Самым распространенным способом выявления нарушений по вопросам комплаенс и корпоративного мошенничества в течение длительного времени остается «горячая линия». Также в 2023 году существенно выросла роль службы безопасности в процессе выявления нарушений – она заняла второе место. Третье место среди самых эффективных способов выявления нарушений занимают проверки комплаенс-подразделений. Такие данные получены компанией Kept по результатам очередного этапа регулярного исследования, посвященного приоритетам развития функции комплаенс в компаниях России и Беларуси в 2023 году. Тема этого исследования – «Способы выявления и особенности расследования комплаенс-нарушений и корпоративного мошенничества».
Благодаря тому что Kept включает вопросы по организации и эффективности работы «горячих линий» в каждое исследование по комплаенс, можно наблюдать эволюцию этого инструмента в компаниях России и Беларуси. Например, постоянный рост доли релевантных сообщений, поступающих на горячую линию, что среди прочего может быть связано с тем, что все больше компаний видят эффективность ее работы.
«В это исследование мы впервые включили вопросы, касающиеся проведения внутренних проверок и расследований, – отметил Игорь Лебедев, партнер, руководитель отдела форензик Kept. – И поскольку задачи, связанные с этими вопросами, составляют существенный объем работы подразделений, обеспечивающих соответствие компаний законодательству и их экономическую безопасность, надеемся, что результаты нашего исследования будут иметь практическую пользу для них».
Основная цель этого исследования – проанализировать особенности реализации мер, направленных на выявление комплаенс-нарушений и корпоративного мошенничества в компаниях России и Беларуси.
В качестве респондентов выступили руководители подразделений комплаенс, служб внутреннего аудита/контроля, безопасности, юридического и финансового департаментов. Опрос проводился в онлайн-формате. Также для целей исследования были использованы данные из открытых источников.
Комплаенс на связи
Самым распространенным способом выявления нарушений по вопросам комплаенс и корпоративного мошенничества уже в течение длительного времени, по мнению респондентов Kept, остается «горячая линия». Доля компаний, отметивших этот способ выявления нарушений в 2023 году, составила 81% и увеличилась на 9% по сравнению с 2020 годом.
Также в 2023 году существенно по сравнению с 2020 годом (на 27%) выросла роль службы безопасности в процессе выявления нарушений – ее отметили 65% респондентов.
Третье место среди самых эффективных способов выявления нарушений занимают проверки комплаенс-подразделений – 62%. При этом внутренние аудиторские проверки, входившие в топ-3 способов выявления нарушений в 2020 году (66%), в 2023 году указали 50% респондентов.
Важно отметить, что 35% компаний в 2023 году выявляют нарушения с помощью автоматизированных инструментов, что на 11% больше, чем в 2020 году. Это может говорить о том, что все больше компаний приходят к автоматизации процесса либо продолжают совершенствовать его.
Проверки руководства, так же как и по данным исследования за 2020 год, являются наименее распространенными среди способов выявления нарушений. Всего 4% респондентов отметили этот инструмент в рамках исследования, что более чем в два раза меньше, чем в 2020 году (9%).
96% респондентов исследования Kept внедрили «горячую линию», которая используется для приема сообщений сотрудников, контрагентов и деловых партнеров компаний.
В 2023 году до 56% увеличилось количество компаний, которые сами поддерживают «горячую линию», – по сравнению с исследованием 2020 года рост составил 13%.
Хотя самым распространенным каналом «горячей линии» по‑прежнему остается электронная почта (у 92% респондентов), увеличилась доля компаний, использующих более современные каналы связи. Для получения сообщений о нарушениях все большее количество респондентов используют онлайн-порталы (84% против 63% в 2020 году) и чат-боты (24% против 3% в 2020 году).
Доля компаний, которые продолжают использовать телефонный номер «горячей линии» и специальные ящики, установленные в офисах и/или на производственных площадках, почти не изменилась в сравнении с предыдущим исследованием и составила 76% и 20% соответственно.
В 2023 году до 56% увеличилось количество компаний, которые сами поддерживают «горячую линию», – по сравнению с исследованием 2020 года рост составил 13%. Одновременно с этим уменьшилась доля тех, кто отдает обслуживание «горячей линии» на аутсорсинг (с 31,5% до 28%), и увеличилось число тех, кто обслуживает ее гибридно (до 12% с 9%).
До 4% (с 11,5%) снизилась доля респондентов, которые используют «горячую линию» материнской компании, что выглядит логично для организаций с иностранным участием на фоне текущей геополитической ситуации.
