Комплаенс-политика в ИТ. Становление, российская специфика, опыт отечественных компаний, комментарии

ICT-Online.ru: По вашим наблюдениям, как выстроена комплаенс-политика в ИТ на отечественном рынке? Как исторически проходил процесс ее выстраивания?

Комплаенс-офицер ЛАНИТ Татьяна Журба: Комплаенс-культура в нашей стране находится в стадии становления, в том числе и на ИТ-рынке. Раньше всего комплаенс-функция появилась в российских компаниях, которые работают в сфере финансов и инвестиций, в фармацевтической отрасли и медицине. Но если в финансовом секторе внимание к внутреннему комплаенсу было вынужденным, то представители других областей развивали его сознательно, исходя из собственных потребностей. В компаниях, деятельность которых связана с высокими технологиями, телекоммуникациями, развлечениями, в СМИ комплаенс-культура еще очень молода.

Комплаенс-офицер ЛАНИТ Татьяна Журба

Особенности развития комплаенса на отечественном рынке обусловлены следующими факторами. Во-первых, тем, что правовая база минимальна. Российский законодатель обязал организации разрабатывать и принимать меры по предупреждению коррупции (Федеральный закон «О противодействии коррупции», ст. 13.3), однако не предусмотрел, какие негативные или положительные последствия ожидают компанию в случае отсутствия или, наоборот, наличия комплаенс-подразделения.

Во-вторых, в нашей стране нет стандартов обучения комплаенс-специалистов, оно возможно только в виде повышения квалификации.

Советник по комплаенсу компании «ФОРС – Центр разработки» (ГК ФОРС) Елена Гаврилова: Комплаенс, в первую очередь, антикоррупционный, к нам принес «скандальный» западный ветер. Именно коррупционные скандалы вызвали в США принятие соответствующих законов. Временной разрыв в появлении такого законодательства у нас огромен. Если в США Закон «О борьбе с коррупцией за рубежом» - Foreign Corrupt Practices Act (FCPA) – был принят еще в 1977 году, то в России Закон «О противодействии коррупции» только в 2008-ом.

Советник по комплаенсу компании «ФОРС – Центр разработки» (ГК ФОРС) Елена Гаврилова

Говоря о комплаенсе, можно часто услышать о «тоне сверху» как неотъемлемой части любой комплаенс-программы. Это означает, что руководство формирует атмосферу нетерпимости к любым действиям коррупционного характера и к неэтичному поведению. В нашей компании такой тон был задан еще в самом начале 2010-х, когда руководство компании приняло решение о финансировании обучения под эгидой Международной Ассоциации Комплаенса и обособлении функции комплаенса вне структурных подразделений, установив ее прямое подчинение первому лицу компании. Тогда это было делом новым с не вполне ясными перспективами. Но это было стратегическое решение. Потребовалось время, чтобы оценить комплаенс не как модную игру, а как необходимый инструмент управления рисками.

Сейчас можно с уверенностью сказать, что тот западный ветер не зря раздувал наши паруса. Нарушение требований комплаенса может привести к ухудшению или потере репутации, риску ущерба, упущенной выгоде, потере ценных ресурсов, а иногда поставить под вопрос само существование бизнеса. Для компаний, ориентированных на долгосрочный успех, преимущества внедрения комплаенса очевидны.

Руководитель группы внутреннего аудита компании ICL Services Асель Атаханова: Комплаенс-политика в ИТ-компаниях развивается от классических финансового и юридического комплаенса со стороны собственника и соответствующих регуляторов до антимонопольного и антикоррупционного комплаенса, соблюдения законодательства в сфере защиты данных (персональных данных, коммерческой безопасности, интеллектуальной собственности) в зависимости от степени зрелости компании и ее контрагентов.

Руководитель группы внутреннего аудита компании ICL Services Асель Атаханова

ИТ-директор компании «Интерпроком» Олег Слядников: Я бы сказал, что ИТ и комплаенс работают по принципу кнута и пряника, если ИТ-технологии – это пряник, который помогает компаниям развиваться, то ИТ-комплаенс – это кнут, который подстегивает и направляет работу в правильное русло, помогая избежать серьезных негативных последствий из-за несоблюдения нормативных требований.

ИТ-директор компании «Интерпроком» Олег Слядников

В иностранных компаниях, которые выводили товары на наш рынок, функция комплаенса была и остается неотъемлемой частью деятельности. При заключении партнерских соглашений с вендорами необходимо подписать разного рода документы, обязывающие вести бизнес по определенным правилам и стандартам деловой этики и практики, учитывая законодательство как страны производителя, так и страны, где ИТ-продукция реализуется. Поэтому я бы сказал, что история российского комплаенса в ИТ начиналась с использования международного опыта предотвращения, прогнозирования, идентификации и управления рисками. Так к нам пришли знания, например, про закон США о коррупции за рубежом (FCPA), стандарты аудита Sarbanes-Oxley (SOX) и другие.

Даже термин у нас продолжают использовать в английском варианте. Само слово «compliance» можно перевести как согласие, соответствие, повиновение, действие в соответствии с указанием.

