CC BY
201
резшени неджмент т. 11, № 2/2020
DOI: 10.17747/2618-947X-2020-2-150-159
с«):
Определение и измерение риска в комплаенс-менеджменте
А.М. Крепышева1 А.А. Сергиевская2 М.А. Сторчевой1
1 НИУ «Высшая школа экономики» 2 ООО «Юнилевер РУС»
BY 4.0
АННОТАЦИЯ
Статья посвящена проблеме определения и измерения риска в комплаенс-менеджменте - важной управленческой функции компании, направленной на соблюдение законов и этических норм. Рассматриваются общее определение риска из теории вероятности и различные подходы к пониманию риска в литературе по риск-менеджменту, а затем определение комплаенс-ри-ска и подходы к управлению этим риском в комплаенс-менеджменте. Описаны проблема количественного измерения ком-плаенс-рисков и некоторые способы ее решения. Анализируются подходы нескольких международных компаний (в области добывающей промышленности, нефтегазовой отрасли, мобильной связи, FMCG) к измерению или оценке комплаенс-рисков, а также в организации управления комплаенс-рисками на практике (организационные структуры, процессы и т.п.). Также работа затрагивает концепцию риск-аппетита, который характеризует готовность организации принимать на себя определенный положительный уровень риска, при этом логически плохо совместимый с понятием комплаенс-риска как риска нарушения законодательства.
КЛЮЧЕВЫЕ СЛОВА:
комплаенс, этика, комплаенс-риск, комплаенс-менеджмент, количественное измерение риска, риск-аппетит.
ДЛЯ ЦИТИРОВАНИЯ:
КрепышеваА.М., Сергиевская А.А., СторчевойМ.А. (2020). Определение и измерение риска в комплаенс-менеджменте // Стратегические решения и риск-менеджмент. Т. 11. № 2. С.150-159 DOI: 10.17747/2618-947X-2020-2-150-159.
Авторы выражают благодарность экспертам в области комплаенса, которые помогли в сборе материала для эмпирической части работы: Петру Андросенко и Татьяне Павленко («ВымпелКом»), Ирине Грековой (Московская биржа), Маргарите Хо-менко (Compliance Elements).
Definition and measurement of risk in compliance management
A.M. Krepysheva1 A.A. Sergievskaya2 M.A. Storchevoy1
1 NRU HSE (Saint Petersburg) 2 "Unilever Rus" LLC
ABSTRACT
The article is devoted to the problem of defining and measuring risk in compliance management - an important management function of a company aimed at complying with laws and ethical norms. A general definition of risk from the theory of probability and various approaches to understanding risk in the literature on risk management are considered, then the definition of compliance risk and ways to managing this risk in compliance management are explored. The problem of quantitative measurement of compliance risks and some methods of its solution are described. The authors analyze the approaches of several international companies (in the mining industry, oil and gas industry, mobile communications, FMCG) to measuring or assessing compliance risks, as well as organizing compliance risk management in practice (organizational structures, processes, etc.). The work also discussed the concept of risk appetite, that characterizes the willingness of an organization to take on a certain positive level of risk, while logically it is poorly compatible with the concept of compliance risk as a risk of violation of the legislation.
KEYWORDS:
compliance, ethics, compliance risk, compliance management, quantitative risk measurement, risk appetite.
FOR CITATION:
Krepysheva A.M., Sergievskaya A.A., Storchevoy M.A. (2020). Definition and measurement of risk in compliance management. Strategic Decisions and Risk Management, 11(2), 150-159. DOI: 10.17747/2618-947X-2020-2-150-159.
The authors would like to thank experts who helped in collecting material for the empirical part of the work: Petr Androsenko and Tatiana Pavlenko (VimpelCom), Irina Grekova (Moscow Exchange), Margarita Khomenko (Compliance Elements).
1. ВВЕДЕНИЕ
В настоящей работе мы попробуем разобраться с тем, как определяют и измеряют риск в комплаенс-менеджмен-те - важной управленческой функции компании, направленной на соблюдение законов и этических норм. Вначале мы поговорим об общем определении риска, затем рассмотрим различные подходы к пониманию риска в комплаенс-менед-жменте, а в конце обсудим подходы нескольких компаний к измерению или оценке комплаенс-рисков. В современной российской литературе данная проблема рассмотрена недостаточно. Например, в [Булыга, Куприянова, 2015] идет речь об организации комплаенс-функции в целом, но оценка риска как таковая не обсуждается. В работе [Комарова, 2020] приводятся показатели, на основе которых происходит оценка рисков, и рассматриваются категории рисков, однако автор не описывает методологию оценки этих показателей и не приводит шкалы, по которым они измеряются. В других публикациях, посвященных комплаенс-рискам, например в [Соколова, 2018], проблема измерения также не обсуждается.
2. ПОНЯТИЕ РИСКА В СОВРЕМЕННОЙ ЛИТЕРАТУРЕ
Понятие риска является, с одной стороны, очень популярным в различных научных и управленческих дисциплинах, а с другой - определяемым и понимаемым в этих дисциплинах весьма по-разному.
В теории вероятностей есть два строго определенных понятия: вероятность и математическое ожидание. Вероятность - это количественная мера наступления результата X, который является одним из нескольких альтернативных результатов какого-либо действия. Вероятность измеряется как n/N, где n показывает, сколько раз наступил результат X, а N - сколько раз всего было осуществлено данное действие. Соответственно, вероятность изменяется от 0 (абсолютно невозможный результат) до 1 (результат, который будет получен в любом случае). Например, вероятность 0,2 означает, что в среднем этот результат наблюдается в 20% всех случаев осуществления данного действия. Математическое ожидание - это умножение количественного измерения результата (когда он имеет количественное измерение) на его вероятность. Например, если результат - это прибыль в 100 долл., а вероятность получения этого результата 0,5, то умножение этих чисел дает математическое ожидание 20 долл.: это означает, что в среднем мы получаем 20 долл. выигрыша от каждого осуществления данного действия. Таким образом, вероятность и математическое ожидание - это строго определенные математические понятия, которые используются в различных научных дисциплинах (например, в страховании, финансовом менеджменте, теории реальных опционов и т.д.).
