Содержание:
- Определение и значение рисков
- Почему нужно выявлять риски и управлять ими
- Категории рисков
- Что такое комплаенс-риск и его особенность
- Как выявляются комплаенс-риски в организации
- Как составляется карта рисков
- Оценка и управление рисками
- Примеры из судебной практики
- Риски, связанные со вступлением в силу 248-ФЗ
Стандарт ISO 37301:2021 Compliance management systems определяет риск как «влияние неопределенности на цели». Влияние означает, что результат может отличаться от ожидаемого положительным или же отрицательным образом, а неопределенность – это состояние недостатка информации, связанной с пониманием или знанием события, его последствий или вероятности наступления.
Определение и значение рисков
В обиходном употреблении слово «риск» имеет более узкое определение и касается только отрицательных результатов и их вероятности. Общеупотребительным значением риска является «вероятность чего-то плохого» (например, Оксфордский словарь английского языка определяет риск как «вероятность опасности, потери, травмы или других неблагоприятных последствий»). Та же ситуация с общеязыковым значением в русском языке (например, Словарь Ожегова определяет его как «вероятность неудачи, опасность»).
Выделяется понятие «подверженность риску» (risk exposure), которое, по сути, соответствует математическому ожиданию в теории вероятности – произведению вероятности события на величину возможных убытков, которыми это событие сопровождается.
Существует и такое понятие как «аппетит к риску» (risk appetite). Согласно определению Базельского комитета по банковскому надзору, «риск-аппетит – это заранее определенные уровни и виды рисков в рамках допустимого уровня рисков, которые банк готов принять для достижения своих целей, исходя из масштаба и характера его деятельности в рамках стратегии и бизнес-плана».
Почему нужно выявлять риски и управлять ими
Традиционная теория риск-менеджмента определяет риск как «вероятность того, что событие произойдет и отрицательно скажется на достижении миссии или бизнес-целей организации». Данный риск может быть рассчитан как умножение вероятности на величину потерь. Современный подход в риск-менеджменте определяет риск иначе – как «меру подверженности убыткам на уровне неопределенности».
Самый высокий риск в традиционном подходе возникает, когда вероятность потери равна 100%. В современной интерпретации максимальный риск существует там, где вероятность (или частота) низка, а степень серьезности высока.
Технология управления рисками необходима в ситуации, где есть неопределенность и неуверенность. Риск-менеджмент подразумевает создание необходимой культуры бизнеса для:
- выявления причин и основных факторов возникновения рисков;
- идентификации, анализа и оценки рисков;
- принятия решений на основе произведенной оценки;
- выработки антирисковых управляющих воздействий;
- снижения риска до приемлемого уровня;
- организации выполнения намеченной программы;
- контроля выполнения запланированных действий;
- анализа и оценки результатов рискового решения.
Управлять рисками означает определять перспективы и выявлять возможности для совершенствования деятельности, а также не допускать или сокращать вероятность нежелательного хода событий.
Категории рисков
С учетом потенциальных последствий риски классифицируются на:
- Допустимые – когда из-за отсутствия некоторых действий компании угрожает потеря дохода (прибыли). В этом случае коммерческая деятельность не лишается экономической целесообразности, так как размер потерь не больше размера прогнозируемого дохода;
- Критические – при которых организации грозит утрата выручки, заведомо перекрывающей прогнозируемую прибыль. При самом плохом раскладе компании угрожает потеря всех средств, направленных на реализацию сделки;
- Катастрофические – когда предприятие теряет платежеспособность и/или останавливается его деятельность. Размер потерь может превысить размер собственного капитала предприятия. К указанной категории относятся ситуации, угрожающие экологической катастрофой или безопасности граждан.
С точки зрения предсказуемости риски делят на систематические и несистематические:
- Несистематические риски возникают в отдельно взятой компании, их можно спрогнозировать и оценить своими силами;
- Систематические риски угрожают рынку в целом или отдельным сферам бизнеса. Предсказать их возникновение и оценить последствия могут только эксперты.
