Комплаенс-политика в ИТ. Становление, российская специфика, опыт отечественных компаний, комментарии

Комплаенс (англ. compliance - согласие, соответствие, в т.ч. каким-либо внутренним или внешним требованиям или нормам) становится неотъемлемой частью бизнес-этики многих ИТ-компаний. Как проходит процесс становления комплаенс-политики ИТ-компаний, какую роль она играет сейчас, когда придерживаться ее особенно важно, какие сценарии ее дальнейшего развития можно предположить? За виртуальным круглым столом ICT-Online.ru на эту тему беседуют представители компаний ЛАНИТ, «ФОРС – Центр разработки», «Интерпроком», ICL Services и «ИКС Холдинг».

ICT-Online.ru: По вашим наблюдениям, как выстроена комплаенс-политика в ИТ на отечественном рынке? Как исторически проходил процесс ее выстраивания?

Комплаенс-офицер ЛАНИТ Татьяна Журба: Комплаенс-культура в нашей стране находится в стадии становления, в том числе и на ИТ-рынке. Раньше всего комплаенс-функция появилась в российских компаниях, которые работают в сфере финансов и инвестиций, в фармацевтической отрасли и медицине. Но если в финансовом секторе внимание к внутреннему комплаенсу было вынужденным, то представители других областей развивали его сознательно, исходя из собственных потребностей. В компаниях, деятельность которых связана с высокими технологиями, телекоммуникациями, развлечениями, в СМИ комплаенс-культура еще очень молода.

 

Комплаенс-офицер ЛАНИТ Татьяна Журба

 

Особенности развития комплаенса на отечественном рынке обусловлены следующими факторами. Во-первых, тем, что правовая база минимальна. Российский законодатель обязал организации разрабатывать и принимать меры по предупреждению коррупции (Федеральный закон «О противодействии коррупции», ст. 13.3), однако не предусмотрел, какие негативные или положительные последствия ожидают компанию в случае отсутствия или, наоборот, наличия комплаенс-подразделения.

Во-вторых, в нашей стране нет стандартов обучения комплаенс-специалистов, оно возможно только в виде повышения квалификации.

Советник по комплаенсу компании «ФОРС – Центр разработки» (ГК ФОРС) Елена Гаврилова: Комплаенс, в первую очередь, антикоррупционный, к нам принес «скандальный» западный ветер. Именно коррупционные скандалы вызвали в США принятие соответствующих законов. Временной разрыв в появлении такого законодательства у нас огромен. Если в США Закон «О борьбе с коррупцией за рубежом» - Foreign Corrupt Practices Act (FCPA) – был принят еще в 1977 году, то в России Закон «О противодействии коррупции» только в 2008-ом.

 

Советник по комплаенсу компании «ФОРС – Центр разработки» (ГК ФОРС) Елена Гаврилова

 

Говоря о комплаенсе, можно часто услышать о «тоне сверху» как неотъемлемой части любой комплаенс-программы. Это означает, что руководство формирует атмосферу нетерпимости к любым действиям коррупционного характера и к неэтичному поведению. В нашей компании такой тон был задан еще в самом начале 2010-х, когда руководство компании приняло решение о финансировании обучения под эгидой Международной Ассоциации Комплаенса и обособлении функции комплаенса вне структурных подразделений, установив ее прямое подчинение первому лицу компании. Тогда это было делом новым с не вполне ясными перспективами. Но это было стратегическое решение. Потребовалось время, чтобы оценить комплаенс не как модную игру, а как необходимый инструмент управления рисками.

Сейчас можно с уверенностью сказать, что тот западный ветер не зря раздувал наши паруса. Нарушение требований комплаенса может привести к ухудшению или потере репутации, риску ущерба, упущенной выгоде, потере ценных ресурсов, а иногда поставить под вопрос само существование бизнеса. Для компаний, ориентированных на долгосрочный успех, преимущества внедрения комплаенса очевидны.

