ОПРЕДЕЛЕНИЕ И ИЗМЕРЕНИЕ РИСКА В КОМПЛАЕНС-МЕНЕДЖМЕНТЕ

1. ВВЕДЕНИЕ

В настоящей работе мы попробуем разобраться с тем, как определяют и измеряют риск в комплаенс-менеджменте - важной управленческой функции компании, направленной на соблюдение законов и этических норм. Вначале мы поговорим об общем определении риска, затем рассмотрим различные подходы к пониманию риска в комплаенс-менеджменте, а в конце обсудим подходы нескольких компаний к измерению или оценке комплаенс-рисков. В современной российской литературе данная проблема рассмотрена недостаточно. Например, в [Булыга, Куприянова, 2015] идет речь об организации комплаенс-функции в целом, но оценка риска как таковая не обсуждается. В работе [Комарова, 2020] приводятся показатели, на основе которых происходит оценка рисков, и рассматриваются категории рисков, однако автор не описывает методологию оценки этих показателей и не приводит шкалы, по которым они измеряются. В других публикациях, посвященных комплаенс-рискам, например в [Соколова, 2018], проблема измерения также не обсуждается.

2. ПОНЯТИЕ РИСКА В СОВРЕМЕННОЙ ЛИТЕРАТУРЕ

Понятие риска является, с одной стороны, очень популярным в различных научных и управленческих дисциплинах, а с другой - определяемым и понимаемым в этих дисциплинах весьма по-разному.

В теории вероятностей есть два строго определенных понятия: вероятность и математическое ожидание. Вероятность - это количественная мера наступления результата X, который является одним из нескольких альтернативных результатов какого-либо действия. Вероятность измеряется как n/N, где n показывает, сколько раз наступил результат X, а N - сколько раз всего было осуществлено данное действие. Соответственно, вероятность изменяется от 0 (абсолютно невозможный результат) до 1 (результат, который будет получен в любом случае). Например, вероятность 0,2 означает, что в среднем этот результат наблюдается в 20% всех случаев осуществления данного действия. Математическое ожидание - это умножение количественного измерения результата (когда он имеет количественное измерение) на его вероятность. Например, если результат - это прибыль в 100 долл., а вероятность получения этого результата 0,5, то умножение этих чисел дает математическое ожидание 20 долл.: это означает, что в среднем мы получаем 20 долл. выигрыша от каждого осуществления данного действия. Таким образом, вероятность и математическое ожидание - это строго определенные математические понятия, которые используются в различных научных дисциплинах (например, в страховании, финансовом менеджменте, теории реальных опционов и т.д.).

Что касается термина «риск», то теория вероятностей не использует его как четко определенное математическое понятие вообще. Слово «риск» используется в текстах по теории вероятности или социальных науках (например, в экономике) неформализованным образом, чтобы подчеркнуть стохастическую природу какого-либо события. Например, в экономической и управленческой литературе проблема выбора между вариантами со случайными результатами проходит под названием «решения в условиях риска», но при этом никакого количественного измерения риска в этих теориях не дается.

В обиходном употреблении слово «риск» имеет более узкое определение и касается только отрицательных результатов и их вероятности. Общеупотребительным значением риска является «вероятность чего-то плохого» (например, Оксфордский словарь английского языка определяет риск как «вероятность опасности, потери, травмы или других неблагоприятных последствий»). Та же ситуация с общеязыковым значением в русском языке (например, Словарь Ожегова определяет его как «вероятность неудачи, опасность»).

Как же понимают риск в литературе по риск-менеджменту? Здесь понятие риска не сводится только к отрицательным событиям и включает в себя любые события - как положительные, так и отрицательные. Однако универсального определения риска и здесь не существует. Рассмотрим в качестве примера несколько авторитетных источников.

Например, в монографии по управлению рисками Пол Хопкин [Hopkin, 2018] рассматривает различные определения риска и делает вывод, что универсального определения не существует и каждая организация должна принять определение в соответствии со своими потребностями. В контексте организации под риском обычно понимают нечто, что может повлиять на достижение корпоративных целей. Сам Хопкин предложил следующее определение: «Событие, способное повлиять (подавить, усилить или вызвать сомнения) на эффективность и результативность основных процессов организации».