Виды систематических рисков:
- Политические – изменение политической ситуации в стране и мире;
- Юридические – сюда входит как несовершенство существующих законов, так и риск появления новых, способных создать дополнительные проблемы для бизнеса;
- Экономические – изменения в налоговой системе, санкции против государства, потери из-за нестабильности курсов валют и т.п.;
- Природные риски – экологические катастрофы или стихийные бедствия.
Виды несистематических рисков:
- Производственные – могут быть связаны не только с производственными процессами, но и с управленческими, с невыполнением плана продаж или с сокращением объёмов производства;
- Финансовые – возникают из-за недополучения прибыли от проекта, неликвидности продукции и т.п.;
- Рыночные – появляются из-за нестабильности ситуации на рынке, ценовой политики организации и появления новых конкурентов в нише.
Что такое комплаенс-риск и его особенность
По стандарту ISO комплаенс-риск определяется как «влияние неопределенности на цели в области комплаенса». Он может быть охарактеризован как вероятность (likelihood) наступления несоответствия комплаенс-обязательствам организации и их последствий.
Обязательства в области комплаенса – это необходимость выполнять требования (или ожидания) определенного поведения от организации. В стандарте ISO нет указания, что данные нарушения – это прежде всего или только нарушение закона.
Речь идет и о нарушении культуры делового поведения и этики ведения бизнеса, а также любых иных добровольно принятых на себя компанией обязательств (таких, как отраслевые стандарты, локальные нормативные акты, лучшие бизнес-практики и др.). Соблюдение принятых на себя обязательств реализуется компанией в целом и каждым сотрудником в частности.
Как выявляются комплаенс-риски в организации
Возможность применения комплаенс-процедур может быть реализована в различных сферах:антимонопольной; экологической; аудиторской деятельности; корпоративной; налоговой; технического регулирования; стандартизации; государственного управления; финансового рынка; противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма; использования объектов культурного наследия; трудовых отношений; антикоррупционного регулирования; осуществления публичных и корпоративных закупок; работы электронных торговых площадок и пр.
Именно к компетенции самого хозяйствующего субъекта относится определение круга потенциально возможных рисков, частоты их проявления, силы воздействия и масштабности последствий. В этом смысле комплаенс-процедуры отражают состояние внутренней политики организации по отношению к риску.
Комплаенс-процедуры не должны ограничиваться контролем за соблюдением требований нормативных правовых актов и как проявление риск-ориентированной модели поведения заинтересованных субъектов. Они должны учитывать все факторы, влияющие на условия осуществления любых видов деятельности (предпринимательской, профессиональной, деятельности самозанятых, чиновников и др.).
В отчете о комплаенс-риске используется форма для уведомления о риске, направленная на сбор данных, мониторинг и контроль рисков, включающая следующую информацию:
- область комплаенс-риска,
- дата события, повлекшего возникновение риска,
- предприятие,
- описание события, связанного с риском,
- предположительная причина возникновения данного события,
- вероятность повторного возникновения риска,
- возможные последствия.
Существуют две группы методов выявления и оценки предпринимательского риска:
- Качественные (моделирование, оптимизация и теория игры, методы стохастического программирования, аналогов). При качественном анализе риска исследуют источники и причины его возникновения, а главной задачей является определение возможных видов рисков и факторов, влияющих на уровень рисков при осуществлении определенного вида деятельности. Ключевым моментом при качественном анализе оценки риска является определение его уровня, а именно – допустимого предела для фирмы.
- Количественные (математические, статистические и вероятностные, аналитические). Целью количественного анализа является получение числового выражения отдельных рисков с определением характеристик вероятности и возможных потерь. Для этого формируется набор сценариев и могут быть построены для отдельных рисков функции распределения вероятности наступления потерь в зависимости от их размеров.
Не существует единой методологии анализа рисков, это зависит от специфики организации, ее отношения к расчету рисков и уровня подготовки специалистов, внешних экспертов, привлеченных консультантов.
