Соответствующее Руководство по внедрению и функционированию модели предупреждения (Lineamientos para la implementación y funcionamiento del modelo de prevención) было подготовлено Управлением по контролю за рынком ценных бумаг (Superintendencia de Mercado de Valores – SMV). Его разработка требовалась в свете вступления в силу в 2018 году Закона №30424 «Об административной ответственности юридических лиц за транснациональное активное взяточничество» (Ley Que Regula La Responsabilidad Administrativa De Las Personas Jurídicas Por El Delito De Cohecho Activo Transnacional), который установил ответственность юридических лиц за коррупционные преступления. Указанный закон также предусматривал возможность освобождения юридических лиц от наказания в случае, если организацией были приняты все надлежащие меры по недопущению совершения преступления, или смягчения санкций в случае, если была внедрена только часть таких мер или соответствующие меры были введены уже после совершения преступления.
Перечень мер при этом включал:
- выявление, оценку и минимизацию рисков;
- назначение независимого лица (лиц), ответственного (-ых) за предупреждение нарушений;
- внедрение внутренних механизмов сообщения о замеченных нарушениях;
- информирование и обучение персонала организации по вопросам предупреждения нарушений;
- постоянный мониторинг и оценка системы предупреждения нарушений.
Принятое Руководство дает более подробные разъяснения, как организациям следует реализовывать предусмотренные законом меры на практике с учетом своих особенностей, и будет использоваться SMV в рамках оценки достаточности принятых мер*.
Так, в Руководстве подчеркивается, что компании, которые хотят внедрить меры по предупреждению нарушений, должны прежде всего опираться на следующие общие принципы:
- принимаемые меры должны учитывать положения законодательства как Перу, так и иных стран, в которых компания осуществляет свою деятельность; компании также следует проводить периодический мониторинг принятых мер на предмет соответствия законодательству;
- руководство, контрагенты и иные заинтересованные лица должны быть вовлечены в процесс формирования культуры доверия, добросовестности, соблюдения требований и этических норм;
- хотя внедрение мер по предупреждению нарушений не является обязанностью организации, при принятии решения о разработке такой системы мер следует обеспечить их внедрение во всех сферах деятельности и на всех уровнях управления компании, не ограничиваясь отдельными элементами модели по предупреждению нарушений или отдельными бизнес-процессами;
- внедряемые меры должны быть понятными для сотрудников, руководства, контрагентов организации, например, они могут быть проиллюстрированы практическими примерами или разъясняться с помощью видеороликов;
- организации следует развивать культуру добросовестности в первую очередь за счет поощрительных стимулов, а не репрессий и санкций;
- организация самостоятельно определяет перечень необходимых мер, порядок их разработки, внедрения и дальнейшей реализации в соответствии со своими потребностями, рисками и иными особенностями.
Кроме общих принципов, Руководство более подробно раскрывает содержание предусмотренных законом мер по предупреждению нарушений, которые могут внедрять организации.
1. Оценка рисков
Для разработки системы мер по предупреждению нарушений организации следует, прежде всего, провести оценку рисков совершения нарушений, возникающих во всех бизнес-процессах, а также при взаимодействии сотрудников компании друг с другом и с контрагентами. Такая оценка включает 4 этапа:
- Подготовительный этап, в ходе которого требуется выделить в рамках деятельности организации все операционные функции, определить составляющие их бизнес-процессы, требующиеся для их реализации обязанности сотрудников и действующие механизмы контроля и надзора за ними.
Для проведения соответствующей работы необходимо назначить ответственных лиц; определить их функции и полномочия; определить область анализа (все процессы и уровни управления организации сразу или только часть); принять документы, устанавливающие порядок выявления, оценки и минимизации рисков; собрать документы, необходимые для работы; обеспечить участие в работе всего персонала организации; назначить лицо или подразделение, отвечающее за надзор за соблюдением процессов управления рисками.
- Этап выявления рисков, на котором необходимо определить виды деятельности, операции и бизнес-процессы, наиболее подверженные риску совершения нарушений, а также те действия, которые могут повлиять на существующие или создать новые риски.