Руководитель группы внутреннего аудита компании ICL Services Асель Атаханова: Комплаенс-политика в ИТ-компаниях развивается от классических финансового и юридического комплаенса со стороны собственника и соответствующих регуляторов до антимонопольного и антикоррупционного комплаенса, соблюдения законодательства в сфере защиты данных (персональных данных, коммерческой безопасности, интеллектуальной собственности) в зависимости от степени зрелости компании и ее контрагентов.

 

Руководитель группы внутреннего аудита компании ICL Services Асель Атаханова

 

ИТ-директор компании «Интерпроком» Олег Слядников: Я бы сказал, что ИТ и комплаенс работают по принципу кнута и пряника, если ИТ-технологии – это пряник, который помогает компаниям развиваться, то ИТ-комплаенс – это кнут, который подстегивает и направляет работу в правильное русло, помогая избежать серьезных негативных последствий из-за несоблюдения нормативных требований.

 

ИТ-директор компании «Интерпроком» Олег Слядников

 

В иностранных компаниях, которые выводили товары на наш рынок, функция комплаенса была и остается неотъемлемой частью деятельности. При заключении партнерских соглашений с вендорами необходимо подписать разного рода документы, обязывающие вести бизнес по определенным правилам и стандартам деловой этики и практики, учитывая законодательство как страны производителя, так и страны, где ИТ-продукция реализуется. Поэтому я бы сказал, что история российского комплаенса в ИТ начиналась с использования международного опыта предотвращения, прогнозирования, идентификации и управления рисками. Так к нам пришли знания, например, про закон США о коррупции за рубежом (FCPA), стандарты аудита Sarbanes-Oxley (SOX) и другие.

Даже термин у нас продолжают использовать в английском варианте. Само слово «compliance» можно перевести как согласие, соответствие, повиновение, действие в соответствии с указанием.

В настоящий момент внедрение комплаенса с точки зрения закона не является обязательным для большинства российских компаний, в том числе и в ИТ, они могут самостоятельно принимать решение - применять у себя комплаенс или нет. Исключение составляет финансово-банковская сфера, кредитные организации закон обязывает его внедрять.

При этом опыт ряда российских ИТ-компаний, который освещался в прессе, наглядно демонстрирует, что отсутствие контроля и несоблюдение законов, кодексов поведения, инструкций, правил, стандартов может привести к самым серьезным последствиям, таким как применение санкций юридических или регулирующих органов, к финансовым убыткам, потере репутации. Прозрачность и легальность бизнес-процессов в компании зачастую прямо связаны с управляемостью компанией как системой.

В декабре 2014 года опубликован стандарт ISO 19600:2014 по системам управления комплаенс - Compliance management systems. Это своего рода руководство к действию, с точки зрения правового аспекта, он не обязателен к исполнению, но его внедрение дает компании дополнительное конкурентное преимущество.

Отрадно видеть, что сегодня в российских ВУЗах уже готовят специалистов по комплаенсу, есть онлайн-курсы, выросло поколение отечественных специалистов в этой области, появляются компании, которые предоставляют консультационные услуги по комплаенсу, включая ИТ, на порталах с вакансиями можно увидеть запросы на комплаенс-специалистов не только в зарубежные компании, но и в российские.

Эксперты «ИКС Холдинга»: Сейчас термином комплаенс обозначают вопросы соответствия действий организации как внутренним политикам и процедурам, так и внешним нормативно-правовым требованиям. И задача соответствия различного рода требованиям стояла перед ИТ-компаниями всегда, будь то требования системы менеджмента качества, требования ГОСТов или законов. Вопрос в том, как организационно был выстроен процесс, кто управлял им и как он контролировался: были ли внешние контролирующие органы, которые осуществляли приемку, или вопросы ИТ требовали соответствия только внутренним процедурам компании.

