Від комплаєнс-команд дедалі частіше очікують, що їхні програми не лише відповідають нормативним вимогам. Ради директорів та керівництво хочуть зрозуміти, чи дійсно комплаєнс знижує ризики, допомагає виявляти проблеми раніше, покращує процес прийняття рішень і захищає бізнес від фінансових, юридичних і репутаційних збитків.
Однак ефективність комплаєнсу неможливо довести лише підрахунком проведених тренінгів, підписаних політик, повідомлень на лінію довіри чи закритих кейсів. Ці цифри свідчать про те, що щось робилося, але не завжди показують, чи працює програма на практиці. Компанія може успішно пройти аудит і все одно не помітити нові ризики. Вона може мати канал для повідомлень, але водночас не користуватися довірою співробітників.
Саме тому оцінка комплаєнсу має зосереджуватися на результатах, а не лише на діяльності. У цій статті ми пояснюємо, як оцінювати ефективність комплаєнсу, які показники є найважливішими, як пов’язати комплаєнс-дані із бізнес-цінністю та як перетворити звітність на переконливіший аргумент на користь інвестицій, підзвітності та постійного вдосконалення.
Оцінювати ефективність комплаєнсу складно, оскільки він не завжди дає видимі результати. Коли програма працює добре, багато проблем запобігають ще до того, як вони переростають у розслідування, штрафи, судові позови чи публічні скандали.
Це ускладнює доведення цінності комплаєнсу порівняно з результатами продажів, маркетингу чи операційної діяльності, де результати часто легше пов’язати з доходами чи економією витрат.
Багато організацій також надто покладаються на показники, що базуються на діяльності, такі як завершені тренінги, підписані політики, повідомлення на гарячу лінію або закриті справи. Ці показники є корисними, але вони не доводять, що ризики зменшуються або поведінка змінюється.
Щоб правильно виміряти ефективність, організації повинні ставити глибші запитання: чи виявляються проблеми на ранній стадії? Чи розглядаються повідомлення послідовно? Чи усуваються першопричини? Чи вживаються коригувальні заходи? Чи готові співробітники відкрито висловлювати свою думку?
Багато комплаєнс-звітів зосереджуються на тому, що було зроблено, а не на тому, що змінилося. Наприклад, компанія може повідомити, що 98 % співробітників пройшли щорічний комплаєнс-тренінг. Це звучить потужно, але не дає відповіді на питання, чи зрозуміли співробітники зміст, чи застосовували інформацію з тренінгу в реальних ситуаціях, чи відчували себе безпечніше, повідомляючи про порушення.
Така сама проблема виникає й в інших сферах. Підрахунок повідомлень на гарячу лінію не свідчить автоматично про те, чи присутня Speak-up культура в компанії. Підрахунок завершених розслідувань не показує, чи справи розглядалися справедливо або чи подібні проблеми не повторяться. Підрахунок працівників, ознайомлених з політиками, не доводить, що співробітники дотримуються їх на практиці.
Показники активності все ще важливі, але їх слід розглядати як відправну точку. Щоб довести ефективність, комплаєнс-команди повинні пов’язати ці заходи з такими результатами, як більш раннє виявлення порушень, швидше усунення недоліків, зменшення кількості повторних проблем, покращення показників контролю та зміцнення довіри до каналів для повідомлень.
Щорічні аудити та періодичні перевірки є важливими, але вони показують лише частину картини. Програма може виглядати добре організованою під час аудиту, але між циклами перевірок у ній все одно можуть траплятися провали в контролях, прогалини у повідомленнях або проблеми в організації Speak-up культури.
Ризики у сфері комплаєнсу також змінюються протягом року. Нові нормативні вимоги, масштабування бізнесу, відносини з третіми сторонами, плинність кадрів, ринковий тиск та зміни у внутрішніх процесах — все це може створювати нові ризики. Якщо оцінка проводиться лише раз на рік, організація може виявити проблеми занадто пізно.
Саме тому ефективність комплаєнсу слід постійно контролювати. Організаціям необхідний регулярний огляд тенденцій у кейсах, прострочених заходів, слабких місць у системах контролю, прогалин у навчанні, моделей звітності та нових сферах ризиків. Це допомагає перейти від реактивної моделі комплаєнсу до активного управління ризиками.
Раді директорів та керівництву не потрібні довгі списки розрізнених статистичних комплаєнс-даних. Їм потрібне чітке розуміння того, що ці цифри означають для бізнесу.
Наприклад, інформація «у цьому кварталі було отримано 40 повідомлень» сама по собі не є дуже корисною. Керівництву потрібно знати, чи це більше чи менше ніж зазвичай, які категорії зросли, чи надходили повідомлення з сфер високого ризику, скільки з них було підтверджено, як швидко їх було опрацьовано та які коригувальні заходи було вжито.
Якісна комплаєнс-звітність має допомагати керівництву розуміти ризики, а не лише те, що було зроблено. Вона має показувати, де організація наражається на ризики, де заходи контролю є ефективними, де потрібні ресурси та які рішення слід ухвалити. Без такого контексту комплаєнс-показники стають лише «шумом», а не бізнес-аналітикою.
Ефективна комплаєнс-програма допомагає організації розуміти свої ризики, виявляти проблеми на ранній стадії, послідовно реагувати та вдосконалюватися, коли виявляються слабкі місця.
