Учитывая разброс ваших ответов в примере выше, привожу правильный расчет долей участия каждого лица в Компании «X»

Лицо 1⃣: 100% * 24% = 24%
Лицо 2⃣: 100% * 0,35 * 0,76 + 15% * 0.65 * 0.76 = 34,01%
Лицо 3⃣: 0,52 * 0,65 * 0,76 = 25,69%
Лицо 4⃣: 0,33 * 0,65 *0,76 = 16,3%

✅ Соответственно, ответ: лицо 2, лицо 3, лицо 1, лицо 4.

❗Очень важно уметь правильно определять участников и их доли для понимания бенефициаров и адекватной оценки и управления риском взаимодействия с контрагентом.

Ирина Бурдикова I #duediligence

Немного интересного лонгрида 😉

Ниже - основные результаты свежего исследования Compliance leadership Redefined 2023, которое проводилось среди 200 руководителей функции по комплаенс и этике по всему миру (кроме России и ее ближайших соседей) и включает 4 основных раздела:

Раздел 1⃣. Недостаточность полномочий комплаенс-ответственных:

🔺 38% комплаенс-ответственных обладают достаточной независимостью для предоставления честной обратной связи по эффективности комплаенс-мер в организации.

🔺33% комплаенс-ответственных имеют достаточно влияния, чтобы быть сильным партнером для бизнеса в решении конкретных бизнес-вопросов.

🔺В 61% организаций есть руководители по комплаенс и этике.

🔺56% респондентов считают, что они отчитываются перед верными людьми в организации.

🔺Всего 36% респондентов считают, что их роль и обязанности четко определены, при этом 26% - что высшее руководство четко понимает роль комплаенс-функции. Только 34% комплаенс-ответственных считает, что у них достаточно времени для общения и отчетности перед руководством.

🔺Почти половина комплаенс-ответственных не считают, что приоритеты их деятельности увязаны с приоритетами высшего руководства.

🔺59% респондентов считают, что руководство больше заинтересовано в результативности, чем в эффективности мер.

🔺41% респондентов чувствует давление и поэтому преуменьшает риски в рамках своих отчетов перед советом директоров / правлением.

✅ Здесь хотела бы отметить, что комплаенс важно не снимать с себя ответственность за построение партнерских отношений с высшим руководством и руководителями подразделений. Для этого нужно понимать, чем комплаенс может быть им полезен в решении именно их задач, а не в целом каких-то общих рисков и уж точно не в решении задач, стоящих перед комплаенс. Продемонстрируйте ценность комплаенс для руководителя подразделения через практические примеры из его сферы и той реальной ценности, которую можете ему дать. Важно всегда помнить про принцип win-win.

Раздел 2⃣. Сложности в демонстрации ценности комплаенс-функции для ее роста:

🔺В связи с ростом комплаенс-требований регуляторов роль и обязанность комплаенс-функции возрастают. 51% респондентов отмечают рост популярности комплаенс-вопросов на заседаниях комитетов и совета директоров в последние 12 месяцев. 48% говорят об увеличивающемся контроле за комплаенс-политиками и процедурами и дотошности внешних проверяющих в последние 12 месяцев. В связи с чем 72% организаций планируют увеличить расходы на комплаенс в ближайшие 1-2 года, 79% - в ближайшие 3-5 лет.

🔺С учетом роста комплаенс-бюджетов руководители естественно (49% случаев) хотят понимать отдачу от инвестиций (ROI, return on investment) в комплаенс-функцию, и видеть реальный результат от комплаенс-мер. Однако, большинство комплаенс-ответственных до конца не понимают, как продемонстрировать ROI по своей деятельности.

🔺Для демонстрации эффективности своей работы комплаенс-ответственные часто говорят о выявленных нарушениях (49%), результатах интервью по этике и комплаенс при найме и увольнении сотрудников (45%) и доли обученных сотрудников / результатах прохождения ими тестов по итогам обучения (41%). Однако эти данные напрямую не говорят о финансовом влиянии, или о том, что же реально изменилось.

🔺97% комплаенс-ответственных согласны с тем, что было бы здорово считать ROI по деятельности комплаенс-функции, но нет какого-то установленного подхода к этому.

Топ-3 метода для оценки ROI:
42% - размер потенциально потерянной выручки из-за нарушений и несоблюдения комплаенс
36% - изменения в удержании сотрудников (employee retention)
33% - количество нарушений и размер уплаченных штрафов.

🔺В среднем всего 22% респондентов используют ROI для демонстрации результатов своей работы, при этом если в организации нет руководителя по комплаенс - то в 34%, а если руководитель есть - то всего в 12% случаев. Интересная закономерность.

Продолжение 👇🏻

Ирина Бурдикова I #комплаенсисследования

Продолжение

Не стоит забывать, что комплаенс создает комплаенс-культуру, которую также можно измерить и использовать как одну из частей ROI.

Раздел 3⃣. Недостаточность внутренней заинтересованности для поддержания комплаенс-культуры:

🔺84% говорят, что их организации в прошлом пострадали от комплаенс-инцидента.
Топ-5 последствий: 1) снижение морального климата среди сотрудников; (2) расследования со стороны регуляторов; (3) финансовые штрафы; (4) повышенная текучесть кадров; (5) негативный эффект для репутации компании.

