№6 Червень 2018 року → До справи

Тема: Політика відповідності

СЕРГІЙ ВOВК, МАКСИМ СИСОЄНКО

Корупційні скандали, витоки даних, проблеми з регуляторними органами та інші ризики для ділової репутації дедалі частіше стають предметом суспільних обговорень та поповнюють новинні шпальти ЗМІ. Серед американських та європейських компаній цю сферу, відому як комплаєнс-контроль, пов’язану з ризиками невідповідності зовнішнім та внутрішнім нормам ведення бізнесу, вже опанували великі компанії. Якою ж є ситуація на вітчизняному ринку з точки зору українських юристів?

Ганна ГЕРАСИМЧУК,
голова Секретаріату Всеукраїнської мережі доброчесності та комплаєнсу (UNIC)

Підвищений інтерес до питання комплаєнсу за останні роки в Україні пояснюється не лише глобальними трендами, а й розумінням того, що економічне зростання, залучення інвестицій та розвиток підприємництва не відбудеться без забезпечення рівних конкурентних умов, очищення бізнес-середовища від недоброчесних практик, удосконалення корпоративного управління та активної просвітницької роботи з популяризації стандартів етичної поведінки в щоденній бізнес-діяльності як державного, так і приватного сектора економіки.

Наряду зі спробами українських державних органів влади поліпшити бізнес-клімат в Україні, приватні компанії, приєднуючись до Все­української мережі доброчесності та комплаєнсу (UNIC), впроваджують найкращі світові практики для відповідності національному та міжнародному законодавству і підвищення свідомості та обізнаності своїх працівників щодо питань комплаєнсу.

Мережа згуртовує відповідальний бізнес, що має успішний досвід діяльності відповідно до високих етичних принципів, та прагне зруйнувати стереотипи й досягти критичної маси компаній, що прагнуть працювати прозоро та доброчесно.

Проте, звісно, одного бажання здебільшого недостатньо. З чого починати будувати корпоративну комплаєнс-систему? Які елементи вона має включати? Які функції всередині компанії повинні бути залучені до її ефективного впровадження та сприйняття співробітниками? На ці та інші запитання зацікавлені учасники Мережі знаходять відповіді, отримуючи доступ до найкращих практик, що поширюються Мережею, а також користуючись напрацюваннями експертних груп.

Одним із таких напрацювань є приклад звіту про правову оцінку ризиків учасника Мережі, розроблений експертами компанії — учасниками мережі Redcliffe Partners. Фактично, це є практичний інструмент, із застосуванням якого компанія здійснює перші необхідні кроки для побудови ефективної комплаєнс-системи.

 

Due diligence та комплаєнс: у чому різниця між цими процедурами, у чому спільність, які точки перетину? Якою є специфіка перевірки due diligence з боку вендора (продавця) і з боку покупця в М&А-операціях?

Артем КУЗЬМЕНКО, старший юрист Eterna Law

Беззаперечно, процедури due diligence та комплаєнс мають багато спільного, втім, очевидно, що в них є також і суттєві відмінності. Насамперед, треба звернутися до визначення кожного з понять. Due diligence — процедура детальної незалежної перевірки об’єкта інвестування, що здійснюється від імені інвесторів для формування в них об’єктивного уявлення про об’єкт інвестування. Комплаєнс буквально означає дію відповідно до запиту або за вказівкою; покору. Відтак, комплаєнс являє собою відповідність будь-яким внутрішнім або зовнішнім вимогам чи нормам. Проаналізувавши наведені вище дефініції, можна дійти висновку, що due diligence — це процедура, а комплаєнс — здебільшого процес. Окрім цього, є певна відмінність в об’єкті застосування. Due diligence — це більш комплексна перевірка, яка зазвичай має певну мету і найчастіше використовується в угодах M&A. Due diligence створює правову основу для подальшої роботи компанії, що придбавається, або ж для успішного завершення угоди, що укладається. Due diligence дозволяє привести діяльність компанії у відповідність до чинного законодавства, а також виключити можливі великі спори, які могли б призвести до незворотних наслідків. Безумовним є те, що для виявлення всіх ризиків необхідні відповідні знання та досвід. Як правило, предметом аналізу процедури due diligence є історичні дані, фактично, проводиться аналіз інформації та документів, які вже були вчинені або укладені.