Преимущественное большинство компаний (92%), как и в прошлом исследовании, обеспечивают возможность отправки анонимных сообщений на «горячую линию».
У 28% респондентов на «горячую линию» поступает более 50% релевантных сообщений, что в два раза превышает показатель 2020 года (14%). Это может говорить о том, что сотрудники компаний стали больше знать о возможностях «горячей линии» и больше доверять ей. Тем не менее так же, как в 2020 году, более трети респондентов отметили релевантными менее 30% сообщений (44% в 2023 году и 40% в 2020 году). Таким компаниям следует уделить внимание не только популяризации работы «горячей линии», но и качеству проведения внутренних расследований сообщений, поступающих на нее.
Чтобы увеличивать долю релевантных сообщений, компании активно внедряют механизмы оценки эффективности работы «горячей линии».
В 2023 году подобную оценку проводили 92% участников исследования (для сравнения: в 2020 году таких респондентов было 73%). В два раза возросла доля компаний (56% против 26% в 2020 году), в которых оценку эффективности «горячей линии» осуществляют комплаенс-подразделения. Также по сравнению с 2020 годом значительно увеличилось количество компаний, в которых в процессе оценки эффективности работы «горячей линии» принимают участие внутренний аудит (с 27% до 44%) и руководство (с 9% до 20%), и в два раза больше компаний стали привлекать внешних консультантов к процессу оценки (16% против 9%).
Анализ по стандарту
В 2021 году вышел международный стандарт ISO 37002:2021 «Управление системами информирования о нарушениях» (Whistleblowing management systems – Guidelines).
В документе рассмотрены принципы и правила организации «горячей линии» на четырех основных этапах:
1. Получение сообщений.
Организации должны создавать понятные, доступные и конфиденциальные каналы для сообщения о нарушениях.
Возможные каналы: личное обращение к руководству или ответственному лицу, по телефону, через онлайн-формы, по email, через мобильное или иное приложение, по почте или специально организованные ящики. По возможности как минимум один из каналов должен быть выведен из‑под менеджмента. Важно, чтобы была предоставлена возможность использовать каналы «горячей линии» во внерабочее время, на разных языках (где применимо), обеспечен должный уровень конфиденциальности и анонимность, а также возможность предоставить дополнительные сведения или документы и т. д.
2. Рассмотрение полученных сообщений, а также обеспечение мер защиты информаторов.
Организация должна обеспечить объективный анализ информации и обязательно его задокументировать.
Полученные сообщения должны категорироваться и приоритизироваться в зависимости от риска (в том числе вероятности нарушения и степени влияния).
Организация должна оценить риск преследования информатора (как он получил данную информацию, кто еще знает об этом, насколько много лиц вовлечено в нарушение и насколько оно существенно по своей сути, каковы отношения/взаимосвязь информатора с нарушителями и организацией и т. д.) и обеспечить его должную защиту.
3. Проведение проверок и расследований по полученным сообщениям.
Сотрудники, которые проводят расследование, должны обладать соответствующим опытом, независимостью от «подозреваемой» функции/сотрудника (в том числе привлекать независимых от организации экспертов).
В рамках расследования важно собрать все доказательства ситуации, задокументировать их должным образом, а также обеспечить хранение и ограниченный доступ к ним. Кроме того, необходимо предоставить сотруднику, в отношении которого проводится расследование, право изложить свою версию произошедшего.
4. Закрытие полученного сообщения.
По итогам обработки сообщения организация должна принять необходимые меры ответственности к нарушителю, а также меры по устранению выявленных недостатков. Также стандарт предусматривает информирование заявителя и иных заинтересованных сторон об итогах обработки сообщения и получения от них обратной связи (при наличии), в том числе использование выявленного кейса в качестве обучающих мероприятий для недопущения подобных ситуаций в будущем.
Как проводят расследование
Все компании, принявшие участие в опросе Kept, проводят служебные проверки и расследования. В качестве основных ответственных за выполнение этой задачи лидируют служба безопасности (77%) и комплаенс-подразделение (62%), около четверти компаний указали также специально создаваемую рабочую группу (23%).
15% отметили подразделение внутреннего аудита/ внутреннего контроля и по 12% проголосовали за юридическое подразделение и отдел кадров.
Респонденты имели возможность выбрать несколько вариантов ответов. Однако некоторые не выделили основное подразделение, отметив, что ответственность за проведение расследований распределена между подразделениями и определяется исходя из характера нарушения.