Іншими словами, ефективність вимірюється не наявністю програми, а її результатами. Ключове питання полягає не в тому, «Чи маємо ми комплаєнс-процеси?», а в тому, «Чи дійсно ці процеси допомагають нам запобігати, виявляти та реагувати на порушення та регуляторні ризики?»
Бути готовими до аудиту — важливо, але це не те саме, що ефективність. Компанія може мати задокументовані політики, заповнені записи про навчання та офіційні канали для повідомлень, але при цьому мати низький рівень внутрішньої довіри, непослідовні розслідування або невирішені прогалини в системі контролю.
Готовність до аудиту свідчить про виконання певних вимог. Ефективність комплаєнсу показує, чи впливають ці вимоги на реальну поведінку та прийняття рішень. Ця різниця має значення, оскільки багато порушень комплаєнсу відбуваються не тому, що у компанії не було правил, а тому, що ці правила не були зрозумілі, їх не дотримувалися, не перевіряли або не застосовували послідовно.
Корисний спосіб оцінити ефективність комплаєнсу — розглянути три рівні: проєктування, функціонування та результати.
Проєктування показує, чи правильно побудована комплаєнс-програма з урахуванням ризиків, розміру, галузі та регуляторного середовища організації. Сюди входять політики, канали для повідомлень, процедури розслідування, ролі, обов’язки, заходи контролю та навчання.
Функціонування показує, чи програма насправді працює у повсякденній діяльності. Чи використовують співробітники канали для повідомлень? Чи вчасно розподіляються та розслідуються кейси? Чи перевіряються засоби контролю? Чи відстежуються коригувальні заходи? Чи залучаються керівники та бізнес-підрозділи, коли це необхідно?
Результати показують, чи приносить програма вимірювані результати. До них можуть належати: більш раннє виявлення проблем, швидше усунення порушень, зменшення кількості повторних порушень, зміцнення Speak-up культури, покращення ефективності контролів та надання керівництву більш корисної інформації.
Ефективні комплаєнс-програми будуються на основі ризиків, а не на загальних чеклистах. Це починається з регулярної оцінки ризиків: визначення, які сфери бізнесу найбільш вразливі до неправомірних дій, порушень нормативних вимог, конфліктів інтересів, шахрайства, ризиків, пов’язаних із третіми сторонами, або інших комплаєнс-загроз.
Однак виявлення ризиків — це ще не все. Організації також повинні перевіряти, чи працюють їхні заходи контролю на практиці. Якщо заходи контролю виявляються неефективними, наступним кроком є не лише усунення конкретної проблеми, а й з’ясування її першопричини. Чи була політика нечіткою? Чи був процес надто ручним? Чи були обов’язки невизначеними? Чи був тиск з боку керівництва? Чи був захід контролю погано розроблений?
Справжня ефективність проявляється тоді, коли організація використовує ці висновки для вдосконалення. Це означає усунення слабких місць, оновлення політик, покращення навчання, посилення засобів контролю та відстеження виконання коригувальних заходів.
Бізнес-цінність комплаєнсу полягає у зменшенні невизначеності та допомозі організації у прийнятті кращих рішень. Надійна комплаєнс-програма може захистити компанію від штрафів, розслідувань, судових позовів, шкоди репутації, перебоїв у роботі та втрати довіри.
Вона також створює цінність і менш очевидними способами. Це допомагає керівництву бачити, де зростають ризики, де процеси дають збій і на що слід зосередити ресурси. Це сприяє формуванню здоровішої культури відкритого спілкування, покращує підзвітність та надає керівникам кращий огляд етичного та нормативно-правового стану організації.
Ось чому комплаєнс не слід оцінювати лише як витрати. При правильній оцінці дотримання нормативних вимог стає джерелом інформації про ризики, захист бізнесу та довгострокову стійкість організації.
Компаніям, що виходять на нові ринки, потрібно більше зосередитись на показниках щодо роботи з третіми сторонами та протидії хабарництву.
Компаніям з високою плинністю кадрів, можливо, доведеться зосередитися на показниках навчання, корпоративної культури та Speak-up.
Компаніям, що перебувають під пильною увагою регуляторних органів, можуть знадобитися більш переконливі докази вжиття коригувальних заходів, тестування систем контролю та нагляду з боку ради директорів.
Правильний вибір показників залежить від того, що є найважливішим для бізнесу.
Комплаєнс-команди часто звітують про показники, які легко зібрати, але які не завжди є корисними для прийняття рішень. Наприклад, рівень проходження навчання легко виміряти, але він може не дати керівництву відповіді на питання, чи розуміють співробітники правила та чи застосовують їх у реальних ситуаціях.
Кращі показники пов’язують комплаєнс-діяльність із пріоритетами бізнесу. Якщо керівництво прагне скоротити затримки у розслідуваннях, слід відстежувати час закриття справ та прострочені дії. Якщо компанія хоче зміцнити довіру, слід відстежувати використання каналів для повідомлень, впевненість співробітників у можливості відкрито висловлювати свою думку і занепокоєння щодо переслідування. Якщо бізнес залежить від постачальників з високим рівнем ризику, слід відстежувати перевірку третіх сторін, завершення процедур належної перевірки та невирішені тривожні сигнали.
Мета полягає в тому, щоб комплаєнс підтримував реальні пріоритети організації, а не лише скільки політик було написано.