З іншого боку, комплаєнс є насамперед інструментом, що дає змогу уникнути того чи іншого негативного впливу на господарську діяльність компанії шляхом дотримання певних процедур та стандартів. Так, господарська діяльність має дуже великий перелік ризиків, які можуть досить серйозно вплинути на діяльність компанії у разі відсутності системи прогнозування, виявлення та управління такими ризиками. Фактично, окресленою вище системою і є комплаєнс, який допомагає на постійній основі передбачувати, виявляти та управляти ризиками.

Західні фірми на практиці демонструють, що грамотний комплаєнс-контроль здатний формувати додану вартість. Створений контроль у галузі комплаєнс — це, у свою чергу, лояльність клієнтів, зацікавленість та довіра акціонерів, як і суспільства в цілому. Ефективна система комплаєнс може напряму впливати на вартість компанії і фактично є однією зі складових гудвілу.

Часто due diligence та комплаєнс використовують одні й ті самі методи та механізми, але в результаті — це різні процеси з різними завданнями та цілями, і, більше того, вони у жодному разі не можуть заміщувати один одного.

Павло ВЕРХНЯЦЬКИЙ, директор COSA

Комплаєнс і due diligence-перевірки мають ряд спільних рис. По-перше, їх об’єднує акцентування уваги на відповідності діяльності об’єкта дослідження певним нормам, будь-то правовим, етичним тощо. По-друге, чек-лист обох видів процедур дуже схожий і включає такі розділи, як: власники і кінцеві бенефіціари; афілійовані особи; судова історія; участь в епізодах негативного репутаційного значення тощо. По-третє, при проведенні обох типів перевірок первинною метою є виявлення так званих red flags або факторів, на які варто звернути особливу увагу при взаємодії з дос­ліджуваним суб’єктом, з точки зору мінімізації ризиків. Однак, крім іншого, ці процедури нерідко відрізняє кінцева мета.

Комплаєнс-перевірка зазвичай має стандартизований характер й іноді сприймається як формальність. Це обумовлено як інструментарієм, використовуваним при перевірці, так і загальною філософією цієї процедури. Комплаєнс-відділи великих компаній і банків у більшості випадків змушені в короткі терміни проводити чималий обсяг перевірок різним суб’єктам, і, звичайно, вони використовують спрощені алгоритми та умовно автоматизовані інструменти, які справді прискорюють процес, але при цьому не береться до уваги безліч важливих деталей або цілих епізодів, які потрапляють під поняття «інтегріті-ризиків». Але кінцевою метою такої процедури є дотримання політик компанії і постанов регуляторів, а також у разі, коли це актуально, підстраховка при FCPA або аналогічних їм розслідуваннях, результатом нерідко є сам факт наявності звіту за проведеною комплаєнс-перевіркою, а не повнота і достовірність інформації, знайденої в ході проведених заходів. Особливо яскраво це демонструє той факт, що в деяких компаніях комплаєнс-перевірка — це по факту запит в об’єкта дос­лідження підтверджень того, що він діє доброчесно.