🔺Основные сложности, при управлении комплаенс-программами:
29% - недостаток ресурсов (сотрудников, инструментов, технологии)
22% - Недостаток партнерства со стороны различных руководителей департаментов в организации
21% - объем и скорость регуляторных изменений
20% - комплаенс не встроен в миссию, видение и ценности организации
19% - культурные особенности в организации

🔺Корпоративная культура – отражение подхода руководства, а значит его приверженность этике и комплаенс является основой сильной корпоративной культуры. 36% респондентов уверены, что культура их организации поддерживает и поощряет деятельность функции по этике и комплаенс, а 30% говорят, что организация поддерживает комплаенс до тех пор, пока это не мешает зарабатывать деньги и выполнять операционные цели.

🔺Сложности в усовершенствовании культуры этики и комплаенс: (1) недостаточное знание / понимание политик и процедур, регулирующих соответствующее поведение; (2) страх преследования / мести; (3) этика и комплаенс не связаны со стратегией и KPI (40%); (4) недостаточные ресурсы; (5) конфликтующие инициативы и приоритеты (35%).

Раздел 4⃣. Становление комплаенс неотъемлемой частью организационной культуры:

🔺Чтобы быть успешной комплаенс-функция должна быть частью бизнеса – его партнером. К сожалению, по факту часто комплаенс функция исключена из важных обсуждений и переговоров, регулярных встреч по бизнес-деятельности или целям организации. Так постепенно комплаенс отдаляется от бизнеса и начинает восприниматься как что-то ненужное или номинальное (paper compliance).

🔺Способы встраивания комплаенс в организационную структуру организации:
48% - этика и комплаенс – часть процесса найма новых сотрудников
41% - этика и комплаенс – часть миссии или ценностей организации
35% - комплаенс-обсуждения – часть годовой оценки результатов работы персонала
34% - руководство регулярно коммуницирует по вопросам этики и комплаенс
31% - комплаенс-цели – часть бизнес-задач и целей организации
28% - комплаенс-обсуждения – часть годовых встреч по итогам деятельности организации
27% - этика и комплаенс – часть регулярных бизнес-обсуждений
27% - этика и комплаенс – часть программ профессионального развития
27% - комплаенс-обсуждения регулярно проводятся отдельно от годовых встреч по итогам года.

🔺 Способы оценки комплаенс-культуры, используемые организациями:
50% - обсуждения /интервью с высшим руководством
48% - общие исследования / интервью с сотрудниками
41% - обсуждения / интервью с менеджерами
37% - интервью 1 на 1 с сотрудником
36% - всесторонняя оценка культуры
29% - обсуждения в рамках круглых столов с сотрудниками.

🔺Топ 5 «голосов», доносящих информацию по этике и комплаенс:
43% - комплаенс-руководитель или сотрудник
27% - руководитель организации (CEO)
27% - руководитель юридического подразделения
21% - руководитель по управлению персоналом
18% - менеджеры.
✅ Очень важно как раз делать ставку на менеджеров / непосредственных руководителей сотрудников, так как именно они ближе к ним и могут понятным для их сотрудников языком обсуждать и объяснять комплаенс-вопросы.

❗ Коллеги, согласитесь, интересно посмотреть на динамику комплаенс в наших странах, поэтому обязательно пройдите опрос Kept выше 😉

Ирина Бурдикова I #комплаенсисследования

Полный текст исследования (на англ.).

Ирина Бурдикова I #комплаенсисследования

Успешная коммуникация с руководством – один из ключей к успеху для комплаенс, как в целом и для любого другого сотрудника 😊 Мне нравится высказывание, что каждый получает не то, что заслуживает, а то, о чем смог договориться 😎

Сегодня хотела бы поделиться типологией руководителей и соответствующих особенностей взаимодействия с ними, которую узнала на одном из обучений и которая, на мой взгляд, работает на практике.

У каждого из руководителей в модели поведения зачастую присутствует свой мотив или смешение нескольких из них:

1⃣ Безопасность - все решения сосредоточены на том, чтобы избежать риска и ошибок. Обычно это человек-консерватор, ценность его максимальна для акционеров/лидера, когда важно сохранить существующее, не принимать резких необдуманных решений, например, в период неопределенности.

✅ Как продать идею такому руководителю? Делать акцент на том, что это «проверенный способ, мы ничем не рискуем и ничего не теряем», «это простая и надежная методика», «в других компаниях давно применяется и показывает успешные результаты» и т.д. Важно говорить из подхода, что то, что вы предлагаете внедрить не перевернет в компании все вверх дном, а наоборот упорядочит и сделает это основательно и безопасно.

2⃣ Контроль - потребность в контроле, сам во все вникает и принимает решения, могут быть сложности с делегированием.

✅ Как продать идею? Сделайте акцент на том, что ваша идея повысит и упростит управляемость, позволит отслеживать происходящее, повысит эффективность контроля и предотвратить сбои и нарушения.

3⃣ Престиж - потребность в демонстрации высокого статуса и принадлежности к кругу избранных, амбиции.

✅ Как продать идею? Такой руководитель обычно открыт к новым идеям сотрудников и передовым практикам. Поэтому подчеркивайте перспективность вашей идеи, то, что она соответствует лучшему опыту, а также, что позволит обойти другие компании на рынке (или подразделения внутри компании) в каком-то вопросе (то есть стать лидером) и, конечно, положительно повлияет на репутацию и статус руководителя.

4⃣ Самовыражение - потребность в демонстрации своей креативности и уникальности. Разница с предыдущим типом руководителя, что у данного больший акцент на исключительности используемых технологий и методов, нежели чем на статус.

✅ Как продать идею? Только через акцент на исключительности и инновационности методик и технологий, на том, что «ни у кого на рынке этого еще нет», а также на демонстрации дальнейшего развития.

5⃣ Избегание - установка на минимальную активность, желание сэкономить усилия. Зачастую это «выгоревшие» руководители, у которых особо уже нет желания что-либо внедрять и менять.