Кожен ризик у сфері комплаєнсу повинен бути пов’язаний із потенційним впливом на бізнес. Це полегшує розуміння показників керівництвом.
Наприклад, повільне проведення розслідувань може збільшити юридичні ризики та ризики для репутації. Слабка культура повідомлень може затримати виявлення неправомірних дій. Повторні порушення політик можуть вказувати на провали в системі контролю. Недостатній комплексний аналіз третіх сторін може спричинити корупцію, санкції або ризики для ланцюга постачання.
Таке зіставлення допомагає комплаєнс-командам перейти від абстрактної мови ризиків до практичної бізнес-релевантності. Замість того, щоб повідомляти про «15 порушень політики», команда може пояснити, що ці відхилення можуть означати для операційної дисципліни, регуляторних ризиків або ефективності контролю.
Перш ніж ставити амбітні цілі, організації повинні зрозуміти своє поточне становище. Базовий рівень показує, що є нормальним для організації на сьогодні і створює орієнтир для майбутнього вдосконалення.
Корисні базові показники можуть включати середню кількість повідомлень за квартал, середній час завершення розслідування, рівень підтвердження фактів, відсоток прострочених коригувальних заходів, результати оцінювання навчання або кількість повторюваних виявлених порушень. Без базового рівня важко визначити, чи показники покращуються, погіршуються чи просто коливаються.
Базові показники також допомагають уникнути помилкових висновків. Наприклад, збільшення кількості повідомлень від заявників спочатку може здаватися негативним явищем, але насправді це може означати, що співробітники краще обізнані про канали для повідомлень та більш охочі висловлювати свою думку.
Не існує універсального переліку KPI з комплаєнсу, який підходив би для кожної організації. Показник, який є критично важливим для фінансової установи, може бути менш актуальним для виробництва. Швидкозростаючому стартапу можуть знадобитися інші показники, ніж для зрілої транснаціональній групі.
Найкращі комплаєнс-показники залежать від профілю ризиків організації, її зрілості, галузі, географічного розташування та стратегічних цілей. Вони мають бути чіткими, вимірюваними та корисними для вжиття заходів.
Простий, але ефективний тест: якщо показник зміниться, чи хтось прийме рішення на його основі? Якщо відповідь «ні», цей показник, ймовірно, не має бути в основному списку комплаєнс-питань.
Як тільки організація зрозуміє свої бізнес-пріоритети та ризики у сфері комплаєнсу, наступним кроком стає вибір правильних показників. Збалансована система показників не повинна спиратися лише на один тип показників. Вона має включати показники, що демонструють, як працює програма комплаєнсу сьогодні, та показники, що попереджають про можливі ризики в майбутньому.
Саме тут стає важливою різниця між KPI, KRI, показниками випередження та відставання.
Ключові показники ефективності (KPI) у сфері комплаєнсу вимірюють, наскільки ефективно працює комплаєнс-програма. Вони допомагають відповісти на такі питання: Чи вчасно розглядаються кейси? Чи виконано коригувальні заходи? Чи проходять співробітники навчання? Чи перевірено засоби контролю? Чи використовуються канали для повідомлень?
Ключові індикатори ризику (KRI) зосереджуються на рівні ризику. Вони допомагають відповісти на інше питання: де може виникнути серйозна проблема в майбутньому? Прикладами можуть бути збільшення кількості винятків із політики, прострочені коригувальні заходи, повторювані порушення в одному й тому ж відділі, низький рівень повідомлень в регіонах з високим ризиком або зростаюча кількість невирішених тривожних сигналів щодо третіх сторін.
Простіше кажучи, KPI показують результати діяльності. KRI вказують на сигнали ризику. Обидва показники необхідні для того, щоб зрозуміти, чи є комплаєнс активним, ефективним та зосередженим на правильних питаннях.
Показники випередження та відставання слугують різним цілям у вимірюванні комплаєнсу. Показники відставання пояснюють, що вже сталося, тоді як показники випередження допомагають визначити, де може виникнути ризик у майбутньому.
Надійна система комплаєнсу повинна використовувати обидва типи показників: одні — для підзвітності та аналізу тенденцій, інші — для профілактики та вжиття своєчасних заходів.
| Група показників | Для чого вони використовуються | Показники |
|---|---|---|
|
Показники відставання
|
Відображають минулі події та їхні наслідки.
Вони допомагають комплаєнс-командам зрозуміти, що сталося, де виникли проблеми та як на них відреагувала організація.
Вони корисні для аналізу тенденцій та звітності, але зазвичай виявляють проблеми вже після того, як вони сталися.
|
|
|
Показники випередження
|
Допомагають виявляти ризики, перш ніж вони переростуть у серйозні інциденти.
Вони на ранній стадії виявляють закономірності, слабкі місця та вразливі точки, завдяки чому організація може вжити заходів до того, як проблеми загостряться.
|
|
Показники випередження та відставання служать різним цілям. Показники відставання допомагають пояснити те, що вже сталося. Показники випередження допомагають запобігти тому, що може статися надалі.
У поєднанні вони дають повнішу картину ефективності комплаєнсу. Наприклад, кількість підтверджених випадків свідчить про минулі порушення, тоді як час виявлення показує, чи вчасно організація виявляє проблеми. Завершення навчання свідчить про участь, тоді як оцінювання після навчання та повторні порушення показують, чи дає навчання результат.