С этой целью на данном этапе выявляются области и/или внутренние и внешние факторы, влияющие на специфические риски, свойственные деятельности данной организации; разрабатывается методология идентификации соответствующих рисков с использованием различных методов (например, мозговой штурм, анализ сценариев, обзор исторических данных, интервью, опросы, анкеты и т.д.); устанавливаются критерии, позволяющие выявлять области/процессы, подверженные рискам; определяются действия или процессы, подверженные наибольшим рискам совершения преступлений (например, использование наличных денег; подарки или знаки внимания, спонсорство; представительские и командировочные расходы; комиссионные выплаты за продажи, заключение договоров с государством, привлечение внешних консультантов и т.п.), а также факторы, влияющие на вероятность их реализации или появление новых рисков; определяются действия и операции, в рамках которых организация взаимодействует с государственным сектором; анализируется наличие у компании операций, предполагающих взаимодействие с организациями из регионов с высокими рисками незаконной деятельности, например, офшорных зон или стран с высоким уровнем коррупции.
- Этап оценки и анализа рисков, в рамках которого организация определяет вероятность реализации рисков, выявленных на предыдущем этапе, и определяет возможности по их минимизации.
Для этого организации необходимо разработать методологию и инструменты оценки рисков; оценить степень подверженности операций и бизнес-процессов рискам (например, составив базу рисков или проведя их категоризацию); установить качественные и/или количественные показатели оценки и критерии для измерения вероятности их реализации; обеспечить постоянство проведения оценки рисков (например, предусмотреть централизованную базу средств контроля, обновляя и улучшая их по мере необходимости).
- Этап минимизации рисков, в ходе которого, основываясь на проведенной оценке, организация принимает меры по предотвращению, обнаружению и минимизации рисков.
С этой целью компании необходимо разработать и внедрить для каждого выявленного приоритетного риска меры или средства контроля для снижения вероятности его реализации или смягчения последствий реализации; ввести систему мер превентивного (оценка контрагентов, двойной контроль согласования платежей, мониторинг назначений и отзыва доверенных лиц или представителей и т.п.), обнаруживающего (средства контроля для последующей проверки произведенных платежей и бухгалтерских записей по счетам, подтверждающим чрезвычайные, необычные расходы и т.п.) и корректирующего (проводимого на основании результатов аудита, внутренних расследований, примененных дисциплинарных и административных санкций, судебных разбирательств) контроля, финансового (запрет на использование наличных денег, уровни утверждения платежей) и нефинансового (оценка различных контрагентов) контроля; предусмотреть усиленный контроль за действиями и операциями, подверженными наиболее серьезным рискам; обеспечить проведение мониторинга результативности, эффективности и адекватности существующих средств контроля для минимизации выявленных рисков.
Оценка рисков должна проводиться как на начальной стадии разработки системы мер по предупреждению нарушений в организации, так и в дальнейшем в случае изменений в деятельности компании, при выходе на новые рынки, запуске новых продуктов/услуг, внедрении новых технологических решений, в случае структурных или организационных изменений или любых иных обстоятельствах, которые могут повлиять на профиль рисков компании.
2. Назначение ответственного лица
Функции по внедрению и обеспечению функционирования модели предупреждения нарушений могут быть возложены на конкретного сотрудника (сотрудников) или на структурное подразделение организации (а в микро-, малых и средних организациях – непосредственно на высший орган управления), а также передаваться на аутсорсинг.
Основная задача такого ответственного лица (подразделения) – обеспечение применения, исполнения, соблюдения и постоянного совершенствования внедренных мер по предупреждению нарушений. Для ее выполнения необходимо обеспечить достаточную автономность, независимость и необходимые полномочия такого лица (подразделения), а также обеспечить его достаточными человеческими, финансовыми и материальными ресурсами, прямым и своевременным доступом к высшему руководству, возможностью участия в принятии стратегических и операционных решений организации, в процессе найма новых и изменении обязанностей действующих сотрудников, поощрять постоянное повышение квалификации такого лица (сотрудников подразделения).
