Compliance как язык управления рисками и долгосрочного партнерства

от

«Если превращать compliance в анекдот про «нормативку», вы сразу говорите, что доверия к вам быть не может. Это язык доказательства стабильности, на котором говорят о совместной работе на годы вперёд, а не о разовых транзакциях. На этом языке нужно научиться говорить, чтобы вас воспринимали как равного партнёра на рынках, где правила, это скелет бизнеса, а не его костюм.»

Чем плохо слово «нормативка»

Это слово создаёт образ бумажного тигра: стопки никому не нужных документов, которые достают только перед визитом проверяющих. Такой подход реактивен. Он транслирует партнёру одну мысль: «Мы действуем, только когда нас заставят». Для серьёзного бизнеса это симуляция управления рисками, а не само управление.

Истинный запрос — не к наличию регламента на полке, а к способности системы предвидеть, оценивать и сдерживать угрозы на этапе принятия ключевых решений. Важен не факт наличия документа, а работа встроенного механизма контроля.

Термин «нормативка» закрывает диалог, потому что не отвечает на реальные вопросы аудита:

  • Каким способом риски выявляются до того, как они приведут к потерям?
  • Кто и на каком основании может остановить сделку, если коммерческая выгода противоречит внутренним стандартам компании?
  • Существует ли механизм контроля, независимый от линейного руководства?

Язык, который работает, — язык управления. Risk assessment, governance framework, контрольные процедуры. Эти термины говорят о работающей системе, влияющей на поведение компании, а не о папке с документами.

Что ищет партнёр в вопросах о compliance

Вопрос о compliance, это не запрос на демонстрацию папок. Это оценка зрелости управления и способности к долгосрочному, предсказуемому взаимодействию. Партнёра интересует конкретика процессов в специфичных условиях.

Его фокус на том, как ваша система работает в реалиях вашего бизнеса:

  • Как оцениваются риски при работе в определённых регионах или с контрагентами из юрисдикций с повышенными репутационными рисками?
  • На какую глубину проверяются цепочки субподрядчиков и какие критерии используются?
  • В чём разница между формальной проверкой по базам и глубинным анализом бенефициарных структур?

Ключевой сигнал доверия — наличие «независимого голоса» внутри организации. Это функция или лицо, наделённое полномочиями вмешиваться в процесс до подписания контракта и требовать изменений не потому, что «так требует закон», а на основании внутренних стандартов, которые часто жёстче внешних.

Обучение — ещё один показатель. Важно не просто заявить о проведённых тренингах, а объяснить их механику:

  • Как контент адаптируется под риски, специфичные для разных ролей в компании?
  • Какие практические сценарии разбираются? Например, действия сотрудника при попытке «ускорить» процесс неочевидным способом.
  • Проверяется ли понимание через тесты или разбор смоделированных инцидентов?

Отдельный маркер — реакция на нарушения. Важен не сам факт инцидента, а процессы, которые следуют за ним. Было ли независимое расследование? Привели ли его выводы к изменениям в процедурах? Сообщается ли о таких уроках другим сотрудникам? Пример того, как единичный случай привёл к пересмотру всей процедуры due diligence, говорит о живой системе больше, чем отчёт о полном отсутствии нарушений.

Фразы и аргументы, которые меняют восприятие

Не обязательно менять всю систему за день. Часто достаточно сменить язык общения, заменив абстрактные утверждения на формулировки, раскрывающие внутренние процессы.

Вместо фразы… Используйте… Почему это работает
«У нас есть положение о compliance» «Наша система управления рисками базируется на принципах ISO 37001 и включает ежегодный risk assessment по ключевым направлениям: антикоррупция, работа с публичными лицами, защита данных. Оценка проводится по бизнес-юнитам и регионам». Ссылка на международный стандарт и регулярность оценки показывают системный подход.
«Мы соблюдаем все правила» «Мы внедрили процедуру обязательного предварительного согласования для операций повышенного риска: благотворительные взносы, работа через посредников, корпоративные мероприятия. Каждый запрос проходит compliance-проверку до совершения платежа». Конкретная контрольная точка доказывает, что правила влияют на финансовые потоки.
«Мы проверяем контрагентов» «Все новые контрагенты проходят due diligence перед заключением договора. Мы анализируем бенефициаров, используем коммерческие и открытые базы, оцениваем страновые риски. Пересмотр проводится ежегодно или при наступлении определённых событий». Детализация методов и условий повторной проверки показывает глубину подхода.
«У нас есть анонимная линия» «Сотрудники могут сообщать о подозрениях через канал, который технически и организационно отделён от руководства. Все обращения регистрируются и расследуются, а их результаты в обобщённом виде доводятся до коллектива». Акцент на независимости и полном цикле управления инцидентами.