У свою чергу, термін due diligence передбачає безліч різних за своєю суттю і цілями заходів. Він буває технічний, фінансовий, юридичний, репутаційний, який також називається integrity due diligence, про який переважно і йтиметься далі. Крім того, перші три види проводяться у відкриту, тобто за добровільно наданими документами об’єкта дослідження, а репутаційний due diligence — це процедура, яка не афішується і, як правило, проводиться без інформування контрагента. Однак важливо, щоб сама перевірка здійснювалася з дотриманням правових та етичних норм. Відмінністю integrity due diligence від комплаєнс-перевірки також є те, що перша не обме­жується стандартним набором питань, а може включати як базову перевірку репутації, так і поглиблений аналіз певних епізодів репутаційного значення, пов’язаних з об’єктом дослідження, що, в свою чергу, передбачає розширений інструментарій та більш витончені методи збору даних. Звідси виникає необхідність аутсорсингу цієї процедури. Тобто, якщо комплаєнс-перевірка часто проводиться власними силами компаній і банків, integrity due diligence переважно виконується спеціалізованими фірмами.

При угодах M&A процедурі due diligence більшу увагу зазвичай приділяє покупець. І заходи фінансуються ним же. Логіка прос­та: покупець вкладає гроші в якісь активи і хоче бути впевненим, що ці кошти, по-перше, спрямовані в надійне місце, а по-друге, покупець повинен забезпечити себе від переходу ризиків продавця (в тому числі, репутаційних) на себе.

Ризики безпеки даних та конфіденційності. Які заходи та інструменти захисту даних, конфіденційної інформації клієнтів є доречними? Якими нормами чинного законодавства варто оперувати у цій сфері, щоб запобігати небажаним ризикам?

Ірина НОГІНА, адвокат ЮФ «АНК»

Зазвичай під юридичними способами захисту інформації розумують NDA (non-disclosure agreement або договір про нерозголошення), спеціальні зауваження про конфіденційність у трудових договорах (і контрактах) та локальні регуляторні документи компанії: різноманітні положення про комерційну таємницю, про конфіденційну інформацію тощо. Утім, необхідно усвідомлювати, що навіть бездоганно складені і фразовані, ці документи не є панацеєю для повноцінного збереження інформації, тож спробуймо визначитись, що ці документи дозволяють, а що — ні.

Двома найбільш вірогідними джерелами витоку інформації є контрагенти (ділові партнери, агенти, комісіонери, клієнти тощо) та працівники.

Уклавши з контрагентом угоду про нерозголошення, звісно, можна претендувати на компенсацію збитків, що виникли в результаті такого витоку. Однак якщо контрагент не буде діяти примітивно, а підключить кмітливість, то довести, що інформаційний витік стався саме від нього, обґрунтувати зв’язок між таким витоком і втраченою вигодою постраждалої компанії буде проблематично. Зокрема, через досить консервативний підхід судів до засобів доказування юридичних фактів. Що вже говорити, коли до судової реформи у грудні 2017 року навіть е-мейл не мав безумовної доказової ролі в суді (уявіть, як це сприймали клієнти, яким паперовий спосіб спілкування не притаманний у принципі, адже бізнес потребує оперативної реакції, на бюрократію часу не вистачає, і це нормально).

З працівниками ситуація ще гірша. Адже навіть якщо вдасться довести джерело витоку, порушення норм про конфіденційність стане підставою для догани або звільнення працівника, ну, і ще хіба що для утримання однієї середньої заробітної плати. На більше можна розраховувати лише стосовно тих працівників, посада яких дозволяє укладати з ними договори про повну матеріальну відповідальність, однак і це, швидше за все, ціною тривалих судових тяжб.

Однак тим часом, поки триватимуть суди (чи то з контрагентом, чи то з інсайдером), і один, і інший за рахунок викраденої інформації вже встигнуть побудувати по сусідству успішний конкурентний бізнес.

Ступінь відповідальності за порушення конфіденційності, захмарені перспективи її реального настання наразі такі, що намагання втримати спокусу використання чужих ноу-хау для власних цілей суто правовими засобами перетворюють ідею безпеки даних на утопію.