В Руководстве также определены общие квалификационные требования к ответственным лицам, в том числе наличие знаний об особенностях деятельности организации, наличие соответствующего опыта, высокие моральные качества и финансовая состоятельность; организации могут устанавливать собственные требования к таким сотрудникам в соответствии с их размером и характером деятельности.
3. Внедрение механизмов сообщения о нарушениях
Руководство раскрывает примерный порядок действий по разработке и внедрению в организации внутренних каналов сообщения о нарушениях, механизмов защиты заявителей, мер поощрения раскрытия информации о нарушениях, а также процедур внутреннего расследования и применения дисциплинарных мер.
В частности, организации следует определить лицо (подразделение), ответственное за управление каналами подачи жалоб, а также за проведение внутренних расследований (такие функции могут быть в том числе переданы на аутсорсинг); при этом, как отмечено в Руководстве, во избежание конфликта интересов желательно, чтобы это было не то же самое лицо (подразделение), которое выполняет функции по разработке и поддержанию функционирования модели предупреждения нарушений в целом.
После этого компании следует внедрить виртуальные или очные каналы информирования (например, телефонные линии, электронные почтовые ящики, онлайн-система отчетности, форма подачи жалобы через веб-сайт, мобильные приложения, личное обращение и т.д.), которые будут доступны для широкого круга сотрудников и контрагентов, и обеспечить надлежащую регистрацию полученных сообщений. Одновременно необходимо принять меры по обеспечению конфиденциальности или анонимности личности заявителя, конфиденциального и безопасного хранения и обработки других его личных данных.
Кроме того, организациям необходимо предусмотреть меры по защите заявителей, включая запрет на применение в отношении них мер репрессивного, дискриминационного или карательного характера и санкции за нарушение соответствующего запрета, а также иные меры, например, сохранение конфиденциальности (анонимности) даже после завершения расследования или обеспечение юридического представительства в случае необходимости.
Дополнительно организация может предусмотреть меры, стимулирующие сотрудников (контрагентов) к раскрытию информации о нарушениях, как поощрительного характера (повышение по службе, премии, оплата обучения, дополнительные выходные дни и т.п.), так и иные меры, например, публикация внутри организации сведений о дисциплинарных мерах или санкциях, примененных за совершение нарушения, или наложений санкций за раскрытие заведомо недостоверной информации или клевету.
Одновременно с созданием каналов информирования организации следует установить порядок внутреннего расследования полученных сообщений о нарушениях и привлечения к дисциплинарной ответственности лиц, виновных в их совершении. Лица, проводящие такие расследования, должны быть беспристрастны, объективны и независимы, а также обеспечены достаточными ресурсами, а лица, в отношении которых проводится расследование, должны быть обеспечены защитой их основных прав и личных данных и процессуальными гарантиями. Кроме того, организации необходимо внедрит систему мер по обеспечению, защите и хранению информации, документации и других доказательств, собранных в процессе внутреннего расследования, а также обеспечить принятие действий по исправлению или совершенствованию модели предупреждения нарушений в случае подтверждения информации о нарушении, полученной по внутренним каналам информирования.
Наконец, компании следует разработать и внедрить систему надлежащих санкций за совершение нарушений, в том числе назначить лицо (подразделение), ответственное за их определение и применение, обеспечить возможность применения санкций ко всем сотрудникам, вне зависимости от уровня их должности, а также предусмотреть учет наложенных санкций и механизмы контроля их соблюдения.
4. Обучение и информирование персонала
При внедрении модели предупреждения нарушений руководству следует уделить внимание распространению информации о ней среди всех сотрудников и организации периодического обучения для сотрудников всех уровней, а также, при необходимости, контрагентов и иных заинтересованных сторон.
