Визначення оптимального підрозділу для управління гарячою лінією з питань етики залежить від організаційної структури, розміру, галузі діяльності компанії чи контексту. Ми спробуємо підійти з різних перспектив і подискутувати.
За функціонування лінії довіри з питань етики потенційно можуть відповідати кілька корпоративних підрозділів:
Комплаєнс:
- Комплаєнс служба часто добре оснащена для роботи з гарячою лінією, оскільки її основна роль полягає в забезпеченні дотримання законів, нормативних актів і внутрішніх політик.
- Мює досвід у проведенні розслідувань, управлінні ризиками та впровадженні комплаєнс-програм.
- Стандарт ISO 37001, орієнтований на системи управління боротьбою з корупцією, підкреслює важливість наявності механізму повідомлення про підозрілу діяльність, і ця роль добре підходить для саме комплаєнсу. Така конфігурація гарантує, що повідомлення оцінюються через призму дотримання нормативних вимог, пропонуючи системний підхід до зниження ризиків.
HR (підрозділ управління персоналом):
- HR-департаменти також можуть відповідати за роботу "гарячої лінії" з питань етики, оскільки вони відповідають за створення позитивного робочого середовища, вирішення проблем працівників та заохочення етичної поведінки.
- Має досвід у врегулюванні відносин з працівниками та збереженні конфіденційності. Таке узгодження особливо ефективне при розгляді справ, пов'язаних з неналежною поведінкою на робочому місці, дискримінацією та домаганнями.
- Залучення служб кадрів підсилює роль гарячої лінії як інструменту захисту прав працівників та формування культури взаємоповаги і справедливості, як це передбачено, наприклад, рекомендаціями Товариства управління людськими ресурсами (SHRM).
Юридична служба:
- Юристи мають глибоке розуміння правових наслідків, пов'язаних з корпоративною етикою, забезпечують дотримання чинних законів і нормативних актів, а також надають консультації з юридичних питань. Наприклад, забезпечення відповідності міжнародному законодавству, такому як Закон Великобританії про хабарництво та Закон США про боротьбу з корупцією за кордоном (FCPA).
- Може допомогти у проведенні ретельних розслідувань та управлінні будь-якими юридичними наслідками, що можуть виникнути.
- Добре орієнтується у складних питаннях конфіденційності та привілеїв, забезпечуючи безпечний канал для викривачів.
Служба безпеки:
- У питаннях, пов'язаних з корпоративним шахрайством, крадіжками та порушеннями безпеки, підпорядкування гарячої етичної лінії службі безпеки має стратегічний сенс.
- Має досвід роботи з конфіденційною інформацією та проведення розслідувань, що гарантує вирішення проблем, про які повідомляють, з найвищим ступенем конфіденційності та професіоналізму.
- Має унікальну перевагу у певних сферах, таких як кібербезпека або фізична охорона й безпека, отримання інформації чи взаємодія з правоохоронними органами.
- Може сприяти виявленню та усуненню будь-якої неетичної поведінки, яка може поставити під загрозу безпеку.
Внутрішній аудит:
- Функція внутрішнього аудиту виступає бастіоном незалежності, забезпечуючи повну неупередженість при перевірці звернень на "гарячу лінію".
- Конфлікт інтересів або самоперевірка є певним ризиком, оскільки проведення незалежних оцінок ефективності та результативності роботи "гарячої лінії" має бути частиною роботи внутрішнього аудиту.
Яке місце належить лінії довіри в системі трьох ліній захисту?
Концепція "ліній захисту" - це широко прийнята концепція управління ризиками, яка детально описує, як різні ланки організації сприяють виявленню, управлінню та пом'якшенню ризиків. Зазвичай ця модель складається з трьох основних ліній захисту:
1. Перша лінія: Операційний менеджмент, який володіє та управляє ризиками.
Плюси:
- Швидке реагування: Перша лінія має можливість швидко реагувати на повідомлення про неправомірні дії, потенційно вирішуючи проблеми до їх ускладнення чи ескалації.