✅Как продать идею? Конечно, через акцент на том, что внедрение идеи позволит сэкономить усилия или время на выполнение его обязанностей. Также такие руководители обычно расположены к идеям сотрудников, с которыми у них установились дружеские отношения.

Знаете ли Вы своего руководителя, получается ли «продавать» ему Ваши идеи? 😊 Делитесь своим опытом и фишками 🔥

Ирина Бурдикова I #пятничное #коммуникация

Минюст США вводит трехлетнюю пилотную программу по внедрению организациями комплаенс-метрик в системы компенсации сотрудников, которая начнет работать с 15 марта 2023 (Compensation Incentives and Clawbacks Pilot Program).

С указанного периода любые соглашения DOJ с организациями, нарушившими антикоррупционные требования, в рамках уголовного преследования будут содержать условия об обязательном внедрении ими комплаенс-критериев в свою систему компенсаций и бонусов, в т.ч.:

🔺 запрет на выплату бонусов сотрудникам, которые не соблюдают комплаенс-требования;
🔺 дисциплинарные меры ответственности как к сотруднику, который нарушил антикоррупционные требований, так и к его непосредственному руководителю (или руководителю данного направления), если тот знал о нарушениях / умышленно не замечал их (was willfully blind);
🔺 внедрение стимулов для сотрудников, кто демонстрирует полное соблюдение установленных комплаенс-требований.

📌 Требования к составу комплаенс-критериев для каждой организации будут зависеть от специфики уголовного кейса.

❗Организации должны будут отчитываться на ежегодной основе по внедрению и функционированию таких комплаенс-метрик перед DOJ на протяжении всего срока действия соглашения.

❗DOJ предусмотрено возможное снижение штрафа для организации в случае, если она будет принимать меры по возмещению ущерба с виновных сотрудников и их руководителей, которые знали о нарушениях. В частности, штраф может быть снижен на сумму компенсации, взысканной организацией с указанных лиц. Если же организация предприняла все возможные усилия по компенсации ущерба с указанных лиц, но они не увенчались успехом, то на усмотрение прокуроров, штраф может быть снижен на сумму до 25% от той, которую организация пыталась взыскать.

Текст документа 👉🏻 https://www.justice.gov/file/1571416/download

Ирина Бурдикова I #FCPA #правоприменение

На днях выпущено обновленное Руководство Минюста США по оценке эффективности корпоративных комплаенс-программ (Evaluation of corporate compliance programs).

✅ Указанное руководство отражает подход регулятора к анализу и оценке эффективности реализуемых компаниями комплаенс-мер в рамках уголовного преследования за коррупционные нарушения. Документ также активно используется комплаенс-ответственными в качестве ориентира для работы 😉

❗Одно из основных изменений – требования по внедрению организациями внутренних политик и процедур, регулирующих использование личных средств связи и различных мессенджеров для рабочих целей. В частности, организация насколько это возможно должна иметь доступ к данным и сообщениям рабочего характера своих сотрудников на любых устройствах и мессенджерах.

Регулятор уделяет внимание следующим трем факторам:

📌 Каналы коммуникации: Какие электронные каналы коммуникации используют / разрешено использовать сотрудникам организации при исполнении своих должностных обязанностей? Есть ли разница по каналам в зависимости от подразделения и региона присутствия организации и почему? Какие механизмы внедрила организация для управления и обеспечения безопасности и сохранности информации, пересылаемой по данным каналам связи? Какие параметры по сохранению и удалению информации доступны каждому сотруднику в разрезе используемых им каналов коммуникации, что предусмотрено внутренними политиками? Каково обоснование компании в отношении допустимых каналов коммуникации и их настроек?

📌 Внутренние политики и процедуры: Какие политики и процедуры внедрены в компании для обеспечения сохранения данных и информации с устройств, в отношении которых проводится замена? Если в организации есть возможность использования для рабочих целей личного телефона, компьютера или иного электронного устройства сотрудника / виртуального мессенджера, то какие требования по доступу и контролю рабочей информации и коммуникации на таких устройствах установлены во внутренних документах компании и почему? Как по факту они применяются? Есть ли у организации возможность в соответствии с внутренними документами анализировать / проверять рабочую коммуникацию сотрудников на их личных устройствах и в мессенджерах? Какие есть исключения? Есть ли в организации и как фактически соблюдаются требования по выгрузке и сохранению сотрудниками рабочей коммуникации со своих личных устройств на устройства компании?

📌 Риск-менеджмент: Каковы последствия для сотрудников, которые отказываются давать доступ компании к рабочей коммуникации на личных устройствах? Применяет ли компания меры ответственности к таким сотрудникам? Оказывает ли использование личных устройств сотрудников в рабочих целях негативное влияние на комплаенс-программу компании, процесс проведения ее внутренних расследований и возможностей взаимодействия с регуляторами по выявленным нарушениям? И т.д.

🔺 Те, кто проводит внутренние расследования, прекрасно понимает, сколько сложностей возникает из-за использования сотрудниками личных средств связи и мессенджеров в рабочих целях. Внедрение указанных выше правил и процедур организациями, с одной стороны, действительно может упростить жизнь внутренним расследователям, но, с другой стороны, есть ряд законодательных норм и ограничений, особенно в части защиты персональных данных, которые нужно обязательно учитывать, и которые порой сковывают работу подразделений комплаенс и безопасности.