 

 

Традиционно на отечественном рынке за данное направление отвечали ИТ-директор, директор по безопасности и специалисты юридического департамента. Однако в последнее время, в связи с тем, что российский рынок стал во многом ориентирован на международные процессы, во многих компаниях выделяется отдельная должность Chief Compliance Officer (CCO), который отвечает за внедрение и контроль требований. А если продукты компании выходят на международный рынок, то важно знать принципы и законы рынков, с которыми компания ведет бизнес. В данном случае Chief Compliance Officer уже носитель огромного количества знаний и должен быстро реагировать на вновь возникающие риски.

Кроме того, последнее время непосредственно законодательство РФ устанавливает все больше требований, которые влияют на развитие бизнеса. Регулярно появляются новые законы, и Compliance Officer становится одним из важнейших игроков в компании, который может оценить влияние закона на бизнес и инициировать выработку шагов, направленных на эффективное управление рисками, возникающими при принятии того или иного закона.

ICT-Online.ru: Какие компоненты комплаенс-политики свойственны именно ИТ-рынку? А какие обуславливает именно отечественная специфика?

Татьяна Журба (ЛАНИТ): На отечественном ИТ-рынке работают игроки нескольких категорий. Это российские компании, которые имеют иностранную материнскую компанию, российские компании, чьи акции обращаются на иностранных биржах, и российские частные компании с российскими собственниками. Эти группы компаний начали внедрять комплаенс в разное время, и побудили их на это разные обстоятельства.

В ЛАНИТ комплаенс выделился в отдельное направление в 2016 году, была разработана и утверждена комплаенс-политика. Позднее был образован комплаенс-комитет, который возглавил президент группы Филипп Генс. В 2020 году было принято решение об усилении комплаенс-функции: учреждена должность штатного комплаенс-офицера, а также расширен состав комитета: в него вошли директора основных структурных бизнес-подразделений (см. интервью раздела «ЛАНИТ» от 20 сентября 2021 г.).

Компании из первой категории получили комплаенс-политику раньше всех остальных в готовом виде «сверху» и имплементировали ее у себя, подстраивая под российские реалии. У этих компаний были база, наработки, понимание, транслируемое от их зарубежных коллег, как внедрять все это внутри организации. В таких компаниях управление комплаенс-политикой ведется из-за границы: руководитель, стоящий над российской комплаенс-командой, - как правило, иностранец, он отвечает за весь Восток или всю Азию, имея достаточно широкие полномочия.

Компании из второй категории для построения комплаенс-системы обычно привлекали консультантов, рассчитывая получить готовые решения. Их комплаенс начался с формальной стороны вопроса, как элемент, без которого нельзя выйти на международный листинг, и только после этого стал как-то подстраиваться под реальные нужды и обстоятельства. В этих компаниях комплаенс-функции обычно находятся в ведении юристов или финансистов.

Третья категория компаний позже всех занялась построением комплаенс-системы. Эти российские частные компании пришли к осознанию ее необходимости органично: выстроенная комплаенс-политика была нужна им для правильной коммуникации с западными вендорами, для создания репутации, а также для «экономии на рисках». Инициатива по внедрению комплаенс-функции приходит в таких компаниях, как правило, «сверху», этот тот самый tone from the top в действии. Часто бывает, что в этих компаниях многие комплаенс-инструменты уже в той или иной степени действуют, но не объединены под единым крылом. Если же учреждается комплаенс-подразделение, они приобретают большую организованность, локальную нормативную базу и рычаги влияния. Как правило, комплаенс-функции здесь подчиняются совету директоров или непосредственно собственникам.

Елена Гаврилова («ФОРС – Центр разработки»): ИТ-рынок – высококонкурентный. Мы развиваем санкционный и вендорский комплаенс, уделяем большое внимание противодействию коррупции, соблюдению антимонопольного законодательства.