Авторитетным источником могут служить стандарты ISO, которые формулируют универсальные и оптимальные способы решения каких-либо технических или управленческих задач. Существует отдельный стандарт ISO 31000, который называется «Менеджмент риска» (Risk Management)¹. В новой версии этого стандарта от 2018 года риск определяется как «влияние неопределенности на цели». Влияние означает, что достигаемый результат отличается от ожидаемого. Это влияние может быть «положительным, отрицательным или и тем, и другим и может касаться, создавать или приводить к возможностям и угрозам». Очевидно, стандарты не ограничивают сферу риска только негативными событиями. Кроме этого, выделяется понятие «подверженность риску» (risk exposure), которое, по сути, соответствует математическому ожиданию в теории вероятности - произведению вероятности события на величину возможных убытков, которыми это событие сопровождается.

Несколько иное определение риска дано Институтом внутренних аудиторов (Institute of Internal Auditors) - ведущей мировой организацией по разработке стандартов и повышению квалификации внутренних аудиторов. Согласно ему, риском является «неопределенность происходящего события, которое может оказать влияние на достижение целей. Риск измеряется с точки зрения последствий и вероятности».

Как видно из этого краткого обзора, ведущие организации в области управления риском говорят примерно об одном и том же, хотя и определяют риск несколько по-разному - «событие», «неопределенность события», «влияние неопределенности» и т.д. Один из авторов [Ramakrishna, 2015] выделил пять типичных способов определения риска: 1) нежелаемое событие, которое может произойти, 2) причина нежелательного события, которое может произойти, 3) вероятность нежелаемого события, которое может произойти, 4) математическое ожидание нежелаемого события, 5) указание на факт того, что решение принимается в ситуации количественно оцениваемых вероятностей, а не в ситуации неопределенности по Найту.

Эксперты в области управления операционным риском [A new approach.., 2010] отмечают, что понимание риска постепенно развивается и современный подход к риск-менеджменту существенного отличается от традиционного. Традиционная теория риск-менеджмента определяет риск как «вероятность того, что событие произойдет и отрицательно скажется на достижении миссии или бизнес-целей организации». Данный риск может быть рассчитан как умножение вероятности на величину потерь.

Современный подход в риск-менеджменте определяет риск иначе - как «меру подверженности убыткам на уровне неопределенности». Различия двух понятий представлены на рис. 1. Видно, что самый высокий риск в традиционном подходе возникает, когда вероятность потери равна 100%. В современной интерпретации максимальный риск существует там, где вероятность (или частота) низка, а степень серьезности высока.

3. ПОНЯТИЕ РИСКА В КОМПЛАЕНС-МЕНЕДЖМЕНТЕ

Определения комплаенс-риска в литературе также несколько различаются между собой. В некоторой степени эти различия зависят от конкретного понимания регулирующих органов или исследователей, которые стремятся определить его. Общим знаменателем всех определений является то, что комплаенс-риск появляется в области регулирования, но существуют разные концепции его измерения.

Понятие комплаенс-риска появилось в литературе в течение последнего десятилетия (например, в коллективной монографии [Molak, 1997], посвященной различным областям риск-менеджмента, проблема комплаенс-риска вообще не упоминается). Однако в [Hopkin, 2018] комплаенс-риск (compliance risk) указан первым в классификации четырех типов риска и определяется как «категория риска, связанная с управлением обязательствами». Чтобы минимизировать комплаенс-риски, организациям нужно знать о требованиях комплаенса, которым они должны соответствовать. Также может существовать регулирующий орган - в отрасли или секторе, который контролирует выполнение требований; в случае если организация не смогла их выполнить, регулирующий орган имеет право потребовать прекращения ее деятельности. В настоящее время высокорегулируемыми являются многие отрасли: медицина, страхование, финансы, транспорт и т.д. Помимо регулирующих органов компании также должны выполнять требования, налагаемые на них различными законами. Кроме комплаенс-риска Хопкин выделяет также риск возможностей (opportunity risk), с которым связана возможность получения какой-либо выгоды, риск контроля (control risk) - возможность отклонения выполнения проектов от заданных рамок и чистый риск (hazard risk), связанный с такими событиями, которые могут принести только потери и никогда не дают ничего полезного (например, пожар или мошенничество).

