Центр Комплаенс Контроля не регулярной основе сталкивается с одним и тем же вопросом. Звучит он пр...

Центр Комплаенс Контроля не регулярной основе сталкивается с одним и тем же вопросом. Звучит он примерно так: Я юрист и мне поручили создать систему комплаенс контроля, а я не знаю за что хвататься, помогите.
Безусловно в рамках данной статьи я не смогу полноценно обучить Вас построению системы, в конечном счете курс «Комплаенс-контролер», разработанный Центром, занимает 28часов, однако дать направление, в котором стоит идти я вполне могу.
Давайте начнем с определения термина "комплаенс", используем максимальное упрощенное понимание комплаенса без тонких нюансов.
Комплаенс - это соблюдение законодательства и внутренних стандартов, которые регулируют деятельность организации.
или
Комплаенс контроль - это система мер, которые позволяют обеспечить соблюдение компанией законодательства и внутренних стандартов этики и правил поведения, а также регулярно проверять ее соответствие им.
Система комплаенс контроля может быть построена на различных принципах, но мы уже договорились, что будем обращать внимание на базовые моменты, в большинстве случаев Система комплаенс-контроля базируется на следующих элементах:
  1. Определение рисков. Это процесс идентификации и оценки рисков, связанных с деятельностью компании, которые могут привести к нарушению законодательства или стандартов.
  2. Разработка политик и процедур. На основе определенных рисков необходимо разработать политики и процедуры, которые обеспечат соблюдение законодательства и стандартов. Эти документы должны описывать процессы и ответственность сотрудников компании.
  3. Организация анонимной горячей линии.  Способ сообщение о нарушениях внутри организации, без которого, сотрудники из соображений личной безопасности не смогут информировать комплаенс службу и без нее инструментарий комплаенс-контролера будет неполным; и с этим вопросом Центр очень детально разобрался и создал свою горячую линию Hihotline.com
  4. Обучение сотрудников. Важно обучить сотрудников компании политикам и процедурам, чтобы они знали, как соблюдать требования законодательства и стандартов.
  5. Мониторинг и оценка. Система комплаенс контроля должна включать процессы мониторинга и оценки соблюдения политик и процедур компанией, а также оценки эффективности системы в целом.
  6. Корректирующие действия. Если выявляются нарушения или ошибки в работе, необходимо принимать корректирующие действия, чтобы устранить проблему и предотвратить ее повторение в будущем.
Казалось бы, вот так все просто, но мы отлично знаем, что без процесса реализации эти шесть шагов будут для Вас бесполезными в связи с чем, предлагаю для самоконтроля решить небольшую практическую задачу на усвоение материала.
Задача на усвоение материала (совершенно не обязательно делать это на практике просто промоделируйте ситуацию):
Используя описанные выше этапы, создайте систему комплаенс контроля для вашей компании. Разработайте политику конфиденциальности данных и процедуры защиты этих данных. Создайте план обучения сотрудников организации политикам и процедурам. Проведите аудит, чтобы проверить соблюдение политики и процедур, и примите корректирующие действия, если необходимо.
Пример политики конфиденциальности данных (основная идея):
Наша компания придерживается политики конфиденциальности данных, которая обеспечивает защиту конфиденциальности информации, которую мы собираем, обрабатываем и храним. Мы соблюдаем требования, установленные законодательством, и применяем соответствующие технические и организационные меры, чтобы обеспечить безопасность персональных данных.
Пример процедур защиты данных:
  • Сбор данных. Мы собираем только необходимые данные и уведомляем субъектов данных о целях сбора и обработки данных.
  • Хранение данных. Мы храним данные только на защищенных серверах и используем шифрование для защиты данных в пути и в хранении.
  • Обработка данных. Мы обрабатываем данные только в соответствии с указанными целями и обеспечиваем доступ к данным только уполномоченным сотрудникам.
  • Уничтожение данных. Мы удаляем данные, когда они больше не нужны, и обеспечиваем безопасное уничтожение данных в соответствии с законодательством.
Кроме того, необходимо провести обучение сотрудников компании по политике конфиденциальности данных и процедурам защиты данных, чтобы они знали, как правильно обращаться с данными и как обеспечить их защиту.
Надеемся, что этот материал окажется Вам полезным.
Берегите Ваши компании!