Олег Слядников («Интерпроком»): Специфика ИТ заключается в самой специфике этой отрасли и ее бизнес-процессах. Основная цель управления соответствием в ИТ состоит в том, чтобы гарантировать, что ИТ-функции в организациях работают в соответствии с требованиями и обеспечивают эффективное управление необходимыми политиками в ИТ, средствами контроля и стандартами, а также продуманным подходом к управлению ИТ-рисками. Сюда входят такие области, как сбор данных и управление ими, контрольные журналы, рабочие процессы, управление базами данных, безопасность информации и приложений, противодействие мошенничеству, управление ИТ-закупками, доступность систем и предоставление услуг.

Основываясь на своем многолетнем опыте, выделил бы три основных аспекта, на которых был сфокусирован изначально комплаенс в ИТ-отрасли, который был привнесен зарубежными вендорами: лицензионная чистота и борьба с пиратством, правильное ценообразование для конечных пользователей и недопущение коррупционной составляющей в цепочке ИТ-поставок, особенно при работе с государственными организациями. Сегодня к наиболее важным аспектам ИТ-комплаенса добавил бы контроль работы с персональными данными, информационную безопасность и обеспечение работы удаленных пользователей, а также предоставление облачных сервисов, но это тоже глобальные тренды, которые сложно отнести к особенностям отечественного ИТ, несмотря на наличие российской законодательной базы.

С моей точки зрения нет другой отечественной специфики, кроме традиционного «авось» в условиях, когда строгость законов компенсируется слабым контролем их исполнения – это наша общеизвестная специфика, и, к сожалению, она касается не только ИТ.

Эксперты «ИКС Холдинга»: Комплаенс, как и любой другой процесс, имеет схожие компоненты, такие как ответственное отношение руководства к рассматриваемым вопросам, культура компании, управление рисками, контроль и мониторинг. Все эти компоненты в равной степени важны. Однако отечественному ИТ-рынку на текущий момент важно именно построение «культуры» комплаенс, когда и руководство, и сотрудники компании имеют четкое представление о том, с какими угрозами может столкнуться компания в постоянно меняющихся условиях. Кроме того, на отечественный ИТ-рынок в значительной степени влияют законодательные инициативы, которые в некоторых случаях требуют значительных вложений и даже перестройки целых процессов компаний. В последнее время количество данных инициатив возрастает. Яркие примеры таких инициатив и их влияние на бизнес широко обсуждаются в СМИ.

 

 

ICT-Online.ru: Какие формы работы в этой сфере можно назвать традиционными и наиболее распространенными? А какие новые формы работы появляются?

Татьяна Журба (ЛАНИТ): На этапе становления функции традиционным способом остается «выявить и пресечь», но рынок уверенно движется в сторону другого подхода - «научить, внедрить и предотвратить».

К традиционным инструментам относятся проверки. Однако даже их коснулось современное веяние: автоматизация. DLP-системы, которые раньше использовались исключительно службами безопасности, органично слились в некоторых продуктах с технологиями e-discovery. В результате такого слияния родились новые комплаенс-продукты и решения, которые условно окрестили e-compliance. Подобные инструменты позволяют не только анализировать большой пласт данных «по факту» и обнаруживать там уже допущенные нарушения, но и делать такой мониторинг в режиме реального времени, тем самым предотвращая правонарушения (например, не давая отправить письмо или сообщение, содержащее запретный «тэг»). Однако стоить отметить, что эффективность таких систем во многом зависит от корректных настроек, выполненных человеком и применимых к конкретной компании и обстоятельствам. Поэтому эти системы пока запускаются исключительно в «проектном» формате. Хочется надеяться, что в эпоху алгоритмизации и машинного обучения они станут более глобальными, универсальными и смогут закрывать больше вопросов.

Цифровизация также ощущается в переходе от любых бумажных согласований и ознакомлений к электронным: это электронная цифровая подпись, электронные анкеты, платформы, курсы и т.п. Они позволяют мгновенно подписывать документы, рассылать напоминания и оповещения.

Комплаенс, находясь на стыке службы безопасности, внутреннего контроля, юридической службы и кадрового подразделения, использует широкий спектр методов работы, привычных для этих подразделений. Коммуникация с сотрудниками, на мой взгляд, за последнее время сделалась гораздо человечнее, ушел императивно-регуляторный стиль, а дружелюбный тон и креативность получили широкое распространение.