Надійна система комплаєнс-оцінки повинна поєднувати обидва види показників. Це допомагає організації перейти від пасивної звітності до активного управління ризиками. Замість того, щоб лише повідомляти керівництву про те, що пішло не так у минулому кварталі, комплаєнс-відділ може показувати, де виникають ризики та які заходи слід вжити, перш ніж вони загостряться.
Не існує єдиного набору комплаєнс-показників, який би підходив для кожної організації. Коректні показники залежать від ризиків компанії, галузі, рівня зрілості, регуляторних вимог та бізнес-пріоритетів. Проте більшість комплаєнс-програм повинні відстежувати збалансований набір показників у кількох основних сферах: повідомлення, розслідування, усунення порушень, навчання, заходи контролю, корпоративна культура та витрати.
Мета полягає не в тому, щоб виміряти все. Мета полягає в тому, щоб вибрати показники, які допоможуть організації зрозуміти, чи працюють процеси комплаєнсу, де ризики зростають і де потрібно вжити заходів.
| Сфера показників | Що допомагає виміряти | Приклади показників |
|---|---|---|
|
Показники Speak-up культури та рівня повідомлень про порушення |
Чи знають співробітники та стейкхолдери, як повідомляти про проблеми, і чи достатньо вони довіряють каналам, щоб ними користуватися? Ці показники також допомагають оцінити Speak-up та Whistleblowing культуру та своєчасне виявлення проблем. |
|
| Показники розслідування та кейс-менеджменту |
Чи розглядаються повідомлення послідовно, справедливо та вчасно? Вони також допомагають виявити вузькі місця в процесі розслідування. |
|
| Показники заходів з усунення недоліків та коригувальних дій |
Чи усуває організація першопричини та вживає відповідних заходів після виявлення порушень? Ці показники свідчать про те, чи сприяє комплаєнс реальним змінам, а не лише закриттю кейсів. |
|
| Показники ефективності навчання та політики | Чи співробітники не тільки проходять необхідне навчання та підтверджують ознайомлення з політиками, але й розуміють їх та застосовують на практиці. |
|
| Показники тестування контролю та аудиту |
Чи працюють процеси та заходи комплаєнсу так, як передбачено? Вони допомагають виявити слабкі місця, перш ніж вони переростуть у серйозні інциденти. |
|
| Показники культури та етичного клімату |
Чи підкріплені офіційні комплаєнс-процеси довірою співробітників, етичною поведінкою та готовністю висловлювати свою думку? Ці показники допомагають виявити ризики, які можуть не проявитися, якщо брати до уваги лише кількість кейсів. |
|
| Показники витрат та ефективності |
Як комплаєнс-підрозділ використовує ресурси та де вдосконалення процесів або впровадження технологій могли б зменшити обсяг ручної роботи.? Ці показники допомагають обґрунтувати інвестиції у комплаєнс. |
|
Рентабельність інвестицій у комплаєнс важко розрахувати з ідеальною точністю, але її все одно важливо оцінити. Без чіткого бізнес-обґрунтування комплаєнс може легко сприйматися лише як регуляторні витрати, а не як функція, що захищає цінність, зменшує збитки та покращує процес прийняття рішень.
Мета полягає не в тому, щоб стверджувати, що комплаєнс може запобігти кожному інциденту або перетворити кожен ризик на точну фінансову цифру. Мета — переконливо та практично продемонструвати, як комплаєнс допомагає організації уникнути збитків, ефективніше використовувати ресурси та приймати рішення з урахуванням ризиків.
Комплаєнс часто створює цінність, запобігаючи негативним наслідкам. Це ускладнює доведення його впливу порівняно зі зростанням доходів або скороченням витрат. Якщо не відбувається жодних серйозних порушень, випадків шахрайства, штрафів з боку регуляторних органів або репутаційних криз, може бути складно точно показати, наскільки саме сприяла цьому комплаєнс-програма.
Проте це не означає, що рентабельність інвестицій слід ігнорувати. Керівництво повинне розуміти, чи пропорційні інвестиції у комплаєнс ризикам, з якими стикається організація. Вони також повинні бачити, чи покращують технології, кадрове забезпечення, навчання, канали для повідомлень та процеси розслідування здатність компанії виявляти ризики та керувати ними.
Простий спосіб оцінити ROI у комплаєнсі — порівняти вигоду, отриману або захищену комплаєнс-програмою, із загальними витратами на її функціонування.
ROI у комплаєнс = (уникнені збитки + підвищення ефективності − інвестиції у комплаєнс) / інвестиції у комплаєнс
Цю формулу слід розглядати як практичну основу, а не як точну науку. Вона допомагає комплаєнс-командам організувати бізнес-аналіз навколо трьох основних напрямків:
Уникнені збитки — це потенційні витрати, які організація зменшує завдяки кращим заходам з попередження, виявлення та реагування. До них можуть належати штрафи за порушення нормативних вимог, судові витрати, збитки від шахрайства, витрати на розслідування, шкода репутації, втрата клієнтів, перебої в роботі або витрати, пов’язані з повторними порушеннями.
Наприклад, ефективні канали для повідомлень допомагають раніше виявляти порушення, завдяки чому компанія зменшує масштаб проблеми, перш ніж вона переросте у юридичну або репутаційну кризу. Також ретельна перевірка третіх сторін запобігає співпраці з високоризикованими постачальниками, і тоді організація може уникнути корупційних порушень, санкцій або вразливостей ланцюга постачання.