Что касается термина «риск», то теория вероятностей не использует его как четко определенное математическое понятие вообще. Слово «риск» используется в текстах по те-
ории вероятности или социальных науках (например, в экономике) неформализованным образом, чтобы подчеркнуть стохастическую природу какого-либо события. Например, в экономической и управленческой литературе проблема выбора между вариантами со случайными результатами проходит под названием «решения в условиях риска», но при этом никакого количественного измерения риска в этих теориях не дается.
В обиходном употреблении слово «риск» имеет более узкое определение и касается только отрицательных результатов и их вероятности. Общеупотребительным значением риска является «вероятность чего-то плохого» (например, Оксфордский словарь английского языка определяет риск как «вероятность опасности, потери, травмы или других неблагоприятных последствий»). Та же ситуация с общеязыковым значением в русском языке (например, Словарь Ожегова определяет его как «вероятность неудачи, опасность»).
Как же понимают риск в литературе по риск-менеджменту? Здесь понятие риска не сводится только к отрицательным событиям и включает в себя любые события - как положительные, так и отрицательные. Однако универсального определения риска и здесь не существует. Рассмотрим в качестве примера несколько авторитетных источников.
Например, в монографии по управлению рисками Пол Хопкин [Hopkin, 2018] рассматривает различные определения риска и делает вывод, что универсального определения не существует и каждая организация должна принять определение в соответствии со своими потребностями. В контексте организации под риском обычно понимают нечто, что может повлиять на достижение корпоративных целей. Сам Хопкин предложил следующее определение: «Событие, способное повлиять (подавить, усилить или вызвать сомнения) на эффективность и результативность основных процессов организации».
Авторитетным источником могут служить стандарты ISO, которые формулируют универсальные и оптимальные способы решения каких-либо технических или управленческих задач. Существует отдельный стандарт ISO 31000, который называется «Менеджмент риска» (Risk Management)1. В новой версии этого стандарта от 2018 года риск определяется как «влияние неопределенности на цели». Влияние означает, что достигаемый результат отличается от ожидаемого. Это влияние может быть «положительным, отрицательным или и тем, и другим и может касаться, создавать или приводить к возможностям и угрозам». Очевидно, стандарты не ограничивают сферу риска только негативными событиями. Кроме этого, выделяется понятие «подверженность риску» (risk exposure), которое, по сути, соответствует математическому ожиданию в теории вероятности - произведению вероятности события на величину возможных убытков, которыми это событие сопровождается.
Несколько иное определение риска дано Институтом внутренних аудиторов (Institute of Internal Auditors) - ведущей мировой организацией по разработке стандартов и повышению квалификации внутренних аудиторов. Согласно ему, риском является «неопределенность происходящего события, которое может оказать влияние на достижение целей. Риск измеряется с точки зрения последствий и вероятности».
1 ISO 31000:2018 - Risk management — Guidelines. URL: https://www.iso.org/standard/65694.html.
152
Как видно из этого краткого обзора, ведущие организации в области управления риском говорят примерно об одном и том же, хотя и определяют риск несколько по-разному - «событие», «неопределенность события», «влияние неопределенности» и т.д. Один из авторов [Ramakrishna, 2015] выделил пять типичных способов определения риска: 1) нежелаемое событие, которое может произойти, 2) причина нежелательного события, которое может произойти, 3) вероятность нежелаемого события, которое может произойти, 4) математическое ожидание нежелаемого события, 5) указание на факт того, что решение принимается в ситуации количественно оцениваемых вероятностей, а не в ситуации неопределенности по Найту.
Эксперты в области управления операционным риском [A new approach.., 2010] отмечают, что понимание риска постепенно развивается и современный подход к риск-менеджменту существенного отличается от традиционного. Традиционная теория риск-менеджмента определяет риск как «вероятность того, что событие произойдет и отрицательно скажется на достижении миссии или бизнес-целей организации». Данный риск может быть рассчитан как умножение вероятности на величину потерь.
Современный подход в риск-менеджменте определяет риск иначе - как «меру подверженности убыткам на уровне неопределенности». Различия двух понятий представлены на рис. 1. Видно, что самый высокий риск в традиционном подходе возникает, когда вероятность потери равна 100%. В современной интерпретации максимальный риск существует там, где вероятность (или частота) низка, а степень серьезности высока.
3. ПОНЯТИЕ РИСКА В КОМПЛАЕНС-МЕНЕДЖМЕНТЕ
Определения комплаенс-риска в литературе также несколько различаются между собой. В некоторой степени эти различия зависят от конкретного понимания регулирующих органов или исследователей, которые стремятся определить его. Общим знаменателем всех определений является то, что комплаенс-риск появляется в области регулирования, но существуют разные концепции его измерения.
Понятие комплаенс-риска появилось в литературе в течение последнего десятилетия (например, в коллективной монографии [Molak, 1997], посвященной различным областям риск-менеджмента, проблема комплаенс-риска вообще не упоминается). Однако в [Hopkin, 2018] комплаенс-риск (compliance risk) указан первым в классификации четырех типов риска и определяется как «категория риска, связанная с управлением обязательствами». Чтобы минимизировать комплаенс-риски, организациям нужно знать о требованиях комплаенса, которым они должны соответствовать. Также может существовать регулирующий орган - в отрасли или секторе, который контролирует выполнение требований;
Рис. 1. Традиционный и современный подход к риску
Традиционный подход Современный подход
Всроатиосп.