ГК ФОРС придерживается политики превентивного комплаенса, придавая ключевое значение вопросам соблюдения стандартов ответственного ведения бизнеса. Это включает и противодействие коррупции, и повышение уровня прозрачности деятельности компании, и поддержание условий справедливой конкуренции, и неукоснительное соблюдение бизнес-этики. Главным элементом и базовым документом комплаенс-среды является Кодекс деловой этики и корпоративного поведения. Однако, положения по противодействию взяточничеству и коррупции, как приоритетному на государственном уровне, содержатся в еще одном документе – Антикоррупционной политике. Оба они размещены на корпоративном сайте компании.

Елена Гаврилова («ФОРС – Центр разработки»): Можно выделить топ-3 комплаенс-риска: работа с недобросовестными контрагентами, конфликт интересов и подверженность коррупции. Отсюда и основные направления работы: внимательное составление и мониторинг досье по контрагентам в электронной системе документооборота в рамках политики KYC «Знай своего клиента», строгое документирование и контроль трудозатрат и расходов, выявление и адекватное регулирование конфликта интересов, антикоррупционная оговорка в договорах и предотвращение любых попыток получения незаконного коммерческого преимущества. Для сообщений о любых потенциальных нарушениях в системе электронной почты работает горячая линия комплаенс.

Новая форма работы – это ее преимущественная дистанционность и все связанные с этим нюансы.

Эксперты «ИКС Холдинга»: Вопросы комплаенс – вопросы фундаментальные и в данной сфере часто применятся традиционные подходы к организации работы. Даже при применении быстрых схем разработки, agile -подходов и новых инновационных продуктов они должны быть проанализированы, комплаенс риски рассмотрены. Традиционными подходами можно назвать классические анализ бизнес-процессов компании и бизнес среды, тестирование процессов, мониторинг выполнения требований compliance, развитие коммуникаций и осведомленности сотрудников о compliance требованиях.

В текущих тенденциях обработки огромного количества информации, а также постоянно меняющейся окружающей среды ответственные сотрудники просто обязаны также быстро выявлять и реагировать на изменения путем применения в своей практике новых, более продвинутых инструментов мониторинга и анализа. Продвинутые инструменты связаны в большей степени с автоматизацией и дистанционным анализом: онлайн мониторинг контрагентов на регулярной основе, автоматизированные средства контроля, внедрение индикаторов риска.

ICT-Online.ru: Каковы тенденции на ИТ-рынке, связанные с комплаенс-политикой? Ваши прогнозы относительно ее дальнейшего развития в отечественных ИТ-компаниях.

Татьяна Журба (ЛАНИТ): Комплаенс в ИТ-компаниях будет развиваться в тех же направлениях, что и в других отраслях. Но в силу специфики своей деятельности ИТ-компании будут стремиться представить на рынок решения, которые позволят автоматизировать комплаенс-функцию, по максимуму исключить человеческий фактор и сделать контроль совершеннее.

Елена Гаврилова («ФОРС – Центр разработки»): Тенденции развития технологий в отрасли диктуют изменения самой среды. Дальнейшее развитие облачных технологий, шквальный рост количества цифровых продуктов, мобильный банкинг, дистанционное обслуживание и коммуникации дают основание говорить о вероятном направлении вектора развития комплаенса в сторону информационной безопасности; продолжение внешней экономической политики ряда стран будет диктовать необходимость развития санкционного комплаенса.

Если смотреть более глобально, возможно движение, вслед за западными странами, в сторону концепции GRC (governance, risk, compliance), где комплаенс входит в триаду наряду с корпоративным управлением и управлением рисками. GRC – это интегрированная организация корпоративного управления, управления рисками и соответствия требованиям, позволяющая компании действовать этичным образом и в пределах своего риск-аппетита, в соответствии с внутренними политиками и внешними требованиями через взаимосвязь стратегии, процессов, технологий и человеческих ресурсов, повышая тем самым эффективность и результативность своей деятельности. Другими словами, концепция GRC подразумевает ведение бизнеса, основанное на системности, проактивном и риск-ориентированном подходе, обеспечивая устойчивый рост и развитие компании.

