Контроль для галочки | Большие Идеи

・ Этика и репутация
Статья, опубликованная в журнале «Гарвард Бизнес Ревью Россия»

Контроль
для галочки

Почему не работают комплаенс-программы

Авторы: Хуэй Чэнь , Юджин Солтес

Контроль для галочки
Huber & Starke/Getty Images

читайте также

«Годам к тридцати меня вдруг осенило: писательство для меня не хобби — и я не пожалею сил, чтобы овладеть мастерством»

Элисон Биард

Как произвести впечатление на иностранного босса?

Энди Молински

Почему мы воюем на работе

Энни Макки

12 апреля состоялась первая интерактивная встреча HR LAB — Лаборатория HR-инноваций.

Миллионы фальшивых счетов Wells Fargo. Ложь Volkswagen об уровне выбросов ее автомобилей. Тотальная коррупция в Petrobras, ударившая и по правительству, и по экономике Бразилии. Эти громкие корпоративные скандалы у всех на слуху — но есть и масса других, о которых неизвестно широкой общественности. По данным Ассоциации сертифицированных специалистов по расследованию хищений, почти половина всех выявленных случаев мошенничества не предается огласке, при этом средняя организация теряет из-за них почти $3 млн годового дохода. Более того, 42% из почти 3000 топ-менеджеров, опрошенных EY в 2016 году в рамках глобального исследования рисков мошенничества, указали, что готовы оправдать неэтичное поведение, если оно нацелено на достижение финансовых показателей. Увы, злоупотребления глубоко укоренились в частных фирмах.

ИДЕЯ КОРОТКО


Проблема
Компании инвестируют огромные средства в обеспечение внутреннего контроля, в том числе в обучающие программы, горячие линии и иные системы, призванные выявить и предотвратить нарушения законов, стандартов и политик. Однако корпоративных правонарушений не становится меньше.

Причина
К контролю за соблюдением норм слишком часто относятся формально.

Решение
Разработать разумные критерии оценки, увязывающие инициативы с конкретными целями по соблюдению юридических и этических норм.

Частота корпоративных правонарушений поражает, если учесть, как много компании тратят на обучающие программы, горячие линии и иные механизмы, призванные предотвращать и выявлять нарушения законов, этических норм и политик. Средняя международная компания расходует на комплаенс миллионы долларов в год, а в отраслях с особо жестким регулированием (таких, как оборона и финансы) эти суммы достигают десятков и сотен миллионов. И это лишь малая доля истинной стоимости комплаенс-контроля: ведь тренинги и другие действия ежегодно съедают тысячи рабочих часов.

Многие топ-менеджеры недовольны постоянно растущими затратами, которые не дают результата. Но инвестиции продолжаются — ведь иначе придется отвечать за их отсутствие. Сотрудники тоже часто не жалуют комплаенс-программы, считая их бесполезными мероприятиями для галочки. Бессмысленные траты и разочарования — это, конечно, печально, однако их легко можно избежать.

Авторам этой статьи хорошо известны все мнения о комплаенсе и связанные с ним сложности. В 2015—2017 годах Хуэй Чэнь была первым и единственным консультантом Минюста США по комплаенсу: она помогала прокурорам оценивать усилия проверяемых компаний по обеспечению соблюдения норм. Юджин Солтес изучает проблемы, с которыми сталкиваются юрисконсульты и эксперты по комплаенсу в попытках оценить эффективность программ и объяснить их пользу сотрудникам. Кажется очевидным, что и руководство, и персонал компании должны четко понимать, зачем нужно соблюдать нормы.

Решение, на наш взгляд, заключается в тщательном измерении результатов. Успешную комплаенс-программу не создать без механизма эффективной оценки ее итогов. Адекватная система оценки помогает сделать программу экономичной и действенной. Иными словами, в случае с комплаенсом измерять значит управлять.