В настоящий момент внедрение комплаенса с точки зрения закона не является обязательным для большинства российских компаний, в том числе и в ИТ, они могут самостоятельно принимать решение - применять у себя комплаенс или нет. Исключение составляет финансово-банковская сфера, кредитные организации закон обязывает его внедрять.

При этом опыт ряда российских ИТ-компаний, который освещался в прессе, наглядно демонстрирует, что отсутствие контроля и несоблюдение законов, кодексов поведения, инструкций, правил, стандартов может привести к самым серьезным последствиям, таким как применение санкций юридических или регулирующих органов, к финансовым убыткам, потере репутации. Прозрачность и легальность бизнес-процессов в компании зачастую прямо связаны с управляемостью компанией как системой.

В декабре 2014 года опубликован стандарт ISO 19600:2014 по системам управления комплаенс - Compliance management systems. Это своего рода руководство к действию, с точки зрения правового аспекта, он не обязателен к исполнению, но его внедрение дает компании дополнительное конкурентное преимущество.

Отрадно видеть, что сегодня в российских ВУЗах уже готовят специалистов по комплаенсу, есть онлайн-курсы, выросло поколение отечественных специалистов в этой области, появляются компании, которые предоставляют консультационные услуги по комплаенсу, включая ИТ, на порталах с вакансиями можно увидеть запросы на комплаенс-специалистов не только в зарубежные компании, но и в российские.

Эксперты «ИКС Холдинга»: Сейчас термином комплаенс обозначают вопросы соответствия действий организации как внутренним политикам и процедурам, так и внешним нормативно-правовым требованиям. И задача соответствия различного рода требованиям стояла перед ИТ-компаниями всегда, будь то требования системы менеджмента качества, требования ГОСТов или законов. Вопрос в том, как организационно был выстроен процесс, кто управлял им и как он контролировался: были ли внешние контролирующие органы, которые осуществляли приемку, или вопросы ИТ требовали соответствия только внутренним процедурам компании.

Традиционно на отечественном рынке за данное направление отвечали ИТ-директор, директор по безопасности и специалисты юридического департамента. Однако в последнее время, в связи с тем, что российский рынок стал во многом ориентирован на международные процессы, во многих компаниях выделяется отдельная должность Chief Compliance Officer (CCO), который отвечает за внедрение и контроль требований. А если продукты компании выходят на международный рынок, то важно знать принципы и законы рынков, с которыми компания ведет бизнес. В данном случае Chief Compliance Officer уже носитель огромного количества знаний и должен быстро реагировать на вновь возникающие риски.

Кроме того, последнее время непосредственно законодательство РФ устанавливает все больше требований, которые влияют на развитие бизнеса. Регулярно появляются новые законы, и Compliance Officer становится одним из важнейших игроков в компании, который может оценить влияние закона на бизнес и инициировать выработку шагов, направленных на эффективное управление рисками, возникающими при принятии того или иного закона.

ICT-Online.ru: Какие компоненты комплаенс-политики свойственны именно ИТ-рынку? А какие обуславливает именно отечественная специфика?

Татьяна Журба (ЛАНИТ): На отечественном ИТ-рынке работают игроки нескольких категорий. Это российские компании, которые имеют иностранную материнскую компанию, российские компании, чьи акции обращаются на иностранных биржах, и российские частные компании с российскими собственниками. Эти группы компаний начали внедрять комплаенс в разное время, и побудили их на это разные обстоятельства.

Компании из первой категории получили комплаенс-политику раньше всех остальных в готовом виде «сверху» и имплементировали ее у себя, подстраивая под российские реалии. У этих компаний были база, наработки, понимание, транслируемое от их зарубежных коллег, как внедрять все это внутри организации. В таких компаниях управление комплаенс-политикой ведется из-за границы: руководитель, стоящий над российской комплаенс-командой, - как правило, иностранец, он отвечает за весь Восток или всю Азию, имея достаточно широкие полномочия.

Компании из второй категории для построения комплаенс-системы обычно привлекали консультантов, рассчитывая получить готовые решения. Их комплаенс начался с формальной стороны вопроса, как элемент, без которого нельзя выйти на международный листинг, и только после этого стал как-то подстраиваться под реальные нужды и обстоятельства. В этих компаниях комплаенс-функции обычно находятся в ведении юристов или финансистов.

Третья категория компаний позже всех занялась построением комплаенс-системы. Эти российские частные компании пришли к осознанию ее необходимости органично: выстроенная комплаенс-политика была нужна им для правильной коммуникации с западными вендорами, для создания репутации, а также для «экономии на рисках». Инициатива по внедрению комплаенс-функции приходит в таких компаниях, как правило, «сверху», этот тот самый tone from the top в действии. Часто бывает, что в этих компаниях многие комплаенс-инструменты уже в той или иной степени действуют, но не объединены под единым крылом. Если же учреждается комплаенс-подразделение, они приобретают большую организованность, локальную нормативную базу и рычаги влияния. Как правило, комплаенс-функции здесь подчиняются совету директоров или &#