Уникнуті збитки слід ретельно оцінювати. Найбільш надійним підходом є використання внутрішніх історичних даних, еталонів галузі, прикладів застосування регуляторних заходів або оцінок ризиків на основі сценаріїв.
Підвищення ефективності демонструє, як комплаєнс допомагає організації заощаджувати час і ресурси. Це особливо актуально, коли структуровані робочі процеси, автоматизація, дашборди та централізований кейс-менеджмент замінюють ручну роботу.
Наприклад:
Ці вигоди легше оцінити кількісно, ніж уникнуті збитки. Наприклад, якщо комплаєнс-команда економить 20 годин на місяць на ручному складанні звітів, цей час можна перерахувати на економію витрат, виходячи з вартості робочого часу співробітників та розподілу ресурсів.
Не кожна перевага у сфері комплаєнсу має виражатися у вигляді прямої фінансової віддачі. Деякі з найважливіших бізнес-переваг походять від зменшення невизначеності та покращення контролю над ризиками.
Наприклад:
Ці результати не завжди приносять миттєві фінансові вигоди, але вони роблять організацію більш стійкою. Для керівників та членів ради директорів це часто є не менш важливим, ніж безпосередня економія коштів.
Комплаєнс-команди повинні бути обережними, щоб не завищувати показник ROI. Це може підірвати довіру, особливо з боку стейкхолдерів з фінансового та юридичного секторів або членів ради директорів.
Уникайте тверджень на кшталт «комплаєнс запобіг збиткам на суму 5 мільйонів доларів», якщо за цією цифрою не стоїть чітка методологія. Краще подавати ROI як оцінку, що ґрунтується на фактах та підкріплена гіпотезами, бенчмарками та внутрішніми даними.
Бізнес-кейс має бути реалістичним. Він повинен показувати, де комплаєнс однозначно економить час, де, ймовірно, знижує ризики, а де ще потрібні більш точні вимірювання. Чим прозоріші гіпотези, тим переконливішою стає аргументація щодо бізнес-цінності.
Комплаєнс-дані стають цінними лише тоді, коли допомагають керівництву зрозуміти ризики та ухвалити рішення. Звіт для ради директорів не повинен бути набором розрізнених цифр. Він має пояснювати, що змінюється, де організація наражається на ризики, які заходи вживаються та на що раді директорів слід звернути увагу.
Мета полягає в тому, щоб перетворити комплаєнс-звітність із простого оновлення стану справ на інструмент прийняття рішень. Це означає подання показників у контексті, з урахуванням тенденцій, порогових значень та чітких наслідків для бізнесу.
Членам ради директорів не потрібні всі операційні деталі. Їм потрібне чітке уявлення про стан комплаєнсу в організації та про ризики, які можуть вплинути на стратегію, репутацію, фінансові результати або регуляторні ризики.
Корисний звіт для ради директорів повинен відповідати на такі питання:
Рада директорів потребує достатньо детальної інформації для здійснення нагляду, але не настільки багато, щоб втратити суть повідомлення.
Комплаєнс-командам часто потрібні детальні дашборди для управління повсякденною роботою: відкриті кейси, терміни виконання, відповідальні особи, прострочені завдання, нотатки щодо розслідувань та хід усунення недоліків. Такий рівень деталізації корисний для операційної діяльності, але зазвичай є надто детальним для звітів ради директорів.
Звіт для ради директорів має бути більш вибірковим. Він повинен зосереджуватися на тенденціях з високим рівнем ризику, значних інцидентах, невирішених питаннях та рішеннях, що вимагають уваги керівництва.
Практичним підходом є поділ звітності на три рівні:
Такий поділ допомагає забезпечити, щоб кожна цільова аудиторія отримувала саме той обсяг інформації, який їй дійсно потрібен.
Сухі цифри без контексту можуть вводити в оману. Наприклад, твердження, що компанія отримала 40 повідомлень у цьому кварталі, не пояснює, чи це добре, погано, очікувано чи викликає занепокоєння.
Більш переконливий звіт містив би:
Порогові значення також допомагають керівництву зрозуміти, коли той чи інший показник вимагає уваги. Наприклад, якщо понад 15 % коригувальних заходів прострочені, це може спричинити ескалацію. Якщо час закриття розслідування перевищує цільовий показник протягом двох кварталів поспіль, це може свідчити про проблему з ресурсами або процесами.
Контекст перетворює цифри на глибоке розуміння. Він допомагає керівництву та раді директорів зрозуміти не лише те, що сталося, а й чому це має значення.
Звіт, готовий до подання раді директорів, повинен чітко визначати наступний крок. Якщо дані вказують на проблему, звіт повинен пояснювати, яке рішення або які дії необхідно вжити.
Наприклад:
Найкращі комплаєнс-звіти не залишають керівництво в невизначеності. Вони пов’язують дані з ризиком, ризик — з діями, а дії — з відповідальністю.