Чего нельзя говорить, даже если это правда

Некоторые ответы моментально разрушают доверие, сигнализируя о непонимании compliance как системы управления.

  • «У нас такого не бывает» — означает либо неспособность выявлять нарушения, либо наивность. Риски существуют везде, вопрос в готовности к ним системы.
  • «Наши люди — проверенные» — смещает фокус с процессов на личные качества, что считается ненадёжной основой в корпоративном управлении.
  • «Это требование закона, мы просто выполняем» — сводит ваши усилия к минимуму. Ожидается, что внутренние стандарты компании строже требований регулятора.
  • «За compliance у нас отвечает юрист» — серьёзный сигнал о проблемах. Это значит, что функция не самостоятельна, не имеет выделенного бюджета и проигрывает в приоритетах операционным задачам.
  • «Мы проводили тренинг в прошлом году» — представляет compliance как разовое мероприятие, а не как непрерывный процесс.

Как compliance становится преимуществом

Compliance, это не статья расходов, а инвестиция в устойчивость и доверие. Её нужно преподносить как актив, который работает на компанию.

Используйте систему как аргумент стабильности:

«Наша система управления рисками обеспечивает предсказуемость операций. Это снижает вероятность сбоев и защищает общие инвестиции от репутационного ущерба, который невозможно точно оценить».

Подавайте её как инструмент для роста:

«Отлаженные процессы due diligence позволяют быстрее интегрировать новых партнёров и выходить на сложные рынки. Это даёт нам операционное преимущество перед компаниями без стандартизированных подходов».

Демонстрируйте зрелость корпоративного управления:

«Комитет по аудиту и совет директоров регулярно получают отчёты по ключевым метрикам compliance: запросы на предварительное согласование, охват обучением, статистика обращений. Это элемент стратегического надзора».

Приведите пример эффективности системы:

«Процедура предварительного согласования недавно позволила выявить и остановить сделку с нераскрытым конфликтом интересов. Механизм сработал как запланированный буфер, предотвратив не только финансовые, но и репутационные потери».

Что показывать, если запросят «доказательства»

На этапе due diligence запрос документов неизбежен. Цель — показать не их объём, а отражение в них реальных рабочих процессов.

Сфокусируйтесь на двух-трёх ключевых документах, акцентируя их жизненный цикл:

  1. Политика противодействия коррупции — показывайте не сам текст, а приложения: лимиты на подарки, правила одобрения вознаграждений посредникам, форму заявки на предварительное согласование.
  2. Кодекс деловой этики — выделяйте разделы об обязанностях руководителей, работе с конфиденциальной информацией и механизме сообщения о нарушениях.

Поясняйте, как они работают:

«Этот кодекс пересматривается ежегодно с учётом анализа внутренних инцидентов и изменений в регулировании. Его положения интегрированы в программу onboarding и ежегодно подтверждаются ключевыми сотрудниками».

Продемонстрируйте журнал запросов на предварительное согласование (с скрытыми персональными данными). Его существование и заполненность — прямое доказательство того, что процесс реальный.

Предоставьте структуру годового отчёта о compliance для высшего руководства. В ней должны присутствовать:

  • Результаты карт рисков по направлениям бизнеса.
  • Анализ обращений по каналу сообщений о нарушениях и принятых мер.
  • Статистика и результаты обучения.
  • Ключевые кейсы и выводы по ним.

Критически важна организационная схема. Чётко опишите:

  • Кто возглавляет функцию и кому напрямую подчиняется (в идеале — совету директоров или аудиторскому комитету).
  • Есть ли у функции собственный бюджет.
  • Какие формальные полномочия есть у руководителя для приостановки операций или доступа к информации.

Фраза «у нас выделенная команда, независимая от операционного управления, с правом вето на сделки» говорит о серьёзности больше, чем десяток политик.

Оставьте комментарий