Мінуси:
- Потенційний конфлікт інтересів: Перша лінія може зіткнутися з конфліктами між управлінням ризиками та досягненням операційних цілей, що може призвести до заниження кількості звернень або неналежного вирішення проблем, про які повідомляють на гарячу лінію.
- Відсутність анонімності та незалежності: Працівники можуть не наважитися повідомляти про проблеми, якщо вони вважають, що цей процес не є анонімним або незалежним, побоюючись переслідувань.
2. Друга лінія: Функції, які здійснюють контроль або спеціалізуються на управлінні ризиками та комплаєнсі.
Плюси:
- Спеціалізований нагляд: Відстороненість від щоденних операцій дозволяє більш виважено та менш упереджено підходити до розгляду повідомлень, що надходять на гарячу лінію.
Мінуси:
- Потенціал для вузьких місць: Без надійного сортування та делегування (тріажу в управлінні інцидентами) - централізація повідомлень з гарячої лінії на другій лінії може призвести до затримок у вирішенні проблем, якщо обсяг звернень великий або якщо проблеми мають комплексний характер.
3. Третя лінія: Підрозділи внутрішнього аудиту, які надають незалежну гарантію наглядовій раді та вищому керівництву щодо того, наскільки ефективно організація оцінює свої ризики та управляє ними.
Плюси:
- Незалежність та об'єктивність: Третя лінія забезпечує високий рівень незалежності, надаючи впевненість викривачам у тому, що їхні повідомлення будуть розглянуті об'єктивно і без страху переслідування.
- Комплексний нагляд: широкий погляд внутрішнього аудиту на організацію може гарантувати, що системні проблеми, виявлені за допомогою повідомлень на "гарячу лінію", будуть вирішені на системному рівні.
Мінуси:
- Відчуття недоступності: Працівники можуть вважати внутрішній аудит надто дистанційованим від операційної діяльності, що може знизити ймовірність їхнього звернення на "гарячу лінію".
- Обмеженість ресурсів: Служба внутрішнього аудиту може не мати достатніх ресурсів для оперативного опрацювання та розслідування всіх повідомлень, що надходять на "гарячу лінію", що призводитиме до часових затримок.
Оптимальна лінія захисту для розміщення гарячої лінії з питань етики залежить від розміру організації, її культури та специфічного профілю ризиків. Управління гарячою лінією на другій лінії захисту з огляду на її незалежність та спеціалізовані знання, з чіткими процедурами ескалації проблем до третьої лінії, якщо це необхідно, виглядає найбільш оптимальним. Особливо, якщо врахувати сильні і слабкі сторони різних функцій, що перелічені на початку статті. Крім того, якщо забезпечити належну поінформованість першої лінії - це може перетворити лінію довіри ще й на інструмент управління критичними ризиками.
Підхід, заснований на співпраці, є найкращою практикою
Хоча кожен підрозділ має свої переваги, найефективнішим підходом до управління гарячою лінією з питань етики є взаємодія. Це передбачає створення крос-функціональної команди, до складу якої входять представники служби комплаєнсу, HR, юридичної служби та служби безпеки, кожен з яких привносить свій унікальний погляд та експертизу в спільну роботу. Така мультидисциплінарна команда забезпечує комплексну оцінку звернень, охоплюючи правові, етичні, регуляторні та соціальні аспекти, а також аспекти добробуту співробітників. Найкращі компанії застосовують саме такий інтегрований підхід, встановлюючи еталон ефективного управління лініями довіри.
Що пропонують документи?
Давайте поглянемо на найбільш поширені нормативні документи, стандарти та міжнародні закони, що так чи інакше зачіпають функціонування каналів по роботі з заявниками та викривачами. До них відносяться:
Документ | Ключові характеристики | Визначена відповідальна функція для гарячої лінії |
---|---|---|
ISO 37001
|
Надає вимоги щодо створення системи управління протидією хабарництву.
|
Чітко не вказано; передбачає комплаєнс або подібну функцію нагляду.
|
ISO 37002
|
Методичні рекомендації щодо створення системи управління викривачами.
|
Заохочує мультидисциплінарний підхід, який не обмежується однією корпоративною функцією.