Дашборд для ради директорів має бути достатньо простою, щоб її можна було швидко прочитати, але й достатньо змістовною, щоб забезпечувати ефективний нагляд. Однією з практичних структур є організація панелі навколо кількох найважливіших розділів.
|
Розділ дашборду
|
Що вона відображає
|
Чому це важливо
|
|
Найбільші комплаєнс- ризики |
Найвищі поточні ризики за категоріями, регіонами або бізнес-підрозділами |
Звертає увагу правління на найважливіші ризики |
|
Культура Speak-Up |
Тенденції повідомлень, використовувані канали, анонімні повідомлення, побоювання щодо переслідування |
Показує, чи довіряють співробітники та стейкхолдери процесу повідомлення про порушення |
|
Результативність розслідувань |
Відкриті кейси, кейси з простроченням, середній час до закриття, розслідування з високим рівнем ризику |
Показує, чи проблеми вирішуються послідовно та вчасно |
|
Статус вжиття коригувальних заходів |
Завершені коригувальні дії, прострочені дії, повторювані виявлені недоліки |
Показує, чи усуває організація першопричини |
|
Результати контролю та аудиту |
Неефективні заходи контролю, результати аудиту, повторювані недоліки |
Показує, чи процеси забезпечення відповідності працюють так, як передбачено |
|
Показники корпоративної культури |
Результати опитувань, довіра до звітності, сигнали про етичний клімат |
Показує, чи підкріплюються формальні процеси реальною поведінкою працівників |
|
Показники бізнес-цінності |
Уникнуті збитки, підвищення ефективності, скорочення ручної роботи, покращення часу реагування |
Пов’язує результати дотримання вимог з бізнес-цінністю |
Така структура допомагає перевести дискусію з питання «що зробила комплаєнс-команда?» на питання «що організація повинна знати, вирішити та вдосконалити?»
Оцінка комплаєнсу стає кориснішою в міру зрілості програми. Багато організацій починають з ручного відстеження, розрізнених даних та базових звітів. Згодом вони можуть перейти до структурованих робочих процесів, показників, що базуються на ризиках, звітності, готової до подання раді директорів та чіткіших доказів бізнес-цінності.
Модель зрілості комплаєнсу допомагає організаціям зрозуміти, на якому етапі вони перебувають сьогодні та що слід вдосконалити далі — від реактивного комплаєнсу до стратегічної цінності комплаєнсу.
Щоб детальніше ознайомитися з кожним етапом зрілості, прочитайте нашу статтю: «Модель зрілості дотримання нормативних вимог: від реактивного до стратегічного дотримання».
Комплаєнс-оцінка стає набагато складнішою, коли дані розкидані по електронних листах, таблицях, спільних папках, записах гарячої лінії, аудиторських звітах та окремих системах управління персоналом або юридичних системах. Навіть якщо організація збирає корисну інформацію, їй все одно може бути складно об’єднати її в єдину чітку картину.
Технології допомагають перетворити діяльність комплаєнсу на структуровані дані. Звіти, кейси, етапи розслідувань, коригувальні заходи, терміни, відповідальність та результати можна послідовно відстежувати. Це полегшує виявлення закономірностей, визначення затримок, оцінку ефективності та підготовку звітів для керівництва та ради директорів.
Електронні таблиці можуть бути корисними на початковому етапі, але стають неефективними у міру розширення комплаєнс-програми. В них легко загубити інформацію, важко перевіряти її, а також складно керувати таблицями, коли до процесу залучено декількох осіб або команд.
До типових проблем належать:
Головна проблема полягає не в тому, що електронні таблиці «погані». Проблема в тому, що вони не призначені для управління складними робочими комплаєнс-процесами, конфіденційними звітами, розслідуваннями, коригувальними заходами та звітуванням керівництву у великих масштабах.
Більш ефективний підхід полягає в централізації комплаєнс-даних в одній системі. Це надає комплаєнс-командам єдине місце для кейс-менеджменту, розподілу кейсів, відстеження ходу розслідувань, документування рішень та контролю за виконанням коригувальних заходів до їхнього завершення.
Централізовані дані також покращують аналіз. Замість того, щоб вручну збирати цифри перед складанням кожного звіту, організація може безперервно відстежувати показники: скільки кейсів відкрито, скільки часу тривають розслідування, які заходи прострочені, які категорії проблем набирають обертів та де повторюються проблеми.
Це особливо корисно, коли комплаєнс-дані надходять з різних джерел. Звернення можуть надходити через веб-форму, гарячу лінію, електронну пошту, від керівника або в рамках інших внутрішніх процесів. Якщо ці дані структуровані в одній системі, організація може порівнювати їх, аналізувати та використовувати для кращого контролю ризиків.
Кейс-менеджмент — це не лише закриття окремих кейсів. Кожен кейс може стати джерелом інформації про ризики організації, механізми контролю, корпоративну культуру та якість реагування.
Наприклад:
Коли ці дані структуруються та аналізуються у динаміці, комплаєнс-команди можуть перейти від адміністративного опрацювання випадків до бізнес-аналітики. Вони можуть продемонструвати керівництву не лише те, що сталося, а й де зосереджені ризики, як реагує організація та що потрібно змінити.
Хороша система аналітики комплаєнсу повинна допомагати командам керувати повсякденною роботою та забезпечувати підготовку звітів вищого рівня. Вона повинна спрощувати збір, захист, аналіз та представлення даних.
Основні можливості включають:
Цінність технологій полягає не лише в автоматизації. Вони допомагають комплаєнс-командам створити більш надійну систему оцінки. Коли звіти, розслідування та коригувальні заходи відстежуються послідовно, організація може довести ефективність комплаєнсу за допомогою більш переконливих доказів, меншого обсягу ручної роботи та чіткішого розуміння ситуації для прийняття рішень.