Как мы к этому пришли

Чтобы понять, как комплаенс-программы обрели нынешние формы, вспомним, как все начиналось. После череды корпоративных скандалов в США в 1970—80-х американские отраслевые группы внедрили единые внутренние политики и процедуры отчетности, чтобы предотвратить нарушения в будущем. Эти меры помогли смягчить законодателей, которые были готовы ввести более жесткие меры против мошеннических схем. Бизнес-лидеры сочли саморегулирование более простым и дешевым путем по сравнению с дополнительным внешним контролем. Это также снизило нагрузку на регуляторов: многие верили, что компаниям удастся предотвратить злоупотребления в своих стенах.

В расчете на успех этих мер в 1991 году Комиссия США по вопросам назначения наказаний изменила свои инструкции и предложила фирмам существенное снижение штрафов в обмен на демонстрацию «эффективной комплаенс-программы». Вскоре Минюст выпустил ряд меморандумов, требующих от прокуроров оценивать эффективность программ при вынесении обвинений. Эти меры были призваны не только усилить контроль со стороны компаний, но и признать тот факт, что фирма может пасть жертвой мошенничества сотрудников. Принцип кнута и пряника переняли и другие американские регуляторы — например, Комиссия по ценным бумагам и биржам, Министерство здравоохранения и социальных служб и Агентство по охране окружающей среды.

Вскоре возникла целая индустрия учебных комплаенс-программ, анализа рисков, горячих линий для сообщений о нарушениях. В США наличие комплаенс-программы стало почти обязательным для любой крупной фирмы — даже если она работает за рубежом и лишь держит деньги в американском банке. Подобные практики стали внедрять другие страны: в Великобритании, Бразилии и Испании тоже появились законы, требующие учитывать комплаенс-программы при выборе мер воздействия.

Для многих руководителей компаний эти программы стали своего рода дорогостоящей страховкой от пессимистических сценариев. В таких фирмах сотрудников просят подписывать толстые этические кодексы и подтверждать знание внутренних политик. Кроме того, они должны проходить обучение по темам конфиденциальности, коррупции и инсайдерских сделок. Однако всем этим утомительным занятиям люди уделяют ровно столько внимания, сколько нужно для прохождения итогового теста. Даже в фирмах, тратящих на программы миллионы долларов в год, к комплаенсу относятся формально.

Когда в 2012 году Минюст США возбудил дело против сотрудника Morgan Stanley Гарта Питерсона, выяснилось, что тот прошел семь тренингов и получил 35 памяток по соблюдению норм, но сделал ровно то, против чего его пытались вооружить: дал взятку госчиновнику. «Можно сколько угодно проводить программы и делать рассылки, — объяснял он, — но люди удаляют все эти письма не читая. А если это вебинар, можно не слушать: просто говоришь, что подключился, и получаешь галочку, вроде как прошел инструктаж. А сам кладешь трубку или просто занимаешься своими делами».

Минюст был вынужден признать: фирмы тратят уйму средств на разработку комплаенс-программ, но зачастую добиваются лишь кажущегося эффекта. В 2008 году министерство пересмотрело «Принципы федерального преследования коммерческих организаций» и призвало прокуроров «определять, существует ли комплаенс-программа корпорации лишь на бумаге или же она действительно разрабатывается, внедряется, пересматривается и при необходимости обновляется». В том же году в рамках дела против Siemens, по итогам которого компания выплатила рекордный штраф в $800 млн, сторона обвинения неоднократно отмечала несостоятельность комплаенс-программы Siemens.

Раз за разом власти убеждались: фирмы с неэффективными комплаенс-программами не заслуживают послаблений только за их наличие. Однако отличить программу, существующую лишь на бумаге, от действительно полезной очень трудно: оценка требует времени и опыта. Например, решение Минюста США не наказывать Morgan Stanley за проступок Питерсона было воспринято как признание правильности выбранного компанией подхода к соблюдению норм. Помимо стандартной горячей линии и подписей сотрудников под этическим кодексом, программа Morgan Stanley предусматривала множество учебных курсов. Впрочем, сам Питерсон утверждал, что «власти обманывают общество, утверждая, будто в компании чудесная комплаенс-программа: они прекрасно знают, что у людей в головах ничего от нее не остается».