Консалтинговая компания Deloitte определяет комплаенс-риск как «угрозу для финансового, организационного или репутационного статуса организации, возникающую в результате нарушений законов, нормативных актов, кодексов поведения или организационных стандартов практики»².

Международный стандарт ISO 19600 «Системы управления комплаенсом»³ следует формулировкам ISO 31000, который определяет риск как «влияние неопределенности на цели» (effect of uncertainty on objectives), при этом влияние может быть как положительным, так и отрицательным. Соответственно, комплаенс-риск определяется как «влияние неопределенности на цели в области комплаенса» (effect of uncertainty on compliance objectives). Далее дается еще одно определение комплаенс-риска: он может быть охарактеризован как вероятность (likelihood) наступления несоответствия комплаенс-обязательствам (compliance obligations) организации и их последствий. Вероятность обозначается словом likelihood, чтобы противопоставить ее математической вероятности probability, которая имеет точное количественное измерение. Соответственно, обязательства в области комплаенса определяются как необходимость выполнять требования (compliance requirements or compliance commitments), которые, в свою очередь, определяются довольно широко как «требования или ожидания определенного поведения от организации». Обратим внимание, что в стандарте ISO нет указания, что данные нарушения - это прежде всего или только нарушения закона. Речь идет и о нарушении этических обязательств, а также любых иных добровольно принятых на себя компанией (таких, как отраслевые стандарты, лучшие бизнес-практики и др.). В стандарте есть раздел 4.6 «Выявление, анализ и оценка комплаенс-рисков» (Identification, analysis and evaluation of compliance risks), однако он не содержит никаких указаний на то, как нужно измерять данный риск.

В [Ramakrishna, 2015] выделяются несколько разновидностей комплаенс-риска: 1) риск неэтичного поведения (integrity risk), 2) риск для бизнеса (business risk), 3) риск для репутации (reputation risk), 4) регуляторный риск (regulatory risk), 5) риск неопределенных законодательных требований (interpretational risk), 6) юридический риск (legal risk), 7) риск судебного преследования (litigation risk), 8) риск финансовых потерь (risk of financial loss). Данная классификация представляется нам довольно слабо структурированной, так как отдельные ее части пересекаются между собой. Например, харрасмент в компании можно отнести к риску неэтичного поведения, юридическому риску, риску судебного преследования, риску финансовых потерь и репутационному риску.

4. ПРОБЛЕМА КОЛИЧЕСТВЕННОЙ ОЦЕНКИ КОМПЛАЕНС-РИСКА

Для управления комплаенс-риском используются различные инструменты, облегчающие его выявление, измерение и упорядочивание. В настоящей работе нас интересует прежде всего проблема количественного измерения риска. Как известно, качественное управление объектом или процессом невозможно без измерения, поэтому данная проблема имеет первостепенное значение.

В литературе по комплаенсу часто встречается традиционная для риск-менеджмента матрица, которая уже была приведена на рис. 1, причем именно в традиционном виде, с заполнением всех клеточек. Однако ни одна практическая методика или руководство не дают единого строгого способа оценки этих рисков. Часто предлагается использовать экспертный метод, метод опроса и др., но проблема выбора наилучшего метода и его детализированной настройки остается открытой. Многие авторы, например [Nicolas, May, 2017], не придают серьезного значения разработке методики присвоения рискам конкретного уровня, а делают основной акцент на том, что система оценки комплаенс-рисков (compliance risk assessment) должна быть всесторонне продуманной и постоянно действующей.

Институт стратегического анализа рисков управленческих решений (ISAR) в своих учебных материалах рекомендует следующие критерии оценка риска по величине и вероятности (см. табл. 1, 2).