Навіть добре розроблені програми комплаєнсу можуть оцінювати не ті показники або неправильно інтерпретувати корисні дані. Проблема, як правило, полягає не в нестачі цифр. Проблема полягає у відсутності фокусу, контексту та зв’язку з реальними бізнес-рішеннями.
Уникнення цих типових помилок допомагає командам з комплаєнсу створювати звіти, які є кориснішими для керівництва та дають організації більше можливостей для дій.
Більша кількість показників не означає автоматично кращий аналіз. Якщо дашборд містить занадто багато показників, найважливіші сигнали можуть загубитися.
Комплаєн-команда може відстежувати десятки показників: кейси, тренінги, підтвердження дотримання політик, результати аудитів, терміни проведення розслідувань, коригувальні заходи, результати опитувань тощо. Усі вони можуть бути корисними в певному контексті, але не всі з них мають бути включені до звітності для керівництва або ради директорів.
Кращий підхід — розділити показники за аудиторією та метою. Оперативним командам можуть знадобитися детальні дані. Керівництву потрібні тенденції, ризики та наслідки для ресурсів. Раді директорів потрібен загальний огляд та основи для прийняття рішень.
Існує простий і корисний тест: якщо цей показник зміниться, чи хтось вживатиме заходів? Якщо ні, можливо, йому не місце на дашборді.
Цифри не говорять самі за себе. Звіт, у якому зазначено: «Цього кварталу було отримано 45 повідомлень», не пояснює, чи організація покращує свої показники, чи вони погіршуються, чи вона стикається з новим ризиком.
Кожен важливий показник має бути проаналізований. Комплаєнс-команди повинні пояснити, що змінилося, чому це має значення та які заходи можуть бути необхідними.
Наприклад, збільшення кількості повідомлень може означати кілька різних речей:
Без правильного тлумачення керівництво може зробити хибний висновок. Якісне звітування пов’язує цифри з контекстом, тенденціями та їхнім значенням для бізнесу.
Низький рівень повідомлень є одним із найпоширеніших неправильно тлумачених комплаєнс-сигналів. Деякі організації вважають, що менша кількість повідомлень означає менше проблем. Іноді це може бути правдою, але часто це не так.
Низький рівень повідомлень також може означати, що співробітники не знають, як подавати повідомлення, не довіряють процесу, бояться помсти або вважають, що нічого не зміниться. Це особливо викликає занепокоєння у відділах, регіонах або бізнес-підрозділах з високим рівнем ризику, де мовчання може приховувати серйозні проблеми.
Щоб правильно інтерпретувати низьку кількість повідомлень, її слід порівнювати з іншими сигналами: результатами опитувань щодо корпоративної культури, плинністю кадрів, скаргами до відділу кадрів, висновками аудиту, тиском з боку керівництва та неформальними відгуками. Якщо кількість повідомлень низька, але інші показники ризику високі, в організації може бути проблема з довірою.
Ефективність комплаєнсу не можна вимірювати лише за допомогою кількісних показників. Цифри показують, що сталося, але не завжди пояснюють, чому це сталося.
Корпоративна культура та якісні дані допомагають заповнити цю прогалину. Опитування співробітників, фокус-групи, відгуки керівників, інтерв’ю при звільненні, повідомлення заявників та перевірки етичного середовища можуть показати, чи розуміють люди правила, чи довіряють каналам для повідомлень та чи вірять, що порушення будуть розглянуті справедливо.
Наприклад, рівень проходження навчання може бути високим, але відгуки співробітників можуть свідчити про те, що люди все ще не знають, як застосовувати політику в реальних ситуаціях. Гаряча лінія може бути доступною, але результати опитувань можуть показувати, що співробітники бояться нею користуватися.
Ігнорування корпоративної культури створює хибне відчуття безпеки. Програма може виглядати ефективною на дашбордах, тоді як реальні ризики, пов’язані з поведінкою, залишаються прихованими.
Виявлення проблеми — це лише перший крок. Комплаєнс-програма доводить свою ефективність шляхом усунення проблеми та зменшення ймовірності її повторення.
Якщо коригувальні заходи не відстежуються, організація може закривати розслідування, не усунувши першопричини. Ті самі виявлені проблеми можуть повторитися під час майбутніх аудитів, ті самі команди можуть повторити ті самі порушення, а коригувальні дії можуть залишитися незавершеними.
До корисних показників ефективності виправних заходів належать:
Саме тут комплаєнс-оцінка набуває практичного значення. Вона показує, чи організація робить висновки з виявлених проблем, чи просто їх документує.
Комплаєнс-показники не повинні існувати лише для заповнення квартальних звітів. Вони повинні допомагати організації вирішувати, що робити далі.
Якщо час закриття кейсів збільшується, організації можуть знадобитися додаткові ресурси для розслідувань або чіткіші робочі процеси. Якщо коригувальні заходи затримуються, можливо, потрібно підвищити рівень відповідальності. Якщо звіти зосереджені в одному відділі, керівництву, можливо, доведеться переглянути місцеві практики управління. Якщо результати навчання є низькими у функції з високим рівнем ризику, програму навчання слід переробити.
Справжня цінність вимірювання дотримання вимог полягає не в самій інформаційній панелі, а в рішеннях, які вона підтримує. Показники повинні допомагати керівництву розподіляти ресурси, посилювати контроль, покращувати корпоративну культуру та зменшувати ризики, перш ніж проблеми набудуть більших масштабів.