BbKOkM
(3)
Cptf,!«H»t
(г)
Hb ik;U
ID
Г high risk
Г U
Низкое Среди« Высоки
(1) (2) (3)
Влияние
Высокая
m
- -
-
h¡Kh
risk
1 titiKue Среднее
m (Î1
t'lpol ОСТЬ
firtSHil pHLT Ц высокий pLK'K
Источник: [A new approach.., 2010].
в случае если организация не смогла их выполнить, регулирующий орган имеет право потребовать прекращения ее деятельности. В настоящее время высокорегулируемыми являются многие отрасли: медицина, страхование, финансы, транспорт и т. д. Помимо регулирующих органов компании также должны выполнять требования, налагаемые на них различными законами. Кроме комплаенс-риска Хопкин выделяет также риск возможностей (opportunity risk), с которым связана возможность получения какой-либо выгоды, риск контроля (control risk) - возможность отклонения выполнения проектов от заданных рамок и чистый риск (hazard risk), связанный с такими событиями, которые могут принести только потери и никогда не дают ничего полезного (например, пожар или мошенничество).
Консалтинговая компания Deloitte определяет компла-енс-риск как «угрозу для финансового, организационного или репутационного статуса организации, возникающую в результате нарушений законов, нормативных актов, кодексов поведения или организационных стандартов практики»2.
Международный стандарт ISO 19600 «Системы управления комплаенсом»3 следует формулировкам ISO 31000, который определяет риск как «влияние неопределенности на цели» (effect of uncertainty on objectives), при этом влияние может быть как положительным, так и отрицательным. Соответственно, комплаенс-риск определяется как «влияние неопределенности на цели в области комплаенса» (effect of uncertainty on compliance objectives). Далее дается еще одно определение комплаенс-риска: он может быть охарактеризован как вероятность (likelihood) наступления несоответствия комплаенс-обязательствам (compliance obligations) организации и их последствий. Вероятность обозначается словом likelihood, чтобы противопоставить ее математической вероятности probability, которая имеет точное количественное измерение. Соответственно, обязательства в области комплаенса определяются как необходимость выполнять требования (compliance requirements or compliance commitments), которые, в свою очередь, определяются довольно широко как «требования или ожидания определенного поведения от организации». Обратим внимание, что в стандарте ISO нет указания, что данные наруше-
2 Compliance risk assessments. The third ingredient in a world-class ethics and compliance program. 2015. URL: https:IIwww2.deloitte.comIcontentIdamIDeloitteInlIDocumentsIriskI deloitte-nl-risk-compliance-risk-assessments.pdf.
3 ISO 19600:2014 - Compliance management systems. В официальном переводе на русский язык - «Системы управления соответствием». URL: https:IIwww.iso.orgIruI standardI62342.html.
Таблица 1 Величина риска в методике ISAR
Уровень Величина ущерба
Высокий 3 Реализация одного или более рисков в данной категории может привести к существенному снижению доходов или увеличению расходов компании или репутационному ущербу для компании
Средний 2 Реализация одного или более рисков в данной категории может привести к среднему снижению доходов или увеличению расходов компании и несущественному репутационному ущербу
Низкий 1 Реализация рисков в данной категории может привести к несущественному снижению доходов или увеличению расходов компании
Таблица 2 Вероятность риска в методике ISAR
Уровень Вероятность наступления
Высокая 3 Риск уже неоднократно реализовывался в прошлом, есть высокая степень неопределенности относительно вероятности реализации риска или внутренние или внешние предпосылки, указывающие на то, что риск, скорее всего, реализуется в течение следующего года
Средняя 2 Риск, вероятно, реализуется в течение года
Низкая 1 Низкая вероятность, что риск реализуется в течение года
ния - это прежде всего или только нарушения закона. Речь идет и о нарушении этических обязательств, а также любых иных добровольно принятых на себя компанией (таких, как отраслевые стандарты, лучшие бизнес-практики и др.). В стандарте есть раздел 4.6 «Выявление, анализ и оценка комплаенс-рисков» (Identification, analysis and evaluation of compliance risks), однако он не содержит никаких указаний на то, как нужно измерять данный риск.
В [Ramakrishna, 2015] выделяются несколько разновидностей комплаенс-риска: 1) риск неэтичного поведения (integrity risk), 2) риск для бизнеса (business risk), 3) риск для репутации (reputation risk), 4) регуляторный риск (regulatory risk), 5) риск неопределенных законодательных требований (interpretational risk), 6) юридический риск (legal risk), 7) риск судебного преследования (litigation risk), 8) риск финансовых потерь (risk of financial loss). Данная классификация представляется нам довольно слабо структурированной, так как отдельные ее части пересекаются между собой. Например, харрасмент в компании можно отнести к риску неэтичного поведения, юридическому риску, риску судебного преследования, риску финансовых потерь и репу-тационному риску.
4. ПРОБЛЕМА КОЛИЧЕСТВЕННОЙ ОЦЕНКИ КОМПЛАЕНС-РИСКА
Для управления комплаенс-риском используются различные инструменты, облегчающие его выявление, измерение и упорядочивание. В настоящей работе нас интересует прежде всего проблема количественного измерения риска. Как известно, качественное управление объектом или процессом невозможно без измерения, поэтому данная проблема имеет первостепенное значение.
