Системы менеджмента комплаенса — Требования с руководством по применению
ИСО 37301 (ISO 37301:2021) — Менеджмент комплаенса
Стандарт ИСО 37301 (ISO 37301) — первый международный документ, устанавливающий сертифицируемые требования к системе менеджмента комплаенса (СМК). Разработан техническим комитетом ISO/TC 309 «Governance of organizations» и опубликован в апреле 2021 года.
ИСО 37301 заменил руководство ISO 19600:2014, которое содержало только рекомендации (should) и не предусматривало сертификацию. Принципиальное отличие ISO 37301 — наличие обязательных требований (shall), что делает стандарт пригодным для сертификации третьей стороной.
В России стандарт введён как ГОСТ Р ИСО 37301-2022, утверждённый Росстандартом. Комплаенс-менеджмент по ИСО 37301 охватывает все виды обязательств организации: законодательные, нормативные, этические, договорные и корпоративного управления.
Почему ИСО 37301 важен для российских организаций
Потребность в формализованных комплаенс-системах в России резко выросла с 2022 года на фоне санкционного давления, ужесточения антикоррупционного законодательства и требований ESG-отчётности. ИСО 37301 даёт организациям проверенный международный фреймворк для управления всеми этими рисками.
- Банки и финансовые организации — ЦБ РФ требует комплаенс-программы (395-1-ФЗ «О банках и банковской деятельности»), положения 242-П и 3223-У
- Антикоррупционный комплаенс — 273-ФЗ «О противодействии коррупции» обязывает организации принимать меры по предупреждению коррупции
- Публичные компании (MOEX) — Московская биржа требует раскрытие информации о комплаенс-системах в корпоративном управлении
- AML/ПОД/ФТ — Росфинмониторинг обязывает вести программы внутреннего контроля (115-ФЗ)
- Санкционный комплаенс — критически важен с 2022 года для компаний с международными операциями
- ESG-отчётность — инвесторы и рейтинговые агентства оценивают наличие формализованных комплаенс-систем
- Дочерние структуры международных компаний — материнская компания требует единый стандарт комплаенс по всей группе
Отличие ИСО 37301 от ISO 19600 — почему это важно
ISO 19600:2014 был первой попыткой стандартизировать комплаенс-менеджмент на международном уровне. Однако он содержал только рекомендации (формулировки «следует» / should) и не позволял провести сертификацию. Организации могли лишь заявлять о «соответствии духу» ISO 19600.
| Характеристика | ISO 19600:2014 | ISO 37301:2021 |
|---|---|---|
| Тип документа | Руководство (guidance) | Требования (requirements) |
| Формулировки | «should» (следует) | «shall» (должен) |
| Сертификация | Невозможна | Возможна |
| Структура | Annex SL (частично) | Annex SL (полностью) |
| Статус | Отозван (withdrawn) | Действующий |
| Каналы сообщений о нарушениях | Упоминаются | Обязательное требование |
| Подотчётность руководства | Рекомендована | Обязательна |
Переход от руководства к требованиям означает, что организации теперь могут получить независимое подтверждение эффективности своей комплаенс-системы — сертификат ИСО 37301.
Структура стандарта ИСО 37301 — 10 разделов
ИСО 37301 построен по структуре высокого уровня (HLS, Annex SL), что обеспечивает совместимость с другими системами менеджмента — ИСО 9001, ИСО 14001, ИСО 27001, ИСО 37001. Разделы 1–3 носят вводный характер, разделы 4–10 содержат обязательные требования:
| Раздел | Название | Ключевые требования |
|---|---|---|
| 4 | Контекст организации | Анализ внутренней и внешней среды, определение заинтересованных сторон, идентификация комплаенс-обязательств, область применения системы |
| 5 | Лидерство | Приверженность высшего руководства, комплаенс-политика, роли и ответственность, назначение комплаенс-функции |
| 6 | Планирование | Оценка комплаенс-рисков, определение целей комплаенса, планирование действий по достижению целей |
| 7 | Поддержка | Ресурсы, компетентность персонала, осведомлённость, коммуникации, документированная информация, формирование культуры комплаенса |
| 8 | Деятельность | Операционное планирование и контроль, управление комплаенс-обязательствами, каналы сообщений о нарушениях (whistleblowing) |
| 9 | Оценка результатов | Мониторинг и измерение, внутренний аудит комплаенса, анализ со стороны руководства, отчётность |
| 10 | Улучшение | Несоответствия и корректирующие действия, расследование нарушений, постоянное улучшение |
Ключевые области ИСО 37301
Стандарт ИСО 37301 выделяет несколько критических областей, которые отличают комплаенс-менеджмент от других систем управления:
Идентификация всех применимых комплаенс-обязательств (законы, регуляторные требования, этические кодексы, договорные условия). Оценка вероятности несоблюдения и его последствий. Приоритизация рисков и разработка мер контроля.