Система оцінки комплаєнсу не обов’язково має починатися зі складного дашборду. Її можна розпочати з чіткої структури: що організація хоче захистити, які ризики є найважливішими, які дані доступні та які показники можуть сприяти прийняттю кращих рішень.
Мета полягає у створенні повторюваного процесу вимірювання ефективності комплаєнсу, інтерпретації результатів та вдосконаленні програми з часом.
Почніть із уточнення того, що саме має підтримувати комплаєнс-програма. Це може включати готовність до запобігання неправомірним діям, зміцнення культури Speak-Up, прискорення розслідувань, управління ризиками, пов’язаними з третіми сторонами, запобігання шахрайству або покращення нагляду з боку ради директорів.
Цілі мають бути достатньо конкретними, щоб слугувати орієнтиром для оцінки.
Наприклад, «покращити комплаєнс» — це занадто широке формулювання. «Скоротити затримки у проведенні розслідувань», «підвищити довіру до каналів для повідомлень» або «відстежувати виконання коригувальних заходів» — такі цілі легше виміряти та контролювати.
Далі визначте ризики у сфері комплаєнсу, які мають найбільше значення для організації. Ці ризики залежатимуть від галузі, географічного розташування, розміру, бізнес-моделі та регуляторного середовища компанії.
До типових категорій ризику належать:
Цей крок допомагає уникнути ситуації, коли організація вимірює загальні показники, які не відображають реальний ризик.
Для кожної ключової сфери ризику оберіть невелику кількість змістовних показників. Оптимальне поєднання має включати як показники ефективності, так і показники ризику.
Наприклад, для управління розслідуваннями корисними показниками можуть бути середній час закриття справ, кількість прострочених розслідувань, ступінь серйозності справ, рівень підтвердження та повторні звинувачення. Щодо культури відкритого висловлювання, корисними показниками можуть бути рівень повідомлень від співробітників, співвідношення анонімних та іменних повідомлень, результати опитувань щодо довіри, побоювання щодо репресій та час, необхідний для підтвердження отримання повідомлень.
Найкращі показники є чіткими, вимірюваними та такими, що дають підстави для дій. Якщо показник змінюється, організація повинна знати, яке рішення або які подальші дії це може спричинити.
Кожен показник потребує надійного джерела даних та чітко визначеного відповідального. Інакше звітність стає непослідовною, і їй важко довіряти.
Дані можуть надходити з каналів для повідомлень, кейс-менеджмент платформи, кадрових записів, навчальних платформ, інструментів управління політиками, аудиторських звітів, реєстрів ризиків, юридичних документів або фінансових систем.
Кожному показнику має бути призначений відповідальний, який відповідатиме за якість даних, їх оновлення та інтерпретацію.
Це дозволяє уникнути поширеної проблеми, коли комплаєнс-звіти залежать від ручного збору даних в останній момент з боку різних команд.
Показники стають кориснішими, коли організація визначає, що таке «нормальний», «в зоні ризику» та «критичний» стан.
Наприклад:
Частота звітування має відповідати рівню ризику. Операційні показники можуть потребувати щотижневого або щомісячного перегляду. Дашборд для керівництва можна переглядати щомісяця або щокварталу. Звітування на рівні ради директорів зазвичай відбувається рідше, але має зосереджуватися на найважливіших тенденціях, ризиках та рішеннях.
Останній крок полягає в тому, щоб перетворити вимірювання на постійне вдосконалення. Показники повинні не лише описувати те, що сталося. Вони повинні допомагати організації зрозуміти, що потрібно змінити.
Це означає аналіз тенденцій, виявлення першопричин, обговорення результатів із відповідними керівниками підрозділів та оновлення засобів контролю, навчання, політик або робочих процесів на основі того, що показують дані.
Практичний цикл виглядає так:
вимірювання → інтерпретація → дії → вдосконалення → звітність
Коли цей цикл працює ефективно, вимірювання комплаєнсу стає чимось більшим, ніж просто звітування. Воно перетворюється на інструмент управління, який допомагає організації раніше виявляти ризики, швидше усувати проблеми та доводити бізнес-цінність програми дотримання вимог.
Функція комплаєнсу більше не може спиратися на припущення, що її цінність є очевидною. Радам директорів та керівництву потрібні чіткі докази того, що програма допомагає організації знижувати ризики, виявляти проблеми на ранніх етапах, послідовно реагувати на них та вдосконалюватися з часом.
Для цього необхідно вийти за межі звітності, що базується на діяльності. Пройдені тренінги, підписані політики та закриті справи мають значення, але це лише частина загальної картини.
Справжня ефективність комплаєнсу проявляється через результати: посилені заходи контролю, швидше усунення недоліків, менше повторюваних проблем, здоровіша Speak-up-культура, краща прозорість для ради директорів та більш обґрунтовані бізнес-рішення.
Найефективніші комплаєнс-команди використовують вимірювання як інструмент управління, а не лише як процедуру звітування. Вони пов’язують показники з бізнес-цілями, відстежують як випереджуючі, так і відстаючі показники, інтерпретують дані в контексті та використовують отримані висновки для вдосконалення програми. Коли це відбувається, комплаєнс стає чимось більшим, ніж просто регуляторною функцією. Воно перетворюється на джерело інформації про ризики, підзвітності та довгострокову бізнес-цінність.