.

Карта рисков как инструмент самообследования

Одним из инструментов самообследования (результатом комплаенс-анализа) является карта рисков контролируемого лица – это визуальный документ, в котором можно отразить направления проверок, требования, текущее состояние дел. Комплаенс-программа позволит определить сроки приведения дел в соответствие, прописать риски и индикаторы, отражающие уровень вероятности срабатывания каждого из рисков, провести оценку последствий и определить способы сокращения их влияния.

Важно выявлять риски заранее, чтобы не дать им вырасти до критических или катастрофических. Вовремя принятые в работу риски минимизируют вероятность санкций при проверке контрольно-надзорными органами. Эксперты «Национальной Ассоциации Комплаенс» помогут вам опознать риски, составить карту рисков, минимизировать их срабатывание, уменьшить негативные последствия.