Текст Руководства 👉🏻 https://www.justice.gov/criminal-fraud/page/file/937501/download

Ирина Бурдикова I #FCPA #комплаенс_стандарты_и_рекомендации #антикор_законодательство

🆘 Коллеги, очень нужен контакт эксперта по антикоррупции в Азербайджане.
Есть здесь такие или вдруг у кого-то из вас есть такой знакомый? 😉 (напишите, пожалуйста, в личку - @irina_burdikova)

Большое спасибо за помощь всем откликнувшимся 👍

В международной практике на место классической процедуры KYC постепенно приходит обновленный подход pKYC. Давайте разберемся в чем разница.

В широком понимании KYC – проверка клиентов и иных контрагентов, которая зачастую проводится в определенный момент времени, например, перед заключением договора, или раз в год при длительных соглашениях.
✅ По данным исследований, около 71% контрагентов в странах СНГ изучают контрагента при первичном заключении договора, 36% - проводит проверку контрагентов минимум один раз в три года, 18% - чаще одного раза в год. Более детально по направлениям проверки контрагентов и риск-факторам см. здесь.

✅ pKYC (perpetual KYC) представляет собой постоянный мониторинг уровня риска контрагентов, направленный на выявление новых риск-индикаторов в связи с изменениями в деятельности контрагентов, внешних факторов и особенностей взаимодействия с каждым конкретным контрагентом, демонстрируя для каких контрагентов необходимо провести проверку и/или даже внутреннее расследование (при наличии определенных «красных флажков»).

То есть pKYC подразумевает, что риски контрагентов находятся под постоянным контролем с оповещениями о том, на кого стоит обратить особое внимание и провести углубленную проверку здесь и сейчас, а не в какие-то заранее выбранные моменты времени.

📌 На мой взгляд, pKYC это еще один шаг к системной интеграции комплаенс-контролей в бизнес-процессы для повышения их эффективности и недопущения их оторванности от реальной деятельности и операций компаний.

При этом, конечно, pKYC невозможен без внедрения автоматизированных решений как в сам процесс проверки контрагентов, так и специальных надстроек для выявления риск-факторов в бухгалтерские системы, системы учета договоров и т.д.

❓Слышали про pKYC? Как думаете, насколько возможно внедрение pKYC в наших реалиях в ближайшем будущем?

Ирина Бурдикова I #duediligence #риски_контрагенты

Свежее издание по Legal, Compliance & Ethics для тех, кто хотел бы что-то дополнительно почитать (на англ.) 😉

Ирина Бурдикова | #комплаенс_книги

Коррупционные нарушения стоят на втором месте по скорости нанесения ущерба (по отчету ACFE Report To The Nations 2022). Поэтому организациям важно внедрять инструменты антикоррупционного мониторинга и контроля для максимально быстрого их выявления. А еще скорость выявления подобных нарушений может быть одним из показателей эффективности системы по противодействию коррупции в организации 😉

✅ Необходимость внедрения антикоррупционного мониторинга установлена ISO37001, другими международными стандартами и рекомендациями (в т.ч. ISO37301, Compliance Risk Management: Applying the COSO ERM Framework и др.), а также рекомендациями Минтруда РФ и Росимущества, требованиями иностранного экстерриториального законодательства (FCPA, UKBA, Sapin II).

✅ Мониторинг и проверки предоставляют возможность как выявить нарушения, так и проанализировать эффективность внедренных антикоррупционных мер и усовершенствовать их, не давая системе оставаться статичной с учетом постоянно меняющейся реальности и итогов предыдущей деятельности.

✅ Какие мероприятия по мониторингу могут реализовываться в компаниях и кем?

1⃣ Антикоррупционный мониторинг со стороны комплаенс-подразделения:
а) проверки соблюдения антикоррупционных процедур;
б) проверки на наличие индикаторов коррупционных нарушений, в т.ч. проверки рисковых бизнес-процессов, анализ учета и СМИ (например, на предмет возможных нарушений со стороны контрагентов);
в) мониторинг факторов, оказывающих существенное влияние на коррупционные риски организации и необходимость срочного пересмотра отдельных контролей, в т.ч. с учетом изменений внешней среды и бизнес-решений руководства;
г) оценка комплаенс-культуры и проверка осведомленности сотрудников об антикоррупционных требованиях и процедурах (в т.ч. результатов прохождения ими обучения и ознакомления с внутренними документами, контроль знаний);
д) контроль исполнения антикоррупционной программы;
е) самооценка комплаенс на предмет эффективности реализуемых мер и антикоррупционной программы и т.д.

2⃣ Внутренний аудит, который проводится соответствующим подразделением для контроля за: а) достоверностью финансовой и бухгалтерской отчетности; б) соблюдением внутренних процедур и др.
В рамках указанных проверок могут быть выявлены нарушения антикоррупционных процедур, а также зоны для развития антикоррупционной системы и отдельных контролей. Также ISO37001 предусматривает проведение аудита эффективности антикоррупционной системы на соответствие его требованиям, который может проводиться, например, силами подразделения внутреннего аудита или независимой третьей стороны.

3⃣ Проверки со стороны службы безопасности, которые зачастую проводятся по выявленным индикаторам потенциального корпоративного мошенничества (в т.ч. коррупции) и/или по поступившим сообщениям о подобных случаях.

4⃣ Мониторинг со стороны юридического или комплаенс подразделения изменений применимого антикоррупционного законодательства, его правоприменительной практики, рекомендаций государственных органов и международных организаций по вопросам противодействия коррупции и т.д.

5⃣ Контроль со стороны руководства: а) инициация точечных проверок по отдельным вопросам, связанным с коррупционными рисками и антикоррупционными процедурами; б) рассмотрение отчетности и иной информации по итогам проверок и по результатам внедрения и функционирования антикоррупционной системы.