Как видно, общая логика этих оценок похожа на уже описанные, но в ней есть также ряд неопределенных мест, например «среднее снижение доходов» или основания для вывода о том, что риск «реализуется в течение года».

Интервью с комплаенс-менеджерами российских компаний показывают, что они присваивают характеристики «низкий», «средний» или «высокий» весьма произвольно. Например, по словам комплаенс-менеджера глобальной продуктовой компании, любой коррупционный риск автоматически у них относится к высоким рискам. Комплаенс-менеджер мобильного оператора заметил, что высоким считается риск, который ведет к серьезному штрафу (например, штраф от 1 млн руб. за взятку должностному лицу при получении разрешения на строительство). Очевидно, что единой методики понимания у российских компаний того, что является риском и как его считать, не существует. Между тем без четкой методики эти характеристики могут быть бессмысленны. Как пишет специалист по внутреннему аудиту Линфорд Грэхем: «Я не являюсь поклонником терминов типа “высокий-средний-низкий” для оценки риска. По моему опыту, если данные термины не определить сначала хорошенько с помощью наглядных сценариев, детальных примеров или даже четких количественных оценок вероятности (например, вероятность меньше 20%), то даже те менеджеры, которые имеют схожие представления о риске, столкнутся с трудностями при выработке общего мнения. <.. .> Я бы предложил оценивать риск в процентах или в диапазонах процентов, которые гораздо менее двусмысленны при обсуждении, даже если они являются субъективными оценками, а не результатом точных расчетов» [Graham, 2015. P. 69].

Конечно, в случае с комплаенс-рисками каждая компания сталкивается со многими неизвестными, и дать количественную оценку вероятности довольно сложно. Особенно эта проблема актуальна для молодых и небольших компаний, у которых нет собственной статистики. Однако для крупных компаний, насчитывающих десятки тысяч работников и работающих много лет, существует внутренняя статистика нарушений, которую можно использовать для расчета как минимум вероятности нарушений. Размер негативных последствий меняется от года к году в соответствии с изменениями в регулировании, но эти цифры также доступны компаниям, которые следят за изменениями. Для небольших компаний можно использовать общую статистику для данного сектора экономики или экономики в целом. Например, согласно имеющейся статистике, в год фиксируется одно коррупционное нарушение на 4 тыс. занятых. Следовательно, если в компании работают 2 тыс. сотрудников, можно ожидать, что коррупционное нарушение произойдет с вероятностью 50% в течение года (или, что то же самое, будет обязательно происходить раз в два года).

Попытка разработать количественную оценку рисков хищений была предпринята совместно российскими отделениями Association of Certified Fraud Examiners и Ernst & Young в 2013 году [Мартынов, Новиков, 2013]. Исследователи провели опрос более 500 профессионалов, работающих в области расследований, внутреннего аудита, риск-менеджмента и других областях обеспечения безопасности бизнеса, и попросили оценить важность каждого из тридцати индикаторов хищений, которые включали в себя характеристики системы управления компанией (например, наличие программы по противодействию хищениям), экономическую ситуацию в компании (неудовлетворенность персонала уровнем заработной платы), внешнюю среду (например, нестабильность и кризисные явления), результаты контроля (например, отсутствие первичных подтверждающих документов) и т.д. На основании опроса были составлены веса важности для каждого индикатора по ординарной шкале от 1 до 5, где 1 означает, что индикатор слабо связан c риском хищения, а 5 - что индикатор вполне определенно (очень часто) сопутствует хищению. Самый высокий вес получил индикатор «утеря или уничтожение документов и электронных файлов, содержащих ключевую информацию о сомнительных операциях», а самый низкий, как ни странно, - «уровень корпоративной культуры». Авторы указывают, что для расчета общего индекса риска хищения нужно объединить все наблюдаемые параметры с их весами в единую формулу, которая должна использовать логарифм количества найденных индикаторов и сумму весов всех найденных индикаторов риска, но точное обоснование этой формулы требует дополнительного исследования.