В литературе по комплаенсу часто встречается традиционная для риск-менеджмента матрица, которая уже была приведена на рис. 1, причем именно в традиционном виде, с заполнением всех клеточек. Однако ни одна практическая методика или руководство не дают единого строгого способа оценки этих рисков. Часто предлагается использовать экспертный метод, метод опроса и др., но проблема выбора наилучшего метода и его детализированной настройки остается открытой. Многие авторы, например [Nicolas, May, 2017], не придают серьезного зна-
чения разработке методики присвоения рискам конкретного уровня, а делают основной акцент на том, что система оценки комплаенс-рисков (compliance risk assessment) должна быть всесторонне продуманной и постоянно действующей.
Институт стратегического анализа рисков управленческих решений (ISAR) в своих учебных материалах рекомендует следующие критерии оценка риска по величине и вероятности (см. табл. 1, 2).
Как видно, общая логика этих оценок похожа на уже описанные, но в ней есть также ряд неопределенных мест, например «среднее снижение доходов» или основания для вывода о том, что риск «реализуется в течение года».
Интервью с комплаенс-менеджерами российских компаний показывают, что они присваивают характеристики «низкий», «средний» или «высокий» весьма произвольно. Например, по словам комплаенс-менеджера глобальной продуктовой компании, любой коррупционный риск автоматически у них относится к высоким рискам. Компла-енс-менеджер мобильного оператора заметил, что высоким считается риск, который ведет к серьезному штрафу (например, штраф от 1 млн руб. за взятку должностному лицу при получении разрешения на строительство). Очевидно, что единой методики понимания у российских компаний того, что является риском и как его считать, не существует. Между тем без четкой методики эти характеристики могут быть бессмысленны. Как пишет специалист по внутреннему аудиту Линфорд Грэхем: «Я не являюсь поклонником терминов типа "высокий-средний-низкий" для оценки риска. По моему опыту, если данные термины не определить сначала хорошенько с помощью наглядных сценариев, детальных примеров или даже четких количественных оценок вероятности (например, вероятность меньше 20%), то даже те менеджеры, которые имеют схожие представления о риске, столкнутся с трудностями при выработке общего мнения. <.. .> Я бы предложил оценивать риск в процентах или в диапазонах процентов, которые гораздо менее двусмысленны при обсуждении, даже если они являются субъективными оценками, а не результатом точных расчетов» [Graham, 2015. P. 69].
Конечно, в случае с комплаенс-рисками каждая компания сталкивается со многими неизвестными, и дать количественную оценку вероятности довольно сложно. Особенно эта проблема актуальна для молодых и небольших компаний, у которых нет собственной статистики. Однако для крупных
компаний, насчитывающих десятки тысяч работников и работающих много лет, существует внутренняя статистика нарушений, которую можно использовать для расчета как минимум вероятности нарушений. Размер негативных последствий меняется от года к году в соответствии с изменениями в регулировании, но эти цифры также доступны компаниям, которые следят за изменениями. Для небольших компаний можно использовать общую статистику для данного сектора экономики или экономики в целом. Например, согласно имеющейся статистике, в год фиксируется одно коррупционное нарушение на 4 тыс. занятых. Следовательно, если в компании работают 2 тыс. сотрудников, можно ожидать, что коррупционное нарушение произойдет с вероятностью 50% в течение года (или, что то же самое, будет обязательно происходить раз в два года).
Попытка разработать количественную оценку рисков хищений была предпринята совместно российскими отделениями Association of Certified Fraud Examiners и Ernst & Young в 2013 году [Мартынов, Новиков, 2013]. Исследователи провели опрос более 500 профессионалов, работающих в области расследований, внутреннего аудита, риск-менеджмента и других областях обеспечения безопасности бизнеса, и попросили оценить важность каждого из тридцати индикаторов хищений, которые включали в себя характеристики системы управления компанией (например, наличие программы по противодействию хищениям), экономическую ситуацию в компании (неудовлетворенность персонала уровнем заработной платы), внешнюю среду (например, нестабильность и кризисные явления), результаты контроля (например, отсутствие первичных подтверждающих документов) и т.д. На основании опроса были составлены веса важности для каждого индикатора по ординарной шкале от 1 до 5, где 1 означает, что индикатор слабо связан c риском хищения, а 5 - что индикатор вполне определенно (очень часто) сопутствует хищению. Самый высокий вес получил индикатор «утеря или уничтожение документов и электронных файлов, содержащих ключевую информацию о сомнительных операциях», а самый низкий, как ни странно, - «уровень корпоративной культуры». Авторы указывают, что для расчета общего индекса риска хищения нужно объединить все наблюдаемые параметры с их весами в единую формулу, которая должна использовать логарифм количества найденных индикаторов и сумму весов всех найденных индикаторов риска, но точное обоснование этой формулы требует дополнительного исследования.
5. ПРИМЕРЫ ПОДХОДОВ КОНКРЕТНЫХ КОМПАНИЙ К ОЦЕНКЕ РИСКОВ
Рассмотрим подходы различных компаний к оценке ком-плаенс-рисков. Названия некоторых обсуждаемых компаний в данном разделе опущены по просьбе наших респондентов.
Международная компания в добывающей промышленности определяет две категории рисков. Риски первой категории оказывают сильное влияние на компанию, и в худшем случае они приводят к налогу на добавленную стоимость, потере репутации, потере бизнеса и т.д. Кроме того, компания может быть оштрафована на сумму более 1 млн долл. Комплаенс-менеджеры должны незамедлительно сообщать о таких рисках и включать соответствующую информацию в месячный отчет. Вторая категория рисков оказывает умеренное влияние на компанию. Штраф может составить от 10 000 до 1 млн долл. Комплаенс-менеджеры сообщают о таких рисках в форме ежемесячных отчетов. Чтобы заполнить отчет о комплаенс-риске или немедленно сообщить о нем, комплаенс-менеджер использует форму для уведомления о риске, направленную на сбор данных, мониторинг и контроль рисков. В отчете требуется следующая информация:
• область комплаенс-риска,
• дата события, повлекшего возникновение риска,
• предприятие,
• описание события, связанного с риском,
• предположительная причина возникновения данного события,
• возможность повторного возникновения риска,
• возможные последствия.