6⃣ Внешний аудит: в рамках подтверждения финансовой отчетности также могут быть выявлены индикаторы потенциального мошенничества и коррупции.

7⃣ Независимая оценка эффективности антикоррупционных мер рекомендована международными стандартами, т.к. позволяет получить независимый экспертный взгляд, провести бенчмаркинг с аналогичными компаниями на рынке и учесть существующие тренды и ведущие мировые практики.

Также про три основные направления оценки эффективности антикоррупционной системы см. здесь.

📌 В следующих постах более детально рассмотрим подходы и особенности проведения антикоррупционного мониторинга комплаенс-подразделением.

Ирина Бурдикова I #комплаенс_мониторинг

5 базовых ошибок, которые ведут к неэффективности антикоррупционного мониторинга

1⃣ Отсутствие четкого подхода к определению бизнес-процессов / операций, подлежащих мониторингу и, как следствие, реагирование на нарушения, все внимание только нескольким процессам (до остальных руки не доходят), точечные проверки, что не позволяет сделать надежные выводы об эффективности антикоррупционных процедур.

✅ Как исправить:
1) внедрить методологию / регламент мониторинга, закрепив а) что подлежит мониторингу (какие направления, бизнес-процессы, операции, как происходит их выбор); б) кто ответственен за мониторинг; в) используемые методы и процедуры; г) периодичность и сроки проведения; д) когда должны подводиться итоги по результатам мониторинга, на что они влияют и где учитываются, а также кому должны быть предоставлены (например, руководству);
2) раз в год / два (иной адекватный период) разрабатывать план мониторинга, в котором отражать все бизнес-процессы / направления, подлежащие мониторингу, и соответствующий период / сроки (например, что проверяется в I кв., что во II кв. и т.д., т.к. зачастую сложно покрыть все рисковые процессы или операции в одном периоде);
3) указанный план формировать на базе риск-ориентированного подхода, т.е. с учетом результатов оценки рисков, а также ранее проведенных проверок, мониторингов, аудитов и т.д.;
4) оставлять в плане место для незапланированных проверок, чтобы оперативно реагировать на возникающие риски и отклонения – система должна быть живой 😉

2⃣ Неправильно сформированная выборка, например, когда операции для анализа выбираются на случайной основе.

✅ Как исправить:
1) выборка операций должна формироваться по результатам анализа всего массива релевантных данных / операций на предмет возможных риск-индикаторов, отклонений, подозрительных операций, рисковых контрагентов и др. См. информацию по риск-индикаторам тут;
2) важно уделять внимание внедрению автоматизированных решений, позволяющих анализировать операции, используя специальные алгоритмы, на предмет аномалий и индикаторов риска.

3⃣ Отсутствие доступа у комплаенс-подразделения к системе бухгалтерского учета, документооборота, CRM или др., что приводит к необходимости запрашивать информацию у других подразделений, усложняя процесс и сохраняя риск искажения полученных данных.

✅ Как исправить: комплаенс-подразделение должно иметь доступ в бухгалтерскую систему (без возможности внесения изменений) и иные системы организации, информация из которых им используется в рамках мониторинга и проверок.

4⃣ Основная задача – проверить соблюдение контролей и отсутствие коррупционных нарушений без глубокого анализа причин выявленных недостатков и нарушений.

✅ Как исправить:
1) важно работать не только с последствиями, но и выявлять первопричины выявленных недостатков для их устранения – возможно процесс слишком бюрократизирован и усложнен внутренними процедурами, что в итоге приводит к тому, что они не работают, либо наоборот слишком большая вариативность действий, т.к. нет четкого регламента, либо KPI установлены таким образом, что «мотивируют» сотрудников нарушать отдельные антикоррупционные требования для их достижения и т.д.;
2) отслеживать динамику повторяющихся нарушений для более глубокого анализа причин, их устранение.

5⃣ Отчет содержит выводы по итогам мониторинга, но не позволяет понять детали проанализированных операций, использованной методологии, подхода и др.

✅ Как исправить:
1) Для обеспечения проверяемости результатов важно формировать детальный отчет по итогам мониторинга, в котором отражать не только выводы, но и используемые методы анализа, перечень проанализированных операций, причины и основания их выбора (детали по выборке), делать ссылки на подтверждающие документы и данные внутренних систем (с указанием дат, номеров и т.д.);
2) отчет должен быть лаконичным и понятным, обеспечивать причинно-следственную связь;
3) на основе детального отчета важно сформировать короткие выводы для презентации руководству.

Ирина Бурдикова I #комплаенс_мониторинг

Как сформировать выборку, или хорошо бы иметь форензик чуйку 😉

Правильная выборка в рамках антикоррупционного мониторинга и проверок – половина успеха. Нельзя следовать слепому выбору «пальцем в небо» или полагаться на предложения по операциям для проверки от проверяемых структурных подразделений (да, и такое бывает 😅).

Выборке должен предшествовать анализ имеющегося массива данных на предмет возможных аномалий и отклонений. Причем я бы рекомендовала смотреть данные не в разрезе отдельных бизнес-процессов, а во взаимосвязи друг с другом. Например, если анализировать только данные по расходам без привязки к доходам организации, то можно не заметить необоснованный рост расходной статьи, существенно превышающей рост доходной, или связь отдельных сомнительных расходов с полученными госконтрактами, или взаимосвязь в найме определенного сотрудника и заключенного доходного договора и т.д.

Поэтому важный навык для любого комплаенс-ответственного – уметь анализировать большие массивы данных и видеть соответствующие причинно-следственные связи, тенденции и отклонения от них.