Охорону цінної інформації варто будувати як систему технічних, правових і психологічних заходів. Передусім на управлінському рівні чітко визначитись з тим, яка інформація є справді цінною для компанії (у внутрішні положеннях про конфіденційність зазвичай чомусь включають усе поспіль, і через це самі працівники не сприймають їх всерйоз), і встановити технічне обмеження використання цих даних (в ідеалі — щоб коло осіб, які мають доступ до цінних даних, було більш-менш сталим і конкретним, а доступ до бази цінної інформації — поіменним і фіксувався технічними засобами). Іноді доречно встановити рівні конфіденційності і відповідні їм ступені технічного захисту. Не менш важливо концептуально визначитись і зі способами мотивації тих людей, які мають справу з цінною інформацією, яка може включати і періодичний ненав’язливий психологічний моніторинг.

Віктор ШУЛЬГА, юрист практики безпеки бізнесу АО Juscutum

Чимало вітчизняних компаній намагаються запроваджувати комплаєнс-політику, підтримуючи глобальний світовий тренд. Хтось робить це з найкращими намірами — підвищити репутацію бізнесу, його привабливість для інвесторів, звести до мінімуму порушення в компанії, а хтось для формальності — через участь у тендерних процедурах, спів­працю з іноземними партнерами тощо.

Саме формальний підхід є наслідком суміщення обов’язків комплаєнс-офіцера з обов’язками юрисконсульта чи іншої особи, основний функціонал якої не передбачає комплаєнсу. У таких випадках на одну штатну одиницю покладаються додаткові обов’язки з певними доплатами. Особи намагаються прописати комплаєнс-програму, проводити інструктажі, формувати звітності… При цьому не дотримуються основних принципів комплаєнс-контролю: незалежність комплаєнс-функції, забезпечення ресурсами для повноцінного виконання обов’язків, належна взаємодія з внутрішнім аудитом тощо.

У зв’язку із тим, що комплаєнс за суттю мало чим відрізняється від класичного управління ризиками, то до функції мають бути залучені фахівці різних сфер — залежно від ризиків, притаманних організації. Зокрема, це можуть бути юристи, ризик-менеджери, служби внутрішнього аудиту, HR тощо на чолі з незалежним директором чи уповноваженою особою.

На сьогодні в Україні немає спеціалізованих закладів з підготовки комплаєнс-офіцерів. Більшість компаній самостійно формують структуру або залучають human resources, які набули досвіду в іноземних компаніях. Однією із спроб формувати базовий навчальний курс з антикорупційного комплаєнсу було створення у 2016 році курсів з підготовки комплаєнс-офіцерів при Професійній асоціації корпоративного управління за підтримки Center for International Private Enterprise.

Та головним у реалізації комплаєнс-функції є не фахівці чи назви їхніх посад, а так званий tone at the top («тональність у верхах» або воля найвищого керівництва). Тільки дотримання правил всіма без винятку директорами чи ТОП-менеджментом стане запорукою дотримання правил і норм іншими працівниками та запровадить справжню корпоративну культуру!

Комплаєнс-програми. Роль ділової/корпоративної етики та система заходів з її формування в компанії. Хто цим має займатися в компанії? Як вибудувати систему норм етичної поведінки для співробітників?

Ганна ГЕРАСИМЧУК,
голова Секретаріату Всеукраїнської мережі доброчесності та комплаєнсу (UNIC)

Комплаєнс-програму потрібно розглядати та оцінювати в контексті окремо взятої компанії. Дієвість та ефективність її елементів напряму залежать від того, наскільки глибоко вона буде інкорпорована в реальні бізнес-процеси та чи враховує вона всі особливості бізнес-моделі конкретної компанії. Особливу увагу треба приділити тому, наскільки узгоджується комплаєнс-програма з існуючою системою корпоративних цінностей та культурою поведінки працівників.

Те, що роками ефективно працює в одній компанії, може не прижитися і викликати хвилю неприйняття в іншій. Тобто важливе значення має не лише зміст комплаєнс-програми, а й спосіб її запровадження.