Головной офис аккумулирует отчетность по рискам, описывая факторы возникновения рисков, вероятность их реализации и возможное влияние на компанию; также рискам присваивается оценка (низкий, средний или высокий уровень) и указываются применяемые и планируемые процедуры для смягчения последствий от реализации риска.
В компании разработаны шкалы для оценки отдельных индикаторов, таких как влияние риска и вероятность, на основании которых риску присваивается итоговая оценка. Влияние рисков измеряется финансовыми потерями, влиянием на EBITDA компании (тыс. долл.) и имеет следующую шкалу (см. табл. 3).
Таблица 3
Градация рисков по величине финансовых потерь (добывающая компания)
Риск Финансовые потери (тыс. долл.) Влияние на компанию Влияние на EBITDA компании (%)
Несущественный Менее 20 Незначительные операции, стратегия, безопасность, проблемы с имиджем Менее 1
Малозначительный 20-100 Некоторые операции, стратегия, безопасность, проблемы с имиджем 1-5
Умеренный 100-200 Серьезные операции, стратегия, безопасность, проблемы с имиджем 5-10
Крупный 200-1000 Важные операции, стратегия, безопасность, проблемы с имиджем 10-50
Критический Более 1000 Критические операции, стратегия, безопасность, проблемы с имиджем Более 50
Таблица 4. Градация рисков по вероятности наступления (добывающая компания)
Риск Вероятность (%) Частота возникновения
Практически невозможный Менее 5 В исключительных случаях
Маловероятный 5-20 Приблизительно раз в пять лет
Умеренно вероятный 20-50 Приблизительно раз в два года
Более вероятный 50-90 Приблизительно раз в год
Практически неизбежный Более 90 Приблизительно раз в месяц
Таблица 5. Карта риска (добывающая компания)
Л н средний существенный существенный высокий высокий
о о средний средний существенный высокий высокий
щ н § Рч низкий средний средний существенный высокий
низкий низкий средний средний существенный
м т низкий низкий низкий средний средний
ВЛИЯНИЕ
Шкала вероятности риска представлена в табл. 4.
Рассмотрев два индикатора, комплаенс-менеджер присваивает риску оценку в соответствии с картой риска (см. табл. 5). Ось абсцисс (Х) отражает влияние риска по шкале от несущественного до критического, ось ординат (У) отражает шкалу вероятности от практически невозможного риска до практически неизбежного.
Международная компания в нефтегазовой отрасли сообщила о следующем подходе к оценке рисков. Используются четыре категории вероятности (см. табл. 6). Матрица риска данной компании представлена в табл. 7.
Однако методических указаний по осуществлению оценки компания не представила, в связи с чем остаются неясными принципы присвоения вероятностей, а также оценки потерь.
Опыт работы одного из авторов настоящей статьи на позиции комплаенс-менеджера в разных компаниях показывает, что они используют очень похожие инструменты к оценке комплаенс-рисков. Матрицы и схемы для определения влияния риска, приведенные выше, буквально заимствуются компаниями друг у друга или из учебников.
Таблица 6. Градация рисков по вероятности (нефтегазовая компания)
Возможные сценарии Коэффициент вероятности
Вероятность реализации комплаенс-риска низкая 1
Вероятности реализации и нереализации комплаенс-риска примерно равны 2
Комплаенс-риск вероятнее реализуется 3
Комплаенс-риск наверняка реализуется 4
При этом компании, которые только начинают внедрять у себя комплаенс, поначалу оценки рисков вообще не делают. Нередко наблюдается следующий сценарий. Сначала фирма внедряет стандартный набор комплаенс-системы: разрабатывает кодекс этики, политики и процедуры по взаимодействию с третьими лицами, тренинги, горячую линию, процедуру по внутренним расследованиям. Эти стандартные пункты можно встретить в законодательных требованиях или методических рекомендациях к ним. А когда в компании назначают ответственных за реализацию комплаенс-функ-ции сотрудников, то вскоре у них возникает ряд вопросов, главный из которых: «А зачем это нужно именно нам?» И ответ заключается в том, что сам по себе набор документов и процедур неэффективен. Нужно провести оценку рисков, чтобы понять, насколько выявленные риски релевантны в конкретной организации и насколько принятые меры действительно их минимизируют, а также определить, насколько процесс возникновения риска управляем.
Оценка (переоценка) должна проводиться на регулярной основе с той периодичностью, которая будет наиболее подходить конкретной компании и ее бизнес-модели. Эта необходимость связана помимо прочих факторов еще и с матричной структурой некоторых глобальных компаний, которая предполагает частую ротацию персонала, смену функционала и зон ответственности. Эти изменения во взаимодействиях людей могут постоянно вносить свои коррективы в выстраивание работы комплаенс-функции. Например, сотрудники, которые раньше никогда не взаимодействовали с государственными органами, начинают это делать, и здесь нужно обратить особое внимание на их работу, убедиться в их понимании процесса. Такая работа с сотрудниками помогает выявить недостатки системы или, наоборот, обрести уверенность в отсутствии пробелов в критически важных аспектах.