42% респондентов исследования Kept привлекают внешних консультантов/экспертов для помощи в проведении внутренних расследований в области комплаенс и корпоративного мошенничества, в том числе в случаях:
- комплексных/сложных/длительных расследований (23%);
- расследований в регионах присутствия компании или в ее дочерних обществах (15%);
- расследований, в которых предполагается взаимодействие с правоохранительными органами (15%);
- расследований в центральном аппарате компании (12%).
При проведении расследований в первую очередь компаниям требуются услуги юридических консультантов и/или адвокатов (42% респондентов) и консультантов, которые проводят корпоративные расследования (33% респондентов). Также привлекаются специалисты по внутреннему контролю и аудиту (17%) и представители детективных агентств (8%).
В рамках проведения расследований в дочерних обществах сотрудники материнской компании вовлекаются в отдельные расследования по решению руководства в 31% случаев, во все расследования – в 15%, а если расследование касается руководителя и/или заместителей руководителя дочернего общества – в 8% случаев.
Проверки по регламенту
Как отмечается в исследовании Kept, более чем половина участников исследования (58%) отметили, что в их компаниях процесс проведения проверок и расследований по комплаенс-нарушениям и корпоративному мошенничеству полностью регламентирован, в том числе описаны принципы и этапы, верхнеуровнево отражены ключевые мероприятия, права и обязанности вовлеченных лиц. При этом у 8% разработано специальное руководство по реализации ключевых мероприятий расследования (Investigations Manual), где детально отражен весь процесс. У 27% компаний регламентированы отдельные мероприятия и подпроцессы, что можно воспринимать как частичную регламентацию.
В 2023 году вышел международный стандарт по внутренним расследованиям ISO/TS 37008:2023 «Руководство по проведению внутренних расследований в организациях» (Internal investigations of organizations – Guidance). Он отнесен к серии стандартов по вопросам комплаенс, так как внутренние расследования являются одной из важных составляющих комплаенс-системы.
ISO/TS 37008 предоставляет рекомендации по организации процесса внутренних расследований на основе следующих принципов: независимость, конфиденциальность, компетентность и профессионализм, объективность и беспристрастность, законность.
Стандарт охватывает несколько ключевых этапов проведения внутренних расследований:
1. Назначение ответственных за расследование/рабочей группы, определение порядка их коммуникации и отчетности, а также порядка коммуникации с руководством для обеспечения независимого и объективного расследования.
2. Планирование расследования и определение его объема с учетом имеющейся информации и сообщений, а также процедур, которые должны быть реализованы.
3. Определение мер безопасности и защиты, которые необходимо предпринять в отношении ответственных за расследование, а также его свидетелей и субъектов.
4. Сбор и сохранение доказательств, в том числе анализ документов и проведение интервью.
5. Взаимодействие с внутренними и внешними заинтересованными лицами, в том числе порядок взаимодействия с регуляторами и правоохранительными органами, случаи самостоятельного раскрытия нарушений.
6. Процедуры по закрытию расследования, в том числе отчетность, корректирующие меры и меры ответственности и др.
Проверка достоверности данных – обязательный элемент расследования, но некоторые компании решают выделить его в качестве отдельной предварительной проверки. Подобная процедура является обязательным шагом перед принятием решения о проведении расследования для 31% респондентов. 12% инициируют внутренние расследования без предварительной проверки, а 54% используют гибкий подход и принимают решение о необходимости проведения такой проверки исходя из конкретной ситуации.
Более половины респондентов (52%) из тех, которые проводят предварительную проверку по комплаенс-нарушениям и корпоративному мошенничеству, не включают ее сроки в общие сроки расследования. При этом 46% участников исследования проводят эту процедуру менее чем за 10 дней, 8% – за 21–30 дней, а у 19% сроки не установлены.
Сроки и инструменты
Средняя продолжительность внутренних расследований в области комплаенс и корпоративного мошенничества у большинства респондентов (58%) исследования Kept составляет до 30 дней. Таким образом, мы можем утверждать, что процесс проведения расследований у основной части участников исследования отлажен и выполняется оперативно. 23% респондентов выбрали интервал 31–60 дней, и только у 8% сроки проведения расследований могут превышать два месяца. На практике сроки проведения внутреннего расследования сильно зависят от комплексности и сложности выявленного нарушения.