Минюст США нанял Хуэй Чэнь осенью 2015 года именно для того, чтобы решить проблему с оценкой качества комплаенс-программ. В этих программах ей с самого начала многое казалось странным. Компании составляли целые тома из политик и процедур и вводили в финансовые системы множество контрольных точек. При этом не было никаких признаков того, что все эти политики, процедуры и механизмы контроля проверены на эффективность и действительно помогали предотвратить мошенничество. Так, компания могла ссылаться на давно существующую внутреннюю систему сообщений о нарушениях, не имея данных о том, как люди ею пользуются. Фирмы регулярно сообщали, что пойманные на нарушениях сотрудники неоднократно проходили соответствующие тренинги, — пытаясь оправдаться, компании не понимали, что лишь подтверждают бессмысленность принимаемых ими мер.

Чэнь разработала подробный список вопросов для оценки эффективности программ. Вопросы касались самых разных аспектов, включая обучение (Как компания определяла, каких сотрудников и по каким темам обучать?), индивидуальную ответственность (Несли ли менеджеры ответственность за нарушения подчиненных?) и лидерство (Какими компетенциями в области комплаенса обладал совет директоров?). В феврале 2017 года Минюст опубликовал эти вопросы в документе «Оценка корпоративных комплаенс-программ».

Изначально этот документ не задумывался как чек-лист: как указывалось, он лишь включал «ряд важных проблем и примеры вопросов, которые помогают Отделу по борьбе с мошенничеством оценивать корпоративные комплаенс-программы». Безусловно, каждый процесс оценки уникален. Тем не менее, по наблюдениям Юджина Солтеса, общавшегося в тот период с менеджерами и корпоративными юристами, компании быстро взяли этот список за основу для создания программ. Их лидеры верили: если им удастся ответить на все вопросы, это будет означать, что они выполнили требования Минюста. Еще больше Солтеса беспокоило то, что фирмы стали искать данные в защиту эффективности своих практик, не желая признавать полную несостоятельность некоторых из них.

Например, один из вопросов связан с оценкой качества и эффективности обучения. Исследование, проведенное Deloitte и изданием Compliance Week, показало, что самый популярный критерий эффективности тренинга — доля прошедших его сотрудников. Но такая оценка ничего не говорит ни о качестве учебного курса (релевантности и ценности его содержания), ни о результатах обучения (объеме усвоенной информации и ее применении на практике).

Фирмы судят о качестве по количеству не потому, что это надежный критерий, а просто чтобы показать регуляторам, что «меры приняты», и «закрыть» этот вопрос. Конечно, есть компании, действительно успешно приучающие сотрудников к этичному поведению. Но множество других просто убеждают себя, что обучение даст эффект, если люди просто его пройдут.

Одна из главных причин роста инвестиций в комплаенс — отсутствие у компаний критериев, показывающих, какие из принимаемых мер работают. Во многих организациях «усилить комплаенс» означает «назначить больше менеджеров, купить более дорогое ПО и написать еще больше политик», даже если эти меры заведомо избыточны и неэффективны.

Почему критерии комплаенс-программ не показательны

По данным Deloitte и Compliance Week, только 70% фирм пытаются хоть как-то оценить эффективность комплаенс-программ и только треть из этих 70% сколько-нибудь уверены в разумности своих критериев оценки. В начале 2017 года Министерство здравоохранения и социальных служб США выработало критерии для оценки эффективности комплаенс-программ в медицинских учреждениях. Документ включал более 550 параметров. В нем указывалось, что каждой конкретной организации понадобится лишь небольшая часть из списка, привязанная к ее сфере деятельности и рискам. Но многим непросто выбрать нужные критерии из обширного перечня.

В попытках оценить эффективность программ компании совершают одни и те же ошибки. Вот самые распространенные из них.