Во многих международных руководствах написано об оценке рисков с точки зрения бизнес-процесса, однако возложить данную функцию на зону бизнес-подразделений было бы разумнее. Общеизвестно, что продажи, закупки, участие в тендерах, маркетинг и пр. являются зонами повышенного риска, и данная информация не представляет ценности для менеджмента. Наиболее важно как для компании, так и для самих владельцев рисков4 - понять, какие конкретно люди (на каких должностях) находятся в зоне компла-
Таблица 7. Градация рисков по величине потерь (нефтегазовая компания)
Оценка материальности возможных потерь Коэффициент вероятности наступления комплаенс-риска
общества или предприятия (млн руб.) 1 2-3 4
Свыше 500 Средний Высокий Высокий
50-500 Низкий Средний Высокий
До 50 Низкий Низкий Средний
4 Владелец риска - менеджер, чьи операционные или стратегические цели оказываются под воздействием этого риска. Как правило, это руководитель бизнес-подразделения. Например, риск возникновения таких ситуаций, как пандемия, оказывает влияние на продажи, и владельцем риска в данном случае будет руководитель отдела продаж.
енс-рисков. С этой информацией легче работать на уровне бизнес-по дразделения.
Комплаенс-менеджер не должен оценивать комплаенс-ри-ски единолично. Эта работа должна находиться в ведении либо владельцев рисков (например, посредством ведения отчетности), либо комплаенс-менеджера, опирающегося на мнения сотрудников. Например, в «Кодексе принципов ведения бизнеса» компании Unilever есть следующий пункт: «Ответственность: они <все сотрудники уровня менеджера (руководителя) и выше> обязаны выявлять риски и управлять рисками, которые связаны с их служебными обязанностями»5.
Комплаенс-риск-менеджмент иногда осуществляется самостоятельно комплаенс-подразделением, а иногда может передаваться в систему общего риск-менеджмента компании (enterprise risk management, ERM), как это сделано во многих компаниях (например, в VEON). Но в то же время компла-енс-офицер должен либо принимать активное участие (возглавлять процесс), либо иметь полное понимание, как эта оценка производилась. Важно понять, под какие компла-енс-риски попадает деятельность компании и ее сотрудников, а затем выстраивать взаимодействия в системе.
Методология комплаенс-системы всегда должна включать описание самой системы и процессов внутри нее, а также содержать информацию о проводимых мероприятиях, в том числе их целях, результатах, о предусмотренных процедурах на случай реализации комплаенс-риска с указанием ответственного лица. Поэтому компании создают комитеты по рискам, комплаенс-комитеты, комитеты этики и пр.
6. КОМПЛАЕНС-РИСКИ И РИСК-АППЕТИТ
Логично встает вопрос о том, каким же образом компании должны использовать количественные оценки ком-плаенс-рисков? Многие исследователи указывают на то, что различные типы риска должны управляться по-разному. Некоторые авторы, например [Hopkin, 2018], утверждают, что комплаенс-риск должен минимизироваться, поскольку по характеру близок к чистому риску, в то время как финансовые риски обычно являются рисками возможности и балансируются доходностью, поэтому их минимизировать не нужно. Однако при этом в материалах консультантов или в литературе по финансовому менеджменту часто встречается оригинальная концепция аппетита к риску (risk appetite), которая означает, что компания готова идти на определенный риск. Так, Deloitte ссылается на определение Базельского комитета по банковскому надзору: «Риск-аппетит - это заранее определенные уровни и виды рисков в рамках допустимого уровня рисков, которые банк готов принять для достижения своих целей, исходя из масштаба и характера его деятельности в рамках стратегии и бизнес-плана»6. При этом в предыдущем варианте Базель-ских требований понятие «риск-аппетита» вообще не упоминалось [Gontarek, 2016]. Исследование PWC [Взгляд
Рис. 2. Совершенствование подходов к определению риск-аппетита
Риск^ппетит или допустимый уровень риска определены в отношении ряда ключевых категорий риска
В компании четко сформулированы концепция определения риск-аппетита и соответствующие заявления о риск-аппетите
В рамках всей компании выстроен четкий процесс агрегирования информации по рискам и сопоставления полученного уровня риска с утвержденным риск-аппетитом
(38*|
55%
Компания осуществляет эффективный мониторинг текущего уровня риск-аппетита, активно используя ключевые индикаторы риска
47%
Источник: [Взгляд на риски.., 2017].
на риски.., 2017] показало, что компании постепенно расширяют использование этой концепции. На рис. 2 представлены данные за 2015 и 2017 годы. Результаты исследования показали, что число компаний, определяющих свой риск-аппетит, выросло на 13%, как и число компаний, в которых данная концепция сформулирована и сделаны соответствующие заявления о риск-аппетите.
Однако применительно к комплаенсу концепция риск-аппетита является несколько противоречивой, поскольку предполагает, что организация не пытается полностью искоренить любое нарушение закона (как это подразумевается для законопослушных граждан), а допускает сознательное его нарушение при определенных условиях. Действительно, иногда принятие риска и, как следствие, например, оплата штрафа для компании оборачиваются возможностью получить большую выгоду.
Заметим, что сознательное решение принять на себя положительный комплаенс-риск может вызываться не корыстным желанием заработать прибыль, а быть, наоборот, ответственным решением, связанным с предотвращением каких-либо более серьезных негативных последствий для стейкхолдеров компании. В нашей практике был случай, когда сотрудник был уволен по причине появления на работе с серьезным похмельным синдромом. Несогласный с увольнением и стремящийся сохранить рабочее место любой ценой сотрудник отправился на медицинское освидетельствование, где было подтверждено отсутствие алкоголя в его крови и, как следствие, необоснованность его увольнения. Подобный юридический ход был предсказуем, и компла-енс-менеджер компании догадывался о действиях, которые сотрудник намеревался предпринять, а также о том, что результаты экспертизы, которая будет проведена спустя час, могут быть отрицательными. Тем не менее в случае допущения сотрудника к работе в тот день могли возникнуть непоправимые последствия: травмирование на производстве, поломка оборудования. Таким образом, комплаенс-менед-жер сознательно пошел на принятие комплаенс-риска, и этот риск реализовался в виде судебного разбирательства, инициированного уволенным сотрудником. Корректно ли отнести данное действие к риск-аппетиту?
