Указанный документ принят в развитие положений появившегося в 2019 году Закона №9699 “Об ответственности юридических лиц за подкуп, транснациональный подкуп и другие преступления” (далее – Закон). Согласно данному Закону, организации в Коста-Рике теперь несут уголовную ответственность за коррупционные преступления, совершенные от их имени или в их интересах их сотрудниками или контрагентами. При этом наличие в организации надлежащих мер по недопущению коррупционных преступлений позволяет претендовать на снижение суммы санкций вплоть до 40%.
Законом также был определен минимальный список таких мер (Модель), который более подробно раскрывает и дополняет принятый Регламент. В документе отмечается, что комплекс таких мер может быть внедрен как самостоятельно, так и как часть иных предусмотренных в организации или группе компаний систем управления.
1. Оценка рисков
При разработке Модели организации необходимо, прежде всего, провести оценку существующих рисков, которые могут повлечь за собой совершение преступлений, предусмотренных статьей 1 Закона (взяточничество внутри страны и за рубежом, фальсификация финансовых отчетов и иных документов с целью сокрытия неправомерной деятельности).
В ходе проведения оценки рисков организация должна учесть особенности своей деятельности. Риски, согласно Регламенту, могут быть:
- страновые – распространенность определенных видов преступлений в конкретных странах,
- секторальные – вероятность возникновения рисков в той сфере, в которой ведет деятельность компания,
- риски взаимодействия – риски, проистекающие из отношений, которые организация не может полностью контролировать, таких, как взаимодействие с посредниками, особенно если они получают комиссионное вознаграждение, вхождение в консорциумы и бизнес-альянсы,
- коммерческие – связанные с объемом и суммами совершенных коммерческих сделок и прозрачностью коммерческой деятельности организации,
- связанные с государственным сектором – зависят от степени взаимодействия с государственными должностными лицами в определенных областях деятельности организации.
В качестве источников информации для оценки рисков в документе предлагаются:
- интервью с ключевыми сотрудниками организации (например, выполняющими функции в сфере работы с поставщиками, маркетинга, финансов, внутреннего аудита, представители высшего руководства),
- анализ аудиторских отчетов, телефонных разговоров, имевших место ранее нарушений в данной организации или в аналогичных компаниях либо консультация с юристом, аудитором или иным компетентным специалистом.
Для проведения оценки организация должна разработать критерии оценки. Так, каждый риск подлежит оценке с точки зрения а) вероятности реализации и б) будущего влияния (финансового и репутационного) на организацию. При умножении соответствующих значений получится общая оценка риска, которая может использоваться для установления абсолютного предела, превышение которого считается неприемлемым.
Каждый оцененный таким образом риск должен быть классифицирован в зависимости от требуемых дальнейших действий:
- риск, требующий немедленного принятия мер без дополнительного анализа;
- менее серьезный и потому дающий возможность для более подробного анализа риск;
- риск, не требующий действий по внедрению дополнительных мер контроля.
По итогам проведенной оценки рисков может быть принято решение:
- об отсутствии необходимости принятия мер реагирования (если риск не является критическим и затраты на его устранение, вероятно, превысят выгоду),
- о принятии мер по минимизации риска (принимаются меры контроля по снижению уровня риска до приемлемого уровня),
- о принятии мер по устранению риска (путем прекращения деятельности, которая порождает такой риск; применяется в отношении критических рисков, для которых невозможно принять меры по минимизации).
2. Дью-дилидженс
Организация должна проводить комплексную проверку своих контрагентов, оценивая:
- необходимость и законность услуг, которые они будут предоставлять организации,
- разумность и соразмерность выплат,
- имевшие место ранее случаи ненадлежащего предоставления услуг,
- проведение в отношении них расследований или наличие обвинений во взяточничестве, участие в гражданских разбирательствах, а также факты привлечение к ответственности,
- наличие предупреждений, штрафов, непройденные государственные проверки,
- наличие финансовых трудностей или подача документов о банкротстве, нехватка производственных мощностей, фактическое отсутствие ведущейся деятельности,
- отсутствие официальной государственной, корпоративной, юридической или налоговой регистрации, приостановление коммерческой деятельности, действия лицензий или разрешений более чем на год,
- невозможность подтвердить физическое местоположение сделки,
- принадлежность банковского счета, на который будет производиться оплата услуг контрагента, данному контрагенту,
- возможные связи/влияние государственных органов и организаций, политически значимых лиц и т.д.