✅ Примеры возможных критериев / риск-индикаторов для формирования выборки:

📌 В отношении операций или направления деятельности организации ранее были выявлены нарушения установленных процедур / поступали сообщения на горячую линию и т.д.;
📌 Операция относится к потенциально высокорисковым (например, консалтинговые, маркетинговые услуги, благотворительность, оплата посредникам, получение согласований, взаимодействие с госслужащими и госорганами и т.д.);
📌 Описание или иные существенные данные по транзакции отсутствуют или недостаточны (не позволяют понять ее суть, определить контрагента и т.д.);
📌 Контрагент аффилирован с сотрудником организации (последний или его/ее родственники прямо или косвенно владеют долей, участвуют в руководстве или контроле и т.д.);
📌 Контрагент относится к рисковым, например, зарегистрирован в оффшорной зоне или иной иностранной юрисдикции с повышенным риском, входит в черные списки, создан недавно, небольшая no-name организация, обладает иными рисковыми факторами;
📌 Аномалии в бизнес-тенденциях / отсутствие взаимосвязи в показателях, которые обычно влияют друг на друга / существенные отклонения показателей (финансовых, производственных, иных нефинансовых) от прогнозных и/или от соответствующих показателей в других периодах в отсутствие объективных на то оснований;
📌 Потенциально рисковые операции совершены незадолго до/после других крупных сделок организации;
📌 Цена за единицу товара (работа, услуги) у контрагента значительно отличается от цен других поставщиков;
📌 Предоплата за товары/работы/услуги (с учетом требований организации по этим вопросам);
📌 Сроки оплаты отдельному контрагенту существенно меньше, чем другим;
📌 Оплата наличными, особенно в ситуациях, когда обычно такие операции осуществляются безналично;
📌 Необычная / уникальная / единоразовая операция;
📌 Транзакция сильно отличается от специфики деятельности контрагента и/или от предыдущих транзакций с ним;
📌 Размер операции явно выходит за рамки / признаки возможной экономической необоснованности;
📌 Транзакции, которые несколько раз отменялись и заново проводились в учетных системах организации;
📌 Проводки / операции, сделанные сотрудником, в зону ответственности которого они не входят, или сомнительные операции, совершенные близко к концу отчетного периода;
📌 Признаки дробления крупной операции на несколько мелких;
📌 Неконкурентные / срочные закупки и др.

Делитесь своими лайфхаками в формировании выборки 😉

Ирина Бурдикова I #комплаенс_мониторинг

❗️В марте ФАТФ выпустила обновленное Руководство по определению бенефициарных собственников к Рекомендации 24 (Guidance on Beneficial Ownership for Legal Persons).

Ознакомиться можно по ссылке 👉🏻 https://www.fatf-gafi.org/en/publications/Fatfrecommendations/Guidance-Beneficial-Ownership-Legal-Persons.html

Ирина Бурдикова I #комплаенс_стандарты_и_рекомендации

Как и зачем выявлять «мертвые души» 👻

📌 В практике корпоративных расследований «мертвыми душами» называют номинальных сотрудников, т.е. тех, кто формально числится в организации, но фактически в ней не работает / не выполняет функционал, который требуется от других сотрудников на аналогичных должностях. В зарубежной практике таких сотрудников называют ghost employees (сотрудники-привидения), а у нас они созвучны известному одноименному произведению Н. В. Гоголя, в котором много актуального и по сей день 😊

📌 Какие же риски несут «мертвые души» - прежде всего мошенничества и коррупции, т.к. любые выплаты в пользу таких номинальных сотрудников идут в карман какому-то иному лицу (например, заинтересованному сотруднику организации, либо в качестве незаконных выплат, в т.ч. коррупционных, третьим лицам и др.).

📌 Поделюсь несколькими инструментами выявления "мертвых душ" из своего практического опыта:

✅ Анализ фактического посещения сотрудниками помещений организации и/или захода в их корпоративный аккаунт: сопоставление выгрузок из пропускных и IT систем с данными по спискам текущих сотрудников, выявление сотрудников, которые не проходили или были очень редко. Естественно, выявленные случаи нужно будет дополнительно проанализировать с точки зрения специфики деятельности таких сотрудников, во взаимосвязи с табелями учета их рабочего времени и т.д.

✅ Анализ данных по уходу в отпуска и на больничные в кадровых и бухгалтерских системах – когда сотрудник долго не уходит в отпуск, всегда большой вопрос в отношении причин такого подхода.

✅ Анализ выплат сотрудникам на предмет (1) возможных выплат разным сотрудникам на один банковский счет, (2) выплат, которые существенно отличаются от аналогичных другим сотрудникам / от штатного расписания; (3) выплат, которые не соответствуют количеству отработанных часов и т.д. Результат: выявление аномалий и отклонений в выплатах сотрудникам и их детальный дальнейший анализ для прояснения обоснованности причин.

✅ Анализ штатного расписания на предмет возможных «выбивающихся» или подозрительных позиций и должностей, в т.ч. не соответствующих особенностям организации, размерам ее деятельности, наличие «советников» и т.д.

✅ Анализ выплат уволившимся сотрудникам (не многие выбрали этот вариант в опросе выше) на предмет сумм выплат, существенно отклоняющихся от обычной практики в организации, а также на предмет продолжающихся выплат данному сотруднику после его увольнения и т.д.

✅ Помимо детального анализа данных по кадровому учету также полезно дополнять его анализом взаимодействия с лицами, привлеченными по гражданско-правовым договорам: нет ли существенных пересечений по работам, выполняемых ими и нашими сотрудниками (дублирование), насколько адекватна стоимость за их работы, нет ли случаев выплат таким лицам на банковские счета сотрудников организации, или их аффилированности с сотрудниками и т.д.