Неполный набор метрик. Инструкции Минюста и Комиссии США по вопросам назначения наказаний подразумевают, что эффективные комплаенс-программы приучат всех отвечать за нарушения. В частности, в документе Минюста есть вопросы: «Случалось ли компании увольнять или иначе наказывать сотрудников за конкретное нарушение?» и «Применяются ли взыскания и поощрения справедливо и последовательно ко всем сотрудникам?». Чтобы доказать существование личной ответственности, фирмы часто называют тех, кого уволили и кто не получил премии или повышения. Но этих данных недостаточно для подтверждения полной ответственности сотрудников за свои деяния — ведь наверняка есть и те, кто не понес никакого наказания. Компания, наказавшая за год пять сотрудников из пяти нарушивших этический кодекс, будет существенно отличаться от той, где наказание понесли пять из 50 нарушителей. В каких-то организациях наказывают только линейных или неперспективных сотрудников и смотрят сквозь пальцы на проступки топ-менеджеров и «звезд». Так что данные о числе наказанных, приведенные вне контекста, часто оказываются неполными и вводят в заблуждение.

Неправильный выбор метрик. Хотя о любом аспекте комплаенс-программы можно собрать огромное количество данных, лишь небольшая их часть действительно будет отражать отдачу от программы. Например, отвечая на вопрос об оценке эффективности обучения, фирмы приводят долю персонала, прошедшего обучение, или количество учебных часов — и эти показатели здесь ни о чем не говорят. Для некоторых других целей процент прошедших инструктаж может быть важен, но оценка эффективности обучения, конечно, должна быть привязана к четко прописанному результату — скажем, к правильному пониманию политик и процедур, к овладению навыками по предотвращению определенных ситуаций или к изменениям в поведении.

Еще пример: в доказательство того, что руководство озабочено проблемами комплаенса, компании часто приводят количество отданных топ-менеджерами распоряжений по этой проблеме. Но эти цифры не показательны, если опросы сотрудников выявляют недоверие подобным инструкциям и опасение за судьбу тех, кто посмеет сообщить о нарушениях.

Непонимание разницы между юридической ответственностью и эффективностью комплаенса. Политики комплаенса выполняют важные юридические функции, но, рассматривая их только в этих рамках, мы рискуем ограничить их способность влиять на поведение людей. Отвечая на вопрос «Каким образом оценивалась эффективность внедрения политик и процедур?», многие указывают, что сотрудники прочли и усвоили политики и кодексы компании: под ними стоят их подписи. Подпись может стать юридическим основанием для увольнения того, кто нарушил подписанные им правила, но она не гарантирует, что человек руководствуется ими в работе. Сколько раз мы не задумываясь подтверждали согласие с условиями разных соглашений — особенно если не могли их изменить? Многие подписывают корпоративные политики, не читая и не понимая их. Кроме того, политики часто излагаются юридическим, техническим или бюрократическим языком и сложны для осмысления. А в некоторых фирмах существует негласное представление, что политикам вообще не стоит следовать или что многие случаи под них не подпадают. Так что подсчет сотрудников, подтвердивших согласие с политикой, не годится для оценки эффективности программы.

Нежелание выдавать себя и окружающих. Менеджеры по комплаенсу часто оценивают эффективность программ путем опросов сотрудников. Например, чтобы определить, умеют ли те пользоваться системами информирования о нарушениях, их могут спросить: «Знаете ли вы, когда следует сообщать о проблемах с комплаенсом? Готовы ли вы делать это?». Проблема в том, что на результаты опросов могут влиять предубеждения людей относительно «доносов» на себя и других. Если человек наблюдал неблаговидный поступок коллеги, то, не желая выдавать его, он может пропускать такие вопросы в анкетах. В этом случае результаты будут отражать в основном мнение тех, кто не замечал неэтичных поступков других. Точно так же от ответа на подобные вопросы могут уклоняться сотрудники на высших позициях или те, кто сам совершал проступки. Так что, анализируя данные, нужно учесть их возможную некорректность.