В рамках проведения внутренних проверок/расследований ответственные лица используют весь основной инструментарий, в том числе проверяют сотрудников на конфликт интересов (92%), анализируют данные различных корпоративных учетных систем (85%), систем согласования договоров (85%) и данных бухгалтерского учета и отчетности (73%), подтверждающую документацию (85%), проводят интервью (81%) и т. д.
Наименее популярным инструментом для проведения внутренних расследований является полиграф – его используют 27% респондентов, большинство из которых являются крупными производственными компаниями из металлургической отрасли и энергетики. Также небольшое число участников исследования Kept (38%) применяют анализ данных экспертных источников.
В рамках проведения внутренних проверок/расследований ответственные лица проверяют сотрудников на конфликт интересов (92%), анализируют данные различных корпоративных учетных систем (85%), систем согласования договоров (85%) и данных бухгалтерского учета и отчетности (73%), подтверждающую документацию (85%), проводят интервью (81%).
В качестве основного источника информации при проведении внутренних проверок и расследований компании в основном используют корпоративные учетные системы (81%). Также больше половины респондентов используют данные внутренних систем ЭДО, систем видеонаблюдения и контроля управления доступом (СКУД). При этом 23% в рамках внутренних расследований не имеют доступа к внутренним системам и могут получать необходимую информацию исключительно по запросу у соответствующих подразделений компании. То есть большинство участников исследования полагаются на предоставляемые им данные, что может привести к риску их фальсификации.
Автоматизация в помощь
Более половины респондентов исследования Kept внедрили элементы автоматизации в процесс проведения внутренних проверок и расследований.
Чаще всего автоматизируются реестры сообщений на «горячую линию» и расследований, позволяющие среди прочего отслеживать их статус, категорировать по тематике, подразделениям, в которых произошел инцидент, и т. п. Многие компании с помощью автоматизированных инструментов также проверяют сотрудников и контрагентов (46%).
С учетом того что 65% респондентов проводят анализ данных рабочей почты, рабочих мобильных и других устройств, практически половина из них используют соответствующее программное обеспечение (27% всех участников исследования).
Всего 27% респондентов используют автоматизированные решения для выявления рисковых операций в бухгалтерском учете по настроенным риск-индикаторам – транзакционные антифрод-решения. Возможно, это связано с тем, что 23% не имеют прямого доступа к внутренним системам организации (в том числе бухгалтерским), отмечают в Kept. Кроме того, такие решения могут быть непопулярными в связи с высокой стоимостью их внедрения и поддержки. Это может быть целесообразно для компаний, которые сталкиваются с массовыми нарушениями, например, для тех, кто занимается электронной коммерцией, где антифрод-решения собирают и анализируют аномалии в поведении пользователей различных каналов обслуживания клиентов, с помощью обучаемых алгоритмов блокируют или выводят оповещения о рисковых операциях.
В целом, по нашему мнению, внедрение в деятельность организаций транзакционных антифрод-решений в ближайшем будущем является очень перспективным, учитывая развитие технологии искусственного интеллекта, на которой эти решения могут быть основаны. Это также подтверждается тем, что 46% участников исследования отмечают нехватку автоматизированных решений по отслеживанию риск-индикаторов в деятельности компании.
Всего 12% респондентов исследования Kept используют программы для проверки подлинности документов. Это может быть связано с тем, что в большинстве случаев ответственные лица в рамках расследования осуществляют такую проверку вручную – визуальный анализ документов на предмет отсутствия признаков подделки и фальсификации, анализ метаданных документов и т. д.
Самый неоднозначный результат Kept получила, опросив респондентов о доле расследований, по итогам которых подтвердились нарушения.
На этот вопрос выявить преобладающий процент практически невозможно. Только у 4% респондентов доля расследований, по итогам которых подтвердились нарушения, составила более 71%. У 8% этот показатель варьировался от 51 до 70%. У 19% он составил 36–50%. Компании, для которых доля расследований, по итогам которых нарушения подтвердились в случаях от 21% до 35%, от 11% до 20% и меньше 10%, различается незначительно и составили соответственно 15%, 12% и 15%.
А судьи кто?
У 85% компаний получателем результатов проведенных внутренних проверок и расследований в области комплаенс и корпоративного мошенничества является генеральный директор, у 58% – комиссия по этике/комплаенс или другой аналогичный орган, а у 35% – заместитель генерального директора по профильному направлению. По 27% респондентов передают результаты совету директоров и правлению.