Этап анализа риска предполагает не только его выявление, но и оценку влияния. Основные величины оценки риска связаны с положительным или отрицательным эффектом реализации рисковой ситуации и базируются на двух основных параметрах: размере возможных потерь и вероятности их наступления.
Как составляется карта рисков
Одним из инструментов комплаенс-системы является карта рисков. Это визуальный документ, наглядно систематизирующий выявленные при анализе бизнеса риски, отражающий уровень вероятности срабатывания каждого из них, оценку последствий и содержащий способы сокращения их влияния.
Карта рисков может быть составлена по компании в целом, по конкретным бизнес-процессам, по определенным направлениям. Важно выявлять риски на ранних стадиях, чтобы не дать им вырасти до критических или катастрофических. Разработать и внедрить рабочие механизмы по устранению и предотвращению возникновения в будущем.
Карта рисков – графическое, табличное отображение реестра рисков с указанием степени влияния и вероятности наступления каждого из них. Риски ранжируются по степени опасности от низких до высоких и даже чрезвычайных.
- Выделение области деятельности/подразделения/проекта, в рамках которого выявляется максимальное количество потенциальных рисков, составляется реестр рисков с их описанием;
- Составляется карта рисков на основе качественной и/или количественной оценки рисков, на которой отображены риски по степени их значимости;
- На основе полученных данных составляются сценарии по управлению рисками, по предупреждению их наступления и рекомендации.
Оценка и управление рисками
К основным методам оценки рисков относятся:
- Эмпирическая оценка лица, принимающего решения, основанная на собственном прошлом опыте, а также накопленных знаниях;
- Экспертная оценка специалистов;
- Заполнение специальных опросных листов ключевыми подразделениями на условиях анонимности;
- Построение структурных или временных диаграмм;
- Построение карты рисков;
- Инспекция и анализ отчетности и бизнес-процессов.
Базовые методы управления рисками:
- отказ,
- снижение,
- передача,
- принятие.
Примеры из судебной практики
Анализ судебной практики показал, что к административной ответственности за незаконное вознаграждение от имени юридического лица привлекались чаще коммерческие организации.
В большинстве случаев деньги передавались за непривлечение к ответственности, содействие в заключении государственных контрактов, неприменение мер принудительного исполнения.
Действия, выражающиеся в незаконных предложениях, обещании денежного вознаграждения, оказании услуг имущественного характера, передаче имущественных прав за совершение в интересах организации должностным лицом действий (бездействие), связанных с занимаемым им служебным положением, должны носить явно выраженный характер, быть адресованными конкретному лицу и иметь недвусмысленное содержание.
- Прокурором возбужденно дело об административном правонарушении, предусмотренном ч. 1 ст. 19.28 КоАП РФ в отношении генерального директора юридической компании за незаконную передачу денежного вознаграждения в долларах США за выдачу градостроительного заключения по условиям закрепления земельного участка площадью 4 Га для строительства базы отдыха, а также оказание содействия в передаче данного земельного участка обществу в аренду путем принятия решения Межведомственной комиссии по землепользованию и застройке участка, о проведении торгов.
Общество признано виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 19.28 КоАП РФ, и подвергнуто административному наказанию в виде административного штрафа в размере 1 000 000 руб. (Дело № 5-324/2017 Орджоникидзевского районного суда г. Уфа Республики Башкортостан).
- Действуя от своего имени и в своих интересах, общество незаконно передало лицу, занимающему должность в ФСБ России по Республике Дагестан, посредством внутрибанковского перевода денежные средства в качестве взятки за оказание содействия в оформлении документов, подтверждающих выполнение обществом работ по государственному контракту пуско-наладочных работ эхолота без фактического производства обществом этих работ.