Привязка комплаенс-программ к конкретным целям

Так как же обеспечить достоверную оценку результатов комплаенс-программы? Прежде всего нужно признать, что такие программы преследуют сразу несколько целей. Как отмечается в документах Минюста США, три главные цели комплаенс-программ — это предотвращение нарушений, выявление нарушений и приведение корпоративных политик в соответствие с законодательством. Каждый пункт комплаенс-программы должен быть привязан к одной из этих целей. Например, обучение призвано предотвращать нарушения, горячие линии — выявлять их, а этические кодексы — обеспечивать соответствующее нормам поведение сотрудников. Комплаенс-инициативы могут пересекаться и влиять друг на друга, но для выявления критериев оценки их эффективности следует четко определить цели каждой.

НАСКОЛЬКО ЭФФЕКТИВНА ВАША КОМПЛАЕНС-ПРОГРАММА?

В случае претензий к компании Минюст США принимает во внимание эффективность ее комплаенс-программы. Ниже приведены ключевые проблемы и примеры вопросов, используемых Отделом по борьбе с мошенничеством (из документа «Оценка корпоративных комплаенс-программ» 2017 года).

Старший и средний менеджмент

Как лидеры поощряли или порицали (словами и действиями) конкретные случаи неэтичного поведения?

Какие данные совет директоров и руководство анализировали при осуществлении комплаенс-контроля?

Персонал и ресурсы

Какой была текучесть кадров среди персонала, занимающегося комплаенсом и связанного с ним?

Бывали ли случаи отмены, изменения или тщательной проверки транзакций или сделок из-за проблем с комплаенсом?

Политики и процедуры

Каким образом оценивалась эффективность внедрения [применимых] политик и процедур?

Каким образом оценивалась польза от этих политик и процедур?

Оценка рисков

Какая методика использовалась для выявления, анализа и устранения рисков?

Какие данные и показатели компания собирала и использовала для отслеживания нарушений в области оценки рисков?

Обучение и коммуникации

Каким образом оценивалась информированность сотрудников о том, когда надо сообщать о нарушениях, а также их готовность делать это?

Каким образом оценивалась эффективность обучения [сотрудников]?

Конфиденциальные отчеты и расследования

Каким образом компания собирала, анализировала и использовала информацию, полученную с помощью механизмов отчетности?

До какого уровня компании доводились результаты расследования?

Поощрения и взыскания

Какими данными располагала компания в отношении дисциплинарных мер, применявшихся к сотрудникам за неэтичное поведение (например, число взысканий и их типы)?

Применялись ли взыскания и поощрения справедливо и последовательно ко всем сотрудникам?

Непрерывные улучшения, регулярные проверки и пересмотр

Проводила ли компания пересмотр и аудит комплаенс-программы, включая тестирование инструментов контроля, сбор и анализ данных о нарушениях, а также интервью с сотрудниками и третьими сторонами?

Какие результаты аудита и данные о процессе коррекции нарушений регулярно доводились до руководства компании и совета директоров?

Управление поведением третьих сторон

Каким образом компания отслеживала поведение третьих сторон?

Каким образом компания поощряла соблюдение норм третьими сторонами и их этичное поведение?

Например, конфиденциальная горячая линия для сообщений о нарушениях призвана помочь вовремя выявлять неправомерные поступки сотрудников. Чтобы понять, достигается ли эта цель, нужны разные данные: работает ли горячая линия (отчеты «тайных проверяющих»), пользуются ли ею люди (данные об использовании) и как они это делают (типы принятых звонков), как фирма реагирует на сообщения (время реакции, сроки и результаты внутренних расследований, обнародование этих результатов) и как чувствуют себя люди, обращаясь на эту линию (периодические исследования эмоций сотрудников). Каждый из этих параметров отражает конкретный аспект эффективности инициативы.

Однако отслеживать показатели по отдельности неправильно: это не позволит понять, какой компонент программы дает тот или иной результат. Скажем, если количество обращений на горячую линию увеличилось — что это значит: стало больше проблем или люди перестали бояться звонить? Чтобы выяснить это, можно применить множественный регрессионный анализ. Модели регрессии позволяют изучить влияние одной переменной при прочих константных. В данном примере, чтобы понять, означает ли рост числа звонков учащение случаев правонарушений, нужно оставить константами следующие факторы: доступность горячей линии, комфортность ее использования, эффективность ее работы и количество потенциальных звонящих (людей с доступом к ней). Разработка таких моделей требует времени и опыта, однако это наиболее надежный способ узнать, стоит ли радоваться или огорчаться динамике звонков.