5. ПРИМЕРЫ ПОДХОДОВ КОНКРЕТНЫХ КОМПАНИЙ К ОЦЕНКЕ РИСКОВ

Рассмотрим подходы различных компаний к оценке комплаенс-рисков. Названия некоторых обсуждаемых компаний в данном разделе опущены по просьбе наших респондентов.

Международная компания в добывающей промышленности определяет две категории рисков. Риски первой категории оказывают сильное влияние на компанию, и в худшем случае они приводят к налогу на добавленную стоимость, потере репутации, потере бизнеса и т.д. Кроме того, компания может быть оштрафована на сумму более 1 млн долл. Комплаенс-менеджеры должны незамедлительно сообщать о таких рисках и включать соответствующую информацию в месячный отчет. Вторая категория рисков оказывает умеренное влияние на компанию. Штраф может составить от 10 000 до 1 млн долл. Комплаенс-менеджеры сообщают о таких рисках в форме ежемесячных отчетов. Чтобы заполнить отчет о комплаенс-риске или немедленно сообщить о нем, комплаенс-менеджер использует форму для уведомления о риске, направленную на сбор данных, мониторинг и контроль рисков. В отчете требуется следующая информация:

• область комплаенс-риска,
• дата события, повлекшего возникновение риска,
• предприятие,
• описание события, связанного с риском,
• предположительная причина возникновения данного события,
• возможность повторного возникновения риска,
• возможные последствия.

Головной офис аккумулирует отчетность по рискам, описывая факторы возникновения рисков, вероятность их реализации и возможное влияние на компанию; также рискам присваивается оценка (низкий, средний или высокий уровень) и указываются применяемые и планируемые процедуры для смягчения последствий от реализации риска.

В компании разработаны шкалы для оценки отдельных индикаторов, таких как влияние риска и вероятность, на основании которых риску присваивается итоговая оценка. Влияние рисков измеряется финансовыми потерями, влиянием на EBITDA компании (тыс. долл.) и имеет следующую шкалу (см. табл. 3).

Шкала вероятности риска представлена в табл. 4.

Рассмотрев два индикатора, комплаенс-менеджер присваивает риску оценку в соответствии с картой риска (см. табл. 5). Ось абсцисс (Х) отражает влияние риска по шкале от несущественного до критического, ось ординат (Y) отражает шкалу вероятности от практически невозможного риска до практически неизбежного.

Международная компания в нефтегазовой отрасли сообщила о следующем подходе к оценке рисков. Используются четыре категории вероятности (см. табл. 6). Матрица риска данной компании представлена в табл. 7.

Однако методических указаний по осуществлению оценки компания не представила, в связи с чем остаются неясными принципы присвоения вероятностей, а также оценки потерь.

Опыт работы одного из авторов настоящей статьи на позиции комплаенс-менеджера в разных компаниях показывает, что они используют очень похожие инструменты к оценке комплаенс-рисков. Матрицы и схемы для определения влияния риска, приведенные выше, буквально заимствуются компаниями друг у друга или из учебников.

При этом компании, которые только начинают внедрять у себя комплаенс, поначалу оценки рисков вообще не делают. Нередко наблюдается следующий сценарий. Сначала фирма внедряет стандартный набор комплаенс-системы: разрабатывает кодекс этики, политики и процедуры по взаимодействию с третьими лицами, тренинги, горячую линию, процедуру по внутренним расследованиям. Эти стандартные пункты можно встретить в законодательных требованиях или методических рекомендациях к ним. А когда в компании назначают ответственных за реализацию комплаенс-функции сотрудников, то вскоре у них возникает ряд вопросов, главный из которых: «А зачем это нужно именно нам?» И ответ заключается в том, что сам по себе набор документов и процедур неэффективен. Нужно провести оценку рисков, чтобы понять, насколько выявленные риски релевантны в конкретной организации и насколько принятые меры действительно их минимизируют, а также определить, насколько процесс возникновения риска управляем.

