В этот раз темой доклада стало изучение способов выявления и особенностей расследования комплаенс-нарушений и корпоративного мошенничества.
Для его подготовки использовались данные онлайн-опроса, проводившегося среди руководителей подразделений комплаенс, служб внутреннего аудита/контроля, безопасности, юридического и финансового департаментов российских (96% респондентов) и белорусских (4% респондентов) компаний.
Как отмечено в исследовании, основными способами выявления нарушений в исследуемых компаниях являются:
- анализ сообщений, поступающих по горячей линии (его используют 81% респондентов);
- работа службы безопасности (65%);
- проверки комплаенс-подразделений (62%);
- внутренние аудиторские проверки (50% респондентов).
При этом 35% компаний указали, что используют для выявления нарушений автоматизированные инструменты – на 11% больше, чем в 2020 г.
В исследовании также приводится агрегированная информация о (1) функционировании горячей линии и (2) проведении внутренних проверок и расследований в области комплаенс и корпоративного мошенничества.
1. Функционирование горячей линии
Как уже было отмечено, горячая линия остаётся одним из ключевых инструментов для выявления комплаенс-нарушений и корпоративного мошенничества. Согласно данным опроса, 96% респондентов внедрили горячую линию, которая используется для приема сообщений сотрудников, контрагентов и деловых партнеров.
Наиболее популярные формы организации работы горячей линии – электронная почта (94%), онлайн-портал (84%) и телефонный номер (76%). При этом, с одной стороны, в компаниях наблюдается рост использования современных технологий – в частности, 24% компаний указали на применение чат-ботов (в 2020 г. их было всего 3%); с другой стороны, почти не изменилась доля компаний, которые продолжают использовать телефон и специальные ящики, установленные в офисах и/или на производственных площадках, составившая 76% и 20% соответственно.
56% обслуживают горячую линию самостоятельно, 28% отдают эти функции на аутсорсинг, 12% – используют гибридный формат, 4% – используют горячую линию материнской компании (их число снизилось на 7,5% – вероятно, из-за ухода ряда иностранных компаний и России).
Анонимность остается важным аспектом работы горячих линий – 92% компаний предоставляют возможность оставлять анонимные сообщения. Вероятно, возможность анонимного обращения, наряду с повышением уровня осведомленности работников о функционировании горячей линии в целом, способствует увеличению доверия к соответствующему механизм: у 28% респондентов (по сравнению с 14% в 2020 г.) доля релевантных сообщений превышает 50%. Однако достаточно большое число организаций (44%) отметили, что в их практике менее трети сообщений оказываются релевантными.
Для обеспечения качества и эффективности работы горячей линии 92% компаний проводят регулярную оценку её эффективности (в 2020 г. такую оценку проводили 73%). Преимущественно в проведении такой оценки участвуют комплаенс-подразделения (их указали 56% респондентов), подразделения внутреннего аудита (44%) и руководство компании (20%); еще 16% организаций указали, что привлекают внешних консультантов.
2. Проведение внутренних проверок и расследований
Все компании, принявшие участие в опросе, проводят служебные проверки и расследования по фактам комплаенс-нарушений и корпоративного мошенничества. В большинстве случаев их организация возложена на подразделения безопасности (77%) и комплаенса (62%); в некоторых компаниях в расследованиях также участвуют специально создаваемые рабочие группы (23%), подразделения внутреннего аудита / контроля (15%), юридические подразделения (12%) и отделы кадров (12%). Около 42% участников также привлекают внешних экспертов, особенно в случаях сложных и длительных расследований, а также если предполагается передача материалов в правоохранительные органы.
Более половины участников исследования (58%) отметили, что в их компаниях процесс проведения проверок и расследований полностью регламентирован, но без детализации процедур. Еще у 8% разработано специальное руководство по реализации ключевых мероприятий расследования (Investigations Manual), где детально отражен весь процесс. У 27% компаний регламентированы отдельные мероприятия и подпроцессы, что можно считать частичной регламентацией.
Для проведения внутренних проверок и расследований ответственные лица используют весь основной инструментарий, в том числе проверяют сотрудников на конфликт интересов (92%), анализируют данные различных корпоративных учетных систем (85%), систем согласования договоров (85%) и данных бухгалтерского учета и отчетности (73%), подтверждающую документацию (85%), проводят интервью (81%) и т.д. Только 38% организаций обращаются к анализу данных от экспертных источников, а еще 27% опрошенных компаний используют полиграф – в основном это представители крупных производственных компаний из металлургической отрасли и энергетики.
В качестве основного источника информации при проведении внутренних проверок и расследований компании в основном используют корпоративные учетные системы (81%). Также больше половины респондентов используют данные внутренних систем ЭДО, систем видеонаблюдения и контроля управления доступом (СКУД). При этом 23% в рамках внутренних расследований не имеют доступа к внутренним системам и могут получать необходимую информацию исключительно по запросу у соответствующих подразделений компании. То есть, как отмечают исследователи, большинство респондентов полагаются на предоставляемые им данные, что несет риски их фальсификации.
В целях выявления нарушений компании все чаще используют автоматизированные решения. Так, 46% респондентов применяют ИТ-технологии для проверки аффилированности сотрудников и контрагентов, 38% – для выявления конфликтов интересов, 27% – для выявления риск-индикаторов в финансовых операциях, 12% – используют программы для проверки подлинности документов. Еще 27% внедрили в деятельность компании DLP-системы, позволяющие отслеживать данные рабочей почты, рабочих мобильных устройств и другие электронные данные.
В то же время 46% компаний отметили нехватку автоматизированных решений по отслеживанию риск-индикаторов в деятельности компании, 38% – нехватку автоматизации процесса проведения расследований.
Сроки расследований у большинства компаний составляют до 30 дней (58%), у 23% – от 31 до 60 дней, у оставшихся 8% – более 2 месяцев.
На основании проверок и расследований чаще всего к нарушителям применяются дисциплинарные меры ответственности (в 85% случаев) и меры в виде прекращения трудового договора (77%). 69% респондентов отметили, что передают материалы, еще около половины компаний применяют монетарные санкции – взыскание с сотрудника причиненного ущерба (54% компаний) и невыплата/снижение премии (50%).
По итогам проведенных проверок и расследований в области комплаенс и корпоративного мошенничества абсолютное большинство респондентов (88%) указали, что реализуют мероприятия, направленные на предотвращение подобных нарушений в будущем.
81% компаний также проводят оценку эффективности процесса проверок и расследований.У половины респондентов она проводится в форме периодической самооценки. Только в 15% случаев к проверке эффективности привлекаются внешние независимые эксперты.
-----
*Исследование проводилось в три этапа в течение 2023 г. Отчеты о первых двух этапах, опубликованные в прошлом году, также доступны на сайте Kept: «Портрет современного комплаенс-специалиста» и «Практика реализации комплаенс-мероприятий: проверка контрагентов и другие меры по минимизации комплаенс-рисков».