Таким образом, проверка на наличие «мертвых душ» является достаточно комплексной и многофакторной, а также подразумевает анализ и сопоставление большого объема данных. Возможно именно поэтому далеко не все организации ее проводят.

Делитесь своим опытом по подобным проверкам 😉

Ирина Бурдикова I #комплаенс_мониторинг

Антикоррупционная коммуникация может иметь обратный эффект.

Антикоррупционные стратегии как на уровне отдельных организаций, так и на уровне государств обязательно включают элемент обучения и информирования по вопросам борьбы с коррупцией. Это важная мера, с помощью которой можно менять сложившиеся подходы и нормы, но важно не перегнуть палку, а также учесть социальные, психологические и иные факторы.

✅ На днях вышел доклад U4 Anti-corruption Resource Centre «Сообщение неправильно понято: почему повышение осведомленности о коррупции может иметь обратный эффект» (Message misunderstood: Why raising awareness of corruption can backfire).

📌 Доклад U4 объединяет результаты 9 исследований в 7 странах, в рамках которых с помощью экспериментов анализировалось влияние антикоррупционной коммуникации (19 сообщений) на убеждения людей о коррупции, их действия и готовность давать взятки. Людей случайным образом делили на 2 группы, участники одной из которых подвергались воздействию коммуникации, затем в рамках симулируемых игр проверялось ее влияние.

❗Исследования показали, что 10 из 19 антикоррупционных сообщений имели обратный эффект (в т.ч. побуждали к коррупции), 7 сообщений не оказали никакого влияния и всего 2 имели положительный эффект (см. таблицу ниже).

📌 Почему антикоррупционная коммуникация может иметь обратный эффект / «эффект бумеранга»?

1) Исследователи предполагают, что когда люди, ранее сталкивавшиеся с коррупцией, слышат о том, что ее много, либо о том, что с ней при этом успешно борются, они укрепляются в своей вере – проблема слишком велика и неразрешима, чтобы ей противостоять и ее решать. Поэтому даже сообщения с «хорошими новостями» о достижениях правительства в борьбе с коррупцией и о том, как граждане могут участвовать в антикоррупционной деятельности, имели обратный эффект, демонстрируя недоверие к коммуникации. Также обратный эффект имеют сообщения со слабой не подтвержденной аргументаций, т.к. опять же не вызывают доверия у аудитории.

2) Обратный эффект оказывают сообщения, которые несут в себе информацию о коррупционных случаях и их последствиях (описательные нормы), т.к. подчеркивают, что многие люди в обществе вовлечены в коррупционную деятельность и извлекают из этого пользу, то есть подсознательно коррупционное поведение становится социально допустимым.

📌 Важно отметить, что 2 сообщения, которые имели положительный антикоррупционный эффект, в исследованиях в Мексике и Папуа - Новая Гвинея, не подтвердили его в других странах (например, не имели никакого эффекта в Нигерии и Албании). Таким образом, пока исследователи не могут сделать вывод о том, какой должна быть антикоррупционная коммуникация, чтобы иметь однозначный положительный эффект.

📌 Стоит отметить, что исследования имели ряд ограничений, в т.ч. не учитывали:
- Кто и как коммуницирует, используемые каналы и методы;
- Как часто и с какой интенсивностью коммуницирует;
- Как коммуникация взаимосвязана с другими реализуемыми антикоррупционными мерами и др.

❗Вывод из доклада: для того чтобы обеспечить безопасность и эффективность антикоррупционной коммуникации, важно проводить предварительный анализ ее эффекта и влияния. Причем для этих целей лучше использовать различные экспериментальные методы, позволяющие учесть влияние коммуникации на подсознание аудитории, т.к. зачастую антикоррупционные сообщения воздействуют достаточно глубоко, и не всегда эффект может осознаваться самим человеком.

🔥 Добавлю от себя - действительно важно обращать внимание на эффект от проведенных тренингов и коммуникаций (через опросы, анализ компаленс-культуры и т.д.), а не только на количество вовлеченных лиц.

И еще не стоит забывать - если коммуникация противоречит ежедневной реальности, люди всегда верят последней, а коммуникация становится пустой, вызывая отторжение и недоверие.

Текст доклада 👉🏻 здесь

Ирина Бурдикова I #комплаенсисследования

Ирина Бурдикова I #комплаенсисследования

Закон Бенфорда как один из инструментов для выявления корпоративного мошенничества

В 1938 американский физик Фрэнк Бенфорд, анализируя большие объемы числовых данных, заметил, что цифра «1» встречается в качестве первой с вероятностью около 30%, а не 1/9, как казалось должна была бы. Аналогичное наблюдение также сделал американский астроном Саймон Ньюком в 1881 – он заметил, что книги с логарифмическими таблицами (тогда ведь не было калькуляторов и компьютеров для расчетов 😊), особенно потрепаны там, где содержатся логарифмы чисел, начинающихся с 1, и целы для чисел, начинающихся на 9.

✅ Закон Бенфорда (Benford’s Law) или закон первой цифры – закон, который описывает вероятность появления определенной цифры в качестве первой, а именно гласит, что первые числа не показывают равномерного распределения – наиболее часто встречаются цифры «1», «2», потом «3», последовательно уменьшаясь до «9».