Як свідчить практика, примус і вимога певної поведінки від працівників, особливо без пояснення та обґрунтування їх запровадження, сприймається частіше негативно, на відміну від запровадження норми через трансляцію цінностей та залучення працівників до участі в прогресивних змінах, що забезпечують сталий розвиток компанії, а отже, розвиток і окремого працівника в цій компанії.

У результаті розуміння цінності дотримання прийнятих компанією комплаєнс-норм має бути на рівні звички.

Хто повинен цим займатися? Над розробкою змісту програми можуть працювати як внутрішні, так і зовнішні експерти (відділи, структурні підрозділи), проте важливо, щоб на етапі запровадження відчувалась безумовна підтримка лідерів та керівників найвищої ланки, а також щоб відповідальність за недотримання розділялась між усіма пов’язаними керівниками, а не лише покладалась на окрему функцію всередині компанії.

Перш за все, перед початком розробки тих чи інших політик/програм компанії варто здійснити оцінку власного рівня комплаєнсу. Прикладом такого самооцінювання може бути запов­нення опитувальника кандидата в учасники Всеукраїнської мережі доброчесності та комплаєнсу, розробленого на основі Стандарту ISO 37001.

Вікторія МЕЛЬНИЧЕНКО, керівник практики compliance МЮФ Integrites

Спираюсь на власний багаторічний досвід роботи в іноземних компаніях, можу беззаперечно стверджувати, що ефективна корпоративна культура сприяє позитивному моральному стану працівників.

Згідно з нещодавнім опитуванням компанії Ipsos, близько 30 % працівників вважають, що саме за допомогою сприятливої корпоративної культури підвищується продуктивність конкретного працівника. Запорукою сприятливої сталої корпоративної культури є, передусім, ефективне впровадження підприємством Кодексу корпоративної етики, який встановлює основні правила корпоративної поведінки, а також інших внутрішніх політик та процедур: антикорупційна політика, політика дарування та прийняття подарунків, політика про конфлікт інтересів, конфіденційність, політика взаємин з конкурентами тощо. Про існування всіх цих внутрішніх комплаєнс-процедур та їх основні положення кожного працівника потрібно повідомити при прийнятті на роботу (так званий induction), а також проводити періодичні тренінги.

Наведу приклад ефективного впровадження компанією комплаєнс-процедур, які дали змогу згодом виграти суд у справі за позовом, поданим співробітником, що був звільнений після внутрішнього розслідування, яке довело факт отримання працівником хабара. Судове рішення, винесене Верховним судом Іспанії (рішення № 119/2018 від 8 лютого 2018 року), підтвердило прийнятність як доказу службових електронних листів звільненого працівника, адже компанія мала внутрішні положення про порядок використання інформаційної системи, що забороняли використання службових комп’ютерів, службової пошти в особистих цілях, а також встановлювали, що архів електронного листування зберігається на сервері, до якого мали доступ певні посадові особи, включаючи співробітників служби «внутрішнього аудиту». Враховуючи те, що працівник був належним чином ознайомленим з цією внутрішньою політикою, Верховний суд постановив, що електронне листування працівника, отримане в ході внутрішнього розслідування, є дос­товірним доказом.

Підсумовуючи наведене вище, зазначу, що впровадженням ефективної корпоративної культури, на мою думку, повинен займатись HR-відділ у тісному взаємозв’язку з комплаєнс-фахівцем. Завжди повторюю, що комплаєнс починається із закону, але для спеціаліста з комплаєнсу думати тільки як юрист недостатньо. Звичайно, ліпше, коли комплаєнс-спеціаліст має юридичний досвід, що надасть йому можливість застосовувати свої аналітичні навички при розробці/впровадженні внутрішніх політик. І все ж таки потрібно вивчати особливості свого внут­рішнього клієнта та підходи до кожного, а тому певні знання з психології теж не є зайвими.