Лидерство «сверху» — высшее руководство задаёт тон. Нулевая толерантность к нарушениям. Вознаграждение за этичное поведение. Комплаенс интегрирован в повседневные решения, а не существует как отдельная функция «для галочки».
Организация обязана создать доступные и конфиденциальные каналы для сообщений о нарушениях. Защита информаторов от преследования. Расследование каждого обращения. Это одно из обязательных требований стандарта.
Руководство несёт персональную ответственность за работоспособность комплаенс-системы. Регулярный анализ со стороны руководства. Выделение достаточных ресурсов для комплаенс-функции.
Жизненный цикл стандарта
Этапы внедрения ИСО 37301
Внедрение системы комплаенс-менеджмента по ИСО 37301 занимает от 4 до 12 месяцев в зависимости от размера организации, количества регуляторных требований и зрелости существующих процессов.
Составление реестра всех применимых законов, нормативных актов, отраслевых стандартов, этических кодексов и договорных обязательств. Для банков это 395-1-ФЗ, положения ЦБ, AML-требования; для публичных компаний — корпоративное право, правила листинга MOEX.
Анализ вероятности нарушения каждого обязательства и его последствий (штрафы, отзыв лицензии, репутационный ущерб). Построение карты рисков, определение приоритетов, разработка мер контроля.
Политика комплаенса, утверждённая высшим руководством. Процедуры управления рисками, расследования нарушений, эскалации. Каналы сообщений о нарушениях (горячая линия, электронная почта, анонимный портал).
Определение структуры: комплаенс-офицер, комитет по комплаенсу, линии отчётности. Обеспечение независимости функции от операционного менеджмента. Прямой доступ к совету директоров.
Обучение всех сотрудников основам комплаенса. Углублённое обучение для подразделений с высокими рисками. Регулярные коммуникации от руководства. Интеграция комплаенса в KPI.
Проведение внутреннего аудита системы комплаенса. Устранение несоответствий. Сертификационный аудит третьей стороной: этап 1 (анализ документации) и этап 2 (аудит на месте). Выдача сертификата ИСО 37301.
Типичные ошибки при внедрении
| Ошибка | Последствие | Правильный подход |
|---|---|---|
| Комплаенс «для галочки» | Система существует на бумаге, реальные нарушения не выявляются | Интеграция в бизнес-процессы, регулярное тестирование |
| Отсутствие каналов whistleblowing | Нарушение обязательного требования стандарта, несоответствие на аудите | Создать минимум 2 канала (горячая линия + электронный) |
| Комплаенс-офицер подчинён операционному менеджменту | Конфликт интересов, невозможность независимого контроля | Прямая отчётность перед советом директоров |
| Неполный реестр обязательств | Пропуск критических регуляторных требований | Системный подход: законы, подзаконные акты, отраслевые правила, договоры |
| Разовое обучение персонала | Сотрудники забывают требования, культура не формируется | Ежегодное обучение + регулярные коммуникации |
Интеграция с ИСО 37001 (антикоррупция)
ИСО 37301 и ИСО 37001 (система менеджмента противодействия коррупции) — комплементарные стандарты, разработанные одним техническим комитетом ISO/TC 309. Они используют одну структуру HLS и легко интегрируются:
- ИСО 37001 — специализированный стандарт, фокусируется исключительно на противодействии взяточничеству
- ИСО 37301 — охватывает все виды комплаенс-обязательств, включая антикоррупцию
- При наличии обоих сертификатов можно выстроить единую интегрированную систему
- Общие элементы: оценка рисков, обучение, каналы сообщений, внутренний аудит
- Интеграция экономит ресурсы: единая документация, совмещённые аудиты
Дополнительно ИСО 37301 совместим с ИСО 9001 (качество), ИСО 14001 (экология), ИСО 27001 (информационная безопасность) благодаря единой структуре HLS.
ИСО 37301 в России
В России стандарт введён как ГОСТ Р ИСО 37301-2022, идентичный международному ISO 37301:2021. Принят Росстандартом и вступил в действие с 2022 года.
