Управление риском санкций: семь стереотипов и пять элементов
Иллюстрация: Право.ru/Петр Козлов
Угроза санкций сегодня является одним из ключевых политических рисков для бизнеса. Современные государства все более активно применяют односторонние ограничительные меры для решения своих внешнеполитических задач. Что противопоставить таким рискам? Об этом в своем авторском материале рассуждают Иван Тимофеев, программный директор Российского совета по международным делам (РСМД) иМаргарита Хоменко – директор по проектам комплаенс Российской ассоциации этики бизнеса, комплаенса и КСО (RBEN)
Ключевым инициатором санкций уже долгое время выступают США. Они опережают всех остальных и по числу вводимых ограничений, и по эффективности инструментов. Ни в одной другой стране нет сходного доступа к информации и возможностей принуждения бизнеса к исполнению санкций. К тому же, американцы все более активно используют санкции экстерриториально или же трактуют свою юрисдикцию расширительно. Политика санкций других стран также представляет риск для бизнеса. Развиваются соответствующие механизмы ЕС. В России предпринимаются ответные меры на западные санкции, которые также затрагивают бизнес. Отдельная история – политика Китая. Здесь санкции менее формализованы, но в силу мощи китайской экономики и государства – потенциально и более чувствительны. В долгосрочной перспективе бизнесу придется учитывать все больше различных режимов санкций и адаптироваться к ним. Эффективное управление риском необходимо начинать с американских санкций как наиболее распространенных и глобальных. А также – с оценки рисков, связанных с национальными юрисдикциями, в которых работает бизнес.
Существует несколько распространенных стереотипов, которые могут оказать владельцам и менеджменту бизнеса медвежью услугу
Первый стереотип – если у меня нет злого умысла и компания преднамеренно не нарушает режимы санкций, значит риск для нее не актуален. Действительно, случаи преднамеренного нарушения существуют. Для некоторых велик соблазн получить сверхприбыль. В иных случаях компания может быть попросту агентом правительства или лиц, находящихся под санкциями. Американские регуляторы зачастую применяют к ним жесткие меры – блокируют их (печально известный SDN-List) или даже заводят уголовные дела. Однако существует множество случаев, когда компания попадает под штраф в силу незнания законов или неосторожности. Это хорошо видно по статистике штрафов за нарушение санкций – меры более мягкой в сравнении с блокированием, но все-равно довольно болезненной. С 2009 по настоящее время только Министерство финансов США взыскало штрафы с 216 нарушителей (данные Российского совета по международным делам – РСМД). Из них только в 32 случаев регулятор указывал на преднамеренные нарушения (willful violations). Тогда как в 80 случаях регулятор указывал на безответственную халатность (recklessness) компаний и менеджмента. В остальных случаях речь также в основном о различных формах неосторожности, ошибок в управлении, сбоях в аудите сделок и т.п.
Второй стереотип – государственные регуляторы обращают на нарушения крупных компаний, а средний и малый бизнес им неинтересны. Это ошибка. Да, крупные компании на слуху. Штрафы и иные санкции против них обязательно вызывают резонанс в прессе. Для американских регуляторов сам факт того, что компания является крупным и разветвленным бизнесом является отягчающим обстоятельством (если ты большой, позаботься о соблюдении законов). Среди попавших под штрафы или иные меры крупных компаний много. Но небольшие фирмы также подвержены риску. Можно выделить, как минимум, два десятка таких случаев. Хрестоматийный пример – дело против Epsilon Electronics за нарушение режима санкций против Ирана. В России же одним из наиболее известных стал случай американской Haverly Systems, оштрафованной в связи со сделкой с «Роснефтью».
С делом Haverly Systems связан и третий стереотип – регуляторы не цепляются к мелочам и сомнительным случаям, а обращают внимание только на вопиющие нарушения. Это не так. Штраф против Haverly Systems – результат весьма специфической и неочевидной интерпретации законодательства США. Платежи за услуги Haverly Systems были задержаны из-за проволочек в оформлении налоговых документов. Однако регулятор интерпретировал задержку фактически как кредитование «Роснефти» со стороны Haverly Systems, то есть как нарушение Директивы 2 Исполнительного указа 13662. Другой неочевидный случай, также связанный с «Роснефтью», – наложение штрафа на Exxon Mobil. Несколько контрактов между «Роснефтью» и Exxon Mobil подписал руководитель компании И.И. Сечин. Он находится в «черных списках» Минфина США, но не является держателем 50 или более процентов акций компании. Exxon Mobil была вынуждена заплатить штраф в 2 млн. долларов, однако затем оспорила это решение в суде.
Четвертый стереотип – «санкции за нарушение санкций» не страшны, если работать в иной юрисдикции. Опыт применения санкций США говорит об обратном. Многие страны (включая Россию, Китай и страны ЕС) критикуют Вашингтон за экстерриториальные санкции. Но бизнесу от этого не легче. Риск никуда не исчезает. С высокой долей вероятности американцы начнут расследование, если трансакция с подсанкционными лицами осуществлялась в долларах США, то есть через счета американских банков. То же касается «дочек» американских фирм, работающих за рубежом. Недавние примеры проблем «дочек» – расследования и последующие штрафы против Stanley Black and Decker, Aplichem GmbH, Kollmorgen и целого ряда других. Проблемы возникают при попытках сделок через третьи страны и компании (случай компании Acteon) или даже если нарушение де факто совершила третья сторона в третьей стране без ведома самого «нарушителя». Так недавно произошло с Appolo Aviation Group. Ее оборудование было сдано в лизинг компании из ОАЭ. Она, в свою очередь, передала его компании из Украины. А та – в находящийся под санкциями Судан. Ответчиком в итоге оказалась Appolo, с удивлением узнавшая о затейливой траектории движения своего оборудования и ставшей невольным нарушителем.
Пятый стереотип – если государственные регуляторы сразу не узнали о нарушениях, то о них можно забыть. Как вариант, если компания не знает о нарушениях, значит их нет. К сожалению, немало компаний узнает о нарушениях от регулятора спустя длительное время. По оценкам РСМД, средний промежуток времени между нарушением и заключением соглашения компании и регулятора о штрафе (в случае санкций Минфина США) занимает более 6 лет. Американский регулятор мотивирует компании самостоятельно раскрывать свои нарушения, снижая в этом случае штраф на 50%. Но что делать, если сама компания не знает о них? По данным РСМД, как минимум 135 компаний из 216 за последние 10 лет не раскрыли нарушения добровольно и заплатили штраф Минфину США в значительно большем размере. Многие попросту не знали о своих нарушениях.
Шестой стереотип. Санкционный комплаенс – избыточен. Или же существующий комплаенс хорош и не требует развития. Данные РСМД показывают, что как минимум у 88 попавших под штрафы компаний комплаенс либо отсутствовал, либо находился в неразвитом виде, что учитывалось регулятором как отягчающее обстоятельство. Пробелы санкционного комплаенса приводили к самым разным нарушениям. От банальной «юридической слепоты» – незнания законов и отсутствия оценок политического риска, до отсутствия ограничения для чрезмерно активных менеджеров, идущих на нарушения ради бонусов за продажи. 141 компания из 216 была вынуждена принять меры по развитию комплаенс. Уже постфактум компании усиливают персонал комплаенс, проводят аудит сделок, организуют тренинги, заказывают пособия и т.п. Но перед этим им приходится пройти через нервотрепку расследования и заплатить штраф.
Наконец, седьмой стереотип связан с работой в странах, которые находятся под санкциями и вводят контрмеры. Здесь срабатывает страх оказаться между молотом западных санкций и наковальней мер национального регулятора. В России, например, такие страхи подогрело обсуждение в 2018 г. поправок в Уголовный кодекс, которые предусматривали ответственность за соблюдение зарубежных санкций. Несмотря на то, что поправки приняты не были, само обсуждение оказало негативный эффект на восприятие риска деятельности комплаенс. На деле в задачу комплаенс входит объективная оценка всех существующих для компании рисков санкций, где бы не находился их источник. Национальный регулятор страны, находящейся под санкциями, также заинтересован в эффективной работе комплаенс, ведь он работает и на исполнение национальных норм. По крайней мере, вырастает вероятность того, что они будут адекватно проанализированы и оценены.
Какие требование сегодня предъявляются к эффективному санкционному комплаенс?
Год назад, в мае 2019 года Управление по контролю зарубежных активов Минфина США (OFAC) выпустило «Рамочные обязательства по соблюдению санкций». Предложенные ключевые элементы программы санкционного комплаенса следующие: (1) Приверженность (обязательства) руководства, (2) Оценка рисков, (3) Внутренний контроль, (4) Тестирование и аудит системы и (5) Обучение. Предложенные элементы также есть в любой программе комплаенс: антикоррупционной, антимонопольной, по персональным данным, инсайд и др.
Прежде чем внедрять систему санкционного комплаенса важно осознать, а что же такое комплаенс в принципе? Существует множество определений и в научной литературе, и в законодательных актах, приведем одно, отражающее саму суть: комплаенс – это процесс обеспечения нормативно-правового соответствия требованиям законодательства, регуляторов, заинтересованных сторон (акционеры, инвесторы, кредиторы, общество и др.), бизнес-практикам и этическим нормам. Целью же этого процесса является превентивное устранение рисков и потерь. В приведенных выше кейсах ясно видно, что отсутствие превентивных мер как в виде документов, так и специальных бизнес-процессов и ответственности различных категорий менеджмента приводит к применению различных санкций: от штрафов до включения в SDN-списки. Однако штрафы не единственные потери компании, и когда мы читаем новости о суммах штрафов в реальности к ним также необходимо добавить (как правило закрытые цифры) суммы расходов на: юридических консультантов, судебные расходы (в случае судебных споров с регулятором), выплаты бывшим менеджерам (виновникам нарушений) при увольнении, модернизацию IT-систем и внедрение новых комплаенс-контролей, создание комплаенс-подразделения и др., а также убытки акционеров от снижения курса акций и репутационные потери.
Элемент первый. Приверженность (обязательства) руководства – является самым важным и базовым элементом системы санкционного комплаенса и не просто так OFAC ставит обязательства руководства на первое место. Русская поговорка «рыба гниет с головы» и во многом надежда на мифический «авось» отвечают на вопрос «почему бизнес-менеджеры в погоне за бонусами закрывают глаза на санкционные риски». Любая компания иерархична, и равнение всегда идет на высший менеджмент, принимающий решения.
OFAC выделяет следующие ключевые обязательства менеджмента для целей создания, поддержания и развития системы санкционного комплаенса: (1) выделение адекватных ресурсов, (2) внедрение процессов санкционного комплаенса в текущую операционную деятельность, (3) поддержка и формализация программы санкционного комплаенса и (4) воспитание культуры комплаенс в компании.
Таким образом, если на уровне советов директоров и высшего исполнительного менеджмента будут приняты все необходимые решения и предоставлены все необходимые полномочия, ресурсы и обеспечена независимость комплаенс-офицерам, можно с большой долей вероятности утверждать, что во-первых, риск совершения сделок, нарушающих санкционные ограничения снизится, а во-вторых, в случае расследования со стороны OFAC наличие системы санкционного комплаенса, поддерживаемого менеджментом, может быть расценено как смягчающее обстоятельство, влияющее на выбор как вида ответственности, так и снижение ее объема.
Элемент второй. Оценка рисков. Санкционный риск с точки зрения OFAC это - потенциальный ущерб или уязвимость, которые в случае игнорирования могут привести к нарушению требований OFAC и негативному влиянию на репутацию и бизнес компании. Целью оценки рисков должно быть выявление присущих рисков, используемых в качестве оснований для принятия решений и осуществления контролей. В России уже несколько лет различные регуляторы внедряют т.н. риск-ориентированный подход, который теперь закреплен и на законодательном уровне. В российском бизнесе оценка рисков (даже если есть специальные подразделения и оценка проводится) не всегда является основанием для принятия бизнес-решений. Подход OFAC предполагает принятие решений на основе присущих рисков без учета вероятности, подразумевая что ответственность может наступить в любом случае безотносительно к количеству операций, размеру компании или работы через дочерние компании за пределами США.
Для проведения оценки санкционных рисков необходимо учитывать весьма широкий круг параметров, таких как: типы клиентов, продуктов и услуг компании, юрисдикций присутствия и других географических данных. В каком-то смысле оценку санкционных рисков можно сравнить с созданием уникальной мозаики из разных элементов по форме и цвету. Результаты оценки санкционных рисков должны быть использованы с целью минимизации санкционных рисков и в написании политик и процедур, и во внедрении внутренних контролей, и в обучающих коммуникациях и материалах и в процессе принятия решений о сделках, о выходе на новые рынки, заключении партнерств, создании новых продуктов и/или услуг компании.
Элемент третий. Внутренние контроли. Оценки рисков без последующих шагов в виде внедрения соответствующих контролей в бизнес-процессы компании недостаточны для минимизации санкционных рисков. Целью внедрения внутреннего контроля является определение периметра ожиданий от функционирования системы санкционного комплаенса, определение необходимых процедур и процессов, относящихся к процедурам комплаенс для целей OFAC (включая отчеты и эскалацию отчетов и информации) для минимизации рисков, выявленных в процессе их оценки.
Типы внутренних комплаенс-контролей для целей санкционного комплаенса аналогичны тем, что используются в любом типе комплаенс-программы. Так, это обычно: (1) политики и процедуры, (2) процесс идентификации рисковых сделок и транзакций, (3) процедура эскалации выявленных рисков, (4) периодическая отчетность и (5) сохранение записей.
Правильным образом составленные документы по санкционному комплаенсу могут не только минимизировать риски компании, но и сохранить репутацию и компании, и вовлеченного менеджмента. Многие крупные компании уже имеют специальные Политики в области соблюдения санкционных и других ограничений международного законодательства в странах присутствия и используют в своих стандартных договорах т.н. «санкционные оговорки» наравне с антикоррупционными оговорками или положениями о конфиденциальности. Однако помимо верхнеуровневых политик также необходимо вносить соответствующие изменения и в регламенты и положения по операционным процессам, а также в должностные инструкции вовлеченных в эти процессы работников.
Комплаенс-офицеры в свою очередь должны быть вовлечены в цепочку согласования сделок и транзакций, а также обладать необходимыми полномочиями для оперативной эскалации выявленных рисков в планируемых к заключению сделок/транзакций/новых продуктов и услуг, а в некоторых случаях обладать и правом вето на совершение таких транзакций. Указанные полномочия могут оградить компании от совершения высокорисковых транзакций.
Дизайн контролей безусловно будет различным и зависеть от многих факторов: организационная структура компании, IT-инфраструктура, принципы работы с дочерними компаниями, регионы присутствия и др. Но безотносительно к каждому выявленному риску необходимо удостовериться, что в компании предприняты адекватные меры, направленные на превентивное устранение рисков, чтобы и через год, и через 3 и через 5 лет можно было иметь в наличие достоверные доказательства предпринятых в компании мер, направленных на минимизацию санкционных рисков.
Элемент четвертый. Тестирование и аудит. Поскольку потенциальные негативные последствия нарушения санкционных требований исчисляются порой в миллионах долларов США, подход к проведению аудита и модели тестирования транзакций и сделок не должен носить поверхностный и формальный характер. Какие же факторы успеха обеспечат адекватное реагирование на выявленные недостатки?
В первую очередь необходимо проводить аудит силами квалифицированной команды внешних и/или внутренних аудиторов, а также предоставлять команде необходимые полномочия и уровни доступа к документам и IT-системам. Также в этот процесс необходимо вовлекать менеджмент с целью дальнейшего и эффективного реагирования на выявленные в процессе аудита слабости и недостатки внедренной системы, включая недостатки IT-систем, механизмов внутренних контролей и выявленных иных пробелов системы.
По результатам аудита необходимо разработать план по устранению выявленных недостатков, в котором важно закрепить персональную ответственность конкретных менеджеров различного уровня и установить сроки устранения выявленных недостатков. Отдельным сложным решением менеджмента по результатам аудита может быть решение о добровольном раскрытии в адрес OFAC своего нарушения. Целью такого раскрытия в первую очередь будет снижение потенциального штрафа на 50%.
Элемент пятый. Обучение. – Проведение очных тренингов, разработка онлайн-тренингов для персонала, а также разработка различных методических пояснений, инфографик и коммуникаций относится к функционалу службы комплаенс, ответственной за любой направление комплаенс. В крупных компаниях давно стали нормой тренинги в отношении правил делового поведения и этики, антикоррупционных правил или информационной безопасности, обычно такие тренинги разрабатываются для всех категорий сотрудников. Вместе с тем, риск-ориентированный подход, рекомендуемый OFAC для программы санкционного комплаенса, предполагает подготовку тренингов или обучаемых материалов для сотрудников в зависимости от их должностных обязанностей и выявленных санкционных рисков, связанных с конкретными бизнес-процессами. Такой подход также используется при формировании программ обучения по антимонопольному комплаенсу.
В целях разработки эффективной системы обучения в области санкционного комплаенса для осознания сотрудниками ответственности и последствий для компании за их ежедневные обязанности необходимо сначала ответить на следующие вопросы: (1) какие подразделения вовлечены в бизнес-процессы, связанные с санкционными рисками? (2) какие группы сотрудников принимают решения в отношении трансакций и сделок, а какие исполняют принятые решения? (3) с какими заинтересованными сторонами взаимодействуют сотрудники (такие как: клиенты, поставщики, бизнес-партнеры)? Ответы на эти вопросы помогут создать концепцию обучения с учетом факторов и особенностей организационной структуры, сектора экономики и бизнес-стратегии компании.
Также важным аспектом успешной программы обучения является имплементация и своевременная коммуникация с сотрудниками в отношении изменений требований OFAC, влияющих на деятельность компании и условия взаимодействия с клиентами, поставщиками или бизнес-партнерами. Хорошей практикой также является подготовка обучающих материалов или тренингов для своих поставщиков и клиентов. Наравне с санкционной оговоркой это также может повысить уверенность компании в том, что ее контрагенты надлежащим образом осведомлены о существующих ограничениях и рисках, а также может дать дополнительный аргумент при формировании позиции компании перед OFAC в случае если нарушение все же было совершено и начато расследование.
Резюмируя вышеизложенное, можно с уверенностью сказать, что внедрение эффективной системы санкционного комплаенса приведет к долгосрочным выгодам для бизнеса и позволит принимать акционерам и менеджменту аргументированные и информированные решения по всему кругу вопросов в отношении планируемых сделок, таких как: юрисдикции, регионы присутствия, тип товаров, платежи в сделке, отношения с банками, страхование и ограничение ответственности, рисков акционеров и менеджмента (Совет директоров/Правление в первую очередь), риски связанные с потенциальными партнерами и другие. Ответы на эти вопросы и сами вопросы, возникшие вследствие наличия процессов санкционного комплаенса, помогут избежать компаниям крупных финансовых и репутационных потерь в сегодняшней реальности политических рисков.
Авторы:
Иван Тимофеев
Программный директор Российского совета по международным делам (РСМД)
Маргарита Хоменко
Директор по проектам комплаенс Российской ассоциации этики бизнеса, комплаенса и КСО (RBEN)