Информация, полученная в результате оценки рисков и оценки контрагентов, должна быть должным образом задокументирована в электронном и/или бумажном формате и периодически обновляться.
3. Предупреждение коррупции
Согласно Регламенту, для формирования системы противодействия коррупции в организации должны быть приняты документы:
- регулирующие формальные аспекты: определение этических ценностей, кодекс поведения, политика управления конфликтом интересов, положения о необходимости соблюдения политики организации,
- регулирующие неформальные аспекты: проведение анализа комплаенс-культуры в организации (как минимум ежегодно), включая оценку механизмов предотвращения, обнаружения и реагирования для выявления ненадлежащего поведения, мошенничества, коррупции, несовершенств внутреннего контроля с целью их предупреждения и искоренения,
- четко запрещающие взяточничество и иные предусмотренные статьей 1 Закона преступления, закрепляющие обязательство соблюдения национальных и международных стандартов и внутренних документов организации,
- определяющие доступные конфиденциальные каналы сообщения информации о нарушениях без страха репрессий, процедуру обработки полученной информации и защиты заявителей, а также устанавливающие обязательство о том, что информация о нарушениях сообщается только с уверенностью в ее достоверности и с пониманием последствий нарушения такого обязательства,
- определяющие роль подразделения/лиц, ответственных за комплаенс, и способы связи с ними для работников,
- устанавливающие обязательство внедрять, поддерживать и постоянно улучшать Модель, а также последствия несоблюдения комплаенс-политики организации,
- регулирующие иные меры по снижению рисков совершения правонарушений.
4. Антикоррупционные подразделения
В организации необходимо определить лицо (сотрудника(-ов)/подразделение, внутри или вне организации), которое будут отвечать за контроль за внедрением и соблюдением Модели. Для малых и средних предприятий таким лицом может быть непосредственно высшее руководство организации или основатель, учредитель, владелец, партнер или акционер, отвечающий за управление организацией.
Ответственное лицо/подразделение должно иметь необходимые средства и достаточные полномочия для выполнения своих задач, функциональную автономию в организации, а также прямой доступ к высшему руководство и возможность представления ему отчетов о функционировании Модели и предложений по ее совершенствованию.
5. Рассмотрение жалоб и защита заявителей
При формировании системы раскрытия информации о нарушениях в организации должны быть обеспечены:
- создание легкодоступных и безопасных каналов подачи жалоб,
- информирование заявителей о конфиденциальности их личности,
- наличие процедуры рассмотрения приоритетности, полноты и актуальности информации, классификация жалоб в зависимости от риска,
- наличие процедуры расследования содержания жалоб, а также обеспечения защиты заявителей и свидетелей,
- наличие предельных сроков рассмотрения жалоб, процедуры проведения расследований и выработки рекомендаций по итогам их рассмотрения.
6. Информирование и обучение
Организация должна информировать сотрудников и контрагентов о существующей политике предупреждения правонарушений, а также проводить обучение, в том числе касающееся Модели, принятых в целях ее реализации политик, процедур, процессов и инструментов, ситуаций, когда могут возникать подозрения о нарушениях, порядка информирования о нарушениях, защиты осведомителей, последствий несоблюдения Модели.
7. Санкции
В организации должна быть установлена система санкций для тех, кто не соблюдает комплаенс-политику, как из числа сотрудников организации, так и для различных контрагентов.
8. Мониторинг
Принятая Модель должна поддаваться проверке, контролироваться и оцениваться с целью выявления сбоев, слабых мест, возможностей для улучшения.
9. Аудит
Организация должна проводить внешний аудит финансовой отчетности не реже одного раза в три года, проверяя факты:
- открытия счетов, не зарегистрированных в отчетности,
- проведение операций, не зарегистрированных или неправильно отраженных в отчетности,
- включения в отчетность несуществующих расходов,
- записи расходов с неверным указанием их предмета.
- использования поддельных или измененных документов,
- умышленного уничтожения бухгалтерских документов до установленного законом срока.
Организация также должна проводить внутренний аудит не реже одного раза в год.