Оценка (переоценка) должна проводиться на регулярной основе с той периодичностью, которая будет наиболее подходить конкретной компании и ее бизнес-модели. Эта необходимость связана помимо прочих факторов еще и с матричной структурой некоторых глобальных компаний, которая предполагает частую ротацию персонала, смену функционала и зон ответственности. Эти изменения во взаимодействиях людей могут постоянно вносить свои коррективы в выстраивание работы комплаенс-функции. Например, сотрудники, которые раньше никогда не взаимодействовали с государственными органами, начинают это делать, и здесь нужно обратить особое внимание на их работу, убедиться в их понимании процесса. Такая работа с сотрудниками помогает выявить недостатки системы или, наоборот, обрести уверенность в отсутствии пробелов в критически важных аспектах.

Во многих международных руководствах написано об оценке рисков с точки зрения бизнес-процесса, однако возложить данную функцию на зону бизнес-подразделений было бы разумнее. Общеизвестно, что продажи, закупки, участие в тендерах, маркетинг и пр. являются зонами повышенного риска, и данная информация не представляет ценности для менеджмента. Наиболее важно как для компании, так и для самих владельцев рисков⁴ - понять, какие конкретно люди (на каких должностях) находятся в зоне комплаенс-рисков. С этой информацией легче работать на уровне бизнес-подразделения.

Комплаенс-менеджер не должен оценивать комплаенс-риски единолично. Эта работа должна находиться в ведении либо владельцев рисков (например, посредством ведения отчетности), либо комплаенс-менеджера, опирающегося на мнения сотрудников. Например, в «Кодексе принципов ведения бизнеса» компании Unilever есть следующий пункт: «Ответственность: они <все сотрудники уровня менеджера (руководителя) и выше> обязаны выявлять риски и управлять рисками, которые связаны с их служебными обязанностями»⁵.

Комплаенс-риск-менеджмент иногда осуществляется самостоятельно комплаенс-подразделением, а иногда может передаваться в систему общего риск-менеджмента компании (enterprise risk management, ERM), как это сделано во многих компаниях (например, в VEON). Но в то же время комплаенс-офицер должен либо принимать активное участие (возглавлять процесс), либо иметь полное понимание, как эта оценка производилась. Важно понять, под какие комплаенс-риски попадает деятельность компании и ее сотрудников, а затем выстраивать взаимодействия в системе.

Методология комплаенс-системы всегда должна включать описание самой системы и процессов внутри нее, а также содержать информацию о проводимых мероприятиях, в том числе их целях, результатах, о предусмотренных процедурах на случай реализации комплаенс-риска с указанием ответственного лица. Поэтому компании создают комитеты по рискам, комплаенс-комитеты, комитеты этики и пр.

6. КОМПЛАЕНС-РИСКИ И РИСК-АППЕТИТ

Логично встает вопрос о том, каким же образом компании должны использовать количественные оценки комплаенс-рисков? Многие исследователи указывают на то, что различные типы риска должны управляться по-разному. Некоторые авторы, например [Hopkin, 2018], утверждают, что комплаенс-риск должен минимизироваться, поскольку по характеру близок к чистому риску, в то время как финансовые риски обычно являются рисками возможности и балансируются доходностью, поэтому их минимизировать не нужно. Однако при этом в материалах консультантов или в литературе по финансовому менеджменту часто встречается оригинальная концепция аппетита к риску (risk appetite), которая означает, что компания готова идти на определенный риск. Так, Deloitte ссылается на определение Базельского комитета по банковскому надзору: «Риск-аппетит - это заранее определенные уровни и виды рисков в рамках допустимого уровня рисков, которые банк готов принять для достижения своих целей, исходя из масштаба и характера его деятельности в рамках стратегии и бизнес-плана»⁶. При этом в предыдущем варианте Базельских требований понятие «риск-аппетита» вообще не упоминалось [Gontarek, 2016]. Исследование PWC [Взгляд на риски.., 2017] показало, что компании постепенно расширяют использование этой концепции. На рис. 2 представлены данные за 2015 и 2017 годы. Результаты исследования показали, что число компаний, определяющих свой риск-аппетит, выросло на 13%, как и число компаний, в которых данная концепция сформулирована и сделаны соответствующие заявления о риск-аппетите.