Разберем другой пример — тренинг по комплаенсу, призванный помочь людям усвоить правила и нормы и, таким образом, предотвратить нарушения. Чтобы выяснить, эффективен ли он, недостаточно убедиться по его итогам, что сотрудники поняли требования. Само по себе это понимание может говорить о позитивном эффекте обучения — но вполне вероятно, что люди знали все это и раньше. Поэтому важно сравнить знания до и после тренинга. Если разница незначительна, велик шанс, что тренинг был не нужен или его стоило доработать, чтобы лучше вовлечь людей и потратить их время с большей пользой.

Конечно, донесение знаний до сотрудников — не единственная задача тренинга: он должен повлиять на их поведение. Для анализа связи между тренингом и переменами в поведении также будет полезна регрессионная модель. Исключив воздействие других факторов, можно проверить, уменьшилась ли склонность к нарушениям у прошедших тренинг.

Как показывают эти примеры, для оценки соответствия программы ожиданиям нужно использовать эмпирические данные, полученные до и после ее реализации. Повторим: простого измерения разных параметров недостаточно. Надо создавать модели, оценивающие результат и очищающие его от влияния иных факторов.

В прошлом компании пытались доказать эффективность своих программ с помощью не подходящих для этого метрик — но сегодня меняются и стандарты, и ставки. Прокуроры, суды и регуляторы требуют надежных сведений. Это значит, что фирмы должны подтверждать свои слова более корректными данными и моделями. Это возможно лишь в случае внедрения выверенной системы оценки эффективности программ.

Разработка комплаенс-программ

Конечно, есть компании, готовые вкладывать время и средства в комплаенс-программы и верящие в их пользу для долгосрочного успеха. Но мы смотрим на вещи реально: на ограниченные ресурсы компании обычно претендует столько желающих, что думать о комплаенсе ее заставляет лишь давление законодателей. Но этот юридический аспект очень важен, и относиться к оценке результативности программ надо серьезно. По мере роста внимания к комплаенс-программам те, кто не сможет предъявить результат, перестанут отвечать новым регламентам. Сегодня, если о вашем антикоррупционном тренинге неизвестно ничего, кроме того, что его прошел весь персонал, ни один прокурор, суд или регулятор не признает вашу программу эффективной.

Многие компании еще считают обеспечение комплаенса юридической задачей, но в наши дни это уже, скорее, прикладная бихевиористика. Корпоративным юристам это не понравится — однако, чтобы комплаенс-программа работала, придется проверять ее на эффективность. Это потребует экспериментов и инноваций. В этическом кодексе следует прописать политики, которые действительно необходимы для успеха бизнеса. Горячие линии должны не только фиксировать сообщения о нарушениях, но и помогать потенциальным нарушителям вовремя исправлять ситуацию и не совершать ошибок. Усовершенствовав систему оценки эффективности, можно будет внедрять инновационные программы, которые помогут предотвращать нежелательное поведение сотрудников.

Учитывая сложность современного законодательства, неудивительно, что компании не всегда могут осмыслить свои юридические и этические обязательства. Было бы удобно, если бы ко всем комплаенс-программам был применим единый критерий эффективности. Увы, простые одномерные метрики здесь не годятся. Разработка успешной комплаенс-программы требует творческого подхода, тщательной проверки и выверенной системы оценки результатов.

Компании по всему миру тратят на комплаенс миллионы долларов. Постарайтесь расходовать средства разумно. Тщательная оценка поможет выявить бесполезные инициативы и заменить их, чтобы сделать программу эффективнее.

Об авторах. Хуэй Чэнь — ранее эксперт по комплаенсу Минюста США, ныне консультант по соблюдению юридических и этических норм, работающий с государственными регуляторами и компаниями по всему миру. Юджин Солтес — доцент бизнес-администрирования Гарвардской школы бизнеса, изучающий корпоративные правонарушения.