Лишь 12% опрошенных компаний публично раскрывают общую обезличенную информацию о внутренних проверках и расследованиях и их результатах, например, на сайте или в отчете об устойчивом развитии. Область проведения расследований ожидаемо остается самой закрытой в компаниях.
Все принявшие участие в исследовании Kept компании реализуют меры воздействия в отношении нарушителей. Спектр этих мер варьируется от более популярных немонетарных (дисциплинарные взыскания, прекращение трудовых отношений) до менее популярных монетарных (взыскание ущерба, депремирование), которые более сложно реализуемы.
69% респондентов отметили, что передают материалы расследований правоохранительным органам. Четверть опрошенных делают это по результатам каждого нарушения с признаками состава преступления, еще четверть передают материалы по отдельным нарушениям по решению руководства.
По итогам проведенных проверок и расследований в области комплаенс и корпоративного мошенничества абсолютное большинство респондентов реализуют мероприятия, направленные на предотвращение подобных нарушений в будущем.
Среди ответственных за исполнение корректирующих мер по итогам проверок и расследований в области комплаенс и корпоративного мошенничества лидирует комплаенс-подразделение (73%), более половины компаний (58%) также отмечают службу безопасности, а 42% – руководителя подразделения, в котором реализуются корректирующие меры. Почти у половины респондентов (46%) контроль за исполнением корректирующих мероприятий берет на себя генеральный директор, а в 15% компаний этот вопрос выносится на уровень выше – в совет директоров или правление.
Большинство респондентов ведут реестры проверок/расследований. Все проведенные проверки/расследования, как в компании, так и в дочерних обществах, в единый реестр вносят 46% респондентов, 35% – только проведенные в компании проверки/расследования.
Вопросы эффективности
Большинство компаний (81%), участвовавших в исследовании Kept, проводят оценку эффективности процесса проверок и расследований по комплаенс и корпоративному мошенничеству. У половины респондентов она проводится в форме периодической самооценки, менее чем у трети – осуществляется независимая проверка эффективности процесса расследований. Отсутствие независимых проверок чревато риском субъективных результатов самопроверки, поэтому мы рекомендуем проводить независимую проверку данного процесса на периодической основе.
Небольшая часть компаний (15%) оценивают эффективность по итогам каждого расследования/проверки, что является хорошим решением для своевременного реагирования на соответствующие проблемы.
Для этого компании разрабатывают КПЭ по проверкам и расследованиям.
По мнению более половины респондентов (54%) исследования Kept, подразделениям, проводящим внутренние проверки и расследования в области комплаенс и корпоративного мошенничества, больше всего не хватает трудовых ресурсов (специалистов). Существенное число участников исследования отмечали недостаток экспертизы для проведения расследований: 35% – нехватку профессионального обучения и тренингов для сотрудников, проводящих расследования, 31% – посещения специализированных семинаров и конференций такими сотрудниками, а 23% респондентов отметили, что им не хватает привлечения независимых консультантов/ внешних экспертов в рамках проведения расследований. Опрошенные также отметили недостаточное содействие топ-менеджмента в процессе расследования (27%) и нехватку полномочий (15%).
Что касается автоматизации, то около половины респондентов (46%) отметили недостаточное количество автоматизированных решений по отслеживанию риск-индикаторов в деятельности компании, а 38% – нехватку автоматизации процесса проведения расследований.
В автоматическом режиме
Бесспорным трендом в проведении корпоративных проверок и расследований является автоматизация выявления индикаторов злоупотреблений, то есть предотвращение и минимизация их последствий. Важно понимать, что сегодня это единственный эффективный способ борьбы с корпоративным мошенничеством и злоупотреблениями из‑за огромного массива информации, ручной анализ которой попросту нецелесообразен. Так, например, ACFE Fraud Manual описывает более 160 индикаторов мошенничества только в рамках закупочных процедур, а сотрудникам отделов безопасности и комплаенс на согласование ежедневно попадают десятки договоров. Чтобы проверить отсутствие всех индикаторов злоупотреблений вручную, нужно огромное количество времени и сотрудников профильных подразделений (безопасности, комплаенс), что в конечном итоге приведет к чрезмерно раздутому штату.
Тем не менее в Kept отмечают, что в эпоху электронного документооборота в ИТ-системах компании собирается достаточно данных, чтобы разработать и внедрить алгоритмы выявления злоупотреблений.
В Kept также подчеркнули, что надеются увидеть все больше компаний, использующих элементы автоматизации проведения проверок и расследований в следующем комплаенс-исследовании.
Подготовила Славяна РУМЯНЦЕВА