Почитав недавний пост Сергея Гордейчика все таки смог сформулировать чем же плох один из двух вариантов (риск-ориентированный комплаенс, когда регулятор=угроза и обязательный комплаенс, когда регуляторные требования реализуются априори) восприятия внешнего комплаенса (соответствия законодательству либо взятым на себя по договору обязательствам) - а именно: риск-ориентированный комплаенс базируется на условном принципе "законы нужно соблюдать в той степени которую они тебя устраивают".
Все бы ничего, в конце концов - бизнес сам может выбрать свой риск-аппетит, верно?;) Риск реализации статьи УК РФ тоже вполне себе риск... но! Когда мы говорим уже о внутреннем комплаенсе, а вернее о реализации системы внутреннего контроля отдельно взятой компании, мы не можем пройти мимо такого понятия как контрольная среда.
Контрольная среда - это совокупность культуры и ценностей организации, стимулирующая честное и ответственное поведение и служающая фундаментом для всех остальных контрольных активностей (или знакомых нам по стандартам ИБ - "контролей"). Обычно основой контрольной среды является т.н. tone from the top (тон сверху) - регулярная коммуникация высшего менеджмента с сотрудниками компании, направленная на разьяснение ценностей компании, основе ее культуры, важности честного, этичного и ответственного поведения.
Откровенно говоря, для "технического" уха звучит как та еще абстрактная мура. Но на самом деле это внутрикорпоративние 10 заповедей - не укради, не подсиди, не откатывай, не мошенничай.. и естественно, эффективность контрольной среды зависит от восприятия работниками важности законов и правил как таковых.
И какой же пример мы подаем работникам, показывая что соблюдение требований законодательства - необязательно? Т.е. красть и мошенничать тоже можно, главное что бы никто не узнал?;)
Применение риск-ориентированного подхода к комплаенсу снижает эффективность тона сверху и ведет к ослаблению контрольной среды, и соответственно - всей системы внутреннего контроля компании. И решение о применении такого подхода (у него ведь есть и плюсы - он экономически более обоснован) должно быть принято советом директоров, как наиболее заинтересованной в эффективном функционировании системы внутреннего контроля стороной. Надо же ему как-то контролировать менеджмент в интересах акционеров...
Все бы ничего, в конце концов - бизнес сам может выбрать свой риск-аппетит, верно?;) Риск реализации статьи УК РФ тоже вполне себе риск... но! Когда мы говорим уже о внутреннем комплаенсе, а вернее о реализации системы внутреннего контроля отдельно взятой компании, мы не можем пройти мимо такого понятия как контрольная среда.
Контрольная среда - это совокупность культуры и ценностей организации, стимулирующая честное и ответственное поведение и служающая фундаментом для всех остальных контрольных активностей (или знакомых нам по стандартам ИБ - "контролей"). Обычно основой контрольной среды является т.н. tone from the top (тон сверху) - регулярная коммуникация высшего менеджмента с сотрудниками компании, направленная на разьяснение ценностей компании, основе ее культуры, важности честного, этичного и ответственного поведения.
Откровенно говоря, для "технического" уха звучит как та еще абстрактная мура. Но на самом деле это внутрикорпоративние 10 заповедей - не укради, не подсиди, не откатывай, не мошенничай.. и естественно, эффективность контрольной среды зависит от восприятия работниками важности законов и правил как таковых.
И какой же пример мы подаем работникам, показывая что соблюдение требований законодательства - необязательно? Т.е. красть и мошенничать тоже можно, главное что бы никто не узнал?;)
Применение риск-ориентированного подхода к комплаенсу снижает эффективность тона сверху и ведет к ослаблению контрольной среды, и соответственно - всей системы внутреннего контроля компании. И решение о применении такого подхода (у него ведь есть и плюсы - он экономически более обоснован) должно быть принято советом директоров, как наиболее заинтересованной в эффективном функционировании системы внутреннего контроля стороной. Надо же ему как-то контролировать менеджмент в интересах акционеров...
Комментариев нет:
Отправить комментарий