Общество признано виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 19.28 КоАП РФ, и подвергнуто административному наказанию в виде административного штрафа в размере1 000 000 руб.(постановление председателя Астраханского областного суда от 22 октября 2014 г. по делу № 25-АД15-1, подтверждено постановлением ВАС РФ от 27.04.2015 г. по делу № 25-АД15-1).
- Физическое лицо от имени и в интересах общества предложило оперуполномоченному отдела экономической безопасности и противодействия коррупции отдела МВД России некоторую сумму за несоставление протокола об административном нарушении, а также в неприменении к обществу мер обеспечения производства по делу об административном правонарушении. От получения этих денежных средств оперуполномоченный отдела экономической безопасности и противодействия коррупции отдела МВД России отказался.
Общество признано виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 19.28 КоАП РФ, и подвергнуто административному наказанию в виде административного штрафа в размере 1 000 000 руб. (Решение судьи Будённовского городского суда Ставропольского края от 22 ноября 2013 г. по делу № 19-АД14-6, подтверждено постановлением ВАС РФ от 05.06.2014 г. по делу № 25-АД15-1).
- Юридическое лицо в лице его законного представителя – директора, действовавшего от имени и в интересах указанного юридического лица, через посредника (физического лица) двумя безналичными переводами денежных средств, а также путем передачи наличных денежных средств в здании средней общеобразовательной школы, незаконно передала денежное вознаграждение должностному лицу – председателю комитета образования администрации г. Ялуторовска Тюменской области за совершение в интересах общества незаконных действий, связанных с занимаемым им служебным положением, в результате чего был обеспечен выбор общества в качестве исполнителя образовательных услуг, заключение и оплата договоров на оказание данных услуг.
Общество признано виновным в совершении административного правонарушения, предусмотренного ч. 1 ст. 19.28 КоАП РФ, и подвергнуто административному наказанию в виде административного штрафа в размере 1 000 000 руб. (Решение судьи Тюменского областного суда от 26.10.2020 г., подтверждено постановлением Седьмого кассационного суда общей юрисдикции от 02.04.2021 г. по делу № 16-1358/2021).
Риски, связанные со вступлением в силу 248-ФЗ
Главой 5 определяется порядок регулирования системы оценки и управления рисками и результат их реализации. Раскрываются следующие основные понятия:
- риск причинения вреда (ущерба);
- оценка риска причинения вреда (ущерба);
- управление риском причинения вреда (ущерба).
Согласно статье 22 государственный надзор будет осуществляться на основе управления рисками причинения вреда (ущерба), определяющего выбор профилактических и надзорных мероприятий, их содержание (включая объем проверяемых обязательных требований), интенсивность.
В результате оценки рисков объекты государственного надзора разделяются на категории риска, при этом статьей 23 установлена шкала категорий риска из 6 позиций:
- Чрезвычайно высокий риск;
- Высокий риск;
- Значительный риск;
- Средний риск;
- Умеренный риск;
- Низкий риск.
В Положении о виде надзора должно быть предусмотрено не менее 3 категорий риска, с учетом наличия в обязательном порядке категории низкого риска.
Положения закона 248-ФЗ на практике:
- Снизят объем документооборота надзорных органов;
- Оптимизируют имеющиеся ресурсы, концентрируя их на наиболее проблемных участках, соотнося поводы для проведения надзорных мероприятий с их видом;
- Увеличит оперативность обмена информацией;
- Повысят эффективность и оперативность работы контрольно-надзорных органов;
- Появятся дополнительные инструменты для оценки соблюдения обязательных требований;
- Способствуют повышению законности, прозрачности и эффективности надзорной деятельности, снижению количества споров при осуществлении контроля;
- Будут стимулировать добросовестное поведение контролируемых лиц.
С момента вступления в силу нового закона закрепленная в № 294-ФЗ презумпция добросовестности ЮЛ, ИП по факту трансформируется. Сведения о добросовестности контролируемых лиц теперь будут оцениваться в соответствии с частью 7 статьи 23 нового закона, и учитываться надзорными органами при отнесении объектов надзора к категориям риска.