5 URL: https://www.unilever.ru/Images/code-and-code-policies-2017-rus_tcm1315-508300_ru.pdf.
6 Стратегия риск-аппетита: лучшие практики (2020). Deloitte. Онлайн-вебинар. URL: https://www2.deloitte.com/content/dam/Deloitte/kz/Documents/risk/Вебинар_страте-гия%20риск-аппетита_9%20июня.pdf.
Другой этической дилеммой из этого разряда может быть ситуация, при которой человек потерялся в лесу и родственники или поисковая группа просят мобильного оператора сообщить данные геолокации с его мобильного телефона. Однако мобильный оператор не может сделать этого по закону, и нарушение повлечет риск огромного штрафа со стороны регулятора. В большинстве случаев мобильные операторы не имеют достаточного риск-аппетита в этой ситуации, чтобы нарушать законодательство о персональных данных, но в результате погибает много людей. Корректно ли данное действие рассматривать в терминах риск-аппетита?
Идеологически многие компании провозглашают другую политику - нулевую терпимость (zero tolerance) к любым ком-плаенс-нарушениям, и прежде всего коррупции. Например, кодекс этики группы VEON устанавливает «полную нетерпимость к взяточничеству и коррупции»7. Комплаенс-менед-жер этой компании сообщил, что в целом они придерживаются zero tolerance по отношению ко всем комплаенс-рискам, но для других рисков есть установленные уровни риск-аппетита. Компания «Яндекс» утверждает, что «исповедует принцип нулевой терпимости к любым нарушениям правил корпоративной этики»8. Компания «Ашан» также следует этой политике9. Возможно, данная позиция вызвана тем, что если компании открыто заявят о ненулевом аппетите к риску, это будет воспринято резко негативно и регуляторами, для которых идеологически важно добиваться уважительного отношения к закону и устанавливаемым нормам, и инвесторами. Однако в реальности невозможно добиться нулевого комплаенс-риска, поэтому подобные утверждения выглядят несколько противоречиво. Некоторые компании выходят из этого положения, заявляя о нулевой терпимости к неинформированию о нарушениях. Например, группа компаний «ЕвроХим» говорит о «нулевой терпимости в отношении невыполнения обязательств по обеспечению соответствия»10 -здесь неявно признается тот факт, что сами нарушения полностью устранить невозможно.
ВЫВОДЫ
Как следует из настоящего исследования, понятие риска является ключевым для комплаенс-менеджмента, но при этом формулируется недостаточно строго и разными источниками понимается не совсем одинаково. Среди практических задач наиболее актуальной является разработка методики измерения комплаенс-риска. В настоящее время все подходы к измерению являются очень приблизительными и субъективными, что открывает возможности для дальнейших исследований в данной области.
Важной концептуальной задачей является проблема уровня допустимого комплаенс-риска (аппетита к риску), которая не до конца осознается на практике и требует более глубокого изучения.
ЛИТЕРАТУРА
1. Булыга Р.П., Куприянова Л.М. (2015). Оценка компла-енс-рисков // Экономика. Бизнес. Банки. № 3. С. 16-32.
2. Взгляд на риски. Управление рисками «на передовой» (2017). PWC. URL: https://www.pwc.ru/ru/publications/ risk-in-review-study-2017.html
3. Комарова Е.О. (2020). Оценка и расчет комплаенс-ри-ска. Материалы II международной научно-практической конференции «Тенденции и перспективы развития банковской системы в современных экономических условиях», 17-18 декабря 2019. Брянск, Брянский государственный университет им. И.Г. Петровского.
4. Мартынов С., Новиков А. (2013). Оценка рисков хищений как актуальное направление в безопасности бизнеса. М.: ACFE.
5. Соколова Е.Ю. (2018). Принципы управления компла-енс-риском в кредитных организациях // Аллея науки. № 9(25).
6. Gontarek W. (2016). Risk governance of financial institutions: The growing importance of risk appetite and culture // Journal of Risk Management in Financial Institutions. T. 9. Vol. 2. P. 120-129.
7. Graham L. (2015). Internal control audit and compliance: documentation and testing under the new COSO framework. New Jersey: John Wiley & Sons.
8. Hopkin P. (2018). Fundamentals of risk management: understanding, evaluating and implementing effective risk management. New York: Kogan Page Publishers.
9. Kim A.C., Lee S.M., Lee D.H. (2012). Compliance risk assessment measures of financial information security using system dynamics // International Journal of Security and Its Applications. Т. 6. Vol. 4. P. 191-200.
10. LiebergenB. van (2017). Machine Learning: A Revolution in Risk Management and Compliance? // Journal of Financial Transformation. T. 45. P. 65-72.
11. Moeller R.R. (2011). COSO enterprise risk management: Establishing effective governance, risk, and compliance processes. Vol. 560. New Jersey: John Wiley & Sons.
12. Molak V. (1997). Fundamentals of risk analysis and risk management. Boca Raton, FL, USA: Lewis Publishers. Р. 233-245.
13. Nicolas S., May P. V. (2017). Building an effective compliance risk assessment programme for a financial institution // Journal of Securities Operations & Custody. № 9(3). Р. 215-224.