✅ К чему это я? Если опустить все математические детали, то закон Бенфорда позволяет выявлять фиктивные (поддельные) числа/значения через определение отклонений от распределения. Кстати, помимо выявления корпоративного мошенничества его также применяют для анализа объективности результатов политических выборов 😉

✅ В 2012 вышла книга Марка Дж. Нигрини «Применение закона Бенфорда в судебно-бухгалтерской экспертизе, форензик аудите и выявлении мошенничества» (Benford’s Law Application for Forensic Accounting, Auditing and Fraud Detection), в которой отражены условия для эффективной работы закона:

1. Анализируемый массив данных должен покрывать какой-то единый параметр (например, данные по размеру закупочных операций в рублях или иной валюте);
2. Не должны быть установлены какие-либо минимальные или максимальные значения для данного массива данных (то есть, нет лимитов и ограничений – опять же подходит для анализа операций);
3. Массив не должен состоять из специально присвоенных номеров (например, номера счетов, номера транзакций, номера банковских счетов, номера телефонов и т.д.);
4. Массив должен содержать большее количество небольших данных, чем больших (это как раз характерно для бизнеса, когда большее количество транзакций находится в районе среднего значения, либо ниже него, а существенно отклоняющихся в большую сторону операций гораздо меньше).

❗Итак, закон Бенфорда полезен для выявления следующих нарушений:

🔺 Дробление транзакций и другие схемы, связанные с обходом установленных лимитных ограничений (по сути – одно из частых нарушений в закупках, когда очень хочется обойти сложный закупочный процесс для крупных закупок);

🔺 Схемы с подставными компаниями (фиктивными контрагентами), в рамках которых мошенники «рисуют» фиктивные суммы операций и документы;

🔺 Схемы с фиктивными возвратами, которые кассиры «по кругу» отражают в реестрах;

🔺Схемы с манипулированием финансовой отчетности, в т.ч. в связи с фиктивными продажами и т.д.

Вот так можно попробовать усилить свои автоматизированные анти-фрод решения, дополнительно встроив в них алгоритмы по закону Бенфорда 😉

Ирина Бурдикова I #нескучныйкомплаенс

Бенчмарк-отчет по процессам получения и обработки сообщений

🔥 Делюсь с вами текстом и основными выводами свежего отчета по итогам бенчмаркинга процессов получения и обработки (в т.ч. расследования) сообщений – Benchmark report: Hotline & Investigation Management 2023:

📌 Средний срок рассмотрения и закрытия сообщения (с учетом проведения расследований) – 22 дня, что на 1,7 дня меньше, чем в 2021. При этом 84,2% были закрыты менее чем за 30 дней. Затягивание сроков обработки сообщений подрывает доверие со стороны заявителей, а также несет юридические и финансовые риски для самой организации с точки зрения возмещения возможного ущерба и привлечения к ответственности виновных лиц. В целом, с 2018 наблюдается постепенное уменьшение сроков рассмотрения сообщений с 28 дней до 22 дней в 2022. Рассмотрение анонимных сообщений занимает на 2-5 дней больше, чем неанонимных.

📌 Количество сообщений составило 3,5 на 100 сотрудников, снизившись с 3,9 в 2021.

📌 Только 27% обратившихся захотели остаться анонимными, что на 1% меньше, чем в 2021, и на 12%, чем в 2018. Если доля анонимных сообщений в организации превышает 40-50%, то стоит поработать над восприятием «горячей линии» сотрудниками и их доверием к ее эффективности. Интересно, что самая большая доля анонимных сообщений в энергетической (41%) и технологической (40%) сферах. Причем в последней эта доля увеличивается в последние три года в отличие от всех остальных отраслей. Минимальная доля анонимных сообщений – в телеком секторе (22,7%).

📌 «Горячая линия» остается наиболее популярным средством получения информации о нарушениях – 63% случаев, 20% сообщений передается лично и 17% - через онлайн-формы. В организациях, где меньше 1000 человек, помимо горячей линии (48,5%), также широко распространено предоставление сообщений через онлайн форму (27,3%) и лично (24,2%). Также личное предоставление сообщений распространено в компаниях 5001 – 10000 сотрудников (27%) и 10001 – 50000 сотрудников (26%).

📌 Основная доля сообщений приходит от сотрудников – 54,2%, потом уже от клиентов – 34,6%, в то время как от поставщиков поступает всего 2,1%, анонимно – 2,4%, других лиц – 6,7%.

📌 Как заявители узнают о каналах для информирования: 56,8% - интернет, 16,9% - напечатанные материалы, 19,6% - из уст в уста / по рекомендации, 2,6% - тренинг/обучение, 2,3% - кодекс поведения, 1,8% - другое.

📌 Доля подтвержденных сообщений – 51%, которая постепенно снизилась с 63% в 2018.

📌 Доля сообщений, по которым потребовалась обратная связь с заявителями – 14,9%. Этот показатель, как и многие другие, важно анализировать в совокупности с остальными – он может означать как сложность рассматриваемых сообщений, так и, например, плохую работу операторов в рамках сбора информации и др.

❗Бенчмарк это, конечно, всегда интересно, т.к. помогает сравнивать себя с другими организациями и видеть потенциальные зоны для развития. Но еще важнее регулярно отслеживать динамику соответствующих показателей у себя в организации, т.к. это позволяет увидеть эффект от конкретных реализованных мер и понять их практическую ценность 😉

👉🏻 Текст исследования (на англ.)

👉🏻 Другие обзоры по оценке эффективности «горячей линии» см. в моих постах от 09.11.2022 и 15.06.2022 (исследования Navex), 09.12.2021 (исследование Трансперенси Интернешнл – Р), 02.11.2021 (ISO 37002:2021), 23.03.2021 (исследование ComplianceLine), 21.12.2020 (исследование КПМГ).

Ирина Бурдикова I #комплаенсисследования #горячаялиния