Основным достижением компании ICL Services можно назвать внедрение и использование методологии постоянного улучшения, которое идет не только сверху, от руководства, но и от каждого сотрудника. Сотрудников мотивируют соблюдать процессные документы и требования законодательства и клиентов. Ко внутреннему аудиту сотрудники относятся не как к ревизионно-контрольному органу, а как к возможности провести экспертную оценку процесса со стороны и при необходимости получить рекомендации по его улучшению. С этой целью любое подразделение/проект может заказать внутренний аудит (см. интервью раздела «ICL Services» от 9 сентября 2021 г.).

Асель Атаханова (ICL Services): Среди тенденций на ИТ-рынке, связанных с комплаенс-политикой, можно обозначить следующие.

Развитие технологий искусственного интеллекта (ИИ), машинного обучения, аналитики данных и др.), перевод бизнеса в онлайн-формат, рост облачных технологий и ряд других факторов приводят к необходимости уделять больше внимания ИБ-комплаенсу.

Учитывая повсеместное использование интернет-технологий, растущую роль социальных сетей и новостных агрегаторов, высокими становятся репутационные риски: критичными для бизнеса могут стать любые нарушения как этических, так и правовых норм. В этой связи ожидается рост спроса на услуги ИТ-компаний, связанные с мониторингом контента, в том числе с применением ИИ.

Открываются возможности удаленного комплаенс-контроля, аудита: ИТ-компании будут предлагать соответствующие платформы для реализации этих возможностей.

Резюмируя, можно сказать, что динамичный рост продемонстрируют те ИТ-компании, которым удастся подстроиться под новые реалии и требования бизнеса с учетом постпандемийного сокращения бюджетов и снижения спроса на некоторые ИТ-услуги; а также те, кто сможет эффективно управлять своими рисками.

Олег Слядников («Интерпроком»): По мере того как развивается инициатива импортозамещения и форсируется выход отечественных разработок на международный рынок, соответствие международным стандартам будет усиливаться. А с развитием «разумных систем» на первый план будут все больше выходить вопросы, связанные этическими аспектами робототехники и ИИ.

И самое главное, что должно и будет изменяться – это сознание людей. У каждого сотрудника должно войти в привычку работать по правилам, руководствоваться ими при выполнении своих должностных и функциональных обязанностей, не проходить мимо нарушений, своевременно на них реагировать и принимать все возможные меры для их недопущения. И здесь очень важным аспектом является корпоративная культура открытости и высоких этических стандартов, которая поддерживается как личным примером руководящего состава, так и постоянным обучением персонала. Корпоративная идеология будет формировать внутренние нормы и ценности, которые станут для сотрудников не навязанными, а «нативными» и естественными.

Эксперты «ИКС Холдинга»: Становление комплаенс как культуры на отечественном ИТ-рынке находится на начальных этапах развития и только начинает встраиваться в жизнь организации как один из важных процессов организации. Руководство организаций всё больше уделяет внимание данному вопросу, задает «тон» работы в данном направлении. А с учетом все большего внимания внешних регуляторов на аспекты соответствия различным требованиям, а также постоянно меняющейся среды комплаенс практика будет очень динамично развиваться и расти. Функция комплаенс также будет продолжать ориентироваться на подходы, используемые в международных принципах работы, использовать новые автоматизированные инструменты, помогающие быстро реагировать на новые вызовы.

ICT-Online.ru: Большое спасибо за беседу!

Автор: Анна Тумакова.

Тематики: Интеграция

Ключевые слова: ФОРС, ЛАНИТ, Интерпроком, ICL Services , ИКС Холдинг, комплаенс