Регуляторные требования
Хотя сертификация по ИСО 37301 формально добровольная, для ряда организаций комплаенс-программы обязательны:
- Банки — 395-1-ФЗ «О банках и банковской деятельности», положения ЦБ РФ о внутреннем контроле
- Все организации — ст. 13.3 273-ФЗ «О противодействии коррупции» обязывает принимать антикоррупционные меры
- Финансовые организации — 115-ФЗ «О противодействии легализации доходов» (AML/ПОД/ФТ)
- Публичные компании — Кодекс корпоративного управления ЦБ (рекомендуемый для листинга на MOEX)
Сроки и стоимость сертификации
Средний срок внедрения и сертификации: 4–8 месяцев. Стоимость: от 80 000 руб. для средних организаций, от 150 000 руб. для крупных с разветвлённой структурой. Подробный расчёт стоимости.
Выбор органа по сертификации
Для международного признания сертификата необходимо выбирать орган по сертификации с аккредитацией в IAF MLA. Мы сотрудничаем только с аккредитованными органами, чьи сертификаты признаются в 100+ странах.
Преимущества сертификации ИСО 37301
Структурированное управление всеми комплаенс-обязательствами уменьшает вероятность штрафов и санкций
ЦБ РФ, Росфинмониторинг, антимонопольные органы оценивают наличие сертифицированной системы
Документированная система комплаенса — аргумент при расследованиях и судебных разбирательствах
ESG-инвесторы и рейтинговые агентства учитывают наличие комплаенс-программ
Единая система антикоррупционного и общего комплаенса экономит ресурсы
Сертификат признаётся партнёрами и регуляторами в 100+ странах
Часто задаваемые вопросы
ИСО 37301 (ISO 37301:2021) — международный стандарт, устанавливающий требования к системе менеджмента комплаенса. Он помогает организациям системно управлять соблюдением всех применимых требований: законодательных, нормативных, этических и договорных. Сертификат нужен банкам, финансовым организациям, публичным компаниям и предприятиям в регулируемых отраслях.
ISO 19600:2014 содержал только рекомендации (should) и не предусматривал сертификацию. ИСО 37301 содержит обязательные требования (shall) и является первым сертифицируемым стандартом комплаенс-менеджмента. Также ИСО 37301 усиливает требования к каналам сообщений о нарушениях (whistleblowing) и подотчётности высшего руководства.
ИСО 37001 специализируется исключительно на противодействии взяточничеству (anti-bribery). ИСО 37301 охватывает все виды комплаенс-обязательств: законодательство, регуляторные требования, этику, договорные условия, внутренние политики. Стандарты комплементарны и легко интегрируются в единую систему благодаря общей структуре HLS.
Стоимость сертификации по ИСО 37301 начинается от 80 000 руб. для организаций среднего размера. Для крупных компаний с разветвлённой структурой и множеством регуляторных требований стоимость может составлять от 150 000 руб. Цена зависит от численности персонала, количества площадок и сложности регуляторной среды.
Сертификация по ИСО 37301 добровольная. Однако для банков и финансовых организаций комплаенс-программы обязательны по закону (395-1-ФЗ, 115-ФЗ). Для всех организаций обязательны антикоррупционные меры (273-ФЗ). Сертификат ИСО 37301 подтверждает соответствие этим требованиям международно признанным способом.
Сертификат выдаётся на 3 года. Ежегодно проводятся надзорные аудиты для подтверждения работоспособности системы. По истечении 3 лет проводится ресертификационный аудит. Если система поддерживается и улучшается, сертификат продлевается на следующий трёхлетний цикл.
Да, ИСО 37301 построен по структуре высокого уровня (HLS, Annex SL) — той же, что ИСО 9001, ИСО 14001, ИСО 27001, ИСО 37001 и ИСО 45001. Это позволяет создать единую интегрированную систему менеджмента с общей документацией, общими аудитами и единым циклом улучшений, что существенно экономит ресурсы.
ГОСТ Р ИСО 37301-2022 — российский национальный стандарт, идентичный перевод международного ISO 37301:2021. Утверждён Росстандартом. Требования полностью совпадают с оригиналом. ГОСТ используется для сертификации в российской системе стандартизации и является юридическим основанием для применения требований стандарта на территории РФ.
Бесплатная консультация по ИСО 37301
Перезвоним в течение 30 минут, ответим на вопросы и рассчитаем стоимость сертификации
Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности