IT рекрутинг

Стартап для борьбы с воровством и взятками в компании: рассказываем о разработке комплаенс-сервиса

Миллионы долларов на коррупционных схемах

В 2020 году стало известно, что «Ашан» терял 2-3% годового оборота в России из-за коррупционных схем, которые были внедрены менеджментом компании. Что значит пара процентов в масштабах огромного ритейлера? Это €80-100 млн, к потере которых прибавился скандал — напали на Алексея Жаркова, экс-директора по проектам «Ашана», который выявил нарушения. Новость разошлась по всем бизнес-СМИ, и репутация компании оказалась под угрозой.

По итогам расследования стало известно, что сотрудники брали взятки от поставщиков за появление на полках магазинов, повышение цен и победу в тендерах. Через сговор с сотрудниками компании получали инсайдерскую информацию, на основе которой они манипулировали ценами и получали преимущество перед конкурентами.

Мошенничество, откаты, слив информации, сговоры и коррупция в других проявлениях встречаются в разных сферах бизнеса: ритейл, финансы, фуд-индустрия, IT, производство, логистика, медицина. И речь не только об очевидных «серых» схемах — даже подарок в благодарность партнерам становится взяткой при неаккуратном выборе презента.

Такие нарушения приводят к:

  • финансовым потерям компании
  • искам, разбирательствам в суде
  • штрафам
  • уголовным срокам
  • огласке негативных новостей и скандальным расследованиям в СМИ
  • очернению имиджа компании, потере репутации
  • увольнению сотрудников
  • снижению инвестиционной привлекательности
  • разрыву контрактов с партнерами
  • полному закрытию бизнеса

Для управления рисками, связанными с несоблюдением законодательства, в бизнесе внедряют комплаенс.

Комплаенс — система мер, направленная на управление рисками, которые связаны с нарушением законодательства, отраслевых нормативных актов и корпоративной этики. Основная задача — сделать так, чтобы все сотрудники работали в рамках закона, соблюдали бизнес-этику и другие правила, принятые в компании.

У комплаенс, как правило, три цели:

  • снизить риск претензий со стороны судов и контролирующих органов
  • снизить риск мошенничества и нарушений внутри компании
  • повысить внешнюю инвестиционную привлекательность, сформировать имидж добросовестного и надежного партнера (особенно актуально для компаний, которые работают с зарубежными партнерами)

В идеальном мире сотрудники не используют серые схемы обогащения, не дают взятки за контракты, не воруют на производстве, не участвуют в сговорах, соблюдают налоговое законодательство, «правильно» выступают в публичном поле, сохраняя имидж компании, а место в экономическом отделе получает самый достойный соискатель, а не сын финансового директора. Приблизиться к этому и помогает комплаенс.

Идея стартапа: рассказывает сооснователь

Работа комплаенс-специалиста связана с большим количеством действий:

  • подготовка нормативных актов, политик, норм
  • обеспечение адресного ознакомления с документами сотрудников: всех, определенного подразделения или отдельных лиц
  • проведение обучающих мероприятий и тестирований
  • проведение проверок
  • прием заявок по горячей линии
  • создание отчетности
  • проведение аудита
  • оценка рисков
  • подготовка плана мероприятий

Делать такой большой объем работы подручными инструментами вроде почты, мессенджеров, таблиц, личных обращений и точечных сервисов долго, дорого и неудобно. А комплексного IT-решения для ведения комплаенс в рамках единой платформы на отечественном рынке до недавнего времени не было.

О том, как пришла идея оцифровать комплаенс-процедуры и выпустить на российский рынок первый сервис по противодействию коррупции, рассказал Павел Борзов, сооснователь проекта и генеральный директор 365//360 Compliance platform.

 

Предположим, компании нужно провести обучение сотрудников. В комплаенс это регулярная процедура — обучающие мероприятия проходят постоянно и по разным темам. Сюда же добавьте новостные объявления, уведомления, контроль, формирование отчетности. Если в штате тысяча сотрудников, то для выполнения этих задач комплаенс-отделу понадобится очень много специалистов. В программе же этим может заниматься один человек.

Так, большой опыт в комплаенс показал, что эту сферу необходимо оцифровывать. В России подобных сервисов не оказалось, поэтому появилась идея создать собственную комплаенс-платформу.

Мы с партнерами хотели разработать сервис, который повышает эффективность комплаенс-процедур и делает их более доступными для бизнеса — когда у тебя есть готовый инструмент, сочетающий в себе все необходимые функции, внедрять комплаенс в компании намного легче.

Также было важно учесть, что задачи у каждой компании разные и формируются на основе карты рисков конкретной компании. Могут даже использоваться одни и те же инструменты, но в различных вариантах и с разной архитектурой.

По нашей задумке сервис должен был стать удобным и универсальным инструментом, который экономит деньги, адаптируется под любую организацию и охватывает все нюансы управления комплаенс-рисками.

Павел Борзов, сооснователь проекта и генеральный директор 365//360 Compliance platform

 

Специфика проекта

За созданием платформы для своего стартапа Павел и его партнеры обратились к нам в «Атвинту». До этого мы уже реализовывали сложные проекты для стартапов. Один из самых сложных — создание IoT-лаборатории, веб-портала и мобильного приложения для американского медтех-стартапа. За эту работу мы получили золото Tagline Awards 2019 в номинации «Лучшее использование IoT».

Строить сложные системы с нуля под задумку стартаперов мы уже умели, однако с юридическим направлением встретились впервые. Также в этом проекте есть ряд особенностей, которые вылились в полтора года кропотливой работы над проектом.

Уникальность

365//360 Compliance platform — это уникальный продукт, которому нет аналогов. Система основана на авторской методике, при разработке которой учитывались лучшие комплаенс-практики, международные стандарты ISO, законодательные акты, методические рекомендации Минтруда и практика профессиональных комплаенс-сообществ.

Быть первопроходцами в нише комплексных комплаенс-сервисов — мероприятие ответственное как для авторов идеи, так и для разработчика. Нам предстояло создать систему с уникальной оценкой эффективности, на которую будут опираться пользователи при оценке рисков, а это — деньги и репутация реальных компаний.

Мы должны были создать надежный сервис, который помогает устранять потери и подсвечивать проблемные места бизнеса. А для этого необходимо с нуля проработать функциональность и логику продукта, учесть все потребности пользователей.

Разработка

Так как продукт новый, разработать четкое ТЗ на старте было сложно. Логика всех функций разрабатывалась уже во время реализации проекта в плотном сотрудничестве с клиентом. Многое меняли и дорабатывали в процессе разработки.

Например, на платформе есть возможность проведения аудита. Изначально предполагалось, что будет только внешний аудит от специалистов сервиса. По задумке все комплаенс-мероприятия должны были проходить модерацию экспертов 365//360 Compliance platform. Приложили документ? Его проверяет и подтверждает модератор со стороны сервиса. Далее на основе внешнего аудита компания получает оценку эффективности и отчет.

Однако уже во время разработки мы добавили и внутренний аудит, когда компания сама проводит контроль и оценку своей работы. Дело в том, что перед организациями стоят разные задачи, и для них не всегда нужно привлекать внешних аудиторов.

Например, когда управление заинтересовано в снижении мошенничества внутри компании, но не нуждается в подтверждении добросовестности перед партнерами. В этом случае компания может взять ответственность за проверку всех документов на себя и отказаться от экспертного заключения, которое бы повысило ее авторитет среди конкурентов.

Так платформа стала более гибкой и открытой для большего количества компаний.

 

Для создания платформы была выделена команда, вовлеченная только в этот проект. Мы совместно с заказчиком разрабатывали платформу на основе авторской системы, и 70% времени уходило на продумывание логики. Ежедневно проводили созвоны и несколько раз организовывали личные встречи. Высокая вовлеченность команды и авторов идеи стартапа позволила создать уникальный, проработанный до самых мелочей продукт.

Анастасия Кириллова, проджект-менеджер проекта

 

Сложная архитектура

Как мы уже писали выше, работа с комплаенс состоит из большого количества действий, которые совершаются непрерывно. Отсюда — множество функций, которые как паутина связаны между собой. К тому же, предстояло разработать интерфейс и функции для нескольких нескольких типов пользователей:

  • администратор сервиса
  • специалисты комплаенс-службы компании
  • сотрудники компании
  • внешние консультанты
  • соискатели

В какой-то момент макетов по 365//360 Compliance platform стало так много, что у нас закончилось поле в Figma — мы отрисовали такое количество страниц, что скролить дальше было нельзя.

Как устроена платформа

В любом риск-менеджменте предусмотрены три линии защиты:

  • Создание правил, политик и процедур
  • Мониторинг рисков
  • Самоконтроль

365//360 Compliance platform покрывает все три линии защиты — в сервисе можно создать базу правил и регламентов компании, внедрить систему мониторинга и настроить аудит для контроля и оценки рисков.

 

При разработке функций мы ориентировались на три линии защиты риск-менеджмента. В любом процессе должны быть правила и стандарты поведения. Чтобы они имели силу, нужно ознакомить с ними сотрудников, а в некоторых случаях — провести обучение. Чтобы понять, насколько качественно сотрудники усвоили материал, необходима система тестирования. Дальше, даже если сотрудники успешно проходят тесты, нужно убедиться, применяются ли изученные правила в жизни. Для этого мы создали систему непрерывного мониторинга. Чтобы оценить комплаенс-риски, компании могут провести внутренний аудит самостоятельно или получить анализ и оценку от специалистов нашей платформы.

Павел Борзов, сооснователь проекта и генеральный директор 365//360 Compliance platform

 

В комплаенс все задачи связаны единой цепочкой, поэтому одна функция платформы является логичным продолжением другой. На рынке комплаенс-услуг встречаются сервисы и эксперты, которые работают с отдельными задачами и направлениями комплаенс, например, обучением, конфликтом интересов или аудитом.

Отличие нашей платформы в том, что она покрывает преимущественно все потребности, которые могут появиться у бизнеса. При этом продукт не вынуждает использовать все функции комплексно — можно пользоваться только частью функций, которые нужны компании здесь и сейчас.

Еще один существенный плюс — возможность интеграции с другими сервисами. Например, в крупной компании уже есть ПО, которое выстраивает карту рисков или проверяет контрагентов. При разработке мы заложили техническую возможность более глубокой интеграции с сервисами компаний, и в 365//360 Compliance platform все сводится в единую систему вместе с существующими решениями.

Гибкость и открытость сервиса, а также возможность пользоваться продуктом как можно большему количеству компаний, были принципиальными требованиями заказчика.

Основные функции

Рассмотрим, как устроена платформа.

Оценка эффективности

На главной странице личного кабинета выводится оценка эффективности комплаенс в компании. По-другому ее можно назвать рейтингом добросовестности. Она обозначается как CCR — Company Compliance Rating.

/users_files/atwinta/1.png

На CCR влияет ряд показателей по основным направлениям комплаенс, например, штатное обеспечение, политики и процедуры, управление персоналом (полный список на скриншоте выше). Они также выводятся на главной панели.

Каждый из показателей имеет разный вес и в разной степени влияет на итоговый CCR. Максимальная оценка как по общей оценке эффективности, так и по показателям равна 100 баллам. Чем выше уровень показателей, тем выше CCR.

Оценка увеличивается, если компания выполняет рекомендации сервиса и проводит мероприятия по улучшению комплаенс, например, создает нормативные документы в системе, ознакамливает с ними сотрудников, проводит обучения и тестирования.

Рекомендации по улучшению комплаенс разработаны авторами платформы и находятся в соответствующем разделе. Пример рекомендаций на скриншоте ниже.

/users_files/atwinta/2.png

Если компания игнорирует выпуск нормативного документа, или множество сотрудников не прошли обязательный тест, то это повлияет на соответствующие показатели и CCR.

Для оценки сотрудников создан PCR — Personal Compliance Rating. Он основывается на прохождении тестирований и ознакомлении с документами. Отражается в личной карточке сотрудника, где находится вся информация о его действиях в системе, итогах тестирования и другой персональной информации.

/users_files/atwinta/3.png

PCR и CCR наглядно показывают эффективность комплаенс и позволяют оперативно отслеживать изменения. Например, если CCR стал меньше на несколько пунктов — это сигнал для юриста проверить состояние показателей и вовремя принять меры в направлении, которое потеряло позиции.

Требования

Показали рейтинга CCR считаются на основе выполнения требований. Требования — это мероприятия, которые авторы платформы рекомендуют проводить компаниям. На них основана методика управления комплаенс-рисками.

У требований есть разные типы выполнения: где-то их достаточно подтвердить наличием документа, где-то нужно проверить знания сотрудников по теме. Посмотрим, как это работает на примере требования «Антикоррупционная политика».

/users_files/atwinta/4.png

Требования могут быть многоуровневыми и содержать в себе ряд других требований. «Антикоррупционная политика» — как раз такое. Чтобы получить по нему сто баллов, нужно сделать следующее:

  1. приложить «Антикоррупционную политику», подтвердить, что в базе компании есть этот документ
  2. провести ознакомление сотрудников с документом
  3. сотрудники должны подтвердить, что они ознакомились с документом (это делается с помощью смс, кода из пуш-уведомлений или пароля)
  4. проверить знания сотрудников, то есть провести тестирование

Выполняя требования и проводя рекомендованные комплаенс-мероприятия, компания повышает рейтинг показателей и общий CCR. Это можно сравнить с компьютерной игрой: выполнил задание — заработал очки.

При этом система расчета CCR тоже является гибкой — в зависимости от специфики деятельности компании требования могут быть скорректированы. Авторы стартапа разработали универсальные критерии оценки, которые подходят под различные нужды компаний и подходят всем организациям благодаря возможности модифицировать блок требований.

Добавление материалов

Кроме документов, требования могут выполняться прикреплением других материалов. Всего три типа:

  • документы (нужно прикрепить документ, например, политику)
  • новости (нужно выпустить информационное сообщение для сотрудников)
  • обучения (нужно создать обучающий материал)

Их можно создать напрямую из требования или через специальные разделы в навигации.

/users_files/atwinta/5.png

Материалы в каждой группе фильтруются по категориями, которые соответствуют показателям рейтинга CCR. Также можно отфильтровать материалы по статусу: «на модерации», «утратил силу», «опубликован», «отклонен». Дополнительно представлен поиск по названию и статистика материалов. Есть отдельные разделы для добавленных документов и черновиков.

Документы, обучения и новости создаются по идентичной форме. Рассмотрим на примере создания документа. На странице есть две вкладки: «Основное» и «Уровень доступа».

/users_files/atwinta/6.png

В первой содержится форма для заполнения, которая включает несколько полей:

  • Название документа
  • Дата публикации
  • Ввод основного текста
  • Загрузка файлов
  • Выдача доступа по основным категориям пользователей
  • Ввод комментария по документу

Во вкладке «Уровень доступа» можно выбрать более узкую аудиторию, которой будет доступен документ. Например, выделить несколько департаментов или отдельных сотрудников.

/users_files/atwinta/7.png

Тестирование

Разрабатывая и прикрепляя материалы, компания формирует нормативную базу, однако наличие документов — только часть успешной комплаенс-практики.

Тестирование в системе — это способ взаимодействовать с сотрудниками для проверки знаний, сбора информации, оценки личностных характеристик. Предусмотрены тесты нескольких типов с разными условиями и логикой работы:

  • Cтандартные — имеют несколько вариантов ответа и один верный, время ответа ограничено. В зависимости от требования, к которому прикреплен тест, может влиять на рейтинг CCR или проводиться отдельно от него. Используются для проверки знаний по обучающим материалам или документам.
  • Психологические — не влияют на рейтинг и не предполагают правильного ответа, время на ответ ограничено. Используются для оценки личности и склонностей сотрудника.
  • Опросы — не влияют на рейтинги и не имеют правильного ответа, проводятся, чтобы собрать необходимую комплаенс-специалисту статистику
  • Уровень подтверждения — тест на общественное подтверждение наличия признаков той или иной недобросовестной практики в компании, привязан к требованиям, не имеет правильного ответа
/users_files/atwinta/8.png

Кроме ситуационных тестов, в сервисе есть регулярное тестирование. Оно проводится с назначенной периодичностью для общей проверки сотрудника по всем документам и правилам, например, раз в неделю. Вопросы для теста выбираются случайно из общего банка вопросов по темам, которые влияют на CCR.

Тесты также могут проходить соискатели — для этого компания предоставляет им доступ к платформе.

Конфликт интересов

Сотрудник должен быть объективным и беспристрастным в работе, тогда он с меньшей вероятностью окажется вовлечен в коррупционные схемы. Если личные интересы влияют на принятие решений, это негативно сказывается на рабочем процессе и финансовом результате компании. Например, если снабженец заключает контракт на поставку с фирмой близкого родственника, хотя на рынке есть поставщик с ценами ниже и качеством сырья такого же уровня.

Для выявления конфликта интересов в 365//360 Compliance platform предусмотрена отдельная функция. Раз в полгода в кабинете сотрудника появляется требование ответить на вопросы анкеты, связанные с разными группами риска: финансовые инструменты, инструменты влияния, инсайдерская информация, личные интересы.

Отказаться сотрудник не может — вместе с анкетой блокируются остальные функции сервиса, а доступ к ним возвращается только после заполнения.

Всего 25 вопросов, пример — на скриншоте ниже.

/users_files/atwinta/9.png

История ответов отправляется комплаенс-службе в раздел «Конфликт интересов» и формируется в наглядную таблицу со статистикой деклараций.

/users_files/atwinta/10.png

В «Статистике» открывается список сотрудников и количество конфликтов, выявленных вопросами. Во второй вкладке отмечено количество конфликтов, возникшее по каждому вопросу в сумме по всем сотрудникам.

Проверки

Если анкета выявляет конфликт интересов, компания может провести проверку — это еще одна функция Compliance 360//365. Она предоставляет специалисту пространство для исследования нарушений и спорных ситуаций.

/users_files/atwinta/11.png

Например, от сотрудника поступило сообщение о нарушении. Юрист должен провести проверку с участниками и свидетелями инцидента. Для этого блок «Проверки» включает следующие возможности:

  • прикрепление документов
  • добавление сотрудников в список вовлеченных с быстрым доступом к личным профилям
  • сообщения для связи с вовлеченными или запросов другим сотрудникам, которые могут помочь разобраться с ситуацией, например, бухгалтер или специалист кадровой службы
  • добавление проверок, которые могут быть связаны с инцидентом
  • комментарий по итогам проверки
/users_files/atwinta/12.png

Такое пространство позволяет комплаенс-службе держать под рукой все необходимые материалы и контакты по проверке.

Система мотивации

Чтобы заинтересовать сотрудников в формировании комплаенс и осмысленном обучении, в сервисе разработана система мотивации. За успешное прохождение тестов, ознакомление с документами и другое взаимодействие с платформой сотрудники получают баллы, которые можно потратить на различные бонусы. Например, отгул, поход в кино или обучение.

/users_files/atwinta/13.png

Стоимость товаров и количество баллов за активность сотрудника настраивается индивидуально для каждой компании.

Отчеты

На основе всего объема информации, который генерируется на платформе, сервис формирует для компании отчет. Он включает глубокую аналитику по рейтингу CCR и его показателям, а также рекомендации по их улучшению. Вместе с отчетом выгружаются файлы со статистикой по тестированиям, ознакомлению, документам и остальным мероприятиям, проведенным внутри платформы.

При этом можно сформировать отчет по отдельным направлениям комплаенс, выбрать его дату и выборочно вывести отдельную информацию, которая нужна специалисту для конкретной задачи.

Отчет может быть сформирован компанией самостоятельно или подтвержден со стороны 365//360 Compliance platform. Во втором случае документ заверяется печатью и подписью генерального директора платформы, однако для этого все процедуры должны проходить модерацию администраторами сервиса.

Отчет используется для:

  • подробной оценки эффективности комплаенс
  • анализа и выявления слабых мест
  • предъявления потенциальным партнерам
  • отчетности о результатах работы комплаенс-службы

Мобильное приложение

Для удобства использования платформы мы разработали мобильное приложение, где сотрудники и соискатели проходят тестирование и ознакамливаются с документами.

/users_files/atwinta/14.png

Каким компаниям нужен такой сервис

Compliance Platform 365//360 внесен в Единый реестр российских программ для электронных вычислительных машин и баз данных, а также в Реестр зарегистрированных систем добровольной сертификации.

Это авторитетная и признанная на государственном уровне платформа, которую можно смело использовать для управления комплаенс-рисками, а аудит от ее экспертов будет весомым аргументом пользу подтверждения добросовестности компании для потенциальных и действующих партнеров.

Преимущества сервиса для бизнеса:

  • Управление комплаенс-рисками, а не формальное соблюдение процедур. Система устроена так, чтобы сотрудники действительно ознакамливались с документами, вовремя узнавали о нововведениях, принимали на себя ответственность. Тесты на подтверждение позволяют вовремя распознать опасные ситуации и устранить их.
  • Ведение комплаенс в единой системе: все документы, обучение, проверки и оценка компании в одном месте, что облегчает и оптимизирует работу комплаенс-службы.
  • Возможность отдать комплаенс на аутсорс. Отдельный тариф позволяет передать управление комплаенс экспертам 365//360 — они составят и подгрузят нужные документы, выпустят новости, настроят рассылку тестов нужному отделу и т.д.
  • Подтверждение добросовестности компании. Высокий CCR — это конкурентное преимущество компании. Крупные организации не будут работать с теми, кто замечен в коррупционных скандалах или имеет плохую репутацию — это может навредить ее имиджу и привести к потерям из-за сотрудничества с недобросовестным партнером. Оценка, составленная на основе аудита 365/360, будет подтверждением того, что компания заботится о деятельности в рамках закона и отраслевых нормативных актов, а значит, ей можно доверять и безопасно работать.
  • Оценка работы комплаенс-службы. У комплаенс-менеджера появился инструмент, который может продемонстрировать качество его работы по продуманной системе оценки.
  • Универсальность. Платформа подходит компаниям крупного и малого масштаба и может быть использована в разных отраслях благодаря гибкости и универсальности.

Кажется, что комплаенс — это история для крупных компаний вроде Сбера, однако противодействие коррупции и мошенничества внутри организации актуально даже для малого бизнеса.

4 признака, что управлению пора внедрять комплаенс:

  • в компании зачастили правонарушения, сотрудники попадаются на взятках и воровстве
  • компания работает с госстуктурами и зарубежными партнерами
  • в бизнес-процессах обнаруживаются потери
  • в компании уже внедрен комплаенс, требуется автоматизация его процессов

Секрет успеха разработки узкопрофессионального стартапа

По словам Павла Борзова, самым сложным в создании 365//360 Compliance platform было «перевести с юридического на айтишный».

 

Такие проекты должны создаваться на стыке двух компетенций: с одной стороны, профессионалы в комплаенс, которые продумывают гибкие и подходящие всем компаниям функции, с другой — опытная команда разработки, готовая превращать эти идеи в сложную систему, учитывающую сотни нюансов и условий.

Павел Борзов, сооснователь проекта и генеральный директор 365//360 Compliance platform

 

Еще одна рекомендация для тех, кто планирует создавать уникальный комплексный сервис со сложной архитектурой — быть готовым к длительным срокам реализации. Мы убедились на собственном опыте, что разработка первых в своей нише продуктов — это трудозатратный процесс, где большое количество времени занимает продумывание логики работы платформы и ее функций.