С этой целью организации необходимо выделить достаточные финансовые, материальные, технологические и человеческие ресурсы для организации обучения; создать доступные и удобные каналы информирования сотрудников (контрагентов), например, бумажные брошюры, публикации на сайте, видеоматериалы и т.д., а также разместить в открытом доступе документы, связанные с действующей моделью предупреждения нарушений в организации; обеспечить проведение обучения для всех сотрудников и руководителей, в том числе только принятых на работу, контрагентов и иных заинтересованных сторон, которое может быть дифференцировано в зависимости от бизнес-процесса, области деятельности организации и их подверженности риску совершения преступлений либо от уровня должности и функций сотрудников; принимать меры по мониторингу и совершенствованию информационных материалов и процесса обучения, а также их эффективности; а также разработать каналы обратной связи в случае возникновения у сотрудников (контрагентов) вопросов по внедрению и реализации мер по предупреждению нарушений.
5. Оценка и мониторинг
Как отмечено в Руководстве, модель предупреждения нарушений является процессом динамического и нестатического характера, что подразумевает необходимость ее адаптации, изменения и совершенствования по мере накопления опыта ее реализации, а также с учетом происходящих в деятельности организации структурных, организационных, операционных и нормативных изменений. В этой связи организация должна предусмотреть механизмы обратной связи для широкого круга участников, а также иные меры, необходимые для мониторинга эффективности реализации модели предупреждения нарушений и своевременного принятия мер по ее совершенствованию.
Для этого лицо (подразделение), проводящее мониторинг, должно быть обеспечено доступом ко всей необходимой информации и документации (контрактам, отчетам, бухгалтерской и финансовой документации, записям встреч, электронной почте и т.п.). В ходе проводимого мониторинга должна проводиться оценка, мониторинг и/или периодический надзор за эффективностью модели предупреждения нарушений, оценка эффективности сотрудников и руководителей в части соблюдения такой модели, приниматься меры по совершенствованию модели (обновления и/или принятия дополнительных мер или средств контроля, а также отказ от неэффективных или неприменимых мер), а также проводиться встречи с сотрудниками и руководителями организации, необходимые для получения обратной связи.
Оценка модели предупреждения нарушений должна проводиться не реже раза в год и может осуществляться как сотрудниками компании, так и привлекаемыми для этого сторонними организациями.
6. Оценка контрагентов
Кроме элементов модели предупреждения нарушений, определенных Законом, Руководство предусматривает еще одну важную составляющую такой модели – проведение оценки контрагентов, включающей:
- сбор общей информации о контрагентах организации;
- получение сведений о наличии моделей предупреждения нарушений у таких контрагентов;
- сбор информации об акционерах контрагентов, его сфере и географии деятельности с целью выявления возможных конфликтов интересов;
- сбор информации о привлечении контрагентов к ответственности и наложении на них административных или уголовных санкций, поиск информации о них в «черных» или «серых» списках лиц, причастных к совершению преступлений, или связей с такими лицами;
- получение данных о финансовом состоянии и кредитной истории контрагентов;
- анализ связей контрагентов с политически значимыми лицами;
- осуществление очных визитов к контрагентам для того, чтобы познакомиться с ними, анализ информации о них, полученной от их бизнес-партнеров или собранной в рамках интервью/анкетирования.
*SMV было определено органом, ответственным за оценку внедрения и реализации моделей предупреждения нарушений в организациях, проводить которую ведомство будет при поступлении соответствующего запроса от органов прокуратуры, ведущих расследование или осуществляющих уголовное преследование юридического лица. В ходе оценки орган вправе запрашивать у организации любую информацию, документы, проводить инспекционные визиты, опрашивать свидетелей и собирать показания, а также осуществлять любые иные действия, необходимые для оценки внедрения и функционирования моделей предупреждения нарушений. По результатам такой оценки SMV готовит Технический отчет (Informe Técnico) и направляет его прокурорам.
При этом на подготовку Технического отчета у ведомства будет всего 30 дней: как представляется, установление такого короткого срока не позволит проводить достаточно тщательную оценку принятых организацией мер, и, как следствие, процесс подтверждения достаточности мер по предупреждению нарушений в Перу рискует стать простой «профанацией».