Однако применительно к комплаенсу концепция риск-аппетита является несколько противоречивой, поскольку предполагает, что организация не пытается полностью искоренить любое нарушение закона (как это подразумевается для законопослушных граждан), а допускает сознательное его нарушение при определенных условиях. Действительно, иногда принятие риска и, как следствие, например, оплата штрафа для компании оборачиваются возможностью получить большую выгоду.

Заметим, что сознательное решение принять на себя положительный комплаенс-риск может вызываться не корыстным желанием заработать прибыль, а быть, наоборот, ответственным решением, связанным с предотвращением каких-либо более серьезных негативных последствий для стейкхолдеров компании. В нашей практике был случай, когда сотрудник был уволен по причине появления на работе с серьезным похмельным синдромом. Несогласный с увольнением и стремящийся сохранить рабочее место любой ценой сотрудник отправился на медицинское освидетельствование, где было подтверждено отсутствие алкоголя в его крови и, как следствие, необоснованность его увольнения. Подобный юридический ход был предсказуем, и комплаенс-менеджер компании догадывался о действиях, которые сотрудник намеревался предпринять, а также о том, что результаты экспертизы, которая будет проведена спустя час, могут быть отрицательными. Тем не менее в случае допущения сотрудника к работе в тот день могли возникнуть непоправимые последствия: травмирование на производстве, поломка оборудования. Таким образом, комплаенс-менеджер сознательно пошел на принятие комплаенс-риска, и этот риск реализовался в виде судебного разбирательства, инициированного уволенным сотрудником. Корректно ли отнести данное действие к риск-аппетиту?

Другой этической дилеммой из этого разряда может быть ситуация, при которой человек потерялся в лесу и родственники или поисковая группа просят мобильного оператора сообщить данные геолокации с его мобильного телефона. Однако мобильный оператор не может сделать этого по закону, и нарушение повлечет риск огромного штрафа со стороны регулятора. В большинстве случаев мобильные операторы не имеют достаточного риск-аппетита в этой ситуации, чтобы нарушать законодательство о персональных данных, но в результате погибает много людей. Корректно ли данное действие рассматривать в терминах риск-аппетита?

Идеологически многие компании провозглашают другую политику - нулевую терпимость (zero tolerance) к любым комплаенс-нарушениям, и прежде всего коррупции. Например, кодекс этики группы VEON устанавливает «полную нетерпимость к взяточничеству и коррупции»⁷. Комплаенс-менеджер этой компании сообщил, что в целом они придерживаются zero tolerance по отношению ко всем комплаенс-рискам, но для других рисков есть установленные уровни риск-аппетита. Компания «Яндекс» утверждает, что «исповедует принцип нулевой терпимости к любым нарушениям правил корпоративной этики»⁸. Компания «Ашан» также следует этой политике⁹. Возможно, данная позиция вызвана тем, что если компании открыто заявят о ненулевом аппетите к риску, это будет воспринято резко негативно и регуляторами, для которых идеологически важно добиваться уважительного отношения к закону и устанавливаемым нормам, и инвесторами. Однако в реальности невозможно добиться нулевого комплаенс-риска, поэтому подобные утверждения выглядят несколько противоречиво. Некоторые компании выходят из этого положения, заявляя о нулевой терпимости к неинформированию о нарушениях. Например, группа компаний «ЕвроХим» говорит о «нулевой терпимости в отношении невыполнения обязательств по обеспечению соответствия»¹⁰ - здесь неявно признается тот факт, что сами нарушения полностью устранить невозможно.

ВЫВОДЫ

Как следует из настоящего исследования, понятие риска является ключевым для комплаенс-менеджмента, но при этом формулируется недостаточно строго и разными источниками понимается не совсем одинаково. Среди практических задач наиболее актуальной является разработка методики измерения комплаенс-риска. В настоящее время все подходы к измерению являются очень приблизительными и субъективными, что открывает возможности для дальнейших исследований в данной области.

Важной концептуальной задачей является проблема уровня допустимого комплаенс-риска (аппетита к риску), которая не до конца осознается на практике и требует более глубокого изучения.