|
ISO 19600
|
Надає вказівки щодо створення, розробки, впровадження, оцінювання, підтримки та вдосконалення ефективної системи управління комплаєнсом.
|
Рекомендує нагляд за функцією комплаєнсу, але підтримує гнучкість залежно від розміру та структури організації.
|
Закон Великобританії про хабарництво 2010 року
|
Пропонувати, обіцяти, давати, вимагати, погоджуватися, отримувати або приймати хабарі заборонено.
|
Зазвичай має на увазі юридичні функції та функції комплаєнсу.
|
Закон США про боротьбу з корупцією за кордоном (FCPA)
|
Забороняє виплати іноземним урядовцям з метою розвитку бізнесу.
|
Зазвичай має на увазі юридичні функції та функції комплаєнсу.
|
Закон Сарбейнса-Окслі (SOX) 2002 р
|
Захищає інвесторів від шахрайської фінансової звітності. Включає корпоративну відповідальність і розкриття фінансової інформації.
|
Ревізійна комісія правління (внутрішній аудит) часто розглядає скарги заявників.
|
GDPR (Загальний регламент захисту даних)
|
Регулює захист персональних даних в ЄС.
|
Спеціаліст із захисту даних (DPO) контролює питання конфіденційності даних та розглядає скарги.
|
ISO 26000
|
Надає вказівки щодо етичної та прозорої діяльності в сфері корпоративної соціальної відповідальності
|
Спеціально не зазначено; рекомендує широке залучення зацікавлених сторін.
|
Рекомендації ОЕСР для багатонаціональних підприємств
|
Необов'язкові принципи та стандарти ведення глобального бізнесу.
|
Пропонує внутрішню контактну точку, але не для конкретного підрозділу.
|
Глобальний договір ООН
|
Відданість керівництва принципам сталого розвитку та цілям ООН.
|
Не залежить від підрозділу; зосереджується на всеосяжній ролі.
|
OCEG
|
Інтегрує процеси управління, управління ризиками та комплаєнс.
|
Виступає за інтегровану функцію GRC без визначення підрозділу.
|
Федеральні правила США щодо призначення покарань для організацій (FSGO)
|
Надає вказівки, якими користуються федеральні судді для винесення вироків організаціям, засудженим за федеральні кримінальні злочини, включно з ефективністю програм відповідності.
|
Підкреслює важливість ефективної програми комплаєнсу та етики без спеціальних вказівок щодо підрозділу.
|
Кримінальний відділ Міністерства юстиції США щодо Оцінки програм корпоративного комплаєнсу
|
Містить критерії для розгляду прокуратурою відповідності та ефективності комплаєнс програми корпорації. |
Пропонує операційну незалежність і ресурси для функції комплаєнсу, не приписуючи відповідальність за лінію довіри. Вимагає належне фінансування та доступ функції до вищого керівництва. |
Внутрішній контроль COSO – інтегрована рамка
|
Забезпечує комплексну основу для оцінки та вдосконалення систем внутрішнього контролю. |
Пропонується нагляд з боку керівництва та правління, але конкретна відповідальність гарячої лінії не детально описана. |
Як бачимо, цілком очікувано, документи фокусуються на ролі, важливості, форматі діяльності, а не на конкретній функції.
Висновок
Рішення про те, який саме підрозділ компанії має керувати гарячою лінією з питань етики, є стратегічним рішенням, що вимагає ретельного аналізу унікальних потреб організації та її етичного ландшафту.
Хоча кожен напрям має свої переваги, найкращою практикою є використання спільного збалансованого підходу, який використовує сильні сторони служб безпеки, комплаєнсу, HR та юристів. Водночас, оптимальний підхід має забезпечити незалежність реєстрації та захист від конфліктів інтересів за рахунок ескалацій. Мультидисциплінарна модель не лише відповідає існуючим нормам і міжнародному законодавству, а й демонструє прихильність до розвитку етичної корпоративної культури.
Зрештою, ефективність ліній довіри визначається не тими, хто нею керує, а тим, як вона побудована, які процедури за нею стоять, як вона інтегрована в ширшу систему цінностей та операційну систему організації з метою своєчасного та якісного вирішення проблем.