14. A new approach for managing operational risk (2010). Towers Perrin & OpRisk Advisory. P. 10-17. URL: https:// www.soa.org/globalassets/assets/Files/Research/Projects/ research-new-approach.pdf.
15. Ramakrishna S. (2015). Enterprise compliance risk management: An essential toolkit for banks and financial services. Vol. 641. Singapore: John Wiley & Sons.
7 Кодекс поведения Группы VEON (2019). URL: http://static.beeline.ru/upload/contents/297/Kodeks_povedenija_veon.PDE
8 Яндекс обновил правила корпоративной этики для сотрудников и внешних партнёров компании (2020) // Yandex.ru. 10 марта. URL: https://yandex.ru/company/press_ releases/2020/2020-03-10.
9 Кодекс деловой этики Ашан Ритейл. URL: https://auchan-supply.ru/ethics-hotline/kodeks-delovoy-etiki/.
10 ЕвроХим - ВолгаКалий (2018). Политика по вопросам обеспечения выполнения нормативных требований (комплаенс). URL: https://www.eurochemgroup.com/ru/legal-and-compliance/.
REFERENCES
1. Bulyga R.P., Kupriyanova L.M. (2015). Otsenka komplayens-riskov [Assessment of compliance risks]. Ekonomika. Biznes. Banki [Economics. Business. Banks], 3, 16-32.
2. Vzglyad na riski. Upravleniye riskami «naperedovoy» [Risk in review. Managing risk from the front line] (2017). PWC. URL : https : //www. pwc. com/ee/et/publications/pub/pwc-2017-risk-in-review-study.pdf.
3. Komarova E.O. (2020). Otsenka i raschet komplaens-riska. Materialy II mezhdunarodnoy nauchno-prakticheskoy konferentsii "Tendentsii i perspektivy razvitiya bankovskoy sistemy v sovremennykh ekonomicheskikh usloviyakh", 17-18 dekabrya 2019 [Assessment and calculation of compliance risk. Materials of the II International Scientific and Practical Conference "Trends and Prospects for the Development of the Banking System in Modern Economic Conditions", December 17-18, 2019]. Bryansk, Bryansk State University named after I.G. Petrovsky.
4. Martynov S., Novikov A. (2013). Otsenka riskov khishcheniy kak aktual'noye napravleniye v bezopasnosti biznesa [Assessment of theft risks as an important area in business security]. Moco, ACFE.
5. Sokolova E.Yu. (2018). Printsipy upravleniya komplayens-riskom v kreditnykh organizatsiyakh [Principles of compliance risk management in credit institutions. Alleya nauki [Alley of Science], 9(25).
6. Gontarek W. (2016). Risk governance of financial institutions: The growing importance of risk appetite and culture Journal of Risk Management in Financial Institutions, 9(2), 120-129.
7. Graham L. (2015). Internal control audit and compliance: documentation and testing under the new COSO framework. New Jersey, John Wiley & Sons.
8. Hopkin P. (2018). Fundamentals of risk management: understanding, evaluating and implementing effective risk management. New York, Kogan Page Publishers.
9. Kim A.C., Lee S.M., Lee D.H. (2012). Compliance risk assessment measures of financial information security using system dynamics. International Journal of Security and Its Applications, 6(4), 191-200.
10. Liebergen B. van (2017). Machine learning: A revolution in risk management and compliance? Journal of Financial Transformation, 45, 65-72.
11. Moeller R.R. (2011). COSO enterprise risk management: establishing effective governance, risk, and compliance processes. Vol. 560. New Jersey, John Wiley & Sons.
12. Molak V. (1997). Fundamentals of risk analysis and risk management. Boca Raton, FL, USA, Lewis Publishers, 233245.
13. Nicolas S., May P.V. (2017). Building an effective compliance risk assessment programme for a financial institution. Journal of Securities Operations & Custody, 9(3), 215-224.
14. A new approach for managing operational risk (2010). Towers Perrin & OpRisk Advisory, 10-17. URL: https:// www.soa.org/globalassets/assets/Files/Research/Projects/ research-new-approach.pdf.
15. Ramakrishna S. (2015). Enterprise compliance risk management: An essential toolkit for banks and financial services. Vol. 641. Singapore, John Wiley & Sons.
ИНФОРМАЦИЯ ОБ АВТОРАХ
Анжелика Марковна Крепышева
Бакалавр НИУ ВШЭ (Санкт-Петербург).
Область научных интересов: комплаенс, этика бизнеса.
E-mail: likamarkovna@mail.ru
Арина Aндреевна Сергиевская
Руководитель направления по соблюдению деловой этики ООО «Юниливер Русь».
Область научных интересов: комплаенс, этика бизнеса. E-mail: arina.sergievskaia@unilever.com
Максим Анатольевич Сторчевой
Кандидат экономических наук, доцент НИУ ВШЭ, директор Russian Business Ethics Network.
Область научных интересов: комплаенс, этика бизнеса, экономическая теория, менеджмент. E-mail: m.storchevoy@rben.ru
ABOUT THE AUTHORS
Anzhelika M. Krepysheva
Bachelor of NRU HSE (Saint Petersburg). Research interests: compliance, business ethics. E-mail: likamarkovna@mail.ru
Arina A. Sergievskaya
Business conduct leader of "Uniliver Rus" LLC. Research interests: compliance, business ethics. E-mail: arina.sergievskaia@unilever.com
Maxim A. Storchevoy
Candidate of economic sciences, associate professor of NRU HSE.
Research interests: compliance, business ethics, economics, management.
E-mail: m.storchevoy@rben.ru
